CN113129058B - 员工异常交易行为识别方法、装置、设备及存储介质 - Google Patents
员工异常交易行为识别方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113129058B CN113129058B CN202110416815.8A CN202110416815A CN113129058B CN 113129058 B CN113129058 B CN 113129058B CN 202110416815 A CN202110416815 A CN 202110416815A CN 113129058 B CN113129058 B CN 113129058B
- Authority
- CN
- China
- Prior art keywords
- employee
- abnormal
- login
- group
- entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 113
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000006399 behavior Effects 0.000 claims abstract description 60
- 238000010586 diagram Methods 0.000 claims abstract description 46
- 238000004458 analytical method Methods 0.000 claims abstract description 41
- 230000015654 memory Effects 0.000 claims description 29
- 238000004590 computer program Methods 0.000 claims description 14
- 238000001914 filtration Methods 0.000 claims description 6
- 238000000638 solvent extraction Methods 0.000 claims 1
- 230000000875 corresponding effect Effects 0.000 description 30
- 238000004891 communication Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/02—Marketing; Price estimation or determination; Fundraising
- G06Q30/0201—Market modelling; Market analysis; Collecting market data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9024—Graphs; Linked lists
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- Theoretical Computer Science (AREA)
- Accounting & Taxation (AREA)
- Development Economics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Entrepreneurship & Innovation (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Game Theory and Decision Science (AREA)
- Economics (AREA)
- Marketing (AREA)
- General Business, Economics & Management (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本说明书实施例提供了一种员工异常交易行为识别方法、装置、设备及存储介质,该方法包括:获取交易系统登录日志中属于员工账号在外部登录的设备标识;生成所述设备标识对应的历史交易数据的实体账号登录关系图;确定所述实体账号登录关系图中的连通子图,以作为候选群组;对所述候选群组进行以识别异常交易为目的的群组特征分析,获得群组特征分析结果;根据所述群组特征分析结果识别员工异常交易行为。本说明书实施例可以提高从海量交易数据中识别出员工异常交易行为的准确性。
Description
技术领域
本说明书涉及异常交易行为识别技术领域,尤其是涉及一种员工异常交易行为识别方法、装置、设备及存储介质。
背景技术
对于金融行业而言,员工的异常交易不仅给金融机构带来极大的业务风险,而且严重地影响用户的利益,造成了不同程度的直接或间接损失。因此,对员工异常交易进行监测是金融监管领域中重要的一部分。然而,由于金融交易的数据量庞大,且员工异常交易往往具有一定的隐蔽性。如何准确地从海量交易数据中识别出员工异常交易行为,已成为目前亟待解决的技术问题。
发明内容
本说明书实施例的目的在于提供一种员工异常交易行为识别方法、装置、设备及存储介质,以提高从海量交易数据中识别出员工异常交易行为的准确性。
为达到上述目的,一方面,本说明书实施例提供了一种员工异常交易行为识别方法,包括:
获取交易系统登录日志中属于员工账号在外部登录的设备标识;
生成所述设备标识对应的历史交易数据的实体账号登录关系图;
确定所述实体账号登录关系图中的连通子图,以作为候选群组;
对所述候选群组进行以识别异常交易为目的的群组特征分析,获得群组特征分析结果;
根据所述群组特征分析结果识别员工异常交易行为。
本说明书实施例中,所述获取交易系统登录日志中属于员工账号在外部登录的设备标识,包括:
获取指定时间范围内的交易系统登录日志;
滤除所述交易系统登录日志中属于内部登录的设备标识,获得属于外部登录的设备标识集合;
滤除所述设备标识集合中无员工账号登录的部分,获得属于员工账号在外部登录的设备标识。
本说明书实施例中,所述生成所述设备标识对应的历史交易数据的实体账号登录关系图,包括:
从指定时间范围内历史交易数据中,提取与所述设备标识对应的历史交易数据;
将所述与所述设备标识对应的历史交易数据划分为多个数据集;
生成每个数据集对应的实体账号登录关系图;每个所述实体账号登录关系图中包含:本数据集内的员工实体、用户实体分别与设备标识的登录关系。
本说明书实施例中,所述划分以月度为单位。
本说明书实施例中,所述确定所述实体账号登录关系图中的连通子图,包括:
确定所述实体账号登录关系图中以设备标识为维度的连通子图。
本说明书实施例中,所述对所述候选群组进行以识别异常交易为目的的群组特征分析,包括:
对于每个候选群组,分别确定其客户实体的用户指定特征属性及员工实体的员工指定特征属性;
根据每个候选群组的用户指定特征属性确定其是否为异常群组;
当有候选群组为异常群组时,根据该异常群组的员工指定特征属性,确定该异常群组的客户实体与员工实体之间是否存在指定关联关系;所述指定关联关系至少包括资金交易关系。
本说明书实施例中,所述根据所述群组特征分析结果识别员工异常交易行为,包括:
如果异常群组的客户实体与员工实体之间存在指定关联关系,则确认该异常群组中的员工实体参与了异常交易行为。
另一方面,本说明书实施例还提供了一种员工异常交易行为识别装置,包括:
获取模块,用于获取交易系统登录日志中属于员工账号在外部登录的设备标识;
生成模块,用于生成所述设备标识对应的历史交易数据的实体账号登录关系图;
确定模块,用于确定所述实体账号登录关系图中的连通子图,以作为候选群组;
分析模块,用对所述候选群组进行以识别异常交易为目的的群组特征分析,获得群组特征分析结果;
识别模块,用对根据所述群组特征分析结果识别员工异常交易行为。
另一方面,本说明书实施例还提供了一种计算机设备,包括存储器、处理器、以及存储在所述存储器上的计算机程序,所述计算机程序被所述处理器运行时,执行上述方法的指令。
另一方面,本说明书实施例还提供了一种计算机存储介质,其上存储有计算机程序,所述计算机程序被计算机设备的处理器运行时,执行上述方法的指令。
由以上本说明书实施例提供的技术方案可见,本说明书实施例可以从账号登录日志数据中识别出员工账号在外部登录的可疑设备,然后利用可疑设备对应的历史交易数据构建出实体账号登录关系图;在将实体账号登录关系图的连通子图作为候选群组的基础上,对候选群组进行以识别异常交易为目的的群组特征分析,获得群组特征分析结果,然后根据群组特征分析结果识别员工异常交易行为。这种通过账号登录日志数据和交易数据识别员工异常交易行为的技术方案,提高了从海量交易数据中识别出员工异常交易行为的准确性,进而有利于提高金融交易的安全性。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1示出了本说明书一些实施例中员工异常交易行为识别方法的流程图;
图2示出了本说明书一实施例中实体账号登录关系图的示意图;
图3a~图3c示出了图2所示实体账号登录关系图中连通子图的示意图;
图4示出了本说明书一些实施例中员工异常交易行为识别装置的应用示意图;
图5示出了本说明书一些实施例装置中员工异常交易行为识别装置的结构框图;
图6示出了本说明书一些实施例中计算机设备的结构框图。
【附图标记说明】
100、日志系统;
200、交易系统;
300、员工异常交易行为识别装置;
51、获取模块;
52、生成模块;
53、确定模块;
54、分析模块;
55、识别模块;
602、计算机设备;
604、处理器;
606、存储器;
608、驱动机构;
610、输入/输出模块;
612、输入设备;
614、输出设备;
616、呈现设备;
618、图形用户接口;
620、网络接口;
622、通信链路;
624、通信总线。
具体实施方式
为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
鉴于现有技术中存在难以准确地从海量交易数据中识别出员工异常交易行为的问题,本说明书实施例提供了员工异常交易行为识别方法,其可以应用于任何合适的计算机设备上。在本说明书实施例中,员工异常交易可以为有员工参与的异常交易。其中,异常交易一般是指非法交易、或不符合金融监管要求的交易(例如员工控制他人账户等)。
参考图1所示,在本说明书一些实施例中,所述员工异常交易行为识别包括以下步骤:
S101、获取交易系统登录日志中属于员工账号在外部登录的设备标识。
S102、生成所述设备标识对应的历史交易数据的实体账号登录关系图。
S103、确定所述实体账号登录关系图中的连通子图,以作为候选群组。
S104、对所述候选群组进行以识别异常交易为目的的群组特征分析,获得群组特征分析结果。
S105、根据所述群组特征分析结果识别员工异常交易行为。
在本说明书实施例中,可以从账号登录日志数据中识别出员工账号在外部登录的可疑设备,然后利用可疑设备对应的历史交易数据构建出实体账号登录关系图;在将实体账号登录关系图的连通子图作为候选群组的基础上,对候选群组进行以识别异常交易为目的的群组特征分析,获得群组特征分析结果,然后根据群组特征分析结果识别员工异常交易行为。这种通过账号登录日志数据和交易数据识别员工异常交易行为的技术方案,提高了从海量交易数据中识别出员工异常交易行为的准确性,进而有利于提高金融交易的安全性。
在本说明书实施例中,员工可以是指定金融机构的员工,员工的范围可以根据实际应用场景确定。例如,在一示例性实施例中,以总行为维度,光大银行的员工范围可以包括境内所有光大银行的员工。在另一示例性实施例中,以某个省级分行(例如光大银行北京分行)为维度,光大银行的员工范围包括光大银行北京分行的所有员工,等等。相应的,员工账号可以是指金融机构的员工在本金融机构开立的账号(本质而言,员工账号也是金融机构的客户账号,只是为便于与其他的客户账号进行区别,而称之为员工账号)。同理,在本说明书实施例中,客户可以是指金融机构的对私客户(或用户),客户的范围可以根据实际应用场景确定,且客户账号也是客户在金融机构开立的账号,在此不再赘述。
本说明书实施例中的计算机设备上安装或配置有交易应用客户端(比如网银客户端等)。基于用户的操作,交易应用客户端可以向交易系统的服务器发起交易请求,并接收交易系统的服务器返回的交易结果。与交易系统对应的日志系统会记录用户每次登录账号时所使用的计算机设备的设备标识。因此,可以从交易系统登录日志中获取到属于员工账号在外部登录的设备标识。本说明书实施例中的计算机设备一般是指私人计算机设备(例如私人的台式电脑、平板电脑、笔记本电脑、智能手机、数字助理、智能可穿戴设备等),而不包括金融机构的公共计算机设备(例如金融机构的办公电脑、智能柜台等)。
统计及研究表明,在短时间范围内:当多人(即多个账号)使用同一计算机设备上的交易应用客户端登录并进行金融交易,一人(即一个账号)使用多个计算机设备上的交易应用客户端登录并进行金融交易,或N个人(即N个账号)交叉混用M个计算机设备上的交易应用客户端登录并进行金融交易时,这些金融交易可能会涉嫌属于异常交易;而如果这些金融交易中涉及到员工账号,则对应的员工账号可能就具有异常交易行为的嫌疑。因此,为了便于后续识别员工异常交易行为,需要获取交易系统登录日志中属于员工账号在外部登录的设备标识。其中,在外部登录即是指在私人计算机设备上登录账号。
在本说明书一些实施例中,所述获取交易系统登录日志中属于员工账号在外部登录的设备标识,可以包括以下步骤:
1)、获取指定时间范围内的交易系统登录日志。
考虑到数据处理量以及员工异常交易行为识别的时效性,指定时间范围可以是指最近一段时间范围,例如最近半年、最近一年、最近三个月等等。例如,在本说明书一实施例中,可以获取最近半年内的网银系统登录日志。
2)、滤除所述交易系统登录日志中属于内部登录的设备标识,获得属于外部登录的设备标识集合。
对应于上述的外部登录,内部登录是指:账号使用金融机构的公共计算机设备上的交易应用客户端登录。然而,统计表明,为了避免被发现,异常交易通常使用私人计算机设备登录账号。因此,为了降低计算量,可以先滤除指定时间范围内的交易系统登录日志中,属于内部登录的设备标识部分,从而可以获得属于外部登录的设备标识部分(即获得属于外部登录的设备标识集合)。
本说明书实施例中的设备标识是指计算机设备上固有的、较难篡改的、唯一的硬件标识,其可以用于唯一标识一个计算机设备,也可以称为设备指纹。比如,个人电脑上的网卡,在生产过程中会被赋予唯一的MAC地址(即物理地址)。因此,MAC地址可以作为个人电脑的设备标识。再如,手机在生产过程中都会被赋予一个唯一的国际移动设备识别码(International Mobile Equipment Identity,IMEI),也可以用于唯一标识该台移动终端。在其他实施例中,其他任何可以基于设备信息生成的唯一识别码,均可以作为设备标识。因此,本说明书对此不作不限定,具体可以根据需要选择。
3)、滤除所述设备标识集合中无员工账号登录的部分,获得属于员工账号在外部登录的设备标识。
本说明书实施例的方法是为了识别出员工异常交易行为,即无员工账号参与其中的不再考虑范围内。因此,为了进一步降低计算量,还可以滤除掉设备标识集合中无员工账号登录的部分,从而获得属于员工账号在外部登录的设备标识。
为了方便描述员工实体、用户实体分别与设备标识的登录关系,可以根据属于员工账号在外部登录的设备标识对应的历史交易数据,生成实体账号登录关系图。在本说明书一些实施例中,所述生成所述设备标识对应的历史交易数据的实体账号登录关系图,可以包括:
1)、从指定时间范围内历史交易数据中,提取与所述设备标识对应的历史交易数据。
这里的指定时间范围与上文中提及的指定时间范围一般是相同的。与所述设备标识对应的历史交易数据是指:在指定时间范围内,通过所述设备标识对应的计算机设备上的交易应用客户端,登录并进行的金融交易数据。例如,在一示例性实施例中,MAC地址:00-16-EA-AE-3C-40对应的设备为一台笔记本电脑;在最近6个月内,有3个账号通过该笔记本电脑上的交易应用客户端登录并进行了金融交易,则这些金融交易则为与00-16-EA-AE-3C-40对应的历史交易数据。
2)、将所述与所述设备标识对应的历史交易数据划分为多个数据集。
为了与交易的审计场景相适应,可以将所述与所述设备标识对应的历史交易数据划分为多个数据集。其中的划分可以是按照交易时间(具体可以根据实际需要设定)划分。例如,在本说明书一实施例中,可以月度为单位,将所述与所述设备标识对应的历史交易数据划分为多个数据集。比如,与所述设备标识对应的历史交易数据为最近6个月的交易数据,如果以月度为单位,则可以将其划分为6个数据集。当然,在本说明书其他实施例中,也可以采用其他时间维度(例如以季度为单位等)。
3)、生成每个数据集对应的实体账号登录关系图;其中,每个所述实体账号登录关系图中包含:本数据集内的员工实体(即员工账号)、用户实体(即用户账号)分别与设备标识的登录关系。
本说明书实施例中的实体账号登录关系图一般为无向图。例如,在图2所示的实施例中,一个数据集包含三个MAC地址(MAC1~MAC3)、两个员工实体(员工A和员工B)以及六个客户实体(用户1~用户6),其对应的实体账号登录关系图可参见图2所示的无向图。
无向图可以按照某个维度拆分成一个或多个子图。同理,一个实体账号登录关系图也可以按照某个维度拆分成一个或多个连通子图,以作为候选群组。即以每个候选群组作为后续处理对象,以进一步从中选择出有大概率存在异常交易的群组,从而有利于实现精确识别。
在本说明书一些实施例中,由于无论何种登录关系都离不开设备标识,因此,可以设备标识为维度拆分实体账号登录关系图。如此,可以有利于挖掘出员工账号与用户账号之间的关联关系,以便于后续识别员工异常交易行为。例如,以图2所示的实施例为例,以MAC地址为维度,可以将图2所示的实体账号登录关系图拆分成如图3a~图3c所示的3个连通子图。在此情况下,所述确定所述实体账号登录关系图中的连通子图即为:确定所述实体账号登录关系图中以MAC地址为维度的连通子图。
在本说明书实施例中,对候选群组进行以识别异常交易为目的的群组特征分析的目的是为了进一步确认该候选群组的账号实体是否涉嫌异常交易行为,以及账号实体之间(这里是指员工账号与用户账号之间)是否存在某些特定的关联关系,以便于后续可以据此结果识别员工是否存在异常交易行为。
在本说明书一些实施例中,对候选群组进行以识别异常交易为目的的群组特征分析可以包括以下步骤:
1)、对于每个候选群组,分别确定其客户实体的用户指定特征属性及员工实体的员工指定特征属性。候选群组表征了该群组中的用户实体,有相对较大概率在指定时间范围内实施了异常交易行为。
用户指定特征属性可以是客户实体的一个或多个指定特征属性,具体选择哪些特征属性作为指定特征属性,可以根据实际需要选择。这些指定特征通常与异常交易具有相关性。比如在授信客户、员工参与企业经营、员工控制授信客户贷款、个贷代还、信用卡代还、交易代理等应用场景下,用户的某些特征通常与异常交易相对较强的相关性。例如,在一示例性实施例中,用户指定特征属性可以如下表1所示。
表1
员工指定特征属性可以是员工实体的一个或多个指定特征属性,具体选择哪些特征属性作为指定特征属性,可以根据实际需要选择。这些指定特征通常与用户有相关性。例如,在一示例性实施例中,员工指定特征属性可以如下表2所示。
表2
从上述表1和表2可以看出,对于每个候选群组,在确定其客户实体的用户指定特征属性及员工实体的员工指定特征属性时,需要获取客户实体和员工实体的基础数据。这些基础数据一般可以从金融机构的内部数据库中获取,对于内部数据库没有的个别基础数据,可以从外部系统或数据库获取。例如不良信用记录可以从央行征信中心获取。
2)、根据每个候选群组的用户指定特征属性确定其是否为异常群组。
在本说明书一些实施例中,对于每个候选群组的用户指定特征属性,可以选择任何合适的处理逻辑来确定其是否为异常群组。本说明书对此不作限定,具体可以根据需要选择。
例如,在本说明书一实施例中,可以根据每个候选群组的用户指定特征属性,统计该候选群组的整体特征,例如,比如该候选群组内客户个贷代还占比、客户购买理财占比、客户为高管股东占比等中的部分或全部达到了对应的阈值,则可以确定该候选群组为异常群组。
再如,在本说明书另一实施例中,可以对每个候选群组的用户指定特征属性进行加权求和,当加权求和值达到设定的阈值,也可以确定该候选群组为异常群组。其中,每个用户指定特征属性所占的权重可以平均分配,也可以根据每个用户指定特征属性与异常交易的相关性大小分配权重。
3)、当有候选群组为异常群组时,根据该异常群组的员工指定特征属性,确定该异常群组的客户实体与员工实体之间是否存在指定关联关系。
异常群组可以表征该群组中的用户实体,有相对极大概率在指定时间范围内实施了异常交易行为。但是,这并不能表征该异常群组中的员工实体有相对极大概率参与了该异常交易行为。有鉴于此,为了进一步确认,还可以根据该异常群组的员工指定特征属性,确定该异常群组的客户实体与员工实体之间是否存在指定关联关系。其中,指定关联关系一般为可以包括但不限于资金交易关系。应当指出的是,在本说明书实施例中的资金交易关系中,资金交易关系中双方的账号并不局限于是本金融机构开立的账号,也可以是其他金融机构、第三方支付平台(例如支付宝等)、或其他具有金融交易功能的系统开立的账号。
本说明书一些实施例中,所述根据所述群组特征分析结果识别员工异常交易行为,可以包括:如果异常群组的客户实体与员工实体之间存在指定关联关系,则确认该异常群组中的员工实体参与了异常交易行为,如此就为后续的调查取证等应对措施,提供了重要的情报信息。否则,可以确认该异常群组中的员工实体未参与异常交易行为。
例如,在一示例性实施例中,假设图3a所示的连通子图为异常群组,其中的客户1~客户5的部分或全部,相对极大概率在指定时间范围内实施了异常交易行为。其中,客户1与员工A之间存在资金交易关系,例如客户1向员工A转账1万元。
虽然上文描述的过程流程包括以特定顺序出现的多个操作,但是,应当清楚了解,这些过程可以包括更多或更少的操作,这些操作可以顺序执行或并行执行(例如使用并行处理器或多线程环境)。
与上述的员工异常交易行为识别方法对应,本说明书实施例还提供了一种员工异常交易行为识别装置。参考图4所示,员工异常交易行为识别装置300可以从日志系统100中,获取交易系统登录日志中属于员工账号在外部登录的设备标识;还可以从交易系统200中获取所述设备标识对应的历史交易数据;并生成所述设备标识对应的历史交易数据的实体账号登录关系图,在将实体账号登录关系图的连通子图作为候选群组的基础上,对候选群组进行以识别异常交易为目的的群组特征分析,获得群组特征分析结果,然后根据群组特征分析结果识别员工异常交易行为。这种通过账号登录日志数据和交易数据识别员工异常交易行为的技术方案,提高了从海量交易数据中识别出员工异常交易行为的准确性,进而有利于提高金融交易的安全性。,进而有利于提高金融交易的安全性。
参考图5所示,在本说明书一些实施例中,所述员工异常交易行为识别装置可以包括:
获取模块51,可以用于获取交易系统登录日志中属于员工账号在外部登录的设备标识;
生成模块52,可以用于生成所述设备标识对应的历史交易数据的实体账号登录关系图;
确定模块53,可以用于确定所述实体账号登录关系图中的连通子图,以作为候选群组;
分析模块54,可以用对所述候选群组进行以识别异常交易为目的的群组特征分析,获得群组特征分析结果;
识别模块55,可以用对根据所述群组特征分析结果识别员工异常交易行为。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本说明书时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本说明书实施例还提供一种计算机设备。如图6所示,在本说明书一些实施例中,所述计算机设备602可以包括一个或多个处理器604,诸如一个或多个中央处理单元(CPU)或图形处理器(GPU),每个处理单元可以实现一个或多个硬件线程。计算机设备602还可以包括任何存储器606,其用于存储诸如代码、设置、数据等之类的任何种类的信息,一具体实施方式中,存储器606上并可在处理器604上运行的计算机程序,所述计算机程序被所述处理器604运行时,可以执行根据上述方法的指令。非限制性的,比如,存储器606可以包括以下任一项或多种组合:任何类型的RAM,任何类型的ROM,闪存设备,硬盘,光盘等。更一般地,任何存储器都可以使用任何技术来存储信息。进一步地,任何存储器可以提供信息的易失性或非易失性保留。进一步地,任何存储器可以表示计算机设备602的固定或可移除部件。在一种情况下,当处理器604执行被存储在任何存储器或存储器的组合中的相关联的指令时,计算机设备602可以执行相关联指令的任一操作。计算机设备602还包括用于与任何存储器交互的一个或多个驱动机构608,诸如硬盘驱动机构、光盘驱动机构等。
计算机设备602还可以包括输入/输出模块610(I/O),其用于接收各种输入(经由输入设备612)和用于提供各种输出(经由输出设备614)。一个具体输出机构可以包括呈现设备616和相关联的图形用户接口618(GUI)。在其他实施例中,还可以不包括输入/输出模块610(I/O)、输入设备612以及输出设备614,仅作为网络中的一台计算机设备。计算机设备602还可以包括一个或多个网络接口620,其用于经由一个或多个通信链路622与其他设备交换数据。一个或多个通信总线624将上文所描述的部件耦合在一起。
通信链路622可以以任何方式实现,例如,通过局域网、广域网(例如,因特网)、点对点连接等、或其任何组合。通信链路622可以包括由任何协议或协议组合支配的硬连线链路、无线链路、路由器、网关功能、名称服务器等的任何组合。
本申请是参照本说明书一些实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理器的处理器以产生一个机器,使得通过计算机或其他可编程数据处理器的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理器以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理器上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算机设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算机设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
本领域技术人员应明白,本说明书实施例可提供为方法、系统或计算机程序产品。因此,本说明书实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书实施例可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书实施例,在这些分布式计算环境中,由通过通信网络而被连接的远程处理器来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本说明书实施例的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (8)
1.一种员工异常交易行为识别方法,其特征在于,包括:
获取交易系统登录日志中属于员工账号在外部登录的设备标识;所述外部登录是指在私人计算机设备上登录账号;
生成所述设备标识对应的历史交易数据的实体账号登录关系图;所述生成所述设备标识对应的历史交易数据的实体账号登录关系图,包括:从指定时间范围内历史交易数据中,提取与所述设备标识对应的历史交易数据;将所述与所述设备标识对应的历史交易数据划分为多个数据集;生成每个数据集对应的实体账号登录关系图;每个所述实体账号登录关系图中包含:本数据集内的员工实体、用户实体分别与设备标识的登录关系;
确定所述实体账号登录关系图中以设备标识为维度的连通子图,以作为候选群组;
对所述候选群组进行以识别异常交易为目的的群组特征分析,获得群组特征分析结果;
根据所述群组特征分析结果识别员工异常交易行为。
2.如权利要求1所述的员工异常交易行为识别方法,其特征在于,所述获取交易系统登录日志中属于员工账号在外部登录的设备标识,包括:
获取指定时间范围内的交易系统登录日志;
滤除所述交易系统登录日志中属于内部登录的设备标识,获得属于外部登录的设备标识集合;
滤除所述设备标识集合中无员工账号登录的部分,获得属于员工账号在外部登录的设备标识。
3.如权利要求1所述的员工异常交易行为识别方法,其特征在于,所述划分以月度为单位。
4.如权利要求1所述的员工异常交易行为识别方法,其特征在于,所述对所述候选群组进行以识别异常交易为目的的群组特征分析,包括:
对于每个候选群组,分别确定其客户实体的用户指定特征属性及员工实体的员工指定特征属性;
根据每个候选群组的用户指定特征属性确定其是否为异常群组;
当有候选群组为异常群组时,根据该异常群组的员工指定特征属性,确定该异常群组的客户实体与员工实体之间是否存在指定关联关系;所述指定关联关系至少包括资金交易关系。
5.如权利要求4所述的员工异常交易行为识别方法,其特征在于,所述根据所述群组特征分析结果识别员工异常交易行为,包括:
如果异常群组的客户实体与员工实体之间存在指定关联关系,则确认该异常群组中的员工实体参与了异常交易行为。
6.一种员工异常交易行为识别装置,其特征在于,包括:
获取模块,用于获取交易系统登录日志中属于员工账号在外部登录的设备标识;所述外部登录是指在私人计算机设备上登录账号;
生成模块,用于生成所述设备标识对应的历史交易数据的实体账号登录关系图;所述生成所述设备标识对应的历史交易数据的实体账号登录关系图,包括:从指定时间范围内历史交易数据中,提取与所述设备标识对应的历史交易数据;将所述与所述设备标识对应的历史交易数据划分为多个数据集;生成每个数据集对应的实体账号登录关系图;每个所述实体账号登录关系图中包含:本数据集内的员工实体、用户实体分别与设备标识的登录关系;
确定模块,用于确定所述实体账号登录关系图中以设备标识为维度的连通子图,以作为候选群组;
分析模块,用对所述候选群组进行以识别异常交易为目的的群组特征分析,获得群组特征分析结果;
识别模块,用对根据所述群组特征分析结果识别员工异常交易行为。
7.一种计算机设备,包括存储器、处理器、以及存储在所述存储器上的计算机程序,其特征在于,所述计算机程序被所述处理器运行时,执行根据权利要求1-5任意一项所述方法的指令。
8.一种计算机存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被计算机设备的处理器运行时,执行根据权利要求1-5任意一项所述方法的指令。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110416815.8A CN113129058B (zh) | 2021-04-19 | 2021-04-19 | 员工异常交易行为识别方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110416815.8A CN113129058B (zh) | 2021-04-19 | 2021-04-19 | 员工异常交易行为识别方法、装置、设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113129058A CN113129058A (zh) | 2021-07-16 |
CN113129058B true CN113129058B (zh) | 2024-08-13 |
Family
ID=76777574
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110416815.8A Active CN113129058B (zh) | 2021-04-19 | 2021-04-19 | 员工异常交易行为识别方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113129058B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113570379B (zh) * | 2021-08-04 | 2024-02-13 | 工银科技有限公司 | 异常交易团伙识别方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104519032A (zh) * | 2013-09-30 | 2015-04-15 | 深圳市腾讯计算机系统有限公司 | 一种互联网账号的安全策略及系统 |
CN108200147A (zh) * | 2017-12-28 | 2018-06-22 | 珠海华发新科技投资控股有限公司 | 企业内部集成服务系统及方法 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030135406A1 (en) * | 2002-01-11 | 2003-07-17 | Rowe John J. | Method and apparatus for identifying cash leakage |
US20050222929A1 (en) * | 2004-04-06 | 2005-10-06 | Pricewaterhousecoopers Llp | Systems and methods for investigation of financial reporting information |
WO2014151061A2 (en) * | 2013-03-15 | 2014-09-25 | Authentic8, Inc. | Secure web container for a secure online user environment |
US20150081481A1 (en) * | 2013-09-16 | 2015-03-19 | International Business Machines Corporation | Analytics-driven automated reconciliation of financial transactions |
US20150254658A1 (en) * | 2014-03-04 | 2015-09-10 | Bank Of America Corporation | Limiting token collaboration network usage by token |
CN108280755A (zh) * | 2018-02-28 | 2018-07-13 | 阿里巴巴集团控股有限公司 | 可疑洗钱团伙的识别方法和识别装置 |
CN108615119B (zh) * | 2018-05-09 | 2024-02-06 | 广州地铁小额贷款有限公司 | 一种异常用户的识别方法及设备 |
CN108717602B (zh) * | 2018-05-15 | 2021-09-28 | 创新先进技术有限公司 | 一种交易行为异常的识别方法、装置及设备 |
CN108960833B (zh) * | 2018-08-10 | 2022-03-11 | 哈尔滨工业大学(威海) | 一种基于异构金融特征的异常交易识别方法,设备及存储介质 |
CN111143151B (zh) * | 2018-11-02 | 2023-11-17 | 菜鸟智能物流控股有限公司 | 业务监控方法、装置以及电子设备 |
CN111031017B (zh) * | 2019-11-29 | 2021-12-14 | 腾讯科技(深圳)有限公司 | 一种异常业务账号识别方法、装置、服务器及存储介质 |
CN111538869B (zh) * | 2020-04-29 | 2023-05-26 | 支付宝(杭州)信息技术有限公司 | 一种交易异常群组的检测方法、装置及设备 |
CN112308565A (zh) * | 2020-08-14 | 2021-02-02 | 中国工商银行股份有限公司 | 基于知识图谱的多对多跨境资金风控方法及系统 |
CN112102083A (zh) * | 2020-08-31 | 2020-12-18 | 东莞市龙兴基石智能科技有限公司 | 一种多账户联动的交易方法、交易系统、设备和存储介质 |
CN112037026A (zh) * | 2020-09-01 | 2020-12-04 | 中国银行股份有限公司 | 自动化异常交易工单处理方法、装置和系统 |
CN112422574A (zh) * | 2020-11-20 | 2021-02-26 | 同盾控股有限公司 | 风险账号的识别方法、装置、介质及电子设备 |
-
2021
- 2021-04-19 CN CN202110416815.8A patent/CN113129058B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104519032A (zh) * | 2013-09-30 | 2015-04-15 | 深圳市腾讯计算机系统有限公司 | 一种互联网账号的安全策略及系统 |
CN108200147A (zh) * | 2017-12-28 | 2018-06-22 | 珠海华发新科技投资控股有限公司 | 企业内部集成服务系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113129058A (zh) | 2021-07-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ahmed et al. | A survey of anomaly detection techniques in financial domain | |
TWI673666B (zh) | 資料風險控制的方法及裝置 | |
TWI804575B (zh) | 確定高風險用戶的方法及裝置、電腦可讀儲存媒體、和計算設備 | |
US20160071108A1 (en) | Enhanced automated anti-fraud and anti-money-laundering payment system | |
WO2017162113A1 (zh) | 一种风险信息输出、风险信息构建方法及装置 | |
CN108876133A (zh) | 基于业务信息的风险评估处理方法、装置、服务器和介质 | |
US7693767B2 (en) | Method for generating predictive models for a business problem via supervised learning | |
CN106656536A (zh) | 一种用于处理服务调用信息的方法与设备 | |
CN111046237B (zh) | 用户行为数据处理方法、装置、电子设备及可读介质 | |
US12045225B2 (en) | Multi-table data validation tool | |
US20130185191A1 (en) | Systems and method for correlating transaction events | |
CN112232818A (zh) | 数据对账方法、装置、计算机设备和存储介质 | |
CN111833182B (zh) | 识别风险对象的方法和装置 | |
US10673979B2 (en) | User data sharing method and device | |
US20220164798A1 (en) | System and method for detecting fraudulent electronic transactions | |
US10440052B2 (en) | Real-time linear identification of resource distribution breach | |
CN112612813A (zh) | 一种测试数据的生成方法和装置 | |
US20230123216A1 (en) | Localized account freeze for fraudulent transactions | |
Garcia Bringas et al. | BlockChain platforms in financial services: current perspective | |
CN113129058B (zh) | 员工异常交易行为识别方法、装置、设备及存储介质 | |
CN117708108A (zh) | 一种客户多维信息校验方法及装置 | |
CN114238414A (zh) | 一种反洗钱可疑交易数据的监测方法及装置 | |
US10564849B2 (en) | Data compression technologies for micro model advanced analytics | |
CN113919924A (zh) | 一种基于大数据侦查地下钱庄洗钱犯罪的方法 | |
CN106708869B (zh) | 一种群组数据处理的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |