可疑资金链路检测方法及装置与流程
本公开涉及互联网技术领域,具体涉及一种可疑资金链路检测方法及装置。
背景技术:
随着信息科技的发展,互联网技术逐渐拓展至金融领域,形成新的业务模式——互联网金融。互联网金融拓宽了金融服务的通道、优化了资金的配置、降低了交易成本、简化交易程序,能够弥补传统金融的不足,满足用户多样化的需求。
然而,互联网金融同时也存在着严峻的资金交易风险,网络非法资金转移就是其中之一,由于互联网本身具有匿名、快速、便捷等特点,因此网络非法资金转移作案也变得更加隐蔽化、智能化和规模化。
但是在相关技术中,对于金融服务提供端,在反非法资金转移能力建设上,主要依赖工具是交易关系网络,在对可疑资金链路进行判断时,需要人工根据关系网络提供的客户间交易明细逐步进行筛选和拓展。这种可疑资金判断方式最大局限性是效率低,由于关系网络中客户间的交易量通常很巨大,且非法资金交易的链路本身也很复杂,远远超出了人工所能处理的范围。因此,如何快速高效地对可疑资金链路进行筛选判断,已经成为互联网金融行业发展亟待解决的问题。
技术实现要素:
为解决对可疑资金进行筛选和判断的效率低的技术问题,本公开提供了一种检测效率更高的可疑资金链路检测方法及装置。
第一方面,本公开提供了一种可疑资金链路检测方法,应用于第三方支付平台,包括:
获取历史资金交易数据;
根据所述历史资金交易数据中各个账户的资金交易关系,构建交易图数据网络;
根据所述交易图数据网络,得到待检测目标在所述交易图数据网络中对应的各资金链路;
判断各所述资金链路是否满足预设筛选条件;
当所述资金链路满足预设筛选条件时,确定该所述资金链路为可疑资金链路。
在本公开一些实施方式中,所述历史资金交易数据包括各资金交易对应的账户标识、以及交易时间;
所述根据所述交易图数据网络,得到待检测目标在所述交易图数据网络中对应的各资金链路包括:
以所述待检测目标对应的账户作为起始顶点,在所述交易图数据网络中,搜索以所述起始顶点为起点的各所述资金链路;
当满足搜索停止条件时,停止搜索,得到各所述资金链路。
在本公开一些实施方式中,所述以所述待检测目标对应的账户作为起始顶点,在所述交易图数据网络中,搜索以所述起始顶点为起点的各所述资金链路包括:
接收检测请求,所述检测请求包括所述待检测目标的账户标识和查询时间;
根据所述账户标识,在所述交易图数据网络中,确定所述待检测目标对应的顶点,并作为所述起始顶点;
获取所述起始顶点流出的且与所述查询时间在第四预设时间间隔内的第一交易;
确定所述第一交易流入的第二顶点,对所述第二顶点的流出交易进行搜索。
在本公开一些实施方式中,对所述第二顶点的流出交易进行搜索包括:
获取所述第二顶点流出的交易集合;
根据交易时间,确定所述第一交易中各交易的最早交易时间和最晚交易时间;
获取所述交易集合中,位于最早交易时间和第一时间之间的第二交易,所述第一时间是最晚交易时间与第五预设时间之和;
确定所述第二交易流入的第三顶点,对所述第三顶点的流出交易进行搜索。
在本公开一些实施方式中,在所述根据所述账户标识,在所述交易图数据网络中,确定所述待检测目标对应的顶点,并作为所述起始顶点,与获取所述起始顶点流出的且与所述查询时间在第四预设时间间隔内的第一交易之间,还包括:
将所述起始顶点状态更改为激活状态。
在本公开一些实施方式中,所述确定所述第一交易流入的第二顶点,包括:
所述起始顶点向所述第一交易流入的顶点发送广播消息;
根据所述广播消息,顶点切换为激活状态;
确定被激活的顶点为所述第二顶点。
在本公开一些实施方式中,所述当满足搜索停止条件时,停止搜索包括:
当满足以下任一条件时,停止搜索:
所述资金链路的交易时长超过第一预设时间;
所述资金链路的交易次数超过第一预设阈值;
所述资金链路中的资金转移至实体账户。
在本公开一些实施方式中,判断各所述资金链路是否满足预设筛选条件包括:
当所述资金链路满足以下任一条件时,确定所述资金链路满足预设筛选条件:
所述资金链路的交易时长小于或等于第二预设时间;
所述资金链路的交易次数大于或等于第二预设阈值;
所述资金链路中的资金转移至实体账户。
在本公开一些实施方式中,在所述确定该所述资金链路为可疑资金链路之后,还包括:
判断所述可疑资金链路是否为非法交易资金链路。
在本公开一些实施方式中,所述判断所述可疑资金链路是否为非法交易资金链路包括:
判断
所述可疑资金链路的交易时长是否小于或等于第三预设时间;且
所述可疑资金链路的交易次数是否大于或等于第三预设阈值;且
所述资金链路中的资金是否转移至实体账户;
若是,则确定该可疑资金链路为非法交易资金链路。
在本公开一些实施方式中,在所述根据所述历史资金交易数据中各个用户的资金交易关系,构建交易图数据网络之前,还包括:
对所述历史资金交易数据进行处理。
在本公开一些实施方式中,所述对所述历史资金交易数据进行处理包括:
去除同一所述账户之间的交易数据;
去除交易资金金额低于预设阈值的交易数据;
去除白名单账户的交易数据;以及
对代表同一交易的不同订单数据进行合并。
第二方面,本公开提供了一种可疑资金链路检测装置,包括:
获取模块,用于获取历史资金交易数据;
构建模块,用于根据所述历史资金交易数据中各个账户的资金交易关系,构建交易图数据网络;
处理模块,用于根据所述交易图数据网络,得到待检测目标在所述交易图数据网络中对应的各资金链路;
第一判断模块,用于判断各所述资金链路是否满足预设筛选条件;以及
确定模块,用于当所述资金链路满足预设筛选条件时,确定该所述资金链路为可疑资金链路。
在本公开一些实施方式中,所述处理模块具体用于:
以所述待检测目标对应的账户作为起始顶点,在所述交易图数据网络中,搜索以所述起始顶点为起点的各所述资金链路;和
当满足搜索停止条件时,停止搜索,得到各所述资金链路。
在本公开一些实施方式中,所述处理模块在用于以所述待检测目标对应的账户作为起始顶点,在所述交易图数据网络中,搜索以所述起始顶点为起点的各所述资金链路时,包括:
接收检测请求,所述检测请求包括所述待检测目标的账户标识和查询时间;
根据所述账户标识,在所述交易图数据网络中,确定所述待检测目标对应的顶点,并作为所述起始顶点;
获取所述起始顶点流出的且与所述查询时间在第四预设时间间隔内的第一交易;
确定所述第一交易流入的第二顶点,对所述第二顶点的流出交易进行搜索。
在本公开一些实施方式中,所述处理模块在用于对所述第二顶点的流出交易进行搜索时,还包括:
获取所述第二顶点流出的交易集合;
根据交易时间,确定所述第一交易中各交易的最早交易时间和最晚交易时间;
获取所述交易集合中,位于最早交易时间和第一时间之间的第二交易,所述第一时间是最晚交易时间与第五预设时间之和;
确定所述第二交易流入的第三顶点,对所述第三顶点的流出交易进行搜索。
在本公开一些实施方式中,还包括:
激活模块,用于将起始顶点状态更改为激活状态。
在本公开一些实施方式中,所述处理模块在用于确定所述第一交易流入的第二顶点时,还包括:
所述起始顶点向所述第一交易流入的顶点发送广播消息;
根据所述广播消息,顶点切换为激活状态;
确定被激活的顶点为所述第二顶点。
在本公开一些实施方式中,所述处理模块在用于当满足搜索停止条件时,停止搜索时,还包括:
当满足以下任一条件时,停止搜索:
所述资金链路的交易时长超过第一预设时间;
所述资金链路的交易次数超过第一预设阈值;
所述资金链路中的资金转移至实体账户。
在本公开一些实施方式中,所述第一判断模块具体用于:
当所述资金链路满足以下任一条件时,确定所述资金链路满足预设筛选条件:
所述资金链路的交易时长小于或等于第二预设时间;
所述资金链路的交易次数大于或等于第二预设阈值;
所述资金链路中的资金转移至实体账户。
在本公开一些实施方式中,还包括:
第二判断模块,用于判断所述可疑资金链路是否为非法交易资金链路。
在本公开一些实施方式中,所述第二判断模块具体用于:
判断
所述可疑资金链路的交易时长是否小于或等于第三预设时间;且
所述可疑资金链路的交易次数是否大于或等于第三预设阈值;且
所述资金链路中的资金是否转移至实体账户;
若是,则确定该可疑资金链路为非法交易资金链路。
在本公开一些实施方式中,还包括:
数据处理模块,用于对所述历史资金交易数据进行处理。
在本公开一些实施方式中,所述数据处理模块具体用于:
去除同一所述账户之间的交易数据;
去除交易资金金额低于预设阈值的交易数据;
去除白名单账户的交易数据;以及
对代表同一交易的不同订单数据进行合并。
第三方面,本公开提供了一种检测设备,包括:
处理器;和
存储器,与所述处理器可通信连接,其存储有能够被所述处理器执行的计算机可读指令,在所述计算机可读指令被执行时,所述处理器执行根据第一方面任一实施方式中所述的可疑资金链路检测方法。
第四方面,本公开提供了一种存储介质,存储有计算机指令,所述计算机指令用于使计算机执行根据第一方面任一实施方式中所述的可疑资金链路检测方法。
本公开一个实施方式中的可疑资金链路检测方法,包括获取历史资金交易数据,根据历史资金交易数据中各个账户的资金交易关系,构建交易图数据网络,从而在交易图数据网络中得到待检测目标对应的各个资金链路,进而判断资金链路是否满足预设筛选条件,若是,则认定该资金链路为可疑资金链路。本公开方案自动对可疑资金进行追踪和筛选,无需人工追踪资金链路,节省了人力投入,提高资金追踪效率。同时,采用图数据计算,实现多个顶点的并行计算,大大提高计算效率,并且相应增加计算节点即可满足大规模图数据的计算需要,本公开方案通过构建交易图数据网络,可实现对全客户量的图数据进行实时计算,从而对资金链路追踪更加准确高效。并且,在图数据进行计算时,每个顶点在每步进行计算且同步广播更新至下一顶点,符合资金交易的流动逻辑,对资金链路的搜索更具针对性,同时顶点在每步搜索中,搜索逻辑相同,编程更加简单,同时每步下游搜索时,无需对代码进行调整,适用性更好。
附图说明
为了更清楚地说明本公开具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本公开的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本公开一些实施方式中可疑资金链路检测方法的流程图。
图2是根据本公开一个实施方式中资金链路的图数据结构示意图。
图3是根据本公开另一些实施方式中可疑资金链路检测方法的框图。
图4是根据本公开另一些实施方式中可疑资金链路检测方法的框图。
图5是根据本公开另一些实施方式中可疑资金链路检测方法的框图。
图6是根据本公开一个实施方式中资金链路的图数据结构。
图7是根据本公开另一些实施方式中可疑资金链路检测方法的框图。
图8是根据本公开另一些实施方式中可疑资金链路检测方法的框图。
图9是根据本公开一个实施方式中可疑资金链路检测方法的流程图。
图10是根据本公开一些实施方式中可疑资金链路检测装置的结构示意图。
图11是根据本公开另一些实施方式中可疑资金链路检测装置的结构示意图。
图12是适于用来实施本公开方法的计算机系统示意图。
具体实施方式
下面将结合附图对本公开的技术方案进行清楚、完整地描述,显然,所描述的实施方式是本公开一部分实施方式,而不是全部的实施方式。基于本公开中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,都属于本公开保护的范围。此外,下面所描述的本公开不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
本公开提供的可疑资金链路检测方法,适用于第三方支付平台,可对平台中资金交易产生的账户资金关系进行追踪和检测,从而确定可疑资金链路,为打击互联网金融非法交易提供辅助。
需要说明的是,账户资金关系是指账户之间发生的资金交易行为,例如转账、付款等,每次交易行为具有账户标识(例如收付款方账户id)、资金交易标识(例如交易单号)、交易时间、以及交易金额等信息。本公开所说的可疑资金链路,是指多个账户之间的资金交易行为存在非法资金交易风险,例如在电信诈骗等犯罪场景中,存在大量的问题资金需要进行洗白,并最终提现到银行卡实现资金抽离。
因此对于非法交易资金链路来说,往往存在大量的账户资金关系,尤其对于用户量较大的支付平台。而在支付平台端,在对可疑资金进行追踪和拓展时,需要人工借助关系网络提供的客户交易明细逐步进行筛选和拓展。例如,当需要对某一笔可疑资金进行追踪和溯源时,工作人员需要在历史的全客户交易量数据中,针对该笔资金逐步的进行上下游拓展和计算筛选,由于资金链路本身结构复杂,呈现网状结构,人工追踪效率受限。
为了替代人工对可疑资金链路进行追踪,相关技术中,提供了一种计算机对资金交易关系的数据集进行拓展的方案,该方案的本质依旧是根据人工逐步拓展的逻辑,编写sql语句对关系数据集进行拓展搜索计算。但是在每步搜索时,每向下游拓展一步,就需要一个join过程,即每次的搜索都是在全客户量的交易数据上进行,消耗计算资源较大,并且,在拓展步数不确定的时,需要对代码进行调整,导致编程复杂,通用性较差,工程实现和后期维护成本较高。
正是基于上述,本公开提供了一种对可疑资金链路进行检测的方法,可应用于第三方支付平台,图1中示出了本公开一些实施方式中的检测方法。
如图1所示,在一些实施方式中,本公开提供的检测方法,包括:
s10、获取历史资金交易数据。
具体而言,历史资金交易数据是指支付平台各个账户之间的由资金交易产生的账户资金关系,例如转账、付款等。在一些实施方式中,历史资金交易数据中可包括每次交易的账户标识(例如收付款方的账户id)、资金交易标识(例如交易单号)、交易时间(即交易产生时间)、以及交易金额等数据信息。
在一些实施方式中,考虑到非法交易资金链路的周期较短且呈网状结构,因此在历史数据的时间周期上,可相应选择较短时间的交易数据,例如1天、2天的交易数据。而在历史数据的数据量上,则最好选择全账户量的交易数据,提高追踪的可靠性。
在一个示例性的实施方式中,历史资金交易数据选取2天的支付平台全量账户的资金交易数据。
s20、根据历史资金交易数据中各个账户的资金交易关系,构建交易图数据网络。
图数据网络是指数据模型为图形结构的数据网络,在交易图数据网络中,顶点可表示各个账户,有向的边可表示资金交易的流向,从而根据各个账户之间的资金交易关系,构建出各个账户之间的交易图数据网络。
需要说明的是,pregel计算(图计算)框架是一种基于顶点中心性的分布式图计算框架,其一次计算过程由一系列全局超步组成,每一个超步由并发计算、通信和同步广播三个步骤组成。其主要计算原理是所有计算都是在顶点上完成,因此可实现多节点并发计算,大大提高计算效率。在下文中对pregel计算过程进行说明,在此不表。
s30、根据交易图数据网络,得到待检测目标在交易图数据网络中对应的各资金链路。
具体而言,在对可疑资金链路进行追踪时,待检测目标可以是某笔资金,也可以是某个可疑账户。
在一些实施方式中,由于在账户之间发生资金交易行为时,资金交易数据中包括该交易行为的各项交易标识,例如收付款账户id、交易时间、交易单号等,因此该笔资金具有唯一性,即可针对该笔可疑资金进行链路追踪。
在另一些实施方式中,考虑到图数据网络基于账户之间的资金交易关系构建,即同一账户的多笔资金对应同一顶点,因此可针对某个可疑账户在某段查询时间内的交易进行链路追踪。
在对待检测目标进行链路追踪时,采用pregel计算框架对待检测目标的资金链路进行逐步搜索计算,得到与待检测目标对应的各个资金链路。
s40、判断各资金链路是否满足预设筛选条件。若是,则执行步骤s50。若否,则执行步骤s70。
s50、确定该资金链路为可疑资金链路。
s70、确定该资金链路为非可疑资金链路。
具体而言,在对图数据进行搜索拓展计算时,为提高计算效率,可预设搜索停止条件,从而对于搜索停止后得到的多个资金链路进行筛选,判断资金链路是否属于可疑资金链路。
在一些实施方式中,可根据非法交易资金链路的特性,预设相应的筛选条件,从而根据预设筛选条件对得到的多个资金链路进行检测判断。
在一个示例性的实施方式中,考虑到非法交易资金链路的周期性较短,可预设非法交易资金链路的总时长小于2小时,对于超过2小时的资金链路可认为非可疑资金链路,未超过2小时的资金链路可认为可疑资金链路。
通过上述可知,本公开提供的可疑资金链路检测方法,可自动对可疑资金进行追踪和筛选,无需人工追踪资金链路,大大节省了人力投入,提高资金追踪效率。并且通过上述可知,本公开方法通过图数据计算进行多节点并行计算,可实现对全客户量的图数据进行实时计算,从而对资金链路追踪更加准确高效,大大提高可疑资金的追踪效率。
在一些实施方式中,在交易图数据网络中,顶点表示每一个账户,边表示资金交易的流向。为便于理解,可参照图2所示,图2中“○”表示图数据的顶点,即对应每一个“user(账户)”,在进行搜索时,顶点对交易数据进行计算、广播和同步。“→”表示图数据的边,其方向即代表资金的流动方向。例如图2中所示,边a表示交易从user1流向user2,边b表示交易从user2流向user3,user1、user2和user3即构成一个资金链路。
在交易图数据网络中,包括海量的资金交易构成的资金链路,在交易图数据网络中,其包括各资金交易对应的账户标识(例如收付款账户id)和交易时间。如图3所示,在一些实施方式中,在对可疑资金进行搜索时,在步骤s30中,本公开方法包括:
s31、以待检测目标对应的账户作为起始顶点,在交易图数据网络中,搜索以起始顶点为起点的各资金链路。
具体而言,在对可疑资金链路进行追踪时,待检测目标可以是某笔资金,也可以是某个可疑账户。考虑到图数据网络基于账户之间的资金交易关系构建,即同一账户的多笔资金对应同一顶点,因此在对资金链路进行搜索时,可以待检测目标对应的账户作为起始顶点进行搜索。
在一个示例性的实施方式中,可参照图2所示,例如针对某笔资金进行链路追踪,确定该笔资金对应的账户为“user2”,根据资金的交易信息,确定该笔资金上游来源是“user1”,下游流向“user3”,同时在边a和b中包含有资金交易的交易时间、金额等信息。从而实现对可疑资金的追踪和溯源。
s32、当满足搜索停止条件时,停止搜索,得到各资金链路。
具体而言,由于资金交易链路十分复杂,而在进行拓展搜索计算时,为节约计算资源,无需对所有资金链路进行持续不断的追踪,只需根据非法交易资金链路的特殊性,设定相应的搜索停止条件,对于满足停止条件的链路即可停止搜索,从而即可得到多个与待检测目标对应的资金链路。
需要说明的是,本案发明人通过对海量的非法交易资金链路进行分析研究,发现对于非法交易场景而言,以电信诈骗为例,在电信诈骗场景中,其主要特点是当前账户收到上游账户的资金流入时,在短时间内快速转移给下游账户,通常情况下,经过多个账户的多次资金转移后,最终将通过提现到实体账户(例如银行卡)实现资金抽离。即非法交易场景通常具有以下特点:
1)团伙性。资金链路越复杂,资金越难以追踪和溯源,因此一般非法交易行为发生在多个账户之间,这些账户相互之间具有资金交易行为。
2)时序性。资金在短时间内进行转移,某一账户在收到上游账户的资金流入时,会快速转移到下游账户,且整个资金转移过程形成网状型时序资金链路。
3)资金抽离性。可疑资金在多个账户间多次转移后,通过提现到实体账户,例如银行卡,来实现资金抽离。
因此,考虑到上述可疑资金链路的特性,在进行图数据网络搜索时,可相应设置与上述特性具有共性的搜索停止条件,从而减少不必要的搜索拓展计算,节约计算资源。例如,考虑到非法交易资金链路的团伙性,对于资金转移过于频繁,超过预设次数的链路,可认定为可疑性较高。再例如,考虑到非法交易资金链路的时序性,对于资金转移时间过长,超过预设时间的链路,可认定该链路可疑性较低。
因此,在一些实施方式中,在步骤s32中,当满足搜索停止条件时,停止搜索包括:
当满足以下任一条件时,停止搜索:
条件一、资金链路的交易时长超过第一预设时间;
条件二、资金链路的交易次数超过第一预设阈值;
条件三、资金链路中的资金转移至实体账户。
对于条件一,对图数据中每次交易行为的交易时间进行计算,得到资金链路的资金转移时间。第一预设时间为根据非法交易的特性,预设的时间阈值,例如在历史非法交易中,非法交易资金链路时长普遍低于2h,则可设置第一预设时间为2h。以图2为例,可疑资金由user1转移到user2的时间为08:00,由user2向user3转移的时间为08:30,则在该链路中,资金转移的交易时长为30min。对于交易时长超过第一预设时间的资金链路,由于其资金交易时间过长,不符合非法交易资金的时序性,因此可排除对该资金链路的怀疑,无需继续向下游搜索,即停止搜索,节约计算资源。
对于条件二,对图数据中每步上下游搜索进行统计,得到资金链路的交易次数。第一预设阈值为根据非法交易的特性,预设的次数阈值,例如在历史非法交易中,非法交易资金的交易次数普遍超过10次,则可设置第一预设阈值为10。仍以图2为例,可疑资金由user1转移至user2,交易次数记为“1”,由user2转移至user3,交易次数记为“2”,以此类推。对于交易次数超过第一预设阈值的资金链路,可认为其符合非法交易资金的团伙性,可疑程度很高,无需继续向下游搜索,即停止搜索,节约计算资源。
对于条件三、资金由第三方支付平台转移至实体账户,在交易图数据网络中无下游数据,即可停止搜索。
通过上述搜索过程及停止条件,即可得到对应的多个资金链路,而在得到的这些资金链路中,需要对资金链路进行筛选,排除非可疑资金链路,从而得到可疑资金链路。在一些实施方式中,在步骤s40中,判断各资金链路是否满足预设筛选条件包括:
当资金链路满足以下任一条件时,确定资金链路满足预设筛选条件:
条件a、资金链路的交易时长小于或等于第二预设时间;
条件b、资金链路的交易次数大于或等于第二预设阈值;
条件c、资金链路中的资金转移至实体账户。
对于条件a,可参照上述“条件一”所述,考虑到非法交易资金链路的“时序性”,当资金链路的交易时长小于或等于第二预设时间时,可认为其符合非法交易资金特性,认定其为可疑资金链路。需要说明的是,第二预设时间可为根据非法交易的特性,预设的时间阈值,例如可等于第一预设时间,或者小于第一预设时间,即对步骤s32中得到的资金链路在时间上进一步筛选,使得到的可疑资金链路更加符合非法交易资金链路的特性。
对于条件b,可参照上述“条件二”所述,考虑到非法交易资金链路的“团伙性”,当资金链路的交易次数大于或等于第二预设阈值时,可认为其符合非法交易资金特征,认定其为可疑资金链路。需要说明的是,第二预设阈值可为根据非法交易的特性,预设的次数阈值,例如可等于第一预设阈值,或者小于预设第一阈值,即对步骤s32中得到的资金链路在交易次数上进一步筛选,使得到的可疑资金链路更加符合非法交易资金链路的特征。
对于条件c,可参照上述“条件三”所述,考虑到非法交易资金链路的“资金抽离性”,对于资金最终抽离至实体账户的资金链路,认定其为可疑资金链路。
通过上述可知,本公开提供的可疑资金链路检测方法,可自动对可疑资金进行追踪和筛选,采用图数据计算实现对全客户量的图数据进行实时计算,从而得到可疑资金链路。但是,对于上述得到的各个可疑资金链路,其中还存在大量的噪声,例如,在资金仅转移一次即提现到银行卡的场景下,由于符合“条件c”,因此同样被认定为可疑资金链路,但是其显然不合符非法交易资金链路的其他特征。因此对于可疑资金链路,需要进一步判断其是否为非法交易资金链路。
在一些实施方式中,如图4所示,本公开提供的检测方法,在步骤s50之后,还包括:
s60、判断可疑资金链路是否为非法交易资金链路。
具体而言,通过上述可知,对于非法交易资金链路,需要满足“团伙性”、“时序性”、以及“资金抽离性”的特性,因此,在一些实施方式中,判断可疑资金链路是否为非法交易资金链路,包括:
判断,所述可疑资金链路的交易时长是否小于或等于第三预设时间;且所述可疑资金链路的交易次数是否大于或等于第三预设阈值;且所述资金链路中的资金是否转移至实体账户;
若是,则执行步骤s61。若否,则执行步骤s62。
s61、确定该可疑资金链路为非法交易资金链路。
s62、确定该可疑资金链路为合法交易资金链路。
具体而言,通过对步骤s50中得到的可疑资金链路进行筛选判断,从而对是否为非法交易资金链路进行确定。需要说明的是,第三预设时间可为根据非法交易的特性,预设的时间阈值,例如可等于第二预设时间,或者小于第二预设时间,即对步骤s50中得到的可疑资金链路在时间上进一步筛选。同理,第三预设阈值可为根据非法交易的特性,预设的次数阈值,例如可等于第二预设阈值,或者小于预设第二阈值,即对步骤s50中得到的可疑资金链路在交易次数上进一步筛选。当可疑资金链路同时满足上述条件时,可确定该可疑资金链路符合非法交易资金链路的三个特性,认定该可疑资金链路为非法交易资金链路。反之则认为该可疑资金链路为合法交易资金链路。
需要说明的是,在另一些实施方式中,在步骤s60中,也可采用人工对可疑资金链路进行进一步筛选判断。例如在一个示例性的实施中,在步骤s50中,通过图数据计算得到与待检测资金对应的多条可疑资金链路,人工对该多条可疑资金链路进行筛选判断,确定其是否为非法交易资金链路。同时需要注意,在这些实施方式中,由于本公开实现利用图数据计算在全量客户交易图数据中对可疑资金进行追踪和计算,对于得到的可疑资金链路,均是于可疑资金直接对应的资金链路,因此人工判断计算量很小,本公开方法依旧可以实现相应的技术效果,大大提高了计算效率。
进一步的,考虑到在非法交易资金链路中,不仅资金链路的交易时长较短,每步资金转移时间也很短,例如不超过20分钟。因此,为进一步提高对可疑资金链搜索的准确性,在一些实施方式中,如图5所示,在步骤s31中,在对交易图数据网络进行搜索时,本公开方法具体可包括:
s311、接收检测请求。
检测请求指根据待检测目标生成的查询请求,检测请求可包括待检测目标的账户标识和查询时间。
例如,在一些实施方式中,为针对某个可疑账户在某个时间的资金交易进行资金链路搜索,检测请求包括该账户的账户id以及需要查询交易的查询时间。
在一个示例性的实施中,若“user1”为可疑账户,欲查询其在某个时间的交易资金链路,则在进行资金链搜索前,接收基于该账户对应的账户标识和查询时间生成检测请求。
s312、根据账户标识,在交易图数据网络中,确定待检测目标对应的顶点,并作为起始顶点。
根据检测请求中的账户标识,例如账户id,确定该账户id对应的图数据网络中的顶点,将该顶点作为链路搜索的起始顶点。
如图6所示,在一个示例性的实施中,根据检测请求中的账户标识“user1”,在交易图数据网络中,对应确定“user1”顶点为起始顶点,从而对下游交易进行搜索。
s313、获取起始顶点流出的且与查询时间在第四预设时间间隔内的第一交易。
具体而言,由于起始顶点对应账户,从该账户的流出资金交易可能会包括多笔,而考虑到可疑资金“快速转移”的特性,因此仅针对与查询时间在第四预设时间间隔内的交易进行搜索,对于时间过长的交易,即可进行排除,从而简化搜索过程,进一步提高计算效率。
在一些实施方式中的,第四预设时间可以为根据可疑资金的特性预先设置的时间,可以通过历史数据得到。
如图6所示,在一个示例性的实施中,对于非法交易资金链来说,一般资金转移的时间不会超过20分钟,因此可获取查询时间20min之内的从起始顶点流出的第一交易。若交易a和b均位于查询时间20min内,则将交易a和b均确定为第一交易。
s314、确定第一交易流入的第二顶点,对第二顶点流出交易进行搜索。
由前述可知,在交易图数据网络中,有向边对应资金交易的流向,因此根据第一交易流向即可确定各交易流入的第二顶点,从而对第二顶点流出的交易进行下游搜索。
在图6所示的实施方式中,由于交易a和b均确定为第一交易,因此确定交易a对应的顶点“user2”、以及交易b对应的顶点“user3”均为第二顶点,从而继续对user2和user3的流出交易进行搜索。
如图7所示,在一些实施方式中,在步骤s314中,对第二顶点流出交易进行所述可包括:
s315、获取第二顶点流出的交易集合。
在对第二顶点的流出交易进行搜索时,首先获取第二顶点流出的交易集合。仍以图6实施方式为例,由于user2和user3均为第二顶点,因此获取从user2和user3流出的交易c、d、e、f作为交易集合。
s316、根据交易时间,确定第一交易中各交易的最早交易时间和最晚交易时间。
在对第二顶点下游交易进行搜索时,仍然需要考虑交易时间,对于不符合可疑资金链特征的交易,则不进行搜索,从而进一步提高计算效率。
具体而言,在图6所示的实施方式中,在对user2和user3的流出交易进行搜索时,首先确定第一交易中各个交易的最早交易时间tmin和最晚交易时间tmax。由于本实施方式仅示出了user1的两笔流出交易a和b,因此即确定交易a和交易b的交易时间。
例如,user1的流出交易a的交易时间为08:00,交易b的交易时间为08:15,则记tmin=08:00,tmax=08:15。
s317、获取交易集合中,位于最早交易时间和第一时间之间的第二交易,第一时间是最晚交易时间与第五预设时间之和。
与前述相同,考虑到非法资金交易“快速转移”的特性,在进行第二顶点搜索时,同样要针对一定时间内的流出交易进行搜索,以提高计算效率。
具体而言,在图6所示的实施方式中,由于第一交易a和b均属于需要追踪的可疑交易,因此在对user2和user3的流出交易进行搜索时,需要对第一交易最晚交易时间与第五预设时间之和内的交易进行搜索,即对交易时间位于[tmin,tmax+t0]的流出交易进行搜索。
在本实施方式中,为便于计算,第五预设时间t0等于第四预设时间,即获取第二交易c、d、e、f时,仅对交易时间位于[tmin,tmax+20min]的流出交易进行获取。例如,在步骤s316示例中,在对user2和user3的流出交易c、d、e、f进行获取时,仅针对交易时间位于[08:00,08:35]的交易进行获取,对于时间超过08:35的交易不再获取。
s318、确定第二交易流出的第三顶点,对第三顶点的流出交易进行搜索。
具体而言,以图6实施方式为例,例如在步骤s317中,确定交易c、e为第二交易,d、f不为第二交易,则确定第二交易c、e流入的顶点user4和user6为第三顶点,继续对第三顶点的流出交易进行搜索。
在对第三顶点下游搜索时,参照上述步骤s315~s318即可,不再赘述,直至搜索停止。
通过上述可知,本公开一些实施方式提供的检测方法,在对资金链路追踪时,结合可疑资金特征对流出交易进行筛选,从而减少计算数据量,进一步提高计算效率。同时,在每步搜索中,搜索逻辑相同,编程更加简单,同时每步下游搜索时,无需对代码进行调整,适用性更好。
为进一步的减少计算量,提高计算效率,本公开方案考虑到,在对交易图数据网络之前,可对部分数据信息进行筛除,从而可以简化图数据结构。例如,对于不存在非法交易风险的白名单账户,无需将这些账户的交易数据进行统计。再例如,对于交易金额很低的交易,也无需将这些账户的交易数据进行统计。
因此,在一些实施方式中,如图8所示,本公开提供的检测方法,在步骤s20之前,还包括:
s11、对历史资金交易数据进行处理。
对交易数据处理主要包括对无关数据的筛除与合并,其包括:
去除同一账户之间的交易数据;
去除交易资金金额低于预设阈值的交易数据;
去除白名单账户的交易数据;以及
对代表同一交易的不同订单数据进行合并。
具体而言,同一账户之间的交易数据是指,同一个账户名下多个虚拟子账户之间的资金交易,以支付宝平台为例,同一客户账户下包括“余额账户”和“余额宝账户”,对于余额账户和余额宝账户之间的资金流动,其不属于非法交易范畴,因此可筛除该种交易行为,简化图数据结构。
并且,对于资金金额过低的交易,也可认为其不构成非法交易风险,例如对于金额低于100元的交易,其非法交易风险较低,因此可排除其存在非法交易风险,即设置预设阈值为100元,对于低于100元的资金交易进行筛除。
再有,对于部分平台白名单账户,其不存在非法交易风险,例如国企、政府机构等账户,可对该种资金交易进行筛除。
另外,对于第三方支付平台,例如支付宝平台,在进行资金交易时,为满足银行监管,往往会对同一交易行为产生多个订单,这多个订单均指向同一笔资金交易,因此对同一交易的不同订单进行合并。
通过对历史资金交易数据进行清理筛除,大大简化了数据结构,使得交易图数据网络构建更加快捷,数据网络更加简化,提高后续搜索效率。
图9中示出了本公开一个具体实施方式,在本实施方式中,第三方支付平台以支付宝为例,本公开检测方法得到待检测目标在交易图数据网络中对应的各资金链路的具体过程为:
s1、获取历史资金交易数据。
在本实施方式中,历史资金交易数据为支付宝全量客户的2天资金交易数据。资金交易数据参照上述步骤s10即可,在此不再赘述。
s2、对历史资金交易数据进行处理。
在本实施方式中,参照上述步骤s11,对2天内的交易数据进行筛除处理,例如去除同一账户“余额”和“余额宝”之间的交易数据、去除交易资金金额低于100元的交易数据、去除白名单客户的交易数据、对同一交易的不同订单数据进行合并等。
s3、根据处理后的历史资金交易数据,构建交易图数据网络。
在本实施方式中,基于处理后的交易数据,构建odps-graph规定的图数据网络,odps-graph是一套面向迭代的图计算处理框架,提供pregel计算的编程接口,通过迭代对图进行编辑、演化,最终求解出结果。odps-graph规定的图数据网络,即<账户id,流出交易集>,其中交易集中每一条交易包含信息<交易单号,交易时间,交易金额>。
同时,交易图数据网络的顶点具有激活和非激活两种状态,顶点在收到消息时,将更改为激活状态。而在完成相应的计算后即进入非激活状态,当所有顶点都为非激活状态时,计算任务完成。
s4、以待检测目标对应的账户作为起始顶点,在交易图数据网络中,搜索以起始顶点为起点的各资金链路。
在本实施方式中,在每步搜索下游账户时,可参照上述步骤s311~s318的方法,不再赘述。
需要说明的是,由于odps-graph采用多轮迭代式的并行运算,顶点间通过消息传播进行信息同步,因此在实现时主要包括如下三个部分:
1)唤醒逻辑。
在检测搜索初始,接收到检测请求之前,所有的顶点处于非激活状态。
在接收到检测请求之后,根据账户标识在交易图数据网络中确定待检测目标对应的起始顶点,唤醒起始顶点,即将起始顶点的状态更改为激活状态,从而开始搜索计算。
在后续迭代搜索中,所有收到广播消息的顶点被唤醒,将状态更改为激活状态,从而参与计算。
2)消息广播逻辑。
在起始顶点被激活时,对查询时间20min内的所有流出的第一交易进行广播,并向第一交易流入的第二顶点发送广播消息,第二顶点根据广播消息,将状态切换为激活状态。例如图6所示中,若交易a和交易b均位于查询时间20min内,则向第一交易a和b流入的第二顶点user2和user3发送广播消息,user2和user3根据广播消息被激活唤醒,从而进行计算。
在后续迭代搜索中,在所有收到消息的第一交易中,获取最早和最晚交易时间(记为tmin和tmax),对所有交易时间在[tmin,tmax+20min]时间内的第二交易进行广播,并向第二交易流入的顶点发送广播消息。以此类推。
3)休眠逻辑。
所有顶点在发送完广播消息之后即进入非激活状态,当所有顶点都处于非激活或停止状态时,任务结束。
s5、判断是否满足搜索停止条件。若是,则执行步骤s6。若否,返回步骤s4。
在本实施方式中,判断是否满足搜索停止条件参见上述步骤s32即可,不再赘述。当满足搜索停止条件,则停止搜索,若不满足则继续搜索。
s6、停止搜索,得到各资金链路。
在本公开实施方式提供的可疑资金链路检测方法中,基于图数据框架,提供一种图计算方法,实现多个顶点的并行计算,大大提高计算效率,并且相应增加计算节点即可满足大规模图数据的计算需要,本公开方案通过构建交易图数据网络,可实现对全客户量的图数据进行实时计算,从而对资金链路追踪更加准确高效。并且,在图数据进行计算时,每个顶点在每步进行并发计算且同步广播更新至下一顶点,符合资金交易的流动逻辑,对资金链路的搜索更具针对性,同时编程更加简单,利于工程实现和后期维护上节约技术开发成本。并且本公开方案自动对可疑资金进行追踪和筛选,无需人工追踪资金链路,大大节省了人力投入,提高资金追踪效率。
第二方面,本公开提供了一种可疑资金链路检测装置,可应用于第三方支付平台,图10中示出了本公开一些实施方式中的检测装置。
如图10所示,在一些实施方式中,本公开提供的检测装置,包括:
获取模块10,用于获取历史资金交易数据;
构建模块20,用于根据所述历史资金交易数据中各个账户的资金交易关系,构建交易图数据网络;
处理模块30,用于根据所述交易图数据网络,得到待检测目标在所述交易图数据网络中对应的各资金链路;
第一判断模块40,用于判断各所述资金链路是否满足预设筛选条件;以及
确定模块50,用于当所述资金链路满足预设筛选条件时,确定该所述资金链路为可疑资金链路。
在本公开一些实施方式中,所述处理模块30具体用于:
以所述待检测目标对应的账户作为起始顶点,在所述交易图数据网络中,搜索以所述起始顶点为起点的各所述资金链路;和
当满足搜索停止条件时,停止搜索,得到各所述资金链路。
在本公开一些实施方式中,所述处理模块30在用于以所述待检测目标对应的账户作为起始顶点,在所述交易图数据网络中,搜索以所述起始顶点为起点的各所述资金链路时,包括:
接收检测请求,所述检测请求包括所述待检测目标的账户标识和查询时间;
根据所述账户标识,在所述交易图数据网络中,确定所述待检测目标对应的顶点,并作为所述起始顶点;
获取所述起始顶点流出的且与所述查询时间在第四预设时间间隔内的第一交易;
确定所述第一交易流入的第二顶点,对所述第二顶点的流出交易进行搜索。
在本公开一些实施方式中,所述处理模块30在用于对所述第二顶点的流出交易进行搜索时,还包括:
获取所述第二顶点流出的交易集合;
根据交易时间,确定所述第一交易中各交易的最早交易时间和最晚交易时间;
获取所述交易集合中,位于最早交易时间和第一时间之间的第二交易,所述第一时间是最晚交易时间与第五预设时间之和;
确定所述第二交易流入的第三顶点,对所述第三顶点的流出交易进行搜索。
在本公开一些实施方式中,如图11所示,检测装置还包括:
激活模块70,用于将起始顶点状态更改为激活状态。
在本公开一些实施方式中,所述处理模块30在用于确定所述第一交易流入的第二顶点时,还包括:
所述起始顶点向所述第一交易流入的顶点发送广播消息;
根据所述广播消息,顶点切换为激活状态;
确定被激活的顶点为所述第二顶点。
在本公开一些实施方式中,所述处理模块30在用于当满足搜索停止条件时,停止搜索时,还包括:
当满足以下任一条件时,停止搜索:
所述资金链路的交易时长超过第一预设时间;
所述资金链路的交易次数超过第一预设阈值;
所述资金链路中的资金转移至实体账户。
在本公开一些实施方式中,所述第一判断模块40具体用于:
当所述资金链路满足以下任一条件时,确定所述资金链路满足预设筛选条件:
所述资金链路的交易时长小于或等于第二预设时间;
所述资金链路的交易次数大于或等于第二预设阈值;
所述资金链路中的资金转移至实体账户。
在本公开一些实施方式中,还包括:
第二判断模块80,用于判断所述可疑资金链路是否为非法交易资金链路。
在本公开一些实施方式中,所述第二判断模块具80体用于:
判断
所述可疑资金链路的交易时长是否小于或等于第三预设时间;且
所述可疑资金链路的交易次数是否大于或等于第三预设阈值;且
所述资金链路中的资金是否转移至实体账户;
若是,则确定该可疑资金链路为非法交易资金链路。
在本公开一些实施方式中,还包括:
数据处理模块60,用于对所述历史资金交易数据进行处理。
在本公开一些实施方式中,所述数据处理模块60具体用于:
去除同一所述账户之间的交易数据;
去除交易资金金额低于预设阈值的交易数据;
去除白名单账户的交易数据;以及
对代表同一交易的不同订单数据进行合并。
通过上述可知,本公开提供的可疑资金链路检测装置,可自动对可疑资金进行追踪和筛选,无需人工追踪资金链路,大大节省了人力投入,提高资金追踪效率。并且通过上述可知,本公开装置通过图数据计算进行多节点并行计算,可实现对全客户量的图数据进行实时计算,从而对资金链路追踪更加准确高效,大大提高可疑资金的追踪效率
第三方面,本公开提供了一种检测设备,包括:
处理器;和
存储器,与所述处理器可通信连接,其存储有能够被所述处理器执行的计算机可读指令,在所述计算机可读指令被执行时,所述处理器执行根据上述任一实施方式中所述的可疑资金链路检测方法。
第四方面,本公开提供了一种存储介质,存储有计算机指令,所述计算机指令用于使计算机执行上述任一实施方式中所述的可疑资金链路检测方法。
具体而言,图12示出了适于用来实现本公开方法或处理器的计算机系统600的结构示意图,通过图12所示系统,实现第三方面和第四方面提供的电子设备及存储介质相应功能。
如图12所示,计算机系统600包括中央处理单元(cpu)601,其可以根据存储在只读存储器(rom)602中的程序或者从存储部分608加载到随机访问存储器(ram)603中的程序而执行各种适当的动作和处理。在ram603中,还存储有系统600操作所需的各种程序和数据。cpu601、rom602以及ram603通过总线604彼此相连。输入/输出(i/o)接口605也连接至总线604。
以下部件连接至i/o接口605:包括键盘、鼠标等的输入部分606;包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分607;包括硬盘等的存储部分608;以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至i/o接口605。可拆卸介质611,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器610上,以便于从其上读出的计算机程序根据需要被安装入存储部分608。
特别地,根据本公开的实施方式,上文方法过程可以被实现为计算机软件程序。例如,本公开的实施方式包括一种计算机程序产品,其包括有形地包含在机器可读介质上的计算机程序,计算机程序包含用于执行上述方法的程序代码。在这样的实施方式中,该计算机程序可以通过通信部分609从网络上被下载和安装,和/或从可拆卸介质611被安装。
附图中的流程图和框图,图示了按照本公开各种实施方式的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
显然,上述实施方式仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本公开创造的保护范围之中。
- 还没有人留言评论。精彩留言会获得点赞!