CN113033966A - 风险目标识别方法、装置、电子设备和存储介质 - Google Patents
风险目标识别方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN113033966A CN113033966A CN202110234279.XA CN202110234279A CN113033966A CN 113033966 A CN113033966 A CN 113033966A CN 202110234279 A CN202110234279 A CN 202110234279A CN 113033966 A CN113033966 A CN 113033966A
- Authority
- CN
- China
- Prior art keywords
- risk
- data
- behavior data
- relationship
- subgraph
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 52
- 238000012216 screening Methods 0.000 claims abstract description 12
- 230000000644 propagated effect Effects 0.000 claims abstract description 7
- 230000006399 behavior Effects 0.000 claims description 57
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 230000003542 behavioural effect Effects 0.000 claims description 2
- 238000007405 data analysis Methods 0.000 abstract description 15
- 238000004364 calculation method Methods 0.000 abstract description 9
- 238000010586 diagram Methods 0.000 description 8
- 239000000047 product Substances 0.000 description 5
- 230000002354 daily effect Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000003203 everyday effect Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000002372 labelling Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 210000002268 wool Anatomy 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2457—Query processing with adaptation to user needs
- G06F16/24573—Query processing with adaptation to user needs using data annotations, e.g. user-defined metadata
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Human Resources & Organizations (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- Strategic Management (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Educational Administration (AREA)
- Game Theory and Decision Science (AREA)
- Development Economics (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Library & Information Science (AREA)
