再次認識你客戶

去年年底，我寫過關於使用 Splunk 來監控《認識你的客戶》(KYC) 使用案例的文章，這是許多國家對絕大多數金融服務機構的一個規範。該規範的最後一個部分指出，金融機構需要對客戶的互動和交易進行持續監控。

任何銀行都存在著多種類型的交易，包括主要的銀行業務、自動提款機、電匯、信用卡、支付等各種事項。和這些活動有關的每個應用程式都會產生自己的時間服務日誌資料，我們可用這些資料來進行排除故障、追蹤安全性和進行分析。讓我們重新看一下我去年提出的範例。假設我們只監控每位客戶的主要銀行業務，亦即存款和提款。我使用以下這個範例表格來簡單表示，該表格是來自之前的 KYC 部落格文章。

去年，我建議使用 Splunk 的 stats 命令，針對每一筆記錄按照帳戶 ID 找出平均金額，然後找出任何超出實體本身平均值 N 個標準差的帳戶。例如，如果帳戶 ID 123 的平均金額通常約為 50，突然進行了一筆 10,000 的交易，那麼我們就可以容易地將其視為異常值。是的，我們可以手動進行這個操作，但如果對象是上百萬個帳戶，並且每個帳戶都得進行單獨監控時，那就需要持續監控了。然後，我們可以將每個帳戶的異常值收集到風險指數中並且進行評分，以便進行下一步的分析。

輕鬆實施這個方法
上面我提過的一切仍然適用，但我們知道並非每個人都會使用 Splunk Processing Language (SPL) ，或是如何有效地將每個實體產生的資料收集到 Splunk 索引中。

幸運的是，Splunk 的 Rupert Truman 和 Josh Cowling 開發了一個名為 Splunk App for Behavior Profiling 的免費 Splunkbase 應用套件，只要我們取得每個銀行業務的資料，它就可以自動執行 KYC 使用案例。沿用前面的範例，我們使用他們開發的 Web 應用套件繼續討論。我只使用 SPL 搜尋特定來源類型的所有事件。這些資料是虛構的 (而且好幾年了)，但它仍足以說明問題的要點。

在網頁上，在指定時間範圍內搜尋資料後，我們選擇一個要分組的欄位 (在這個範例中是唯一的客戶名稱)，以及要監控異常值的欄位 (這裡是金額欄位)。搜尋和相關欄位的範例結果會顯示在網頁上，以便繼續進行操作。

接下來，我們選擇金額欄位的統計函數 (平均值)，並按每個客戶進行區分。我們也可以按時間區段進行平均，例如每小時或每天。

最後，我們將這個設定儲存成一個規則，以便在指定的時間區段內當作定期搜尋來收集資料，用以找出每位客戶的平均金額。

當摘要索引中的資料被自動收集後，我們可以使用網頁介面工作流程來為標準差的異常值評分，這些值會被送到一個評分指標，然後進行排名。這種自動化操作可以應用在金融服務機構的每個業務領域，如 ATM、信用卡、支付、電匯等，使持續監控變得更容易。該應用套件還提供螢幕顯示，可用於深入挖掘和調查特定的實體 (在我們的案例中就是客戶)。它甚至還提供一個檢視區塊，可用於標記實體的風險分數是否已經經過檢視，在進行合規性檢查時非常有用。

歸功於這個應用套件，這個部分的 KYC 已經安排好並準備就緒。

機器學習
Rupert 和 Josh 的應用套件還提供使用機器學習 (例如概率密度函數) 來找出所有實體的異常值的畫面，而不用深入了解資料科學。或許您可能會問，為什麼不使用機器學習來找出每個客戶交易集合中的異常值？這是一個很實際的問題，因為機器學習通常要先根據資料集建立一個模型，以便應用於未來的資料。為一百萬名客戶建立一百萬個模型可能過度了。一種更適合的方法是將每個客戶依交易金額等級進行分類。某些客戶將被歸類到平均金額約為 50。其他客戶可能會被歸類到 500。有些客戶甚至可能會被歸類到 500,000。然後，我們可以為每個分類建立一個模型，並找出每個分類中的異常值，而不是逐一搜尋個別的客戶。這種作法擴展性更好，也更易於管理更多數量的實體。

結論
KYC 使用案例是一項重要的銀行規範，持續監控是其中最重要的部分。我們討論的是如何用一種更簡單的方法來監控每位客戶的交易，以及交易的異常行為。Splunk App for Behavior Profiling 可以用於各種金融服務機構的使用案例，其中包括在任何實體集合中找出異常值，或者針對每個實體進行自我對比。

作者
Nimish Doshi
Nimish 是 Splunk 行業解決方案的技術顧問總監，為Splunk 最大的客戶 (尤其是金融服務行業的客戶) 提供策略、建議和技術方面的觀點。多年來，他貢獻了許多 Splunk 部落格文章和 Splunkbase 應用套件。