作者：来自 Elastic Kyle Rozanitis

了解公共部门组织如何使用 Elastic 通过针对其特定用例精调的规则和异常检测作业来识别欺诈活动。

每个组织都面临识别和打击欺诈的挑战。在金融服务行业，这可能是信用卡欺诈；在汽车保险领域，是策划的事故欺诈；在公共部门，则是失业、医疗保险或税务欺诈。每个领域都呈现出独特的挑战，需要为已知策略自定义检测规则，并使用机器学习（ ML ）作业来发现未知 —— 这正是 Elastic 能够发挥巨大价值的地方。

这些欺诈挑战并不是理论上的。在疫情期间，美国劳工部估计 “欺诈占失业保险福利总额的 11–15%” [1]，这凸显了组织主动识别欺诈模式在其升级之前的重要性。

下面，我们将讨论如何仅使用 Elastic 原生功能将 Elasticsearch Platform 用作欺诈检测工具。结合这些能力，可以为欺诈检测提供整体方法。你可以使用检测规则功能构建阈值规则来识别已知的已知，使用由 ML 驱动的异常检测作业来发现已知的未知，并通过使用 agentic 系统关联数百个警报并通过 Attack Discovery 能力呈现协调活动，从而揭示未知的未知。

Elastic 的欺诈检测能力对可能已经在使用 Elastic 处理搜索、 SIEM 、生成式 AI（ GenAI ）或日志等用例的较小州、地方和教育机构尤其有价值。因此，这些机构可以整合工具、减少技术债务并提高 ROI。

检测规则：识别已知的已知

检测规则有助于识别已知的已知 —— 你已经理解并可将其编写成阈值或条件的模式和策略。最常见和最基本的欺诈策略之一是用户从同一台机器（如 IP 地址）使用不同的电子邮件地址提交多个申诉。

随着 GenAI 如今变得如此易于使用，欺诈者很容易在暗网购买被盗身份，并使用由 GenAI 聊天机器人编写的脚本来更新账户、将资金重定向到特定银行账户，并提交欺诈申诉。为了监控这种已知策略，我们可以创建一个自定义阈值规则，以标记在 24 小时内使用不同电子邮件地址提交三次或更多申诉的情况。

查看检测规则实际操作：

机器学习：扩展检测以发现已知的未知

机器学习将检测扩展到已知的未知 —— 不符合固定模式但在你环境中统计上异常的活动。检测规则是捕获你已经知道存在的策略的优秀第一步，但它们也可能产生噪音。例如，检查来自同一 IP 的三个或更多不同电子邮件地址的申诉看似合理，但如果是同一家庭中三位成年人从同一台电脑申请失业呢？是否应该触发需要欺诈分析员调查的警报？可能不需要。

更好的方法可能是使用 ML 作业来监控真正的异常事件 —— 偏离其历史基线的活动。Elastic 提供无监督和有监督的机器学习。但在这种场景下，异常检测作业是正确选择。下面的 GIF 演示如何设置一个多指标作业，该作业构建一个概率模型，可以持续运行，在模型随时间演进的同时识别发生的异常事件。

在我们关于三位成年人从同一家庭申请失业的例子中，这种方法是更好的欺诈指示，因为它不会捕获这种活动；相对于该 IP 地址的申诉历史，它并不异常。相反，它会检测使用不同电子邮件地址提交异常大量申诉的 IP。

观看机器学习演示：

Attack Discovery：揭示未知的未知

最后，Attack Discovery 有助于揭示未知的未知 —— 复杂的、协调的行为，这些行为是任何规则或模型都无法预先预测的，但可以通过大型语言模型（ LLM ）关联信号来呈现。Attack Discovery 是许多 Elastic Security 客户已经熟悉的功能，旨在减轻 SOC 分析员的工作负担。

SOC 每天必须筛选数千个警报。通过使用 LLM 评估警报 —— 考虑严重性、风险评分和资产关键性等元数据 —— Elastic 可以呈现涵盖多个警报的攻击。这样做可以消除 SOC 分析员花费数小时手动逐个审查所有警报以试图拼凑事件的必要性。没有理由不能将同样的方法用于分流由专门为识别欺诈而构建的检测规则和异常检测作业触发的警报。

只需在右上角点击一次 “Generate” 按钮，Elastic 就可以识别协调的欺诈操作，例如与可疑申诉相关的两个 IP 地址。输出中提供的细节本需要欺诈分析员花费数小时进行分流和整理。但通过 Attack Discovery，分析员可以立即专注于通过隔离这些账户并联系合法账户所有者来防止进一步欺诈。

现代欺诈检测的整体方法

在这篇博客中，我们展示了团队如何使用 Elastic 原生功能构建适合其特定需求的欺诈检测解决方案。检测规则有助于捕获重复的欺诈模式；异常检测作业根据实体的基线发现异常活动；Attack Discovery 使用 LLM 呈现协调活动，否则需要花费数小时手动拼凑。

欺诈一直是持续的威胁。随着 GenAI 的兴起，它变得更加复杂。这就是为什么公共部门组织使用 Elastic 的灵活数据平台来设计适应其独特环境和风险的解决方案。

如果你正在使用 Elastic Enterprise，你已经拥有所有这些功能的访问权限，只是使用它们的问题。Elasticsearch 不仅仅是一个 SIEM 、 EDR/XDR 、 APM 或搜索应用工具。它是一个广泛的数据和分析平台，可以解决多种数据挑战。

准备好开始使用 Elastic 的原生欺诈检测能力了吗？

了解 Elastic 如何通过灵活、可扩展的数据平台帮助你的组织检测、预防和响应欺诈。请立即联系公共部门团队。

来源：

1 美国政府问责办公室，“失业保险：疫情期间估计的欺诈金额可能在 1000 亿美元至 1350 亿美元之间”，2023。

本文中描述的任何功能或特性在发布时间和推出方面均由 Elastic 全权决定。当前不可用的任何功能或特性可能无法按时交付或完全不交付。

在本文中，我们可能使用或引用了第三方生成式 AI 工具，这些工具由其各自所有者拥有和运营。Elastic 无法控制这些第三方工具，对其内容、操作或使用不承担任何责任，也不对因使用这些工具可能产生的任何损失或损害负责。在使用人工智能工具处理个人、敏感或机密信息时请谨慎。你提交的任何数据可能会用于 AI 训练或其他用途。无法保证你提供的信息会被安全或保密。你应在使用前了解任何生成式 AI 工具的隐私实践和使用条款。

Elastic 、 Elasticsearch 及相关标志是 Elasticsearch B.V. 在美国和其他国家的商标、标识或注册商标。所有其他公司和产品名称是其各自所有者的商标、标识或注册商标。

原文：https://www.elastic.co/blog/building-fraud-detection-framework