本发明涉及信息安全技术领域,尤其涉及一种预测用户是否存在恶意行为的方法和计算设备。
背景技术:
随着网络通信技术的迅速发展、互联网应用的持续深化、所承载信息的日益丰富,互联网已成为人类社会重要的基础设施,与此同时,网络安全问题也日益严重。其中,诸如网络欺诈之类的网络恶意行为正逐渐成为危害公众财产安全的一种重要犯罪手段。
目前,针对这种恶意行为进行治理的主要方式是基于用户的基础信息来检测,例如用户的征信评分、用户的消费情况、用户的历史借贷情况等等。但由于用户个人的基础信息比较容易伪造,并且每个用户的信息很大程度是孤立的,和其他信息缺乏关联信息,导致对网络异常的检测准确度不高,误检和漏检情况较多。
因此,迫切需要一种更先进更准确的预测用户是否存在恶意行为的方法和计算设备的方案。
技术实现要素:
为此,本发明提供一种基于用户关系图来预测用户是否存在恶意行为的方案,以力图解决或者至少缓解上面存在的至少一个问题。
根据本发明的一个方面,提供了一种基于用户关系图来预测用户是否存在恶意行为的方法,适于在计算设备中执行,用户关系图包括节点和连接关联节点的边,该方法包括步骤:获取用户的用户数据;根据所获取的用户数据来更新用户关系图;根据用户关系图,判断用户是否与预置的异常模式相匹配;根据所匹配到的异常模式以及对应于该异常模式的概率值,计算用户的恶意概率;以及预测恶意概率位于预定数值区间的用户存在恶意行为。
根据本发明的另一方面,提供了一种计算设备,包括:一个或多个处理器;
存储器;以及一个或多个程序,其中一个或多个程序存储在存储器中并被配置为由一个或多个处理器执行,一个或多个程序包括用于执行根据本发明的基于用户关系图来预测用户是否存在恶意行为的方法中的任一方法的指令。
根据本发明的还有一个方面,提供了一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据本发明的基于用户关系图来预测用户是否存在恶意行为的方法中的任一方法。
根据本发明的基于用户关系图来预测用户是否存在恶意行为的方案,采用用户关系图以图的形式来展现用户数据,在用户关系图中提取出与用户关联的、多维的信息,将提取到的与用户关联的、多维的信息与预置的异常模式进行匹配,从而可以有效地预测该用户是否存在恶意行为,并且准确度高,更加直观。
附图说明
为了实现上述以及相关目的,本文结合下面的描述和附图来描述某些说明性方面,这些方面指示了可以实践本文所公开的原理的各种方式,并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述,本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开,相同的附图标记通常指代相同的部件或元素。
图1示出了根据本发明的一个示例性实施方式的计算设备100的结构框图;
图2示出了根据本发明的一个示例性实施方式的计算设备100的网络环境的示意图;
图3示出了根据本发明的一个示例性实施方式的用户关系图的示意图;以及
图4示出了根据本发明的一个示例性实施方式的基于用户关系图来预测用户是否存在恶意行为的方法400的流程图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
图1示出了根据本发明一个示例性实施例的计算设备100的结构框图。该计算设备100可以实现为服务器,例如文件服务器、数据库服务器、应用程序服务器和网络服务器等,也可以实现为包括桌面计算机和笔记本计算机配置的个人计算机。此外,计算设备100还可以实现为小尺寸便携(或者移动)电子设备的一部分,这些电子设备可以是诸如蜂窝电话、个人数字助理(pda)、个人媒体播放器设备、无线网络浏览设备、个人头戴设备、应用专用设备、或者可以包括上面任何功能的混合设备。
在基本的配置102中,计算设备100典型地包括系统存储器106和一个或者多个处理器104。存储器总线108可以用于在处理器104和系统存储器106之间的通信。
取决于期望的配置,处理器104可以是任何类型的处理,包括但不限于:微处理器((μp)、微控制器(μc)、数字信息处理器(dsp)或者它们的任何组合。处理器104可以包括诸如一级高速缓存110和二级高速缓存112之类的一个或者多个级别的高速缓存、处理器核心114和寄存器116。示例的处理器核心114可以包括运算逻辑单元(alu)、浮点数单元(fpu)、数字信号处理核心(dsp核心)或者它们的任何组合。示例的存储器控制器118可以与处理器104一起使用,或者在一些实现中,存储器控制器218可以是处理器104的一个内部部分。
取决于期望的配置,系统存储器106可以是任意类型的存储器,包括但不限于:易失性存储器(诸如ram)、非易失性存储器(诸如rom、闪存等)或者它们的任何组合。系统存储器106可以包括操作系统120、一个或者多个程序122以及程序数据124。在一些实施方式中,程序122可以被配置为在操作系统上由一个或者多个处理器104利用程序数据124执行指令。
计算设备100还可以包括有助于从各种接口设备(例如,输出设备142、外设接口144和通信设备146)到基本配置102经由总线/接口控制器130的通信的接口总线140。示例的输出设备142包括图形处理单元148和音频处理单元150。它们可以被配置为有助于经由一个或者多个a/v端口152与诸如显示器或者扬声器之类的各种外部设备进行通信。示例外设接口144可以包括串行接口控制器154和并行接口控制器156,它们可以被配置为有助于经由一个或者多个i/o端口158和诸如输入设备(例如,键盘、鼠标、笔、语音输入设备、触摸输入设备)或者其他外设(例如打印机、扫描仪等)之类的外部设备进行通信。示例的通信设备146可以包括网络控制器160,其可以被布置为便于经由一个或者多个通信端口164与一个或者多个其他计算设备162通过网络通信链路的通信。
网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块,并且可以包括任何信息递送介质。“调制数据信号”可以这样的信号,它的数据集中的一个或者多个或者它的改变可以在信号中编码信息的方式进行。作为非限制性的示例,通信介质可以包括诸如有线网络或者专线网络之类的有线介质,以及诸如声音、射频(rf)、微波、红外(ir)或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。
图2示出了根据本发明的一个示例性实施方式的计算设备100的网络环境的示意图。如图2所示,计算设备100可以从网络中获取用户数据,同时,计算设备100还与数据存储设备相耦接,数据存储设备可以实现为诸如neo4j和titan之类的图数据库(graphdatabase)管理系统。数据存储设备存储用户关系图,用户关系图存储着多个用户的用户数据,并将其以“图”的形式展现出来。
图3示出了根据本发明的一个示例性实施方式的用户关系图的示意图。如图3所示,用户关系图包括多个节点和连接关联节点的边,其中节点具有多种类型,例如可以包括人员节点、电话节点、贷款节点、贷款平台节点、和银行卡节点、公司节点等等。每个类型的节点均有相应的属性值,例如人员节点具有以下属性值:该人员的姓名、身份证号码、银行征信评分和是否存在恶意行为的标记,电话节点具有以下属性值:该电话号码的数值,贷款节点具有以下属性值:该笔贷款的贷款时间、贷款金额和逾期次数,贷款平台具有以下属性值:该贷款平台的名称,银行卡节点具有以下属性值:该银行卡号码,公司节点具有以下属性值:该公司名称。
节点之间的边则可以指示两个节点之间的关系,例如两个人员节点之间的边指示两个人员之间存在关联,人员节点与电话节点之间的边指示该电话属于该人员,人员节点与公司节点之间的边指示该人员任职于该公司,人员节点与贷款节点之间的边指示该笔贷款属于该人员,公司节点与电话节点之间的边指示该电话属于该公司,两个电话节点之间的边指示两个电话之间存在呼叫记录,贷款节点与贷款平台节点之间的边指示该笔贷款交易于该贷款平台。
计算设备100的一个或多个程序122包括用于执行根据本发明的基于用户关系图来预测用户是否存在恶意行为的方法中任一方法的指令。图4示出了根据本发明一个示例性实施方式的基于用户关系图来预测用户是否存在恶意行为的方法400的流程图。如图4所示,基于用户关系图来预测用户是否存在恶意行为的方法400始于步骤s420。
