CN114881711B - 基于请求行为进行异常分析的方法及电子设备 - Google Patents

基于请求行为进行异常分析的方法及电子设备 Download PDF

Info

Publication number
CN114881711B
CN114881711B CN202210808401.4A CN202210808401A CN114881711B CN 114881711 B CN114881711 B CN 114881711B CN 202210808401 A CN202210808401 A CN 202210808401A CN 114881711 B CN114881711 B CN 114881711B
Authority
CN
China
Prior art keywords
model
request behavior
behavior
abnormal
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210808401.4A
Other languages
English (en)
Other versions
CN114881711A (zh
Inventor
陈建伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honor Device Co Ltd
Original Assignee
Honor Device Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honor Device Co Ltd filed Critical Honor Device Co Ltd
Priority to CN202210808401.4A priority Critical patent/CN114881711B/zh
Publication of CN114881711A publication Critical patent/CN114881711A/zh
Application granted granted Critical
Publication of CN114881711B publication Critical patent/CN114881711B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/02Marketing; Price estimation or determination; Fundraising
    • G06Q30/0207Discounts or incentives, e.g. coupons or rebates
    • G06Q30/0225Avoiding frauds
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/02Marketing; Price estimation or determination; Fundraising
    • G06Q30/0201Market modelling; Market analysis; Collecting market data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/02Marketing; Price estimation or determination; Fundraising
    • G06Q30/0201Market modelling; Market analysis; Collecting market data
    • G06Q30/0203Market surveys; Market polls
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Abstract

本申请提供了一种基于请求行为进行异常分析的方法及电子设备,属于终端技术领域。该方法包括:接收用户输入的请求行为;通过异常请求行为分析模型中的实时规则引擎对请求行为进行异常检测,并获取第一检测结果;当第一检测结果未指示请求行为是异常请求行为时,通过异常请求行为分析模型中的风控综合模型对请求行为进行异常检测,并获取第二检测结果;当第二检测结果指示请求行为是异常请求行为时,对请求行为进行拦截。该方法通过结合实时规则库和基于特征选择和逻辑回归训练的风控综合模型对请求行为进行异常识别,能够解决模型复杂可解释性差,运行性能差的问题。

Description

基于请求行为进行异常分析的方法及电子设备
技术领域
本申请涉及终端技术领域,尤其涉及一种基于请求行为进行异常分析的方法及电子设备。
背景技术
随着电商消费模式的发展,电商平台为了追求用户的活跃度和用户黏性,通常会为新老客户推出对应的优惠活动,比如限时低价抢购、拼团促销、领取优惠券等。然而,这种方式容易导致一些不法分子有机可乘,比如当获取这些优惠情报后,不法分子会通过自动化工具、虚拟化工具(比如群控软件)注册大量虚假账号,批量参与活动刷单以套取优惠,影响电商平台的正常运营以及用户的权益和体验。
因而,如何针对电商平台提出快速准确的风险控制方法,有效保障商家和消费者的权益成为亟待解决的问题。
发明内容
本申请实施例提供了一种基于请求行为进行异常分析的方法及电子设备,该方法通过结合实时规则模型和基于特征选择和逻辑回归训练的风控综合模型对请求行为进行异常识别,能够解决现有模型复杂,运行性能差的问题。
第一方面,提供了一种基于请求行为进行异常分析的方法,应用于电子设备,包括:
接收用户输入的请求行为,所述请求行为包括业务场景信息;
根据所述业务场景信息获取对应的异常识别方式,所述异常识别方式包括通过静态风险模型和/或动态威胁模型对所述请求行为进行异常识别,或者包括根据静态风险模型、动态威胁模型和风控综合模型对请求行为进行异常识别,其中,所述静态风险模型用于根据第一特征数据对请求行为进行异常识别,所述动态威胁模型用于根据第二特征数据对请求行为进行异常识别,所述风控综合模型用于根据业务场景中不同标签维度下的标签特征对请求行为进行异常识别;
按照所述异常识别方式对所述请求行为进行异常识别。
根据本实现方式提供的基于请求行为进行异常分析的方法,通过根据请求行为对应的业务场景选择对应的异常识别方式,然后基于实时规则模型和风控综合模型对该请求行为进行异常分析。由于本申请实施例提供的风控综合模型是基于用户行为和历史用户基础信息清洗出的重要标签特征进行逻辑回归训练获得的,模型训练过程利用的特征数量较少,并且逻辑回归本身具有解释性强的特点,因而该风控综合模型具备解释性强、复杂度低的特点。本申请实施例提供的基于请求行为进行异常分析的方法在保证异常请求行为分析准确性的基础上,便于快速分析查找出异常请求行为,能够提升对异常请求行为的响应速度。
结合第一方面,在第一方面的某些实现方式中,所述方法还包括:
获取历史用户基础信息和历史用户行为信息;
根据所述历史用户基础信息和所述历史用户行为信息获取历史异常请求行为对应的静态标签,以及所述历史异常请求行为对应的第一动态指标;
根据所述静态标签和所述第一动态指标获取所述第一特征数据。
结合第一方面,在第一方面的某些实现方式中,所述方法还包括:
根据所述历史用户基础信息和所述历史用户行为信息获取历史异常请求行为对应的第二动态指标;
根据所述第二动态指标获取所述第二特征数据。
结合第一方面,在第一方面的某些实现方式中,所述方法还包括:
根据历史用户基础信息和历史用户行为信息提取所述业务场景中不同标签维度下的标签特征;
根据随机森林算法对所述标签特征进行重要性选择,获取不同标签维度下的重要标签特征;
根据逻辑回归算法对所述不同标签维度下的重要标签特征进行并行训练,获取所述不同标签维度分别对应的子模型;
整合所述子模型,获取所述风控综合模型。
结合第一方面,在第一方面的某些实现方式中,所述按照所述异常识别方式对所述请求行为进行异常识别,具体包括:
将所述请求行为输入所述静态风险模型,获取第一风险值;和/或,
将所述请求行为输入所述动态威胁模型,获取第二风险值;
根据所述第一风险值和/或所述第二风险值,获取第一异常识别结果,且当所述第一异常识别结果指示所述请求行为异常时,对所述请求行为进行拦截。
结合第一方面,在第一方面的某些实现方式中,所述方法还包括:
根据所述第一风险值判断所述请求行为是否异常;
若判断结果指示所述请求行为不异常,则将所述请求行为输入所述动态威胁模型;
若判断结果指示所述请求行为异常,则对所述请求行为进行拦截。
结合第一方面,在第一方面的某些实现方式中,所述方法还包括:
根据所述第二风险值判断所述请求行为是否异常;
若判断结果指示所述请求行为不异常,则将所述请求行为输入所述风控综合模型;
若判断结果指示所述请求行为异常,则对所述请求行为进行拦截。
结合第一方面,在第一方面的某些实现方式中,所述方法还包括:
获取所述请求行为在不同标签维度下的重要标签特征;
将所述重要标签特征输入所述风控综合模型,获取第二异常识别结果。
结合第一方面,在第一方面的某些实现方式中,当所述请求行为是通过电商的下单行为时,所述静态标签包括以下至少一项:
所述用户的购物标识、所述用户的认证信息、所述电子设备的标识、所述下单行为对应的收货信息。
结合第一方面,在第一方面的某些实现方式中,当所述请求行为是通过电商的下单行为时,所述第一动态指标和所述第二动态指标包括以下至少一项:
所述用户通过电商平台输入的行为序列、所述用户在预设时长内购买同一商品的频次、所述用户单次购买同一商品的数量。
结合第一方面,在第一方面的某些实现方式中,所述异常识别方式还包括通过基于几率指标odds规则模型进行异常识别,所述方法还包括:
当所述第二异常识别结果指示所述请求行为不异常时,若通过其他方式获取所述请求行为异常,则获取所述请求行为对应的各标签维度下的标签特征对所述请求行为异常的影响几率odds指标;
将所述影响几率odds指标更新至基于odds规则模型中。
结合第一方面,在第一方面的某些实现方式中,所述方法还包括:
根据所述基于odds规则模型对所述请求行为进行异常识别。
第二方面,提供了一种电子设备,包括:一个或多个处理器;一个或多个存储器;所述一个或多个存储器存储有一个或多个计算机程序,所述一个或多个计算机程序包括指令,当所述指令被所述一个或多个处理器执行时,使得所述电子设备执行如上述第一方面中任一实现方式所述的方法。
第三方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行程序指令,所述计算机可执行程序指令在被计算机上运行时,使所述计算机执行如上述第一方面中任一实现方式所述的方法。
第四方面,提供了一种计算机程序产品,所述计算机程序产品包括计算机程序代码,当所述计算机程序代码在计算机上运行时,使所述计算机执行如上述第一方面中任一实现方式所述的方法。
附图说明
图1为本申请实施例提供的一种电子设备100的结构示意图。
图2为本申请实施例提供的一种电子设备100的软件结构框图。
图3A至图3C为本申请实施例提供的一些基于请求行为进行异常分析过程中涉及的GUI的示意图。
图4为本申请实施例提供的一种用于基于请求行为异常分析的异常请求行为分析模型的示意性结构图。
图5A和图5B为本申请实施例提供的一些获取静态风险模型和动态威胁模型中特征数据的示意性流程图。
图6为本申请实施例提供的一种风控综合模型训练过程的示意图。
图7为本申请实施例提供的另一种异常请求行为分析模型的示意性结构图。
图8为本申请实施例提供的一种基于请求行为进行异常分析的方法的示意性流程图。
图9为本申请实施例提供的一种多维模型建模的示意性流程图。
图10为本申请实施例提供的另一种基于请求行为进行异常分析的方法的示意性流程图。
具体实施方式
需要说明的是,本申请实施例的实施方式部分使用的术语仅用于对本申请的具体实施例进行解释,而非旨在限定本申请。在本申请实施例的描述中,除非另有说明,“/”表示或的意思,例如,A/B可以表示A或B;本文中的“和/或”仅仅是一种描述关联障碍物的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,在本申请实施例的描述中,除非另有说明,“多个”是指两个或多于两个,“至少一个”、“一个或多个”是指一个、两个或两个以上。
以下,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”特征可以明示或者隐含地包括一个或者更多个该特征。
在本说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其它一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其它方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其它方式另外特别强调。
为了便于本领域技术人员更好地理解本申请的技术方案,首先针对本申请实施例涉及的一些概念进行简单的介绍。
1、决策树(decision tree)
决策树是一类常见的机器学习方法。顾名思义,决策树是基于树的结构来进行决策的,这恰是人类在面临决策时一种很自然的处理机制。决策树是一个树结构(可以是二叉树或者非二叉树),其每个非叶节点表示一个特征属性上的测试,每个分支代表这个特征属性在某个值域上的输出,而每个叶节点存放一个类别。使用决策树进行决策的过程就是从根节点开始,测试待分类项中相应的特征属性,并按照其值选择输出分支,直到到达叶子节点,将叶子节点存放的类别作为决策结果。例如,在确定用户输入的下单行为是否合法时,会通过进行一系列的判断或者“子决策”:首先可以看用户在购物应用输入的操作是否符合正常的行为序列;如果用户输入的操作符合正常的行为序列,再看用户购买的商品的数量;如果用户购买的商品数量小于一定阈值,再看用户的收货地址是否正常,从而得出最终用户的行为是否属于异常行为的结论。
2、集成学习(ensemble learning)
集成学习通过构建并结合多个学习器来完成学习任务,有时也被称为多分类器系统(multi-classifier system)、基于委员会的学习(committee-based learning)等。
集成学习模型一般先产生一组“个体学习器(individual learner)”,再利用预设策略将它们结合起来。个体学习器通常由一个现有的学习算法从训练数据产生,例如决策树算法、神经网络算法等,此时集成中只包含同种类型的个体学习器,例如“决策树集成”中全是决策树,“神经网络集成”中全是神经网络,这样的集成是“同质(homogeneous)”的。同质集成中的个体学习器也可称为“基学习器(base learner)或基本学习器”,相应的学习算法称为“基学习算法(base learning algorithm)”。
集成学习模型通过将多个学习器进行结合,常可获得比单一学习器显著优越的泛化性能。根据个体学习器的生成方式,目前的集成学习方法大致可以分为两大类,即个体学习器间存在强依赖关系、必须串行生成的序列化方法,以及个人学习器间不存在强依赖关系、可同时生成的并行化方法;前者的代表是提升(boosting),后者的代表是引导汇聚(boostrap aggregating,bagging)法(也称为装袋算法)和随机森林(random forest,RF)。
3、装袋(bagging)算法
Bagging的基本流程如下:假设给定的初始数据集包含m个样本,随机取出一个样本放入采样集中,再把这个样本放回该初始数据集,使得下次采样时该样本仍然有可能被选中。这样,经过m次随机采样操作,可以得到含m个样本的采样集。初始数据集中有的样本在采样集里多次出现,有的则从未出现。
按照同样的方式,可以采样出n个含m个训练样本的采样集。然后基于每个采样集训练出一个基学习器,再将这些基学习器进行结合就可以得到最终的模型。
4、基尼指数(Gini index)
决策树学习的关键在于如何选择最优划分属性。一般而言,随着划分过程不断进行,我们希望决策树的分支节点所包含的样本尽可能属于同一类别,即节点的“纯度(purity)”越来越高。
基尼指数可以用来选择划分属性。基尼指数反映了从数据集中随机抽取两个样本,其类别标记不一致的概率。因此,基尼指数越小,数据集的纯度越高。在本申请实施例提供的基于请求行为进行异常分析的方法中,决策树算法选择基尼指数算法来确定最优划分属性。
目前针对电商平台异常请求的一种常见的分析模型是评分卡模型。利用评分卡模型进行异常分析的流程通常包括数据准备、探索性数据分析(exploratory dataanalysis,EDA)、预处理、简单模型开发、评估、生成评分卡。EDA探索分析对经验依赖性强,适用于信息维度较少的情形,然而电商通常涉及较多(如近千)的特征维度,导致利用评分卡建模困难。
此外,另一种针对电商的异常请求分析的方法是利用高维度复杂模型,通过高维度复杂的算法模型能够保证较高的识别率,例如使用最广的深度神经网络(deep neuralnetworks,DNN)、卷积神经网络(convolutional neural networks,CNN)。然而这些算法模型通常会涉及成百个维度,隐藏层动辄几十层,模型过于复杂导致解释性差、训练和运行速度慢,进而使得响应速度变慢。
面对黄牛等不法分子针对电商平台的异常请求行为(如刷单、批量抢购),如果能够在保证准确性的基础上,提高对异常请求行为的识别速度和响应速度,那么就可以及时有效地拦截恶意抢购等不法行为,从而保障商家和消费者的权益。
针对上述需求,本申请实施例提供了一种基于请求行为进行异常分析的方法及电子设备,该方法通过包括实时规则模型和/或风控综合模型对请求行为进行异常识别,其中,实时规则模型包括基于用户的历史长周期多维静态标签(下称静态标签)和短周期多维度动态指标(下称动态指标)设置的静态风险模型、基于动态指标设置的动态威胁模型,以及基于odds规则模型等;风控综合模型为对高维标签特征降维后得到的重要特征数据进行集成学习训练并获取子模型(基学习器),然后基于逻辑回归算法对子模型并行训练获得的模型。
在对请求行为进行异常识别的过程中,通过根据请求行为对应的业务场景选择对应的异常识别方式,然后基于实时规则模型和风控综合模型对该请求行为进行异常分析。由于本申请实施例提供的风控综合模型是基于用户行为和历史用户基础信息清洗出的重要标签特征进行逻辑回归训练获得的,模型训练过程利用的特征数量较少,并且逻辑回归本身具有解释性强的特点,因而该风控综合模型具备解释性强、复杂度低的特点。本申请实施例提供的基于请求行为进行异常分析的方法在保证异常请求行为分析准确性的基础上,便于快速分析查找出异常请求行为,能够提升对异常请求行为的响应速度。
本申请实施例提供的基于请求行为进行异常分析的方法可以应用于多种类型的电子设备中,比如手机、平板电脑、可穿戴设备、车载设备、增强现实(augmented reality,AR)/虚拟现实(virtual reality,VR)设备、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer,UMPC)、上网本、个人数字助理(personal digitalassistant,PDA)等等。电子设备的示例性实施例包括但不限于搭载IOS®、Android®、Microsoft®或者其他操作系统的便携式终端。上述电子设备100也可以是具有触敏表面(例如触控面板)的台式计算机等。本申请实施例对电子设备100的具体类型不作限定。
示例性的,如图1所示,为本申请实施例提供的一种电子设备100的结构示意图。
电子设备100可以包括处理器110,外部存储器接口120,内部存储器121,通用串行总线(universal serial bus,USB)接口130,充电管理模块140,电源管理模块141,电池142,天线1,天线2,移动通信模块150,无线通信模块160,音频模块170,扬声器170A,受话器170B,麦克风170C,耳机接口170D,传感器模块180,按键190,马达191,指示器192,摄像头193,显示屏194,以及用户标识模块(subscriber identification module,SIM)卡接口195等。其中传感器模块180可以包括压力传感器180A,陀螺仪传感器180B,气压传感器180C,磁传感器180D,加速度传感器180E,距离传感器180F,接近光传感器180G,指纹传感器180H,温度传感器180J,触摸传感器180K,环境光传感器180L,骨传导传感器180M等。
可以理解的是,本发明实施例示意的结构并不构成对电子设备100的具体限定。在本申请另一些实施例中,电子设备100可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件,软件或软件和硬件的组合实现。
处理器110可以包括一个或多个处理单元,例如:处理器110可以包括应用处理器(application processor,AP),调制解调处理器,图形处理器(graphics processingunit,GPU),图像信号处理器(image signal processor,ISP),控制器,存储器,视频编解码器,数字信号处理器(digital signal processor,DSP),基带处理器,和/或神经网络处理器(neural-network processing unit,NPU)等。其中,不同的处理单元可以是独立的器件,也可以集成在一个或多个处理器中。
其中,控制器可以是电子设备100的神经中枢和指挥中心。控制器可以根据指令操作码和时序信号,产生操作控制信号,完成取指令和执行指令的控制。
处理器110中还可以设置存储器,用于存储指令和数据。在一些实施例中,处理器110中的存储器为高速缓冲存储器。该存储器可以保存处理器110刚用过或循环使用的指令或数据。如果处理器110需要再次使用该指令或数据,可从所述存储器中直接调用。避免了重复存取,减少了处理器110的等待时间,因而提高了系统的效率。
在一些实施例中,处理器110可以包括一个或多个接口。接口可以包括集成电路(inter-integrated circuit,I2C)接口,集成电路内置音频(inter-integrated circuitsound,I2S)接口,脉冲编码调制(pulse code modulation,PCM)接口,通用异步收发传输器(universal asynchronous receiver/transmitter,UART)接口,移动产业处理器接口(mobile industry processor interface,MIPI),通用输入输出(general-purposeinput/output,GPIO)接口,用户标识模块(subscriber identity module,SIM)接口,和/或通用串行总线(universal serial bus,USB)接口等。
I2C接口是一种双向同步串行总线,包括一根串行数据线(serial data line,SDA)和一根串行时钟线(derail clock line,SCL)。在一些实施例中,处理器110可以包含多组I2C总线。处理器110可以通过不同的I2C总线接口分别耦合触摸传感器180K,充电器,闪光灯,摄像头193等。例如:处理器110可以通过I2C接口耦合触摸传感器180K,使处理器110与触摸传感器180K通过I2C总线接口通信,实现电子设备100的触摸功能。
I2S接口可以用于音频通信。在一些实施例中,处理器110可以包含多组I2S总线。处理器110可以通过I2S总线与音频模块170耦合,实现处理器110与音频模块170之间的通信。在一些实施例中,音频模块170可以通过I2S接口向无线通信模块160传递音频信号,实现通过蓝牙耳机接听电话的功能。
PCM接口也可以用于音频通信,将模拟信号抽样,量化和编码。在一些实施例中,音频模块170与无线通信模块160可以通过PCM总线接口耦合。在一些实施例中,音频模块170也可以通过PCM接口向无线通信模块160传递音频信号,实现通过蓝牙耳机接听电话的功能。所述I2S接口和所述PCM接口都可以用于音频通信。
UART接口是一种通用串行数据总线,用于异步通信。该总线可以为双向通信总线。它将要传输的数据在串行通信与并行通信之间转换。在一些实施例中,UART接口通常被用于连接处理器110与无线通信模块160。例如:处理器110通过UART接口与无线通信模块160中的蓝牙模块通信,实现蓝牙功能。在一些实施例中,音频模块170可以通过UART接口向无线通信模块160传递音频信号,实现通过蓝牙耳机播放音乐的功能。
MIPI接口可以被用于连接处理器110与显示屏194,摄像头193等外围器件。MIPI接口包括摄像头串行接口(camera serial interface,CSI),显示屏串行接口(displayserial interface,DSI)等。在一些实施例中,处理器110和摄像头193通过CSI接口通信,实现电子设备100的拍摄功能。处理器110和显示屏194通过DSI接口通信,实现电子设备100的显示功能。
GPIO接口可以通过软件配置。GPIO接口可以被配置为控制信号,也可被配置为数据信号。在一些实施例中,GPIO接口可以用于连接处理器110与摄像头193,显示屏194,无线通信模块160,音频模块170,传感器模块180等。GPIO接口还可以被配置为I2C接口,I2S接口,UART接口,MIPI接口等。
USB接口130是符合USB标准规范的接口,具体可以是Mini USB接口,Micro USB接口,USB Type C接口等。USB接口130可以用于连接充电器为电子设备100充电,也可以用于电子设备100与外围设备之间传输数据。也可以用于连接耳机,通过耳机播放音频。该接口还可以用于连接其他终端,例如AR设备等。
可以理解的是,本发明实施例示意的各模块间的接口连接关系,只是示意性说明,并不构成对电子设备100的结构限定。在本申请另一些实施例中,电子设备100也可以采用上述实施例中不同的接口连接方式,或多种接口连接方式的组合。
充电管理模块140用于从充电器接收充电输入。其中,充电器可以是无线充电器,也可以是有线充电器。在一些有线充电的实施例中,充电管理模块140可以通过USB接口130接收有线充电器的充电输入。在一些无线充电的实施例中,充电管理模块140可以通过电子设备100的无线充电线圈接收无线充电输入。充电管理模块140为电池142充电的同时,还可以通过电源管理模块141为终端供电。
电源管理模块141用于连接电池142,充电管理模块140与处理器110。电源管理模块141接收电池142和/或充电管理模块140的输入,为处理器110,内部存储器121,外部存储器,显示屏194,摄像头193,和无线通信模块160等供电。电源管理模块141还可以用于监测电池容量,电池循环次数,电池健康状态(漏电,阻抗)等参数。在其他一些实施例中,电源管理模块141也可以设置于处理器110中。在另一些实施例中,电源管理模块141和充电管理模块140也可以设置于同一个器件中。
电子设备100的无线通信功能可以通过天线1,天线2,移动通信模块150,无线通信模块160,调制解调处理器以及基带处理器等实现。
天线1和天线2用于发射和接收电磁波信号。电子设备100中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用,以提高天线的利用率。例如:可以将天线1复用为无线局域网的分集天线。在另外一些实施例中,天线可以和调谐开关结合使用。
移动通信模块150可以提供应用在电子设备100上的包括2G/3G/4G/5G等无线通信的解决方案。移动通信模块150可以包括至少一个滤波器,开关,功率放大器,低噪声放大器(low noise amplifier,LNA)等。移动通信模块150可以由天线1接收电磁波,并对接收的电磁波进行滤波,放大等处理,传送至调制解调处理器进行解调。移动通信模块150还可以对经调制解调处理器调制后的信号放大,经天线1转为电磁波辐射出去。在一些实施例中,移动通信模块150的至少部分功能模块可以被设置于处理器110中。在一些实施例中,移动通信模块150的至少部分功能模块可以与处理器110的至少部分模块被设置在同一个器件中。
调制解调处理器可以包括调制器和解调器。其中,调制器用于将待发送的低频基带信号调制成中高频信号。解调器用于将接收的电磁波信号解调为低频基带信号。随后解调器将解调得到的低频基带信号传送至基带处理器处理。低频基带信号经基带处理器处理后,被传递给应用处理器。应用处理器通过音频设备(不限于扬声器170A,受话器170B等)输出声音信号,或通过显示屏194显示图像或视频。在一些实施例中,调制解调处理器可以是独立的器件。在另一些实施例中,调制解调处理器可以独立于处理器110,与移动通信模块150或其他功能模块设置在同一个器件中。
无线通信模块160可以提供应用在电子设备100上的包括无线局域网(wirelesslocal area networks,WLAN)(如无线保真(wireless fidelity,Wi-Fi)网络),蓝牙(bluetooth,BT),全球导航卫星系统(global navigation satellite system,GNSS),调频(frequency modulation,FM),近距离无线通信技术(near field communication,NFC),红外技术(infrared,IR)等无线通信的解决方案。无线通信模块160可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块160经由天线2接收电磁波,将电磁波信号调频以及滤波处理,将处理后的信号发送到处理器110。无线通信模块160还可以从处理器110接收待发送的信号,对其进行调频,放大,经天线2转为电磁波辐射出去。
在一些实施例中,电子设备100的天线1和移动通信模块150耦合,天线2和无线通信模块160耦合,使得电子设备100可以通过无线通信技术与网络以及其他设备通信。所述无线通信技术可以包括全球移动通讯系统(global system for mobile communications,GSM),通用分组无线服务(general packet radio service,GPRS),码分多址接入(codedivision multiple access,CDMA),宽带码分多址(wideband code division multipleaccess,WCDMA),时分码分多址(time-division code division multiple access,TD-SCDMA),长期演进(long term evolution,LTE),BT,GNSS,WLAN,NFC ,FM,和/或IR技术等。所述GNSS可以包括全球卫星定位系统(global positioning system ,GPS),全球导航卫星系统(global navigation satellite system,GLONASS),北斗卫星导航系统(beidounavigation satellite system,BDS),准天顶卫星系统(quasi-zenith satellitesystem,QZSS)和/或星基增强系统(satellite based augmentation systems,SBAS)。
电子设备100通过GPU,显示屏194,以及应用处理器等实现显示功能。显示屏194用于显示图像,视频等。
电子设备100可以通过ISP,摄像头193,视频编解码器,GPU,显示屏194以及应用处理器等实现拍摄功能。
数字信号处理器用于处理数字信号,除了可以处理数字图像信号,还可以处理其他数字信号。例如,当电子设备100在频点选择时,数字信号处理器用于对频点能量进行傅里叶变换等。视频编解码器用于对数字视频压缩或解压缩。NPU为神经网络(neural-network ,NN)计算处理器,通过借鉴生物神经网络结构,例如借鉴人脑神经元之间传递模式,对输入信息快速处理,还可以不断的自学习。
外部存储器接口120可以用于连接外部存储卡,例如Micro SD卡,实现扩展电子设备100的存储能力。外部存储卡通过外部存储器接口120与处理器110通信,实现数据存储功能。例如将音乐,视频等文件保存在外部存储卡中。内部存储器121可以用于存储计算机可执行程序代码,所述可执行程序代码包括指令。
电子设备100可以通过音频模块170,扬声器170A,受话器170B,麦克风170C,耳机接口170D,以及应用处理器等实现音频功能。例如音乐播放,录音等。
压力传感器180A用于感受压力信号,可以将压力信号转换成电信号。陀螺仪传感器180B可以用于确定电子设备100的运动姿态。磁传感器180D包括霍尔传感器。电子设备100可以利用磁传感器180D检测翻盖皮套的开合。加速度传感器180E可检测电子设备100在各个方向上(一般为三轴)加速度的大小。当电子设备100静止时可检测出重力的大小及方向。还可以用于识别终端姿态,应用于横竖屏切换,计步器等应用。接近光传感器180G可以包括例如发光二极管(LED)和光检测器,例如光电二极管。发光二极管可以是红外发光二极管。电子设备100通过发光二极管向外发射红外光。环境光传感器180L用于感知环境光亮度。电子设备100可以根据感知的环境光亮度自适应调节显示屏194亮度。指纹传感器180H用于采集指纹。温度传感器180J用于检测温度。触摸传感器180K,也称“触控面板”。触摸传感器180K可以设置于显示屏194,由触摸传感器180K与显示屏194组成触摸屏,也称“触控屏”。触摸传感器180K用于检测作用于其上或附近的触摸操作。骨传导传感器180M可以获取振动信号。
此外,电子设备100还包括气压传感器180C和距离传感器180F。其中,气压传感器180C用于测量气压。在一些实施例中,电子设备100通过气压传感器180C测得的气压值计算海拔高度,辅助定位和导航。
距离传感器180F,用于测量距离。电子设备100可以通过红外或激光测量距离。在一些实施例中,拍摄场景,电子设备100可以利用距离传感器180F测距以实现快速对焦。
示例性的,电子设备100的软件系统可以采用分层架构,事件驱动架构,微核架构,微服务架构,或云架构。本发明实施例以分层架构的Android系统为例,示例性说明电子设备100的软件结构。图2是本申请实施例的电子设备100的软件结构框图。
分层架构将软件分成若干个层,每一层都有清晰的角色和分工。层与层之间通过软件接口通信。在一些实施例中,将Android系统分为四层,从上至下分别为应用程序层,应用程序框架层,安卓运行时(Android runtime)和系统库,以及内核层。
应用程序层可以包括一系列应用程序包。如图2所示,应用程序包可以包括相机,图库,日历,通话,地图,导航,WLAN,蓝牙,音乐,视频,克隆应用等应用程序。
应用程序框架层为应用程序层的应用程序提供应用编程接口(applicationprogramming interface,API)和编程框架。应用程序框架层包括一些预先定义的函数。如图2所示,应用程序框架层可以包括窗口管理器,内容提供器,视图系统,电话管理器,资源管理器,通知管理器等。
窗口管理器用于管理窗口程序。窗口管理器可以获取显示屏大小,判断是否有状态栏,锁定屏幕,截取屏幕等。
内容提供器用来存放和获取数据,并使这些数据可以被应用程序访问。所述数据可以包括视频,图像,音频,拨打和接听的电话,浏览历史和书签,电话簿等。
视图系统包括可视控件,例如显示文字的控件,显示图片的控件等。视图系统可用于构建应用程序。显示界面可以由一个或多个视图组成的。例如,包括短信通知图标的显示界面,可以包括显示文字的视图以及显示图片的视图。
电话管理器用于提供电子设备100的通信功能。例如通话状态的管理(包括接通,挂断等)。
资源管理器为应用程序提供各种资源,比如本地化字符串,图标,图片,布局文件,视频文件等等。
通知管理器使应用程序可以在状态栏中显示通知信息,可以用于传达告知类型的消息,可以短暂停留后自动消失,无需用户交互。比如通知管理器被用于告知下载完成,消息提醒等。通知管理器还可以是以图表或者滚动条文本形式出现在系统顶部状态栏的通知,例如后台运行的应用程序的通知,还可以是以对话窗口形式出现在屏幕上的通知。例如在状态栏提示文本信息,发出提示音,终端振动,指示灯闪烁等。
Android Runtime包括核心库和虚拟机。Android runtime负责安卓系统的调度和管理。
核心库包含两部分:一部分是java语言需要调用的功能函数,另一部分是安卓的核心库。
应用程序层和应用程序框架层运行在虚拟机中。虚拟机将应用程序层和应用程序框架层的java文件执行为二进制文件。虚拟机用于执行障碍物生命周期的管理,堆栈管理,线程管理,安全和异常的管理,以及垃圾回收等功能。
系统库可以包括多个功能模块。例如:表面管理器(surface manager),媒体库(Media Libraries),三维图形处理库(例如:OpenGL ES),2D图形引擎(例如:SGL)、短距Wi-Fi模块等。
表面管理器用于对显示子系统进行管理,并且为多个应用程序提供了2D和3D图层的融合。
媒体库支持多种常用的音频,视频格式回放和录制,以及静态图像文件等。媒体库可以支持多种音视频编码格式,例如: MPEG4,H.264,MP3,AAC,AMR,JPG,PNG等。
三维图形处理库用于实现三维图形绘图,图像渲染,合成,和图层处理等。
2D图形引擎是2D绘图的绘图引擎。
短距Wi-Fi模块用于在Wi-Fi信道上建立热点,如在2.4G信道或者5G信道上建立Wi-Fi热点。
内核层是硬件和软件之间的层。内核层至少包含显示驱动,摄像头驱动,音频驱动,传感器驱动。
本申请实施例提供的基于请求行为进行异常分析的方法可以应用于用户通过电商平台进行购物的应用场景下,尤其可以应用于用户通过电商平台进行限时抢购、领取优惠券等优惠活动的购物场景中。以下以电子设备是手机为例,结合一种示例性的应用场景,对本申请实施例提供的基于请求行为进行异常分析的过程进行介绍。
示例性的,如图3A至图3C所示,为本申请实施例提供的一些基于请求行为进行异常分析过程中涉及的图形用户界面(graphical user interface,GUI)的示意图。
在一些实施例中,手机可以安装有至少一个购物应用(application,App),如淘宝App、京东App、拼多多App、美团App等。为了吸引客户,增加用户黏性,商家或者电商平台会向消费者推出多种多样的优惠活动。
示例性的,以整点秒杀优惠活动为例,图3A示出一种可能的优惠商品抢购界面的示意图。当用户通过购物App对图3A所示的某一优惠商品进行下单时,可以在规定的抢购时间针对对应商品下方的“点击购买”图标输入点击操作301。当手机检测到该点击操作301时,可以响应于该操作跳转至如图3B所示的下单界面,用户可以针对下单界面显示的提交订单图标输入点击操作302,也即执行下单行为。在该过程中,用于抢购商品的请求行为可以触发手机利用异常请求行为分析模型对用户请求行为进行分析。应理解,这里的请求行为可以指请求购买商品的行为,例如可以是在手机上输入的下单操作行为(如包括针对图3A 所示的“点击抢购”图标的点击操作301,或者针对图3B所示的“提交订单”图标的点击操作302)。针对请求行为的分析主要用于确定该请求行为是否为消费者的正常购买行为,其目的是为了避免黄牛批量抢购、薅羊毛、刷单等恶意购买行为的发生。
在一些实施例中,如果利用异常请求分析模型分析的结果指示该请求行为是异常请求行为(如黄牛通过虚假账号进行批量下单的行为),接下来手机可以对该异常请求行为进行拦截。拦截之后,手机可以显示下单失败的提示信息。例如,此时手机例如可以显示如图3C所示的“商品无法购买,下单失败!”等提示信息。当确定请求行为异常时,及时阻拦该异常请求行为,能够避免不法分子的恶意购买行为,保障商家和正常消费者的权益。
在一些实施例中,如果利用异常请求分析模型分析得出的分析结果指示该请求行为是异常请求行为,接下来还可以对该异常请求行为对应的长周期标签信息和动态指标信息(比如发起该请求行为的电子设备的类型、该请求行为对应的收货信息、该请求行为之前用户对购物App界面输入的行为序列等等)进行处理(如降维处理),获取本次异常请求行为对应的低维特征数据,并将这些特征数据更新至静态风险模型和/或动态威胁模型,以便利用这些特征数据对后续的请求行为进行异常分析。
应理解,上述图3A至图3C所示的应用场景以及示出的手机GUI界面仅为示例。在实际应用中,电子设备还可以利用本申请实施例提供的异常请求行为分析模型对其他类型的请求行为进行分析,如领取优惠券的请求行为等,本申请实施例对此不作限定。
为了更好地理解本申请实施例提供的基于请求行为进行异常分析的方法,以下结合附图对本申请实施例提供的异常请求行为分析模型的训练和运行过程进行介绍。
示例性的,如图4所示,为本申请实施例提供的一种用于基于请求行为异常分析的异常请求行为分析模型的示意性结构图。
请求行为异常分析模型可以包括实时规则模型和风控综合模型,其中,实时规则模型包括用于进行异常请求行为识别的静态风险模型、动态威胁模型和基于odds规则模型。
在一些实施例中,静态风险模型可以包括基于用户长周期标签和动态指标分析获取的异常请求行为对应的特征数据。动态威胁模型可以包括基于用户动态指标分析获取的异常请求行为对应的特征数据。示例性的,长周期标签可以指在较长时间内与用户身份对应的固定的静态特征数据,比如包括:购物账号、实名认证的历史用户基础信息、用户购物常用的电子设备的型号、用户收货的手机号等。动态指标可以指在较短时间内与用户身份对应的动态特征数据,动态指标可能会随时间发生一定变化,或者在每次操作过程中,动态指标并不完全相同,比如动态指标可以包括:用户通过购物App输入的行为序列、短周期内选购的商品的类型、购买的某种商品的数量或频次等等。长周期标签和动态指标分别对应的时长,以及长周期标签和动态指标分别对应的具体标签/指标类型可以根据经验或者需要灵活设置,本申请对此不做限定。在本申请提供的一些实施例中,也可以将长周期标签描述为静态标签或者标签,将动态指标描述为动态指标或者指标。
为了便于区分,本申请实施例将静态风险模型中用于分析异常请求行为的特征数据定义为第一特征数据,将动态威胁模型中用于分析异常请求行为的特征数据定义为第二特征数据,第一特征数据和第二特征数据可以分别多个维度的标签或多个维度的指标,比如第一特征数据可以包括异常请求行为对应的电子设备的类型、购物账号、用户收货的手机号等,第二特征数据可以包括异常请求行为对应的用户针对购物App界面输入的行为序列、短周期内针对限购商品的下单次数等等。本申请实施例中的第一特征数据和第二特征数据可以根据需要灵活设置,不做具体限定。
以下结合图5A和图5B对获取静态风险模型和动态威胁模型中特征数据的具体方式进行介绍。
基于静态标签和动态指标分析获取静态风险模型中的第一特征数据的方式可以包括:根据静态标签和动态指标分析是否存在预设的符合异常请求行为的特征,提取其中符合异常请求行为的特征作为第一特征数据。基于动态指标分析获取动态威胁模型中的第二特征数据的方式可以包括:根据动态指标分析是否存在预设的异常的行为序列、关键行为关键步骤的缺失(如前置行为的缺失)或者群体聚集行为(维度聚集),若存在,从动态指标中提取第二特征数据。
如图5A所示,静态风险模型中第一特征数据的获取方式可以包括:(1)对静态标签和动态指标进行分析,获得异常请求行为对应的第一特征数据;(2)同步第三方静态风险模型中异常请求行为对应的第一特征数据。
示例性的,上述方式(1)可以包括:预设异常请求行为,如将对某一商品重复下单次数大于第一阈值的购买行为定义为异常请求行为,或者,当不同购物账号对某一限购商品下单后的收货地址均为同一地址时,将通过这些购物账号的购买行为定义为异常请求行为等;获取用户在一定历史时长内经由购物App下单的历史用户基础信息和历史用户行为信息;从历史用户基础信息中提取异常请求行为所对应的静态标签(如购物账号、收货人的手机号、电子设备的标识等),以及从历史用户行为信息中提取异常请求行为所对应的动态指标,并将这些静态标签和动态指标作为异常请求行为对应的第一特征数据存储至静态风险模型。
示例性的,上述方式(2)可以包括:第三方静态风险模型可以包括人为提取的特征数据,然后将该第三方静态风险模型中的特征数据同步至静态风险模型;或者,该第三方静态风险模型还可以包括在其他场景下分析获得的异常行为对应的特征数据,比如在游戏场景下,检测到使用外挂的行为时,可以将该行为对应的特征数据存储至游戏场景下的静态风险模型;然后,将该其他场景(如游戏场景)中已有的特征数据同步至本申请实施例中的静态风险模型中。
在实际应用中,还可以通过其他方式获取静态风险模型中的第一特征数据,比如在分布式场景中,不同电子设备可以将本地检测到的异常请求行为对应的特征数据上报至云服务器,云服务器对不同电子设备上报的特征数据进行汇总,然后将汇总后的特征数据同步至各电子设备中的静态风险模型,从而使该静态风险模型中的特征数据更加全面。本申请实施例对获取静态风险模型中的特征数据的方式不作限定。
如图5B所示,动态威胁模型中第二特征数据的获取方式可以包括:对动态指标进行多维分析,获取异常请求行为对应的第二特征数据,其中,对动态指标进行的多维分析例如可以包括基于动态指标进行异常行为序列(时间频次)检测、关键行为/关键步骤(前置行为)缺失检测或群体聚集(维度聚集)行为检测。
其中,异常行为序列可以指时间频次上的异常,比如用户在短时间内对非快消类型的商品进行明显不符合正常购物的高频次下单,那么该下单行为属于时间频次上的异常行为序列。这里所说的不符合正常购物的高频次具体数值(或其他类型的用于判断行为异常的特征数值)可以根据经验或者需要灵活设置,本申请对此不作限定。
关键行为/关键步骤缺失可以指用户在购买商品时,在购物App输入的操作的序列明显不符合正常购物过程中用户输入操作的顺序,缺失必要的购物操作步骤。举例来说,在正常情形下,用户通过购物App下单时,一般会在多个页面上进行操作,最终实现下单,比如用户正常购买商品时,会按照以下行为序列输入操作:打开购物App-在App主界面搜索需要购买的商品-切换不同商品展示界面,比较同类型商品-选择目标商品-加入购物车-提交订单-完成支付。而在异常情形下,不法抢购者可以利用软件工具直接使购物App跳转至目标商品的下单界面,而无中间的商品搜索、商品比较和商品选择的关键行为或者步骤,此时对应的行为序列可能为:打开购物App-提交订单-完成支付,该行为序列属于缺失关键行为或关键步骤的异常行为序列。
本申请实施例中的异常行为序列可以根据经验或者实际需要预设,或者也可以在利用其它方式确定异常请求行为后,对异常请求行为对应的行为序列进行分析学习获得。
聚集行为可以指限购商品被多次或多账号抢购,对应的收货信息(如收货地址、收货人、收货手机号等)相同,致使商品流向聚集到相同收货人的行为。比如,一些优惠活动限制一个账号标识(identification,ID)抢购一件商品,正常情形下,被抢购到的每个商品通常会对应不同的收货信息(如收货人、收货地址、收货人手机号等),而在异常情形下,多个不同购物账号抢购的多个商品可能对应相同的收货信息,此时则可能发生商品聚集行为。
在一些实施例中,对动态指标进行分析,获取动态威胁模型中用于识别异常请求行为对应的第二特征数据的过程可以包括:对短周期(如一周、一个月)内的历史用户基础信息或历史用户行为信息进行分析,检测这些信息是否包括预设的异常请求行为对应的特征,也即根据这些信息检测用户购物过程中是否存在异常行为序列,或者根据这些信息检测用户购物过程中是否存在关键行为关键步骤缺失,或者根据这些信息检测用户购物过程中是否存在聚集行为;如果存在异常请求行为,根据历史用户基础信息或历史用户行为信息提取异常请求行为对应的动态指标,将该动态指标用于后续识别异常请求行为的第二特征数据,并将该第二特征数据存储至动态威胁模型。
除了上述介绍的静态风险模型和动态威胁模型,实时规则引擎还可以根据基于odds规则模型中的规则对请求行为进行分析。其中,该基于odds规则模型包括的特征数据(不同标签维度下各个标签对应的异常影响几率),以及分析请求行为的实现原理将在下文进行介绍,此处暂不赘述。
本申请实施例中的异常请求行为分析模型还包括风控综合模型,以下结合图6对风控综合模型的训练过程进行介绍。
如图6所示,为本申请实施例提供的一种风控综合模型训练过程的示意图。
在一些实施例中,训练风控综合模型的过程可以包括:采集用户历史基础信息和历史用户行为信息,根据历史用户基础信息和历史用户行为信息清洗提取各标签维度下的标签特征,此时获取的标签为高维标签特征;利用随机森林算法对各标签维度下的标签特征进行特征选择,获得对高维特征降维后的单一维度多特征子模型,该单一维度多特征子模型包括重要性较高的重要标签特征。示例性的,单一维度多特征子模型例如包括如图6所示的账号重要标签特征、交易重要标签特征、活动重要标签特征、电商重要标签特征等。之后,将各标签维度下的重要标签特征作为特征样本,利用解释性强的逻辑回归算法对不同维度标签下的特征样本进行并行训练,获取多维度的风控综合模型。
采集历史用户基础信息和历史用户行为信息的方式可以有多种,例如可以通过代码埋点技术或者可视化埋点技术等,本申请实施例对此不作限定。示例性的,历史用户基础信息例如可以包括:用户的标识信息(如用户实名认证的姓名、性别、身份证号、学历、户籍所在地、毕业院校等)、用户常用电子设备的信息(如手机号、手机型号等)、常用的购物信息(如购物账号、收货地址、收货人的手机号、购物账号注册时间等)等。历史用户行为信息例如可以包括:用户常用的购物操作行为序列、用户购买某商品的时间频次、用户单次购买某商品的数量等等。
在一些实施例中,根据历史用户基础信息和历史用户行为信息清洗提取标签的方式可以包括:根据历史用户基础信息的具体内容提取不同标签维度下的标签,也即将历史用户基础信息包含的信息分别归类至对应的标签下,如历史用户基础信息中的用户购物账号可以被归类为账号标签维度、历史用户基础信息中的购买记录可以被归类为交易标签维度、用户通过购物App输入的行为序列可以被归类为活动标签维度、用户购物所适用的购物App类型可以被归类为电商标签维度、用户本次购物的指标信息可以被归类为实时指标维度等。
同一标签维度下的信息可以细分为不同标签,比如在账号标签维度下,用户账号还可以具体注册时间对应的标签、账号注册地区对应的标签等等,在不同业务场景下,不同标签对应的重要性不同。
具体地,根据历史用户基础信息和历史用户行为信息提取不同标签维度下的标签的过程可以包括:(1)当实施规则建立之后,将来源于实时规则模型识别的样本作为初始的人机识别标签样本,也即通过实时规则库的识别获取最初的正负样本D0;(2)对该最初的正负样本进行修正,其中,修正的方式可以依赖于样本对应的验证结果(如若某特征对应有验证码验证和/或短信验证的上报结果,那么该样本就是准确的样本,否则为不准确的样本),通过规则已经初步得到了正负样本,初步的正负样本会出现样本判断有误的情况,因而通过验证码验证和短信验证的结果对最初的结果修正,通过验证后上报结果得到的正负样本更为精确;(3)基于修正结果,更新得到准确的正负样本;(4)获取修正后的正负样本的各类标签数据(如图6所示的单维多特征)。
需要说明的是,各标签维度的类型可以预先设置。比如,标签维度的类型可以包括如图6所示的账号标签、交易标签、活动标签、设备标签、电商标签等等。除了提取不同标签维度下的标签之外,还可以基于类似的方式提取不同维度下的指标,这里的指标可以视为在短周期内动态变化的特征(非静态数据),比如,指标的类型可以包括针对购物App输入操作对应的行为序列、购买某商品的时间频次和单次购买某商品类型和数量等等。
在一些实施例中,当获取各个维度下的标签和指标之后,利用随机森立算法对这些标签特征进行特征选择,也即对不同维度下的标签进行降维,获取各标签下重要性较高的标签作为有效特征。其中,对单维多特征降维后获取的有效特征可以作为实施规则模型的输入,也可以作为风控综合模型的输入样本。
可选地,在实际应用中,根据不同维度下标签的数量的差异,可以选择利用随机森林算法结合其他方式对单一维度多特征进行降维。比如,预先设置标签维度下标签数量对应的阈值(比如10),当某一标签维度下的标签数量小于该阈值时,选择采用评分方式进行降维,而当另一标签维度下的标签数量大于或等于该阈值时,选择利用随机森林算法对其进行降维。作为一个示例,例如账号标签维度下的标签数量小于10,而活动维度标签下的标签数量大于10,那么在对单一维度多特征进行降维时,针对账号标签维度,会利用预设的评分规则对其标签进行打分,然后根据打分结果选出其中重要的购物账号标签,对账号维度的特征实现降维;而针对活动维度标签,则会利用随机森林算法对该标签维度下的标签进行降维,获取重要的标签数据。其中,利用随机森林算法进行降维的具体原理将在下文进行介绍,此处暂不详述。
由于在特征数量少时,通过计算较为简单的评分方式即可保证降维后有效特征的准确性,因而通过结合评分方式和随机森林算法对不同特征数量的维度标签分别进行特征降维,能够在保证获取有效特征准确性的基础上,降低计算资源和硬件性能的消耗。
在一些实施例中,当获取各标签维度下的有效特征之后,将这些有效特征作为输入的特征样本训练获取多个标签维度对应的多个子模型(也即基学习器),并对基学习器进行验证和测试,获取多维子模型,如人机模型、信誉模型、群体模型。各个标签维度对应的子模型可以存储至模型库。之后,利用逻辑回归算法对多维子模型进行整合获取风控综合模型。其中,根据有效特征对基学习器进行训练、验证和测试的具体过程可以详见下文图9实施例中的介绍,此处暂不详述。
在一些实施例中,对标签维度下的标签特征进行特征选择之后获取的重要标签特征也可以存储至实时规则模型,用于该实时规则模型包括的静态风险模型和/或动态威胁模型判断异常请求行为的依据。
根据本申请实施例提供的基于请求行为进行异常分析的方法,通过对不同标签维度下的标签进行特征降维,并利用解释性高的逻辑回归方式对降维后的有效特征分别训练获取不同场景下的子模型,最终获取包括子模型的风控综合模型,该训练过程通过对高维特征降维,能够降低训练特征的数量,提升模型训练和运行的性能,并且逻辑回归训练方式支持并行训练,能够实现对模型的快速发布,增强模型的解释性。
以下结合图7和图8对本申请实施例中利用异常请求行为分析模型对请求行为进行分析的过程进行介绍。
示例性的,如图7所示,为本申请实施例提供的另一种异常请求行为分析模型的示意性结构图。
异常请求行为分析模型可以包括规则引擎和模型库,其中,规则引擎可以包括静态风险模型中的第一特征数据和动态威胁模型中的第二特征数据,还可以包括基于odds规则模型。模型库可以包括风控综合模型中的多维模型,包括人机模型、信誉模型和群体模型等等。
在一些实施例中,规则引擎还可以包括对各标签维度下的单维多特征进行特征选择之后获取的各标签维度下低维的重要标签特征,如账号重要标签、交易重要标签、活动重要标签、电商重要标签等。
如图8所示,为本申请实施例提供的一种基于请求行为进行异常分析的方法的示意性流程图。
需要说明的是,针对不同的业务场景的特点和购物合规性要求等级,可以针对不同业务场景预先配置不同的请求行为异常识别规则。示例性的,本申请实施例提供的一些不同业务场景下预先配置的异常请求行为识别规则可以如表1所示:
表1
Figure 601391DEST_PATH_IMAGE001
/>
具体来说,对异常请求行为识别或异常请求行为拦截响应速度要求较低的业务场景(也即上表1中的业务场景1),可以配置通过静态风险模型、动态威胁模型、风控综合模型等多重规则进行异常请求行为的识别判断。对于某些限制较少的业务场景(如商品数量多,不涉及抢购,或者不涉及优惠等场景)(也即上表1的业务场景2),可以配置较少识别异常请求行为的规则,以简化异常请求行为识别的过程,如不配置风控综合模型和基于odds规则模型,仅通过静态风险模型和/或动态威胁模型对该业务场景下的请求行为进行异常识别。对购物合规性限制较多的业务场景(如涉及较大的优惠幅度或者商品稀缺等场景)(也即上表1中的业务场景3),可以配置多重识别异常请求行为的规则,严格保证购物行为的合规性,如可以配置通过静态风险模型、动态威胁模型、基于odds规则模型、风控综合模型等多重规则对请求行为进行异常识别。
需要说明的是,上表1示出的不同业务特点或购物合规性要求等级,以及不同业务场景对应的具体识别规则仅为示例。在实际应用中,可以根据经验或者需求设置不同业务场景对应的异常请求行为识别规则,本申请实施例对此不作限定。
在一些实施例中,当基于本申请实施例提供的异常请求行为分析模型对请求行为进行分析时,首先接收输入的请求行为(如图8所示的商城业务请求行为),该请求行为可以包括对应的业务场景信息。根据业务场景信息可以确定对应的异常请求行为识别的规则。
作为一个示例,实时规则引擎可以首先基于静态风险模型的第一特征数据对该请求行为进行异常识别。其中,静态风险模型所包括的第一特征数据可以通过对静态标签和动态指标离线分析后获取,或者可以同步第三方风险库获取。
示例性的,基于静态风险模型的第一特征数据对该请求行为进行异常识别的过程可以包括:将本次请求行为对应的特征和静态风险模型存储的异常请求行为对应的第一特征数据进行匹配和比对,检测本次请求行为的特征与异常请求行为的特征的匹配程度,获取对应的第一风险值。其中,这里所说的请求行为对应的特征可以包括标签和/或指标。
可选地,当获取第一风险值之后,实时规则引擎还可以根据预设的规则判断该第一风险值是否满足异常请求行为对应的预设结果。如果满足,说明通过静态风险模型的判断即可确认本次请求行为是异常请求行为,则后续无需执行基于动态威胁模型和风控综合模型识别异常请求行为的过程。如果不满足,说明仅通过静态风险模型无法确定该请求行为是异常请求行为,那么后续需要根据动态威胁模型的第二特征数据(或动态威胁模型的第二特征数据和风控综合模型)对本次请求行为进行进一步异常检测。
之后,实时规则引擎根据动态威胁模型的第二特征数据对本次请求行为进行进一步异常识别。其中,动态威胁模型包括的第二特征数据可以是通过对动态指标多维分析(包括异常行为序列检测分析、聚集行为检测分析等)获取的,用于识别异常请求行为。
示例性的,基于动态威胁模型的第二特征数据对该请求行为进行异常检测的过程可以包括:将本次请求行为对应的特征与动态威胁模型存储的异常请求行为对应的第二特征数据进行匹配和对比,检测本次请求行为的特征与异常请求行为的特征的匹配程度,获取对应的第二风险值。其中,这里所说的请求行为对应的特征可以包括标签和/或指标。
可选地,实时规则引擎可以根据预设的规则判断该第二风险值是否满足异常请求行为对应的预设结果。如果满足,说明通过动态威胁模型的判断即可确认本次请求行为是异常请求行为,那么后续无需执行基于风控综合模型识别异常请求行为的过程。如果不满足,说明仅通过动态威胁模型无法确定该请求行为是异常请求行为,那么后续需要根据风控综合模型对本次请求行为进行进一步异常检测。
需要说明的是,在不同业务场景下,第一预设权重和第二预设权重可以设置为不同的值。这是因为在不同的业务场景下,利用静态风险模型进行异常识别和利用动态威胁模型进行异常识别的重要程度不同,而通过对第一风险值和第二风险值配置不同的预设权重,可以使静态风险模型和动态威胁模型的分析对异常识别贡献不同的重要性。举例来说,比如,在一些对异常请求行为响应速度要求较高的场景(如限时秒杀场景)中,需要及时识别异常请求行为才能有效阻拦恶意抢购,为了加快对异常请求行为识别的速度,可以将静态风险模型的异常检测规则设置的更加严密,也可以将静态风险模型的异常请求行为识别结果设置更高的权重,尽量使得经过静态风险模型的规则分析就得以确定请求行为是否异常,进而得以快速阻拦该异常请求行为。又比如,在一些异常请求行为隐藏较深的场景下,仅通过静态风险模型的异常识别规则可能无法识别出请求行为异常,此时还需要结合动态威胁模型的识别结果,这时可以设置使得静态风险模型的识别结果和动态威胁模型的识别结果对输出的异常识别结果做出权重相当的贡献,如将第一风险值对应的第一预设权重和第二风险值对应的第二预设权重均设置为0.5。
还需要说明的是,在一些可能的情形下,当获取用户本次输入的请求行为之后,也可以先根据动态威胁模型中的第二特征数据对本次请求行为是否异常进行检测,若检测的结果无法指示该请求行为是异常请求行为,之后通过静态风险模型对该请求行为进行进一步识别。也就是说,在本申请实施例中,先根据静态风险模型进行异常行为识别还是先根据动态威胁模型进行异常行为识别的顺序不作限定。
实时规则引擎可以根据第一风险值和第二风险值获取初步风控等级结果。示例性的,实时规则可以按照预设方式,对第一风险值赋第一预设权重,对第二风险值赋第二预设权重,之后根据第一风险值、第二风险值和各自对应的预设权重计算第一异常识别结果。
可选地,实时规则引擎可以根据预设的规则判断该初步风控等级结果是否满足异常请求行为对应的预设结果。如果满足,说明通过静态风险模型和动态威胁模型的判断即可确认本次请求行为是异常请求行为,那么后续无需执行基于风控综合模型识别异常请求行为的过程。如果不满足,说明仅通过静态风险模型和动态威胁模型无法确定该请求行为是异常请求行为,那么后续需要根据风控综合模型对本次请求行为进行进一步异常检测。
在一种可能的实现方式中,当根据静态风险模型和/或动态威胁模型的异常检测之后,确定本次请求行为是异常请求行为时,可以对该异常请求行为进行拦截。当根据静态风险模型和/或动态威胁模型的异常检测之后,未确定本次请求行为是异常请求行为时,那么接下来可以继续结合风控综合模型对本次请求行为进行进一步判断,以提高对异常请求行为分析的准确性。
风控综合模型包括离线多维子模型(如人机模型、信誉模型、群体模型等)。其中,多维子模型的训练样本可以为对历史用户基础信息和历史用户行为信息进行验证识别以及修正后获得的正负样本。该多维子模型的训练过程可以参见图9实施例中的介绍,此处暂不赘述。
在一些实施例中,根据风控综合模型对请求行为进行分析识别的过程可以包括:将本次请求行为对应的各维度标签和指标作为特征样本输入该风控综合模型;风控综合模型中的多维模型对各维度标签下的特征进行并行检测,输出本次请求行为对应的第二异常识别结果。
可选地,当根据风控综合模型无法确定请求行为是否异常请求行为,可以将人为识别的异常请求行为对应的特征,通过计算odds指标,快速得到异常请求行为的特征,针对异常特征更新基于odds规则模型中的规则,后续根据该规则库对其他请求行为进行异常检测。
在一些实施例中,实时规则引擎识别异常请求行为过程中所依据的实时规则在该异常请求行为分析模型运行过程中被实时监控和调整。实时引擎所依据的异常请求行为识别规则可以根据需要灵活设置,本申请实施例对此不作限定。
实施规则引擎根据被实时监控和调整的实时规则,获取静态风险模型、动态威胁模型和风控综合模型中的分析结果,并输出最终异常识别结果。
根据本申请实施例提供的基于请求行为进行异常分析的方法,通过利用随机森林算法对单维多特征进行降维获取低维特征,能够降低训练模型特征的数量,避免由于特征数量过多导致的过拟合,减少模型的泛化误差和硬件资源的损失、模型开发成本和训练时间,提升模型训练和运行的性能;通过利用逻辑回归算法对多维子模型进行集成学习获取风控综合模型,能够使得维度特征值与识别结果强相关,可解释性强,便于快速发现导致异常请求行为问题的特征,做出快速响应。通过本申请实施例提供的基于请求行为进行异常分析的方法,通过对与异常请求行为关联度大的特征规则进行部署拦截,能够准确快速地嗅探黑厂黄牛等的异常请求行为,阻拦恶意抢购行为,保障商家和正常消费者的权益,提升用户体验。
为了更好地理解本申请实施例提供的基于请求行为进行异常分析的方法,以下对风控综合模型训练的过程进行介绍。首先,对利用随机森林对单维多标签或指标进行降维,获取低维特征训练样本的过程进行介绍。
随机森林是以决策树为基学习器的集成学习bagging类方法的一种,也是最早的集成学习算法之一。随机森林的基本原理是从初始数据集中有放回地采样,获得若干个子集,基于每个子集训练出不同的基分类器,再通过基分类器的投票获得最终的分类结果。随机森林采用自助采样法(bootstrap)获取初始数据集的子集。其中,自助采样法通过给定一个包含m个样本的数据集D,对该数据集D采样产生数据集D’,具体的采样过程包括:每次随机从D中挑选出一个样本,将其拷贝放入D’,然后再将该样本放回初始数据集D,使得该样本在下次采样时仍有可能被采集到;前述采样过程重复m次之后,获得包含m个样本的数据集D’,这也就是自助采样的结果。
基于自助采样法的随机森林的构建过程可以包括:(1)利用boorstraping方法从初始训练集中随机有放回地采样选出m个样本,共进行n次采样,生成n个训练集;(2)对于n个训练集,分别训练n个决策树模型;(3)对于单个决策树模型,每次分裂时根据基尼指数(或信息增益或信息增益比)选择最好的特征进行分裂;(4)每棵决策树按照相同的方式分裂,直到该节点的所有训练样本都属于同一类;(5)将生成的多棵决策树组成随机森林。对于分类问题,按多棵决策树分类器投票决定最终分类结果。
在本申请实施例中,单维度的标签下的特征的重要性用基尼指数(Gini index)作为评价指标来衡量。具体来说,单维度标签特征和指标的重要性用变量重要性评分(variable importance measures,VIM)来表示,将基尼指数用GI来表示,假设有m个特征(X1,X2,X3,……,Xm),计算每个特征Xj(j=1,2,……,m)的Gini指数评分
Figure 456215DEST_PATH_IMAGE002
,也即第j个特征在随机森林所有决策树中节点分裂不纯度的平均改变量。
在一些实施例中,基尼指数的计算公式可以通过以下公式(1-1)计算:
Figure 406591DEST_PATH_IMAGE003
其中,K表示类别数量;pmk表示节点m中类型K所占的比例。
标签特征Xj在节点m的重要性,也即节点m分枝前后的Gini指数变化量可以通过以下公式(1-2)计算:
Figure 706860DEST_PATH_IMAGE004
其中,
Figure 724494DEST_PATH_IMAGE005
表示标签特征Xj在节点m的重要性;GIm表示基尼指数;GIl和GIr分别表示分枝后两个新节点的Gini指数。
标签特征Xj在决策树i中出现的节点为集合M,那么标签特征Xj在第i棵树的重要性可以通过以下公式(1-3)计算:
Figure 750219DEST_PATH_IMAGE006
其中,
Figure 220515DEST_PATH_IMAGE007
表示标签特征Xj在第i棵树的重要性;/>
Figure 888257DEST_PATH_IMAGE008
表示标签特征Xj在节点m的重要性。
如果构造的随机森林有N棵树,那么特征Xj在随机森林的重要性可以通过以下公式(1-4)计算:
Figure 495536DEST_PATH_IMAGE009
其中,
Figure 692162DEST_PATH_IMAGE010
表示标签特征Xj在随机森林的重要性;/>
Figure 915333DEST_PATH_IMAGE011
表示标签特征Xj在第i棵树的重要性。
经过归一化处理,得到标签特征Xj重要度的计算公式(1-5):
Figure 855607DEST_PATH_IMAGE012
按照上述方法可以获取各维度标签特征对应的重要性,然后根据重要性选取有效特征,获取各标签维度下的重要标签特征和/或重要指标。
之后,利用逻辑回归算法根据有效特征训练获取风控综合模型。该过程可以包括:利用逻辑回归算法对各个标签维度下的重要标签特征和/或重要指标进行并行训练,获得对应的多个基学习器,对多个基学习器整合之后即可获取风控综合模型。
需要说明的是,逻辑回归是线性回归由回归向分类的衍生,而线性回归天然具备高解释性,因而逻辑回归具备高解释性,通过逻辑回归集成学习后获取的风控综合模型也具备高解释性。
示例性的,通过逻辑回归算法获取风控综合模型过程涉及的具体公式可以包括:多维综合模型和激活函数选择sigmod函数,模型可以定义为公式(1-6):
Figure 752893DEST_PATH_IMAGE013
其中,P表示事件发生的概率;Y=1表示异常请求行为;βi表示第i维模型对应系数,i=0,1,……,p;xi表示第i维样本(不同标签下的特征值);p为不同标签维度的数量。
同时,结合风控领域几率(odds)指标,在异常请求行为识别场景下,泛化后得到公式(1-7):
Figure 386000DEST_PATH_IMAGE014
其中,
Figure 96467DEST_PATH_IMAGE015
通过以下公式(1-8)计算获得:
Figure 840432DEST_PATH_IMAGE016
也即可以根据公式(1-8)对多维模型进行并行训练,获取风控综合模型。通过比较
Figure 687165DEST_PATH_IMAGE015
与预设的阈值范围,可以确定本次请求行为是否为异常请求行为,其中,若/>
Figure 989709DEST_PATH_IMAGE017
的值属于预设的异常请求行为对应阈值范围,则可以确定本次请求行为为异常请求行为;若
Figure 921892DEST_PATH_IMAGE018
的值不属于预设的异常请求行为对应阈值范围,则可以确定本次请求行为不为异常请求行为。
在一些实施例中,对于异常分析模型输入的不是异常请求行为识别结果的场景,如果后续通过人工或其他方式识别到该请求行为是异常请求行为,还可以通过下述公式(1-9)和(1-10)分析本次请求行为的各标签维度下的各标签特征对异常分析结果的影响:
其中,某一个标签下的某个特征值增大一个预设单位时,对于模型得出的异常分析结果的影响可以通过以下公式(1-9)计算获得:
Figure 469548DEST_PATH_IMAGE019
其中,odds表示模型运行过程中所处理的历史数据对应的异常几率;oddsxi+1:本次请求行为中某个标签维度下的某个标签特征增大一个预设单位对应的异常几率。
Figure 170788DEST_PATH_IMAGE020
越大,表示该标签维度下的该标签特征值对请求行为的异常影响越大。
对上述公式(1-9)进行简化,得到公式(1-10):
Figure 660544DEST_PATH_IMAGE021
通过上述公式(1-9)和公式(1-10)得出的对造成异常请求行为有影响的标签特征,可以更新至基于odds规则模型中,以便后续可以利用该基于odds规则模型对请求行为进行更加准确地异常识别。
需要说明的是,整体异常请求行为分析模型具有高性能,其高性能主要来源于标签特征选择和模型选择。具体体现在以下两个方面:(1)运行期的高性能。具体表现为:如果用户存在历史行为,静态风险模型和动态威胁模型包括用于识别用户异常请求行为的特征数据,那么最优的情况可以是,仅基于静态风险模型和/或动态威胁模型结合规则引擎,就能立刻识别异常请求行为,此时异常请求行为分析模型运行的复杂度最低,复杂度能够达到最理想的o(1);如果仅基于静态风险模型和动态威胁模型未能识别异常请求行为,那么可以继续基于逻辑回归模型(风控综合模型)对请求行为进行异常识别,此时,逻辑回归的复杂度(O(n*k+k))(k为特征维度,n为样本数量)仍比深度神经网络(deep neuralnetworks,DNN)、卷积神经网络(convolutional neural networks,CNN)的复杂度(
Figure 548866DEST_PATH_IMAGE022
)(其中,M为每个卷积核输出特征图的边长;K为每个卷积核的边长;D为神经网络所具有的卷积层数,即网络的深度;l为神经网络第1个卷积层;C l 为神经网络第l个卷积层的输出通道数,即该层的卷积核个数)更低。(2)训练期的高性能。具体表现为:(a)单位多特征降维后特征数量减少,降低了训练特征的数量,有利于减少硬件消耗;(b)逻辑回归本身支持并行训练,通过对多维模型进行并行训练能够快速发布风控综合模型。
示例性的,如图9所示,为本申请实施例提供的一种多维模型建模的示意性流程图。
结合图8实施例介绍的过程,在对单维度多特征进行降维之后,获得包括重要标签特征和重要指标(以下仅以标签为例)的原始数据集。之后,按照预设比例将原始数据集分为训练集L、验证集U和测试集T,比如假设原始数据集共有100组数据,每组数据包括10个特征,如果按照7:2:1的预设比例划分,则训练集L包括70组数据,验证集U包括20组数据,测试集T包括10组数据。
之后,利用训练集L中的样本数据(也即重要标签特征,或称正负样本)进行分类器训练。具体地,该训练过程可以包括:将训练集L作为原始特征空间,从中随机抽取N个特征子集,假设N=10,也即从包括70组数据的L中抽取10个特征子集,那么每个子集包括7个组的数据。相应地,还可以在训练集L中提取特征子集中样本数据分别对应的类别标签(如账单标签、电商标签等),并且将该类别标签与样本数据整合,构建包括样本数据及其标签的N个训练子集。
然后,对每个训练子集分别训练对应的分类器,得到N个基本的分类器hi1(i=1,2,……,N)。其中,每一个分类器hi1的训练结果可以通过其他训练子集对应的分类器组合Hi1(Hi1为除了当前分类器hi1之外的其它集成学习分类器组合,比如当前基于第1个训练子集训练分类器h11,那么Hi1可以是包括h21至hN1集成学习分类器的组合)进行调整。通过对N个训练子集进行训练获取的N个基本分类器,其对应的模型状态为Lu=ψ,该模型状态也可以称为基于N个训练子集获取的且包括N个基本分类器的初始模型,用于表示请求行为的类型(也即请求行为是否是黄牛行为等异常行为)与特征之间的对应的关系,Lu可以表示行为类别(异常请求行为或正常请求行为),ψ可以包括与行为类别关联的标签特征(如行为序列、收货信息等)。
之后,通过验证集U中的样本对Lu进行验证,这里继续假设验证集U中包括20组样本数据。具体地,该验证过程可以包括:通过Hi中的分类器对验证集U中的样本进行分类识别,并对通过初始模型中分类器识别的类型与验证样本的实际类型进行比较,获取分类器模型识别下样本对应置信度,并判断样本的置信度是否符合预设的执行区间,其中,置信区间对应的阈值可以预先设置。将不合符合置信区间的样本,按照训练集L中正负样本的比例进行预处理,获取与训练集L中正负比例一致的数据集Lm,并将Lm中的样本连同其预测标签一起加入L中,形成新的训练集L’,也即L’=L+Lm,其中,Lm包括验证集U中不符合置信区间的各组样本。
当获取更新后的训练集L’之后,接下来利用该更新后的L’再次进行训练,得到对应的集成学习分类器hi2;计算训练集L’中样本在初始模型Lu中的拟合度,以及在引入Lm后得到的修正模型中的拟合度。其中,若拟合度大于预设阈值(如0),将对hi赋值hi2,也即按照与前述类似的过程,对hi2对应的修正模型的状态进行验证。直到N个训练集对应的集成学习分类器均完成上述验证(也即i=N时),判断所有分类器的分类精度是否不再变化(也即训练集中的样本在初始模型和修正模型中的拟合度是否均大于预设阈值)。如所有分类器的分类精度不再变化(也即训练集中的样本在初始模型和修正模型中的拟合度均大于预设阈值),则得到最终优化后的N个分类器hi(i=1,2,……,N);否则,对分类精度仍在变化的分类器继续迭代进行前述介绍的验证过程,直至分类器的分类精度不再变化。
对于获取的优化后的N个分类器,接下来可以用测试T中的样本对其进行测试。具体地,该测试过程可以包括:将测试集T中的样本输入优化后的N个分类器,该N个分类器对测试集T中的样本进行并行分类识别;通过多数投票法集成最后的分类结果,确定优化后的分类器的性能。
本申请实施例提供的异常请求行为分析模型包括实时规则引擎和风控综合模型,其中,实时规则引擎包括基于用户的历史长周期多维静态标签和短周期多维度指标设置的静态风险模型、基于用户短周期多维度指标设置的动态威胁模型,以及基于几率(odds)指标结果设置的规则等;风控综合模型为对高维标签特征降维后得到的重要特征数据进行集成学习训练并获取基学习器,然后基于逻辑回归算法对基学习器并行训练获得的风控综合模型。在异常请求行为分析模型的运行过程中,通过先基于实时规则引擎分析请求行为是否异常,当未能得出异常结果时,可以进一步结合风控综合模型对该请求行为进行异常分析。由于本申请实施例提供的风控综合模型是基于用户行为和历史用户基础信息清洗出的重要特征进行逻辑回归训练获得,其具有解释性强、复杂度低的特点,因而本申请实施例提供的基于请求行为进行异常分析的方法在保证异常请求行为分析准确性的基础上,便于快速分析查找出异常请求行为,能够提升对异常请求行为的响应速度。
示例性的,如图10所示,为本申请实施例提供的另一种基于请求行为进行异常分析的方法的示意性流程图。该方法可以由电子设备作为主体来执行,该电子设备包括异常请求行为分析模型,具体包括以下步骤:
S1001,接收用户输入的请求行为,该请求行为包括业务场景信息。
其中,用户输入的请求行为可以是购物行为、下单行为等。接收用户输入请求行为的方式可以如图3A和图3B所示。
在一些实施例中,不同业务场景可以对应不同的异常识别方式。
S1002,根据业务场景信息获取对应的异常识别方式,该异常识别方式包括通过静态风险模型和/或动态威胁模型对请求行为进行异常识别,或者包括根据静态风险模型、动态威胁模型和风控综合模型对请求行为进行异常识别,其中,静态风险模型用于根据第一特征数据对请求行为进行异常识别,动态威胁模型用于根据第二特征数据对请求行为进行异常识别,风控综合模型用于根据业务场景中不同标签维度维度下的标签特征对请求行为进行异常识别。
其中,异常识别方式可以对应于上文实施例中的异常识别的规则/模型。
为了便于描述,将本申请实施例提供的对请求行为进行异常识别方式对应的整体模型称为异常请求行为分析模型,该异常请求行为分析模型可以如图6和图7所示。示例性的,该异常请求行为分析模型包括实施规则模型和风控综合模型。实时规则模型包括静态风险模型和动态威胁模型,静态风险模型包括第一特征数据,动态威胁模型包括第二特征数据。
需要说明的是,在本申请实施例提供的方法中,静态风险模型中的规则(第一特征数据)可以存储于静态风险库,动态威胁模型中的规则(第二特征数据)可以存储于动态威胁库。本申请实施例所说的静态风险模型可以指规则引擎基于静态风险库中的规则(第一特征数据)对请求行为进行异常识别;本申请实施例所说的动态威胁模型可以指规则引擎基于动态威胁库中的规则(第二特征数据)对请求行为进行异常识别。
其中,获取第一特征数据的过程可以包括:获取历史用户基础信息和历史用户行为信息;根据所述历史用户基础信息和所述历史用户行为信息获取历史异常请求行为对应的静态标签,以及所述历史异常请求行为对应的第一动态指标;根据所述静态标签和所述第一动态指标获取所述第一特征数据。
获取第二特征数据的过程可以包括:根据所述历史用户基础信息和所述历史用户行为信息获取历史异常请求行为对应的第二动态指标;根据所述第二动态指标获取所述第二特征数据。
在一些实施例中,风控综合模型的训练过程可以包括:根据历史用户基础信息和历史用户行为信息提取所述业务场景中不同标签维度下的标签特征;根据随机森林算法对所述标签特征进行重要性选择,获取不同标签维度下的重要标签特征;根据逻辑回归算法对所述不同标签维度下的重要标签特征进行并行训练,获取所述不同标签维度分别对应的子模型;整合所述子模型,获取所述风控综合模型。
S1003,按照异常识别方式对请求行为进行异常识别。
在一些实施例中,按照异常识别方式对请求行为进行异常识别的过程可以包括:将所述请求行为输入所述静态风险模型,获取第一风险值;和/或,将所述请求行为输入所述动态威胁模型,获取第二风险值;根据所述第一风险值和/或所述第二风险值,获取第一异常识别结果,且当所述第一异常识别结果指示所述请求行为异常时,对所述请求行为进行拦截。
在一些实施例中,按照异常识别方式对请求行为进行异常识别的过程还可以包括:根据所述第一风险值判断所述请求行为是否异常;若判断结果指示所述请求行为不异常,则将所述请求行为输入所述动态威胁模型;若判断结果指示所述请求行为异常,则对所述请求行为进行拦截。
在一些实施例中,按照异常识别方式对请求行为进行异常识别的过程还可以包括:根据所述第二风险值判断所述请求行为是否异常;若判断结果指示所述请求行为不异常,则将所述请求行为输入所述风控综合模型;若判断结果指示所述请求行为异常,则对所述请求行为进行拦截。
在一些实施例中,按照异常识别方式对请求行为进行异常识别的过程还可以包括:获取所述请求行为在不同标签维度下的重要标签特征;将所述重要标签特征输入所述风控综合模型,获取第二异常识别结果。当第二异常结果指示请求行为异常时,则对所述请求行为进行拦截。
在一些实施例中,当对异常请求行为拦截之后,电子设备可以向用户提示拦截信息,其中,提醒拦截的方式可以如图3C所示。
示例性的,当所述请求行为是通过电商的下单行为时,所述静态标签包括以下至少一项:所述用户的购物标识、所述用户的认证信息、所述电子设备的标识、所述下单行为对应的收货信息。当所述请求行为是通过电商的下单行为时,所述动态指标包括以下至少一项:所述用户通过电商平台输入的行为序列、所述用户在预设时长内购买同一商品的频次、所述用户单次购买同一商品的数量。
在一些实施例中,当所述第二异常识别结果指示所述请求行为不异常时,若通过其他方式获取所述请求行为异常,则获取所述请求行为对应的各标签维度下的标签特征对所述请求行为异常的影响几率odds指标;将所述影响几率odds指标更新至基于odds规则模型中,后续可以通过基于几率指标odds规则模型对请求行为进行异常识别。其中,其他方式可以包括:人工识别的方式或其他模型识别的方式等等,本申请实施例对此不作限定。
需要说明的是,请求行为对应的各标签维度下的标签特征对所述请求行为异常的影响几率odds指标可以存储于基于odds的数据库/规则库中。本申请所说的基于odds规则模型可以是规则引擎基于基于odds的数据库/规则库中的odds指标对请求行为进行异常识别。
根据本申请实施例提供的基于请求行为进行异常分析的方法中,通过先基于实时规则引擎分析请求行为是否异常,当未能得出异常结果时,可以进一步结合风控综合模型对该请求行为进行异常分析。由于本申请实施例提供的风控综合模型是基于用户行为和历史用户基础信息清洗出的重要特征进行逻辑回归训练获得,其具有解释性强、复杂度低的特点,因而本申请实施例提供的基于请求行为进行异常分析的方法在保证异常请求行为分析准确性的基础上,便于快速分析查找出异常请求行为,能够提升对异常请求行为的响应速度。
基于同样的技术构思,本申请实施例还提供了一种电子设备,包括:一个或多个处理器;一个或多个存储器;所述一个或多个存储器存储有一个或多个计算机程序,所述一个或多个计算机程序包括指令,当所述指令被所述一个或多个处理器执行时,使得所述电子设备执行如上述上述任一个方法中的一个或多个步骤。
基于同样的技术构思,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机可执行程序指令,所述计算机可执行程序指令在被计算机上运行时,使得计算机或处理器执行上述任一个方法中的一个或多个步骤。
基于同样的技术构思,本申请实施例还提供了一种包含指令的计算机程序产品,所述计算机程序产品包括计算机程序代码,当所述计算机程序代码在计算机上运行时,使得计算机或处理器执行上述任一个方法中的一个或多个步骤。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其它可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如,固态硬盘(solid state disk,SSD))等。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,该流程可以由计算机程序来指令相关的硬件完成,该程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法实施例的流程。而前述的存储介质包括:ROM或随机存储记忆体RAM、磁碟或者光盘等各种可存储程序代码的介质。
以上所述,仅为本申请实施例的具体实施方式,但本申请实施例的保护范围并不局限于此,任何在本申请实施例揭露的技术范围内的变化或替换,都应涵盖在本申请实施例的保护范围之内。因此,本申请实施例的保护范围应以所述权利要求的保护范围为准。

Claims (11)

1.一种基于请求行为进行异常分析的方法,其特征在于,应用于电子设备,包括:
接收用户输入的请求行为,所述请求行为包括业务场景信息;
根据所述业务场景信息获取对应的异常识别方式,所述异常识别方式包括通过静态风险模型和/或动态威胁模型对所述请求行为进行异常识别,或者包括根据静态风险模型、动态威胁模型和风控综合模型对请求行为进行异常识别,其中,
所述静态风险模型用于根据第一特征数据对请求行为进行异常识别,所述第一特征数据为所述用户长周期标签和动态指标分析存在预设的符合异常请求行为的特征时,从所述长周期标签和所述动态指标中提取的所述预设的符合异常请求行为的特征;所述长周期标签包括长周期内与用户身份对应的固定的静态特征数据,动态指标包括短周期内与所述用户身份对应的动态特征数据;
所述动态威胁模型用于根据第二特征数据对请求行为进行异常识别,所述第二特征数据为对所述动态指标进行异常行为序列检测、前置行为缺失检测或群体聚集检测中一项或多项分析后获取的所述异常请求行为对应的特征;
所述风控综合模型用于利用不同标签维度对应的多维模型,根据业务场景中不同标签维度下的标签特征对请求行为进行异常识别;所述风控综合模型为根据随机森林算法的基尼指数对所述标签特征进行重要性选择,获取不同标签维度下的重要标签特征;再根据逻辑回归算法对所述不同标签维度下的重要标签特征进行并行训练,获取子多维模型,并对所述子多维模型进行整合后获取的;其中,所述业务场景中不同标签维度下的标签特征,为基于预设的标签维度根据历史用户基础信息和历史用户行为信息提取的;
当所述业务场景不涉及抢购或者不涉及优惠时,利用所述静态风险模型和/或动态威胁模型对所述请求行为进行异常识别;
当所述业务场景对应的商品稀缺时,利用所述静态风险模型、所述动态威胁模型和所述风控综合模型、odds规则库对所述请求行为进行异常识别。
2.根据权利要求1所述的方法,其特征在于,按照所述异常识别方式对所述请求行为进行异常识别,具体包括:
将所述请求行为输入所述静态风险模型,获取第一风险值;和/或,
将所述请求行为输入所述动态威胁模型,获取第二风险值;
根据所述第一风险值和/或所述第二风险值,获取第一异常识别结果,且当所述第一异常识别结果指示所述请求行为异常时,对所述请求行为进行拦截。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
根据所述第一风险值判断所述请求行为是否异常;
若判断结果指示所述请求行为不异常,则将所述请求行为输入所述动态威胁模型;
若判断结果指示所述请求行为异常,则对所述请求行为进行拦截。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
根据所述第二风险值判断所述请求行为是否异常;
若判断结果指示所述请求行为不异常,则将所述请求行为输入所述风控综合模型;
若判断结果指示所述请求行为异常,则对所述请求行为进行拦截。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
获取所述请求行为在不同标签维度下的重要标签特征;
将所述重要标签特征输入所述风控综合模型,获取第二异常识别结果。
6.根据权利要求1所述的方法,其特征在于,当所述请求行为是通过电商的下单行为时,静态标签包括以下至少一项:
所述用户的购物标识、所述用户的认证信息、所述电子设备的标识、所述下单行为对应的收货信息。
7.根据权利要求1所述的方法,其特征在于,当所述请求行为是通过电商的下单行为时,第一动态指标和第二动态指标包括以下至少一项:
所述用户通过电商平台输入的行为序列、所述用户在预设时长内购买同一商品的频次、所述用户单次购买同一商品的数量。
8.根据权利要求5所述的方法,其特征在于,所述异常识别方式还包括通过基于几率指标odds规则模型进行异常识别,所述方法还包括:
当所述第二异常识别结果指示所述请求行为不异常时,若通过其他方式获取所述请求行为异常,则获取所述请求行为对应的各标签维度下的标签特征对所述请求行为异常的影响几率odds指标;
将所述影响几率odds指标更新至基于odds规则模型中。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
根据所述基于odds规则模型对所述请求行为进行异常识别。
10.一种电子设备,其特征在于,包括:
一个或多个处理器;
一个或多个存储器;
所述一个或多个存储器存储有一个或多个计算机程序,所述一个或多个计算机程序包括指令,当所述指令被所述一个或多个处理器执行时,使得所述电子设备执行如权利要求1至9中任一项所述的方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行程序指令,所述计算机可执行程序指令在被计算机上运行时,使所述计算机执行如权利要求1至9中任一项所述的方法。
CN202210808401.4A 2022-07-11 2022-07-11 基于请求行为进行异常分析的方法及电子设备 Active CN114881711B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210808401.4A CN114881711B (zh) 2022-07-11 2022-07-11 基于请求行为进行异常分析的方法及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210808401.4A CN114881711B (zh) 2022-07-11 2022-07-11 基于请求行为进行异常分析的方法及电子设备

Publications (2)

Publication Number Publication Date
CN114881711A CN114881711A (zh) 2022-08-09
CN114881711B true CN114881711B (zh) 2023-06-30

Family

ID=82683373

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210808401.4A Active CN114881711B (zh) 2022-07-11 2022-07-11 基于请求行为进行异常分析的方法及电子设备

Country Status (1)

Country Link
CN (1) CN114881711B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115239025B (zh) * 2022-09-21 2023-02-03 荣耀终端有限公司 一种支付预测方法及电子设备
CN115766939A (zh) * 2022-11-21 2023-03-07 云南电网有限责任公司信息中心 一种语音平台通话异常接入的筛选方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108932625A (zh) * 2017-05-23 2018-12-04 北京京东尚科信息技术有限公司 用户行为数据的分析方法、装置、介质和电子设备
CN112288453A (zh) * 2019-07-23 2021-01-29 北京京东尚科信息技术有限公司 标签选择方法和装置
CN112396504A (zh) * 2021-01-21 2021-02-23 北京天通慧智科技有限公司 一种电商订单拦截方法、装置和电子设备
CN113987182A (zh) * 2021-10-28 2022-01-28 深圳永安在线科技有限公司 基于安全情报的欺诈实体识别方法、装置及相关设备
CN114092230A (zh) * 2021-11-25 2022-02-25 中国建设银行股份有限公司 一种数据处理方法、装置、电子设备及计算机可读介质
CN114611081A (zh) * 2022-03-04 2022-06-10 腾讯科技(深圳)有限公司 账号类型识别方法、装置、设备、存储介质及产品

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109978547B (zh) * 2017-12-28 2021-08-03 北京京东尚科信息技术有限公司 风险行为控制方法及系统、设备和存储介质
CN108564423A (zh) * 2017-12-28 2018-09-21 携程旅游网络技术(上海)有限公司 票务订单的恶意占位识别方法、系统、设备和存储介质
CN108346088A (zh) * 2018-02-09 2018-07-31 上海宝尊电子商务有限公司 品牌官方商城恶意抢购防控方法及系统
CN109118119A (zh) * 2018-09-06 2019-01-01 多点生活(成都)科技有限公司 风控模型生成方法及装置
CN109325691B (zh) * 2018-09-27 2020-10-16 上海观安信息技术股份有限公司 异常行为分析方法、电子设备及计算机程序产品
CN109741065A (zh) * 2019-01-28 2019-05-10 广州虎牙信息科技有限公司 一种支付风险识别方法、装置、设备及存储介质
WO2020223247A1 (en) * 2019-04-29 2020-11-05 Jpmorgan Chase Bank, N.A. Systems and methods for data-driven infrastructure controls
CN111698247B (zh) * 2020-06-11 2021-09-07 腾讯科技(深圳)有限公司 异常账号检测方法、装置、设备及存储介质
CN113535657A (zh) * 2021-07-29 2021-10-22 中国工商银行股份有限公司 一种抢购类交易异常检测方法、系统、设备及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108932625A (zh) * 2017-05-23 2018-12-04 北京京东尚科信息技术有限公司 用户行为数据的分析方法、装置、介质和电子设备
CN112288453A (zh) * 2019-07-23 2021-01-29 北京京东尚科信息技术有限公司 标签选择方法和装置
CN112396504A (zh) * 2021-01-21 2021-02-23 北京天通慧智科技有限公司 一种电商订单拦截方法、装置和电子设备
CN113987182A (zh) * 2021-10-28 2022-01-28 深圳永安在线科技有限公司 基于安全情报的欺诈实体识别方法、装置及相关设备
CN114092230A (zh) * 2021-11-25 2022-02-25 中国建设银行股份有限公司 一种数据处理方法、装置、电子设备及计算机可读介质
CN114611081A (zh) * 2022-03-04 2022-06-10 腾讯科技(深圳)有限公司 账号类型识别方法、装置、设备、存储介质及产品

Also Published As

Publication number Publication date
CN114881711A (zh) 2022-08-09

Similar Documents

Publication Publication Date Title
US10360479B2 (en) Device and method for processing metadata
CN114881711B (zh) 基于请求行为进行异常分析的方法及电子设备
US20200380309A1 (en) Method and System of Correcting Data Imbalance in a Dataset Used in Machine-Learning
US11526701B2 (en) Method and system of performing data imbalance detection and correction in training a machine-learning model
US10972861B2 (en) Electronic device and system for providing point of interest information
CN105389325A (zh) 内容搜索方法和实施内容搜索方法的电子装置
CN109784351B (zh) 行为数据分类方法、分类模型训练方法及装置
CN112069414A (zh) 推荐模型训练方法、装置、计算机设备及存储介质
CN107924518A (zh) 在保持用户的匿名性时基于来自多个支付网络的聚合信息进行风险管理的方法和装置
WO2022100221A1 (zh) 检索处理方法、装置及存储介质
EP3276487B1 (en) Method of detecting similar applications and electronic device adapted to the same
KR20220154816A (ko) 대규모 증강 현실을 위한 위치 매핑
KR102381436B1 (ko) 웹과 관련된 데이터에서 아이템을 검출하기 위한 전자 장치 및 방법
US20220138237A1 (en) Systems, devices, and methods for content selection
CN116128571B (zh) 广告曝光量分析方法及相关装置
KR102449350B1 (ko) 재고 관리 서비스를 제공하는 시스템 및 그 동작 방법
KR102310296B1 (ko) 중고의류의 복원 및 리세일를 위한 플랫폼을 운영하는 서버 및 그 동작 방법
CN116414269B (zh) 流氓应用的识别方法和电子设备
CN116761249B (zh) 室内定位方法、指纹库的构建方法、电子设备及存储介质
KR102388014B1 (ko) 드론을 이용한 토지 방제와 관련된 애플리케이션을 제공하는 서버 및 그 동작 방법
CN115018524A (zh) 商品搜索方法、相关装置及系统
KR20180047855A (ko) 전자 장치 및 그의 배송 정보 제공 방법
CN117520113A (zh) 用户行为回放的方法及电子设备
KR20220157284A (ko) 마케팅 및 상품 노출의 정도를 제어하는 시스템
WO2020096619A1 (en) Dynamic card acceptance infrastructure

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant