CN108681936B - 一种基于模块度和平衡标签传播的欺诈团伙识别方法 - Google Patents

Abstract

本发明公开了一种基于模块度和平衡标签传播的欺诈团伙识别方法，包括：利用ID特征结合用户自身已知的欺诈标识，对所有用户计算两两相似度，建立相似度矩阵，通过相似度矩阵建立关联图；对建立的图运行Louvain算法得出每个节点所属的社区及层级信息；以每个节点所属的社区、层级信息及欺诈标识作为每个节点初始的社区信息，运行平衡标签传播过程得到每个节点最终所属社区，再根据是否归属共同社区划分网络，根据传播获得的欺诈标识划分欺诈团伙。本发明首次将基于模块度和平衡标签传播的欺诈团伙识别方法应用到申请反欺诈和交易反欺诈领域，利用交易关联等信息构建关联图谱，综合社团模块度信息，利用平衡标签传播算法检测欺诈社团，防范潜在欺诈交易。

Description

一种基于模块度和平衡标签传播的欺诈团伙识别方法

技术领域

本发明属于交易反欺诈和申请反欺诈领域，尤其涉及一种基于模块度和平衡标签传播的欺诈团伙识别方法

背景技术

随着电子商务、第三方支付等线上业务的爆发式增长，线上欺诈案件也日益猖獗，并且呈现出手法多变、领域多样化的趋势，如何有效、及时地识别频繁发生的线上欺诈行为已经成为了一个迫切需要解决的问题。传统的线上欺诈检测方法，通常针对每笔线上交易或者商户实体建模，实施构建业务流的相关特征进行欺诈检测，这种方法对交易本身特征明显的欺诈行为效果优秀，但是却忽略了欺诈交易背后的团伙关联性，对于伪造正常用户信息的团伙欺诈识别能力较差。

社区发现是从复杂网络结构中，通过识别其中具有特定规律的社团或子网络，进而对复杂网络进行划分，找出其中节点潜在的联系规律的一种技术。在交易反欺诈和申请反欺诈领域中，客户通过交易关联信息和申请关联信息可以构建凸显异常行为的复杂网络，利用社区发现技术对该网络进行分析挖掘，可以有效识别出网络内的欺诈团伙，预防欺诈行为的发生。

发明内容

本发明的目的在于针对现有技术的不足，提供一种基于模块度和平衡标签传播的欺诈团伙识别方法。

本发明的目的是通过以下技术方案来实现的：一种基于模块度和平衡标签传播的欺诈团伙识别方法，该方法包括以下步骤：

步骤1、在交易反欺诈或申请反欺诈场景中，提取ID特征；

步骤2、利用从交易数据或申请数据中提取的ID特征，结合用户自身已知的欺诈标识，对所有用户(包括欺诈黑名单与正常用户)计算两两相似度，建立相似度矩阵，通过该相似度矩阵建立关联图；

步骤3、对建立的关联图运行Louvain算法得出每个节点所属的社区及层级信息；

步骤4、以每个节点所属的社区、层级信息及欺诈标识作为每个节点初始的社区信息，运行平衡标签传播过程得到每个节点最终所属社区，再根据是否归属共同社区划分网络，根据传播获得的欺诈标识划分欺诈团伙。

进一步地，所述步骤2中，所述ID特征包括***、账户号、ip和设备指纹。

进一步地，所述步骤2中，设用户i的n个特征为X_i,1,X_i,2,X_i,3…X_i,n，用户i与用户j的相似度w_i,j定义可参考实际业务情况，推荐使用共同属性、余弦距离等，可选定义如下：

共同属性：

w_i,j＝∑_ku(X_i,k,X_j,k)(k＝1…·n)/k

余弦距离：

w_i,j＝Cos(X_i,X_j)

对于m个用户，形成如下相似度矩阵：

进一步地，所述步骤2中，将相似度矩阵中低于阈值p的设置0，不为0的用户节点建立边联系，构建图结构，节点间的相似度为边的权重。

进一步地，所述步骤3包括：

(1)初始时假设关联图中的每个节点各自属于一个独立的社区；

(2)对关联图中的每个节点i依次遍历其所有邻居节点，计算将其分配到邻居节点所属社区前后的模块度变化量ΔQ；并更新模块度变化最大值maxΔQ，max_j为最大值maxΔQ对应的邻居节点，当maxΔQ＞0时，把节点i分配到max_j所在的社区中，否则保持不变；

(3)重新执行步骤(2)，直到节点归属社区不再变化；

(4)将关联图中归属同一个社区的节点归并一个超节点来重新构造网络，此时超节点的权重由社区内节点间边的权重转化，超节点间的边权重由社区间的边权重转化，实现关联图的压缩；

(5)重新执行步骤(1)，直到达到设定的迭代次数或关联图的模块度不再变化，最终得到每个节点在每个层级所属的社区。

进一步地，所述步骤4包括：

(1)将步骤2建立的关联图中每个节点初始归属设为Louvain算法得到的每个层级所属的社区，得到每个节点的<社区id,概率值>信息，其中初始概率等于1/(节点所属社区数量)，社区id由层级、层级所属的社区、欺诈标识组成；

(2)对每个节点遍历其所有的邻居节点，将相同社区id对应的概率进行加和，记为b，b_max为概率加和后<社区id,概率值>中概率的最大值；根据公式

过滤关联图中每个节点的社区id，其中q为可调参数，q取值范围在[0,1]之间；

(3)归一化每个节点的<社区id,概率值>信息；

(4)重复步骤(2)，直到达到指定迭代数；

(5)根据是否归属共同社区划分网络，根据传播获得的欺诈标识划分欺诈团伙。

本发明的有益效果：本发明首次将基于模块度和平衡标签传播的欺诈团伙识别方法应用到申请反欺诈和交易反欺诈领域，结合了Louvain和平衡标签传播算法的优点，不仅利用了种子欺诈节点的关联信息，还考虑了社团模块度最优的需求，最终识别出具有可疑交易行为和申请动作的欺诈团伙，具有较好的社群结构和优秀的准确率。在交易反欺诈和申请反欺诈领域，该方法具有极大的研究意义和使用价值。

附图说明

图1为利用相似度矩阵建立的关联图示意图；

图2为根据关联图得到的每个节点所属的社区及层级信息示意图；

图3为结合层级与欺诈标签进行标签传播后的结果。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述，以下实施例用于说明本发明，但不用来限制本发明的范围。

本发明提出的基于模块度和平衡标签传播的欺诈团伙识别方法的步骤如下：

步骤1、提取***、账户号、ip和设备指纹等特征；如表1所示

表1.交易特征表

步骤2、利用从交易数据中提取的特征对所有用户(包括欺诈黑名单与正常用户)计算两两相似度，建立相似度矩阵，通过该矩阵建立关联图，如图1所示，其中图中的圆圈代表用户节点，其中数字表示用户ID，图中边上的数字表示边相似度矩阵计算出的边权重。

步骤3、对建立的关联图运行Louvain算法得出每个节点所属的社区及层级信息，如图2所示，左上角的复数个节点被划分为一个社团，共进行了3次图压缩。

步骤4、以每个节点所属的社区、层级信息及欺诈标识作为每个节点初始的社区信息，运行平衡标签传播过程得到每个节点最终所属社区，再根据是否归属共同社区划分网络，根据传播获得的欺诈标识划分欺诈团伙，如图3所示，一共识别出了三个社区，其中左上角的黑色社区为欺诈团伙，右上角的白色社区为正常用户社区，下方的灰色社区为存疑团伙。

其中步骤2具体按照以下步骤实施：

设用户i的特征为X_i,1,X_i,2,X_i,3…·X_i,n,用户i与用户j的相似度定义可参考实际业务情况，推荐使用共同属性、余弦距离等，可选定义如下：

共同属性：

w_i,j＝∑_ku(X_i,k,X_j,k)(k＝1…n)/k

余弦距离：

w_i,j＝Cos(X_i,X_j)

对于m个用户，形成如下相似度矩阵：

将相似度矩阵中低于阈值p的设置0，不为0的用户节点建立边联系，构建图结构，节点间的相似度为边的权重，如图1所示，其中图中的圆圈代表用户节点，其中数字表示用户ID，图中边上的数字表示边相似度矩阵计算出的边权重。

其中步骤3具体按照以下步骤实施：

(1)初始时假设关联图中的每个节点各自属于一个独立的社区；

(2)对关联图中的每个节点i依次遍历其所有邻居节点，计算将其分配到邻居节点所属社区前后的模块度变化量ΔQ；并更新模块度变化最大值maxΔQ，max_j为最大值maxΔQ对应的邻居节点，当maxΔQ＞0时，把节点i分配到max_j所在的社区中，否则保持不变；

(3)重新执行步骤(2)，直到节点归属社区不再变化；

(4)将关联图中归属同一个社区的节点归并一个超节点来重新构造网络，此时超节点的权重由社区内节点间边的权重转化，超节点间的边权重由社区间的边权重转化，实现关联图的压缩；

(5)重新执行步骤(1)，直到达到设定的迭代次数或关联图的模块度不再变化，最终得到每个节点在每个层级所属的社区，如图2所示，左上角的复数个节点被划分为一个社团，共进行了3次图压缩。

模块度通过计算社团内部节点的边数与随机情况下的边数的差，来衡量一个社区网络划分好坏，它的取值范围是[-1/2,1]，其定义如下：

其中，A_i,j为节点i和节点j之间边的权重；k_i＝∑_jA_i,j表示所有与节点i相连的边的权重之和；c_i表示节点i所属的社区；

表示所有边的权重之和。

公式中

节点j连接到任意一个节点的概率是

现在节点i有k_i的度数，因此在随机情况下节点i与j的边为

其中ΔQ定义如下：

公式中∑in表示节点重点都在社区内的边权重和，∑tot表示入射社区内的边权重之和，k_i,in表示节点i入射社区的带权度数和。

其中步骤4具体按照以下步骤实施：

(1)将步骤2建立的关联图中每个节点初始归属设为Louvain算法得到的每个层级所属的社区，得到每个节点的<社区id,概率值>信息，其中初始概率等于1/(节点所属社区数量)，社区id由层级、层级所属的社区、欺诈标识组成；

(2)对每个节点遍历其所有的邻居节点，将相同社区id对应的概率进行加和，记为b，b_max为概率加和后<社区id,概率值>中概率的最大值；根据公式

过滤关联图中每个节点的社区id，其中q为可调参数，q取值范围在[0,1]之间；

(3)归一化每个节点的<社区id,概率值>信息；

(4)重复步骤(2)，直到达到指定迭代数；

(5)根据是否归属共同社区划分网络，根据传播获得的欺诈标识划分欺诈团伙，如图3所示，一共识别出了三个社区，其中左上角的黑色社区为欺诈团伙，右上角的白色社区为正常用户社区，下方的灰色社区为存疑团伙。

本发明提出了一种基于模块度和平衡标签传播的欺诈团伙识别方法，结合了Louvain和平衡标签传播算法的优点，不仅利用了种子欺诈节点的关联信息，还考虑了社团模块度最优的需求，最终识别出具有可疑交易行为和申请动作的欺诈团伙，具有较好的社群结构和优秀的准确率。在交易反欺诈和申请反欺诈领域，该方法具有极大的研究意义和使用价值。

以上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员在不脱离本发明的精神和范围的情况下，还可以作出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。

Claims (4)

1.一种基于模块度和平衡标签传播的欺诈团伙识别方法，其特征在于，该方法包括以下步骤：

步骤1、在交易反欺诈或申请反欺诈场景中，提取ID特征；

步骤2、利用从交易数据或申请数据中提取的ID特征，结合用户自身已知的欺诈标识，对包括欺诈黑名单与正常用户的所有用户计算两两相似度，建立相似度矩阵，通过该相似度矩阵建立关联图；

步骤3、对建立的关联图运行Louvain算法得出每个节点所属的社区及层级信息；具体步骤为：

(1)初始时假设关联图中的每个节点各自属于一个独立的社区；

(2)对关联图中的每个节点i依次遍历其所有邻居节点，计算将其分配到邻居节点所属社区前后的模块度变化量ΔQ；并更新模块度变化最大值maxΔQ，max_j为最大值maxΔQ对应的邻居节点，当maxΔQ＞0时，把节点i分配到max_j所在的社区中，否则保持不变；

(3)重新执行步骤(2)，直到节点归属社区不再变化；

(4)将关联图中归属同一个社区的节点归并一个超节点来重新构造网络，此时超节点的权重由社区内节点间边的权重转化，超节点间的边权重由社区间的边权重转化，实现关联图的压缩；

(5)重新执行步骤(1)，直到达到设定的迭代次数或关联图的模块度不再变化，最终得到每个节点在每个层级所属的社区；

步骤4、以每个节点所属的社区、层级信息及欺诈标识作为每个节点初始的社区信息，运行平衡标签传播过程得到每个节点最终所属社区，再根据是否归属共同社区划分网络，根据传播获得的欺诈标识划分欺诈团伙；具体步骤如下：

(1)将步骤2建立的关联图中每个节点初始归属设为Louvain算法得到的每个层级所属的社区，得到每个节点的<社区id,概率值>信息，其中初始概率等于1/(节点所属社区数量)，社区id由层级、层级所属的社区、欺诈标识组成；

(2)对每个节点遍历其所有的邻居节点，将相同社区id对应的概率进行加和，记为b，b_max为概率加和后<社区id,概率值>中概率的最大值；根据公式

过滤关联图中每个节点的社区id，其中q为可调参数，q取值范围在[0,1]之间；

(3)归一化每个节点的<社区id,概率值>信息；

(4)重复步骤(2)，直到达到指定迭代数；

(5)根据是否归属共同社区划分网络，根据传播获得的欺诈标识划分欺诈团伙。

2.根据权利要求1所述的一种基于模块度和平衡标签传播的欺诈团伙识别方法，其特征在于，所述步骤2中，所述ID特征包括***、账户号、ip和设备指纹。

3.根据权利要求1所述的一种基于模块度和平衡标签传播的欺诈团伙识别方法，其特征在于，所述步骤2中，设用户i的n个特征为X_i,1,X_i,2,X_i,3…X_i,n，用户i与用户j的相似度定义可参考实际业务情况采用共同属性或余弦距离。

4.根据权利要求1所述的一种基于模块度和平衡标签传播的欺诈团伙识别方法，其特征在于，所述步骤2中，将相似度矩阵中低于阈值p的设置0，p为可调参数，p取值范围在[0,1]之间，不为0的用户节点建立边联系，构建图结构，节点间的相似度为边的权重。

Images