识别异常用户的方法、装置、设备及存储介质
技术领域
本申请涉及异常监控领域,尤其涉及识别异常用户的方法、装置、设备及存储介质。
背景技术
在大数据分析中,经常需要对异常用户进行识别去除异常用户的数据来提升大数据分析的准确度。目前,通常通过配置识别规则,判断用户的特征是否与识别规则匹配,确定用户是否为异常用户。
然而,当采用上述方式对异常用户进行识别去除异常用户的数据时,一方面,由于用户的数据为海量级别,逐一将每一个用户的特征信息与识别规则进行匹配导致识别过程开销较大。另一方面,由于无法确定出用户的各个特征对识别异常用户的重要程度,导致大量重要度低的特征参与计算,进而造成对识别过程的干扰,导致准确率降低,进一步增加识别过程的开销。
发明内容
本申请提供了一种识别异常用户的方法、装置、设备及存储介质,能够解决现有技术中识别异常用户的准确率较低的问题。
第一方面,本申请提供一种识别异常用户的方法,所述方法包括:
获取第一业务的业务数据;
根据所述业务数据确定访问所述第一业务的终端的终端标识和业务账户,创建对应相同终端标识的业务数据之间的第一关联关系,以及创建对应相同业务账户的业务数据之间的第二关联关系;
根据所述第一关联关系和所述第二关联关系确定属于同一用户的业务数据,将所述用户标记为待查用户,以及确定与每个所述待查用户关联的终端标识和业务账户;其中,待查用户是指在相同终端标识对应的终端上访问所述第一业务的多个用户,或者是指使用相同业务账户在不同终端上访问所述第一业务的多个用户,或者是指来自相同访问渠道的多个用户。
分别获取各终端在预设时长内访问所述第一业务时产生的第一行为数据,以及各业务账户在所述预设时长内访问所述第一业务时产生的第二行为数据;其中,所述预设时长是指用于判断具有相同行为的用户的采集时长;
若根据所述第一行为数据和所述第二行为数据确定待查用户中具有相同行为的用户,则确定具有相同行为的用户为异常嫌疑用户;其中,所述异常用户是指一个或多个异常嫌疑用户所在的用户组;所述异常嫌疑用户的行为数据包括多个指示用户的特征的特征参数;所述风险图谱用于表示业务中的异常事件,所述风险图谱包括节点和边,所述风险图谱中“边”代表发生过异常事件,“节点”的大小代表异常事件的数量,即节点的大小与出度成正比,风险图谱中的节点包括终端、用户、IP、终端标识和业务账户。
在一些可能的设计中,所述若根据所述第一行为数据和所述第二行为数据确定待查用户中具有相同行为的用户,则确定具有相同行为的用户为异常嫌疑用户,包括:
获取第一用户的用户信息,所述第一用户为合法注册用户,所述用户信息包括用于注册第一账户的注册时间信息和/或用于识别注册设备的设备注册信息;
将所述第一用户的用户信息与异常用户判断条件进行匹配;
若检测所述用户信息满足异常用户判断条件,则确定所述第一用户为异常嫌疑用户,所述异常用户判断条件包括:
所述第一用户的用户信息与所述至少一个异常用户中任一异常用户的用户信息匹配。
在一些可能的设计中,所述注册时间至少包括注册时长和注册起始时刻中的一项。所述第一用户的用户信息与所述至少一个异常用户中任一异常用户的用户信息匹配,至少包括以下实现方式之一:
若所述第一用户的注册时长与所述至少一个异常用户中任一异常用户的注册时长均小于预设时长,则确定匹配成功;
若所述第一用户的注册起始时刻与所述至少一个异常用户中任一异常用户的注册开始时刻均在预设时间段内,则确定匹配成功。
在一些可能的设计中,所述设备标识至少包括IMEI、手机号、MAC地址或IP地址中的一项设备标识时。所述第一用户的用户信息与所述至少一个异常用户中任一异常用户的用户信息匹配成功,包括:
若注册所述第一用户的设备的设备标识与注册所述至少一个异常用户中任一异常用户的设备的设备标识相同时,则确定匹配成功。
在一些可能的设计中,所述风险图谱为无监督异常检测模型,所述根据所述异常嫌疑用户的行为数据创建风险图谱,根据所述风险图谱输出异常用户,包括:
获取多个异常嫌疑用户的行为数据;
根据各异常嫌疑用户的行为数据,以无监督学习方式从所述多个异常嫌疑用户中确定出异常用户;
根据所述异常用户的行为数据,以有监督学习方式从多个特征参数中选择关键特征参数,以及生成包含关键特征参数的关键特征数据;
利用谱划分算法和所述关键特征数据构建所述无监督异常检测模型,通过所述无监督异常检测模型和异常检测算法识别满足预设规则的异常嫌疑用户为异常用户;其中,所述异常检测算法包括聚类算法和图算法。
在一些可能的设计中,所述利用谱划分算法和所述关键特征数据构建所述无监督异常检测模型,包括:
将每个所述异常用户的关键特征数据看作一个节点,根据各异常用户的关键特征数据之间的相似度为各节点之间的边赋权重值,以得到无向加权图谱G=(V,E),计算得到所述图谱的Laplacian矩阵L=D-W;
采用Laplacian Eigenmap分别对各异常用户的关键特征数据进行降维,以对所述Laplacian矩阵L进行特征值分解,以构成特征向量矩阵Q;其中,Q是指降维后的异常用户的关键特征数据;
利用聚类算法或者k-means算法对降维后的异常用户的关键特征数据进行划分,得到所述图谱上各节点的类别,最终得到所述风险图谱。
其中,所述异常检测算法包括聚类算法和图算法。
在一些可能的设计中,所述通过所述无监督异常检测模型和异常检测算法识别满足预设规则的异常嫌疑用户为异常用户,还可包括:
假设所述第一行为数据和所述第二行为数据服从概率分布模型;
判断所述第一行为数据和所述第二行为数据中是否存在与概率分布模型不一致的数据点,若存在,则将与概率分布模型不一致的数据点确定为异常点,进而将异常点对应的用户作为异常用户。
第二方面,本申请提供一种用于识别异常用户的装置,具有实现对应于上述第一方面提供的识别异常用户的的方法的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块,所述模块可以是软件和/或硬件。
一种可能的设计中,所述装置包括:
输入输出模块,用于获取第一业务的业务数据;
处理模块,用于根据所述业务数据确定访问所述第一业务的终端的终端标识和业务账户,创建对应相同终端标识的业务数据之间的第一关联关系,以及创建对应相同业务账户的业务数据之间的第二关联关系;
根据所述第一关联关系和所述第二关联关系确定属于同一用户的业务数据,将所述用户标记为待查用户,以及确定与每个所述待查用户关联的终端标识和业务账户;其中,待查用户是指在相同终端标识对应的终端上访问所述第一业务的多个用户,或者是指使用相同业务账户在不同终端上访问所述第一业务的多个用户,或者是指来自相同访问渠道的多个用户。
通过所述输入输出模块分别获取各终端在预设时长内访问所述第一业务时产生的第一行为数据,以及各业务账户在所述预设时长内访问所述第一业务时产生的第二行为数据;其中,所述预设时长是指用于判断具有相同行为的用户的采集时长;
若根据所述第一行为数据和所述第二行为数据确定待查用户中具有相同行为的用户,则确定具有相同行为的用户为异常嫌疑用户;其中,所述异常用户是指一个或多个异常嫌疑用户所在的用户组;所述异常嫌疑用户的行为数据包括多个指示用户的特征的特征参数;所述风险图谱用于表示业务中的异常事件,所述风险图谱包括节点和边,所述风险图谱中“边”代表发生过异常事件,“节点”的大小代表异常事件的数量,即节点的大小与出度成正比,风险图谱中的节点包括终端、用户、IP、终端标识和业务账户。
一种可能的设计中,所述处理模块具体用于:
通过所述输入输出模块获取第一用户的用户信息,所述第一用户为合法注册用户,所述用户信息包括用于注册第一账户的注册时间信息和/或用于识别注册设备的设备注册信息;
将所述第一用户的用户信息与异常用户判断条件进行匹配;
若检测所述用户信息满足异常用户判断条件,则确定所述第一用户为异常嫌疑用户,所述异常用户判断条件包括:
所述第一用户的用户信息与所述至少一个异常用户中任一异常用户的用户信息匹配。
一种可能的设计中,所述注册时间至少包括注册时长和注册起始时刻中的一项。所述第一用户的用户信息与所述至少一个异常用户中任一异常用户的用户信息匹配,至少包括以下实现方式之一:
若所述第一用户的注册时长与所述至少一个异常用户中任一异常用户的注册时长均小于预设时长,则确定匹配成功;
若所述第一用户的注册起始时刻与所述至少一个异常用户中任一异常用户的注册开始时刻均在预设时间段内,则确定匹配成功。
一种可能的设计中,所述设备标识至少包括IMEI、手机号、MAC地址或IP地址中的一项设备标识时,所述处理模块具体用于:
若注册所述第一用户的设备的设备标识与注册所述至少一个异常用户中任一异常用户的设备的设备标识相同时,则确定匹配成功。
一种可能的设计中,所述风险图谱为无监督异常检测模型,所述处理模块具体用于:
通过所述输入输出模块获取多个异常嫌疑用户的行为数据;
根据各异常嫌疑用户的行为数据,以无监督学习方式从所述多个异常嫌疑用户中确定出异常用户;
根据所述异常用户的行为数据,以有监督学习方式从多个特征参数中选择关键特征参数,以及生成包含关键特征参数的关键特征数据;
利用谱划分算法和所述关键特征数据构建所述无监督异常检测模型,通过所述无监督异常检测模型和异常检测算法识别满足预设规则的异常嫌疑用户为异常用户;其中,所述异常检测算法包括聚类算法和图算法。
一种可能的设计中,所述处理模块具体用于:
将每个所述异常用户的关键特征数据看作一个节点,根据各异常用户的关键特征数据之间的相似度为各节点之间的边赋权重值,以得到无向加权图谱G=(V,E),计算得到所述图谱的Laplacian矩阵L=D-W;
采用Laplacian Eigenmap分别对各异常用户的关键特征数据进行降维,以对所述Laplacian矩阵L进行特征值分解,以构成特征向量矩阵Q;其中,Q是指降维后的异常用户的关键特征数据;
利用聚类算法或者k-means算法对降维后的异常用户的关键特征数据进行划分,得到所述图谱上各节点的类别,最终得到所述风险图谱。
其中,所述异常检测算法包括聚类算法和图算法。
一种可能的设计中,所述处理模块还用于:
假设所述第一行为数据和所述第二行为数据服从概率分布模型;
判断所述第一行为数据和所述第二行为数据中是否存在与概率分布模型不一致的数据点,若存在,则将与概率分布模型不一致的数据点确定为异常点,进而将异常点对应的用户作为异常用户。
本申请又一方面提供了一种计算机设备,其包括至少一个连接的处理器、存储器和输入输出单元,其中,所述存储器用于存储程序代码,所述处理器用于调用所述存储器中的程序代码来执行上述第一方面所述的方法。
本申请又一方面提供了一种计算机存储介质,其包括指令,当其在计算机上运行时,使得计算机执行上述第一方面所述的方法。
相较于现有技术,本申请提供的方案中,通过业务数据增加账户之间的历史关联,增加账号体系、客户渠道来源、登录验证方式的关联,以及增加客户群体的行为数据关联,当同一群异常用户在异常时间有相同行为表现时,根据这些异常用户的行为数据构建风险图谱,然后基于所述风险图谱输出异常群体并阻断交易。通过采用该方案,能够进一步增强识别羊毛党或黑产组织的准确率和命中率,并及时组织羊毛党或黑产组织的交易操作,进而保护公司利益。
附图说明
图1为本申请实施例中识别异常用户的方法的一种流程示意图;
图2为本申请实施例中用于识别异常用户的装置的一种结构示意图;
图3为本申请实施例中计算机设备的一种结构示意图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块,本申请中所出现的模块的划分,仅仅是一种逻辑上的划分,实际应用中实现时可以有另外的划分方式,例如多个模块可以结合成或集成在另一个系统中,或一些特征可以忽略,或不执行。
本申请提供一种XX,可用于洗钱、金融交易、抽奖和刷票等场景。
为解决上述技术问题,本申请主要提供以下技术方案:
通过业务数据增加账户之间的历史关联,增加账号体系、客户渠道来源、登录验证方式的关联,以及增加客户群体的行为数据关联,当同一群异常用户在异常时间有相同行为表现时,根据这些异常用户的行为数据构建风险图谱,然后基于所述风险图谱输出异常群体并阻断交易。通过采用该方案,能够进一步增强识别羊毛党或黑产组织的准确率和命中率,并及时组织羊毛党或黑产组织的交易操作,进而保护公司利益。
请参照图1,以下介绍本申请实施例中的一种识别异常用户方法,所述方法包括:
101、获取第一业务的业务数据。
一些实施方式中,记录用户访问所述第一业务的访问渠道,以及记录访问至少一种业务的终端的终端标识和业务账户。
本申请仅以第一业务为例,针对其他业务识别异常用户的方案可参考本申请对第一业务的介绍,不做赘述。
102、根据所述业务数据确定访问所述第一业务的终端的终端标识和业务账户,创建对应相同终端标识的业务数据之间的第一关联关系,以及创建对应相同业务账户的业务数据之间的第二关联关系。
一些实施方式中,还可以创建终端标识、业务账户和访问渠道之间的关联关系;还可以创建业务账号、访问渠道、终端标识和登录验证方式之间的关联关系。登录验证方式包括短信验证码、邮件验证码、语音识别、授权登录等验证方式。
103、根据所述第一关联关系和所述第二关联关系确定属于同一用户的业务数据,将所述用户标记为待查用户,以及确定与每个所述待查用户关联的终端标识和业务账户。
其中,待查用户是指在相同终端标识对应的终端上访问所述第一业务的多个用户,或者是指使用相同业务账户在不同终端上访问所述第一业务的多个用户,或者是指来自相同访问渠道的多个用户。
104、分别获取各终端在预设时长内访问所述第一业务时产生的第一行为数据,以及各业务账户在所述预设时长内访问所述第一业务时产生的第二行为数据。
其中,所述预设时长是指用于判断具有相同行为的用户的采集时长。例如,集中在1min内刷票或者集中在5s内交易。
105、若根据所述第一行为数据和所述第二行为数据确定待查用户中具有相同行为的用户,则确定具有相同行为的用户为异常嫌疑用户。
一些实施方式中,所述若根据所述第一行为数据和所述第二行为数据确定待查用户中具有相同行为的用户,则确定具有相同行为的用户为异常嫌疑用户,包括:
获取第一用户的用户信息,所述第一用户为合法注册用户,所述用户信息包括用于注册第一账户的注册时间信息和/或用于识别注册设备的设备注册信息;
将所述第一用户的用户信息与异常用户判断条件进行匹配;
若检测所述用户信息满足异常用户判断条件,则确定所述第一用户为异常嫌疑用户。
一些实施方式中,所述异常用户判断条件包括:
所述第一用户的用户信息与所述至少一个异常用户中任一异常用户的用户信息匹配。
下面分别从所述用户信息包括注册时间和设备标识两方面介绍所述异常用户判断条件:
1、当所述用户信息包括注册时间时。
所述注册时间至少包括注册时长和注册起始时刻中的一项。所述第一用户的用户信息与所述至少一个异常用户中任一异常用户的用户信息匹配,至少包括以下实现方式之一:
若所述第一用户的注册时长与所述至少一个异常用户中任一异常用户的注册时长均小于预设时长,则确定匹配成功;
若所述第一用户的注册起始时刻与所述至少一个异常用户中任一异常用户的注册开始时刻均在预设时间段内,则确定匹配成功。
2、当所述用户信息包括设备标识时。
一些实施方式中,所述设备标识至少包括IMEI、手机号、MAC地址或IP地址中的一项。所述第一用户的用户信息与所述至少一个异常用户中任一异常用户的用户信息匹配成功,包括:
若注册所述第一用户的设备的设备标识与注册所述至少一个异常用户中任一异常用户的设备的设备标识相同时,则确定匹配成功。
106、根据所述异常嫌疑用户的行为数据创建风险图谱,根据所述风险图谱输出异常用户,并停止所述异常用户的交易操作。
其中,所述异常用户是指一个或多个异常嫌疑用户所在的用户组。
所述异常嫌疑用户的行为数据包括多个指示用户的特征的特征参数,例如,特征参数包含用户的账号、用户名、电话号码、URL等特征参数。
所述风险图谱用于表示业务中的异常事件,所述风险图谱包括节点和边,所述风险图谱中“边”代表发生过异常事件,“节点”(终端、用户、IP、终端标识和业务账户)的大小代表异常事件的数量,即节点的大小与出度成正比,风险图谱中的节点包括终端、用户、IP、终端标识和业务账户。
一些实施方式中,所述风险图谱为无监督异常检测模型,所述根据所述异常嫌疑用户的行为数据创建风险图谱,根据所述风险图谱输出异常用户,包括:
获取多个异常嫌疑用户的行为数据;
根据各异常嫌疑用户的行为数据,以无监督学习方式从所述多个异常嫌疑用户中确定出异常用户;
根据所述异常用户的行为数据,以有监督学习方式从多个特征参数中选择关键特征参数,以及生成包含关键特征参数的关键特征数据;
利用谱划分算法和所述关键特征数据构建所述无监督异常检测模型,通过所述无监督异常检测模型和异常检测算法识别满足预设规则的异常嫌疑用户为异常用户。
其中,所述异常检测算法包括聚类算法和图算法。所述聚类算法根据所述风险图谱对行为数据对应的用户进行分组,去掉与用户组不同的用户,得到多个用户组,将与用户组不同的用户作为异常点。所述图算法包括PageRank和FastUnfolding等算法。
在本申请的一些实施方式中,所述利用谱划分算法和所述关键特征数据构建所述无监督异常检测模型,包括:
将每个所述异常用户的关键特征数据看作一个节点,根据各异常用户的关键特征数据之间的相似度为各节点之间的边赋权重值,以得到无向加权图谱G=(V,E),计算得到所述图谱的Laplacian矩阵L=D-W;
采用Laplacian Eigenmap分别对各异常用户的关键特征数据进行降维,以对所述Laplacian矩阵L进行特征值分解,以构成特征向量矩阵Q;其中,Q是指降维后的异常用户的关键特征数据;
利用聚类算法或者k-means算法对降维后的异常用户的关键特征数据进行划分,得到所述图谱上各节点的类别,最终得到所述风险图谱。
其中,所述异常检测算法包括聚类算法和图算法。所述聚类算法是指根据所述风险图谱对行为数据对应的用户进行分组,去掉与用户组不同的用户,得到多个用户组,将与用户组不同的用户作为异常点。所述图算法包括PageRank和FastUnfolding等算法。
一些实施方式中,所述通过所述无监督异常检测模型和异常检测算法识别满足预设规则的异常嫌疑用户为异常用户,还可包括:
假设所述第一行为数据和所述第二行为数据服从概率分布模型;
判断所述第一行为数据和所述第二行为数据中是否存在与概率分布模型不一致的数据点,若存在,则将与概率分布模型不一致的数据点确定为异常点,进而将异常点对应的用户作为异常用户。
与现有机制相比,本申请实施例中,通过业务数据增加账户之间的历史关联,增加账号体系、客户渠道来源、登录验证方式的关联,以及增加客户群体的行为数据关联,当同一群异常用户在异常时间有相同行为表现时,根据这些异常用户的行为数据构建风险图谱,然后基于所述风险图谱输出异常群体并阻断交易。通过采用该方案,能够进一步增强识别羊毛党或黑产组织的准确率和命中率,并及时组织羊毛党或黑产组织的交易操作,进而保护公司利益。
上述图1对应的实施例或实施方式中所提及的技术特征也同样适用于本申请中的图2和图3所对应的实施例,后续类似之处不再赘述。
以上对本申请中一种识别异常用户的方法进行说明,以下对执行上述识别异常用户的方法及装置进行描述。
如图2所示的一种装置应用于识别异常用户的装置20的结构示意图,其可应用于洗钱、金融交易、抽奖和刷票等场景。本申请实施例中的装置20能够实现对应于上述图1所对应的实施例中所执行的识别异常用户的方法的步骤。装置20实现的功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块,所述模块可以是软件和/或硬件。所述装置20可包括输入输出模块201和处理模块202,所述处理模块202和输入输出模块201的功能实现可参考图1所对应的实施例中所执行的操作,此处不作赘述。所述处理模块202可用于控制所述输入输出模块201的收发操作。
一些实施方式中,所述输入输出模块201可用于获取第一业务的业务数据;
所述处理模块202可用于根据所述业务数据确定访问所述第一业务的终端的终端标识和业务账户,创建对应相同终端标识的业务数据之间的第一关联关系,以及创建对应相同业务账户的业务数据之间的第二关联关系;
根据所述第一关联关系和所述第二关联关系确定属于同一用户的业务数据,将所述用户标记为待查用户,以及确定与每个所述待查用户关联的终端标识和业务账户;其中,待查用户是指在相同终端标识对应的终端上访问所述第一业务的多个用户,或者是指使用相同业务账户在不同终端上访问所述第一业务的多个用户,或者是指来自相同访问渠道的多个用户。
通过所述输入输出模块201分别获取各终端在预设时长内访问所述第一业务时产生的第一行为数据,以及各业务账户在所述预设时长内访问所述第一业务时产生的第二行为数据;其中,所述预设时长是指用于判断具有相同行为的用户的采集时长;
若根据所述第一行为数据和所述第二行为数据确定待查用户中具有相同行为的用户,则确定具有相同行为的用户为异常嫌疑用户;其中,所述异常用户是指一个或多个异常嫌疑用户所在的用户组;所述异常嫌疑用户的行为数据包括多个指示用户的特征的特征参数;所述风险图谱用于表示业务中的异常事件,所述风险图谱包括节点和边,所述风险图谱中“边”代表发生过异常事件,“节点”的大小代表异常事件的数量,即节点的大小与出度成正比,风险图谱中的节点包括终端、用户、IP、终端标识和业务账户。
本申请实施例中,通过业务数据增加账户之间的历史关联,增加账号体系、客户渠道来源、登录验证方式的关联,以及增加客户群体的行为数据关联,当同一群异常用户在异常时间有相同行为表现时,根据这些异常用户的行为数据构建风险图谱,然后基于所述风险图谱输出异常群体并阻断交易。通过采用该方案,能够进一步增强识别羊毛党或黑产组织的准确率和命中率,并及时组织羊毛党或黑产组织的交易操作,进而保护公司利益。
一些实施方式中,所述处理模块具体用于:
通过所述输入输出模块获取第一用户的用户信息,所述第一用户为合法注册用户,所述用户信息包括用于注册第一账户的注册时间信息和/或用于识别注册设备的设备注册信息;
将所述第一用户的用户信息与异常用户判断条件进行匹配;
若检测所述用户信息满足异常用户判断条件,则确定所述第一用户为异常嫌疑用户,所述异常用户判断条件包括:
所述第一用户的用户信息与所述至少一个异常用户中任一异常用户的用户信息匹配。
一些实施方式中,所述注册时间至少包括注册时长和注册起始时刻中的一项。所述第一用户的用户信息与所述至少一个异常用户中任一异常用户的用户信息匹配,至少包括以下实现方式之一:
若所述第一用户的注册时长与所述至少一个异常用户中任一异常用户的注册时长均小于预设时长,则确定匹配成功;
若所述第一用户的注册起始时刻与所述至少一个异常用户中任一异常用户的注册开始时刻均在预设时间段内,则确定匹配成功。
一些实施方式中,所述设备标识至少包括IMEI、手机号、MAC地址或IP地址中的一项设备标识时,所述处理模块具体用于:
若注册所述第一用户的设备的设备标识与注册所述至少一个异常用户中任一异常用户的设备的设备标识相同时,则确定匹配成功。
一些实施方式中,所述风险图谱为无监督异常检测模型,所述处理模块具体用于:
通过所述输入输出模块获取多个异常嫌疑用户的行为数据;
根据各异常嫌疑用户的行为数据,以无监督学习方式从所述多个异常嫌疑用户中确定出异常用户;
根据所述异常用户的行为数据,以有监督学习方式从多个特征参数中选择关键特征参数,以及生成包含关键特征参数的关键特征数据;
利用谱划分算法和所述关键特征数据构建所述无监督异常检测模型,通过所述无监督异常检测模型和异常检测算法识别满足预设规则的异常嫌疑用户为异常用户;其中,所述异常检测算法包括聚类算法和图算法。
一些实施方式中,所述处理模块具体用于:
将每个所述异常用户的关键特征数据看作一个节点,根据各异常用户的关键特征数据之间的相似度为各节点之间的边赋权重值,以得到无向加权图谱G=(V,E),计算得到所述图谱的Laplacian矩阵L=D-W;
采用Laplacian Eigenmap分别对各异常用户的关键特征数据进行降维,以对所述Laplacian矩阵L进行特征值分解,以构成特征向量矩阵Q;其中,Q是指降维后的异常用户的关键特征数据;
利用聚类算法或者k-means算法对降维后的异常用户的关键特征数据进行划分,得到所述图谱上各节点的类别,最终得到所述风险图谱。
其中,所述异常检测算法包括聚类算法和图算法。
一些实施方式中,所述处理模块还用于:
假设所述第一行为数据和所述第二行为数据服从概率分布模型;
判断所述第一行为数据和所述第二行为数据中是否存在与概率分布模型不一致的数据点,若存在,则将与概率分布模型不一致的数据点确定为异常点,进而将异常点对应的用户作为异常用户。
图2中所示的输入输出模块201对应的实体设备为图3所示的输入输出单元,该输入输出单元能够实现输入输出模块1部分或全部的功能,或者实现与输入输出模块201相同或相似的功能。
图2中所示的处理模块202对应的实体设备为图3所示的处理器,该处理器能够实现处理模块202部分或全部的功能,或者实现与处理模块202相同或相似的功能。
上面从模块化功能实体的角度分别介绍了本申请实施例中的计算机设备,以下从硬件角度介绍一种计算机设备,如图3所示,其包括:处理器、存储器、输入输出单元(也可以是输入输出单元,图3中未标识出)以及存储在所述存储器中并可在所述处理器上运行的计算机程序。例如,该计算机程序可以为图1所对应的实施例中识别异常用户的方法对应的程序。例如,当计算机设备实现如图2所示的装置20的功能时,所述处理器执行所述计算机程序时实现上述图2所对应的实施例中由装置20执行的识别异常用户的方法中的各步骤;或者,所述处理器执行所述计算机程序时实现上述图2所对应的实施例的装置20中各模块的功能。又例如,该计算机程序可以为图1所对应的实施例中识别异常用户的方法对应的程序。
所称处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述计算机设备的控制中心,利用各种接口和线路连接整个计算机设备的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述计算机设备的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、视频数据等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
所述输入输出单元也可以用接收器和发送器代替,可以为相同或者不同的物理实体。为相同的物理实体时,可以统称为输入输出单元。该输入输出单元可以为输入输出单元。
所述存储器可以集成在所述处理器中,也可以与所述处理器分开设置。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器或者网络设备等)执行本申请各个实施例所述的方法。
上面结合附图对本申请的实施例进行了描述,但是本申请并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本申请的启示下,在不脱离本申请宗旨和权利要求所保护的范围情况下,还可做出很多形式,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,这些均属于本申请的保护之内。