CN111340502A - 异常行为的识别方法、装置、终端设备及存储介质 - Google Patents

异常行为的识别方法、装置、终端设备及存储介质 Download PDF

Info

Publication number
CN111340502A
CN111340502A CN202010113614.6A CN202010113614A CN111340502A CN 111340502 A CN111340502 A CN 111340502A CN 202010113614 A CN202010113614 A CN 202010113614A CN 111340502 A CN111340502 A CN 111340502A
Authority
CN
China
Prior art keywords
data
abnormal
classifier
user
score
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010113614.6A
Other languages
English (en)
Inventor
郭琦
闵勇
葛鸣铭
韩昊
李嘉隆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Unionpay Co Ltd
Original Assignee
China Unionpay Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Unionpay Co Ltd filed Critical China Unionpay Co Ltd
Priority to CN202010113614.6A priority Critical patent/CN111340502A/zh
Publication of CN111340502A publication Critical patent/CN111340502A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/20Ensemble learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3224Transactions dependent on location of M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • General Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Strategic Management (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Software Systems (AREA)
  • Evolutionary Biology (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Alarm Systems (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Medical Informatics (AREA)

Abstract

本申请提供了一种异常行为的识别方法、装置、终端设备及存储介质,涉及数据处理领域。该方法包括:采集目标用户本次操作的操作数据、用户环境数据和设备环境数据;利用目标用户本次操作的操作数据、用户环境数据和设备环境数据,以及预设的第一分类器、预设的第二分类器和预设的第三分类器,得到第一异常判定结果数据、第二异常判定结果数据和第三异常判定结果数据;根据第一异常判定结果数据、第二异常判定结果数据和第三异常判定结果数据,以及预设的集成学习模型,确定目标用户本次操作是否为异常行为。利用本申请的技术方案能够提高交易操作的安全性。

Description

异常行为的识别方法、装置、终端设备及存储介质
技术领域
本申请属于数据处理领域,尤其涉及一种异常行为的识别方法、装置、终端设备及存储介质。
背景技术
随着电子信息技术的发展,电子信息技术在支付交易领域中占据了越来越重要的位置。为了保证交易的安全性,需要在交易之前或交易的过程中对用户进行身份验证,以确定交易的自愿性和真实性。
但在现阶段,随着网络技术的发展,出现了伪冒操作即他人伪装为实际用户,利用实际用户的用户信息进行异常操作。而这种异常操作难以被检测识别,从而大大降低了交易操作的安全性。
发明内容
本申请实施例提供了一种异常行为的识别方法、装置、终端设备及存储介质,能够提高交易操作的安全性。
第一方面,本申请实施例提供一种异常行为的识别方法,包括:采集目标用户本次操作的操作数据、用户环境数据和设备环境数据;利用目标用户本次操作的操作数据、用户环境数据和设备环境数据,以及预设的第一分类器、预设的第二分类器和预设的第三分类器,得到第一异常判定结果数据、第二异常判定结果数据和第三异常判定结果数据;根据第一异常判定结果数据、第二异常判定结果数据和第三异常判定结果数据,以及预设的集成学习模型,确定目标用户本次操作是否为异常行为;其中,第一分类器的输入为操作数据,输出为第一异常判定结果数据;第二分类器的输入为用户环境数据,输出为第二异常判定结果数据;第三分类器的输入为设备环境数据,输出为第三异常判定结果数据。
第二方面,本申请实施例提供一种异常行为的识别装置,包括:数据采集模块,用于采集目标用户本次操作的操作数据、用户环境数据和设备环境数据;分类器模块,用于利用目标用户本次操作的操作数据、用户环境数据和设备环境数据,以及预设的第一分类器、预设的第二分类器和预设的第三分类器,得到第一异常判定结果数据、第二异常判定结果数据和第三异常判定结果数据;集成学习模块,用于根据第一异常判定结果数据、第二异常判定结果数据和第三异常判定结果数据,以及预设的集成学习模型,确定目标用户本次操作是否为异常行为;其中,第一分类器的输入为操作数据,输出为第一异常判定结果数据;第二分类器的输入为用户环境数据,输出为第二异常判定结果数据;第三分类器的输入为设备环境数据,输出为第三异常判定结果数据。
第三方面,本申请实施例提供一种终端设备,包括处理器、存储器及存储在存储器上并可在处理器上运行的计算机程序,计算机程序被处理器执行时实现第一方面的技术方案中的异常行为的识别方法。
第四方面,本申请实施例提供一种计算机可读存储介质,计算机可读存储介质上存储计算机程序,计算机程序被处理器执行时实现第一方面的技术方案中的异常行为的识别方法。
本申请实施例提供一种异常行为的识别方法、装置、终端设备及存储介质,利用采集的目标用户本次操作的操作数据、用户环境数据和设备环境数据,以及预设的第一分类器、第二分类器和第三分类器,分别得到与操作数据对应的第一异常判定结果数据、与用户环境数据对应的第二异常判定结果数据和与设备环境数据对应的第三异常判定结果数据。根据第一异常判定结果数据、第二异常判定结果数据和第三异常判定结果数据,和集成学习模型,确定目标用户本次操作是否为异常行为。本申请实施例通过多重数据,以及多重数据对应的分类器,结合集成学习模型,能够准确地识别异常行为,从而提高了交易操作的安全性。
附图说明
从下面结合附图对本申请的具体实施方式的描述中可以更好地理解本申请。其中,相同或相似的附图标记表示相同或相似的特征。
图1为本申请实施例提供的一种异常行为的识别的工作示意图;
图2为本申请一实施例提供的一种异常行为的识别方法的流程图;
图3为本申请实施例提供的一种手机方向坐标系的示意图;
图4为本申请另一实施例提供的一种异常行为的识别方法的流程图;
图5为本申请又一实施例提供的一种异常行为的识别方法的流程图;
图6为本申请一实施例提供的一种异常行为的识别装置的结构示意图;
图7为本申请另一实施例提供的一种异常行为的识别装置的结构示意图;
图8为本申请又一实施例提供的一种异常行为的识别装置的结构示意图;
图9为本申请实施例中一种终端设备的结构示意图。
具体实施方式
下面将详细描述本申请的各个方面的特征和示例性实施例。在下面的详细描述中,提出了许多具体细节,以便提供对本申请的全面理解。但是,对于本领域技术人员来说很明显的是,本申请可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本申请的示例来提供对本申请的更好的理解。本申请决不限于下面所提出的任何具体配置和算法,而是在不脱离本申请的精神的前提下覆盖了元素、部件和算法的任何修改、替换和改进。在附图和下面的描述中,没有示出公知的结构和技术,以便避免对本申请造成不必要的模糊。
本申请实施例提供一种异常行为的识别方法、装置、终端设备及存储介质,可应用于在用户进行交易操作的场景中。比如,图1为本申请实施例提供的一种异常行为的识别的工作示意图。如图1所示,本申请实施例中,利用操作数据、用户环境数据和设备环境数据等多重数据和通过机器学习得到的分类器(包括第一分类器、第二分类器和第三分类器),针对每一重数据,得到异常判定结果。异常判定结果可表示对应的数据表征的因素是否异常。结合多重数据对应的异常判定结果,利用集成学习模型,准确地判定用户进行的操作是否为异常行为,从而保证用户进行交易操作的安全性。本申请实施例中异常行为的识别方法具体可由终端设备执行,在此并不限定终端设备的类型。
图2为本申请一实施例提供的一种异常行为的识别方法的流程图。如图2所示,该异常行为的识别方法可包括步骤S101至步骤S103。
在步骤S101中,采集目标用户本次操作的操作数据、用户环境数据和设备环境数据。
其中,目标用户即为被测用户。操作数据为与操作关联的数据。根据操作数据,可在一定程度上判断操作部分是否发生异常。比如,操作数据可包括但不限于资金转入动作数据、资金转出动作数据、交易金额、交易时间、交易商户、收单机构和交易地区中的一项或多项。其中,资金转入动作数据用于表征资金转入目标用户。资金转出动作数据用于表征资金从目标用户转出。需要说明的是,其他有助于判断操作部分是否发生异常的操作数据也在本申请实施例的保护范围内。
用户环境数据为用户动作影响用户的设备的环境的数据。根据用户环境数据,可在一定程度上判断用户环境部分是否发生异常。比如,用户环境数据可包括但不限于用户设备仰角、用户设备加速度、用户设备陀螺仪数据、用户按压设备屏幕力度、用户滑屏距离、用户地理位置中的一项或多项。其中,用户设备陀螺仪数据即为用户的设备中安装的陀螺仪采集的数据。需要说明的是,其他有助于判断用户环境部分是否发生异常的用户环境数据也在本申请实施例的保护范围内。
比如,用户的设备为手机,图3为本申请实施例提供的一种手机方向坐标系的示意图。如图3所示,在方向传感器中用户设备仰角变量共有3个取值,分别表示手机在三个不同方向仰角度数,用来衡量手机在不同方向上的倾斜程度。其中,用户设备仰角的第一个取值表示水平方向角度,即手机的朝向。用户设备仰角的第二个取值表示手机的倾斜度,或手机翘起的程度,即Y轴和水平面的夹角。可规定当Z轴向Y轴转动时,用户设备仰角的第二个取值为正值。设备仰角的第三个取值表示手机沿着Y轴的滚动角度,即X轴和水平面的夹角。可规定当X轴向Z轴移动时,用户设备仰角的第三个取值为正值。
如图3所示,从传感器采集到的用户设备加速度的三个数值分别对应手机等设备左右移动的加速度、前后移动的加速度以及垂直方向移动的加速度。对于这三个数值的正负,可分别规定向右的加速度、向前的加速度和向上的加速度为正。
用户设备陀螺仪的三个分量取值分别代表用户的设备围绕X、Y、Z三个轴旋转的角速度,其中X分量表示设备左右移动的角速度、Y分量表示设备前后移动的角速度、Z分量表示设备在垂直方向的角速度。可规定逆时针方向旋转时,X分量、Y分量、Z分量的值为正值。
手机等设备在平放状态下,用户设备仰角的Y分量、Z分量的数值,用户设备加速度的X分量、Y分量的数值及用户设备陀螺仪数据的Y分量、Z分量的数值较小。这六类分量共同表征手机的近似静止状态。在用户携带设备侧躺或手持设备时均体现较明显的用户设备仰角Y分量,从而体现手机被手持时的倾斜状态。当用户携带设备平稳行走或设备在平放状态时,用于设备加速度的Z分量接近于重力加速度,体现手机在垂直方向无明显抖动。因此,通过用户设备仰角、用户设备加速度、用户设备陀螺仪数据结合时间数据,可判断用户出现异常姿势情况。例如,正常用户在夜间或凌晨操作设备时,多呈现躺姿。对应地,用户设备仰角的Y分量呈现明显较大的数值。而异常用户在夜间或凌晨操作设备时,多呈现坐姿或将设备平放至某个平面,因此在用户设备加速度Z分量呈现接近于重力加速度的情形。
设备环境数据为用户的设备的环境数据。根据设备环境数据,可在一定程度上判断设备环境部分是否发生异常。比如,设备环境数据可包括但不限于用户设备唯一标识、用户设备已使用内存、用户设备电池电量、用户设备网络类型、用户设备应用程序并行数量、用户设备是否有root权限中的一项或多项。需要说明的是,其他有助于判断设备环境部分是否发生异常的设备环境数据也在本申请实施例的保护范围内。
比如,以用户设备电池电量为例,异常用户的设备的电池电量在时间维度上长时间处于充电状态,且因为同时运行多个应用导致耗电量巨大,设备的电量无法达到100%。而正常用户的设备的电池电量在时间维度上呈现单调递减或单调递增,可以判断设备处于使用或持续充电的状态。
上述对操作数据、用户环境数据和设备环境数据的采集可通过采集指令触发。该采集指令可以为用户执行某些关键行为操作时发出的指令,比如,采集指令可包括但不限于用户登录操作指令、密码输入指令、密码修改指令、支付交易指令、软件后台唤醒指令等身份验证较为敏感的操作行为指令。该采集指令也可以为周期性发起的采集指令,采集周期可根据具体工作场景和工作需求设定,在此并不限定。比如,采集指令可触发用户的设备采集生物探针信息,以得到操作数据、用户环境数据和设备环境数据。
在一些示例中,采集周期可根据交易操作场景的安全等级设定。比如,安全性较低的执行交易的应用程序所对应的采集周期时长要短于安全性较高的执行交易的应用程序所对应的采集周期时长。例如,安全性较低的执行交易的应用程序所对应的采集周期时长可为5分钟,安全性较高的执行交易的应用程序所对应的采集周期时长可为10分钟。
在另一些示例中,也可通过设置数据采集的频率来进行周期性的数据采集。比如,可根据数据采集效果和设备的能耗的平衡关系,设置数据采集的频率。对于安全性较低的操作场景,若采集对于操作数据而言的增溢数据如生物探针类数据,可采用传递原始数据的最低延迟模式即数据采集的频率较高,保证数据采集效果。对于安全性较高的操作场景,可采用高延迟模式如60000微秒的高延时模式,相对节省设备能耗。对于安全性在高与低之间的操作场景,考虑数据采集效果和设备能耗,可采用较低数据采集频率的延时模式。
采集数据所需的数据接口可包括同步接口和/或异步接口。其中,同步采集数据需要保持监听线程常驻内存。异步采集数据的首次数据采集耗时较长,具体用时与设备本身有关,在此并不限定。
在数据采集的过程中,可采用递归采样处理、滤波降噪处理等技术协助进行输出采集,以避免设备中用于采集数据的传感器的频率不稳定导致采集数据的准确度低的问题。
在一些示例中,可利用预设的软件开发工具包(Software Development Kit,SDK)采集目标用户本次操作的操作数据、用户环境数据和设备环境数据。具体地,可在操作系统中的设备指纹SDK模块增加具有数据采集功能的传感器模块,以实现利用SDK采集数据。例如,上述实施例中的设备环境数据中的用户设备唯一标识具体可为设备指纹。设备指纹是通过在设备的应用程序中集成设备指纹脚本,收集物理设备和设备环境的多重信息,生成的唯一的设备识别码。设备指纹可用于构建用户身份和所使用设备的对应关系。本申请实施例中的软件开发工具包(Software Development Kit,SDK)可为各个操作系统的SDK,比如Android SDK和IOS SDK,在此并不限定。
本申请实施例中可利用SDK在后台采集各个数据,在采集数据的过程中,用户全程无感知,也无需用户进行被动的配合操作,数据采集连续,且采集的数据不易被窃取。
在步骤S102中,利用目标用户本次操作的操作数据、用户环境数据和设备环境数据,以及预设的第一分类器、预设的第二分类器和预设的第三分类器,得到第一异常判定结果数据、第二异常判定结果数据和第三异常判定结果数据。
其中,第一分类器的输入为操作数据,输出为第一异常判定结果数据。第一异常判定结果数据用于表征操作数据指示的操作部分是否异常或者异常程度。第二分类器的输入为用户环境数据,输出为第二异常判定结果数据。第二异常判定结果数据用于表征用户环境数据指示的用户环境部分是否异常或者异常程度。第三分类器的输入为设备环境数据,输出为第三异常判定结果数据。第三异常判定结果数据用于表征设备环境数据指示的设备环境部分是否异常或者异常程度。在此并不限定第一异常判定结果数据、第二异常判定结果数据和第三异常判定结果数据的表示形式。
第一分类器、第二分类器和第三分类器为预先利用训练数据集,通过机器学习方法训练得到的分类器。分类器的分类算法可包括但不限于朴素贝叶斯(Naive BayesianModel,NBM)算法、支持向量机(Support Vector Machine,SVM)算法、随机森林(即RandomForest)算法、分类与回归树(Classification and Regression Trees,CART)算法、合成少数类过采样技术(Synthetic Minority Oversampling Technique,SMOTE)算法等分类算法。
在步骤S103中,根据第一异常判定结果数据、第二异常判定结果数据和第三异常判定结果数据,以及预设的集成学习模型,确定目标用户本次操作是否为异常行为。
其中,第一异常判定结果数据、第二异常判定结果数据和第三异常判定结果数据为集成学习模型的输入。集成学习模型的输出可保证目标用户本次操作是否为异常行为。比如,集成学习模型输出综合异常判定结果数据,该综合异常判定结果数据用于表征目标用户本次操作是否为异常行为。
集成学习模型可利用训练第一分类器、第二分类器和第三分类器的训练数据样本集对应的第一异常训练结果数据、第二异常训练结果数据和第三异常训练结果数据,通过集成训练算法训练得到。其中,第一异常训练结果数据为训练数据样本集中的训练数据输入第一分类器,第一分类器输出的数据。第二异常训练结果数据为训练数据样本集中的训练数据输入第二分类器,第二分类器输出的数据。第三异常训练结果数据为训练数据样本集中的训练数据输入第三分类器,第三分类器输出的数据。集成训练算法可包括但不限于堆叠法(即stacking)、提升法(即boosting)、装袋法(即bagging)等算法。
在本申请实施例中,利用采集的目标用户本次操作的操作数据、用户环境数据和设备环境数据,以及预设的第一分类器、第二分类器和第三分类器,分别得到与操作数据对应的第一异常判定结果数据、与用户环境数据对应的第二异常判定结果数据和与设备环境数据对应的第三异常判定结果数据。根据第一异常判定结果数据、第二异常判定结果数据和第三异常判定结果数据,和集成学习模型,确定目标用户本次操作是否为异常行为。本申请实施例通过多重数据,以及多重数据对应的分类器,结合集成学习模型,能够准确地识别异常行为,从而提高了交易操作的安全性。
图4为本申请另一实施例提供的一种异常行为的识别方法的流程图。图4与图2的不同之处在于,图2中的步骤S102可具体细化为图4中的步骤S1021至1026;图4所示的异常行为的识别方法还可包括步骤S104。
在步骤S1021中,基于目标用户本次操作的操作数据和第一分类器中的分类器参数,得到第一正常得分和第一异常得分。
其中,分类器参数即为分类器中分类算法中的计算参数。操作数据输入至第一分类器,在第一分类器中通过分类算法以及分类器参数,可计算得到与操作数据对应的第一正常得分和第一异常得分。其中,第一正常得分可表征输入的操作数据对应的操作部分正常的得分。第一异常得分可表征输入的操作数据对应的操作部分异常的得分。
在一些示例中,分类器参数可包括正常先验概率、异常先验概率、正常条件概率和异常条件概率。分类器参数是在训练分类器的过程中得到的。不同分类器的分类器参数的取值可以不同,在此并不限定。比如,第一分类器的分类器参数的取值、第二分类器的分类器参数的取值和第三分类器的分类器参数的取值不同。
为了不断完善分类器,提高分类器的准确性,还可在对目标用户的操作进行异常行为识别的过程中,利用目标用户本次操作的操作数据、用户环境数据和设备环境数据,对分类器的分类器参数进行更新。
在步骤S1022中,根据第一正常得分和第一异常得分的第一对比结果,得到第一异常判定结果数据。
具体地,在第一对比结果表征第一正常得分大于第一异常得分的情况下,第一异常判定结果数据表征操作数据正常,即表征操作数据对应的操作部分正常。在第一对比结果表征第一正常得分小于第一异常得分的情况下,第一异常判定结果数据表征操作数据异常,即表征操作数据对应的操作部分异常。
在步骤S1023中,基于目标用户本次操作的用户环境数据和第二分类器中的分类器参数,得到第二正常得分和第二异常得分。
其中,用户环境数据输入至第二分类器,在第二分类器中通过分类算法以及分类器参数,可计算得到与用户环境数据对应的第二正常得分和第二异常得分。其中,第二正常得分可表征输入的用户环境数据对应的用户环境部分正常的得分。第二异常得分可表征输入的用户环境数据对应的用户环境部分异常的得分。
分类器参数可参见上述说明,在此不再赘述。
在步骤S1024中,根据第二正常得分和第一异常得分的第二对比结果,得到第一异常判定结果数据。
具体地,在第二对比结果表征第二正常得分大于第二异常得分的情况下,第二异常判定结果数据表征用户环境数据正常,即表征用户环境数据对应的用户环境部分正常。在第二对比结果表征第二正常得分小于第二异常得分的情况下,第二异常判定结果数据表征用户环境数据异常,即表征用户环境数据对应的用户环境部分异常。
在步骤S1025中,基于目标用户本次操作的设备环境数据和第三分类器中的分类器参数,得到第三正常得分和第三异常得分。
其中,设备环境数据输入至第三分类器,在第三分类器中通过分类算法以及分类器参数,可计算得到与设备环境数据对应的第三正常得分和第三异常得分。其中,第三正常得分可表征输入的设备环境数据对应的设备环境部分正常的得分。第三异常得分可表征输入的设备环境数据对应的设备环境部分异常的得分。
分类器参数可参见上述说明,在此不再赘述。
在步骤S1026中,根据第三正常得分和第三异常得分的第三对比结果,得到第三异常判定结果数据。
具体地,在第三对比结果表征第三正常得分大于第三异常得分的情况下,第三异常判定结果数据表征设备环境数据正常,即表征设备环境数据对应的设备环境部分正常。
在第三对比结果表征第三正常得分小于第三异常得分的情况下,第三异常判定结果数据表征设备环境数据异常,即表征设备环境数据对应的设备环境部分异常。
下面以分类器为朴素贝叶斯分类器为例说明正常得分和异常得分的计算。正常得分即为上述第一正常得分、第二正常得分、第三正常得分中的任意一项。异常得分即为上述第一异常得分、第二异常得分、第三异常得分中的任意一项。正常得分和异常得分可根据以下的算式(1)和算式(2)计算得到:
Figure BDA0002390814070000111
Figure BDA0002390814070000112
其中,Score(正常)为正常得分;p(正常)为正常先验概率;Xi为第i个训练数据样本,目标用户本次操作的操作数据、用户环境数据和设备环境数据在此也可视为一个训练数据样本;p(Xi|正常)为Xi被判定为正常样本的条件概率;n为训练数据样本总数,目标用户本次操作的操作数据、用户环境数据和设备环境数据在此也可视为第n个训练数据样本总数;Score(异常)为异常得分;p(异常)为异常先验概率;p(Xi|异常)为Xi被判定为异常样本的条件概率。
在本申请实施例中,也可采用其他算法计算正常得分和异常得分,在此并不限定。
在步骤S104中,在确定目标用户本次操作为异常行为的情况下,输出目标对象,和/或,对目标用户进行身份验证,再次确定目标用户本次操作是否为异常行为。
其中,目标对象包括目标用户的用户标识、目标用户的设备标识、目标用户本次操作的操作数据、用户环境数据和设备环境数据中的一项或多项。在确定目标用于本次操作为异常行为的情况下,通过输出目标对象,以对异常行为的相关信息进行提示。
为了进一步保证异常行为的识别的准确性,可在利用分类器和集成学习模型确定目标用户本次操作为异常行为的情况下,对目标用户进行身份验证。本次身份验证的作用是增强验证的可靠性,具体身份验证方法在此并不限定,比如,请求用户输入验证口令以验证身份等。通过补充的身份验证可提高异常行为的识别的可靠性。
在确定目标用户本次操作不是异常行为的情况下,可允许目标用户本次操作继续进行,以完成目标用户本次操作对应的交易。
图5为本申请又一实施例提供的一种异常行为的识别方法的流程图。图5与图2的不同之处在于,图5所示的异常行为的识别方法还可包括步骤S105至步骤S109。
在步骤S105中,根据训练数据样本集中的训练数据样本,计算得到训练数据样本集的正常先验概率、异常先验概率。
其中,训练数据样本集包括多个训练数据样本。训练数据样本集可包括训练数据正常样本集和训练数据异常样本集。训练数据样本均带有用于标识正常行为或异常行为的标签。训练数据正常样本集包括标签标识正常行为的训练数据样本。训练数据异常样本集包括标签标识异常行为的训练数据样本。每个训练数据样本包括一个用户的一次操作对应的训练数据。训练数据样本可根据设备长期进行业务累计采集的数据得到,也可来自于业务提供方或综合管理方,在此并不限定训练数据样本的来源。训练数据可包括操作数据、用户环境数据和设备环境数据。
通过操作数据、用户环境数据和设备环境数据可在一定程度上体现出操作为异常行为的可能性。比如,用户手持设备的状态即正常状态下,用户设备仰角Y分量和Z分量的取值较小,趋近于0。用户设备加速度X分量和Y分量的取值在[-5,5]之间,用户设备加速度Z分量的取值接近于重力加速。用户设备角速度X分量、Y分量、Z分量三个维度的取值在[-1,1]之间。又比如,用户的设备在平放状态即正常状态下,用户设备仰角Y分量和Z分量的取值在[-5,5]之间。用户设备加速度X分量和Y分量的取值在[-3,3]之间。用户设备加速度Z分量的取值接近于重力加速度。用户设备角速度X分量、Y分量、Z分量三个维度取值较小,均趋近于0。再比如,用户手持设备在侧躺状态即正常状态下,用户设备仰角Y分量的取值在[-180,-30]或[30,180]之间。用户设备仰角Z分量的取值在[-75,-20]或[20,75]之间。用户设备加速度X分量、Y分量、Z分量三个维度的取值在[-10,10]之间。用户设备角速度X分量、Y分量、Z分量三个维度取值较小,均趋近于0。又比如,用户设备在旋转状态即正常状态下,用户设备仰角Y分量和Z分量的取值在[-180,-10]或[10,180]之间。用户设备加速度X分量、Y分量、Z分量三个维度取值在[-25,-2]或[2,25]之间。用户设备角速度X分量、Y分量、Z分量三个维度取值在[-30,-5]或[5,30]之间。再比如,交易时间在夜间或凌晨如23:00至05:00之间,用户姿势的正常行为一般呈现平躺或侧卧,用户姿势的异常行呈现坐姿或平放设备。这体现为异常行为的用户设备仰角Y分量的取值在[-10,10]之间,用户设备仰角Z分量的取值在[-10,10]之间。
正常先验概率为在训练数据样本集中标签标识为正常行为的训练数据样本在训练数据样本集中所占的比例。异常先验概率为在训练数据样本集中标签标识为异常行为的训练数据样本在训练数据样本集中所占的比例。具体地,可根据以下的算式(3)和(4)计算得到正常先验概率和异常先验概率:
Figure BDA0002390814070000131
Figure BDA0002390814070000132
其中,p(正常)为正常先验概率;n正常为训练数据样本集中标签标识为正常行为的训练数据样本的数目;N为训练数据样本集中训练数据样本的总数目;p(异常)为训练数据样本集中标签标识为异常行为的训练数据样本的数目;n异常为训练数据样本集中标签标识为异常行为的训练数据样本的数目。
比如,以训练数据中的用户环境数据包括用户设备仰角为例,用户设备仰角与操作数据中的交易时间结合,可用于判断用户姿势是否发生异常。在异常行为的操作中用户设备仰角在一段时间内保持一致的先验概率为0.487。在异常行为的操作中用户设备仰角在一段时间内保持一致的先验概率为0.130。又比如,以训练数据中的设备环境数据包括用户设备电池电量为例,用户设备电池电量与操作数据中的交易时间结合,可用于判断用户设备是否存在被群控行为类的异常行为。在异常行为的操作中连续采集的用户设备电池电量相等或几乎保持不变的先验概率为0.76。在正常行为的操作中连续采集的用户设备电池电量相等或几乎保持不变的先验概率为0.12。
在步骤S106中,利用训练数据样本中的训练数据,计算得到训练数据样本判定为正常样本的正常条件概率和训练数据样本判定为异常样本的异常条件概率。
其中,正常条件概率是指用户的操作被判断为正常行为的条件下,训练数据不同取值对应的概率。异常条件概率是指用户的操作被判断为异常行为的条件下,训练数据不同取值对应的概率。
在上述实施例中计算正常先验概率、异常先验概率、正常条件概率和异常条件概率的过程中,若训练数据的取值为离散取值,则可使用拉普拉斯修正对训练数据的取值进行修正,或对计算得到的正常先验概率、异常先验概率、正常条件概率和异常条件概率进行修正。
在上述实施例中,可对训练数据样本集中的训练数据样本,运用交叉验证(即Cross Validation)方法进行模型训练,在训练过程中得到最优的分类器参数,以生成第一分类器、第二分类器和第三分类器。
其中,交叉验证方法是指重复的使用训练数据样本,把训练数据样本进行切分,组合为不同的训练集和测试集,用训练集来训练分类器,用测试集来评估分类器分类效果的优与劣。
在步骤S107中,基于正常先验概率、异常先验概率、正常条件概率和异常条件概率,训练得到分类器。
其中,训练数据包括操作数据,分类器包括第一分类器。也就是说,训练数据中的操作数据与第一分类器对应,利用训练数据样本中的操作数据,计算得到第一分类器的训练数据样本判定为正常样本的正常条件概率和训练数据样本判定为异常样本的异常条件概率。训练数据包括用户环境数据,分类器包括第二分类器。也就是说,训练数据中的用户环境数据与第二分类器对应,利用训练数据样本中的用户环境数据,计算得到第二分类器的训练数据样本判定为正常样本的正常条件概率和训练数据样本判定为异常样本的异常条件概率。训练数据包括设备环境数据,分类器包括第三分类器。也就是说,训练数据中的设备环境数据与第三分类器对应,利用训练数据样本中的设备环境数据,计算得到第三分类器的训练数据样本判定为正常样本的正常条件概率和训练数据样本判定为异常样本的异常条件概率。
在步骤S108中,获取第一分类器、第二分类器和第三分类器根据训练数据样本集输出的第一异常训练结果数据、第二异常训练结果数据和第三异常训练结果数据。
训练数据样本集输入第一分类器,第一分类器输出第一异常训练结果数据。第一异常训练结果数据用于保证训练数据样本对应的操作部分是否异常或操作部分的异常程度。训练数据样本集输入第二分类器,第二分类器输出第二异常训练结果数据。第二异常训练结果数据用于保证训练数据样本对应的用户环境部分是否异常或用户环境部分的异常程度。训练数据样本集输入第三分类器,第三分类器输出第三异常训练结果数据。第三异常训练结果数据用于保证训练数据样本对应的设备环境部分是否异常或设备环境部分的异常程度。
在步骤S109中,基于第一异常训练结果数据、第二异常训练结果数据和第三异常训练结果数据,利用集成学习方法,训练得到集成学习模型。
集成学习模型对第一分类器输出的第一异常训练结果数据、第二分类器输出的第二异常训练结果数据和第三分类器输出的第三异常训练结果数据进行集成学习的组合策略可使用逻辑(即logistic)回归,但在此并不限定。
本申请实施例还提供一种异常行为的识别装置。图6为本申请一实施例提供的一种异常行为的识别装置的结构示意图。如图6所示,该异常行为的识别装置200可包括数据采集模块201、分类器模块202和集成学习模块203。
数据采集模块201用于采集目标用户本次操作的操作数据、用户环境数据和设备环境数据。
在一些示例中,数据采集模块201安装有预设的软件开发工具包。数据采集模块201可具体用于:利用软件开发工具包采集目标用户本次操作的操作数据、用户环境数据和设备环境数据。
在一些示例中,操作数据包括以下一项或多项:资金转入动作数据、资金转出动作数据、交易金额、交易时间、交易商户、收单机构和交易地区。
用户环境数据包括以下一项或多项:用户设备仰角、用户设备加速度、用户设备陀螺仪数据、用户按压设备屏幕力度、用户滑屏距离、用户地理位置。
设备环境数据包括以下一项或多项:用户设备唯一标识、用户设备已使用内存、用户设备电池电量、用户设备网络类型、用户设备应用程序并行数量、用户设备是否有root权限。
分类器模块202用于利用目标用户本次操作的操作数据、用户环境数据和设备环境数据,以及预设的第一分类器、预设的第二分类器和预设的第三分类器,得到第一异常判定结果数据、第二异常判定结果数据和第三异常判定结果数据。
集成学习模块203用于根据第一异常判定结果数据、第二异常判定结果数据和第三异常判定结果数据,以及预设的集成学习模型,确定目标用户本次操作是否为异常行为。
其中,第一分类器的输入为操作数据,输出为第一异常判定结果数据。第二分类器的输入为用户环境数据,输出为第二异常判定结果数据。第三分类器的输入为设备环境数据,输出为第三异常判定结果数据。
在本申请实施例中,利用采集的目标用户本次操作的操作数据、用户环境数据和设备环境数据,以及预设的第一分类器、第二分类器和第三分类器,分别得到与操作数据对应的第一异常判定结果数据、与用户环境数据对应的第二异常判定结果数据和与设备环境数据对应的第三异常判定结果数据。根据第一异常判定结果数据、第二异常判定结果数据和第三异常判定结果数据,和集成学习模型,确定目标用户本次操作是否为异常行为。本申请实施例通过多重数据,以及多重数据对应的分类器,结合集成学习模型,能够准确地识别异常行为,从而提高了交易操作的安全性。
图7为本申请另一实施例提供的一种异常行为的识别装置的结构示意图。图7与图6的不同之处在于,图7中的分类器模块202可具体包括第一分类器单元2021、第二分类器单元2022和第三分类器单元2023;图7所示的异常行为的识别装置200还可包括输出模块204和/或验证模块205。
第一分类器单元2021用于基于目标用户本次操作的操作数据和第一分类器中的分类器参数,得到第一正常得分和第一异常得分,以及,根据第一正常得分和第一异常得分的第一对比结果,得到第一异常判定结果数据。
第二分类器单元2022用于基于目标用户本次操作的用户环境数据和第二分类器中的分类器参数,得到第二正常得分和第二异常得分,以及,根据第二正常得分和第一异常得分的第二对比结果,得到第一异常判定结果数据。
第三分类器单元2023用于基于目标用户本次操作的设备环境数据和第三分类器中的分类器参数,得到第三正常得分和第三异常得分,以及,根据第三正常得分和第三异常得分的第三对比结果,得到第三异常判定结果数据。
在一些示例中,分类器参数包括正常先验概率、异常先验概率、正常条件概率和异常条件概率。
其中,在第一对比结果表征第一正常得分大于第一异常得分的情况下,第一异常判定结果数据表征操作数据正常。在第一对比结果表征第一正常得分小于第一异常得分的情况下,第一异常判定结果数据表征操作数据异常。
在第二对比结果表征第二正常得分大于第二异常得分的情况下,第二异常判定结果数据表征用户环境数据正常。在第二对比结果表征第二正常得分小于第二异常得分的情况下,第二异常判定结果数据表征用户环境数据异常。
在第三对比结果表征第三正常得分大于第三异常得分的情况下,第三异常判定结果数据表征设备环境数据正常。在第三对比结果表征第三正常得分小于第三异常得分的情况下,第三异常判定结果数据表征设备环境数据异常。
输出模块204用于在确定目标用户本次操作为异常行为的情况下,输出目标对象。
其中,目标对象包括目标用户的用户标识、目标用户的设备标识、目标用户本次操作的操作数据、用户环境数据和设备环境数据中的一项或多项。
验证模块205用于在确定目标用户本次操作为异常行为的情况下,对目标用户进行身份验证,再次确定目标用户本次操作是否为异常行为。
图8为本申请又一实施例提供的一种异常行为的识别装置的结构示意图。图8与图6的不同之处在于,图8所示的异常行为的识别装置200还可包括分类器训练模块206和集成学习训练模块207。
分类器训练模块206用于:根据训练数据样本集中的训练数据样本,计算得到训练数据样本集的正常先验概率、异常先验概率,每个训练数据样本包括一个用户的一次操作对应的训练数据;利用训练数据样本中的训练数据,计算得到训练数据样本判定为正常样本的正常条件概率和训练数据样本判定为异常样本的异常条件概率;基于正常先验概率、异常先验概率、正常条件概率和异常条件概率,训练得到分类器。
其中,训练数据包括操作数据,分类器包括第一分类器。训练数据包括用户环境数据,分类器包括第二分类器。训练数据包括设备环境数据,分类器包括第三分类器。
集成学习训练模块207用于:获取第一分类器、第二分类器和第三分类器根据训练数据样本集输出的第一异常训练结果数据、第二异常训练结果数据和第三异常训练结果数据;基于第一异常训练结果数据、第二异常训练结果数据和第三异常训练结果数据,利用集成学习方法,训练得到集成学习模型。
本申请实施例还提供了一种终端设备。图9为本申请实施例中一种终端设备的结构示意图。如图9所示,终端设备300包括存储器301、处理器302及存储在存储器301上并可在处理器302上运行的计算机程序。
在一个示例中,上述处理器302可以包括中央处理器(CPU),或者特定集成电路(ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
存储器301可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器301可包括HDD、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器301可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器301可在终端热点开启终端设备300的内部或外部。在特定实施例中,存储器301是非易失性固态存储器。在特定实施例中,存储器301包括只读存储器(ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器302通过读取存储器301中存储的可执行程序代码来运行与可执行程序代码对应的计算机程序,以用于实现上述实施例中异常行为的识别方法。
在一个示例中,终端设备300还可包括通信接口303和总线304。其中,如图9所示,存储器301、处理器302、通信接口303通过总线304连接并完成相互间的通信。
通信接口303,主要用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。也可通过通信接口303接入输入设备和/或输出设备。
总线304包括硬件、软件或两者,将终端设备300的部件彼此耦接在一起。举例来说而非限制,总线304可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线304可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
本申请一实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时可实现上述实施例中的异常行为的识别方法。
需要明确的是,本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。对于装置实施例、终端设备实施例和计算机可读存储介质实施例而言,相关之处可以参见方法实施例的说明部分。本申请并不局限于上文所描述并在图中示出的特定步骤和结构。本领域的技术人员可以在领会本申请的精神之后,作出各种改变、修改和添加,或者改变步骤之间的顺序。并且,为了简明起见,这里省略对已知方法技术的详细描述。
本领域技术人员应能理解,上述实施例均是示例性而非限制性的。在不同实施例中出现的不同技术特征可以进行组合,以取得有益效果。本领域技术人员在研究附图、说明书及权利要求书的基础上,应能理解并实现所揭示的实施例的其他变化的实施例。在权利要求书中,术语“包括”并不排除其他装置或步骤;不定冠词“一个”不排除多个;术语“第一”、“第二”用于标示名称而非用于表示任何特定的顺序。权利要求中的任何附图标记均不应被理解为对保护范围的限制。权利要求中出现的多个部分的功能可以由一个单独的硬件或软件模块来实现。某些技术特征出现在不同的从属权利要求中并不意味着不能将这些技术特征进行组合以取得有益效果。

Claims (18)

1.一种异常行为的识别方法,其特征在于,包括:
采集目标用户本次操作的操作数据、用户环境数据和设备环境数据;
利用所述目标用户本次操作的所述操作数据、所述用户环境数据和所述设备环境数据,以及预设的第一分类器、预设的第二分类器和预设的第三分类器,得到第一异常判定结果数据、第二异常判定结果数据和第三异常判定结果数据;
根据所述第一异常判定结果数据、所述第二异常判定结果数据和所述第三异常判定结果数据,以及预设的集成学习模型,确定所述目标用户本次操作是否为异常行为;
其中,所述第一分类器的输入为所述操作数据,输出为所述第一异常判定结果数据;所述第二分类器的输入为所述用户环境数据,输出为所述第二异常判定结果数据;所述第三分类器的输入为所述设备环境数据,输出为所述第三异常判定结果数据。
2.根据权利要求1所述的方法,其特征在于,所述利用所述目标用户本次操作的所述操作数据、所述用户环境数据和所述设备环境数据,以及预设的第一分类器、预设的第二分类器和预设的第三分类器,得到第一异常判定结果数据、第二异常判定结果数据和第三异常判定结果数据,包括:
基于所述目标用户本次操作的所述操作数据和所述第一分类器中的分类器参数,得到第一正常得分和第一异常得分;
根据所述第一正常得分和所述第一异常得分的第一对比结果,得到所述第一异常判定结果数据;
基于所述目标用户本次操作的所述用户环境数据和所述第二分类器中的分类器参数,得到第二正常得分和第二异常得分;
根据所述第二正常得分和所述第一异常得分的第二对比结果,得到所述第一异常判定结果数据;
基于所述目标用户本次操作的所述设备环境数据和所述第三分类器中的分类器参数,得到第三正常得分和第三异常得分;
根据所述第三正常得分和所述第三异常得分的第三对比结果,得到所述第三异常判定结果数据。
3.根据权利要求2所述的方法,其特征在于,所述分类器参数包括正常先验概率、异常先验概率、正常条件概率和异常条件概率;
其中,在所述第一对比结果表征所述第一正常得分大于所述第一异常得分的情况下,所述第一异常判定结果数据表征所述操作数据正常;
在所述第一对比结果表征所述第一正常得分小于所述第一异常得分的情况下,所述第一异常判定结果数据表征所述操作数据异常;
在所述第二对比结果表征所述第二正常得分大于所述第二异常得分的情况下,所述第二异常判定结果数据表征所述用户环境数据正常;
在所述第二对比结果表征所述第二正常得分小于所述第二异常得分的情况下,所述第二异常判定结果数据表征所述用户环境数据异常;
在所述第三对比结果表征所述第三正常得分大于所述第三异常得分的情况下,所述第三异常判定结果数据表征所述设备环境数据正常;
在所述第三对比结果表征所述第三正常得分小于所述第三异常得分的情况下,所述第三异常判定结果数据表征所述设备环境数据异常。
4.根据权利要求1所述的方法,其特征在于,还包括:
在确定所述目标用户本次操作为异常行为的情况下,输出目标对象,所述目标对象包括所述目标用户的用户标识、所述目标用户的设备标识、所述目标用户本次操作的操作数据、用户环境数据和设备环境数据中的一项或多项;
和/或,
在确定所述目标用户本次操作为异常行为的情况下,对目标用户进行身份验证,再次确定所述目标用户本次操作是否为异常行为。
5.根据权利要求1所述的方法,其特征在于,还包括:
根据训练数据样本集中的训练数据样本,计算得到所述训练数据样本集的正常先验概率、异常先验概率,每个所述训练数据样本包括一个用户的一次操作对应的训练数据;
利用所述训练数据样本中的所述训练数据,计算得到所述训练数据样本判定为正常样本的正常条件概率和所述训练数据样本判定为异常样本的异常条件概率;
基于所述正常先验概率、所述异常先验概率、所述正常条件概率和所述异常条件概率,训练得到分类器;
其中,所述训练数据包括所述操作数据,所述分类器包括所述第一分类器;所述训练数据包括所述用户环境数据,所述分类器包括所述第二分类器;所述训练数据包括所述设备环境数据,所述分类器包括所述第三分类器。
6.根据权利要求5所述的方法,其特征在于,还包括:
获取所述第一分类器、所述第二分类器和所述第三分类器根据所述训练数据样本集输出的第一异常训练结果数据、第二异常训练结果数据和第三异常训练结果数据;
基于所述第一异常训练结果数据、所述第二异常训练结果数据和所述第三异常训练结果数据,利用集成学习方法,训练得到所述集成学习模型。
7.根据权利要求1所述的方法,其特征在于,所述采集目标用户本次操作的操作数据、用户环境数据和设备环境数据,包括:
利用预设的软件开发工具包采集目标用户本次操作的操作数据、用户环境数据和设备环境数据。
8.根据权利要求1至7中任意一项所述的方法,其特征在于,
所述操作数据包括以下一项或多项:资金转入动作数据、资金转出动作数据、交易金额、交易时间、交易商户、收单机构和交易地区;
所述用户环境数据包括以下一项或多项:用户设备仰角、用户设备加速度、用户设备陀螺仪数据、用户按压设备屏幕力度、用户滑屏距离、用户地理位置;
所述设备环境数据包括以下一项或多项:用户设备唯一标识、用户设备已使用内存、用户设备电池电量、用户设备网络类型、用户设备应用程序并行数量、用户设备是否有root权限。
9.一种异常行为的识别装置,其特征在于,包括:
数据采集模块,用于采集目标用户本次操作的操作数据、用户环境数据和设备环境数据;
分类器模块,用于利用所述目标用户本次操作的所述操作数据、所述用户环境数据和所述设备环境数据,以及预设的第一分类器、预设的第二分类器和预设的第三分类器,得到第一异常判定结果数据、第二异常判定结果数据和第三异常判定结果数据;
集成学习模块,用于根据所述第一异常判定结果数据、所述第二异常判定结果数据和所述第三异常判定结果数据,以及预设的集成学习模型,确定所述目标用户本次操作是否为异常行为;
其中,所述第一分类器的输入为所述操作数据,输出为所述第一异常判定结果数据;所述第二分类器的输入为所述用户环境数据,输出为所述第二异常判定结果数据;所述第三分类器的输入为所述设备环境数据,输出为所述第三异常判定结果数据。
10.根据权利要求9所述的装置,其特征在于,所述分类器模块包括:
第一分类器单元,用于基于所述目标用户本次操作的所述操作数据和所述第一分类器中的分类器参数,得到第一正常得分和第一异常得分,以及,根据所述第一正常得分和所述第一异常得分的第一对比结果,得到所述第一异常判定结果数据;
第二分类器单元,用于基于所述目标用户本次操作的所述用户环境数据和所述第二分类器中的分类器参数,得到第二正常得分和第二异常得分,以及,根据所述第二正常得分和所述第一异常得分的第二对比结果,得到所述第一异常判定结果数据;
第三分类器单元,用于基于所述目标用户本次操作的所述设备环境数据和所述第三分类器中的分类器参数,得到第三正常得分和第三异常得分,以及,根据所述第三正常得分和所述第三异常得分的第三对比结果,得到所述第三异常判定结果数据。
11.根据权利要求10所述的装置,其特征在于,所述分类器参数包括正常先验概率、异常先验概率、正常条件概率和异常条件概率;
其中,在所述第一对比结果表征所述第一正常得分大于所述第一异常得分的情况下,所述第一异常判定结果数据表征所述操作数据正常;
在所述第一对比结果表征所述第一正常得分小于所述第一异常得分的情况下,所述第一异常判定结果数据表征所述操作数据异常;
在所述第二对比结果表征所述第二正常得分大于所述第二异常得分的情况下,所述第二异常判定结果数据表征所述用户环境数据正常;
在所述第二对比结果表征所述第二正常得分小于所述第二异常得分的情况下,所述第二异常判定结果数据表征所述用户环境数据异常;
在所述第三对比结果表征所述第三正常得分大于所述第三异常得分的情况下,所述第三异常判定结果数据表征所述设备环境数据正常;
在所述第三对比结果表征所述第三正常得分小于所述第三异常得分的情况下,所述第三异常判定结果数据表征所述设备环境数据异常。
12.根据权利要求9所述的装置,其特征在于,还包括:
输出模块,用于在确定所述目标用户本次操作为异常行为的情况下,输出目标对象,所述目标对象包括所述目标用户的用户标识、所述目标用户的设备标识、所述目标用户本次操作的操作数据、用户环境数据和设备环境数据中的一项或多项;
和/或,
验证模块,用于在确定所述目标用户本次操作为异常行为的情况下,对目标用户进行身份验证,再次确定所述目标用户本次操作是否为异常行为。
13.根据权利要求9所述的装置,其特征在于,还包括分类器训练模块,所述分类器训练模块用于:
根据训练数据样本集中的训练数据样本,计算得到所述训练数据样本集的正常先验概率、异常先验概率,每个所述训练数据样本包括一个用户的一次操作对应的训练数据;
利用所述训练数据样本中的所述训练数据,计算得到所述训练数据样本判定为正常样本的正常条件概率和所述训练数据样本判定为异常样本的异常条件概率;
基于所述正常先验概率、所述异常先验概率、所述正常条件概率和所述异常条件概率,训练得到分类器;
其中,所述训练数据包括所述操作数据,所述分类器包括所述第一分类器;所述训练数据包括所述用户环境数据,所述分类器包括所述第二分类器;所述训练数据包括所述设备环境数据,所述分类器包括所述第三分类器。
14.根据权利要求13所述的装置,其特征在于,还包括集成学习训练模块,所述集成学习训练模块用于:
获取所述第一分类器、所述第二分类器和所述第三分类器根据所述训练数据样本集输出的第一异常训练结果数据、第二异常训练结果数据和第三异常训练结果数据;
基于所述第一异常训练结果数据、所述第二异常训练结果数据和所述第三异常训练结果数据,利用集成学习方法,训练得到所述集成学习模型。
15.根据权利要求9所述的方法,其特征在于,所述数据采集模块安装有预设的软件开发工具包,所述数据采集模块具体用于:
利用所述软件开发工具包采集目标用户本次操作的操作数据、用户环境数据和设备环境数据。
16.根据权利要求9至15中任意一项所述的装置,其特征在于,
所述操作数据包括以下一项或多项:资金转入动作数据、资金转出动作数据、交易金额、交易时间、交易商户、收单机构和交易地区;
所述用户环境数据包括以下一项或多项:用户设备仰角、用户设备加速度、用户设备陀螺仪数据、用户按压设备屏幕力度、用户滑屏距离、用户地理位置;
所述设备环境数据包括以下一项或多项:用户设备唯一标识、用户设备已使用内存、用户设备电池电量、用户设备网络类型、用户设备应用程序并行数量、用户设备是否有root权限。
17.一种终端设备,其特征在于,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至8中任意一项所述的异常行为的识别方法。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1至8中任意一项所述的异常行为的识别方法。
CN202010113614.6A 2020-02-24 2020-02-24 异常行为的识别方法、装置、终端设备及存储介质 Pending CN111340502A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010113614.6A CN111340502A (zh) 2020-02-24 2020-02-24 异常行为的识别方法、装置、终端设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010113614.6A CN111340502A (zh) 2020-02-24 2020-02-24 异常行为的识别方法、装置、终端设备及存储介质

Publications (1)

Publication Number Publication Date
CN111340502A true CN111340502A (zh) 2020-06-26

Family

ID=71183739

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010113614.6A Pending CN111340502A (zh) 2020-02-24 2020-02-24 异常行为的识别方法、装置、终端设备及存储介质

Country Status (1)

Country Link
CN (1) CN111340502A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111756760A (zh) * 2020-06-28 2020-10-09 深圳壹账通智能科技有限公司 基于集成分类器的用户异常行为检测方法及相关设备
CN112580005A (zh) * 2020-12-23 2021-03-30 北京通付盾人工智能技术有限公司 一种基于生物探针技术的移动端用户行为采集方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107291911A (zh) * 2017-06-26 2017-10-24 北京奇艺世纪科技有限公司 一种异常检测方法和装置
CN109241418A (zh) * 2018-08-22 2019-01-18 中国平安人寿保险股份有限公司 基于随机森林的异常用户识别方法及装置、设备、介质
US20190253437A1 (en) * 2014-11-19 2019-08-15 Palo Alto Networks Identifying and responding to security incidents based on preemptive forensics
CN110554961A (zh) * 2019-08-16 2019-12-10 平安普惠企业管理有限公司 异常软件检测方法、装置、计算机设备和存储介质
CN110674479A (zh) * 2019-09-29 2020-01-10 武汉极意网络科技有限公司 异常行为数据实时处理方法、装置、设备及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190253437A1 (en) * 2014-11-19 2019-08-15 Palo Alto Networks Identifying and responding to security incidents based on preemptive forensics
CN107291911A (zh) * 2017-06-26 2017-10-24 北京奇艺世纪科技有限公司 一种异常检测方法和装置
CN109241418A (zh) * 2018-08-22 2019-01-18 中国平安人寿保险股份有限公司 基于随机森林的异常用户识别方法及装置、设备、介质
CN110554961A (zh) * 2019-08-16 2019-12-10 平安普惠企业管理有限公司 异常软件检测方法、装置、计算机设备和存储介质
CN110674479A (zh) * 2019-09-29 2020-01-10 武汉极意网络科技有限公司 异常行为数据实时处理方法、装置、设备及存储介质

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111756760A (zh) * 2020-06-28 2020-10-09 深圳壹账通智能科技有限公司 基于集成分类器的用户异常行为检测方法及相关设备
CN112580005A (zh) * 2020-12-23 2021-03-30 北京通付盾人工智能技术有限公司 一种基于生物探针技术的移动端用户行为采集方法及系统
CN112580005B (zh) * 2020-12-23 2024-05-24 北京通付盾人工智能技术有限公司 一种基于生物探针技术的移动端用户行为采集方法及系统

Similar Documents

Publication Publication Date Title
US10579784B2 (en) System, device, and method of secure utilization of fingerprints for user authentication
CN104408341B (zh) 基于陀螺仪行为特征的智能手机用户身份认证方法
Murmuria et al. Continuous authentication on mobile devices using power consumption, touch gestures and physical movement of users
US20180012003A1 (en) Pointing device biometrics continuous user authentication
US9183441B2 (en) Vehicle data collection and verification
CN112837069B (zh) 基于区块链与大数据的安全支付方法及云平台系统
CN107077551A (zh) 基于传感器输入的可缩放验证过程选择
EP3750275B1 (en) Method and apparatus for identity authentication, server and computer readable medium
CN108920921B (zh) 一种针对智能手机敏感app的可持续身份认证方法
CN111275416B (zh) 数字货币异常交易检测方法、装置、电子设备及介质
CN111340502A (zh) 异常行为的识别方法、装置、终端设备及存储介质
CN109614777B (zh) 智能设备以及智能设备的用户身份验证方法和装置
CN104392160A (zh) 身份认证方法及装置
CN104992089A (zh) 基于触摸屏幕技术的安全验证方法和系统
KR20180001958A (ko) 지문 인증 방법 및 장치
CN107909011B (zh) 人脸识别方法及相关产品
CN104778587A (zh) 一种安全支付方法及装置
EP4248341A1 (en) Method and apparatus for user recognition
CN111314299B (zh) 身份验证方法、装置及系统
CN111353138A (zh) 一种异常用户识别的方法、装置、电子设备及存储介质
Beton et al. Biometric secret path for mobile user authentication: A preliminary study
Conti et al. Usability analysis of a novel biometric authentication approach for android-based mobile devices
US20230222842A1 (en) Improved face liveness detection using background/foreground motion analysis
Dehkordy et al. DroidTKM: Detection of trojan families using the KNN classifier based on manhattan distance metric
Sturgess et al. Watchauth: User authentication and intent recognition in mobile payments using a smartwatch

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination