CN106033515A - 欺诈事件的识别方法和装置 - Google Patents

Abstract

本申请提出一种欺诈事件的识别方法和装置，其中，该欺诈事件的识别方法，包括以下步骤：根据预设特征集合判断待识别欺诈事件是否属于预设类型；如果所述待识别欺诈事件不属于所述预设类型，则提取所述待识别欺诈事件的特征向量；根据所述特征向量对所述待识别欺诈事件进行判别分析，以判断所述待识别欺诈事件是否为个人欺诈事件。本申请的欺诈事件的识别方法，简化了欺诈事件的识别过程，使欺诈事件的识别更加智能、有效，并且提高了欺诈事件的识别效率。

Description

欺诈事件的识别方法和装置

技术领域

本申请涉及互联网技术领域，特别涉及欺诈事件的识别方法和装置。

背景技术

随着互联网技术的发展，网络支付安全问题也逐渐增多，给支付公司以及个人用户带来不同程度的资金或其他损失。目前，互联网支付风险事件主要有盗用事件和欺诈事件两种。其中，欺诈事件可分别个人欺诈、商户欺诈、木马和钓鱼等。

个人欺诈泛指用户通过支付公司站内渠道(支付产品)支付被骗，产生的资金损失事件。商户欺诈是指支付公司合作签约商户诱导买家确认收货、支付宝即时到账交易中出现的收款不发货、卖家虚假发货等情况。钓鱼欺诈是指攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。“木马”是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。一般木马可分为篡改渲染支付页面和远程控制电脑两种。

上述4种欺诈事件类型中，钓鱼欺诈、木马欺诈以及商户欺诈都具有比较强的特征，例如，钓鱼欺诈场景一般包含伪装的链接，木马欺诈场景有接收可疑文件、安装程序、.exe文件、下载等行为特征，商户欺诈中操作对象一般是商品卖家，因此，这三类欺诈事件可根据相应的特征进行识别。但是对于个人欺诈事件来说，对其判断识别主观性较强。而目前互联网上个人欺诈事件的比率占绝大多数，因此个人欺诈已成为网络欺诈的重点关注和打击的对象。

现阶段的对个人欺诈事件进行识别的技术手段不甚成熟，其中一种方法主要通过人工方法，如基于专家经验，即通过一些经验丰富的风险专员进行专项处理，但是耗时巨大，效率不高。另一种方法是基于一些规则逻辑进行策略判别。例如，是否购买高危物品，是否购买人属于黑名单成员。但是，这种策略设计往往越来越笨重，而且策略的准确率会快速恶化，导致策略快速失效。

综上所述，亟需一种有效的、智能的方法对网络欺诈事件进行有效的识别。

发明内容

本申请旨在至少在一定程度上解决上述技术问题。

为此，本申请的第一个目的在于提出一种欺诈事件的识别方法，简化了欺诈事件的识别过程，使欺诈事件的识别更加智能、有效，并且提高了欺诈事件的识别效率。

本申请的第二个目的在于提出一种欺诈事件的识别装置。

为达上述目的，根据本申请第一方面实施例提出了一种欺诈事件的识别方法，包括以下步骤：根据预设特征集合判断待识别欺诈事件是否属于预设类型；如果所述待识别欺诈事件不属于所述预设类型，则提取所述待识别欺诈事件的特征向量；根据所述特征向量对所述待识别欺诈事件进行判别分析，以判断所述待识别欺诈事件是否为个人欺诈事件。

本申请实施例的欺诈事件的识别方法，可根据预设特征集合对属于预设类型(如钓鱼欺诈事件、木马欺诈事件和商户欺诈事件等)的待识别欺诈事件进行识别和过滤，并将过滤后未识别出的待识别欺诈事件进一步通过提取其特征向量，并根据该特征向量判断待识别欺诈事件是否为个人欺诈事件，从而简化了欺诈事件的识别过程，使欺诈事件的识别更加智能、有效，并且提高了欺诈事件的识别效率。

本申请第二方面实施例提供了一种欺诈事件的识别装置，包括：判断模块，用于根据预设特征集合判断待识别欺诈事件是否属于预设类型；提取模块，用于当所述判断模块判断所述待识别欺诈事件不属于所述预设类型时，提取所述待识别欺诈事件的特征向量；分析模块，用于根据所述特征向量对所述待识别欺诈事件进行判别分析，以判断所述待识别欺诈事件是否为个人欺诈事件。

本申请实施例的欺诈事件的识别装置，可根据预设特征集合对属于预设类型(如钓鱼欺诈事件、木马欺诈事件和商户欺诈事件等)的待识别欺诈事件进行识别和过滤，并将过滤后未识别出的待识别欺诈事件进一步通过提取其特征向量，并根据该特征向量判断待识别欺诈事件是否为个人欺诈事件，从而简化了欺诈事件的识别过程，使欺诈事件的识别更加智能、有效，并且提高了欺诈事件的识别效率。

本申请的附加方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本申请的实践了解到。

附图说明

本申请的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：

图1为根据本申请一个实施例的欺诈事件的识别方法的流程图；

图2为根据本申请一个实施例的根据预设特征集合判断待识别欺诈事件是否属于预设类型的示意图；

图3为根据本申请一个实施例的个人欺诈事件的特征变量的示意图；

图4为根据本申请一个实施例的训练Fisher判别向量的流程图；

图5为根据本申请一个实施例的欺诈事件的识别装置的结构示意图；

图6为根据本申请另一个实施例的欺诈事件的识别装置的结构示意图；

图7为根据本申请一个具体实施例的欺诈事件的识别装置的结构示意图。

具体实施方式

下面详细描述本申请的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本申请，而不能理解为对本申请的限制。

在本申请的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本申请和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本申请的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本申请的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本申请中的具体含义。

下面参考附图描述根据本申请实施例的欺诈事件的识别方法和装置。

图1为根据本申请一个实施例的欺诈事件的识别方法的流程图。

如图1所示，根据本申请实施例的欺诈事件的识别方法，包括以下步骤。

S101，根据预设特征集合判断待识别欺诈事件是否属于预设类型。

在本申请的实施例中，预设类型可为多种，例如，可包括商户欺诈事件、钓鱼欺诈事件和木马欺诈事件等。

预设特征集合可包括与不同的预设类型分别对应的特征子集。不同于具有复杂性和多变性的个人欺诈事件，预设类型的欺诈事件具有比较明显的特征，例如，钓鱼欺诈方式一般包含伪装的链接以使用户点击，木马欺诈方式一般有接收过可疑文件、压缩包、视频、安装.exe文件等行为，商户欺诈场景中操作对象一般是商品卖家等。因此可预先针对具有明显特征的不同类型的欺诈事件分别建立相应的特征子集，得到预设特征集合。

具体地，在本申请的一个实施例中，预设特征集合可包括第一特征子集、第二特征子集和第三特征子集。根据预设特征集合判断待识别欺诈事件是否属于预设类型具体包括：

判断待识别欺诈事件是否具有第一特征子集中的特征；

如果具有第一特征子集中的特征，则判断待识别欺诈事件为第一预设类型；

如果不具有第一特征子集中的特征，则进一步判断待识别欺诈事件是否具有第二特征子集中的特征；

如果具有第二特征子集中的特征，则判断待识别欺诈事件为第二预设类型；

如果不具有第二特征子集中的特征，则进一步判断待识别欺诈事件是否具有第三特征子集中的特征；

如果具有第三特征子集中的特征，则判断待识别欺诈事件为第三预设类型。

在本申请的一个实施例中，第一特征子集可包括链接特征，第一预设类型为钓鱼欺诈事件；第二特征子集可包括木马特征(即接收过可疑文件、压缩包、视频、安装.exe文件等行为)，第二预设类型为木马欺诈事件；第三特征子集包括预设的操作用户标识特征(例如预设的操作用户标识为商品卖家标识等)，第三预设类型为商户欺诈事件。

图2为根据本申请一个实施例的根据预设特征集合判断待识别欺诈事件是否属于预设类型的示意图，如图2所示，对于待识别欺诈事件，可经过图2所示的判断过程，如果有点击链接的特征，则可判断待识别欺诈事件为钓鱼欺诈事件，否则排除是钓鱼欺诈事件的可能，并进一步判断是否有木马特征(即接收过可疑文件、压缩包、视频以及图2中所示的安装.exe文件等行为)。如果有木马特征，则判断待识别欺诈事件为木马欺诈事件，否则排除是木马欺诈事件，并进一步判断操作用户的标识是否商品卖家标识。如果是商品卖家标识，则判断待识别欺诈事件为商户欺诈，否则进行个人欺诈事件判断。由此可对钓鱼欺诈事件、木马欺诈事件和商户欺诈事件进行过滤或识别，并在判断属于预设类型时，输出识别出所属的相应的类型，如果不属于预设类型，则可进一步通过步骤S102和S103进行个人欺诈事件的判定和识别。

应当理解，在此仅以商户欺诈事件、钓鱼欺诈事件和木马欺诈事件三种具有比较明显的特征的欺诈事件类型进行示例性说明。在实际应用中也可根据其他具有明显特征的欺诈事件类型预先建立特征子集，以用于对该类型的欺诈事件进行识别。

S102，如果待识别欺诈事件不属于预设类型，则提取待识别欺诈事件的特征向量。

在本申请的一个实施例中，经过对预设类型的欺诈事件的识别和过滤之后，如果判断待识别欺诈事件不属于预设类型，则需要进一步判断待识别欺诈事件是否为个人欺诈事件。

首先需要提取待识别欺诈事件的特征向量。其中，特征向量是由事件的特征值组成的向量。在本申请的一个实施例中，提取待识别欺诈事件的特征向量具体包括：根据个人欺诈事件相关的特征变量提取待识别欺诈事件的特征描述；对待识别欺诈事件的特征描述进行数值化处理，以得到待识别欺诈事件的特征向量。

由于需要判断待识别欺诈事件是否为个人欺诈事件，因此，需要根据个人欺诈事件相关的特征变量提取待识别欺诈事件的特征向量。

如图3所示，个人欺诈事件的特征变量可分为三大类标签：账户信息，商品信息和资金流转信息。其中，每类标签包含一个或多个特征变量。账户信息标签主要包括账户注册情况，黑环境情况、批量注册账号情况以及买卖账号情况等；商品信息标签主要包括虚拟商品情况和高危商品情况等；资金流转信息标签主要包括收款前的异动、当笔交易状况以及收款后的转账行为等。

因此，可根据上述三大类标签中的9个特征变量提取待识别欺诈事件的特征描述，然后对特征描述进行数值化处理，以得到待识别欺诈事件的特征向量。举例来说，如果待欺诈事件的特征描述为“虚拟商品”，则对应的特征值为1，如果特征描述为“非虚拟商品”，则对应的特征值为0。如果待欺诈事件的特征描述为“收款后有转账行为”，则对应的特征值为1，如果特征描述为“收款后无转账行为”，则对应的特征值为0。以此类推将提取到的每个特征描述都数值化得到相应的特征值，从而可得到9维的特征向量。

S103，根据特征向量对待识别欺诈事件进行判别分析，以判断待识别欺诈事件是否为个人欺诈事件。

在本申请的一个实施例中，根据特征向量对待识别欺诈事件进行判别分析具体包括：计算预先训练的Fisher判别向量与特征向量的距离；如果距离大于预设距离，则判断待识别欺诈事件为个人欺诈事件；如果距离小于或等于预设距离，则判断待识别欺诈事件为非个人欺诈事件。

其中，Fisher判别向量为预先根据个人欺诈建模样本训练得到的。具体地，在本申请的一个实施例中，还可包括：根据个人欺诈建模对象训练Fisher判别向量，其中，为个人欺诈建模样本的特征向量矩阵，s为个人欺诈建模样本的样本分类数，m为每个样本的特征变量的数量，n为个人欺诈建模样本的数量，s、m、n均为正整数。

其中，个人欺诈建模样本可包括多个不同分类，例如，可分为个人欺诈样本和非个人欺诈样本两种，则s＝2。个人欺诈建模对象为根据个人欺诈建模样本中每个样本的特征向量组成的特征向量矩阵。m为每个样本的特征变量的数量，样本的特征向量可以根据个人欺诈事件的特征变量为标准进行提取，以图3所示的个人欺诈事件第的特征变量为例，m可为9，即对于每个样本的特征向量的提取图3所示的9种特征变量的特征值，以得到每个样本的9维特征向量。

更具体地，在本申请的一个实施例中，如图4所示，根据个人欺诈建模对象训练Fisher判别向量可具体包括以下步骤。

S1，计算个人欺诈建模对象中的每个样本分类的类内离散度矩阵S_w，并计算个人欺诈建模对象中各个样本分类的类间离散度矩阵S_b。

具体地，S_j为第j个样本分类的类内离散度矩阵。

其中，X_j为第j个样本分类的特征向量矩阵，x_i为X_j中第i个样本的特征向量，为第j个样本分类的平均特征向量。

x为个人欺诈建模对象中所有样本的平均特征向量。

其中， ${\stackrel{\‾}{x}}_j=\frac{1}{n_j}\underset{i=1}{\overset{n_j}{\mathrm{\Σ}}}{x}_i,x=\frac{1}{\underset{j=1}{\overset{s}{\mathrm{\Σ}}}{n}_j}\underset{j=1}{\overset{s}{\mathrm{\Σ}}}\underset{i=1}{\overset{n_j}{\mathrm{\Σ}}}{x}_i,$ n_j为第j个样本分类的样本容量。

S2，根据类内离散度矩阵S_w和类间离散度矩阵S_b构建Fisher判别分析的目标函数 $f=\underset{v\≠0}{\max }\frac{v^T{S}_{b}v}{v^T{S}_{w}v}.$

S3，对Fisher判别分析的目标函数进行求解以获得Fisher判别向量v。

也就是说，求解f最大时，向量v的取值即为Fisher判别向量。

由此，可计算Fisher判别向量与待识别欺诈事件的特征向量的距离，如果该距离大于预设距离，则待识别欺诈事件为个人欺诈事件；如果该距离小于或等于预设距离，则待识别欺诈事件为非个人欺诈事件。

本申请实施例的欺诈事件的识别方法，可根据预设特征集合对属于预设类型(如钓鱼欺诈事件、木马欺诈事件和商户欺诈事件等)的待识别欺诈事件进行识别和过滤，并将过滤后未识别出的待识别欺诈事件进一步通过提取其特征向量，并根据该特征向量判断待识别欺诈事件是否为个人欺诈事件，从而简化了欺诈事件的识别过程，使欺诈事件的识别更加智能、有效，并且提高了欺诈事件的识别效率。

为了实现上述实施例，本申请还提出一种欺诈事件的识别装置。

图5为根据本申请一个实施例的欺诈事件的识别装置的结构示意图。

如图5所示，根据本申请实施例的欺诈事件的识别装置，包括：判断模块10、提取模块20和分析模块30。

具体地，判断模块10用于根据预设特征集合判断待识别欺诈事件是否属于预设类型。

在本申请的实施例中，预设类型可为多种，例如，可包括商户欺诈事件、钓鱼欺诈事件和木马欺诈事件等。

预设特征集合可包括与不同的预设类型分别对应的特征子集。不同于具有复杂性和多变性的个人欺诈事件，预设类型的欺诈事件具有比较明显的特征，例如，钓鱼欺诈方式一般包含伪装的链接以使用户点击，木马欺诈方式一般有接收过可疑文件、压缩包、视频以及图2中所示的安装.exe文件等行为，商户欺诈场景中操作对象一般是商品卖家等。因此可预先针对具有明显特征的不同类型的欺诈事件分别建立相应的特征子集，得到预设特征集合。

更具体地，在本申请的一个实施例中，预设特征集合包括第一特征子集、第二特征子集和第三特征子集，判断模块10具体用于：

判断待识别欺诈事件是否具有第一特征子集中的特征；

如果具有第一特征子集中的特征，则判断待识别欺诈事件为第一预设类型；

如果不具有第一特征子集中的特征，则进一步判断待识别欺诈事件是否具有第二特征子集中的特征；

如果具有第二特征子集中的特征，则判断待识别欺诈事件为第二预设类型；

如果不具有第二特征子集中的特征，则进一步判断待识别欺诈事件是否具有第三特征子集中的特征；

如果具有第三特征子集中的特征，则判断待识别欺诈事件为第三预设类型。

在本申请的一个实施例中，第一特征子集可包括链接特征，第一预设类型为钓鱼欺诈事件；第二特征子集可包括木马特征(即接收过可疑文件、压缩包、视频、安装.exe文件等行为)，第二预设类型为木马欺诈事件；第三特征子集包括预设的操作用户标识特征(例如预设的操作用户标识为商品卖家标识等)，第三预设类型为商户欺诈事件。

图2为根据本申请一个实施例的根据预设特征集合判断待识别欺诈事件是否属于预设类型的示意图，如图2所示，对于待识别欺诈事件，可经过图2所示的判断过程，如果有点击链接的特征，则可判断待识别欺诈事件为钓鱼欺诈事件，否则排除是钓鱼欺诈事件的可能，并进一步判断是否有木马特征(即接收过可疑文件、压缩包、视频、安装.exe文件等行为)。如果有木马特征，则判断待识别欺诈事件为木马欺诈事件，否则排除是木马欺诈事件，并进一步判断操作用户的标识是否商品卖家标识。如果是商品卖家标识，则判断待识别欺诈事件为商户欺诈，否则进行个人欺诈事件判断。由此可对钓鱼欺诈事件、木马欺诈事件和商户欺诈事件进行过滤或识别，并在判断属于预设类型时，输出识别出所属的相应的类型，如果不属于预设类型，则可进一步通过提取模块20和分析模块30进行个人欺诈事件的判定和识别。

应当理解，在此仅以商户欺诈事件、钓鱼欺诈事件和木马欺诈事件三种具有比较明显的特征的欺诈事件类型进行示例性说明。在实际应用中也可根据其他具有明显特征的欺诈事件类型预先建立特征子集，以用于对该类型的欺诈事件进行识别。

提取模块20用于当判断模块判断待识别欺诈事件不属于预设类型时，提取待识别欺诈事件的特征向量。

在本申请的一个实施例中，经过对预设类型的欺诈事件的识别和过滤之后，如果判断待识别欺诈事件不属于预设类型，则需要进一步判断待识别欺诈事件是否为个人欺诈事件。

首先需要通过提取模块20提取待识别欺诈事件的特征向量。其中，特征向量是由事件的特征值组成的向量。在本申请的一个实施例中，提取模块20具体用于：根据个人欺诈事件相关的特征变量提取待识别欺诈事件的特征描述；对待识别欺诈事件的特征描述进行数值化处理，以得到待识别欺诈事件的特征向量。

由于需要判断待识别欺诈事件是否为个人欺诈事件，因此，提取模块20需要根据个人欺诈事件相关的特征变量提取待识别欺诈事件的特征向量。

如图3所示，个人欺诈事件的特征变量可分为三大类标签：账户信息，商品信息和资金流转信息。其中，每类标签包含一个或多个特征变量。账户信息标签主要包括账户注册情况，黑环境情况、批量注册账号情况以及买卖账号情况等；商品信息标签主要包括虚拟商品情况和高危商品情况等；资金流转信息标签主要包括收款前的异动、当笔交易状况以及收款后的转账行为等。

因此，提取模块20可根据上述三大类标签中的9个特征变量提取待识别欺诈事件的特征描述，然后对特征描述进行数值化处理，以得到待识别欺诈事件的特征向量。举例来说，如果待欺诈事件的特征描述为“虚拟商品”，则对应的特征值为1，如果特征描述为“非虚拟商品”，则对应的特征值为0。如果待欺诈事件的特征描述为“收款后有转账行为”，则对应的特征值为1，如果特征描述为“收款后无转账行为”，则对应的特征值为0。以此类推将提取到的每个特征描述都数值化得到相应的特征值，从而可得到9维的特征向量。

分析模块30用于根据特征向量对待识别欺诈事件进行判别分析，以判断待识别欺诈事件是否为个人欺诈事件。

在本申请的一个实施例中，分析模块30具体用于：计算预先训练的Fisher判别向量与特征向量的距离；如果距离大于预设距离，则判断待识别欺诈事件为个人欺诈事件；如果距离小于或等于预设距离，则判断待识别欺诈事件为非个人欺诈事件。

其中，Fisher判别向量为预先根据个人欺诈建模样本训练得到的。具体地，如图6所示，在本申请的一个实施例的欺诈事件的识别装置还可包括训练模块40。

更具体地，训练模块40用于根据个人欺诈建模对象训练Fisher判别向量，其中，为个人欺诈建模样本的特征向量矩阵，s为个人欺诈建模样本的样本分类数，m为每个样本的特征变量的数量，n为个人欺诈建模样本的数量，s、m、n均为正整数。

其中，个人欺诈建模样本可包括多个不同分类，例如，可分为个人欺诈样本和非个人欺诈样本两种，则s＝2。个人欺诈建模对象为根据个人欺诈建模样本中每个样本的特征向量组成的特征向量矩阵。m为每个样本的特征变量的数量，样本的特征向量可以根据个人欺诈事件的特征变量为标准进行提取，以图3所示的个人欺诈事件第的特征变量为例，m可为9，即对于每个样本的特征向量的提取图3所示的9种特征变量的特征值，以得到每个样本的9维特征向量。

更具体地，在本申请的一个实施例中，如图7所示，训练模块40可具体包括计算单元41、构建单元42和获得单元43。

其中，计算单元41用于计算个人欺诈建模对象中的每个样本分类的类内离散度矩阵S_w，并计算个人欺诈建模对象中各个样本分类的类间离散度矩阵S_b。

其中，S_j为第j个样本分类的类内离散度矩阵。

X_j为第j个样本分类的特征向量矩阵，x_i为X_j中第i个样本的特征向量，为第j个样本分类的平均特征向量。

x为个人欺诈建模对象中所有样本的平均特征向量。

其中， ${\stackrel{\‾}{x}}_j=\frac{1}{n_j}\underset{i=1}{\overset{n_j}{\mathrm{\Σ}}}{x}_i,x=\frac{1}{\underset{j=1}{\overset{s}{\mathrm{\Σ}}}{n}_j}\underset{j=1}{\overset{s}{\mathrm{\Σ}}}\underset{i=1}{\overset{n_j}{\mathrm{\Σ}}}{x}_i,$ n_j为第j个样本分类的样本容量。

构建单元42用于根据类内离散度矩阵S_w和类间离散度矩阵S_b构建Fisher判别分析的目标函数 $f=\underset{v\≠0}{\max }\frac{v^T{S}_{b}v}{v^T{S}_{w}v}.$

获得单元43用于对Fisher判别分析的目标函数进行求解以获得Fisher判别向量v。

也就是说，求解f最大时，向量v的取值即为Fisher判别向量。

由此，可计算Fisher判别向量与待识别欺诈事件的特征向量的距离，如果该距离大于预设距离，则待识别欺诈事件为个人欺诈事件；如果该距离小于或等于预设距离，则待识别欺诈事件为非个人欺诈事件。

本申请实施例的欺诈事件的识别装置，可根据预设特征集合对属于预设类型(如钓鱼欺诈事件、木马欺诈事件和商户欺诈事件等)的待识别欺诈事件进行识别和过滤，并将过滤后未识别出的待识别欺诈事件进一步通过提取其特征向量，并根据该特征向量判断待识别欺诈事件是否为个人欺诈事件，从而简化了欺诈事件的识别过程，使欺诈事件的识别更加智能、有效，并且提高了欺诈事件的识别效率。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本申请的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本申请的实施例所属技术领域的技术人员所理解。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本申请各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

尽管已经示出和描述了本申请的实施例，本领域的普通技术人员可以理解：在不脱离本申请的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本申请的范围由权利要求及其等同限定。

Claims (14)

1.一种欺诈事件的识别方法，其特征在于，包括以下步骤：

根据预设特征集合判断待识别欺诈事件是否属于预设类型；

如果所述待识别欺诈事件不属于所述预设类型，则提取所述待识别欺诈事件的特征向量；

根据所述特征向量对所述待识别欺诈事件进行判别分析，以判断所述待识别欺诈事件是否为个人欺诈事件。

2.如权利要求1所述的欺诈事件的识别方法，其特征在于，所述根据所述特征向量对所述待识别欺诈事件进行判别分析具体包括：

计算预先训练的Fisher判别向量与所述特征向量的距离；

如果所述距离大于预设距离，则判断所述待识别欺诈事件为个人欺诈事件；

如果所述距离小于或等于预设距离，则判断所述待识别欺诈事件为非个人欺诈事件。

3.如权利要求2所述的欺诈事件的识别方法，其特征在于，还包括：

根据个人欺诈建模对象训练所述Fisher判别向量，其中，为个人欺诈建模样本的特征向量矩阵，s为所述个人欺诈建模样本的样本分类数，m为每个样本的特征变量的数量，n为个人欺诈建模样本的数量，s、m、n均为正整数。

4.如权利要求3所述的欺诈事件的识别方法，其特征在于，所述根据个人欺诈建模对象训练所述Fisher判别向量具体包括：

计算所述个人欺诈建模对象中的每个样本分类的类内离散度矩阵S_w，并计算所述个人欺诈建模对象中各个样本分类的类间离散度矩阵S_b，其中，

$S_w=\underset{j=1}{\overset{s}{\mathrm{\Σ}}}{S}_j,$ S_j为第j个样本分类的类内离散度矩阵， $S_j=\underset{x_i\∈X_j}{\mathrm{\Σ}}(x_i-{\stackrel{\‾}{x}}_j){(x_i-{\stackrel{\‾}{x}}_j)}^T,$ X_j为第j个样本分类的特征向量矩阵，x_i为X_j中第i个样本的特征向量，为第j个样本分类的平均特征向量，

n_j为第j个样本分类的样本容量，x为所述个人欺诈建模对象中所有样本的平均特征向量；

根据所述类内离散度矩阵S_w和所述类间离散度矩阵S_b构建Fisher判别分析的目标函数 $f=\underset{v\≠0}{\max }\frac{v^T{S}_{b}v}{v^T{S}_{w}b};$

对所述Fisher判别分析的目标函数进行求解以获得所述Fisher判别向量v。

5.如权利要求1所述的欺诈事件的识别方法，其特征在于，所述预设特征集合包括第一特征子集、第二特征子集和第三特征子集，所述根据预设特征集合判断待识别欺诈事件是否属于预设类型具体包括：

判断所述待识别欺诈事件是否具有所述第一特征子集中的特征；

如果具有所述第一特征子集中的特征，则判断所述待识别欺诈事件为第一预设类型；

如果不具有所述第一特征子集中的特征，则进一步判断所述待识别欺诈事件是否具有所述第二特征子集中的特征；

如果具有所述第二特征子集中的特征，则判断所述待识别欺诈事件为第二预设类型；

如果不具有所述第二特征子集中的特征，则进一步判断所述待识别欺诈事件是否具有所述第三特征子集中的特征；

如果具有所述第三特征子集中的特征，则判断所述待识别欺诈事件为第三预设类型。

6.如权利要求5所述的欺诈事件的识别方法，其特征在于，其中，

所述第一特征子集包括链接特征，所述第一预设类型为钓鱼欺诈事件；

所述第二特征子集包括木马特征，所述第二预设类型为木马欺诈事件；

所述第三特征子集包括预设的操作用户标识特征，所述第三预设类型为商户欺诈事件。

7.如权利要求1所述的欺诈事件的识别方法，其特征在于，所述提取所述待识别欺诈事件的特征向量具体包括：

根据个人欺诈事件相关的特征变量提取所述待识别欺诈事件的特征描述；

对所述待识别欺诈事件的特征描述进行数值化处理，以得到所述待识别欺诈事件的特征向量。

8.一种欺诈事件的识别装置，其特征在于，包括：

判断模块，用于根据预设特征集合判断待识别欺诈事件是否属于预设类型；

提取模块，用于当所述判断模块判断所述待识别欺诈事件不属于所述预设类型时，提取所述待识别欺诈事件的特征向量；

分析模块，用于根据所述特征向量对所述待识别欺诈事件进行判别分析，以判断所述待识别欺诈事件是否为个人欺诈事件。

9.如权利要求8所述的欺诈事件的识别装置，其特征在于，所述分析模块具体用于：

计算预先训练的Fisher判别向量与所述特征向量的距离；

如果所述距离大于预设距离，则判断所述待识别欺诈事件为个人欺诈事件；

如果所述距离小于或等于预设距离，则判断所述待识别欺诈事件为非个人欺诈事件。

10.如权利要求9所述的欺诈事件的识别装置，其特征在于，还包括：

训练模块，用于根据个人欺诈建模对象训练所述Fisher判别向量，其中，为个人欺诈建模样本的特征向量矩阵，s为所述个人欺诈建模样本的样本分类数，m为每个样本的特征变量的数量，n为个人欺诈建模样本的数量，s、m、n均为正整数。

11.如权利要求10所述的欺诈事件的识别装置，其特征在于，所述训练模块具体包括：

计算单元，用于计算所述个人欺诈建模对象中的每个样本分类的类内离散度矩阵S_w，并计算所述个人欺诈建模对象中各个样本分类的类间离散度矩阵S_b，其中，

$S_w=\underset{j=1}{\overset{s}{\mathrm{\Σ}}}{S}_j,$ S_j为第j个样本分类的类内离散度矩阵， $S_j=\underset{x_i\∈X_j}{\mathrm{\Σ}}(x_i-{\stackrel{\‾}{x}}_j){(x_i-{\stackrel{\‾}{x}}_j)}^T,$ X_j为第j个样本分类的特征向量矩阵，x_i为X_j中第i个样本的特征向量，为第j个样本分类的平均特征向量，

n_j为第j个样本分类的样本容量，x为所述个人欺诈建模对象中所有样本的平均特征向量；

构建单元，用于根据所述类内离散度矩阵S_w和所述类间离散度矩阵S_b构建Fisher判别分析的目标函数 $f=\underset{v\≠0}{\max }\frac{v^T{S}_{b}v}{v^T{S}_{w}b};$

获得单元，用于对所述Fisher判别分析的目标函数进行求解以获得所述Fisher判别向量v。

12.如权利要求8所述的欺诈事件的识别装置，其特征在于，所述预设特征集合包括第一特征子集、第二特征子集和第三特征子集，所述判断模块具体用于：

判断所述待识别欺诈事件是否具有所述第一特征子集中的特征；

如果具有所述第一特征子集中的特征，则判断所述待识别欺诈事件为第一预设类型；

如果不具有所述第一特征子集中的特征，则进一步判断所述待识别欺诈事件是否具有所述第二特征子集中的特征；

如果具有所述第二特征子集中的特征，则判断所述待识别欺诈事件为第二预设类型；

如果不具有所述第二特征子集中的特征，则进一步判断所述待识别欺诈事件是否具有所述第三特征子集中的特征；

如果具有所述第三特征子集中的特征，则判断所述待识别欺诈事件为第三预设类型。

13.如权利要求12所述的欺诈事件的识别装置，其特征在于，其中，

所述第一特征子集包括链接特征，所述第一预设类型为钓鱼欺诈事件；

所述第二特征子集包括木马特征，所述第二预设类型为木马欺诈事件；

所述第三特征子集包括预设用户标识特征，所述第三预设类型为商户欺诈事件。

14.如权利要求8所述的欺诈事件的识别装置，其特征在于，所述提取模块具体用于：

根据个人欺诈事件相关的特征变量提取所述待识别欺诈事件的特征描述；

对所述待识别欺诈事件的特征描述进行数值化处理，以得到所述待识别欺诈事件的特征向量。