FraudShield：融合ML、RAG与LLM的实时金融欺诈检测系统

一个为期三天黑客马拉松诞生的金融交易监控系统，通过Isolation Forest、RAG检索和Gemini大语言模型的三层架构，实现实时欺诈检测与可解释性分析。

• 原作者/维护者: mohammed-shaz9
• 来源平台: GitHub
• 原始标题: FraudShield-Institutional-Integrity-Core
• 原始链接: https://github.com/mohammed-shaz9/FraudShield-Institutional-Integrity-Core
• 发布时间: 2026年6月4日

---

金融欺诈检测一直是银行业和支付系统的核心挑战。传统的基于规则的系统难以应对日益复杂的欺诈手段，而纯机器学习模型又缺乏可解释性，让风控人员难以理解"为什么这笔交易被标记为欺诈"。FraudShield 项目诞生于一场为期三天的黑客马拉松，其目标不仅是检测欺诈，更是要构建一个能够理解上下文、提供清晰解释的智能系统。

FraudShield 的核心创新在于将三种不同的人工智能技术有机整合，形成一个端到端的实时检测流水线。

当交易数据（金额、时间、商户、类别、地理位置）进入后端 /api/analyze 端点时，首先由 Isolation Forest 模型进行初步筛选。该模型基于正常与欺诈行为的历史数据进行训练，输出一个0.00到1.00之间的风险评分。Isolation Forest 的优势在于能够高效处理高维数据，特别适合检测异常交易模式。

系统维护一个本地 FAISS 向量索引，包含20种已知的金融攻击者画像。当交易被标记为高风险时，RAG 模块会将交易参数与这些画像进行交叉比对，识别具体的攻击手法——例如"速度测试"（Velocity Testing）或"暗网凭证"（Dark Web Credentials）。这种检索增强的方式让系统不仅能说"这笔交易可疑"，还能指出"这符合某种已知攻击模式"。

Google Gemini 1.5 Flash 接收前两层的输出结果，结合检索到的攻击者画像上下文，生成高置信度的 JSON 结果。最终输出包括风险标签（FRAUD欺诈、REVIEW需审核、LEGIT正常）和建议操作。大语言模型的引入使得系统能够以自然语言形式提供清晰、可操作的解释。

检测结果持久化存储到 PostgreSQL 数据库，同时通过 WebSocket 即时推送到所有连接的 React 前端客户端。这种设计确保了风控人员能够在欺诈发生的第一时间收到警报，而不是等到批处理任务完成。