欺诈行为检测方法及装置与流程

本申请涉及金融风控安全技术领域，具体而言，涉及一种欺诈行为检测方法及装置。

背景技术：

目前，金融机构在进行个人信贷反欺诈识别的过程中，通常是通过提取申请人的多个维度的个人信息，然后基于这些个人信息或者一定时间段的申请统计信息生成一系列特征变量，从而使用这些特征变量进行机器学习，达到欺诈行为识别的目的。

经本申请发明人仔细研究发现，上述反欺诈算法对于单人特征数据也许有比较好的识别效果，但是随着这类反欺诈算法的广泛使用，欺诈者可以很容易通过伪装个人信息的方式对这类反欺诈算法进行欺骗，从而可以有效绕过反欺诈识别系统。因此，现有的基于单用户特征变量的欺诈检测算法难以针对存在伪装个人信息行为的欺诈者进行有效识别，难以检测到群体欺诈风险。

技术实现要素：

有鉴于此，本申请的目的在于提供一种欺诈行为检测方法及装置，能够针对存在伪装个人信息行为的欺诈者进行有效识别，从而及时检测到群体欺诈风险，提高风控识别的准确性。

根据本申请的第一方面，提供一种欺诈行为检测方法，应用于与用户终端通信连接的服务器，所述方法包括：

在检测到任意一个用户在金融业务使用过程中产生新行为事件时，获取所述用户的当前通信号码、当前证件号码以及所述新行为事件的第一事件发生时间；

根据所述当前通信号码、当前证件号码以及所述第一事件发生时间确定对应的连通子图，所述连通子图用于表示与所述用户的当前通信号码存在迁移关系的证件号码的迁移关系信息；

根据所述连通子图检测所述用户是否存在欺诈行为。

在第一方面的一种可能的实施方式中，所述根据所述当前通信号码、当前证件号码以及所述第一事件发生时间确定对应的连通子图的步骤，包括：

从与所述当前通信号码关联的历史事件记录中获取距离所述第一事件发生时间之前最近的预设数量个目标证件号码，所述历史事件记录包括所述用户在金融业务使用过程中产生的每个行为事件记录，每个行为事件记录包括该行为事件记录产生时所述用户所使用的证件号码、通信号码以及所述行为事件记录的第二事件发生时间；

当所述预设数量个目标证件号码与所述当前证件号码相同时，从预先配置的通信号码迁移图谱中获取与所述当前证件号码和所述当前通信号码关联的连通子图，其中，所述通信号码迁移图谱中包括至少一个预先配置的连通子图；

当所述预设数量个目标证件号码与所述当前证件号码不同时，计算每个目标证件号码所对应的行为事件记录的第二事件发生时间与所述第一事件发生时间之间的迁移时间间隔，并根据所述每个目标证件号码所对应的行为事件记录的第二事件发生时间与所述第一事件发生时间之间的迁移时间间隔生成对应的连通子图。

在第一方面的一种可能的实施方式中，所述方法还包括：

根据收集的每个历史用户事件记录配置所述通信号码迁移图谱。

在第一方面的一种可能的实施方式中，所述根据收集的历史用户事件记录配置所述通信号码迁移图谱的步骤，包括：

收集每个历史用户在金融业务使用过程中产生的每个行为事件记录，作为所述历史用户事件记录，其中，所述行为事件记录包括所述历史用户的证件号码、通信号码以及所述行为事件记录的第二事件发生时间；

按照通信号码为分组统计单位对所述历史用户事件记录进行分组，并按照所述行为事件记录的第二事件发生时间对获得的每个通信号码分组下的证件号码进行排序；

根据每个通信号码分组的证件号码排序结果配置所述通信号码迁移图谱。

在第一方面的一种可能的实施方式中，所述根据每个通信号码分组的证件号码排序结果配置所述通信号码迁移图谱的步骤，包括：

针对每个通信号码分组，根据该通信号码分组的证件号码排序结果确定每次证件号码是否出现变化，在出现变化时生成证件号变化前后的迁移关系信息，得到该通信号码分组对应的迁移关系信息集合；

其中，所述迁移关系信息的迁移起点为出现变化之前的证件号码、迁移终点为出现变化后的证件号码，所述迁移关系信息还包括所述迁移起点和所述迁移终点各自对应的行为事件记录的第二事件发生时间之间的迁移时间间隔，以及该通信号码分组所包括的通信号码；

根据每个通信号码分组对应的迁移关系信息集合配置所述通信号码迁移图谱。

在第一方面的一种可能的实施方式中，所述根据每个通信号码分组的证件号码排序结果配置所述通信号码迁移图谱的步骤，还包括：

判断每个通信号码分组对应的迁移关系信息集合中是否存在迁移时间间隔大于设定时间间隔的迁移关系；

当所述迁移关系信息集合中存在迁移时间间隔大于设定时间间隔的迁移关系信息时，判断该迁移关系信息中任意一个证件号码是否重复出现；

当该迁移关系信息中所有证件号码均未重复出现时，将该迁移关系信息从所述迁移关系信息集合中删除。

在第一方面的一种可能的实施方式中，所述根据每个通信号码分组对应的迁移关系信息集合配置所述通信号码迁移图谱的步骤，包括：

根据每个通信号码分组对应的迁移关系信息集合生成每个通信号码分组对应的通信号码迁移路径；

将每个通信号码分组对应的通信号码迁移路径中的所有迁移起点和迁移终点作为所述通信号码迁移图谱的图谱单位点，将所述通信号码迁移路径中的所有与所述图谱单位点对应的迁移关系信息作为所述通信号码迁移图谱的图谱单位边，将具有相互关联关系的图谱单位点和图谱单位边构建为对应的连通子图；

将构建的每个连通子图组合形成所述通信号码迁移图谱。

在第一方面的一种可能的实施方式中，所述根据所述连通子图检测所述用户是否存在欺诈行为的步骤，包括：

判断所述连通子图中是否存在证件号码的循环迁移路径，当所述连通子图中存在证件号码的循环迁移路径，判定用户存在欺诈行为；和/或

统计所述连通子图中的通信号码数量是否大于设定数量阈值，当所述通信号码数量大于设定数量阈值时，判定用户存在欺诈行为。

第二方面，本申请实施例还提供一种欺诈行为检测装置，应用于与用户终端通信连接的服务器，所述装置包括：

获取模块，用于在检测到任意一个用户在金融业务使用过程中产生新行为事件时，获取所述用户的当前通信号码、当前证件号码以及所述新行为事件的第一事件发生时间；

确定模块，用于根据所述当前通信号码、当前证件号码以及所述第一事件发生时间确定对应的连通子图，所述连通子图用于表示与所述用户的当前通信号码存在迁移关系的证件号码的迁移关系信息；

检测模块，用于根据所述连通子图检测所述用户是否存在欺诈行为。

基于上述任一方面，本申请在检测到任意一个用户在金融业务使用过程中产生新行为事件时，通过获取用户的当前通信号码、当前证件号码以及第一事件发生时间，然后根据用户的当前通信号码、当前证件号码以及第一事件发生时间确定对应的连通子图。如此，通过连通子图表示与用户的当前通信号码存在迁移关系的证件号码的迁移关系信息，可检测用户是否存在欺诈行为，能够针对存在伪装个人信息行为的欺诈者进行有效识别，从而及时检测到群体欺诈风险，提高风控识别的准确性。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1示出了本申请实施例所提供的欺诈行为检测系统的应用场景示意图；

图2示出了本申请实施例所提供的欺诈行为检测方法的流程示意图；

图3示出了本申请实施例所提供的证件号码迁移关系的示意图之一；

图4示出了本申请实施例所提供的证件号码迁移关系的示意图之二；

图5示出了本申请实施例所提供的通信号码迁移图谱的示意图；

图6示出了本申请实施例所提供的连通子图的示意图之一；

图7示出了本申请实施例所提供的连通子图的示意图之二；

图8示出了本申请实施例所提供的连通子图的示意图之三；

图9示出了本申请实施例所提供的连通子图的示意图之四；

图10示出了本申请实施例所提供的欺诈行为检测装置的功能模块示意图；

图11示出了本申请实施例所提供的用于执行上述的欺诈行为检测方法的服务器的组件结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，应当理解，本申请中附图仅起到说明和描述的目的，并不用于限定本申请的保护范围。另外，应当理解，示意性的附图并未按实物比例绘制。本申请中使用的流程图示出了根据本申请实施例的一些实施例实现的操作。应该理解，流程图的操作可以不按顺序实现，没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外，本领域技术人员在本申请内容的指引下，可以向流程图添加一个或多个其它操作，也可以从流程图中移除一个或多个操作。

另外，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例，都属于本申请保护的范围。

图1示出了本申请实施例所提供的欺诈行为检测系统10的应用场景示意图。本实施例中，欺诈行为检测系统10可以包括服务器100以及与服务器100通信连接的用户终端200。

用户终端200可以包括但不限于智能手机、平板计算机、膝上型计算机、个人电脑、工作站等，在此不作详细限定。

在一种可能的实施方式中，服务器100可以是单个服务器，也可以是一个服务器组。服务器组可以是集中式的，也可以是分布式的（例如，服务器100可以是分布式系统）。

可以理解，在其它可能的实施方式中，该欺诈行为检测系统10也可以仅包括图1所示组成部分的其中一部分或者还可以包括其它的组成部分。

图2示出了本申请实施例提供的欺诈行为检测方法的流程示意图，本实施例中，该欺诈行为检测方法可以由图1中所示的服务器100执行。应当理解，在其它实施例中，本实施例的欺诈行为检测方法其中部分步骤的顺序可以根据实际需要相互交换，或者其中的部分步骤也可以省略或删除。该欺诈行为检测方法的详细步骤介绍如下。

步骤s110，在检测到任意一个用户在金融业务使用过程中产生新行为事件时，获取用户的当前通信号码、当前证件号码以及新行为事件的第一事件发生时间。

步骤s120，根据当前通信号码、当前证件号码以及第一事件发生时间确定对应的连通子图。

步骤s130，根据连通子图检测用户是否存在欺诈行为。

经本申请发明人研究发现，欺诈者为了绕过现有技术中的反欺诈系统，通常会维护一些个人账号，并且使用不同的终端设备登陆不同的账号，并且通过各种用户行为去伪造账户资金余额、转账收账记录等。又例如，非法购买批量个人信息（例如身份证信息）进行信贷申请等。由此，在这种欺诈场景中，欺诈者可以通过维护一系列个人账户，使这些个人账户看似具有良好的信用记录，然后通过这些个人账号实施大量信贷欺诈，而现有的反欺诈系统则都难以很好地识别这种欺诈模式。而且，随着这些反欺诈算法的广泛使用，欺诈者的欺诈行为也变得越来越隐蔽，通常从单个个人账号的申请行为中几乎感知不到任何欺诈风险，因为欺诈者已经将这些账户伪装的与正常账户极其相似，进而导致现有的基于单用户特征变量的欺诈检测算法已经对这种欺诈模式几乎失去了作用。

基于此，本实施例中，当接收到用户在金融业务使用过程中产生新行为事件时，通过获取用户的当前通信号码、当前证件号码以及新行为事件的第一事件发生时间，在此基础上并不仅仅是采用单用户特征变量的欺诈检测算法，而是基于当前通信号码、当前证件号码以及第一事件发生时间进一步确定对应的连通子图，其中连通子图可以用于表示与用户的当前通信号码存在迁移关系的证件号码的迁移关系信息。

例如，通过进一步确定对应的连通子图，可以检测出与用户的当前通信号码存在迁移关系的证件号码的迁移关系信息，通过考虑与用户的当前通信号码存在迁移关系的证件号码的迁移关系信息，可以用于身份池欺诈检测。身份池可以理解为欺诈者为实施欺诈所维护的一系列个人账户，这些个人账户经过了欺诈者的长期伪装，使得单检测一个这种用户账号时与信用良好的正常个人账户的特征极其类似。然而，发明人经过大量研究数据发现，如果一个个人账户只进行一次欺诈的话，欺诈者的欺诈成本会非常高昂，因此通常欺诈者会因为欺诈成本的原因对这些个人账户进行迁移组合。例如，一种常见的组合方式为证件号码结合通信号码构造单个个人账户，然后使用这些构造出的经过长时间伪装的个人账号进行欺诈。

如此，采用本申请实施例提供的欺诈行为检测方法，通过连通子图表示与用户的当前通信号码存在迁移关系的证件号码的迁移关系信息，可检测用户是否存在欺诈行为，能够针对存在伪装个人信息行为的欺诈者进行有效识别，从而及时检测到群体欺诈风险，提高风控识别的准确性。

在一种可能的实施方式中，上述通信号码可以是指用户进行移动通信的识别号，如电话管理部门为用户终端设定的号码，例如可以是，但不仅限于移动运营商号码、虚拟运营商号码、物联网号码、卫星通信号码等等，在此不作详细限定。

在一种可能的实施方式中，上述证件号码可以是用于表征用户唯一身份认证的识别号，例如可以是，但不仅限于居民份证号码、护照号码等等，在此不作详细限定。

在一种可能的实施方式中，接下来给出一种可替代的实施例对步骤s120进行示例性说明，步骤s120可以通过以下子步骤s121-子步骤s123实现，详细描述如下。

子步骤s121，从与当前通信号码关联的历史事件记录中获取距离第一事件发生时间之前最近的预设数量个目标证件号码。

本实施例中，历史事件记录可以包括用户在金融业务使用过程中产生的每个行为事件记录，每个行为事件记录包括该行为事件记录产生时用户所使用的证件号码、通信号码以及行为事件记录的第二事件发生时间。

例如，可以将用户所使用的证件号码和通信号码作为一个用户属性出现的所有行为事件记录，比如申请信贷、登陆终端设备等行为事件记录。

例如，某银行用户某一时间登陆了该银行的移动app，则可以收集该次登陆行为事件记录所使用的证件号码、通信号码及登陆时间，作为一个行为事件记录。

再例如，某银行用户某一时间出现消费付账行为，则收集该用户当次付账所使用的证件号码、通信号码及付账时间，作为一个行为事件记录。

由此，可以将能够收集到的所有证件号码及其关联的通信号码和事件发生时间汇总后，作为历史事件记录。在此基础上，即可在检测到新用户事件时，从与当前通信号码关联的历史事件记录中获取距离第一事件发生时间之前最近的预设数量个目标证件号码。

其中，上述预设数量可以根据实际需求进行灵活设置，例如当预设数量为2时，即可从与当前通信号码关联的历史事件记录中获取距离第一事件发生时间之前最近的两个目标证件号码。

子步骤s122，当预设数量个目标证件号码与当前证件号码相同时，从预先配置的通信号码迁移图谱中获取与当前证件号码和当前通信号码关联的连通子图。

本实施例中，通信号码迁移图谱中可以包括至少一个预先配置的连通子图。

子步骤s123，当预设数量个目标证件号码与当前证件号码不同时，计算每个目标证件号码所对应的行为事件记录的第二事件发生时间与第一事件发生时间之间的迁移时间间隔，并根据每个目标证件号码所对应的行为事件记录的第二事件发生时间与第一事件发生时间之间的迁移时间间隔生成对应的连通子图。

在一种可能的实施方式中，在子步骤s122中，接下来给出一种可能的示例，对该通信号码迁移图谱的预先配置过程进行示例性说明。例如，在步骤s110之前，本实施例提供的欺诈行为检测方法还可以包括步骤s101，具体描述如下。

步骤s101，根据收集的每个历史用户事件记录配置通信号码迁移图谱。

在一种可能的实施方式中，上述步骤s101可以通过以下示例性子步骤s1011-子步骤s1013实现，详细描述如下。

子步骤s1011，在收集每个历史用户在金融业务使用过程中产生的每个行为事件记录，作为历史用户事件记录。

本实施例中，参照上述描述，行为事件记录可以包括历史用户的证件号码、通信号码以及行为事件记录的第二事件发生时间。

子步骤s1012，按照通信号码为分组统计单位对历史用户事件记录进行分组，并按照行为事件记录的第二事件发生时间对获得的每个通信号码分组下的证件号码进行排序。

例如，以通信号码1为分组统计单位为例，按照行为事件记录的第二事件发生时间排序后，可以生成如下表1中的示例性数据：

表1

子步骤s1013，根据每个通信号码分组的证件号码排序结果配置通信号码迁移图谱。

示例性地，在子步骤s1013中，可以通过以下实施方式具体实现：

（1）针对每个通信号码分组，可以根据该通信号码分组的证件号码排序结果确定每次证件号码是否出现变化，在出现变化时生成证件号变化前后的迁移关系信息，得到该通信号码分组对应的迁移关系信息集合。

其中，迁移关系信息的迁移起点为出现变化之前的证件号码、迁移终点为出现变化后的证件号码，迁移关系信息还包括迁移起点和迁移终点各自对应的行为事件记录的第二事件发生时间之间的迁移时间间隔，以及该通信号码分组所包括的通信号码。

例如，仍旧以上述子步骤s1012中的示例为例，可以得到以下表2中的迁移关系信息。

表2

（2）根据每个通信号码分组对应的迁移关系信息集合配置通信号码迁移图谱。

在一种可能的实施方式中，本实施例可以根据每个通信号码分组对应的迁移关系信息集合生成每个通信号码分组对应的通信号码迁移路径。

例如，以表2中的phone1的通信号码分组为例，参见图3所示，可以生成phone1通信号码分组对应的通信号码迁移路径。其中，图3中的该通信号码迁移路径表征的含义是：在phone1通信号码下，证件号1迁移到证件号2的迁移时间间隔为488天，证件号2迁移到证件号4的迁移时间间隔为366天，证件号2迁移到证件号3的迁移时间间隔为27天，证件号3迁移到证件号2的迁移时间间隔为30天。

可以理解，在后续的通信号码迁移路径和连通子图的描述中，均可以参照以上含义进行理解，在之后的描述中将不再进行赘述。

接着，可以将每个通信号码分组对应的通信号码迁移路径中的所有迁移起点和迁移终点作为通信号码迁移图谱的图谱单位点，将通信号码迁移路径中的所有与图谱单位点对应的迁移关系信息作为通信号码迁移图谱的图谱单位边，将具有相互关联关系的图谱单位点和图谱单位边构建为对应的连通子图，从而可以将构建的每个连通子图组合形成通信号码迁移图谱。

在一种可能的实施方式中，考虑到通信号码被用户弃用之后，通常运营商会对其进行重新分配，所以对于迁移间隔时间足够大的迁移关系信息可以理解为正常的迁移行为，为了减少后续计算量，这种迁移关系信息可以进行删除。进一步地，针对一些特别的异常欺诈行为，如果同一个证件号码在迁移路径中已经出现了多次，那么这个证件号码从最开始的迁移路径到最后一个迁移路径中的所有迁移关系信息都不采用上述删除规则。

例如，可以判断每个通信号码分组对应的迁移关系信息集合中是否存在迁移时间间隔大于设定时间间隔的迁移关系，当迁移关系信息集合中存在迁移时间间隔大于设定时间间隔的迁移关系信息时，则进一步判断该迁移关系信息中任意一个证件号码是否重复出现，当该迁移关系信息中所有证件号码均未重复出现时，将该迁移关系信息从迁移关系信息集合中删除。

值得说明的是，上述设定时间间隔可以设置为t，在实际使用中可以根据历史数据进行数据分析，对t值进行调整，例如t可以默认为90。

例如，依据上述默认的t值，则将上述表2中的部分迁移信息删除之后可以得到以下表3中的迁移信息。

表3

又例如，以图4所示的示例为例，可以看出证件号2在该迁移关系信息中重复出现，因此，图4中的迁移关系信息所对应的迁移路径中，以下表4中的迁移关系信息不适用于以上删除规则。

表4

基于上述步骤，通过将具有相互关联关系的图谱单位点和图谱单位边构建为对应的连通子图，可以将构建的每个连通子图组合形成通信号码迁移图谱。例如图5所示，其中有相互关联关系的一系列图谱单位点和图谱单位边可以称为连通子图，比如图5中共有5个连通子图，分别为phone2和证件号1-证件号5构成的连通子图1，phone3和证件号6-证件号7构成的连通子图2，phone4和证件号8-证件号9构成的连通子图3，phone5和证件号10-证件号12构成的连通子图4，以及phone6、phone7和证件号13-证件号17构成的连通子图5。

在上述描述的基础上，在子步骤s122中，当预设数量个目标证件号码与当前证件号码相同时，即可从上述配置的通信号码迁移图谱中获取与当前证件号码和当前通信号码关联的连通子图。如果从该通信号码迁移图谱中无法获取到与当前证件号码和当前通信号码关联的连通子图，则说明该当前通信号码历史上只关联了该当前证件号码，因此可以通过最早的关联记录的第二事件发生时间与新行为事件的第一事件发生时间之间的时间间隔来分析欺诈风险，当时间间隔越长时，欺诈风险越低，或者也可以采用其它实施方式来进行风险评估，例如可以采用传统反欺诈方案中的单用户特征变量方法来进行风险评估，在此不作具体限定。

在子步骤s123中，以图6所示的子连通图的示例为例，假设当前证件号码为证件号12、当前通信号码为phone5，距离第一事件发生时间之前最近的预设数量个目标证件号码为证件号10和证件号11，那么可以表示通信号码phone5被不同的用户使用：证件号10的用户首先使用了phone5，在证件号10用户最后一次存在行为事件记录使用phone5后，间隔96天，phone5又被证件号11的用户使用，再次间隔96天，phone5又被证件号12的用户（也即使用当前证件号码的用户）使用。

由此，在一种可能的实施方式中，针对步骤s130，可以判断连通子图中是否存在证件号码的循环迁移路径，当连通子图中存在证件号码的循环迁移路径，判定用户存在欺诈行为。

例如，在正常情况下，如果一个通信号码的迁移路径出现循环，意味着这个通信号码经过一段时间之后，又重新分配了同一个用户的证件号码，而通过正常的运营商随机分配，该情况出现的概率极低，因此这种情况可以认为用户具有欺诈风险。如图7所示，对于通信号码phone2而言，在最初分配给证件号2之后，经过27天分配给证件号3，又经过109天分配给证件4，最后又重新分配了证件号2，从而出现了迁移循环，该情况可以判定用户存在欺诈行为。

又或者，在另一种可能的实施方式中，还可以统计连通子图中的通信号码数量是否大于设定数量阈值，当通信号码数量大于设定数量阈值时，判定用户存在欺诈行为。

例如，如果连通子图中的通信号码数量大于设定数量阈值，则可以表明多个通信号码迁移路径存在交叉，由此判定用户存在欺诈行为。示例性地，可以按照连通子图包含的通信号码数量判断欺诈风险等级，当通信号码数量越多时，那么对应的欺诈风险等级则越高，由此可以预先根据实际设计需求灵活配置通信号码与欺诈风险等级之间的映射关系，以便于后续依据该映射关系确定相应的欺诈风险。

如图8所示，可以看出连通子图中的通信号码数量为2，证件号13、证件号14和证件号17都使用过phone6，证件号16、证件号14和证件号15都使用过phone7，从而产生了交叉，由此可以判定用户存在欺诈行为。

基于此，对应于前述示例中的通信号码迁移图谱，在正常情况下用户更换通信号码的时候也会产生交叉，因此在证件号码未迁移关系信息中重复出现的情况下，可以通过设定时间间隔删除一部分时间间隔较大的迁移关系信息。例如，基于以上构思可知，在正常生活中，一个正常用户可能会更换通信号码，而这个被遗弃的通信号码经过一段时间（通常为一个月）就会被运营商重新分配给其他正常用户，所以在生成迁移关系信息的时候，需要设置一个预设间隔时间的阈值，因为超过该预设间隔时间可能是正常的通信号码重新分配，因此只需要关注间隔时间小于预设间隔时间和存在证件号码循环迁移的情况，进而可以减少后续的计算量，并且提高欺诈风险判定的准确性。

由此，参照图9所示，假设有如下的欺诈场景，一个欺诈者维护了n个证件号、m个通信号码，然后可以使用一个证件号随机关联2至4个通信号码来伪造2n至4n个个人账户，并且在一段时间内（例如半年至一年）对这些个人账户进行维护，使其单个人账户的账户特征与正常账户难以区分，然后使用这些个人账户对金融机构进行信贷诈骗。通过本申请实施例提供的欺诈行为检测方法，这些伪造的个人账户的事件行为可能形成图9中所示的示例性连通子图。

例如，在图9中，不难看出，通信号码phone13通过31天从证件号3迁移到证件号4，又经过37天由证件号4迁移到证件号5，而后经过38天迁移到证件号12，其中证件号4又经过38天关联新的通信号码phone12后迁移到证件号8，此时证件号3、证件号4、证件号5和证件号12都使用过phone13，证件号4和证件号8都使用过phone12，从而产生了交叉，由此按照前述判定规则，经过任一个节点都可以判定出用户存在欺诈行为。

基于同一发明构思，请参阅图10，示出了本申请实施例提供的欺诈行为检测装置110的功能模块示意图，本实施例可以根据上述方法实施例对欺诈行为检测装置110进行功能模块的划分。例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。比如，在采用对应各个功能划分各个功能模块的情况下，图10示出的欺诈行为检测装置110只是一种装置示意图。其中，欺诈行为检测装置110可以包括获取模块111、确定模块112以及检测模块113，下面分别对该欺诈行为检测装置110的各个功能模块的功能进行详细阐述。

获取模块111，用于在检测到任意一个用户在金融业务使用过程中产生新行为事件时，获取用户的当前通信号码、当前证件号码以及新行为事件的第一事件发生时间。可以理解，该获取模块111可以用于执行上述步骤s110，关于该获取模块111的详细实现方式可以参照上述对步骤s110有关的内容。

确定模块112，用于根据当前通信号码、当前证件号码以及第一事件发生时间确定对应的连通子图，连通子图用于表示与用户的当前通信号码存在迁移关系的证件号码的迁移关系信息。可以理解，该确定模块112可以用于执行上述步骤s120，关于该确定模块112的详细实现方式可以参照上述对步骤s120有关的内容。

检测模块113，用于根据连通子图检测用户是否存在欺诈行为。可以理解，该检测模块113可以用于执行上述步骤s130，关于该检测模块113的详细实现方式可以参照上述对步骤s130有关的内容。

在一种可能的实施方式中，确定模块112可以通过以下方式确定对应的连通子图：

从与当前通信号码关联的历史事件记录中获取距离第一事件发生时间之前最近的预设数量个目标证件号码，历史事件记录包括用户在金融业务使用过程中产生的每个行为事件记录，每个行为事件记录包括该行为事件记录产生时用户所使用的证件号码、通信号码以及行为事件记录的第二事件发生时间。

当预设数量个目标证件号码与当前证件号码相同时，从预先配置的通信号码迁移图谱中获取与当前证件号码和当前通信号码关联的连通子图，其中，通信号码迁移图谱中包括至少一个预先配置的连通子图。

当预设数量个目标证件号码与当前证件号码不同时，计算每个目标证件号码所对应的行为事件记录的第二事件发生时间与第一事件发生时间之间的迁移时间间隔，并根据每个目标证件号码所对应的行为事件记录的第二事件发生时间与第一事件发生时间之间的迁移时间间隔生成对应的连通子图。

在一种可能的实施方式中，欺诈行为检测装置110还可以包括配置模块，配置模块具体可以用于根据收集的每个历史用户事件记录配置通信号码迁移图谱。

在一种可能的实施方式中，配置模块可以通过以下方式配置通信号码迁移图谱的步骤，包括：

收集每个历史用户在金融业务使用过程中产生的每个行为事件记录，作为历史用户事件记录，其中，行为事件记录包括历史用户的证件号码、通信号码以及行为事件记录的第二事件发生时间。

按照通信号码为分组统计单位对历史用户事件记录进行分组，并按照行为事件记录的第二事件发生时间对获得的每个通信号码分组下的证件号码进行排序。

根据每个通信号码分组的证件号码排序结果配置通信号码迁移图谱。

在一种可能的实施方式中，配置模块可以通过以下方式配置通信号码迁移图谱：

针对每个通信号码分组，根据该通信号码分组的证件号码排序结果确定每次证件号码是否出现变化，在出现变化时生成证件号变化前后的迁移关系信息，得到该通信号码分组对应的迁移关系信息集合。

其中，迁移关系信息的迁移起点为出现变化之前的证件号码、迁移终点为出现变化后的证件号码，迁移关系信息还包括迁移起点和迁移终点各自对应的行为事件记录的第二事件发生时间之间的迁移时间间隔，以及该通信号码分组所包括的通信号码。

根据每个通信号码分组对应的迁移关系信息集合配置通信号码迁移图谱。

在一种可能的实施方式中，配置模块可以通过以下方式配置通信号码迁移图谱：

判断每个通信号码分组对应的迁移关系信息集合中是否存在迁移时间间隔大于设定时间间隔的迁移关系。

当迁移关系信息集合中存在迁移时间间隔大于设定时间间隔的迁移关系信息时，判断该迁移关系信息中任意一个证件号码是否重复出现。

当该迁移关系信息中所有证件号码均未重复出现时，将该迁移关系信息从迁移关系信息集合中删除。

在一种可能的实施方式中，配置模块可以通过以下方式配置通信号码迁移图谱：

根据每个通信号码分组对应的迁移关系信息集合生成每个通信号码分组对应的通信号码迁移路径。

将每个通信号码分组对应的通信号码迁移路径中的所有迁移起点和迁移终点作为通信号码迁移图谱的图谱单位点，将通信号码迁移路径中的所有与图谱单位点对应的迁移关系信息作为通信号码迁移图谱的图谱单位边，将具有相互关联关系的图谱单位点和图谱单位边构建为对应的连通子图。

将构建的每个连通子图组合形成通信号码迁移图谱。

在一种可能的实施方式中，检测模块113可以通过以下方式检测用户是否存在欺诈行为：

判断连通子图中是否存在证件号码的循环迁移路径，当连通子图中存在证件号码的循环迁移路径，判定用户存在欺诈行为。和/或

统计连通子图中的通信号码数量是否大于设定数量阈值，当通信号码数量大于设定数量阈值时，判定用户存在欺诈行为。

基于同一发明构思，请参阅图11，示出了本申请实施例提供的用于执行上述欺诈行为检测方法的服务器100的结构示意框图，该服务器100可以包括欺诈行为检测装置110、机器可读存储介质120和处理器130。

本实施例中，机器可读存储介质120与处理器130均位于服务器100中且二者分离设置。然而，应当理解的是，机器可读存储介质120也可以是独立于服务器100之外，且可以由处理器130通过总线接口来访问。可替换地，机器可读存储介质120也可以集成到处理器130中，例如，可以是高速缓存和/或通用寄存器。

处理器130是该服务器100的控制中心，利用各种接口和线路连接整个服务器100的各个部分，通过运行或执行存储在机器可读存储介质120内的软件程序和/或模块，以及调用存储在机器可读存储介质120内的数据，执行该服务器100的各种功能和处理数据，从而对服务器100进行整体监控。可选地，处理器130可包括一个或多个处理核心；例如，处理器130可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器中。

其中，处理器130可以是一个通用的中央处理器(centralprocessingunit，cpu)，微处理器，特定应用集成电路(application-specificintegratedcircuit，asic)，或一个或多个用于控制上述方法实施例提供的欺诈行为检测方法的程序执行的集成电路。

机器可读存储介质120可以是rom或可存储静态信息和指令的其他类型的静态存储设备，ram或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electricallyerasableprogrammabler-onlymemory，eeprom)、只读光盘(compactdiscread-onlymemory，cd-rom)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。机器可读存储介质120可以是独立存在，通过通信总线与处理器130相连接。机器可读存储介质120也可以和处理器集成在一起。其中，机器可读存储介质120用于存储执行本申请方案的机器可执行指令。处理器130用于执行机器可读存储介质120中存储的机器可执行指令，以实现前述方法实施例提供的欺诈行为检测方法。

欺诈行为检测装置110可以包括存储在机器可读存储介质120的软件功能模块（例如图10中所示的获取模块111、确定模块112以及检测模块113），当处理器130执行欺诈行为检测装置110中的软件功能模块时，以实现前述方法实施例提供的欺诈行为检测方法。

由于本申请实施例提供的服务器100是上述服务器100执行的方法实施例的另一种实现形式，且服务器100可用于执行上述方法实施例提供的欺诈行为检测方法，因此其所能获得的技术效果可参考上述方法实施例，在此不再赘述。

以上所述，仅为本申请的各种实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。