具体实施方式
根据本说明书的各个实施例,一方面,获取包括交易发起账户的身份数据和其在交易发起设备上操作的行为链路数据的第一特征数据,基于当前交易的第一特征数据和设备风险模型确定针对该交易的发起设备的木马风险等级。其中,设备风险模型是根据被确定为经由被盗账户在中木马病毒的发起设备上进行的非正常交易的第一特征数据被训练的。也就是说,当用户报告其帐户被盗并且确定该被盗符合盗用者利用木马病毒被授权远程操控用户可信设备进行销赃的情况时,则获取对应的非正常交易的第一特征数据,这包括进行该非正常交易的交易发起账户的身份数据以及其在对应的发起设备上进行操作的行为链路数据;这些特征数据能够被用于更新设备风险模型。已知针对盗用者利用木马病毒被授权远程操控用户可信设备进行销赃的情况,更容易发生在例如淘宝卖家账户上,并且在账户被盗前,用户往往接收并打开过某些文件,输入过其帐户密码,并且在例如深夜的用户帐户不活跃时间进行了异常交易而出现被盗,因此,确定账户的身份以及其操作交易发起设备的行为链路将是有意义的,这样能够识别当前交易发起设备中木马病毒的风险。
另一方面,获取表示当前交易与该账户之前的交易习惯相冲突的第二特征数据(冲突数据),基于该第二特征数据,备选的结合所确定的木马风险等级,根据交易风险模型可以确定当前交易的交易风险等级,该交易风险模型是根据已经确定的由于中木马病毒而进行非正常交易的第二特征数据选练的。例如,针对当前交易发起账户,其之前的交易显示其通常购买日用品,没有游戏点卡的交易记录,而当前交易购买了游戏点卡;或者,其之前的交易金额维持在500元以下,而当前交易超过3000元。这种异常交易往往涉及盗用者的销赃,所以根据表示该异常的特征数据确定交易风险等级将是有意义的。
从交易设备的木马风险等级和由表示当前交易异常的特征数据确定的交易风险等级两方面来判断是否需要针对当前交易输出风险防控,即使该交易设备是用户的可信设备并且盗用者利用木马病毒被授权远程操控该可信设备进行销赃,也能准确地却分正常交易与盗用者销赃时所进行的交易。
在进一步优选的实施例中,引入了基于机器学习的账户风险防控,其中,设备风险模型和交易风险模型能够被基于已经确定的非正常交易的特征数据实时优化和/或更新,这通过基于新确定的非正常交易的特征数据训练相应的模型来实现。这样,相当于引入了分别针对设备风险模型和交易风险模型的两个闭环系统,一方面,使用设备风险模型和交易风险模型来进行防控,另一方面,当发现非正常交易时,对设备风险模型和交易风险模型进行训练来更新对应的模型,用于之后的防控。优选的是能够实现实时的更新。也可以预期按照预定的时间间隔进行训练和/或优化。
在本说明书的进一步实施例中,还引入了决策规则数据,其同样可以被基于非正常交易的特征数据来实时更新,进而提供了进一步的闭环防控。此外,还能够进一步引入安全教育内容,其能够根据决策结果来显示,并且根据最近的非正常交易来优化其内容。由此,能够提供针对决策规则数据和安全教育内容的两个闭环系统。在进一步提供了这两个闭环系统的防控中,通过提供分别针对设备风险模型、交易风险模型、决策规则数据和安全教育内容的基于机器学习的四个闭环系统,能够使得防控系统和方法实时更新,构建了能够根据盗用者的盗用手段自动更新的防控,提供更有针对性、更准确、更可靠的防控。
在进一步的实施例中,还引入了包含多个参数的参数池,该多个参数能够表征各种类型的非正常交易。优选的是,该参数池中的参数能够由用户根据各种类型的非正常交易的特征来设定,并且能够随着盗用者盗用方式的变化来更新设定。能够基于该参数池来获取非正常交易的特征数据用于之后的训练/更新。
图1示出了根据一个实施例的账户风险防控方法100。根据该方法100,在110,接收某个账户的关于当前交易的交易请求,该账户之后被称为交易发起账户,即发起资金变化的账户。在本说明书中,交易可以泛指任何在两个账户之间发生的涉及资金变化的过程,其包括在两个账户之间进行的转帐,或者收发红包等操作。交易请求指的是用户为了执行上述交易向服务器发送的请求。例如用户想要在诸如淘宝的购物平台上购买某个产品,他操作他在该购物平台上的账户发出与该交易相关的交易请求,请求支付相应的资金,实现交易。
交易请求可以包括交易信息。在一个实施例中,交易信息至少包括进行当前交易的双方账户的标识和与当前交易行为相关的信息。交易双方账户包括请求进行交易的交易发起账户和交易对象账户,在购买商品的场景中为买方账户和卖方账户,在转帐的场景中为转出账户和转入账户,在发红包的场景中为发起红包的账户和收红包的账户。该与交易行为相关的信息可以包括交易商品信息、交易时间信息、交易金额信息等等;在不同场景下,其可以相应地改变。
在120,基于当前交易的交易信息获取针对当前交易的第一特征数据和第二特征数据。
当前交易的交易信息能够被处理以获取例如交易双方账户的标识以及当前交易行为的相关信息,然后能够利用获取的信息对数据库进行搜索获取与该交易双方账户相关的当前和历史特征数据,例如交易双方账户的注册信息、常用设备、资金卡、常用操作环境等。由这些信息能够确定第一特征数据和第二特征数据。
搜索的特征数据能够包括与当前交易发起账户相关的特征数据和与交易对象账户相关的特征数据,以及表示这二者关系的特征数据。与当前交易发起账户相关的特征数据包括例如店铺量级;交易发起账户身份数据;交易发起账户所使用的设备相关特征;交易场景;不同场景下的支付次数/比例;和预定时间内支付金额、使用支付密码的次数、修改密码的次数、删除交易记录的次数、换绑/交易的次数等。
涉及交易对象账户的特征数据例如包括表示其身份的数据、表示其操作设备、操作环境、交易习惯的数据、涉案率的数据等。在一个具体实施例中,涉及交易对象账户的特征数据能够包括表示其账户创建时间、一天内收款次数、用户年龄、帐户所属地等的数据。
表示这两个账户之间关系的特征数据可以包括涉及双方交易关系和非交易关系的数据。涉及双方交易关系的数据例如是预定时间内双方的交易次数、双方发生交易占各自交易的比例等。涉及非交易关系的数据例如是双方账户名称相似度、双方姓名相似度(亲属可能性)、双方是否建立了可信关系、Geabase用户之间的可信度等。
能够在多个维度上搜索特征数据,只要该第一特征数据与交易发起账户、交易对象账户、或者它们的当前/历史交易行为相关。例如,该多个维度可以包括操作设备、环境、历史、习惯、关系、交易链路、操作方式(淘宝支付宝跳转,无登录)、金额、主动方身份、被动方涉案率、交易时间、交易类目、交易异常等。这里不对搜索的特征数据进行特定的限定,其能够由用户根据实际情况来选定。尤其是为了适用盗用者远程操控用户可信设备进行销赃的场景而选定,搜索的特征数据能够根据销赃场景变化而被添加,例如能够如下面所详细描述的能够设计参数池,当销赃场景变化时可以针对性地改变该参数池中的参数。这包括增加或减少参数。当搜索时可以根据该参数池中的参数来搜索数据特定对应每项参数的参数值作为特征数据。由这些特征数据导出第一和第二特征数据。
第一特征数据至少包括表示一项交易的交易发起账户的身份的数据和与交易发起账户在该项交易的发起设备上进行操作的行为链路相关的数据。表示交易发起账户的身份的数据能够通过获取交易发起账户的标识来实现,例如表示交易发起账户是淘宝卖家的数据。行为链路尤其指的是在当前交易发生之前该交易发起账户在该项交易的发起设备上进行操作的路径。例如,在预定时间之内是否接收并打开过某些可疑文件、是否出现过退款或以其它方式诱发用户在该交易发起设备上输入过交易发起账户的支付密码,是否在可疑时间段,例如原账户不常发生交易的深夜时间,进行了当前交易。行为链路不仅涉及操作的行为动作,还涉及操作时间顺序。例如如果在常用可信设备上淘宝卖家上午接收过来自不明买家的文件、下午因为发生退款而输入了账户支付密码、原本不经常发生交易的深夜2点执行了当前交易,那么当前交易是由于该设备木马中毒、盗用者远程操控用户设备执行的交易的风险大大增加。因此,与行为链路相关的数据不仅包括表示交易发账户在该交易发起设备上的操作行为的数据还包括表示这些操作行为的对应时间的数据。
在一个实施例中,与所述交易发起账户在所述项交易的发起设备上进行操作的行为链路相关的数据包括表示所述交易发起账户在所述发起设备上顺序进行如下操作的数据以及表示对应操作的时间的数据:接收并打开文件和/或数据、输入交易发起账户的支付密码、和预定时间段内发生所述当前交易。
第二特征数据包括表示一项交易与该交易的交易发起账户的先前交易习惯相冲突的数据。首先能够根据当前交易的交易信息获取与当前交易的交易发起账户在对应的交易发起设备上的历史交易行为相关的数据。这例如可以包括该交易发起账户之前的安全交易类目、预定时间段内的平均交易金额、预定时间段内的交易次数、平均交易时间间隔等等。这些数据能够构成表示当前的交易发起账户的先前交易习惯的数据。将当前交易的相关数据与该表示先前交易习惯的数据相比较能够获得表示当前交易与先前的交易习惯相关冲突的数据。例如,当前账户之前的交易类目显示其交易内容涉及日用品,而当前交易是购买游戏点卡;当前账户之间的交易显示其仅仅作为淘宝卖家,没有作为淘宝买家;而当前交易是购买;当前账户之前的交易显示其通常是操作其可信设备直接进行交易,而当前交易采用PC模拟wap的方式进行;等等。表示当前交易与先前的交易习惯相关冲突的数据还涉及表示当前交易习惯改变的数据,例如之前的交易显示该交易发起账户通常在预定时间(如夜间)的交易次数在预定次数(如5次)之内,而当前交易所发起的对应预定时间内的交易次数超过了该预定次数,并且超出了预定范围,这也表示冲突。这样的判断是有意义的,当前的销赃方式多种多样,当盗用者远程操控用户可信设备分次、分批地小金额进行销赃以期望不会因金额巨大引起防控人员注意时,这尤其有用。
上述涉及冲突的数据可以包括各个方面冲突,不仅涉及交易类目、交易金额、交易方式、还涉及交易时间、交易身份(淘宝买家还是卖家)、交易环境和/或平台等等。在一个实施例中,涉及当前交易发起账户的冲突数据还可以包括表示当前交易发起地点与该账户的用户手机定位地址或者之前交易发起地点之间的冲突的数据。例如,用户在5个小时前通过北京的某个网络地址发起了交易,而当前经过巴黎的某个网络地址发起了交易,则存在冲突。
虽然主要参考交易发起账户的身份数据、与行为链路相关的数据和表示冲突的数据描述了第一特征数据和第二特征数据。也可以预期第一特征数据和/或第二特征数据还包括与当前交易的交易发起账户和/或交易对象账户相关的其他特征数据,例如,与交易对象账户相关的特征数据包括交易对象账户创建的时长、交易对象账户的交易次数、金额等等;与当前交易的交易发起账户相关的特征还包括能够表征该交易发起账户的历史交易的特征数据和表征交易发起账户在其交易发起设备上进行操作的行为的特征数据,诸如预定时间内使用支付密码的次数、删除交易的次数、换绑定的次数等。尤其,该第一特征数据和/或第二特征数据还可以包括表示交易发起账户和交易对象账户之间的关系的特征数据,例如表示二者之间是否曾经发生过交易、是否是可信关系、或是否共用过设备的数据等等。这些数据能够被整合到第一和第二特征数据中用于辅助进行风险判断。在具体的应用中,需要确定的第一特征数据和第二特征数据能够根据之后将要描述的设备风险模型和交易风险模型的需要而变化。这是因为这些第一特征数据和第二特征数据将要被输入设备风险模型和交易风险模型被使用来判断总体的风险等级。
在130,基于在120获取的第一特征数据和设备风险模型来确定交易发起设备的木马风险等级。具体地,能够从第一特征数据中提取/导出与该设备风险模型的模型输入相对应的数据,将这些数据输入设备风险模型中,以判断该交易所涉及的交易发起设备的木马风险等级。该设备风险模型是根据已经确定为被盗账户在中木马病毒的发起设备上进行的非正常交易的第一特征数据被训练的。该非常交易的第一特征数据与当前交易的第一特征数据定义相同,仅仅是分别针对不同的交易。。
在140,利用交易风险模型基于所确定的第二特征数据和/或木马风险等级,确定当前交易的交易风险等级。该交易风险模型是根据已经确定的非正常交易的第二特征数据来被训练的。
在一个实施例中,所述交易风险模型能够提供多条表示冲突的数据以及对应的规则和/或阈值。例如,表示交易习惯改变的数据及其阈值。在交易风险模型中能够包含关于木马风险等级的条目,例如要求木马风险等级超过预定值。也可以预期在之后的步骤中考虑木马风险等级,而在确定交易风险等级时不涉及木马风险等级。
综上所述,该交易风险模型可以表示策略/规则模型,其中包含用于确定交易风险的多条策略/规则及其对应阈值。
在150,基于上述确定的木马风险等级和交易风险等级确定是否输出针对当前交易的防控手段,该防控手段是根据木马风险等级和交易风险等级确定的。例如,可以根据木马风险等级和交易风险等级确定总风险等级,然后基于总风险等级确定针对当前交易的防控手段。在一个具体的实施例中,能够请求用户进行手机验证、人脸验证等等。能够预期当木马风险等级和交易风险等级不符合预定标准时可以不输出防控。
在一个优选的实施例中,能够利用决策规则数据基于木马风险等级和交易风险等级来确定是否输出防控手段。更优选地,还基于交易金额利用决策规则数据确定是否防控。该决策规则数据规定输出不同防控的条件,以及不同的木马风险等级、交易风险等级和/或交易金额与各个防控手段之间的对应关系,输出不同防控的条件可以涉及木马风险等级、交易风险等级和/或交易金额。决策规则数据是根据历史非正常交易的第一和第二特征数据来确定的,尤其能够根据新发现的非正常交易的第一和第二特征数据来实时更新。
如果在150确定了需要输出防控手段并且已经确定了对应的防控手段,则在160向当前交易发起账户输出防控手段。
在一个优选实施例中,能够响应于在150确定需要输出防控手段,则在160向交易发起账户的用户输出当前风险对应的安全教育内容。在该实施例中,能够基于在120确定的第一和第二特征数据、在130和140确定当前的设备风险等级和交易风险等级识别交易发起账户的交易风险种类,响应于在150确定需要输出防控手段,在160向当前交易的交易发起账户输出与识别的交易风险种类相关的安全教育内容,其中,所述安全教育内容包括根据所述非正常交易的交易风险种类实时被更新的内容。例如可以针对新出现的交易风险种类添加新的安全教育内容。
如果在150确定不输出防控手段,则不做任何处理,返回110等待接收下一条交易请求。
图2示出了根据一个实施例在执行账户风险防控过程中进行实时训练和/或更新的方法200。这用于对设备风险模型、交易风险模型和任选的决策规则数据以及安全教育内容进行训练/更新。该训练/更新能够在使用本说明书描述的账户风险防控方法进行防控的过程中实时或者按照预定间隔实现。当然也可以预期在将根据本说明书的账户风险防控产品上线前进行训练/更新。不过采用实时训练/更新有利于根据层出不穷的账户盗用手段及时更新风险判断、决策方式、防控手段、和安全教育内容,这能够随着盗用方式的变化实现更加准确可靠的防控。
根据本说明书的各个实施例的账户风险防控系统可以包括用于接收报警的接口。当用户发现其自己的账户被盗用时,该接口可以接收用户关于非正常交易的警报。因此,根据上述方法200,任选地在210能够接收用户关于盗用者远程操控用户可信设备进行的非正常交易的报警。例如,当用户发现其账户交易信息显示其购买了某个产品而实现上这不是他本人操作购买的,用于可以关于该非正常交易报警。
在220,响应于来自用户的报警或者响应于预定时间间隔,例如3个月,获取非正常交易的交易信息。这包括实时获取报警的非正常交易的交易信息和获取预定时间间隔内的多个非正常交易的交易信息。交易信息至少包括进行非正常交易的双方账户的标识和与该非正常交易行为相关的信息。与该非正常交易行为相关的信息可以包括交易产品、交易时间、或交易环境(例如交易发生时的网络环境、设备环境等等,这包括例如IP地址、设备MAC、WIFI地址)等。
在230,基于所获取的非正常交易的交易信息确定该非正常交易的第一和第二特征数据。这包括与该非正常交易的交易发起账户和/或交易对象账户相关的特征数据。该第一和第二特征数据的定义可以与在120确定的第一和第二特征数据相同,不同之处在于在120获取的特征数据是针对当前交易的,其与当前交易的交易发起账户和/或交易对象账户相关,而在此处获取的特征数据是针对用户报警的非正常交易的,所以其与非正常交易的交易发起账户和/或交易对象账户相关。请注意,非正常交易的第一和第二特征数据与当前交易的第一和第二特征数据定义相同,但其包含的数据内容可以不同,这是因为它们针对不同的交易。
由于在230获取的非正常交易的第一和第二特征数据将用于之后的训练和/或更新,为了更准确地刻画该非正常交易,期望的是首先根据该非正常交易的交易信息搜索数据库得到与该非正常交易相关的所有特征数据,这包括在多个维度上的数据,然后基于搜索到的数据确定第一和第二特征数据。因此,此处获得的第一和第二特征数据可以包含比在120获取的第一和第二特征数据更多的数据,以更加准确地更新设备风险模型和交易风险模型。
在一个实施例中,能够首先建立并获取一个针对各种非正常交易的参数池,该参数池包括能够表征不同类型非正常交易的所有参数,尤其包括与第一特征数据相关的第一多个参数和与第二特征数据相关的第二多个参数。基于所获取的非正常交易的交易信息能够例如搜索数据库确定该第一多个和第二多个参数中的每个参数的参数值,分别基于第一多个参数和第二多个参数的参数值来确定非正常交易的第一特征数据和第二特征数据。
可以设想该参数池中的参数能够根据盗用方式的变化而被更新。尤其能够在发现新盗用方式时更新该参数池中的参数,例如添加新的参数。通过长时间的积累,该参数池中的参数能够更全面的刻画根据不同盗用方式的账户和/或交易。
在确定了非正常交易的第一和第二特征数据之后,能够在240、250、260、270基于该非正常交易的第一和第二特征数据分别对设备风险模型、交易风险模型、决策规则数据、和安全教育内容进行训练、确定/更新。
在240对设备风险模型进行训练,虽然可以根据对应参数池中的所有第一多个参数的特征数据来进行该训练/更新,优选的是能够进行参数筛选,得到那些更明确刻画非正常交易的参数,基于这些参数对应的特征数据来进行训练。
根据一个实施例,首先能够针对当前的非正常交易对基于参数池中的第一多个参数确定的多个参数值进行分析,确定其中每个参数的信息值,确定该第一多个参数中信息值高于第一预定阈值并且不是当前设备风险模型的模型参数的至少一个参数,基于确定的该第一多个参数中的至少一个参数确定所述非正常交易的第一特征数据,这包括至少一个参数及其对应的参数值。至少基于该第一特征数据对该设备风险模型进行训练/更新。可以预期基于该第三特征数据和原模型参数对应的参数及其参数值进行训练。
在250对交易风险模型进行训练/更新中,可以根据对应参数池中的所有第二多个参数的第二特征数据来进行该训练,但是,这同样能够进行参数筛选。
在具体的实施例中,能够针对当前的非正常交易对基于参数池中的第二多个参数确定的多个参数值进行分析,确定每个参数的信息值以及各个参数之间的相关系数,找到该第二多个参数中信息值高于第二预定阈值并且相关系数低的第三预定阈值的至少一个参数,确定该至少一个参数对应的参数值,由此确定了第二特征数据,这包括参数及其对应的参数值,基于该第二特征数据对交易风险模型进行更新。
更具体地,能够分别对上述确定的第一多个参数和第二多个参数中的至少一个参数进行组合,得到至少包括一个参数的多个参数组合,设定针对该参数组合的各个参数的阈值,对已经设定阈值的每个参数组合进行评估,这涉及评价通过该参数组合确定非正常交易时对非正常交易样本的覆盖率以及将正常交易样本错误判断为非正常交易样本的打扰率,通过上述评估可以确定多个参数组合中的至少一个参数组合,基于所确定的至少一个参数组合及其对应的阈值来更新设备风险模型和交易风险模型。还可以设想对每个参数组合设置不同的阈值,然后对分别具有不同阈值的组合进行评估。
在另一个实施例中,在以上240和250中进行参数筛选时可以使用基于梯度提升决策树GBDT的算法对参数进行排序,然后获取预定数量的参数作为至少一个参数。
在260中进行决策规则数据的更新,其中能够基于非正常交易的第一特征数据和设备风险模型,确定该非正常交易的发起设备的木马风险等级;根据该非正常交易的第二特征数据和/或该非正常交易的木马风险等级基于交易风险模型,确定该非正常交易的交易风险等级,基于非正常交易的该确定的木马风险等级和交易风险等级更新决策规则数据。在270中,能够基于非正常交易的已知交易风险种类更新安全教育内容。当然,也可以预期根据非正常交易的第一特征数据、第二特征数据、木马风险等级和/或交易风险等级来确定该非正常交易的风险种类。
在240、250、260和270中进行了训练/更新之后,上述经过训练/优化的模型/规则数据/内容能够在280存储在适当的位置用于账户风险防控。
虽然在图2所示的实施例中示出了同时对设备风险模型、交易风险模型、决策规则数据、安全教育内容进行更新,也可以设想仅仅对设备风险模型和交易风险模型进行训练/更新的技术方案,或者设想进一步对决策规则数据和/或安全教育内容进行更新的方案。虽然图2示出了并行进行训练和更新,也可以设想按照不同的顺序/组合执行。
以上参照方法对本说明书的各个实施例进行了描述,可以预期其中的各个方法步骤可以被变更/合并/拆分/重组,以实现对应的效果。
图3示出了根据一个实施例的账户风险风控系统1,其中至少包括获取单元10,设备风险确定单元11,交易风险确定单元12,和决策单元13。该系统10还可以包括教育内容输出单元14、存储单元15和风险识别单元16。存储单元15用于存储安全教育内容、交易风险模型、决策规则数据设备风险模型和/或参数池。也可以预期将上述数据存储在各个单元中而不单独设置存储单元15。
获取单元10接收当前交易的交易请求,该交易请求包括交易信息,基于当前交易的交易信息获取针对当前交易的第一特征数据和第二特征数据。需要获取的该第一特征数据和第二特征数据可以根据设备风险模型和交易风险模型所涉及的参数而变化。该第一特征数据和第二特征数据的定义如前已经详细描述的。
设备风险确定单元11基于获取的第一特征数据和设备风险模型,确定当前交易的发起设备的木马风险等级。交易风险确定单元12利用交易风险模型基于第二特征数据和/或木马风险等级,确定当前交易的交易风险等级。其中,设备风险模型是根据被确定为经由被盗账户在中木马病毒的发起设备上进行的非正常交易的第一特征数据被训练的,并且所述交易风险模型是根据所述非正常交易的所述第二特征数据被训练的。可以设想设备风险模型的模型参数和交易风险模型涉及的参数不同或者部分重叠。在交易风险模型中可以规定木马风险等级的阈值。
决策单元13基于木马风险等级和交易风险等级确定是否输出针对所述当前交易的防控手段,其中,所述防控手段是根据木马风险等级和交易风险等级确定的。
在一个实施例中,风险识别单元16基于当前交易的第一特征数据和第二特征数据、木马风险等级和/或交易风险等级识别当前交易的交易风险种类。教育内容输出单元14响应于确定输出针对所述当前交易的防控手段,向所述当前交易的交易发起账户输出与所识别的交易风险种类相关的安全教育内容,其中,所述安全教育内容包括根据所述非正常交易的已知交易风险种类被更新的内容。
在一个实施例中,可以定义能够表征各种类型非正常交易的多个参数,由此构建参数池,该多个参数包括分别与第一特征数据和第二特征数据相关的第一多个参数和第二多个参数。
在该实施例中,获取单元10获取包括多个参数的参数池,所述多个参数包括与所述第一特征数据相关的第一多个参数和与所述第二特征数据相关的第二多个参数;获取所述非正常交易的交易信息;基于所述非正常交易的交易信息确定所述第一多个参数和所述第二多个参数中的每个参数的参数值;基于所述第一多个参数的参数值确定所述非正常交易的第一特征数据;和基于所述第二多个参数的参数值确定所述非正常交易的第二特征数据。
此外,该系统1还可以包括训练/更新单元17,其基于非正常交易的所述第一特征数据训练设备风险模型,并且基于非正常交易的第二特征数据训练交易风险模型。该非正常交易的第一和第二特征数据可以如上所述考虑参数池来确定。
在一个实施例中,获取单元10还包括第一获取单元101,其针对非正常交易,基于第一多个参数中的每个参数的参数值确定所述参数的信息值;确定第一多个参数中信息值高于第一预定阈值并且不是当前设备风险模型的模型参数的至少一个参数;并且基于确定的第一多个参数中的至少一个参数确定非正常交易的第一特征数据。其中,训练/更新单元17至少基于第一特征数据训练或更新设备风险模型。
在另一个实施例中,获取单元还包括第二获取单元102,其针对非正常交易,基于第二多个参数中的每个参数的参数值确定各个参数之间的相关系数;确定第二多个参数中信息值高于第二预定阈值并且相关系数低于第三预定阈值的至少一个参数;并且基于确定的第二多个参数中的至少一个参数确定非正常交易的第二特征数据。其中,训练/更新单元17至少基于如此确定的第二特征数据更新交易风险模型。
上述两个实施例可以彼此结合或者分开执行。在进一步的实施例中,该第二获取单元102能够仅仅确定各个参数之间的相关系数,而从第一获取单元101得到每个参数的信息值。
在再一个实施例中,决策单元13利用决策规则数据确定是否输出针对所述当前交易的防控手段,其中,所述决策规则数据是根据所述非正常交易的第一和第二特征数据被更新的。训练/更新单元17能够基于非正常交易的第一和第二特征数据更新决策规则数据和/或基于非正常交易的已知交易风险种类更新安全教育内容,经优化的决策规则数据和/或安全教育内容能够被存储在存储器中以方便后续使用。
在进一步的实施例中,设备风险确定单元基于非正常交易的第一特征数据和设备风险模型,确定非正常交易的发起设备的木马风险等级;交易风险确定单元根据非正常交易的第二特征数据和/或非正常交易的木马风险等级基于交易风险模型,确定非正常交易的交易风险等级;训练/更新单元17,其基于非正常交易的木马风险等级和交易风险等级更新决策规则数据。
虽然参照图1-2所示的流程图和图3的方块图描述了根据本发明的各个实施例。可以理解,能够在上述实施例的基础上添加/修改/删除相应的处理/单元,从而构成新的技术方案,以实现不同的效果;此外,在上述不同实施例中的各项处理能够任意地拆分组合以实现相应的功能和效果。
可以理解,本发明的各个实施例的用于账户风险防控的各个单元的功能以及方法的流程能够由计算机程序/软件实现。这些软件包括计算机程序指令,其能够被载入到数据处理器的工作存储器中,当运行时用于执行根据本发明的各实施例的方法。
本发明的示范性实施例覆盖以下两者:从一开始就创建/使用本发明的计算机程序/软件,以及借助于更新将已有程序/软件转为使用本发明的计算机程序/软件。
根据本发明另外的实施例,提供一种机器(如计算机)可读介质,例如CD-ROM,其中所述可读介质具有被存储在其上的计算机程序代码,该计算机程序代码当被执行时令计算机或处理器执行根据本发明的各实施例的方法。该机器可读介质例如是与其他硬件一起或作为其他硬件的部分供应的光学存储介质或固态介质。
也可以将用于执行根据本发明的各实施例的方法的计算机程序以其他形式分布,例如经由因特网或者其他有线或无线电信系统。计算机程序也可以被提供在诸如万维网的网络上,并且能够从这样的网络被下载到数据处理器的工作计算机中。
也可以理解,本发明的各个实施例的用于账户风险防控的系统中的各个单元以及方法的流程也能够由硬件或者硬件和软件的组合来实现。
在一个实施例中,一种用于账户风险防控的系统能够由存储器和处理器来实现。存储器能够存储用于运行根据本发明的各个实施例的方法流程的计算机程序代码;当运行来自存储器的程序代码时,处理器执行根据本发明的各个实施例的流程。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
必须指出,本发明的实施例是参考不同主题来描述的。尤其地,一些实施例是参考方法型权利要求来描述的,而其他实施例是参考设备型权利要求来描述的。然而,本领域技术人员将从以上和以下描述获悉,除非另外指明,除了属于一种类型的主题的特征的任意组合以外,涉及不同主题的特征之间的任意组合也被视为被本说明书公开了。并且,能够组合全部特征,提供大于特征的简单加和的协同效应。
以上参照特定的实施例描述本发明,本领域技术人员应当理解,在不背离本发明的精神和基本特征的情况下,能够以各种方式来实现本发明的技术方案。具体的实施例仅仅是示意性的,而非限制性的。另外,这些实施例之间能够任意组合,来实现本发明的目的。本发明的保护范围由所附的权利要求书来定义。
说明书和权利要求中的“包括”一词不排除其它元件或步骤的存在。在说明书中说明或者在权利要求中记载的各个元件的功能也可以被分拆或组合,由对应的多个元件或单一元件来实现。