CN110533297B - 一种识别异常设备的方法及装置 - Google Patents

Abstract

本发明公开了一种识别异常设备的方法及装置，该方法适用于支付类应用的应用服务器，该方法包括：获取运行支付类应用的设备的姿态特征值和交易行为特征值；根据设备的姿态特征值和交易行为特征值，确定设备在固定时长内的各类交易事件的第一评分；以及，获取在所述固定时长内设备的固有属性特征值及集群属性特征值，和根据设备的固有属性特征值及集群属性特征值，确定第二评分。最终根据第一评分和第二评分，确定设备是否为异常交易设备。该方法用于实时对异常交易行为进行侦测或拦截。

Description

一种识别异常设备的方法及装置

技术领域

本发明涉及数据处理技术领域，尤其涉及一种识别异常设备的方法及装置。

背景技术

近年来，随着智能终端支付技术的不断发展，使用手机进行支付的用户也越来越多。随之而来的是，智能终端支付面临的业务风险也日益显现，特别是近年来犯罪分子利用终端支付进行营销恶意套利的行为愈加猖獗，其套利手段逐渐趋向专业化及团伙化，给企业和个人造成了直接或间接损失。

目前，基于交易个体特征分析的机器学习侦测方法被逐渐利用于营销套利等异常交易的侦测之中。但这种检测方式十分依赖于已有的套利交易样本及其标签数据，无法及时检测出异常交易行为，不能对异常交易行为进行实时侦测或拦截。

发明内容

本发明实施例提供一种识别异常设备的方法及装置，用于实时对异常交易行为进行侦测或拦截。

第一方面、本发明实施例提供一种识别异常设备的方法，该方法应用于支付类应用的应用服务器，该方法包括：

获取运行所述支付类应用的设备的姿态特征值和交易行为特征值，根据所述设备的姿态特征值和交易行为特征值，确定所述设备在固定时长内的各类交易事件的第一评分，获取在所述固定时长内所述设备的固有属性特征值及集群属性特征值。根据所述设备的固有属性特征值及集群属性特征值，确定第二评分。根据所述第一评分和第二评分，确定所述设备是否为异常交易设备。

上述技术方案中，基于设备在不同时段上报的交易数据，以及从设备获取该设备的固有属性信息和集群属性信息确定利用自动化脚本进行刷单操作的异常交易设备，通过及时检测出异常交易行为，对异常交易行为进行实时侦测或拦截。

在一种可能的实现方式里，确定所述设备是否为异常交易设备之后，还包括：当所述设备为异常交易设备时，向所述目标终端发送安全验证请求，所述安全验证请求用于请求所述设备对用户进行验证。

具体的，当确定所述设备为异常交易设备时，在设备中的支付类应用端弹出人机验证页面，可以为验证码、图像框选等实现人机的交互验证，以实现对机器用户的拦截。

在一种可能的实现方式里，根据所述设备的姿态特征值和交易行为特征值，确定所述设备在固定时长内的各类交易事件的第一评分，包括：

针对所述设备的任意一类交易事件，针对所述交易事件的姿态特征值和交易行为特征值，按照公式一确定所述交易事件的异常交易贡献值；

P_event＝N×N′×P_a×P_b....公式一

其中，P_a为所述交易事件的姿态特征值，P_b为所述交易事件的交易行为特征值；N为所述交易事件的总交易时长与所述固定时长的比值；N′为所述交易事件的总交易时长与所述设备的所有交易事件的总时长的比值；

根据各类交易事件的异常交易贡献值的和值，以及交易事件先后顺序因子，按照公式二确定第一评分；

P₁＝(P_event ¹+P_event ²+…+P_event ⁿ)×k....公式二

其中，P_event ¹为第一类交易事件的异常交易贡献值，P_event ²为第二类交易事件的异常交易贡献值，P_event ⁿ为第n类交易事件的异常交易贡献值，k为所述交易事件先后顺序因子；P₁为所述第一评分。

上述技术方案中，根据设备的姿态特征值和交易行为特征值，确定出设备在固定时长内的各类交易事件的第一评分。

在一种可能的实现方式里，所述根据所述设备的固有属性特征值及集群属性特征值，确定第二评分，包括：对所述设备的固有属性特征值及集群属性特征值进行归一化，得到所述设备在所述固定时长内的特征向量值，

根据所述设备在所述固定时长内的特征向量值和与每个所述特征向量值对应的权重值，按照公式三确定所述第二评分；

其中，x_i为第i个特征向量值，a_i为第i个特征向量值的权重值，i的取值从1到m，P₂为所述第二评分。

上述技术方案中，根据所述设备的固有属性特征值及集群属性特征值，确定第二评分。

可选地，所述根据所述第一评分和第二评分，确定所述设备是否为异常交易设备，包括：当所述第一评分和所述第二评分的和值大于设定阈值，确定所述设备为异常交易设备。

上述技术方案中，当第一评分和所述第二评分的和值大于设定阈值，确定所述设备为异常交易设备。

第二方面、本发明实施例还提供了一种刷单交叉识别装置，该装置包括：

获取单元，用于运行所述支付类应用的设备的姿态特征值和交易行为特征值；

第一计算单元，用于根据所述设备的姿态特征值和交易行为特征值，确定所述设备在固定时长内的各类交易事件的第一评分；

所述获取单元，还用于获取在所述固定时长内所述设备的固有属性特征值及集群属性特征值；

第二计算单元，用于根据所述设备的固有属性特征值及集群属性特征值，确定第二评分；

确定单元，用于根据所述第一评分和第二评分，确定所述设备是否为异常交易设备。

在一种可能的实现方式里，所述装置还包括：发送单元，用于：

当所述设备为异常交易设备时，向所述目标终端发送安全验证请求，所述安全验证请求用于请求所述设备对用户进行验证。

在一种可能的实现方式里，所述第一计算，具体用于：针对所述设备的任意一类交易事件，针对所述交易事件的姿态特征值和交易行为特征值，按照公式一确定所述交易事件的异常交易贡献值；

P_event＝N×N′×P_a×P_b....公式一

其中，P_a为所述交易事件的姿态特征值，P_b为所述交易事件的交易行为特征值；N为所述交易事件的总交易时长与所述固定时长的比值；N^′为所述交易事件的总交易时长与所述设备的所有交易事件的总时长的比值；

根据各类交易事件的异常交易贡献值的和值，以及交易事件先后顺序因子，按照公式二确定第一评分；

P₁＝(P_event ¹+P_event ²+…+P_event ⁿ)×k....公式二

其中，P_event ¹为第一类交易事件的异常交易贡献值，P_event ²为第二类交易事件的异常交易贡献值，P_event ⁿ为第n类交易事件的异常交易贡献值，k为所述交易事件先后顺序因子；P₁为所述第一评分。

在一种可能的实现方式里，所述第二计算单元，具体用于：

对所述设备的固有属性特征值及集群属性特征值进行归一化，得到所述设备在所述固定时长内的特征向量值；

根据所述设备在所述固定时长内的特征向量值和与每个所述特征向量值对应的权重值，按照公式三确定所述第二评分；

其中，x_i为第i个特征向量值，a_i为第i个特征向量值的权重值，i的取值从1到m，P₂为所述第二评分。

在一种可能的实现方式里，所述确定单元，具体用于：当所述第一评分和所述第二评分的和值大于设定阈值，确定所述设备为异常交易设备。

第三方面、本发明实施例还提供了一种计算设备，包括：存储器，用于存储程序指令；处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行第一方面或第一方面中任一实施例的方法。

第四方面、本发明实施例还提供了一种计算机可读非易失性存储介质，包括计算机可读指令，当计算机读取并执行所述计算机可读指令时，使得计算机执行第一方面或第一方面中任一实施例的方法。

附图说明

图1为本发明实施例提供的一种应用事件示意图；

图2为本发明实施例提供的一种识别异常设备的方法的流程示意图；

图3为本发明实施例提供的另一种识别异常设备的方法的流程示意图；

图4为本发明实施例提供的基于姿态特征及交易行为特征建立的交叉识别算法示意图；

图5本发明实施例提供的获得设备总的异常评分的流程示意图；

图6本发明实施例提供的人机验证的流程示意图；

图7A为本发明实施例提供的根据交易属性进行模型训练的效果示意图；

图7B为本发明实施例提供的根据设备姿态特征进行模型训练的效果示意图；

图7C为本发明实施例提供的根据设备姿态特征和交易属性交叉识别结合事件序列特征的训练的效果示意图；

图8为本发明实施例提供的一种识别异常设备的装置的结构示意图；

图9为本发明实施例提供的一种计算机设备的结构示意图。

具体实施方式

为了使本发明的目的、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明实施例中识别异常设备的方法可以应用于线上交易场景，用于识别利用自动化脚本进行刷单操作的异常交易设备。示例性地，如图1所示，该场景中包括设备101和服务器102，该设备101包括支付类应用，服务器102为该支付类应用对应的应用服务器。设备101和服务器102通过无线网络连接。设备可以为智能终端，例如手机、平板设备等。每个设备对应一个账户，用户在设备中的支付类应用进行交易时，设备将上报交易数据至服务器102，数据包括账户信息、商户信息、交易时间、交易金额、交易类型等。服务器102可以基于设备101在不同时段上报的交易数据，以及从设备获取该设备的固有属性信息和集群属性信息确定利用自动化脚本进行刷单操作的异常交易设备。

基于图1所示的应用场景图，本发明实施例提供了一种识别异常设备的方法的流程，该方法的流程可以由服务器102执行，如图2所示，包括以下步骤：

步骤S201，获取运行所述支付类应用的设备的姿态特征值和交易行为特征值。

具体地，例如支付类应用可以为云闪付app，姿态特征值可以为服务器102根据从设备101获取的传感器采集数据抽取的特征值。传感器采集数据可以为陀螺仪采集的动态信息，包括设备位置坐标值、设备仰角值各分量值、设备加速度分量值、设备角加速度分量值及各值对应的时间点。

传感器采集数据还可以包括：设备后台数据波动特征，包括设备电量值、设备内存使用量值及设备存储空间占用量及各值对应的时间点，设备APP端进行各操作事件名称标签及对应时间点，包括设备登录APP、设备填写手机号绑卡号、设备点击app功能、设备扫码、设备转账等相应操作的标签名称及对应时间点。

传感器采集数据还可以包括：根据设备操作时间点对应的交易事件，对各动态数据进行特征抽取和分析后得到的数据，包括：时间区间内设备的动态值的最小值、最大值、方差值、数据波动中波峰出现次数及波谷出现次数。

交易行为特征值可以为服务器102根据从设备101获取的交易类行为数据抽取的特征值。交易类行为即用户在操作支付类应用时，触发相应的交易及资金流动，交易类行为数据可以为：产生交易事件时交易片段的长度、产生的交易笔数、交易平均时间间隔、交易最短时间间隔、连续多笔相同金额/贴整交易金额笔数及平均时间间隔、设备交易APP操作中切换的用户数，交易中绑定的银行卡卡片数。

步骤202，根据所述设备的姿态特征值和交易行为特征值，确定所述设备在固定时长内的各类交易事件的第一评分。

具体地，针对所述设备的任意一类交易事件，针对所述交易事件的姿态特征值和交易行为特征值，按照公式一确定所述交易事件的异常交易贡献值；

P_event＝N×N′×P_a×P_b....公式一

其中，P_a为所述交易事件的姿态特征值，P_b为所述交易事件的交易行为特征值；N为所述交易事件的总交易时长与所述固定时长的比值；N′为所述交易事件的总交易时长与所述设备的所有交易事件的总时长的比值；

根据各类交易事件的异常交易贡献值的和值，以及交易事件先后顺序因子，按照公式二确定第一评分；

P₁＝(P_event ¹+P_event ²+…+P_event ⁿ)×k....公式二

其中，P_event ¹为第一类交易事件的异常交易贡献值，P_event ²为第二类交易事件的异常交易贡献值，P_event ⁿ为第n类交易事件的异常交易贡献值，k为所述交易事件先后顺序因子；P₁为所述第一评分。

其中交易事件先后顺序因子的具体评判方法如下：将两两交易事件进行比较，若i事件完全发生在j事件之前或之后，则记1，若i事件发生起始时间中间存在j事件操作，则记0。如果当前有三个交易事件，则生成一个三维的向量，如各交易事件均按顺序先后发生，则向量值为(1，1，1)，此时k＝(1+1+1)/3＝1，如有两个交易事件时间交叉，另一个事件在他们发生之后才操作，则向量值为(0，1，1)，取平均后可获得交易先后顺序因子，此时，k＝(0+1+1)/3＝2/3。

步骤203，获取在所述固定时长内所述设备的固有属性特征值及集群属性特征值。

具体的，设备的固有属性特征值可以从设备101获取的设备的固有属性数据抽取的特征值。例如，设备101的固有属性数据可以为：1)用户所在苹果手机apple_id是否为随机命名或乱码命名，若是则记1，不是则记0；2)用户手机ios系统版本新旧程度，若为ios8以下设备则记2，ios9～ios10设备记1，ios11以上设备记0；3)用户一天内操作手机的平均电量、最高电量、最低电量值。设备的固有集群特征值可以从设备获取的设备的集群属性数据抽取的特征值。

设备的集群属性数据可以为：1)用户苹果手机所在ip下，全天共连接的设备个数；2)用户苹果手机所在设备下，一天内共登录的用户id个数；3)用户苹果手机所在设备下，一天内登录的用户是否为逐一登录，即一个用户登录时间全在另一个用户之后。若为逐一登录则记1，非逐一登录记0。

步骤204，根据所述设备的固有属性特征值及集群属性特征值，确定第二评分。

对所述设备的固有属性特征值及集群属性特征值进行归一化，得到所述设备在所述固定时长内的特征向量值；

根据所述设备在所述固定时长内的特征向量值和与每个所述特征向量值对应的权重值，按照公式三确定所述第二评分；

其中，x_i为第i个特征向量值，a_i为第i个特征向量值的权重值，i的取值从1到m，P₂为所述第二评分。

步骤205，根据所述第一评分和第二评分，确定所述设备是否为异常交易设备。

具体的,当所述第一评分和所述第二评分的和值大于设定阈值，确定所述设备为异常交易设备。

在一种可能的实施方式中，当所述设备为异常交易设备时，向所述目标终端发送安全验证请求，所述安全验证请求用于请求所述设备对用户进行验证。

具体的，当确定所述设备为异常交易设备时，在设备中的支付类应用端弹出人机验证页面，可以为验证码、图像框选等实现人机的交互验证，以实现对异常交易行为的拦截。

为了更好的解释本发明实施例，下面结合具体的实施事件描述本发明实施例提供的一种识别异常设备的方法。

比如，用户在苹果手机上用云闪付app领取红包、充值和转账三个不同交易事件下的操作和人机识别为例，对各个事件所处的时间片段进行侦测。云闪付app的应用服务器根据触发交易行为起始时间及交易行为结束为终止时间获取各侦测时间窗口。如扫码事件，从打开扫码支付开始，至扫码识别完成，确认支付成功为结束时间点。如图3所示，该方法包括：

步骤S301:针对所述设备的任意一类交易事件，针对所述交易事件的姿态特征值和交易行为特征值，按照公式一确定所述交易事件的异常交易贡献值。

如图4所示：基于上述不同交易事件的设备姿态特征抽取及交易行为特征分析，建立如下人机行为交叉识别算法：

首先，选取人机操作用户样本建立模型训练集，基于设备姿态特征及用户交易行为特征分别建立采用GBDT分类及逻辑回归模型进行样本训练，形成基于两类特征的各自的样本分类及机器操作可疑度的识别器，对某一用户各段交易行为进行可疑度量化评估。在此基础上，对操作用户全时间段进行交叉分析，利用各段的可疑性概率值及全操作时间段的时间序列特征，对样本进行再次的训练和特征分析，以获取多事件的可疑性交叉分析。其中全时间段的交叉分析特征量化指标包括：

(1)各事件下设备操作时间及其占全事件周期的百分数。

(2)各事件下标签及评分值。

(3)各事件之间时间间隔及先后顺序因子。

根据公式1算出领取红包的异常交易贡献值：

P_scan＝N_scan×N_scan′×P_a-scan×P_b-scan

N_scan′＝N_scan/(N_scan+N_pay+N_tran)

其中：P_a-scan为领取红包中苹果手机的姿态特征值，P_b-scan为领取红包的交易行为特征值；N_scan为领取红包的总交易时长占一天的时间百分比；N_scan′为领取红包的总交易时长与所述设备的所有交易事件的总时长的比值。固定时长可以为一天。

类似的，根据公式1算出充值事件的异常交易贡献值：

P_pay＝N_pay×N_pay′×P_a-pay×P_b-pay

N_pay’＝N_pay/(N_scan+N_pay+N_tran)

其中：P_pay为充值事件中苹果手机的姿态特征值，P_b-pay为充值事件的交易行为特征值；N_pay为充值事件的总交易时长自占一天的时间百分比；N_pay′为充值事件的总交易时长与所述设备的所有交易事件的总时长的比值。固定时长可以为一天。

类似的，根据公式1算出转帐事件的异常交易贡献值：

P_tran＝N_tran×N_tran′×P_a-tran×P_b-tran

N_tran′＝N_tran/(N_scan+N_pay+N_tran)

其中：P_a-tran为转帐事件中苹果手机的姿态特征值，P_b-tran为转帐事件的交易行为特征值；N_tran为转帐事件的总交易时长占一天的时间百分比；N_tran′为转帐事件的总交易时长与所述设备的所有交易事件的总时长的比值。

步骤S302:根据各类交易事件的异常交易贡献值的和值，以及交易事件先后顺序因子，按照公式二确定第一评分。

获取了用户姿态特征值和交易行为特征值,通过两类的特征值进一步挖掘特征关系及时序关系。

P₁＝(P_scan+P_pay+P_tran)×k

其中交易事件先后顺序因子k，该因子k具体评判方法如下：

两两比较事件，若i事件完全发生在j事件之前或之后，则记1，若i事件发生起始时间中间存在j事件操作，则记0。

对于当前三个事件交易的比较，则生成一个三维的向量，如各事件均按顺序先后发生，例如顺序为领红包、手机充值、转账，则向量值为(1，1，1)此时k＝(1+1+1)/3＝1。

如有两个事件时间交叉，另一个事件在他们发生之后才操作，如领红包、转账、领红包、充值，即领红包的顺序不对，转账、充值还是按顺序进行，则向量值为(0，1，1)，取平均后可获得交易先后顺序因子。

此时k＝(0+1+1)/3＝2/3。

步骤S303:根据所述设备在所述固定时长内的特征向量值和与每个所述特征向量值对应的权重值，按照公式三确定所述第二评分；

获取各特征生成一天内用户的设备特征向量(X₁，X₂，X₃，…，X_n)，归一化后生成特征向量阵(x₁，x₂，x₃，…，x_n)，其中：x_i＝X_i/(X_imax-X_imin),X_imax、X_imin为所有设备Xi特征值的最大值和最小值。

利用样本数据建立GBDT机器学习模型，训练后获得各归一化后特征的特征权值参数(a1，a2，…an),获得如表1所示的特征向量值和与每个所述特征向量值对应的权重值P₂。

表1

根据公式三确定第二评分；

步骤S304:当所述第一评分和所述第二评分的和值大于设定阈值，确定所述设备为异常交易设备。

根据第一评分和第二评分，确定出设备总的异常评分P。其中P＝P₁+P₂，当P大于设定阈值时，确定所述设备为异常交易设备。

如图5所示，在云闪付app操作过程中，从打开app操作至当前操作时间点，根据上文所述姿态特征与交易特征的交叉评价方法，可以获取各时间点T下的交叉综合评分P₁，同时辅助结合静态及集群属性归属特征，在原有综合评分基础上附加该类加权评分P₂，获得实时侦测中的设备综合评分。

步骤S305:当所述设备为异常交易设备时，向所述目标终端发送安全验证请求，所述安全验证请求用于请求所述设备对用户进行验证。

如图6所示，基于上述设备姿态属性和交易行为的交叉分析，可以实现全事件下的设备人机识别的全局分析。在此基础上，设计人机操作的实时侦测装置，辅助设备固有属性及集群归集性的特征，在云闪付app端嵌入模型算法，在设备操作侧对异常自动化操作行为进行及时预警与人机验证核实。

当确定所述设备为异常交易设备时，云闪付app弹出人机验证页面，可以为验证码、图像框选等实现人机的交互验证，以实现对异常交易的拦截。

如图7A所示：根据交易属性进行模型训练的效果：AUC＝0.8024，如图7B所示：根据设备姿态特征进行模型训练的效果：AUC＝0.9031，如图7C所示：根据设备姿态特征和交易属性交叉识别结合事件序列特征的训练效果：AUC＝0.9566，相关实施例结果验证，结果表明采用交叉验证的模型具有更好的模型侦测精度，其中，AUC的英文全称是Area UnderCurve，为接收机工作特性曲线(Receiver Operating Characteristic，ROC)曲线下方面积(Area Under Curve)。

基于相同的技术构思，本发明实施例提供了一种识别异常设备的装置，如图8所示，该装置800包括：

获取单元801，用于运行所述支付类应用的设备的姿态特征值和交易行为特征值；

第一计算单元802，用于根据所述设备的姿态特征值和交易行为特征值，确定所述设备在固定时长内的各类交易事件的第一评分；

所述获取单元801，还用于获取在所述固定时长内所述设备的固有属性特征值及集群属性特征值；

第二计算单元803，用于根据所述设备的固有属性特征值及集群属性特征值，确定第二评分；

确定单元804，用于根据所述第一评分和第二评分，确定所述设备是否为异常交易设备。

可选地，还包括发送单元805,用于：

当所述设备为异常交易设备时，向所述目标终端发送安全验证请求，所述安全验证请求用于请求所述设备对用户进行验证。

可选地，所述第一计算单元802，具体用于：

针对所述设备的任意一类交易事件，针对所述交易事件的姿态特征值和交易行为特征值，按照公式一确定所述交易事件的异常交易贡献值；

P_event＝N×N′×P_a×P_b…公式一

其中，P_a为所述交易事件的姿态特征值，P_b为所述交易事件的交易行为特征值；N为所述交易事件的总交易时长与所述固定时长的比值；N′为所述交易事件的总交易时长与所述设备的所有交易事件的总时长的比值；

根据各类交易事件的异常交易贡献值的和值，以及交易事件先后顺序因子，按照公式二确定第一评分；

P₁＝(P_event ¹+P_event ²+…+P_event ⁿ)×k....公式二

其中，P_event ¹为第一类交易事件的异常交易贡献值，P_event ²为第二类交易事件的异常交易贡献值，P_event ⁿ为第n类交易事件的异常交易贡献值，k为所述交易事件先后顺序因子；P₁为所述第一评分。

可选地，所述第二计算单元803，具体用于：

对所述设备的固有属性特征值及集群属性特征值进行归一化，得到所述设备在所述固定时长内的特征向量值；

根据所述设备在所述固定时长内的特征向量值和与每个所述特征向量值对应的权重值，按照公式三确定所述第二评分；

其中，x_i为第i个特征向量值，a_i为第i个特征向量值的权重值，i的取值从1到m，P₂为所述第二评分。

可选地，所述确定单元804，具体用于：

当所述第一评分和所述第二评分的和值大于设定阈值，确定所述设备为异常交易设备。

基于相同的技术构思，本发明实施例提供了一种计算机设备，如图9所示，包括至少一个处理器901，以及与至少一个处理器连接的存储器902，本发明实施例中不限定处理器901与存储器902之间的具体连接介质，图7中处理器901和存储器902之间通过总线连接为例。总线可以分为地址总线、数据总线、控制总线等。

在本发明实施例中，存储器902存储有可被至少一个处理器901执行的指令，至少一个处理器901通过执行存储器902存储的指令，可以执行前述的识别异常设备的方法中所包括的步骤。

其中，处理器901是计算机设备的控制中心，可以利用各种接口和线路连接计算机设备的各个部分，通过运行或执行存储在存储器902内的指令以及调用存储在存储器902内的数据，从而识别异常设备。可选的，处理器901可包括一个或多个处理单元，处理器901可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器901中。在一些实施例中，处理器901和存储器902可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。

处理器901可以是通用处理器，例如中央处理器(CPU)、数字信号处理器、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本发明实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

存储器902作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器902可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory，RAM)、静态随机访问存储器(Static Random Access Memory，SRAM)、可编程只读存储器(Programmable Read Only Memory，PROM)、只读存储器(Read Only Memory，ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、磁性存储器、磁盘、光盘等等。存储器902是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本发明实施例中的存储器902还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

基于相同的技术构思，本发明实施例提供了一种计算机可读存储介质，其存储有可由计算机设备执行的计算机程序，当所述程序在计算机设备上运行时，使得所述计算机设备执行识别异常设备的方法的步骤。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样，倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (6)

1.一种识别异常设备的方法，应用于支付类应用的应用服务器，其特征在于，包括：

获取运行所述支付类应用的设备的姿态特征值和交易行为特征值，所述姿态特征值指所述应用服务器从所述设备获取的传感器采集数据抽取的特征值；所述传感器采集数据包括陀螺仪采集的动态信息；所述动态信息包括设备位置坐标值、设备仰角值各分量值、设备加速度分量值、设备角加速度分量值及各值对应的时间点；

针对所述设备的任意一类交易事件，针对所述交易事件的姿态特征值和交易行为特征值，按照公式一确定所述交易事件的异常交易贡献值；

P_event＝N×N^′×P_a×P_b公式一

其中，P_a为所述交易事件的姿态特征值，P_b为所述交易事件的交易行为特征值；N为所述交易事件的总交易时长与固定时长的比值；N^′为所述交易事件的总交易时长与所述设备的所有交易事件的总时长的比值；

根据各类交易事件的异常交易贡献值的和值，以及交易事件先后顺序因子，按照公式二确定第一评分；

P₁＝(P_event ¹+P_event ²+…+P_event ⁿ)×k公式二

其中，P_event ¹为第一类交易事件的异常交易贡献值，P_event ²为第二类交易事件的异常交易贡献值，P_event ⁿ为第n类交易事件的异常交易贡献值，k为所述交易事件先后顺序因子；P₁为所述第一评分；

获取在所述固定时长内所述设备的固有属性特征值及集群属性特征值；所述设备固有属性特征值是从设备的固有属性数据抽取的特征值，所述固有属性数据用于表征所述设备的命名类型、系统版本和电量信息中的至少一项；所述命名类型为随机命名或乱码命名；所述设备固有集群特征值是从设备的集群属性数据抽取的特征值，所述集群属性数据用于表征所述设备的连接设备数、登录用户数以及用户登录方式中的至少一项；所述用户登录方式为逐一登录或非逐一登录；

对所述设备的固有属性特征值及集群属性特征值进行归一化，得到所述设备在所述固定时长内的特征向量值；

根据所述设备在所述固定时长内的特征向量值和与每个所述特征向量值对应的权重值，按照公式三确定第二评分；

其中，x_i为第i个特征向量值，a_i为第i个特征向量值的权重值，i的取值从1到m，P₂为所述第二评分；

若所述第一评分和所述第二评分的和值大于设定阈值，则确定所述设备为异常交易设备。

2.根据权利要求1所述的方法，其特征在于，确定所述设备是否为异常交易设备之后，还包括：

当所述设备为异常交易设备时，向目标终端发送安全验证请求，所述安全验证请求用于请求所述设备对用户进行验证。

3.一种识别异常设备的装置，应用于支付类应用的应用服务器，其特征在于，包括：

获取单元，用于获取运行支付类应用的设备的姿态特征值和交易行为特征值，所述姿态特征值指所述应用服务器从所述设备获取的传感器采集数据抽取的特征值；所述传感器采集数据包括陀螺仪采集的动态信息；所述动态信息包括设备位置坐标值、设备仰角值各分量值、设备加速度分量值、设备角加速度分量值及各值对应的时间点；

第二计算单元，用于针对所述设备的任意一类交易事件，针对所述交易事件的姿态特征值和交易行为特征值，按照公式一确定所述交易事件的异常交易贡献值；

P_event＝N×N′×P_a×P_b 公式一

其中，P_a为所述交易事件的姿态特征值，P_b为所述交易事件的交易行为特征值；N为所述交易事件的总交易时长与固定时长的比值；N^′为所述交易事件的总交易时长与所述设备的所有交易事件的总时长的比值；

根据各类交易事件的异常交易贡献值的和值，以及交易事件先后顺序因子，按照公式二确定第一评分；

P₁＝(P_event ¹+P_event ²+…+P_event ⁿ)×k公式二

其中，P_event ¹为第一类交易事件的异常交易贡献值，P_event ²为第二类交易事件的异常交易贡献值，P_event ⁿ为第n类交易事件的异常交易贡献值，k为所述交易事件先后顺序因子；P₁为所述第一评分；

所述获取单元，还用于获取在所述固定时长内所述设备的固有属性特征值及集群属性特征值；所述设备固有属性特征值是从设备的固有属性数据抽取的特征值，所述固有属性数据用于表征所述设备的命名类型、系统版本和电量信息中的至少一项；所述命名类型为随机命名或乱码命名；所述设备固有集群特征值是从设备的集群属性数据抽取的特征值，所述集群属性数据用于表征所述设备的连接设备数、登录用户数以及用户登录方式中的至少一项；所述用户登录方式为逐一登录或非逐一登录；

所述第二计算单元，还用于：对所述设备的固有属性特征值及集群属性特征值进行归一化，得到所述设备在所述固定时长内的特征向量值；

根据所述设备在所述固定时长内的特征向量值和与每个所述特征向量值对应的权重值，按照公式三确定第二评分；

其中，x_i为第i个特征向量值，a_i为第i个特征向量值的权重值，i的取值从1到m，P₂为所述第二评分；

确定单元，用于当所述第一评分和所述第二评分的和值大于设定阈值，则确定所述设备为异常交易设备。

4.根据权利要求3所述的装置，其特征在于，还包括发送单元，用于：

当所述设备为异常交易设备时，向目标终端发送安全验证请求，所述安全验证请求用于请求所述设备对用户进行验证。

5.一种电子设备，其特征在于，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1至2任一所述的方法。

6.一种非暂态计算机可读存储介质，其特征在于，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行权利要求1至2任一所述的方法。

Images