2026-03-10 02:46:42 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档介绍NDSS2026提出的GAMER系统，解决欺诈者大范围特征篡改导致的检测失效问题。该系统利用因果分析与二人零和博弈构建随机特征选择策略，通过Completer与Selector双模型协作及假设检验机制，打破鲁棒性与准确性的对立，实现动态防御。实验表明，GAMER大幅提升攻击成本与检测精度，有效保障资产安全。 综合评分： 87 文章分类： AI安全,应用安全,解决方案

cover_image

深度博弈：当欺诈检测遇上博弈均衡，GAMER如何破解欺诈者的伪装

原创

赛博新经济赛博新经济

赛博新经济

2026年3月8日 20:52 北京

在金融科技与 AI 深度融合的今天，欺诈检测模型已成为守护资产安全的核心屏障。然而，当下的欺诈分子正变得前所未有的聪明：他们不再仅仅通过“撞运气”绕过规则，而是通过系统性地篡改特征（Feature Falsification）来让 AI 检测系统失灵。为了解决这个问题，研究人员设计了 GAMER 系统。该系统创新性地将反诈检测建模为二人零和博弈，通过求解博弈均衡构建了让对手无法预测的随机特征选择策略。更精妙的是，该系统通过双模型协作与假设检验机制，打破了“鲁棒性与准确性”不可兼得的底层逻辑，实现了鲁棒性和检测准确性的兼顾。本文将深度拆解这一创新架构，看它如何在对抗的硝烟中重塑 AI 对真相的感知。

该成果来源于《Robust Fraud Transaction Detection: A Two-Player Game Approach》，发表于网络安全顶会NDSS 2026。NDSS（ISOC Network and Distributed System Security Symposium）是中国计算机学会推荐的 A 类会议，聚焦于网络与分布式系统中的各类安全问题，与 IEEE S&P、USENIX Security、ACM CCS 并称网络安全领域四大顶会，近10年平均录用率约为 17%。

论文地址：https://www.ndss-symposium.org/ndss-paper/robust-fraud-transaction-detection-a-two-player-game-approach/

问题背景

在全球范围内，线上交易欺诈每年造成的经济损失高达数百亿美元。在这种背景下，为了应对日益复杂的欺诈手段，企业部署了基于深度学习等先进技术的 AI 检测系统。然而，需要关注的是：检测系统在进步，黑产也在“进化”。在学术界和工业界，现有的鲁棒性提升方法（如图像识别中的对抗样本）大多基于“小扰动”假设，即通过限制特征的 p 范数，让人类的眼睛看不出差别。但在欺诈检测场景下，由于涉及的特征多为时间、金钱等没有被限制在微小范围的特征（欺诈分子在篡改特征时，并不受“微小扰动”的限制，比如他们可以通过养号的方式将认证时间从 “1 天” 篡改为 “1000 天”，从而使得该账号发起的欺诈交易能够顺利通过基于模型的欺诈检测），这极大地增加了检测的不确定性，提升了检测系统防御特征篡改的难度。此外，欺诈交易中的特征篡改有一个显著特点，即篡改特征需要消耗成本（如前文所说的养号需要花费时间和精力去维护账号），这一特点鲜少为现有的防御方法所使用。基于以上两个特点，论文致力于利用欺诈者的特点（利益驱动）来应对高度不确定的检测环境，设计一种兼顾准确性和鲁棒性的欺诈检测系统。

为什么伪装（特征篡改）会导致检测失效？

论文从因果分析（Causal Analysis）的角度对欺诈检测系统的全生命周期进行了分析，建立了欺诈检测的因果模型并揭示了欺诈检测“失效”的因果链条。

如图所示，在正常的欺诈检测逻辑中，数据特征（X）是由欺诈意图（Y）驱动生成的。其内在的因果关系为：

模型通过观察“结果”（特征），反推导致特征产生的“原因”（即是否欺诈），并在训练中建立起二者之间的因果联系（如图中蓝色虚线代表的因果路径）。

然而，由于被分类为欺诈的交易会被系统拦截，并导致相应的处罚，欺诈者有很强的动力通过篡改交易特征将被分类为欺诈的交易伪装成正常交易，从而非法获利。此时，欺诈者通过篡改行为在模型预测结果与特征之间建立了如下因果关系：

然而，真实意图对产生的虚假特征仍然存在约束，它决定了欺诈交易的本质特征不能被篡改消除。因此，欺诈者在真实意图和预测意图之间建立了一种被称为“冲突”的因果结构（collider，如图中红色虚线所代表的因果路径）。

根据因果分析理论，如果欺诈者通过篡改交易特征使其落在训练数据无法覆盖的区域（此时训练数据中存在选择偏差），则图中的蓝色因果路径被断开，红色因果路径被打开，使得欺诈者在真实意图和预测意图之间建立起一种虚假关联，即

这就造成了欺诈检测系统的失效。

引入特征选择构造博弈，主动对抗特征篡改

在因果分析中，特征选择是用于克服选择偏差的经典方法，本文也采用特征选择来主动对抗欺诈者的特征篡改。也就是说，检测模型会主动选择未被篡改的特征进行检测，使得欺诈者消耗资源篡改的特征不会发挥作用，导致其空耗成本而没有任何收益。

这个过程中的关键问题是：选择哪些特征来进行检测？如果检测系统使用一组特定的特征，则欺诈者很容易发现规律并进行针对性破解。如图所示，为了解决这个关键问题，研究人员将检测系统的特征选择和欺诈者的特征篡改构造成二人博弈，借助博弈均衡解决特征选择问题，力图最大限度地选择不被篡改的鲁棒特征，降低欺诈活动的收益。

基于以上分析，研究者提出了 Game Selection 算法，该算法利用篡改的成本-收益知识在检测器和欺诈者之间构建博弈，并利用博弈的均衡设置特征选择策略。该选择策略不仅考虑了欺诈者所有可能的特征篡改策略，而且实现了欺诈者期望收益的最小化。此时，欺诈者篡改特征不仅面临成本消耗的影响，而且不确定欺诈检测模型是否会使用该特征。这种不确定性极大地提高了篡改门槛，使检测系统在理论上达到了鲁棒性的最优解。

最后，如图所示，为了保证检测阶段和训练阶段数据分布的一致性，文章将特征选择引入训练阶段，通过对训练数据进行概率性遮掩实现对输入特征的筛选，最终训练出 Selector 模型，实现博弈均衡下的欺诈检测。

GAMER 的双核结构

基于博弈的特征选择实现了对鲁棒特征的筛选和对欺诈者的威慑，但有时会放弃容易被篡改但对正常交易区分度很高的特征，这会导致正常交易的假阳性概率上升，即存在 “鲁棒性 – 准确性” 的权衡问题。

为了解决这一痛点，研究团队设计了 GAMER 检测系统。其核心思想是：“动态决策，分而治之”。

双核驱动架构。如图所示，GAMER 检测系统采用了双核驱动架构，即系统中存在两个模型——Completer 和 Selector，它们各自的功能如下：

Completer：利用所有特征进行训练和检测。它在处理没有经过篡改的正常交易时，具有极高的准确率。
Selector：在训练和检测中基于前述的博弈均衡进行特征选择。该模型专注于对抗环境，具有极强的鲁棒性。

基于假设检验的一致性判断。GAMER 根据不同交易的特点设计了一种动态决策机制——对于每一笔交易，系统会同时运行这两个模型：

一致性校验：如果 Completer 和 Selector 的输出高度一致，说明该交易没有明显的篡改特征，系统直接采信高精度的 Completer 结果。
冲突预警：当两者结果出现显著差异（例如 Completer 认为是良性，但 Selector 认为是欺诈），系统会触发基于假设检验的判别逻辑。通过分析特征分布的偏移，系统能够精准识别出这是一次“篡改”行为，并切换到鲁棒模式。

这样，GAMER 通过动态判断让不同的模型去检测它们最擅长的交易类型，达到了鲁棒性和准确性兼顾的目的。

如图所示，对于 GAMER 系统，有一个非常形象的比喻：当安保资源不足以覆盖所有保护对象时，策略制定者通常会采用巡逻策略来实现安保资源的最大化利用，GAMER 系统中的 Selector 模型就是一种“巡逻”策略；但是，巡逻存在间隙，会降低对固定入口的正常人群的判断准确率。此时在固定入口处加入固定岗哨策略，能显著增强对占比较大的正常人群的应对能力，Completer 模型就是这种固定策略模型。

实验结果

文章在公开的欺诈检测数据上进行了模拟实验。在模拟实验中，作者为每一个特征随机赋予了篡改成本，并进行多次实验，从而避免成本收益设置的偏差带来的影响。

如上图所示，GAMER 不论在面对理性欺诈者（知晓篡改成本，并进行针对性篡改）还是非理性欺诈者（不知晓篡改成本，目标是最大化篡改成功率）时，都取得了较大的性能提升。特别是在篡改成功率的单位成本上（即每提高 1% 的攻击成功率所付出的成本），GAMER 实现了较为显著的提升，平均将其提高了 150%，与借助博弈最大化篡改成本的理论思想相符合。

此外，文章还在来自蚂蚁的真实交易数据上进行了验证。这些数据来源于真实的企业交易，欺诈的标签则来源于交易是否被客户投诉以及专业的风控专家对交易进行的判断。可以看到，当平台存在大量的篡改交易时，GAMER 实现了较为显著的检测准确率提升，将两个月的平均检测 F1 score 提升了 67.5%，有效提升了欺诈检测系统应对未知风险的能力，保障了用户的资产安全。

总结

从“固定岗哨”检测到“固移结合”检测的进化，本质上是从模式识别到战略博弈的跨越。通过将因果分析与二人博弈相结合，GAMER 让 AI 检测具备了“战术思维”。它不再是被动等待攻击的靶子，而是一个能看穿篡改成本、灵活变阵的顶尖弈者。可以说，在金融安全的战场上，最强的武器不仅是筑起更高的墙，还要成为让对手永远看不透的智慧弈者。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：赛博新经济赛博新经济赛博新经济《深度博弈：当欺诈检测遇上博弈均衡，GAMER如何破解欺诈者的伪装》