发明内容
针对现有技术中存在的问题,本发明实施例的主要目的在于提供一种异常交易团伙识别方法及装置,实现对可疑账号的预警,降低洗钱风险,提升洗钱团伙识别的精度和有效性。
为了实现上述目的,本发明实施例提供一种异常交易团伙识别方法,所述方法包括:
每隔预设时间间隔,获取当天各应用软件客户端的用户行为数据及交易信息,并对所述用户行为数据进行分析,得到各应用软件客户端的用户登录数量;
若所述用户登录数量大于预设预警值,则确定应用软件客户端对应的设备信息,并根据所述设备信息及用户行为数据生成预警数据表;
根据预设的反洗钱规则,对所述交易信息进行分析,生成异常交易账号表,并根据所述异常交易账号表及所述预警数据表,生成异常交易团伙表。
可选的,在本发明一实施例中,所述用户行为数据包括账号信息及其对应的登录时间。
可选的,在本发明一实施例中,所述确定应用软件客户端对应的设备信息,并根据所述设备信息及用户行为数据生成预警数据表包括:
根据用户登录数量大于预设预警值的应用软件客户端,确定其对应的设备信息、账号信息及登录时间;
根据所述账号信息,获取与所述账号信息对应的用户信息;
将所述登录时间、设备信息、账号信息及用户信息进行组合,生成所述预警数据表。
可选的,在本发明一实施例中,所述根据所述异常交易账号表及所述预警数据表,生成异常交易团伙表包括:
对所述异常交易账号表与所述预警数据表进行比对,若所述预警数据表中的账号信息存在于所述异常交易账号表中,则将存在于异常交易账号表中的账号信息作为预警账号;
根据所述预警账号及其对应的登录时间,对所述预警数据表进行遍历,确定与所述预警账号对应的关联账号及关联设备;
根据所述预警账号、关联账号及关联设备,生成所述异常交易团伙表。
本发明实施例还提供一种异常交易团伙识别装置,所述装置包括:
登录数量模块,用于每隔预设时间间隔,获取当天各应用软件客户端的用户行为数据及交易信息,并对所述用户行为数据进行分析,得到各应用软件客户端的用户登录数量;
预警数据表模块,用于若所述用户登录数量大于预设预警值,则确定应用软件客户端对应的设备信息,并根据所述设备信息及用户行为数据生成预警数据表;
异常交易团伙模块,用于根据预设的反洗钱规则,对所述交易信息进行分析,生成异常交易账号表,并根据所述异常交易账号表及所述预警数据表,生成异常交易团伙表。
可选的,在本发明一实施例中,所述用户行为数据包括账号信息及其对应的登录时间。
可选的,在本发明一实施例中,所述预警数据表模块包括:
数据确定单元,用于根据用户登录数量大于预设预警值的应用软件客户端,确定其对应的设备信息、账号信息及登录时间;
用户信息单元,用于根据所述账号信息,获取与所述账号信息对应的用户信息;
数据整合单元,用于将所述登录时间、设备信息、账号信息及用户信息进行组合,生成所述预警数据表。
可选的,在本发明一实施例中,所述异常交易团伙模块包括:
预警账号单元,用于对所述异常交易账号表与所述预警数据表进行比对,若所述预警数据表中的账号信息存在于所述异常交易账号表中,则将存在于异常交易账号表中的账号信息作为预警账号;
数据关联单元,用于根据所述预警账号及其对应的登录时间,对所述预警数据表进行遍历,确定与所述预警账号对应的关联账号及关联设备;
异常交易团伙单元,用于根据所述预警账号、关联账号及关联设备,生成所述异常交易团伙表。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述方法的计算机程序。
本发明通过APP客户端记录的用户行为数据,可以在洗钱行为发生前确定可疑的账号并进行预警,降低洗钱风险,通过APP客户端记录的交易及登录等信息,分析得出异常交易团伙,可以大幅提升洗钱团伙识别的精度和有效性,可有效打击洗钱团伙。
具体实施方式
本发明实施例提供一种异常交易团伙识别方法及装置,可用于金融领域及其他领域,需要说明的是,本发明的异常交易团伙识别方法及装置可用于金融领域,也可用于除金融领域之外的任意领域,本发明的异常交易团伙识别方法及装置应用领域不做限定。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示为本发明实施例一种异常交易团伙识别方法的流程图,本发明实施例提供的异常交易团伙识别方法的执行主体包括但不限于计算机。图中所示方法包括:
步骤S1,每隔预设时间间隔,获取当天各应用软件客户端的用户行为数据及交易信息,并对所述用户行为数据进行分析,得到各应用软件客户端的用户登录数量。
其中,预设时间间隔可以为12小时或24小时等,每隔预设时间间隔,从应用软件客户端(例如手机银行APP客户端)运行过程中获取实时记录用户行为数据,包括登录的账号以及时间点,即账号信息及登录时间。此外,通过银行服务器获取应用软件客户端的交易信息,用户行为数据及交易信息具有对应关系,具体的,用户行为数据包括账号信息,该账号信息具有对应的交易信息。
进一步的,利用数据库技术的SQL语言分析用户行为数据,统计各应用软件客户端当天登录的账户数量,可以得到各个应用软件客户端当天的用户账号数量。
步骤S2,若所述用户登录数量大于预设预警值,则确定应用软件客户端对应的设备信息,并根据所述设备信息及用户行为数据生成预警数据表。
其中,如果应用软件客户端当天的用户账号数量大于了预设预警值,例如,某个应用软件客户端当天的用户账号数量大于10,则确定应用软件客户端对应的设备信息,例如,设备信息可以为设备编号等。
进一步的,利用设备信息,以及用户行为数据中的账号信息、登录时间等信息,生成预警数据表。具体的,根据用户行为数据中的账号信息确定对应的用户信息,用户信息可通过查询获取。进而利用设备信息、账号信息、登录时间及用户信息,生成预警数据表。
具体的,用户行为数据可以为表格形式,如表1所示。
表1
其中,使用如下SQL语言语句对用户行为数据进行分析,步骤如下:
1)查询当天所有的登录操作日志,并去除重复记录,获得一个APP客户端上登录过的账号列表,获得的数据集别名为UserLoginList,如表2所示。
表2
2)从前一步的UserLoginList数据级中查询登录账号数量超过10个的APP客户端设备信息,其中10位参数配置,设计获得的数据集别名为equipmentList,如表3所示。
表3
3)使用上一步获得equipmentList数据中的eid为条件查询这些设备上登陆过账号信息,如表4所示,存入UserBehaviorResult表中,即预警数据表,如表5所示。
表4
表5
4)最后通过账号信息可以查询出相关客户信息,最后形成预警账号+客户信息,如表6所示为查询的结果及预警账号+客户信息。
表6
步骤S3,根据预设的反洗钱规则,对所述交易信息进行分析,生成异常交易账号表,并根据所述异常交易账号表及所述预警数据表,生成异常交易团伙表。
其中,预设的反洗钱规则可以为反洗钱规则模型,按照现有对反洗钱识别的规则,对各个应用软件客户端的交易信息进行筛查。筛选出交易模式与反洗钱规则模型相匹配的交易,确定这些交易所属账号和用户列表,将被认定为异常交易的账号、用户等信息,组合成为异常交易账号表。
进一步的,判断预警数据表中的账号,是否存在于异常交易账号表中,若是,则将存在于异常交易账号表中的账号作为预警账号。根据预警数据表,确定预警账号的关联账号及关联设备,由此生成异常交易团伙表。
进一步的,关联账号代表在同一时间段内,与预警账号登录同一设备的账号,关联设备代表了预警账号及其关联账号登录过的所有设备。
具体的,如图4所示,预警数据表中的预警账号+客户可以生产一个应用软件客户端设备与账号的关系,从这样的关系中可以进一步分析识别出团伙单位。如下:
a)假设时间1,Acc1、Acc2、Acc3三个账号在APP设备1登录过,可以确Acc1-3账号确定为一个团伙。
b)后续时间2,Acc3、Acc4、Acc5在APP设备2中登录,可以将Acc3-5账号确定为一个团伙。
c)通过Acc3在两个设备都登录过的关联1,可以找到APP设备1和APP设备2的关联2,进而确定Acc1-5属于一个团伙的关联3。
如上实例的数据得到的异常交易团伙表,如表7所示。
表7
进一步的,在上述实例的基础上,通过数据库SQL查询语言,得到异常交易团伙信息的过程如下:
a)在预警账号表中查询在1台以上设备登录过的账号,实现上述算法的“关联1”,如表8所示。
表8
得到的结果是:acc_3,将结果集记为:muti_log_acc。
b)使用上一步的结果,查询设备信息,实现上述算法中的“关联2”,如表9所示。
表9
得到的结果为:app001,app002,将结果集记为eid_in_group。
c)根据有关联的设备eid查询相关联的团伙账号,实现上述算法中的“关联3”,如表10所示。
表10
得到的结果为:acc_1,acc_2,acc_3,acc_4,acc_5,即异常交易团伙的信息。该结果可以以表格的形成呈现,与相关的设备信息及用户信息,共同组成异常团伙表,以便于工作人员查阅。由此克服了现有反洗钱系统只能事后追查,时效滞后,以及洗钱团伙认定依据不足的问题。
作为本发明的一个实施例,用户行为数据包括账号信息及其对应的登录时间。
其中,从应用软件客户端(例如手机银行APP客户端)运行过程中,获取实时记录的用户行为数据,用户行为数据包括登录的账号以及时间点,即账号信息,及各账号信息对应的登录时间。
在本实施例中,如图2所示,确定应用软件客户端对应的设备信息,并根据所述设备信息及用户行为数据生成预警数据表包括:
步骤S21,根据用户登录数量大于预设预警值的应用软件客户端,确定其对应的设备信息、账号信息及登录时间;
步骤S22,根据所述账号信息,获取与所述账号信息对应的用户信息;
步骤S23,将所述登录时间、设备信息、账号信息及用户信息进行组合,生成所述预警数据表。
其中,应用软件客户端对应的设备信息,例如,设备信息可以为设备编号等。根据用户行为数据中的账号信息确定对应的用户信息,用户信息可通过查询获取。进而利用设备信息、账号信息、登录时间及用户信息,生成预警数据表。
在本实施例中,如图3所示,根据所述异常交易账号表及所述预警数据表,生成异常交易团伙表包括:
步骤S31,对所述异常交易账号表与所述预警数据表进行比对,若所述预警数据表中的账号信息存在于所述异常交易账号表中,则将存在于异常交易账号表中的账号信息作为预警账号;
步骤S32,根据所述预警账号及其对应的登录时间,对所述预警数据表进行遍历,确定与所述预警账号对应的关联账号及关联设备;
步骤S33,根据所述预警账号、关联账号及关联设备,生成所述异常交易团伙表。
其中,判断预警数据表中的账号,是否存在于异常交易账号表中,若是,则将存在于异常交易账号表中的账号作为预警账号。
进一步的,根据预警账号及其对应的登录时间,对预警数据表进行遍历。由此根据预警数据表中记录的信息,确定预警账号的关联账号及关联设备,由此生成异常交易团伙表。
具体的,关联账号代表在同一时间段内,与预警账号登录同一设备的账号,关联设备代表了预警账号及其关联账号登录过的所有设备。
在本发明一具体实施例中,如图5所示为应用异常交易团伙识别方法的反洗钱系统的工作流程图。随着移动互联网技术的发展,绝大多数客户已改为使用手机银行进行交易。洗钱犯罪分子也因为通过手机进行操作具有隐蔽性好和对办公场所要求低的优点,转而使用手机银行APP进行洗钱活动。一般洗钱团伙会购买大量的银行卡用于资金汇转,在真正实施洗钱行为前需要先使用这些银行卡账号登陆手机银行,用于验证账号功能正常。而手机银行APP可以记录使用者的行为数据,包括每次登陆的银行账号及具体时间,并上传银行端服务器。
其中,洗钱是一种将非法所得合法化的行为,具体指将违法所得及其产生的收益,通过各种手段掩饰、隐瞒其来源和性质,使其在形式上合法化。反洗钱即为采用多种手段预防和打击洗钱行为。
在本实施例中,本发明中的反洗钱系统在可通过收集、分析此类登陆数据,可识别出具有短时间内在同一APP客户端登陆特征的账号,进而将这些账号标记为预警账号。由于此时相关账号还未实施洗钱行为,因此可以做到洗钱账号预警,可自动触发反洗钱系统的尽职调查进任务,提前确认账号所属的客户信息并评估洗钱风险。
其中,可通过多个账号同时登陆的APP客户端ID为标志划分团伙,初步可一个APP客户端ID相关的账号一个团伙,后续相关账号如果在其它APP客户端中登陆,可以根据登陆过相同账号的关系将多个APP客户端归为一个团伙,这些APP客户端中登陆过的所有账号就组成了一个更大的团伙,实现对团伙的精确全面识别。
进一步的,本发明的反洗钱系统工作过程如图1所示,涉及3个相互衔接部分,整体的工作流程如下:
1、手机银行APP客户端
手机银行APP客户端运行过程中实时记录用户行为数据,包括登录的账号以及时间点,并将其与交易请求一同发送给银行服务器。
2、银行服务器
用于收集和存储交易记录及行为数据,并分别传递给反洗钱系统的规则模型和行为分析模块。
3、反洗钱系统
a)行为分析模块:定期(每天)使用数据库技术的SQL语言分析当天客户行为数据,通过统计每个APP客户端当天登录的账号数量,并过滤出大于预警阈值的APP客户端及其关联的账号。然后通过账号信息查询对应的客户信息,形成预警的客户+账号的数据,即预警数据表。
b)反洗钱规则模型:定期(每天)获取当天或近期的全量交易记录,并使用反洗钱规则模型进行分析,筛选出交易模式与规则模型相匹配的交易及所属账号和客户列表,然后结合预警账号+客户,生产异常交易团伙表。
其中,反洗钱规则模型是基于反洗钱业务经验制定的一些条件和规则,可以过滤和识别具有洗钱行为特征的交易记录。此外,被反洗钱规则模型过滤和识别出的交易,称为交易行为异常交易,简称异常交易。
c)异常交易甄别:反洗钱业务人员可在此模块查看团伙异常交易信息,并进行甄别判断。
其中,异常交易甄别是指反洗钱业务人员通过自身业务知识及相关制度,对异常交易进行是否疑似洗钱行为的判断工作,疑似洗钱行为的交易成为可疑报告。
d)尽职调查:生产预警账号+客户信息后,会自动触发尽职调查,对涉及的客户背景进行复审。
其中,尽职调查是金融机构对客户身份信息或企业资质以及资金来源等方面进行调查,以全面真实了解客户背景。
本发明通过手机银行APP客户记录的客户行为数据,可以在洗钱行为发生前进行找到可疑的账号并进行预警,金融机构可以尽早的展开尽职调查,降低洗钱风险。通过客户端APP记录的登录信息分析得出的团伙构成信息更加准确,为反洗钱规则模型提供强有力的辅助数据,可以大幅提升洗钱团伙识别的精度和有效性,可有效打击洗钱团伙,维护金融秩序。同时此方法也可应用于其它类型金融行业(如基金、保险、支付行业)的反洗钱业务中。
如图6所示为本发明实施例一种异常交易团伙识别装置的结构示意图,图中所示装置包括:
登录数量模块10,用于每隔预设时间间隔,获取当天各应用软件客户端的用户行为数据及交易信息,并对所述用户行为数据进行分析,得到各应用软件客户端的用户登录数量。
其中,预设时间间隔可以为12小时或24小时等,每隔预设时间间隔,从应用软件客户端(例如手机银行APP客户端)运行过程中获取实时记录用户行为数据,包括登录的账号以及时间点,即账号信息及登录时间。此外,通过银行服务器获取应用软件客户端的交易信息,用户行为数据及交易信息具有对应关系,具体的,用户行为数据包括账号信息,该账号信息具有对应的交易信息。
进一步的,利用数据库技术的SQL语言分析用户行为数据,统计各应用软件客户端当天登录的账户数量,可以得到各个应用软件客户端当天的用户账号数量。
预警数据表模块20,用于若所述用户登录数量大于预设预警值,则确定应用软件客户端对应的设备信息,并根据所述设备信息及用户行为数据生成预警数据表。
其中,如果应用软件客户端当天的用户账号数量大于了预设预警值,例如,某个应用软件客户端当天的用户账号数量大于10,则确定应用软件客户端对应的设备信息,例如,设备信息可以为设备编号等。
进一步的,利用设备信息,以及用户行为数据中的账号信息、登录时间等信息,生成预警数据表。具体的,根据用户行为数据中的账号信息确定对应的用户信息,用户信息可通过查询获取。进而利用设备信息、账号信息、登录时间及用户信息,生成预警数据表。
异常交易团伙模块30,用于根据预设的反洗钱规则,对所述交易信息进行分析,生成异常交易账号表,并根据所述异常交易账号表及所述预警数据表,生成异常交易团伙表。
其中,预设的反洗钱规则可以为反洗钱规则模型,按照现有对反洗钱识别的规则,对各个应用软件客户端的交易信息进行筛查。筛选出交易模式与反洗钱规则模型相匹配的交易,确定这些交易所属账号和用户列表,将被认定为异常交易的账号、用户等信息,组合成为异常交易账号表。
进一步的,判断预警数据表中的账号,是否存在于异常交易账号表中,若是,则将存在于异常交易账号表中的账号作为预警账号。根据预警数据表,确定预警账号的关联账号及关联设备,由此生成异常交易团伙表。
进一步的,关联账号代表在同一时间段内,与预警账号登录同一设备的账号,关联设备代表了预警账号及其关联账号登录过的所有设备。
作为本发明的一个实施例,所述用户行为数据包括账号信息及其对应的登录时间。
在本实施例中,如图7所示,所述预警数据表模块20包括:
数据确定单元21,用于根据用户登录数量大于预设预警值的应用软件客户端,确定其对应的设备信息、账号信息及登录时间;
用户信息单元22,用于根据所述账号信息,获取与所述账号信息对应的用户信息;
数据整合单元23,用于将所述登录时间、设备信息、账号信息及用户信息进行组合,生成所述预警数据表。
在本实施例中,如图8所示,所述异常交易团伙模块30包括:
预警账号单元31,用于对所述异常交易账号表与所述预警数据表进行比对,若所述预警数据表中的账号信息存在于所述异常交易账号表中,则将存在于异常交易账号表中的账号信息作为预警账号;
数据关联单元32,用于根据所述预警账号及其对应的登录时间,对所述预警数据表进行遍历,确定与所述预警账号对应的关联账号及关联设备;
异常交易团伙单元33,用于根据所述预警账号、关联账号及关联设备,生成所述异常交易团伙表。
基于与上述一种异常交易团伙识别方法相同的申请构思,本发明还提供了上述一种异常交易团伙识别装置。由于该一种异常交易团伙识别装置解决问题的原理与一种异常交易团伙识别方法相似,因此该一种异常交易团伙识别装置的实施可以参见一种异常交易团伙识别方法的实施,重复之处不再赘述。
本发明通过APP客户端记录的用户行为数据,可以在洗钱行为发生前确定可疑的账号并进行预警,降低洗钱风险,通过APP客户端记录的交易及登录等信息,分析得出异常交易团伙,可以大幅提升洗钱团伙识别的精度和有效性,可有效打击洗钱团伙。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方法。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述方法的计算机程序。
如图9所示,该电子设备600还可以包括:通信模块110、输入单元120、音频处理器130、显示器160、电源170。值得注意的是,电子设备600也并不是必须要包括图9中所示的所有部件;此外,电子设备600还可以包括图9中没有示出的部件,可以参考现有技术。
如图9所示,中央处理器100有时也称为控制器或操作控件,可以包括微处理器或其他处理器装置和/或逻辑装置,该中央处理器100接收输入并控制电子设备600的各个部件的操作。
其中,存储器140,例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息,此外还可存储执行有关信息的程序。并且中央处理器100可执行该存储器140存储的该程序,以实现信息存储或处理等。
输入单元120向中央处理器100提供输入。该输入单元120例如为按键或触摸输入装置。电源170用于向电子设备600提供电力。显示器160用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器,但并不限于此。
该存储器140可以是固态存储器,例如,只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器,其即使在断电时也保存信息,可被选择性地擦除且设有更多数据,该存储器的示例有时被称为EPROM等。存储器140还可以是某种其它类型的装置。存储器140包括缓冲存储器141(有时被称为缓冲器)。存储器140可以包括应用/功能存储部142,该应用/功能存储部142用于存储应用程序和功能程序或用于通过中央处理器100执行电子设备600的操作的流程。
存储器140还可以包括数据存储部143,该数据存储部143用于存储数据,例如联系人、数字数据、图片、声音和/或任何其他由电子设备使用的数据。存储器140的驱动程序存储部144可以包括电子设备的用于通信功能和/或用于执行电子设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
通信模块110即为经由天线111发送和接收信号的发送机/接收机。通信模块(发送机/接收机)110耦合到中央处理器100,以提供输入信号和接收输出信号,这可以和常规移动通信终端的情况相同。
基于不同的通信技术,在同一电子设备中,可以设置有多个通信模块110,如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)还经由音频处理器130耦合到扬声器131和麦克风132,以经由扬声器131提供音频输出,并接收来自麦克风132的音频输入,从而实现通常的电信功能。音频处理器130可以包括任何合适的缓冲器、解码器、放大器等。另外,音频处理器130还耦合到中央处理器100,从而使得可以通过麦克风132能够在本机上录音,且使得可以通过扬声器131来播放本机上存储的声音。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。