Monzo 基于 BigQuery 和微服务的实时欺诈检测架构

Monzo 是英国的一家数字银行。为了跟上日益复杂的诈骗行为和不断增长的支付量，他们重新设计了防欺诈平台。这个反应式系统旨在实时检测欺诈交易，快速部署新的控制措施，提供详细的性能监控，并尽可能降低热点支付路径的延迟。

Monzo 面临的欺诈检测挑战是欺诈的高度不平衡性，大约每万笔交易中只有 1 笔是欺诈性的。客户可能会因为遭到欺诈而损失足以改变人生的巨额资金，而欺诈者是大规模操作，快速适应，使得静态或更新缓慢的控制措施变得形同虚设。正如 Monzo 的博客所强调的那样，据英国金融业估计，仅在 2024 年，英国因欺诈造成的损失就高达 11.7 亿英镑。为了解决这个问题，Monzo 重新设计了他们的欺诈检测平台，重点关注四个优先事项：提升控制复杂性、快速部署新的控制措施、实现性能可观察性以及确保支付处理的超低延迟。

Monzo 欺诈平台团队高级后端工程师Sam Kesley指出：

为了捕获可疑活动，防欺诈平台需要不断部署控制措施。虽然这听起来简单，但快速变化的形势给这项工作带来了许多挑战。在设计系统之前，首先要理解关键问题，这至关重要。

根据 Monzo 团队的说法，每笔交易都通过一个结构化的四步流程来确保欺诈检测的准确性，同时又要保证实时交易的性能。首先，该系统确定了适用的控制措施，这要考虑交易背景、用户行为和风险评分。接下来，它从一个专用的微服务加载必要的特性，该微服务提供上下文数据，如最近的交易模式、账户历史和历史欺诈指标。第三，由 Engine 微服务执行控制措施，这些控制措施是使用Starlark编写的纯函数，允许在不影响实时交易的情况下，安全地测试和回测历史数据。最后，由 Action Applier 执行决策并应用安全措施，如速率限制，防止影响扩散。

Monzo 高级欺诈检测平台（图片来源：Monzo的博文）

Monzo 将控制措施重新组织为三种类型：检测器（Detector），用于标记可疑活动；动作控制（Action Control），用于推荐干预措施；动作选择控制（Action-Selection Control），用于将建议合并为最终决策。该系统的模块化设计降低了部署新控制措施的风险，并隔离了修改对支付流程的影响。

欺诈控制流程（图片来源：Monzo的博文）

特征计算由独立于控制执行的专用微服务进行处理，采用有向无环图（DAG）管道高效管理依赖关系，避免热点支付路径中的延迟。该平台支持三种特征处理模式：按需计算的即时特征、预先计算并缓存的近实时特征，以及周期性计算的批量特征。这种分离机制确保了低延迟响应，为控制模块提供了丰富的上下文数据，并简化了新欺诈规则在生产部署前的回测与模拟。

根据 Monzo 工程团队的说法，该平台的可观察性依赖于BigQuery，它存储每次控制执行的元数据，包括输入特征、决策和控制元数据。这使得团队能够衡量有效性，检测误报，并通过迭代完善控制措施。

声明：本文为 InfoQ 翻译，未经许可禁止转载。

原文链接：https://www.infoq.com/news/2025/11/monzo-real-time-fraud-detection/