欺诈分析方法、装置、电子设备及存储介质与流程

1.本公开涉及反欺诈技术领域，尤其涉及一种欺诈分析方法、装置、电子设备及存储介质。


背景技术：

2.随着技术发展，金融领域的交易行为越来越多的依赖于互联网进行，但是伴随而来的骗贷、违约、转账等欺诈性行为，逐渐渗入到互联网中，为了保证交易行为的安全，对于金融机构而言，针对反欺诈识别监控成为防范金融风险的重要工作之一。
3.现有的反欺诈手段，往往是通过构建异构图，以此作为交易数据的补充，基于异构图能够提取异构图的结构以及相应的特征属性。
4.现有通过构建异构图的反欺诈手段，一般是直接将用户和用户的连接构成异构图，通过传统的图节点特征计算方法，例如deep walk、line、node2vec、struc2vec等计算图节点的特征表示，但是现有方法会忽略与用户相关属性，例如用户之间通过相同设备连接、或者共用ip、或者用户之间距离信息等，忽略用户相关属性，最终将导致对异构图中节点的分类结果不准确。


技术实现要素：

5.本公开实施例提供一种欺诈分析方法、装置、电子设备及存储介质，能够有效解决现有构建异构图的反欺诈手段对异构图中节点的分类结果不准确的问题。
6.本公开实施例的第一方面，提供一种欺诈分析方法，包括：
7.基于预先构建的欺诈异构图，确定所述欺诈异构图的路径节点聚类信息，
8.其中，所述欺诈异构图包括多个节点以及所述节点之间的连接关系，所述节点的连接关系包括正向连接关系和负向连接关系，所述路径节点聚类信息包括同一类别节点的聚类信息；
9.根据所述欺诈异构图中相邻节点的连接关系，确定所述每个节点的符号聚类信息，
10.其中，所述符号聚类信息包括每个节点的相邻节点的聚类信息；
11.基于所述路径节点聚类信息以及所述符号聚类信息，通过预先构建的欺诈分析模型，获取所述每个节点的欺诈特征表示。
12.可选地，在确定所述欺诈异构图的路径节点聚类信息之前，所述方法还包括构建所述欺诈异构图：
13.分别将用户以及与用户相关属性作为所述欺诈异构图的节点；
14.将欺诈用户与被欺诈用户对应的节点、欺诈用户与欺诈用户相关属性对应的节点进行负向连接；
15.将正常交易用户对应的节点、正常交易用户与正常交易用户相关属性对应的节点进行正向连接；
16.基于用户节点、用户属性节点以及节点之间的连接关系构建所述欺诈异构图。
17.可选地，所述符号聚类信息包括一阶符号聚类信息和多阶符号聚类信息，
18.所述一阶符号聚类信息包括直接连接的两个节点；
19.所述多阶符号聚类信息包括通过至少一个节点作为中间节点连接的多个节点；
20.所述一阶符号聚类信息和所述多阶符号聚类信息还包括正向连接节点集合和负向连接节点集合，
21.所述正向连接节点集合中相邻节点负向连接的节点个数为偶数个；
22.所述负向连接节点集合中相邻节点负向连接的节点个数为奇数个。
23.可选地，所述确定所述每个节点的符号聚类信息的方法还包括：
24.根据所述欺诈异构图中相邻节点的连接关系，将与该节点属于不同类别的相邻节点删除，将删除不同类别相邻节点后的邻居节点聚类信息作为符号聚类信息。
25.可选地，所述获取所述每个节点的欺诈特征表示之前，所述方法还包括训练所述欺诈分析模型：
26.基于预先获取的多个训练路径节点聚类信息，通过待训练的欺诈分析模型，获取第一邻居聚合信息；
27.基于预先获取的多个训练符号聚类信息，以及所述第一邻居聚合信息，通过待训练的欺诈分析模型，获取第二邻居聚合信息；
28.根据所述第一邻居聚合信息以及所述第二邻居聚合信息，确定所述训练路径节点聚类信息对应的专注参数；
29.基于所述第一邻居聚合信息、所述第二邻居聚合信息以及所述专注参数，通过待训练的欺诈分析模型的损失函数，训练所述欺诈分析模型。
30.本公开实施例的第二方面，提供一种欺诈分析装置，包括：
31.第一单元，用于基于预先构建的欺诈异构图，确定所述欺诈异构图的路径节点聚类信息，
32.其中，所述欺诈异构图包括多个节点以及所述节点之间的连接关系，所述节点的连接关系包括正向连接关系和负向连接关系，所述路径节点聚类信息包括同一类别节点的聚类信息；
33.第二单元，用于根据所述欺诈异构图中相邻节点的连接关系，确定所述每个节点的符号聚类信息，
34.其中，所述符号聚类信息包括每个节点的相邻节点的聚类信息；
35.第三单元，用于基于所述路径节点聚类信息以及所述符号聚类信息，通过预先构建的欺诈分析模型，获取所述每个节点的欺诈特征表示。
36.可选地，所述装置还包括第四单元，所述第四单元用于：
37.分别将用户以及与用户相关属性作为所述欺诈异构图的节点；
38.将欺诈用户与被欺诈用户对应的节点、欺诈用户与欺诈用户相关属性对应的节点进行负向连接；
39.将正常交易用户对应的节点、正常交易用户与正常交易用户相关属性对应的节点进行正向连接；
40.基于用户节点、用户属性节点以及节点之间的连接关系构建所述欺诈异构图。
41.可选地，所述符号聚类信息包括一阶符号聚类信息和多阶符号聚类信息，
42.所述一阶符号聚类信息包括直接连接的两个节点；
43.所述多阶符号聚类信息包括通过至少一个节点作为中间节点连接的多个节点；
44.所述一阶符号聚类信息和所述多阶符号聚类信息还包括正向连接节点集合和负向连接节点集合，
45.所述正向连接节点集合中相邻节点负向连接的节点个数为偶数个；
46.所述负向连接节点集合中相邻节点负向连接的节点个数为奇数个。
47.可选地，所述第二单元还用于：
48.根据所述欺诈异构图中相邻节点的连接关系，将与该节点属于不同类别的相邻节点删除，将删除不同类别相邻节点后的邻居节点聚类信息作为符号聚类信息。
49.可选地，所述装置还包括第五单元，所述第五单元用于：
50.基于预先获取的多个训练路径节点聚类信息，通过待训练的欺诈分析模型，获取第一邻居聚合信息；
51.基于预先获取的多个训练符号聚类信息，以及所述第一邻居聚合信息，通过待训练的欺诈分析模型，获取第二邻居聚合信息；
52.根据所述第一邻居聚合信息以及所述第二邻居聚合信息，确定所述训练路径节点聚类信息对应的专注参数；
53.基于所述第一邻居聚合信息、所述第二邻居聚合信息以及所述专注参数，通过待训练的欺诈分析模型的损失函数，训练所述欺诈分析模型。
54.本公开实施例的第三方面，提供一种电子设备，包括：
55.处理器；
56.用于存储处理器可执行指令的存储器；
57.其中，所述处理器被配置为调用所述存储器存储的指令，以执行前述任意一项所述的方法。
58.本公开实施例的第四方面，提供一种计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现前述任意一项所述的方法。
59.本公开提供的一种欺诈分析方法，包括：
60.基于预先构建的欺诈异构图，确定所述欺诈异构图的路径节点聚类信息，其中，所述欺诈异构图包括多个节点以及所述节点之间的连接关系，所述节点的连接关系包括正向连接关系和负向连接关系；
61.本公开的欺诈异构图不仅加入了与用户相关属性，还引入了符号网络，通过节点之间的正向连接关系和负向连接关系，进一步增加了维度信息；此外，通过确定路径节点聚类信息，能够挖掘潜在的关系信息，无需计算不同类别的异构信息，降低计算压力，提升识别速度；
62.根据所述欺诈异构图中相邻节点的连接关系，确定所述每个节点的符号聚类信息；
63.通过确定每个节点的符号聚类信息，增加了欺诈异构图中相邻节点在实际交易过程的交易情况这一维度数据，而并非只是对异构图中相邻节点进行简单拓展，便于后期对相关节点进行分类，进一步对信息进行开发；
64.基于所述路径节点聚类信息以及所述符号聚类信息，通过预先构建的欺诈分析模型，获取所述每个节点的欺诈特征表示；
65.通过预先构建的欺诈分析模型，可以综合处理路径节点聚类信息以及符号聚类信息，能够有效地提升对欺诈的识别准确性；基于欺诈异构图中每个节点的欺诈特征表示，能够根据用户需求进一步处理，具有较高灵活度。
附图说明
66.图1为本公开实施例欺诈分析方法的流程示意图；
67.图2为本公开实施例欺诈异构图的示意图；
68.图3为本公开实施例欺诈分析装置的结构示意图。
具体实施方式
69.为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。
70.本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
71.应当理解，在本公开的各种实施例中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本公开实施例的实施过程构成任何限定。
72.应当理解，在本公开中，“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
73.应当理解，在本公开中，“多个”是指两个或两个以上。“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“包含a、b和c”、“包含a、b、c”是指a、b、c三者都包含，“包含a、b或c”是指包含a、b、c三者之一，“包含a、b和/或c”是指包含a、b、c三者中任1个或任2个或3个。
74.应当理解，在本公开中，“与a对应的b”、“与a相对应的b”、“a与b相对应”或者“b与a相对应”，表示b与a相关联，根据a可以确定b。根据a确定b并不意味着仅仅根据a确定b，还可以根据a和/或其他信息确定b。a与b的匹配，是a与b的相似度大于或等于预设的阈值。
75.取决于语境，如在此所使用的“若”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”或“响应于检测”。
76.下面以具体地实施例对本公开的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。
77.图1示例性地示出本公开实施例欺诈分析方法的流程示意图，如图1所示，所述方法包括：
78.步骤s101、基于预先构建的欺诈异构图，确定所述欺诈异构图的路径节点聚类信息；
79.示例性地，所述欺诈异构图可以包括多个节点以及所述节点之间的连接关系，所述节点的连接关系可以包括正向连接关系和负向连接关系，所述路径节点聚类信息可以包括同一类别节点的聚类信息。
80.本公开的欺诈异构图不仅加入了与用户相关属性，还引入了符号网络，通过节点之间的正向连接关系和负向连接关系，进一步增加了维度信息；此外，通过确定路径节点聚类信息，能够挖掘潜在的关系信息，无需计算不同类别的异构信息，降低计算压力，提升识别速度。
81.在一种可选的实施方式中，在确定所述欺诈异构图的路径节点聚类信息之前，所述方法还包括构建所述欺诈异构图：
82.分别将用户以及与用户相关属性作为所述欺诈异构图的节点；
83.将欺诈用户与被欺诈用户对应的节点、欺诈用户与欺诈用户相关属性对应的节点进行负向连接；
84.将正常交易用户对应的节点、正常交易用户与正常交易用户相关属性对应的节点进行正向连接；
85.基于用户节点、用户属性节点以及节点之间的连接关系构建所述欺诈异构图。
86.图2示例性地示出本公开实施例欺诈异构图的示意图，如图2所示，所述欺诈异构图可以包括多个节点，多个节点可以通过不同连接方式进行连接。可选地，图2中数字节点可以表示用户节点，非数字节点可以表示与用户相关属性节点。
87.在实际交易过程中，主要包括两种类型的交易：欺诈交易和正常交易，其中，以用户节点为例，图2中可以用虚线连接的两个节点表示用户之间存在欺诈交易，用实线连接的两个节点表示用户之间属于正常交易。需要说明的是，可以从第三方平台或者从数据库中获取交易类型数据，本公开实施例对交易类型数据的获取方式不进行限定。
88.示例性地，非数字节点可以表示与用户相关属性节点，其中，与用户相关属性可以包括但不限于用户所用设备、用户所用设备的ip地址、用户名下银行卡信息以及用户所在地理位置等，需要说明的是，本公开实施例对与用户相关属性的类型和种类不进行限定。
89.现有通过构建异构图的反欺诈手段，一般是直接将用户和用户的连接构成异构图，会忽略与用户相关属性，而本技术实施例通过在异构图中加入与用户相关属性，提高了信息丰富度，有利于提高欺诈识别能力。
90.示例性地，图2中节点a、b、c可以表示用户所用设备，节点m可以表示用户所用设备的ip地址。图2中多个节点可以通过不同连接方式进行连接，具体地，
91.以节点1和节点2为例，节点1和节点2通过虚线进行连接，可以表示用户1被用户2欺诈；
92.以节点1和节点a为例，节点1和节点a通过实线连接，可以表示用户1在被欺诈时，所用的设备为a；
93.以节点2和节点b为例，节点2和节点b通过虚线连接，可以表示用户2在欺诈时，所
用的设备为b。
94.可以理解的是，本公开实施例中节点通过实线连接，则可以认为节点之间为正向连接，节点通过虚线连接，则可以认为节点之间为负向连接。通过节点之间的正向连接关系和负向连接关系，进一步增加了异构图的维度信息，有利于提高欺诈识别的准确度。
95.需要说明的是，在异构图中引入符号网络能够扩展维度信息和挖掘潜在的关系信息，但是不同类别的数据对于欺诈识别容易形成干扰，增加计算压力。本公开实施例基于欺诈异构图，确定欺诈异构图的路径节点聚类信息，能够有效解决上述问题。
96.具体地，以图2为例，欺诈异构图的节点可以包括用户节点、与用户相关属性节点，其中，与用户相关属性节点可以进一步包括用户所用设备、用户所用设备的ip地址。
97.通过聚合同一类别节点信息，能够有效地处理不同类别的异构信息，减轻计算压力。示例性地，可以通过用户节点聚合与用户相关属性节点信息，也可以通过与用户相关属性节点信息聚合用户节点信息，示例性地，路径节点聚类信息的类型可以包括但不限于：
98.用户
‑
设备
‑
用户类型；
99.用户
‑
ip
‑
用户类型；
100.ip
‑
用户
‑
ip类型；
101.设备
‑
用户
‑
设备类型。
102.需要说明的是，上述只是示例性说明，本公开实施例对路径节点聚类信息的类型以及信息长度不进行限定，示例性地，路径节点聚类信息还可以包括用户
‑
设备
‑
用户
‑
设备
‑
用户类型，例如图2中，节点2
‑
节点b
‑
节点4
‑
节点c
‑
节点6。为了聚合同一类别节点信息，路径节点聚类信息中第一个节点和最后一个节点必须是同一类别，本公开实施例对路径节点聚类信息中间节点的数量和类型不进行限定。
103.通过路径节点聚类信息，可以获取某一节点在特定路径上相关节点的信息，路径节点聚类信息用于指示同一类别节点的聚类信息，因此能够明确相同类别节点的聚类信息，有利于后期对于同一类别节点的分析。
104.步骤s102、根据所述欺诈异构图中相邻节点的连接关系，确定所述每个节点的符号聚类信息；
105.示例性地，所述符号聚类信息包括每个节点的相邻节点的聚类信息。
106.可以理解的是，根据平衡理论，朋友的朋友是朋友，朋友的敌人是敌人，敌人的敌人是朋友，通过不同相邻节点之间正向和负向连接关系，可以确定每个节点的符号聚类信息。
107.在一种可选的实施方式中，所述符号聚类信息包括一阶符号聚类信息和多阶符号聚类信息，
108.所述一阶符号聚类信息包括直接连接的两个节点；
109.所述多阶符号聚类信息包括通过至少一个节点作为中间节点连接的多个节点。
110.其中，一阶符号聚类信息包括直接连接的两个节点，示例性地，以节点1为例，节点1的一阶符号聚类信息可以包括与节点1正向连接的节点a、与节点1正向连接的节点7、与节点1负向连接的节点2；
111.其中，多阶符号聚类信息包括通过至少一个节点作为中间节点连接的多个节点，示例性地，以二阶符号聚类信息以及节点1为例，节点1的二阶符号聚类信息可以包括节点
c、节点3、节点b、节点m以及节点4。
112.通过符号聚类信息，能够获取某一节点邻居节点的聚类信息，而符号聚类信息包括一阶符号聚类信息和多阶符号聚类信息，对于某一节点，通过多个维度获取其邻居节点的信息，能够对该节点进行横向的聚类分析，对该节点进行多维度分析。
113.在一种可选的实施方式中，所述一阶符号聚类信息和所述多阶符号聚类信息包括正向连接节点集合和负向连接节点集合，其中，正向连接节点集合中相邻节点负向连接的节点个数为偶数个，负向连接节点集合中相邻节点负向连接的节点个数为奇数个。
114.示例性地，以节点i和节点j为例，若节点i和节点j有偶数个负连接的边，则可以认定节点i和节点j是正向连接的关系；若节点i和节点j有奇数个负连接的边，则可以认定节点i和节点j是负向连接的关系。
115.示例性地，一阶符号聚类信息可以如下公式所示：
[0116][0117][0118]
其中，b
i
(1)表示一阶符号聚类信息的正向连接节点集合，u
i
(1)表示一阶符号聚类信息的负向连接节点集合，u
j
表示第j个节点，表示一阶符号聚类信息中正向连接节点的节点数量，表示一阶符号聚类信息中负向连接节点的节点数量。
[0119]
示例性地，多阶符号聚类信息可以如下公式所示：
[0120][0121][0122]
其中，b
i
(l+1)表示多阶符号聚类信息的正向连接节点集合，u
i
(l+1)表示多阶符号聚类信息的负向连接节点集合，表示多阶符号聚类信息中正向连接节点的节点数量，表示多阶符号聚类信息中负向连接节点的节点数量，u
k
表示第k个节点。
[0123]
示例性地，以节点1为例，节点1的一阶符号聚类信息的正向连接节点集合可以包括节点7和节点a；节点1的一阶符号聚类信息的负向连接节点集合可以包括节点2；
[0124]
以节点1和二阶符号聚类信息为例，节点1的二阶符号聚类信息的正向连接节点集合可以包括节点c、节点3、节点b和节点m；节点1的二阶符号聚类信息的负向连接节点集合可以包括节点4。
[0125]
在一阶符号聚类信息和多阶符号聚类信息的基础上，还可以进一步包括正向连接节点集合和负向连接节点集合，能够对节点进行纵向的聚类分析，并且可以发现与节点虽未直接连接，但是具有实际交易关系的节点，有利于提高欺诈分析的准确性。
[0126]
在一种可选的实施方式中，所述确定所述每个节点的符号聚类信息的方法还包括：
[0127]
根据所述欺诈异构图中相邻节点的连接关系，将与该节点属于不同类别的相邻节点删除，将删除不同类别相邻节点后的邻居节点聚类信息作为符号聚类信息。
[0128]
在实际应用中，欺诈异构图中相邻节点的连接关系往往是包括多个类别的节点，而与某个节点不同类别的相邻节点，对于分析该节点的参考意义不大，通过将与该节点属于不同类别的相邻节点删除，能够减轻计算压力，提高欺诈识别效率。
[0129]
步骤s103、基于所述路径节点聚类信息以及所述符号聚类信息，通过预先构建的欺诈分析模型，获取所述每个节点的欺诈特征表示。
[0130]
可以理解的是，每个节点的欺诈特征表示能够表示该节点在欺诈异构图中的特征信息，欺诈特征表示可以是通过欺诈分析模型映射后的低维度向量，基于每个节点的欺诈特征表示，能够根据用户需求进一步处理，具有较高灵活度。
[0131]
在一种可选的实施方式中，所述获取所述每个节点的欺诈特征表示之前，所述方法还包括训练所述欺诈分析模型：
[0132]
基于预先获取的多个训练路径节点聚类信息，通过待训练的欺诈分析模型，获取第一邻居聚合信息；
[0133]
基于预先获取的多个训练符号聚类信息，以及所述第一邻居聚合信息，通过待训练的欺诈分析模型，获取第二邻居聚合信息；
[0134]
根据所述第一邻居聚合信息以及所述第二邻居聚合信息，通过待训练的欺诈分析模型的损失函数，确定所述训练路径节点聚类信息对应的专注参数；
[0135]
基于所述第一邻居聚合信息、所述第二邻居聚合信息以及所述专注参数，训练所述欺诈分析模型。
[0136]
示例性地，本公开实施例的欺诈分析模型可以是基于gcn(graph convolutional network，图卷积网络)构建的。gcn可以采用局部感知区域、共享权值和空间域上的降采样，相对于位移、缩放和扭曲，具有稳定不变的特性，能够很好的提取图像的空间特征。其中，欺诈分析模型可以通过mean
‑
pooling的方式对信息进行聚合，需要说明的是，本公开实施例对信息聚合的方式不进行限定。
[0137]
具体地，可以通过预先获取的多个训练路径节点，通过待训练的欺诈分析模型，获取第一邻居聚合信息；
[0138]
示例性地，可以通过如下公式所示的方法获取第一邻居聚合信息，获取第一邻居聚合信息可以只考虑正向连接和负向连接：
[0139][0140]
其中，表示正向连接的第一邻居聚合信息，σ表示sigmoid激活函数，w
b(1)
表示第一正向训练参数，表示节点j的初始特征，表示正向连接节点的节点数量，表示节点i的初始特征；
[0141][0142]
其中，表示负向连接的第一邻居聚合信息，w
u(1)
表示第一负向训练参数，表示节点k的初始特征，表示负向连接节点的节点数量。
[0143]
具体地，可以基于预先获取的多个训练符号聚类信息，以及所述第一邻居聚合信息，通过待训练的欺诈分析模型，获取第二邻居聚合信息；
[0144]
示例性地，可以通过如下公式所示的方法获取第二邻居聚合信息，获取第二邻居聚合信息可以考虑正向连接和负向连接的节点，还可以考虑正向连接节点集合和负向连接节点集合：
[0145][0146]
其中，表示正向连接节点集合的第二邻居聚合信息，w
b(l)
表示第二正向连接节点集合的训练参数，表示第i个节点第l―1层正向连接的第一邻居聚合信息，表示第k个节点第l―1层负向连接的第一邻居聚合信息；
[0147][0148]
其中，表示负向连接节点集合的第二邻居聚合信息，w
u(l)
表示第二负向连接节点集合的训练参数，表示第i个节点第l―1层负向连接的第一邻居聚合信息，表示第k个节点第l―1层正向连接的第一邻居聚合信息，表示第i个节点第l―1层负向连接的第一邻居聚合信息。
[0149]
在一种可选的实施方式中，根据所述第一邻居聚合信息以及所述第二邻居聚合信息，确定所述训练路径节点聚类信息对应的专注参数；
[0150]
示例性地，欺诈异构图中，不同的路径节点，具有不同的专注参数，专注参数能够更准确地分析路径节点属性信息。示例性地，可以通过如下公式所示的方法确定所述训练路径节点聚类信息对应的专注参数：
[0151][0152][0153]
其中，表示节点i在对应的路径节点的专注参数，表示节点j在对应的路径节点的专注参数，v表示节点数量，q表示第三训练参数，q
t
表示第三训练参数的转置矩阵，w表示第四训练参数，b表示第五训练参数。
[0154]
示例性地，获取不同路径节点对应的专注参数后，可以进一步对专注参数进行归一化处理。可选地，可以通过如下公式所示的方法对专注参数进行归一化处理：
[0155][0156][0157]
其中，表示对进行归一化的结果，表示对进行归一化的结果，p表示预设常数。
[0158]
不同评价指标(即特征向量中的不同特征)往往具有不同的量纲和量纲单位，这样的情况会影响到数据分析的结果，为了消除指标之间的量纲影响，可以进行数据标准化处理，以解决数据指标之间的可比性。原始数据经过归一化处理后，各指标处于同一数量级，适合进行综合对比评价。
[0159]
在一种可选的实施方式中，基于所述第一邻居聚合信息、所述第二邻居聚合信息
以及所述专注参数，通过待训练的欺诈分析模型的损失函数，训练所述欺诈分析模型。示例性地，在欺诈异构图中，如果两个节点是正向连接的，则可以认为这两个节点的特征表示在空间维度上距离较近；如果两个节点是负向连接的，则可以认为这两个节点的特征表示在空间维度上距离较远。
[0160]
可选地，本公开实施例的损失函数可以如下公式所示：
[0161][0162]
loss表示损失函数的损失值，表示节点u的特征表示的转置，表示节点u和节点v正向连接的边，表示节点u和节点v负向连接的边，q表示第六训练参数，其中，第六训练参数用于调节损失值。
[0163]
在一种可选的实施方式中，基于所述第一邻居聚合信息、所述第二邻居聚合信息以及所述专注参数，通过训练后的欺诈分析模型，获取每个节点的欺诈特征表示。示例性地，可以按照如下公式所示的方法获取每个节点的欺诈特征表示：
[0164][0165][0166]
z＝concat(z
b
,z
u
)
[0167]
其中，z
b
表示正向连接节点的欺诈特征表示，z
u
表示负向连接节点的欺诈特征表示，z表示每个节点的欺诈特征表示，concat表示连接字符串函数。
[0168]
本公开实施例通过训练欺诈分析模型，可以综合处理路径节点聚类信息以及符号聚类信息，能够有效地提升对欺诈的识别准确性。
[0169]
在一种可选的实施方式中，所述获取所述每个节点的欺诈特征表示后，所述方法还包括：
[0170]
基于所述每个节点的欺诈特征表示，通过预设的特征表示类别聚类方法，将所述欺诈特征表示属于同一类别的节点进行聚类，并将聚类结果发送至目标客户。
[0171]
基于欺诈异构图中每个节点的欺诈特征表示，能够根据用户需求进一步处理，具有较高灵活度。示例性地，可以通过dbscan(density
‑
based spatial clustering of applications with noise)聚类算法，将同一类别的欺诈特征表示分到同一组中。可选地，以用户欺诈为例，可以将同一类别的欺诈用户特征表示进行分类，实际中可以表示具有一定联系的欺诈团伙，有利于相关部门(例如公安部门)进行精准打击。
[0172]
本公开实施例提供的欺诈分析方法的欺诈异构图不仅加入了与用户相关属性，还引入了符号网络，通过节点之间的正向连接关系和负向连接关系，进一步增加了维度信息；此外，通过确定路径节点聚类信息，能够挖掘潜在的关系信息，无需计算不同类别的异构信息，降低计算压力，提升识别速度。
[0173]
通过确定每个节点的符号聚类信息，增加了欺诈异构图中相邻节点在实际交易过程的交易情况这一维度数据，而并非只是对异构图中相邻节点进行简单拓展，便于后期对相关节点进行分类，进一步对信息进行开发。
[0174]
通过预先构建的欺诈分析模型，可以综合处理路径节点聚类信息以及符号聚类信息，能够有效地提升对欺诈的识别准确性；基于欺诈异构图中每个节点的欺诈特征表示，能
够根据用户需求进一步处理，具有较高灵活度。
[0175]
图3示例性地示出本公开实施例欺诈分析方法的流程示意图，如图3所示，所述装置包括：
[0176]
第一单元31，用于基于预先构建的欺诈异构图，确定所述欺诈异构图的路径节点聚类信息，
[0177]
其中，所述欺诈异构图包括多个节点以及所述节点之间的连接关系，所述节点的连接关系包括正向连接关系和负向连接关系，所述路径节点聚类信息包括同一类别节点的聚类信息；
[0178]
第二单元32，用于根据所述欺诈异构图中相邻节点的连接关系，确定所述每个节点的符号聚类信息，
[0179]
其中，所述符号聚类信息包括每个节点的相邻节点的聚类信息；
[0180]
第三单元33，用于基于所述路径节点聚类信息以及所述符号聚类信息，通过预先构建的欺诈分析模型，获取所述每个节点的欺诈特征表示。
[0181]
在一种可选的实施方式中，所述装置还包括第四单元，所述第四单元用于：
[0182]
分别将用户以及与用户相关属性作为所述欺诈异构图的节点；
[0183]
将欺诈用户与被欺诈用户对应的节点、欺诈用户与欺诈用户相关属性对应的节点进行负向连接；
[0184]
将正常交易用户对应的节点、正常交易用户与正常交易用户相关属性对应的节点进行正向连接；
[0185]
基于用户节点、用户属性节点以及节点之间的连接关系构建所述欺诈异构图。
[0186]
在一种可选的实施方式中，所述符号聚类信息包括一阶符号聚类信息和多阶符号聚类信息，
[0187]
所述一阶符号聚类信息包括直接连接的两个节点；
[0188]
所述多阶符号聚类信息包括通过至少一个节点作为中间节点连接的多个节点；
[0189]
所述一阶符号聚类信息和所述多阶符号聚类信息还包括正向连接节点集合和负向连接节点集合，
[0190]
所述正向连接节点集合中相邻节点负向连接的节点个数为偶数个；
[0191]
所述负向连接节点集合中相邻节点负向连接的节点个数为奇数个。
[0192]
在一种可选的实施方式中，所述第二单元32还用于：
[0193]
根据所述欺诈异构图中相邻节点的连接关系，将与该节点属于不同类别的相邻节点删除，将删除不同类别相邻节点后的邻居节点聚类信息作为符号聚类信息。
[0194]
在一种可选的实施方式中，所述装置还包括第五单元，所述第五单元用于：
[0195]
基于预先获取的多个训练路径节点聚类信息，通过待训练的欺诈分析模型，获取第一邻居聚合信息；
[0196]
基于预先获取的多个训练符号聚类信息，以及所述第一邻居聚合信息，通过待训练的欺诈分析模型，获取第二邻居聚合信息；
[0197]
根据所述第一邻居聚合信息以及所述第二邻居聚合信息，确定所述训练路径节点聚类信息对应的专注参数；
[0198]
基于所述第一邻居聚合信息、所述第二邻居聚合信息以及所述专注参数，通过待
训练的欺诈分析模型的损失函数，训练所述欺诈分析模型。
[0199]
本公开实施例还提供一种电子设备，包括：
[0200]
处理器；
[0201]
用于存储处理器可执行指令的存储器；
[0202]
其中，所述处理器被配置为调用所述存储器存储的指令，以执行如图1对应实施例所述的方法。
[0203]
本公开实施例还提供一种计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现如图1对应实施例所述的方法。
[0204]
本公开还提供一种程序产品，该程序产品包括执行指令，该执行指令存储在可读存储介质中。设备的至少一个处理器可以从可读存储介质读取该执行指令，至少一个处理器执行该执行指令使得设备实施上述的各种实施方式提供的方法。
[0205]
其中，可读存储介质可以是计算机存储介质，也可以是通信介质。通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。计算机存储介质可以是通用或专用计算机能够存取的任何可用介质。例如，可读存储介质耦合至处理器，从而使处理器能够从该可读存储介质读取信息，且可向该可读存储介质写入信息。当然，可读存储介质也可以是处理器的组成部分。处理器和可读存储介质可以位于专用集成电路(application specific integrated circuits，简称：asic)中。另外，该asic可以位于用户设备中。当然，处理器和可读存储介质也可以作为分立组件存在于通信设备中。可读存储介质可以是只读存储器(rom)、随机存取存储器(ram)、cd
‑
rom、磁带、软盘和光数据存储设备等。
[0206]
在上述终端或者服务器的实施例中，应理解，处理器可以是中央处理单元(英文：central processing unit，简称：cpu)，还可以是其他通用处理器、数字信号处理器(英文：digital signal processor，简称：dsp)、专用集成电路(英文：application specific integrated circuit，简称：asic)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本公开所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。
[0207]
最后应说明的是：以上各实施例仅用以说明本公开的技术方案，而非对其限制；尽管参照前述各实施例对本公开进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本公开各实施例技术方案的范围。