一种用于在线业务的监控方法及系统与流程

文档序号:13935045
一种用于在线业务的监控方法及系统与流程

本发明涉及大数据技术领域,尤其涉及一种用于在线业务的监控方法及系统。



背景技术:

随着互联网技术的快速发展,电子商务、互联网金融服务、在线交易/支付等业务应运而生,且呈现高速增长的态势。但在快速发展的同时,基于互联网作案的欺诈事件也频繁发生,使消费者和企业蒙受巨大经济损失,甚至进一步损害个人和公司的社会声誉,比如:根据相关统计数据,截止2015年,互联网金融的坏账50%-70%来自于网络欺诈事件。

并且,由于网络欺诈存在成本较低、利益巨大的特点,促使网络欺诈产业链形成,并已出现大量组织严密,分工明确的欺诈团伙。根据猎网平台(由北京市公安局网络安全保卫总队和360互联网安全中心联合发起成立)的分析显示,网络诈骗的地下产业规模之所以迅速扩大,主要是由于网络诈骗犯罪具有异地作案、小额多发、取证困难等特点,打击难度大。

虽然,金融监管部门已陆续出台相关监管文件,对金融机构的反欺诈工作提出了要求,比如:银监会发布的《商业银行信息科技风险动态监测指标》,证监会发布的《证券公司网上证券信息系统技术指引》。但是,目前所采用的主要针对单一诈骗案例的分析方式和分析工具,很难及时有效地对海量案例完成分析工作,难以建立准确高效的预警、侦测系统。特别是针对目前利用在线支付工具进行团体欺诈的行为,尤其是采用多账号、跨业务系统、多套伪装(用户的)信息的较为复杂的欺诈行为,目前的侦测手段难以及时准确地锁定嫌疑目标,导致了目前的侦测效率低下,网络交易的风险一直居高不下。



技术实现要素:

本发明的实施例提供一种用于在线业务的监控方法及系统,能够提高侦测效率,降低了网络交易的风险。

为达到上述目的,本发明的实施例采用如下技术方案:

第一方面,本发明的实施例提供的方法,包括:根据目标用户的识别信息查询数据源,并从所述数据源读取与所述目标用户的识别信息关联的业务信息,所述识别信息至少包括:所述目标用户的账号信息和/或户头编码,所述数据源至少包括:在线交易平台和会员管理系统,所述业务信息至少包括:订单信息、支付信息和物流信息,和/或所述业务信息至少包括:设备指纹信息、会员注册信息和会员属性信息;

通过特征模板查询与所述目标用户存在关联关系的用户,特征模板对应所述目标用户所在的业务系统;

针对与所述目标用户存在关联关系的用户发出告警。

结合第一方面,在第一方面的第一种可能的实现方式中,还包括:

接收所述监控平台发送的案件标识,并从所述在线交易平台读取所述案件标识指向的数据;

从所述案件标识指向的数据中提取所述目标用户的识别信息。

结合第一方面或第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述根据目标用户的识别信息查询数据源,并从所述数据源读取与所述目标用户的识别信息关联的业务信息,包括:

根据所述目标用户的识别信息,从所述在线交易平台读取所述目标用户的识别信息所指向账号下的订单信息、支付信息和物流信息;

和/或,根据所述目标用户的识别信息,从所述会员管理系统读取所述目标用户的识别信息所指向账号下的设备指纹信息、会员注册信息和会员属性信息。

结合第一方面或第一方面的第一种可能的实现方式,在第三种可能的实现方式中,所述通过特征模板查询与所述目标用户存在关联关系的用户,包括:

确定生成了所述目标用户的识别信息关联的业务信息的业务系统,并从特征模板库中查询所述业务系统对应的特征模板;

依据所述特征模板,从待识别用户的识别信息和业务信息中,提取所述待识别用户的特征数据;

根据所述特征数据与所述特征模板的匹配程度,检测所述待识别用户是否为所述与所述目标用户存在关联关系的用户。

结合第一方面的第三种可能的实现方式,在第四种可能的实现方式中,所述依据所述特征模板,从待识别用户的识别信息和业务信息中,提取所述待识别用户的特征数据,包括:

读取所述特征模板所指向的信息类型,所述所指向的信息类型至少包括:联络信息、注册地址信息和注册时间信息;

从待识别用户的识别信息和业务信息中,提取符合所述所指向的信息类型的信息作为所述待识别用户的特征数据。

结合第一方面的第三种可能的实现方式,在第五种可能的实现方式中,所述根据所述特征数据与所述特征模板的匹配程度,检测所述待识别用户是否为所述与所述目标用户存在关联关系的用户,包括:

检测所述待识别用户的特征数据中是否存指定的数据部分在与所述目标用户的特征数据相同,若是则判定为所述与所述目标用户存在关联关系的用户。

结合第一方面的第五种可能的实现方式,在第六种可能的实现方式中,所述检测所述待识别用户的特征数据中是否存指定的数据部分在与所述目标用户的特征数据相同,包括:

检测所述待识别用户的预留的姓名是否与所述目标用户的相同;

和/或,检测所述待识别用户的预留的通讯号码是否与所述目标用户的相同;

和/或,检测所述待识别用户的预留的通讯地址是否与所述目标用户的相同;

和/或,检测所述待识别用户的注册时的IP地址信息是否与所述目标用户的相同;

和/或,检测所述待识别用户的注册时的时间段是否与所述目标用户的相同。

结合第一方面的第三种可能的实现方式,在第七种可能的实现方式中,还包括:

从所述在线交易平台读取所述案件标识指向的数据中,提取各业务系统的交易层数据和账户层数据,所述交易层数据包括:交易时间信息、交易归属地分布信息、支付终端类型信息和支付渠道信息,所述账户层数据包括:注册地址信息、注册时间信息、注册渠道信息、用户类型信息、注册终端分布信息和会员特征信息;

对所述交易层数据和所述账户层数据中的各信息类型,按照涉案频率进行统计,并确定各业务系统对应的特征模板所指向的信息类型。

结合第一方面,在第一方面的第八种可能的实现方式中,还包括:

根据所述与所述目标用户存在关联关系的用户的识别信息,获取在各个业务系统中,针对所述与所述目标用户存在关联关系的用户所生成的业务信息,并向所述监控平台发送;

和/或,将所述与所述目标用户存在关联关系的用户的识别信息添加至黑名单。

结合第一方面的第八种可能的实现方式,在第九种可能的实现方式中,还包括:

当检测到至少一个业务系统接收到所述黑名单中的识别信息的用户所发送的交易请求时,拦截所述交易请求;

向所述黑名单中的识别信息的用户反馈提示消息,所述提示消息包括了用于提示重新执行账号验证过程的信息;

并向所述会员管理系统发送状态更新消息,所述状态更新消息用于触发所述会员管理系统将所述黑名单中的识别信息的用户的账号状态更新为“未验证”。

第二方面,本发明的实施例提供的系统,所述系统中的案件分析服务器上至少配置有:数据提取模块、数据分析模块和管控模块;

所述数据提取模块,用于根据目标用户的识别信息查询数据源,并从所述数据源读取与所述目标用户的识别信息关联的业务信息,所述识别信息至少包括:所述目标用户的账号信息和/或户头编码,所述数据源至少包括:在线交易平台和会员管理系统,所述业务信息至少包括:订单信息、支付信息和物流信息,和/或所述业务信息至少包括:设备指纹信息、会员注册信息和会员属性信息;

所述数据分析模块,用于通过特征模板查询与所述目标用户存在关联关系的用户,特征模板对应所述目标用户所在的业务系统;

所述管控模块,用于针对与所述目标用户存在关联关系的用户发出告警。

结合第二方面,在第二方面的第一种可能的实现方式中,所述数据提取模块,还用于接收所述监控平台发送的案件标识,并从所述在线交易平台读取所述案件标识指向的数据;并从所述案件标识指向的数据中提取所述目标用户的识别信息;

所述数据提取模块,并具体用于:根据所述目标用户的识别信息,从所述在线交易平台读取所述目标用户的识别信息所指向账号下的订单信息、支付信息和物流信息;和/或,根据所述目标用户的识别信息,从所述会员管理系统读取所述目标用户的识别信息所指向账号下的设备指纹信息、会员注册信息和会员属性信息;

所述数据分析模块,具体用于确定生成了所述目标用户的识别信息关联的业务信息的业务系统,并从特征模板库中查询所述业务系统对应的特征模板;并依据所述特征模板,从待识别用户的识别信息和业务信息中,提取所述待识别用户的特征数据;再检测所述待识别用户的特征数据中是否存指定的数据部分在与所述目标用户的特征数据相同,若是则判定为所述与所述目标用户存在关联关系的用户;

其中,所述检测所述待识别用户的特征数据中是否存指定的数据部分在与所述目标用户的特征数据相同,包括:检测所述待识别用户的预留的姓名是否与所述目标用户的相同;和/或,检测所述待识别用户的预留的通讯号码是否与所述目标用户的相同;和/或,检测所述待识别用户的预留的通讯地址是否与所述目标用户的相同;和/或,检测所述待识别用户的注册时的IP地址信息是否与所述目标用户的相同;和/或,检测所述待识别用户的注册时的时间段是否与所述目标用户的相同。

结合第二方面或第二方面的第一种可能的实现方式,在第二种可能的实现方式中,所述管控模块,还用于根据所述与所述目标用户存在关联关系的用户的识别信息,获取在各个业务系统中,针对所述与所述目标用户存在关联关系的用户所生成的业务信息,并向所述监控平台发送;和/或,将所述与所述目标用户存在关联关系的用户的识别信息添加至黑名单。

本发明实施例提供的用于在线业务的监控方法及系统,利用多种数据源构建的类社交/IP地址/手机号码/地理信息等网络,通过特征模板查询与所述目标用户存在关联关系的用户,从而快速定位欺诈账号之间的关联,从而实现了通过目标用户的交易时的IP地址、机器设备指纹、手机号码、收货地址等业务信息,反向定位与之存在关联的其他可疑高危用户。能够及时准确地锁定嫌疑目标,并向监控平台发送相应的告警消息,以及可以采取进一步的批量的冻结或者清理,实现了实时自动侦测并限制可能被用于网络欺诈案件的账号,从而提高了侦测效率,降低了网络交易的风险。

附图说明

为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。

图1为本发明实施例提供的在线业务的监控系统的整体架构示意图;

图2为本发明实施例提供的用于在线业务的监控方法的流程示意图;

图3为本发明实施例提供的用于在线业务的监控系统的结构示意图;

图4a、图4b、图4c、图4d为本发明实施例提供的具体实例的示意图。

具体实施方式

为使本领域技术人员更好地理解本发明的技术方案,下面结合附图和具体实施方式对本发明作进一步详细描述。下文中将详细描述本发明的实施方式,所述实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。

本实施例中的方法流程,具体可以在一种如图1所示的用于在线业务的监控的系统上执行,该系统包括了:案件分析服务器、监控平台和数据源。

其中,案件分析服务器具体可以是服务器、工作站、超级计算机等设备,或者是由多个服务器组成的一种用于数据处理的服务器集群系统。比如:案件分析服务器以master-sl aver集群的形式进行部署,每一个slaver服务器负责一部分的根据目标用户的识别信息向数据源请求查询,并从数据源读取与所述目标用户的识别信息关联的业务信息。Master服务器负责汇总聚类由各个slaver服务器从不同的数据源获取的业务信息。由案件分析服务器基于所汇总聚类的业务信息,通过特征模板查询与所述目标用户存在关联关系的用户。再针对与所述目标用户存在关联关系的用户发出告警。具体的,案件分析服务器也可以是集成在在线交易平台或者会员管理系统中的一台单独的服务器设备或者由多个服务器组成的设备集群。

在本实施例中,针对与所述目标用户存在关联关系的用户发出告警的具体方式,可以包括:针对与所述目标用户存在关联关系的用户,向监控平台发送告警消息,以便于监控平台及时获知与所述目标用户存在关联关系的用户,并针对与所述目标用户存在关联关系的用户采取进一步的监控手段,比如:冻结账号、封号等处理;或者针对与所述目标用户存在关联关系的用户,标记为高危用户,向在线交易平台的商家、维护人员发送告警消息,以及可以降低这些与所述目标用户存在关联关系的用户在在线交易平台的信用等级,或者采取其他能够限制这些与所述目标用户存在关联关系的用户在在线交易平台上的活动程度的措施,以便于预防一部分由高危用户引发的网络欺诈案件;监控平台具体可以是用于实时监控在线交易平台的监控中心,由用于案件分析的服务器设备或服务器集群承担主要的硬件执行过程,例如:目前常用的在线交易平台的风险监控系统;再例如:用于统计监管网络欺诈案件的监管平台,比如目前已知的且较为成熟的“猎网平台”的监控系统。

具体的,案件分析服务器从监控平台进行案件入库,例如:由风控业务人员定义为案件的案件标识所指向的,在线交易平台或者在线支付平台中的数据采集并录入到案件分析服务器。其中,案件分析服务器可以接收所述监控平台发送的案件标识,并从所述在线交易平台读取所述案件标识指向的数据,再从所述案件标识指向的数据中提取所述目标用户的识别信息。在本实施例中,一个案件标识具体可以是一种用于标记交易过程的标识信息,比如标记了用户所操作的在线交易的交易号、标记了用户所操作的在线购物的订单号,或是标记了用户所操作的办理在线金融业务的办理编号。

数据源具体可以是:在线交易平台中用于存储订单信息、支付信息和物流信息等业务信息的服务器设备;以及会员管理系统中用于存储设备指纹信息、会员注册信息和会员属性信息等业务信息的服务器设备。也可以是其他的用于存储业务信息的设备、系统或平台。

需要说明的是,本实施例中所述的“用户”,可以理解为通过用户设备在在线交易平台或会员管理系统等系统中完成账号注册操作的人员,并通过用户设备进行后续的在线交易、在线购物和账号管理等操作行为。用户设备具体可以实做成单独一台装置,或整合于各种不同的媒体数据播放装置中,诸如机顶盒、移动电话、平板电脑(Tablet Personal Computer)、膝上型电脑(Laptop Computer)、多媒体播放器、数字摄影机、个人数字助理(personal digital assistant,简称PDA)、导航装置、移动上网装置(Mobile Internet Device,MID)或可穿戴式设备(Wearable Device)等。

本发明实施例提供一种用于在线业务的监控方法,如图2所示,包括:

S1、根据目标用户的识别信息查询数据源,并从所述数据源读取与所述目标用户的识别信息关联的业务信息。

其中,所述识别信息至少包括:所述目标用户的账号信息和/或户头编码。目标用户可以理解为:在各个用户的各种交易活动中,由在线交易平台产生对应各个用户的账号信息和/或户头编码的,用于记录交易活动的日志数据。这些日志数据用于记录用户的订单、支付、物流等方面的信息。若监控平台向案件分析服务器提供的案件标识指向的日志数据,包括某一个或多个用户相应的交易活动的日志数据,则这一个或多个用户可以作为所述的目标用户,例如:监控平台提供的案件标识指向一件已经确定为网络诈骗案件的日志数据,则该日志数据对应的用户作为目标用户,其账号信息、户头编码等记录至黑名单中;再例如:监控平台提供的案件标识指向指定时间段内的日志数据,则该日志数据对应的用户作为目标用户,在通过人工或采用本实施例的流程完成嫌疑排查后,再判定其账号信息、户头编码等是否记录至黑名单中。本实施例中案件分析服务器可以通过预设特定的特征模板进行嫌疑排查。

需要说明的是,本实施例中所述的账号信息具体包括但不限于:用户在进行账号注册时输入的账号、邮箱、电话号码等具备区分不同用户功能的信息。本实施例中所述的户头编码具体包括但不限于:用户提供的银行卡号、在线支付账号、在线交易平台为完成注册的用户分配的编号,等具备区分不同用户功能且具有唯一性的信息。

在本实施例中,所述业务信息至少包括:订单信息、支付信息和物流信息,和/或所述业务信息至少包括:设备指纹信息、会员注册信息和会员属性信息。例如:如图1所示的,所述数据源至少包括:在线交易平台和会员管理系统,所述业务信息至少包括:订单信息、支付信息和物流信息等由在线交易平台提供的信息,以及所述业务信息至少包括:设备指纹信息、会员注册信息和会员属性信息等由会员管理系统提供的信息。而这些业务信息显然是与某一个或多个用户的识别信息相对应的,若这“某一个或多个用户”为所述的目标用户,则这些业务信息可以理解为与所述目标用户的识别信息关联的业务信息。

S2、通过特征模板查询与所述目标用户存在关联关系的用户。

其中,特征模板对应所述目标用户所在的业务系统,不同的业务系统可以对应各自的一个或一套(包括多个)特征模板。本实施例中所述的业务系统,可以包括但不限于:由在线交易平台运行的在线销售系统(比如各类在线购物网站)、在线金融系统(比如各类提供金融理财服务器的app及相应的服务端系统)、在线促销系统(比如:可用于线上或线下交易的优惠券的在线发放网站、app)和物流系统(比如:物流进度跟踪系统)等,以及由会员管理系统运行的会员活动系统(比如论坛社区)、数据服务类的系统(比如像用户提供的网盘系统、数据备份服务系统等)。需要说明的是,本实施例中的数据源具体包括了服务器设备、服务器集群等硬件层面的设备或设备集群;而本实施例中的业务系统包括了用于向用户提供各类业务、服务的系统,作为数据源的设备或设备集群可以同时承担一种或几种业务系统的运行。

S3、针对与所述目标用户存在关联关系的用户发出告警。

其中,所述告警消息至少包括:所述与所述目标用户存在关联关系的用户的识别信息,以便于监控平台识别出与所述目标用户存在关联关系的用户;所述告警消息还包括:与所述目标用户存在关联关系的用户所在业务系统的系统标识,以便于监控平台识别出与所述目标用户存在关联关系的用户所涉及的业务系统。其中,用户在所涉及的业务系统可以理解为:用户通过操作用户终端在所涉及的业务系统上进行了至少一次注册、登录、浏览等操作。

本实施例提供的在线业务的监控方法,利用多种数据源构建的类社交/IP地址/手机号码/地理信息等网络,通过特征模板查询与所述目标用户存在关联关系的用户,从而快速定位欺诈账号之间的关联,从而实现了通过目标用户的交易时的IP地址、机器设备指纹、手机号码、收货地址等业务信息,反向定位与之存在关联的其他可疑高危用户。能够及时准确地锁定嫌疑目标,并向监控平台发送相应的告警消息,从而提高了侦测效率,降低了网络交易的风险。

在本实施例中,提供一种上述步骤S1采用的一种可能的实现手段,即:案件分析服务器根据目标用户的识别信息查询数据源,并从所述数据源读取与所述目标用户的识别信息关联的业务信息,采用的一种可能的实现手段包括:

案件分析服务器根据所述目标用户的识别信息,从所述在线交易平台读取所述目标用户的识别信息所指向账号下的订单信息、支付信息和物流信息;和/或,根据所述目标用户的识别信息,从所述会员管理系统读取所述目标用户的识别信息所指向账号下的设备指纹信息、会员注册信息和会员属性信息。

其中,根据所述目标用户的识别信息从在线交易平台和会员管理系统读取的信息包括但不限于:订单信息(比如:订单号、下单时间等)、支付信息(比如:付款金额、付款账户、付款时间等)、物流信息(比如:发货时间、打包时间、物流进度信息等)、设备指纹信息(比如目前的网络反欺诈技术中所采用的设备指纹)、会员注册信息(比如会员的注册时间、昵称、邮箱、电话号码等信息)和会员属性信息(比如:会员的权限、等级信息)。例如:案件分析服务器可以根据所述目标用户的识别信息,从多个数据源读取业务信息并对业务信息进行整合。在实际应用中,可以根据交易主体(比如:目标用户的识别信息所表示的用户)关联不同来源的数据,如图3所示的,案件分析服务器可以从监控平台的风险案件库中读取案件标识,或者直接读取预先存储的业务信息;从会员管理系统的机器指纹表中读取设备指纹信息;从会员管理系统的会员信息表中读取会员注册信息;从会员管理系统的会员属性表中读取会员属性信息;也可以是从在线交易平台的支付交易订单表中读取订单信息、支付信息和物流信息等。

进一步的,还包括:案件分析服务器从所述在线交易平台读取所述案件标识指向的数据中,提取各业务系统的交易层数据和账户层数据。对所述交易层数据和所述账户层数据中的各信息类型,按照涉案频率进行统计,并确定各业务系统对应的特征模板所指向的信息类型。

从而将涉案交易主体的IP地址、手机号码、地理信息如收货地址、支付渠道、支付终端、以及注册时间、支付时间的集中性等维度,作为分析总结案件的关联性和团伙欺诈的特征,并导入特征模板。以便于实时更新各个业务系统对应的特征模板,或者在新的业务系统上线时,即时生成对应的特征模板。

在本实施例中,所述交易层数据包括:交易时间信息、交易归属地分布信息、支付终端类型信息和支付渠道信息,所述账户层数据包括:注册地址信息、注册时间信息、注册渠道信息、用户类型信息、注册终端分布信息和会员特征信息。其中,会员特征可以进一步包含:性别分布,年龄分布,账号归属城市,会员状态,是否内部员工,是否绑卡等。

需要说明的是,案件分析服务器根据目标用户的识别信息从数据源查询得到的业务信息的种类,可以是上述所列举的至少一项或是多项,也可以是除了上述所列举的业务信息之外的其他类型的业务信息,具体所要具体的业务信息的类型,可以依据查询与所述目标用户存在关联关系的用户时所采用的特征模板决定。

在本实施例中,提供一种上述步骤S2采用的一种可能的实现手段,即:通过特征模板查询与所述目标用户存在关联关系的用户,采用的一种可能的实现手段包括S21-S23:

S21,确定生成了所述目标用户的识别信息关联的业务信息的业务系统,并从特征模板库中查询所述业务系统对应的特征模板。

S22,依据所述特征模板,从待识别用户的识别信息和业务信息中,提取所述待识别用户的特征数据。

具体的,所述依据所述特征模板,从待识别用户的识别信息和业务信息中,提取所述待识别用户的特征数据,包括:先读取所述特征模板所指向的信息类型;再从待识别用户的识别信息和业务信息中,提取符合所述所指向的信息类型的信息作为所述待识别用户的特征数据。其中,所述所指向的信息类型至少包括:联络信息、注册地址信息和注册时间信息。而对应不同业务系统的特征模板,可以指向不完全相同的信息类型,案件分析服务器可以提取符合特征模板所指向的信息类型的信息作为所述待识别用户的特征数据。例如:对于承担物流业务的系统,特征模板包括:1:统计指定数量的账户的收货联系人、收货手机号码分布情况;2:统计不同的账户间共用注册IP的情况;3:统计注册时间点集中在指定时间段内的情况。则特征模板所指向的信息类型包括:注册IP地址信息和注册时间信息、联络信息(联系人名称、收货手机号)等会员注册信息。案件分析服务器可以从会员管理系统提取这些会员注册信息,并统计得到特征数据,比如:统计得到的特征数据包括:特征1:多个账户相关的收货联系人、收货手机号码分布情况,比如图4a所示的多个账户相关的收货手机号码的分布情况,并得到主要分布城市为南京;特征2:不同的账户间共用注册IP的情况,比如图4b所示的多个账户的注册IP地址的分布情况,并可根据统计得到的IP地址确定主要街道;特征3:注册时间点主要集中在2016年3月1日、2日之间的账户,比如图4c所示的多个账户的注册时间的分布情况,并可根据统计判定是否存在集中注册的情况,其中,图4a、4b、4c中的一条连线表示一个账户。

S23,根据所述特征数据与所述特征模板的匹配程度,检测所述待识别用户是否为所述与所述目标用户存在关联关系的用户。

具体的,所述根据所述特征数据与所述特征模板的匹配程度,检测所述待识别用户是否为所述与所述目标用户存在关联关系的用户,包括:检测所述待识别用户的特征数据中是否存指定的数据部分在与所述目标用户的特征数据相同,若是则判定为所述与所述目标用户存在关联关系的用户。

例如:对于承担金融贷款业务的系统,特征模板包括:验证信息一致性的情况,对关联信息进行验证,并将基于某个信息一致,其他信息不一致的情况用户作为与所述目标用户存在关联关系的用户。对于承担金融贷款业务的系统,特征模板所指向的信息类型包括会员注册信息,比如:借款人张三为目标用户,若借款人张三和借款人李四填写至会员注册信息的联系电话相同,但公司名称完全不一样,则可判定为一个风险点,案件分析服务器判定李四为与张三存在关联关系的用户;再比如:借款人王五为目标用户,且王五的账户已被判定为失联的借款人,若张三和李四的会员注册信息与王五存在相同的部分(比如联系电话、公司名称、地址等信息),则判定张三和李四为与王五存在关联关系的用户。

再例如:可以预设一种特征模板作为通用模板,并对应多种业务系统,以快速识别团伙欺诈。比如:特征模板包括:验证信息一致性的情况,对关联信息进行验证,并将基于某个信息一致,其他信息不一致的情况用户作为与所述目标用户存在关联关系的用户。下面列举一种可能的模板设置情况,包括:号码信息、地址信息、姓氏或设备指纹信息一致,而名字以及其他的会员注册信息不一致时,则判定对应了一致的信息各个账号互为存在关联关系的用户,比如如图4d所示,对应了相同的电话号码的且名字不同的账户,则互为存在关联关系的用户。

除了上述检测手段,本实施例中还列举几种可能的特征模板,检测所述待识别用户的特征数据中是否存指定的数据部分在与所述目标用户的特征数据相同,从而确定所述待识别用户是否为所述与所述目标用户存在关联关系的用户。例如:检测所述待识别用户的预留的姓名是否与所述目标用户的相同,比如:检测到多个账户相关的收货人姓名的姓氏相同但名字无规律,且收货手机号码共用少数几部;和/或,检测所述待识别用户的预留的通讯号码是否与所述目标用户的相同,比如:只共用少数几部收货手机;和/或,检测所述待识别用户的预留的通讯地址是否与所述目标用户的相同,比如:通过S22中所示例的手段,确定收货地址在同一区域;和/或,检测所述待识别用户的注册时的IP地址信息是否与所述目标用户的相同,比如:不同的账户间存在共用注册IP的情况;和/或,检测所述待识别用户的注册时的时间段是否与所述目标用户的相同,比如:都是短时间内连续注册的账户。

在本实施例中,案件分析服务器除了针对与所述目标用户存在关联关系的用户发出告警之外,还可以执行如下流程,其中包括:

根据所述与所述目标用户存在关联关系的用户的识别信息,获取在各个业务系统中,针对所述与所述目标用户存在关联关系的用户所生成的业务信息,并向所述监控平台发送,从而支持案件反查追溯数据明细导出功能,以便于所述监控平台通过已有的自动化案件分析系统接收或者由监控人员手动调取案件查询明细数据,并进行案件分析;

和/或,将所述与所述目标用户存在关联关系的用户的识别信息添加至黑名单。例如:将所述与所述目标用户存在关联关系的用户判定为作案团伙中的其他成员后,将这些存在关联关系的用户并对这批用户录入黑名单(以便拦截进入黑名单的用户所发出的交易请求)或进行账户冻结等处理。

进一步的,对于录入黑名单的用户,还可以执行如下流程,其中包括:

当检测到至少一个业务系统接收到所述黑名单中的识别信息的用户所发送的交易请求时,拦截所述交易请求;并向所述黑名单中的识别信息的用户反馈提示消息;并可以同时向所述会员管理系统发送状态更新消息。

其中,所述提示消息包括了用于提示重新执行账号验证过程的信息;所述状态更新消息用于触发所述会员管理系统将所述黑名单中的识别信息的用户的账号状态更新为“未验证”,以便于被误判或者被盗号的用户通过重新执行验证过程,恢复账号的功能。

本实施例提供的在线业务的监控方法,利用多种数据源构建的类社交/IP地址/手机号码/地理信息等网络,通过特征模板查询与所述目标用户存在关联关系的用户,从而快速定位欺诈账号之间的关联,从而实现了通过目标用户的交易时的IP地址、机器设备指纹、手机号码、收货地址等业务信息,反向定位与之存在关联的其他可疑高危用户。能够及时准确地锁定嫌疑目标,并向监控平台发送相应的告警消息,以及可以采取进一步的批量的冻结或者清理,实现了实时自动侦测并限制可能被用于网络欺诈案件的账号,从而提高了侦测效率,降低了网络交易的风险。

本发明实施例还提供一种用于在线业务的监控系统,如图3所示的,所述系统中的案件分析服务器上至少配置有:数据提取模块、数据分析模块和管控模块;

所述数据提取模块,用于根据目标用户的识别信息查询数据源,并从所述数据源读取与所述目标用户的识别信息关联的业务信息,所述识别信息至少包括:所述目标用户的账号信息和/或户头编码,所述数据源至少包括:在线交易平台和会员管理系统,所述业务信息至少包括:订单信息、支付信息和物流信息,和/或所述业务信息至少包括:设备指纹信息、会员注册信息和会员属性信息;

所述数据分析模块,用于通过特征模板查询与所述目标用户存在关联关系的用户,特征模板对应所述目标用户所在的业务系统;

所述管控模块,用于针对与所述目标用户存在关联关系的用户发出告警。

在本实施例中,所述数据提取模块,还用于接收所述监控平台发送的案件标识,并从所述在线交易平台读取所述案件标识指向的数据;并从所述案件标识指向的数据中提取所述目标用户的识别信息;

所述数据提取模块,并具体用于:根据所述目标用户的识别信息,从所述在线交易平台读取所述目标用户的识别信息所指向账号下的订单信息、支付信息和物流信息;和/或,根据所述目标用户的识别信息,从所述会员管理系统读取所述目标用户的识别信息所指向账号下的设备指纹信息、会员注册信息和会员属性信息;

所述数据分析模块,具体用于确定生成了所述目标用户的识别信息关联的业务信息的业务系统,并从特征模板库中查询所述业务系统对应的特征模板;并依据所述特征模板,从待识别用户的识别信息和业务信息中,提取所述待识别用户的特征数据;再检测所述待识别用户的特征数据中是否存指定的数据部分在与所述目标用户的特征数据相同,若是则判定为所述与所述目标用户存在关联关系的用户;

其中,所述检测所述待识别用户的特征数据中是否存指定的数据部分在与所述目标用户的特征数据相同,包括:检测所述待识别用户的预留的姓名是否与所述目标用户的相同;和/或,检测所述待识别用户的预留的通讯号码是否与所述目标用户的相同;和/或,检测所述待识别用户的预留的通讯地址是否与所述目标用户的相同;和/或,检测所述待识别用户的注册时的IP地址信息是否与所述目标用户的相同;和/或,检测所述待识别用户的注册时的时间段是否与所述目标用户的相同。

在本实施例中,所述管控模块,还用于根据所述与所述目标用户存在关联关系的用户的识别信息,获取在各个业务系统中,针对所述与所述目标用户存在关联关系的用户所生成的业务信息,并向所述监控平台发送;和/或,将所述与所述目标用户存在关联关系的用户的识别信息添加至黑名单。

本实施例提供的在线业务的监控系统,通过利用多种数据源构建的类社交/IP地址/手机号码/地理信息等网络,通过特征模板查询与所述目标用户存在关联关系的用户,从而快速定位欺诈账号之间的关联,从而实现了通过目标用户的交易时的IP地址、机器设备指纹、手机号码、收货地址等业务信息,反向定位与之存在关联的其他可疑高危用户。能够及时准确地锁定嫌疑目标,并向监控平台发送相应的告警消息,以及可以采取进一步的批量的冻结或者清理,实现了实时自动侦测并限制可能被用于网络欺诈案件的账号,从而提高了侦测效率,降低了网络交易的风险。

本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

再多了解一些
当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1