CN116563003A - 账户异常试探风险的检测方法、装置和服务器 - Google Patents

账户异常试探风险的检测方法、装置和服务器 Download PDF

Info

Publication number
CN116563003A
CN116563003A CN202310787758.3A CN202310787758A CN116563003A CN 116563003 A CN116563003 A CN 116563003A CN 202310787758 A CN202310787758 A CN 202310787758A CN 116563003 A CN116563003 A CN 116563003A
Authority
CN
China
Prior art keywords
target
transaction data
transaction
data processing
change
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310787758.3A
Other languages
English (en)
Inventor
付小桐
丁盘苹
李松
罗鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202310787758.3A priority Critical patent/CN116563003A/zh
Publication of CN116563003A publication Critical patent/CN116563003A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/02Banking, e.g. interest calculation or account maintenance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/04Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Engineering & Computer Science (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • Technology Law (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

本说明书提供了账户异常试探风险的检测方法、装置和服务器,应用于人工智能技术领域。基于该方法,服务器在接收目标交易数据处理请求之后,可以实时获取并根据相关的历史行为数据、历史交易数据,通过特征处理得到发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征;再与基于目标交易数据处理请求得到的当前的目标特征进行组合,得到目标融合特征;利用预设的异常风险检测模型通过处理该目标融合特征,确定该目标交易数据处理请求是否存在异常试探风险。从而能够精准、高效地检测并识别出诸如异常小额试卡等异常试探风险行为,有效地保护交易数据处理时的数据安全。

Description

账户异常试探风险的检测方法、装置和服务器
技术领域
本说明书属于人工智能技术领域,尤其涉及账户异常试探风险的检测方法、装置和服务器。
背景技术
在金融业务场景中,一些违规分子在进行违规风险交易之前,常常会先尝试通过所持有的银行卡账户进行小额消费,来试探该银行卡账户是否正常可用;在确定该银行卡账户正常可用后,违规分子才会继续利用该银行卡进行具体的违规风险交易。
基于现有方法,往往只能检测出正在进行,或者已经进行的违规风险交易,无法提前检测识别出上述发生违规风险交易之前的诸如异常小额试卡等异常试探风险行为。
针对上述问题,目前尚未提出有效的解决方案。
发明内容
本说明书提供了一种账户异常试探风险的检测方法、装置和服务器,能够精准、高效地检测并识别出诸如异常小额试卡等异常试探风险行为,有效地保护交易数据处理平台的数据安全。
本说明书提供了一种账户异常试探风险的检测方法,包括:
接收目标交易数据处理请求;
确定与目标交易数据处理请求关联的目标账户;并获取与目标账户相关的历史行为数据和历史交易数据;
根据所述历史行为数据、历史交易数据,确定出发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征;并根据目标交易数据处理请求,提取得到当前的目标特征;
根据预设的处理规则,组合变更前的行为特征、变更前的交易特征、变更后的行为特征、变更后的交易特征,以及当前的目标特征,得到针对目标交易数据处理请求的目标融合特征;
利用预设的异常风险检测模型通过处理所述目标融合特征,确定目标交易数据处理请求是否存在异常试探风险。
在一个实施例中,所述关键变更事件包括以下至少之一:目标账户的持有用户更换了常用的登录终端、与目标账户绑定的联系方式出现变更、目标账户的持有用户发生了变更。
在一个实施例中,根据所述历史行为数据、历史交易数据,确定出发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征,包括:
根据预设的匹配规则,处理所述历史行为数据和/或历史交易数据,确定出关键变更事件;
获取并根据关键变更事件的发生时间,将历史行为数据拆分为发生在关键变更事件之前的变更前的行为数据和发生在关键变更事件之后的变更后的行为数据;将历史交易数据拆分为发生在关键变更事件之前的变更前的交易数据和发生在关键变更事件之后的变更后的交易数据;
根据预设的特征加工规则,分别处理所述变更前的行为数据和变更后的行为数据,得到对应的变更前的行为特征和变更后的行为特征;根据预设的特征加工规则,分别处理所述变更前的交易数据和变更后的交易数据,得到对应的变更前的交易特征和变更后的交易特征。
在一个实施例中,所述关键变更事件包括多个关键变更事件。
在一个实施例中,在所述关键变更事件包括第一关键变更事件和第二关键变更事件的情况下,所述变更前的行为特征包括:发生在第一关键变更事件之前的第一变更前的行为特征、发生在第二关键变更事件之前的第二变更前的行为特征;所述变更后的行为特征包括:发生在第一关键变更事件之后的第一变更后的行为特征、发生在第二关键变更事件之后的第二变更后的行为特征。
在一个实施例中,在根据所述历史行为数据、历史交易数据,确定出发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征;并根据目标交易数据处理请求,提取得到当前的目标特征之后,所述方法还包括:
获取目标账户的属性特征;
相应的,根据预设的处理规则,组合属性特征、变更前的行为特征、变更前的交易特征、变更后的行为特征、变更后的交易特征,以及当前的目标特征,得到针对目标交易数据处理请求的目标融合特征。
在一个实施例中,所述方法还包括:
获取样本数据;其中,所述样本数据至少包括样本账户的样本交易数据处理请求、样本历史行为数据和样本历史交易数据;
处理所述样本数据,得到样本账户的样本目标融合特征;并将样本账户的样本目标融合特征拆分为第一训练集、第二训练集,以及中间测试集;
构建多个初始模型;其中,不同的初始模型基于不同的模型结构;
利用第一训练集训练多个初始模型,得到多个中间模型;
利用中间测试集对多个中间模型进行中间模型测试;并根据中间模型测试结果,从多个中间模型中筛选出符合要求的中间模型,作为目标中间模型;
利用第二训练集,训练所述目标中间模型,得到预设的异常风险检测模型。
在一个实施例中,所述初始模型至少包括:基于随机森林的初始模型、基于Xgboost的初始模型。
在一个实施例中,在接收目标交易数据处理请求之后,所述方法还包括:
检测目标交易数据处理请求是否满足异常试探风险检测触发条件;
在确定目标交易数据处理请求满足异常试探风险检测触发条件的情况下,触发确定与目标交易数据处理请求关联的目标账户;并获取与目标账户相关的历史行为数据和历史交易数据。
在一个实施例中,检测目标交易数据处理请求是否满足异常试探风险检测触发条件,包括:
检测目标交易数据处理请求所涉及的资源数据的数据值是否小于预设的数据阈值;
和/或,
检测在接收到目标交易数据处理请求之前的预设时间段内目标账户是否处于无操作状态;
和/或,
检测在接收到目标交易数据处理请求之前的预设时间段内目标账户的登录地址是否发生变化,以及变化程度。
在一个实施例中,在利用预设的异常风险检测模型通过处理所述目标融合特征,确定目标交易数据处理请求是否存在异常试探风险之后,所述方法还包括:
在确定目标交易数据处理请求存在异常试探风险的情况下,将目标账户标记为监测账户;
监测目标账户后续交易数据处理请求所涉及的资源数据的数据值,和/或,目标账户的持有用户使用登录终端时刷新操作的频次。
本说明书还提供了一种账户异常试探风险的检测装置,包括:
接收模块,用于接收目标交易数据处理请求;
获取模块,用于确定与目标交易数据处理请求关联的目标账户;并获取与目标账户相关的历史行为数据和历史交易数据;
确定模块,用于根据所述历史行为数据、历史交易数据,确定出发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征;并根据目标交易数据处理请求,提取得到当前的目标特征;
组合模块,用于根据预设的处理规则,组合变更前的行为特征、变更前的交易特征、变更后的行为特征、变更后的交易特征,以及当前的目标特征,得到针对目标交易数据处理请求的目标融合特征;
检测模块,用于利用预设的异常风险检测模型通过处理所述目标融合特征,确定目标交易数据处理请求是否存在异常试探风险。
本说明书还提供了一种服务器,包括处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现所述账户异常试探风险的检测方法的相关步骤。
本说明书还提供了一种计算机可读存储介质,其上存储有计算机指令,所述指令被处理器执行时实现所述账户异常试探风险的检测方法的相关步骤。
本说明书还提供了一种计算机程序产品,包含有计算机程序,所述计算机程序被处理器执行时实现所述账户异常试探风险的检测方法的相关步骤。
基于本说明书提供的账户异常试探风险的检测方法、装置和服务器,服务器在接收目标交易数据处理请求之后,可以实时地获取并利用与目标交易数据处理请求相关的历史行为数据、历史交易数据,通过特征处理得到发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征;再与基于目标交易数据处理请求所得到的当前的目标特征进行组合,得到效果较好的目标融合特征;进而可以利用预设的异常风险检测模型通过处理该目标融合特征,确定该目标交易数据处理请求是否存在异常试探风险。从而能够精准、高效地检测并识别出诸如异常小额试卡等异常试探风险行为,有效地保护平台上交易数据处理时的数据安全。
附图说明
为了更清楚地说明本说明书实施例,下面将对实施例中所需要使用的附图作简单地介绍,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本说明书的一个实施例提供的账户异常试探风险的检测方法的流程示意图;
图2是在一个场景示例中,应用本说明书实施例提供的账户异常试探风险的检测方法的一种实施例的示意图;
图3是在一个场景示例中,应用本说明书实施例提供的账户异常试探风险的检测方法的一种实施例的示意图;
图4是在一个场景示例中,应用本说明书实施例提供的账户异常试探风险的检测方法的一种实施例的示意图;
图5是本说明书的一个实施例提供的服务器的结构组成示意图;
图6是本说明书的一个实施例提供的账户异常试探风险的检测装置的结构组成示意图;
图7是在一个场景示例中,应用本说明书实施例提供的账户异常试探风险的检测方法的一种实施例的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
需要说明的是,本说明书中所涉及的与用户,以及用户所持有的账户相关的信息数据,均为在用户知晓且同意的前提下获取和使用的。且,对于上述信息数据的获取、存储、使用、处理等均符合国家法律法规的相关规定。
参阅图1所示,本说明书实施例提供了一种账户异常试探风险的检测方法,其中,该方法具体应用于服务器一侧。具体实施时,该方法可以包括以下内容:
S101:接收目标交易数据处理请求;
S102:确定与目标交易数据处理请求关联的目标账户;并获取与目标账户相关的历史行为数据和历史交易数据;
S103:根据所述历史行为数据、历史交易数据,确定出发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征;并根据目标交易数据处理请求,提取得到当前的目标特征;
S104:根据预设的处理规则,组合变更前的行为特征、变更前的交易特征、变更后的行为特征、变更后的交易特征,以及当前的目标特征,得到针对目标交易数据处理请求的目标融合特征;
S105:利用预设的异常风险检测模型通过处理所述目标融合特征,确定目标交易数据处理请求是否存在异常试探风险。
基于上述实施例,服务器在在接收目标交易数据处理请求之后,可以实时地获取并根据相关的历史行为数据、历史交易数据,通过特征处理得到发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征;再与基于目标交易数据处理请求得到的当前的目标特征进行组合,并利用预设的异常风险检测模型处理组合后得到的目标融合特征,实现对诸如异常小额试卡等异常试探风险行为的实时的精准检测,从而能够有效地保护交易数据处理平台上相关数据安全。
在一些实施例中,上述账户异常试探风险的检测方法具体可以应用于服务器一侧。其中,所述服务器具体可以包括一种应用于交易数据处理平台(例如,XX电子银行)一侧,能够实现数据传输、数据处理等功能的后台服务器。具体的,所述服务器例如可以为一个具有数据运算、存储功能以及网络交互功能的电子设备。或者,所述服务器也可以为运行于该电子设备中,为数据处理、存储和网络交互提供支持的软件程序。在本实施例中,并不具体限定所述服务器的数量。所述服务器具体可以为一个服务器,也可以为几个服务器,或者,由若干服务器形成的服务器集群。
具体实施时,参阅图2所示,目标用户可以通过所持有的用户终端作为登录终端,登录目标账户;再通过该目标账户向交易数据处理平台的服务器发起目标交易数据处理请求,以进行相应的目标交易数据处理。
其中,上述用户终端具体可以包括一种应用于用户一侧,能够实现数据采集、数据传输等功能的前端。具体的,所述用户终端例如可以为台式电脑、平板电脑、笔记本电脑、智能手机等电子设备。或者,所述用户终端也可以为能够运行于上述电子设备中的软件应用等。
服务器在接收到上述目标交易数据处理请求之后,可以先确定出目标交易数据处理请求关联的账户(例如,发起账户,或者接收账户等),作为目标账户;并获取过去一个时间段内与目标账户相关的历史行为数据(例如,目标账户的登录地址、目标账户在交易数据处理平台访问过的页面、登录目标账户时所使用的登录终端等),以及过去一个时间段内与目标账户相关的历史交易数据(例如,交易涉及的金额、大额交易的备注信息、与陌生账户发生的交易数据等)。再根据历史行为数据、历史交易数据,确定出发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征;同时,基于目标交易数据处理请求提取得到当前的目标特征。再根据预设的处理规则,组合上述多种特征,得到针对目标交易数据处理请求的目标融合特征;并利用预先训练好的预设的异常风险检测模型通过处理该目标融合特征,确定该目标交易数据处理请求是否存在异常试探风险。
在一些实施例中,上述目标交易数据处理请求可以包括以下至少之一:支付请求、转账请求、汇款请求等等。当然,上述所列举的交易数据处理请求只是一种示意性说明。具体实施时,根据具体的应用场景和处理需求,上述目标交易数据处理请求还可以包括其他类型的交易数据处理请求。对此,本说明书不作限定。
上述与目标交易数据处理请求关联的目标账户具体可以是目标交易数据处理请求的发起账户,也可以是目标交易数据处理请求的接收账户。上述目标账户具体可以是信用卡账户,也可以是储蓄卡账户,还可以是电子钱包账户等等。
上述与目标账户相关的历史行为数据具体可以包括在接收到目标交易数据处理请求之前的第一时间段(例如,3个月)内的涉及目标账户的行为数据。例如,目标账户在第一时间段针对交易数据处理平台的关键页面(例如,余额查询页面、账户限额页面、转账操作页面等)的访问记录,目标账户在第一时间段更换使用登录终端的更换记录,目标账户在第一时间段异地登录记录,目标账户在第一时间段登录过的不同登录终端的登录记录等等。
上述与目标账户相关的历史交易数据具体可以包括在接收到目标交易数据处理请求之前的第二时间段(例如,3个月或4个月)内的涉及目标账户的交易数据。例如,目标账户在第二时间段内发起和/或接收的资源数据的数据值大于预设的上限值的大额度交易数据处理记录,目标账户在第二时间段内发起和/或接收的资源数据的数据值小于预设的下限值的小额度交易数据处理记录,目标账户在第二时间段内账户资源数据的变化记录,目标账户在第二时间段内与陌生账户之间的交易数据往来记录等等。
需要说明的是,上述所列举的第一时间段和第二时间段可以是相同的历史时间段,也可以是不同的历史时间段。
在一些实施例中,上述关键变更事件具体可以理解为违规分子在利用相关账户进行违规风险交易之前,常常会进行的与该账户相关,且涉及到相应的变更调整的行为事件。在大多数情况下,上述关键变更事件具体可以视为一种未异常试探风险行为做的前期准备,在关键变更事件发生的前后,同一账户的交易特征、行为特征往往会发生较为明显的变化;并且,还会存在一些共性规律。因此,考虑可以通过先定位出关键变更事件,在以该关键变更事件的发生时间作为分界点来综合分析关键变更事件发生前后的相关特征,以精细地检测判断是否存在异常试探风险。
具体的,所述关键变更事件可以包括以下至少之一:目标账户的持有用户更换了常用的登录终端(例如,常用于登录账户的手机、常用于登录账户的电脑等)、与目标账户绑定的联系方式(例如,与账户绑定的手机号、与账户绑定的邮箱等)出现变更、目标账户的持有用户发生了变更等等。
其中,上述所列举的多种类型的关键变更事件具体可以是预先通过对大量黑样本账户(即违规分子所持有的,且参与进行了诸如异常小额试卡等异常试探风险行为的账户)在进行异常试探风险之前的历史数据记录进行整理和分析所确定得到的。
基于上述实施例,可以根据具体情况和实际需求,灵活地确定多样化,且效果较好的变更事件作为关键变更事件。
在一些实施例中,参阅图3所示,上述根据所述历史行为数据、历史交易数据,确定出发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征,具体实施时,可以包括以下内容:
S1:根据预设的匹配规则,处理所述历史行为数据和/或历史交易数据,确定出关键变更事件;
S2:获取并根据关键变更事件的发生时间,将历史行为数据拆分为发生在关键变更事件之前的变更前的行为数据和发生在关键变更事件之后的变更后的行为数据;将历史交易数据拆分为发生在关键变更事件之前的变更前的交易数据和发生在关键变更事件之后的变更后的交易数据;
S3:根据预设的特征加工规则,分别处理所述变更前的行为数据和变更后的行为数据,得到对应的变更前的行为特征和变更后的行为特征;根据预设的特征加工规则,分别处理所述变更前的交易数据和变更后的交易数据,得到对应的变更前的交易特征和变更后的交易特征。
基于上述实施例,可以有效利用所获取的历史行为数据、历史交易数据,通过相应的处理,得到所需要的、效果较好的发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征。
在一些实施例中,上述预设的匹配规则具体可以包含有与多种类型的关键变更事件分别对应的多个匹配特征。其中,上述预设的匹配规则具体可以是预先通过对大量黑样本账户在进行异常试探风险行为之前的历史行为数据和/或历史交易数据进行聚类处理所得到的。
具体实施时,可以根据预设的匹配规则,在历史行为数据和/或历史交易数据中进行匹配,以确定是否存在关键变更事件。在匹配成功后,可以根据预设的匹配规则,将历史行为数据和/或历史交易数据中匹配成功的匹配特征所对应的关键变更事件,确定为关键变更事件。
其中,上述预设的特征加工规则包括针对不同类型数据的多种不同的特征加工规则。
具体实施时,根据预设的特征加工规则,可以通过对不同类型的变更前后的行为数据、交易数据分别进行诸如数据统计、特征提取、特征聚合等相对应的特征加工处理,得到符合要求的变更前的交易特征、变更后的交易特征、变更前的行为特征、变更后的行为特征。
具体的,例如,根据预设的特征加工规则,可以对变更前的历史行为数据中的目标账户的登录地址进行统计分析,确定出变更前目标账户最常登录的预设数量个(例如,两个)常用登录地址,并计算上述预设数量个常用登录地址之间的间隔距离,作为一种变更前的行为特征;同时,对变更后的历史行为数据中的目标账户的登录地址进行统计分析,确定出变更后目标账户最常登录的预设数量个常用登录地址,并计算上述预设数量个常用登录地址之间的间隔距离,作为一种变更后的行为特征。
又例如,根据预设的特征加工规则,可以对变更前的历史行为数据中的目标账户在交易数据处理平台访问过的关键页面的访问数据进行统计,确定出针对余额查询页面、账户限额页面的访问频率,作为另一种变更前的行为特征;同时按照类似的方式,处理变更后的历史行为数据中的目标账户在交易数据处理平台访问过的关键页面的访问数据,得到另一种变更后的行为特征。
再例如,根据预设的特征加工规则,可以对变更前的历史交易数据中大额度交易数据处理记录进行特征分析,确定出大额度交易数据处理的处理频次、额度区间,以及时间区间,作为一种变更前的交易特征;同时按照类似的方式,处理变更后的历史交易数据中大额度交易数据处理记录,得到另一种变更后的交易特征。
基于上述实施例,可以根据预设的特征加工规则,对不同类型的数据分别进行相对应的特征加工处理,以得到效果较好、较为丰富的变更前的行为特征和交易特征,以及变更后的行为特征和交易特征。
在一些实施例中,在针对一个目标交易数据处理请求进行检测处理时,所确定出的所述关键变更事件具体可以包括多个不同类型的关键变更事件;或者属于同一种类型,但发生时间不同的多个关键变更事件。
这样,可以通过充分、全面地考虑多个不同关键变更事件的影响作用,得到相对更加全面、有效的相关特征,来更加精准地进行异常试探风险检测。
在一些实施例中,在所述关键变更事件具体可以包括第一关键变更事件和第二关键变更事件的情况下,所述变更前的行为特征包括:发生在第一关键变更事件之前的第一变更前的行为特征、发生在第二关键变更事件之前的第二变更前的行为特征;所述变更后的行为特征包括:发生在第一关键变更事件之后的第一变更后的行为特征、发生在第二关键变更事件之后的第二变更后的行为特征。其中,上述第一关键变更事件和第二关键变更事件可以是同种类型的变更事件,也可以是不同种类型的变更事件。
按照类型方式,可以确定出发生在第一关键变更事件之前的第一变更前的交易特征、发生在第二关键变更事件之前的第二变更前的交易特征,作为变更前的交易特征;以及发生在第一关键变更事件之后的第一变更后的交易特征、发生在第二关键变更事件之后的第二变更后的交易特征,作为变更后的交易特征。
具体实施时,可以将基于第一关键变更事件所得到的第一变更前的行为特征和交易特征,以及第一变更后的行为特征和交易特征作为第一组特征;将基于第二关键变更事件所得到的第二变更前的行为特征和交易特征,以及第二变更后的行为特征和交易特征作为第二组特征。进而可以组合使用上述两组特征,结合当前的目标特征,来进行异常试探风险检测。
需要说明的是,上述所列举的第一关键变更事件和第二关键变更事件只是一种示意性说明。具体实施时,针对更加复杂的情况,上述关键变更事件还可以进一步包括第三关键变更事件,甚至更多的关键变更事件。
基于上述实施例,在存在多个关键变更事件的情况下,可以分别以各个关键变更事件的发生时间作为时间分界点,得到基于不同关键变更事件的多组特征;再综合利用上述多组特征与当前的目标特征,更加准确、全面地进行异常试探风险检测。
在一些实施例中,针对刚接收到的目标交易数据处理请求,可以获取目标账户发送目标交易数据处理请求时的登录终端的终端标识、目标交易数据处理请求的发送时间,以及标账户发送目标交易数据处理请求时的登录地址等,作为上述当前的目标特征。
进一步,根据预设的处理规则,可以按照指定的顺序,按序拼接更前的行为特征、变更前的交易特征、变更后的行为特征、变更后的交易特征,以及当前的目标特征,得到针对目标交易数据处理请求的目标融合特征。
具体实施时,可以利用预设的异常风险检测模型通过处理上述目标融合特征,输出对应的目标风险预测值,作为目标检测结果;再将该目标风险预测值,与预设的风险阈值进行比较,得到相应的比较结果。根据比较结果,在确定目标风险预测值大于等于预设的风险阈值的情况下,可以确定目标交易数据处理请求存在异常试探风险。相反,在确定目标风险预测值小于预设的风险阈值的情况下,可以确定目标交易数据处理请求不存在异常试探风险。
其中,上述预设的异常风险检测模型具体可以理解为一种预先训练好的能够基于输入的针对交易数据处理请求的融合特征,预测并输出针对该交易数据处理请求是否存在异常试探风险的风险预测值的算法模型。
在一些实施例中,在根据所述历史行为数据、历史交易数据,确定出发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征;并根据目标交易数据处理请求,提取得到当前的目标特征之后,所述方法具体实施时,还可以包括以下内容:
获取目标账户的属性特征;
相应的,根据预设的处理规则,组合属性特征、变更前的行为特征、变更前的交易特征、变更后的行为特征、变更后的交易特征,以及当前的目标特征,得到针对目标交易数据处理请求的目标融合特征。
其中,上述目标账户的属性特征具体可以包括与目标账户直接关联的属性参数,例如,目标账户的注册时间、目标账户的注册地址、目标账户的账户级别、目标账户的账户资源数据等。上述目标账户的属性特征还可以包括与目标账户的持有用户直接关联的属性参数,例如,持有用户的年龄、持有用户的职业、只有用户的年收入数据等等。
基于上述实施例,可以进一步获取目标账户的属性特征,再同时综合使用目标用户的属性特征、变更前的行为特征、变更前的交易特征、变更后的行为特征、变更后的交易特征,以及当前的目标特征,以得到效果相对更好的目标融合特征。
在一些实施例中,参阅图4所示,所述方法具体实施时,还可以包括以下内容:
S1:获取样本数据;其中,所述样本数据至少包括样本账户的样本交易数据处理请求、样本历史行为数据和样本历史交易数据;
S2:处理所述样本数据,得到样本账户的样本目标融合特征;并将样本账户的样本目标融合特征拆分为第一训练集、第二训练集,以及中间测试集;
S3:构建多个初始模型;其中,不同的初始模型基于不同的模型结构;
S4:利用第一训练集训练多个初始模型,得到多个中间模型;
S5:利用中间测试集对多个中间模型进行中间模型测试;并根据中间模型测试结果,从多个中间模型中筛选出符合要求的中间模型,作为目标中间模型;
S6:利用第二训练集,训练所述目标中间模型,得到预设的异常风险检测模型。
基于上述实施例,可以以相对较小的数据处理量,较为高效地训练得到效果相对较好、精度相对较高的预设的异常风险检测模型。
在一些实施例中,具体获取样本数据时,可以采集监管机构定期发布的违规账户清单,并提取违规账户清单中的违规账户作为黑样本账户;再查询获取黑样本账户在发生异常试探风险行为之前的历史行为数据和历史交易数据,得到黑样本账户的样本数据。同时,根据黑样本账户的样本数据,从交易数据处理平台的账户数据中筛选出与黑样本账户的样本数据属于同一个时间段,且标记为正常账户的历史行为数据和历史交易数据,得到白样本账户的样本数据。再组合上述黑样本账户的样本数据和白样本账户的样本数据,得到所述样本数据。
进一步,可以根据通过对样本数据进行相应的特征处理,得到样本账户的样本目标融合特征。再根据预设的比例规则,从黑样本账户的样本目标融合特征和白样本账户的样本目标融合特征分别随机提取出相应数量的样本目标融合特征进行混合,得到第一训练集。按照类似的方式,可以基于剩下的样本账户的样本目标融合特征中,依次拆分得到对应的中间测试集,以及第二训练集。
在一些实施例中,所述初始模型至少可以包括:基于随机森林的初始模型、基于Xgboost的初始模型等。
其中,上述随机森林属于集成学习,其核心思想是采用Bagging的思想,通过集成并利用多个弱分类器,实现高精度的分类。
上述Xgboost大多在诸如Hadoop,SGE,MPI等分布式环境上运行,能够提供并行树提升(也称为GBDT,GBM),可以在Gradient Boosting框架下实现机器学习算法。
基于上述实施例,可以先构建多个至少基于随机森林、Xgboost等不同模型结构的多个初始模型;再利用数量相对较少的第一训练集训练上述多个初始模型,得到对应的中间模型;再利用中间测试集通过中间模型测试,筛选出相对具有最优潜力的中间模型作为目标中间模型;进而可以利用数量相对较多的第二训练在目标中间模型的基础上只对目标中间模型继续进行模型训练,从而能够以相对较小的数据处理量,训练得到效果较好、精度较高的预设的异常风险检测模型。
在一些实施例中,在接收目标交易数据处理请求之后,所述方法具体实施时,还可以包括以下内容:
S1:检测目标交易数据处理请求是否满足异常试探风险检测触发条件;
S2:在确定目标交易数据处理请求满足异常试探风险检测触发条件的情况下,触发确定与目标交易数据处理请求关联的目标账户;并获取与目标账户相关的历史行为数据和历史交易数据。
具体实施时,在检测目标交易数据处理请求不满足异常试探风险检测触发条件的情况下,不触发后续对目标交易数据处理请求进一步处理,可以直接判断该目标交易数据处理请求不存在异常试探风险。
基于上述实施例,可以通过检测目标交易数据处理请求是否满足异常试探风险检测触发条件,提前检测并滤除掉明显不存在异常试探风险的目标交易数据处理请求,避免对这类目标交易数据处理请求浪费数据处理资源进行进一步的异常风险检测处理。
在一些实施例中,上述检测目标交易数据处理请求是否满足异常试探风险检测触发条件,具体实施时,可以包括:
检测目标交易数据处理请求所涉及的资源数据的数据值是否小于预设的数据阈值;
和/或,
检测在接收到目标交易数据处理请求之前的预设时间段内目标账户是否处于无操作状态;
和/或,
检测在接收到目标交易数据处理请求之前的预设时间段内目标账户的登录地址是否发生变化,以及变化程度。
具体的,如果检测到目标交易数据处理请求所涉及的资金数据的资金额度特别小,设置小于预设的数据阈值;和/或,检测目标交易数据处理请求之前的1个月内该目标账户一直未发起过任何一笔交易请求,也未接收过任何一笔交易请求,处于无操作状态;和/或,检测目标交易数据处理请求之前的1个月内目标账户的登录地址多次发生变化,且不同登录地址之间的位置距离较远,变化程度等,可以确定该目标交易数据处理请求可能存在异常试探风险,满足异常试探风险检测触发条件。
基于上述实施例,可以准确地检测判断目标交易数据处理请求是否满足异常试探风险检测触发条件,减少检测判断误差。
在一些实施例中,参阅图7所示,在利用预设的异常风险检测模型通过处理所述目标融合特征,确定目标交易数据处理请求是否存在异常试探风险之后,所述方法具体实施时,还可以包括以下内容:
S1:在确定目标交易数据处理请求存在异常试探风险的情况下,将目标账户标记为监测账户;
S2:监测目标账户后续交易数据处理请求所涉及的资源数据的数据值,和/或,目标账户的持有用户使用登录终端时刷新操作的频次。
基于上述实施例,在检测到目标账户存在异常试探风险之后,可以触发对该目标账户进行持续的跟踪监测,以便能在第一时间发现违规风险交易,并及时进行相应的处理,避免或减少违规风险交易对交易数据处理平台造成的危害。
在一些实施例中,服务器在检测到目标账户存在异常试探风险之后,由于目标账户尚未进行实质性的违规风险交易,因此,无法对目标账户直接进行封禁。这时,除了对目标账户进行持续监测外,还可以根据相应的协议规则,在交易数据处理平台的权限范围,调整目标账户的账户限额,以可能出现的违规风险交易提前采取相应的预防措施,减少后续违规风险交易真正发生时所产生的危害。
具体进行监测时,服务器可以通过对目标账户添加相应的异常试探风险标签,将该目标账户标记为监测账户。
进一步,服务器可以在未来的一个时间段内持续监测涉及目标账户的后续交易数据处理请求,以监测该目标账户是否真的参与违规风险交易。
具体的,服务器可以监测未来的一个时间段(例如,未来一个月)该目标账户所参与的后续交易数据处理请求是否涉及较大数据值的资源数据。例如,在监测到该目标账户在未来一个月内涉及多个额度较大的转账请求的处理;且多个额度较大的转账请求的处理时间集中、数量较多,则可以确定该目标账户很有可能存在违规风险交易。
此外,又考虑到违规分子在利用相关账户进行违规风险交易时,会特别重视并关注该账户的资源数据的变化情况,导致相对会更加频繁地在登录终端进行刷新操作。因此,服务器还可以监测未来时间段目标账户的持有用户在使用登录终端登录目标账户后的刷新操作,并检测刷新操作的频次是否大于正常频次的上限值。在检测到刷新操作的频次大于正常频次的上限值时,可以确定该目标账户很有可能存在违规风险交易。
在确定目标账户存在违规风险交易后,可以生成针对目标账户的警报提示。交易数据处理系统可以响应该警报提示对目标账户当前涉及的资源数据进行冻结处理;同时,自动搜集与该目标账户当前的违规风险交易相关的关联信息,并根据上述关联信息进一步判断该目标账户是否确实存在违规风险交易;此外,还可以汇总并整理上述关联信息,生成相应的证据文件,并将该证据文件提供给相应的监管机构。
由上可见,基于本说明书实施例提供的账户异常试探风险的检测方法,服务器在接收目标交易数据处理请求之后,可以实时地获取并根据相关的历史行为数据、历史交易数据,通过特征处理得到发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征;再与基于目标交易数据处理请求所得到的当前的目标特征进行组合,得到目标融合特征;再利用预设的异常风险检测模型通过处理该目标融合特征,确定该目标交易数据处理请求是否存在异常试探风险。从而能够精准、高效地检测并识别出诸如异常小额试卡等异常试探风险,有效地保护交易数据处理时的数据安全。
参阅图5所示,本说明书实施例提供了另一种具体的服务器,其中,所述服务器包括网络通信端口501、处理器502以及存储器503,上述结构通过内部线缆相连,以便各个结构可以进行具体的数据交互。
其中,所述网络通信端口501,具体可以用于接收目标交易数据处理请求。
所述处理器502,具体可以用于确定与目标交易数据处理请求关联的目标账户;并获取与目标账户相关的历史行为数据和历史交易数据;根据所述历史行为数据、历史交易数据,确定出发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征;并根据目标交易数据处理请求,提取得到当前的目标特征;根据预设的处理规则,组合变更前的行为特征、变更前的交易特征、变更后的行为特征、变更后的交易特征,以及当前的目标特征,得到针对目标交易数据处理请求的目标融合特征;利用预设的异常风险检测模型通过处理所述目标融合特征,确定目标交易数据处理请求是否存在异常试探风险。
所述存储器503,具体可以用于存储相应的指令程序。
在本实施例中,所述网络通信端口501可以是与不同的通信协议进行绑定,从而可以发送或接收不同数据的虚拟端口。例如,所述网络通信端口可以是负责进行web数据通信的端口,也可以是负责进行FTP数据通信的端口,还可以是负责进行邮件数据通信的端口。此外,所述网络通信端口还可以是实体的通信接口或者通信芯片。例如,其可以为无线移动网络通信芯片,如GSM、CDMA等;其还可以为Wifi芯片;其还可以为蓝牙芯片。
在本实施例中,所述处理器502可以按任何适当的方式实现。例如,处理器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式等等。本说明书并不作限定。
在本实施例中,所述存储器503可以包括多个层次,在数字系统中,只要能保存二进制数据的都可以是存储器;在集成电路中,一个没有实物形式的具有存储功能的电路也叫存储器,如RAM、FIFO等;在系统中,具有实物形式的存储设备也叫存储器,如内存条、TF卡等。
本说明书实施例还提供了一种基于上述账户异常试探风险的检测方法的计算机可读存储介质,所述计算机可读存储介质存储有计算机程序指令,在所述计算机程序指令被执行时实现:接收目标交易数据处理请求;确定与目标交易数据处理请求关联的目标账户;并获取与目标账户相关的历史行为数据和历史交易数据;根据所述历史行为数据、历史交易数据,确定出发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征;并根据目标交易数据处理请求,提取得到当前的目标特征;根据预设的处理规则,组合变更前的行为特征、变更前的交易特征、变更后的行为特征、变更后的交易特征,以及当前的目标特征,得到针对目标交易数据处理请求的目标融合特征;利用预设的异常风险检测模型通过处理所述目标融合特征,确定目标交易数据处理请求是否存在异常试探风险。
在本实施例中,上述存储介质包括但不限于随机存取存储器(Random AccessMemory,RAM)、只读存储器(Read-Only Memory,ROM)、缓存(Cache)、硬盘(Hard DiskDrive,HDD)或者存储卡(Memory Card)。所述存储器可以用于存储计算机程序指令。网络通信单元可以是依照通信协议规定的标准设置的,用于进行网络连接通信的接口。
在本实施例中,该计算机可读存储介质存储的程序指令具体实现的功能和效果,可以与其它实施方式对照解释,在此不再赘述。
本说明书实施例还提供了一种计算机程序产品,包含有计算机程序,所述计算机程序被处理器执行时实现以下步骤:接收目标交易数据处理请求;确定与目标交易数据处理请求关联的目标账户;并获取与目标账户相关的历史行为数据和历史交易数据;根据所述历史行为数据、历史交易数据,确定出发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征;并根据目标交易数据处理请求,提取得到当前的目标特征;根据预设的处理规则,组合变更前的行为特征、变更前的交易特征、变更后的行为特征、变更后的交易特征,以及当前的目标特征,得到针对目标交易数据处理请求的目标融合特征;利用预设的异常风险检测模型通过处理所述目标融合特征,确定目标交易数据处理请求是否存在异常试探风险。
参阅图6所示,在软件层面上,本说明书实施例还提供了一种账户异常试探风险的检测装置,该装置具体可以包括以下的结构模块:
接收模块601,具体可以用于接收目标交易数据处理请求;
获取模块602,具体可以用于确定与目标交易数据处理请求关联的目标账户;并获取与目标账户相关的历史行为数据和历史交易数据;
确定模块603,具体可以用于根据所述历史行为数据、历史交易数据,确定出发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征;并根据目标交易数据处理请求,提取得到当前的目标特征;
组合模块604,具体可以用于根据预设的处理规则,组合变更前的行为特征、变更前的交易特征、变更后的行为特征、变更后的交易特征,以及当前的目标特征,得到针对目标交易数据处理请求的目标融合特征;
检测模块605,具体可以用于利用预设的异常风险检测模型通过处理所述目标融合特征,确定目标交易数据处理请求是否存在异常试探风险。
在一些实施例中,所述关键变更事件具体可以包括以下至少之一:目标账户的持有用户更换了常用的登录终端、与目标账户绑定的联系方式出现变更、目标账户的持有用户发生了变更等。
在一些实施例中,上述确定模块603具体实施时,可以按照以下方式根据所述历史行为数据、历史交易数据,确定出发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征:根据预设的匹配规则,处理所述历史行为数据和/或历史交易数据,确定出关键变更事件;获取并根据关键变更事件的发生时间,将历史行为数据拆分为发生在关键变更事件之前的变更前的行为数据和发生在关键变更事件之后的变更后的行为数据;将历史交易数据拆分为发生在关键变更事件之前的变更前的交易数据和发生在关键变更事件之后的变更后的交易数据;根据预设的特征加工规则,分别处理所述变更前的行为数据和变更后的行为数据,得到对应的变更前的行为特征和变更后的行为特征;根据预设的特征加工规则,分别处理所述变更前的交易数据和变更后的交易数据,得到对应的变更前的交易特征和变更后的交易特征。
在一些实施例中,所述关键变更事件具体可以包括多个关键变更事件。
在一些实施例中,在所述关键变更事件包括第一关键变更事件和第二关键变更事件的情况下,所述变更前的行为特征包括:发生在第一关键变更事件之前的第一变更前的行为特征、发生在第二关键变更事件之前的第二变更前的行为特征;所述变更后的行为特征包括:发生在第一关键变更事件之后的第一变更后的行为特征、发生在第二关键变更事件之后的第二变更后的行为特征。
在一些实施例中,在根据所述历史行为数据、历史交易数据,确定出发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征;并根据目标交易数据处理请求,提取得到当前的目标特征之后,所述装置具体实施时,还可以用于获取目标账户的属性特征;
相应的,所述装置具体实施时,还可以根据预设的处理规则,组合属性特征、变更前的行为特征、变更前的交易特征、变更后的行为特征、变更后的交易特征,以及当前的目标特征,得到针对目标交易数据处理请求的目标融合特征。
在一些实施例中,所述装置具体实施时,还可以用于:获取样本数据;其中,所述样本数据至少包括样本账户的样本交易数据处理请求、样本历史行为数据和样本历史交易数据;处理所述样本数据,得到样本账户的样本目标融合特征;并将样本账户的样本目标融合特征拆分为第一训练集、第二训练集,以及中间测试集;构建多个初始模型;其中,不同的初始模型基于不同的模型结构;利用第一训练集训练多个初始模型,得到多个中间模型;利用中间测试集对多个中间模型进行中间模型测试;并根据中间模型测试结果,从多个中间模型中筛选出符合要求的中间模型,作为目标中间模型;利用第二训练集,训练所述目标中间模型,得到预设的异常风险检测模型。
在一些实施例中,所述初始模型至少可以包括:基于随机森林的初始模型、基于Xgboost的初始模型等。
在一些实施例中,在接收目标交易数据处理请求之后,所述装置具体实施时,还可以用于:检测目标交易数据处理请求是否满足异常试探风险检测触发条件;在确定目标交易数据处理请求满足异常试探风险检测触发条件的情况下,触发确定与目标交易数据处理请求关联的目标账户;并获取与目标账户相关的历史行为数据和历史交易数据。
在一些实施例中,所述装置具体实施时,可以按照以下方式检测目标交易数据处理请求是否满足异常试探风险检测触发条件:检测目标交易数据处理请求所涉及的资源数据的数据值是否小于预设的数据阈值;和/或,检测在接收到目标交易数据处理请求之前的预设时间段内目标账户是否处于无操作状态;和/或,检测在接收到目标交易数据处理请求之前的预设时间段内目标账户的登录地址是否发生变化,以及变化程度。
在一些实施例中,在利用预设的异常风险检测模型通过处理所述目标融合特征,确定目标交易数据处理请求是否存在异常试探风险之后,所述装置具体实施时,还可以用于:在确定目标交易数据处理请求存在异常试探风险的情况下,将目标账户标记为监测账户;监测目标账户后续交易数据处理请求所涉及的资源数据的数据值,和/或,目标账户的持有用户使用登录终端时刷新操作的频次。
需要说明的是,上述实施例阐明的单元、装置或模块等,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本说明书时可以把各模块的功能在同一个或多个软件和/或硬件中实现,也可以将实现同一功能的模块由多个子模块或子单元的组合实现等。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
由上可见,基于本说明书实施例提供的账户异常试探风险的检测装置,能够精准、高效地检测并识别出诸如异常小额试卡等异常试探风险,有效地保护交易数据处理时的数据安全。
虽然本说明书提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的手段可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的装置或客户端产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境,甚至为分布式数据处理环境)。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、产品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、产品或者设备所固有的要素。在没有更多限制的情况下,并不排除在包括所述要素的过程、方法、产品或者设备中还存在另外的相同或等同要素。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构、类等等。也可以在分布式计算环境中实践本说明书,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机可读存储介质中。
本说明书中的各个实施例采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。本说明书可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
虽然通过实施例描绘了本说明书,本领域普通技术人员知道,本说明书有许多变形和变化而不脱离本说明书的精神,希望所附的权利要求包括这些变形和变化而不脱离本说明书的精神。

Claims (15)

1.一种账户异常试探风险的检测方法,其特征在于,包括:
接收目标交易数据处理请求;
确定与目标交易数据处理请求关联的目标账户;并获取与目标账户相关的历史行为数据和历史交易数据;
根据所述历史行为数据、历史交易数据,确定出发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征;并根据目标交易数据处理请求,提取得到当前的目标特征;
根据预设的处理规则,组合变更前的行为特征、变更前的交易特征、变更后的行为特征、变更后的交易特征,以及当前的目标特征,得到针对目标交易数据处理请求的目标融合特征;
利用预设的异常风险检测模型通过处理所述目标融合特征,确定目标交易数据处理请求是否存在异常试探风险。
2.根据权利要求1所述的方法,其特征在于,所述关键变更事件包括以下至少之一:目标账户的持有用户更换了常用的登录终端、与目标账户绑定的联系方式出现变更、目标账户的持有用户发生了变更。
3.根据权利要求2所述的方法,其特征在于,根据所述历史行为数据、历史交易数据,确定出发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征,包括:
根据预设的匹配规则,处理所述历史行为数据和/或历史交易数据,确定出关键变更事件;
获取并根据关键变更事件的发生时间,将历史行为数据拆分为发生在关键变更事件之前的变更前的行为数据和发生在关键变更事件之后的变更后的行为数据;将历史交易数据拆分为发生在关键变更事件之前的变更前的交易数据和发生在关键变更事件之后的变更后的交易数据;
根据预设的特征加工规则,分别处理所述变更前的行为数据和变更后的行为数据,得到对应的变更前的行为特征和变更后的行为特征;根据预设的特征加工规则,分别处理所述变更前的交易数据和变更后的交易数据,得到对应的变更前的交易特征和变更后的交易特征。
4.根据权利要求3所述的方法,其特征在于,所述关键变更事件包括多个关键变更事件。
5.根据权利要求4所述的方法,其特征在于,在所述关键变更事件包括第一关键变更事件和第二关键变更事件的情况下,所述变更前的行为特征包括:发生在第一关键变更事件之前的第一变更前的行为特征、发生在第二关键变更事件之前的第二变更前的行为特征;所述变更后的行为特征包括:发生在第一关键变更事件之后的第一变更后的行为特征、发生在第二关键变更事件之后的第二变更后的行为特征。
6.根据权利要求1所述的方法,其特征在于,在根据所述历史行为数据、历史交易数据,确定出发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征;并根据目标交易数据处理请求,提取得到当前的目标特征之后,所述方法还包括:
获取目标账户的属性特征;
相应的,根据预设的处理规则,组合属性特征、变更前的行为特征、变更前的交易特征、变更后的行为特征、变更后的交易特征,以及当前的目标特征,得到针对目标交易数据处理请求的目标融合特征。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取样本数据;其中,所述样本数据至少包括样本账户的样本交易数据处理请求、样本历史行为数据和样本历史交易数据;
处理所述样本数据,得到样本账户的样本目标融合特征;并将样本账户的样本目标融合特征拆分为第一训练集、第二训练集,以及中间测试集;
构建多个初始模型;其中,不同的初始模型基于不同的模型结构;
利用第一训练集训练多个初始模型,得到多个中间模型;
利用中间测试集对多个中间模型进行中间模型测试;并根据中间模型测试结果,从多个中间模型中筛选出符合要求的中间模型,作为目标中间模型;
利用第二训练集,训练所述目标中间模型,得到预设的异常风险检测模型。
8.根据权利要求7所述的方法,其特征在于,所述初始模型至少包括:基于随机森林的初始模型、基于Xgboost的初始模型。
9.根据权利要求1所述的方法,其特征在于,在接收目标交易数据处理请求之后,所述方法还包括:
检测目标交易数据处理请求是否满足异常试探风险检测触发条件;
在确定目标交易数据处理请求满足异常试探风险检测触发条件的情况下,触发确定与目标交易数据处理请求关联的目标账户;并获取与目标账户相关的历史行为数据和历史交易数据。
10.根据权利要求9所述的方法,其特征在于,检测目标交易数据处理请求是否满足异常试探风险检测触发条件,包括:
检测目标交易数据处理请求所涉及的资源数据的数据值是否小于预设的数据阈值;
和/或,
检测在接收到目标交易数据处理请求之前的预设时间段内目标账户是否处于无操作状态;
和/或,
检测在接收到目标交易数据处理请求之前的预设时间段内目标账户的登录地址是否发生变化,以及变化程度。
11.根据权利要求1所述的方法,其特征在于,在利用预设的异常风险检测模型通过处理所述目标融合特征,确定目标交易数据处理请求是否存在异常试探风险之后,所述方法还包括:
在确定目标交易数据处理请求存在异常试探风险的情况下,将目标账户标记为监测账户;
监测目标账户后续交易数据处理请求所涉及的资源数据的数据值,和/或,目标账户的持有用户使用登录终端时刷新操作的频次。
12.一种账户异常试探风险的检测装置,其特征在于,包括:
接收模块,用于接收目标交易数据处理请求;
获取模块,用于确定与目标交易数据处理请求关联的目标账户;并获取与目标账户相关的历史行为数据和历史交易数据;
确定模块,用于根据所述历史行为数据、历史交易数据,确定出发生在关键变更事件之前的变更前的行为特征、变更前的交易特征,以及发生在关键变更事件之后的变更后的行为特征、变更后的交易特征;并根据目标交易数据处理请求,提取得到当前的目标特征;
组合模块,用于根据预设的处理规则,组合变更前的行为特征、变更前的交易特征、变更后的行为特征、变更后的交易特征,以及当前的目标特征,得到针对目标交易数据处理请求的目标融合特征;
检测模块,用于利用预设的异常风险检测模型通过处理所述目标融合特征,确定目标交易数据处理请求是否存在异常试探风险。
13.一种服务器,其特征在于,包括处理器以及用于存储处理器可执行指令的存储器,所述处理器执行所述指令时实现权利要求1至11中任一项所述方法的步骤。
14.一种计算机可读存储介质,其特征在于,其上存储有计算机指令,所述指令被处理器执行时实现权利要求1至11中任一项所述方法的步骤。
15.一种计算机程序产品,其特征在于,包含有计算机程序,所述计算机程序被处理器执行时实现权利要求1至11中任一项所述方法的步骤。
CN202310787758.3A 2023-06-29 2023-06-29 账户异常试探风险的检测方法、装置和服务器 Pending CN116563003A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310787758.3A CN116563003A (zh) 2023-06-29 2023-06-29 账户异常试探风险的检测方法、装置和服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310787758.3A CN116563003A (zh) 2023-06-29 2023-06-29 账户异常试探风险的检测方法、装置和服务器

Publications (1)

Publication Number Publication Date
CN116563003A true CN116563003A (zh) 2023-08-08

Family

ID=87486405

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310787758.3A Pending CN116563003A (zh) 2023-06-29 2023-06-29 账户异常试探风险的检测方法、装置和服务器

Country Status (1)

Country Link
CN (1) CN116563003A (zh)

Similar Documents

Publication Publication Date Title
AU2019232865B2 (en) Systems and methods for detecting and scoring anomalies
CN109829776B (zh) 商户风险评估方法、装置、计算机设备和存储介质
EP3343422B1 (en) Systems and methods for detecting resources responsible for events
CN109544163B (zh) 一种用户支付行为的风险控制方法、装置、设备及介质
CN110442712B (zh) 风险的确定方法、装置、服务器和文本审理系统
CN105590055B (zh) 用于在网络交互系统中识别用户可信行为的方法及装置
CN104519032B (zh) 一种互联网账号的安全策略及系统
CN110689438A (zh) 企业类金融风险评分方法、装置、计算机设备及存储介质
CN110417778B (zh) 访问请求的处理方法和装置
CN110866820A (zh) 银行业务实时监测系统及方法、设备、存储介质
EP3304446A1 (en) False positive reduction in abnormality detection system models
CN110060087B (zh) 异常数据的检测方法、装置和服务器
CN112581291B (zh) 风险测评异动检测方法、装置、设备及存储介质
CN112819611A (zh) 欺诈识别方法、装置、电子设备和计算机可读存储介质
CN112330355A (zh) 消费券交易数据处理方法、装置、设备及存储介质
CN110991650A (zh) 训练养卡识别模型、识别养卡行为的方法及装置
CN113095891A (zh) 一种数据处理方法、装置、存储介质及电子装置
CN115471336A (zh) 交易系统的异常检测方法、装置和服务器
CN115760390A (zh) 业务数据处理方法、装置和网点终端设备
CN111427883A (zh) 基于AeroSpike的数据处理方法、装置、计算机设备及存储介质
CN115659351A (zh) 一种基于大数据办公的信息安全分析方法、系统及设备
CN116563003A (zh) 账户异常试探风险的检测方法、装置和服务器
CN108257011B (zh) 掉单处理方法和装置
CN115689571A (zh) 异常用户行为监测方法、装置、设备和介质
CN115277472A (zh) 一种多维工控系统网络安全风险预警系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination