一种基于信誉累积的多标准协作欺诈检测方法与流程

本发明涉及社交网络
技术领域：
，尤其是涉及一种基于信誉累积的多标准协作欺诈检测方法。
背景技术：
：近年来，社交网络的飞速发展，越来越多的人使用社交网络与朋友或者陌生人分享情感、购物以及一些其他的生活经历，如微博，博客等。信誉是用来反映过去信用度和预测未来个人可靠性的依据，它已经成为网络安全管理有效和可行的解决方案，一个可靠的信誉系统能判定社区中的成员是否值得信赖。但是，不良用户或商家利用自身高信誉或恶意破坏诚信用户的信誉来牟取利益。比如，社交网络中的不良用户使用匿名攻击其他诚信用户以及欺诈其他用户来牟取利益，不良用户还可以通过自我夸大来提高自身信誉度来牟取利益。此外，因为有组织的协作欺诈行为比个人骗术更有杀伤力，所以它被广泛地运用于社交网络的信誉积累中。因此，关于用户的欺诈检测方法的研究已刻不容缓。传统的检测方法例如基于神经网络的方法，支持向量机和决策树，大多数研究仅对个人的恶意攻击行为进行检测，而事实上，协作诽谤比个人用户的攻击有更大的破坏力，因此，发现恶意的协作行为，识别组织者和协作欺诈组织的群体是至关重要的问题。如前所述，传统的关于社交网络中信誉积累的研究侧重于基于用户间点对点连接的计算模型的发展，但是，由于在信誉积累过程中所有的判断都给予了相同的权重，因此，这类积累方法的类型易于受到欺诈。当前社交网络中关于协作欺诈检测方法的研究，一般都是基于神经网络，支持向量机和决策树的方法。目前的研究主要集中在对个人用户欺诈行为的检测，未曾考虑到用户间的协作欺诈行为，而在社交网络的现实应用中，用户间的协作欺诈行为比个人用户的欺诈行为有更大的破坏性和更高的发生频率。技术实现要素：本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种检测客体广、算法先进、全面评估的基于信誉累积的多标准协作欺诈检测方法。本发明的目的可以通过以下技术方案来实现：一种基于信誉累积的多标准协作欺诈检测方法，用以发现协作欺诈组织以及识别其成员，包括以下步骤：1)在社交网络中检测并标记单个可疑用户节点，采用信誉累积模型，获取所有可疑用户节点集合；2)对集合Δ中可疑用户的可疑关系进行判定，将集合Δ中的所有可疑用户所属的协作欺诈组织模型进行归类；3)对已归类的协作欺诈组织模型中的组织者进行监测识别。所述的步骤1)具体包括以下步骤：11)令Δ为经检测被识别为可疑用户的集合，并令Γ＝(ud1,ud2,.....)为未被检测用户节点的集合，初始状态下Δ为空；12)构建信誉累积模型并通过面向评价差异的欺诈因素df和面向评级频率的欺诈因素rf对未被检测节点的集合Γ中的用户节点进行可疑判定，并将集合Γ中被判定为可疑用户的用户节点转移到可疑用户的集合Δ中；13)根据可疑用户的集合Δ中已经被判定的可疑用户采用面向协作行为的欺诈因素cf对集合Γ中尚未检测的用户节点进行检测，并将集合Γ中被判定为可疑用户的用户节点转移到可疑用户的集合Δ中；14)重复步骤12)-13)，直到集合Γ中所有用户节点判定完毕。所述的步骤2)具体包括以下步骤：21)构建协作欺诈组织模型CFO＝(OC,EC,RS)，其中，OC为协作欺诈组织中角色为组织者的用户集合，EC为协作欺诈组织中角色为协作欺诈执行者的用户集合，RS为协作欺诈组织中个角色成员之间的关系集合；22)根据集合Δ中可疑用户集合Sd＝(sd1,sd2...)以及可疑用户之间的关系集合Sd_Rs构建集合Δ的子图G_Δ＝(Sd,Sd_Rs)；23)将属于子图G_Δ的每个可疑用户sdi平均分配到第i个协作欺诈组织CFOi的执行者集合CFOi.ES中；24)对属于子图G_Δ中的可疑用户sdi和sdj采用面向可疑关系的欺诈因素sf进行是否属于相同的协作欺诈组织的判定，若是，则进行步骤25)，若否，则进行步骤26)；25)将可疑用户sdj对应的第j个协作欺诈组织的执行者全部转移到可疑用户sdi对应的第i个协作欺诈组织CFOi的执行者集合中，同时将可疑用户sdi与可疑用户sdj的关系rs(sdi,sdj)加入到第i个协作欺诈组织CFOi的关系集合CFOi.RS中；26)重复步骤24)，直至所有的可疑用户归类完毕，并获取所有不是空集的协作欺诈组织模型。所述的步骤3)具体包括以下步骤：31)将归类后的第k个协作欺诈组织模型中可疑用户作为执行者集合CFOk.EC中的原执行者；32)采用CFO欺诈因素of对原执行者是否为协作欺诈组织模型的组织者进行判定，若是，则将该原执行者转移到协作欺诈组织模型的组织者集合中，并将其标记为恶意用户，若否，则将该原执行者判定为协作欺诈组织模型的执行者，不做转移；33)重复步骤32)，直至所有原执行者判定转移完毕。所述的步骤3)还包括以下步骤：34)对于未被检测为可疑用户集合Γ中所有用户节点，若存在已被标记为属于第k个欺诈组织的恶意用户，且该未检测的用户节点与恶意用户之间存在任何一个确定的社交网络关系，则进行步骤35)；35)采用CFO欺诈因素of对该未检测的用户节点是否为第k个欺诈组织模型的组织者进行判定，若是，则将该未检测的用户节点判定为第k个欺诈组织模型的组织者，并加入到第k个协作欺诈组织模型的组织者集合中，并同时将该未检测的用户节点与该恶意用户的关系加入到第k个协作欺诈组织的用户关系集合中；36)重复步骤34)-35)，直至集合Γ中所有用户节点均被检测，最终产生第k个协作欺诈组织CFOk。所述的步骤12)中，信誉积累模型表示为：reputation(di)＝(score(di),universal(di))其中，reputation(di)为社交网络中第i个用户节点di的信誉，score(di)为用户节点di的信誉值，universal(di)为用户节点di的信誉认可度；所述的用户节点di的信誉值score(di)的计算式为：score(di)=1n×Σvdj∈C[jud(vdj,di)path(vdj,di)×universal(vdj)(1-Community(vdj)|C|)]]]>其中，C为社交网络中现存的社区集合，|C|为社交网络中现存的社区数量，n为用户节点di收到的信誉评价次数，vdj为社交网络中进行信誉投票评价的第j个用户节点，jud(vdj,di)为用户节点vdj对用户节点di的评价判断，其取值为0或1，取值1时表示用户节点di已经获得来自vdj的信誉评价值，取值0时表示用户节点di尚未获得来自vdj的信誉评价值，path(vdj,di)为社交网络中从用户节点vdj到用户节点di的最短路径长度，Community(vdj)为用户节点vdj在社交网络中所属社区的数量，universal(vdj)为用户节点vdj的信誉认可度；所述的用户节点di的信誉认可度universal(di)的计算式为：universal(di)=13[(member(VD)member(community(di)))+(community(di)|C|)1|jud(VD,di)|+(score(di)max_score(community(di)))]]]>其中，member(VD)为所有对用户节点di投出信誉投票评价的用户节点VD的总数，community(di)为用户节点di在社交网络中所属社区的总数量，member(community(di))为用户节点di在社交网络中所属社区含有的用户节点总数，max_score(community(di))为用户节点di所属社区拥有最高信誉的用户节点对应的信誉值，|jud(VD,di)|为用户节点di所收到的所有信誉评价的总数量，|C|为社交网络中现存的社区数量。所述的步骤12)中，面向评价差异的欺诈因素df的判定公式及条件为：df(udi)=Σj=1n′Σp=1mj[(jud(udi,udj)p-score(udj))×(1-1mj+1)1n′]2Σj=1n′mj]]>当用户节点udi的面向评价差异的欺诈因素值大于等于检测临界值ω1时，则将其判定为可疑用户；其中，df(udi)为集合Γ中的用户节点udi的评价差异欺诈因素值，jud(udi,udj)p为集合Γ中的用户节点udi对用户节点udj的第p次的投票评价，score(udj)为用户节点udj的信誉值，mj为用户节点udi对用户节点udj的评价次数，n′为用户节点udi对所有节点发出的评价总次数；面向评级频率的欺诈因素rf的判定公式及条件为：rf(udi)=1|J(udi)|×Σudj∈J(udi)Σj=1mj[1mj×η(time_jud(udi,udj)q+1-time_jud(udi,udj)qunit_time)]]]>time_jud(udi,udj)q+1-time_jud(udi,udj)q当用户节点udi的面向评级频率的欺诈因素值大于等于检测临界值ω2时，则将其判定为可疑用户；其中，rf(udi)为集合Γ中的用户节点udi的评级频率欺诈因素值，J(udi)为被用户节点udi进行过信誉评价投票的用户节点udj的集合，unit_time为时间片的长度，time_jud(udi,udj)q、time_jud(udi,udj)q+1分别用户节点udi对用户节点udj的第q次和第q+1次投票评价的时间点，η为阻尼参数，且η∈[0,1]。所述的步骤13)中，面向协作行为的欺诈因素cf的判定公式及条件为：cf(udi,mdj)=Σt=1|D|[(1-|ave_jud(udi,dt)-ave_jud(mdj,dt)|)×(1-1mt+1)1|D|]|D|2]]>当用户节点udi的协作行为欺诈因素值大于等于检测临界值ω3时，则将其判定为可疑用户；其中，cf(udi,mdj)为用户节点udi与被判定为CFO组织中恶意成员mdj的协作行为欺诈因素值，D为被用户节点udi与恶意成员mdj共同评价过的诚实用户dt集合中，|D|为集合中诚实用户dt的总数，ave_jud(udi,dt)为用户节点udi对诚实用户dt的所有投票评价的平均值，ave_jud(mdj,dt)为恶意成员mdj对诚实用户dt的所有投票评价的平均值，mt为用户节点udi对诚实用户dt的投票评价总数。所述的步骤24)中，面向可疑关系的欺诈因素sf的判定公式及条件为：sf(sdi,sdj)=0whiletime_trl(sdi,sdj)=012×[c~c×(Σtrl(sdi,sdj)∈TRAtime_trl(sdi,sdj)×p(trl(sdi,sdj))Σtrl(sdi,sdj)∈TRAtime_trl(sdi,sdj))1c~+sf(sdj,sdi)]else]]>当可疑用户sdi和sdj间的可疑关系欺诈因素值大于等于检测临界值ω4时，则判定可疑用户sdi和sdj属于相同的协作欺诈组织；其中，sf(sdi,sdj)为可疑用户sdi和sdj间的可疑关系欺诈因素值，time_trl(sdi,sdj)为可疑用户sdi和sdj间的社交关系中第l类交互行为trl(sdi,sdj)的交互次数，c为可疑用户sdi和sdj间的社交关系的种类总数，为可疑用户sdi和sdj间的社交关系中的可疑关系数量，TRA为可疑用户sdi和sdj间的社交关系的集合，p(trl(sdi,sdj))为可疑用户sdi和sdj间的社交关系中第l类交互行为作为一类行为出现在一个可疑关系中的概率，表示两个用户之间存在社交关系，那么他们之间存在若干类交互行为，例如点赞、评论、转发、推荐、购买等；那么这个概率是指第l类行为而言，其出现的总次数与其出现在所有可疑社交关系中的比例。所述的步骤32)中，CFO欺诈因素of的判定公式及条件为：of(ECki)=12[Σmdj(weight(mdj)×feq(ECki,mdj))+Σmdj(weight(mdj)×sf(ECki,mdj))|CFO.OC∪CFO.EC|]]]>feq(ECki,mdj)＝times_com(ECki,mdj)/times_com(ECki,List_ECki)当第k个协作欺诈组织模型中执行者的CFO欺诈因素值大于等于检测临界值ω5时，则判定该执行者为协作欺诈组织模型的组织者；其中，of(ECki)为第k个协作欺诈组织模型中待判定的执行者ECki的CFO欺诈因素值，weight(mdj)为恶意成员mdj在协作欺诈组织模型中的角色权重，包括组织者和执行者的权重，且两种权重的和为1，feq(ECki,mdj)为待判定的执行者ECki与恶意成员mdj的交互频率，sf(ECki,mdj)为待判定的执行者ECki与恶意成员mdj的可疑关系欺诈因素值，|CFO.OC∪CFO.EC|为被确认为恶意成员的集合的总数，times_com(ECki,mdj)为待判定的执行者ECki与恶意成员mdj之间的交互总次数，times_com(ECki,List_ECki)为待判定的执行者ECki与其所有关系表中用户List_ECki的社交网络交互总次数。与现有技术相比，本发明具有以下优点：一、检测客体广：本发明提供一种检测协作欺诈组织及其全体成员的技术，可针对协作欺诈组织用的执行者和组织者两类角色进行检测，不仅仅依据恶意行为检测恶意欺诈的执行用户。二、算法先进：传统用户的信誉形成过程中仅仅对过往全体用户投票进行综合累积，本技术在对全局投票积累的基础上，引入一个新的指标，即全体投票用户对目标用户信誉值的评价普遍性指标。三、全面评估：区别于传统信誉恶意欺诈检测中指标单一的局限，本技术给出一种多标准综合检测方法，该多标准检测方法包括面向评价差异的欺诈因素、面向评级频率的欺诈因素、面向协作行为的欺诈因素、面向可疑关系的欺诈因素和CFO欺诈因素等多个综合指标，实现更为全面的评估。附图说明图1为本发明定义的CFO模型结构示意图。图2为CFO中的协作行为检测示意图，其中，图(2a)为疑似欺诈执行者诽谤与夸大示例，图(2b)为可疑用户在不同时间段内对其他用户投票行为示例，图(2c)为疑似欺诈执行者与已确定欺诈执行者协作诽谤和夸大行为示例，图(2d)为疑似欺诈执行者与已确定欺诈执行者社交关系示例，图(2e)为疑似欺诈组织者与CFO成员之间的社交关系示例，图(2f)为图2的图例。具体实施方式下面结合附图和具体实施例对本发明进行详细说明。实施例：如图1所示，表示CFO内部执行者用户和组织者之间的关系以及与欺诈组织以外的诚实用户之间的关系，其中黑色空心节点、双圆心节点和灰色实心节点分别表示CFO组织内部的协作欺诈执行者用户、CFO共同组织者用户、CFO组织外部的诚实用户；云状区域表示CFO组织；黑色直线表示CFO内部执行者与组织者之间的雇佣关系；黑色虚直线表示CFO内部组织者之间的同组织关系；从执行者到诚实用户的灰色虚线箭头表示执行者对诚实用户进行协作诽谤；从执行者到诚实用户的黑色实线箭头表示执行者对诚实用户协作进行夸大诚实用户的行为。如图2所示，图2(a)和图2(b)表示对可疑用户1的面向评级频率差异欺诈因素的计算过程，图2(b)表示可疑用户1分别向用户4投票9次、用户5投票6次，并计算出面向评级频率的欺诈因素；图2(c)表示可疑用户1和恶意用户3对诚实用户2,4,5进行投票，并计算出面向协作行为的欺诈因素；图2(d)表示可疑用户1与恶意用户3间的三种关系(雇佣关系，同事关系，和共同组织关系)；图2(e)表示可疑用户6与已经被确定的CFO内部组织者用户7与执行者用户3,8之间的关系；其中黑色实线节点表示协作欺诈执行者用户，双园实线节点表示协作欺诈组织者用户，灰色圆点表示诚实用户，黑色虚线节点表示疑似欺诈执行者用户，菱形节点表示疑似欺诈组织者用户，云状区域表示CFO组织，双点间隔虚线表示同事关系，黑色实线表示雇佣关系，黑色虚线实线表示同组织关系，黑色虚线箭头表示用户对另一用户的协作诽谤，黑色实线箭头表示用户对另一个用户的夸大。一、本发明先对用户节点拥有的用户列表和欺诈模型进行定义：定义1：用户节点拥有的用户列表所述列表的定义如下：List(di)＝(List_node,list_rs,List_record)上述表达公式中，di表示第i个用户节点，List_node,List_rs和List_record分别来定义di与其他节点的关系，以及在社交网络中的历史纪录。定义2：协作欺诈模型本方法基于有向图提出了协作欺诈组织CFO的定义，其中也包含了组织者者(顶点)和CFO用户间的关系(边)。协助欺诈组织模型的定义如下：CFO＝(OC,EC,RS)其中，OC＝(oc1,oc2.....)表示CFO中角色为组织者的用户集合，EC＝(ec1,ec2....)表示CFO中角色为协作欺诈执行者的用户集合，RS＝(rs1,rs2....)表示CFO中各成员之间的关系集合，每一个关系rsi＝＜c×c,rtj＞可以表示为两个CFO成员之间的二元关系，c∈OC∪EC，rt是rti关系的类型。下面，给出本发明基于信誉积累的多标准欺诈检测方法的计算方法：该计算方法的具体步骤为：A.定义协作欺诈组织模型以及相关概念说明；B.建立一种新型信誉积累模型，并给出新型信誉模型中用以表示信誉值的两个指标计算方法；C.建立协作欺诈组织CFO及其组织成员的检测方法：(1)分析CFO欺诈的行为和方式等特征，以及一个CFO中，组织者、执行者之间可能的关系；(2)MD-CFO方法包括五个检测因素：面向评级差异的欺诈因素，面向评级频率的欺诈因素，面向协作行为的欺诈因素，面向可疑关系的欺诈因素，以及CFO欺诈因素，并给出上述五个因素的计算方法；(3)MD-CFO的检测过程分为四个步骤：单一的可疑用户节点检测判定，CFO的可疑关系评估和CFO组织检测；以往的针对社交网络欺诈行为的研究，都只考虑了单个节点的欺诈行为，本发明认为，节点之间有组织的欺诈行为比单个节点的欺诈行为更易发生，破坏力也更大。因此研究社交网络中有组织的欺诈行为有重要意义，相对于以往的研究，本发明更加全面。社交网络的欺诈组织中，主要节点被分为组织者和执行者，划分的依据是在欺诈组织中该节点是否组织协作欺诈行为或者是否分派组织者。而节点是否实施欺诈行为要通过其评价频率、与其他欺诈节点的联系等多个方面分析得出。定义3组织者和执行者在发明中，所有参与协作的恶意节点都被称为协作者。在协作欺诈组织中，协作者有以下角色：组织者：在协作欺诈组织中始终试图去组织协作者，也就是说，在每种情况下，这个角色的工作包括建立组织、发掘恶意节点、获取欺诈要求、分派协作任务以及为协作行为提供协作者。执行者：执行者分派协作者，他们在协作行为中进行恶意的信誉积累。注意，执行者也可能是组织者。二、建立新型信誉模型的技术方案：对于社交网络中的个体Di的信誉模型如下：reputation(Di)＝(score(Di),universal(Di))score(di)表示该用户节点di的信誉值，universal(di)用户节点di所获得信誉的普遍认可程度；其中score(Di)的计算方法如下：score(Di)=1n×ΣVDj∈C[jub(VDj,Di)path(VDj,Di)×universal(VDj)(1-Community(VDj)|C|)]]]>C＝{C1,C2...}表示社交网络中现存的社区，|C|表示社交网络中现存所有社区的数量；vdj表示第j个为用户节点di投票的节点；jud(vdj,di)∈[0,1]表示用户di在过去已经获得的来自vdj的评价值；Community(vdj)表示用户节点vdj在社交网络中所属社区的数量；path(vdj,di)表示社交网络中从用户节点vdj到di的最短路径长度。(2)其中universal(VDj)的计算方法如下：universal(Di)=13[(member(VDj)member(community(Di)))+(community(Di)|C|)1|jud(VDi,Di)|+(score(Di)max_score(community(Di)))]]]>函数member(VD)表示所有给di信誉投出评价的用户节点总数；community(di)表示di所属所有社区的总数量；member(community(di))表示di所在所有社区中含有的用户总数；函数max_score(community(di))表示用户di所属的社区中所有用户拥有的信誉最大值，|jud(VD,di)|表示用户节点di所收到的所有信誉评价的总数量。三、五个识别因素及其相对应的影响因素的技术方案(1)面向评价差异的欺诈因素：面向评价差异的欺诈因素计算方法如下：假设一个节点di，在过去曾向其他用户节点发送了n次信誉评价。假设对于一个被di所评价过的用户节点dj而言，用户节点dj的信誉分数是score(dj)，而第k次由di到dj的评级判断是jud(di,dj)k∈[0,1]，mj表示用户di对于用户dj给出评价的次数。面向评价差异的欺诈因素df(di)计算方法如下：df(di)=Σj=1nΣk=1mj[(jud(di,dj)k-score(dj))×(1-1mj+1)1n]2Σj=1nmj]]>(2)面向评级频率的欺诈因素：面向评级频率的欺诈因素表示为rf(di),其计算方法如下：令一个时间片的长度记为unit_time，假设所有被用户di进行过信誉评价投票的用户集合记为J(di)，对于第j个用户jdj∈J(di)，假设由di投给jdj的全部信誉评价数为mj，第k次信誉评价投票的时间点表示为time_jud(di,jdj)k，则面向评级频率的欺诈因素计算方法如下:rf(di)=1|J(di)|×Σjdj∈J(di)Σj=1mj[1mj×η(time_jud(di,jdj)k+1-time_jud(di,kdj)kunit_time)]]]>time_jud(di,jdj)k+1-time_jud(di,jdj)k上述公式中，|J(di)|表示集合J(di)中用户节点的数量，η(η∈[0,1])是公式计算的阻尼参数。(3)面向协作行为的欺诈因素：对于协作欺诈检测来说，行为相似性是重要的标准。假设存在一恶意用户mdj∈CFO.ON∪CFO.EN，该用户mdj已经被证明是CFO组织中的恶意成员。满足判定一个可疑用户di，那么该可疑用户di与恶意用户mdj之间的协作行为欺诈因素值cf(di,mdj)的计算如下:cf(di,mdj)=Σk=1|D|[(1-|ave_jud(di,dk)-ave_jud(mdj,dk)|)×(1-1mk+1)1n]|D|2]]>上述公式中，被可疑用户di与恶意用户mdj共同评价过的诚实用户集合记为D,对于第k个用户dk∈D，可疑用户di对诚实用户dk所给出所有评价值的平均值为ave_jud(di,dk)，恶意用户mdj对dk所给出所有评价的平均值为ave_jud(mdj,dk)|D|表示诚实集合D中用户总数；mk表示di给出dk的信誉评价总次数。(4)面向可疑关系的欺诈因素：如果一个可疑用户与CFO中确定的成员保持紧密的社交网络关系，那该可疑用户具有较高概率也是协作欺诈者。。本发明中把两个用户的社交网络关系分为两种类型：正常关系和可疑关系。正常关系表示用户交互的过程中均为诚实信誉评价行为，而可疑关系包括大量信誉欺诈或者协作欺诈行为。面向可疑关系的欺诈因素计算方法如下：令用户di到用户dj维持共有c种类型的社交网络关系，且在这所有的c种类型的关系中存在个可疑关系。假设TRA(di,dj)＝{tr1(di,dj),tr2(di,dj),...}表示用户di和dj之间过往行为交互的集合，其中trl(di,dj)表示第l类交互行为，下标l取值为正整数；用户di与dj的第l类交互trl(di,dj)的交互次数记为time_trl(di,dj)，那么面向可疑关系的欺诈因素sf(di,dj)的计算如下：sf(di,dj)=0whiletime_tr(di,dj)=012×[c~c×(Σtrl(di,dj)∈TRAtime_trl(di,dj)×p(trl(di,dj))Σtrl(di,dj)∈TRAtime_trl(di,dj))1c~+sf(dj,di)]else]]>其中，函数p(trl(di,dj))表示交互行为trl(di,dj)作为一类行为出现在一个可疑关系中的概率。(5)CFO欺诈因素：本发明中，令CFO中已被识别确认的恶意用户集合记为mdj∈CFO.ON∪CFO.EN，mdj表示CFO恶意用户成员中的第j个成员；。函数feq(di,mdj)表示一个未识别为CFO成员di和CFO恶意用户mdj在社交网络中的交互频率。用户di是否可能为该CFO中成员的CFO欺诈因素计算方法如下：of(di)=12[Σmdj(weight(mdj)×feq(di,mdj))+Σmdj(weight(mdj)×sf(di,mdj))|CFO.OC∪CFO.EC|]]]>其中，weight(mdj)表示mdj在CFO中的角色权重，角色权重分为组织者角色权重和执行者角色权重，两类角色权重和为1。|CFO.OC∪CFO.EC|表示集合CFO.OC∪CFO.EC中用户的总数。此外，feq(di,mdj)的计算如下：feq(di,mdj)＝times_com(di,mdj)/times_com(di,List_di)上述公式中，times_com(di,mdj)表示用户di和mdj社交网络交互总次数；times_com(di,List_di)表示用户di与其所有关系表中用户List_di的社交网络交互总次数。四、欺诈组织CFO检测技术方案CFO检测方法的四个步骤以及实现算法如下：本发明在CFO检测中，将检测过程分为三个步骤：单个可疑用户检测、可疑关系评估、CFO组织者检测。本发明中，所有未被检测的用户标记为ud，初始未被检测的用户集合记为Γ＝(ud1,ud2,.....)；经过检测被识别为可疑用户的标记为sd，经检测确认为CFO成员的用户标记为fd1)单个可疑节点检测：该步骤使用df(di)和rf(di)两个欺诈因素开展检测。单个可疑用户检测算法的过程如下：[1]令Δ为经检测被识别确定为可疑用户sd的集合，初始状态下Δ为空；[2]从未被检测节点的集合Γ中取出节点udi；[3]若未被检测节点udi的欺诈因素df(udi)≥ω1或欺诈因素rf(udi)≥ω2(ω1、ω2分别为欺诈因素df(udi)、rf(udi)的检测临界值)，则将该节点udi标记为可疑用户节点sdi；[4]将步骤[3]中的节点udi从未被检测节点集合Γ中删除，同时将[3]中节点检测到的可疑用户节点sdi加入经检测被识别为可疑用户的节点集合Δ中；重复步骤[2]到[4],直至集合Γ中所有用户被检测过为止；[5]对于所有sdj属于经检测被识别为可疑用户的节点集合进行下列检测；[6]对集合Γ中所有用户，选择用户udi；[7]若CFO欺诈因素cf(udi,sdj)≥ω3(ω3为欺诈因素cf(udi,sdj)的检测临界值)，则将该用户udi标记为可疑用户sdi[8]重复上述步骤[4]到[7],直至集合Γ中所有用户被检测过为止；[9]返回集合Δ。本算法中，三个临界值ω1，ω2，ω3的取值范围为0到1。2)可疑关系评估:检测单个可疑用户之后，返回了经检测被标记为可疑用户的集合Δ。在集合Δ的基础上可获得一个子图，其中包含经检测的可疑节点sdi以及它们之间的关系。该子图表示为G_Δ＝(Sd,Sd_Rs)，其中Sd表示可疑用户集合，Sd_Rs表示用户间的关系集合。但由于该检测方法仅估算了单个用户的欺诈行为，该集合可能会包含不同的协作欺诈组织CFOs。因此，本发明提出了一种可疑关系评估算法，将不隶属于本次检测的协作欺诈组织CFO中分离。算法如下：[1]若用户sdi属于集合Δ的子图G_Δ的可疑用户集合sd中；[2]将用户sdi加入第i个协作欺诈组织的执行者集合CFOi.EC中；[3]对于属于子图G_Δ的可疑用户集合Sd中所有用户sdi与用户sdj，执行下列操作；[4]如果用户sdi与用户sdj之间存在关系值rs(sdi,sdj)属于子图G_Δ的关系集合中，则检测该可疑关系的欺诈因素sf(sdi,sdj)；[5]若可疑关系欺诈因素sf(sdi,sdj)≥ω4(ω4为可疑关系欺诈因素的临界值)，则将第i个协作欺诈组织的执行者与第j个协作欺诈组织的执行者放入第i个协作欺诈组织的执行者集合中，并将第j个协作欺诈组织设为空集；同时，将用户sdi与用户sdj的关系rs(sdi,sdj)加入到第i个协作欺诈组织的关系集合CFOi.RS中；[6]否则，若[5]中条件未满足，则剔除CFOi.RS中用户sdi与用户sdj的关系rs(sdi,sdj)；[7]对于最终所有分离获得的CFO，若最终得到的集合CFOi不是空集，则返回集合CFOi。本算法中，ω4是可疑关系欺诈因素的临界值。基于算法2，可疑用户及其关系在明确的行为和关系的基础上归类出不同的协作欺诈组织CFOs。此时，所有的用户称为CFO的执行者。3)组织者用户检测:组织者检测方法是基于已提出的组织协作欺诈因素开展的，检测算法如下：[1]对于第k个协作欺诈组织中的执行者集合CFOk.EC中所有用户sdj属于CFOk.EC；[2]若该用户sdj的CFO欺诈因素满足of(sdj)≥ω5(ω5为CFO欺诈因素的临界值)，则将用户sdj标记为组织者用户odj；[3]将[2]中被检测的用户加入第k个协作欺诈组织的组织者集合CFOk.OC中，重复步骤[1-3]直至CFOk.EC中所有用户被检测；[4]对于未被检测为可疑用户集合Γ中所有用户udi，若存在已被检测为可疑用户的用户sdj属于第k个欺诈组织CFOk的恶意用户，且该用户udi与用户sdj之间存在任何一个确定的社交网络关系，则执行[5]；[5]若该用户udi的CFO欺诈因素of(udi)≥ω5，则将用户udi标记为经检测为组织者的用户odj；[6]将经检测为组织者用户odj加入第k个协作欺诈组织的组织者集合中，同时将组织者用户odj与经检测为可疑用户的用户sdj之间的关系加入第i个协作欺诈组织的用户关系集合中；[7]重复步骤[4]-[5]，直至用户集合Γ中所有用户均被检测；[8]返回第k个协作欺诈组织CFOk。其中，ω5是组织联合者用户检测的临界值。当前第1页1 2 3