CN109857779B - 查找欺诈账号的方法和装置,存储介质和电子设备 - Google Patents
查找欺诈账号的方法和装置,存储介质和电子设备 Download PDFInfo
- Publication number
- CN109857779B CN109857779B CN201910024628.8A CN201910024628A CN109857779B CN 109857779 B CN109857779 B CN 109857779B CN 201910024628 A CN201910024628 A CN 201910024628A CN 109857779 B CN109857779 B CN 109857779B
- Authority
- CN
- China
- Prior art keywords
- behavior
- sample
- pattern
- fraud
- account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本公开的目的是提供一种查找欺诈账号的方法和装置,存储介质和电子设备,以解决相关技术中挖掘风险账号效率较低的问题。所述方法包括:获取样本账号的样本行为集,所述样本行为集包括所述样本账号执行欺诈操作时的样本行为链中的行为步骤;根据所述样本行为集中的行为步骤生成欺诈行为模式;将行为链与所述欺诈行为模式相匹配的账号作为存在欺诈风险的目标账号。
Description
技术领域
本公开涉及数据处理领域,具体地,涉及一种查找欺诈账号的方法和装置,存储介质和电子设备。
背景技术
随着智能手机和移动互联网越来越多地渗入到人们生活的方方面面,手机支付也获得了爆发式地增长。人们通过手机购物、转账、扫码付费、还信用卡、订车票、话费充值等,变得日益普遍。手机支付带来更多便捷的同时,也面临着越来越多的安全风险。
近期出现线了团伙欺诈的案例。在团伙欺诈中,非法分子盗取用户的账号信息,并在登录账号后完成一系列支付操作,进而在支付操作完成套现操作,非法获利。等到账号的合法用户发现账号被盗,非法分子可能已经完成支付并套现的操作。
发明内容
本公开的目的是提供一种查找欺诈账号的方法和装置,存储介质和电子设备,以解决相关技术中挖掘风险账号效率较低的问题。
为了实现上述目的,第一方面,本公开提供一种查找欺诈账号的方法,所述方法包括:获取样本账号的样本行为集,所述样本行为集包括所述样本账号执行欺诈操作时的样本行为链中的行为步骤;根据所述样本行为集中的行为步骤生成欺诈行为模式;将行为链与所述欺诈行为模式相匹配的账号作为存在欺诈风险的目标账号。
可选的,根据所述样本行为集中的行为步骤生成欺诈行为模式,包括:排列组合所述样本行为集中的行为步骤生成多个行为模式;获取生成的每一所述行为模式的分值;确定所述分值符合预设分值条件的所述行为模式为所述欺诈行为模式。
可选的,所述排列组合所述样本行为集中的行为步骤生成多个行为模式,包括:获取已生成的第一行为模式,所述第一行为模式是由样本行为集中M个行为步骤排列组合成生成的,其中,M为小于样本行为集中样本行为步骤总数N的正整数;将所述样本行为集中除所述M个行为步骤以外的另一行为步骤插入所述第一行为模式的任一间隙位置,生成新的第二行为模式,其中,所述多个行为模式包括所述第二行为模式,所述任一间隙位置包括所述第一行为模式的首位行为步骤之前的位置、末位行为步骤之后的位置或者行为步骤之间的位置中的任一间隙位置。
可选的,生成的所述多个行为模式包括行为步骤数目相同的第三行为模式和第四行为模式,所述方法还包括:将所述第三行为模式和所述第四行为模式分别与所述样本行为链比对,获取样本行为链与所述第三行为模式匹配的第一样本账号序列,以及样本行为链与所述第四行为模式匹配的第二样本账号序列,其中,样本行为链与行为模式匹配是指样本行为链中存在与所述行为模式的行为步骤序列一致的行为步骤序列;将所述第三行为模式与所述第四行为模式中对应的行为步骤进行比对;若所述第一样本账号序列与所述第二样本账号序列一致,并且,所述第三行为模式中的每一行为步骤是所述第四行为模式中对应的行为步骤的细化表示,则在生成的多个行为模式中删除所述第三行为模式。
可选的,所述根据所述样本行为集中的行为步骤生成欺诈行为模式,包括:选取所述样本行为集中的任一行为步骤生成初阶行为模式;获取生成的每一所述初阶行为模式的分值;选取所述初阶行为模式中分值符合预设分值条件的行为模式作为初阶欺诈行为模式;将所述样本行为集中除所述初阶欺诈行为模式中包括的行为步骤以外的任一行为步骤,插入所述初阶欺诈行为模式生成下一阶的行为模式;每生成新的一阶行为模式,重复执行获取每一所述新的一阶行为模式的分值,并选取所述新的一阶行为模式中分值符合预设分值条件的行为模式作为新的一阶欺诈行为模式,并将所述样本行为集中除所述新的一阶欺诈行为模式中包括的行为步骤以外的任一行为步骤,插入所述新的一阶欺诈行为模式生成下一阶的行为模式的步骤,直至所述样本行为集中的行为步骤的个数与生成新的一阶行为模式中的行为步骤的个数相同;所述欺诈行为模式包括每一阶所述欺诈行为模式。
可选的,所述获取生成的每一所述行为模式的分值,包括:获取用于表征所述行为模式中的行为步骤的特征详细程度的第一分值;获取用于表征与所述样本行为链与所述行为模式匹配的样本账号的数目的第二分值,其中,样本行为链与行为模式匹配是指样本行为链中存在与行为模式的行为步骤序列一致的行为步骤序列;根据所述第一份值和所述第二分值,以及行为模式分值计算模型,确定所述行为模式的分值。
可选的,所述获取用于表征所述行为模式中的行为步骤的特征详细程度的第一分值,包括:提取行为步骤中的特征元素和行为元素,其中,所述特征元素是用于表示所述行为元素对应行为的执行特征;获取标定的所述特征元素的分值和所述行为元素的分值;根据所述行为步骤中特征元素的分值和行为元素的分值,以及预设的行为步骤分值的计算模型,确定所述第一分值。
可选的,所述特征元素包括所述行为步骤里的行为元素对应的行为的以下任意特征:行为执行时间、行为执行地域、行为执行方式、行为的执行时间与前一行为步骤的执行时间之间的时间差。
可选的,所述将行为链与所述欺诈行为模式相匹配的账号作为存在欺诈风险的目标账号,包括:判断所述待选账号的行为链中是否存在与所述欺诈行为模式的行为步骤序列一致的行为目标行为步骤序列;若所述待选账号的行为链中存在所述目标行为步骤序列,则确定所述待选账号为所述目标账号。
可选的,所述判断所述待选账号的行为链中是否存在与所述欺诈行为模式的行为步骤序列一致的行为目标行为步骤序列,包括:判断所述待选账号的行为链中是否存在与所述欺诈行为模式的行为步骤序列中每个行为步骤相同的初始行为步骤序列;若所述待选账号的行为链中存在所述初始行为步骤序列,则判断所述初始行为步骤序列的行为步骤之间的时间间隔是否满足预设时间间隔条件,其中,所述预设时间间隔条件包括所述初始行为步骤序列的相邻行为步骤之间的时间间隔,小于所述欺诈行为模式的中对应所述相邻行为步骤的行为步骤之间的时间间隔;若所述初始行为步骤序列的行为步骤之间的时间间隔满足预设时间间隔条件,则确定所述初始行为步骤序列为所述目标行为步骤序列。
可选的,在所述获取样本账号的样本行为集之前,所述方法还包括:获取执行欺诈操作的欺诈行为发生地信息;根据所述欺诈行为发生地信息,确定在目标区域执行所述欺诈操作的账号为所述样本账号。
第二方面,本公开提供一种查找欺诈账号的装置,所述装置包括:
获取模块,用于获取样本账号的样本行为集,所述样本行为集包括所述样本账号执行欺诈操作时的样本行为链中的行为步骤;
生成模块,用于根据所述样本行为集中的行为步骤生成欺诈行为模式;
查询模块,用于将行为链与所述欺诈行为模式相匹配的账号作为存在欺诈风险的目标账号。
可选的,所述生成模块,用于:排列组合所述样本行为集中的行为步骤生成多个行为模式;获取生成的每一所述行为模式的分值;确定所述分值符合预设分值条件的所述行为模式为所述欺诈行为模式。
可选的,所述生成模块,用于:获取已生成的第一行为模式,所述第一行为模式是由样本行为集中M个行为步骤排列组合成生成的,其中,M为小于样本行为集中样本行为步骤总数N的正整数;将所述样本行为集中除所述M个行为步骤以外的另一行为步骤插入所述第一行为模式的任一间隙位置,生成新的第二行为模式,其中,所述多个行为模式包括所述第二行为模式,所述任一间隙位置包括所述第一行为模式的首位行为步骤之前的位置、末位行为步骤之后的位置或者行为步骤之间的位置中的任一间隙位置。
可选的,生成的所述多个行为模式包括行为步骤数目相同的第三行为模式和第四行为模式,所述生成模块,用于:将所述第三行为模式和所述第四行为模式分别与所述样本行为链比对,获取样本行为链与所述第三行为模式匹配的第一样本账号序列,以及样本行为链与所述第四行为模式匹配的第二样本账号序列,其中,样本行为链与行为模式匹配是指样本行为链中存在与所述行为模式的行为步骤序列一致的行为步骤序列;将所述第三行为模式与所述第四行为模式中对应的行为步骤进行比对;若所述第一样本账号序列与所述第二样本账号序列一致,并且,所述第三行为模式中的每一行为步骤是所述第四行为模式中对应的行为步骤的细化表示,则在生成的多个行为模式中删除所述第三行为模式。
可选的,所述生成模块,用于:选取所述样本行为集中的任一行为步骤生成初阶行为模式;获取生成的每一所述初阶行为模式的分值;选取所述初阶行为模式中分值符合预设分值条件的行为模式作为初阶欺诈行为模式;将所述样本行为集中除所述初阶欺诈行为模式中包括的行为步骤以外的任一行为步骤,插入所述初阶欺诈行为模式生成下一阶的行为模式;每生成新的一阶行为模式,重复执行获取每一所述新的一阶行为模式的分值,并选取所述新的一阶行为模式中分值符合预设分值条件的行为模式作为新的一阶欺诈行为模式,并将所述样本行为集中除所述新的一阶欺诈行为模式中包括的行为步骤以外的任一行为步骤,插入所述新的一阶欺诈行为模式生成下一阶的行为模式的步骤,直至所述样本行为集中的行为步骤的个数与生成新的一阶行为模式中的行为步骤的个数相同;所述欺诈行为模式包括每一阶所述欺诈行为模式。
可选的,所述生成模块,用于:获取用于表征所述行为模式中的行为步骤的特征详细程度的第一分值;获取用于表征与所述样本行为链与所述行为模式匹配的样本账号的数目的第二分值,其中,样本行为链与行为模式匹配是指样本行为链中存在与行为模式的行为步骤序列一致的行为步骤序列;根据所述第一份值和所述第二分值,以及行为模式分值计算模型,确定所述行为模式的分值。
可选的,所述生成模块,用于:提取行为步骤中的特征元素和行为元素,其中,所述特征元素是用于表示所述行为元素对应行为的执行特征;获取标定的所述特征元素的分值和所述行为元素的分值;根据所述行为步骤中特征元素的分值和行为元素的分值,以及预设的行为步骤分值的计算模型,确定所述第一分值。
可选的,所述特征元素包括所述行为步骤里的行为元素对应的行为的以下任意特征:行为执行时间、行为执行地域、行为执行方式、行为的执行时间与前一行为步骤的执行时间之间的时间差。
可选的,所述查询模块,用于:判断所述待选账号的行为链中是否存在与所述欺诈行为模式的行为步骤序列一致的行为目标行为步骤序列;若所述待选账号的行为链中存在所述目标行为步骤序列,则确定所述待选账号为所述目标账号。
可选的,所述查询模块,用于:判断所述待选账号的行为链中是否存在与所述欺诈行为模式的行为步骤序列中每个行为步骤相同的初始行为步骤序列;若所述待选账号的行为链中存在所述初始行为步骤序列,则判断所述初始行为步骤序列的行为步骤之间的时间间隔是否满足预设时间间隔条件,其中,所述预设时间间隔条件包括所述初始行为步骤序列的相邻行为步骤之间的时间间隔,小于所述欺诈行为模式的中对应所述相邻行为步骤的行为步骤之间的时间间隔;若所述初始行为步骤序列的行为步骤之间的时间间隔满足预设时间间隔条件,则确定所述初始行为步骤序列为所述目标行为步骤序列。
可选的,所述获取模块还用于:在所述获取样本账号的样本行为集之前,获取执行欺诈操作的欺诈行为发生地信息;根据所述欺诈行为发生地信息,确定在目标区域执行所述欺诈操作的账号为所述样本账号。
第三方面,本公开提供一种计算机可读存储介质,其上存储有计算机程序,其该程序被处理器执行时实现任一项所述查找欺诈账号的方法的步骤。
第四方面,本公开提供一种电子设备,包括:存储器,其上存储有计算机程序;处理器,用于执行所述存储器中的所述计算机程序,以实现任一项所述查找欺诈账号的方法的步骤。
上述技术方案,至少能够达到以下技术效果:
通过获取包括样本账号执行欺诈操作时的样本行为链中的行为步骤的样本行为集,并根据所述样本行为集中的行为步骤生成欺诈行为模式;并在将行为链与所述欺诈行为模式相匹配的账号作为存在欺诈风险的目标账号。这样,能够更加高效的从待选账号中挖掘出符合欺诈行为模式的风险账号,减少反欺诈工作的工作量,保证反欺诈工作更加高效的执行,提升网络金融的安全性。
本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1是本公开一示例性实施例示出的一种查找欺诈账号的方法的流程图。
图2是本公开一示例性实施例示出的另一种查找欺诈账号的方法的流程图。
图3是本公开一示例性实施例示出的一种查找欺诈账号的装置的结构框图。
图4是本公开一示例性实施例示出的一种电子设备的结构框图。
图5是本公开一示例性实施例示出的另一种电子设备的结构框图。
具体实施方式
以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本公开,并不用于限制本公开。
相关技术中,由专家对欺诈案件的欺诈操作行为进行分析,并提取出其中的行为模式。再由人工根据该行为模式对有类似行为的账号进行筛查,执行效率较低,难以高效地通过用户的历史数据挖掘出符合欺诈行为模式的其他用户。
为了解决上述问题,本公开实施例提出一种查找欺诈账号的方法,如图1所示,所述方法包括:
S11,获取样本账号的样本行为集,所述样本行为集包括所述样本账号执行欺诈操作时的样本行为链中的行为步骤。
可选的,在所述获取样本账号的样本行为集之前,所述方法还包括:获取执行欺诈操作的欺诈行为发生地信息;根据所述欺诈行为发生地信息,确定在目标区域执行所述欺诈操作的账号为所述样本账号。
比如,以“行为发生地”为主键,统计在某地出现欺诈行为的欺诈账号个数。在具体实施时,如果在目标区域发生某行为的欺诈账号数超过2个,那可以认为以这个目标区域就很可能存在团伙欺诈,相应的,从这个目标区域相关的欺诈用户的涉案行为链中提取出相应的欺诈行为模式。
S12,根据所述样本行为集中的行为步骤生成欺诈行为模式。
在一种可选的实施方式中,可以从所述样本行为集中选取任意的行为步骤,并重新排列组合选中的所述样本行为集中的行为步骤,重新排列后的行为步骤构成所述欺诈行为模型。
在另一种可选的实施方式中,根据所述样本行为集中的行为步骤生成欺诈行为模式,包括:排列组合所述样本行为集中的行为步骤生成多个行为模式;获取每一所述行为模式的分值;确定所述分值符合预设分值条件的所述行为模式为所述欺诈行为模式。
具体的,每一个行为模式的分值,可以根据模式里每一行为步骤的详细程度进行评分,比如说,包括的行为步骤的执行特征越详细的行为模式分值越高;也可以根据专家的意见进行评分。这样,就可以根据实际的行为模式所要参与的任务来设定评分的侧重点,从而更加灵活的筛选出欺诈行为模式。
S13,将行为链与所述欺诈行为模式相匹配的账号作为存在欺诈风险的目标账号。
具体的,系统中可以包括多个待选账号,这些待选账号可以是系统中注册账号中随机抽查的账号,也可以是历史被举报的账号。在待选账号中查找行为链与所述欺诈行为模式相匹配的目标账号,以将所述目标账号作为存在欺诈风险的账号。
具体的,所述将行为链与所述欺诈行为模式相匹配的账号作为存在欺诈风险的目标账号,包括:判断所述待选账号的行为链中是否存在与所述欺诈行为模式的行为步骤序列一致的行为目标行为步骤序列;若所述待选账号的行为链中存在所述目标行为步骤序列,则确定所述待选账号为所述目标账号。
在支付欺诈的案件中,很多执行欺诈操作的账户在注册、登录、修改密码、支付等行为,以及行为发生的顺序、行为之间的时间间隔和行为的细节信息上有共同的模式,这一点在团伙欺诈案件中体现较为明显。例如,一种欺诈操作的行为链可以是“南宁语音登录->找回支付密码->五分钟内连续完成两笔话费直充交易”。类似的,符合这个欺诈操作的行为链的其他用户就可以认为是高危的风险用户。
进一步的,可以将这些存在欺诈风险的账号交由人工进行进一步的排查。
上述技术方案,至少能够达到以下技术效果:
通过获取包括样本账号执行欺诈操作时的样本行为链中的行为步骤的样本行为集,并根据所述样本行为集中的行为步骤生成欺诈行为模式;并在将行为链与所述欺诈行为模式相匹配的账号作为存在欺诈风险的目标账号。这样,能够更加高效的从待选账号中挖掘出符合欺诈行为模式的风险账号,减少反欺诈工作的工作量,保证反欺诈工作更加高效的执行,提升网络金融的安全性。
通过研究发现,欺诈操作的模式中主要有以下几个特点:
(1)模式由多个行为步骤组成,而且这些行为的前后顺序呈现出一定的规律。
(2)每一个行为步骤中,用于描述该步骤执行特征的特征元素本身的值是多粒度的。以“南宁语音登录”这一行为步骤为例,其中的特征元素为“南宁”和“语音”,行为元素为“登录”。重组特征元素之后,可以得到“登录”、“语音登录”、“南宁登录”、“南宁且语音登录”这四种不同粒度的表述。由此,可以得到的规则是,粒度越细对应的描述越准确;反之,粒度越粗对应的描述越泛化。
(3)行为步骤之间的时间间隔较小,也就是说,一般欺诈操作会出现在短时间内快速将欺诈行为模式中所有的行为步骤执行完的情况。
(4)在行为之间的时间间隔构成一定的模式,比如,先同5分钟内完成先“登录”后“支付”两个行为,可以被描述为[“登录”->“5分钟内支付”]。此外,由于“5分钟内”这一特征是包含在“1小时内”、“一天内”或者“7天内”这三个特征下的,因此,上述先后行为也可以被表示为[“登录”->“1小时内支付”]、[“登录”->“1天内支付”]、[“登录”->“7天内支付”]。由于“5分钟内”相比上述其他时间特征来说是一个粒度更细的概念,因此,[“登录”->“5分钟内支付”]也是一个粒度更细的描述。
下面,通过一另查找欺诈账号的方法的实施例做更为详尽的说明。
图2是本公开一示例性实施例示出的另一种查找欺诈账号的方法的流程图。所述方法包括:
S21,获取样本账号执行欺诈操作时的样本行为链。
具体的,可以通过用户上报的欺诈事件,标记出执行过欺诈操作的样本行为链。
值得说明的是,在用户丢失设备后的执行“账号找回->密码重置->开通快捷支付”这一行为链可能会与欺诈操作的行为链相似。但是,用户丢失设备后这一行为链是合法操作。因此,在这类欺诈事件中可以排除用户设备丢失类案件。具体的,可以通过设备信息是否变更,执行上述行为链的设备是否为授权设备等信息来排除用户设备丢失类案件。
在一种可选的实施方式中,上述样本账号可以是在同一地理位置区域执行过欺诈操作的样本账号,这样,更有利于挖掘出团伙作案的其他风险账号。具体实施时,可以获取执行欺诈操作的欺诈行为发生地信息;根据所述欺诈行为发生地信息,确定在目标区域执行所述欺诈操作的账号为所述样本账号。
比如,以“行为发生地”为主键,统计在某地出现欺诈行为的欺诈账号个数。在具体实施时,如果在目标区域发生某行为的欺诈账号数超过2个,那可以认为以这个目标区域就很可能存在团伙欺诈,相应的,从这个目标区域相关的欺诈用户的涉案行为链中提取出相应的欺诈行为模式。
样本账号执行欺诈操作时的样本行为链可以是按发生时间顺序排序的行为步骤。具体的,从样本行为链中,可以获取近期确认欺诈的用户ID获取与欺诈过程相关的行为步骤,以及行为步骤的执行特征。
示例的,如表1所示的是各行为步骤的执行特征采集表。具体的,这些行为步骤可是账号的登录、修改密码、找回密码和快捷支付行为步骤。
表1
S22,获取用于表征行为步骤的特征详细程度的第一分值。
具体的,提取行为步骤中的特征元素和行为元素,其中,所述特征元素是用于表示所述行为元素对应行为的执行特征;获取标定的所述特征元素的分值和所述行为元素的分值;根据所述行为步骤中特征元素的分值和行为元素的分值,以及预设的行为步骤分值的计算模型,确定所述第一分值。
其中,所述特征元素包括所述行为步骤里的行为元素对应的行为的以下任意特征:行为执行时间、行为执行地域、行为执行方式、行为的执行时间与前一行为步骤的执行时间之间的时间差。
对样本行为链的每一个行为步骤进特征元素和行为元素进行分解。也就是说,对行为步骤进行不同粒度的分解。粒度值一定程度上可以理解为对行为步骤详细程度的表示。分解后的内容可以包括多个维度,例如,行为元素,执行行为的方式,执行行为的间时等等。
进一步的,保存分解后各个维度中不同程度的包含关系。这里包含可以理解为集合上的包含。例如,A包含B,可以理解为B是A的一种,而A不一定是B,在粒度上B会细于A。如“登录”包含“语音登录”,因为“语音登录”是“登录”的一种细化表示,而“登录”不一定是“语音登录”。再比如“1小时内”包含“5分钟内”,因为“5分钟内”是“1小时内”的一种细化表示,而“1小时内”不一定是“5分钟内”。
对行为步骤本身进行多粒度分解,并保存各粒度表示之间的包含关系。其中,定义粒度值为行为步骤的粒度值越大,表示该行为步骤的描述越详细。
以“5分钟内南宁语音登录”这一行为步骤为例,对行为本身进行多粒度分解,分解后的各种不同详细程度的表示如表2所示。
表2
| 序号 | 表示 | 粒度值 |
| a | “登录” | 1 |
| b | “语音登录” | 2 |
| c | “南宁登录” | 2 |
| d | “南宁且语音登录” | 3 |
根据上述包含关系的规则,表2中包含关系为:a包含b、c、d;b包含d;c包含d。
对样本行为链中行为步骤与前一个行为步骤的时间间隔进行多粒度分解,并保存各粒度表示之间的包含关系。其中,定义粒度值为行为步骤的粒度值越大,表示该行为步骤的描述越详细。
以“5分钟内南宁语音登录”这一行为步骤为例,对上述时间间隔进行多粒度分解,分解后的各种不同详细程度的表示如表3所示。
表3
根据上述包含关系的规则,表3中包含关系为:包含关系为:c包含a、b;b包含a。
将行为步骤本身的多粒度表示和时间间隔的多粒度表示进行两两组合。以“5分钟内南宁语音登录”这一行为步骤为例,组合后就有4*3种表示。
计算组合后得到的行为步骤不同表示的粒度值。该粒度值综合考虑行为本身粒度和时间粒度,一种可选的综合方案是:最终粒度=MAX(行为本身粒度)*时间粒度+行为本身粒度。每一种行为步骤的表示对应的粒度值如表4所示。
表4
在本实施例中,“最终粒度”也即用于表征行为步骤的特征详细程度的第一分值。
进一步的,可以保存行为步骤之间的包含关系。第一行为步骤表示方式中的每一维度的描述,均比第二行为步骤表示方式中的每一维度的描述更加细致,则认为,第而行为步骤的表示包含第一行为步骤的表示。
例如,“1天内登录”包含“5分钟内语音登录”(因为“1天内”包含“5分钟内”,且“登录”包含“语音登录”);“1天内语音登录”不包含“南宁登录”(因为“语音登录”不包含“南宁登录”)。
S23,获取样本账号的样本行为集,所述样本行为集包括所述样本账号执行欺诈操作时的样本行为链中的行为步骤;
如表5所示,是样本账户“123”,“456”,“789”的样本行为链。
表5
| 用户 | 样本行为链 |
| 123 | [[A_1,A_2,A_3],[B_1,B_2],[C_1,C_2]] |
| 456 | [[A_2,A_4,A_5],[C_1,C_3]] |
| 789 | [[A_1,A_2,A_4],[B_1],[C_1,C_2]] |
行为链由多个行为步骤组成,行为步骤是有序的,每个行为步骤可能有多个不同粒度的表示。
收集所述样本账号执行欺诈操作时的样本行为链中的行为步骤组成行为集。以表5为例,出现的行为步骤为:[A_1,A_2,A_3,A_4,A_5,B_1,B_2,C_1,C_2,C_3]。相应的,样本行为集为[A_1,A_2,A_3,A_4,A_5,B_1,B_2,C_1,C_2,C_3]。
S24,排列组合所述样本行为集中的行为步骤生成多个行为模式。
可选的,所述排列组合所述样本行为集中的行为步骤生成多个行为模式,包括:获取已生成的第一行为模式,所述第一行为模式是由样本行为集中M个行为步骤排列组合成生成的,其中,M为小于样本行为集中样本行为步骤总数N的正整数;将所述样本行为集中除所述M个行为步骤以外的另一行为步骤插入所述第一行为模式的任一间隙位置,生成新的第二行为模式,其中,所述多个行为模式包括所述第二行为模式,所述任一间隙位置包括所述第一行为模式的首位行为步骤之前的位置、末位行为步骤之后的位置或者行为步骤之间的位置中的任一间隙位置。
举例说明,样本行为集中每两个行为步骤单独构成第一行为模式,放入模式候选集。所述模式候选集中行为模式的和剩下的行为步骤之间再组合生成的第二行为模式,并将第二行为模式放入模式候选集。
具体的,将行为步骤放置在第一行为模式中的任意位置都可以形成一个新的模式放入模式候选集中,比如行为模式[A_2,C_1]和行为步骤B_1进行组合就可以得到三个新的行为模式[[B_1,A_2,C_1],[A_2,B_1,C_1],[A_2,C_1,B_1]]。
进一步的,可以对模式候选集中的行为模式进行去重处理。这种去重可以是简单去重,比如说在行为模式[A_2,C_1]插入行为步骤B_1可以得到[A_2,B_1,C_1],而在行为模式[A_2,B_1]插入行为步骤C_1同样可以得到[A_2,B_1,C_1]。因此,可以对生成的行为步骤完全一致的行为模式进行去重处理。
此外,还对具有重复包含关系的行为模式去重。具体的,将所述第三行为模式和所述第四行为模式分别与所述样本行为链比对,获取样本行为链与所述第三行为模式匹配的第一样本账号序列,以及样本行为链与所述第四行为模式匹配的第二样本账号序列,其中,样本行为链与行为模式匹配是指样本行为链中存在与所述行为模式的行为步骤序列一致的行为步骤序列;将所述第三行为模式与所述第四行为模式中对应的行为步骤进行比对;若所述第一样本账号序列与所述第二样本账号序列中,并且,所述第三行为模式中的每一行为步骤是所述第四行为模式中对应的行为步骤的细化表示,则在生成的多个行为模式中删除所述第三行为模式。
例如,行为模式中的每个行为步骤都按顺序出现在上述样本行为链中,则定义为行为模式命与样本账号匹配,比如用户123的样本行为链[[A_1,A_2,A_3],[B_1,B_2],[C_1,C_2]],匹配行为模式[A_1,C_1]和行为模式[A_2,C_2],但不匹配行为模式[A_4,C_1]和行为模式[C_1,A_1]。
接着,每次从候选集中选出两个行为模式,行为模式1和行为模式2,如果他们满足以下两个条件,则删除行为模式1,保留行为模式2:
a)匹配行为模式1和行为模式2的样本账号一致;
b)行为模式1和行为模式2的包含的行为步骤数目相同,且行为模式1中每个行为都包含(或者等于)行为模式2中对应位置的行为,即,行为模式2中的每一行为步骤是行为模式1中对应的行为步骤的细化表示。
比如行为模式1为[B_1,A_2,C_1],行为模式2为[B_2,A_5,C_1],B_1包含B_2且A_2包含A_5。那么行为模式2总会优于行为模式1,可以删除行为模式1而保留行为模式2。
S25,获取用于表征所述行为模式中的行为步骤的特征详细程度的第一分值。
具体的,由于新生成的行为模式的中每一行为步骤都是样本行为链中出现过的行为步骤,因此,步骤S24在具体执行时可以调用步骤S22中确定出的对应行为步骤的第一分值。
S26,获取用于表征与所述样本行为链与所述行为模式匹配的样本账号的数目的第二分值,其中,样本行为链与行为模式匹配是指样本行为链中存在与行为模式的行为步骤序列一致的行为步骤序列。
值得说明的是,行为模式的第二分值越大说明该行为模式与欺诈的行为模式越接近,因此,需要优先考虑这一行为模式。
S27,根据所述第一份值和所述第二分值,以及行为模式分值计算模型,确定所述行为模式的分值。
比如,所述模式分值计算模型为所述第一分值和所述第二分值的加权函数。
S28,确定所述分值符合预设分值条件的所述行为模式为欺诈行为模式。
具体的可以是,根据模式分值计算模型选取模式候选集中得分最高的K个模式组成欺诈行为模式。
也就是说,这一行为模式分值计算模型是行为模式匹配的样本账号的数目、包含不同行为步骤数目和行为模式的粒度(行为模式中行为步骤的粒度的最大值)的加权函数,原则上行为模式匹配的样本账号的数目越多,包含不同行为步骤数目越多,行为模式的粒度越细,输出的分数越高。这个行为模式分值计算模型根据场景可以自定义。
S29,判断所述待选账号的行为链中是否存在与所述欺诈行为模式的行为步骤序列一致的行为目标行为步骤序列。
在一种可选的实施方式中,所述判断所述待选账号的行为链中是否存在与所述欺诈行为模式的行为步骤序列一致的行为目标行为步骤序列,包括:判断所述待选账号的行为链中是否存在与所述欺诈行为模式的行为步骤序列中每个行为步骤相同的初始行为步骤序列;若所述待选账号的行为链中存在所述初始行为步骤序列,则判断所述初始行为步骤序列的行为步骤之间的时间间隔是否满足预设时间间隔条件,其中,所述预设时间间隔条件包括所述初始行为步骤序列的相邻行为步骤之间的时间间隔,小于所述欺诈行为模式的中对应所述相邻行为步骤的行为步骤之间的时间间隔;若所述初始行为步骤序列的行为步骤之间的时间间隔满足预设时间间隔条件,则确定所述初始行为步骤序列为所述目标行为步骤序列。
具体实施时,可以通过子序列匹配算法完成步骤S28。过程如下:
收集近期全量账号(待选账号)的登录、修改密码、找回密码和快捷支付等行为步骤,以及行为步骤的发生地、发生时间、执行设备和行为步骤的详细信息,并按发生时间先后排序组成行为链。其中,针对行为步骤“登录”的详细信息可以是具体的登录方式,针对行为步骤“快捷支付”的详细信息可以是支付金额、支付方式、购买业务等信息。
判断每个待选账号的行为链是否与上述欺诈行为模式匹配。一种可选的匹配方式如(a.)、(b.)、(c.)所示:
(a.)定义待选账号的行为链为L,欺诈行为模式为P。定义指针idxL=0表示行为链L的索引,lenL为行为链L的长度,lenP为模式P的长度,定义列表lstP=[]保存行为模式P中已匹配的行为在行为链中的索引,定义lenI表示列表lstP的长度(会动态变化),那P[lenI]即为当前比对的行为步骤;
(b.)对比行为链第idxL个行为步骤L[idxL]和模式中P[lenI],定义L[idxL]的行为等于P[lenI]的行为步骤、L[idxL]的详细信息等于P[lenI]的信息,则表示行为步骤本身匹配。定义L[idxL]距前一个行为步骤L[idxL-1]的时间间隔(如果idxL=0,则时间间隔为0)小于等于P[lenI]的间隔,则表示时间间隔匹配。如果时间间隔不匹配,则表明模式中前一个行为步骤需要重新匹配,此时令idxL=lstP[lenI-1],从lstP中删除最后一项,转步骤b);如果时间间隔匹配,但行为步骤本身不匹配,则idxL=idxL+1,转步骤c);如果时间间隔匹配且行为步骤本身匹配,则将idxL加到lstP的末尾,再idxL=idxL+1,转步骤c)。
(c.)判断idxL和lenL的大小,如果idxL<lenL,则转步骤b);如果idxL>=lenL,判断lenI和lenP的大小,如果lenI>=lenP则表明行为链L匹配行为模式P,反之行为链L不匹配行为模式P。
值得说明的是,团伙作案的欺诈行为往往会在短时间内执行完一系列的行为步骤。上述时间间隔的匹配,可以是两两步骤之间的时间间隔小于某一时间间隔,也可以是首尾行为步骤之间小于某一时间间隔。
上述可选实施方式中,将待选账号与欺诈行为模式匹配时,不只考虑行为步骤的顺序,还考虑了行为步骤之间的时间间隔,更能准确捕捉待选账号行为链中存在欺诈风险。
S30,若所述待选账号的行为链中存在所述目标行为步骤序列,则确定所述待选账号为所述目标账号。
进一步的,可以将所述目标账号交由人工做进一步的审核。
上述技术方案,至少能够实现以下技术效果:
综合考虑样本账号的与欺诈行为相关的行为步骤的多粒度表示,自动生成多个行为模式,这样,能够使生成的行为模式更加全面的覆盖多种可能性。通过行为模式分值计算模型以及调整所述模型,这样,可以通过获取的行为模式的分值筛选出更符合期望需求的行为模式。
在另一可选实施例中,所述根据所述样本行为集中的行为步骤生成欺诈行为模式,包括:选取所述样本行为集中的任一行为步骤生成初阶行为模式;获取生成的每一所述初阶行为模式的分值;选取所述初阶行为模式中分值符合预设分值条件的行为模式作为初阶欺诈行为模式;将所述样本行为集中除所述初阶欺诈行为模式中包括的行为步骤以外的任一行为步骤,插入所述初阶欺诈行为模式生成下一阶的行为模式;
每生成新的一阶行为模式,重复执行获取每一所述新的一阶行为模式的分值,并选取所述新的一阶行为模式中分值符合预设分值条件的行为模式作为新的一阶欺诈行为模式,并将所述样本行为集中除所述新的一阶欺诈行为模式中包括的行为步骤以外的任一行为步骤,插入所述新的一阶欺诈行为模式生成下一阶的行为模式的步骤,直至所述样本行为集中的行为步骤的个数与生成新的一阶行为模式中的行为步骤的个数相同;
示例的,样本行为集为[A_1,A_2,A_3,A_4,A_5,B_1,B_2,C_1,C_2,C_3]。生成的初阶行为模式即为包含单个行为步骤的10组行为模式[A_1],[A_2],…,[B_1],[B_2],[C_1],…,[C_3]。进一步的,根据分值筛选出的初阶欺诈行为模式为[B_1],[B_2],[C_1]和[C_3],那么进一步的,在这四个初阶欺诈行为模式中插入新的行为步骤。比如,可以在初阶欺诈行为模式[B_1]分别插入行为步骤A_1、A_2、A_3、A_4等等,生成二阶行为模式[B_1,A_1]、[B_1,A_2]、[B_1,A_3]、[B_1,A_4]等等。进一步的,再根据分值筛选出的二阶欺诈行为模式[B_1,A_1]、[B_1,A_2]。再于二阶欺诈行为模式上添加新的行为步骤,依次迭代。
与图2所示实施例中将样本行为集中的行为步骤进行任意排列组合得到行为模式,再根据分值筛选出欺诈行为模式不同,在本可选实施例中,每一阶的行为模式均是在上一阶欺诈行为模式添加新的行为步骤后生成的,这样做能够减少生成的行为模式的组合可能,减少数据处理量。
由于上一阶欺诈行为模式为经分值筛选出的符合实际欺诈行为特质的行为模式,在此基础上添加行的行为步骤,能够让后续生成的欺诈行为模式更加符合实际欺诈行为的特质,从而更加快速的得到欺诈行为模式。
图3是本公开一示例性实施例示出的一种查找欺诈账号的装置的结构框图。所述装置包括:
获取模块310,用于获取样本账号的样本行为集,所述样本行为集包括所述样本账号执行欺诈操作时的样本行为链中的行为步骤;
生成模块320,用于根据所述样本行为集中的行为步骤生成欺诈行为模式;
查询模块330,用于将行为链与所述欺诈行为模式相匹配的账号作为存在欺诈风险的目标账号。
上述技术方案,至少能够达到以下技术效果:
通过获取包括样本账号执行欺诈操作时的样本行为链中的行为步骤的样本行为集,并根据所述样本行为集中的行为步骤生成欺诈行为模式;并在将行为链与所述欺诈行为模式相匹配的账号作为存在欺诈风险的目标账号。这样,能够更加高效的从待选账号中挖掘出符合欺诈行为模式的风险账号,减少反欺诈工作的工作量,保证反欺诈工作更加高效的执行,提升网络金融的安全性。
可选的,所述生成模块,用于:排列组合所述样本行为集中的行为步骤生成多个行为模式;获取生成的每一所述行为模式的分值;确定所述分值符合预设分值条件的所述行为模式为所述欺诈行为模式。
可选的,所述生成模块,用于:获取已生成的第一行为模式,所述第一行为模式是由样本行为集中M个行为步骤排列组合成生成的,其中,M为小于样本行为集中样本行为步骤总数N的正整数;将所述样本行为集中除所述M个行为步骤以外的另一行为步骤插入所述第一行为模式的任一间隙位置,生成新的第二行为模式,其中,所述多个行为模式包括所述第二行为模式,所述任一间隙位置包括所述第一行为模式的首位行为步骤之前的位置、末位行为步骤之后的位置或者行为步骤之间的位置中的任一间隙位置。
可选的,生成的所述多个行为模式包括行为步骤数目相同的第三行为模式和第四行为模式,所述生成模块,用于:将所述第三行为模式和所述第四行为模式分别与所述样本行为链比对,获取样本行为链与所述第三行为模式匹配的第一样本账号序列,以及样本行为链与所述第四行为模式匹配的第二样本账号序列,其中,样本行为链与行为模式匹配是指样本行为链中存在与所述行为模式的行为步骤序列一致的行为步骤序列;将所述第三行为模式与所述第四行为模式中对应的行为步骤进行比对;若所述第一样本账号序列与所述第二样本账号序列一致,并且,所述第三行为模式中的每一行为步骤是所述第四行为模式中对应的行为步骤的细化表示,则在生成的多个行为模式中删除所述第三行为模式。
可选的,所述生成模块,用于:
选取所述样本行为集中的任一行为步骤生成初阶行为模式;
获取生成的每一所述初阶行为模式的分值;
选取所述初阶行为模式中分值符合预设分值条件的行为模式作为初阶欺诈行为模式;
将所述样本行为集中除所述初阶欺诈行为模式中包括的行为步骤以外的任一行为步骤,插入所述初阶欺诈行为模式生成下一阶的行为模式;
每生成新的一阶行为模式,重复执行获取每一所述新的一阶行为模式的分值,并选取所述新的一阶行为模式中分值符合预设分值条件的行为模式作为新的一阶欺诈行为模式,并将所述样本行为集中除所述新的一阶欺诈行为模式中包括的行为步骤以外的任一行为步骤,插入所述新的一阶欺诈行为模式生成下一阶的行为模式的步骤,直至所述样本行为集中的行为步骤的个数与生成新的一阶行为模式中的行为步骤的个数相同;
所述欺诈行为模式包括每一阶所述欺诈行为模式。
可选的,所述生成模块,用于:获取用于表征所述行为模式中的行为步骤的特征详细程度的第一分值;获取用于表征与所述样本行为链与所述行为模式匹配的样本账号的数目的第二分值,其中,样本行为链与行为模式匹配是指样本行为链中存在与行为模式的行为步骤序列一致的行为步骤序列;根据所述第一份值和所述第二分值,以及行为模式分值计算模型,确定所述行为模式的分值。
可选的,所述生成模块,用于:提取行为步骤中的特征元素和行为元素,其中,所述特征元素是用于表示所述行为元素对应行为的执行特征;获取标定的所述特征元素的分值和所述行为元素的分值;根据所述行为步骤中特征元素的分值和行为元素的分值,以及预设的行为步骤分值的计算模型,确定所述第一分值。
可选的,所述特征元素包括所述行为步骤里的行为元素对应的行为的以下任意特征:行为执行时间、行为执行地域、行为执行方式、行为的执行时间与前一行为步骤的执行时间之间的时间差。
可选的,所述查询模块,用于:判断所述待选账号的行为链中是否存在与所述欺诈行为模式的行为步骤序列一致的行为目标行为步骤序列;若所述待选账号的行为链中存在所述目标行为步骤序列,则确定所述待选账号为所述目标账号。
可选的,所述查询模块,用于:判断所述待选账号的行为链中是否存在与所述欺诈行为模式的行为步骤序列中每个行为步骤相同的初始行为步骤序列;若所述待选账号的行为链中存在所述初始行为步骤序列,则判断所述初始行为步骤序列的行为步骤之间的时间间隔是否满足预设时间间隔条件,其中,所述预设时间间隔条件包括所述初始行为步骤序列的相邻行为步骤之间的时间间隔,小于所述欺诈行为模式的中对应所述相邻行为步骤的行为步骤之间的时间间隔;
若所述初始行为步骤序列的行为步骤之间的时间间隔满足预设时间间隔条件,则确定所述初始行为步骤序列为所述目标行为步骤序列。
可选的,所述获取模块还用于:在所述获取样本账号的样本行为集之前,获取执行欺诈操作的欺诈行为发生地信息;根据所述欺诈行为发生地信息,确定在目标区域执行所述欺诈操作的账号为所述样本账号。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
本公开实施例提供一种计算机可读存储介质,其上存储有计算机程序,其该程序被处理器执行时实现任一项所述查找欺诈账号的方法的步骤。
本公开实施例提供一种电子设备,包括:存储器,其上存储有计算机程序;处理器,用于执行所述存储器中的所述计算机程序,以实现任一项所述查找欺诈账号的方法的步骤。
图4是根据一示例性实施例示出的一种电子设备400的框图。如图4所示,该电子设备400可以包括:处理器401,存储器402。该电子设备400还可以包括多媒体组件403,输入/输出(I/O)接口404,以及通信组件405中的一者或多者。
其中,处理器401用于控制该电子设备400的整体操作,以完成上述的查找欺诈账号的方法中的全部或部分步骤。存储器402用于存储各种类型的数据以支持在该电子设备400的操作,这些数据例如可以包括用于在该电子设备400上操作的任何应用程序或方法的指令,以及应用程序相关的数据,例如样本行为的分析模板,分值计算函数,等等。该存储器402可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,例如静态随机存取存储器(Static Random Access Memory,简称SRAM),电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPROM),可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,简称EPROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),只读存储器(Read-Only Memory,简称ROM),磁存储器,快闪存储器,磁盘或光盘。多媒体组件403可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏,音频组件用于输出和/或输入音频信号。例如,音频组件可以包括一个麦克风,麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器402或通过通信组件405发送。音频组件还包括至少一个扬声器,用于输出音频信号。I/O接口404为处理器401和其他接口模块之间提供接口,上述其他接口模块可以是键盘,鼠标,按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件405用于该电子设备400与其他设备之间进行有线或无线通信。无线通信,例如Wi-Fi,蓝牙,近场通信(Near FieldCommunication,简称NFC),2G、3G或4G,或它们中的一种或几种的组合,因此相应的该通信组件405可以包括:Wi-Fi模块,蓝牙模块,NFC模块。
在一示例性实施例中,电子设备400可以被一个或多个应用专用集成电路(Application Specific Integrated Circuit,简称ASIC)、数字信号处理器(DigitalSignal Processor,简称DSP)、数字信号处理设备(Digital Signal Processing Device,简称DSPD)、可编程逻辑器件(Programmable Logic Device,简称PLD)、现场可编程门阵列(Field Programmable Gate Array,简称FPGA)、控制器、微控制器、微处理器或其他电子元件实现,用于执行上述的查找欺诈账号的方法。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述的查找欺诈账号的方法的步骤。例如,该计算机可读存储介质可以为上述包括程序指令的存储器402,上述程序指令可由电子设备400的处理器401执行以完成上述的查找欺诈账号的方法。
图5是根据一示例性实施例示出的一种电子设备500的框图。例如,电子设备500可以被提供为一服务器。参照图5,电子设备500包括处理器522,其数量可以为一个或多个,以及存储器532,用于存储可由处理器522执行的计算机程序。存储器532中存储的计算机程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理器522可以被配置为执行该计算机程序,以执行上述的查找欺诈账号的方法。
另外,电子设备500还可以包括电源组件526和通信组件550,该电源组件526可以被配置为执行电子设备500的电源管理,该通信组件550可以被配置为实现电子设备500的通信,例如,有线或无线通信。此外,该电子设备500还可以包括输入/输出(I/O)接口558。电子设备500可以操作基于存储在存储器532的操作系统,例如Windows ServerTM,Mac OSXTM,UnixTM,LinuxTM等等。
在另一示例性实施例中,还提供了一种包括程序指令的计算机可读存储介质,该程序指令被处理器执行时实现上述的查找欺诈账号的方法的步骤。例如,该计算机可读存储介质可以为上述包括程序指令的存储器532,上述程序指令可由电子设备500的处理器522执行以完成上述的查找欺诈账号的方法。
以上结合附图详细描述了本公开的优选实施方式,但是,本公开并不限于上述实施方式中的具体细节,在本公开的技术构思范围内,可以对本公开的技术方案进行多种简单变型,这些简单变型均属于本公开的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合,为了避免不必要的重复,本公开对各种可能的组合方式不再另行说明。
此外,本公开的各种不同的实施方式之间也可以进行任意组合,只要其不违背本公开的思想,其同样应当视为本公开所公开的内容。
Claims (12)
1.一种查找欺诈账号的方法,其特征在于,所述方法包括:
获取样本账号的样本行为集,所述样本行为集包括所述样本账号执行欺诈操作时的样本行为链中的行为步骤;
根据所述样本行为集中的行为步骤生成欺诈行为模式;
将行为链与所述欺诈行为模式相匹配的账号作为存在欺诈风险的目标账号;
所述根据所述样本行为集中的行为步骤生成欺诈行为模式,包括:
排列组合所述样本行为集中的行为步骤生成多个行为模式;
获取生成的每一所述行为模式的分值;
确定所述分值符合预设分值条件的所述行为模式为所述欺诈行为模式;
所述获取生成的每一所述行为模式的分值,包括:
获取用于表征所述行为模式中的行为步骤的特征详细程度的第一分值;
获取用于表征与所述样本行为链与所述行为模式匹配的样本账号的数目的第二分值,其中,样本行为链与行为模式匹配是指样本行为链中存在与行为模式的行为步骤序列一致的行为步骤序列;
根据所述第一分 值和所述第二分值,以及行为模式分值计算模型,确定所述行为模式的分值。
2.根据权利要求1所述的方法,其特征在于,所述排列组合所述样本行为集中的行为步骤生成多个行为模式,包括:
获取已生成的第一行为模式,所述第一行为模式是由样本行为集中M个行为步骤排列组合成生成的,其中,M为小于样本行为集中样本行为步骤总数N的正整数;
将所述样本行为集中除所述M个行为步骤以外的另一行为步骤插入所述第一行为模式的任一间隙位置,生成新的第二行为模式,其中,所述多个行为模式包括所述第二行为模式,所述任一间隙位置包括所述第一行为模式的首位行为步骤之前的位置、末位行为步骤之后的位置或者行为步骤之间的位置中的任一间隙位置。
3.根据权利要求1所述的方法,其特征在于,生成的所述多个行为模式包括行为步骤数目相同的第三行为模式和第四行为模式,所述方法还包括:
将所述第三行为模式和所述第四行为模式分别与所述样本行为链比对,获取样本行为链与所述第三行为模式匹配的第一样本账号序列,以及样本行为链与所述第四行为模式匹配的第二样本账号序列,其中,样本行为链与行为模式匹配是指样本行为链中存在与所述行为模式的行为步骤序列一致的行为步骤序列;
将所述第三行为模式与所述第四行为模式中对应的行为步骤进行比对;
若所述第一样本账号序列与所述第二样本账号序列一致,并且,所述第三行为模式中的每一行为步骤是所述第四行为模式中对应的行为步骤的细化表示,则在生成的多个行为模式中删除所述第三行为模式。
4.根据权利要求1所述的方法,其特征在于,所述根据所述样本行为集中的行为步骤生成欺诈行为模式,包括:
选取所述样本行为集中的任一行为步骤生成初阶行为模式;
获取生成的每一所述初阶行为模式的分值;
选取所述初阶行为模式中分值符合预设分值条件的行为模式作为初阶欺诈行为模式;
将所述样本行为集中除所述初阶欺诈行为模式中包括的行为步骤以外的任一行为步骤,插入所述初阶欺诈行为模式生成下一阶的行为模式;
每生成新的一阶行为模式,重复执行获取每一所述新的一阶行为模式的分值,并选取所述新的一阶行为模式中分值符合预设分值条件的行为模式作为新的一阶欺诈行为模式,并将所述样本行为集中除所述新的一阶欺诈行为模式中包括的行为步骤以外的任一行为步骤,插入所述新的一阶欺诈行为模式生成下一阶的行为模式的步骤,直至所述样本行为集中的行为步骤的个数与生成新的一阶行为模式中的行为步骤的个数相同;
所述欺诈行为模式包括每一阶所述欺诈行为模式。
5.根据权利要求1所述的方法,其特征在于,所述获取用于表征所述行为模式中的行为步骤的特征详细程度的第一分值,包括:
提取行为步骤中的特征元素和行为元素,其中,所述特征元素是用于表示所述行为元素对应行为的执行特征;
获取标定的所述特征元素的分值和所述行为元素的分值;
根据所述行为步骤中特征元素的分值和行为元素的分值,以及预设的行为步骤分值的计算模型,确定所述第一分值。
6.根据权利要求5所述的方法,其特征在于,所述特征元素包括所述行为步骤里的行为元素对应的行为的以下任意特征:
行为执行时间、行为执行地域、行为执行方式、行为的执行时间与前一行为步骤的执行时间之间的时间差。
7.根据权利要求1所述的方法,其特征在于,所述将行为链与所述欺诈行为模式相匹配的账号作为存在欺诈风险的目标账号,包括:
判断待选账号的行为链中是否存在与所述欺诈行为模式的行为步骤序列一致的行为目标行为步骤序列;
若所述待选账号的行为链中存在所述目标行为步骤序列,则确定所述待选账号为所述目标账号。
8.根据权利要求7所述的方法,其特征在于,所述判断所述待选账号的行为链中是否存在与所述欺诈行为模式的行为步骤序列一致的行为目标行为步骤序列,包括:
判断所述待选账号的行为链中是否存在与所述欺诈行为模式的行为步骤序列中每个行为步骤相同的初始行为步骤序列;
若所述待选账号的行为链中存在所述初始行为步骤序列,则判断所述初始行为步骤序列的行为步骤之间的时间间隔是否满足预设时间间隔条件,其中,所述预设时间间隔条件包括所述初始行为步骤序列的相邻行为步骤之间的时间间隔,小于所述欺诈行为模式的中对应所述相邻行为步骤的行为步骤之间的时间间隔;
若所述初始行为步骤序列的行为步骤之间的时间间隔满足预设时间间隔条件,则确定所述初始行为步骤序列为所述目标行为步骤序列。
9.根据权利要求1所述的方法,其特征在于,在所述获取样本账号的样本行为集之前,所述方法还包括:
获取执行欺诈操作的欺诈行为发生地信息;
根据所述欺诈行为发生地信息,确定在目标区域执行所述欺诈操作的账号为所述样本账号。
10.一种查找欺诈账号的装置,其特征在于,所述装置包括:
获取模块,用于获取样本账号的样本行为集,所述样本行为集包括所述样本账号执行欺诈操作时的样本行为链中的行为步骤;
生成模块,用于根据所述样本行为集中的行为步骤生成欺诈行为模式;
查询模块,用于将行为链与所述欺诈行为模式相匹配的账号作为存在欺诈风险的目标账号;
所述生成模块,还用于排列组合所述样本行为集中的行为步骤生成多个行为模式;获取生成的每一所述行为模式的分值;确定所述分值符合预设分值条件的所述行为模式为所述欺诈行为模式;
所述生成模块,还用于获取用于表征所述行为模式中的行为步骤的特征详细程度的第一分值;获取用于表征与所述样本行为链与所述行为模式匹配的样本账号的数目的第二分值,其中,样本行为链与行为模式匹配是指样本行为链中存在与行为模式的行为步骤序列一致的行为步骤序列;根据所述第一分 值和所述第二分值,以及行为模式分值计算模型,确定所述行为模式的分值。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-9中任一项所述方法的步骤。
12.一种电子设备,其特征在于,包括:
存储器,其上存储有计算机程序;
处理器,用于执行所述存储器中的所述计算机程序,以实现权利要求1-9中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910024628.8A CN109857779B (zh) | 2019-01-10 | 2019-01-10 | 查找欺诈账号的方法和装置,存储介质和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910024628.8A CN109857779B (zh) | 2019-01-10 | 2019-01-10 | 查找欺诈账号的方法和装置,存储介质和电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109857779A CN109857779A (zh) | 2019-06-07 |
| CN109857779B true CN109857779B (zh) | 2020-07-31 |
Family
ID=66894446
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910024628.8A Active CN109857779B (zh) | 2019-01-10 | 2019-01-10 | 查找欺诈账号的方法和装置,存储介质和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109857779B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111738747A (zh) * | 2020-06-24 | 2020-10-02 | 中诚信征信有限公司 | 一种反欺诈决策的方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104901847A (zh) * | 2015-05-27 | 2015-09-09 | 国家计算机网络与信息安全管理中心 | 一种社交网络僵尸账号检测方法及装置 |
| CN106251214A (zh) * | 2016-08-02 | 2016-12-21 | 东软集团股份有限公司 | 账户监控方法及装置 |
| CN108055281A (zh) * | 2017-12-27 | 2018-05-18 | 百度在线网络技术(北京)有限公司 | 账户异常检测方法、装置、服务器及存储介质 |
| CN108984721A (zh) * | 2018-07-10 | 2018-12-11 | 阿里巴巴集团控股有限公司 | 垃圾账号的识别方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9424413B2 (en) * | 2010-02-24 | 2016-08-23 | Visa International Service Association | Integration of payment capability into secure elements of computers |
-
2019
- 2019-01-10 CN CN201910024628.8A patent/CN109857779B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104901847A (zh) * | 2015-05-27 | 2015-09-09 | 国家计算机网络与信息安全管理中心 | 一种社交网络僵尸账号检测方法及装置 |
| CN106251214A (zh) * | 2016-08-02 | 2016-12-21 | 东软集团股份有限公司 | 账户监控方法及装置 |
| CN108055281A (zh) * | 2017-12-27 | 2018-05-18 | 百度在线网络技术(北京)有限公司 | 账户异常检测方法、装置、服务器及存储介质 |
| CN108984721A (zh) * | 2018-07-10 | 2018-12-11 | 阿里巴巴集团控股有限公司 | 垃圾账号的识别方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109857779A (zh) | 2019-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107316198B (zh) | 账户风险识别方法及装置 | |
| CN109165940B (zh) | 一种防盗方法、装置及电子设备 | |
| CN105389400B (zh) | 语音交互方法及装置 | |
| CN108616654B (zh) | 消息提醒的方法、装置、终端及计算机可读存储介质 | |
| CN108989581B (zh) | 一种用户风险识别方法、装置及系统 | |
| CN111339436A (zh) | 一种数据识别方法、装置、设备以及可读存储介质 | |
| CN107124391B (zh) | 异常行为的识别方法及装置 | |
| CN109472915B (zh) | 一种应用于社交系统的基于区块链的投票系统 | |
| CN103366745A (zh) | 基于语音识别保护终端设备的方法及其终端设备 | |
| CN110688633A (zh) | 登录方式的推送方法、装置、存储介质及设备 | |
| CN109857779B (zh) | 查找欺诈账号的方法和装置,存储介质和电子设备 | |
| CN113505393A (zh) | 应用于大数据的区块链支付数据处理方法及云服务器 | |
| CN110197426A (zh) | 一种信用评分模型的建立方法、装置及可读存储介质 | |
| CN112884442B (zh) | 一种基于审计模型的审计监控数据的获取方法及系统 | |
| CN107563588A (zh) | 一种个人信用的获取方法和获取系统 | |
| CN108777749B (zh) | 一种诈骗电话识别方法及装置 | |
| CN107705126B (zh) | 一种交易指令的处理方法及装置 | |
| CN110414197B (zh) | 基于行为特征的银行用户身份验证方法及装置 | |
| CN108966235B (zh) | Ios用户网络身份证rhidfa的运行方法 | |
| CN108717635B (zh) | 基于多生物特征鉴权或标识的方法及系统 | |
| CN107025392B (zh) | 基于使用的认证系统 | |
| CN110808978B (zh) | 实名认证方法以及装置 | |
| CN111951011B (zh) | 监控系统阈值确定方法及装置 | |
| CN112468444B (zh) | 互联网域名滥用识别方法和装置,电子设备,存储介质 | |
| CN114155880A (zh) | 一种基于gbdt算法模型的非法语音识别方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |