ການກວດຈັບຄວາມຜິດປົກກະຕິ: ການຄົ້ນຫາການສໍ້ໂກງໃນແອັບຊຳລະເງິນຜ່ານມືຖື

ໂພສເມື່ອ 2025-03-26 # Machine Learning # Anomaly Detection # Cybersecurity # FinTech —

ການກວດຈັບຄວາມຜິດປົກກະຕິ: ການຄົ້ນຫາການສໍ້ໂກງໃນແອັບຊຳລະເງິນຜ່ານມືຖືດ້ວຍ Isolation Forest

ລອງນຶກພາບເຖິງການໃຊ້ຊີວິດປະຈຳວັນໃນນະຄອນຫຼວງວຽງຈັນປັດຈຸບັນ: ຕັ້ງແຕ່ການສະແກນ QR Code ເພື່ອຊື້ຕຳໝາກຫຸ່ງຢູ່ຕະຫຼາດກາງຄືນ, ການຈ່າຍຄ່າກາເຟຢູ່ຮ້ານຄາເຟ່, ໄປຈົນເຖິງການໂອນເງິນຊຳລະຄ່າສິນຄ້າໃຫ້ກັບທຸລະກິດ SMEs ຜ່ານແອັບທະນາຄານໃນມືຖື. ສັງຄົມໄຮ້ເງິນສົດ (Cashless Society) ໃນປະເທດລາວໄດ້ເຕີບໃຫຍ່ຂຶ້ນຢ່າງກ້າວກະໂດດ. ແຕ່ມາພ້ອມກັບຄວາມສະດວກສະບາຍ ນັ້ນກໍຄືໄພຄຸກຄາມທາງໄຊເບີ.

ເມື່ອມີປະລິມານທຸລະກຳຫຼາຍແສນລາຍການຕໍ່ມື້, ລະບົບ Rule-based ດັ້ງເດີມ (ເຊັ່ນ: ການຕັ້ງກົດວ່າ “ຫ້າມໂອນເກີນ 10 ລ້ານກີບຫຼັງທ່ຽງຄືນ”) ບໍ່ສາມາດຮັບມືກັບການສໍ້ໂກງທີ່ມີຄວາມຊັບຊ້ອນໄດ້ອີກຕໍ່ໄປ. ໃນບົດຄວາມນີ້ສຳລັບນັກພັດທະນາ ແລະ ວິສະວະກອນຂໍ້ມູນ (Data Engineers), ເຮົາຈະມາລົງເລິກທາງດ້ານເຕັກນິກຂອງການເຮັດ Anomaly Detection ຫຼື ການກວດຈັບຄວາມຜິດປົກກະຕິ ໂດຍນຳໃຊ້ອັນກໍຣິທຶມ Isolation Forest ເພື່ອປົກປ້ອງແອັບຊຳລະເງິນຜ່ານມືຖືໃຫ້ປອດໄພ.

ທຳຄວາມເຂົ້າໃຈກັບສະຖາປັດຕະຍະກຳຂອງ Isolation Forest

ໃນໂລກຂອງການກວດຈັບການສໍ້ໂກງ (Fraud Detection), ບັນຫາຫຼັກທີ່ເຮົາພົບຄື Imbalanced Dataset. ຂໍ້ມູນການສໍ້ໂກງມັກຈະມີໜ້ອຍກວ່າ 0.01% ຂອງທຸລະກຳທັງໝົດ. ອັນກໍຣິທຶມແບບ Classification ທົ່ວໄປເຊັ່ນ Logistic Regression ຫຼື SVM ມັກຈະເຮັດວຽກໄດ້ບໍ່ດີຍ້ອນຂໍ້ມູນບໍ່ສົມດຸນກັນ.

ທີ່ນີ້ Isolation Forest (ພັດທະນາໂດຍ Liu et al., 2008) ຈຶ່ງເຂົ້າມາມີບົດບາດ. ມັນເປັນອັນກໍຣິທຶມແບບ Unsupervised Learning ທີ່ບໍ່ໄດ້ພະຍາຍາມຮຽນຮູ້ວ່າ “ຂໍ້ມູນປົກກະຕິເປັນແນວໃດ” ແຕ່ມັນເນັ້ນໄປທີ່ການ “ແຍກ (Isolate)” ຂໍ້ມູນທີ່ຜິດປົກກະຕິອອກມາ.

ຫຼັກການທາງຄະນິດສາດ ແລະ ການແຍກຂໍ້ມູນ (Mathematical Intuition)

Isolation Forest ເຮັດວຽກໂດຍການສ້າງຕົ້ນໄມ້ຕັດສິນໃຈ (Decision Trees) ແບບສຸ່ມ (Random). ເນື່ອງຈາກທຸລະກຳທີ່ຜິດປົກກະຕິມີລັກສະນະ “ແຕກຕ່າງ” ແລະ “ມີຈຳນວນໜ້ອຍ”, ມັນຈຶ່ງຖືກແຍກອອກໄດ້ໄວກວ່າ (ຢູ່ໃກ້ກັບ Root node ຂອງຕົ້ນໄມ້).

ຄ່າຄວາມຜິດປົກກະຕິ (Anomaly Score) $s(x, n)$ ຄິດໄລ່ໄດ້ຈາກສູດ:

$s(x, n) = 2^{-\frac{E(h(x))}{c(n)}}$

ໂດຍທີ່:

$h(x)$ ຄືຄວາມຍາວຂອງເສັ້ນທາງ (Path length) ທີ່ໃຊ້ໃນການແຍກຂໍ້ມູນ $x$ .
$E(h(x))$ ຄືຄ່າສະເລ່ຍຂອງ $h(x)$ ຈາກຫຼາຍໆຕົ້ນໄມ້ (Ensemble).
$c(n)$ ຄືຄ່າສະເລ່ຍຂອງ $h(x)$ ທີ່ເປັນໄປໄດ້ທັງໝົດສຳລັບຂໍ້ມູນຂະໜາດ $n$ .

ການແປຜົນ:

ຖ້າ $s \approx 1$ : ໝາຍຄວາມວ່າ $x$ ຖືກແຍກອອກໄດ້ງ່າຍຫຼາຍ, ເປັນໄປໄດ້ສູງວ່າເປັນ ທຸລະກຳສໍ້ໂກງ (Anomaly).
ຖ້າ $s \ll 0.5$ : ໝາຍຄວາມວ່າເປັນ ທຸລະກຳປົກກະຕິ (Normal).

ການອອກແບບ Features ສຳລັບແອັບ Payment (Feature Engineering)

ກ່ອນຈະຂຽນໂຄດ, ຂໍ້ມູນທຸລະກຳດິບ (Raw data) ຕ້ອງຖືກແປງເປັນ Features ທີ່ມີຄວາມໝາຍ. ສຳລັບແອັບຊຳລະເງິນໃນລາວ, ເຮົາຄວນພິຈາລະນາດັ່ງນີ້:

Velocity Features (ຄວາມຖີ່): ຈຳນວນທຸລະກຳພາຍໃນ 1 ຊົ່ວໂມງທີ່ຜ່ານມາ (ເຊັ່ນ: ການຍິງ QR ຈ່າຍເງິນຊ້ຳໆກັນຮ້ານດຽວ 5 ຖ້ຽວໃນ 1 ນາທີ).
Geographical Distance (ໄລຍະຫ່າງທາງພູມສາດ): ຖ້າ User A ຫາກໍ່ສະແກນຈ່າຍຄ່າອາຫານທີ່ຊຽງຄວນ (ນະຄອນຫຼວງວຽງຈັນ), ແຕ່ອີກ 5 ນາທີຕໍ່ມາມີການໂອນເງິນຈາກ Device ດຽວກັນແຕ່ IP ຢູ່ ປາກເຊ, ນີ້ຄືຄວາມຜິດປົກກະຕິທີ່ຊັດເຈນ.
Amount Ratio (ອັດຕາສ່ວນຈຳນວນເງິນ): ຈຳນວນເງິນທຸລະກຳປັດຈຸບັນ ທຽບກັບ ຄ່າສະເລ່ຍການໃຊ້ຈ່າຍຂອງຜູ້ໃຊ້ຄົນນັ້ນໃນ 30 ມື້ຜ່ານມາ (tx_amount / historical_avg_amount).

ການພັດທະນາໂມເດລດ້ວຍ Python ແລະ Scikit-Learn

ມາລອງເບິ່ງວິທີການສ້າງໂມເດລ Isolation Forest ເພື່ອກວດຈັບການສໍ້ໂກງ. ໃນຕົວຢ່າງນີ້ເຮົາຈະໃຊ້ Python ແລະ scikit-learn.

import numpy as np
import pandas as pd
from sklearn.ensemble import IsolationForest
from sklearn.preprocessing import StandardScaler

# 1. ຈຳລອງຂໍ້ມູນທຸລະກຳ (Mock Data: Amount, Distance_km, Time_from_last_tx_sec)
# ຂໍ້ມູນປົກກະຕິ: ໂອນເງິນຫຼັກໝື່ນ-ແສນກີບ, ໄລຍະທາງໃກ້ໆ, ເວລາຫ່າງກັນສົມຄວນ
normal_data = np.random.normal(loc=[50000, 2, 3600], scale=[20000, 1, 1800], size=(1000, 3))

# ຂໍ້ມູນສໍ້ໂກງ: ໂອນເງິນຈຳນວນຫຼາຍ (ຫຼັກລ້ານ), ໄລຍະທາງໄກຜິດປົກກະຕິພາຍໃນເວລາສັ້ນໆ (ເຊັ່ນ ວຽງຈັນ ຫາ ຫຼວງພະບາງ)
fraud_data = np.random.normal(loc=[5000000, 300, 60], scale=[500000, 50, 10], size=(20, 3))

# ລວມຂໍ້ມູນເຂົ້າກັນ
X = np.vstack([normal_data, fraud_data])
df = pd.DataFrame(X, columns=['tx_amount_lak', 'distance_from_last_tx_km', 'time_since_last_tx_sec'])

# 2. ເຮັດ Data Scaling ເພື່ອໃຫ້ Features ມີນ້ຳໜັກເທົ່າທຽມກັນ
scaler = StandardScaler()
X_scaled = scaler.fit_transform(df)

# 3. ສ້າງແລ້ວຝຶກສອນ (Train) ໂມເດລ Isolation Forest
# contamination = 0.02 ໝາຍເຖິງເຮົາຄາດວ່າຈະມີທຸລະກຳຜິດປົກກະຕິປະມານ 2%
iso_forest = IsolationForest(n_estimators=100, 
                             max_samples='auto', 
                             contamination=0.02, 
                             random_state=42)

# ເຮັດການ Train ໂມເດລ
iso_forest.fit(X_scaled)

# 4. ທຳນາຍຜົນ (Prediction)
# ຜົນອອກມາ 1 ຄືປົກກະຕິ (Normal), -1 ຄືຜິດປົກກະຕິ (Anomaly)
predictions = iso_forest.predict(X_scaled)

# ຄິດໄລ່ Anomaly Score
scores = iso_forest.decision_function(X_scaled)
df['anomaly_label'] = predictions
df['anomaly_score'] = scores

# ດຶງຂໍ້ມູນທີ່ຖືກກວດພົບວ່າເປັນການສໍ້ໂກງ
frauds_detected = df[df['anomaly_label'] == -1]
print(f"ກວດພົບທຸລະກຳໜ້າສົງໄສຈຳນວນ: {len(frauds_detected)} ລາຍການ")
print(frauds_detected.head())

ການປັບແຕ່ງ Hyperparameters ສຳລັບ Production

n_estimators: ຈຳນວນຕົ້ນໄມ້ທີ່ສ້າງ. ຄ່າເລີ່ມຕົ້ນ 100 ມັກຈະພຽງພໍ, ແຕ່ຖ້າຂໍ້ມູນມີຂະໜາດກວ້າງຫຼາຍອາດເພີ່ມເປັນ 200.
contamination: ສິ່ງນີ້ສຳຄັນຫຼາຍ. ການຕັ້ງຄ່າທີ່ສູງເກີນໄປຈະເຮັດໃຫ້ເກີດ False Positives ຫຼາຍ (ຜູ້ໃຊ້ຖືກບລັອກບັນຊີແບບຜິດພາດ ເຊິ່ງກະທົບຕໍ່ User Experience). ສຳລັບທະນາຄານ, ຄວນເລີ່ມຈຸດນ້ອຍໆເຊັ່ນ 0.001 ເຖິງ 0.01.

ການນຳໄປໃຊ້ງານຈິງໃນລະບົບ (Production Deployment & Optimization)

ການມີໂມເດລທີ່ດີເປັນພຽງຈຸດເລີ່ມຕົ້ນ. ສຳລັບລະບົບ Payment ທີ່ຕ້ອງຮັບມືກັບການໂອນເງິນພາຍໃນປະເທດ, Architecture ສາມາດອອກແບບໄດ້ດັ່ງນີ້:

Real-Time Streaming Queue: ເມື່ອມີທຸລະກຳເກີດຂຶ້ນ, ແອັບຈະສົ່ງ Event ໄປຫາ Message Broker (ເຊັ່ນ: Apache Kafka).
Inference API: ໃຊ້ FastAPI ຂຽນ API ຮັບຂໍ້ມູນຈາກ Kafka, ແລ້ວດຶງຂໍ້ມູນປະຫວັດດ່ວນຈາກ Redis (ເຊັ່ນ: ທີ່ຢູ່ຫຼ້າສຸດ) ເພື່ອຄິດໄລ່ Features.
Ultra-Low Latency: Isolation Forest ມີ Time Complexity ພຽງແຕ່ $O(n \log n)$ ເຊິ່ງໄວຫຼາຍສຳລັບຂັ້ນຕອນການ Prediction, ເຮັດໃຫ້ສາມາດຕັດສິນໃຈບລັອກການໂອນເງິນພາຍໃນເວລາລະດັບມິນລິວິນາທີ (milliseconds).

ການຈັດການກັບ Concept Drift ໃນບໍລິບົດຂອງລາວ

ພຶດຕິກຳທາງການເງິນປ່ຽນແປງໄດ້ສະເໝີ. ຕົວຢ່າງທີ່ເຫັນໄດ້ຊັດເຈນຄືຊ່ວງ ບຸນປີໃໝ່ລາວ. ປະລິມານການໂອນເງິນເພື່ອຊື້ເບຍ ຫຼື ຊື້ອາຫານ, ລວມເຖິງການໂອນເງິນໃຫ້ຍາດພີ່ນ້ອງຈະເພີ່ມຂຶ້ນຢ່າງຮຸນແຮງ. ໂມເດລທີ່ Train ມາໃນເດືອນປົກກະຕິ ອາດຈະແຈ້ງເຕືອນ (Alert) ທຸລະກຳເຫຼົ່ານີ້ວ່າເປັນການສໍ້ໂກງ (False Positives).

ວິທີແກ້ໄຂ: ທີມ Data Science ຕ້ອງໃຊ້ເຕັກນິກ Adaptive Thresholding ຫຼື Retrain Model ເລື້ອຍໆໂດຍນຳໃຊ້ຂໍ້ມູນລ່າສຸດແບບ Batch ປະຈຳອາທິດ ເພື່ອໃຫ້ໂມເດລເຂົ້າໃຈພຶດຕິກຳ (Pattern) ໃໝ່ໆຂອງສັງຄົມ.

ບັນທຶກສຳຄັນ (Key Takeaways)

Isolation Forest ເໝາະສົມທີ່ສຸດສຳລັບການກວດຈັບການສໍ້ໂກງ ເພາະມັນສາມາດເຮັດວຽກໄດ້ດີກັບຂໍ້ມູນທີ່ບໍ່ສົມດຸນ (Imbalanced data) ໂດຍອາໄສການແຍກຂໍ້ມູນທີ່ຕ່າງໝູ່ອອກມາ.
Feature Engineering ມີຄວາມສຳຄັນຫຼາຍກວ່າຕົວອັນກໍຣິທຶມ. ການນຳໃຊ້ຕົວແປທີ່ສະທ້ອນຊີວິດຈິງເຊັ່ນ ໄລຍະທາງພູມສາດ ຫຼື ອັດຕາການເຕີບໂຕຂອງຈຳນວນເງິນຊ່ວຍເພີ່ມຄວາມຊັດເຈນໄດ້ຫຼາຍ.
Contextualize in Production: ຕ້ອງກຽມພ້ອມຮັບມືກັບພຶດຕິກຳການໃຊ້ຈ່າຍທີ່ປ່ຽນແປງໃນຊ່ວງເທດສະການສຳຄັນຂອງລາວ ເພື່ອຫຼຸດຜ່ອນການລົບກວນປະສົບການການນຳໃຊ້ຂອງລູກຄ້າ.

ສະຫຼຸບແລ້ວ, ການພັດທະນາລະບົບຊຳລະເງິນທີ່ປອດໄພບົນພື້ນຖານຂອງ Machine Learning ບໍ່ພຽງແຕ່ເປັນການນຳໃຊ້ເຄື່ອງມືທີ່ທັນສະໄໝເທົ່ານັ້ນ, ແຕ່ຍັງຮຽກຮ້ອງໃຫ້ຜູ້ພັດທະນາເຂົ້າໃຈຢ່າງເລິກເຊິ່ງເຖິງສະພາບການ ແລະ ພຶດຕິກຳການໃຊ້ຊີວິດຂອງຜູ້ຄົນໃນສັງຄົມລາວ. ດ້ວຍການລວມຕົວຂອງ Isolation Forest ແລະ ການອອກແບບນຳໃຊ້ງານທີ່ແໜ້ນໜາ, ສະຖາບັນການເງິນ ແລະ ບໍລິສັດ FinTech ໃນລາວຈະສາມາດກ້າວໄປສູ່ຍຸກດິຈິຕອນໄດ້ຢ່າງໝັ້ນໃຈ ແລະ ປອດໄພຍິ່ງຂຶ້ນ.