一种基于信誉累积的多标准协作欺诈检测方法与流程

技术特征：

1.一种基于信誉累积的多标准协作欺诈检测方法，用以发现协作欺诈组织以及识别其成员，其特征在于，包括以下步骤：

1)在社交网络中检测并标记单个可疑用户节点，采用信誉累积模型，获取所有可疑用户节点集合；

2)对集合Δ中可疑用户的可疑关系进行判定，将集合Δ中的所有可疑用户所属的协作欺诈组织模型进行归类；

3)对已归类的协作欺诈组织模型中的组织者进行监测识别。

2.根据权利要求1所述的一种基于信誉累积的多标准协作欺诈检测方法，其特征在于，所述的步骤1)具体包括以下步骤：

11)令Δ为经检测被识别为可疑用户的集合，并令Γ＝(ud₁,ud₂,.....)为未被检测用户节点的集合，初始状态下Δ为空；

12)构建信誉累积模型并通过面向评价差异的欺诈因素df和面向评级频率的欺诈因素rf对未被检测节点的集合Γ中的用户节点进行可疑判定，并将集合Γ中被判定为可疑用户的用户节点转移到可疑用户的集合Δ中；

13)根据可疑用户的集合Δ中已经被判定的可疑用户采用面向协作行为的欺诈因素cf对集合Γ中尚未检测的用户节点进行检测，并将集合Γ中被判定为可疑用户的用户节点转移到可疑用户的集合Δ中；

14)重复步骤12)-13)，直到集合Γ中所有用户节点判定完毕。

3.根据权利要求1所述的一种基于信誉累积的多标准协作欺诈检测方法，其特征在于，所述的步骤2)具体包括以下步骤：

21)构建协作欺诈组织模型CFO＝(OC,EC,RS)，其中，OC为协作欺诈组织中角色为组织者的用户集合，EC为协作欺诈组织中角色为协作欺诈执行者的用户集合，RS为协作欺诈组织中个角色成员之间的关系集合；

22)根据集合Δ中可疑用户集合Sd＝(sd₁,sd₂...)以及可疑用户之间的关系集合Sd_Rs构建集合Δ的子图G_Δ＝(Sd,Sd_Rs)；

23)将属于子图G_Δ的每个可疑用户sd_i平均分配到第i个协作欺诈组织CFO_i的执行者集合CFO_i.ES中；

24)对属于子图G_Δ中的可疑用户sd_i和sd_j采用面向可疑关系的欺诈因素sf进行是否属于相同的协作欺诈组织的判定，若是，则进行步骤25)，若否，则进行步骤26)；

25)将可疑用户sd_j对应的第j个协作欺诈组织的执行者全部转移到可疑用户sd_i对应的第i个协作欺诈组织CFO_i的执行者集合中，同时将可疑用户sd_i与可疑用户sd_j的关系rs(sd_i,sd_j)加入到第i个协作欺诈组织CFO_i的关系集合CFO_i.RS中；

26)重复步骤24)，直至所有的可疑用户归类完毕，并获取所有不是空集的协作欺诈组织模型。

4.根据权利要求1所述的一种基于信誉累积的多标准协作欺诈检测方法，其特征在于，所述的步骤3)具体包括以下步骤：

31)将归类后的第k个协作欺诈组织模型中可疑用户作为执行者集合CFO_k.EC中的原执行者；

32)采用CFO欺诈因素of对原执行者是否为协作欺诈组织模型的组织者进行判定，若是，则将该原执行者转移到协作欺诈组织模型的组织者集合中，并将其标记为恶意用户，若否，则将该原执行者判定为协作欺诈组织模型的执行者，不做转移；

33)重复步骤32)，直至所有原执行者判定转移完毕。

5.根据权利要求4所述的一种基于信誉累积的多标准协作欺诈检测方法，其特征在于，所述的步骤3)还包括以下步骤：

34)对于未被检测为可疑用户集合Γ中所有用户节点，若存在已被标记为属于第k个欺诈组织的恶意用户，且该未检测的用户节点与恶意用户之间存在任何一个确定的社交网络关系，则进行步骤35)；

35)采用CFO欺诈因素of对该未检测的用户节点是否为第k个欺诈组织模型的组织者进行判定，若是，则将该未检测的用户节点判定为第k个欺诈组织模型的组织者，并加入到第k个协作欺诈组织模型的组织者集合中，并同时将该未检测的用户节点与该恶意用户的关系加入到第k个协作欺诈组织的用户关系集合中；

36)重复步骤34)-35)，直至集合Γ中所有用户节点均被检测，最终产生第k个协作欺诈组织CFO_k。

6.根据权利要求1所述的一种基于信誉累积的多标准协作欺诈检测方法，其特征在于，所述的步骤12)中，信誉积累模型表示为：

reputation(d_i)＝(score(d_i),universal(d_i))

其中，reputation(d_i)为社交网络中第i个用户节点d_i的信誉，score(d_i)为用户节点d_i的信誉值，universal(d_i)为用户节点d_i的信誉认可度；

所述的用户节点d_i的信誉值score(d_i)的计算式为：

$score\left(d_i\right)=\frac{1}{n}\×\underset{{\mathrm{vd}}_j\∈C}{\Σ}\[jud{({\mathrm{vd}}_j,d_i)}^{path({\mathrm{vd}}_j,d_i)}\×universal{\left({\mathrm{vd}}_j\right)}^{(1-\frac{Community\left({\mathrm{vd}}_j\right)}{\left|C\right|})}\]$

其中，C为社交网络中现存的社区集合，|C|为社交网络中现存的社区数量，n为用户节点d_i收到的信誉评价次数，vd_j为社交网络中进行信誉投票评价的第j个用户节点，jud(vd_j,d_i)为用户节点vd_j对用户节点d_i的评价判断，其取值为0或1，取值1时表示用户节点d_i已经获得来自vd_j的信誉评价值，取值0时表示用户节点d_i尚未获得来自vd_j的信誉评价值，path(vd_j,d_i)为社交网络中从用户节点vd_j到用户节点d_i的最短路径长度，Community(vd_j)为用户节点vd_j在社交网络中所属社区的数量，universal(vd_j)为用户节点vd_j的信誉认可度；

所述的用户节点d_i的信誉认可度universal(d_i)的计算式为：

$\begin{array}{c}universal\left(d_i\right)=\frac{1}{3}\[\left(\frac{member\left(VD\right)}{member\left(community\right(d_i\left)\right)}\right)\\ +{\left(\frac{community\left(d_i\right)}{\left|C\right|}\right)}^{\frac{1}{\left|jud(VD,d_i)\right|}}+\left(\frac{score\left(d_i\right)}{\max \_score\left(community\right(d_i\left)\right)}\right)\]\end{array}$

其中，member(VD)为所有对用户节点d_i投出信誉投票评价的用户节点VD的总数，community(d_i)为用户节点d_i在社交网络中所属社区的总数量，member(community(d_i))为用户节点d_i在社交网络中所属社区含有的用户节点总数，max_score(community(d_i))为用户节点d_i所属社区拥有最高信誉的用户节点对应的信誉值，|jud(VD,d_i)|为用户节点d_i所收到的所有信誉评价的总数量，|C|为社交网络中现存的社区数量。

7.根据权利要求6所述的一种基于信誉累积的多标准协作欺诈检测方法，其特征在于，所述的步骤12)中，面向评价差异的欺诈因素df的判定公式及条件为：

$df\left({\mathrm{ud}}_i\right)=\sqrt{\frac{\underset{j=1}{\overset{n^{\′}}{\Σ}}\underset{p=1}{\overset{m_j}{\Σ}}{\[(jud{\left({\mathrm{ud}}_i,{\mathrm{ud}}_j\right)}_p-score({\mathrm{ud}}_j\left)\right)\×{(1-\frac{1}{m_j+1})}^{\frac{1}{n^{\′}}}\]}^2}{\underset{j=1}{\overset{n^{\′}}{\Σ}}{m}_j}}$

当用户节点ud_i的面向评价差异的欺诈因素值大于等于检测临界值ω₁时，则将其判定为可疑用户；

其中，df(ud_i)为集合Γ中的用户节点ud_i的评价差异欺诈因素值，jud(ud_i,ud_j)_p为集合Γ中的用户节点ud_i对用户节点ud_j的第p次的投票评价，score(ud_j)为用户节点ud_j的信誉值，m_j为用户节点ud_i对用户节点ud_j的评价次数，n′为用户节点ud_i对所有节点发出的评价总次数；

面向评级频率的欺诈因素rf的判定公式及条件为：

$rf\left({\mathrm{ud}}_i\right)=\frac{1}{\left|J\left({\mathrm{ud}}_i\right)\right|}\×\underset{{\mathrm{ud}}_j\∈J\left({\mathrm{ud}}_i\right)}{\Σ}\underset{j=1}{\overset{m_j}{\Σ}}\[\frac{1}{m_j}\×{\mathrm{\η}}^{\left(\frac{time\_jud{({\mathrm{ud}}_i,{\mathrm{ud}}_j)}_{q+1}-time\_jud{({\mathrm{ud}}_i,{\mathrm{ud}}_j)}_q}{unit\_time}\right)}\]$

time_jud(ud_i,ud_j)_q+1-time_jud(ud_i,ud_j)_q

当用户节点ud_i的面向评级频率的欺诈因素值大于等于检测临界值ω₂时，则将其判定为可疑用户；

其中，rf(ud_i)为集合Γ中的用户节点ud_i的评级频率欺诈因素值，J(ud_i)为被用户节点ud_i进行过信誉评价投票的用户节点ud_j的集合，unit_time为时间片的长度，time_jud(ud_i,ud_j)_q、time_jud(ud_i,ud_j)_q+1分别用户节点ud_i对用户节点ud_j的第q次和第q+1次投票评价的时间点，η为阻尼参数，且η∈[0,1]。

8.根据权利要求3所述的一种基于信誉累积的多标准协作欺诈检测方法，其特征在于，所述的步骤13)中，面向协作行为的欺诈因素cf的判定公式及条件为：

$cf({\mathrm{ud}}_i,{\mathrm{md}}_j)=\sqrt{\frac{\underset{t=1}{\overset{\left|D\right|}{\Σ}}{\[(1-|ave\_jud\left({\mathrm{ud}}_i,d_t\right)-ave\_jud\left({\mathrm{md}}_j,d_t\right)\left|\right)\×{(1-\frac{1}{m_t+1})}^{\frac{1}{\left|D\right|}}\]}^2}{\left|D\right|}}$

当用户节点ud_i的协作行为欺诈因素值大于等于检测临界值ω₃时，则将其判定为可疑用户；

其中，cf(ud_i,md_j)为用户节点ud_i与被判定为CFO组织中恶意成员md_j的协作行为欺诈因素值，D为被用户节点ud_i与恶意成员md_j共同评价过的诚实用户d_t集合中，|D|为集合中诚实用户d_t的总数，ave_jud(ud_i,d_t)为用户节点ud_i对诚实用户d_t的所有投票评价的平均值，ave_jud(md_j,d_t)为恶意成员md_j对诚实用户d_t的所有投票评价的平均值，m_t为用户节点ud_i对诚实用户d_t的投票评价总数。

9.根据权利要求3所述的一种基于信誉累积的多标准协作欺诈检测方法，其特征在于，所述的步骤24)中，面向可疑关系的欺诈因素sf的判定公式及条件为：

$sf({\mathrm{sd}}_i,{\mathrm{sd}}_j)=\left\{\begin{array}{cc}0& \begin{array}{cc}while& time\_{\mathrm{tr}}_l({\mathrm{sd}}_i,{\mathrm{sd}}_j)=0\end{array}\\ \frac{1}{2}\×\[\frac{\tilde{c}}{c}\×{\left(\frac{\underset{{\mathrm{tr}}_l({\mathrm{sd}}_i,{\mathrm{sd}}_j)\∈TRA}{\Σ}time\_{\mathrm{tr}}_l({\mathrm{sd}}_i,{\mathrm{sd}}_j)\×p\left({\mathrm{tr}}_l\right({\mathrm{sd}}_i,{\mathrm{sd}}_j\left)\right)}{\underset{{\mathrm{tr}}_l({\mathrm{sd}}_i,{\mathrm{sd}}_j)\∈TRA}{\Σ}time\_{\mathrm{tr}}_l({\mathrm{sd}}_i,{\mathrm{sd}}_j)}\right)}^{\frac{1}{\tilde{c}}}+sf({\mathrm{sd}}_j,{\mathrm{sd}}_i)\]& else\end{array}\right.$

当可疑用户sd_i和sd_j间的可疑关系欺诈因素值大于等于检测临界值ω₄时，则判定可疑用户sd_i和sd_j属于相同的协作欺诈组织；

其中，sf(sd_i,sd_j)为可疑用户sd_i和sd_j间的可疑关系欺诈因素值，time_tr_l(sd_i,sd_j)为可疑用户sd_i和sd_j间的社交关系中第l类交互行为tr_l(sd_i,sd_j)的交互次数，c为可疑用户sd_i和sd_j间的社交关系的种类总数，为可疑用户sd_i和sd_j间的社交关系中的可疑关系数量，TRA为可疑用户sd_i和sd_j间的社交关系的集合，p(tr_l(sd_i,sd_j))为可疑用户sd_i和sd_j间的社交关系中第l类交互行为作为一类行为出现在一个可疑关系中的概率。

10.根据权利要求4所述的一种基于信誉累积的多标准协作欺诈检测方法，其特征在于，所述的步骤32)中，CFO欺诈因素of的判定公式及条件为：

$of\left({\mathrm{EC}}_{ki}\right)=\frac{1}{2}\[\underset{{\mathrm{md}}_j}{\Σ}\left(weight\right({\mathrm{md}}_j)\×feq({\mathrm{EC}}_{ki},{\mathrm{md}}_j\left)\right)+\frac{\underset{{\mathrm{md}}_j}{\Σ}\left(weight\right({\mathrm{md}}_j)\×sf({\mathrm{EC}}_{ki},{\mathrm{md}}_j\left)\right)}{|CFO.OC\∪CFO.EC|}\]$

feq(EC_ki,md_j)＝times_com(EC_ki,md_j)/times_com(EC_ki,List_EC_ki)

当第k个协作欺诈组织模型中执行者的CFO欺诈因素值大于等于检测临界值ω₅时，则判定该执行者为协作欺诈组织模型的组织者；

其中，of(EC_ki)为第k个协作欺诈组织模型中待判定的执行者EC_ki的CFO欺诈因素值，weight(md_j)为恶意成员md_j在协作欺诈组织模型中的角色权重，包括组织者和执行者的权重，且两种权重的和为1，feq(EC_ki,md_j)为待判定的执行者EC_ki与恶意成员md_j的交互频率，sf(EC_ki,md_j)为待判定的执行者EC_ki与恶意成员md_j的可疑关系欺诈因素值，|CFO.OC∪CFO.EC|为被确认为恶意成员的集合的总数，times_com(EC_ki,md_j)为待判定的执行者EC_ki与恶意成员md_j之间的交互总次数，times_com(EC_ki,List_EC_ki)为待判定的执行者EC_ki与其所有关系表中用户List_EC_ki的社交网络交互总次数。