CN113935832A - 一种异常行为检测处理方法及装置 - Google Patents
一种异常行为检测处理方法及装置 Download PDFInfo
- Publication number
- CN113935832A CN113935832A CN202111155814.9A CN202111155814A CN113935832A CN 113935832 A CN113935832 A CN 113935832A CN 202111155814 A CN202111155814 A CN 202111155814A CN 113935832 A CN113935832 A CN 113935832A
- Authority
- CN
- China
- Prior art keywords
- transaction
- account
- abnormal
- suspicious
- virtual resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 100
- 238000001514 detection method Methods 0.000 title claims abstract description 53
- 238000003672 processing method Methods 0.000 title claims abstract description 13
- 230000002159 abnormal effect Effects 0.000 claims abstract description 62
- 238000011156 evaluation Methods 0.000 claims abstract description 55
- 238000000034 method Methods 0.000 claims abstract description 37
- 238000012546 transfer Methods 0.000 claims description 69
- 238000004422 calculation algorithm Methods 0.000 claims description 46
- 238000004590 computer program Methods 0.000 claims description 18
- 230000008569 process Effects 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 9
- 230000006870 function Effects 0.000 claims description 8
- 230000006399 behavior Effects 0.000 abstract description 7
- 238000005516 engineering process Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 7
- 238000005457 optimization Methods 0.000 description 4
- 238000012549 training Methods 0.000 description 3
- 230000002547 anomalous effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q40/00—Finance; Insurance; Tax strategies; Processing of corporate or income taxes
- G06Q40/04—Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Finance (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Accounting & Taxation (AREA)
- Evolutionary Biology (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Technology Law (AREA)
- General Business, Economics & Management (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明提供了一种异常行为检测处理方法及装置,其中,该方法包括:获取多个可疑账户的数据,得到多个数据;根据该多个数据创建一个或多个交易关联子图;对该一个或多个交易关联子图参与异常事件程度进行评估,得到评估结果;根据该评估结果对该一个或多个交易关联子图的异常行为进行检测,可以解决相关技术中针对可疑的异常行为账户个体进行特征检测和聚类,导致检测精度低的问题,可以有效的从多个步骤检测账户是否有异常行为,实现对异常行为的全流程检测,在面对一些针对异常行为账户个体的伪装行为时,可以较为有效的识别出异常行为,提高了异常行为检测的精度。
Description
技术领域
本发明涉及数据处理领域,具体而言,涉及一种异常行为检测处理方法及装置。
背景技术
大多数现有的异常行为检测算法忽略了异常行为的整体链条过程,也忽略了交易之间复杂的依赖关系,仅仅针对可疑的异常行为账户个体进行特征检测和聚类,导致检测精度低,同时容易被对手规避。进一步的,基于密集子图或子张量的异常行为检测算法也已被用于欺诈检测,但这种算法也仅考虑单步传输。此外,在处理异常行为链条的整体链交易时,这种算法需要大量的手动标记过的数据集来进行训练,然而这样的数据很少,导致训练效果不佳、模型容易过拟合,在不同的数据集中应用时泛用性也不足。
针对相关技术中针对可疑的异常行为账户个体进行特征检测和聚类,导致检测精度低的问题,大多数现有的异常行为检测算法尚未提出行之有效的解决方案。
发明内容
本发明实施例提供了一种异常行为检测处理方法及装置,以至少解决相关技术中针对可疑的异常行为账户个体进行特征检测和聚类,导致检测精度低的问题。
根据本发明的一个实施例,提供了一种异常行为检测处理方法,包括:
获取多个可疑账户的数据,得到多个数据;
根据所述多个数据创建一个或多个交易关联子图;
对所述一个或多个交易关联子图参与异常事件程度进行评估,得到评估结果;
根据所述评估结果对所述一个或多个交易关联子图的异常行为进行检测。
可选地,对所述一个或多个交易关联子图参与异常事件程度进行评估,得到评估结果包括:
确定所述一个或多个交易关联子图参与异常事件程度的ML metric值;
根据所述ML metric值对所述多个可疑账户参与异常事件程度进行评估,得到所述评估结果。
可选地,确定所述一个或多个交易关联子图参与异常事件程度的ML metric值包括:
将所述一个或多个交易关联子图输入预先训练好的异常事件模型中,得到所述异常事件模型输出的所述一个或多个交易关联子图参与异常事件程度的ML metric值,其中,所述评估结果为所述ML metric值。
可选地,根据所述ML metric值对所述多个可疑账户参与异常事件程度进行评估,得到所述评估结果包括:
通过所述异常事件模型运行图流量FlowScope算法;
通过循环运行贪心算法确定多个最大ML Metric值,并将所述多个最大ML Metric值组成目标子集;
确定所述多个可疑账户中所述目标子集对应的目标可疑账户的评估结果为参与异常事件程度的第一等级;
确定所述多个可疑账户中除所述目标可疑账户之外的其他可疑账户的评估结果为异常事件程度的第二等级,其中,所述第二等级参与异常事件的程度低于所述第一等级参与异常事件的程度。
可选地,通过循环运行贪心算法确定多个最大ML Metric值,并将所述多个最大MLMetric值组成目标子集包括:
为所述多个可疑账户中的每个账户节点建立优先级树,为每个账户节点分配权值;
在每次循环运行所述贪心算法中,在所述优先级树中去除最小权值对应的账户节点,更新所有连接的账户节点的权值,直到得到所述多个最大ML Metric值组成的所述目标子集。
可选地,在确定所述一个或多个交易关联子图参与异常事件程度的ML metric值之前,上述方法还包括:
对所述多个可疑账户中的每个可疑账户,执行以下步骤,得到所述多个可疑账户的所述评估结果,其中,正在执行的可疑账户称为当前可疑账户:
为当前可疑账户创建虚拟资源转移图G=(V,E),其中,节点V为所述当前可疑账户对应的账户,边E为虚拟资源转移量;
从所述虚拟资源转移图中确定满足预设条件的所述一个或多个交易关联子图,其中,所述预设条件包括:交易流水在转入中间账户和转出中间账户的过程中数量大于预设阈值,虚拟资源流转量在交易关联子图中最大。
可选地,确定所述一个或多个交易关联子图参与异常事件程度的ML metric值包括:
通过以下方式确定所述一个或多个交易关联子图的虚拟资源转出量与虚拟资源转入量:
通过以下公式根据所述虚拟资源转出量与所述虚拟资源转入量确定所述一个或多个交易关联子图中虚拟资源流转量的最小值与最大值:
通过以下方式根据所述虚拟资源流转量的最小值与最大值确定所述一个或多个交易关联子图的所述ML metric值:
其中,eij为节点v的转账总额vi到vj,eij为节点v的转账总额vi到vj,λ≥3,gk(S)为所述ML metric值,fi(S)为子集S下虚拟资源流转的最小值,qi(S)为子集S下虚拟资源流转的最大值。
根据本发明的另一个实施例,还提供了一种异常行为检测处理装置,包括:
获取模块,用于获取多个可疑账户的数据,得到多个数据;
创建模块,用于根据所述多个数据创建一个或多个交易关联子图;
评估模块,用于对所述一个或多个交易关联子图参与异常事件程度进行评估,得到评估结果;
检测模块,用于根据所述评估结果对所述一个或多个交易关联子图的异常行为进行检测。
可选地,所述评估模块包括:
确定子模块,用于确定所述一个或多个交易关联子图参与异常事件程度的MLmetric值;
评估子模块,用于根据所述ML metric值对所述多个可疑账户参与异常事件程度进行评估,得到所述评估结果。
可选地,所述确定子模块,还用于:
将所述一个或多个交易关联子图输入预先训练好的异常事件模型中,得到所述异常事件模型输出的所述一个或多个交易关联子图参与异常事件程度的ML metric值,其中,所述评估结果为所述ML metric值。
可选地,所述评估子模块包括:
运行单元,用于通过所述异常事件模型运行FlowScope算法;
第一确定单元,用于通过循环运行贪心算法确定多个最大ML Metric值,并将所述多个最大ML Metric值组成目标子集;
第二确定单元,用于确定所述多个可疑账户中所述目标子集对应的目标可疑账户的评估结果为参与异常事件程度的第一等级;
第三确定单元,用于确定所述多个可疑账户中除所述目标可疑账户之外的其他可疑账户的评估结果为异常事件程度的第二等级,其中,所述第二等级参与异常事件的程度低于所述第一等级参与异常事件的程度。
可选地,所述第一确定单元,还用于:
为所述多个可疑账户中的每个账户节点建立优先级树,为每个账户节点分配权值;
在每次循环运行所述贪心算法中,在所述优先级树中去除最小权值对应的账户节点,更新所有连接的账户节点的权值,直到得到所述多个最大ML Metric值组成的所述目标子集。
可选地,上述装置还包括:
执行模块,用于对所述多个可疑账户中的每个可疑账户,执行以下步骤,得到所述多个可疑账户的所述评估结果,其中,正在执行的可疑账户称为当前可疑账户:
为当前可疑账户创建虚拟资源转移图G=(V,E),其中,节点V为所述当前可疑账户对应的账户,边E为虚拟资源转移量;
从所述虚拟资源转移图中确定满足预设条件的所述一个或多个交易关联子图,其中,所述预设条件包括:交易流水在转入中间账户和转出中间账户的过程中数量大于预设阈值,虚拟资源流转量在交易关联子图中最大。
可选地,所述确定子模块,还用于:
通过以下方式确定所述一个或多个交易关联子图的虚拟资源转出量与虚拟资源转入量:
通过以下公式根据所述虚拟资源转出量与所述虚拟资源转入量确定所述一个或多个交易关联子图中虚拟资源流转量的最小值与最大值:
通过以下方式根据所述虚拟资源流转量的最小值与最大值确定所述一个或多个交易关联子图的所述ML metric值:
其中,eij为节点v的转账总额vi到vj,eij为节点v的转账总额vi到vj,λ≥3,gk(S)为所述ML metric值,fi(S)为子集S下虚拟资源流转的最小值,qi(S)为子集S下虚拟资源流转的最大值。
根据本发明的又一个实施例,还提供了一种计算机可读的存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,获取多个可疑账户的数据,得到多个数据;根据所述多个数据创建一个或多个交易关联子图;对所述一个或多个交易关联子图参与异常事件程度进行评估,得到评估结果;根据所述评估结果对所述一个或多个交易关联子图的异常行为进行检测,可以解决相关技术中针对可疑的异常行为账户个体进行特征检测和聚类,导致检测精度低的问题,可以有效的从多个步骤检测账户是否有异常行为,实现对异常行为的全流程检测,在面对一些针对异常行为账户个体的伪装行为时,可以较为有效的识别出异常行为,提高了异常行为检测的精度。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的异常行为检测处理方法的移动终端的硬件结构框图;
图2是根据本发明实施例的异常行为检测处理方法的流程图;
图3是根据本发明实施例的基于图流量的异常行为检测的流程图;
图4是根据本发明实施例的账户节点之间关联子图的示意图;
图5是根据本发明实施例的FlowScope算法的伪代码的示意图;
图6是根据本发明实施例的异常行为检测处理装置的框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
实施例1
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例,图1是本发明实施例的异常行为检测处理方法的移动终端的硬件结构框图,如图1所示,移动终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述移动终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述移动终端的结构造成限定。例如,移动终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的异常行为检测处理方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至移动终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种运行于上述移动终端或网络架构的异常行为检测处理方法,图2是根据本发明实施例的异常行为检测处理方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,获取多个可疑账户的数据,得到多个数据;
步骤S204,根据所述多个数据创建一个或多个交易关联子图;
步骤S206,对所述一个或多个交易关联子图参与异常事件程度进行评估,得到评估结果;
步骤S208,根据所述评估结果对所述一个或多个交易关联子图的异常行为进行检测。
通过上述步骤S202至S208,可以解决相关技术中针对可疑的异常行为账户个体进行特征检测和聚类,导致检测精度低的问题,可以有效的从多个步骤检测账户是否有异常行为,实现对异常行为的全流程检测,在面对一些针对异常行为账户个体的伪装行为时,可以较为有效的识别出异常行为,提高了异常行为检测的精度。
本发明实施例中,上述步骤S206具体可以包括:
S11,确定所述一个或多个交易关联子图参与异常事件程度的ML metric值;
S12,根据所述ML metric值对所述多个可疑账户参与异常事件程度进行评估,得到所述评估结果。
在一实施例中,上述S11具体可以包括:将所述一个或多个交易关联子图输入预先训练好的异常事件模型中,得到所述异常事件模型输出的所述一个或多个交易关联子图参与异常事件程度的ML metric值,其中,所述评估结果为所述ML metric值。
在一实施例中,上述S12具体可以包括:通过所述异常事件模型运行FlowScope算法;通过循环运行贪心算法确定多个最大ML Metric值,并将所述多个最大ML Metric值组成目标子集,进一步的,为所述多个可疑账户中的每个账户节点建立优先级树,为每个账户节点分配权值;在每次循环运行所述贪心算法中,在所述优先级树中去除最小权值对应的账户节点,更新所有连接的账户节点的权值,直到得到所述多个最大ML Metric值组成的所述目标子集;确定所述多个可疑账户中所述目标子集对应的目标可疑账户的评估结果为参与异常事件程度的第一等级;确定所述多个可疑账户中除所述目标可疑账户之外的其他可疑账户的评估结果为异常事件程度的第二等级,其中,所述第二等级参与异常事件的程度低于所述第一等级参与异常事件的程度。
在一可选的实施例中,在上述S11之前,上述方法还包括:对所述多个可疑账户中的每个可疑账户,执行以下步骤,得到所述多个可疑账户的所述评估结果,其中,正在执行的可疑账户称为当前可疑账户:为当前可疑账户创建虚拟资源转移图G=(V,E),其中,节点V为所述当前可疑账户对应的账户,边E为虚拟资源转移量;从所述虚拟资源转移图中确定满足预设条件的所述一个或多个交易关联子图,其中,所述预设条件包括:交易流水在转入中间账户和转出中间账户的过程中数量大于预设阈值,虚拟资源流转量在交易关联子图中最大。
对应的,上述S11还可以通过以下方式确定所述一个或多个交易关联子图的虚拟资源转出量与虚拟资源转入量:
通过以下公式根据所述虚拟资源转出量与所述虚拟资源转入量确定所述一个或多个交易关联子图中虚拟资源流转量的最小值与最大值:
通过以下方式根据所述虚拟资源流转量的最小值与最大值确定所述一个或多个交易关联子图的所述ML metric值:
其中,eij为节点v的转账总额vi到vj,eij为节点v的转账总额vi到vj,λ≥3,gk(S)为所述ML metric值,fi(S)为子集S下虚拟资源流转的最小值,qi(S)为子集S下虚拟资源流转的最大值。
针对现有技术中异常行为检测***忽视异常行为过程的资产转移链导致信息特征被忽视、需要大量标注后样本导致模型健壮性不强以及容易被异常行为者攻克的问题,本发明实施例基于图流量的异常行为线索检测,可以提高异常行为策略的识别精度和异常行为策略识别的覆盖度,进行对异常行为交易的全链条识别,在转出账户、中间账户、转入账户多个维度阻断异常行为过程,降低异常行为检测的人力成本与时间成本,以及提升异常行为检测***被破解攻克的难度。
本发明实施例基于流量的检测异常行为的方法:可以检测到完整的异常行为交易链。定义账户参与异常行为程度的指标ML metric:通过这一指标首先对所有的账户、数据进行评分,计算该账户在转入资金、转出资金这一全过程中,可能参与异常行为现象的程度,构建评分特征,为后续算法的运行做准备;基于图流量FlowScope的算法模型:根据贪心算法找出图结构中参与异常行为评分最高的子图,即最可能参与异常行为的账户。算法不断优化运行,即可计算出所有账户参与异常行为的可能性。
图3是根据本发明实施例的基于图流量的异常行为检测的流程图,如图3所示,
步骤S301,获取银行真实可疑异常行为账户数据的数据集,其中数据样本均用于训练异常行为检测模型;
步骤S302,对于所有样本进行初步计算与处理,送入模型后,模型自动计算每个样本的ML metric值;
步骤S303,模型运行FlowScope算法,不断运行贪心算法,循环求出最大ML Metric值,并对账户的可能参与异常行为程度做出评分;
步骤S304,根据评分结果,进行后续异常行为监测与管控。
基于以上步骤,本发明实施例可以更准确、更全面、更健壮地完成识别异常行为账户的任务,从而进行下一步的检测与管控,完成异常行为检测任务。下面将结合图与表详细说明本发明完成异常行为检测任务的流程。
真实数据中的异常行为账户一些较为显著的特点,为了隐藏资金,异常行为者通过一层或多层的中间账户,从源账户向目的账户进行欺诈性转账。一般来说,异常行为过程涉及通过一个银行或一系列银行的高资金流,异常行为流程涉及到的账户具有以下特征:
(1)欺诈者创建了一个大量且密集的银行转账子图。这是因为异常行为者掌握的诈骗账户数量有限,需要在短时间内将大量资金转入和转出,导致转账子图密集。
(2)中间账户余额较小,仅起到了桥梁的作用。大部分收到的钱会转移出去,从而在加权的入度和出度之间产生平衡。这是因为存在中间账户的钱容易被银行等检测机构发现和冻结,尤其是在数额很大的情况下。因此,诈骗者在这些账户上留下的钱越少越好。
专注于单个异常行为账户识别的算法,例如基于资产转移特征识别异常行为账户的方法,可以很容易地被异常行为者避开,因为异常行为者会为每个异常行为账户伪造出相对正常、健康的资产转移记录,使得账户在个体维度上都保持了资产转移记录的真实性。因此,本发明实施例为了绕开异常行为者重点伪造的方面,选择将检测的重点放在资产转移的全链条流程上。这包含着大量汇入银行的转账、通过多个中间账户进行的内部转账和银行外转账的组合上,诈骗者不可能轻易隐藏这些转账,图4是根据本发明实施例的账户节点之间关联子图的示意图,如图4所示,图中是一个银行异常行为转账的例子,创建了一个密集的三方子图。左账户A是通过中间账户M向右目标账户C异常行为的来源。A和C都是银行的外部账户。边缘颜色和节点大小表示转账金额。
如图4所示,如此复杂的、多链条的异常行为全流程行为,难以被诈骗者轻易隐藏。
本发明实施例提出通过优化问题来发现上文提到的可疑账户,优化问题具体内容如下:
在一个资金流水图中G=(V,E),其中账户作为节点V,转移资金量作为边E。那么优化问题的目的即是找到一个G的子图,并满足以下条件:交易流水在转入这批中间账户和转出这批中间账户的过程中数量极大;由下面的定义的新标准,保证资金流动量在子图中最大。
因此,本发明实施例定义的衡量异常行为参与程度的指标ML metric(度量标准)则极为重要。一般情况下,设图G=(V,E)为资金转移图。定义V=X∪W∪Y,其中W是银行的内部账户,X和Y是外部账户的集合。X是向银行净转账的账户集合,Y是向银行净转账的账户集合。e∈E的边(i,j)表示从账户vi将钱转入vj的,vi,vj∈V,ei,j是转账总额的边缘。
接下来定义在子集S中资金流转的最小量fi(S),最大量qi(S)分别为:
然后,本发明实施例中定义的尺度ML metric为:
其中qi(S)-fi(S)的值被视作异常行为过程中的损耗,g(S)则被视作异常行为后账户所剩利润。本发明推导出这一定义,在实例中捕捉到了异常行为账户有大量的流水转入转出,并且异常行为账户剩余金额很少,符合业务上对于异常行为账户的定义,可以成功的定位到异常行为账户。
然后,本发明实施例定义了一个基于FlowScope图流量的方法,用以计算账户数据中ML metric值,并通过贪心算法找到最大化目标g(S)的子集S,即ML metric最大值,并继续运行,不断找到剩余数据中的ML metric最大值,即按异常行为参与程度由重到轻逐步计算出每一个参与异常行为的账户。
算法的具体运算流程是,首先为S中的节点建立一个优先级树,分配给节点vi的权值(即优先级)wi(S)被定义为:
构建好优先级树后,进行近似贪心优化:(1)子集S从整个节点集开始;(2)在每次迭代中,以最小的树权值去除了S中的节点v,从而最大化目标g(S);(3)然后更新所有连接节点的权值;(4)迭代重复步骤2、3,直到图4中节点集A,M,C中有一个集合为空(此时该集合中所有节点均被去除)。最后,返回得到子集S,该子集具有最大的值g(S)。此时留下的账户即为参与异常行为程度评分最高的账户。
考虑到现实案例中,诈骗者可能使用很多中间层,与此同时过多的转移步骤也会增加异常行为的风险和成本。因此,算法预设了上界k。为了检测多步异常行为,算法需尝试每一个可能的k,找到k的最大值,并返回最大满足以下条件的子集:
在检测另一个稠密子图时,算法会删除前一个进程,并重新运行FlowScope算法。
图5是根据本发明实施例的FlowScope算法的伪代码的示意图,如图5所示,少量账户之间的大量资金流动成为这个多部图的密集子图。诈骗者可以通过多层的中间账户进行转账,使得内部转账更容易被发现。
本发明实施例,起始点为送入关于银行真实账户数据信息的数据集,终点则为FlowScope算法运行结束,计算出所有账户关于参与异常行为程度的评分,并对参与异常行为账户直接标注。根据标准结果,即可进行下一步的监测与管控行为,实行对异常行为的全方位管控,达到异常行为检测的目的。
将连通图概念融入FlowScope算法,确保了最终生成的可疑账户间能形成完整的交易链条,进一步贴近异常行为检测实际业务场景。模型首先通过连通图算法以图中交易笔数最多的中间层行内客户为起始点向上下游延伸,获得连通子图,将得到的子图从原图中移除并开始新一轮迭代,直至找到模型中所有连通子图。之后再基于连通子图中各节点的转账金额计算各节点的度,进而计算各节点的权重,建立树模型快速剔除非可疑账户节点。同时使用贪心算法,快速进行邻近节点权重更新,记录剩余账户间的转账密度(目标函数值)并开始新一轮迭代,直至某一层账户被全部剔除。通过取每一轮迭代的目标函数值中的最大值,找到最终的异常行为团伙。
实际业务场景中,由交易生成的图往往不是全部连通的,而是由很多联通的子图构成,因此通过FlowScope算法产生的可疑群体也是不连通的,而一个异常行为团伙中的人员之间必定存在转账交易,所以由异常行为团伙人员构成的图必然是连通的。不论是从业务理解角度还是从监管报送的角度来看,最终获得的疑似异常行为团伙间的交易都应呈现连通图的形式。本算法在FlowScope算法的基础上增加了连通子图的分割,使生成的可以团伙结构更符合业务需求。
实施例2
根据本发明的另一个实施例,还提供了一种异常行为检测处理装置,图6是根据本发明实施例的异常行为检测处理装置的框图,如图6所示,包括:
获取模块62,用于获取多个可疑账户的数据,得到多个数据;
创建模块64,用于根据所述多个数据创建一个或多个交易关联子图;
评估模块66,用于对所述一个或多个交易关联子图参与异常事件程度进行评估,得到评估结果;
检测模块68,用于根据所述评估结果对所述一个或多个交易关联子图的异常行为进行检测。
可选地,所述评估模块66包括:
确定子模块,用于确定所述一个或多个交易关联子图参与异常事件程度的MLmetric值;
评估子模块,用于根据所述ML metric值对所述多个可疑账户参与异常事件程度进行评估,得到所述评估结果。
可选地,所述确定子模块,还用于:
将所述一个或多个交易关联子图输入预先训练好的异常事件模型中,得到所述异常事件模型输出的所述一个或多个交易关联子图参与异常事件程度的ML metric值,其中,所述评估结果为所述ML metric值。
可选地,所述评估子模块包括:
运行单元,用于通过所述异常事件模型运行FlowScope算法;
第一确定单元,用于通过循环运行贪心算法确定多个最大ML Metric值,并将所述多个最大ML Metric值组成目标子集;
第二确定单元,用于确定所述多个可疑账户中所述目标子集对应的目标可疑账户的评估结果为参与异常事件程度的第一等级;
第三确定单元,用于确定所述多个可疑账户中除所述目标可疑账户之外的其他可疑账户的评估结果为异常事件程度的第二等级,其中,所述第二等级参与异常事件的程度低于所述第一等级参与异常事件的程度。
可选地,所述第一确定单元,还用于:
为所述多个可疑账户中的每个账户节点建立优先级树,为每个账户节点分配权值;
在每次循环运行所述贪心算法中,在所述优先级树中去除最小权值对应的账户节点,更新所有连接的账户节点的权值,直到得到所述多个最大ML Metric值组成的所述目标子集。
可选地,上述装置还包括:
执行模块,用于对所述多个可疑账户中的每个可疑账户,执行以下步骤,得到所述多个可疑账户的所述评估结果,其中,正在执行的可疑账户称为当前可疑账户:
为当前可疑账户创建虚拟资源转移图G=(V,E),其中,节点V为所述当前可疑账户对应的账户,边E为虚拟资源转移量;
从所述虚拟资源转移图中确定满足预设条件的所述一个或多个交易关联子图,其中,所述预设条件包括:交易流水在转入中间账户和转出中间账户的过程中数量大于预设阈值,虚拟资源流转量在交易关联子图中最大。
可选地,所述确定子模块,还用于:
通过以下方式确定所述一个或多个交易关联子图的虚拟资源转出量与虚拟资源转入量:
通过以下公式根据所述虚拟资源转出量与所述虚拟资源转入量确定所述一个或多个交易关联子图中虚拟资源流转量的最小值与最大值:
通过以下方式根据所述虚拟资源流转量的最小值与最大值确定所述一个或多个交易关联子图的所述ML metric值:
其中,eij为节点v的转账总额vi到vj,eij为节点v的转账总额vi到vj,λ≥3,gk(S)为所述ML metric值,fi(S)为子集S下虚拟资源流转的最小值,qi(S)为子集S下虚拟资源流转的最大值。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例3
本发明的实施例还提供了一种计算机可读的存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,获取多个可疑账户的数据,得到多个数据;
S2,根据所述多个数据创建一个或多个交易关联子图;
S3,对所述一个或多个交易关联子图参与异常事件程度进行评估,得到评估结果;
S4,根据所述评估结果对所述一个或多个交易关联子图的异常行为进行检测。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
实施例4
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,获取多个可疑账户的数据,得到多个数据;
S2,根据所述多个数据创建一个或多个交易关联子图;
S3,对所述一个或多个交易关联子图参与异常事件程度进行评估,得到评估结果;
S4,根据所述评估结果对所述一个或多个交易关联子图的异常行为进行检测。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种异常行为检测处理方法,其特征在于,包括:
获取多个可疑账户的数据,得到多个数据;
根据所述多个数据创建一个或多个交易关联子图;
对所述一个或多个交易关联子图参与异常事件程度进行评估,得到评估结果;
根据所述评估结果对所述一个或多个交易关联子图的异常行为进行检测。
2.根据权利要求1所述的方法,其特征在于,对所述一个或多个交易关联子图参与异常事件程度进行评估,得到所述评估结果包括:
确定所述一个或多个交易关联子图参与异常事件程度的ML metric值;
根据所述ML metric值对所述多个可疑账户参与异常事件程度进行评估,得到所述评估结果。
3.根据权利要求2所述的方法,其特征在于,确定所述一个或多个交易关联子图参与异常事件程度的ML metric值包括:
将所述一个或多个交易关联子图输入预先训练好的异常事件模型中,得到所述异常事件模型输出的所述一个或多个交易关联子图参与异常事件程度的ML metric值,其中,所述评估结果为所述ML metric值。
4.根据权利要求3所述的方法,其特征在于,根据所述ML metric值对所述多个可疑账户参与异常事件程度进行评估,得到所述评估结果包括:
通过所述异常事件模型运行FlowScope算法;
通过循环运行贪心算法确定多个最大ML Metric值,并将所述多个最大ML Metric值组成目标子集;
确定所述多个可疑账户中所述目标子集对应的目标可疑账户的评估结果为参与异常事件程度的第一等级;
确定所述多个可疑账户中除所述目标可疑账户之外的其他可疑账户的评估结果为异常事件程度的第二等级,其中,所述第二等级参与异常事件的程度低于所述第一等级参与异常事件的程度。
5.根据权利要求4所述的方法,其特征在于,通过循环运行贪心算法确定多个最大MLMetric值,并将所述多个最大ML Metric值组成目标子集包括:
为所述多个可疑账户中的每个账户节点建立优先级树,为每个账户节点分配权值;
在每次循环运行所述贪心算法中,在所述优先级树中去除最小权值对应的账户节点,更新所有连接的账户节点的权值,直到得到所述多个最大ML Metric值组成的所述目标子集。
6.根据权利要求2所述的方法,其特征在于,在确定所述一个或多个交易关联子图参与异常事件程度的ML metric值之前,所述方法还包括:
对所述多个可疑账户中的每个可疑账户,执行以下步骤,得到所述多个可疑账户的所述评估结果,其中,正在执行的可疑账户称为当前可疑账户:
为当前可疑账户创建虚拟资源转移图G=(V,E),其中,节点V为所述当前可疑账户对应的账户,边E为虚拟资源转移量;
从所述虚拟资源转移图中确定满足预设条件的所述一个或多个交易关联子图,其中,所述预设条件包括:交易流水在转入中间账户和转出中间账户的过程中数量大于预设阈值,虚拟资源流转量在交易关联子图中最大。
7.根据权利要求6所述的方法,其特征在于,确定所述一个或多个交易关联子图参与异常事件程度的ML metric值包括:
通过以下方式确定所述一个或多个交易关联子图的虚拟资源转出量与虚拟资源转入量:
通过以下公式根据所述虚拟资源转出量与所述虚拟资源转入量确定所述一个或多个交易关联子图中虚拟资源流转量的最小值与最大值:
通过以下方式根据所述虚拟资源流转量的最小值与最大值确定所述一个或多个交易关联子图的所述ML metric值:
其中,eij为节点v的转账总额vi到vj,eij为节点v的转账总额vi到vj,λ≥3,gk(S)为所述ML metric值,fi(S)为子集S下虚拟资源流转的最小值,qi(S)为子集S下虚拟资源流转的最大值。
8.一种异常行为检测处理装置,其特征在于,包括:
获取模块,用于获取多个可疑账户的数据,得到多个数据;
创建模块,用于根据所述多个数据创建一个或多个交易关联子图;
评估模块,用于对所述一个或多个交易关联子图参与异常事件程度进行评估,得到评估结果;
检测模块,用于根据所述评估结果对所述一个或多个交易关联子图的异常行为进行检测。
9.一种计算机可读的存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至7任一项中所述的方法。
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述权利要求1至7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111155814.9A CN113935832A (zh) | 2021-09-29 | 2021-09-29 | 一种异常行为检测处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111155814.9A CN113935832A (zh) | 2021-09-29 | 2021-09-29 | 一种异常行为检测处理方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113935832A true CN113935832A (zh) | 2022-01-14 |
Family
ID=79277344
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111155814.9A Pending CN113935832A (zh) | 2021-09-29 | 2021-09-29 | 一种异常行为检测处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113935832A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116227940A (zh) * | 2023-05-04 | 2023-06-06 | 深圳市迪博企业风险管理技术有限公司 | 一种基于资金流向图的企业资金流异常检测方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190311367A1 (en) * | 2015-06-20 | 2019-10-10 | Quantiply Corporation | System and method for using a data genome to identify suspicious financial transactions |
CN110490730A (zh) * | 2019-08-21 | 2019-11-22 | 北京顶象技术有限公司 | 异常资金聚集行为检测方法、装置、设备及存储介质 |
CN111291229A (zh) * | 2020-01-21 | 2020-06-16 | 中国科学院计算技术研究所 | 一种稠密多部子图的检测方法及*** |
CN111831923A (zh) * | 2020-07-14 | 2020-10-27 | 北京芯盾时代科技有限公司 | 识别关联的特定账户的方法、装置及存储介质 |
US20210081964A1 (en) * | 2019-07-01 | 2021-03-18 | Xi'an Jiaotong University | Method for detecting suspicious groups in collaborative stock transactions based on bipartite graph |
-
2021
- 2021-09-29 CN CN202111155814.9A patent/CN113935832A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190311367A1 (en) * | 2015-06-20 | 2019-10-10 | Quantiply Corporation | System and method for using a data genome to identify suspicious financial transactions |
US20210081964A1 (en) * | 2019-07-01 | 2021-03-18 | Xi'an Jiaotong University | Method for detecting suspicious groups in collaborative stock transactions based on bipartite graph |
CN110490730A (zh) * | 2019-08-21 | 2019-11-22 | 北京顶象技术有限公司 | 异常资金聚集行为检测方法、装置、设备及存储介质 |
CN111291229A (zh) * | 2020-01-21 | 2020-06-16 | 中国科学院计算技术研究所 | 一种稠密多部子图的检测方法及*** |
CN111831923A (zh) * | 2020-07-14 | 2020-10-27 | 北京芯盾时代科技有限公司 | 识别关联的特定账户的方法、装置及存储介质 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116227940A (zh) * | 2023-05-04 | 2023-06-06 | 深圳市迪博企业风险管理技术有限公司 | 一种基于资金流向图的企业资金流异常检测方法 |
CN116227940B (zh) * | 2023-05-04 | 2023-07-25 | 深圳市迪博企业风险管理技术有限公司 | 一种基于资金流向图的企业资金流异常检测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112926990B (zh) | 欺诈识别的方法和装置 | |
CN110188198B (zh) | 一种基于知识图谱的反欺诈方法及装置 | |
WO2021174966A1 (zh) | 训练风险识别模型的方法及装置 | |
CN110309840A (zh) | 风险交易识别方法、装置、服务器及存储介质 | |
CN109102393B (zh) | 训练和使用关系网络嵌入模型的方法及装置 | |
CN103198161B (zh) | 微博水军识别方法与设备 | |
CN111476662A (zh) | 反洗钱识别方法及装置 | |
CN109784934A (zh) | 一种交易风险控制方法、装置以及相关设备和介质 | |
CN106156092B (zh) | 数据处理方法及装置 | |
CN106506454A (zh) | 欺诈业务识别方法及装置 | |
CN111062486B (zh) | 一种评价数据的特征分布和置信度的方法及装置 | |
CN112750030B (zh) | 风险模式识别方法、装置、设备及计算机可读存储介质 | |
CN108512775A (zh) | 一种排序交易队列的方法及装置 | |
CN110310114A (zh) | 对象分类方法、装置、服务器及存储介质 | |
CN111428217A (zh) | 欺诈团伙识别方法、装置、电子设备及计算机可读存储介质 | |
CN111127062B (zh) | 一种基于空间搜索算法的群体欺诈识别方法及装置 | |
CN112163096A (zh) | 一种恶意团体确定方法、装置、电子设备及存储介质 | |
CN114677217B (zh) | 一种基于子图匹配的面向以太坊的异常交易行为检测方法 | |
CN113935832A (zh) | 一种异常行为检测处理方法及装置 | |
CN111126264A (zh) | 图像处理方法、装置、设备及存储介质 | |
CN112528636A (zh) | 封停敏感词预测方法、装置、计算机设备及存储介质 | |
CN110880117A (zh) | 虚假业务识别方法、装置、设备和存储介质 | |
CN108280651A (zh) | 一种商品对象审核方法、装置及*** | |
Galletta et al. | Sharpening ponzi schemes detection on ethereum with machine learning | |
CN115170136A (zh) | 更新可信模型的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20220114 |
|
WD01 | Invention patent application deemed withdrawn after publication |