CN117172875A

CN117172875A - 欺诈检测方法、装置、设备及存储介质

Info

Publication number: CN117172875A
Application number: CN202311118598.XA
Authority: CN
Inventors: 张政; 林玉香; 单平平; 郭俊颖
Original assignee: Nanyang Institute of Technology
Current assignee: Nanyang Institute of Technology
Priority date: 2023-08-31
Filing date: 2023-08-31
Publication date: 2023-12-05

Abstract

本申请公开一种欺诈检测方法、装置、设备及存储介质，该方法包括：获取第一用户节点的相关用户节点数据；通过预设欺诈图神经网络检测模型，基于所述第一用户节点的相关用户节点数据，对所述第一用户节点进行是否存在欺诈行为的识别，得到欺诈检测识别结果；其中，所述预设欺诈图神经网络检测模型是基于训练数据中第二用户节点与其相关用户节点的隐藏共谋关系，进行训练得到的，用于表征第二用户是否存在欺诈行为的模型；其中，所述训练数据为多个第二用户节点的相关用户节点数据，所述隐藏共谋关系用于表征不同用户节点行为的关联情况。本申请提升对复杂场景下对欺诈行为检测准确度。

Description

欺诈检测方法、装置、设备及存储介质

技术领域

本申请涉及通信计算机技术领域，尤其涉及一种欺诈检测方法、装置、设备及存储介质。

背景技术

目前，电商平台上的欺诈行为，如欺诈性商品评论或虚假支付行为，严重误导了用户节点的购物决策，损害了平台的核心利益。一方面，欺诈者相互协作，构成共谋欺诈群组，对目标进行恶意攻击，这样可以最大限度地发挥在线评论的主导作用。另一方面，欺诈者引入伪装策略掩盖欺诈行为，以减轻其欺诈可疑度。例如，欺诈者可以通过与正常行为模式(即发布真实评论或关注正常用户节点和热门商品)建立联系而隐藏自身的欺诈踪迹。

当前欺诈检测方法，一般通过分析用户节点异常行为和构建与其他用户节点的交互关系图，从而发现可疑行为的模式来检测。然而，上述检测模型(基于特征和基于图的检测模型)往往只考虑了欺诈行为的浅层同质性特征，在面对协作共谋欺诈、对抗性伪装欺诈、多手段融合欺诈等高阶欺诈攻击的场景下表现出不佳的检测性能。

发明内容

有鉴于此，本申请实施例提供一种欺诈检测方法、装置、设备及存储介质，旨在解决相关技术中，对复杂场景下对欺诈行为检测准确度低的技术问题。

本申请实施例提供了一种欺诈检测方法，所述方法包括：

获取第一用户节点的相关用户节点数据，其中，所述相关用户节点数据包括与第一用户节点对同一目标均进行评论的各相关用户节点的评论数据，以及各用户节点重叠评论的目标数据；

通过预设欺诈图神经网络检测模型，基于所述第一用户节点的相关用户节点数据，对所述第一用户节点进行是否存在欺诈行为的识别，得到欺诈检测识别结果；

其中，所述预设欺诈图神经网络检测模型是基于训练数据中第二用户节点与其相关用户节点的隐藏共谋关系，进行训练得到的，用于表征第二用户是否存在欺诈行为的模型；

其中，所述训练数据为多个第二用户节点的相关用户节点数据，所述隐藏共谋关系用于表征不同用户节点行为的关联情况。

在本申请的一种可能的实施方式中，所述各相关用户节点与其邻居节点构成共谋节点，所述通过预设欺诈图神经网络检测模型，基于所述第一用户节点的相关用户节点数据，对所述第一用户节点进行是否存在欺诈行为的识别，得到欺诈检测识别结果的步骤，包括：

通过预设欺诈图神经网络检测模型，从所述第一用户节点的相关用户节点数据中确定出所述第一用户节点与其相关用户节点的隐藏共谋关系，其中，基于所述评论数据中用户节点的评论时间间隔和评分相似性数据以及基于所述目标数据，确定第一用户节点与其相关用户节点的隐藏共谋关系；

基于所述隐藏共谋关系，对所述第一用户节点进行特征的聚合，得到聚合特征；

基于所述聚合特征，对所述第一用户节点进行是否存在欺诈行为的分类，得到欺诈检测识别结果。

在本申请的一种可能的实施方式中，所述通过预设欺诈图神经网络检测模型，从所述第一用户节点的相关用户节点数据中确定出所述第一用户节点与其相关用户节点的隐藏共谋关系的步骤，包括：

通过预设欺诈图神经网络检测模型中，基于所述评论数据所确定的共谋评论者图以及基于所述目标数据，确定共谋节点对的共谋相似度；

基于所述共谋相似度，确定对应共谋节点对的共谋可疑度；

基于预设的社区上下文感知模型，从所述相关用户节点数据中，确定所述第一用户节点的社区上下文向量以及初始嵌入向量，其中，所述预设的社区上下文感知模型的损失函数与所述共谋可疑度相关，所述社区上下文向量以及初始嵌入向量使得所述共谋可疑度最大。

在本申请的一种可能的实施方式中，所述基于所述隐藏共谋关系，对所述第一用户节点进行特征的聚合，得到聚合特征的步骤，包括：

基于所述社区上下文向量以及所述初始嵌入向量，对所述第一用户节点进行特征的聚合，得到聚合特征。

在本申请的一种可能的实施方式中，所述基于所述社区上下文向量以及所述初始嵌入向量，对所述第一用户节点进行特征的聚合，得到聚合特征的步骤，包括：

基于所述社区上下文向量，确定第一用户节点与其相关节点是否处于同一社区；

根据是否处于同一社区，采取不同的聚合方式，对所述第一用户节点进行特征的聚合，得到聚合特征。

本申请还提供一种欺诈检测方法，还获取各相关用户节点的嵌入向量；

所述根据是否处于同一社区，采取不同的聚合方式，对所述第一用户节点进行特征的聚合，得到聚合特征的步骤，包括：

若处于同一社区，提取第一用户的各相关用户节点对应嵌入向量中的预设高频信号进行聚合，得到第一用户节点的聚合特征；

若未处于同一社区，提取第一用户的各相关用户节点对应嵌入向量中的预设低频信号进行聚合，得到第一用户节点的聚合特征。

在本申请的一种可能的实施方式中，所述预设欺诈图神经网络检测模型的总体损失函数包括有监督的分类损失函数和无监督的共谋损失函数。

本申请还提供一种欺诈检测装置，所述装置包括：

获取模块，用于获取第一用户节点的相关用户节点数据，其中，所述相关用户节点数据包括与第一用户节点对同一目标均进行评论的各相关用户节点的评论数据，以及各用户节点重叠评论的目标数据；

识别模块，用于通过预设欺诈图神经网络检测模型，基于所述第一用户节点的相关用户节点数据，对所述第一用户节点进行是否存在欺诈行为的识别，得到欺诈检测识别结果；

本申请还提供一种欺诈检测设备，所述欺诈检测设备为实体节点设备，所述欺诈检测设备包括：存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的所述欺诈检测方法的程序，所述欺诈检测方法的程序被处理器执行时可实现如上述所述欺诈检测方法的步骤。

为实现上述目的，还提供一种存储介质，所述存储介质上存储有欺诈检测程序，所述欺诈检测程序被处理器执行时实现上述任一所述的欺诈检测方法的步骤。

本申请提供一种欺诈检测方法、装置、设备及存储介质，与相关技术中对复杂场景下对欺诈行为检测准确度低相比，在本申请中，获取第一用户节点的相关用户节点数据，其中，所述相关用户节点数据包括与第一用户节点对同一目标均进行评论的各相关用户节点的评论数据，以及各用户节点重叠评论的目标数据；通过预设欺诈图神经网络检测模型，基于所述第一用户节点的相关用户节点数据，对所述第一用户节点进行是否存在欺诈行为的识别，得到欺诈检测识别结果；其中，所述预设欺诈图神经网络检测模型是基于训练数据中第二用户节点与其相关用户节点的隐藏共谋关系，进行训练得到的，用于表征第二用户是否存在欺诈行为的模型；其中，所述训练数据为多个第二用户节点的相关用户节点数据，所述隐藏共谋关系用于表征不同用户节点行为的关联情况。

可以理解，在本申请中，相关用户节点数据包括与第一用户节点对同一目标均进行评论的各相关用户节点的评论数据，以及各用户节点重叠评论的目标数据，且所述预设欺诈图神经网络检测模型(图神经网络检测模型能够通过神经网络层学习嵌入表示)是基于训练数据中第二用户节点与其相关用户节点的隐藏共谋关系，进行训练得到的，用于表征第二用户是否存在欺诈行为的模型(训练数据中为第二用户节点的相关用户节点数据)，因而，所述预设欺诈图神经网络检测模型可以很好地处理复杂欺诈场景下节点间关联关系的变化以及呈现出的不同特性，并进行欺诈行为的预测(这是因为：隐藏共谋关系可以用于表征不同用户节点行为的关联情况，通过预设欺诈图神经网络检测模型是基于相关用户节点数据，学习到隐藏共谋关系)，而不只是只考虑了欺诈行为的浅层同质性特征(未基于各相关用户节点的评论数据，以及各用户节点重叠评论的目标数据考虑不同特征)，因而，本申请解决当前对复杂场景下对欺诈行为检测准确度低的技术问题。

附图说明

图1为本申请欺诈检测方法的第一实施例的流程示意图；

图2为本申请欺诈检测方法第一实施例中步骤S20的细化流程示意图；

图3为本申请实施例方案涉及的硬件运行环境的设备结构示意图；

图4为本申请欺诈检测方法涉及的预设欺诈图神经网络检测模型的模型框架示意图；

图5为本申请中涉及的消融实验的对比结果示意图；

图6为本申请中涉及的CCFA-AGN模型的整体训练过程。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请实施例提供一种欺诈检测方法，在本申请欺诈检测方法的一实施例中，参照图1，所述方法包括：

步骤S10，获取第一用户节点的相关用户节点数据，其中，所述相关用户节点数据包括与第一用户节点对同一目标均进行评论的各相关用户节点的评论数据，以及各用户节点重叠评论的目标数据；

步骤S20，通过预设欺诈图神经网络检测模型，基于所述第一用户节点的相关用户节点数据，对所述第一用户节点进行是否存在欺诈行为的识别，得到欺诈检测识别结果；

其中，所述预设欺诈图神经网络检测模型是基于训练数据中第二用户节点与其相关用户节点的隐藏共谋关系，以及基于所述隐藏共谋关系所确定的相应第二用户节点的聚合特征，对预设待训练模型进行训练得到的；

其中，所述第二用户节点与其相关用户节点的隐藏共谋关系是基于第二用户节点的相关用户节点训练数据确定的，所述隐藏共谋关系用于表征不同用户节点行为的关联情况。

在本实施例中，先阐述基本概念：

共谋：不同评论者(用户节点)之间隐藏(未直接凸显)的交互/相关关系；

本实施例所涉及的背景为：

目前，电商平台上存在不少欺诈行为，如欺诈性商品评论或虚假支付行为，严重误导了用户的购物决策，损害了平台的核心利益。

然而，由于欺诈者以各种方式掩饰他们的异常行为。一方面，欺诈者相互协作，构成共谋欺诈群组，对目标进行恶意攻击，这样可以最大限度地发挥在线评论的主导作用。另一方面，欺诈者引入伪装策略掩盖欺诈行为，以减轻其欺诈可疑度。例如，狡猾的欺诈者试图通过与正常行为模式(即发布真实评论或关注正常用户和热门商品)建立联系而隐藏自身的欺诈踪迹。也即，目前欺诈检测并不简单。

现有欺诈检测方法试图通过分析异常行为和构建交互关系图从而发现可疑模式来检测欺诈活动。然而，基于特征和基于图的检测模型无法有效地学习欺诈者的深层复杂关系特征，往往在面对协作共谋欺诈、对抗性伪装欺诈、多手段融合欺诈等高阶欺诈攻击的场景下检测准确度不佳。同时，在处理面向大规模海量欺诈数据以及多模态表示欺诈数据的检测任务时，计算效率低下，且无法识别欺诈用户。

随着图神经网络(Graph Neural Networks,GNNs)的快速发展，基于GNNs的欺诈检测模型在学术界和工业界引起了极大的关注。与基于图的检测方法不同，基于GNNs的检测模型能够通过神经网络层学习目标节点的嵌入表示，并基于高行为相似性用户具有更加紧密关联关系的假设，揭示欺诈者的可疑性。

在现实网络中，伪装欺诈、共谋欺诈等高阶攻击方式会引发图中节点之间关系结构的变化。例如，目标欺诈者不仅关联了参与协作的其他欺诈者，还关联了其他正常用户。另外，不同欺诈用户之间的关联关系更是呈现出多样化、复杂性、深度隐藏等特点。然而，存在基于GNNs的欺诈检测方法通常只考虑了欺诈的浅层同质性特征，却忽略了欺诈背后隐藏的异质性以及多重复杂性关系特征，致使当前难以准确检测用户的欺诈行为。

在本申请中，隐藏共谋关系可以用于表征不同用户节点行为的关联情况，通过预设欺诈图神经网络检测模型是基于相关用户节点数据，学习到隐藏共谋关系)，而不只是只考虑了欺诈行为的浅层同质性特征(未基于各相关用户节点的评论数据，以及各用户节点重叠评论的目标数据考虑不同特征)，因而，本申请解决当前对复杂场景下对欺诈行为检测准确度低的技术问题。

在本申请中，社区上下文向量以及初始嵌入向量使得社区上下文感知模型中的共谋可疑度最大，即使得共谋用户节点的共现概率最大化，以准确识别欺诈行为。

在本申请中，还基于所述隐藏共谋关系，对所述第一用户节点进行特征的聚合，得到聚合特征，可以理解，隐藏共谋关系不同，特征聚合不同，因而，使得聚合的特征更加符合不同用户节点之间的交互关系，实现提升检测准确度。

在本申请中，根据社区上下文向量确定第一用户节点与其相关节点是否处于同一社区，并采用不同的聚合方式，使得有共谋行为的节点间的表征更加相似，相反，使得欺诈节点和正常节点的表征差异更加明显，提升检测准确度。在本申请中，由于总体损失函数收敛才可以得到预设欺诈图神经网络检测模型，而所述预设欺诈图神经网络检测模型的总体损失函数包括有监督的分类损失函数和无监督的共谋损失函数，因而，相应的模型可以满足有监督的分类要求和无监督的损失要求。

具体步骤如下：

作为一种示例，预设欺诈图神经网络检测模型可以是CCFA-AGN模型；

作为一种示例，如图4所示，是预设欺诈图神经网络检测模型的模型框架；

作为一种示例，预设欺诈图神经网络检测模型主要由两个模块组成(包括社区上下文学习模块以及频率自适应特征聚合模块)；

作为一种示例，面向社区上下文的图嵌入学习模块融合了(不同用户共同评论目标(商品)社区，同一欺诈社区)的特征表示，并通过对特征进行最大化(共谋评论者或者各相关用户节点)共现概率(共谋欺诈的概率)的处理，生成节点的社区上下文向量以及初始嵌入向量；

作为一种示例，在本实施例中，频率自适应特征聚合模块用于基于第一用户节点对应其他节点的低频和高频信号进行第一用户节点的特征聚合，也即，该频率自适应特征聚合模块可以同时利用不同频率的信号特征(其他相关用户节点的特征)来增强第一用户节点的嵌入表示(初始嵌入向量)。

作为一种示例，预设欺诈图神经网络检测模型具体是以半监督的方式训练和优化得到的，并用于预测第一用户节点类型的模型。

在本实施例中，获取第一用户节点的相关用户节点数据是面向社区上下文的图嵌入学习模块的功能，该面向社区上下文的图嵌入学习模块获取相关用户节点数据后，用于捕获欺诈性社区中节点之间的隐藏共谋关系(不同用户节点之间隐藏的交互关系)。

作为一种示例，所述相关用户节点数据包括与第一用户节点对同一目标均进行评论的各相关用户节点的评论数据，以及各用户节点重叠评论的目标数据；

作为一种示例，所述相关用户节点数据包括与第一用户节点对同一目标均进行评论的各相关用户节点的评论数据，具体地，该评论数据可以是异构评论图G数据；

作为一种示例，可以根据用户节点的评论时间间隔和评分相似性构建一个共谋评论者图G_collu，并提取图G_collu中所有具有共谋行为(评论时间间隔和评分相似性等行为相关)的邻居节点对，得到异构评论图G数据。

作为一种示例，由于不同用户可能存在对多个目标均评论，因而，在本实施例中，还获取各用户节点重叠评论的目标数据。

作为一种示例，1、2、3...N等用户节点均评论A商品，而现在需要确定2用户是否存在欺诈行为，则该2用户是第一用户节点，1、3...N等用户是各相关用户节点、目标是A商品，则述相关用户节点数据包括与第一用户节点(2用户)对同一目标(A商品)均进行评论的各相关用户节点的评论数据(具体地，可以根据评论时间间隔和评分相似性等筛选对同一目标(A商品)均进行评论的各相关用户节点，得到最终的各相关用户节点)。

在本实施例中，还获取各用户节点重叠评论的目标数据，例如，2以及3等用户节点，除了均对A商品评论外，还均对B商品，C商品，D商品进行评论，则在本实施例中，还需要获取除了A商品外，还需要获取相关用户节点对B商品，C商品，D商品的数据(共同评论的目标商品集合，也即目标数据)，进而，可以获取目标商品集合对应的各相关用户节点的评论数据。

作为一种示例，预设欺诈图神经网络检测模型是已经训练好的模型。

作为一种示例，预设欺诈图神经网络检测模型中的训练数据包括多个第二用户节点的相关用户节点数据。

其中，参照图2，所述各相关用户节点与所述第一用户节点构成共谋节点，所述通过预设欺诈图神经网络检测模型，基于所述第一用户节点的相关用户节点数据，对所述第一用户节点进行是否存在欺诈行为的识别，得到欺诈检测识别结果的步骤，包括：

步骤S21，通过预设欺诈图神经网络检测模型，从所述第一用户节点的相关用户节点数据中确定出所述第一用户节点与其相关用户节点的隐藏共谋关系，其中，基于所述评论数据中用户节点的评论时间间隔和评分相似性数据以及基于所述目标数据，确定第一用户节点与其相关用户节点的隐藏共谋关系；

步骤S22，基于所述隐藏共谋关系，对所述第一用户节点进行特征的聚合，得到聚合特征；

在本实施例中，各相关用户节点与所述第一用户节点构成共谋节点；

作为一种示例，第一用户节点根据相应评论时间间隔和评分相似性，确定其邻居节点，将其邻居节点作为共谋节点；

在本实施例中，隐藏共谋关系可以具象化为：初始嵌入向量；

在确定出初始嵌入向量后，基于第一用户的初始嵌入向量，对所述第一用户节点进行特征的聚合，得到聚合特征。

在本实施例中，需要说明的是，由于第一用户节点的相关节点对其是存在影响的，因而，在确定第一用户节点是否存在欺诈行为，需要考量第一用户节点的相关节点的嵌入向量，并对其进行聚合。

步骤S23，基于所述聚合特征，对所述第一用户节点进行是否存在欺诈行为的分类，得到欺诈检测识别结果。

在本实施例中，聚合特征可以是多阶聚合特征，其中，多阶聚合特征具体包括：

第一用户节点的邻居节点的嵌入向量；

第一用户节点相应邻居节点的邻居节点的嵌入向量等。

在得到聚合特征后，基于所述聚合特征，对所述第一用户节点进行是否存在欺诈行为的分类，得到欺诈检测识别结果。

在本实施例中，以第一用户节点和其邻居节点所构成的节点对为例进行具体说明。

其中，述各相关用户节点与所述第一用户节点构成共谋节点，所述通过预设欺诈图神经网络检测模型，从所述第一用户节点的相关用户节点数据中确定出所述第一用户节点与其相关用户节点的隐藏共谋关系的步骤，包括：

步骤S211，通过预设欺诈图神经网络检测模型中，基于所述评论数据所确定的共谋评论者图以及基于所述目标数据，确定共谋节点对的共谋相似度；

步骤S212，基于所述共谋相似度，确定对应共谋节点对的共谋可疑度；

步骤S213，基于预设的社区上下文感知模型，从所述相关用户节点数据中，确定所述第一用户节点的社区上下文向量以及初始嵌入向量，其中，所述预设的社区上下文感知模型的损失函数与所述共谋可疑度相关，所述社区上下文向量以及初始嵌入向量使得所述共谋可疑度最大。

在本实施例中，整体地，对于给定的一个异构评论图G，根据用户节点的评论时间间隔和评分相似性构建一个共谋评论者图G_collu，并提取图G_collu中所有具有共谋行为的邻居节点对。

之后，基于邻居节点对，利用GNNs模型学习第一用户节点的节点嵌入表示。

具体地，对于一个共同的商品p_m，用户u_i和u_j给出评论，其中评论时间分别为t_im和t_jm，评分值分别为r_im和r_jm。

则用户u_i和u_j之间对于p_m的共谋相似度定义如下：

其中Δt＝t_im-t_jm和Δr＝r_im-r_jm都遵循正态分布，即和表示累积分布函数，Z是归一化常量。

在得到共谋相似度后，基于所述共谋相似度，确定对应共谋节点对的共谋可疑度，对于每一对共谋节点u_i和u_j，其共谋可疑度计算如下：

其中T_ui和T_uj分别是用户u_i和u_j评论的目标(商品)集合。

在本实施例中，模块中设置有社区上下文感知模型。

在本实施例中，社区上下文感知模型的损失函数与共谋可疑度相关；

针对第一用户节点和某一个相关节点：基于预设的社区上下文感知模型，从所述相关用户节点数据中，确定所述第一用户节点的社区上下文向量，并确定第一用户节点的初始嵌入向量。

具体地，在本实施例中，对于确定的共谋可疑度susp_collu(u_i,u_j),采用社区上下文感知的GNNs模型，将每对节点的隐藏共谋关系递归嵌入社区上下文向量其中n表示图G_collu中的用户节点数，d_c表示节点上下文向量的维度，进而，得到社区上下文向量以及初始嵌入向量。

采用社区上下文感知的GNNs模型，将每对节点的隐藏共谋关系递归嵌入社区上下文向量的具体过程可以是：

GNNs模型重复执行上下文信息聚合操作，并为每个节点u_i学习上下文向量c_i。

其中，节点u_i和u_j为共谋邻居的概率可以由上下文向量c_i和c_j表示：

其中，概率由softmax函数计算，e_ij表示节点u_i和u_j在图G_collu中相连，z_i和Z_j是节点u_i和u_j学习到的嵌入向量(隐藏共谋关系)，||表示向量的连接操作，σ(·)是sigmoid激活函数。

因此，社区上下文感知的GNNs模型的目标函数可以写成：

其中a_ij∈(0,1]表示e_ij的注意力权重，等于节点u_i和u_j之间的共谋可疑度，N(u_i)是u_i在图G_collu中的邻居节点集合，Φ是模型利用梯度下降法优化的参数集。

在社区上下文感知的GNNs模型中，采用多任务训练方法来优化参数Φ

在本实施例中，为了有效地学习节点表征，需要最大化共谋评论者(共谋节点)的共现概率，则共谋用户节点在图G_collu中共现的损失函数定义为：

在上述过程中，通过社区上下文感知模型的聚合操作来捕获欺诈者之间的高阶隐藏共谋关系，并为每个用户节点生成上下文表示向量，进而优化第一用户节点的最终节点嵌入表示。

在上述过程中，为第一用户节点学习到每一对一阶邻居的不同重要性，在学习到每一对一阶邻居的不同重要性的过程中，还引入自注意力机制来计算注意力权重，进而，得到第一用户节点的最终节点嵌入表示。

其中h_i和h_j是用户节点u_i(可以是第一用户节点)和u_j(第一用户节点相关节点)的特征向量。其中，att_collu表示由相应模型聚合层执行的共谋邻居的注意力函数。

由于共谋节点对(u_i,u_j)共享一个重叠评论目标图节点对(u_i,u_j)的重要性权重取决于图表示向量/>同时，使用softmax函数对重要性权重进行归一化处理：

其中是最终的注意力系数，σ表示激活函数，||表示向量的连接操作，a是基于重叠评论目标图学习到的注意力向量。注意到/>是不对称的，这意味着节点u_i和u_j相互之间的贡献不同。

对于每个节点u_i，聚合其一阶共谋邻居节点的信息，并生成社区上下文向量c_i。具体地，在k层，节点u_i的上下文向量可以利用其邻居节点在第k-1层的上下文向量/>进行聚合，计算公式如下所示：

其中w_k和b_k是第k层的可训练参数，u_j是u_i在图G_collu中的(共谋)邻居节点。注意这里用最后一层聚合层的向量作为每个节点的最终社区上下文向量。

在得到最终社区上下文向量后，基于最终社区上下文向量，驱动得到初始嵌入向量。

在本实施例中，得到初始嵌入向量后，进行特征聚合，进而，得到第一用户节点是否存在欺诈行为的结果。

进一步地，基于本申请中第一实施例，提供本申请的另一实施例，在该实施例中，所述基于所述隐藏共谋关系，对所述第一用户节点进行特征的聚合，得到聚合特征的步骤，包括：

步骤A1，基于所述社区上下文向量以及所述初始嵌入向量，对所述第一用户节点进行特征的聚合，得到聚合特征。

在本实施例中，为学习有效的节点表征进行欺诈检测，基于邻居节点的特征聚合不仅要考虑同一欺诈社区中节点的共性，还要考虑不同社区之间节点的差异。

需要说明的是，(用户)节点特征的低频信号可以驱动相似节点互相连接，而高频信号可以区分不同类型的节点。

目前，在GNNs模型中，邻居节点的表征聚合可以看作是一个低通滤波器，保留了节点特征的低频信号，但不可避免地忽略了高频信号。这就导致了过度平滑以至于无法准确区分不同类型的节点。在本申请中，提出了一种社区上下文驱动的频率自适应特征聚合器(频率自适应特征聚合模块)，其可以自适应地利用节点特征的不同频率信号来增强(共谋)邻居节点之间的特征聚合。

在本实施例中，在使用第一用户节点的邻居节点或者相关用户节点对第一用户节点特征进行聚合时，需要分离其他用户节点原始特征的高频和低频信号。

也即，在本实施例中，设置一个低通滤波器和一个高通滤波器，分别对应提取低频和高频信号。

具体地，在本实施例中，采用对称矩阵归一化的聚合方法来设计这两个滤波器。

具体如下所示：

其中μ∈[0,1]是一个缩放超参数，给定一个共谋评论者(用户节点)图其邻接矩阵是A∈R^n×n，I是单位矩阵，D是满足D_i,i＝∑_ja_i,j的度矩阵，归一化拉普拉斯矩阵定义为/>可对角化为l＝UΛU^T，/>是一组正交特征向量。Λ＝diag(λ₁,λ₂,…,λ_n)是一个对角矩阵，且λ_i∈[0,2]，每个特征向量u_i对应一个特征值λ_i。

基于图傅里叶变换的拉普拉斯矩阵分解是实现图神经网络卷积计算的基本方法，具体地，给定一个图信号x∈Rⁿ，用卷积核f对图信号x进行卷积可以表述如下：

其中g_θ是谱域中的卷积核，GCN[152]将g_θ定义为I-Λ。本实施例中，利用F_L和F_H作为卷积核f来获得节点特征的低频和高频信号，如下所示：

F_L(x)＝U[(μ+1)I-Λ]U^Tx＝F_L·x

F_H(x)＝U[(μ-1)I+Λ]U^Tx＝F_H·x

因此，对于低通滤波器F_L，卷积核g_θ等同于(μ+1)I-Λ，则g_θ(λ_i)＝μ+1-λ_i。同样地，对于高通滤波器，g_θ＝(μ-1)I+Λ，则g_θ(λ_i)＝μ-1+λ_i。

在本实施例中，需要确定社区上下文驱动的特征聚合函数，进而，实现对所述第一用户节点进行特征的聚合，得到聚合特征。

其中，所述基于所述社区上下文向量以及所述初始嵌入向量，对所述第一用户节点进行特征的聚合，得到聚合特征的步骤，包括：

步骤B1，基于所述社区上下文向量，确定第一用户节点与其相关节点是否处于同一社区；

步骤B2，根据是否处于同一社区，采取不同的聚合方式，对所述第一用户节点进行特征的聚合，得到聚合特征。

在本实施例中，对于给定节点对(u_i,u_j)的社区上下文向量ci和cj，可以推断用户u_i和u_i是否处于同一个(共谋)社区，进而设置一个社区上下文驱动的频率聚合函数，该函数可以自适应地为(第一用户节点)聚合位于同一社区邻居节点的低频信号和不同社区邻居节点的高频信号。

也即，在本实施例中，根据第一用户节点与其相关节点是否处于同一社区，采取不同的聚合方式，对所述第一用户节点进行特征的聚合，得到聚合特征。

在本实施例中，基于社区上下文先验的聚合机制(基于社区上下文驱动的频率聚合函数进行聚合)使得有(共谋或者相似)行为邻居节点的表征更加相似，相反，使得(欺诈)节点和正常节点的表征差异更加明显。

其中，还获取各相关用户节点的嵌入向量；

步骤C1，若处于同一社区，提取第一用户的各相关用户节点对应嵌入向量中的预设高频信号进行聚合，得到第一用户节点的聚合特征；

步骤C2，若未处于同一社区，提取第一用户的各相关用户节点对应嵌入向量中的预设低频信号进行聚合，得到第一用户节点的聚合特征。

在本实施例中，第一用户的各相关用户节点若与第一用户节点处于同一社区，则将相应处于同一用户节点的嵌入向量中的预设高频信号进行聚合(过滤低频信号)(相关用户节点的嵌入向量已经获取得到，获取的方式与第一用户节点一致)。

在本实施例中，若未处于同一社区，提取第一用户的各相关用户节点对应嵌入向量中的预设低频信号进行聚合(过滤高频信号)，得到第一用户节点的聚合特征。

具体地，在本实施例中，若相应节点特征表示为H＝{h₁,h₂,...,h_n}，在节点特征聚合的过程中，本实施例中，采用余弦相似度来计算高频和低频信号的比例因子，具体地，对于邻居节点u_i和u_j，其比例因子分别表示为和/>聚合函数的特征更新可以表述为：

其中h′_i是节点u_i的嵌入表示，超参数α,β∈[0,1]。设定并定义计算公式如下所示：

其中，用于控制低频和高频信号的比例，c_i和c_j是节点u_i和u_j的上下文向量。

其中，当社区上下文向量c_i和c_j趋于相似时，即/>这意味着低频信号在嵌入表示中占主导地位，那么节点u_i聚合邻居节点u_j的低频信息，反之亦然。

此外，在更新目标节点u_i的嵌入表示时，超参数α和β控制着节点u_i自身特征和邻居节点u_j特征的聚合比例。最后，聚合后特征表示的传播过程定义如下：

其中，利用多层感知机对相应节点的原始特征(初始嵌入向量)进行线性转换，并作为相应图神经网络的输入，表示u_i在第k层的嵌入表示向量，且k∈[1,K]。

在本实施例中，使用softmax函数将第K层输出的嵌入表示(特征)用于节点分类，类标签预测表示为Y_i＝[y_ic]∈R^c，其中y_ic是节点u_i属于分类c的概率。

那么Y_i的计算公式如下所示：

在本实施例中，(评论)欺诈者检测被看作是半监督的节点分类任务，因此定义所有标记节点的交叉熵损失函数为：

其中，表示包含标记数据的训练集，/>是节点u_i的真实标签，Y_i是节点u_i的预测标签。然后，有监督的分类损失(公式(4.19))和无监督的共谋损失(公式(4.5))共同构成了总体损失函数，如下所示：/>

其中λ₁和λ₂是加权参数，是用于/>是用于模型参数优化的/>正则化项。在本实施例中，图6描述了CCFA-AGN模型的整体训练过程。

进一步地，基于本申请中上述实施例，提供本申请的另一实施例，在该实施例中，在四种真实世界的评论数据集上进行对比实验，其中AmazonMusic数据集不包含欺诈标签，YelpNYC、YelpChi和YelpZip数据集包含标记的欺诈性评论数据。

其中，收集了评论的元数据(如评论者ID、音乐专辑ID、评论星级和评级时间戳)并建立AmazonMusic数据集。

在本实施例中，模仿真实欺诈者的行为，在实验中向AmazonMusic数据集注入人工模拟的欺诈用户。需要说明的是，这三种Yelp数据集包含了相应地区酒店和餐馆的用户评论数据，这些数据被Yelp.com网站过滤(欺诈评论)或推荐(正常评论)。同时，如果一个评论者至少写了一条欺诈性评论，则该评论者被标记为欺诈者，否则，将其视为正常用户。

数据集的统计信息如表1所示。

表1四种真实数据集的基本统计

数据集	#Reviewers(#Fraudster)	#Products	#Reviews
				AmazonMusic	26259(5055)	16843	510365
YelpChi	38063(7739)	201	67395
				YelpNYC	160225(28496)	923	359052
YelpZip	260227(62228)	5044	608598

实验中通常利用四种常用的评估指标来验证所有分类模型的整体性能。

ROC-AUC(AUC)描述了ROC曲线下的面积，用于衡量分类器区分不同类别的能力，它是根据所有样本预测概率的相对排名来计算。当AUC指标较大时，意味着该模型在区分正负样本方面表现良好。AUC指标定义如下：

其中y代表真阳性率，计算为x代表假阳性率，计算为/>而TP是真阳性样本的数量，FN是假阴性样本的数量，FP是假阳性样本的数量，TN是真阴性样本的数量。F值(F-measure或F1-score)是一个用来衡量分类器性能的常用指标，它表示精确率和召回率指标的加权调和平均值。F1-score越大，欺诈检测器性能越好。Recall描述了被分类器模型召回的真阳性样本的数量。Precision描述了正确识别的阳性样本与估计的阳性样本数量的比例。

在本实施例中，为了验证CCFA-AGN模型的有效性，对比了CCF-AGN模型和其他基准模型的总体性能，在四种真实世界数据集(如AmazonMusic、YelpNYC、YelpChi和YelpZip)上的相应指标结果(AUC、F1-score、召回率和精确度)如表2所示。

基于表2，可以得到如下结论：

首先，提出的模型在所有四种数据集上的表现一致优于其他基准模型。特别是，CCFA-AGN比最有竞争力的模型在各个指标上有显著的提升，其中，F1-score提高了7.89％～20.86％，召回率提高了2.59％～6.55％，精确度提高了11.21％～19.76％，AUC提高了3.47％～5.38％。结果表明，由欺诈社区上下文信息驱动的邻域节点的频率自适应特征聚合可以有效地增强节点的嵌入表示学习，从而提升CCFA-AGN模型的欺诈检测性能。

其次，观察到H2-FDetector取得了有竞争力的结果，特别是在Yelp的三种数据集上，它明显优于其他基准模型，原因是Yelp数据集上欺诈者的异构连边比例很高，而H2-FDetector同时考虑了同构和异构关系对欺诈检测的影响，这促进了该模型对欺诈者和正常用户的区分。

第三，作为多关系GNNs模型的代表，CARE-GNN和GraphConsis的性能优于通用GNNs模型，这也证明了结合多种关系的邻域信息可以很好地促进GNNs的聚合过程。此外，与GraphConsis相比，由于采用了基于强化学习的自适应阈值过滤，CARE-GNN可以更好地识别伪装欺诈者。最后，在同构图上运行的GCN、GAT和GraphSAGE模型的整体性能要略优于SemiGNN模型。可以理解，这是因为，SemiGNN忽略了邻域中隐含的丰富信息。

表2所有模型的对比实验结果，最优结果用粗体表示，次优结果用下划线表示，并计算了CCFA-AGN在不同指标上比最具竞争力基准模型的相对提升幅度。

表3

同时，为了进一步评估模型检测出的Top K欺诈者排名的质量，实验中根据预测的欺诈概率对所有用户进行排序，并得到一个欺诈者排名列表。然后统计各模型在四种数据集上以不同Top K值变化时正确和错误识别的欺诈者数量，并记录在表3中。从表中可以看到，与其他基准模型相比，提出的CCFA-AGN模型在所有的Top K值下都能正确地识别出最多的欺诈用户，并且随着K值的增加，CCFA-AGN的这种性能优势变得更加明显，这进一步验证了CCFA-AGN的Top K欺诈者检测精度优于其他模型。同时注意到，当Top K相对较小时，H2-FDetector的性能优于CARE-GNN，但随着K的增加，CARE-GNN的性能超过了H2-FDetector。可能的原因是：

对于欺诈伪装中的关系特征，CARE-GNN设计了一个增强的GNNs聚合过程来检测更多的伪装欺诈者，使得CARE-GNN的Top K欺诈者排名的整体质量比H2-FDetector更好。此外，SemiGNN比基于同构图的GraphSAGE模型略差，这与之前得到的实验结论相一致。由于SemiGNN扩展了标注数据以加强模型的训练，其Top K的性能仍然优于GCN和GAT。

表4不同Top K欺诈排名下，各模型正确和错误识别用户的数量。最优结果用粗体表示，次优结果用下划线表示，符号C代表正确识别的用户数量，符号E代表错误识别的用户数量。

表5

为了进一步验证各模块对于模型整体性能的贡献，在本实施例中，还在所有四种数据集上对比了CCFA-AGN模型和其三种变体，其中CCFA-AGN w/oContext表示在训练过程中随机初始化社区上下文表示；CCFA-AGN w/oFrequency Agg.表示只聚合邻居节点的低频特征信息；CCFA-AGN w/oCollusion Loss表示从损失函数中删除共谋评论者的共现约束。

消融实验的对比结果如图5所示。从图中可以得出一个结论，即三种变体的性能都有不同程度的下降，这证明了每个模块对于CCFA-AGN模型的有效性。具体地，CCFA-AGN w/oContext在三个变体中表现最差，这表明面向社区上下文的图嵌入学习在提升欺诈者识别性能方面起了关键作用。与CCFA-AGN相比，CCFA-AGN w/o Frequency Agg变体有明显的性能差距。这表明频率自适应聚合可以获得更好的节点表示。此外，CCFA-AGN始终优于CCFA-AGN w/o Collusion Loss，证明了损失函数中的共现约束有利于模型的训练和优化。

参照图3，图3是本申请实施例方案涉及的硬件运行环境的设备结构示意图。

如图3所示，该欺诈检测设备可以包括：处理器1001，存储器1005，通信总线1002。通信总线1002用于实现处理器1001和存储器1005之间的连接通信。

可选地，该欺诈检测设备还可以包括用户接口、网络接口、摄像头、RF(RadioFrequency，射频)电路，传感器、WiFi模块等等。用户接口可以包括显示屏(Display)、输入子模块比如键盘(Keyboard)，可选用户接口还可以包括标准的有线接口、无线接口。网络接口可以包括标准的有线接口、无线接口(如WI-FI接口)。

本领域技术人员可以理解，图3中示出的欺诈检测设备结构并不构成对欺诈检测设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图3所示，作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块以及欺诈检测程序。操作系统是管理和控制欺诈检测设备硬件和软件资源的程序，支持欺诈检测程序以及其它软件和/或程序的运行。网络通信模块用于实现存储器1005内部各摄像机之间的通信，以及与设备中其它硬件和软件之间通信。

在图3所示的欺诈检测设备中，处理器1001用于执行存储器1005中存储的欺诈检测程序，实现上述任一项所述的欺诈检测方法的步骤。

本申请欺诈检测设备具体实施方式与上述欺诈检测方法各实施例基本相同，在此不再赘述。

本申请还提供一种欺诈检测装置，所述装置包括：

在本申请的一种可能的实施方式中，所述欺诈检测装置用于实现：

基于所述共谋相似度，确定对应共谋节点对的共谋可疑度；

所述欺诈检测装置用于实现：

本申请欺诈检测装置的具体实施方式与上述欺诈检测方法各实施例基本相同，在此不再赘述。

本申请实施例提供了一种存储介质，且所述存储介质存储有一个或者一个以上程序，所述一个或者一个以上程序还可被一个或者一个以上的处理器执行以用于实现上述任一项所述的欺诈检测方法的步骤。

本申请存储介质具体实施方式与上述欺诈检测方法各实施例基本相同，在此不再赘述。

本申请还提供一种计算机程序产品、包括计算机程序，该计算机程序被处理器执行时实现上述的欺诈检测方法的步骤。

本申请计算机程序产品的具体实施方式与上述欺诈检测方法各实施例基本相同，在此不再赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加硬件平台的方式来实现，也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种欺诈检测方法，其特征在于，所述方法包括：

2.如权利要求1所述的欺诈检测方法，其特征在于，所述各相关用户节点与其邻居节点构成共谋节点，所述通过预设欺诈图神经网络检测模型，基于所述第一用户节点的相关用户节点数据，对所述第一用户节点进行是否存在欺诈行为的识别，得到欺诈检测识别结果的步骤，包括：

3.如权利要求2所述的欺诈检测方法，其特征在于，所述通过预设欺诈图神经网络检测模型，从所述第一用户节点的相关用户节点数据中确定出所述第一用户节点与其相关用户节点的隐藏共谋关系的步骤，包括：

基于所述共谋相似度，确定对应共谋节点对的共谋可疑度；

4.如权利要求3所述的欺诈检测方法，其特征在于，所述基于所述隐藏共谋关系，对所述第一用户节点进行特征的聚合，得到聚合特征的步骤，包括：

5.如权利要求4所述的欺诈检测方法，其特征在于，所述基于所述社区上下文向量以及所述初始嵌入向量，对所述第一用户节点进行特征的聚合，得到聚合特征的步骤，包括：

6.如权利要求5所述的欺诈检测方法，其特征在于，还获取各相关用户节点的嵌入向量；

7.如权利要求1所述的欺诈检测方法，其特征在于，所述预设欺诈图神经网络检测模型的总体损失函数包括有监督的分类损失函数和无监督的共谋损失函数。

8.一种欺诈检测装置，其特征在于，所述装置包括：

9.一种欺诈检测设备，其特征在于，包括存储器，处理器及存储在所述存储器上并可在所述处理器上运行的欺诈检测程序，所述处理器执行所述欺诈检测程序时实现权利要求1至7中任一项所述的欺诈检测方法的步骤。

10.一种存储介质，其特征在于，所述存储介质上存储有欺诈检测程序，所述欺诈检测程序被处理器执行时实现如权利要求1至7中任一项所述的欺诈检测方法的步骤。