CN109345260B - 一种异常操作行为的检测方法 - Google Patents

一种异常操作行为的检测方法 Download PDF

Info

Publication number
CN109345260B
CN109345260B CN201811180634.4A CN201811180634A CN109345260B CN 109345260 B CN109345260 B CN 109345260B CN 201811180634 A CN201811180634 A CN 201811180634A CN 109345260 B CN109345260 B CN 109345260B
Authority
CN
China
Prior art keywords
behavior
user
detected
conversion
feature vector
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811180634.4A
Other languages
English (en)
Other versions
CN109345260A (zh
Inventor
郭豪
孙善萍
王文刚
蔡准
孙悦
郭晓鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Trusfort Technology Co ltd
Original Assignee
Beijing Trusfort Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Trusfort Technology Co ltd filed Critical Beijing Trusfort Technology Co ltd
Priority to CN201811180634.4A priority Critical patent/CN109345260B/zh
Publication of CN109345260A publication Critical patent/CN109345260A/zh
Application granted granted Critical
Publication of CN109345260B publication Critical patent/CN109345260B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请提供了一种异常操作行为的检测方法和装置,包括:获取多个样本用户在发生目标历史操作行为的采样时刻和在采样时刻之前的预设历史时间段内的目标历史操作行为信息,以及指示每个样本用户在采样时刻是否发生异常行为的标签信息;根据获取的目标历史操作行为信息,生成在每种操作类型下的行为特征向量序列以及的时间间隔序列;基于样本用户的行为特征向量序列和时间间隔序列、以及标签信息,进行异常检测模型训练,得到异常检测模型。本申请能够根据目标历史操作行为以及当前时刻目标操作行为,对用户在使用电子银行时发生的当前目标操作行为进行分析,提高对用户当前目标操作行为是否为异常行为进行判断的准确率。

Description

一种异常操作行为的检测方法
技术领域
本申请涉及计算机信息技术领域,具体而言,涉及一种异常操作行为的检测方法。
背景技术
电子银行是指银行面向社会公众开放的通讯通道。随着互联网的快速发展以及智能终端的普及,电子银行是电子商务活动中一种常用的银行业务处理方式,如:使用电子银行进行网上转账,查询账户余额,网上理财等其他离柜业务,而离柜办理业务为用户提供了极大的便利。但是,电子银行在为用户提供便利的同时,也存在很多的安全隐患,如:账户信息窃取、账户信息盗用、盗转资金等非正常操作行为,使得用户的利益受到损害。
为了增强电子银行的安全性,现有技术中根据当前获取的用户行为特征,以及预存的异常行为特征,判断用户的当前行为是否为异常行为。
上述异常行为的识别方法存在一定的片面性,识别准确率较差。
发明内容
有鉴于此,本申请实施例的目的在于提供一种异常操作行为的检测方法和装置,能够根据目标历史操作行为以及当前时刻目标操作行为,对用户在使用电子银行时发生的当前目标操作行为进行分析,提高对用户当前目标操作行为是否为异常行为进行判断的准确率。
第一方面,本申请实施例提供了一种异常检测模型训练方法,其中,包括:
在所述采样时刻之前的预设历史时间段内的目标历史操作行为信息,以及指示在所述采样时刻是否发生异常行为的标签信息;
针对每个样本用户,根据获取的所述目标历史操作行为信息,生成该样本用户在每种操作类型下的行为特征向量序列以及发生目标历史操作行为的时间间隔序列;所述行为特征向量序列包括多个第一行为特征向量,不同的第一行为特征向量为在不同时刻发生的目标历史操作行为所对应的特征向量;
基于所述样本用户在每种操作类型下的行为特征向量序列和所述时间间隔序列、以及所述标签信息,进行异常检测模型训练,得到所述异常检测模型;所述异常检测模型用于检测待测用户的目标操作行为的异常风险概率。
结合第一方面,本申请实施例提供了第一方面的第一种可能的实施方式,其中:所述基于所述样本用户在每种操作类型下的行为特征向量序列和所述时间间隔序列、以及所述标签信息,进行异常检测模型训练,包括:
针对每个样本用户,将该样本用户在每种操作类型下的行为特征向量序列以及所述时间间隔序列,输入至循环神经网络中,得到与该操作类型对应的第二行为特征向量;
将各个操作类型对应的第二行为特征向量进行拼接后,输入至分类神经网络,获取与该样本用户在采样时刻的异常风险概率;
基于所述异常风险概率和所述标签信息,对所述循环神经网络以及所述分类神经网络进行训练,得到所述异常检测模型。
结合第一方面,本申请实施例提供了第一方面的第二种可能的实施方式,其中:所述循环神经网络包括:转换层以及编码层;
所述生成与各个操作类型对应的第二行为特征向量包括:
将各个操作类型对应的行为特征向量序列输入至所述转换层,通过所述转换层将所述行为特征向量序列中的各个第一行为特征向量进行标准化转换,得到样本用户每次发生操作行为时的行为转换向量;
针对各个操作类型下的时间间隔序列,将所述时间间隔序列中样本用户每次发生操作行为时的时间间隔以及所述行为转换向量输入至所述编码层进行编码,生成与各个操作类型对应的第二行为特征向量。
结合第一方面,本申请实施例提供了第一方面的第三种可能的实施方式,其中:所述转换层包括对应各个操作类型的转换矩阵;
将所述行为特征向量序列中的各个第一行为特征向量进行标准化转换,生成各个操作类型下,样本用户每次发生操作行为时的行为转换向量,包括:
在各个操作类型下,将各个第一行为特征向量分别与所述转换矩阵相乘,生成各个操作类型下,样本用户每次发生操作行为时的行为转换向量;
其中,对所述循环神经网络进行训练的时候,对所述循环神经网络进行参数调整,针对所述转换层,调整所述转换矩阵的各个元素值。
第二方面,本申请实施例还提供一种异常操作行为检测方法,包括:
在检测到待测用户发生目标操作行为后,获取所述待测用户在最近预设时间段内的目标操作行为信息;
根据所述目标操作行为信息,生成所述待测用户在多种操作类型下,与每种操作类型分别对应的待测行为特征向量序列以及待测时间间隔序列;所述待测行为特征向量序列包括多个待测行为特征向量,不同的待测行为特征向量为在不同时刻发生的目标操作行为所对应的特征向量;
将所述待测行为特征向量序列以及所述待测时间间隔序列输入至通过第一方面,以及第一方面中任意一种可能的实施方式所述的异常检测模型训练方法得到的异常检测模型中,获取所述待测用户的目标操作行为的异常风险概率;
异常检测模型包括:循环神经网络以及分类神经网络。
结合第二方面,本申请实施例提供了第二方面的第一种可能的实施方式,其中:所述获取所述待测用户的目标操作行为的异常风险概率包括:
将每个操作类型对应的待测行为特征向量序列以及所述待测时间间隔序列输入至循环神经网络,得到在每个操作类型下的第三行为特征向量;
将各个操作类型对应的第三行为特征向量进行拼接后,输入至分类神经网络中,获取所述待测用户的目标操作行为的异常风险概率。
结合第二方面的第一种可能的实施方式,本申请实施例提供了第二方面的第二种可能的实施方式,其中:所述循环神经网络包括:转换层以及编码层;
所述得到在每个操作类型下的第三行为特征向量包括:
将各个操作类型对应的待测行为特征向量序列输入至所述转换层,通过所述转换层将所述待测行为特征向量序列中的各个待测行为特征向量进行标准化转换,得到所述待测用户每次发生操作行为时的待测行为转换向量;
针对各个操作类型下的待测时间间隔序列,将所述待测时间间隔序列中所述待测用户每次发生操作行为时的时间间隔以及所述待测行为转换向量输入至所述编码层进行编码,生成与各个操作类型对应的第三行为特征向量。
结合第二方面的第二种可能的实施方式,本申请实施例提供了第二方面的第三种可能的实施方式,其中:所述转换层对应各个操作类型的转换矩阵;
将所述待测行为特征向量序列中的各个待测行为特征向量进行标准化转换,生成各个操作类型下,所述待测用户每次发生操作行为时的待测行为转换向量,包括:
在各个操作类型下,将各个第一行为特征向量分别与所述转换矩阵相乘,生成各个操作类型下,所述待测用户每次发生操作行为时的待测行为转换向量。
结合第二方面,本申请实施例提供了第二方面的第四种可能的实施方式
检测所述风险概率是否达到待测用户在发生目标操作行为时对应的预设风险阈值;
当所述风险概率达到待测用户在当前时刻的操作行为对应的预设风险阈值,拦截待测用户在当前时刻的操作行为;
当所述风险概率未达到待测用户在当前时刻的操作行为对应的预设风险阈值,允许执行待测用户在当前时刻的操作行为。
第三方面,本申请实施例还提供一种电子设备,包括:处理器、存储器和总线,存储器存储有处理器可执行的机器可读指令,当电子设备运行时,处理器与存储器之间通过总线通信,机器可读指令被处理器执行时执行上述第一方面中任一种可能的实施方式以及第二方面中任一种可能的实施方式中的步骤。
第四方面,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述第一方面中任一种可能的实施方式以及第二方面中任一种可能的实施方式中的步骤。
本申请实施例中,基于每个样本用户的目标历史操作行为信息,生成针对每种操作类型的行为特征向量序列以及时间间隔序列,在对异常检测模型进行训练的时候,不仅需要每种操作类型下的行为特征向量序列,还需要每种操作类型下的时间间隔序列,其中,行为特征向量序列中包括多个第一行为特征向量,每一个第一行为特征向量为在不同时刻发生的目标历史操作行为所对应的特征向量,根据指示每个样本用户在所述采样时刻是否发生异常行为的标签信息,行为特征向量序列以及时间间隔序列,对异常检测模型训练,使模型能够学习到连续的目标历史操作行为以及时间间隔与当前目标操作行为之间的关联关系,因此,训练过的异常检测模型能够用于检测待测用户的目标操作行为的异常风险概率。
进一步地,使用这种异常检测模型对待测用户当前待测目标操作行为进行异常检测时,基于待测用户在最近预设时间段内的目标操作行为信息,能够根据待测用户最近预设时间段内的目标操作行为与当前待测目标操作行为之间的关联关系,更准确的判断待测用户当前待测目标操作行为是否为异常行为,从而较之现有技术中仅仅基于当前操作行为进行异常行为检测的方式,具有更高的准确率。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例所提供的一种异常检测模型训练方法的流程图;
图2示出了本申请实施例所提供的一种异常检测模型训练的具体方法的流程图;
图3示出了本申请实施例所提供的一种得到与该操作类型对应的第二行为特征向量的具体方法的流程图;
图4示出了本申请实施例所提供的一种异常操作行为的检测方法的流程图;
图5示出了本申请实施例所提供的一种获取与待测用户操作行为的风险概率的具体方法的流程图;
图6示出了本申请实施例所提供的一种反异常网络结构图;
图7示出了本申请实施例所提供的一种GRU运作状态变化示意图;
图8示出了本申请实施例所提供的另一种异常操作行为的检测方法的流程图;
图9示出了本申请实施例所提供的一种异常检测模型训练装置的结构示意图;
图10示出了本申请实施例所提供的一种异常操作行为的检测装置的结构示意图;
图11示出了本申请实施例所提供的一种反异常***结构示意图;
图12示出了本申请实施例所提供的一种反异常***内部功能实体结构的示意图;
图13示出了本申请实施例所提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,电子银行的普及在方便用户的同时,也出现了很多用户账户安全的问题,为了增强电子银行的安全性,现有技术中采用传统的机器学习模型对银行业务进行建模,并收集大量的行为操作信息作为训练集来训练得到机器学习模型,根据当前用户获取的行为特征以及机器学习模型来判断用户的当前行为是否为异常行为,进而保证了用户的账户安全。
当前的机器学习模型,通常只能学习到用户单次操作行为的特征。但是,由于不同用户之间的操作行为存在较大的差异性,同一用户在不同时间段内的操作行为也会存在区别,用户一次的操作行为存在很大的偶然性,例如:用户在某次交易中需要进行大额转账交易,那么,将用户本次的交易判断为异常行为,是不合理的。因此,仅仅基于当前的用户行为操作信息,检测并分析当前业务场景下用户的行为是否为异常行为,准确率较低。当用户发生操作行为时,该机器学习模型仅基于当前操作行为的特征来判断用户的当前操作行为是否属于异常行为。但是用户的不同次的操作行为以及每次操作行为与上一次发生操作行为的时间间隔通常具有一定的关联关系,当前的机器学习模型无法提取到这种连续操作行为,以及每次发生操作行为与上一次放生操作行为的时间间隔与当前用户的操作行为是否为异常行为之间的关联关系,导致基于单次操作行为检测该次操作行为是否属于异常行为的准确率较低。
基于此,本申请实施例提供的一种异常操作行为的检测方法和装置,能够根据目标历史操作行为以及当前时刻目标操作行为,对用户在使用电子银行时发生的当前目标操作行为进行分析,提高对用户当前目标操作行为是否为异常行为进行判断的准确率。
为便于对本实施例进行理解,首先对本申请实施例所公开的一种异常检测模型训练方法进行详细介绍,基于该异常检测模型训练方法得到的异常行为检测模型能够用于结合用户在一定时间段内使用电子银行时的历史操作行为信息以及当前行为操作信息,对用户当前操作行为是否属于异常行为进行更准确的判断。在本申请中,训练得到的异常行为检测模型包括两部分:循环神经网络以及分类神经网络。本申请中采用的循环神经网络为门控循环单元(Gated Recurrent Unit,GRU)。GRU用于针对不同的操作类型分别提取用户一定时间段内在使用电子银行时所有目标历史操作行为之间与当前目标操作行为是否为异常行为之间的关联关系,得到用户在各个操作类型下的行为特征向量,分类神经网络用于根据行为特征向量得到用户当前行为的异常风险概率。
参见图1所示,本申请实施例提供的异常检测模型训练方法包括:
S101:获取多个样本用户在发生目标历史操作行为的采样时刻和在采样时刻之前的预设历史时间段内的目标历史操作行为信息,以及指示每个样本用户在采样时刻是否发生异常行为的标签信息。
在具体实现的时候,目标操作行为是指用户在电子银行将要进行的业务办理行为,业务办理如转账、缴费、理财、***还款等。目标历史操作行为信息是指表征样本用户在过去时间里通过电子银行办理业务的操作行为,包括基础操作行为,如:注册账户信息,登录电子银行等,以及业务操作行为,如:转账、缴费、理财、***还款等;采样时刻和预设历史时间段是具有连续时间关系的。且每个样本用户而言,采样时刻,样本用户一定发生了操作行为,若该次操作行为发生时,用户出现异常行为,则将对应的样本用户作为正样本用户;若该次操作行为发生时,用户未出现异常行为,则将对应的样本用户作为负样本用户。
指示每个样本用户在采样时刻是否发生异常行为的标签信息,可以是:若该样本用户发生异常行为,则标签信息为1;若该样本用户未发生异常行为,则标签信息为0。在对异常检测模型进行训练的时候,若模型针对某个样本用户输出的预测结果越趋向于1,则认为该样本用户在采样时刻发生异常行为的概率越高;若模型针对某个样本用户输出的预测结果越趋向于0,则认为该样本用户在采样时刻发生异常行为的概率越低;然后基于模型输出的预测结果和对应的标签信息,完成对模型的训练。
S102:针对每个样本用户,根据获取的目标历史操作行为信息,生成该样本用户在每种操作类型下的行为特征向量序列以及发生目标历史操作行为的时间间隔序列;行为特征向量序列包括多个第一行为特征向量,不同的第一行为特征向量为在不同时刻发生的目标历史操作行为所对应的特征向量。
在具体实现的时候,样本用户的目标历史操作行为信息包括样本用户在预设历史时间段内不同操作类型下的操作行为特征,样本用户的每一种操作行为特征都对应有相应的特征类别,基于样本用户操作行为特征的特征类别,而后确定操作行为特征的特征值。
此处,特征类别包括二值类别特征以及数值特征,二值类特征是指无法用数字表达的操作行为特征,但是,只包括两个类别,例如:用户是否在敏感时间进行转账,如果是,则可以使用数字“1”来表示,如果不是,则可以使用数字“0”来表示。数值特征是指能够直接通过数字就可以标识的操作行为特征,例如:用户在一定时间内的向某一个人转账了50次,则可以直接通过50来表示“用户在一定时间内的向某一个人转账了50次”这一特征。
具体地,本申请实施例还提供一种生成该样本用户在每种操作类型分别下的行为特征向量序列以及时间间隔序列的具体方法,该方法包括:
针对每个样本用户,根据目标历史操作行为信息,获取该样本用户在预设历史时间段内每次发生操作行为时的时间,以及分别与每个操作类型对应的多个预设操作行为特征下的特征值。
根据该样本用户在预设历史时间段内每次发生操作行为时的时间,计算在采样时刻及采样时刻之前,该样本用户在各个操作类型下每次发生操作行为时,与上一次发生操作行为时的时间间隔,在这里,每一个时间间隔与样本用户每次发生目标操作行为是对应的,且每一个时间间隔可以是相同的,也可以是不同的。
根据该样本用户在各个操作类型下与每次发生操作行为时对应的时间间隔,生成该样本用户在各个操作类型下的时间间隔序列。
以及,根据该样本用户在预设历史时间段内以及在采样时刻,每次发生操作行为时与各个操作类型对应的多个预设操作行为特征下的特征值,生成该样本用户每次发生操作行为时,与各个操作类型分别对应的第一行为特征向量。
根据该样本用户每次发生操作行为时,与各个操作类型分别对应的第一行为特征向量,生成该样本用户在各个操作类型分别对应的行为特征向量序列。
每一个操作类型都对应有多个预设操作行为特征,如,在缴费的操作类型下,当样本用户在预设历史时间段内的某个时刻发生操作行为,那么将获取在该时刻下对应的行为特征以及历史时刻的行为特征,例如:1天内的缴费次数、7天内的缴费次数、1天内,同一用户缴费金额、7天内,同一用户缴费金额等。
根据样本用户每次发生的操作行为,判断该样本用户的操作行为特征类别,对于二值类别特征,采用独热(one-hot)的编码方式,则该操作行为特征对应的特征值只有0和1两种情况,例如:操作行为特征为“设备注册时是否被篡改”,若是,则该操作行为特征对应的特征值为“1”,若否,则该操作行为特征对应的特征值为“0”。对于数值特征,则直接使用操作行为特征对应的数值作为该操作行为特征的特征值,例如:操作行为特征为“1天内,同一设备登录账号数量”,若数量为240,则该操作行为特征的特征值为240。
例如,采样时刻为2018年3月1日,采样时刻之前预设时间段为2017年10月1日至2018年3月1日。
在此期间,样本用户甲某共发生了50次转账操作行为,分别为A1~A50。操作类型有3个,分别为注册账户信息、登录、以及转账,分别表示为B1、B2、B3。
在获取了甲某在该预设历史时间段内以及采样时刻共发生的50次操作行为的历史操作行为信息后,针对A1~A50,生成与A1~A50分别对应的操作类型B1~B3下的第一行为特征向量。其中,A1在操作类型B1~B3的第一行为特征向量分别为:C11~C13;A2在操作类型B1~B3的第一行为特征向量分别为:C21~C23;……A50在操作类型B1~B3的第一行为特征向量分别为:C501~C503。
然后,基于C11~C13、C21~C23、……、C501~C503生成该样本用户甲某在三种操作类型下,与每种操作类型分别对应的行为特征向量序列为:
操作类型B1对应的行为特征向量序列为:C11、C21、C31、……、C501;
操作类型B2对应的行为特征向量序列为:C12、C22、C32、……、C502;
操作类型B3对应的行为特征向量序列为:C13、C23、C33、……、C503。
另外,由于历史行为操作信息可能会存在一定的缺失、异常等情况,因此在生成样本用户在多种操作类型下,与每种操作类型分别对应的特征向量序列之前,还要对行为特征向量进行预处理操作,其中预处理操作包括:数据清洗、数据增强、特征化筛选与标准化操作。
针对数据清洗,是指清除数据在采集以及传输过程中出现错误和丢失的时候出现的特征分布异常数据以及填充有缺失值的特征数据,在进行数据填充的时候,采用下述两种方式:
其一:对于特征类别为数值特征的操作行为,将对应的样本用户出现该操作行为特征的平均值作为特征值,与其他特征值构成特征向量。
其二:对于特征类别为二值类别特征的操作行为,将对应的样本用户出现出现次数最多的操作行为特征对应的特征值进行填充。
针对数据增强,样本用户的操作行为包括正常操作行为以及异常操作行为,获取到的样本用户的正常操作行为以及异常操作行为的数量分布是不均衡,以合成少数类过采样技术(Synthetic Minority Oversampling Technique,Somte)数据增强算法为例,Somte数据增强算法能够将所有具有异常行为的样本用户映射到特征空间中去,则每个具有异常行为的样本用户都会对应于该空间中的一个点,每次任意两个具有异常行为的样本用户对应点连线中的一个点作为新生成的具有异常行为的样本用户数据点,反复进行上述操作则可以生成任意数量的具有异常行为的样本用户数据点,最后控制生成的具有异常行为的样本用户数据量和正常用户数据量之间的比例一定范围内。
针对特征化筛选与标准化操作,将进行数据增强处理后的操作行为数据进行降维处理,把重要程度较低的操作行为数据去掉,得到标准统一的行为特征向量,并且将操作行为数据映射到相同的数值范围消除不同特征之间的量纲影响,以便模型训练速度的提升和模型识别准确率的提高。
对行为特征向量进行预处理后,将各个场景分别对应的第一行为特征向量,生成每种操作类型下的对应的行为特征向量序列。
S103:基于样本用户在每种操作类型下的行为特征向量序列和时间间隔序列、以及标签信息,进行异常检测模型训练,得到异常检测模型;异常检测模型用于检测待测用户的目标操作行为的异常风险概率。
在具体实现的时候,异常检测模型包括GRU以及分类神经网络,首先将行为特征向量序列输入至GRU中,通过GRU建立不仅能够表征采样时刻的目标历史操作行为与采样时刻之前的预设历史时间段内的目标历史操作行为之间的关系,也能够建立采样时刻的目标历史操作行为与样本用户每次发生目标历史操作行为与上一次目标历史操作行为之间的时间间隔之间的关系,进而得到能够表征这一关系的第二行为特征向量,根据每一个样本用户在各个操作类型下的第二行为特征向量,基于分类神经网络,得到每一个样本用户在采样时刻的异常风险概率,基于每一个样本用户的异常风险概率以及指示每个样本用户在采样时刻是否发生异常行为的标签信息,对异常检测模型训练,进而得到训练好的异常检测模型。
具体的,参见图2所示,本申请实施例还提供一种异常检测模型训练的具体方法,包括:
S201:针对每个样本用户,将该样本用户在每种操作类型下的行为特征向量序列以及时间间隔序列,输入至循环神经网络中,得到与该操作类型对应的第二行为特征向量。
在具体实现的时候,第二行为特征向量能够表征样本用户在采样时刻发生的目标操作行为于采样时刻之前预设时间段发生目标操作行为之间的内在关系。在这里值得注意的是,针对GRU,为了能够增强异常检测模型的鲁棒性以及泛化能力,对于样本用户在不同操作类型下的操作行为之间共用同一组GRU结构内部参数,但是,为了体现出不同业务操作的特点,输入的第一操作行为特征向量需要进行标准化转换,进而得到与该操作类型对应的第二行为特征向量。
具体地,参见图3所示,本申请实施例还提供一种得到与该操作类型对应的第二行为特征向量的具体方法,包括:
S301:将各个操作类型对应的行为特征向量序列输入至转换层,通过转换层将行为特征向量序列中的各个第一行为特征向量进行标准化转换,得到样本用户每次发生操作行为时的行为转换向量。
S302:针对各个操作类型下的时间间隔序列,将时间间隔序列中样本用户每次发生操作行为时的时间间隔以及行为转换向量输入至编码层进行编码,生成与各个操作类型对应的第二行为特征向量。
在具体实现的时候,GRU有多层,其中包括转换层以及编码层,将行为特征向量序列以及时间间隔序列输入至GRU中,首先,使用转换层对各个操作类型下的行为特征向量序列中的第一行为特征向量进行标准化转换,得到各个样本用户在每个操作类型下每次发生操作行为时的行为转换向量,在各个操作类型下,由于行为转换向量与每次发生的操作行为对应,且时间间隔序列中的各个时间间隔与每次发生的操作行为是对应的,因此,每个操作类型下的行为转换向量与时间间隔是一一对应的。
在这里,转换层包括有对应不同操作类型的转换矩阵,转换矩阵能够将第一行为特征向量进行标准化转换,对第一行为特征向量进行标准化转换可以采用下述方式:将转换向量与第一行为特征向量相乘,得到各个操作类型下,样本用户每次发生操作行为时的行为转换向量。
在各个操作类型下,将各个行为转换向量和对应的时间间隔一起输入至编码层进行编码,生成与各个操作类型对应的第二行为特征向量。在这里值得注意的是,对于采样时刻以及采样时刻之前预设历史时间段内每一次发生操作行为的时刻,都对应有第二行为特征向量,由于只有采样时刻对应的第二行为特征向量能够表征采样时刻的目标操作行为与预设历史时间段内的内在关系,因此,每个操作类型对应的第二行为特征向量为采样时刻对应的第二行为特征向量。
S202:将各个操作类型对应的第二行为特征向量进行拼接后,输入至分类神经网络,获取与该样本用户在采样时刻的异常风险概率。
每种操作类型包括基础操作场景以及业务操作场景,因此,每种操作类型对应的特征向量包括基础操作特征向量,如:登录账户对应的特征向量,注册账户对应的特征向量,以及业务操作特征向量,如:缴费业务对应的特征向量、转账业务对应的特征向量等。
在这里值得注意的是,注册账户对应的特征向量与注册操作类型下对应的行为特征向量是一致的。
例如,在上述示例中,操作类型B1~B3的第二行为特征向量分别为E1~E3,则将E1~E3进行拼接,表示为:E1+E2+E3,将E1+E2+E3输入至分类神经网络。其中,“+”表示拼接。
例如,操作类型包括B1与B2那么,B1的第二行为特征向量E1为(M1,M2),B2的第二行为特征向量E1为(N1,N2,N3),那么,将E1与E2进行拼接,拼接后的结果为(M1,M2,N1,N2,N3)。
分类神经网络有多层,每一层分类神经网络有多个神经元,通过每一层神经网络的神经元,建立拼接后的特征向量中不同元素之间的相互关系,通过多层处理后,使用分类函数对多层神经网络的输出进行分类处理,获取与该样本用户对应的异常风险概率。
例如:样本用户所在的操作类型为转账业务,则特征向量包括登录账户对应的特征向量,注册账户对应的特征向量以及转账业务对应的特征向量,将登录账户对应的特征向量、注册账户对应的特征向量以及转账业务对应的特征向量拼接后,输入至分类神经网络中,进而获取样本用户在转账操作类型下的异常风险概率。
S203:基于异常风险概率和标签信息,对循环神经网络以及分类神经网络进行训练,得到异常检测模型。
在具体实现的时候,根据异常风险概率以及标签信息,能够计算出异常风险概率与标注信息之间的交叉熵损失,根据交叉熵损失与预设的交叉熵损失阈值,对GRU以及分类神经网络进行训练。
具体的,根据交叉熵损失与预设的交叉熵损失阈值,对GRU以及分类神经网络进行训练包括:
执行下述比对操作,直至异常风险概率与标注信息之间的交叉熵损失不大于预设的交叉熵损失阈值;
比对操作包括:基于异常风险概率与标注信息,确定交叉熵损失,将交叉熵损失与交叉熵损失阈值进行比对;针对交叉熵损失大于交叉熵损失阈值的情况,调整循环神经网络以及分类神经网络的参数,基于调整参数后的GRU和分类神经网络,重新获取标注信息,并重新执行比对操作。
在这里指的注意的是,对GRU进行参数调整的时候,针对转化层,调整参数即调整转换矩阵的各个元素值。
本申请实施例中,本申请实施例中,在获取多个样本用户在采样时刻和在采样时刻之前的预设历史时间段内的目标历史操作行为信息后,针对每个样本用户,生成每种操作类型下该样本用户的行为特征向量序列以及时间间隔序列,并将行为特征向量序列以及时间间隔序列输入至循环神经网络中,并基于样本用户采样时刻是否发生异常行为的标签信息,进行异常检测模型训练,获取异常检测模型,在对模型进行训练的时候,基于每个样本用户的目标历史操作行为信息,生成针对每种操作类型的行为特征向量序列以及时间间隔序列,基于行为特征向量序列以及时间间隔序列训练得到的异常检测模型能够学习到连续的目标历史操作行为之间与当前用户的操作行为是否为异常行为之间的关联关系,使用此异常检测模型进行异常行为检测时,能够根据目标历史操作行为以及当前时刻目标操作行为,对用户在使用电子银行时发生的当前目标操作行为进行分析,提高对用户当前目标操作行为是否为异常行为进行判断的准确率。
参见图4所示,本申请实施例还提供一种异常操作行为的检测方法包括:
S401:在检测到待测用户发生目标操作行为后,获取待测用户在最近预设时间段内的目标操作行为信息。
在具体实现的时候,目标操作行为信息是指待测用户在当前时刻通过电子银行发起的业务办理请求中携带的待测用户将要办理的业务的信息。最近预设时间段是当前时刻与某一个历史时间之间的时间长度,其中,历史时间随着时间长度的变化而变化,针对不同的用户,时间长度可以是相同的,也可以是不同的。
S402:根据目标操作行为信息,生成待测用户在多种操作类型下,与每种操作类型分别对应的待测行为特征向量序列以及待测时间间隔序列;待测行为特征向量序列包括多个待测行为特征向量,不同的待测行为特征向量为在不同时刻发生的目标操作行为所对应的特征矩阵。
在具体实现的时候,根据目标操作行为信息,进行每种操作类型下的特征向量提取以及特征向量预处理,其中特征向量的预处理过程与本申请提供的异常检测模型训练方法中对应的实施例一致,这里不再重赘述。
对于每种操作类型都对应有待测用户的基础操作场景以及业务操作场景,在这里,每种操作类型分别对应的待测行为特征向量序列包括基础操作场景下对应的当前时刻的待测行为特征向量以及最近预设时间段的待测行为向量,和业务操作场景下对应的当前时刻的待测行为特征向量以及第三历史时间段的待测行为特征向量。
其中,待测行为特征向量序列以及待测时间间隔序列通过下述方式生成:
根据目标操作行为信息,获取待测用户在最近预设时间段内每次发生操作行为时的时间,以及分别与每个操作类型对应的多个预设操作行为特征下的特征值;
根据待测用户在最近预设时间段内每次发生操作行为时的时间,计算在最近预设时间段内,待测用户在各个操作类型下每次发生操作行为时,与上一次发生操作行为时的时间间隔;
根据待测用户在各个操作类型下与每次发生操作行为时对应的时间间隔,生成待测用户在各个操作类型下的待测时间间隔序列;
以及,
根据待测用户在最近预设时间段内,每次发生操作行为时与各个操作类型对应的多个预设操作行为特征下的特征值,生成该样本用户每次发生操作行为时,与各个操作类型分别对应的待测行为特征向量;
根据待测用户每次发生操作行为时,与各个操作类型分别对应的待测行为特征向量,生成待测用户在各个操作类型分别对应的待测行为特征向量序列。
S403:将待测行为特征向量序列以及待测时间间隔序列输入至通过异常检测模型训练方法得到的异常检测模型中,获取待测用户的目标操作行为的异常风险概率。
异常行为检测模型包括:与每种操作类型分别对应的GRU以及分类神经网络。
异常检测模型训练方法可参见上述图1~图3对应的实施例,在此不再赘述。
在具体实现的时候,将每个操作类型下待测行为特征向量序列以及待测时间间隔序列输入至与每个操作类型对应的异常行为检测模型中,通过每个操作类型对应的异常行为检测模型建立最近预设时间段内所有待测行为特征向量与待测用户发生目标行为时对应的待测行为特征向量之间的关联关系,进而得到待测用户操作行为的风险概率。
具体的,参见图5所示,本申请实施例还提供一种获取与待测用户操作行为的风险概率的具体方法,包括:
S501:将每个操作类型对应的待测行为特征向量序列以及待测时间间隔序列输入至循环神经网络,得到在每个操作类型下的第三行为特征向量。
S502:将各个操作类型对应的第三行为特征向量进行拼接后,输入至分类神经网络中,获取待测用户的目标操作行为的异常风险概率。
在具体实现的时候,将各个操作类型对应的待测行为特征向量序列输入至GRU中,首先,将各个操作类型下的待测行为特征向量序列中的待测行为特征向量进行标准化转换,进行标准化转换的时候,是通过转换层的转换矩阵进行转换的。
具体的,本申请实施例还提供一种将待测行为特征向量序列中的各个待测行为特征向量进行标准化转换的具体方法,包括:
转换层对应各个操作类型的转换矩阵;
在各个操作类型下,将各个第一行为特征向量分别与转换矩阵相乘,生成各个操作类型下,待测用户每次发生操作行为时的待测行为转换向量。
在具体实现的时候,参见图6所示的反异常网络结构图,将每个操作类型下的待测行为特征向量序列里面的待测行为特征向量进行与转换矩阵进行相乘,得到每一个操作类型下对应最近预设时间段内发生操作行为时刻的待测行为转换向量,并将待测行为转换向量以及待测时间间隔序列中的与每一个待测行为转换向量对应的时间间隔输入至编码层中,得到与该操作类型对应的第二行为特征向量,将各个操作类型对应的第二行为特征向量进行拼接,并输入至分类神经网络中,获取待测用户目标操作行为的风险概率。
例如:参见图7所示的GRU运作状态变化示意图,当前时刻为t,最近预设时间段时间长度为n+1,那么,最近预设时间段内的待测行为特征向量是指t-n,t-(n-1),…,t-1,t时刻的待测用户注册账户时的操作行为对应的待测行为特征向量,登录账户时的操作行为对应的待测行为特征向量以及待测用户发起转账请求时的操作行为对应的待测行为特征向量。
在这里值得注意的是,对应不同的操作类型,转换层中的转换矩阵是不同的,且当操作类型为基础操作行为时,基础操作行为对应的待测行为特征向量,不需要通过转换矩阵进行转换。当操作类型为业务操作行为时,业务操作行为对应的待测行为特征向量需要通过转换层的转换矩阵进行转换,例如,操作类型为转账,那么转换矩阵W业务=W转账,其中,W业务表示转换矩阵,W转账表示操作类型为转账的转换矩阵。
在各个操作类型下,每一个时刻的待测行为特征向量V—(t-k)与当前的操作类型对应的转换矩阵相乘,也即(V—(t-k)×W业务)其中,V—(t-k)为t-k时刻的待测行为特征向量,W业务表示转换矩阵,k=0,1,2,......,n,将经过转换后的待测行为特征向量作为待测行为转换向量,也即,V—(t-k)×W业务为待测行为转换向量,将不同时刻的待测行为转换向量,以及与不同时刻的待测行为转换向量对应的时间间隔一起输入至编码层进行编码,通过编码层的内部参数信息状态得到能够反映当前时刻的待测行为特征向量V—t与每一个历史时刻的待测行为特征向量V—(t-k)之间关联关系的特征向量,进而得到当前时刻t的第三行为特征向量ht,而当前时刻t的第三行为特征向量ht能够反映该操作类型下行为特征向量序列的综合特征,也即,当前时刻t的第三行为特征向量ht提取了前n时刻所有的待测用户操作行为信息的特征。
具体的,GRU的编码层具体通过下述过程得到第三行为特征向量:
GRU的每一个节点都包括两个门控,更新门与重置门,更新门的门控状态量以及重置门的门控状态量都是通过上一个节点传输下来的状态和当前节点的输入量获取的。
例如:上一个节点传输下来的状态为sm-1,当前节点的输入量为xm,更新门的门控状态量表示为zm,则更新门的门控状态量zm满足下述公式(1):
zm=σ(Wzxm+Uzsm-1) (1);
其中,zm表示更新门的门控状态量,sm-1表示上一个节点传输下来的状态量,xm表示当前节点的输入量,Wz表示当前节点输入量的更新权重矩阵,Uz表示上一节点传输下来的状态的更新权重矩阵,σ(·)表示Sigmoid函数。
重置门的门控状态量表示为rm,上一个节点传输下来的状态为sm-1,当前节点的输入量为xm,那么重置门的门控状态量rm满足下述公式(2):
rm=σ(Wrxm+Ursm-1) (2);
其中,rm表示重置门的门控状态量,sm-1表示上一个节点传输下来的状态量,xm表示当前节点的输入量,Wr表示当前节点输入量的重置权重矩阵,Ur表示上一节点传输下来的状态的重置权重矩阵,σ(·)表示Sigmoid函数。
在这里,当前节点的输入量即为业务操作行为对应的待测行为转换向量,或基础操作行为对应的待测行为特征向量。
此外,本申请的异常检测中,不仅考虑了待测用户的历史操作行为,还考虑了每次发生操作行为的时间间隔对待测用户当前操作行为是否为异常行为的影响,具体通过公式(3)表示:
Tm=σ(Wtxm+σ(QtΔtm)) (3);
其中,Tm表示时间状态量,xm表示当前节点的输入量,Δtm表示当前节点的时间间隔,σ(·)表示Sigmoid函数,Wt表示当前节点输入量的时间状态量权重矩阵,Qt表示时间间隔的权重参数。
获取到更新门的门控状态量zm,重置门的门控状态量rm以及时间状态量Tm后,通过下述公式(4),得到当前节点的状态量sm
sm=zm×Tm×tanh(Whxm+Uh(rm×xm-1))+(1-zm)×sm-1 (4);
其中,sm表示当前节点的状态量,zm表示更新门的门控状态量,rm表示重置门的门控状态量,xm-1表示上一个节点的输入量,sm-1表示上一个节点传输下来的状态量,Tm表示时间状态量,Wh表示当前节点输入量的第一综合编码权重矩阵,Uh表示第二综合编码权重矩阵,tanh(·)表示双曲正切函数。
得到当前节点的状态量sm后,将能够综合所有节点输出的状态量的特征的状态量作为第三行为特征向量。
得到各个操作类型下的第三行为特征向量后,将不同操作类型下的第三行为特征向量进行拼接,输入至分类神经网络中,获取待测用户当前目标操作行为的异常风险概率。
获取待测用户当前目标操作行为的异常风险概率后,还会根据待测用户操作行为的风险概率以及当前时刻的操作行为对应的预设风险阈值判断是否拦截待测用户在当前时刻的操作行为。
具体的,参见图8所示,本申请实施例提供的异常操作行为的检测方法还包括:
S801:检测风险概率是否达到待测用户发生目标操作行为时对应的预设风险阈值。
S802:当风险概率达到待测用户的目标操作行为对应的预设风险阈值,拦截待测用户的目标操作行为。
S803:当风险概率未达到待测用户的目标操作行为对应的预设风险阈值,允许执行待测用户的目标操作行为。
在具体实现的时候,检测风险概率是否达到待测用户发生目标操作行为时对应的预设风险阈值,若风险概率是达到待测用户发生目标操作行为对应的预设风险阈值,则说明待测用户发生目标操作行为属于异常行为,则拦截待测用户目标操作行为,并将待测用户的目标操作行为信息标记异常行为标签,保存至历史操作行为数据库中。
若风险概率是未达到待测用户发生目标操作行为时对应的预设风险阈值,则说明待测用户的目标操作行为属于正常行为,则允许执行待测用户的目标操作行为,并将待测用户的目标操作行为信息标记正常行为标签,保存至历史操作行为数据库中。
本申请实施例提供的异常操作行为的检测方法,通过获取预设时间段内,待测用户的目标操作行为信息对应各个操作类型,获取待测行为特征向量序列,将待测行为特征向量序列输入至异常行为检测模型,并通过异常行为检测模型,建立待测行为特征向量序列中的待测行为特征向量之间的内在关系,进而得到待测用户目标操作行为的风险概率,能够根据历史操作行为信息以及当前时刻操作行为信息,对当前用户的操作行为进行分析,提高对用户操作行为是否为异常行为进行判断的准确率。
基于同一发明构思,本申请实施例中还提供了与异常检测模型训练方法对应的异常行为检测模型训练装置,由于本申请实施例中的装置解决问题的原理与本申请实施例上述异常检测模型训练方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
参见图9所示,本申请又一实施例还提供一种异常检测模型训练装置,包括:
获取模块901。用于获取多个样本用户在采样时刻和在采样时刻之前的历史时间段内的目标历史操作行为信息,以及指示每个样本用户在采样时刻是否发生异常行为的标签信息;
生成模块902,用于针对每个样本用户,根据目标历史操作行为信息,生成该样本用户在每种操作类型下的行为特征向量序列以及发生目标历史操作行为的时间间隔序列;行为特征向量序列包括多个第一行为特征向量,不同的第一行为特征向量为在不同时刻发生的目标历史操作行为所对应的特征向量;
训练模块903,用于基于样本用户在每种操作类型下的行为特征向量序列和时间间隔序列、以及标签信息,进行异常检测模型训练,得到异常检测模型。
可选的,训练模块903用于根据下述方式基于样本用户在每种操作类型下的行为特征向量序列和时间间隔序列、以及标签信息,进行异常检测模型训练,包括:
针对每个样本用户,将该样本用户在每种操作类型下的行为特征向量序列以及时间间隔序列,输入至循环神经网络中,得到与该操作类型对应的第二行为特征向量;
将各个操作类型对应的第二行为特征向量进行拼接后,输入至分类神经网络,获取与该样本用户在采样时刻的异常风险概率;
基于异常风险概率和标签信息,对循环神经网络以及分类神经网络进行训练,得到异常检测模型。
可选的,训练模块903具体根据下述方式得到与该操作类型对应的第二行为特征向量,包括:
循环神经网络包括:转换层以及编码层;
将各个操作类型对应的行为特征向量序列输入至转换层,通过转换层将行为特征向量序列中的各个第一行为特征向量进行标准化转换,得到样本用户每次发生操作行为时的行为转换向量;
针对各个操作类型下的时间间隔序列,将时间间隔序列中样本用户每次发生操作行为时的时间间隔以及行为转换向量输入至编码层进行编码,生成与各个操作类型对应的第二行为特征向量。
可选的,训练模块903具体用于根据下述方式将行为特征向量序列中的各个第一行为特征向量进行标准化转换,生成各个操作类型下,样本用户每次发生操作行为时的行为转换向量,包括:
转换层包括对应各个操作类型的转换矩阵;
在各个操作类型下,将各个第一行为特征向量分别与转换矩阵相乘,生成各个操作类型下,样本用户每次发生操作行为时的行为转换向量;
其中,对循环神经网络进行训练的时候,对循环神经网络进行参数调整,针对转换层,调整转换矩阵的各个元素值。
基于同一发明构思,本申请实施例中还提供了与异常检测方法对应的异常行为检测装置,由于本申请实施例中的装置解决问题的原理与本申请实施例上述异常检测方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
参见图10所示,本申请实施例还提供一种异常操作行为的检测装置,包括:
信息获取模块1001,用于在检测到待测用户发生目标操作行为后,获取待测用户在最近预设时间段内的目标操作行为信息;
序列生成模块1002,用于根据目标操作行为信息,生成待测用户在多种操作类型下,与每种操作类型分别对应的待测行为特征向量序列以及待测时间间隔序列;待测行为特征向量序列包括多个待测行为特征向量,不同的待测行为特征向量为在不同时刻发生的目标操作行为所对应的特征向量;
概率获取模块1003,用于将待测行为特征向量序列以及待测时间间隔序列输入至通过异常检测模型训练装置得到的异常检测模型中,获取待测用户的目标操作行为的风险概率;
异常检测模型包括:循环神经网络以及分类神经网络。
可选的,概率获取模块1003具体用于根据下述方式获取待测用户的目标操作行为的异常风险概率:
将每个操作类型对应的待测行为特征向量序列以及待测时间间隔序列输入至循环神经网络,得到在每个操作类型下的第三行为特征向量;
将各个操作类型对应的第三行为特征向量进行拼接后,输入至分类神经网络中,获取待测用户的目标操作行为的异常风险概率。
可选的,概率获取模块1003具体用于根据下述方式得到在每个操作类型下的第三行为特征向量:循环神经网络包括:转换层以及编码层
将各个操作类型对应的待测行为特征向量序列输入至转换层,通过转换层将待测行为特征向量序列中的各个待测行为特征向量进行标准化转换,得到待测用户每次发生操作行为时的待测行为转换向量;
针对各个操作类型下的待测时间间隔序列,将待测时间间隔序列中待测用户每次发生操作行为时的时间间隔以及待测行为转换向量输入至编码层进行编码,生成与各个操作类型对应的第三行为特征向量。
可选的,概率获取模块1003具体用于根据下述方式将待测行为特征向量序列中的各个待测行为特征向量进行标准化转换,生成各个操作类型下,待测用户每次发生操作行为时的待测行为转换向量
转换层对应各个操作类型的转换矩阵;
在各个操作类型下,将各个第一行为特征向量分别与转换矩阵相乘,生成各个操作类型下,待测用户每次发生操作行为时的待测行为转换向量。
可选的,异常检测装置还包括检测模块1004;检测模块1004具体用于:
检测风险概率是否达到待测用户发生目标操作行为时对应的预设风险阈值;
当风险概率达到待测用户的目标操作行为对应的预设风险阈值,拦截待测用户的目标操作行为;
当风险概率未达到待测用户的目标操作行为对应的预设风险阈值,允许执行待测用户的目标操作行为。
参见图11所示,本申请实施例还提供一种反异常***,使用图5实施例对应的异常检测方法,具体包括:
反异常***通过业务***获取待检测用户的业务请求,进而获取待测用户的目标操作行为信息,对应待测用户的操作行为信息,向历史行为数据库调取最近预设时间段的目标操作行为信息。基于目标操作行为信息,分析当前时刻待测用户的目标操作行为的风险值进行评估,并根据评估结果,进行风险的规避操作。并将当前时刻目标操作行为信息标记正常或者异常的信息发送给历史数据库进行保存,以及发送给训练数据库进行异常行为检测模型的参数调整。
参见图12所示,本申请实施例还提供一种反异常***内部功能实体结构,具体包括:
从图中可以看出其内部一共有3个实体模块:一个是定时器10,另一个是异常行为检测模型训练流水线模块11以及基于用户历史行为的银行反异常风控引擎12。定时器10结构比较单一,其主要作用是定期触发异常检测模型训练流水线模块11的运行,目的是为了使异常行为检测模型始终保持对于最新异常模式的识别状态;异常检测模型训练流水线模块11能够执行图1对应的实施例中异常检测模型训练之前的数据预处理过程,如,数据向量化表示,数据清洗,数据增强,特征筛选以及标准化操作等,还能够执行图2对应的实施例中异常检测模型的训练过程。基于用户历史行为的银行反异常风控引擎12主要是接收来自检测模型训练流水线模块11训练出来的模型参数,并对来自用户的操作行为进行实时的判断。
对应于图1中的异常检测模型训练方法及图4中的操作行为的检测方法,本申请实施例还提供了一种计算机设备1300,如图13所示,该设备包括存储器1000、处理器2000及总线33,其中,上述处理器2000执行上述计算机程序时实现上述异常检测模型训练方法及操作行为的检测方法的步骤。
具体地,上述存储器1000和处理器2000能够为通用的存储器和处理器,这里不做具体限定,当处理器2000运行存储器1000存储的计算机程序时,能够执行上述异常检测模型训练方法及异常操作行为的检测方法的步骤,能够根据历史操作行为信息以及当前时刻操作行为信息,对当前用户的操作行为进行分析,提高对用户操作行为是否为异常行为进行判断的准确率。
对应于图1中的异常检测模型训练方法及图4中的异常操作行为的检测方法,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述异常检测模型训练方法及异常操作行为的检测方法的步骤。
具体地,该存储介质能够为通用的存储介质,如移动磁盘、硬盘等,该存储介质上的计算机程序被运行时,能够执行上述异常检测模型训练方法及异常操作行为的检测方法,能够根据历史操作行为信息以及当前时刻操作行为信息,对当前用户的操作行为进行分析,提高对用户操作行为是否为异常行为进行判断的准确率。
本申请实施例所提供的一种异常检测模型训练方法和装置以及异常操作行为的检测方法和装置的计算机程序产品,包括存储了程序代码的计算机可读存储介质,程序代码包括的指令可用于执行前面方法实施例中的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (6)

1.一种异常操作行为的检测方法,其特征在于,包括:
获取多个样本用户在发生目标历史操作行为的采样时刻和在所述采样时刻之前的预设历史时间段内的目标历史操作行为信息,以及指示每个样本用户在所述采样时刻是否发生异常行为的标签信息;
针对每个样本用户,根据获取的所述目标历史操作行为信息,生成该样本用户在每种操作类型下的行为特征向量序列以及发生目标历史操作行为的时间间隔序列;所述行为特征向量序列包括多个第一行为特征向量,不同的第一行为特征向量为在不同时刻发生的目标历史操作行为所对应的特征向量;
基于所述样本用户在每种操作类型下的行为特征向量序列和所述时间间隔序列、以及所述标签信息,进行异常检测模型训练,得到所述异常检测模型;所述异常检测模型用于检测待测用户的目标操作行为的异常风险概率;
所述方法包括:
在检测到待测用户发生目标操作行为后,获取所述待测用户在最近预设时间段内的目标操作行为信息;
根据所述目标操作行为信息,生成所述待测用户在多种操作类型下,与每种操作类型分别对应的待测行为特征向量序列以及待测时间间隔序列;所述待测行为特征向量序列包括多个待测行为特征向量,不同的待测行为特征向量为在不同时刻发生的目标操作行为所对应的特征向量;
将所述待测行为特征向量序列以及所述待测时间间隔序列输入至所述异常检测模型中,获取所述待测用户的目标操作行为的异常风险概率;
所述方法还包括:
检测所述风险概率是否达到待测用户发生目标操作行为时对应的预设风险阈值;
当所述风险概率达到待测用户的目标操作行为对应的预设风险阈值,拦截待测用户的目标操作行为;
当所述风险概率未达到待测用户的目标操作行为对应的预设风险阈值,允许执行待测用户的目标操作行为;
所述基于所述样本用户在每种操作类型下的行为特征向量序列和所述时间间隔序列、以及所述标签信息,进行异常检测模型训练,包括:
针对每个样本用户,将该样本用户在每种操作类型下的行为特征向量序列以及所述时间间隔序列,输入至循环神经网络中,得到与该操作类型对应的第二行为特征向量;
将各个操作类型对应的第二行为特征向量进行拼接后,输入至分类神经网络,获取与该样本用户在采样时刻的异常风险概率;
基于所述异常风险概率和所述标签信息,对所述循环神经网络以及所述分类神经网络进行训练,得到所述异常检测模型;
所述循环神经网络包括:转换层以及编码层;
所述得到与该操作类型对应的第二行为特征向量包括:
将各个操作类型对应的行为特征向量序列输入至所述转换层,通过所述转换层将所述行为特征向量序列中的各个第一行为特征向量进行标准化转换,得到样本用户每次发生操作行为时的行为转换向量;
针对各个操作类型下的时间间隔序列,将所述时间间隔序列中样本用户每次发生操作行为时的时间间隔以及所述行为转换向量输入至所述编码层进行编码,生成与各个操作类型对应的第二行为特征向量。
2.根据权利要求1所述的方法,其特征在于,所述转换层包括对应各个操作类型的转换矩阵;
将所述行为特征向量序列中的各个第一行为特征向量进行标准化转换,生成各个操作类型下,样本用户每次发生操作行为时的行为转换向量,包括:
在各个操作类型下,将各个第一行为特征向量分别与所述转换矩阵相乘,生成各个操作类型下,样本用户每次发生操作行为时的行为转换向量;
其中,对所述循环神经网络进行训练的时候,对所述循环神经网络进行参数调整,针对所述转换层,调整所述转换矩阵的各个元素值。
3.根据权利要求1所述的方法,其特征在于,所述获取所述待测用户的目标操作行为的异常风险概率包括:
将每个操作类型对应的待测行为特征向量序列以及所述待测时间间隔序列输入至循环神经网络,得到在每个操作类型下的第三行为特征向量;
将各个操作类型对应的第三行为特征向量进行拼接后,输入至分类神经网络中,获取所述待测用户的目标操作行为的异常风险概率。
4.根据权利要求3所述的方法,其特征在于,所述循环神经网络包括:转换层以及编码层;
所述得到在每个操作类型下的第三行为特征向量包括:
将各个操作类型对应的待测行为特征向量序列输入至所述转换层,通过所述转换层将所述待测行为特征向量序列中的各个待测行为特征向量进行标准化转换,得到所述待测用户每次发生操作行为时的待测行为转换向量;
针对各个操作类型下的待测时间间隔序列,将所述待测时间间隔序列中所述待测用户每次发生操作行为时的时间间隔以及所述待测行为转换向量输入至所述编码层进行编码,生成与各个操作类型对应的第三行为特征向量。
5.根据权利要求4所述的方法,其特征在于,所述转换层对应各个操作类型的转换矩阵;
将所述待测行为特征向量序列中的各个待测行为特征向量进行标准化转换,生成各个操作类型下,所述待测用户每次发生操作行为时的待测行为转换向量,包括:
在各个操作类型下,将各个第一行为特征向量分别与所述转换矩阵相乘,生成各个操作类型下,所述待测用户每次发生操作行为时的待测行为转换向量。
6.一种电子设备,其特征在于,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如权利要求1至5任一所述的异常操作行为的检测方法的步骤。
CN201811180634.4A 2018-10-09 2018-10-09 一种异常操作行为的检测方法 Active CN109345260B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811180634.4A CN109345260B (zh) 2018-10-09 2018-10-09 一种异常操作行为的检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811180634.4A CN109345260B (zh) 2018-10-09 2018-10-09 一种异常操作行为的检测方法

Publications (2)

Publication Number Publication Date
CN109345260A CN109345260A (zh) 2019-02-15
CN109345260B true CN109345260B (zh) 2021-11-30

Family

ID=65308584

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811180634.4A Active CN109345260B (zh) 2018-10-09 2018-10-09 一种异常操作行为的检测方法

Country Status (1)

Country Link
CN (1) CN109345260B (zh)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110033120A (zh) * 2019-03-06 2019-07-19 阿里巴巴集团控股有限公司 用于为商户提供风险预测赋能服务的方法及装置
CN111723200A (zh) * 2019-03-20 2020-09-29 京东数字科技控股有限公司 一种确定用户行为特征的方法及***
CN110189134B (zh) * 2019-05-17 2023-01-31 同济大学 基于疑似欺诈交易参照序位的网络支付反欺诈***架构设计方法
CN110191113B (zh) * 2019-05-24 2021-09-24 新华三信息安全技术有限公司 一种用户行为风险评估方法及装置
CN110263106B (zh) * 2019-06-25 2020-02-21 中国人民解放军国防科技大学 协同舆论欺诈检测方法和装置
CN110363649A (zh) * 2019-06-27 2019-10-22 上海淇馥信息技术有限公司 一种基于用户操作事件的风险预警方法、装置、电子设备
CN110335144B (zh) * 2019-07-10 2023-04-07 中国工商银行股份有限公司 个人电子银行账户安全检测方法及装置
CN111178523B (zh) * 2019-08-02 2023-06-06 腾讯科技(深圳)有限公司 一种行为检测方法、装置、电子设备及存储介质
CN112347457A (zh) * 2019-08-06 2021-02-09 上海晶赞融宣科技有限公司 异常账户检测方法、装置、计算机设备和存储介质
CN110662169B (zh) * 2019-09-25 2021-04-27 北京明略软件***有限公司 一种终端设备的匹配方法及装置
CN111047332B (zh) * 2019-11-13 2021-05-07 支付宝(杭州)信息技术有限公司 模型训练和风险识别方法、装置及设备
CN111274907B (zh) * 2020-01-16 2023-04-25 支付宝(中国)网络技术有限公司 使用类别识别模型来确定用户的类别标签的方法和装置
CN111274501B (zh) * 2020-02-25 2023-04-18 支付宝(杭州)信息技术有限公司 推送信息的方法、***和非暂时性存储介质
CN111340112B (zh) * 2020-02-26 2023-09-26 腾讯科技(深圳)有限公司 分类方法、装置、服务器
CN111598159B (zh) * 2020-05-14 2024-04-26 清华大学 机器学习模型的训练方法、装置、设备及存储介质
CN111708995A (zh) * 2020-06-12 2020-09-25 中国建设银行股份有限公司 一种业务处理方法、装置及设备
CN111709754B (zh) * 2020-06-12 2023-08-25 中国建设银行股份有限公司 一种用户行为特征提取方法、装置、设备及***
WO2021253223A1 (en) * 2020-06-16 2021-12-23 Paypal, Inc. Training recurrent neural network machine learning model with behavioral data
CN111836064B (zh) * 2020-07-02 2022-01-07 北京字节跳动网络技术有限公司 一种直播内容识别方法及装置
CN112037001A (zh) * 2020-09-03 2020-12-04 云账户技术(天津)有限公司 打款风险预测模型训练方法、打款风险预测方法及其装置
CN112037052B (zh) * 2020-11-04 2021-01-26 上海冰鉴信息科技有限公司 用户行为检测方法及装置
CN112491875B (zh) * 2020-11-26 2022-07-08 四川长虹电器股份有限公司 基于账号体系的智能跟踪安全检测方法及***
CN112634026A (zh) * 2020-12-30 2021-04-09 四川新网银行股份有限公司 基于用户页面操作行为的信用欺诈识别方法
CN112989332B (zh) * 2021-04-08 2024-06-11 北京安天网络安全技术有限公司 一种异常用户行为检测方法和装置
CN113159606A (zh) * 2021-04-30 2021-07-23 中国工商银行股份有限公司 操作风险识别方法及装置
CN113362069A (zh) * 2021-06-01 2021-09-07 深圳前海微众银行股份有限公司 风控模型的动态调整方法、装置、设备及可读存储介质
CN113591932A (zh) * 2021-07-06 2021-11-02 北京淇瑀信息科技有限公司 基于一类支持向量机的用户异常行为处理方法和装置
CN116796012A (zh) * 2022-03-15 2023-09-22 腾讯科技(深圳)有限公司 一种数据处理方法及相关装置
KR102591483B1 (ko) * 2022-11-16 2023-10-19 주식회사우경정보기술 시공간 신경망 기반 이상행동 데이터 세트를 구축을 위한 레이블링 장치 및 이를 위한 방법
CN116433242B (zh) * 2023-02-28 2023-10-31 王宇轩 基于注意力机制的欺诈检测方法
CN116259110B (zh) * 2023-05-09 2023-08-08 杭州木兰科技有限公司 Atm防护舱的安全检测方法、装置、设备及存储介质
CN117176478B (zh) * 2023-11-02 2024-02-02 南京怡晟安全技术研究院有限公司 基于用户操作行为的网络安全实训平台构建方法及***

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7181768B1 (en) * 1999-10-28 2007-02-20 Cigital Computer intrusion detection system and method based on application monitoring
CN107481019A (zh) * 2017-07-28 2017-12-15 上海携程商务有限公司 订单欺诈识别方法、***、存储介质和电子设备
CN108428132A (zh) * 2018-03-15 2018-08-21 阿里巴巴集团控股有限公司 欺诈交易识别方法、装置、服务器及存储介质
CN108446374A (zh) * 2018-03-16 2018-08-24 北京三快在线科技有限公司 用户意图预测方法、装置、电子设备、存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190259033A1 (en) * 2015-06-20 2019-08-22 Quantiply Corporation System and method for using a data genome to identify suspicious financial transactions

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7181768B1 (en) * 1999-10-28 2007-02-20 Cigital Computer intrusion detection system and method based on application monitoring
CN107481019A (zh) * 2017-07-28 2017-12-15 上海携程商务有限公司 订单欺诈识别方法、***、存储介质和电子设备
CN108428132A (zh) * 2018-03-15 2018-08-21 阿里巴巴集团控股有限公司 欺诈交易识别方法、装置、服务器及存储介质
CN108446374A (zh) * 2018-03-16 2018-08-24 北京三快在线科技有限公司 用户意图预测方法、装置、电子设备、存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
B2B电子商务平台欺诈用户识别研究;郑一曼;《中国优秀硕士学位论文全文数据库 经济与管理科学辑》;20140715(第07期);第J157-125页 *

Also Published As

Publication number Publication date
CN109345260A (zh) 2019-02-15

Similar Documents

Publication Publication Date Title
CN109345260B (zh) 一种异常操作行为的检测方法
CN109409896B (zh) 银行欺诈识别模型训练方法、银行欺诈识别方法和装置
CN109410036A (zh) 一种欺诈检测模型训练方法和装置及欺诈检测方法和装置
WO2019196546A1 (zh) 确定业务请求事件的风险概率的方法及装置
CN109302410B (zh) 一种内部用户异常行为检测方法、***及计算机存储介质
CN109389494B (zh) 借贷欺诈检测模型训练方法、借贷欺诈检测方法及装置
CN110830448B (zh) 目标事件的流量异常检测方法、装置、电子设备及介质
CN110827138B (zh) 一种推送信息确定方法及装置
CN110163242B (zh) 风险识别方法、装置及服务器
CN110264270B (zh) 一种行为预测方法、装置、设备和存储介质
CN112580952A (zh) 用户行为风险预测方法、装置、电子设备及存储介质
CN114240659A (zh) 一种基于动态图卷积神经网络的区块链异常节点识别方法
CN111951008A (zh) 一种风险预测方法、装置、电子设备和可读存储介质
CN112990989B (zh) 价值预测模型输入数据生成方法、装置、设备和介质
CN113435900A (zh) 交易风险确定方法、装置和服务器
CN115935265B (zh) 训练风险识别模型的方法、风险识别方法及对应装置
CN115601034A (zh) 一种面向去中心化金融的攻击检测方法
CN113409050B (zh) 基于用户操作判断业务风险的方法和装置
CN115689571A (zh) 异常用户行为监测方法、装置、设备和介质
CN112632219B (zh) 一种垃圾短信的拦截方法和拦截装置
CN114722954A (zh) 一种针对评价信息的内容异常处理方法和装置
CN110570301B (zh) 风险识别方法、装置、设备及介质
CN109272398B (zh) 一种操作请求处理***
CN113052604A (zh) 一种对象检测方法、装置、设备及存储介质
CN114265757A (zh) 一种设备异常检测方法、装置、存储介质及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant