CN110009371B - 异常行为确定方法、装置、设备及计算机可读存储介质 - Google Patents
异常行为确定方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN110009371B CN110009371B CN201811615654.XA CN201811615654A CN110009371B CN 110009371 B CN110009371 B CN 110009371B CN 201811615654 A CN201811615654 A CN 201811615654A CN 110009371 B CN110009371 B CN 110009371B
- Authority
- CN
- China
- Prior art keywords
- abnormal
- behavior
- determined
- determining
- behaviors
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/018—Certifying business or products
- G06Q30/0185—Product, service or business identity fraud
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/02—Marketing; Price estimation or determination; Fundraising
- G06Q30/0207—Discounts or incentives, e.g. coupons or rebates
- G06Q30/0225—Avoiding frauds
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/06—Buying, selling or leasing transactions
- G06Q30/0601—Electronic shopping [e-shopping]
- G06Q30/0609—Buyer or seller confidence or verification
Landscapes
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Engineering & Computer Science (AREA)
- Development Economics (AREA)
- Strategic Management (AREA)
- Marketing (AREA)
- Economics (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Entrepreneurship & Innovation (AREA)
- Game Theory and Decision Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开实施例提供异常行为确定方法、装置、设备及计算机可读存储介质。异常行为确定方法包括:通过对与多个对象的行为相关的特征进行机器学习来训练异常特征识别模型,用于对与对象行为相关的异常特征进行识别;通过预设的策略识别模型对与对象属性相关的异常特征和与对象行为相关的异常特征进行识别;将利用异常特征识别模型识别出的与对象行为相关的异常特征与通过预设的策略识别模型识别出的与对象属性相关的异常特征和与对象行为相关的异常特征相结合,并基于结合的结果确定是否存在异常行为,可以通过模型刻画出最有可能是异常交易的特征值,再结合预设策略对异常行为的量化判定,在确定异常行为时的准确率以及覆盖度上均有提升。
Description
技术领域
本公开实施例涉及计算机技术领域,尤其涉及异常行为确定方法、装置、设备及计算机可读存储介质。
背景技术
在金融、信息安全等领域,风险管理是所有业务的核心。例如,每天网络支付的交易量巨大,在交易发生的同时也伴生了一批诸如异常交易、套利、返佣资金之类的黑色产业链。
对于目前的异常交易识别,现行的方法一般是:
1、基于规则的策略的风险交易识别与应用:其主要流程是前期对各类异常交易的刷单、套利行为进行经验总结,人工列举异常交易行为特征,随后基于特征建立规则策略进行部署,识别出异常交易。
2、基于虚假评论的异常交易识别模型与应用:依据用户历史交易和评论行为数据,使用一种结合深度置信网络(DBN)和模糊集的异常交易识别方法,通过识别异常交易的用户进行异常交易的识别。
前述方法1存在以下缺点:规则策略依赖于人工经验,识别模式较单一,存在较大程度的漏过、误判。
前述方法2存在以下缺点:应用场景依赖于店铺评论,新型的异常交易行为不仅是为了提升交易方的信誉排名,还带有套利行为,所以新型的异常交易行为并不一定需要有交易、评论。并且简单的模型使用在准确率、覆盖率上也有欠缺。
发明内容
有鉴于此,本公开第一方面提供了一种异常行为确定方法,包括:
通过对与多个对象的行为相关的特征进行机器学习来训练异常特征识别模型,用于对与对象行为相关的异常特征进行识别;
通过预设的策略识别模型对与所述对象属性相关的异常特征和与所述对象行为相关的异常特征进行识别;
将利用所述异常特征识别模型识别出的与对象行为相关的异常特征与通过所述预设的策略识别模型识别出的与所述对象属性相关的异常特征和与所述对象行为相关的异常特征相结合,并基于结合的结果确定是否存在异常行为。
本公开第二方面提供了一种异常行为确定装置,包括:
第一识别模块,被配置为通过对与多个对象的行为相关的特征进行机器学习来训练异常特征识别模型,用于对与对象行为相关的异常特征进行识别;
第二识别模块,被配置为通过预设的策略识别模型对与所述对象属性相关的异常特征和与所述对象行为相关的异常特征进行识别;
确定模块,被配置为将利用所述异常特征识别模型识别出的与对象行为相关的异常特征与通过所述预设的策略识别模型识别出的与所述对象属性相关的异常特征和与所述对象行为相关的异常特征相结合,并基于结合的结果确定是否存在异常行为。
本公开第三方面提供了一种电子设备,包括存储器和处理器;其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行以实现以下步骤:
通过对与多个对象的行为相关的特征进行机器学习来训练异常特征识别模型,用于对与对象行为相关的异常特征进行识别;
通过预设的策略识别模型对与所述对象属性相关的异常特征和与所述对象行为相关的异常特征进行识别;
将利用所述异常特征识别模型识别出的与对象行为相关的异常特征与通过所述预设的策略识别模型识别出的与所述对象属性相关的异常特征和与所述对象行为相关的异常特征相结合,并基于结合的结果确定是否存在异常行为。
本公开第四方面提供了一种计算机可读存储介质,其上存储有计算机指令,该计算机指令被处理器执行时实现如第一方面所述的方法。
在本公开实施方式中,通过对与多个对象的行为相关的特征进行机器学习来训练异常特征识别模型,用于对与对象行为相关的异常特征进行识别;通过预设的策略识别模型对与所述对象属性相关的异常特征和与所述对象行为相关的异常特征进行识别;将利用所述异常特征识别模型识别出的与对象行为相关的异常特征与通过所述预设的策略识别模型识别出的与所述对象属性相关的异常特征和与所述对象行为相关的异常特征相结合,并基于结合的结果确定是否存在异常行为,可以通过无监督机器学习强化数据驱动,弱化人的经验对识别异常行为的影响,从而通过大量的用户行为的相关特征来综合刻画异常行为的特征。而且,可以通过模型刻画出最有可能是异常交易的特征值,再结合预设策略对异常行为的量化判定,在确定异常行为时的准确率以及覆盖度上均有提升。
本公开的这些方面或其他方面在以下实施例的描述中会更加简明易懂。
附图说明
为了更清楚地说明本公开实施例或相关技术中的技术方案,下面将对示例性实施例或相关技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本公开的一些示例性实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出根据本公开一实施方式的异常行为确定方法的流程图;
图2示出根据本公开另一实施方式的异常行为确定方法的流程图;
图3示出根据本公开一实施方式的异常行为确定方法的应用场景示例的示意图;
图4示出根据本公开另一实施方式的异常行为确定装置的结构框图;
图5示出根据本公开一实施方式的电子设备的结构框图;
图6是适于用来实现根据本公开一实施方式的异常行为确定方法的计算机系统的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本公开方案,下面将结合本公开示例性实施例中的附图,对本公开示例性实施例中的技术方案进行清楚、完整地描述。
在本公开的说明书和权利要求书及上述附图中的描述的一些流程中,包含了按照特定顺序出现的多个操作,但是应该清楚了解,这些操作可以不按照其在本文中出现的顺序来执行或并行执行,操作的序号如101、102等,仅仅是用于区分开各个不同的操作,序号本身不代表任何的执行顺序。另外,这些流程可以包括更多或更少的操作,并且这些操作可以按顺序执行或并行执行。需要说明的是,本文中的“第一”、“第二”等描述,是用于区分不同的消息、设备、模块等,不代表先后顺序,也不限定“第一”和“第二”是不同的类型。
下面将结合本公开示例性实施例中的附图,对本公开示例性实施例中的技术方案进行清楚、完整地描述,显然,所描述的示例性实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。.
图1示出根据本公开一实施方式的异常行为确定方法的流程图。该方法可以包括步骤S101、S102和S103。
在步骤S101中,通过对与多个对象的行为相关的特征进行机器学习来训练异常特征识别模型,用于对与对象行为相关的异常特征进行识别。
在步骤S102中,通过预设的策略识别模型对与对象属性相关的异常特征和与对象行为相关的异常特征进行识别。
在步骤S103中,将利用异常特征识别模型识别出的与对象行为相关的异常特征与通过预设的策略识别模型识别出的与对象属性相关的异常特征和与对象行为相关的异常特征相结合,并基于结合的结果确定是否存在异常行为。
在本公开的一个实施例中,异常行为确定方法采用特征模型与策略模型相结合的方案对异常行为进行确定。异常特征识别模型主要针对与对象行为相关的异常特征进行识别,例如,针对各种交易信息进行异常特征检测。
在本公开的一个实施例中,异常特征识别模型可以为隔离森林模型。隔离森林(Isolation Forest)算法基于以下事实:异常特征是少数和不同的数据点。由于这些特性,异常特征容易受到机制的影响称为隔离。该方法非常有用,可以作为比常用的基本距离和密度测量更有效和更有效的方法来检测异常。此外,隔离森林算法是具有低线性时间复杂度和小存储器要求的算法。它使用固定大小的小子样本构建具有少量树的良好性能模型,而不管数据集的大小。隔离森林算法可以运用于测算设备、环境、资金链路、交易地点、交易行为上的异常检测。
在本公开的一个实施例中,策略识别模型可以是依据人工经验预设的策略识别模型。策略识别模型可以用于对与对象属性相关的异常特征和与对象行为相关的异常特征进行识别,例如,对交易中的买家与卖家关系的异常特征、账户性质的异常特征、交易行为的异常特征等进行识别。与对象属性相关的异常特征可以指的是买家与卖家关系的异常特征和账户性质的异常特征。与对象行为相关的异常特征可以指的是交易行为的异常特征。例如,买家与卖家关系的异常特征可以指买家与卖家是亲友关系并且存在大量相互交易。例如,账户性质的异常特征可以指账户非本人注册或者是批量注册,这类账户极大可能是专业刷单黑色产业链所控制的账户。例如,交易行为的异常特征可以指短时间内的大量、大金额、跨多地交易,此类交易在现实中极少出现。
在本公开实施方式中,通过对与多个对象的行为相关的特征进行机器学习来训练异常特征识别模型,用于对与对象行为相关的异常特征进行识别;通过预设的策略识别模型对与所述对象属性相关的异常特征和与所述对象行为相关的异常特征进行识别;将利用异常特征识别模型识别出的与对象行为相关的异常特征与通过预设的策略识别模型识别出的与所述对象属性相关的异常特征和与所述对象行为相关的异常特征相结合,并基于结合的结果确定是否存在异常行为,可以通过无监督机器学习强化数据驱动,弱化人的经验对识别异常行为的影响,从而通过大量的用户行为的相关特征来综合刻画异常行为的特征。
以下参照图2对根据本公开实施方式的另一异常行为确定方法进行说明。
图2示出根据本公开另一实施方式的异常行为确定方法的流程图。图2所示的实施方式与图1所示的实施方式的区别在于还包括步骤S201和/或步骤S202。
在步骤S201中,根据第一预设条件将已被确定为异常行为的行为确定为正常行为。
在步骤S202中,根据第二预设条件将未被确定为异常行为的行为确定为异常行为。
在本公开的一个实施例中,图1中所示的通过异常特征识别模型和预设的策略识别模型确定是否存在异常行为可以被认为是在根据本公开的实施方式的异常行为确定方法的底层识别方法,即,是基础的异常识别手段。图2中的步骤S201和S202可以对基础的异常识别手段得到的识别结果进行修正、整合,因此,步骤S201和S202可以被认为是根据本公开的实施方式的异常行为确定方法的对底层识别方法的中间层修正、整合方法。
在本公开的一个实施例中,步骤S201包括:将高可信度的对象的被确定为异常行为的行为确定为正常行为。
在本公开的一个实施例中,步骤S201包括:响应于异常特征识别模型和预设的策略识别模型中的至少之一的调整,将已被确定为异常行为的行为确定为正常行为。
在本公开的一个实施例中,步骤S201包括:根据与对象的行为相关的业务特征将已被确定为异常行为的行为确定为正常行为。
在本公开的一个实施例中,根据第一预设条件将已被确定为异常行为的行为确定为正常行为可以被称作行为洗白,即,将异常行为洗白为正常行为。由于底层识别的结果在准确率上面可能达不到100%,存在一定的误判,所以在行为洗白模式中针对异常行为占比极低的对象(例如,虚假交易占比极低的商户和大型商户)进行异常行为洗白,异常行为占比极低的对象也可称为高可信度的对象。例如,这些商户本质上是正常经营的优质商户,将其全部交易行为洗白为正常交易行为。另一种洗白的情况是由于底层的模型(异常特征识别模型和预设的策略识别模型)被调整,导致对同一个行为(例如,同一笔交易)异常与否的判定结果会有不同。在此情况下,中间层的修正、整合方法会自动监控因底层模型识别方法被调整所导致的洗白,并在后续的业务操作中进行相应的调整,例如,将对象移出黑名单。还有一种洗白的情况是由于与对象的行为相关的业务特征是否异常的认定被改变导致的洗白。例如,由于业务推广的需要,在业务成熟区域被认为异常的行为(例如,短时间多次领取奖励)在业务初步推广的区域被认为是正常行为,因此可以被洗白,直至业务初步推广的区域被调整为业务成熟区域。
在本公开的一个实施例中,步骤S202包括:将低可信度的对象的未被确定为异常行为的行为确定为异常行为。
在本公开的一个实施例中,步骤S202包括:响应于异常特征识别模型和预设的策略识别模型中的至少之一的调整,将未被确定为异常行为的行为确定为异常行为。
在本公开的一个实施例中,步骤S202包括:根据与对象的行为相关的业务特征将未被确定为异常行为的行为确定为异常行为。
在本公开的一个实施例中,根据第二预设条件将未被确定为异常行为的行为确定为异常行为可以被称作行为洗黑,即,将未被确定为异常的行为洗黑为异常行为。针对高危对象(例如,被投诉或者被识别为虚假商户)的全部行为都会判定为异常行为从而提高了异常行为识别的准确以及覆盖率,因为对于纯假或者风险对象,不该对其任何行为认证为正常。此外,针对诸如不同的交易业务、运营活动的异常行为,异常行为的判定规则会有所不同。例如,由于业务推广的需要,在业务初步推广的区域被认为是正常的行为(例如,短时间多次领取奖励)在业务成熟区域被认为异常行为,因此该行为可以被洗黑。即,中间层的修正、整合方法提供了结合业务逻辑对异常行为的判定接口,可以对不同业务进行个性化调节异常行为识别方法。另一种洗黑的情况是底层的模型(异常特征识别模型和预设的策略识别模型)被调整,导致对同一行为的判定会有不同,中间层会自动监控因底层模型识别调整导致的洗黑,并在后续的业务操作中进行相应的调整,例如,将对象移入黑名单。
在根据本公开的实施方式中,可以将模型与策略相结合,即,通过模型可以刻画出最有可能是异常行为的特征值,再叠加策略对异常行为进行量化判定,使得对异常行为的识别在准确以及覆盖上得到提升。而且,还可以通过中间层的修正、整合方法提升异常行为确定方式的拓展性和个性化。即,可以根据业务特征对不同业务活动做个性化异常行为识别配置。
图3示出根据本公开一实施方式的异常行为确定方法的应用场景示例的示意图。图3示出了一种引用异常行为确定方法的具体模型的应用场景示例。
如图3所示,对数据源提供的基础数据进行底层识别。底层识别模型包括模型识别模块和策略识别模块。模型识别模块可以对对象的设备异常、环境异常、资金异常、交易地点异常、交易行为异常等。策略识别模块可以对对象的交易对象关系异常、账户性质异常、交易行为异常等进行识别。在进行底层识别之后,可以对对象数据进行中间层汇总措施。中间层汇总措施可以通过交易洗白模块和交易洗黑模块来实现。交易洗白模块可以对对象的数据进行低危对象洗白、关键对象洗白、底层模型回刷洗白等操作。交易洗黑模块可以对对象的数据进行异常对象洗黑、业务策略洗黑、底层模型回刷洗黑等操作。最后,以对结果底层识别和中间层汇总的对象异常行为识别结果进行应用。
图4示出根据本公开另一实施方式的异常行为确定装置的结构框图。该装置可以包括第一识别模块401、第二识别模块402和确定模块403。
第一识别模块401被配置为通过对与多个对象的行为相关的特征进行机器学习来训练异常特征识别模型,用于对与对象行为相关的异常特征进行识别。
第二识别模块402被配置为通过预设的策略识别模型对与所述对象属性相关的异常特征和与所述对象行为相关的异常特征进行识别。
确定模块403被配置为将利用异常特征识别模型识别出的与对象行为相关的异常特征与通过预设的策略识别模型识别出的与所述对象属性相关的异常特征和与所述对象行为相关的异常特征相结合,并基于结合的结果确定是否存在异常行为。
以上描述了异常行为确定装置的内部功能和结构,在一个可能的设计中,该异常行为确定装置的结构可实现为异常行为确定设备,如图5中所示,该处理设备500可以包括处理器501以及存储器502。
所述存储器502用于存储支持异常行为确定装置执行上述任一实施例中异常行为确定方法的程序,所述处理器501被配置为用于执行所述存储器502中存储的程序。
所述存储器502用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器501执行以实现以下步骤:
通过对与多个对象的行为相关的特征进行机器学习来训练异常特征识别模型,用于对与对象行为相关的异常特征进行识别;
通过预设的策略识别模型对与所述对象属性相关的异常特征和与所述对象行为相关的异常特征进行识别;
将利用所述异常特征识别模型识别出的与对象行为相关的异常特征与通过所述预设的策略识别模型识别出的与所述对象属性相关的异常特征和与所述对象行为相关的异常特征相结合,并基于结合的结果确定是否存在异常行为。
在本公开的一个实施例中,所述一条或多条计算机指令还被所述处理器501执行以实现以下步骤:
根据第一预设条件将已被确定为异常行为的行为确定为正常行为;和/或
根据第二预设条件将未被确定为异常行为的行为确定为异常行为。
在本公开的一个实施例中,所述根据第一预设条件将已被确定为异常行为的行为确定为正常行为,包括:
将高可信度的对象的被确定为异常行为的行为确定为正常行为。
在本公开的一个实施例中,所述根据第一预设条件将已被确定为异常行为的行为确定为正常行为,包括:
响应于所述异常特征识别模型和所述预设的策略识别模型中的至少之一的调整,将已被确定为异常行为的行为确定为正常行为。
在本公开的一个实施例中,所述根据第一预设条件将已被确定为异常行为的行为确定为正常行为,包括:
根据与所述对象的行为相关的业务特征将已被确定为异常行为的行为确定为正常行为。
在本公开的一个实施例中,所述根据第二预设条件将未被确定为异常行为的行为确定为异常行为,包括:
将低可信度的对象的未被确定为异常行为的行为确定为异常行为。
在本公开的一个实施例中,所述根据第二预设条件将未被确定为异常行为的行为确定为异常行为,包括:
响应于所述异常特征识别模型和所述预设的策略识别模型中的至少之一的调整,将未被确定为异常行为的行为确定为异常行为。
在本公开的一个实施例中,所述根据第二预设条件将未被确定为异常行为的行为确定为异常行为,包括:
根据与所述对象的行为相关的业务特征将未被确定为异常行为的行为确定为异常行为。
在本公开的一个实施例中,所述异常特征识别模型为隔离森林模型。
所述处理器501用于执行前述各方法步骤中的全部或部分步骤。
其中,所述异常行为确定设备的结构中还可以包括通信接口,用于异常行为确定设备与其他设备或通信网络通信。
本公开示例性实施例还提供了一种计算机存储介质,用于储存所述异常行为确定装置所用的计算机软件指令,其包含用于执行上述任一实施例中异常行为确定方法所涉及的程序。
图6是适于用来实现根据本公开一实施方式的异常行为确定方法的计算机系统的结构示意图。
如图6所示,计算机系统600包括中央处理单元(CPU)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行上述图1所示的实施方式中的各种处理。在RAM603中,还存储有系统600操作所需的各种程序和数据。CPU601、ROM602以及RAM603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
以下部件连接至I/O接口605:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
特别地,根据本公开的实施方式,上文参考图1描述的方法可以被实现为计算机软件程序。例如,本公开的实施方式包括一种计算机程序产品,其包括有形地包含在及其可读介质上的计算机程序,所述计算机程序包含用于执行图1的数据处理方法的程序代码。在这样的实施方式中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。
附图中的流程图和框图,图示了按照本公开各种实施方式的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,路程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,并且/或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施方式中所涉及到的单元或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
作为另一方面,本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施方式中所述装置中所包含的计算机可读存储介质;也可以是单独存在,未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,所述程序被一个或者一个以上的处理器用来执行描述于本公开的方法。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (20)
1.一种异常行为确定方法,其特征在于,包括:
通过对与多个对象的行为相关的特征进行机器学习来训练异常特征识别模型,用于对与对象行为相关的异常特征进行识别;
通过预设的策略识别模型对与所述对象属性相关的异常特征和与所述对象行为相关的异常特征进行识别;
将利用所述异常特征识别模型识别出的与对象行为相关的异常特征与通过所述预设的策略识别模型识别出的与所述对象属性相关的异常特征和与所述对象行为相关的异常特征相结合,并基于结合的结果确定是否存在异常行为;
其中,所述策略识别模型是依据人工经验预设的,其中,与对象属性相关的异常特征包括:买家与卖家关系的异常特征和账户性质的异常特征;与对象行为相关的异常特征包括:交易行为的异常特征,其中,交易行为的异常特征包括:短时间内的大量、大金额、跨多地交易。
2.根据权利要求1所述的方法,其特征在于,还包括:
根据第一预设条件将已被确定为异常行为的行为确定为正常行为;
和/或
根据第二预设条件将未被确定为异常行为的行为确定为异常行为。
3.根据权利要求2所述的方法,其特征在于,所述根据第一预设条件将已被确定为异常行为的行为确定为正常行为,包括:
将高可信度的对象的被确定为异常行为的行为确定为正常行为。
4.根据权利要求2所述的方法,其特征在于,所述根据第一预设条件将已被确定为异常行为的行为确定为正常行为,包括:
响应于所述异常特征识别模型和所述预设的策略识别模型中的至少之一的调整,将已被确定为异常行为的行为确定为正常行为。
5.根据权利要求2所述的方法,其特征在于,所述根据第一预设条件将已被确定为异常行为的行为确定为正常行为,包括:
根据与所述对象的行为相关的业务特征将已被确定为异常行为的行为确定为正常行为。
6.根据权利要求2所述的方法,其特征在于,所述根据第二预设条件将未被确定为异常行为的行为确定为异常行为,包括:
将低可信度的对象的未被确定为异常行为的行为确定为异常行为。
7.根据权利要求2所述的方法,其特征在于,所述根据第二预设条件将未被确定为异常行为的行为确定为异常行为,包括:
响应于所述异常特征识别模型和所述预设的策略识别模型中的至少之一的调整,将未被确定为异常行为的行为确定为异常行为。
8.根据权利要求2所述的方法,其特征在于,所述根据第二预设条件将未被确定为异常行为的行为确定为异常行为,包括:
根据与所述对象的行为相关的业务特征将未被确定为异常行为的行为确定为异常行为。
9.根据权利要求1所述的方法,其特征在于,所述异常特征识别模型为隔离森林模型。
10.一种异常行为确定装置,其特征在于,包括:
第一识别模块,被配置为通过对与多个对象的行为相关的特征进行机器学习来训练异常特征识别模型,用于对与对象行为相关的异常特征进行识别;
第二识别模块,被配置为通过预设的策略识别模型对与所述对象属性相关的异常特征和与所述对象行为相关的异常特征进行识别;
确定模块,被配置为将利用所述异常特征识别模型识别出的与对象行为相关的异常特征与通过所述预设的策略识别模型识别出的与所述对象属性相关的异常特征和与所述对象行为相关的异常特征相结合,并基于结合的结果确定是否存在异常行为;
其中,所述策略识别模型是依据人工经验预设的,其中,与对象属性相关的异常特征包括:买家与卖家关系的异常特征和账户性质的异常特征;与对象行为相关的异常特征包括:交易行为的异常特征,其中,交易行为的异常特征包括:短时间内的大量、大金额、跨多地交易。
11.一种电子设备,其特征在于,包括存储器和处理器;其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行以实现以下步骤:
通过对与多个对象的行为相关的特征进行机器学习来训练异常特征识别模型,用于对与对象行为相关的异常特征进行识别;
通过预设的策略识别模型对与所述对象属性相关的异常特征和与所述对象行为相关的异常特征进行识别;
将利用所述异常特征识别模型识别出的与对象行为相关的异常特征与通过所述预设的策略识别模型识别出的与所述对象属性相关的异常特征和与所述对象行为相关的异常特征相结合,并基于结合的结果确定是否存在异常行为;
其中,所述策略识别模型是依据人工经验预设的,其中,与对象属性相关的异常特征包括:买家与卖家关系的异常特征和账户性质的异常特征;与对象行为相关的异常特征包括:交易行为的异常特征,其中,交易行为的异常特征包括:短时间内的大量、大金额、跨多地交易。
12.根据权利要求11所述的电子设备,其特征在于,所述一条或多条计算机指令还被所述处理器执行以实现以下步骤:
根据第一预设条件将已被确定为异常行为的行为确定为正常行为;
和/或
根据第二预设条件将未被确定为异常行为的行为确定为异常行为。
13.根据权利要求12所述的电子设备,其特征在于,所述根据第一预设条件将已被确定为异常行为的行为确定为正常行为,包括:
将高可信度的对象的被确定为异常行为的行为确定为正常行为。
14.根据权利要求12所述的电子设备,其特征在于,所述根据第一预设条件将已被确定为异常行为的行为确定为正常行为,包括:
响应于所述异常特征识别模型和所述预设的策略识别模型中的至少之一的调整,将已被确定为异常行为的行为确定为正常行为。
15.根据权利要求12所述的电子设备,其特征在于,所述根据第一预设条件将已被确定为异常行为的行为确定为正常行为,包括:
根据与所述对象的行为相关的业务特征将已被确定为异常行为的行为确定为正常行为。
16.根据权利要求12所述的电子设备,其特征在于,所述根据第二预设条件将未被确定为异常行为的行为确定为异常行为,包括:
将低可信度的对象的未被确定为异常行为的行为确定为异常行为。
17.根据权利要求12所述的电子设备,其特征在于,所述根据第二预设条件将未被确定为异常行为的行为确定为异常行为,包括:
响应于所述异常特征识别模型和所述预设的策略识别模型中的至少之一的调整,将未被确定为异常行为的行为确定为异常行为。
18.根据权利要求12所述的电子设备,其特征在于,所述根据第二预设条件将未被确定为异常行为的行为确定为异常行为,包括:
根据与所述对象的行为相关的业务特征将未被确定为异常行为的行为确定为异常行为。
19.根据权利要求11所述的电子设备,其特征在于,所述异常特征识别模型为隔离森林模型。
20.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该计算机指令被处理器执行时实现如权利要求1-9任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811615654.XA CN110009371B (zh) | 2018-12-27 | 2018-12-27 | 异常行为确定方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811615654.XA CN110009371B (zh) | 2018-12-27 | 2018-12-27 | 异常行为确定方法、装置、设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110009371A CN110009371A (zh) | 2019-07-12 |
| CN110009371B true CN110009371B (zh) | 2023-06-20 |
Family
ID=67165297
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811615654.XA Active CN110009371B (zh) | 2018-12-27 | 2018-12-27 | 异常行为确定方法、装置、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110009371B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110515793B (zh) * | 2019-07-23 | 2022-02-18 | 平安科技(深圳)有限公司 | 系统性能监控方法、装置、设备及存储介质 |
| CN111291096B (zh) * | 2020-03-03 | 2023-07-28 | 腾讯科技(深圳)有限公司 | 数据集构建方法、装置和存储介质及异常指标检测方法 |
| CN111383026B (zh) * | 2020-03-09 | 2022-07-05 | 支付宝(杭州)信息技术有限公司 | 识别交易行为异常的方法以及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107958382A (zh) * | 2017-12-06 | 2018-04-24 | 北京小度信息科技有限公司 | 异常行为识别方法、装置、电子设备及存储介质 |
| CN108053318A (zh) * | 2017-12-20 | 2018-05-18 | 北京奇安信科技有限公司 | 一种对异常交易进行识别的方法及装置 |
-
2018
- 2018-12-27 CN CN201811615654.XA patent/CN110009371B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107958382A (zh) * | 2017-12-06 | 2018-04-24 | 北京小度信息科技有限公司 | 异常行为识别方法、装置、电子设备及存储介质 |
| CN108053318A (zh) * | 2017-12-20 | 2018-05-18 | 北京奇安信科技有限公司 | 一种对异常交易进行识别的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110009371A (zh) | 2019-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Schwartz et al. | Towards a standard for identifying and managing bias in artificial intelligence | |
| US11263550B2 (en) | Audit machine learning models against bias | |
| US11593811B2 (en) | Fraud detection based on community change analysis using a machine learning model | |
| US20150242856A1 (en) | System and Method for Identifying Procurement Fraud/Risk | |
| CN107330731B (zh) | 一种识别广告位点击异常的方法和装置 | |
| US9798788B1 (en) | Holistic methodology for big data analytics | |
| WO2021155053A1 (en) | Systems and methods for identifying synthetic identities | |
| CN110009371B (zh) | 异常行为确定方法、装置、设备及计算机可读存储介质 | |
| US11574360B2 (en) | Fraud detection based on community change analysis | |
| US12124599B2 (en) | Systems and methods for computing database interactions and evaluating interaction parameters | |
| US20190266619A1 (en) | Behavior pattern search system and behavior pattern search method | |
| CN117391313B (zh) | 基于ai的智能决策方法、系统、设备以及介质 | |
| US20240086736A1 (en) | Fault detection and mitigation for aggregate models using artificial intelligence | |
| CN115545886A (zh) | 逾期风险识别方法、装置、设备及存储介质 | |
| CN114997975A (zh) | 一种异常企业识别方法、装置、设备、介质及产品 | |
| CN114757757A (zh) | 一种风控方法 | |
| CN118096170A (zh) | 风险预测方法及装置、设备、存储介质和程序产品 | |
| US20210232931A1 (en) | Identifying adversarial attacks with advanced subset scanning | |
| CN117437020A (zh) | 商户风险判定方法、装置、电子设备和介质 | |
| JP2021197089A (ja) | 出力装置、出力方法及び出力プログラム | |
| CN111260219A (zh) | 资产类别识别方法、装置、设备及计算机可读存储介质 | |
| CN115795345A (zh) | 信息处理方法、装置、设备及存储介质 | |
| CN116091249A (zh) | 交易风险的评估方法、装置、电子设备和介质 | |
| CN111815442B (zh) | 一种链接预测的方法、装置和电子设备 | |
| CN113849580A (zh) | 一种主体评级预测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200923 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant after: Advanced innovation technology Co.,Ltd. Address before: A four-storey 847 mailbox in Grand Cayman Capital Building, British Cayman Islands Applicant before: Alibaba Group Holding Ltd. Effective date of registration: 20200923 Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant after: Innovative advanced technology Co.,Ltd. Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands Applicant before: Advanced innovation technology Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |