CN109993181A

CN109993181A - 异常行为模式识别方法、装置、设备及介质

Info

Publication number: CN109993181A
Application number: CN201711485006.2A
Authority: CN
Inventors: 陈哲; 李玲; 胡建强; 李彭
Original assignee: China Mobile Communications Group Co Ltd; China Mobile Group Shanxi Co Ltd
Current assignee: China Mobile Communications Group Co Ltd; China Mobile Group Shanxi Co Ltd
Priority date: 2017-12-29
Filing date: 2017-12-29
Publication date: 2019-07-09
Anticipated expiration: 2037-12-29
Also published as: CN109993181B

Abstract

本发明实施例公开了一种基于业务办理轨迹的异常行为模式识别方法、装置、设备和介质。异常行为模式识别方法包括：基于用户的业务办理行为，生成用户的业务办理轨迹；以及自动提取业务办理轨迹中重复度排名靠前的轨迹片段，作为潜在异常行为模式。通过本发明的技术方案，能够更好地满足当前运营商反套利的需求。

Description

异常行为模式识别方法、装置、设备及介质

技术领域

本发明涉及业务支撑技术领域，尤其涉及一种基于用户业务办理轨迹的异常行为模式识别方法、装置、设备及介质。

背景技术

当前，电信网络运营商的在网的用户以及销售渠道中，存在部分社会渠道、用户，通过各种方法进行套利的现象，给运营商造成了一定的财务压力。运营商现有的反套利的办法，主要是根据已知的套利模式，分析套利用户的动因和行为特征，去识别套利用户。比如，针对渠道养卡套利，主要有从养卡用户的动因及行为特征出发，基于通话行为、消费特征、数据业务、终端、交往圈、基站等输入指标，对批量操作、套利行为、相似度和通信沉默四个特征进行交集筛选，分析判断养卡套利用户。

除了上述已知的套利模式之外，最近新发现了以前不掌握的几种套利模式，如有用户在同一天内进行“报开-转赠流量-报停”，导致只收取了用户套餐拆分到当天的费用，而用户却消费了全月的数据流量；再比如，有用户多次、频繁的参加赠送话费活动，导致其赠送的话费占其消费总金额的80％以上。

由此可见，现网用户中还存在大量套利用户，用运营商目前根本不了解、不掌握的方法在进行套利。

发明内容

现有的反套利办法，由于只能基于已知的套利模式，通过分析套利用户的动因和行为模式去识别套利用户，无法识别未知的套利模式、无法识别客户的业务办理序列进而导致无法发现业务办理规则中的漏洞，难以适应当前运营商反套利的需求。

本发明实施例提供了一种基于用户业务办理轨迹的套利模式识别方法、装置、设备及介质。

第一方面，本发明实施例提供了一种基于业务办理轨迹的异常行为模式识别方法，该方法包括：基于用户的业务办理行为，生成用户的业务办理轨迹；以及自动提取业务办理轨迹中重复度排名靠前的轨迹片段，作为潜在异常行为模式。

第二方面，本发明实施例提供了一种基于业务办理轨迹的异常行为模式识别装置，该装置包括：业务办理轨迹生成模块，基于用户的业务办理行为，生成用户的业务办理轨迹；以及潜在异常行为识别模块，自动提取业务办理轨迹中重复度排名靠前的轨迹片段，作为潜在异常行为模式。

第三方面，本发明实施例提供了一种基于业务办理轨迹的异常行为模式识别设备，包括：至少一个处理器、至少一个存储器以及存储在存储器中的计算机程序指令，当计算机程序指令被处理器执行时实现如上述实施方式中第一或第二方面的方法。

第四方面，本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序指令，当计算机程序指令被处理器执行时实现如上述实施方式中第一或第二方面的方法。

本发明实施例提供的基于业务办理轨迹的异常行为模式识别方法、装置、设备及介质，通过用户行为模式生成算法，自动生成涉嫌套利用户的行为模式，这些行为模式就是潜在的套利行为模式。在这些行为模式中，必然存在关键的、用来实现套利的业务办理一系列行为，可以通过这些行为序列进行分析，发现运营商业务办理规则中存在的漏洞，从而更好地进行异常行为模式的监控。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了根据本发明一实施例的异常行为模式识别方法。

图2示出了根据本发明另一实施例的异常行为模式识别方法。

图3示出了根据本发明一实施例的异常行为模式识别装置。

图4示出了根据本发明一实施例的异常行为模式识别设备。

具体实施方式

下面将详细描述本发明的各个方面的特征和示例性实施例，为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细描述。应理解，此处所描述的具体实施例仅被配置为解释本发明，并不被配置为限定本发明。对于本领域技术人员来说，本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

现有的套利识别模型，基于已知的套利模式，去分析套利用户的动因和行为特征，比如，渠道养卡会通过短期的营销方案、采用猫池养卡，然后，运营商利用这些特征去分析现网中有哪些渠道在养卡。

现有技术方案的缺点有：

1)无法主动识别未知的套利模式，只能事后被动分析已知套利模式：目前，建立的长期养卡、养卡套利模型，都是基于已知的套利模式去识别有哪些用户存在养卡套利行为，但是，除了已知的养卡套利模式，现网中还有很多其他模式的套利行为，目前无法识别出来。

2)无法识别套利用户的行为序列，无法发现运营商业务办理规则中漏洞：套利用户，必定需要通过一系列的业务办理来实现，之所以能实现套利，说明运营商的业务办理规则存在漏洞，及时封堵这些漏洞，避免损失继续扩大，对于运营商而言，也至关重要。现有的技术方案，无法识别套利用户的业务办理序列，无法发现业务办理规则中的漏洞。

本发明通过用户行为模式生成算法，自动生成涉嫌套利用户的行为模式，这些行为模式就是潜在的套利行为模式。在这些行为模式中，必然存在关键的、用来实现套利的业务办理一系列行为，可以通过这些行为序列进行分析，发现运营商业务办理规则中存在的漏洞。

图1示出了根据本发明一实施例的异常行为模式识别方法。该方法包括业务办理轨迹生成步骤和潜在异常行为模式识别步骤。

如图1所示，在S1中，基于用户的业务办理行为，生成用户的业务办理轨迹。

该步骤可以通过以下方式来实现。第一步，梳理各种用户业务办理行为，比如停机、复机、优惠办理、营销参与……，这些业务办理行为通常以业务办理数据形式存储在运营商的数据库中。第二步，针对逐个用户，按照时间顺序读取该用户的业务办理数据，生成该用户的业务办理路径或者说业务办理轨迹，比如“……开机—转赠流量—停机……开机—转赠流量—停机……”。第三步，将每个业务办理行为，用一个字母替代。比如，开机用字母“K”表示，转赠流量用字母“Z”表示，停机用字母“T”表示。上述的用户业务办理轨迹可以用字符串表示“……KZT……KZT……”。按照上面的方式，用户的业务办理轨迹可以用一个字符串表示，例如记作：W1W2…WiWi+1…Wn，其中Wi表示用户的一个业务办理行为，i＝1…n。

在S2中，自动提取业务办理轨迹中重复度排名靠前的轨迹片段，作为潜在异常行为模式。

一个套利用户的套利行为，会在用户的业务办理轨迹的中出现重复(重复套利)，在一群套利用户之间，该套利模式必然会重复出现。提取重复度较高的业务办理轨迹片段，比如“开机—转赠流量—停机”，这些重复度较高的业务办理轨迹，就是潜在的套利模式。待全部用户的业务办理轨迹生成完毕之后，用所生成的重复度较高的业务办理轨迹片段，逐个与用户的业务办理轨迹匹配，将匹配上的轨迹归到各个轨迹片段组，从而可以了解各个用户存在哪些潜在套利模式。注意，容许将一个用户的业务办理轨迹归到多个组中。

具体而言，S2可以通过以下方式实现：

a)用户的业务办理轨迹已经转换为字符串，套利模式的重复的问题，转化为该字符串中有哪些重复出现的子字符串，以及实现了多少次的问题。

b)逐个用户处理，读取该用户的业务办理轨迹，生成的字符串。采用后缀树(suffix tree)生成算法，计算出上述字符串中重复出现的所有的子字符串。

c)将上述计算得到子字符串，转换为用户的业务办理行为，就是潜在的套利模式的业务办理轨迹片段。

在这些识别出的潜在异常行为模式中，必然存在关键的、用来实现套利的一系列业务办理行为，可以通过对这些行为序列进行分析，发现运营商业务办理规则中存在的漏洞，进而更好地监控和管理套利行为模式。

图2示出了根据本发明另一实施例的异常行为模式识别方法。

如图2所示，在S0中，生成异常行为用户样本。在异常行为模式为套利模式的情况下，此处的异常行为用户样本指的是疑似套利用户的样本，是通过利用已知套利用户在某些方面的量化指标筛选出来的，这样可以显著降低数据处理量。

疑似套利用户的筛选条件，比如是赠送话费金额/总销账金额>＝90％(可设置为其他比例，例如85％)、单月赠送流量>＝6G(也可设置为其他数量，例如5G)且不收取套餐费、每分钟平均通话单价或每MB流量单价排名最后的10％(也可设置为其他比例，例如8％)。然后，根据上述的筛选条件，对全体用户进行过滤，生成套利样本用户库。即，通过筛选条件过滤出的用户是异常行为用户样本。这些筛选条件可以是以用户特征数据的形式存储在运营商的数据库中的。

在S1中，基于用户的业务办理行为，生成用户的业务办理轨迹。

通过S0中的处理，S1中的用户是所生成的异常行为用户样本。根据S0中设定的筛选条件，需要生成业务办理轨迹的用户范围大大缩小。

该实施例中的S1和S2与图1类似，只是处理的数据对象有所不同。

在S3中，根据活动数据，生成活动轨迹。这里的活动可以是运营商的营销活动、优惠活动等。活动数据可以存储在运营商的数据库中。

读取营销/优惠活动数据，根据营销活动互斥规则，将可以逐个办理的生成营销/优惠活动按照时间先后的顺序输出，作为营销/优惠活动的轨迹。典型的营销/优惠活动的轨迹如“营销-送5元话费—4G自备机赠话费—购机客户赠话费”等。

在S4中，将S2中生成的轨迹片段与S3中的活动轨迹进行比对，输出相匹配的轨迹片段和用户作为匹配结果。

对用户业务办理轨迹片段与营销/优惠活动轨迹进行比对，目标是发现业务办理与营销活动序列高度匹配的用户业务办理轨迹片段。比如“办理营销-送5元话费—办理4G自备机赠话费—办理购机客户赠话费”等。根据轨迹匹配程度，可以将用户分成四个等级，连续四个优惠活动匹配、连续三个优惠匹配、连续两个优惠匹配、其他，连续匹配的优惠活动越多，对应的客户套利的可能性越大。

在S5中，基于业务办理数据，评估业务办理异常行为。

例如，首先统计全网业务办理的平均数据，比如平均业务办理时长、业务办理时间段占比、平均业务办理间隔、单位时间内业务办理笔数等，作为正常用户业务办理特征指标。然后，逐个分析上述用户的业务办理的行为特征，与上述正常用户的业务办理特征指标进行比对，发现业务办理过程中的异常行为，比如办理时间为非工作时间段(如半夜)、办理业务的时长(办理业务太迅速)、办理业务间隔过短(疑似程序批量办理，与平均业务间隔差距过大)、办理业务的密集程度(批量套利)等等。

在S6中，基于S4中的匹配结果和S5中的业务办理异常行为评估结果，输出异常行为模式。

例如，可以为S4的匹配结果和S5的评估结果分别赋予不同的权值，综合起来对各个用户的套利可能性进行评分，将评分排名最高的10％的用户业务办理轨迹片段输出，作为疑似套利模式。

对于识别出的潜在或疑似套利模式，运营商的业务人员可以分析其所对应的业务办理行为序列，确认其是否为套利行为，从而发现运营商业务办理规则中存在的漏洞。如果确定其为套利行为，则可以将其添加到需要监控的套利模式集合中，从而更好地进行监控。

根据本发明的另一实施例，基于业务办理轨迹的异常行为模式识别方法可以包括S0、S1、S2，S2生成的潜在异常行为模式作为异常行为模式。

根据本发明的另一实施例，基于业务办理轨迹的异常行为模式识别方法可以包括S0、S1、S2、S5和S6，S6基于S5中的业务办理异常行为评估结果，输出异常行为模式。

根据本发明的另一实施例，基于业务办理轨迹的异常行为模式识别方法可以包括S0、S1、S2、S3、S4和S6，S6基于S4中的匹配结果，输出异常行为模式。

根据本发明的另一实施例，基于业务办理轨迹的异常行为模式识别方法可以包括S1、S2、S5和S6，S6基于S5中的业务办理异常行为评估结果，输出异常行为模式。

根据本发明的另一实施例，基于业务办理轨迹的异常行为模式识别方法可以包括S1、S2、S3、S4和S6，S6基于S4中的匹配结果，输出异常行为模式。

根据本发明的另一实施例，基于业务办理轨迹的异常行为模式识别方法可以包括S1、S2、S3、S4、S5和S6，S6基于S4中的匹配结果和S5中的业务办理异常行为评估结果，输出异常行为模式。

图3示出了根据本发明一实施例的异常行为模式识别装置。该装置包括：业务办理轨迹生成模块301，基于用户的业务办理行为，生成用户的业务办理轨迹；以及潜在异常行为识别模块302，自动提取业务办理轨迹中重复度排名靠前的轨迹片段，作为潜在异常行为模式。

业务办理轨迹可以是通过按照时间顺序读取用户的业务办理行为，并将业务办理行为替换为字符而生成的。轨迹片段可以是利用后缀树生成算法生成的。

根据本发明的另一实施例，异常行为模式识别装置还可以包括异常行为用户样本生成模块300，其利用筛选条件筛选出异常行为用户样本。在该实施例中，业务办理轨迹生成模块301对异常行为用户样本生成模块300生成的异常行为用户样本进行处理。

根据本发明的另一实施例，异常行为模式识别装置还可以包括活动轨迹生成模块303和行为轨迹匹配模块304。活动轨迹生成模块303根据活动数据，生成活动轨迹，行为轨迹匹配模块304将模块302生成的轨迹片段与活动轨迹进行比对，输出相匹配的轨迹片段和用户作为匹配结果。

根据本发明的另一实施例，异常行为模式识别装置还可以包括业务办理异常行为评估模块305，其基于业务办理数据，评估业务办理异常行为，作为评估结果。

根据本发明的另一实施例，异常行为模式识别装置还可以包括异常行为模式输出模块306，其基于模块304的匹配结果和/或模块305的评估结果，输出异常行为模式。

与方法实施例类似，根据本发明的异常行为模式识别装置可以是以下模块的组合：(1)301和302；(2)300、301和302；(3)300、301、302、305和306；(4)300、301、302、303、304和306；(5)301、302、305和306；(6)301、302、303、304和306；(7)301、302、303、304、305和306；(8)300、301、302、303、304、305和306。

在根据本发明实施例的异常行为模式识别装置中，部分模块可以合并，例如业务办理轨迹生成模块301和潜在异常行为识别模块302可以合并为一个模块，由合并后的模块生成业务办理轨迹和潜在异常行为。

另外，结合图1或图2描述的本发明实施例的异常行为模式识别方法可以由异常行为模式识别设备来实现。图4示出了本发明实施例提供的异常行为模式识别设备的硬件结构示意图。

异常行为模式识别设备可以包括处理器401以及存储有计算机程序指令的存储器402。

具体地，上述处理器401可以包括中央处理器(CPU)，或者特定集成电路(Application Specific Integrated Circuit，ASIC)，或者可以被配置成实施本发明实施例的一个或多个集成电路。

存储器402可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器402可包括硬盘驱动器(Hard Disk Drive，HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus，USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器402可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器402可在数据处理装置的内部或外部。在特定实施例中，存储器402是非易失性固态存储器。在特定实施例中，存储器402包括只读存储器(ROM)。在合适的情况下，该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。

处理器401通过读取并执行存储器402中存储的计算机程序指令，以实现上述实施例中的任意一种异常行为模式识别方法。

在一个示例中，异常行为模式识别设备还可包括通信接口403和总线410。其中，如图4所示，处理器401、存储器402、通信接口403通过总线410连接并完成相互间的通信。

通信接口403，主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。

总线410包括硬件、软件或两者，将XXX设备的部件彼此耦接在一起。举例来说而非限制，总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线410可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线，但本发明考虑任何合适的总线或互连。

另外，结合上述实施例中的异常行为模式识别方法，本发明实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种异常行为模式识别方法。

虽然本发明主要是针对电信网络运营商的用户业务办理行为提出的，但是本发明同样适用于其他厂商，只要这些厂商存在一系列的用户业务办理行为，并且其中的部分行为模式可能会损害厂商在收益或其他方面的利益。这些厂商例如可以是有线电视运营商、银行、商城等等，其类型可以是在线型、实体型、混合型等各种形式。

虽然本发明主要针对用户的套利行为模式，但是本发明的异常行为模式可以包括其他可能会给厂商带来经济、技术、法律等方面损失或风险的行为模式。

需要明确的是，本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见，这里省略了对已知方法的详细描述。在上述实施例中，描述和示出了若干具体的步骤作为示例。但是，本发明的方法过程并不限于所描述和示出的具体步骤，本领域的技术人员可以在领会本发明的精神后，作出各种改变、修改和添加，或者改变步骤之间的顺序。

以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时，本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。

还需要说明的是，本发明中提及的示例性实施例，基于一系列的步骤或者装置描述一些方法或系统。但是，本发明不局限于上述步骤的顺序，也就是说，可以按照实施例中提及的顺序执行步骤，也可以不同于实施例中的顺序，或者若干步骤同时执行。

以上所述，仅为本发明的具体实施方式，所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、模块和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。应理解，本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。

Claims

1.一种基于业务办理轨迹的异常行为模式识别方法，其特征在于，所述方法包括：

基于用户的业务办理行为，生成用户的业务办理轨迹；以及

自动提取业务办理轨迹中重复度排名靠前的轨迹片段，作为潜在异常行为模式。

2.根据权利要求1所述的方法，其特征在于，所述业务办理轨迹是通过按照时间顺序读取用户的业务办理行为，并将业务办理行为替换为字符而生成的。

3.根据权利要求2所述的方法，其特征在于，所述轨迹片段是利用后缀树生成算法生成的。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

根据活动数据，生成活动轨迹；

将所述轨迹片段与活动轨迹进行比对，输出相匹配的轨迹片段和用户作为匹配结果。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

基于业务办理数据，评估业务办理异常行为，作为评估结果。

6.根据权利要求4或5所述的方法，其特征在于，所述方法还包括：

基于所述匹配结果和/或所述评估结果，输出异常行为模式。

7.根据权利要求1所述的方法，其特征在于，所述异常行为模式是套利模式。

8.根据权利要求1所述的方法，其特征在于，所述用户是利用筛选条件筛选出的异常行为用户样本。

9.一种基于业务办理轨迹的异常行为模式识别装置，其特征在于，所述装置包括：

业务办理轨迹生成模块，基于用户的业务办理行为，生成用户的业务办理轨迹；以及

潜在异常行为识别模块，自动提取业务办理轨迹中重复度排名靠前的轨迹片段，作为潜在异常行为模式。

10.一种基于业务办理轨迹的异常行为模式识别设备，其特征在于，包括：至少一个处理器、至少一个存储器以及存储在所述存储器中的计算机程序指令，当所述计算机程序指令被所述处理器执行时实现如权利要求1-8中任一项所述的方法。

11.一种计算机可读存储介质，其上存储有计算机程序指令，其特征在于，当所述计算机程序指令被处理器执行时实现如权利要求1-8中任一项所述的方法。