CN115841334A - 异常账户识别方法和装置、电子设备及存储介质 - Google Patents
异常账户识别方法和装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115841334A CN115841334A CN202211638692.3A CN202211638692A CN115841334A CN 115841334 A CN115841334 A CN 115841334A CN 202211638692 A CN202211638692 A CN 202211638692A CN 115841334 A CN115841334 A CN 115841334A
- Authority
- CN
- China
- Prior art keywords
- account
- initial
- node
- abnormal
- graph
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本申请提供了一种异常账户识别方法和装置、电子设备及存储介质,属于人工智能技术领域。方法包括:基于访问场景数据、账户基本信息、行为特征数据和访问频率数据,构建初始异构图;对初始图节点进行节点可疑度计算得到初始节点可疑度,对初始访问行为序列进行边可疑度计算得到边可疑度;基于初始节点可疑度构建初始账户搜索树和初始场景搜索树;基于初始账户搜索树和初始场景搜索树对初始异构图进行剪枝,得到中间异构图,对中间异构图进行异常评分,得到平均可疑度;根据平均可疑度从中间异构图筛选出目标异构图;对目标异构图进行风险评分得到风险分值;根据风险分值从目标异构图中识别出异常账户。本申请能够提高异常账户的识别准确性。
Description
技术领域
本申请涉及人工智能技术领域,尤其涉及一种异常账户识别方法和装置、电子设备及存储介质。
背景技术
目前的异常账户识别方法大多是基于对每个账户本身的特征进行异常分析,以确定该账户是否为异常账户,这一方式往往存在着识别准确性不高的问题,因此,如何提高异常账户的识别准确性,成为了亟待解决的技术问题。
发明内容
本申请实施例的主要目的在于提出一种异常账户识别方法和装置、电子设备及存储介质,旨在提高异常账户的识别准确性。
为实现上述目的,本申请实施例的第一方面提出了一种异常账户识别方法,所述方法包括:
获取目标账户的目标访问数据和账户基本信息,其中,所述目标访问数据包括所述目标账户的行为特征数据、访问场景数据、访问频率数据;
基于所述访问场景数据和所述账户基本信息确定初始图节点,基于所述行为特征数据和所述访问频率数据确定初始访问行为序列,并根据所述初始访问行为序列和所述初始图节点构建初始异构图;其中,所述初始图节点包括初始账户节点和初始场景节点,所述初始访问行为序列包括至少两个初始账户行为特征,每一所述初始账户行为特征连接两个相邻的初始图节点;
对所述初始图节点进行节点可疑度计算得到初始节点可疑度,并对所述初始访问行为序列进行边可疑度计算得到边可疑度,所述初始节点可疑度包括所述初始账户节点的第一可疑度和所述初始场景节点的第二可疑度;
基于所述第一可疑度和所述初始账户节点构建初始账户搜索树,并基于所述第二可疑度和所述初始场景节点构建初始场景搜索树;
基于所述初始账户搜索树和所述初始场景搜索树对所述初始异构图进行剪枝处理,得到中间异构图,并对所述中间异构图进行异常评分,得到平均可疑度;
根据所述平均可疑度对所述中间异构图进行识别,得到目标异构图;
基于预设的风险评分模型对所述目标异构图进行风险评分,得到风险分值;其中,所述风险分值用于表征所述初始账户节点的风险程度;
根据所述风险分值从所述目标异构图中筛选出异常账户。
在一些实施例,所述对所述初始图节点进行节点可疑度计算得到初始节点可疑度,并对所述初始访问行为序列进行边可疑度计算得到边可疑度,包括:
获取所述初始账户行为特征的特征数量;
基于预设公式和所述特征数量进行边可疑度计算,得到每一所述初始账户行为特征的边可疑度;
根据所述初始账户行为特征和所述初始图节点的连接关系,将与所述初始图节点相连的所有初始账户行为特征的边可疑度进行求和,得到所述初始图节点的初始节点可疑度。
在一些实施例,所述基于所述第一可疑度和所述初始账户节点构建初始账户搜索树,并基于所述第二可疑度和所述初始场景节点构建初始场景搜索树,包括:
基于所述初始账户节点,构建初始账户二叉树,并基于所述初始场景节点,构建初始场景二叉树;
基于所述第一可疑度的大小,对所述初始账户二叉树进行节点位置调整,得到所述初始账户搜索树,所述初始账户搜索树包括账户根节点和账户叶子节点;
基于所述第二可疑度的大小,对所述初始场景二叉树进行节点位置调整,得到所述初始场景搜索树,所述初始场景搜索树包括场景根节点和场景叶子节点。
在一些实施例,所述初始账户搜索树包括账户根节点和账户叶子节点,所述初始场景搜索树包括场景根节点和场景叶子节点,所述基于所述初始账户搜索树和所述初始场景搜索树对所述初始异构图进行剪枝处理,得到中间异构图,并对所述中间异构图进行异常评分,得到平均可疑度,包括:
提取所述账户根节点和所述场景根节点,其中,所述账户根节点为所述初始账户搜索树中第一可疑度最小的初始账户节点,所述场景根节点为所述初始场景搜索树中第二可疑度最小的初始场景节点;
从所述初始异构图中剔除所述账户根节点和所述场景根节点,得到所述中间异构图;
获取所述中间异构图的图节点数量;
基于所述中间异构图的初始账户节点,计算所述中间异构图的第一可疑总值,并所述中间异构图的初始场景节点,计算所述中间异构图的第二可疑总值;
根据所述预设公式、所述图节点数量、所述第一可疑总值、所述第二可疑总值对所述中间异构图进行异常评分,得到所述平均可疑度。
在一些实施例,所述风险评分模型包括特征提取层和多个预设的候选评分模板,所述基于预设的风险评分模型对所述目标异构图进行风险评分,得到风险分值,包括:
基于所述特征提取层对所述目标异构图进行节点特征提取,得到目标账户特征;
基于所述候选评分模板对所述目标账户特征进行风险评分,得到每一所述初始账户节点的风险分值。
在一些实施例,所述基于所述评分模板对所述目标账户特征进行风险评分,得到每一所述初始账户节点的风险分值,包括:
提取至少两个所述候选评分模板作为目标评分模板;
基于所述目标评分模板对所述目标账户特征进行风险评分,得到模板分值;
根据预设的权重参数对所述模板分值进行加权计算,得到所述风险分值。
在一些实施例,所述根据所述风险分值从所述目标异构图中识别出异常账户,包括:
比对所述风险分值和预设的风险阈值;
选取所述目标异构图中风险分值大于所述风险阈值的初始账户节点作为目标账户节点;
将所述目标账户节点对应的目标账户作为异常账户。
为实现上述目的,本申请实施例的第二方面提出了一种异常账户识别装置,所述装置包括:
数据获取模块,用于获取目标账户的目标访问数据和账户基本信息,其中,所述目标访问数据包括所述目标账户的行为特征数据、访问场景数据、访问频率数据;
图构建模块,用于基于所述访问场景数据和所述账户基本信息确定初始图节点,基于所述行为特征数据和所述访问频率数据确定初始访问行为序列,并根据所述初始访问行为序列和所述初始图节点构建初始异构图;其中,所述初始图节点包括初始账户节点和初始场景节点,所述初始访问行为序列包括至少两个初始账户行为特征,每一所述初始账户行为特征连接两个相邻的初始图节点;
计算模块,用于对所述初始图节点进行节点可疑度计算得到初始节点可疑度,并对所述初始访问行为序列进行边可疑度计算得到边可疑度,所述初始节点可疑度包括所述初始账户节点的第一可疑度和所述初始场景节点的第二可疑度;
搜索树构建模块,用于基于所述第一可疑度和所述初始账户节点构建初始账户搜索树,并基于所述第二可疑度和所述初始场景节点构建初始场景搜索树;
异构图处理模块,用于基于所述初始账户搜索树和所述初始场景搜索树对所述初始异构图进行剪枝处理,得到中间异构图,并对所述中间异构图进行异常评分,得到平均可疑度;
异构图筛选模块,用于根据所述平均可疑度对所述中间异构图进行筛选,得到目标异构图;
评分模块,用于基于预设的风险评分模型对所述目标异构图进行风险评分,得到风险分值;其中,所述风险分值用于表征所述初始账户节点的风险程度;
账户识别模块,用于根据所述风险分值从所述目标异构图中识别出异常账户。
为实现上述目的,本申请实施例的第三方面提出了一种电子设备,所述电子设备包括存储器、处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的方法。
为实现上述目的,本申请实施例的第四方面提出了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的方法。
本申请提出的异常账户识别方法、异常账户识别装置、电子设备及存储介质,其通过目标账户的访问场景数据和账户基本信息确定初始图节点,通过目标账户的行为特征数据和访问频率数据确定初始访问行为序列,并根据初始访问行为序列和初始图节点构建初始异构图初始图节点包括初始账户节点和初始场景节点,能够以异构图的形式将目标账户的目标访问数据进行展示,能够清楚地反映目标账户的行为特征和访问场景之间的关联性。进一步地,对初始图节点进行节点可疑度计算得到初始节点可疑度,并对初始访问行为序列进行边可疑度计算得到边可疑度,并基于第一可疑度和初始账户节点构建初始账户搜索树,并基于第二可疑度和初始场景节点构建初始场景搜索树,能够更为清楚地反映出每一初始账户节点的可疑度大小,并从初始账户搜索树、初始场景搜索树中识别出可疑度最低的节点,提高了节点可疑度的分析效率和分析准确性。进一步地,基于初始账户搜索树和初始场景搜索树对初始异构图进行剪枝处理,得到中间异构图,并对中间异构图进行异常评分,得到平均可疑度,根据平均可疑度对中间异构图进行筛选,得到目标异构图,能够较为方便地实现对初始异构图的剪枝操作,得到多个中间异构图以及每一中间异构图对应的平均可疑度,使得能够根据平均可疑度的大小确定中间异构图中的异常账户的存在情况,有利于从群体的角度对异常账户进行识别,提高了异常账户的准确性。最后,基于预设的风险评分模型对目标异构图进行风险评分,得到风险分值,并根据风险分值从目标异构图中识别出异常账户,这一方式通过风险分值能够较为准确地反映每个目标账户存在风险的程度,能够较好地提高异常账户的识别准确性。
附图说明
图1是本申请实施例提供的异常账户识别方法的流程图;
图2是图1中的步骤S103的流程图;
图3是图1中的步骤S104的流程图;
图4是图1中的步骤S105的流程图;
图5是图1中的步骤S107的流程图;
图6是图5中的步骤S502的流程图;
图7是图1中的步骤S108的流程图;
图8是本申请实施例提供的异常账户识别装置的结构示意图;
图9是本申请实施例提供的电子设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
需要说明的是,虽然在装置示意图中进行了功能模块划分,在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于装置中的模块划分,或流程图中的顺序执行所示出或描述的步骤。说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
首先,对本申请中涉及的若干名词进行解析:
人工智能(art i f i c i a l i nte l l i gence,A I):是研究、开发用于模拟、延伸和扩展人的智能的理论、方法、技术及应用系统的一门新的技术科学;人工智能是计算机科学的一个分支,人工智能企图了解智能的实质,并生产出一种新的能以人类智能相似的方式做出反应的智能机器,该领域的研究包括机器人、语言识别、图像识别、自然语言处理和专家系统等。人工智能可以对人的意识、思维的信息过程的模拟。人工智能还是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
自然语言处理(natura l l anguage process i ng,NLP):NLP用计算机来处理、理解以及运用人类语言(如中文、英文等),NLP属于人工智能的一个分支,是计算机科学与语言学的交叉学科,又常被称为计算语言学。自然语言处理包括语法分析、语义分析、篇章理解等。自然语言处理常用于机器翻译、手写体和印刷体字符识别、语音识别及文语转换、信息意图识别、信息抽取与过滤、文本分类与聚类、舆情分析和观点挖掘等技术领域,它涉及与语言处理相关的数据挖掘、机器学习、知识获取、知识工程、人工智能研究和与语言计算相关的语言学研究等。
信息抽取(I nformat i on Extract i on,NER):从自然语言文本中抽取指定类型的实体、关系、事件等事实信息,并形成结构化数据输出的文本处理技术。信息抽取是从文本数据中抽取特定信息的一种技术。文本数据是由一些具体的单位构成的,例如句子、段落、篇章,文本信息正是由一些小的具体的单位构成的,例如字、词、词组、句子、段落或是这些具体的单位的组合。抽取文本数据中的名词短语、人名、地名等都是文本信息抽取,当然,文本信息抽取技术所抽取的信息可以是各种类型的信息。
二叉树(B i nary tree):是树形结构的一个重要类型。许多实际问题抽象出来的数据结构往往是二叉树形式,即使是一般的树也能简单地转换为二叉树,二叉树的存储结构及其算法都较为简单。二叉树特点是每个节点最多只能有两棵子树,且有左右之分。二叉树是n个有限元素的集合,该集合或者为空、或者由一个称为根(root)的元素及两个不相交的、被分别称为左子树和右子树的二叉树组成,是有序树。当集合为空时,称该二叉树为空二叉树。在二叉树中,一个元素也称作一个节点。
目前的异常账户识别方法大多是基于对每个账户本身的特征进行异常分析,以确定该账户是否为异常账户,这一方式往往存在着识别准确性不高的问题,因此,如何提高异常账户的识别准确性,成为了亟待解决的技术问题。
基于此,本申请实施例提供了一种异常账户识别方法、异常账户识别装置、电子设备及存储介质,旨在提高异常账户识别的准确性。
本申请实施例提供的异常账户识别方法、异常账户识别装置、电子设备及存储介质,具体通过如下实施例进行说明,首先描述本申请实施例中的异常账户识别方法。
本申请实施例可以基于人工智能技术对相关的数据进行获取和处理。其中,人工智能(Art i f i c i a l I nte l l i gence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、机器人技术、生物识别技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
本申请实施例提供的异常账户识别方法,涉及人工智能技术领域。本申请实施例提供的异常账户识别方法可应用于终端中,也可应用于服务器端中,还可以是运行于终端或服务器端中的软件。在一些实施例中,终端可以是智能手机、平板电脑、笔记本电脑、台式计算机等;服务器端可以配置成独立的物理服务器,也可以配置成多个物理服务器构成的服务器集群或者分布式系统,还可以配置成提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN以及大数据和人工智能平台等基础云计算服务的云服务器;软件可以是实现异常账户识别方法的应用等,但并不局限于以上形式。
本申请可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
需要说明的是,在本申请的各个具体实施方式中,当涉及到需要根据用户信息、用户行为数据、用户语音数据、用户历史数据以及用户位置信息等与用户身份或特性相关的数据进行相关处理时,都会先获得用户的许可或者同意,而且,对这些数据的收集、使用和处理等,都会遵守相关国家和地区的相关法律法规和标准。此外,当本申请实施例需要获取用户的敏感个人信息时,会通过弹窗或者跳转到确认页面等方式获得用户的单独许可或者单独同意,在明确获得用户的单独许可或者单独同意之后,再获取用于使本申请实施例能够正常运行的必要的用户相关数据。
图1是本申请实施例提供的异常账户识别方法的一个可选的流程图,图1中的方法可以包括但不限于包括步骤S101至步骤S108。
步骤S101,获取目标账户的目标访问数据和账户基本信息,其中,目标访问数据包括目标账户的行为特征数据、访问场景数据和访问频率数据;
步骤S102,基于访问场景数据和账户基本信息确定初始图节点,基于行为特征数据和访问频率数据确定初始访问行为序列,并根据初始访问行为序列和初始图节点构建初始异构图;其中,初始图节点包括初始账户节点和初始场景节点,初始访问行为序列包括至少两个初始账户行为特征,每一初始账户行为特征连接两个相邻的初始图节点;
步骤S103,对初始图节点进行节点可疑度计算得到初始节点可疑度,并对初始访问行为序列进行边可疑度计算得到边可疑度,初始节点可疑度包括初始账户节点的第一可疑度和初始场景节点的第二可疑度;
步骤S104,基于第一可疑度和初始账户节点构建初始账户搜索树,并基于第二可疑度和初始场景节点构建初始场景搜索树;
步骤S105,基于初始账户搜索树和初始场景搜索树对初始异构图进行剪枝处理,得到中间异构图,并对中间异构图进行异常评分,得到平均可疑度;
步骤S106,根据平均可疑度对中间异构图进行筛选,得到目标异构图;
步骤S107,基于预设的风险评分模型对目标异构图进行风险评分,得到风险分值;其中,风险分值用于表征初始账户节点的风险程度;
步骤S108,根据风险分值从目标异构图中识别出异常账户。
本申请实施例所示意的步骤S101至步骤S108,通过目标账户的访问场景数据和账户基本信息确定初始图节点,通过目标账户的行为特征数据和访问频率数据确定初始访问行为序列,并根据初始访问行为序列和初始图节点构建初始异构图,初始图节点包括初始账户节点和初始场景节点,能够以异构图的形式将目标账户的目标访问数据进行展示,能够清楚地反映目标账户的行为特征和访问场景之间的关联性。通过对初始图节点进行节点可疑度计算得到初始节点可疑度,并对初始访问行为序列进行边可疑度计算得到边可疑度,并基于第一可疑度和初始账户节点构建初始账户搜索树,并基于第二可疑度和初始场景节点构建初始场景搜索树,能够更为清楚地反映出每一初始账户节点的可疑度大小,并从初始账户搜索树、初始场景搜索树中识别出可疑度最低的节点,提高了节点可疑度的分析效率和分析准确性。通过基于初始账户搜索树和初始场景搜索树对初始异构图进行剪枝处理,得到中间异构图,并对中间异构图进行异常评分,得到平均可疑度,根据平均可疑度对中间异构图进行筛选,得到目标异构图,能够较为方便地实现对初始异构图的剪枝操作,得到多个中间异构图以及每一中间异构图对应的平均可疑度,使得能够根据平均可疑度的大小确定中间异构图中的异常账户的存在情况,有利于从群体的角度对异常账户进行识别,提高了异常账户的准确性。通过基于预设的风险评分模型对目标异构图进行风险评分,得到风险分值,并根据风险分值从目标异构图中筛选出异常账户,这一方式通过风险分值能够较为准确地反映每个目标账户存在风险的程度,能够较好地提高异常账户的识别准确性。
在一些实施例的步骤S101中,可以直接从目标平台后端的日志信息中获取目标账户的目标访问数据和账户基本信息,也可以通过网络爬虫对预设数据源进行数据爬取,得到目标账户的目标访问数据和账户基本信息。其中,目标访问数据包括目标账户的历史行为数据,历史行为数据包括行为特征数据、访问场景数据、访问频率数据,目标账户为在目标平台或者目标客户端等注册的账户,账户基本信息为注册人的姓名、联系方式、注册设备信息等等,行为特征数据为目标账户在目标平台或者目标客户端等进行浏览、点击、购买、收藏等行为,访问场景数据包括目标平台或者目标客户端等内的各种业务领域的场景页面,例如,访问场景为某一产品营销活动或者产品推广活动等等。访问频率数据包括目标账户在不同访问场景下的浏览时长、访问时间、访问次数、互动次数等等。
在一些实施例的步骤S102中,基于访问场景数据和账户基本信息确定初始图节点,基于行为特征数据和访问频率数据确定初始访问行为序列,根据初始访问行为序列和初始图节点构建初始异构图。在构建初始异构图时,将访问场景数据和账户基本信息作为初始异构图的初始图节点,将行为特征数据作为初始异构图的边,将访问频率数据作为初始异构图的权重,初始图节点包括初始账户节点和初始场景节点,初始访问行为序列包括至少两个初始账户行为特征,该初始账户行为特征根据行为特征数据得来,每一初始账户行为特征连接两个相邻的初始图节点。这一方式能够以异构图的形式将目标账户的目标访问数据和账户基本信息进行展示,能够清楚地反映目标账户的行为特征和访问场景之间的关联性。
进一步地,定义初始异构图的初始图节点集合S=[P,Q],其中,P代表初始账户节点集合,Q代表初始场景节点集合,则当前的初始图节点集合S=[P1,P2,P3,…,Pm,Q1,Q2,Q3,…,Qn],m和n为大于0的整数。
例如,账户基本信息有账户A、账户B、场景C以及场景D,基于行为特征数据发现账户A在场景C中存在购买行为,账户B在场景C中存在浏览行为,账户B在场景D中存在购买行为。则初始异构图的初始图节点包括:初始账户节点A、初始账户节点B、初始场景节点C和初始场景节点D;初始异构图的初始访问行为序列包括:账户A和场景C之间的购买行为特征、账户B和场景D之间的购买行为特征、账户B和场景C之间的浏览行为特征,即初始账户节点A和初始场景节点C之间存在连接,初始账户节点B分别连接初始场景节点C和初始场景节点D。
请参阅图2,在一些实施例中,步骤S103可以包括但不限于包括步骤S201至步骤S203:
步骤S201,获取初始账户行为特征的特征数量;
步骤S202,基于预设公式和特征数量进行边可疑度计算,得到每一初始账户行为特征的边可疑度;
步骤S203,根据初始账户行为特征和初始图节点的连接关系,将与初始图节点相连的所有初始账户行为特征的边可疑度进行求和,得到初始图节点的初始节点可疑度。
在一些实施例的步骤S201中,由于初始异构图中,一条边只能连接到两个不同类型的初始图节点,一端连接初始账户节点,一端连接初始场景节点。则在计算某一初始账户行为特征T的边可疑度时,首先确定该初始账户行为特征T连接的初始账户节点Pi,再利用sum函数等统计函数计算该初始账户节点Pi连接的边的数量,查询到与该初始账户节点P i连接的边,累计边的数量,直到查询完与初始账户节点连接的所有边,得到与该初始账户节点Pi连接的边的数量,将这一数量作为初始账户特征T的特征数量,其中,i为大于0且小于等于m的整数。
在一些实施例的步骤S202中,在基于预设公式和特征数量进行边可疑度计算,得到每一初始账户行为特征的边可疑度时,预设公式可以表示如公式(1)所示:
其中,y为初始账户行为特征的边可疑度,x为特征数量(即边的数量)。基于这一公式和上述过程可以较为方便地计算出初始异构图中所有初始账户行为特征的边可疑度。
在一些实施例的步骤S203中,根据初始账户行为特征和初始图节点的连接关系,确定每一初始图节点连接的边,并将这些与该初始图节点存在连接的边的边可疑度进行求和,得到该初始图节点的初始节点可疑度。其中,在对某一初始账户节点连接的所有边的边可疑度进行求和时,可以得到该初始账户节点的第一可疑度;在对某一初始场景节点连接的所有边的边可疑度进行求和时,可以得到初始场景节点的第二可疑度。
例如,与初始场景节点Q2连接的边有第一条边(即第一初始账户行为特征)、第二条边(即第二初始账户行为特征)以及第三条边(即第三初始账户行为特征),计算到第一条边、第二条边、第三条边的边可疑度分别为0.1、0.7、0.23,则初始场景节点Q2的第二可疑度为0.1+0.7+0.23=1.03。
通过上述步骤S201至步骤S203能够较为方便地计算出每一初始图节点和每一初始账户行为特征的可疑度,从而使得能够根据可疑度的大小来初步确定每个目标账户的异常情况,有利于提高异常账户的识别准确性。
请参阅图3,在一些实施例中,步骤S104可以包括但不限于包括步骤S301至步骤S303:
步骤S301,基于初始账户节点,构建初始账户二叉树,并基于初始场景节点,构建初始场景二叉树;
步骤S302,基于第一可疑度的大小,对初始账户二叉树进行节点位置调整,得到初始账户搜索树,初始账户搜索树包括账户根节点和账户叶子节点;
步骤S303,基于第二可疑度的大小,对初始场景二叉树进行节点位置调整,得到初始场景搜索树,初始场景搜索树包括场景根节点和场景叶子节点。
在一些实施例的步骤S301中,将初始异构图的所有初始账户节点纳入同一集合,根据初始账户节点集合的元素顺序,构建一颗初始账户二叉树,即将初始账户节点集合的第一个元素作为初始账户二叉树的根节点(即初始账户二叉树的第一层级),再将第二个元素作为左子树的树节点,将第三个元素作为右子树的树节点(即初始账户二叉树的第二层级),将第四个元素和第五个元素作为左子树的叶子节点,将第六个元素、第七个元素作为右子树的叶子节点(即初始账户二叉树的第三层级),将第八个元素、第九个元素、第十个元素、第十一个元素作为左子树的叶子节点(即初始账户二叉树的第四层级),…,依次类推,直至将初始账户节点集合的所有元素添加到初始账户二叉树中。
同样地,将初始异构图的所有初始场景节点纳入同一集合,根据初始场景节点集合的元素顺序,构建一颗初始场景二叉树,即将初始场景节点集合的第一个元素作为初始场景二叉树的根节点(即初始场景二叉树的第一层级),再将第二个元素作为左子树的树节点,将第三个元素作为右子树的树节点(即初始场景二叉树的第二层级),将第四个元素和第五个元素作为左子树的叶子节点,将第六个元素、第七个元素作为右子树的叶子节点(即初始场景二叉树的第三层级),将第八个元素、第九个元素、第十个元素、第十一个元素作为左子树的叶子节点(即初始场景二叉树的第四层级),…,依次类推,直至将初始场景节点集合的所有元素添加到初始场景二叉树中。
在一些实施例的步骤S302中,基于第一可疑度的大小,对初始账户二叉树进行节点位置调整时,从第一个非叶子节点开始,按照从左到右,从下至上进行调整,将第一可疑度较小的叶子节点或者非叶子节点往上调整,使得第一可疑度最小的初始场景节点成为根节点,得到初始账户搜索树。
例如,某一初始账户节点集合为[(P1,7)、(P2,5)、(P3,8)、(P4,2)、(P5,15)、(P6,10)(P7,4)],其中,以(P1,7)为例,P1是指第一个初始账户节点(即第一元素),7指的是第一个初始账户节点的第一可疑度,则根据该初始账户节点集合生成的初始二叉树有:根节点为(P1,7);左子树的树节点为(P2,5);右子树的树节点为(P3,8);左子树的叶子节点为(P4,2)、(P5,15);右子树的叶子节点为(P6,10)(P7,4)。
根据从左到右,从下至上的顺序,找到第一个非叶子节点(P2,5),对第一个非叶子节点以及其下面的节点进行第一可疑度比较,即将(P2,5)、(P4,2)、(P5,15)进行第一可疑度比对,2<5<15,最小的是(P4,2),则将(P2,5)、(P4,2)进行位置互换,此时,(P4,2)成为新的左子树的树节点。同样地,找到第二个非叶子节点(P3,8),对第二个非叶子节点以及其下面的节点进行第一可疑度比较,即将(P3,8)、(P6,10)(P7,4)进行第一可疑度比对,4<8<10,最小的是(P7,4),则将(P3,8)、(P7,4)进行位置互换,此时,(P7,4)成为新的右子树的树节点。同样地,找到第三个非叶子节点(P1,7),对第三个非叶子节点以及其下面的节点进行第一可疑度比较,即将(P1,7)、(P4,2)、(P7,4)进行第一可疑度比对,2<4<7,最小的是(P4,2),则将(P1,7)、(P4,2)进行位置互换,此时,(P4,2)成为新的根节点。
在一些实施例的步骤S303中,基于第二可疑度的大小,对初始场景二叉树进行节点位置调整时,从第一个非叶子节点开始,从左到右,从下至上进行调整,将第二可疑度较小的叶子节点或者非叶子节点往上调整,使得第二可疑度最小的初始场景节点成为根节点,得到初始场景搜索树。
通过上述步骤S301至步骤3203能够以二叉树的形式对初始账户节点和初始场景节点进行节点可疑度分析,能够更为清楚地反映出每一初始账户节点的可疑度大小,并从初始账户搜索树、初始场景搜索树中识别出可疑度最低的节点,提高了节点可疑度的分析效率和分析准确性。
请参阅图4,在一些实施例中,初始账户搜索树包括账户根节点和账户叶子节点,初始场景搜索树包括场景根节点和场景叶子节点,步骤S105可以包括但不限于包括步骤S401至步骤S405:
步骤S401,提取账户根节点和场景根节点,其中,账户根节点为初始账户搜索树中第一可疑度最小的初始账户节点,场景根节点为初始场景搜索树中第二可疑度最小的初始场景节点;
步骤S402,从初始异构图中剔除账户根节点和场景根节点,得到中间异构图;
步骤S403,获取中间异构图的图节点数量;
步骤S404,基于中间异构图的初始账户节点,计算中间异构图的第一可疑总值,并中间异构图的初始场景节点,计算中间异构图的第二可疑总值;
步骤S405,根据预设公式、图节点数量、第一可疑总值、第二可疑总值对中间异构图进行异常评分,得到平均可疑度。
在一些实施例的步骤S401中,从初始账户搜索树中提取账户根节点,从初始场景搜索树中提取场景根节点,其中,账户根节点为初始账户搜索树中第一可疑度最小的初始账户节点,场景根节点为初始场景搜索树中第二可疑度最小的初始场景节点。
在一些实施例的步骤S402中,将账户根节点和场景根节点从初始异构图中剔除,并剔除与账户根节点和场景根节点有关的初始账户行为特征,根据剩余的初始账户节点、初始场景节点、初始账户行为特征进行图重构处理,得到经过第一次剪枝的中间异构图K1,即将剩余的初始账户节点和初始场景节点作为重构的中间异构图K1的图节点,将剩余的初始账户节点和初始场景节点之间的初始账户行为特征作为中间异构图K1的边。
在一些实施例的步骤S403中,可以利用sum函数等统计函数计算上述中间异构图K1的图节点数量,例如,先利用sum函数统计该中间异构图中的初始账户节点的节点总数|P|,再利用sum函数统计该中间异构图中的初始场景节点的节点总数|Q|,最后,得到该中间异构图的图节点数量|S|=|P|+|Q|。
在一些实施例的步骤S404中,首先对中间异构图K1中的剩余初始账户节点的第一可疑度进行相加,得到第一可疑总值F(P),其中,此处的剩余初始账户节点的第一可疑度是根据上述的步骤S103计算得到的可疑度;同样地,对中间异构图K1中的剩余初始场景节点的第二可疑度进行相加,得到第二可疑总值F(Q),其中,此处的剩余初始场景节点的第二可疑度是根据上述的步骤S103计算得到的可疑度。
在一些实施例的步骤S405中,根据预设公式、图节点数量、第一可疑总值、第二可疑总值对中间异构图进行异常评分,得到平均可疑度G(S)的计算过程可以表示如公式(2)所示:
其中,G(S)为当前的中间异构图的平均可疑度,|S|是当前的中间异构图的图节点总数,|P|是当前的中间异构图的初始账户节点的总数,|Q|是当前的中间异构图的初始场景节点的总数,F(P)是当前的中间异构图的初始账户节点的第一可疑总值,F(Q)是当前的中间异构图的初始场景节点的第二可疑总值。F(S)是当前的中间异构图的节点可疑总值。
同理,在计算完中间异构图K1的平均可疑度之后,参考上述的步骤S103,重新计算中间异构图中的初始账户行为特征的边可疑度和初始图节点的节点可疑度,再根据计算得到的新的节点可疑度(包括新的第一可疑度和新的第二可疑度),参考上述的步骤S301至步骤S303,构建中间异构图K1对应的初始账户搜索树和初始场景搜索树,并得到新的账户根节点和新的场景根节点,再参考上述的步骤S401至步骤S405,对中间异构图K1进行剪枝,得到新的中间异构图K2和中间异构图K2对应的平均可疑度,重复前述过程,继续对中间异构图K2进行搜索树构建和剪枝处理,得到中间异构图K3和中间异构图K3对应的平均可疑度,…,依次类推,直到对中间异构图Kj进行剪枝之后(即移除中间异构图Kj中的账户根节点和场景根节点之后,j为大于0的整数),未存在剩余的初始账户节点和初始场景节点,停止剪枝。
通过上述步骤S401至步骤S405能够较为方便地实现对初始异构图的剪枝操作,得到多个中间异构图以及每一中间异构图对应的平均可疑度,使得能够根据平均可疑度的大小确定每一个中间异构图中的异常账户的存在情况,有利于从群体的角度对异常账户进行识别,提高了异常账户的准确性。
在一些实施例的步骤S106中,比对每一次剪枝得到的中间异构图的平均可疑度的大小,平均可疑度越大,则表明该中间异构图中存在的异常账户的数量越多,则根据平均可疑度对中间异构图进行筛选,选取平均可疑度最大的中间异构图,得到目标异构图。
请参阅图5,在一些实施例中,风险评分模型包括特征提取层和多个预设的候选评分模板,步骤S107可以包括但不限于包括步骤S501至步骤S502:
步骤S501,基于特征提取层对目标异构图进行节点特征提取,得到目标账户特征;
步骤S502,基于候选评分模板对目标账户特征进行风险评分,得到每一初始账户节点的风险分值。
在一些实施例的步骤S501中,风险评分模型可以基于常用的深度学习模型构建而成,例如,风险评分模型可以是卷积神经网络模型、循环神经网络模型等等,不限于此。风险评分模型包括特征提取层和多个预设的候选评分模板,其中,特征提取层用于提取目标异构图中的节点特征信息,候选评分模板可以基于专家经验构建而成,例如,候选评分模板中会对不同的账户行为设置不同的评分规则,当某一账户行为特征命中该规则,则会产生相应的分数,例如,候选模板包括对不同浏览时间设置的分数,当浏览时间小于10分钟,则评分为5分,若浏览时间处于10分钟到60分钟之间,则评分为10分;候选模板包括对是否存在购买行为设置的分数,若存在购买行为,则评分为20分,不存在购买行为,则评分为5分等。候选评分模板可以根据不同的维度设置,即候选模板包括行为时间评分模板、行为频率评分模板以及行为类型评分模板等等,候选评分模板的总评分可以设置为100分。
其中,在基于特征提取层对目标异构图进行节点特征提取时,可以采用命名实体识别算法等来提取目标异构图中每一初始账户节点对应的实体特征,得到目标账户特征,该目标账户特征包括目标账户的注册时间、注册类型、账户访问行为特征等等。
在一些实施例的步骤S502中,基于候选评分模板对目标账户特征进行风险评分时,可以提取至少两个候选评分模板作为目标评分模板,基于选取的目标评分模板对目标账户特征分别进行风险评分,得到多个模板分值,再根据不同目标评分模板的权重占比,对这些模板分值进行加权计算,得到目标异构图中每一初始账户节点的风险分值,该风险分值能够表征每一初始账户节点的风险程度。
通过上述步骤S501至步骤S502能够较为方便地对目标异构图中的每一初始账户节点进行特征提取,获取较为重要的账户行为特征信息,并基于预设的候选评分模板直接进行风险评分,能够较好地提高风险评分的效率,同时,该候选评分模板是基于专家经验设置的,能够具备较好的客观性和合理性,有利于提高风险评分的准确性,从而通过风险分值能够较为准确地反映每个目标账户存在风险的程度,有利于异常账户的识别。
请参阅图6,在一些实施例,步骤S502包括但不限于包括步骤S601至步骤S603:
步骤S601,提取至少两个候选评分模板作为目标评分模板;
步骤S602,基于目标评分模板对目标账户特征进行风险评分,得到模板分值;
步骤S603,根据预设的权重参数对模板分值进行加权计算,得到风险分值。
在一些实施例的步骤S601中,为了同时提高评分效率和评分准确性,可以从多个候选评分模板提取出部分候选评分模板来对目标账户特征进行风险评分,例如,提取至少两个候选评分模板作为目标评分模板。
在一些实施例的步骤S602中,基于目标评分模板对目标账户特征进行风险评分时,比对目标评分模板上的每一参考账户特征与目标账户特征,若存在账户特征与目标账户特征相同,则将该参考账户特征对应的分值添加到该目标账户特征的风险评分中,将目标账户特征对应的所有参考账户特征的分值进行累加,得到模板分值。例如,目标评分模板包括行为评分模板和时间评分模板,行为评分模板包括点击行为(10分)、购买行为(20分)、收藏行为(15分),若目标账户特征包括某一场景下对物品A进行点击和收藏,则行为评分模板对应的模板分值为10+15=25分。
在一些实施例的步骤S603中,由于不同的模板分值对异常账户的识别的重要程度不同,因此,可以对不同的候选评分模板预设不同的权重参数,在得到每一目标评分模板的模板分值之后,对模板分值进行加权计算,从而得到目标异构图的初始账户节点的风险分值。
通过步骤S601至步骤S603能够对候选评分模板进行筛选,选择符合当前需求的作为目标评分模板,用目标评分模板来直接进行风险评分,能够较好地提高风险评分的效率,同时,由于所有的候选评分模板是基于专家经验设置的,且设置有不同的权重占比,因此能够使得风险评分过程具备较好的客观性和合理性,有利于提高风险评分的准确性。
请参阅图7,在一些实施例中,步骤S108可以包括但不限于包括步骤S701至步骤S703:
步骤S701,比对风险分值和预设的风险阈值;
步骤S702,选取目标异构图中风险分值大于风险阈值的初始账户节点作为目标账户节点;
步骤S703,将目标账户节点对应的目标账户作为异常账户。
在一些实施例的步骤S701中,风险阈值可以根据实际情况设置,例如,风险阈值为0.5。比对风险分值和预设的风险阈值,若风险分值超过了风险阈值,则说明该初始账户节点存在异常的可能性较大,若风险分值小于风险阈值,则说明该初始账户节点正常。
在一些实施例的步骤S702和步骤S703中,通过比对风险分值和预设的风险阈值,若风险分值超过了风险阈值,则说明该初始账户节点存在异常的可能性较大,因此,选取目标异构图中风险分值大于风险阈值的初始账户节点作为目标账户节点,将目标账户节点对应的目标账户作为异常账户。
通过上述步骤S701至步骤S703能够基于风险分值和风险阈值的比较情况,将存在较大异常可能性的初始账户节点筛选出来,作为目标账户节点,并识别这些目标账户节点对应的目标账户,从而确定出所有目标账户中的异常账户,提高了异常账户的识别准确性。
本申请实施例的异常账户识别方法,其通过目标账户的访问场景数据和账户基本信息确定初始图节点,通过目标账户的行为特征数据和访问频率数据确定初始访问行为序列,并根据初始访问行为序列和初始图节点构建初始异构图,初始图节点包括初始账户节点和初始场景节点,能够以异构图的形式将目标账户的目标访问数据进行展示,能够清楚地反映目标账户的行为特征和访问场景之间的关联性。通过对初始图节点进行节点可疑度计算得到初始节点可疑度,并对初始访问行为序列进行边可疑度计算得到边可疑度,并基于第一可疑度和初始账户节点构建初始账户搜索树,并基于第二可疑度和初始场景节点构建初始场景搜索树,能够更为清楚地反映出每一初始账户节点的可疑度大小,并从初始账户搜索树、初始场景搜索树中识别出可疑度最低的节点,提高了节点可疑度的分析效率和分析准确性。通过基于初始账户搜索树和初始场景搜索树对初始异构图进行剪枝处理,得到中间异构图,并对中间异构图进行异常评分,得到平均可疑度,根据平均可疑度对中间异构图进行筛选,得到目标异构图,能够较为方便地实现对初始异构图的剪枝操作,得到多个中间异构图以及每一中间异构图对应的平均可疑度,使得能够根据平均可疑度的大小确定中间异构图中的异常账户的存在情况,有利于从群体的角度对异常账户进行识别,提高了异常账户的准确性。通过基于预设的风险评分模型对目标异构图进行风险评分,得到风险分值,并根据风险分值从目标异构图中筛选出异常账户,这一方式通过风险分值能够较为准确地反映每个目标账户存在风险的程度,能够较好地提高异常账户的识别准确性。
请参阅图8,本申请实施例还提供一种异常账户识别装置,可以实现上述异常账户识别方法,该装置包括:
数据获取模块801,用于获取目标账户的目标访问数据和账户基本信息,其中,目标访问数据包括目标账户的行为特征数据、访问场景数据、访问频率数据;
图构建模块802,用于基于访问场景数据和账户基本信息确定初始图节点,基于行为特征数据和访问频率数据确定初始访问行为序列,并根据初始访问行为序列和初始图节点构建初始异构图;其中,初始图节点包括初始账户节点和初始场景节点,初始访问行为序列包括至少两个初始账户行为特征,每一初始账户行为特征连接两个相邻的初始图节点;
计算模块803,用于对初始图节点进行节点可疑度计算得到初始节点可疑度,并对初始访问行为序列进行边可疑度计算得到边可疑度,初始节点可疑度包括初始账户节点的第一可疑度和初始场景节点的第二可疑度;
搜索树构建模块804,用于基于第一可疑度和初始账户节点构建初始账户搜索树,并基于第二可疑度和初始场景节点构建初始场景搜索树;
异构图处理模块805,用于基于初始账户搜索树和初始场景搜索树对初始异构图进行剪枝处理,得到中间异构图,并对中间异构图进行异常评分,得到平均可疑度;
异构图筛选模块806,用于根据平均可疑度对中间异构图进行筛选,得到目标异构图;
评分模块807,用于基于预设的风险评分模型对目标异构图进行风险评分,得到风险分值;其中,风险分值用于表征初始账户节点的风险程度;
账户识别模块808,用于根据风险分值从目标异构图中识别出异常账户。
该异常账户识别装置的具体实施方式与上述异常账户识别方法的具体实施例基本相同,在此不再赘述。
本申请实施例还提供了一种电子设备,电子设备包括:存储器、处理器、存储在存储器上并可在处理器上运行的程序以及用于实现处理器和存储器之间的连接通信的数据总线,程序被处理器执行时实现上述异常账户识别方法。该电子设备可以为包括平板电脑、车载电脑等任意智能终端。
请参阅图9,图9示意了另一实施例的电子设备的硬件结构,电子设备包括:
处理器901,可以采用通用的CPU(Centra l Process i ngUn it,中央处理器)、微处理器、应用专用集成电路(App l i cat i onSpec i f i c I ntegratedCi rcu it,ASI C)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本申请实施例所提供的技术方案;
存储器902,可以采用只读存储器(ReadOn l yMemory,ROM)、静态存储设备、动态存储设备或者随机存取存储器(RandomAccessMemory,RAM)等形式实现。存储器902可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器902中,并由处理器901来调用执行本申请实施例的异常账户识别方法;
输入/输出接口903,用于实现信息输入及输出;
通信接口904,用于实现本设备与其他设备的通信交互,可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WI F I、蓝牙等)实现通信;
总线905,在设备的各个组件(例如处理器901、存储器902、输入/输出接口903和通信接口904)之间传输信息;
其中处理器901、存储器902、输入/输出接口903和通信接口904通过总线905实现彼此之间在设备内部的通信连接。
本申请实施例还提供了一种计算机可读存储介质,计算机可读存储介质存储有一个或者多个程序,一个或者多个程序可被一个或者多个处理器执行,以实现上述异常账户识别方法。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序以及非暂态性计算机可执行程序。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至该处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本申请实施例提供的异常账户识别方法、异常账户识别装置、电子设备及计算机可读存储介质,其通过目标账户的访问场景数据和账户基本信息确定初始图节点,通过目标账户的行为特征数据和访问频率数据确定初始访问行为序列,并根据初始访问行为序列和初始图节点构建初始异构图,初始图节点包括初始账户节点和初始场景节点,能够以异构图的形式将目标账户的目标访问数据进行展示,能够清楚地反映目标账户的行为特征和访问场景之间的关联性。通过对初始图节点进行节点可疑度计算得到初始节点可疑度,并对初始访问行为序列进行边可疑度计算得到边可疑度,并基于第一可疑度和初始账户节点构建初始账户搜索树,并基于第二可疑度和初始场景节点构建初始场景搜索树,能够更为清楚地反映出每一初始账户节点的可疑度大小,并从初始账户搜索树、初始场景搜索树中识别出可疑度最低的节点,提高了节点可疑度的分析效率和分析准确性。通过基于初始账户搜索树和初始场景搜索树对初始异构图进行剪枝处理,得到中间异构图,并对中间异构图进行异常评分,得到平均可疑度,根据平均可疑度对中间异构图进行筛选,得到目标异构图,能够较为方便地实现对初始异构图的剪枝操作,得到多个中间异构图以及每一中间异构图对应的平均可疑度,使得能够根据平均可疑度的大小确定中间异构图中的异常账户的存在情况,有利于从群体的角度对异常账户进行识别,提高了异常账户的准确性。通过基于预设的风险评分模型对目标异构图进行风险评分,得到风险分值,并根据风险分值从目标异构图中筛选出异常账户,这一方式通过风险分值能够较为准确地反映每个目标账户存在风险的程度,能够较好地提高异常账户的识别准确性。
本申请实施例描述的实施例是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域技术人员可知,随着技术的演变和新应用场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本领域技术人员可以理解的是,图1-7中示出的技术方案并不构成对本申请实施例的限定,可以包括比图示更多或更少的步骤,或者组合某些步骤,或者不同的步骤。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、设备中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,上述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括多指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例的方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-On l y Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序的介质。
以上参照附图说明了本申请实施例的优选实施例,并非因此局限本申请实施例的权利范围。本领域技术人员不脱离本申请实施例的范围和实质内所作的任何修改、等同替换和改进,均应在本申请实施例的权利范围之内。
Claims (10)
1.一种异常账户识别方法,其特征在于,所述方法包括:
获取目标账户的目标访问数据和账户基本信息,其中,所述目标访问数据包括所述目标账户的行为特征数据、访问场景数据、访问频率数据;
基于所述访问场景数据和所述账户基本信息确定初始图节点,基于所述行为特征数据和所述访问频率数据确定初始访问行为序列,并根据所述初始访问行为序列和所述初始图节点构建初始异构图;其中,所述初始图节点包括初始账户节点和初始场景节点,所述初始访问行为序列包括至少两个初始账户行为特征,每一所述初始账户行为特征连接两个相邻的初始图节点;
对所述初始图节点进行节点可疑度计算得到初始节点可疑度,并对所述初始访问行为序列进行边可疑度计算得到边可疑度,所述初始节点可疑度包括所述初始账户节点的第一可疑度和所述初始场景节点的第二可疑度;
基于所述第一可疑度和所述初始账户节点构建初始账户搜索树,并基于所述第二可疑度和所述初始场景节点构建初始场景搜索树;
基于所述初始账户搜索树和所述初始场景搜索树对所述初始异构图进行剪枝处理,得到中间异构图,并对所述中间异构图进行异常评分,得到平均可疑度;
根据所述平均可疑度对所述中间异构图进行筛选,得到目标异构图;
基于预设的风险评分模型对所述目标异构图进行风险评分,得到风险分值;其中,所述风险分值用于表征所述初始账户节点的风险程度;
根据所述风险分值从所述目标异构图中识别出异常账户。
2.根据权利要求1所述的异常账户识别方法,其特征在于,所述对所述初始图节点进行节点可疑度计算得到初始节点可疑度,并对所述初始访问行为序列进行边可疑度计算得到边可疑度,包括:
获取所述初始账户行为特征的特征数量;
基于预设公式和所述特征数量进行边可疑度计算,得到每一所述初始账户行为特征的边可疑度;
根据所述初始账户行为特征和所述初始图节点的连接关系,将与所述初始图节点相连的所有初始账户行为特征的边可疑度进行求和,得到所述初始图节点的初始节点可疑度。
3.根据权利要求2所述的异常账户识别方法,其特征在于,所述基于所述第一可疑度和所述初始账户节点构建初始账户搜索树,并基于所述第二可疑度和所述初始场景节点构建初始场景搜索树,包括:
基于所述初始账户节点,构建初始账户二叉树,并基于所述初始场景节点,构建初始场景二叉树;
基于所述第一可疑度的大小,对所述初始账户二叉树进行节点位置调整,得到所述初始账户搜索树,所述初始账户搜索树包括账户根节点和账户叶子节点;
基于所述第二可疑度的大小,对所述初始场景二叉树进行节点位置调整,得到所述初始场景搜索树,所述初始场景搜索树包括场景根节点和场景叶子节点。
4.根据权利要求3所述的异常账户识别方法,其特征在于,所述初始账户搜索树包括账户根节点和账户叶子节点,所述初始场景搜索树包括场景根节点和场景叶子节点,所述基于所述初始账户搜索树和所述初始场景搜索树对所述初始异构图进行剪枝处理,得到中间异构图,并对所述中间异构图进行异常评分,得到平均可疑度,包括:
提取所述账户根节点和所述场景根节点,其中,所述账户根节点为所述初始账户搜索树中第一可疑度最小的初始账户节点,所述场景根节点为所述初始场景搜索树中第二可疑度最小的初始场景节点;
从所述初始异构图中剔除所述账户根节点和所述场景根节点,得到所述中间异构图;
获取所述中间异构图的图节点数量;
基于所述中间异构图的初始账户节点,计算所述中间异构图的第一可疑总值,并所述中间异构图的初始场景节点,计算所述中间异构图的第二可疑总值;
根据所述预设公式、所述图节点数量、所述第一可疑总值、所述第二可疑总值对所述中间异构图进行异常评分,得到所述平均可疑度。
5.根据权利要求4所述的异常账户识别方法,其特征在于,所述风险评分模型包括特征提取层和多个预设的候选评分模板,所述基于预设的风险评分模型对所述目标异构图进行风险评分,得到风险分值,包括:
基于所述特征提取层对所述目标异构图进行节点特征提取,得到目标账户特征;
基于所述候选评分模板对所述目标账户特征进行风险评分,得到每一所述初始账户节点的风险分值。
6.根据权利要求5所述的异常账户识别方法,其特征在于,所述基于所述评分模板对所述目标账户特征进行风险评分,得到每一所述初始账户节点的风险分值,包括:
提取至少两个所述候选评分模板作为目标评分模板;
基于所述目标评分模板对所述目标账户特征进行风险评分,得到模板分值;
根据预设的权重参数对所述模板分值进行加权计算,得到所述风险分值。
7.根据权利要求1至6任一项所述的异常账户识别方法,其特征在于,所述根据所述风险分值从所述目标异构图中识别出异常账户,包括:
比对所述风险分值和预设的风险阈值;
选取所述目标异构图中风险分值大于所述风险阈值的初始账户节点作为目标账户节点;
将所述目标账户节点对应的目标账户作为异常账户。
8.一种异常账户识别装置,其特征在于,所述装置包括:
数据获取模块,用于获取目标账户的目标访问数据和账户基本信息,其中,所述目标访问数据包括所述目标账户的行为特征数据、访问场景数据、访问频率数据;
图构建模块,用于基于所述访问场景数据和所述账户基本信息确定初始图节点,基于所述行为特征数据和所述访问频率数据确定初始访问行为序列,并根据所述初始访问行为序列和所述初始图节点构建初始异构图;其中,所述初始图节点包括初始账户节点和初始场景节点,所述初始访问行为序列包括至少两个初始账户行为特征,每一所述初始账户行为特征连接两个相邻的初始图节点;
计算模块,用于对所述初始图节点进行节点可疑度计算得到初始节点可疑度,并对所述初始访问行为序列进行边可疑度计算得到边可疑度,所述初始节点可疑度包括所述初始账户节点的第一可疑度和所述初始场景节点的第二可疑度;
搜索树构建模块,用于基于所述第一可疑度和所述初始账户节点构建初始账户搜索树,并基于所述第二可疑度和所述初始场景节点构建初始场景搜索树;
异构图处理模块,用于基于所述初始账户搜索树和所述初始场景搜索树对所述初始异构图进行剪枝处理,得到中间异构图,并对所述中间异构图进行异常评分,得到平均可疑度;
异构图筛选模块,用于根据所述平均可疑度对所述中间异构图进行筛选,得到目标异构图;
评分模块,用于基于预设的风险评分模型对所述目标异构图进行风险评分,得到风险分值;其中,所述风险分值用于表征所述初始账户节点的风险程度;
账户识别模块,用于根据所述风险分值从所述目标异构图中识别出异常账户。
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的异常账户识别方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的异常账户识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211638692.3A CN115841334A (zh) | 2022-12-19 | 2022-12-19 | 异常账户识别方法和装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211638692.3A CN115841334A (zh) | 2022-12-19 | 2022-12-19 | 异常账户识别方法和装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115841334A true CN115841334A (zh) | 2023-03-24 |
Family
ID=85578918
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211638692.3A Pending CN115841334A (zh) | 2022-12-19 | 2022-12-19 | 异常账户识别方法和装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115841334A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117036037A (zh) * | 2023-10-09 | 2023-11-10 | 中国建设银行股份有限公司 | 可疑交易风险分析方法及装置 |
-
2022
- 2022-12-19 CN CN202211638692.3A patent/CN115841334A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117036037A (zh) * | 2023-10-09 | 2023-11-10 | 中国建设银行股份有限公司 | 可疑交易风险分析方法及装置 |
| CN117036037B (zh) * | 2023-10-09 | 2023-12-29 | 中国建设银行股份有限公司 | 可疑交易风险分析方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109145216A (zh) | 网络舆情监控方法、装置及存储介质 | |
| CN112365171B (zh) | 基于知识图谱的风险预测方法、装置、设备及存储介质 | |
| CN111899089A (zh) | 基于知识图谱的企业风险预警方法及系统 | |
| CN112149400A (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN111767725A (zh) | 一种基于情感极性分析模型的数据处理方法及装置 | |
| CN114626097A (zh) | 脱敏方法、脱敏装置、电子设备及存储介质 | |
| CN109918648B (zh) | 一种基于动态滑动窗口特征评分的谣言深度检测方法 | |
| CN114240552A (zh) | 基于深度聚类算法的产品推荐方法、装置、设备及介质 | |
| CN114519613B (zh) | 价格数据的处理方法和装置、电子设备、存储介质 | |
| CN115223251A (zh) | 签名检测模型的训练方法和装置、电子设备及存储介质 | |
| CN113076735A (zh) | 目标信息的获取方法、装置和服务器 | |
| CN113779429A (zh) | 交通拥堵态势预测方法、装置、设备及存储介质 | |
| CN115841334A (zh) | 异常账户识别方法和装置、电子设备及存储介质 | |
| CN113918794B (zh) | 企业网络舆情效益分析方法、系统、电子设备及存储介质 | |
| CN108595466B (zh) | 一种互联网信息过滤以及互联网用户信息和网帖结构分析方法 | |
| CN110019763B (zh) | 文本过滤方法、系统、设备及计算机可读存储介质 | |
| CN113569118A (zh) | 自媒体推送方法、装置、计算机设备及存储介质 | |
| CN113515589A (zh) | 数据推荐方法、装置、设备以及介质 | |
| CN111553167A (zh) | 文本类型识别方法和装置及存储介质 | |
| CN116719999A (zh) | 文本相似度检测方法和装置、电子设备及存储介质 | |
| CN115984886A (zh) | 表格信息抽取方法、装置、设备及存储介质 | |
| CN115099344A (zh) | 模型训练方法和装置、用户画像生成方法和装置、设备 | |
| CN115880702A (zh) | 数据处理方法、装置、设备、程序产品及存储介质 | |
| CN115221288A (zh) | 语义解析方法、语义解析装置、电子设备及存储介质 | |
| CN115270746A (zh) | 问题样本生成方法和装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |