CN110929799A - 用于检测异常用户的方法、电子设备和计算机可读介质 - Google Patents
用于检测异常用户的方法、电子设备和计算机可读介质 Download PDFInfo
- Publication number
- CN110929799A CN110929799A CN201911200519.3A CN201911200519A CN110929799A CN 110929799 A CN110929799 A CN 110929799A CN 201911200519 A CN201911200519 A CN 201911200519A CN 110929799 A CN110929799 A CN 110929799A
- Authority
- CN
- China
- Prior art keywords
- detection result
- user
- model
- detection
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/04—Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Software Systems (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Mathematical Physics (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Finance (AREA)
- Accounting & Taxation (AREA)
- Health & Medical Sciences (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Technology Law (AREA)
- General Business, Economics & Management (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的实施例公开了用于检测异常用户的方法、电子设备和计算机可读介质。该方法的一具体实施方式包括:将目标用户在目标时间段内的行为数据集合输入预先训练的检测模型,生成模型检测结果;基于行为数据集合中的行为数据是否符合预先确定的异常用户判定条件集合中的异常用户判定条件,生成条件检测结果;基于模型检测结果和条件检测结果,生成目标检测结果,其中,目标检测结果用于指示目标用户是否为异常用户。该实施方式提高了异常用户检测的准确性,可以面向海量数据自动高效地实现有效的风险监控和管理,有助于降低异常用户对CPU、带宽等资源的占用,从而确保正常用户对资源的正常使用。
Description
技术领域
本公开的实施例涉及计算机技术领域,具体涉及用于检测异常用户的方法、电子设备和计算机可读介质。
背景技术
通常,根据用户的特点,可以将用户划分为不同的类型。
例如,当用户在一定时间段内,存在高频的价值资源交换行为(例如交易行为)时,该用户可能属于异常用户。
目前,异常用户的检测是网络安全中十分重要的一个方面。现有的异常用户检测方法通常仅依靠风控人员的个人经验,来发现风险交易行为、保证操作安全便捷,以及判断用户是否为异常用户。
发明内容
本公开的实施例提出了用于检测异常用户的方法、电子设备和计算机可读介质。
第一方面,本公开的实施例提供了一种用于检测异常用户的方法,该方法包括:将目标用户在目标时间段内的行为数据集合输入预先训练的检测模型,生成模型检测结果,其中,检测模型用于确定输入的行为数据集合对应的用户是否为异常用户,模型检测结果为检测模型生成的检测结果;基于行为数据集合中的行为数据是否符合预先确定的异常用户判定条件集合中的异常用户判定条件,生成条件检测结果,其中,条件检测结果为基于异常用户判定条件集合中的异常用户判定条件生成的检测结果;基于模型检测结果和条件检测结果,生成目标检测结果。其中,目标检测结果用于指示目标用户是否为异常用户。
第二方面,本公开的实施例提供了一种用于检测异常用户的装置,该装置包括:输入单元,被配置成将目标用户在目标时间段内的行为数据集合输入预先训练的检测模型,生成模型检测结果,其中,检测模型用于确定输入的行为数据集合对应的用户是否为异常用户,模型检测结果为检测模型生成的检测结果;第一生成单元,被配置成基于行为数据集合中的行为数据是否符合预先确定的异常用户判定条件集合中的异常用户判定条件,生成条件检测结果,其中,条件检测结果为基于异常用户判定条件集合中的异常用户判定条件生成的检测结果;第二生成单元,被配置成基于模型检测结果和条件检测结果,生成目标检测结果,其中,目标检测结果用于指示目标用户是否为异常用户。
第三方面,本公开的实施例提供了一种电子设备,包括:一个或多个处理器;存储装置,其上存储有一个或多个程序,当上述一个或多个程序被上述一个或多个处理器执行,使得该一个或多个处理器实现如上述用于检测异常用户的方法中任一实施例的方法。
第四方面,本公开的实施例提供了一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上述用于检测异常用户的方法中任一实施例的方法。
本公开的实施例提供的用于检测异常用户的方法、电子设备和计算机可读介质,通过将目标用户在目标时间段内的行为数据集合输入预先训练的检测模型,生成模型检测结果,其中,检测模型用于确定输入的行为数据集合对应的用户是否为异常用户,模型检测结果为检测模型生成的检测结果,然后,基于行为数据集合中的行为数据是否符合预先确定的异常用户判定条件集合中的异常用户判定条件,生成条件检测结果,其中,条件检测结果为基于异常用户判定条件集合中的异常用户判定条件生成的检测结果,最后,基于模型检测结果和条件检测结果,生成目标检测结果,其中,目标检测结果用于指示目标用户是否为异常用户,由此,提高了异常用户检测的准确性,有助于降低异常用户对CPU(中央处理器,Central Processing Unit)、带宽等资源的占用,从而确保正常用户对资源的正常使用。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本申请的一个实施例可以应用于其中的示例性***架构图;
图2是根据本申请的用于检测异常用户的方法的一个实施例的流程图;
图3是根据本申请的用于检测异常用户的方法的一个应用场景的示意图;
图4是根据本申请的用于检测异常用户的方法的又一个实施例的流程图;
图5A-图5B是根据本申请的用于检测异常用户的方法的又一个应用场景的示意图;
图6是适于用来实现本公开的实施例的电子设备的计算机***的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了可以应用本公开的实施例的用于检测异常用户的方法的实施例的示例性***架构100。
如图1所示,***架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息(例如目标用户在目标时间段内的行为数据集合)等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如支付类应用、理财软件、网页浏览器应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备101、102、103可以是硬件,也可以是软件。当终端设备101、102、103为硬件时,可以是各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving Picture Experts Group Audio Layer III,动态影像专家压缩标准音频层面3)、MP4(Moving Picture Experts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。当终端设备101、102、103为软件时,可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103上显示的页面提供支持的后台服务器。后台服务器可以从终端设备101、102、103获取目标用户在目标时间段内的行为数据(例如用户账号、交易时间、交易金额,交易时长、交易笔数、交易频次、交易特征、交易趋势、交易周期、交易类型)集合。将获取的行为数据集合输入预先训练的检测模型,生成模型检测结果,以及基于行为数据集合中的行为数据是否符合预先确定的异常用户判定条件集合中的异常用户判定条件,生成条件检测结果,再基于模型检测结果和条件检测结果,生成目标检测结果。
需要说明的是,本公开的实施例所提供的用于检测异常用户的方法可以由服务器105执行,也可以由终端设备101、102、103执行,还可以由终端设备101、102、103和服务器105彼此配合执行。相应地,用于检测异常用户的装置包括的各个部分(例如各个单元)可以设置于服务器105中,也可以设置于终端设备101、102、103中,还可以分别设置于服务器105和终端设备101、102、103中。
需要说明的是,服务器可以是硬件,也可以是软件。当服务器为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器为软件时,可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。当用于检测异常用户的方法运行于其上的电子设备不需要与其他电子设备进行数据传输时,该***架构可以仅包括用于检测异常用户的方法运行于其上的电子设备。
继续参考图2,示出了根据本申请的用于检测异常用户的方法的一个实施例的流程200。该用于检测异常用户的方法,包括以下步骤:
步骤201,将目标用户在目标时间段内的行为数据集合输入预先训练的检测模型,生成模型检测结果。
在本实施例中,用于检测异常用户的方法的执行主体(例如图1所示的服务器或终端设备)可以将目标用户在目标时间段内的行为数据集合输入预先训练的检测模型,生成模型检测结果。其中,检测模型用于确定输入的行为数据集合对应的用户是否为异常用户,模型检测结果为检测模型生成的、用于指示目标用户是否为异常用户的检测结果。
在这里,目标用户可以是待对其进行异常检测的用户。目标时间段可以是任意历史时间段。作为示例,目标时间段可以是2019年11月11日0点至2019年11月12日0点。行为数据集合可以是上述目标用户的各种操作产生的数据的集合。作为示例,行为数据集合可以包括以下至少一项:用户账号、交易时间、交易金额,交易时长、交易笔数、交易频次、交易特征、交易趋势、交易周期、交易类型。
实践中,行为数据集合可以通过向量、矩阵等形式表征。
上述模型检测结果可以采用文字表征,例如,模型检测结果可以是“是”或者“否”;模型检测结果也可以采用数字表征,例如,当模型检测结果为“0”时,可以表征目标用户是异常用户,当模型检测结果为“1”时,可以表征目标用户不是异常用户(即是正常用户);模型检测结果还可以采用矩阵或向量表征。例如,上述执行主体可以针对行为数据集合中的每个行为数据,生成该行为数据对应的用户为异常用户的概率,从而将各个概率作为用以表征模型检测结果的矩阵或向量的元素。再例如,上述执行主体可以针对行为数据集合中的每个行为数据,生成该行为数据对应的用户为异常用户的概率,若该行为数据对应的用户为异常用户的概率大于预设概率阈值(例如50%),则将1作为用以表征模型检测结果的矩阵或向量的一个元素,若该行为数据对应的用户为异常用户的概率小于或等于上述预设概率阈值(例如50%),则将0作为用以表征模型检测结果的矩阵或向量的一个元素。
在这里,当模型检测结果采用矩阵或向量表征时,上述执行主体可以基于矩阵或向量中的各个元素,确定该模型检测结果是否指示目标用户是异常用户。例如,上述执行主体可以通过计算矩阵或向量中的各个元素的均值与预设阈值之间的大小关系,来确定模型检测结果是否指示目标用户为异常用户。再例如,上述执行主体可以通过计算矩阵或向量中的各个元素的中超过第一预设阈值的元素的数量与第二预设阈值之间的大小关系,来确定模型检测结果是否指示目标用户为异常用户。
实践中,当上述执行主体为终端设备时,目标用户可以对安装于上述执行主体上的应用进行操作,从而生成行为数据,由此,上述执行主体或者与上述执行主体通信连接的服务器可以将目标用户在目标时间段内生成的行为数据的集合作为行为数据集合;当上述执行主体为服务器时,目标用户可以对上述执行主体所支持的、安装于与上述执行主体通信连接的终端设备上的应用进行操作,从而生成行为数据,由此,上述执行主体或者与上述执行主体通信连接的终端设备可以将目标用户的在目标时间段内生成的行为数据的集合作为行为数据集合。
在本实施例的一些可选的实现方式中,行为数据集合也可以通过如下步骤得到:
首先,获取目标用户在目标时间段内的用户数据集合。其中,用户信息集合包括以下至少一项:用户账号、交易时间、交易金额,交易时长、交易笔数、交易频次、交易特征、交易趋势、交易周期、交易类型。
然后,对用户数据集合进行数据清洗,得到清洗后数据集合。
之后,对清洗后数据集合进行数据特征衍生,得到衍生后数据集合。
最后,采用主成分分析方法,对衍生后数据集合进行降维,以及将降维后得到的数据的集合作为行为数据集合。
可以理解,本可选的实现方式通过对行为数据集合进行数据清洗、数据特征衍生以及降维处理,从而可以通过后续步骤提高生成目标检测结果的准确率和速度。
在这里,上述检测模型可以是采用机器学习算法基于预先确定的训练样本集合训练得到的卷积神经网络模型。其中,训练样本集合中的每个训练样本可以与一个用户相对应。上述训练样本集合中的训练样本可以包括输入数据和期望输出数据。输入数据可以是单个用户的行为数据集合。期望输出数据可以用于指示该用户是否为异常用户。
步骤202,基于行为数据集合中的行为数据是否符合预先确定的异常用户判定条件集合中的异常用户判定条件,生成条件检测结果。
在本实施例中,上述执行主体可以基于行为数据集合中的行为数据是否符合预先确定的异常用户判定条件集合中的异常用户判定条件,生成条件检测结果。其中,条件检测结果为基于异常用户判定条件集合中的异常用户判定条件生成的、用于指示目标用户是否为异常用户的检测结果。
其中,异常用户判定条件可以是用于判断用户是否为异常用户的条件。例如,异常用户判定条件可以包括:用户在目标时间段内的交易次数超过50次。再例如,异常用户判定条件也可以包括:用户在目标时间段内的交易金额大于一万元的次数超过10次。
上述条件检测结果可以采用文字表征,例如,条件检测结果可以是“是”或者“否”。或者,条件检测结果也可以采用数字表征,例如,当条件检测结果为“0”时,可以表征目标用户是异常用户,当条件检测结果为“1”时,可以表征目标用户不是异常用户。或者,条件检测结果还可以采用矩阵或向量表征。例如,上述执行主体可以针对行为数据集合中的每个行为数据,生成该行为数据对应的用户为异常用户的概率,从而将各个概率作为用以表征条件检测结果的矩阵或向量的元素。
上述异常用户判定条件集合中的各个异常用户判定条件可以对应一个用于表征用户为异常用户的概率。由此,上述执行主体可以将该行为数据符合的异常用户判定条件所对应的概率,作为该行为数据对应的用户为异常用户的概率。再例如,上述执行主体还可以针对行为数据集合中的每个行为数据,生成该行为数据对应的用户为异常用户的概率,若该行为数据对应的用户为异常用户的概率大于预设概率阈值(例如50%),则将1作为用以表征条件检测结果的矩阵或向量的一个元素,若该行为数据对应的用户为异常用户的概率小于或等于上述预设概率阈值(例如50%),则将0作为用以表征条件检测结果的矩阵或向量的一个元素。其中,上述异常用户判定条件集合中的各个异常用户判定条件可以对应一个用于表征用户为异常用户的概率。由此,上述执行主体可以将该行为数据符合的异常用户判定条件所对应的概率,作为该行为数据对应的用户为异常用户的概率。
在这里,当条件检测结果采用矩阵或向量表征时,上述执行主体可以基于矩阵或向量中的各个元素,确定该条件检测结果是否指示目标用户是异常用户。例如,上述执行主体可以通过计算矩阵或向量中的各个元素的均值与预设阈值之间的大小关系,来确定条件检测结果是否指示目标用户是异常用户。再例如,上述执行主体可以通过计算矩阵或向量中的各个元素的中超过第一预设阈值的元素的数量与一预设数量之间的大小关系,来确定条件检测结果是否指示目标用户是异常用户。
在这里,上述执行主体可以采用多种方式生成条件检测结果。
示例性的,在行为数据集合中存在符合预先确定的异常用户判定条件集合中的异常用户判定条件的行为数据的情况下,上述执行主体可以生成用于指示目标用户是异常用户的条件检测结果;在行为数据集合中,不存在符合预先确定的异常用户判定条件集合中的异常用户判定条件的行为数据的情况下,上述执行主体可以生成用于指示目标用户不是异常用户的条件检测结果。
可选的,在行为数据集合中符合预先确定的异常用户判定条件集合中的异常用户判定条件的行为数据的数量,大于不符合上述异常用户判定条件集合中的异常用户判定条件的行为数据的数量的情况下,上述执行主体可以生成用于指示目标用户是异常用户的条件检测结果;在行为数据集合中符合预先确定的异常用户判定条件集合中的异常用户判定条件的行为数据的数量,小于或等于不符合上述异常用户判定条件集合中的异常用户判定条件的行为数据的数量的情况下,上述执行主体可以生成用于指示目标用户不是异常用户的条件检测结果。
步骤203,基于模型检测结果和条件检测结果,生成目标检测结果。
在本实施例中,上述执行主体可以基于模型检测结果和条件检测结果,生成目标检测结果。其中,目标检测结果用于指示目标用户是否为异常用户。
作为示例,在模型检测结果和条件检测结果指示的检测结果一致的情况下,上述执行主体可以将模型检测结果或条件检测结果,作为目标检测结果。在模型检测结果和条件检测结果指示的检测结果不一致的情况下,上述执行主体可以从模型检测结果和条件检测结果中随机选取一个检测结果,以及将随机选取的检测结果作为目标检测结果。
作为又一示例,在模型检测结果和条件检测结果指示的检测结果不一致的情况下,上述执行主体可以基于相关人员(例如负责检测用户是否为异常用户的人员)的选中操作,从而将上述选中操作指示的检测结果(即模型检测结果或条件检测结果)作为目标检测结果。
继续参见图3,图3是根据本实施例的用于检测异常用户的方法的应用场景的一个示意图。在图3的应用场景中,服务器301首先将目标用户在目标时间段内的行为数据集合3001输入预先训练的检测模型3002,生成模型检测结果3004(图3中,模型检测结果3004指示目标用户是异常用户),其中,检测模型3002用于确定输入的行为数据集合对应的用户是否为异常用户。模型检测结果3004为检测模型3002生成的检测结果。
然后,服务器301基于行为数据集合3001中的行为数据是否符合预先确定的异常用户判定条件集合3003中的异常用户判定条件,生成条件检测结果3005(图3中,条件检测结果3005指示目标用户不是异常用户)。其中,条件检测结果3005为基于异常用户判定条件集合3003中的异常用户判定条件生成的检测结果。
最后,服务器301基于模型检测结果3004和条件检测结果3005,生成目标检测结果3006(图3中,目标检测结果3006指示目标用户不是异常用户)。其中,目标检测结果3006用于指示目标用户是否为异常用户。
本申请的上述实施例提供的方法,通过将目标用户在目标时间段内的行为数据集合输入预先训练的检测模型,生成模型检测结果,其中,检测模型用于确定输入的行为数据集合对应的用户是否为异常用户,然后,基于行为数据集合中的行为数据是否符合预先确定的异常用户判定条件集合中的异常用户判定条件,生成条件检测结果,最后,基于模型检测结果和条件检测结果,生成目标检测结果,其中,目标检测结果用于指示目标用户是否为异常用户,由此,结合基于检测模型生成的模型检测结果与基于异常用户判定条件集合生成的条件检测结果两方面,来生成用于指示目标用户是否为异常用户的最终的检测结果(即目标检测结果),从而提高了异常用户检测的准确性,可以面向海量数据自动高效地实现有效的风险监控和管理,有助于降低异常用户对CPU、带宽等资源的占用,从而确保正常用户对资源的正常使用。
在本实施例的一些可选的实现方式中,在模型检测结果和条件检测结果指示的检测结果不一致的情况下,上述执行主体还可以执行以下至少一项:
第一项,确定是否更新异常用户判定条件集合。
第二项,确定是否继续训练检测模型。
可以理解,在模型检测结果和条件检测结果指示的检测结果不一致的情况下,基于异常用户判定条件集合确定的条件检测结果或者基于检测模型确定的模型检测结果可能准确率较低,在此场景下,可以通过更新异常用户判定条件集合,或者,继续训练检测模型,来提高异常用户判定条件集合确定的条件检测结果的准确率,或者,提高检测模型确定的模型检测结果的准确率,由此,采用更新后的异常用户判定条件集合和继续训练后得到的检测模型,可以得到更准确的目标检测结果,进一步提高了异常用户检测的准确率。
在本实施例的一些可选的实现方式中,在响应于模型检测结果和条件检测结果指示的检测结果不一致,确定是否更新异常用户判定条件集合的情况下,可通过如下的方式来确定是否更新异常用户判定条件集合:响应于接收到用于指示更新异常用户判定条件集合的信息,基于行为数据集合,更新异常用户判定条件集合。
其中,上述用于指示更新异常用户判定条件集合的信息可以是相关人员(例如技术人员)通过其所使用的电子设备向上述执行主体发送的,也可以是上述相关人员直接向上述执行主体输入的。
可以理解,在本可选的实现方式中,上述执行主体可以根据相关人员的经验,来确定是否需要更新异常用户判定条件集合。
可选的,上述执行主体也可以在基于异常用户判定条件集合得到的条件检测结果的准确率小于预设准确率阈值的情况下,更新异常用户判定条件集合。从而上述执行主体可以自动地更新异常用户判定条件集合。
其中,基于异常用户判定条件集合得到的条件检测结果的准确率可以采用如下步骤得到:
第一步,获取测试样本集合。其中,测试样本集合中的每个测试样本与一个用户相对应。每个测试样本包括该测试样本对应的用户的行为数据集合,以及表征该测试样本对应的用户是否为异常用户的期望结果数据。
第二步,针对上述测试样本集合中的每个测试样本,依次基于该行为数据集合中的行为数据是否符合上述异常用户判定条件集合中的异常用户判定条件,生成条件检测结果。以及将该测试样本对应的用户是否为异常用户的条件检测结果,作为该测试样本对应的实际结果数据。其中,该第二步中的生成条件检测结果的方式可以参考上述步骤202,在此不再赘述。
第三步,针对第二步中所得到的各个实际结果数据中的每个实际结果数据,确定该实际结果数据与对应该实际结果数据的期望结果数据是否指示相同含义(即是否均指示用户是异常用户,或者,是否均指示用户不是异常用户),以确定出第二步中所得到的各个实际结果数据中与对应的期望结果数据指示相同含义的实际结果数据的数量。
第四步,将第三步中所得到的数量与第一步中获取的测试样本集合中包括的测试样本的数量的比值,确定为基于异常用户判定条件集合得到的条件检测结果的准确率。
在本实施例的一些可选的实现方式中,在响应于模型检测结果和条件检测结果指示的检测结果不一致,确定是否继续训练检测模型的情况下,确定是否继续训练检测模型,包括:响应于接收到用于指示继续训练的信息,基于行为数据集合,继续训练检测模型。
其中,上述用于指示继续训练的信息可以是相关人员(例如技术人员)通过其所使用的电子设备向上述执行主体发送的,也可以是上述相关人员直接向上述执行主体输入的。
可以理解,在本可选的实现方式中,上述执行主体可以根据相关人员的经验,来确定是否需要继续训练检测模型。
可选的,上述执行主体也可以在检测模型的准确率小于预设准确率阈值的情况下,继续训练检测模型。从而上述执行主体可以自动地继续训练检测模型。
其中,检测模型的准确率可以采用如下步骤得到:
步骤一,获取测试样本集合。其中,测试样本集合中的每个测试样本与一个用户相对应。每个测试样本包括该测试样本对应的用户的行为数据集合,以及表征该测试样本对应的用户是否为异常用户的期望结果数据。
步骤二,将上述测试样本集合中的每个测试样本依次输入至检测模型,得到用于指示该测试样本对应的用户是否为异常用户的模型检测结果。以及将该测试样本对应的用户是否为异常用户的模型检测结果,作为该测试样本对应的实际结果数据。
步骤三,针对步骤二中所得到的各个实际结果数据中的每个实际结果数据,确定该实际结果数据与对应该实际结果数据的期望结果数据是否指示相同含义(即是否均指示用户是异常用户,或者,是否均指示用户不是异常用户),以确定出步骤二中所得到的各个实际结果数据中与对应的期望结果数据指示相同含义的实际结果数据的数量。
步骤四,将步骤三中所得到的数量与测试样本集合中包括的测试样本的数量的比值,确定为检测模型的准确率。
在本实施例的一些可选的实现方式中,模型检测结果和条件检测结果分别采用数值表征。以及,上述执行主体还可以采用如下方式来执行步骤203:
基于模型检测结果和条件检测结果的加权求和的结果,确定目标用户是否为异常用户,以及生成目标检测结果。其中,模型检测结果的权重和条件检测结果的权重与基于检测模型的准确率和基于异常用户判定条件集合生成的用于指示用户是否为异常用户的检测结果的准确率成正相关。
作为示例,当模型检测结果和条件检测结果采用单个数值表征时,上述执行主体可以基于模型检测结果和条件检测结果的加权求和的结果与预设数值之间的大小关系,确定目标用户是否为异常用户,以及生成目标检测结果。
作为又一示例,当模型检测结果和条件检测结果采用矩阵或向量(即多个数值)表征时,上述执行主体可以基于模型检测结果和条件检测结果的加权求和的结果中大于第一预设数值的元素的数量,与第二预设数值之间的大小关系,确定目标用户是否为异常用户,以及生成目标检测结果。或者,上述执行主体也可以基于模型检测结果和条件检测结果的加权求和的结果中各个元素的平均值与预设平均值之间的大小关系,确定目标用户是否为异常用户,以及生成目标检测结果。
可以理解,本可选的实现方式可以采用多种方式生成目标检测结果,从而丰富了目标检测结果的生成方式,在一些场景下,还可以采用本可选的实现方式中所描述的两种或两种以上方式,来生成目标检测结果,从而可以进一步提高异常用户检测的准确率。
在本实施例的一些可选的实现方式中,在目标检测结果指示目标用户是异常用户的情况下,上述执行主体还可以执行预先确定的异常用户管控操作。其中,异常用户管控操作可以是用于对异常用户进行管理和/或控制的操作。
可以理解,在确定目标检测结果指示目标用户是异常用户的情况下,可以通过执行预先确定的异常用户管控操作,对异常用户进行相应的管理和/或控制,从而可以面向海量数据自动高效地实现有效的风险监控和管理,进而可以降低异常用户对CPU、带宽等资源的占用,以及确保正常用户对资源的正常使用。
在本实施例的一些可选的实现方式中,异常用户管控操作包括以下至少一项:
第一项,对目标用户的权限进行限制。
可以理解,可以通过对异常用户的权限限制,避免异常用户的不当得利、误操作等行为给相关人员带来的损失。
第二项,向目标用户发送用于指示操作异常的提示信息。
可以理解,在一些情况下,目标用户的账号被其他人盗用,或者,后台程序私自运行,可能导致目标检测结果指示目标用户是异常用户,在此场景下,可以通过向目标用户发送用于指示操作异常的提示信息,从而提示目标用户当前的账号存在安全隐患,以及时制止目标用户造成的损失。
第三项,将目标用户与预设标签相关联。
可以理解,可以将目标用户与预设标签相关联,从而对异常用户和正常用户进行区分,以便后续对两种类型的用户进行区别管理。
在本实施例的一些可选的实现方式中,目标用户为消费者用户(而非商家)。
可以理解,在目标用户为消费者用户的情况下,本可选的实现方式可以实现对消费者用户的异常检测。
进一步参考图4,其示出了用于检测异常用户的方法的又一个实施例的流程400。该用于检测异常用户的方法的流程400,包括以下步骤:
步骤401,获取预先确定的训练样本集。
在本实施例中,用于检测异常用户的方法的执行主体(例如图1所示的服务器或终端设备)可以通过有线连接方式或者无线连接方式从其他电子设备,或者本地获取预先确定的训练样本集。其中,训练样本集中的每个训练样本与一个用户相对应。训练样本集中的训练样本包括与该训练样本相对应的用户的行为数据集合。
在这里,行为数据集合可以是用户的各种操作产生的数据的集合。作为示例,行为数据集合可以包括以下至少一项:用户账号、交易时间、交易金额,交易时长、交易笔数、交易频次、交易特征、交易趋势、交易周期、交易类型。
实践中,行为数据集合可以通过向量、矩阵等形式表征。
步骤402,针对预先确定的异常检测算法集合中的每个异常检测算法,采用该异常检测算法对训练样本集进行异常检测,得到与该异常检测算法相对应的候选模型。
在本实施例中,针对预先确定的异常检测算法集合中的每个异常检测算法,上述执行主体可以采用该异常检测算法对训练样本集进行异常检测,得到与该异常检测算法相对应的候选模型。其中,候选模型表征训练样本包括的行为数据集合是否对应异常用户。
在这里,上述异常检测算法集合中的异常检测算法可以用于对训练样本集进行异常检测。作为示例,异常检测算法可以包括但不限于以下任一项:基于分类的异常检测算法、基于最近邻的异常检算法、基于聚类的异常检测算法、基于统计的异常检测算法(例如基于高斯模型的异常检测算法、基于回归模型的异常检测算法、基于混合参数分布的异常检测算法、基于直方图的异常检测算法、基于核函数的异常检测算法、基于密度估计的异常检测算法)。
在一些情况下,上述异常检测算法集合中的各个异常检测算法可以彼此不同。
在本实施例的一些可选的实现方式中,异常检测算法集合可以包括如下异常检测算法:高斯分布、基于密度的聚类算法、孤立森林算法、局部异常因子算法(Local OutlierFactor,LOF)。
在这里,上述高斯分布、基于密度的聚类算法、孤立森林算法、局部异常因子算法为本领域技术人员的公知技术,在此不再赘述。
可以理解,通过执行上述步骤402,可以获得与异常检测算法集合中的每个异常检测算法相对应的候选模型。由于在采用异常检测算法对训练样本集进行异常检测前,往往难以提前预料各个异常检测算法对应的候选模型的召回率((Recall)、准确率(Precision)、F值(F-Measure)、宏平均(macro-average)、微平均(micro-average)等评价指标的优劣,因而,本可选的实现方式可以针对每种异常检测算法训练出与其相对应的候选模型,以便通过后续步骤选取出的检测模型在召回率、准确率、F值、宏平均、微平均等方面的表现更优异。
在本实施例的一些可选的实现方式中,对于上述步骤402中的“采用该异常检测算法对训练样本集进行异常检测,得到与该异常检测算法相对应的候选模型”,上述执行主体可以采用如下步骤来执行:
第一步骤,从预先确定的该异常检测算法的参数集合中,选取至少两组参数组合。其中,每组参数组合中的参数的数量可以为大于或等于0的整数。
在这里,每个异常检测算法可以对应一个参数集合。例如,当异常检测算法为孤立森林算法时,该异常检测算法对应的参数集合可以包括但不限于:采样个数,选取特征个数,树的个数、每棵树的层数等。当异常检测算法为聚类算法时,该异常检测算法对应的参数集合可以包括但不限于:聚类个数、用于过滤噪声的参数等。
第二步骤,将至少两组参数组合中的每个参数的参数值设置为预先针对该参数设置的参数值。
在这里,预先针对该参数设置的参数值可以是技术人员根据经验设置的参数值,也可以是该参数的默认参数值。需要说明的是,针对同一参数,技术人员也可以为其设置不同的多个参数值。
第三步骤,针对至少两组参数组合中的每组参数组合,基于该异常检测算法和为该组参数组合中的各个参数设置的参数值,对训练样本集进行异常检测,得到与该异常检测算法和该组参数组合相对应的候选模型。
可以理解,由于每个异常检测算法可以对应多个参数,在模型训练前,往往难以提前预料如何确定各个参数的取值才可以训练出表现更优异(例如基于召回率、准确率、F值、宏平均、微平均等评价指标确定的评分最高)的模型(例如检测模型)。本可选的实现方式可以针对每种异常检测算法对应的每组参数组合训练出一个候选模型。以便通过后续步骤选取出的检测模型在召回率、准确率、F值、宏平均、微平均等方面的表现更优异。
步骤403,将所得到的各个候选模型中符合预设选取条件的候选模型,作为检测模型。
在本实施例中,上述执行主体可以将所得到的各个候选模型中符合预设选取条件的候选模型,作为检测模型。
其中,上述预设选取条件可以是准确率最高,也可以是对候选模型的准确率、轮廓系数、调整兰德系数、Calinski-Harabasz指数(Calinski-Harabasz Index)、Fowlkes-Mallows分数(Fowlkes-Mallows scores)进行加权求和的结果最大。
在这里,上述准确率、轮廓系数、调整兰德系数、Calinski-Harabasz指数、Fowlkes-Mallows分数为本领域技术人员广泛研究的公知模型评价指标,在此不再赘述。
在本实施例的一些可选的实现方式中,上述执行主体还可以采用如下方式来执行上述步骤403:
基于准确率、轮廓系数、调整兰德系数、Calinski-Harabasz指数、Fowlkes-Mallows分数中的奇数项评价指标,将从所得到的各个候选模型中采用投票机制确定出的候选模型作为检测模型。
可以理解,本可选的实现方式,可以采用投票机制确定出检测模型,从而,提高了检测模型在准确率、轮廓系数、调整兰德系数、Calinski-Harabasz指数、Fowlkes-Mallows分数中的奇数项评价指标上的表现的优异性。
步骤404,将目标用户在目标时间段内的行为数据集合输入预先训练的检测模型,生成模型检测结果。
在本实施例中,上述执行主体可以将目标用户在目标时间段内的行为数据集合输入预先训练的检测模型,生成模型检测结果。其中,检测模型用于确定输入的行为数据集合对应的用户是否为异常用户。模型检测结果为检测模型生成的、用于指示目标用户是否为异常用户的检测结果。
步骤405,基于行为数据集合中的行为数据是否符合预先确定的异常用户判定条件集合中的异常用户判定条件,生成条件检测结果。
在本实施例中,上述执行主体可以基于行为数据集合中的行为数据是否符合预先确定的异常用户判定条件集合中的异常用户判定条件,生成条件检测结果。其中,条件检测结果为基于异常用户判定条件集合中的异常用户判定条件生成的、用于指示目标用户是否为异常用户的检测结果。
步骤406,基于模型检测结果和条件检测结果,生成目标检测结果。
在本实施例中,上述执行主体可以基于模型检测结果和条件检测结果,生成目标检测结果。其中,目标检测结果用于指示目标用户是否为异常用户。
在本实施例中,上述步骤404、405、406可以分别与图2对应实施例中的步骤201、202、203基本一致,这里不再赘述。
继续参见图5A-图5B,图5A-图5B是根据本实施例的用于检测异常用户的方法的又一个应用场景的示意图。需要说明的是,图5A-图5B的示意图仅仅是一个示例,不应对本申请起到任何限定作用。
在图5A中,本公开的实施例中的用于检测异常用户的方法的执行主体首先可以获取历史交易数据集合501。其中,历史交易数据集合中的每个历史交易数据可以包括但不限于单个用户的以下至少一项:用户账号、交易时间、交易金额,交易时长、交易笔数、交易频次、交易特征、交易趋势、交易周期、交易类型。
然后,上述执行主体可以对历史交易数据集合501进行数据预处理(例如数据清洗)、特征工程(例如数据特征衍生、降维)等处理,从而获得处理后数据集合502。
在这里,针对不同类型的不规范数据,可以设计不同的清洗规则,对数据格式进行调整或修改。对于存在缺失的数据,可以将特征分为时间特征、分类特征、连续特征,分别选用众数和均值等进行填充。之后,再对数据预处理得到的数据,进行转换和衍生,在原始数据的基础上,得到新的特征,如最大交易金额,平均交易金额、交易总和等;然后,采用主成分分析性方法来对特征进行选择,进行特征降维。
随后,上述执行主体可以将处理后数据集合502进行数据划分。例如,按照一定的比例,把处理后数据集合502划分为训练样本集503和测试样本集504。
之后,上述执行主体可以针对预先确定的异常检测算法集合中的每个异常检测算法,采用该异常检测算法对训练样本集进行异常检测,得到与该异常检测算法相对应的候选模型。在图5A中,异常检测算法包括统计学算法、聚类算法、孤立森林算法和局部异常因子算法。由此,上述执行主体可以采用统计学算法505、聚类算法506、孤立森林算法507、局部异常因子算法508,对训练样本集503进行异常检测,得到与统计学算法505相对应的候选模型509、与聚类算法506相对应的候选模型510、与孤立森林算法507相对应的候选模型511,以及与局部异常因子算法508相对应的候选模型512。
在这里,在采用异常检测算法对训练样本集进行异常检测的过程中,可以针对每种异常检测算法,设置不同参数组,从而建立与该异常检测算法相对应的不同的候选模型。例如,当异常检测算法为孤立森林算法时,该异常检测算法对应的参数集合可以包括但不限于:采样个数,选取特征个数,树的个数、每棵树的层数等。当异常检测算法为聚类算法时,该异常检测算法对应的参数集合可以包括但不限于:聚类个数、用于过滤噪声的参数等。
接着,上述执行主体可以基于准确率、轮廓系数、调整兰德系数、Calinski-Harabasz指数、Fowlkes-Mallows分数中的奇数项评价指标,从所得到的候选模型509-512中采用投票机制确定出的候选模型作为检测模型513。
下面请继续参考图5B。
在图5B中,在获得检测模型513(例如采用图5A所示的方法获得的检测模型513)的基础上,上述执行主体首先获取目标用户在目标时间段内的用户数据集合515。其中,用户数据集合515可以包括但不限于单个用户的以下至少一项:用户账号、交易时间、交易金额,交易时长、交易笔数、交易频次、交易特征、交易趋势、交易周期、交易类型。
然后,上述执行主体可以对用户数据集合515进行数据预处理(例如数据清洗)、特征工程(例如数据特征衍生、降维)的处理,从而获得行为数据集合516。
在这里,针同类型的不规范数据,可以设计不同的清洗规则,对数据格式进行调整或修改。对于存在缺失的数据,可以将特征分为时间特征、分类特征、连续特征,分别选用众数和均值等进行填充。之后,再对数据预处理得到的数据,进行转换和衍生,在原始数据的基础上,得到新的特征,如最大交易金额,平均交易金额、交易总和等;然后,采用主成分分析性方法来对特征进行选择,进行特征降维。
之后,上述执行主体可以将行为数据集合516输入预先训练的检测模型513,生成模型检测结果517。模型检测结果517为检测模型513生成的检测结果。以及,基于行为数据集合516中的行为数据是否符合预先确定的异常用户判定条件集合514中的异常用户判定条件,生成条件检测结果518。其中,条件检测结果518为基于异常用户判定条件集合中的异常用户判定条件生成的检测结果。
最后,上述执行主体可以基于模型检测结果517和条件检测结果518,生成目标检测结果519。其中,目标检测结果519用于指示目标用户是否为异常用户。
可选的,上述执行主体还可以在模型检测结果517和条件检测结果518指示的检测结果不一致的情况下,执行以下至少一项:确定是否更新异常用户判定条件集合;确定是否继续训练检测模型。
在这里,在接收到用于指示继续训练的信息的情况下,上述执行主体可以基于行为数据集合516,继续训练检测模型513。或者,在接收到用于指示更新异常用户判定条件集合的信息的情况下,上述执行主体也可以基于行为数据集合516,更新异常用户判定条件集合514。
从图4中可以看出,本实施例中的用于检测异常用户的方法的流程400突出了检测模型的训练过程,由此,可以进一步提高异常用户检测的准确性。
下面参考图6,其示出了适于用来实现本公开的实施例的电子设备(例如图1中的服务器或终端设备)600的结构示意图。本公开的实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图6示出的电子设备仅仅是一个示例,不应对本公开的实施例的功能和使用范围带来任何限制。
如图6所示,电子设备600可以包括处理装置(例如中央处理器、图形处理器等)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储装置608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中,还存储有电子设备600操作所需的各种程序和数据。处理装置601、ROM 602以及RAM603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
通常,以下装置可以连接至I/O接口605:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置606;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置607;包括例如磁带、硬盘等的存储装置608;以及通信装置609。通信装置609可以允许电子设备600与其他设备进行无线或有线通信以交换数据。虽然图6示出了具有各种装置的电子设备600,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。图6中示出的每个方框可以代表一个装置,也可以根据需要代表多个装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置609从网络上被下载和安装,或者从存储装置608被安装,或者从ROM 602被安装。在该计算机程序被处理装置601执行时,执行本公开的实施例的方法中限定的上述功能。需要说明的是,本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请的操作的计算机程序代码,所述程序设计语言包括面向目标的程序设计语言—诸如Python、Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本申请各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:将目标用户在目标时间段内的行为数据集合输入预先训练的检测模型,生成模型检测结果,其中,检测模型用于确定输入的行为数据集合对应的用户是否为异常用户,模型检测结果为检测模型生成的检测结果;基于行为数据集合中的行为数据是否符合预先确定的异常用户判定条件集合中的异常用户判定条件,生成条件检测结果,其中,条件检测结果为基于异常用户判定条件集合中的异常用户判定条件生成的检测结果;基于模型检测结果和条件检测结果,生成目标检测结果,其中,目标检测结果用于指示目标用户是否为异常用户。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (15)
1.一种用于检测异常用户的方法,包括:
将目标用户在目标时间段内的行为数据集合输入预先训练的检测模型,生成模型检测结果,其中,所述检测模型用于确定输入的行为数据集合对应的用户是否为异常用户;
基于所述行为数据集合中的行为数据是否符合预先确定的异常用户判定条件集合中的异常用户判定条件,生成条件检测结果;
基于所述模型检测结果和所述条件检测结果,生成目标检测结果,其中,所述目标检测结果用于指示所述目标用户是否为异常用户。
2.根据权利要求1所述的方法,其中,所述检测模型通过如下步骤训练得到:
获取预先确定的训练样本集,其中,所述训练样本集中的每个训练样本与一个用户相对应,所述训练样本集中的训练样本包括与该训练样本相对应的用户的行为数据集合;
针对预先确定的异常检测算法集合中的每个异常检测算法,采用该异常检测算法对所述训练样本集进行异常检测,得到与该异常检测算法相对应的候选模型,其中,候选模型表征训练样本包括的行为数据集合是否对应异常用户;
将所得到的各个候选模型中符合预设选取条件的候选模型,作为检测模型。
3.根据权利要求2所述的方法,其中,所述采用该异常检测算法对所述训练样本集进行异常检测,得到与该异常检测算法相对应的候选模型,包括:
从预先确定的该异常检测算法的参数集合中,选取至少两组参数组合;
将所述至少两组参数组合中的每个参数的参数值设置为预先针对该参数设置的参数值;
针对所述至少两组参数组合中的每组参数组合,基于该异常检测算法和为该组参数组合中的各个参数设置的参数值,对所述训练样本集进行异常检测,得到与该异常检测算法和该组参数组合相对应的候选模型。
4.根据权利要求2或3所述的方法,其中,所述将所得到的各个候选模型中符合预设选取条件的候选模型,作为检测模型,包括:
基于准确率、轮廓系数、调整兰德系数、Calinski-Harabasz指数、Fowlkes-Mallows分数中的奇数项评价指标,将从所得到的各个候选模型中采用投票机制确定出的候选模型作为检测模型。
5.根据权利要求2-4之一所述的方法,其中,所述异常检测算法集合中的异常检测算法为以下任一项:
统计学算法、聚类算法、孤立森林算法、局部异常因子算法。
6.根据权利要求1-5之一所述的方法,其中,所述方法还包括:
响应于所述模型检测结果和所述条件检测结果指示的检测结果不一致,执行以下至少一项:
确定是否更新所述异常用户判定条件集合;
确定是否继续训练所述检测模型。
7.根据权利要求6所述的方法,其中,在响应于所述模型检测结果和所述条件检测结果指示的检测结果不一致,确定是否继续训练所述检测模型的情况下,所述确定是否继续训练所述检测模型,包括:
响应于接收到用于指示继续训练的信息,基于所述行为数据集合,继续训练所述检测模型。
8.根据权利要求6或7所述的方法,其中,在响应于所述模型检测结果和所述条件检测结果指示的检测结果不一致,确定是否更新所述异常用户判定条件集合的情况下,所述确定是否更新所述异常用户判定条件集合,包括:
响应于接收到用于指示更新所述异常用户判定条件集合的信息,基于所述行为数据集合,更新所述异常用户判定条件集合。
9.根据权利要求1-8之一所述的方法,其中,所述模型检测结果和所述条件检测结果分别采用数值表征;以及
所述基于所述模型检测结果和所述条件检测结果,生成目标检测结果,包括:
基于所述模型检测结果和所述条件检测结果的加权求和的结果,确定所述目标用户是否为异常用户,以及生成目标检测结果,其中,所述模型检测结果的权重和所述条件检测结果的权重与基于所述检测模型的准确率和基于所述异常用户判定条件集合生成的用于指示用户是否为异常用户的检测结果的准确率成正相关。
10.根据权利要求1-9之一所述的方法,其中,所述行为数据集合通过如下步骤得到:
获取目标用户在目标时间段内的用户数据集合,其中,所述用户信息集合包括以下至少一项:用户账号、交易时间、交易金额,交易时长、交易笔数、交易频次、交易特征、交易趋势、交易周期、交易类型;
对所述用户数据集合进行数据清洗,得到清洗后数据集合;
对所述清洗后数据集合进行数据特征衍生,得到衍生后数据集合;
采用主成分分析方法,对所述衍生后数据集合进行降维,以及将降维后得到的数据的集合作为行为数据集合。
11.根据权利要求1-10之一所述的方法,其中,所述方法还包括:
响应于所述目标检测结果指示所述目标用户是异常用户,执行预先确定的异常用户管控操作。
12.根据权利要求11所述的方法,其中,所述异常用户管控操作包括以下至少一项:
对所述目标用户的权限进行限制;
向所述目标用户发送用于指示操作异常的提示信息;
将所述目标用户与预设标签相关联。
13.根据权利要求1-12之一所述的方法,其中,所述目标用户为消费者用户。
14.一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-13中任一所述的方法。
15.一种计算机可读介质,其上存储有计算机程序,其中,所述程序被处理器执行时实现如权利要求1-13中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911200519.3A CN110929799B (zh) | 2019-11-29 | 2019-11-29 | 用于检测异常用户的方法、电子设备和计算机可读介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911200519.3A CN110929799B (zh) | 2019-11-29 | 2019-11-29 | 用于检测异常用户的方法、电子设备和计算机可读介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110929799A true CN110929799A (zh) | 2020-03-27 |
CN110929799B CN110929799B (zh) | 2023-05-12 |
Family
ID=69847840
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911200519.3A Active CN110929799B (zh) | 2019-11-29 | 2019-11-29 | 用于检测异常用户的方法、电子设备和计算机可读介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110929799B (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111612037A (zh) * | 2020-04-24 | 2020-09-01 | 平安直通咨询有限公司上海分公司 | 异常用户检测方法、装置、介质及电子设备 |
CN112052185A (zh) * | 2020-09-29 | 2020-12-08 | 北京百度网讯科技有限公司 | 小程序的异常处理方法、装置、电子设备和存储介质 |
CN112199640A (zh) * | 2020-09-30 | 2021-01-08 | 广州市百果园网络科技有限公司 | 异常用户审核方法、装置、电子设备和存储介质 |
CN112445679A (zh) * | 2020-11-13 | 2021-03-05 | 上海优扬新媒信息技术有限公司 | 一种信息检测方法、装置、服务器及存储介质 |
CN113191824A (zh) * | 2021-05-24 | 2021-07-30 | 北京大米科技有限公司 | 数据处理方法、装置、电子设备和可读存储介质 |
CN113722707A (zh) * | 2021-11-02 | 2021-11-30 | 西安热工研究院有限公司 | 基于距离度量的数据库异常访问检测方法、***及设备 |
CN117057941A (zh) * | 2023-09-14 | 2023-11-14 | 上海甄汇信息科技有限公司 | 基于多维度数据分析的异常消费检测方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090099988A1 (en) * | 2007-10-12 | 2009-04-16 | Microsoft Corporation | Active learning using a discriminative classifier and a generative model to detect and/or prevent malicious behavior |
CN107801090A (zh) * | 2017-11-03 | 2018-03-13 | 北京奇虎科技有限公司 | 利用音频信息检测异常视频文件的方法、装置及计算设备 |
JP2018051721A (ja) * | 2016-09-30 | 2018-04-05 | キヤノン株式会社 | 異常検出装置、異常検出方法及びプログラム |
CN108509979A (zh) * | 2018-02-28 | 2018-09-07 | 努比亚技术有限公司 | 一种异常检测方法、服务器及计算机可读存储介质 |
CN109388548A (zh) * | 2018-09-29 | 2019-02-26 | 北京京东金融科技控股有限公司 | 用于生成信息的方法和装置 |
CN109886290A (zh) * | 2019-01-08 | 2019-06-14 | 平安科技(深圳)有限公司 | 用户请求的检测方法、装置、计算机设备及存储介质 |
CN109919684A (zh) * | 2019-03-18 | 2019-06-21 | 上海盛付通电子支付服务有限公司 | 用于生成信息预测模型的方法、电子设备和计算机可读存储介质 |
CN109936561A (zh) * | 2019-01-08 | 2019-06-25 | 平安科技(深圳)有限公司 | 用户请求的检测方法、装置、计算机设备及存储介质 |
WO2019128552A1 (zh) * | 2017-12-29 | 2019-07-04 | Oppo广东移动通信有限公司 | 信息推送方法、装置、终端及存储介质 |
-
2019
- 2019-11-29 CN CN201911200519.3A patent/CN110929799B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090099988A1 (en) * | 2007-10-12 | 2009-04-16 | Microsoft Corporation | Active learning using a discriminative classifier and a generative model to detect and/or prevent malicious behavior |
JP2018051721A (ja) * | 2016-09-30 | 2018-04-05 | キヤノン株式会社 | 異常検出装置、異常検出方法及びプログラム |
CN107801090A (zh) * | 2017-11-03 | 2018-03-13 | 北京奇虎科技有限公司 | 利用音频信息检测异常视频文件的方法、装置及计算设备 |
WO2019128552A1 (zh) * | 2017-12-29 | 2019-07-04 | Oppo广东移动通信有限公司 | 信息推送方法、装置、终端及存储介质 |
CN108509979A (zh) * | 2018-02-28 | 2018-09-07 | 努比亚技术有限公司 | 一种异常检测方法、服务器及计算机可读存储介质 |
CN109388548A (zh) * | 2018-09-29 | 2019-02-26 | 北京京东金融科技控股有限公司 | 用于生成信息的方法和装置 |
CN109886290A (zh) * | 2019-01-08 | 2019-06-14 | 平安科技(深圳)有限公司 | 用户请求的检测方法、装置、计算机设备及存储介质 |
CN109936561A (zh) * | 2019-01-08 | 2019-06-25 | 平安科技(深圳)有限公司 | 用户请求的检测方法、装置、计算机设备及存储介质 |
CN109919684A (zh) * | 2019-03-18 | 2019-06-21 | 上海盛付通电子支付服务有限公司 | 用于生成信息预测模型的方法、电子设备和计算机可读存储介质 |
Non-Patent Citations (2)
Title |
---|
于冰洁;夏战国;王久龙;: "基于高斯过程模型的异常检测算法" * |
朱佳俊;陈功;施勇;薛质;: "基于用户画像的异常行为检测" * |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111612037A (zh) * | 2020-04-24 | 2020-09-01 | 平安直通咨询有限公司上海分公司 | 异常用户检测方法、装置、介质及电子设备 |
CN112052185B (zh) * | 2020-09-29 | 2023-11-10 | 北京百度网讯科技有限公司 | 小程序的异常处理方法、装置、电子设备和存储介质 |
CN112052185A (zh) * | 2020-09-29 | 2020-12-08 | 北京百度网讯科技有限公司 | 小程序的异常处理方法、装置、电子设备和存储介质 |
CN112199640A (zh) * | 2020-09-30 | 2021-01-08 | 广州市百果园网络科技有限公司 | 异常用户审核方法、装置、电子设备和存储介质 |
EP4198775A4 (en) * | 2020-09-30 | 2024-03-13 | Bigo Technology Pte. Ltd. | ABNORMAL USER AUDIT METHOD AND APPARATUS, ELECTRONIC DEVICE AND STORAGE MEDIUM |
CN112199640B (zh) * | 2020-09-30 | 2024-03-12 | 广州市百果园网络科技有限公司 | 异常用户审核方法、装置、电子设备和存储介质 |
WO2022068493A1 (zh) * | 2020-09-30 | 2022-04-07 | 百果园技术(新加坡)有限公司 | 异常用户审核方法、装置、电子设备和存储介质 |
CN112445679A (zh) * | 2020-11-13 | 2021-03-05 | 上海优扬新媒信息技术有限公司 | 一种信息检测方法、装置、服务器及存储介质 |
CN112445679B (zh) * | 2020-11-13 | 2023-01-06 | 度小满科技(北京)有限公司 | 一种信息检测方法、装置、服务器及存储介质 |
CN113191824A (zh) * | 2021-05-24 | 2021-07-30 | 北京大米科技有限公司 | 数据处理方法、装置、电子设备和可读存储介质 |
CN113722707A (zh) * | 2021-11-02 | 2021-11-30 | 西安热工研究院有限公司 | 基于距离度量的数据库异常访问检测方法、***及设备 |
CN117057941A (zh) * | 2023-09-14 | 2023-11-14 | 上海甄汇信息科技有限公司 | 基于多维度数据分析的异常消费检测方法 |
CN117057941B (zh) * | 2023-09-14 | 2024-03-26 | 上海甄汇信息科技有限公司 | 基于多维度数据分析的异常消费检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110929799B (zh) | 2023-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110929799B (zh) | 用于检测异常用户的方法、电子设备和计算机可读介质 | |
CN108108743B (zh) | 异常用户识别方法和用于识别异常用户的装置 | |
CN108197652B (zh) | 用于生成信息的方法和装置 | |
CN110442712B (zh) | 风险的确定方法、装置、服务器和文本审理*** | |
CN110543946B (zh) | 用于训练模型的方法和装置 | |
CN111368980B (zh) | 状态检测方法、装置、设备及存储介质 | |
CN106611291A (zh) | 信息推送方法和装置 | |
US20200143000A1 (en) | Customized display of emotionally filtered social media content | |
CN110659657B (zh) | 训练模型的方法和装置 | |
CN111553488A (zh) | 一种针对用户行为的风险识别模型训练方法及*** | |
US10078851B2 (en) | Systems and methods for leveraging social queuing to identify and prevent ticket purchaser simulation | |
CN113743971A (zh) | 一种数据处理方法和装置 | |
CN112149699A (zh) | 用于生成模型的方法、装置和用于识别图像的方法、装置 | |
CN112685799A (zh) | 设备指纹生成方法、装置、电子设备和计算机可读介质 | |
CN110245684B (zh) | 数据处理方法、电子设备和介质 | |
CN110008926B (zh) | 用于识别年龄的方法和装置 | |
CN112950359A (zh) | 一种用户识别方法和装置 | |
CN112116397A (zh) | 用户行为特征实时处理方法、装置、存储介质及电子设备 | |
CN111309706A (zh) | 模型训练方法、装置、可读存储介质及电子设备 | |
CN111598597A (zh) | 用于发送信息的方法和装置 | |
CN115953234A (zh) | 风险评估方法、装置、电子设备及存储介质 | |
CN114925275A (zh) | 产品推荐方法、装置、计算机设备及存储介质 | |
CN115187364A (zh) | 银行分布式场景下保证金风险监控的方法及装置 | |
CN110348190B (zh) | 基于用户操作行为的用户设备归属判断方法及装置 | |
CN111784377B (zh) | 用于生成信息的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |