CN111639681A - 基于教唆型欺诈的预警方法、系统、介质及设备 - Google Patents
基于教唆型欺诈的预警方法、系统、介质及设备 Download PDFInfo
- Publication number
- CN111639681A CN111639681A CN202010388360.9A CN202010388360A CN111639681A CN 111639681 A CN111639681 A CN 111639681A CN 202010388360 A CN202010388360 A CN 202010388360A CN 111639681 A CN111639681 A CN 111639681A
- Authority
- CN
- China
- Prior art keywords
- user behavior
- user
- early warning
- clustering
- fraud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 239000013598 vector Substances 0.000 claims abstract description 65
- 238000011084 recovery Methods 0.000 claims abstract description 18
- 238000000605 extraction Methods 0.000 claims abstract description 16
- 230000002159 abnormal effect Effects 0.000 claims abstract description 15
- 230000007246 mechanism Effects 0.000 claims abstract description 14
- 230000006399 behavior Effects 0.000 claims description 146
- 238000004590 computer program Methods 0.000 claims description 12
- 238000001514 detection method Methods 0.000 claims description 8
- 238000004458 analytical method Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000007547 defect Effects 0.000 description 3
- 238000003064 k means clustering Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012549 training Methods 0.000 description 3
- 238000004138 cluster model Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000011218 segmentation Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000012954 risk control Methods 0.000 description 1
- 230000001568 sexual effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/18—Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/03—Credit; Loans; Processing thereof
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/04—Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
-
- G—PHYSICS
- G08—SIGNALLING
- G08B—SIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
- G08B31/00—Predictive alarm systems characterised by extrapolation or other computation using updated historic data
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Finance (AREA)
- Accounting & Taxation (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Pure & Applied Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Technology Law (AREA)
- Strategic Management (AREA)
- Marketing (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Economics (AREA)
- Evolutionary Computation (AREA)
- Development Economics (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Computational Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Operations Research (AREA)
- Emergency Management (AREA)
- Algebra (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Alarm Systems (AREA)
Abstract
本发明提供一种基于教唆型欺诈的预警方法、系统、介质及设备,所述基于教唆型欺诈的预警方法包括:对用户事件数据进行特征提取,以生成用户行为特征向量;对所述用户行为特征向量进行聚类与分类处理,以得到用户行为类别;通过滑动时间窗统计所述用户行为类别的用户量;将所述用户量与预设阈值进行比较,将比较结果与熔断恢复机制结合,以在用户量异常时进行预警。本发明将滑动时间窗统计与熔断‑恢复机制相结合,通过滑动时间窗有效地对一段时间内的用户量进行统计计算,同时克服了因时间窗滑动需要等待带来的时间滞后,使得教唆型欺诈用户的预警实时性大大提高。
Description
技术领域
本发明涉及欺诈预警的技术领域,涉及一种欺诈预警方法,特别是涉及一种基于教唆型欺诈的预警方法、系统、介质及设备。
背景技术
教导教唆型欺诈是指在有指导、有参考的条件下利用交易系统的漏洞等系统缺陷,所产生的大批量欺诈行为。在互联网交易方面,教导教唆性欺诈相对于传统欺诈行为具有突发性、激增性、难以预测和危害影响更大等特点。随着移动设备的大量使用,由欺诈分子发现的系统漏洞会以教程的形式在网络上的虚拟社区中快速传播,在短时间内会对金融、电商等企业造成巨额的经济损失,是如今互联网诈骗重要的手段之一。所以在这一问题日益严重的情况下,如何快速有效对大规模欺诈行为进行及时的报警,从而避免其造成更大危害,成了当今社会亟待解决的热点课题。
目前,在多数的金融交易机构当中较为普遍的是针对放贷之后的风险控制,现有技术中提出一种贷后风险监控的方法,包括根据贷款申请信息中的预定个人地址信息查询地图获得坐标数据;对所述坐标数据两两计算得到坐标距离,对每个所述坐标距离的预设距离范围内的贷款合同进行聚类分析,得到所述贷款申请信息对应的欺诈可能性数值;若所述欺诈可能性数值大于阈值,则申请所述贷款申请信息对应的贷后反欺诈调查。该发明在一定程度上确实降低了贷后欺诈的风险,但是依然存在一定的局限性。首先,仅仅通过位置信息来进行欺诈判断,会使得模型的准确度降低,从而造成大量误判的情况发生;其次,针对如今的金融风险控制的需求,我们应该将欺诈检测放置在交易或者放贷之前,进而防止造成更大的经济损失。
近一段时间以来,在金融机构中比较常见的贷前监控主要是通过建立风险策略名单的方式,这在一定程度上提高了贷前欺诈预测的准确度,建立风险名单是针对存在异常的用户或者设备加入黑名单,在交易前进行拦截或者进行报警反馈;构建决策模型是通过现有的机器学习或深度学习算法,利用用户的特征进行训练。但是针对教导教唆型欺诈这一问题尚未有效解决。
因此,如何提供一种基于教唆型欺诈的预警方法、系统、介质及设备,以解决现有技术无法以较高实时性对教导教唆性欺诈进行预警等缺陷,成为本领域技术人员亟待解决的技术问题。
发明内容
鉴于以上所述现有技术的缺点,本发明的目的在于提供一种基于教唆型欺诈的预警方法、系统、介质及设备,用于解决现有技术无法以较高实时性对教导教唆性欺诈进行预警的问题。
为实现上述目的及其他相关目的,本发明一方面提供一种基于教唆型欺诈的预警方法,所述基于教唆型欺诈的预警方法包括:对用户事件数据进行特征提取,以生成用户行为特征向量;对所述用户行为特征向量进行聚类与分类处理,以得到用户行为类别;通过滑动时间窗统计所述用户行为类别的用户量;将所述用户量与预设阈值进行比较,将比较结果与熔断恢复机制结合,以在用户量异常时进行预警。
于本发明的一实施例中,对用户事件数据进行特征提取,以生成用户行为特征向量的步骤包括:将用户行为日志构成的事件数据进行量化,提取用于描述用户行为的特征,形成用户行为特征向量。
于本发明的一实施例中,对所述用户行为特征向量进行聚类与分类处理,以得到用户行为类别的步骤包括:对历史用户的用户行为特征向量进行聚类,生成聚类模型;将当前时间段内用户的用户行为特征向量输入所述聚类模型中进行分类;根据分类的结果确定所述用户行为类别。
于本发明的一实施例中,对历史用户的用户行为特征向量进行聚类,生成聚类模型的步骤包括:根据聚类算法对所述用户行为特征向量进行总数分析;将每一类所述用户行为特征向量的总数与第一预设总数值和第二预设总数值进行比较;若大于所述第一预设总数值,则对该类所述用户行为特征向量重新进行总数分析;若小于或等于所述第一预设总数值,则与所述第二预设总数值进行比较;若小于所述第二预设总数值,则判定该类所述用户行为特征向量为噪声数据,并将所述噪声数据丢弃;若大于或等于所述第二预设总数值,则判定该类所述用户行为特征向量为有效聚类数据,并保留该类所述用户行为特征向量对应的用户行为类别。
于本发明的一实施例中,通过滑动时间窗统计所述用户行为类别的用户量的步骤包括:按照固定周期触发所述滑动时间窗检测;读取各个所述用户行为类别在当前滑动时间窗内对应的用户量计数值。
于本发明的一实施例中,将所述用户量与预设阈值进行比较,将比较结果与熔断恢复机制结合,以在用户量异常时进行预警的步骤包括:若所述比较结果为所述用户量超过预设阈值,判断所述用户量对应的用户行为类别是否处于预警状态;若是,不予处理;若否,则启动熔断操作,并将所述滑动时间窗这一时间段内的全部用户进行预警输出,同时将所述用户行为类别设置为预警状态,且对后续作出所述用户行为类别的用户进行实时预警。
于本发明的一实施例中,若所述比较结果为所述用户量未超过预设阈值,判断所述用户量对应的用户行为类别是否处于预警状态;若是,启动恢复操作,将所述用户行为类别的预警状态解除;若否,不予处理。
本发明另一方面提供一种基于教唆型欺诈的预警系统,所述基于教唆型欺诈的预警系统包括:特征提取模块,用于对用户事件数据进行特征提取,以生成用户行为特征向量;聚类分类模块,用于对所述用户行为特征向量进行聚类与分类处理,以得到用户行为类别;统计模块,用于通过滑动时间窗统计所述用户行为类别的用户量;预警模块,用于将所述用户量与预设阈值进行比较,将比较结果与熔断恢复机制结合,以在用户量异常时进行预警。
本发明又一方面提供一种介质,其上存储有计算机程序,该计算机程序被处理器执行时实现所述的基于教唆型欺诈的预警方法。
本发明最后一方面提供一种设备,包括:处理器及存储器;所述存储器用于存储计算机程序,所述处理器用于执行所述存储器存储的计算机程序,以使所述设备执行所述的基于教唆型欺诈的预警方法。
如上所述,本发明所述的基于教唆型欺诈的预警方法、系统、介质及设备,具有以下有益效果:
本发明通过采集的用户行为日志,对特征提取后的向量进行聚类分类,并结合分类后每个类别的用户量进行实时预警,以分析是否在这一时间段内存在教导教唆型欺诈行为。通过滑动时间窗统计预警与熔断-恢复机制结合生成实时性较强的欺诈预警模型,一方面对用户量较多,异常的用户行为类别进行预警,另一方面对发出异常用户行为类别的用户进行预警。
附图说明
图1显示为本发明的基于教唆型欺诈的预警方法于一实施例中的原理流程图。
图2显示为本发明的基于教唆型欺诈的预警方法于一实施例中的聚类分类流程图。
图3显示为本发明的基于教唆型欺诈的预警方法于一实施例中的聚类模型生成流程图。
图4显示为本发明的基于教唆型欺诈的预警方法于一实施例中的时间窗统计流程图。
图5显示为本发明的基于教唆型欺诈的预警方法于一实施例中的预警流程图。
图6显示为本发明的基于教唆型欺诈的预警方法于一实施例中的熔断恢复示意图。
图7显示为本发明的基于教唆型欺诈的预警系统于一实施例中的结构原理图。
图8显示为本发明的基于教唆型欺诈的预警设备于一实施例中的结构连接示意图。
元件标号说明
7 基于教唆型欺诈的预警系统
71 特征提取模块
72 聚类分类模块
73 统计模块
74 预警模块
S11~S14 步骤
S121~S123 步骤
S131~S132 步骤
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
本发明提供了一种基于教唆型欺诈的预警方法,基于聚类模型自动对用户行为模式进行聚类;提出时间窗滑动统计预警与熔断-恢复机制结合的实时性强的预警模型;提出融合用户行为聚类划分和结合熔断-恢复机制的时间窗滑动统计预警的教导型教唆性欺诈预警系统。
以下将结合图1至图8详细阐述本实施例的一种基于教唆型欺诈的预警方法、系统、介质及设备的原理及实施方式,使本领域技术人员不需要创造性劳动即可理解本实施例的基于教唆型欺诈的预警方法、系统、介质及设备。
请参阅图1,显示为本发明的基于教唆型欺诈的预警方法于一实施例中的原理流程图。所述基于教唆型欺诈的预警方法应用于用户获取教唆型操作教程之后,利用交易系统的漏洞进行金融或资金交易上的欺诈等场景,例如,借贷平台欺诈或购物平台欺诈。如图1所示,所述基于教唆型欺诈的预警方法具体包括以下几个步骤:
S11,对用户事件数据进行特征提取,以生成用户行为特征向量。
在本实施例中,将用户行为日志构成的事件数据进行量化,提取用于描述用户行为的特征,形成用户行为特征向量。
具体地,特征提取是从用户的日志事件数据中提取用户的相关操作流程特征,将复杂的操作日志数据转化成用户行为特征向量。
S12,对所述用户行为特征向量进行聚类与分类处理,以得到用户行为类别。
具体地,其用户行为自动聚类仅在聚类模型的训练阶段使用,以历史的用户行为数据进行训练,而以聚类结果为基础的用户行为的分类则用于所述基于教唆型欺诈的预警方法中实时监测的用户行为类别。
请参阅图2,显示为本发明的基于教唆型欺诈的预警方法于一实施例中的聚类分类流程图。如图2所示,S12包括:
S121,对历史用户的用户行为特征向量进行聚类,生成聚类模型。
请参阅图3,显示为本发明的基于教唆型欺诈的预警方法于一实施例中的聚类模型生成流程图。如图3所示,对历史用户的操作行为特征按照不同特点自动聚类。在聚类时优选采用迭代聚类的策略实现自动的K-Means聚类,设定两个标准来判断聚类效果的好坏:(1)保证各个用户行为类别中数量相对均匀;(2)数据量较大的类别要通过反复聚类进行切分,类别数量较小的类当作异常数据而丢弃。
需要说明的是,K-Means聚类仅为本发明的一具体实施方式,其他的可以实现用户行为聚类的算法也在本发明保护的范围内。
在本实施例中,S121包括:
S121A,根据聚类算法对所述用户行为特征向量进行总数分析。
具体地,将待聚类数据以K-meams为基础,根据轮廓系数法确定类别数K。进行K-meams聚类后得到每一类用户行为特征向量数据的总数。
S121B,将每一类所述用户行为特征向量的总数与第一预设总数值和第二预设总数值进行比较。
具体地,将总数与第一预设总数值(阈值N)和第二预设总数值(阈值M)进行比较。
S121C,若大于所述第一预设总数值,则对该类所述用户行为特征向量重新进行总数分析。
具体地,若总数大于阈值N,则说明该类用户行为特征数据量较大,需要通过反复聚类进一步切分,然后对切分细化后的每一类用户行为特征向量重新进行总数分析。
S121D,若小于或等于所述第一预设总数值,则与所述第二预设总数值进行比较。
具体地,若小于或等于阈值N,则将该类用户行为特征向量的总数与阈值M进行比较。
S121E,若小于所述第二预设总数值,则判定该类所述用户行为特征向量为噪声数据,并将所述噪声数据丢弃;若大于或等于所述第二预设总数值,则判定该类所述用户行为特征向量为有效聚类数据,并保留该类所述用户行为特征向量对应的用户行为类别。
具体地,若总数小于阈值M,则判定该类所述用户行为特征向量为噪声数据,并将所述噪声数据丢弃;若总数大于或等于阈值M,则保留该类。
S122,将当前时间段内用户的用户行为特征向量输入所述聚类模型中进行分类。
S123,根据分类的结果确定所述用户行为类别。
具体地,所述用户行为类别为:类1、类2、类3…类k。每一个类别对应一个用户量计数值。
S13,通过滑动时间窗统计所述用户行为类别的用户量。
在本实施例中,所述滑动时间窗是指设置一固定宽度的时间窗,在某一信号上沿时间轴滑动,获取窗内观察到的信号段。
请参阅图4,显示为本发明的基于教唆型欺诈的预警方法于一实施例中的时间窗统计流程图。如图4所示,S13包括:
S131,按照固定周期触发所述滑动时间窗检测。
S132,读取各个所述用户行为类别在当前滑动时间窗内对应的用户量计数值。
具体地,将当前所检测的用户行为输入聚类模型得出所属用户行为类别后,对应的该类用户行为类别的用户量计数自动加1,滑动时间窗触发检测后,获取当前统计的各类别用户量的计数值。
S14,将所述用户量与预设阈值进行比较,将比较结果与熔断恢复机制结合,以在用户量异常时进行预警。
在本实施例中,S14包括:
S141,若所述比较结果为所述用户量超过预设阈值,判断所述用户量对应的用户行为类别是否处于预警状态。
若是,不予处理;若否,则启动熔断操作,并将所述滑动时间窗这一时间段内的全部用户进行预警输出,同时将所述用户行为类别设置为预警状态,且对后续作出所述用户行为类别的用户进行实时预警。
S142,若所述比较结果为所述用户量未超过预设阈值,判断所述用户量对应的用户行为类别是否处于预警状态。
若是,启动恢复操作,将所述用户行为类别的预警状态解除;若否,不予处理。
请参阅图5,显示为本发明的基于教唆型欺诈的预警方法于一实施例中的预警流程图。如图5所示,需要检测的用户行为通过聚类-分类后会被分到对应类别,对应类别的用户量计数自动加1,再根据当前用户行为所属类别是否处于熔断后的预警状态,如果处于预警状态则直接将此用户作为需要预警的用户输出,如果不处于预警状态,则无需任何操作。滑动时间窗在上述单个用户的预警基础上进行独立检测,当时间窗按照固定周期定时触发检测时,首先读取各个类别对应的在当前时间窗内的用户量计数值,然后对各个类别的用户量判断是否超过预警值,如果没有超过预警值,仍需要对此类别是否处于预警状态进行判断,如果处于预警状态则启动恢复操作,将此类预警状态解除;如果没有处于预警状态则不做任何操作。如果此类用户量超过了预警值,也同样需要对此类是否处于预警状态进行判断,如果没有处于预警状态则启动熔断操作,则将此时间段内的全部用户预警输出,同时将此类用户行为设置为预警状态,发生此类用户行为的后续用户将实时预警;如果此类已经处于预警状态,则不做任何操作。
请参阅图6,显示为本发明的基于教唆型欺诈的预警方法于一实施例中的熔断恢复示意图。如图6所示,显示了某类用户行为的用户量随时间的变化曲线,滑动时间窗统计到某时间间隔内的用户量超过上限阈值时,则启动熔断操作,后续用户实时预警,无需等待时间窗滑动检测。当滑动时间窗统计所得用户量低于下限阈值时,则启动恢复操作,解除此类的预警状态,后续用户不再实时预警。
本实施例提供一种计算机存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现所述基于教唆型欺诈的预警方法。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过计算机程序相关的硬件来完成。前述的计算机程序可以存储于一计算机可读存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的计算机可读存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的计算机存储介质。
本发明所述的基于教唆型欺诈的预警方法的保护范围不限于本实施例列举的步骤执行顺序,凡是根据本发明的原理所做的现有技术的步骤增减、步骤替换所实现的方案都包括在本发明的保护范围内。
以下将结合图示对本实施例所提供的基于教唆型欺诈的预警系统进行详细描述。需要说明的是,应理解以下系统的各个模块的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现,也可以全部以硬件的形式实现,还可以部分模块通过处理元件调用软件的形式实现,部分模块通过硬件的形式实现。例如:某一模块可以为单独设立的处理元件,也可以集成在下述系统的某一个芯片中实现。此外,某一模块也可以以程序代码的形式存储于下述系统的存储器中,由下述系统的某一个处理元件调用并执行以下某一模块的功能。其它模块的实现与之类似。这些模块全部或部分可以集成在一起,也可以独立实现。这里所述的处理元件可以是一种集成电路,具有信号的处理能力。在实现过程中,上述方法的各步骤或以下各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。
以下这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),一个或多个数字信号处理器(Digital Signal Processor,简称DSP),一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。当以下某个模块通过处理元件调用程序代码的形式实现时,该处理元件可以是通用处理器,如中央处理器(Central ProcessingUnit,简称CPU)或其它可以调用程序代码的处理器。这些模块可以集成在一起,以片上系统(System-on-a-chip,简称SOC)的形式实现。
请参阅图7,显示为本发明的基于教唆型欺诈的预警系统于一实施例中的结构原理图。如图7所示,所述基于教唆型欺诈的预警系统7包括:特征提取模块71、聚类分类模块72、统计模块73和预警模块74。
所述特征提取模块71用于对用户事件数据进行特征提取,以生成用户行为特征向量;
在本实施例中,所述特征提取模块71具体用于将用户行为日志构成的事件数据进行量化,提取用于描述用户行为的特征,形成用户行为特征向量。
所述聚类分类模块72用于对所述用户行为特征向量进行聚类与分类处理,以得到用户行为类别。
在本实施例中,所述聚类分类模块72具体用于对历史用户的用户行为特征向量进行聚类,生成聚类模型;将当前时间段内用户的用户行为特征向量输入所述聚类模型中进行分类;根据分类的结果确定所述用户行为类别。
所述统计模块73用于通过滑动时间窗统计所述用户行为类别的用户量。
在本实施例中,所述统计模块73具体用于按照固定周期触发所述滑动时间窗检测;读取各个所述用户行为类别在当前滑动时间窗内对应的用户量计数值。
所述预警模块74用于将所述用户量与预设阈值进行比较,将比较结果与熔断恢复机制结合,以在用户量异常时进行预警。
在本实施例中,所述预警模块74具体用于若所述比较结果为所述用户量超过预设阈值,判断所述用户量对应的用户行为类别是否处于预警状态;若是,不予处理;若否,则启动熔断操作,并将所述滑动时间窗这一时间段内的全部用户进行预警输出,同时将所述用户行为类别设置为预警状态,且对后续作出所述用户行为类别的用户进行实时预警。若所述比较结果为所述用户量未超过预设阈值,判断所述用户量对应的用户行为类别是否处于预警状态;若是,启动恢复操作,将所述用户行为类别的预警状态解除;若否,不予处理。
本发明所述的基于教唆型欺诈的预警系统可以实现本发明所述的基于教唆型欺诈的预警方法,但本发明所述的基于教唆型欺诈的预警方法的实现装置包括但不限于本实施例列举的基于教唆型欺诈的预警系统的结构,凡是根据本发明的原理所做的现有技术的结构变形和替换,都包括在本发明的保护范围内。
请参阅图8,显示为本发明的基于教唆型欺诈的预警设备于一实施例中的结构连接示意图。如图8所示,本实施例提供一种设备,所述设备包括:处理器、存储器、通信接口或/和系统总线;存储器和通信接口通过系统总线与处理器连接并完成相互间的通信,存储器用于存储计算机程序,通信接口用于和其他设备进行通信,处理器用于运行计算机程序,使所述设备执行所述基于教唆型欺诈的预警方法的各个步骤。
上述提到的系统总线可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该系统总线可以分为地址总线、数据总线、控制总线等。通信接口用于实现数据库访问装置与其他设备(如客户端、读写库和只读库)之间的通信。存储器可能包含随机存取存储器(Random Access Memory,简称RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Alication SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
综上所述,本发明所述基于教唆型欺诈的预警方法、系统、介质及设备通过采集的用户行为日志,对特征提取后的向量进行聚类分类,并结合分类后每个类别的用户量进行实时预警,以分析是否在这一时间段内存在教导教唆型欺诈行为。通过滑动时间窗统计预警与熔断-恢复机制结合生成实时性较强的欺诈预警模型,一方面对用户量较多,异常的用户行为类别进行预警,另一方面对发出异常用户行为类别的用户进行预警。本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
Claims (10)
1.一种基于教唆型欺诈的预警方法,其特征在于,所述基于教唆型欺诈的预警方法包括:
对用户事件数据进行特征提取,以生成用户行为特征向量;
对所述用户行为特征向量进行聚类与分类处理,以得到用户行为类别;
通过滑动时间窗统计所述用户行为类别的用户量;
将所述用户量与预设阈值进行比较,将比较结果与熔断恢复机制结合,以在用户量异常时进行预警。
2.根据权利要求1所述的基于教唆型欺诈的预警方法,其特征在于,对用户事件数据进行特征提取,以生成用户行为特征向量的步骤包括:
将用户行为日志构成的事件数据进行量化,提取用于描述用户行为的特征,形成用户行为特征向量。
3.根据权利要求1所述的基于教唆型欺诈的预警方法,其特征在于,对所述用户行为特征向量进行聚类与分类处理,以得到用户行为类别的步骤包括:
对历史用户的用户行为特征向量进行聚类,生成聚类模型;
将当前时间段内用户的用户行为特征向量输入所述聚类模型中进行分类;
根据分类的结果确定所述用户行为类别。
4.根据权利要求3所述的基于教唆型欺诈的预警方法,其特征在于,对历史用户的用户行为特征向量进行聚类,生成聚类模型的步骤包括:
根据聚类算法对所述用户行为特征向量进行总数分析;
将每一类所述用户行为特征向量的总数与第一预设总数值和第二预设总数值进行比较;
若大于所述第一预设总数值,则对该类所述用户行为特征向量重新进行总数分析;
若小于或等于所述第一预设总数值,则与所述第二预设总数值进行比较;
若小于所述第二预设总数值,则判定该类所述用户行为特征向量为噪声数据,并将所述噪声数据丢弃;若大于或等于所述第二预设总数值,则判定该类所述用户行为特征向量为有效聚类数据,并保留该类所述用户行为特征向量对应的用户行为类别。
5.根据权利要求1所述的基于教唆型欺诈的预警方法,其特征在于,通过滑动时间窗统计所述用户行为类别的用户量的步骤包括:
按照固定周期触发所述滑动时间窗检测;
读取各个所述用户行为类别在当前滑动时间窗内对应的用户量计数值。
6.根据权利要求1所述的基于教唆型欺诈的预警方法,其特征在于,将所述用户量与预设阈值进行比较,将比较结果与熔断恢复机制结合,以在用户量异常时进行预警的步骤包括:
若所述比较结果为所述用户量超过预设阈值,判断所述用户量对应的用户行为类别是否处于预警状态;
若是,不予处理;若否,则启动熔断操作,并将所述滑动时间窗这一时间段内的全部用户进行预警输出,同时将所述用户行为类别设置为预警状态,且对后续作出所述用户行为类别的用户进行实时预警。
7.根据权利要求1所述的基于教唆型欺诈的预警方法,其特征在于:
若所述比较结果为所述用户量未超过预设阈值,判断所述用户量对应的用户行为类别是否处于预警状态;
若是,启动恢复操作,将所述用户行为类别的预警状态解除;若否,不予处理。
8.一种基于教唆型欺诈的预警系统,其特征在于,所述基于教唆型欺诈的预警系统包括:
特征提取模块,用于对用户事件数据进行特征提取,以生成用户行为特征向量;
聚类分类模块,用于对所述用户行为特征向量进行聚类与分类处理,以得到用户行为类别;
统计模块,用于通过滑动时间窗统计所述用户行为类别的用户量;
预警模块,用于将所述用户量与预设阈值进行比较,将比较结果与熔断恢复机制结合,以在用户量异常时进行预警。
9.一种介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至7中任一项所述的基于教唆型欺诈的预警方法。
10.一种设备,其特征在于,包括:处理器及存储器;
所述存储器用于存储计算机程序,所述处理器用于执行所述存储器存储的计算机程序,以使所述设备执行如权利要求1至7中任一项所述的基于教唆型欺诈的预警方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010388360.9A CN111639681A (zh) | 2020-05-09 | 2020-05-09 | 基于教唆型欺诈的预警方法、系统、介质及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010388360.9A CN111639681A (zh) | 2020-05-09 | 2020-05-09 | 基于教唆型欺诈的预警方法、系统、介质及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111639681A true CN111639681A (zh) | 2020-09-08 |
Family
ID=72330843
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010388360.9A Pending CN111639681A (zh) | 2020-05-09 | 2020-05-09 | 基于教唆型欺诈的预警方法、系统、介质及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111639681A (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103793484A (zh) * | 2014-01-17 | 2014-05-14 | 五八同城信息技术有限公司 | 分类信息网站中的基于机器学习的欺诈行为识别系统 |
| CN106294508A (zh) * | 2015-06-10 | 2017-01-04 | 深圳市腾讯计算机系统有限公司 | 一种刷量工具检测方法及装置 |
| KR20170056045A (ko) * | 2015-11-12 | 2017-05-23 | 주식회사 엔젠소프트 | 다양한 웹 서비스 환경에서 사용자의 행위 패턴 분석을 통한 이상행위 탐지 방법과 그를 위한 장치 |
| CN108564460A (zh) * | 2018-01-12 | 2018-09-21 | 阳光财产保险股份有限公司 | 互联网信贷场景下的实时欺诈检测方法及装置 |
| CN109284371A (zh) * | 2018-09-03 | 2019-01-29 | 平安证券股份有限公司 | 反欺诈方法、电子装置及计算机可读存储介质 |
| CN109308615A (zh) * | 2018-08-02 | 2019-02-05 | 同济大学 | 基于统计序列特征的实时欺诈交易检测方法、系统、存储介质及电子终端 |
| CN109976935A (zh) * | 2019-03-14 | 2019-07-05 | 北京三快在线科技有限公司 | 微服务架构、微服务节点及其熔断恢复方法、装置 |
| CN110163684A (zh) * | 2019-05-27 | 2019-08-23 | 北京思特奇信息技术股份有限公司 | 一种对电信合作伙伴欺诈行为的标记方法及装置 |
| CN110400031A (zh) * | 2018-04-25 | 2019-11-01 | 阿里巴巴集团控股有限公司 | 一种熔断方法及服务器 |
| CN111127062A (zh) * | 2018-11-01 | 2020-05-08 | 中国移动通信集团广东有限公司 | 一种基于空间搜索算法的群体欺诈识别方法及装置 |
-
2020
- 2020-05-09 CN CN202010388360.9A patent/CN111639681A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103793484A (zh) * | 2014-01-17 | 2014-05-14 | 五八同城信息技术有限公司 | 分类信息网站中的基于机器学习的欺诈行为识别系统 |
| CN106294508A (zh) * | 2015-06-10 | 2017-01-04 | 深圳市腾讯计算机系统有限公司 | 一种刷量工具检测方法及装置 |
| KR20170056045A (ko) * | 2015-11-12 | 2017-05-23 | 주식회사 엔젠소프트 | 다양한 웹 서비스 환경에서 사용자의 행위 패턴 분석을 통한 이상행위 탐지 방법과 그를 위한 장치 |
| CN108564460A (zh) * | 2018-01-12 | 2018-09-21 | 阳光财产保险股份有限公司 | 互联网信贷场景下的实时欺诈检测方法及装置 |
| CN110400031A (zh) * | 2018-04-25 | 2019-11-01 | 阿里巴巴集团控股有限公司 | 一种熔断方法及服务器 |
| CN109308615A (zh) * | 2018-08-02 | 2019-02-05 | 同济大学 | 基于统计序列特征的实时欺诈交易检测方法、系统、存储介质及电子终端 |
| CN109284371A (zh) * | 2018-09-03 | 2019-01-29 | 平安证券股份有限公司 | 反欺诈方法、电子装置及计算机可读存储介质 |
| CN111127062A (zh) * | 2018-11-01 | 2020-05-08 | 中国移动通信集团广东有限公司 | 一种基于空间搜索算法的群体欺诈识别方法及装置 |
| CN109976935A (zh) * | 2019-03-14 | 2019-07-05 | 北京三快在线科技有限公司 | 微服务架构、微服务节点及其熔断恢复方法、装置 |
| CN110163684A (zh) * | 2019-05-27 | 2019-08-23 | 北京思特奇信息技术股份有限公司 | 一种对电信合作伙伴欺诈行为的标记方法及装置 |
Non-Patent Citations (5)
| Title |
|---|
| XING MIN等: "K-Means Algorithm: Fraud Detection Based on Signaling Data", 《 2018 IEEE WORLD CONGRESS ON SERVICES (SERVICES)》 * |
| 付金会: "《统计学》", 30 April 2017 * |
| 刘茜领: "基于时间窗与风险值的P2P信任模型研究", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 * |
| 曹琉: "评论类网站的用户欺诈行为检测", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 * |
| 陈冬祥,闫春钢等: "一种综合多因素的网页浏览行为认证方法", 《计算机科学》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102061987B1 (ko) | 위험 평가 방법 및 시스템 | |
| CN108737406B (zh) | 一种异常流量数据的检测方法及系统 | |
| CN105590055B (zh) | 用于在网络交互系统中识别用户可信行为的方法及装置 | |
| CN107563757B (zh) | 数据风险识别的方法及装置 | |
| WO2017140222A1 (zh) | 机器学习模型的建模方法及装置 | |
| KR101879416B1 (ko) | 이상 금융거래 탐지 방법 및 그 전자 장치 | |
| CN111461855B (zh) | 基于欠采样的信用卡欺诈检测方法及系统、介质、设备 | |
| CN110348528A (zh) | 基于多维数据挖掘的用户信用确定方法 | |
| TW202042132A (zh) | 一種異常交易節點的檢測方法及裝置 | |
| CN110335144B (zh) | 个人电子银行账户安全检测方法及装置 | |
| JP7430816B2 (ja) | 異常行為検出方法、装置、電子機器及びコンピュータプログラム | |
| CN112581259A (zh) | 账户风险识别方法及装置、存储介质、电子设备 | |
| CN114186626A (zh) | 一种异常检测方法、装置、电子设备及计算机可读介质 | |
| CN111951008A (zh) | 一种风险预测方法、装置、电子设备和可读存储介质 | |
| CN114841801A (zh) | 一种基于用户行为特征的信贷风控方法和装置 | |
| CN114595765A (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN111641594B (zh) | 基于页面行为的欺诈用户检测方法、系统、介质及设备 | |
| CN110347669A (zh) | 基于流式大数据分析的风险防范方法 | |
| CN112330355A (zh) | 消费券交易数据处理方法、装置、设备及存储介质 | |
| CN116805245A (zh) | 基于图神经网络与解耦表示学习的欺诈检测方法及系统 | |
| CN111639681A (zh) | 基于教唆型欺诈的预警方法、系统、介质及设备 | |
| CN115204322A (zh) | 行为链路异常识别方法和装置 | |
| CN115758336A (zh) | 一种资产识别方法及装置 | |
| CN110570301B (zh) | 风险识别方法、装置、设备及介质 | |
| CN115687034A (zh) | 一种业务系统平面可用性判定方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200908 |
|
| RJ01 | Rejection of invention patent application after publication |