- Computational Linguistics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及数据分析技术领域,提供一种风险目标识别方法、装置、电子设备和存储介质。所述风险目标识别方法包括:自预设行为数据中,获得异常行为数据,每条异常行为数据携带数据标识,部分数据标识携带风险标签;基于所述异常行为数据,以每个所述数据标识为顶点构建关系图;自所述关系图中筛选出具有风险标签的关系子图,基于每个所述关系子图的风险标签对每个所述关系子图进行标签传播;计算标签传播后的每个所述关系子图的风险值,将风险值高于阈值的关系子图的数据标识识别为风险目标。本发明能够通过图计算和大数据分析,快速有效地从海量预设行为数据中识别出隐藏的风险关系网,提高风控拦截能力。
Description
技术领域
本发明涉及数据分析技术领域,具体地说,涉及一种风险目标识别方法、装置、电子设备和存储介质。
背景技术
互联网公司经常会面临来自不同黑产团伙的攻击,如批量注册账号、扫号、爬虫等。如果不对黑产团伙的风险行为进行有效识别和拦截,轻则会对网站运营造成不必要的资源浪费,重则可能造成用户数据泄露、订单流失等现象,给互联网公司和用户都带来难以估量的损失。
目前,互联网公司通过风控引擎实现风险识别和拦截。传统的风控引擎基于经验形成拦截规则,且数据存储于关系型数据库中,存在以下问题:
关系型数据库不支持大时间跨度的数据查询,且无法直观地查询数据关系网,不利于数据分析。尤其对于深度关联查询,关系型数据库的查询时间会随着查询深度的增加呈指数级增长;例如,对于深度为5,记录条数大于80万的关联查询,关系型数据库几乎无法完成;
传统的风控引擎只能识别并拦截特定场景下的风险行为,拦截规则的覆盖面有限,拦截能力不足,随着各种黑产团伙欺诈手段的升级,常会发生拦截规则被绕过,产生大量漏判的情况。
需要说明的是,上述背景技术部分公开的信息仅用于加强对本发明的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本发明提供一种风险目标识别方法、装置、电子设备和存储介质,能够基于图计算和大数据分析,快速有效地从海量预设行为数据中识别出现有技术无法识别的风险关系网,提高风控拦截能力。
本发明的一个方面提供一种风险目标识别方法,包括:自预设行为数据中,获得异常行为数据,每条异常行为数据携带数据标识,部分数据标识携带风险标签;基于所述异常行为数据,以每个所述数据标识为顶点构建关系图;自所述关系图中筛选出具有风险标签的关系子图,基于每个所述关系子图的风险标签对每个所述关系子图进行标签传播;计算标签传播后的每个所述关系子图的风险值,将风险值高于阈值的关系子图的数据标识识别为风险目标。
在一些实施例中,所述的风险目标识别方法还包括:拦截所述风险目标的业务请求。
在一些实施例中,构建所述关系图时,还以所述数据标识之间基于对应的异常行为数据产生的关联关系为边,以对应的所述异常行为数据的行为特征为边的属性。
在一些实施例中,每条所述异常行为数据携带的数据标识包括账户标识和设备标识;构建所述关系图时,以对应同一条异常行为数据为两个数据标识之间的关联关系,并以账户标识指向设备标识为边的方向。
在一些实施例中,所述行为特征包括:IP地址、行为时间和行为权重。
在一些实施例中,所述预设行为数据包括注册行为数据和登录行为数据;所述注册行为数据的行为权重大于所述登录行为数据的行为权重。
在一些实施例中,筛选出所述关系子图后,还包括:对顶点数超过预设值的关系子图,通过Louvain社区发现算法进行聚类,形成顶点数小于所述预设值的多个关系子图。
在一些实施例中,计算每个所述关系子图的风险值时,根据每个所述关系子图中携带风险标签的顶点占比和顶点出入度,计算每个所述关系子图的风险值。
在一些实施例中,计算每个所述关系子图的风险值的公式为:
其中,M为一当前关系子图的总顶点数,count(I1)为所述当前关系子图中出度或入度为1的顶点总数,ration为所述当前关系子图中携带风险标签的顶点总数占所述总顶点数的比例。
本发明的另一个方面提供一种风险目标识别装置,包括:异常数据获取模块,用于自预设行为数据中,获得异常行为数据,每条异常行为数据携带数据标识,部分数据标识携带风险标签;关系图构建模块,用于基于所述异常行为数据,以每个所述数据标识为顶点构建关系图;风险标签传播模块,用于自所述关系图中筛选出具有风险标签的关系子图,基于每个所述关系子图的风险标签对每个所述关系子图进行标签传播;风险目标识别模块,用于计算标签传播后的每个所述关系子图的风险值,将风险值高于阈值的关系子图的数据标识识别为风险目标。
本发明的再一个方面提供一种电子设备,包括:一处理器;一存储器,所述存储器中存储有可执行指令;其中,所述可执行指令被所述处理器执行时,实现上述任意实施例所述的风险目标识别方法。
本发明的又一个方面提供一种计算机可读的存储介质,用于存储程序,所述程序被执行时实现上述任意实施例所述的风险目标识别方法。
本发明与现有技术相比的有益效果至少包括:
通过对预设行为数据进行初筛,获得所有存在异常的异常行为数据;通过构建关系图,利用图的拓补结构对数据标识进行建模,便于挖掘数据标识之间的风险关系网;通过对关系图进行过滤,筛选出存在风险的关系子图,并通过标签传播,对每个关系子图中的潜在风险顶点打标签;标签传播完成后,即可准确计算每个关系子图的风险值,从中识别出高风险团伙,加以重点关注;
从而,本发明通过图计算和大数据分析,能快速有效地从海量预设行为数据中识别出隐藏的风险关系网,提高风控拦截能力。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。显而易见地,下面描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本发明实施例中风险目标识别方法的步骤流程图;
图2示出本发明实施例中构建关系图的场景示意图;
图3示出本发明实施例中风险目标识别方法的场景流程图;
图4示出本发明实施例中风险目标识别装置的模块示意图;
图5示出本发明实施例中电子设备的结构示意图;
图6示出本发明实施例中计算机可读的存储介质的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的实施方式。相反,提供这些实施方式使本发明全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
附图仅为本发明的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
此外,附图中所示的流程仅是示例性说明,不是必须包括所有的步骤。例如,有的步骤可以分解,有的步骤可以合并或部分合并,且实际执行的顺序有可能根据实际情况改变。需要说明的是,在不冲突的情况下,本发明的实施例及不同实施例中的特征可以相互组合。
图1示出实施例中风险目标识别方法的主要步骤流程,参照图1所示,本实施例中风险目标识别方法包括:在步骤S110中,自预设行为数据中,获得异常行为数据,每条异常行为数据携带数据标识,部分数据标识携带风险标签;在步骤S120中,基于异常行为数据,以每个数据标识为顶点构建关系图;在步骤S130中,自关系图中筛选出具有风险标签的关系子图,基于每个关系子图的风险标签对每个关系子图进行标签传播;在步骤S140中,计算标签传播后的每个关系子图的风险值,将风险值高于阈值的关系子图的数据标识识别为风险目标。
上述的风险目标识别方法,通过对预设行为数据进行初筛,获得所有存在异常的异常行为数据;通过构建关系图,利用图的拓补结构对数据标识进行建模,便于挖掘数据标识之间的风险关系网;通过对关系图进行过滤,筛选出存在风险的关系子图,并通过标签传播,对每个关系子图中的潜在风险顶点打标签;标签传播完成后,即可准确计算每个关系子图的风险值,从中识别出高风险团伙,加以重点关注。例如,在一个实施例中,风险目标识别方法还包括:拦截风险目标的业务请求,以有效防止用户账户被盗、黑产薅羊毛等事故发生,提高用户信息保护、降低企业运营成本和财务损失风险。
从而,上述的风险目标识别方法,通过图计算和大数据分析,能快速有效地从海量数据中识别出隐藏的风险关系网,提高风控拦截能力。
下面结合具体的示例,对风险目标识别方法的各步骤进行详细说明。
步骤S110中,预设行为可根据风控需要设定。例如,预设行为包括注册行为和登录行为,从而,采集到的预设行为数据即包括注册行为数据和登录行为数据。互联网公司每天会产生海量的注册/登录数据,通过将预设行为设定为包括注册行为和登录行为,能够在风险发生之初即加以识别和拦截。
异常行为数据的识别条件可根据需要设定。例如,将短时间内在同一台设备上连续注册多个账户的注册行为数据识别为异常行为数据;将同一个账户在多台设备上尝试登录的登录行为数据识别为异常行为数据;等。
在一个实施例中,可通过构建置信网络实现预设行为数据的初筛。构建置信网络是一个数据预处理的过程,可通过Hive计算完成。Hive是一个基于Hadoop的数据仓库工具,可根据预设条件进行数据提取,将明显可判定为正常的预设行为数据与其他的预设行为数据区分开,并可查询和分析存储在Hadoop中的大规模异常行为数据。
每条异常行为数据携带的数据标识包括账户标识和设备标识,后续风险目标的识别,即对应账户/设备。
部分数据标识携带风险标签是指,通过历史已执行的风险识别,部分账户/设备已被判定为风险目标,则当检测到该些账户/设备时,为其赋予风险标签,以便于后续的数据分析;或者,可将本实施例的风险目标识别方法部署于已有的风控引擎上,作为已有风控引擎的补充,已有风控引擎会根据其拦截规则生成对应特定账户/设备的风险标签。
步骤S120中,构建关系图时,还以数据标识之间基于对应的异常行为数据产生的关联关系为边,以对应的异常行为数据的行为特征为边的属性。具体来说,以异常行为数据中的每个账户和每个设备分别作为一个顶点,以对应同一条异常行为数据为两个数据标识之间的关联关系,即同一条异常行为数据对应的两个顶点之间产生边,并以账户标识指向设备标识为边的方向。从而,基于异常行为数据构建形成有向连通图。在其他实施例中,可以根据需要调整边的产生,例如,可利用不同异常行为数据在地域、时间等维度的关联关系构建边;边的方向也可根据需要进行调整。
具体实现时,对于大量的异常登录/注册行为数据,可利用GraphX进行数据建模,GraphX是一个分布式图处理框架,基于Apache Spark大数据分析引擎实现,提供图计算功能,可以每个账号及每个设备都作为一个顶点,形成顶点之间连线有方向的,巨大的有向连通图。
图2示出实施例中构建关系图的场景,参照图2所示,本实施例中,异常行为数据包括(仅列举以下七条,但不作为限制):第一条异常行为数据:账户U11登录设备D11;第二条异常行为数据:账户U11登录设备D22;第三条异常行为数据:账户U11登录设备D33;第四条异常行为数据:设备D33注册账户U44;第五条异常行为数据:设备D33注册账户U55;第六条异常行为数据:设备D66注册账户U77;第七条异常行为数据:设备D66注册账户U88。形成的关系图包括顶点U11、D11、D22、D33、U44和U55之间的连通子图210;及顶点U77、U88和D66之间的连通子图220。
进一步地,数据建模时,将风险标签赋予已经判定为风险目标,即已判定为黑灰产的顶点上;并且,还可以将异常行为数据的行为特征作为边的属性,每条异常行为数据的行为特征具体包括:IP地址、行为时间和行为权重。其中,注册行为数据的行为权重大于登录行为数据的行为权重。举例来说,注册行为数据的行为权重例如为5,登录行为数据的行为权重例如为1,则以图2所示的连通子图210为例,顶点U11指向顶点D11的边的权重属性为v=1;顶点U11指向顶点D22的边的权重属性为v=1;顶点U11指向顶点D33的边的权重属性为v=1;顶点U44指向顶点D33的边的权重属性为v=5;顶点U55指向顶点D33的边的权重属性为v=5。并且,登录行为数据对应的边的权重属性会随着对应的登录行为数据的发生次数增加而累加,例如,账户U11通过设备D11尝试登录了三次,则顶点U11指向顶点D11的边的权重属性变为v=3。其他属性未在图2中具体示出。借助边的属性,可以更准确地进行数据分析。
步骤S130中,自关系图中筛选出具有风险标签的关系子图,不具有风险标签的关系子图即被过滤掉。
筛选出关系子图后,风险目标识别方法还包括:对顶点数超过预设值的关系子图,通过Louvain社区发现算法进行聚类,形成顶点数小于预设值的多个关系子图。Louvain社区发现算法是一种基于模块度的无监督的聚类算法,能对大型的连通子图进行进一步的划分,发现其中顶点的聚合规律,划分出大小合适的多个社区,即多个关系子图。
对每个关系子图进行标签传播时,可采用标签传播算法,标签传播算法是一种半监督学习算法,能在每个划分好的社区内部,基于已标记有风险标签的顶点,给社区中其他的潜在风险顶点打标签。经标签传播,能在每个关系子图中,给所有潜在风险顶点均标记上风险标签。
步骤S140中,计算每个关系子图的风险值时,根据每个关系子图中携带风险标签的顶点占比和顶点出入度,计算每个关系子图的风险值。在一个实施例中,计算每个关系子图的风险值的公式具体为:
其中,M为一当前关系子图的总顶点数,count(I1)为当前关系子图中出度或入度为1的顶点总数,ration为当前关系子图中携带风险标签的顶点总数占总顶点数的比例。从而,根据每个社区的风险值评分,识别出高风险团伙,加以重点关注。
图3示出一个实施例中风险目标识别方法的场景流程,参照图3所示,结合上述对风险目标识别方法的各步骤的说明,本实施例过程包括:S310,采用GraphX对互联网公司每天的海量登录/注册数据进行数据建模,构建账户/设备关系图;S320,对于大型的连通子图300,采用Louvain社区发现算法进行社区划分,形成社区300a和社区300b;S330,在每个社区内部,基于标签传播算法进行风险标签传播,社区300a经标签传播,其四个顶点均被赋予风险标签(图3中以黑色阴影示出),社区300b经标签传播,剩余一顶点未被赋予风险标签。S340,对每个社区进行风险值评分,社区300a的风险值为100,高于风险阈值(如90),社区300b的风险值为80,低于风险阈值。从而,社区300a被识别为高风险团伙。
通过上述的风险目标识别方法,能够识别出更多的黑产账户和设备,对于高风险团伙中的风险目标,即账户/设备,可实时地拦截其业务请求,以提高风控拦截能力,有效防止用户账户被盗、黑产薅羊毛等事故产生,提高用户信息保护,降低企业运营成本和财务损失风险。并且,通过图结构的数据存储,能够极大提高深度关联查询的速度,例如,对于深度为5,记录条数大于80万的关联查询,基于图结构的数据只需2秒即可完成查询。
在一个具体应用示例中,采用上述的风险目标识别方法,对互联网公司自2019年起近两年内的约50亿条的登录/注册数据完成了数据筛查,构建出点边数均超过10亿,连通子图超过2亿的风险关系网络,共识别出约600万不同规模的风险社区。在部分风险社区中,提高风险标签占比达50%以上,有效地提高了风控拦截能力。
综上,上述各实施例的风险目标识别方法,实现了对登录/注册数据的深度挖掘,可对不同的登录/注册场景实现统一的数据分析,在大数据量、大时间跨度下识别出传统风控引擎无法识别的风险关系网;当上述的风险目标识别方法应用于实时的风控引擎,能够通过图计算和大数据分析,快速有效地从互联网公司每天海量的登录/注册数据中,识别出隐藏的风险关系网,提高风控拦截能力。
本发明实施例还提供一种风险目标识别装置,可用于实现上述任意实施例描述的风险目标识别方法。上述任意实施例描述的风险目标识别方法的特征和原理均可应用至下面的风险目标识别装置实施例。在下面的风险目标识别装置实施例中,对已经阐明的关于风险目标识别的特征和原理不再重复说明。
图4示出实施例中风险目标识别装置的主要模块,参照图4所示,本实施例中风险目标识别装置400包括:异常数据获取模块410,用于自预设行为数据中,获得异常行为数据,每条异常行为数据携带数据标识,部分数据标识携带风险标签;关系图构建模块420,用于基于异常行为数据,以每个数据标识为顶点构建关系图;风险标签传播模块430,用于自关系图中筛选出具有风险标签的关系子图,基于每个关系子图的风险标签对每个关系子图进行标签传播;风险目标识别模块440,用于计算标签传播后的每个关系子图的风险值,将风险值高于阈值的关系子图的数据标识识别为风险目标。
进一步地,风险目标识别装置400还可包括实现上述各风险目标识别方法实施例的其他流程步骤的模块,各个模块的具体原理可参照上述各风险目标识别方法实施例的描述,此处不再重复说明。
如上所述,本发明的风险目标识别装置,能够通过图计算和大数据分析,快速有效地从互联网公司每天的海量数据中,识别出隐藏的风险关系网,提高风控拦截能力。
本发明实施例还提供一种电子设备,包括处理器和存储器,存储器中存储有可执行指令,可执行指令被处理器执行时,实现上述任意实施例描述的风险目标识别方法。
如上所述,本发明的电子设备能够通过图计算和大数据分析,快速有效地从互联网公司每天的海量数据中,识别出隐藏的风险关系网,提高风控拦截能力。
图5是本发明实施例中电子设备的结构示意图,应当理解的是,图5仅仅是示意性地示出各个模块,这些模块可以是虚拟的软件模块或实际的硬件模块,这些模块的合并、拆分及其余模块的增加都在本发明的保护范围之内。
如图5所示,电子设备600以通用计算设备的形式表现。电子设备600的组件包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同平台组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,存储单元存储有程序代码,程序代码可以被处理单元610执行,使得处理单元610执行上述任意实施例描述的风险目标识别方法的步骤。例如,处理单元610可以执行如图1所示的步骤。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
存储单元620还可以包括具有一个或多个程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700通信,外部设备700可以是键盘、指向设备、蓝牙设备等设备中的一种或多种。这些外部设备700使得用户能与该电子设备600进行交互通信。电子设备600也能与一个或多个其它计算设备进行通信,所示计算机设备包括路由器、调制解调器。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储平台等。
本发明实施例还提供一种计算机可读的存储介质,用于存储程序,程序被执行时实现上述任意实施例描述的风险目标识别方法。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行上述任意实施例描述的风险目标识别方法。
如上所述,本发明的计算机可读的存储介质能够通过图计算和大数据分析,快速有效地从互联网公司每天的海量数据中,识别出隐藏的风险关系网,提高风控拦截能力。
图6是本发明的计算机可读的存储介质的结构示意图。参考图6所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品800,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子包括但不限于:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读的存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备,例如利用因特网服务提供商来通过因特网连接。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (12)
1.一种风险目标识别方法,其特征在于,包括:
自预设行为数据中,获得异常行为数据,每条异常行为数据携带数据标识,部分数据标识携带风险标签;
基于所述异常行为数据,以每个所述数据标识为顶点构建关系图;
自所述关系图中筛选出具有风险标签的关系子图,基于每个所述关系子图的风险标签对每个所述关系子图进行标签传播;
计算标签传播后的每个所述关系子图的风险值,将风险值高于阈值的关系子图的数据标识识别为风险目标。
2.如权利要求1所述的风险目标识别方法,其特征在于,还包括:
拦截所述风险目标的业务请求。
3.如权利要求1所述的风险目标识别方法,其特征在于,构建所述关系图时,还以所述数据标识之间基于对应的异常行为数据产生的关联关系为边,以对应的所述异常行为数据的行为特征为边的属性。
4.如权利要求3所述的风险目标识别方法,其特征在于,每条所述异常行为数据携带的数据标识包括账户标识和设备标识;
构建所述关系图时,以对应同一条异常行为数据为两个数据标识之间的关联关系,并以账户标识指向设备标识为边的方向。
5.如权利要求3所述的风险目标识别方法,其特征在于,所述行为特征包括:IP地址、行为时间和行为权重。
6.如权利要求5所述的风险目标识别方法,其特征在于,所述预设行为数据包括注册行为数据和登录行为数据;
所述注册行为数据的行为权重大于所述登录行为数据的行为权重。
7.如权利要求1所述的风险目标识别方法,其特征在于,筛选出所述关系子图后,还包括:
对顶点数超过预设值的关系子图,通过Louvain社区发现算法进行聚类,形成顶点数小于所述预设值的多个关系子图。
8.如权利要求1所述的风险目标识别方法,其特征在于,计算每个所述关系子图的风险值时,根据每个所述关系子图中携带风险标签的顶点占比和顶点出入度,计算每个所述关系子图的风险值。
9.如权利要求8所述的风险目标识别方法,其特征在于,计算每个所述关系子图的风险值的公式为:
其中,M为一当前关系子图的总顶点数,count(I1)为所述当前关系子图中出度或入度为1的顶点总数,ration为所述当前关系子图中携带风险标签的顶点总数占所述总顶点数的比例。
10.一种风险目标识别装置,其特征在于,包括:
异常数据获取模块,用于自预设行为数据中,获得异常行为数据,每条异常行为数据携带数据标识,部分数据标识携带风险标签;
关系图构建模块,用于基于所述异常行为数据,以每个所述数据标识为顶点构建关系图;
风险标签传播模块,用于自所述关系图中筛选出具有风险标签的关系子图,基于每个所述关系子图的风险标签对每个所述关系子图进行标签传播;
风险目标识别模块,用于计算标签传播后的每个所述关系子图的风险值,将风险值高于阈值的关系子图的数据标识识别为风险目标。
11.一种电子设备,其特征在于,包括:
一处理器;
一存储器,所述存储器中存储有可执行指令;
其中,所述可执行指令被所述处理器执行时,实现如权利要求1-9任一项所述的风险目标识别方法。
12.一种计算机可读的存储介质,用于存储程序,其特征在于,所述程序被执行时实现如权利要求1-9任一项所述的风险目标识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110234279.XA CN113033966A (zh) | 2021-03-03 | 2021-03-03 | 风险目标识别方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110234279.XA CN113033966A (zh) | 2021-03-03 | 2021-03-03 | 风险目标识别方法、装置、电子设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113033966A true CN113033966A (zh) | 2021-06-25 |
Family
ID=76465856
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110234279.XA Pending CN113033966A (zh) | 2021-03-03 | 2021-03-03 | 风险目标识别方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113033966A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113591088A (zh) * | 2021-07-30 | 2021-11-02 | 百度在线网络技术(北京)有限公司 | 一种标识识别方法、装置及电子设备 |
| CN113609451A (zh) * | 2021-07-22 | 2021-11-05 | 上海淇玥信息技术有限公司 | 一种基于关系网特征衍生的风险设备识别方法及装置 |
| CN114785546A (zh) * | 2022-03-15 | 2022-07-22 | 上海聚水潭网络科技有限公司 | 一种基于业务日志和ip情报的ip溯源方法及系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108681936A (zh) * | 2018-04-26 | 2018-10-19 | 浙江邦盛科技有限公司 | 一种基于模块度和平衡标签传播的欺诈团伙识别方法 |
| CN109949046A (zh) * | 2018-11-02 | 2019-06-28 | 阿里巴巴集团控股有限公司 | 风险团伙的识别方法和装置 |
| CN111309822A (zh) * | 2020-02-11 | 2020-06-19 | 深圳众赢维融科技有限公司 | 用户身份识别方法及装置 |
| CN111340612A (zh) * | 2020-02-25 | 2020-06-26 | 支付宝(杭州)信息技术有限公司 | 一种账户的风险识别方法、装置及电子设备 |
| CN111552846A (zh) * | 2020-04-28 | 2020-08-18 | 支付宝(杭州)信息技术有限公司 | 识别可疑关系的方法以及装置 |
| CN111612041A (zh) * | 2020-04-24 | 2020-09-01 | 平安直通咨询有限公司上海分公司 | 异常用户识别方法及装置、存储介质、电子设备 |
| CN111612039A (zh) * | 2020-04-24 | 2020-09-01 | 平安直通咨询有限公司上海分公司 | 异常用户识别的方法及装置、存储介质、电子设备 |
| WO2020181911A1 (zh) * | 2019-03-14 | 2020-09-17 | 阿里巴巴集团控股有限公司 | 一种风险识别方法及装置 |
| CN111831923A (zh) * | 2020-07-14 | 2020-10-27 | 北京芯盾时代科技有限公司 | 识别关联的特定账户的方法、装置及存储介质 |
-
2021
- 2021-03-03 CN CN202110234279.XA patent/CN113033966A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108681936A (zh) * | 2018-04-26 | 2018-10-19 | 浙江邦盛科技有限公司 | 一种基于模块度和平衡标签传播的欺诈团伙识别方法 |
| CN109949046A (zh) * | 2018-11-02 | 2019-06-28 | 阿里巴巴集团控股有限公司 | 风险团伙的识别方法和装置 |
| WO2020181911A1 (zh) * | 2019-03-14 | 2020-09-17 | 阿里巴巴集团控股有限公司 | 一种风险识别方法及装置 |
| CN111309822A (zh) * | 2020-02-11 | 2020-06-19 | 深圳众赢维融科技有限公司 | 用户身份识别方法及装置 |
| CN111340612A (zh) * | 2020-02-25 | 2020-06-26 | 支付宝(杭州)信息技术有限公司 | 一种账户的风险识别方法、装置及电子设备 |
| CN111612041A (zh) * | 2020-04-24 | 2020-09-01 | 平安直通咨询有限公司上海分公司 | 异常用户识别方法及装置、存储介质、电子设备 |
| CN111612039A (zh) * | 2020-04-24 | 2020-09-01 | 平安直通咨询有限公司上海分公司 | 异常用户识别的方法及装置、存储介质、电子设备 |
| CN111552846A (zh) * | 2020-04-28 | 2020-08-18 | 支付宝(杭州)信息技术有限公司 | 识别可疑关系的方法以及装置 |
| CN111831923A (zh) * | 2020-07-14 | 2020-10-27 | 北京芯盾时代科技有限公司 | 识别关联的特定账户的方法、装置及存储介质 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113609451A (zh) * | 2021-07-22 | 2021-11-05 | 上海淇玥信息技术有限公司 | 一种基于关系网特征衍生的风险设备识别方法及装置 |
| CN113609451B (zh) * | 2021-07-22 | 2023-11-10 | 上海淇玥信息技术有限公司 | 一种基于关系网特征衍生的风险设备识别方法及装置 |
| CN113591088A (zh) * | 2021-07-30 | 2021-11-02 | 百度在线网络技术(北京)有限公司 | 一种标识识别方法、装置及电子设备 |
| CN113591088B (zh) * | 2021-07-30 | 2023-08-29 | 百度在线网络技术(北京)有限公司 | 一种标识识别方法、装置及电子设备 |
| CN114785546A (zh) * | 2022-03-15 | 2022-07-22 | 上海聚水潭网络科技有限公司 | 一种基于业务日志和ip情报的ip溯源方法及系统 |
| CN114785546B (zh) * | 2022-03-15 | 2024-04-26 | 上海聚水潭网络科技有限公司 | 一种基于业务日志和ip情报的ip溯源方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107330731B (zh) | 一种识别广告位点击异常的方法和装置 | |
| CN113033966A (zh) | 风险目标识别方法、装置、电子设备和存储介质 | |
| CN111107048B (zh) | 一种钓鱼网站检测方法、装置和存储介质 | |
| CN112165462A (zh) | 基于画像的攻击预测方法、装置、电子设备及存储介质 | |
| CN111460312A (zh) | 空壳企业识别方法、装置及计算机设备 | |
| CN116680459B (zh) | 基于ai技术的外贸内容数据处理系统 | |
| CN111666346A (zh) | 信息归并方法、交易查询方法、装置、计算机及存储介质 | |
| US10586358B1 (en) | System and method for visualization of beacon clusters on the web | |
| CN112949767A (zh) | 样本图像增量、图像检测模型训练及图像检测方法 | |
| CN114092759A (zh) | 图像识别模型的训练方法、装置、电子设备及存储介质 | |
| CN111598711A (zh) | 目标用户账号识别方法、计算机设备及存储介质 | |
| CN114677565A (zh) | 特征提取网络的训练方法和图像处理方法、装置 | |
| CN114443794A (zh) | 数据处理和地图更新方法、装置、设备以及存储介质 | |
| CN105681257A (zh) | 一种基于即时通信交互平台的信息举报方法及系统 | |
| CN112989135B (zh) | 实时风险团伙的识别方法、介质、装置和计算设备 | |
| CN111245815B (zh) | 数据处理方法、装置、存储介质及电子设备 | |
| CN117240632A (zh) | 一种基于知识图谱的攻击检测方法和系统 | |
| EP4102772B1 (en) | Method and apparatus of processing security information, device and storage medium | |
| CN108830302B (zh) | 一种图像分类方法、训练方法、分类预测方法及相关装置 | |
| CN115019057A (zh) | 图像特征提取模型确定方法及装置、图像识别方法及装置 | |
| CN114093006A (zh) | 活体人脸检测模型的训练方法、装置、设备以及存储介质 | |
| CN113344064A (zh) | 事件处理方法和装置 | |
| CN113591567A (zh) | 目标检测方法、目标检测模型的训练方法及其装置 | |
| CN113887607A (zh) | 目标对象信息的处理方法、装置及计算机程序产品 | |
| CN112667766A (zh) | 网络威胁情报元数据融合的方法与系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |