CN111915418A - 一种互联网金融欺诈行为在线检测方法及其装置 - Google Patents

Abstract

本发明提供了一种互联网金融欺诈行为在线检测方法及其装置，包括采集模型数据并将数据随机切分为训练样本及验证样本，剔除训练样本中的异常数据并对其进行标准化处理；确定聚类的种类K值，并随机划分K个聚心，通过每个数据点到聚心的欧式距离最小目标不断调整聚心直至聚心收敛，分簇判定正常异常分类，结合用户的贷后表现进一步优化模型，通过最近邻规则、边界规则和阈值规则等三个规则来对用户在线实时欺诈检测，监控到异常信息后进行自动推送，实现对用户的实时监控和异常预警处理。本发明基于K‑means算法的欺诈行为检测方法更加适合互联网金融应用场景，提高了欺诈行为在线监控检测识别的通用性和准确性。

Description

一种互联网金融欺诈行为在线检测方法及其装置

技术领域

本发明涉及互联网金融行业的风控技术领域，特别涉及一种互联网金融欺诈 行为在线检测方法及其装置。

背景技术

传统的反欺诈检测方法主要是依赖先验知识制定的基于预先定义的反欺诈 规则和有监督的机器学习算法，但对于日新月异的欺诈手段和缺乏足够的先验知 识情况下，这种传统的反欺诈检测方法，还是存在一定的滞后性，不能实时检测 识别新型的欺诈行为而造成大量信贷损失。

传统的K-means算法的步骤如下：(1)输入数据集D，类的数目k；(2) 从数据集X中任选(即随机选取)k个对象作为类的初始中心；(3)根据类的 初始中心与数据集X中每个对象的距离，将对象指派到最近的类中；(4)重新 计算每个类的中心(即每个类的均值)；(5)重复(3)和(4)，直到每个类的中心 不再变化。K-Means算法能根据较少的已知聚类样本的类别对树进行剪枝确定部 分样本的分类，需要调参的参数仅仅是簇数k，收敛速度快，实现容易，聚类效 果较好，可解释度比较强。

发明内容

为了解决上述技术问题，本发明中披露了一种互联网金融欺诈行为在线检测 方法及其装置，本发明的技术方案是这样实施的：

一种互联网金融欺诈行为在线检测方法，包括以下步骤：步骤一：采集模型 数据及切分样本：采集已成功放款的用户的申请、操作及还款行为数据，根据欺 诈行为特征，提取具有代表性的欺诈行为属性，并随机切分为训练样本和验证样 本；步骤二：数据预处理：对所述训练样本中的数据进行统计性描述和校验，剔 除无关维度及与实际业务不符的异常数据，然后对相同属性数据进行标准化处 理，得到标准化样本；步骤三：确定聚类种类及选取聚心：基于标准化样本，通 过计算Calinski-HarabaszIndex的方法确定聚类的种类K的最优值，并随机选取 标准化样本的K个聚心；步骤四：计算欧式距离及分簇：计算每个标准化样本点 到K个聚心的欧氏距离，从中找出欧式距离最小值所对应的聚心，并将该标准化 样本划分到该聚心所对应的簇中；步骤五：收敛聚心：重新计算簇的聚心，并与 之前的聚心比较，若聚心改变，则重复步骤三和步骤四，直到聚心保持不变，完 成聚类训练；步骤六：分簇判定正常异常分类及模型优化：采用少数服从多数原 则，判定K个簇各自属于正常类还是异常类，得到无监督模型，将所述无监督模 型应用于验证样本，分类结果结合用户的贷后表现进行比对，判定模型的异常检 测的准确率，并重新拟合优化模型；步骤七：在线欺诈行为检测：将步骤六优化 后的无监督模型部署至金融平台，通过最近邻规则、边界规则和阈值规则来对用 户在线实时欺诈检测，监控到异常信息后进行自动推送，实现对客户的实时监控 和异常预警处理。

进一步地，步骤二中所述的准化处理具体包括：首先计算每个特征的均值为：

然后计算每个特征的平均绝对偏差为：

最后进行 标准化计算为：

上述式中，Z_if表示第i个训练样本的f特征的值， x_if表示第i个训练样本的f特征的归一化之后的值，其中i＝1,2,3,4,…,n，n表示训 练样本的个数；

进一步地，步骤三中所述的通过计算Calinski-HarabaszIndex的方法确定聚类的种类K的最优值包括：首先将K设为

或log(n)，然后通过采用 Calinski-HarabaszIndex对K的取值进行验证优化，根据Calinski-HarabaszIndex 值越大聚类效果越好的原则，确定K的最优值，所述Calinski-HarabaszIndex的 计算公式为：

在该式中，n为训练集样本个数，k为类别个数 即K的取值，B_k为类别之间的协方差矩阵，W_k为类别内部数据的协方差矩阵， tr为矩阵的迹。

进一步地，所述欧式距离的计算公式为：

修改为：x_if表示第i个训练样本点经过标准化的f特征的值，c_jf表示K个初 始聚心中第j个聚心的f特征的值。

进一步地，步骤五中所述重新计算簇的聚心的公式为：

该式中， W_j表示第j个簇，n表示簇W_j中样本的个数，X表示簇W_j中的所有样本。

进一步地，步骤六中所述判定K个簇各自属于正常类还是异常类的方法包 括：以q_0j表示第j个簇中异常样本，n_j表示第j个簇的内所有样本，计算

的值， 若

则第j个簇属于异常类，否则第j个簇属于正常类。

进一步地，步骤七中所述的通过最近邻规则、边界规则和阈值规则来对用户 在线实时欺诈检测包括：首先对客户的数据进行特征提取，然后将提取的数据进 行标准化处理得到检测样本，使用K-means算法将检测样本进行分簇，并判断检 测样本是否符合以下三个条件：

最近邻规则条件：d(X,C₁)＜d(X,C_j)；

该式中，X表示的是检测样本，C₁表示的是正常簇W₁所对应聚心，C_j表示 的是异常簇W_j所对应聚心，j＝2,3,…,K-1；

边界规则条件：d(X,C₁)＜d_max；

该式中，d_max表示的是预先设定的正常簇W₁所允许的范围边界；

阈值规则条件：P(q_ij|X∈C1)＞τ；

该式中，τ为0.5；

若检测样本符合上述三个条件则该客户不存在欺诈行为，否则客户存在欺诈 行为。

进一步地，步骤一中所述训练样本和所述验证样本的划分比例为7:3。

一种互联网金融欺诈行为在线检测装置，包括处理器以及与所述处理器电气 连接的存储有计算机程序的存储器、I/O设备和报警装置，所述计算机程序在被 所述处理器运行时执行如权利要求1至8任一项所述的方法，所述I/O设备用于 连接需要所述计算机程序监测的计算机和/或网络，访问并且获取实时测点的数 据。

实施本发明的技术方案可解决现有技术中传统的反欺诈检测方法存在一定 的滞后性的技术问题；实施本发明的技术方案，有以下有益效果：

(1)实施本发明技术方案，对相同属性数据进行了标准化处理，并通过计 算Calinski-HarabaszIndex的方法确定聚类的种类，且本发明通过最近邻规则、边 界规则和阈值规则对用户在线实时欺诈检测，更加精确的检测出远离异常簇的孤 立异常样本，在异常样本错误划入正常簇的情况下，有效地降低误检率并且更加 精确的检测出落入正常簇中的异常样本，有效地降低漏检率，提高准确性。

(2)本发明基于K-means算法上的欺诈行为检测方法及系统，实现容易， 能够实时监控和异常报警处理，相对于传统的欺诈行为检测方法，更适用于互联 网金融应用场景，本发明通用性好。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例 或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的 附图仅仅是本发明的一种实施例，对于本领域普通技术人员来讲，在不付出创造 性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清 楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全 部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳 动前提下所获得的所有其他实施例，都属于本发明保护的范围。

一种互联网金融欺诈行为在线检测方法，结合图1所示，包括以下步骤：步 骤一：采集模型数据及切分样本：采集已成功放款的用户的申请、操作及还款行 为数据，根据欺诈行为特征，提取具有代表性的欺诈行为属性，并随机切分为训 练样本和验证样本；步骤二：数据预处理：对所述训练样本中的数据进行统计性 描述和校验，剔除无关维度及与实际业务不符的异常数据，然后对相同属性数据 进行标准化处理，得到标准化样本；步骤三：确定聚类种类及选取聚心：基于标 准化样本，通过计算Calinski-HarabaszIndex的方法确定聚类的种类K的最优值， 并随机选取标准化样本的K个聚心；步骤四：计算欧式距离及分簇：计算每个标 准化样本点到K个聚心的欧氏距离，从中找出欧式距离最小值所对应的聚心，并 将该标准化样本划分到该聚心所对应的簇中；步骤五：收敛聚心：重新计算簇的 聚心，并与之前的聚心比较，若聚心改变，则重复步骤三和步骤四，直到聚心保 持不变，完成聚类训练；步骤六：分簇判定正常异常分类及模型优化：采用少数 服从多数原则，判定K个簇各自属于正常类还是异常类，得到无监督模型，将所 述无监督模型应用于验证样本，分类结果结合用户的贷后表现进行比对，判定模 型的异常检测的准确率，并重新拟合优化模型；步骤七：在线欺诈行为检测：将 步骤六优化后的无监督模型部署至金融平台，通过最近邻规则、边界规则和阈值 规则来对用户在线实时欺诈检测，监控到异常信息后进行自动推送，实现对客户 的实时监控和异常预警处理。

在该实施方式中，基于上述一种互联网金融欺诈行为在线检测方法的一种互 联网金融欺诈行为在线检测装置，包括处理器以及与所述处理器电气连接的存储 有计算机程序的存储器、I/O设备和报警装置，所述计算机程序在被所述处理器 运行时执行如权利要求1至8任一项所述的方法，所述I/O设备用于连接需要所 述计算机程序监测的计算机和/或网络，访问并且获取实时测点的数据。

实施本实施例技术方案，一方面，本实施例通过计算Calinski-HarabaszIndex 的方法确定聚类的种类，并提前对相同属性数据进行了标准化处理，；另一方面， 本实施例通过最近邻规则、边界规则和阈值规则对用户在线实时欺诈检测，更加 精确的检测出远离异常簇的孤立异常样本，在异常样本错误划入正常簇的情况 下，有效地降低误检率并且更加精确的检测出落入正常簇中的异常样本，有效地 降低漏检率，提高准确性。另外，本实施例技术方案是基于K-means算法上的， 实现比较容易，能够实时监控和异常报警处理，相对于传统的欺诈行为检测方法， 更适用于互联网金融应用场景，本发明通用性好。

在一种优选的实施方式中，结合图1所示，步骤二中所述的准化处理具体包 括：

首先计算每个特征的均值为：

然后计算每个特征的平均绝对偏差为：

最后进行标准化计算为：

上述式中，Z_if表示第i个训练样本的f特征的值，x_if表示第i个训练样本的 f特征的归一化之后的值，其中i＝1,2,3,4,…,n，n表示训练样本的个数；

在一种优选的实施方式中，步骤三中所述的通过计算Calinski-HarabaszIndex的方法确定聚类的种类K的最优值包括：首先将K设为

或log(n)，然后通过采 用Calinski-HarabaszIndex对K的取值进行验证优化，根据Calinski-HarabaszIndex 值越大聚类效果越好的原则，确定K的最优值，所述Calinski-HarabaszIndex的 计算公式为：

在该式中，n为训练集样本个数，k为类别个数 即K的取值，B_k为类别之间的协方差矩阵，W_k为类别内部数据的协方差矩阵， tr为矩阵的迹。

在一种优选的实施方式中，所述欧式距离的计算公式为：

在该式中，修改为：x_if表示第i个训练样本点经过标准 化的f特征的值，c_jf表示K个初始聚心中第j个聚心的f特征的值。

在一种优选的实施方式中，步骤五中所述重新计算簇的聚心的公式为：

该式中，W_j表示第j个簇，n表示簇W_j中样本的个数，X表示簇 W_j中的所有样本。

在一种优选的实施方式中，步骤六中所述判定K个簇各自属于正常类还是异 常类的方法包括：以q_0j表示第j个簇中异常样本，n_j表示第j个簇的内所有样本， 计算

的值，若

则第j个簇属于异常类，否则第j个簇属于正常类。

在一种优选的实施方式中，步骤七中所述的通过最近邻规则、边界规则和阈 值规则来对用户在线实时欺诈检测包括：首先对客户的数据进行特征提取，然后 将提取的数据进行标准化处理得到检测样本，使用K-means算法将检测样本进行 分簇，并判断检测样本是否符合以下三个条件：

最近邻规则条件：d(X,C₁)＜d(X,C_j)；

该式中，X表示的是检测样本，C₁表示的是正常簇W₁所对应聚心，C_j表示 的是异常簇W_j所对应聚心，j＝2,3,…,K-1；

边界规则条件：d(X,C₁)＜d_max；

该式中，d_max表示的是预先设定的正常簇W₁所允许的范围边界；

阈值规则条件：P(q_ij|X∈C1)＞τ；

该式中，τ为0.5；

若检测样本符合上述三个条件则该客户不存在欺诈行为，否则客户存在欺诈 行为。

在一种优选的实施方式中，其特征在于，步骤一中所述训练样本和所述验证 样本的划分比例为7:3。

需要指出的是，以上所述仅为本发明的较佳实施例而已，并不用以限制本发 明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应 包含在本发明的保护范围之内。

Claims (9)

1.一种互联网金融欺诈行为在线检测方法，其特征在于，包括以下步骤：

步骤一：采集模型数据及切分样本：采集已成功放款的用户的申请、操作及还款行为数据，根据欺诈行为特征，提取具有代表性的欺诈行为属性，并随机切分为训练样本和验证样本；

步骤二：数据预处理：对所述训练样本中的数据进行统计性描述和校验，剔除无关维度及与实际业务不符的异常数据，然后对相同属性数据进行标准化处理，得到标准化样本；

步骤三：确定聚类种类及选取聚心：基于标准化样本，通过计算Calinski-HarabaszIndex的方法确定聚类的种类K的最优值，并随机选取标准化样本的K个聚心；

步骤四：计算欧式距离及分簇：计算每个标准化样本点到K个聚心的欧氏距离，从中找出欧式距离最小值所对应的聚心，并将该标准化样本划分到该聚心所对应的簇中；

步骤五：收敛聚心：重新计算簇的聚心，并与之前的聚心比较，若聚心改变，则重复步骤三和步骤四，直到聚心保持不变，完成聚类训练；

步骤六：分簇判定正常异常分类及模型优化：采用少数服从多数原则，判定K个簇各自属于正常类还是异常类，得到无监督模型，将所述无监督模型应用于验证样本，分类结果结合用户的贷后表现进行比对，判定模型的异常检测的准确率，并重新拟合优化模型；

步骤七：在线欺诈行为检测：将步骤六优化后的无监督模型部署至金融平台，通过最近邻规则、边界规则和阈值规则来对用户在线实时欺诈检测，监控到异常信息后进行自动推送，实现对客户的实时监控和异常预警处理。

2.根据权利要求1所述的一种互联网金融欺诈行为在线检测方法，其特征在于，步骤二中所述的准化处理具体包括：

首先计算每个特征的均值为：

然后计算每个特征的平均绝对偏差为：

最后进行标准化计算为：

上述式中，Z_if表示第i个训练样本的f特征的值，x_if表示第i个训练样本的f特征的归一化之后的值，其中i＝1,2,3,4,…,n，n表示训练样本的个数。

3.根据权利要求1所述的一种互联网金融欺诈行为在线检测方法，其特征在于，步骤三中所述的通过计算Calinski-HarabaszIndex的方法确定聚类的种类K的最优值包括：首先将K设为

或log(n)，然后通过采用Calinski-HarabaszIndex，对K的取值进行验证优化，根据Calinski-HarabaszIndex值越大聚类效果越好的原则，确定K的最优值，所述Calinski-HarabaszIndex的计算公式为：

在该式中，n为训练集样本个数，k为类别个数即K的取值，B_k为类别之间的协方差矩阵，W_k为类别内部数据的协方差矩阵，tr为矩阵的迹。

4.根据权利要求1所述的一种互联网金融欺诈行为在线检测方法，其特征在于，所述欧式距离的计算公式为：

在该式中，x_if表示第i个训练样本点经过标准化的f特征的值，c_jf表示K个初始聚心中第j个聚心的f特征的值。

5.根据权利要求1所述的基于K-means算法的金融欺诈行为在线检测方法，其特征在于，步骤五中所述重新计算簇的聚心的公式为：

该式中，W_j表示第j个簇，n表示簇W_j中样本的个数，X表示簇W_j中的所有样本。

6.根据权利要求1所述的一种互联网金融欺诈行为在线检测方法，其特征在于，步骤六中所述判定K个簇各自属于正常类还是异常类的方法包括：以q_0j表示第j个簇中异常样本，n_j表示第j个簇的内所有样本，计算

的值，若

则第j个簇属于异常类，否则第j个簇属于正常类。

7.根据权利要求1所述的一种互联网金融欺诈行为在线检测方法，其特征在于，步骤七中所述的通过最近邻规则、边界规则和阈值规则来对用户在线实时欺诈检测包括：首先对客户的数据进行特征提取，然后将提取的数据进行标准化处理得到检测样本，使用K-means算法将检测样本进行分簇，并判断检测样本是否符合以下三个条件：

最近邻规则条件：d(X,C₁)＜d(X,C_j)；

该式中，X表示的是检测样本，C₁表示的是正常簇W₁所对应聚心，C_j表示的是异常簇W_j所对应聚心，j＝2,3,…,K-1；

边界规则条件：d(X,C₁)＜d_max；

该式中，d_max表示的是预先设定的正常簇W₁所允许的范围边界；

阈值规则条件：P(q_ij|X∈C1)＞τ；

该式中，τ为0.5；

若检测样本符合上述三个条件则该客户不存在欺诈行为，否则客户存在欺诈行为。

8.根据权利要求1所述的一种互联网金融欺诈行为在线检测方法，其特征在于，步骤一中所述训练样本和所述验证样本的划分比例为7:3。

9.一种互联网金融欺诈行为在线检测装置，其特征在于，包括处理器以及与所述处理器电气连接的存储有计算机程序的存储器、I/O设备和报警装置，所述计算机程序在被所述处理器运行时执行如权利要求1至8任一项所述的方法，所述I/O设备用于连接需要所述计算机程序监测的计算机和/或网络，访问并且获取实时测点的数据。

Images