洗钱是一个全球性问题,涉及严重重罪(每年1.7-4万亿欧元的收益,如毒品处理,人口贩运或腐败。金融机构部署的反洗钱系统通常包括与监管框架一致的规则。人类调查人员审查警报和报告可疑案件。这种系统患有高假阳性率,破坏其有效性并导致高运营成本。我们提出了一种机器学习分类模型,它补充了基于规则的系统,并学会准确地预测警报的风险。我们的模型使用实体的设计功能和属性以基于图形的特征的形式表征实体间关系。我们利用时间窗口来构建动态图形,优化时间和空间效率。我们在真实的银行数据集上验证我们的模型,并展示分流模型如何将误报的数量减少80%,同时检测到90%的真实阳性。通过这种方式,我们的模型可以显着改善反洗钱操作。
translated by 谷歌翻译
金融部门中区块链和分布式分类帐技术(DLT)的兴起产生了社会经济转变,引发了法律关注和监管计划。尽管DLT的匿名性可以保护隐私权,数据保护和其他公民自由的权利,但缺乏身份证明阻碍了问责制,调查和执法。最终的挑战范围扩展到打击洗钱以及恐怖主义和扩散的融资(AML/CFT)的规则。由于执法机构和分析公司已经开始成功地应用取证来跟踪区块链生态系统的货币,因此在本文中,我们着重于这些技术的不断增长的相关性。特别是,我们提供了有关机器学习,网络和交易图分析的货币互联网(IOM)应用程序的见解。在提供了IOM中匿名的概念以及AML/CFT和区块链取证之间的相互作用的一些背景之后,我们着重于导致实验的异常检测方法。也就是说,我们通过各种机器学习技术分析了一个现实世界中的比特币交易数据集。我们的说法是,AML/CFT域可以从机器学习中的新图形分析方法中受益。确实,我们的发现表明,图形卷积网络(GCN)和图形注意网络(GAT)神经网络类型代表了AML/CFT合规性的有希望的解决方案。
translated by 谷歌翻译
在线零售平台,积极检测交易风险至关重要,以提高客户体验,并尽量减少财务损失。在这项工作中,我们提出了一种可解释的欺诈行为预测框架,主要由探测器和解释器组成。 Xfraud探测器可以有效和有效地预测进货交易的合法性。具体地,它利用异构图形神经网络来从事务日志中的信息的非渗透键入实体中学习表达式表示。 Xfraud中的解释器可以从图表中生成有意义和人性化的解释,以便于业务部门中的进一步进程。在我们对具有高达11亿节点和37亿边缘的实际交易网络上的Xfraud实验中,XFraud能够在许多评估度量中倾销各种基线模型,同时在分布式设置中剩余可扩展。此外,我们表明,XFraud解释者可以通过定量和定性评估来显着帮助业务分析来产生合理的解释。
translated by 谷歌翻译
我们呈Anubis,一个基于高效的机器学习的APT检测系统。我们的Anubis设计哲学涉及两个主要成分。首先,我们打算通过网络响应团队有效利用Anubis。因此,预测解释性是Anubis设计的主要焦点之一。其次,Anubis使用系统来源图来捕获因果关系,从而实现高检测性能。在Anubis的预测能力的核心,有一个贝叶斯神经网络,可以说明它在预测中有多自信。我们评估Anubis对最近的APT数据集(DARPA OPTC),并显示Anubis可以检测到具有高精度的APT活动的恶意活动。此外,Anubis了解高级模式,允许它解释其对威胁分析师的预测。可解释的攻击故事重建的高预测性能使Anubis成为企业网络防御的有效工具。
translated by 谷歌翻译
机器学习(ML)代表了当前和未来信息系统的关键技术,许多域已经利用了ML的功能。但是,网络安全中ML的部署仍处于早期阶段,揭示了研究和实践之间的显着差异。这种差异在当前的最新目的中具有其根本原因,该原因不允许识别ML在网络安全中的作用。除非广泛的受众理解其利弊,否则ML的全部潜力将永远不会释放。本文是对ML在整个网络安全领域中的作用的首次尝试 - 对任何对此主题感兴趣的潜在读者。我们强调了ML在人类驱动的检测方法方面的优势,以及ML在网络安全方面可以解决的其他任务。此外,我们阐明了影响网络安全部署实际ML部署的各种固有问题。最后,我们介绍了各种利益相关者如何为网络安全中ML的未来发展做出贡献,这对于该领域的进一步进步至关重要。我们的贡献补充了两项实际案例研究,这些案例研究描述了ML作为对网络威胁的辩护的工业应用。
translated by 谷歌翻译
自动日志文件分析可以尽早发现相关事件,例如系统故障。特别是,自我学习的异常检测技术在日志数据中捕获模式,随后向系统操作员报告意外的日志事件事件,而无需提前提供或手动对异常情况进行建模。最近,已经提出了越来越多的方法来利用深度学习神经网络为此目的。与传统的机器学习技术相比,这些方法证明了出色的检测性能,并同时解决了不稳定数据格式的问题。但是,有许多不同的深度学习体系结构,并且编码由神经网络分析的原始和非结构化日志数据是不平凡的。因此,我们进行了系统的文献综述,概述了部署的模型,数据预处理机制,异常检测技术和评估。该调查没有定量比较现有方法,而是旨在帮助读者了解不同模型体系结构的相关方面,并强调未来工作的开放问题。
translated by 谷歌翻译
洗钱是一个深刻的全球问题。尽管如此,对该主题几乎没有统计和机器学习研究。在本文中,我们专注于银行的反洗钱。为了帮助组织现有研究,我们提出了统一术语,并对文献进行了审查。这围绕两个中央任务构成:(i)客户风险分析和(ii)可疑行为标记。我们发现客户风险分析的特点是诊断,即寻找和解释风险因素的努力。另一方面,可疑行为标记的特点是非披露的特征和手工制作的风险指标。最后,我们讨论未来研究的路线。一个主要挑战是缺乏公共数据集。这可能是由合成数据生成解决的。其他可能的研究方向包括半监督和深度学习,可解释性和结果的公平。
translated by 谷歌翻译
即使机器学习算法已经在数据科学中发挥了重要作用,但许多当前方法对输入数据提出了不现实的假设。由于不兼容的数据格式,或数据集中的异质,分层或完全缺少的数据片段,因此很难应用此类方法。作为解决方案,我们提出了一个用于样本表示,模型定义和培训的多功能,统一的框架,称为“ Hmill”。我们深入审查框架构建和扩展的机器学习的多个范围范式。从理论上讲,为HMILL的关键组件的设计合理,我们将通用近似定理的扩展显示到框架中实现的模型所实现的所有功能的集合。本文还包含有关我们实施中技术和绩效改进的详细讨论,该讨论将在MIT许可下发布供下载。该框架的主要资产是其灵活性,它可以通过相同的工具对不同的现实世界数据源进行建模。除了单独观察到每个对象的一组属性的标准设置外,我们解释了如何在框架中实现表示整个对象系统的图表中的消息推断。为了支持我们的主张,我们使用框架解决了网络安全域的三个不同问题。第一种用例涉及来自原始网络观察结果的IoT设备识别。在第二个问题中,我们研究了如何使用以有向图表示的操作系统的快照可以对恶意二进制文件进行分类。最后提供的示例是通过网络中实体之间建模域黑名单扩展的任务。在所有三个问题中,基于建议的框架的解决方案可实现与专业方法相当的性能。
translated by 谷歌翻译
内幕威胁是昂贵的,难以检测,不幸的是发生在发生。寻求改善检测此类威胁,我们开发了新颖的技术,使我们能够提取强大的特征,产生高质量的图像编码,以及增加攻击向量,以获得更大的分类功率。结合,它们形成计算机视觉用户和实体行为分析,一种从地上设计的检测系统,以提高学术界的进步,并减轻防止工业先进模型的问题。该拟议的系统击败了学术界和工业中使用的最先进方法。
translated by 谷歌翻译
横向移动是指威胁参与者最初访问网络的方法,然后逐步通过上述网络收集有关资产的关键数据,直到达到其攻击的最终目标。随着企业网络的复杂性和相互联系的性质的增加,横向移动侵入变得更加复杂,并且需要同样复杂的检测机制,以便在企业量表下实时实时地进行此类威胁。在本文中,作者提出了一种使用用户行为分析和机器学习的新颖,轻巧的方法,用于横向运动检测。具体而言,本文介绍了一种用于网络域特异性特征工程的新方法,该方法可以以每个用户为基础识别横向运动行为。此外,工程功能还被用于开发两个监督的机器学习模型,用于横向运动识别,这些模型在文献中显然超过了先前在文献中看到的模型,同时在具有高级失衡的数据集上保持了稳健的性能。本文介绍的模型和方法也已与安全操作员合作设计,以相关和可解释,以最大程度地发挥影响力并最大程度地减少作为网络威胁检测工具包的价值。本文的基本目标是为近实时的横向运动检测提供一种计算高效的,特定于域的方法,该检测对企业规模的数据量和类别不平衡是可解释且健壮的。
translated by 谷歌翻译
在许多研究中已经表明,考虑相关股票数据预测股票价格变动的重要性,但是,用于建模,嵌入和分析相互关联股票行为的先进图形技术尚未被广泛利用,以预测股票价格变动。该领域的主要挑战是找到一种建模任意股票之间现有关系的方法,并利用这种模型来改善这些股票的预测绩效。该领域中的大多数现有方法都取决于基本的图形分析技术,预测能力有限,并且缺乏通用性和灵活性。在本文中,我们介绍了一个名为GCNET的新颖框架,该框架将任意股票之间的关系建模为称为“影响网络”的图形结构,并使用一组基于历史的预测模型来推断出股票子集的合理初始标签图中的节点。最后,GCNET使用图形卷积网络算法来分析此部分标记的图形,并预测图中每个库存的下一个运动价格方向。 GCNET是一个一般预测框架,可以根据其历史数据来预测相互作用股票的价格波动。我们对纳斯达克指数一组股票的实验和评估表明,GCNET在准确性和MCC测量方面显着提高了SOTA的性能。
translated by 谷歌翻译
概念漂移过程挖掘(PM)是一种挑战,因为古典方法假设进程处于稳态,即事件共享相同的进程版本。我们对这些领域的交叉点进行了系统的文献综述,从而审查了过程采矿中的概念漂移,并提出了用于漂移检测和在线流程挖掘的现有技术的分类,以实现不断发展的环境。现有的作品描绘了(i)PM仍然主要关注离线分析,并且(ii)由于缺乏公共评估协议,数据集和指标,过程中的概念漂移技术的评估是麻烦的。
translated by 谷歌翻译
对于由硬件和软件组件组成的复杂分布式系统而言,异常检测是一个重要的问题。对此类系统的异常检测的要求和挑战的透彻理解对于系统的安全性至关重要,尤其是对于现实世界的部署。尽管有许多解决问题的研究领域和应用领域,但很少有人试图对这种系统进行深入研究。大多数异常检测技术是针对某些应用域的专门开发的,而其他检测技术则更为通用。在这项调查中,我们探讨了基于图的算法在复杂分布式异质系统中识别和减轻不同类型异常的重要潜力。我们的主要重点是在分布在复杂分布式系统上的异质计算设备上应用时,可深入了解图。这项研究分析,比较和对比该领域的最新研究文章。首先,我们描述了现实世界分布式系统的特征及其在复杂网络中的异常检测的特定挑战,例如数据和评估,异常的性质以及现实世界的要求。稍后,我们讨论了为什么可以在此类系统中利用图形以及使用图的好处。然后,我们将恰当地深入研究最先进的方法,并突出它们的优势和劣势。最后,我们评估和比较这些方法,并指出可能改进的领域。
translated by 谷歌翻译
对自然和人制过程的研究通常会导致长时间有序值的长序列,也就是时间序列(TS)。这样的过程通常由多个状态组成,例如机器的操作模式,使观测过程中的状态变化会导致测量值形状的分布变化。时间序列分割(TSS)试图发现TS事后的这种变化,以推断数据生成过程的变化。通常将TSS视为无监督的学习问题,目的是识别某些统计属性可区分的细分。 TSS的当前算法要求用户设置依赖域的超参数,对TS值分布进行假设或可检测更改的类型,以限制其适用性。常见的超参数是段均匀性和变更点的数量的度量,对于每个数据集,这尤其难以调节。我们提出了TSS的一种新颖,高度准确,无参数和域的无义方法的方法。扣子分层将TS分为两个部分。更改点是通过训练每个可能的拆分点的二进制TS分类器来确定的,并选择最能识别从任何一个分区的子序列的一个拆分。 CLASP使用两种新颖的定制算法从数据中学习了其主要的两个模型参数。在我们使用115个数据集的基准测试的实验评估中,我们表明,扣子优于准确性,并且可以快速且可扩展。此外,我们使用几个现实世界的案例研究强调了扣子的特性。
translated by 谷歌翻译
近年来,随着传感器和智能设备的广泛传播,物联网(IoT)系统的数据生成速度已大大增加。在物联网系统中,必须经常处理,转换和分析大量数据,以实现各种物联网服务和功能。机器学习(ML)方法已显示出其物联网数据分析的能力。但是,将ML模型应用于物联网数据分析任务仍然面临许多困难和挑战,特别是有效的模型选择,设计/调整和更新,这给经验丰富的数据科学家带来了巨大的需求。此外,物联网数据的动态性质可能引入概念漂移问题,从而导致模型性能降解。为了减少人类的努力,自动化机器学习(AUTOML)已成为一个流行的领域,旨在自动选择,构建,调整和更新机器学习模型,以在指定任务上实现最佳性能。在本文中,我们对Automl区域中模型选择,调整和更新过程中的现有方法进行了审查,以识别和总结将ML算法应用于IoT数据分析的每个步骤的最佳解决方案。为了证明我们的发现并帮助工业用户和研究人员更好地实施汽车方法,在这项工作中提出了将汽车应用于IoT异常检测问题的案例研究。最后,我们讨论并分类了该领域的挑战和研究方向。
translated by 谷歌翻译
垃圾邮件是困扰网络规模的数字平台的一个严重问题,可促进用户内容创建和分发。它损害了平台的完整性,推荐和搜索等服务的性能以及整体业务。垃圾邮件发送者从事各种与非垃圾邮件发送者不同的虐待和回避行为。用户的复杂行为可以通过富含节点和边缘属性的异质图很好地表示。学会在网络尺度平台的图表中识别垃圾邮件发送者,因为其结构上的复杂性和大小。在本文中,我们提出了塞纳河(使用相互作用网络检测垃圾邮件检测),这是一个新的图形框架上的垃圾邮件检测模型。我们的图形同时捕获了丰富的用户的详细信息和行为,并可以在十亿个尺度的图表上学习。我们的模型考虑了邻域以及边缘类型和属性,从而使其可以捕获广泛的垃圾邮件发送者。塞纳河(Seine)经过数千万节点和数十亿个边缘的真实数据集的培训,获得了80%的召回率,并以1%的假阳性率获得了80%的召回率。塞纳河(Seine)在公共数据集上的最先进技术实现了可比的性能,同时务实可用于大规模生产系统。
translated by 谷歌翻译
台湾对全球碎片流的敏感性和死亡人数最高。台湾现有的碎屑流警告系统,该系统使用降雨量的时间加权度量,当该措施超过预定义的阈值时,会导致警报。但是,该系统会产生许多错误的警报,并错过了实际碎屑流的很大一部分。为了改善该系统,我们实施了五个机器学习模型,以输入历史降雨数据并预测是否会在选定的时间内发生碎屑流。我们发现,随机的森林模型在五个模型中表现最好,并优于台湾现有系统。此外,我们确定了与碎屑流的发生密切相关的降雨轨迹,并探索了缺失碎屑流的风险与频繁的虚假警报之间的权衡。这些结果表明,仅在小时降雨数据中训练的机器学习模型的潜力可以挽救生命,同时减少虚假警报。
translated by 谷歌翻译
检测欺诈性交易是控制电子商务市场风险的重要组成部分。除了已经在生产中部署的基于规则和机器学习过滤器外,我们还希望使用图形神经网络(GNN)进行有效的实时推理,这对于在事务图中捕获多跃风风险传播非常有用。但是,在生产中实施GNN时出现了两个挑战。首先,在消息传递中不应考虑以预测过去中的动态图中的未来信息。其次,图形查询和GNN模型推断的延迟通常高达数百毫秒,这对于某些关键的在线服务来说是昂贵的。为了应对这些挑战,我们提出了一个批处理和实时的成立图拓扑(BRIGHT)框架,以进行端到端的GNN学习,以允许有效的在线实时推理。 Bright框架由图形转换模块(两阶段有向图)和相应的GNN体系结构(Lambda神经网络)组成。两阶段的指示图保证了通过邻居传递的信息仅来自历史支付交易。它分别由代表历史关系和实时链接的两个子图组成。 Lambda神经网络将推断分为两个阶段:实体嵌入的批次推断和交易预测的实时推断。我们的实验表明,在平均W.R.T.〜精确度中,BRIGHT优于基线模型> 2 \%。此外,BRIGHT在实时欺诈检测上在计算上是有效的。关于端到端性能(包括邻居查询和推理),BRIGHT可以将P99延迟降低> 75 \%。对于推理阶段,与传统GNN相比,我们的加速平均为7.8美元。
translated by 谷歌翻译
每年在美国犯下数十个恐怖袭击,往往会导致死亡和其他重大损害。在更好地理解和减轻这些攻击的结束时,我们展示了一组机器学习模型,用于从本地化的新闻数据中学习,以预测恐怖主义攻击是否将在给定的日历日期和给定状态上发生。最佳模型 - 一种随机森林,了解特征空间的新型可变长度移动平均表示 - 在接收器经营特征下实现的地区分数为$> .667美元,这是由恐怖主义影响最多的五个州的四个国家在2015年和2018年之间。我们的主要发现包括将恐怖主义建模为一系列独立事件,而不是作为一个持续的过程,是一种富有成果的方法 - 尤其是当事件稀疏和异常时。此外,我们的结果突出了对位置之间的差异的本地化模型的需求。从机器学习的角度来看,我们发现随机森林模型在我们的多模式,嘈杂和不平衡数据集上表现出几种深刻的模型,从而展示了我们的新颖特征表示方法在这种情况下的功效。我们还表明,其预测是对攻击之间的时间差距和观察到攻击特征的预测相对稳健。最后,我们分析了限制模型性能的因素,包括嘈杂的特征空间和少量可用数据。这些贡献为利用机器学习在美国及以后的恐怖主义努力中提供了重要的基础。
translated by 谷歌翻译
尽管机器学习方法已在金融领域广泛使用,但在非常成功的学位上,这些方法仍然可以根据解释性,可比性和可重复性来定制特定研究和不透明。这项研究的主要目的是通过提供一种通用方法来阐明这一领域,该方法是调查 - 不合Snostic且可解释给金融市场从业人员,从而提高了其效率,降低了进入的障碍,并提高了实验的可重复性。提出的方法在两个自动交易平台组件上展示。也就是说,价格水平,众所周知的交易模式和一种新颖的2步特征提取方法。该方法依赖于假设检验,该假设检验在其他社会和科学学科中广泛应用,以有效地评估除简单分类准确性之外的具体结果。提出的主要假设是为了评估所选的交易模式是否适合在机器学习设置中使用。在整个实验中,我们发现在机器学习设置中使用所考虑的交易模式仅由统计数据得到部分支持,从而导致效果尺寸微不足道(反弹7- $ 0.64 \ pm 1.02 $,反弹11 $ 0.38 \ pm 0.98 $,并且篮板15- $ 1.05 \ pm 1.16 $),但允许拒绝零假设。我们展示了美国期货市场工具上的通用方法,并提供了证据表明,通过这种方法,我们可以轻松获得除传统绩效和盈利度指标之外的信息指标。这项工作是最早将这种严格的统计支持方法应用于金融市场领域的工作之一,我们希望这可能是更多研究的跳板。
translated by 谷歌翻译