CN115187252A - 网络交易系统中欺诈行为的识别方法、服务器及存储介质 - Google Patents

网络交易系统中欺诈行为的识别方法、服务器及存储介质 Download PDF

Info

Publication number
CN115187252A
CN115187252A CN202110357757.6A CN202110357757A CN115187252A CN 115187252 A CN115187252 A CN 115187252A CN 202110357757 A CN202110357757 A CN 202110357757A CN 115187252 A CN115187252 A CN 115187252A
Authority
CN
China
Prior art keywords
path
meta
sample
instance
time sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110357757.6A
Other languages
English (en)
Inventor
汤胜龙
李超
王翔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202110357757.6A priority Critical patent/CN115187252A/zh
Publication of CN115187252A publication Critical patent/CN115187252A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Biophysics (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Molecular Biology (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请实施例公开了一种网络交易系统中欺诈行为的识别方法、服务器及存储介质,属于计算机技术领域。该方法包括:从网络交易系统的异构网络中获取目标对象对应的元路径实例;对各个所述元路径实例进行时序特征提取,得到各个所述元路径实例的实例时序特征;基于各个元路径实例的实例时序特征,确定目标对象对应的目标时序特征;基于目标时序特征对目标对象进行欺诈行为识别,得到识别结果。目标时序特征体现对象以及对象关系的拓扑关系和时序特征,扩展了欺诈行为的监控维度,能够充分挖掘存在欺诈行为的对象与其它对象之间的差异,提高网络交易安全性;业务方可以根据实际应用场景的业务特点自行定义元路径,适用于各种不同的业务场景。

Description

网络交易系统中欺诈行为的识别方法、服务器及存储介质
技术领域
本申请实施例涉及计算机技术领域,特别涉及一种网络交易系统中欺诈行为的识别方法、服务器及存储介质。
背景技术
随着电子商务、金融科技、第三方支付等线上模式的兴起,人们可以通过互联网与他人进行网络交易,但同时也产生了网络欺诈等现象,给用户和业务方造成严重损失,因此开发商需要对各个帐号的交互行为进行分析和监督,以便排查异常帐号,提高网络安全性。
相关技术中,业务方通常会利用在线策略和专家规则对用户的交互行为进行监控,或者基于图论的方式,利用帐号间的网络拓扑关系,通过聚合邻居节点的特征形成帐号自身的特征,再利用分类器进行分类,识别出异常帐号。
然而,利用专家规则进行监督严重依赖策略制定者的业务经验,基于图论进行特征聚合的方式仅能反映帐号之间的拓扑特性,通常无法直接应用于下游任务,缺乏场景迁移能力,且上述方式均难以捕捉复杂、新型的交易欺诈行为。
发明内容
本申请实施例提供了一种网络交易系统中欺诈行为的识别方法、服务器及存储介质,能够利用元路径的时序特征充分挖掘存在欺诈行为与不存在欺诈行为的对象之间的差异,适用于各种不同的业务场景。所述技术方案如下:
一方面,本申请实施例提供了一种网络交易系统中欺诈行为的识别方法,所述方法包括:
从网络交易系统的异构网络中获取目标对象对应的元路径实例,所述异构网络中包含不同对象之间的对象关系,所述对象关系基于对象在所述网络交易系统中的行为产生,所述元路径实例是以对象为路径节点,由相邻路径节点之间的对象关系所形成的路径,其中,所述元路径实例的路径起点为所述目标对象对应的路径节点,且所述元路径实例中所述路径节点的节点顺序为所述对象关系的形成顺序;
对各个所述元路径实例进行时序特征提取,得到各个所述元路径实例的实例时序特征;
基于各个所述元路径实例的所述实例时序特征,确定所述目标对象对应的目标时序特征;
基于所述目标时序特征对所述目标对象进行欺诈行为识别,得到识别结果,所述识别结果用于指示所述目标对象在网络交易中是否存在欺诈行为。
另一方面,本申请实施例提供了一种网络交易系统中欺诈行为的识别方法,所述方法包括:
从网络交易系统的异构网络中获取样本对象的样本元路径实例,所述异构网络中包含不同对象之间的对象关系,所述对象关系基于对象在所述网络交易系统中的行为产生,所述样本元路径实例是以样本对象为路径节点,由相邻路径节点之间的样本对象关系所形成的路径,其中,所述样本元路径实例的路径起点为所述样本对象对应的路径节点,且所述样本元路径实例中所述路径节点的节点顺序为所述样本对象关系的形成顺序;
对各个所述样本元路径实例进行时序特征提取,得到各个所述样本元路径实例的样本实例时序特征;
基于各个所述样本元路径实例的所述样本实例时序特征,确定所述样本对象对应的样本时序特征;
将所述样本时序特征输入欺诈行为识别模型,得到所述欺诈行为识别模型输出的样本识别结果,所述样本识别结果用于指示所述样本对象在网络交易中是否存在欺诈行为;
以所述样本对象对应的样本标签为所述样本识别结果的监督,对所述欺诈行为识别模型进行模型训练,所述样本标签用于指示所述样本对象在网络交易中是否存在欺诈行为。
另一方面,本申请实施例提供了一种网络交易系统中欺诈行为的识别装置,所述装置包括:
第一获取模块,用于从网络交易系统的异构网络中获取目标对象对应的元路径实例,所述异构网络中包含不同对象之间的对象关系,所述对象关系基于对象在所述网络交易系统中的行为产生,所述元路径实例是以对象为路径节点,由相邻路径节点之间的对象关系所形成的路径,其中,所述元路径实例的路径起点为所述目标对象对应的路径节点,且所述元路径实例中所述路径节点的节点顺序为所述对象关系的形成顺序;
第一特征提取模块,用于对各个所述元路径实例进行时序特征提取,得到各个所述元路径实例的实例时序特征;
第一确定模块,用于基于各个所述元路径实例的所述实例时序特征,确定所述目标对象对应的目标时序特征;
第一识别模块,用于基于所述目标时序特征对所述目标对象进行欺诈行为识别,得到识别结果,所述识别结果用于指示所述目标对象在网络交易中是否存在欺诈行为。
另一方面,本申请实施例提供了一种网络交易系统中欺诈行为的识别装置,所述装置包括:
第二获取模块,用于从网络交易系统的异构网络中获取样本对象的样本元路径实例,所述异构网络中包含不同对象之间的对象关系,所述对象关系基于对象在所述网络交易系统中的行为产生,所述样本元路径实例是以样本对象为路径节点,由相邻路径节点之间的样本对象关系所形成的路径,其中,所述样本元路径实例的路径起点为所述样本对象对应的路径节点,且所述样本元路径实例中所述路径节点的节点顺序为所述样本对象关系的形成顺序;
第二特征提取模块,用于对各个所述样本元路径实例进行时序特征提取,得到各个所述样本元路径实例的样本实例时序特征;
第二确定模块,用于基于各个所述样本元路径实例的所述样本实例时序特征,确定所述样本对象对应的样本时序特征;
第二识别模块,用于将所述样本时序特征输入欺诈行为识别模型,得到所述欺诈行为识别模型输出的样本识别结果,所述样本识别结果用于指示所述样本对象在网络交易中是否存在欺诈行为;
模型训练模块,用于以所述样本对象对应的样本标签为所述样本识别结果的监督,对所述欺诈行为识别模型进行模型训练,所述样本标签用于指示所述样本对象在网络交易中是否存在欺诈行为。
另一方面,本申请实施例提供了一种服务器,所述服务器包括处理器和存储器;所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述方面所述的网络交易系统中欺诈行为的识别方法。
另一方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一条计算机程序,所述计算机程序由处理器加载并执行以实现如上述方面所述的网络交易系统中欺诈行为的识别方法。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。服务器的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该服务器执行上述方面的各种可选实现方式中提供的网络交易系统中欺诈行为的识别方法。
本申请实施例提供的技术方案带来的有益效果至少包括:
本申请实施例中,按照对象关系的形成顺序提取网络交易系统的异构网络中目标对象对应的元路径实例,并对元路径实例进行时序特征提取,使目标时序特征能够体现对象以及对象关系的拓扑关系和时序特征,相比于传统的欺诈行为识别方式,扩展了信息量和欺诈行为的监控维度,能够充分挖掘存在欺诈行为与不存在欺诈行为的对象之间的差异;基于业务的元路径进行欺诈行为识别,业务方可以根据实际应用场景的业务特点自行定义元路径,获得适用于相应业务场景的元路径实例,因此方法具有普适性,适用于各种不同的业务场景。
附图说明
图1是本申请一个示例性实施例提供的实施环境的示意图;
图2是本申请一个示例性实施例提供的网络交易系统中欺诈行为的识别方法的流程图;
图3是本申请另一个示例性实施例提供的网络交易系统中欺诈行为的识别方法的流程图;
图4是本申请一个示例性实施例提供的线上交易网络的结构示意图;
图5是本申请一个示例性实施例提供的长短时记忆网络(Long-Short TermMemory,LSTM)模型的结构框图;
图6是本申请另一个示例性实施例提供的LSTM模型的结构框图;
图7是本申请一个示例性实施例提供的注意力机制的结构框图;
图8是本申请另一个示例性实施例提供的网络交易系统中欺诈行为的识别方法的流程图;
图9是本申请一个示例性实施例提供的网络交易系统中欺诈行为的识别方法的系统框架图;
图10是本申请一个示例性实施例提供的网络交易系统中欺诈行为的识别方法的流程图;
图11是本申请一个示例性实施例提供的网络交易系统中欺诈行为的识别装置的结构框图;
图12是本申请一个示例性实施例提供的网络交易系统中欺诈行为的识别装置的结构框图;
图13是本申请一个示例性实施例提供的服务器的结构框图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
在本文中提及的“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
图1示出了本申请一个实施例提供的实施环境的示意图。该实施环境可以包括:第一终端110、服务器120和第二终端130。
第一终端110安装和运行有第一客户端111,第一客户端111为线上交易类应用程序。第一用户112通过第一终端110登录第一客户端111,并通过第一客户端111与其它用户建立关系,例如添加联系人、转账、商业支付等。服务器120基于第一用户112、第一终端110与其它设备或其它用户等对象之间的对象关系,对第一用户112以及第一终端110进行欺诈行为识别。
相应地,第二终端130安装和运行有第二客户端131,第二客户端131为线上交易类应用程序。第二用户132通过第二终端130登录第二客户端131,并通过第二客户端131与其它用户建立关系,例如添加联系人、转账、商业支付等。服务器120基于第二用户132、第二终端130与其它设备或其它用户等对象之间的对象关系,对第二用户132以及第二终端130进行欺诈行为识别。
图1中仅示出了两个终端,但在不同实施例中存在多个其它终端可以接入服务器120。可选地,第一终端110和第二终端130的设备类型相同或不同,该设备类型包括:智能手机、平板电脑、电子书阅读器、MP3播放器、MP4播放器、膝上型便携计算机和台式计算机中的至少一种。
第一终端110、第二终端130通过无线网络或有线网络与服务器120相连。
服务器120是客户端111及客户端131的后台服务器。服务器120包括存储器121、处理器122、数据库123、欺诈行为识别模块124以及面向用户的输入/输出接口(Input/OutputInterface,I/O接口)125。其中,处理器122用于加载服务器120中存储的指令,处理数据库123及欺诈行为识别模块124中的数据;数据库123用于存储第一终端110、第二终端130以及其它终端所使用的用户帐号的数据,以及各个终端对应的设备数据,比如用户帐号登录设备的时间、同一设备对应的用户帐号、用户帐号之间的交易类型、交易金额、交易时刻等;欺诈行为识别模块124用于对线上交易类应用程序对应的交易网络中各个对象进行欺诈行为的识别,欺诈行为识别模块124从数据库123中获取目标对象对应的元路径实例,并基于元路径实例确定目标对象在网络交易中是否存在欺诈行为,值得一提的是,服务器120所识别的对象不仅包括第一用户112、第二用户132等用户,还包括第一终端110、第二终端130等安装并运行有线上交易类应用程序的设备;面向用户的I/O接口125用于通过无线网络或有线网络和第一终端110和/或第二终端130建立通信交换数据。
服务器120可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
作为示例,网络交易系统中欺诈行为的识别方法中的程序指令可被部署在一个服务器上执行,或者在位于一个地点的多个服务器上执行,又或者,在分布在多个地点且通过通信网络互连的多个服务器上执行,分布在多个地点且通过通信网络互连的多个服务器可以组成区块链系统。
图2示出了本申请一个示例性实施例提供的网络交易系统中欺诈行为的识别方法的流程图。本实施例以该方法用于图1所示实施环境中的服务器120为例进行说明,该方法包括如下步骤:
步骤201,从网络交易系统的异构网络中获取目标对象对应的元路径实例,元路径实例是以对象为路径节点,由相邻路径节点之间的对象关系所形成的路径。
其中,异构网络中包含不同对象之间的对象关系,该对象关系基于对象在网络交易系统中的行为产生。本申请实施例中的异构网络是由对象以及对象之间的对象关系组成的。相比于仅包含一种网络节点(即对象)和一种类型的边(即对象关系)的同构网络(例如仅包含用户和用户之间社交关系的社交网络),异构是指网络中包含不同类型的网络节点(即对象)和/或不同类型的边(即对象关系)。由于交易网络中存在例如顾客、商户等不同类型的对象,以及好友关系、商业支付关系等不同类型的对象关系,因此本申请实施例中的网络交易系统对应的交易网络属于异构网络。
元路径实例的路径起点为目标对象对应的路径节点,且元路径实例中路径节点的节点顺序为对象关系的形成顺序。元路径是定义在不同顶点之间的一系列关系序列组成的一条路径,元路径实例则是元路径在业务场景(如交易网络、社交网络等)中的具体体现,服务器基于用户在应用程序中的交互行为,获取元路径实例,例如,基于用户a通过设备A登录帐号的行为获取到“用户a(登录)设备A”这一元路径实例,基于用户b向用户a转账这一操作获取到“用户b(转账)用户a”这一元路径实例。当元路径实例中存在至少两个对象关系时,元路径实例中路径节点的节点顺序为对象关系的形成顺序,使得元路径实例能够反映对象之间以及对象关系之间的时序性,例如用户a向用户b发起转账后,用户b向商户c发起商业支付,则服务器基于上述两种操作的先后顺序获取到“用户a(转账)用户b(商业支付)商户c”这一元路径实例。
为了方便表述,本申请中采用对象(对象关系)对象的方式表述元路径以及元路径实例。例如,在由普通用户帐号、商户帐号以及设备组成的线上交易网络中,业务方可以定义元路径包括用户(登录)设备、用户(好友)用户(登录)设备、用户(商业付款)商户(转账)用户等;用户a(好友)用户b(登录)设备1即为用户(好友)用户(登录)设备这一元路径的元路径实例。
在一种可能的实施方式中,当服务器针对目标对象进行欺诈行为识别时,获取该目标对象对应的元路径实例,即以该目标对象对应的路径节点作为路径起点的元路径实例。例如,服务器针对用户a进行欺诈行为识别,则基于预设的元路径类型,获取到用户a的元路径实例用户a(登录)设备2、用户a(好友)用户b(登录)设备1、用户a(商业付款)商户c(转账)用户d等。
并且,为了体现目标用户交互行为的时序性,元路径实例中路径节点的节点顺序为对象关系的形成顺序。例如元路径实例用户a(商业付款)商户c(转账)用户d中,用户a向商户c进行商业付款的发生时刻早于商户c向用户d转账的时刻。
步骤202,对各个元路径实例进行时序特征提取,得到各个元路径实例的实例时序特征。
在实际业务场景中,尤其线上资金交易网络中,基于特殊交互行为形成的元路径实例中,对象之间以及对象关系之间存在一定的时序特征。例如,参与网络赌博的用户倾向于在夜间进行大额交易,经常用于“薅羊毛”的帐号通常在时间和金额上存在群控规模效应。因此,服务器首先对各个元路径实例进行时序特征提取,剔除重要性较低的信息,得到各个元路径实例的实例时序特征。
步骤203,基于各个元路径实例的实例时序特征,确定目标对象对应的目标时序特征。
由于单个元路径实例的实例时序特征仅能表征一个元路径实例,而对象的交互操作复杂多变,因此单一的实例时序特征具有片面性和偶然性,无法作为检测对象行为的依据。在一种可能的实施方式中,业务方预先基于实际场景的业务特点,定义多种元路径类型,服务器按照各个元路径类型从业务场景中提取目标对象的元路径实例,并在获取到各个元路径实例的实例时序特征后,进一步确定目标对象的目标时序特征,以使目标时序特征更贴合目标对象的行为。
步骤204,基于目标时序特征对目标对象进行欺诈行为识别,得到识别结果,识别结果用于指示目标对象在网络交易中是否存在欺诈行为。
在一种可能的实施方式中,服务器将目标时序特征输入分类模型,利用分类模型确定目标对象是否存在欺诈行为。本申请实施例中的网络交易系统中欺诈行为的识别方法的底层数据不依赖于交互网络的类型,既适用于同构网络(只包含一种网络节点和一种类型的边)也适用于异构网络(包含不同类型的网络节点和/或不同类型的边),例如移动支付、电子商务、网络银行等公司的反欺诈业务场景,能够评估其线上环境的欺诈风险。
通过提取元路径实例,获取目标对象的目标时序特征,服务器能够从业务统计议程、网络拓扑异常、异构多元对象以及时序挖掘4个角度检测欺诈行为,同时也能为审核人员提供欺诈新手法的思路。
综上所述,本申请实施例中,按照对象关系的形成顺序提取网络交易系统的异构网络中目标对象对应的元路径实例,并对元路径实例进行时序特征提取,使目标时序特征能够体现对象以及对象关系的拓扑关系和时序特征,相比于传统的欺诈行为识别方式,扩展了信息量和欺诈行为的监控维度,能够充分挖掘存在欺诈行为与不存在欺诈行为的对象之间的差异;基于业务的元路径进行欺诈行为识别,业务方可以根据实际应用场景的业务特点自行定义元路径,获得适用于相应业务场景的元路径实例,因此方法具有普适性,适用于各种不同的业务场景。
元路径实例是由对象以及对象关系构成的,其中对象具有对象属性,对象关系具有关系属性,在时序特征上,对象和对象关系各自具有不同的特征,本申请实施例中,服务器先将元路径实例拆分得到对象序列和关系序列,分别进行特征提取,然后进行特征拼接,得到元路径实例的实例时序特征,使得实例时序特征既包含对象的时序特征,也能够包含对象关系的时序特征。图3示出了本申请另一个示例性实施例提供的网络交易系统中欺诈行为的识别方法的流程图。本实施例以该方法用于图1所示实施环境中的服务器120为例进行说明,该方法包括如下步骤:
步骤301,从网络交易系统的异构网络中获取目标对象对应的元路径实例,元路径实例是以对象为路径节点,由相邻路径节点之间的对象关系所形成的路径。
步骤301的具体实施方式可以参考上述步骤201,本申请实施例在此不再赘述。
步骤302,基于元路径实例生成对象序列和关系序列,对象序列包含元路径实例中的各个对象,关系序列包含元路径实例中的各个对象关系。
在一种可能的实施方式中,对象包括帐号(例如线上支付类应用程序的用户帐号、银行卡帐号、手机号等)和设备(例如智能手机、平板电脑、笔记本电脑、台式计算机等终端设备)中的至少一种,对象关系包括帐号与帐号之间的关系以及帐号与设备之间的关系中的至少一种,帐号与帐号之间的关系包括互为联系人(例如应用程序中的好友关系、现实中的同事关系、亲属关系等)以及交易关系(例如转账、商业支付等)中的至少一种,帐号与设备之间的关系包括登录关系。
图4示出了一种典型的第三方支付交易场景。如图所示,该交易系统中包含用户、商户、设备3中对象,对象关系包含互为好友、转账、商业付款、登录4种。每个对象根据对象类型的不同包含不同的属性(如用户的年龄、性别等),对象关系也因类型的不同包含不同属性(如商业付款的支付金额、交易时间等)。不同的对象和关系形成了交易系统的异构网络,为反欺诈系统提供了充足的信息量。
元路径P被用于表示一种路径序列,形式为
Figure BDA0003004173930000101
其中Vi表示异构图中的对象(如用户、商户、设备),Ei为串联两个对象的关系(如互为好友、转账、登录)。元路径同时包含了对象序列和关系序列,经过提炼,可以得到对象序列V1→V2→V3→···Vk+1,以及关系序列E1→E1→E1→···→Ek+1。对象序列和关系序列为本申请进行欺诈行为识别的关键输入。
由于对象和对象关系均有各自的属性信息,因此服务器基于元路径实例生成对象序列和关系序列,并分别进行编码和时序特征融合,以更充分地挖掘两个序列的时序特征。例如,对于元路径实例用户a(商业付款)商户c(转账)用户d,服务器经过提炼,得到对象序列用户a-商户c-用户d,以及关系序列商业付款-转账。
步骤303,基于对象序列和关系序列对元路径实例进行编码,得到元路径实例对应的对象时序特征和关系时序特征。
服务器获取到对象序列和关系序列后,首先需要对两个序列实例进行编码,以分别挖掘时序特征。在一种可能的实施方式中,步骤303包括如下步骤:
步骤303a,获取对象序列中各个对象的对象属性信息,以及关系序列中各个对象关系的关系属性信息,对象属性信息包括对象类型,关系属性信息包括对象关系类型。
对元路径实例进行时序特征提取,实际上是对元路径实例中各个对象的属性信息、各个对象关系的属性信息以及它们之间的时序关系进行特征提取。服务器基于元路径实例得到对象序列和关系序列后,按照序列中具体的对象或对象关系,从数据库中查询获取其对应的属性信息。例如,对于线上交易网络,用户的对象属性信息包括年龄、性别、财务状况等,商户的对象属性信息包括商户类型、成立时间、收入情况等,商业付款的关系属性信息包括支付金额、交易时间、交易方式等。
步骤303b,基于对象属性信息对对象序列进行编码,得到对象时序特征,并基于关系属性信息对关系序列进行编码,得到关系时序特征。
在一种可能的实施方式中,服务器利用LSTM模型,分别对对象序列和关系序列进行编码和特征提取。LSTM的架构图如图5和图6所示,LSTM通过“门”的概念控制前面输出信号对后面的影响,能够很好的捕捉主体序列/关系序列中实体之间的联系。对于每个时间切片,LSTM接受序列中的对象属性信息或关系属性信息,同时输出上个时间切片经过一次转化的特征。
可选的,本申请实施例中的LSTM模型还可以替换为门循环单元(Gate RecurrentUnit,GRU)等具有时序编码功能的神经网络模型,本申请实施例对此不作限定。
步骤303b包括如下步骤:
步骤一,将包含对象属性信息的对象序列输入第一LSTM模型,并将包含关系属性信息的关系序列输入第二LSTM模型。
服务器将第一LSTM模型在每个时间切片的输出ht,均输入注意力机制(AttentionMechanism),同样地,将第二LSTM模型在每个时间切片的输出ht,均输入注意力机制。在一种可能的实施方式中,为了提高特征提取的效率,服务器分别将第一LSTM模型的输出,输入对象注意力机制,并将第二LSTM模型的输出,输入关系注意力机制。
步骤二,利用注意力机制对第一LSTM模型的输出向量进行特征融合,所述对象时序特征,并利用注意力机制对第二LSTM模型的输出向量进行特征融合,得到关系时序特征。
本申请实施例中的LSTM在各个时间切片的输出将通过注意力机制进行融合,注意力机制的原理可以用3个公式进行表示:
ei=a(u,vi) (1)
Figure BDA0003004173930000121
c=∑αivi (3)
公式(1)是将某时间切片的输出vi与参数u进行交互,得到未归一化的注意力得分(Attention Score)ei;公式(2)利用归一化的Attention Score得到参数αi,公式(3)是基于Attention Score和特征序列vi计算出对象序列/关系序列的注意力价值(AttentionValue)特征表示c。其中,公式(1)中的ei通常有如下几种计算形式:
1.乘式
uTv (4)
uTwv (5)
2.增添式
Figure BDA0003004173930000122
3.多层神经网络
Figure BDA0003004173930000123
其中,w、w1和w2为训练得到的模型参数,b1、b2为预设参数。
示意性的,图7是对注意力机制及公式(1)至公式(7)的可视化解释,其中询问(Query)相当于公式(4)中的u,键(Key)相当于LSTM在每个时间切片的输出,值(Value)相当于公式(3)中αivi
步骤304,对对象时序特征和关系时序特征进行特征融合,得到实例时序特征。
服务器获取到对象时序特征和关系时序特征后,以特征拼接的方式对对象时序特征和关系时序特征进行特征融合,得到实例时序特征。值得注意的是,服务器需要将属于同一元路径实例的对象序列的对象时序特征以及关系序列的关系时序特征进行拼接。当存在多个(m个)元路径实例时,服务器相应得到多个(m个)实例时序特征。
步骤305,基于各个元路径实例的实例时序特征,确定目标对象对应的目标时序特征。
步骤306,基于目标时序特征对目标对象进行欺诈行为识别,得到识别结果,识别结果用于指示目标对象在网络交易中是否存在欺诈行为。
步骤305和步骤306的具体实施方式可以参考上述步骤203和步骤204,本申请实施例在此不再赘述。
本申请实施例中,服务器先将元路径实例拆分得到对象序列和关系序列,分别进行特征提取,得到对象时序特征和关系时序特征,然后对属于同一元路径实例的对象时序特征与关系时序特征进行特征拼接,得到元路径实例的实例时序特征,使得实例时序特征既包含对象的时序特征,也能够包含对象关系的时序特征,进而使得最终得到的目标时序特征能够更好地反映目标对象的行为特征,以提高识别欺诈行为的准确度。
由于单一的元路径实例相对于目标对象的行为具有片面性和偶然性,为了提高欺诈行为识别的准确性,服务器需要基于更多的数据进行分析,本申请实施例中,服务器获取不同元路径类型的元路径实例,并且针对每种元路径类型,均获取多个元路径实例。图8示出了本申请另一个示例性实施例提供的网络交易系统中欺诈行为的识别方法的流程图。本实施例以该方法用于图1所示实施环境中的服务器120为例进行说明,该方法包括如下步骤:
步骤801,从网络交易系统的异构网络中获取目标对象对应的元路径实例,元路径实例是以对象为路径节点,由相邻路径节点之间的对象关系所形成的路径。
步骤802,对各个元路径实例进行时序特征提取,得到各个元路径实例的实例时序特征。
步骤801和步骤802的具体实施方式可以参考上述步骤201和步骤202,本申请实施例在此不再赘述。
步骤803,基于同一元路径类型对应元路径实例的实例时序特征,确定元路径类型对应的元路径时序特征。
在一种可能的实施方式中,业务方预先设置进行欺诈行为识别所需要的元路径实例的类型和数量,例如,设定目标对象对应n种元路径类型,且每种元路径类型对应m个元路径实例,其中,不同元路径类型的元路径实例包含不同类型的对象和/或不同类型的对象关系,n、m为正整数。服务器按照预先设置的元路径类型以及每种元路径类型对应的元路径实例数量,从交互网络中获取目标对象的元路径实例。
示意性的,服务器中预先存储有用户(转账)用户、用户(好友关系)用户(转账)用户、用户(好友关系)用户(好友关系)用户、用户(登录)设备(登录)用户、用户(登录)设备(登录)商户五种元路径类型,服务器依次按照每个元路径类型获取目标对象(用户a)的5个元路径实例,最终获取到用户a的25条元路径实例。
当服务器针对每种元路径类型均获取m个元路径实例时,同一元路径类型对应m种实例时序特征,服务器需要基于m种实例时序特征,确定出目标对象对于每种元路径类型的元路径时序特征。在一种可能的实施方式中,步骤803包括如下步骤:
对于同一元路径类型,对各个元路径实例对应的实例时序特征进行最大池化操作(Max Pooling),得到元路径类型对应的元路径时序特征。
服务器完成对n*m个元路径实例的编码和特征提取后,需要对每种元路径类型对应的实例时序特征ci进行最大池化操作,得到各个元路径类型对应的元路径时序特征Pi
Pi=Max(c1,c2…cj) i∈(1,n) j∈(1,m) (8)
元路径时序特征Pi能够体现目标对象对应第i种元路径类型的交互行为特征。
步骤804,基于各个元路径类型对应的元路径时序特征,确定目标时序特征。
服务器通过最大池化操作获取到目标对象对应各个元路径类型的元路径时序特征后,需要结合每种元路径类型的元路径时序特征,得到目标对象的目标时序特征,该目标时序特征能够反映目标对象在元路径实例所对应的交互网络中的交互行为特点,从而使服务器基于目标时序特征检测目标对象是否存在欺诈行为。
在一种可能的实施方式中,步骤804包括如下步骤:
利用注意力机制对各个元路径类型对应的元路径时序特征进行特征融合,得到目标时序特征。
上述公式(8)通过最大池化操作生成了元路径类型i的特征表示Pi。为了融合n种不同的元路径特征表示,这里再次用到注意力机制:
oi=a(u,Pi) (9)
Figure BDA0003004173930000151
s=∑iβioi (11)
公式(9)至公式(11)描述了基于注意力机制融合n个元路径时序特征s的过程,其中,公式(9)是将某元路径类型对应的元路径时序特征Pi与参数u进行交互,得到未归一化的Attention Scoreoi;公式(10)利用归一化的Attention Score得到参数βi;公式(11)是基于Attention Score和元路径时序特征Pi,计算出目标对象的目标时序特征s。至此,元路径实例的编码及特征变换全部完成。
步骤805,将目标时序特征输入欺诈行为识别模型,得到识别结果。
其中,欺诈行为识别模型为分类模型,且欺诈行为识别模型基于样本对象的样本识别结果以及样本对象对应的样本标签训练得到,样本标签用于指示样本对象在网络交易中是否存在欺诈行为。
在一种可能的实施方式中,服务器利用训练完成的多层神经网络模型(Multi-Layer Perceptron,MLP)进行欺诈行为识别。服务器将目标对象的目标时序特征输入MLP模型,得到识别结果。MLP的检测过程如公式12所示,示意性的,激活函数选用线性整流函数(Rectified Linear Unit,ReLU):
z=Relu(Wk…Relu(Relu(W1s+b1)+b2)+bk) (12)
模型中包含k层激活函数,服务器基于输出的特征z,确定目标对象是否存在欺诈行为。
可选的,服务器使用双曲正切函数(Tanh函数)、ELU函数或MaxOut函数等作为激活函数,本申请实施例对此不作限定。
具体地,若识别结果指示目标对象在网络交易中存在欺诈行为,则当存在目标对象发起的交易请求时,服务器拦截该交易请求,阻止异常用户继续进行交易,以减少其他用户及业务方的损失,提高交易网络的安全性。
本申请实施例中,服务器获取不同元路径类型的元路径实例,并且针对每种元路径类型,均获取多个元路径实例,基于多个元路径实例的实例时序特征得到各个元路径类型的路径时序特征,进而基于不同元路径类型的路径时序特征得到目标对象的目标时序特征,使目标时序特征更加贴合目标对象的行为,提高欺诈行为识别的准确性;此外,服务器实时进行欺诈风险检测,当检测到存在欺诈行为的对象发起交易请求时,进行请求拦截,阻止异常对象的交易行为,减少其它对象和业务方的损失,提高网络交易安全性。
图9是本申请实施例提供的网络交易系统中欺诈行为的识别方法的系统框架图。如图9所示,服务器中预先存储有n中元路径类型,当针对目标对象进行欺诈行为的识别时,服务器依次基于预设的元路径类型,分别从交易网络中获取目标对象的m个元路径实例,共获得n*m个元路径实例。对于每个元路径实例,服务器将其提炼为对象序列和关系序列,并分别将对象序列中各个对象的对象属性信息以及关系序列中各个对象关系的关系属性信息依次输入LSTM模型,结合对象注意力机制和关系注意力机制,进行编码和特征融合,而后将得到的关系时序特征和对象时序特征进行特征拼接,得到该元路径实例的实例时序特征。获取到同一元路径类型的所有元路径实例的实例时序特征后,服务器进行最大池化操作,得到目标对象相对于该元路径类型的路径时序特征;获取到目标对象相对于所有元路径类型的路径时序特征后,服务器将各个路径时序特征输入元路径注意力机制,得到目标对象的目标时序特征。服务器最终将目标时序特征输入多层神经网络模型,得到目标对象的识别结果。
上述各个实施例示出了网络交易系统中欺诈行为的识别方法的流程,即欺诈行为识别模型的应用阶段,在实际的业务场景中应用欺诈行为识别模型之前,首选需要对其进行模型训练。如图10所示,其示出了本申请一个示例性实施例提供的网络交易系统中欺诈行为的识别方法的流程图。本实施例以该方法用于图1所示实施环境中的服务器120为例进行说明,该方法包括如下步骤:
步骤1001,从网络交易系统的异构网络中获取样本对象的样本元路径实例,样本元路径实例是以样本对象为路径节点,由相邻路径节点之间的样本对象关系所形成的路径。
其中,异构网络中包含不同对象之间的对象关系,对象关系基于对象在网络交易系统中的行为产生。
样本元路径实例的路径起点为样本对象对应的路径节点,且样本元路径实例中路径节点的节点顺序为样本对象关系的形成顺序。
在一种可能的实施方式中,在进行模型训练之前,服务器首选需要构建用于模型训练的样本数据集,该样本数据集包含正样本的样本元路径实例以及负样本的样本元路径实例,其中,正样本为确定不存在欺诈行为的对象,负样本为确定存在欺诈行为的对象。为了提高样本元路径实例的多样性,使训练得到的模型能够识别出多样且复杂的欺诈行为,服务器针对每个样本对象,获取n种不同样本元路径类型的样本元路径实例,并且对于每种样本元路径类型,均获取m个样本元路径实例,以扩大数据来源和数据的丰富性。
步骤1002,对各个样本元路径实例进行时序特征提取,得到各个样本元路径实例的样本实例时序特征。
在一种可能的实施方式中,服务器基于样本元路径实例生成样本对象序列和样本关系序列,其中,样本对象序列包含样本元路径实例中的各个样本对象,样本关系序列包含样本元路径实例中的各个样本对象关系。服务器分别对样本对象序列和样本关系序列进行序列编码和特征提取,得到样本对象时序特征和样本关系时序特征,然后对同一样本元路径实例进行特征拼接,得到该样本元路径实例的样本实例时序特征。通过分别提取样本对象序列和样本关系序列的时序特征,再进行特征拼接的方式得到样本实例时序特征,使得样本实例时序特征能够包含样本对象的交易行为中与其它对象之间的时序关系,以及各个交易行为之间的时序关系。
步骤1003,基于各个样本元路径实例的样本实例时序特征,确定样本对象对应的样本时序特征。
服务器针对每个样本对象获取到的样本元路径实例中,包含属于不同样本元路径类型的样本元路径实例。因此,服务器首先针对属于同一样本元路径类型的样本元路径实例的样本实例时序特征进行最大池化操作,获得该样本元路径类型的样本路径时序特征,进而基于各个样本元路径类型对应我的样本路径时序特征,得到样本对象的样本时序特征。
步骤1004,将样本时序特征输入欺诈行为识别模型,得到欺诈行为识别模型输出的样本识别结果,样本识别结果用于指示样本对象在网络交易中是否存在欺诈行为。
在一种可能的实施方式中,本申请实施例中的欺诈行为识别模型采用MLP模型,服务器利用MLP模型,使样本时序特征集经过k层激活函数,最终得到样本识别结果。
可选的,服务器以S型生长曲线(sigmoid函数)为激活函数进行模型训练,通过sigmoid函数将利用公式(12)得到的特征z映射至0-1的区间:
Figure BDA0003004173930000181
步骤1005,以样本对象对应的样本标签为样本识别结果的监督,对欺诈行为识别模型进行模型训练,样本标签用于指示样本对象在网络交易中是否存在欺诈行为。
开发人员在确定样本对象时,为样本对象添加样本标签,该样本标签用于指示样本对象在网络交易中是否存在欺诈行为。服务器基于样本元路径实例得到样本对象的样本识别结果后,利用样本标签作为样本识别结果的监督,对MLP模型以及LSTM模型和注意力机制进行反向传播训练,更新模型参数,直至模型收敛。
示意性的,服务器以交叉熵作为二分类的损失函数进行模型参数更新:
Figure BDA0003004173930000182
公式(14)为本申请实施例中的欺诈行为识别模型所用的损失函数,为了防止模型过拟合,损失函数中加入了参数2范数的约束。模型的更新方式可以采用梯度下降方法。完成模型的训练可进行模型上线,最终实现对交易欺诈行为的监测。
综上所述,本申请实施例中,通过获取样本对象的样本元路径实例,并利用注意力机制融合多种不同类型的样本元路径实例的样本实例时序特征,形成样本对线的特征向量,即样本时序特征,丰富了模型训练的数据来源,使得训练得到的欺诈行为识别模型具有普适性,适用于不同的欺诈识别场景。
图11是本申请一个示例性实施例提供的网络交易系统中欺诈行为的识别装置的结构框图,该装置包括:
第一获取模块1101,用于从网络交易系统的异构网络中获取目标对象对应的元路径实例,所述异构网络中包含不同对象之间的对象关系,所述对象关系基于对象在所述网络交易系统中的行为产生,所述元路径实例是以对象为路径节点,由相邻路径节点之间的对象关系所形成的路径,其中,所述元路径实例的路径起点为所述目标对象对应的路径节点,且所述元路径实例中所述路径节点的节点顺序为所述对象关系的形成顺序;
第一特征提取模块1102,用于对各个所述元路径实例进行时序特征提取,得到各个所述元路径实例的实例时序特征;
第一确定模块1103,用于基于各个所述元路径实例的所述实例时序特征,确定所述目标对象对应的目标时序特征;
第一识别模块1104,用于基于所述目标时序特征对所述目标对象进行欺诈行为识别,得到识别结果,所述识别结果用于指示所述目标对象在网络交易中是否存在欺诈行为。
可选的,所述第一特征提取模块1102,包括:
生成单元,用于基于所述元路径实例生成对象序列和关系序列,所述对象序列包含所述元路径实例中的各个对象,所述关系序列包含所述元路径实例中的各个对象关系;
第一获取单元,用于基于所述对象序列和所述关系序列对所述元路径实例进行编码,得到所述元路径实例对应的对象时序特征和关系时序特征;
第二获取单元,用于对所述对象时序特征和所述关系时序特征进行特征融合,得到所述实例时序特征。
可选的,所述第一获取单元,还用于:
获取所述对象序列中各个对象的对象属性信息,以及所述关系序列中各个对象关系的关系属性信息,所述对象属性信息包括对象类型,所述关系属性信息包括对象关系类型;
基于所述对象属性信息对所述对象序列进行编码,得到所述对象时序特征,并基于所述关系属性信息对所述关系序列进行编码,得到所述关系时序特征。
可选的,所述第一获取单元,还用于:
将包含所述对象属性信息的所述对象序列输入第一LSTM模型,并将包含所述关系属性信息的所述关系序列输入第二LSTM模型;
利用注意力机制对所述第一LSTM模型的输出向量进行特征融合,得到所述对象时序特征,并利用注意力机制对所述第二LSTM模型的输出向量进行特征融合,得到所述关系时序特征。
可选的,所述目标对象对应n种元路径类型,且每种元路径类型对应m个元路径实例,其中,不同元路径类型的元路径实例包含不同类型的对象和/或不同类型的对象关系,n、m为正整数;
所述第一确定模块1103,包括:
第一确定单元,用于基于同一元路径类型对应元路径实例的实例时序特征,确定所述元路径类型对应的元路径时序特征;
第二确定单元,用于基于各个元路径类型对应的所述元路径时序特征,确定所述目标时序特征。
可选的,所述第一确定单元,还用于:
对于同一元路径类型,对各个所述元路径实例对应的所述实例时序特征进行最大池化操作,得到所述元路径类型对应的所述元路径时序特征。
可选的,所述第二确定单元,还用于:
利用注意力机制对各个元路径类型对应的所述元路径时序特征进行特征融合,得到所述目标时序特征。
可选的,所述第一识别模块1104,包括:
第一识别单元,用于将所述目标时序特征输入欺诈行为识别模型,得到所述识别结果,所述欺诈行为识别模型为分类模型,且所述欺诈行为识别模型基于样本对象的样本识别结果以及所述样本对象对应的样本标签训练得到,所述样本标签用于指示所述样本对象在网络交易中是否存在欺诈行为。
可选的,所述识别结果指示所述目标对象在网络交易中存在欺诈行为;
所述装置还包括:
请求拦截模块,用于响应于存在所述目标对象发起的交易请求,拦截所述交易请求。
可选的,所述对象包括帐号和设备中的至少一种,所述对象关系包括帐号与帐号之间的关系以及帐号与设备之间的关系中的至少一种,所述帐号与帐号之间的关系包括互为联系人以及交易关系中的至少一种,所述帐号与设备之间的关系包括登录关系。
综上所述,本申请实施例中,按照对象关系的形成顺序提取网络交易系统的异构网络中目标对象对应的元路径实例,并对元路径实例进行时序特征提取,使目标时序特征能够体现对象以及对象关系的拓扑关系和时序特征,相比于传统的欺诈行为识别方式,扩展了信息量和欺诈行为的监控维度,能够充分挖掘存在欺诈行为与不存在欺诈行为的对象之间的差异;基于业务的元路径进行欺诈行为识别,业务方可以根据实际应用场景的业务特点自行定义元路径,获得适用于相应业务场景的元路径实例,因此方法具有普适性,适用于各种不同的业务场景。
图12是本申请一个示例性实施例提供的网络交易系统中欺诈行为的识别装置的结构框图,该装置包括:
第二获取模块1201,用于从网络交易系统的异构网络中获取样本对象的样本元路径实例,所述异构网络中包含不同对象之间的对象关系,所述对象关系基于对象在所述网络交易系统中的行为产生,所述样本元路径实例是以样本对象为路径节点,由相邻路径节点之间的样本对象关系所形成的路径,其中,所述样本元路径实例的路径起点为所述样本对象对应的路径节点,且所述样本元路径实例中所述路径节点的节点顺序为所述样本对象关系的形成顺序;
第二特征提取模块1202,用于对各个所述样本元路径实例进行时序特征提取,得到各个所述样本元路径实例的样本实例时序特征;
第二确定模块1203,用于基于各个所述样本元路径实例的所述样本实例时序特征,确定所述样本对象对应的样本时序特征;
第二识别模块1204,用于将所述样本时序特征输入欺诈行为识别模型,得到所述欺诈行为识别模型输出的样本识别结果,所述样本识别结果用于指示所述样本对象在网络交易中是否存在欺诈行为;
模型训练模块1205,用于以所述样本对象对应的样本标签为所述样本识别结果的监督,对所述欺诈行为识别模型进行模型训练,所述样本标签用于指示所述样本对象在网络交易中是否存在欺诈行为。
综上所述,本申请实施例中,通过获取样本对象的样本元路径实例,并利用注意力机制融合多种不同类型的样本元路径实例的样本实例时序特征,形成样本对线的特征向量,即样本时序特征,丰富了模型训练的数据来源,使得训练得到的欺诈行为识别模型具有普适性,适用于不同的欺诈识别场景。
请参考图13,其示出了本申请一个实施例提供的计算机设备的结构示意图。具体来讲:
所述计算机设备1300包括中央处理单元(Central Processing Unit,CPU)1301、包括随机存取存储器(Random Access Memory,RAM)1302和只读存储器(Read OnlyMemory,ROM)1303的系统存储器1304,以及连接系统存储器1304和中央处理单元1301的系统总线1305。所述计算机设备1300还包括帮助计算机内的各个器件之间传输信息的基本输入/输出(Input/Output,I/O)控制器1306,和用于存储操作系统1313、应用程序1314和其他程序模块1315的大容量存储设备1307。
所述基本输入/输出系统1306包括有用于显示信息的显示器1308和用于用户输入信息的诸如鼠标、键盘之类的输入设备1309。其中所述显示器1308和输入设备1309都通过连接到系统总线1305的输入输出控制器1310连接到中央处理单元1301。所述基本输入/输出系统1306还可以包括输入输出控制器1310以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地,输入/输出控制器1310还提供输出到显示屏、打印机或其他类型的输出设备。
所述大容量存储设备1307通过连接到系统总线1305的大容量存储控制器(未示出)连接到中央处理单元1301。所述大容量存储设备1307及其相关联的计算机可读介质为计算机设备1300提供非易失性存储。也就是说,所述大容量存储设备1307可以包括诸如硬盘或者只读光盘(Compact Disc Read-Only Memory,CD-ROM)驱动器之类的计算机可读介质(未示出)。
不失一般性,所述计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、可擦除可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、闪存或其他固态存储其技术,CD-ROM、数字视频光盘(Digital Video Disc,DVD)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知所述计算机存储介质不局限于上述几种。上述的系统存储器1304和大容量存储设备1307可以统称为存储器。
根据本申请的各种实施例,所述计算机设备1300还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即计算机设备1300可以通过连接在所述系统总线1305上的网络接口单元1311连接到网络1312,或者说,也可以使用网络接口单元1311来连接到其他类型的网络或远程计算机系统(未示出)。
所述存储器还包括至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、至少一段程序、代码集或指令集存储于存储器中,且经配置以由一个或者一个以上处理器执行,以实现上述网络交易系统中欺诈行为的识别方法。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有至少一条指令,所述至少一条指令由处理器加载并执行以实现如上各个实施例所述的网络交易系统中欺诈行为的识别方法。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。服务器的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该服务器执行上述方面的各种可选实现方式中提供的网络交易系统中欺诈行为的识别方法。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本申请实施例所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读存储介质中或者作为计算机可读存储介质上的一个或多个指令或代码进行传输。计算机可读存储介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上所述仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (15)

1.一种网络交易系统中欺诈行为的识别方法,其特征在于,所述方法包括:
从网络交易系统的异构网络中获取目标对象对应的元路径实例,所述异构网络中包含不同对象之间的对象关系,所述对象关系基于对象在所述网络交易系统中的行为产生,所述元路径实例是以对象为路径节点,由相邻路径节点之间的对象关系所形成的路径,其中,所述元路径实例的路径起点为所述目标对象对应的路径节点,且所述元路径实例中所述路径节点的节点顺序为所述对象关系的形成顺序;
对各个所述元路径实例进行时序特征提取,得到各个所述元路径实例的实例时序特征;
基于各个所述元路径实例的所述实例时序特征,确定所述目标对象对应的目标时序特征;
基于所述目标时序特征对所述目标对象进行欺诈行为识别,得到识别结果,所述识别结果用于指示所述目标对象在网络交易中是否存在欺诈行为。
2.根据权利要求1所述的方法,其特征在于,所述对各个所述元路径实例进行时序特征提取,得到各个所述元路径实例的实例时序特征,包括:
基于所述元路径实例生成对象序列和关系序列,所述对象序列包含所述元路径实例中的各个对象,所述关系序列包含所述元路径实例中的各个对象关系;
基于所述对象序列和所述关系序列对所述元路径实例进行编码,得到所述元路径实例对应的对象时序特征和关系时序特征;
对所述对象时序特征和所述关系时序特征进行特征融合,得到所述实例时序特征。
3.根据权利要求2所述的方法,其特征在于,所述基于所述对象序列和所述关系序列对所述元路径实例进行编码,得到所述元路径实例对应的对象时序特征和关系时序特征,包括:
获取所述对象序列中各个对象的对象属性信息,以及所述关系序列中各个对象关系的关系属性信息,所述对象属性信息包括对象类型,所述关系属性信息包括对象关系类型;
基于所述对象属性信息对所述对象序列进行编码,得到所述对象时序特征,并基于所述关系属性信息对所述关系序列进行编码,得到所述关系时序特征。
4.根据权利要求3所述的方法,其特征在于,所述基于所述对象属性信息对所述对象序列进行编码,得到所述对象时序特征,并基于所述关系属性信息对所述关系序列进行编码,得到所述关系时序特征,包括:
将包含所述对象属性信息的所述对象序列输入第一长短时记忆网络LSTM模型,并将包含所述关系属性信息的所述关系序列输入第二LSTM模型;
利用注意力机制对所述第一LSTM模型的输出向量进行特征融合,得到所述对象时序特征,并利用注意力机制对所述第二LSTM模型的输出向量进行特征融合,得到所述关系时序特征。
5.根据权利要求1至4任一所述的方法,其特征在于,所述目标对象对应n种元路径类型,且每种元路径类型对应m个元路径实例,其中,不同元路径类型的元路径实例包含不同类型的对象和/或不同类型的对象关系,n、m为正整数;
所述基于各个所述元路径实例的所述实例时序特征,确定所述目标对象对应的目标时序特征,包括:
基于同一元路径类型对应元路径实例的实例时序特征,确定所述元路径类型对应的元路径时序特征;
基于各个元路径类型对应的所述元路径时序特征,确定所述目标时序特征。
6.根据权利要求5所述的方法,其特征在于,所述基于同一元路径类型对应元路径实例的实例时序特征,确定所述元路径类型对应的元路径时序特征,包括:
对于同一元路径类型,对各个所述元路径实例对应的所述实例时序特征进行最大池化操作,得到所述元路径类型对应的所述元路径时序特征。
7.根据权利要求5所述的方法,其特征在于,所述基于各个元路径类型对应的所述元路径时序特征,确定所述目标时序特征,包括:
利用注意力机制对各个元路径类型对应的所述元路径时序特征进行特征融合,得到所述目标时序特征。
8.根据权利要求1至4任一所述的方法,其特征在于,所述基于所述目标时序特征对所述目标对象进行欺诈行为识别,得到识别结果,包括:
将所述目标时序特征输入欺诈行为识别模型,得到所述识别结果,所述欺诈行为识别模型为分类模型,且所述欺诈行为识别模型基于样本对象的样本识别结果以及所述样本对象对应的样本标签训练得到,所述样本标签用于指示所述样本对象在网络交易中是否存在欺诈行为。
9.根据权利要求1至4任一所述的方法,其特征在于,所述识别结果指示所述目标对象在网络交易中存在欺诈行为;
所述基于所述目标时序特征对所述目标对象进行欺诈行为识别,得到识别结果之后,所述方法还包括:
响应于存在所述目标对象发起的交易请求,拦截所述交易请求。
10.根据权利要求1至4任一所述的方法,其特征在于,所述对象包括帐号和设备中的至少一种,所述对象关系包括帐号与帐号之间的关系以及帐号与设备之间的关系中的至少一种,所述帐号与帐号之间的关系包括互为联系人以及交易关系中的至少一种,所述帐号与设备之间的关系包括登录关系。
11.一种网络交易系统中欺诈行为的识别方法,其特征在于,所述方法包括:
从网络交易系统的异构网络中获取样本对象的样本元路径实例,所述异构网络中包含不同对象之间的对象关系,所述对象关系基于对象在所述网络交易系统中的行为产生,所述样本元路径实例是以样本对象为路径节点,由相邻路径节点之间的样本对象关系所形成的路径,其中,所述样本元路径实例的路径起点为所述样本对象对应的路径节点,且所述样本元路径实例中所述路径节点的节点顺序为所述样本对象关系的形成顺序;
对各个所述样本元路径实例进行时序特征提取,得到各个所述样本元路径实例的样本实例时序特征;
基于各个所述样本元路径实例的所述样本实例时序特征,确定所述样本对象对应的样本时序特征;
将所述样本时序特征输入欺诈行为识别模型,得到所述欺诈行为识别模型输出的样本识别结果,所述样本识别结果用于指示所述样本对象在网络交易中是否存在欺诈行为;
以所述样本对象对应的样本标签为所述样本识别结果的监督,对所述欺诈行为识别模型进行模型训练,所述样本标签用于指示所述样本对象在网络交易中是否存在欺诈行为。
12.一种网络交易系统中欺诈行为的识别装置,其特征在于,所述装置包括:
第一获取模块,用于从网络交易系统的异构网络中获取目标对象对应的元路径实例,所述异构网络中包含不同对象之间的对象关系,所述对象关系基于对象在所述网络交易系统中的行为产生,所述元路径实例是以对象为路径节点,由相邻路径节点之间的对象关系所形成的路径,其中,所述元路径实例的路径起点为所述目标对象对应的路径节点,且所述元路径实例中所述路径节点的节点顺序为所述对象关系的形成顺序;
第一特征提取模块,用于对各个所述元路径实例进行时序特征提取,得到各个所述元路径实例的实例时序特征;
第一确定模块,用于基于各个所述元路径实例的所述实例时序特征,确定所述目标对象对应的目标时序特征;
第一识别模块,用于基于所述目标时序特征对所述目标对象进行欺诈行为识别,得到识别结果,所述识别结果用于指示所述目标对象在网络交易中是否存在欺诈行为。
13.一种网络交易系统中欺诈行为的识别装置,其特征在于,所述装置包括:
第二获取模块,用于从网络交易系统的异构网络中获取样本对象的样本元路径实例,所述异构网络中包含不同对象之间的对象关系,所述对象关系基于对象在所述网络交易系统中的行为产生,所述样本元路径实例是以样本对象为路径节点,由相邻路径节点之间的样本对象关系所形成的路径,其中,所述样本元路径实例的路径起点为所述样本对象对应的路径节点,且所述样本元路径实例中所述路径节点的节点顺序为所述样本对象关系的形成顺序;
第二特征提取模块,用于对各个所述样本元路径实例进行时序特征提取,得到各个所述样本元路径实例的样本实例时序特征;
第二确定模块,用于基于各个所述样本元路径实例的所述样本实例时序特征,确定所述样本对象对应的样本时序特征;
第二识别模块,用于将所述样本时序特征输入欺诈行为识别模型,得到所述欺诈行为识别模型输出的样本识别结果,所述样本识别结果用于指示所述样本对象在网络交易中是否存在欺诈行为;
模型训练模块,用于以所述样本对象对应的样本标签为所述样本识别结果的监督,对所述欺诈行为识别模型进行模型训练,所述样本标签用于指示所述样本对象在网络交易中是否存在欺诈行为。
14.一种服务器,其特征在于,所述服务器包括处理器和存储器;所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1至10任一所述的网络交易系统中欺诈行为的识别方法,或,权利要求11所述的网络交易系统中欺诈行为的识别方法。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条计算机程序,所述计算机程序由处理器加载并执行以实现如权利要求1至10任一所述的网络交易系统中欺诈行为的识别方法,或,权利要求11所述的网络交易系统中欺诈行为的识别方法。
CN202110357757.6A 2021-04-01 2021-04-01 网络交易系统中欺诈行为的识别方法、服务器及存储介质 Pending CN115187252A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110357757.6A CN115187252A (zh) 2021-04-01 2021-04-01 网络交易系统中欺诈行为的识别方法、服务器及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110357757.6A CN115187252A (zh) 2021-04-01 2021-04-01 网络交易系统中欺诈行为的识别方法、服务器及存储介质

Publications (1)

Publication Number Publication Date
CN115187252A true CN115187252A (zh) 2022-10-14

Family

ID=83512477

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110357757.6A Pending CN115187252A (zh) 2021-04-01 2021-04-01 网络交易系统中欺诈行为的识别方法、服务器及存储介质

Country Status (1)

Country Link
CN (1) CN115187252A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115907770A (zh) * 2022-11-18 2023-04-04 北京理工大学 一种基于时序特征融合的以太坊钓鱼欺诈识别与预警方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115907770A (zh) * 2022-11-18 2023-04-04 北京理工大学 一种基于时序特征融合的以太坊钓鱼欺诈识别与预警方法
CN115907770B (zh) * 2022-11-18 2023-09-29 北京理工大学 一种基于时序特征融合的以太坊钓鱼欺诈识别与预警方法

Similar Documents

Publication Publication Date Title
CN106803168B (zh) 一种异常转账侦测方法和装置
US11436430B2 (en) Feature information extraction method, apparatus, server cluster, and storage medium
WO2021174944A1 (zh) 基于目标对象活跃度的消息推送方法及相关设备
US20190205993A1 (en) Transaction data categorizer system and method
US10069891B2 (en) Channel accessible single function micro service data collection process for light analytics
Zhan et al. A loan application fraud detection method based on knowledge graph and neural network
CN112700252A (zh) 一种信息安全性检测方法、装置、电子设备和存储介质
US20190354993A1 (en) System and method for generation of case-based data for training machine learning classifiers
CN107767152B (zh) 产品购买倾向分析方法及服务器
CN112861662B (zh) 基于人脸和交互文本的目标对象行为预测方法及相关设备
US20230004979A1 (en) Abnormal behavior detection method and apparatus, electronic device, and computer-readable storage medium
US20230052225A1 (en) Methods and computer systems for automated event detection based on machine learning
US11847599B1 (en) Computing system for automated evaluation of process workflows
CN117557331A (zh) 一种产品推荐方法、装置、计算机设备及存储介质
CN113887214B (zh) 基于人工智能的意愿推测方法、及其相关设备
CN115187252A (zh) 网络交易系统中欺诈行为的识别方法、服务器及存储介质
US20170091050A1 (en) System for aggregation and transformation of real-time data
CN117033765A (zh) 业务推荐方法、装置、计算机设备和存储介质
AU2022420862A1 (en) Deduplication of accounts using account data collision detected by machine learning models
Xiao et al. Explainable fraud detection for few labeled time series data
CN112116441B (zh) 金融风险分类模型的训练方法、分类方法、装置及设备
US20240289877A1 (en) Systems and methods for validating dynamic income
CN117056273A (zh) 用于改进计算机标识的系统和方法
CN117350461B (zh) 企业异常行为预警方法、系统、计算机设备及存储介质
US20240112015A1 (en) Training a recurrent neural network machine learning model with behavioral data

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40074534

Country of ref document: HK

SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination