TwinShield: Kullanıcı Davranışlarını Takip Eden Canlı Dolandırıcılık Tespit Sistemi

Günümüzde finansal dolandırıcılıklar sadece şüpheli bir işlemle değil, kullanıcının tüm geçmişi ve alışkanlıklarıyla değerlendirildiğinde daha etkili bir şekilde tespit edilebiliyor. TwinShield, bu yaklaşımı benimseyerek her kullanıcı için dinamik bir profil oluşturan ve her yeni işlemi anında analiz eden bir sistem olarak öne çıkıyor. Geliştiriciler, kullanıcı davranışlarını taklit eden dijital ikizler sayesinde, olağanüstü durumları gerçek zamanlı olarak tanımlayabilen bir altyapı kurmuş durumda. Bu yenilikçi çözümün merkezinde ise MongoDB’nin esnek veri modeli ve Isolation Forest algoritması yer alıyor.

Kullanıcı Profilleri: Sürekli Öğrenen Dijital İkizler

TwinShield’in en önemli bileşeni, her kullanıcı için oluşturulan canlı dijital ikizler. Bu profiller, kullanıcının ortalama işlem miktarı, sık kullandığı cihazlar, işlem yaptığı coğrafi bölgeler ve risk puanını sürekli olarak güncelleyerek bir nevi kullanıcının dijital bir kopyasını oluşturuyor. Her yeni işlem geldiğinde, sistem bu profili otomatik olarak güncelliyor ve anında karşılaştırma yaparak şüpheli aktiviteleri tespit ediyor.

Bu yaklaşımın en büyük avantajı, sadece tek bir işlemin değil, kullanıcının tüm geçmişinin dikkate alınması. Örneğin, bir kullanıcının normalde 100 TL’lik işlemler yaptığını varsayarsak, 5.000 TL’lik ani bir işlem anında şüpheli olarak işaretleniyor. Sistem, bu karşılaştırmayı gerçek zamanlı olarak yaparken, kullanıcının profili de sürekli olarak güncelleniyor. Bu sayede, kullanıcı alışkanlıkları değiştiğinde sistem de aynı hızla adapte olabiliyor.

MongoDB’nin Gücü: Basitlik ve Performans

TwinShield’in veri modeli, sadece iki koleksiyondan oluşuyor: transactions ve user_profiles. Bu basitlik, sistemin performansını ve bakım kolaylığını önemli ölçüde artırıyor. Her işlem, tek bir belge olarak kaydedilirken, kullanıcı profili de sürekli olarak güncelleniyor. Bu yapı, geleneksel ilişkisel veri tabanlarında karşılaşılan karmaşık join işlemlerini ortadan kaldırıyor.

Özellikle typicalDevices ve typicalLocations gibi alanlar, MongoDB’nin esnek veri modeli sayesinde kullanıcının profiline doğrudan eklenebiliyor. Geleneksel veri tabanlarında bu tür veriler için ayrı tablolar oluşturmak ve join işlemleri yapmak gerekirken, MongoDB’de bu veriler doğrudan kullanıcının profil belgesine ekleniyor. Bu da sistemin her işlemde aynı belge üzerinde çalışmasını sağlıyor ve performansı ciddi ölçüde artırıyor.

Bunun yanı sıra, MongoDB’nin şema esnekliği de geliştirme sürecinde büyük kolaylık sağlıyor. Proje ilerledikçe eklenen yeni alanlar (örneğin peakAnomalyScore), herhangi bir veri tabanı migrasyonuna gerek kalmadan doğrudan eklenebiliyor. Bu esneklik, geliştirme sürecini hızlandırırken, sistemin gelecekteki ihtiyaçlara da kolayca adapte olmasını sağlıyor.

AI Motoru: Isolation Forest ile Anomali Tespiti

TwinShield’in kalbinde, Isolation Forest adlı makine öğrenmesi algoritması yer alıyor. Bu algoritma, veri setini rastgele parçalara böldüğünde, normal veri noktalarının aksine, anormal olanların daha hızlı izole edildiği prensibine dayanıyor. Fraud tespitinde bu yaklaşım oldukça etkili çünkü dolandırıcılık eylemleri genellikle kullanıcının normal davranış kalıplarından ciddi şekilde sapıyor.

Sistem, her işlem için altı adet özellik çıkarıyor ve bunları Isolation Forest’a girdi olarak veriyor:

• Kullanıcının ortalama işlem miktarı ile karşılaştırılan işlem tutarı
• Kullanıcının daha önce kullanmadığı bir cihazdan yapılan işlemler
• Kullanıcının normalde işlem yaptığı coğrafi bölgeden farklı bir konumdan yapılan işlemler
• İşlem yapılan saat diliminin olağanüstü olması
• Kullanıcının geçmişinde benzer bir işlem bulunmaması
• Kullanıcının risk puanındaki ani yükselişler

Bu özellikler, modelin her işlemi normal ya da anormal olarak sınıflandırmasını sağlıyor. Model, başlangıçta 600 sentetik normal işlem üzerinde eğitilerek temel bir anlayış kazanırken, gerçek verilerle sürekli olarak güncelleniyor. Risk puanları 0 ile 1 arasında normalleştiriliyor ve 0.65’in üzerindeki puanlar "ORTA", 0.80’in üzerindeki puanlar ise "YÜKSEK" risk olarak sınıflandırılıyor.

Yedekleme Stratejisi: Sistem Çökmesini Önlemek

Her sistemde olduğu gibi TwinShield’in de karşılaşabileceği en büyük risklerden biri, AI motorunun çökmesi. Geliştiriciler, bu durumu önlemek için Flask tabanlı AI hizmetini Spring Boot arka uçtan ayrı bir süreç olarak çalıştırıyor. AI hizmeti devre dışı kaldığında, sistem otomatik olarak bir Java tabanlı kural motoruna geçiş yapıyor.

Bu yedekleme sistemi, basit ama etkili bir şekilde çalışıyor:

• AI hizmeti devre dışı kaldığında, tüm işlemler otomatik olarak kural motoruna yönlendiriliyor.
• Kural motoru, kullanıcının normal davranış kalıplarına dayalı olarak basit karşılaştırmalar yapıyor.
• Bu sayede, sistem tamamen çökmek yerine, daha az sofistike olsa da çalışmaya devam ediyor.

Geliştiriciler, bu yaklaşımın sistemin güvenilirliğini artırdığını ve kullanıcı deneyimini kesintisiz hale getirdiğini vurguluyor. Hatta, bu yedekleme sistemi sayesinde sistemin %99.9 oranında çalışır durumda kalması sağlanıyor.

Simülasyon Motoru: Dolandırıcılık Senaryolarını Test Etmek

TwinShield’in en etkileyici özelliklerinden biri de simülasyon motoru. Bu özellik sayesinde geliştiriciler, gerçek saldırı senaryolarını saniyeler içinde simüle edebiliyor. Sistem, dört farklı saldırı türünü otomatik olarak test ediyor:

• Gece saatlerinde yapılan yüksek tutarlı işlemler
• Kullanıcının daha önce kullanmadığı bir cihazdan yapılan işlemler
• Kullanıcının normalde işlem yaptığı coğrafi bölgeden farklı bir konumdan yapılan işlemler
• Yukarıdaki üç sinyalin bir arada bulunduğu karmaşık saldırılar

Her simülasyon, gerçek bir işlem gibi sisteme giriyor ve AI motoru tarafından anında analiz ediliyor. Kullanıcı profili de bu işlemle birlikte güncelleniyor. Bu sayede, geliştiriciler sistemin performansını ve doğruluğunu gerçek dünya senaryolarına benzer şekilde test edebiliyor.

TwinShield, kullanıcı davranışlarını sürekli olarak izleyen ve anında tepki veren bir dolandırıcılık tespit sistemi olarak öne çıkıyor. MongoDB’nin esnek veri modeli ve Isolation Forest algoritmasının gücü sayesinde, sistem sadece geçmiş verileri değil, kullanıcının dinamik profilini de dikkate alarak daha doğru sonuçlar üretiyor. Gelecekte, bu tür sistemlerin finansal güvenlik alanında standart hale gelmesi kaçınılmaz görünüyor. TwinShield’in başarısı, teknolojinin kullanıcı odaklı çözümlerde nasıl kullanılabileceğine dair ilham verici bir örnek sunuyor.