WO2018072580A1

WO2018072580A1 - 一种非法交易检测方法及装置

Info

Publication number: WO2018072580A1
Application number: PCT/CN2017/102194
Authority: WO
Inventors: 胡奕; 邱雪涛; 赵金涛; 刘红宝
Original assignee: 中国银联股份有限公司
Priority date: 2016-10-21
Filing date: 2017-09-19
Publication date: 2018-04-26
Also published as: CN106548343B; CN106548343A; TWI684151B; TW201816678A

Abstract

本发明实施例提供一种非法交易检测方法及装置，用以解决目前仍缺少一种可以直接检测用户具体交易行为的检测方式的问题，包括：获取用户的当前交易行为数据；从当前交易行为数据的多个行为指标中提取第一连续型指标数据和第一离散型指标数据；根据第一连续型指标数据和连续检测模型计算当前交易行为的第一概率，以及，根据所述第一离散型指标数据和离散检测模型计算当前交易行为的第二概率；连续检测模型和离散检测模型均根据历史交易行为数据确定；根据第一概率和第二概率得到第三概率，第三概率为当前交易行为为非法交易的概率。通过对用户具体交易行为的分析，针对用户交易行为特征来分辨用户的交易行为是否合法，从而提高了检测的精度。

Description

一种非法交易检测方法及装置

本申请要求在2016年10月21日提交中国专利局、申请号为201610918010.2、发明名称为“一种非法交易检测方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及互联网技术领域，尤其涉及一种非法交易检测方法及装置。

背景技术

代理访问技术由于可以增强用户上网安全，节省网络资源等诸多优点而被广泛使用，但这也对交易的安全管理带来一定的问题。

在现有的代理访问检测技术中，常用的是在网络层抓取用户的访问数据报文，通过分析数据报文来进行判断，或利用常用的代理端口进行反向代理扫描，也有通过比对代理网络协议地址(Internet Protocol Address，IP)库来识别代理访问，然而，这些检测技术大多关注网络协议层的识别，不仅需要较长的检测时延，而且仅仅只能识别用户是否为代理IP，无法识别用户的交易是否合法。因此一般当检测出用户IP为代理IP后，还会进行加强验证、电话确认和直接封禁等多种方式处理，但无论哪种方式都有弊端，加强验证影响了用户体验，且效果有限，电话确认增加了人力、物力成本，直接封禁会误杀正常用户。

综上所述，目前仍缺少一种可以直接检测用户具体交易行为的检测方式。

发明内容

本发明提供一种非法交易检测方法及装置，用以解决现有技术中存在缺少一种可以直接检测用户具体交易行为的检测方式的问题。

本发明实施例提供一种非法交易检测方法，包括：

获取用户的当前交易行为数据；

从当前交易行为数据的多个行为指标中提取第一连续型指标数据和第一离散型指标数据；

根据第一连续型指标数据和连续检测模型计算当前交易行为的第一概率，以及，根据第一离散型指标数据和离散检测模型计算当前交易行为的第二概率；连续检测模型和离散检测模型均根据历史交易行为数据确定；

根据第一概率和第二概率得到第三概率，第三概率为当前交易行为为非法交易的概率。

可选地，根据第一概率和第二概率得到第三概率之后，还包括：

判断第三概率是否满足第一阈值；

若第三概率满足第一阈值，则判断用户的IP地址是否为已知的代理IP；

若是已知的代理IP，则输出当前交易行为为非法交易；

若不是已知的代理IP，则输出当前交易行为为疑似代理IP。

可选地，连续检测模型和离散检测模型均根据历史交易行为数据确定，包括：

针对每个历史交易行为数据，确定各历史交易行为数据的多个行为指标；从历史交易行为数据的多个行为指标中提取第二连续型指标数据和第二离散型指标数据，并确定各第二连续型指标数据对应的行为属性和各第二离散型指标数据对应的行为属性，行为属性是根据历史交易行为数据的行为属性确定的，历史交易行为数据的行为属性包括合法交易行为和非法交易行为；

对各历史交易行为数据的第二连续型指标数据及第二连续型指标数据对应的行为属性进行模型训练得到连续检测模型；

对各历史交易行为数据的第二离散型指标数据及第二离散型指标数据对应的行为属性进行模型训练得到离散检测模型。

可选地，包括：

计算各行为指标之间的相关性；

根据各行为指标之间的相关性，确定出代表性的行为指标，代表性的行为指标包括从强关联的各行为指标中确定的一个行为指标及弱关联的各行为指标；

将代表性的行为指标分为第二连续型指标和第二离散型指标；

根据第二连续型指标和第二离散型指标，从历史交易行为数据中提取第二连续型指标数据和第二离散型指标数据。

可选地，对各历史交易行为数据的第二连续型指标数据及第二连续型指标数据对应的行为属性进行模型训练得到连续检测模型，包括：

采用逻辑回归算法对各历史交易行为数据的第二连续型指标数据及第二连续型指标数据对应的行为属性进行模型训练，得到连续检测模型；

对各历史交易行为数据的第二离散型指标数据及第二离散型指标数据对应的行为属性进行模型训练得到离散检测模型，包括：

采用决策树算法对各历史交易行为数据的第二离散型指标数据及第二离散型指标数据对应的行为属性进行模型训练，得到离散检测模型。

可选地，根据第一概率和第二概率得到第三概率，包括：

根据第一关系对第一概率和第二概率进行计算，得到第三概率；

第一关系通过以下方式得到：

拟合连续检测模型和离散检测模型之间的运算关系；

确定拟合结果与历史交易行为数据的真实结果是否满足预设精度；

将满足预设精度的拟合结果作为第一关系。

本发明实施例提供一种非法交易检测装置，包括：

收发模块，用于获取用户的当前交易行为数据；

处理模块，用于从当前交易行为数据的多个行为指标中提取第一连续型指标数据和第一离散型指标数据；

所述处理模块，还用于根据第一连续型指标数据和连续检测模型计算当前交易行为的第一概率，以及，根据第一离散型指标数据和离散检测模型计算当前交易行为的第二概率；连续检测模型和离散检测模型均根据历史交易行为数据确定；

处理模块，还用于根据第一概率和第二概率得到第三概率，第三概率为当前交易行为为非法交易的概率。

可选地，处理模块还用于：

判断第三概率是否满足第一阈值；

当第三概率满足第一阈值时，判断用户的IP地址是否为已知的代理IP；

当用户的IP地址是已知的代理IP时，控制收发模块输出当前交易行为为非法交易；

当用户的IP地址不是已知的代理IP时，则控制收发模块输出当前交易行为为疑似代理IP。

可选地，处理模块还用于：

对各历史交易行为数据第二连续型指标数据及第二连续型指标数据对应的行为属性进行模型训练得到连续检测模型；

对各历史交易行为数据第二离散型指标数据及第二离散型指标数据对应的行为属性进行模型训练得到离散检测模型。

可选地，处理模块具体用于：

计算各行为指标之间的相关性；

可选地，处理模块具体用于：

采用逻辑回归算法对各历史交易行为数据第二连续型指标数据及第二连续型指标数据对应的行为属性进行模型训练，得到连续检测模型；

采用决策树算法对各历史交易行为数据第二离散型指标数据及第二离散型指标数据对应的行为属性进行模型训练，得到离散检测模型。

可选地，处理模块具体用于：

第一关系通过以下方式得到：

拟合连续检测模型和离散检测模型之间的运算关系；

将满足预设精度的拟合结果作为第一关系。

本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行上述任一项所述的方法。

本发明实施例提供一种计算设备，包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行上述任一项所述的方法。

本发明实施例提供一种计算机程序产品，当其在计算机上运行时，使得计算机执行上述任一项所述的方法。

综上所述，本发明实施例提供一种非法交易检测方法及装置，其中方法包括：获取用户的当前交易行为数据；从当前交易行为数据的多个行为指标中提取第一连续型指标数据和第一离散型指标数据；根据第一连续型指标数据和连续检测模型计算当前交易行为的第一概率，以及，根据所述第一离散型指标数据和离散检测模型计算当前交易行为的第二概率；连续检测模型和离散检测模型均根据历史交易行为数据确定；根据第一概率和第二概率得到第三概率，第三概率为当前交易行为为非法交易的概率。在上述检测过程中，所用到的连续检测模型和离散检测模型是由历史交易行为数据确定的，因此，连续检测模型和离散检测模型中包含了用户交易行为的规律，将当前交易行为输入连续检测模型和离散检测模型，便能获得两个模型计算的当前交易行为为非法交易的概率，由于用户的交易行为有多个指标，将当前交易行为数据分为第一连续型指标数据和第一离散型指标数据后再分别根据连续检测模型和离散检测模型计算，可以提高计算结果的精度，因此，本发明实施例针对用户交易行为特征来分辨用户的交易行为是否合法，而不针对网络协议层检测用户交易行为，从而提高了检测的精度。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种非法交易检测方法流程图；

图2为本发明实施例提供一种构建连续检测模型和离散检测模型的方法流程图；

图3为本发明实施例提供的一种决策树示意图；

图4为本发明实施例提供的一个非法交易检测识别流程图；

图5为本发明实施例提供的一种非法交易检测装置结构示意图；

图6为本发明实施例提供的一种计算设备结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

图1为本发明实施例提供的一种非法交易检测方法流程图，如图1所示，包括以下步骤：

步骤S101：获取用户的当前交易行为数据；

步骤S102：从当前交易行为数据的多个行为指标中提取第一连续型指标数据和第一离散型指标数据；

步骤S103：根据第一连续型指标数据和连续检测模型计算当前交易行为的第一概率，以及，根据第一离散型指标数据和离散检测模型计算当前交易行为的第二概率；连续检测模型和离散检测模型均根据历史交易行为数据确定；

步骤S104：根据第一概率和第二概率得到第三概率，第三概率为当前交易行为为非法交易的概率。

具体实施过程中，本发明实施例既可用于终端支付、银行转账，也可以用于支付宝交易，微信交易等多种交易途径，即适用于普通IP交易，也适用于代理IP交易，尤其是对于目前仍没有理想检测手段的基于代理IP访问的交易，可以在保证不误杀正常交易的情况下，准确识别非法交易。

在步骤S101中，对用户当前交易行为数据进行采集时，是按照即将被用来计算数据的连续检测模型和离散检测模型中包含的指标来确定采集何种数据的，连续检测模型和离散检测模型中包含了对用户交易行为是否合法的关联度较高的一些指标，对用户当前交易行为数据的采集，需针对这些指标采集，这样采集的数据才可以被应用于连续检测模型和离散检测模型的计算。例如，连续检测模型中包含了交易金额这一指标，离散检测模型中包含了击键间隔时间这一指标，则对用户当前交易行为数据进行采集时就必须采集交易金额数据和击键间隔时间数据这两个指标。

在步骤S102中，对于连续型指标和离散型指标的划分是人为规定的，一般与银行的常用处理方法相一致，例如对于一些连续变化的变量，如交易金额、交易时间等指标是连续型指标，而对于如击键间隔，正常击键间隔之间差异相对于机器人击键间隔之间的差异来说大得多，因此不需记录每次击键的时间而只需记录其是否间隔过小即可，因此为离散型指标。如，对于击键间隔大于0.5秒的击键行为认为其为正常击键间隔，记录为1，而对于击键间隔小于0.5秒的击键行为，认为其为机器人击键，记录为0，对于用户击键间隔的数据总体上只有0和1两种，因此为离散型指标。

在步骤S103中，会将从用户当前交易行为数据中提取的第一连续型指标数据和第一离散型指标数据分别跟连续检测模型和离散检测模型进行处理，获取两个概率数值，即第一概率和第二概率。

可选地，图2为本发明实施例提供一种构建连续检测模型和离散检测模型的方法流程图，如图2所示，包括以下步骤：

S201：针对每个历史交易行为数据，确定各历史交易行为数据的多个行为指标；从历史交易行为数据的多个行为指标中提取第二连续型指标数据和第二离散型指标数据，并确定各第二连续型指标数据对应的行为属性和各第二离散型指标数据对应的行为属性，行为属性是根据历史交易行为数据的行为属性确定的，历史交易行为数据的行为属性包括合法交易行为和非法交易行为；

S202：对各历史交易行为数据的第二连续型指标数据及第二连续型指标数据对应的行为属性进行模型训练得到所述连续检测模型；

S203：对各历史交易行为数据的第二离散型指标数据及第二离散型指标数据对应的行为属性进行模型训练得到所述离散检测模型。

可选地，在步骤S201之前，还应该预先布置代理服务器，用以获取用户的行为数据。可选地，代理服务器可部署一台或多台，甚至也可以是云服务器，合法或非法用户均可如同使用常用代理方式那样使用代理服务器。可选地，代理服务器可人为开发也可以购买外部代理服务器进行部署，用户通过代理服务器进行交易的一举一动都被记录在代理服务器中。可选地，预先部署的代理服务器的IP地址构成了代理IP池。可选地，对代理服务器记录的用户交易行为进行实时的采集并存储于数据库中，这些用户交易行为既包括了合法用户交易行为，也包括了非法用户交易行为，实时的采集可以防止非法用户删除代理服务器记录的非法交易行为数据。可选地，采集的交易行为包括，用户使用代理的方式，如是否存在多级代理、是否为机器人代理等；用户登录行为，如输入密码的快慢、输错的频率等；用户浏览页面的点击行为，如是否进行刷单行为、机器人行为等；用户进行交易的行为，如支付登录、密码输入、交易金额等。可选地，历史交易行为的采集应长期运作并周期性更新代理IP池，包括去除已无用的代理IP以及添加新的代理IP，以收集足够多的用户交易行为记录。

在步骤S201的具体实施中，各历史交易行为由多个行为指标组成，例如，登录环节输错密码的次数，输入密码用时，输入验证码的次数，输入验证码用时等多种数据，又例如，在交易环节，交易金额，交易时间，交易对象等数据，可选地，可根据经验设定或理论推导进行行为指标的设定，总之，对于行为指标的设定应包含尽量多的可能反应交易行为是否合法的指标，避免将重要指标遗漏。在获取历史交易行为数据的多个行为指标后，需先从历史交易行为的多个行为指标中获得第二连续型指标和第二离散型指标，再根据第二连续型指标和第二离散型指标从历史交易行为数据中提取第二连续型指标数据和第二离散型指标数据。对于历史交易行为的诸多行为指标，有相当一部分指标间反应的交易行为特征是一致的，此时，只需用其中一个行为指标即可，可选地，根据所述各行为指标之间的相关性，筛选出具有代表性的行为指标并分为第二连续型指标和第二离散型指标，如有A、B、C、D四个行为指标，其中，A指标与B、C、D三个指标都有强相关性，此时，只需保留A指标即可反应A、B、C、D四个行为指标反应的交易行为特征。根据各行为指标之间的相关性，筛选出具有代表性的行为指标之后，将筛选出的行为指标分为第二连续型指标和第二离散型指标，划分规则与前述划分第一连续型指标和第一离散型指标的规则一致。根据第二连续型指标和第二离散型指标从历史行为数据中提取第二连续型指标数据和第二离散型指标数据，通过筛选出具有代表性的行为指标来表示交易行为的行为特征，能够实现在保证数据有效性不受损坏的前提下对历史交易行为数据的精简。此外，还需判断历史交易行为中各历史交易行为是否为非法交易，以确定各第二连续型指标数据对应的行为属性和各第二离散型指标数据对应的行为属性，其中，行为属性是根据历史交易行为数据的行为属性确定的，历史交易行为数据的行为属性包括合法交易行为和非法交易行为，即每一条历史交易行为数据都会分为多个第二连续型数据和第二离散型数据，若某一个历史交易行为为合法交易行为，则此历史交易行为所对应的第二连续型数据和第二离散型数据对应的行为属性为合法交易行为；若某一个历史交易行为为非法交易行为，则此历史交易行为所对应的第二连续型数据和第二离散型数据对应的行为属性为违法交易。各历史交易行为数据中的第二连续型指标数据和第二离散型指标数据及它们所对应的行为属性共同构成了特征库。可选的，对非法交易的判断可依据预先设定的非法交易规则进行评判，如登录环节，多次输错密码来进行撞库行为、构建机器登录行为、登录地经常变换且相隔较远等等，又如交易环节，支付时IP地址发生变化、响应时间较长等等。表一为本发明实施例中提出的一种特征库的表现形式，如表一所示，行为属性以0和1表示，0表示非法交易，1表示合法交易，每一个交易行为都由指标A、指标B、指标C来表示行为特征，其中，指标A和指标B为连续型指标，指标C为离散型指标，指标A为a1，指标B为b1，指标C为c1的交易行为为合法交易行为，指标A为a2，指标B为b2，指标C为c2的交易行为为非法交易行为。

表一

行为属性	连续指标A	连续指标B	离散指标C
1	a1	b1	c1
0	a2	b2	c2
0	a3	b3	c3
1	a4	b4	c4

在步骤S202的具体实施过程中，从特征库中提取第二连续型指标数据及与其对应的行为属性，以表一所示的特征库为例，从表一中提取如表二所示的数据，如表二所示，表二中保留了表一中连续指标A和连续指标B以及它们所对应的行为属性。

表二

行为属性	连续指标A	连续指标B
1	a1	b1
0	a2	b2
0	a3	b3
1	a4	b4

获取如表二所示的数据后，采用逻辑回归算法对各第二连续型指标数据及各第二连续型指标数据对应的行为属性进行模型训练，得到连续检测模型。逻辑回归适用于自变量和因变量是线性关系的情况，因此逻辑回归只适用于连续型指标数据的分析。根据逻辑回归算法，对如表二所示的数据作线性拟合，自变量为连续指标A和连续指标B，因变量为交易行为为非法交易的概率，从而拟合出连续指标A和连续指标B与交易行为为非法交易的概率之间的线性关系。

在步骤S203的具体实施过程中，从特征库中提取第二离散型指标数据及其对应的行为属性，以表一所示的特征库为例，从表一中提取如表三所示的数据，如表三所示，表三中保留了表一中关于离散指标C以及离散指标C所对应的行为属性。

表三

行为属性	离散指标C
1	c1
0	c2
0	c3

1

c4

获取如表三所示的数据后，采用决策树算法对各第二离散型指标数据及各第二离散型指标数据对应的行为属性进行模型训练，得到离散检测模型对第二离散型指标数据进行模型训练。决策树是一种逼近离散值目标函数的方法，在这种方法中学习到的函数模型被表示为一棵决策树，树上包括这多个节点，每个节点下的分支表示的是该节点的一个可能结果，具体到本发明实施例中，决策树的节点指的是第二离散型指标数据，图3为本发明实施例提供的一种决策树示意图，如图3所示，决策树中主要包括了3个指标：指标1、指标2和指标3，每个指标都对应两种值0和1，决策树共有4种概率计算结果：结果1、结果2、结果3和结果4，这四个结果都是根据从特征库中提取第二离散型指标数据及其对应的行为属性获得的。

可选地，步骤S202和步骤S203的执行顺序并不固定，既可以先执行步骤S202，也可以先执行步骤S203，更可以同时执行步骤S202和步骤S203。

获取连续检测模型和离散模型之后，还需建立两个模型之间的运算关系将两个模型的计算结果结合起来，可选地，拟合连续检测模型和离散检测模型之间的运算关系；确定拟合结果与历史交易行为数据的真实结果是否满足预设精度；将满足预设精度的拟合结果作为所述第一关系。上述过程也是基于大数据统计分析的过程，不断调整连续检测模型和离散检测模型之间的运算关系，直至运算结果的精度达到预设精度，此时连续检测模型和离散检测模型之间的运算关系称为第一关系。

在步骤S103的具体实施中，将第一连续型指标数据输入连续检测模型，连续检测模型根据第一连续性指标数据计算出第一连续型指标数据所表示的交易行为是非法交易的概率，称为第一概率；将第一离散型指标数据输入离散检测模型，离散检测模型根据第一离散型指标数据计算出第一离散型指标数据所表示的交易行为是非法交易的概率，称为第二概率。

在步骤S104的具体实施中，当获得第一概率和第二概率后，还需对第一概率和第二概率作进一步计算，将二者结合起来，所用的运算关系便是在建立连续检测模型和离散检测模型之后，通过大数据统计分析，获得的连续检测模型和离散检测模型之间的第一关系。

可选地，判断第三概率是否满足第一阈值；若第三概率满足第一阈值，则判断用户的IP地址是否为已知的代理IP；若是已知的代理IP，则输出当前交易行为为非法交易；若不是已知的代理IP，则输出当前交易行为为疑似代理IP。第一阈值可以根据经验设定或理论推导获得，可选地，还可以设定第二阈值，第三阈值等多个阈值，即对最后的计算结果采取分级处理的模式，根据不同的概率分级，采取不同的应对措施，而不是像往常一样，采取通用的限制或禁止当前代理交易行为，这样可以避免合法的代理交易行为被误诊，如留学生在国外利用代理访问进行支付的情况等。可选地，在对用户当前交易行为数据进行分析之前，先查询用户IP地址是否为预设的IP地址，即用户的IP地址是否位于IP池之中，若是，则将此IP地址标为代理IP，当第三概率满足第一阈值时，只需判断此IP地址是否被标为代理IP即可判断其是否为代理IP地址。

图4为本发明实施例提供的一个非法交易检测识别流程图，如图4所示，当用户发起一笔线上交易时，若用户上送的IP地址存在于已知的代理IP池中，则系统将此交易打上代理标识。其次，将当前用户交易行为作为输入检测模型，此检测模型既包括了连续检测模型、离散检测模型，也包括了连续检测模型和离散检测模型之间的第一关系，输出不同概率等级的危险交易预警，概率越大，则当前为代理的欺诈交易风险较高。若用户上送的IP地址不在服务器发布的代理IP地址池中，则直接将其输入至检测模型中，输出风险概率，根据概率的大小判断IP地址为代理IP的疑似程度。最后，后台交易系统可根据检测模型输出的概率大小，采取不同的应对措施。

综上所述，本发明实施例提供一种非法交易检测方法，包括：获取用户的当前交易行为数据；从当前交易行为数据的多个行为指标中提取第一连续型指标数据和第一离散型指标数据；根据第一连续型指标数据和连续检测模型计算当前交易行为的第一概率，以及，根据所述第一离散型指标数据和离散检测模型计算当前交易行为的第二概率；连续检测模型和离散检测模型均根据历史交易行为数据确定；根据第一概率和第二概率得到第三概率，第三概率为当前交易行为为非法交易的概率。在上述检测过程中，所用到的连续检测模型和离散检测模型是由历史交易行为数据确定的，因此，连续检测模型和离散检测模型中包含了用户交易行为的规律，将当前交易行为输入连续检测模型和离散检测模型，便能获得两个模型计算的当前交易行为为非法交易的概率，由于用户的交易行为有多个指标，将当前交易行为数据分为第一连续型指标数据和第一离散型指标数据后再分别根据连续检测模型和离散检测模型计算，可以提高计算结果的精度，因此，本发明实施例针对用户交易行为特征来分辨用户的交易行为是否合法，而不针对网络协议层检测用户交易行为，从而提高了检测的精度。

基于相同的技术构思，本发明实施例还提供一种非法交易检测装置，如图5所示，检测装置500包括：收发模块501和处理模块502，其中：

收发模块501，用于获取用户的当前交易行为数据；

处理模块502，用于从当前交易行为数据的多个行为指标中提取第一连续型指标数据和第一离散型指标数据；

处理模块502，还用于根据第一连续型指标数据和连续检测模型计算当前交易行为的第一概率，以及，根据第一离散型指标数据和离散检测模型计算当前交易行为的第二概率；连续检测模型和离散检测模型均根据历史交易行为数据确定；

处理模块502，还用于根据第一概率和第二概率得到第三概率，第三概率为当前交易行为为非法交易的概率。

可选地，处理模块502还用于：

判断第三概率是否满足第一阈值；

当用户的IP地址是已知的代理IP时，控制收发模块501输出当前交易行为为非法交易；

当用户的IP地址不是已知的代理IP时，则控制收发模块501输出当前交易行为为疑似代理IP。

可选地，处理模块502还用于：

可选地，处理模块502具体用于：

计算各行为指标之间的相关性；

可选地，处理模块502具体用于：

可选地，处理模块502具体用于：：

第一关系通过以下方式得到：

拟合连续检测模型和离散检测模型之间的运算关系；

将满足预设精度的拟合结果作为第一关系。

基于相同的技术构思，本发明实施例还提供一种计算设备，该计算设备具体可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(Personal Digital Assistant，PDA)等。如图6所示，为本发明实施例提供的一种计算设备结构示意图，该计算设备可以包括中央处理器601(Center Processing Unit，CPU)、存储器602、输入设备603、输出设备604等，输入设备603可以包括键盘、鼠标、触摸屏等，输出设备604可以包括显示设备，如液晶显示器(Liquid Crystal Display，LCD)、阴极射线管(Cathode Ray Tube，CRT)等。

存储器602可以包括只读存储器(ROM)和随机存取存储器(RAM)，并向处理器提供存储器中存储的程序指令和数据。在本发明实施例中，存储器可以用于存储本发明任一实施例所提供的方法的程序，处理器通过调用存储器存储的程序指令，按照获得的程序指令执行上述任一实施例所公开的方法。

基于相同的技术构思，本发明实施例还提供一种计算机可读存储介质，用于存储为上述计算设备所用的计算机程序指令，其包含用于执行上述任一实施例所公开的方法的程序。

所述计算机存储介质可以是计算机能够存取的任何可用介质或数据存储设备，包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NAND FLASH)、固态硬盘(SSD)) 等。

基于相同的技术构思，本发明实施例还提供一种计算机程序产品，当其在计算机上运行时，使得计算机执行上述任一实施例所公开的方法。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包括这些改动和变型在内。

Claims

一种非法交易检测方法，其特征在于，包括：

获取用户的当前交易行为数据；

从所述当前交易行为数据的多个行为指标中提取第一连续型指标数据和第一离散型指标数据；

根据所述第一连续型指标数据和连续检测模型计算所述当前交易行为的第一概率，以及，根据所述第一离散型指标数据和离散检测模型计算所述当前交易行为的第二概率；所述连续检测模型和所述离散检测模型均根据历史交易行为数据确定；

根据所述第一概率和所述第二概率得到第三概率，所述第三概率为所述当前交易行为为非法交易的概率。
如权利要求1所述的方法，其特征在于，根据所述第一概率和所述第二概率得到第三概率之后，还包括：

判断所述第三概率是否满足第一阈值；

若所述第三概率满足第一阈值，则判断所述用户的IP地址是否为已知的代理IP；

若是已知的代理IP，则输出所述当前交易行为为非法交易；

若不是已知的代理IP，则输出所述当前交易行为为疑似代理IP。
如权利要求1所述的方法，其特征在于，所述连续检测模型和所述离散检测模型均根据历史交易行为数据确定，包括：

针对每个历史交易行为数据，确定各历史交易行为数据的多个行为指标；

从所述历史交易行为数据的多个行为指标中提取第二连续型指标数据和第二离散型指标数据，并确定各第二连续型指标数据对应的行为属性和各第二离散型指标数据对应的行为属性，所述行为属性是根据所述历史交易行为数据的行为属性确定的，所述历史交易行为数据的行为属性包括合法交易行为和非法交易行为；

对各历史交易行为数据的第二连续型指标数据及第二连续型指标数据对应的行为属性进行模型训练得到所述连续检测模型；

对各历史交易行为数据的第二离散型指标数据及第二离散型指标数据对应的行为属性进行模型训练得到所述离散检测模型。
如权利要求3所述的方法，其特征在于，包括：

计算各行为指标之间的相关性；

根据所述各行为指标之间的相关性，确定出代表性的行为指标，所述代表性的行为指标包括从强关联的各行为指标中确定的一个行为指标及弱关联的各行为指标；

将所述代表性的行为指标分为第二连续型指标和第二离散型指标；

根据所述第二连续型指标和所述第二离散型指标，从所述历史交易行为数据中提取所述第二连续型指标数据和所述第二离散型指标数据。
如权利要求3所述的方法，其特征在于，对各历史交易行为数据的第二连续型指标数据及第二连续型指标数据对应的行为属性进行模型训练得到所述连续检测模型，包括：

采用逻辑回归算法对各历史交易行为数据的第二连续型指标数据及第二连续型指标数据对应的行为属性进行模型训练，得到所述连续检测模型；

对各历史交易行为数据的第二离散型指标数据及第二离散型指标数据对应的行为属性进行模型训练得到所述离散检测模型，包括：

采用决策树算法对各历史交易行为数据的第二离散型指标数据及第二离散型指标数据对应的行为属性进行模型训练，得到所述离散检测模型。
如权利要求1至5任一项所述的方法，其特征在于，根据所述第一概率和所述第二概率得到第三概率，包括：

根据第一关系对所述第一概率和所述第二概率进行计算，得到所述第三概率；

所述第一关系通过以下方式得到：

拟合所述连续检测模型和所述离散检测模型之间的运算关系；

确定拟合结果与历史交易行为数据的真实结果是否满足预设精度；

将满足预设精度的拟合结果作为所述第一关系。
一种非法交易检测装置，其特征在于，包括：

收发模块，用于获取用户的当前交易行为数据；

处理模块，用于从所述当前交易行为数据的多个行为指标中提取第一连续型指标数据和第一离散型指标数据；

所述处理模块，还用于根据所述第一连续型指标数据和连续检测模型计算所述当前交易行为的第一概率，以及，根据所述第一离散型指标数据和离散检测模型计算所述当前交易行为的第二概率；所述连续检测模型和所述离散检测模型均根据历史交易行为数据确定；

所述处理模块，还用于根据所述第一概率和所述第二概率得到第三概率，所述第三概率为所述当前交易行为为非法交易的概率。
如权利要求7所述的装置，其特征在于，所述处理模块还用于：

判断所述第三概率是否满足第一阈值；

当所述第三概率满足第一阈值时，判断所述用户的IP地址是否为已知的代理IP；

当所述用户的IP地址是已知的代理IP时，控制所述收发模块输出所述当前交易行为为非法交易；

当所述用户的IP地址不是已知的代理IP时，则控制所述收发模块输出所述当前交易行为为疑似代理IP。
如权利要求7所述的装置，其特征在于，所述处理模块还用于：

针对每个历史交易行为数据，确定各历史交易行为数据的多个行为指标；从所述历史交易行为数据的多个行为指标中提取第二连续型指标数据和第二离散型指标数据，并确定各第二连续型指标数据对应的行为属性和各第二离散型指标数据对应的行为属性，所述行为属性是根据所述历史交易行为数据的行为属性确定的，所述历史交易行为数据的行为属性包括合法交易行为和非法交易行为；

对各历史交易行为数据第二连续型指标数据及第二连续型指标数据对应的行为属性进行模型训练得到所述连续检测模型；

对各历史交易行为数据第二离散型指标数据及第二离散型指标数据对应的行为属性进行模型训练得到所述离散检测模型。
如权利要求9所述的装置，其特征在于，所述处理模块具体用于：

计算各行为指标之间的相关性；

根据所述各行为指标之间的相关性，确定出代表性的行为指标，所述代表性的行为指标包括从强关联的各行为指标中确定的一个行为指标及弱关联的各行为指标；

将所述代表性的行为指标分为第二连续型指标和第二离散型指标；

根据所述第二连续型指标和所述第二离散型指标，从所述历史交易行为数据中提取所述第二连续型指标数据和所述第二离散型指标数据。
如权利要求9所述的装置，其特征在于，所述处理模块具体用于：

采用逻辑回归算法对各历史交易行为数据第二连续型指标数据及第二连续型指标数据对应的行为属性进行模型训练，得到所述连续检测模型；

采用决策树算法对各历史交易行为数据第二离散型指标数据及第二离散型指标数据对应的行为属性进行模型训练，得到所述离散检测模型。
如权利要求9至11所述的任一项装置，其特征在于，所述处理模块具体用于：

根据第一关系对所述第一概率和所述第二概率进行计算，得到所述第三概率；

所述第一关系通过以下方式得到：

拟合所述连续检测模型和所述离散检测模型之间的运算关系；

确定拟合结果与历史交易行为数据的真实结果是否满足预设精度；

将满足预设精度的拟合结果作为所述第一关系。
一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行权利要求1至6任一项所述的方法。
一种计算设备，其特征在于，包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序执行如权利要求1至6任一项所述的方法。
一种计算机程序产品，其特征在于，当所述计算机程序产品在计算机上运行时，使得计算机执行如权利要求1至6任一项所述的方法。