在步骤s420中,获取用户的用户数据,用户数据可以包括用户及其关联人的基础信息(姓名、身份证号码、银行征信评分等等)、用户及其关联人的电话号码、用户的通话记录、用户的贷款信息(贷款的贷款时间、贷款金额、逾期次数)和贷款所在的贷款平台、以及银行卡信息等等。
而后在步骤s440中,根据所获取的用户数据来更新数据存储设备中的用户关系图。
具体地,根据本发明的一个实施方式,对于用户数据中的用户及其每个关联人,均可以将其作为一个人员节点添加至用户关系图,并将基础信息中所包含的该人员的姓名、身份证号码、银行征信评分作为该人员节点的属性值。然后建立用户对应的人员节点与每个该用户的关联人对应的人员节点之间的边。
根据本发明的一个实施方式,对于用户数据中的每个电话号码,均可以将其作为一个电话节点添加至用户关系图,并将电话号码数值作为该电话节点的属性值。然后,可以建立该电话节点与该电话号码所属的人员对应的人员节点之间的边。还可以根据用户的通话记录,建立用户的电话号码对应的电话节点与每个该电话号码呼叫过的电话号码对应的电话节点之间的边。
根据本发明的一个实施方式,对于用户数据中的每个贷款平台,均可以将其作为一个贷款平台节点添加至用户关系图,并将该贷款平台名称作为该贷款平台节点的属性值。对于用户数据中的每笔贷款,均可以将其作为一个贷款节点添加至用户关系图,并将贷款信息中所包含的该笔贷款的贷款时间、贷款金额、逾期次数作为该贷款节点的属性值。然后,可以建立该贷款节点与该笔贷款所属的人员对应的人员节点之间的边,建立该贷款节点与该笔贷款所在的贷款平台对应的贷款平台节点之间的边。
根据本发明的一个实施方式,对于用户数据中的每个银行卡,均可以将其作为一个银行卡节点添加至用户关系图,并将该银行卡号码作为该银行卡节点的属性值。然后可以建立该银行卡节点与该银行卡所属的人员对应的人员节点之间的边。
当然,在进行上述更新之前,可以先查找在用户关系图中是否已存在需要更新的节点和边,若已存在,则对该节点和边不进行更新。
更新完用户关系图之后,在步骤s460中,根据该用户关系图,判断用户是否与预置的异常模式相匹配。
其中,预置的异常模式可以根据用户关系图中用户的关联关系生成,也可以人工进行配置,并且每个异常模式都具有对应的概率值。根据本发明的一个实施方式,异常模式及其概率值可以如下表:
其中,可以在用户关系图中,根据与用户相关的节点以及通过边与该节点相连的其它节点的属性值,判断用户是否与预置的异常模式相匹配。
具体地,步骤s460可以包括根据用户关系图判断用户是否与第一异常模式相匹配,判断用户是否与第一异常模式相匹配的步骤包括:在用户关系图中,查找与用户电话号码对应的电话节点连接的电话节点。接着获取与所查找到的电话节点连接的、标记为存在恶意行为的人员节点的数目。若该数目超过第一阈值,则确定该用户与第一异常模式匹配。
步骤s460还可以包括根据用户关系图判断用户是否与第二异常模式相匹配,判断用户是否与第二异常模式相匹配的步骤包括:在用户关系图中,查找与用户对应的人员节点连接的人员节点。接着计算所查找到的人员节点中与贷款次数超过第二阈值的贷款节点连接的人员节点的数目。若该数目超过第一比例,则确定该用户与第二异常模式匹配。
步骤s460还可以包括根据用户关系图判断用户是否与第三异常模式相匹配,判断用户是否与第三异常模式相匹配的步骤包括:在用户关系图中,查找与用户对应的人员节点连接的人员节点。接着计算所查找到的人员节点中银行征信评分低于第三阈值的人员节点的数目。若该数目超过第二比例,则确定该用户与第三异常模式匹配。
步骤s460还可以包括根据用户关系图判断用户是否与第四异常模式相匹配,判断用户是否与第四异常模式相匹配的步骤包括:在用户关系图中,查找与用户对应的人员节点连接的贷款节点。接着获取与所查找到的贷款节点中贷款时间位于预定时间范围内的贷款节点连接的贷款平台节点的数目。若该数目超过第四阈值,则确定该用户与第四异常模式匹配。
步骤s460还可以包括根据用户关系图判断用户是否与第五异常模式相匹配,判断用户是否与第五异常模式相匹配的步骤包括:在用户关系图中,查找与用户对应的人员节点连接的人员节点。接着获取所查找到的人员节点中标记为存在恶意行为的人员节点的数目。若该数目超过第五阈值,则确定该用户与第五异常模式匹配。
步骤s460还可以根据用户关系图判断用户是否与第六异常模式相匹配,判断用户是否与第六异常模式相匹配的步骤包括:在用户关系图中,查找与用户对应的人员节点连接的银行卡节点。接着查找与该银行卡节点连接的其他人员节点,获取所查找到的人员节点中与贷款节点连接的人员节点的数目。若该数目超过第六阈值,则确定该用户与第六异常模式匹配。
确定相匹配的异常模式之后,在步骤s480中,根据所匹配到的异常模式以及对应于该异常模式的概率值,计算用户的恶意概率。
具体地,对于每个所匹配到的异常模式,均可以获取对应于该异常模式的概率值。而后将所获取的概率值相加,以得到概率值之和,最后根据得到的概率值之和计算用户的恶意概率,其中概率值之和越大,用户的恶意概率越大。
根据本发明的一个实施方式,假设所匹配到的异常模式的数目为n,所匹配到的第i个异常模式的概率值为ri,则计算用户的恶意概率y的公式可以如下:
首先,利用式(1)计算映射到取值区间[-5,5]的概率值之和x,而后通过式(2)的sigmoid函数,可以计算得到取值区间为[0,1]的恶意概率y。
最后,在步骤s490中,预测恶意概率位于预定数值区间的用户存在恶意行为。具体地,若恶意概率大于或等于第一阈值r1,即预定数值区间为[r1,∞),则预测用户存在恶意行为,并可以将存在恶意行为的标记作为该用户对应的人员节点的属性值添加至用户关系图。若恶意概率小于第一阈值r1、并大于或等于第二阈值r2,即位于数值区间[r2,r1),可以认为该用户存在异常嫌疑,并通过人工分析调查后确认该用户是否存在恶意行为,再设置对应于该用户的人员节点的属性值中是否存在恶意行为的标记。若恶意概率小于第二阈值r2,即位于数值区间(∞,r2),可以预测该用户不存在恶意行为,并设置其对应的人员节点的标记为不存在恶意行为。其中,根据本发明的一个实施方式,第一阈值r1可以为0.98,第二阈值r2可以为0.70。
根据本发明的一个实施方式,还可以对预置的每个异常模式,根据与该异常模式相匹配的用户中实际存在恶意行为的用户数目,更新该异常模式的概率值。具体地,可以计算与该异常模式相匹配的用户中实际存在恶意行为的用户数目在全部数目中的比率,并将该异常模式的概率值更新为该比率。
这样,通过提取出的与用户关联的、多维的信息,实现了对恶意行为的准确检测,并对团伙异常、信息伪造等相对复杂的恶意行为,也有很好的检测效果。
此外,需要指出的是,除了上表所述的异常模式,根据本发明的一个实施方式,还可以基于用户关系图自动生成异常模式。
具体地,可以根据用户关系图中的每个人员节点以及通过边与该人员节点相连接的其他节点的属性值,提取每个人员节点的至少一类关联特征。提取的关联特征至少可以包括以下一类:
1)与该人员节点连接的人员节点中标记为存在恶意行为的人员节点个数;
2)与该人员节点连接的人员节点中标记为存在恶意行为的人员节点占比;
3)与该人员节点连接的贷款节点的逾期次数的总数;
4)与该人员节点连接的贷款节点的逾期次数的平均数;
5)与人员节点连接的贷款节点的逾期次数的中位数;
6)与该人员节点连接的电话节点的个数;
7)与该人员节点连接的电话节点,其连接的所有人员节点的个数;
8)与该人员节点连接的电话节点,其连接的所有人员节点中标记为存在恶意行为的人员节点个数;
9)与该人员节点连接的电话节点,其连接的电话节点连接的人员节点中标记为存在恶意行为的人员节点的个数;
10)与该人员节点连接的电话节点,其连接的电话节点连接的人员节点的银行征信评分的均值;
11)与该人员节点连接的电话节点,其连接的电话节点连接的人员节点的银行征信评分的中位数;
12)与该人员节点连接的银行卡节点的个数;
13)与该人员节点连接的银行卡节点连接的人员节点个数;
14)与该人员节点连接的银行卡节点连接的人员节点中标记为存在恶意行为的人员节点个数;
15)与该人员节点连接的贷款节点中贷款时间位于预定时间范围内的贷款节点个数;
16)与该人员节点连接的贷款节点中贷款时间位于预定时间范围内的贷款节点连接的贷款平台个数;
17)与该人员节点连接的人员节点,其连接的人员节点中标记为存在恶意行为的人员节点个数;
18)与该人员节点连接的人员节点,其连接的人员节点中标记为存在恶意行为的人员节点占比;
19)与该人员节点连接的人员节点,其连接的人员节点连接的贷款节点的逾期次数的总数;
20)与该人员节点连接的人员节点,其连接的人员节点连接的贷款节点的逾期次数的平均数;
21)与该人员节点连接的人员节点,其连接的人员节点连接的贷款节点的逾期次数的中位数;
22)与该人员节点连接的人员节点,其连接的人员节点的银行征信评分的均值;
23)与该人员节点连接的人员节点,其连接的人员节点的银行征信评分的中位数。
提取关联特征之后,对于其中每一类关联特征,可以根据标记为存在恶意行为的人员节点的该类关联特征,计算该类关联特征的异常参考值,同时根据标记为不存在恶意行为的人员节点的该类关联特征,计算该类关联特征的非异常参考值。这里的参考值可以包括最小值、最大值、平均值、第一四分位数和第三四分位数。
最后根据所计算的至少一类关联特征的异常参考值和非异常参考值,可以生成异常模式,并根据与所生成的异常模式相匹配的人员节点中标记为存在恶意行为的人员节点数目来计算得到该异常模式的概率值。例如,可以计算与该异常模式相匹配的人员节点中标记为存在恶意行为的人员节点数目在全部数目中的比率,以此为该异常模式的概率值。
根据本发明的一个实施方式,对于非异常最大值不大于异常最小值的每一类关联特征,可以生成异常模式的内容如下:该关联特征大于非异常最大值和异常最小值的均值。例如对于关联特征1):与该人员节点连接的人员节点中标记为存在恶意行为的人员节点个数,如果计算出的该类关联特征的异常最小值为5,该类关联特征的非异常最大值为3,显然地,非异常最大值小于异常最小值,则生成异常模式的内容为:与用户对应的人员节点连接的人员节点中标记为存在恶意行为的人员节点个数大于(5+3)/2=4。
根据本发明的一个实施方式,对于非异常最大值大于异常最小值、不大于异常第一四分位数的每一类关联特征,生成异常模式的内容如下:该关联特征大于非异常最大值和异常第一四分位数的均值。
根据本发明的一个实施方式,对于非异常最大值大于异常最小值、大于异常第一四分位数、且非异常第三四分位数小于异常第三四分位数的每一类关联特征,生成异常模式的内容如下:该关联特征大于非异常最大值和异常最小值的均值。
还可以将多类关联特征组合起来生成异常模式。根据本发明的一个实施方式,可以获取非异常最大值大于异常最小值、大于异常第一四分位数、且非异常第三四分位数小于异常第三四分位数的多类关联特征。
而后,对于所获取的多类关联特征中的每一类关联特征(假设为关联特征a),均获取该类关联特征(关联特征a)的异常第三四分位数不小于该类关联特征(关联特征a)的异常第一四分位数、且标记为不存在恶意行为的人员节点。再对于多类关联特征中另外的每一类关联特征(假设为关联特征b),均计算所获取的人员节点的该另一类关联特征(关联特征b)的最大值。若所计算的另一类关联特征(关联特征b)的最大值小于该另一类关联特征(关联特征b)的异常最小值,则均生成异常模式的内容如下:该类关联特征(关联特征a)大于该类关联特征(关联特征a)的非异常第三四分位数、且另一类关联特征(关联特征b)大于该另一类关联特征(关联特征b)的异常最小值。
这样,可以为恶意行为的检测提供更多样更丰富的异常模式,进一步提高了检测的准确度。
应当理解,这里描述的各种技术可结合硬件或软件,或者它们的组合一起实现。从而,本发明的方法和设备,或者本发明的方法和设备的某些方面或部分可采取嵌入有形媒介,例如软盘、cd-rom、硬盘驱动器或者其它任意机器可读的存储介质中的程序代码(即指令)的形式,其中当程序被载入诸如计算机之类的机器,并被该机器执行时,该机器变成实践本发明的设备。
在程序代码在可编程计算机上执行的情况下,计算设备一般包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件),至少一个输入装置,和至少一个输出装置。其中,存储器被配置用于存储程序代码;处理器被配置用于根据该存储器中存储的该程序代码中的指令,执行本发明的各种方法。
以示例而非限制的方式,计算机可读介质包括计算机存储介质和通信介质。计算机可读介质包括计算机存储介质和通信介质。计算机存储介质存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息。通信介质一般以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,并且包括任何信息传递介质。以上的任一种的组合也包括在计算机可读介质的范围之内。
应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员应当理解在本文所公开的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中,或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
本发明还可以包括:a9、如a4所述的方法,其中,所述根据用户关系图,判断用户是否与预置的异常模式相匹配的步骤包括根据用户关系图判断用户是否与第五异常模式相匹配,所述判断用户是否与第五异常模式相匹配的步骤包括:在用户关系图中,查找与用户对应的人员节点连接的人员节点;获取所查找到的人员节点中标记为存在恶意行为的人员节点的数目;若该数目超过第五阈值,则确定该用户与第五异常模式匹配。a10、如a4所述的方法,其中,用户数据包括用户的银行卡信息,用户关系图中的节点包括银行卡节点,所述根据所获取的用户数据来更新用户关系图的步骤包括:对于用户数据中的每个银行卡,均将其作为一个银行卡节点添加至用户关系图,并将该银行卡号码作为该银行卡节点的属性值;建立该银行卡节点与该银行卡所属的人员对应的人员节点之间的边。a11、如a10所述的方法,其中,所述根据用户关系图,判断用户是否与预置的异常模式相匹配的步骤包括根据用户关系图判断用户是否与第六异常模式相匹配,所述判断用户是否与第六异常模式相匹配的步骤包括:在用户关系图中,查找与用户对应的人员节点连接的银行卡节点;查找与该银行卡节点连接的其他人员节点;获取所查找到的人员节点中与贷款节点连接的人员节点的数目;若该数目超过第六阈值,则确定该用户与第六异常模式匹配。a12、如a1-11中任一个所述的方法,其中,所述根据所匹配到的异常模式以及对应于该异常模式的概率值,计算用户的恶意概率的步骤包括:对于每个所匹配到的异常模式,均获取对应于该异常模式的概率值;将所获取的概率值相加,以得到概率值之和;根据得到的概率值之和计算用户的恶意概率,其中所述概率值之和越大,用户的恶意概率越大。a13、如a12所述的方法,其中,所述计算用户的恶意概率的公式如下:
其中,n为所匹配到的异常模式的数目,ri为所匹配到的第i个异常模式的概率值,y为用户的恶意概率。a14、如a1-13中任一个所述的方法,其中,还包括步骤:在预测恶意概率位于预定数值区间的用户存在恶意行为之后,将存在恶意行为的标记作为该用户对应的人员节点的属性值添加至用户关系图。a15、如a1-14中任一个所述的方法,其中,还包括步骤:对预置的每个异常模式,根据与该异常模式相匹配的用户中实际存在恶意行为的用户数目,更新该异常模式的概率值。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
此外,所述实施例中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此,具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外,装置实施例的在此所述的元素是如下装置的例子:该装置用于实施由为了实施该发明的目的的元素所执行的功能。
如在此所使用的那样,除非另行规定,使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例,并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。
尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。