电子银行访问行为的检测方法和装置的制造方法

电子银行访问行为的检测方法和装置的制造方法
【专利摘要】本发明公开了一种电子银行访问行为的检测方法和装置。该电子银行访问行为的检测方法包括：获取目标账户的访问行为特征值；通过预设风险评估模型对访问行为特征值进行计算，得到目标账户的风险值，其中，预设风险评估模型用于按照预设算法对访问行为特征值进行计算，风险值用于表示访问行为的风险大小；以及根据风险值确定目标账户的风险等级。通过本发明，提高了电子银行访问行为检测方法的准确性。
【专利说明】
电子银行访问行为的检测方法和装置
技术领域
[0001] 本发明设及电子商务领域，具体而言，设及一种电子银行访问行为的检测方法和 装置。
【背景技术】
[0002] 电子银行是银行传统柜台业务的延伸，可使银行业务不再受营业地点、营业时间 的限制，随时为人们提供所需的金融服务。在其带来便利的同时也面临着诸多安全风险，尤 其随着欺诈案例的不断增加，将会为银行及其用户带来巨大的损失。目前，为了更好地预防 电子银行欺诈行为的发生，主要采用依据专家系统生成规则的方式检测欺诈行为，然而，基 于规则方法通常会带来规则更新滞后、误报率高、匹配效率低等问题，使得银行和用户的利 益不能够得到保障。
[0003] 现有技术中采用基于规则的方法进行电子银行风险监控，主要着眼于使用单一规 则和历史规则完成风险识别过程，并依据风险识别的阔值结果进行交易行为的响应，但是 针对整个系统中关键的规则生成过程没有详细的叙述，造成后续风险分值的生成W及依据 风险阔值进行风险评价的过程缺乏有力支撑，而且如前所述，基于规则的检测方式已不能 够适应当前电子银行所面临的现实情况，首先，该方法对于新的风险无法识别，其次，当规 则数目过于庞大时，分析检测过程将对系统处理能力带来明显压力。
[0004] 针对相关技术中电子银行访问行为检测方法准确性低的问题，目前尚未提出有效 的解决方案。

【发明内容】

[0005] 本发明的主要目的在于提供一种电子银行访问行为的检测方法和装置，W解决电 子银行访问行为的检测方法准确性低的问题。
[0006] 为了实现上述目的，根据本发明的一个方面，提供了一种电子银行访问行为的检 测方法，该方法包括:获取目标账户的访问行为特征值;通过预设风险评估模型对访问行为 特征值进行计算，得到目标账户的风险值，其中，预设风险评估模型用于按照预设算法对访 问行为特征值进行计算，风险值用于表示访问行为的风险大小；W及根据风险值确定目标 账户的风险等级。
[0007] 进一步地，获取目标账户的访问行为特征值包括：确定目标账户的目标会话，其 中，目标会话为需要进行访问行为检测的会话，目标会话为单会话，并且目标会话至少包含 一次访问行为;获取目标会话中的访问数量指标，请求类别密度指标和请求类别集中程度 指标，其中，目标会话中的访问数量指标为目标会话中的会话操作次数，目标会话中的请求 类别密度指标为目标会话中会话交易码类型个数与目标会话操作次数的比值，请求类别集 中程度指标为目标会话中交易查询类交易码的个数与目标会话的操作次数的比值，与自动 缴费查询类交易码个数与会话操作次数的比值之差;将访问数量指标，请求类别密度指标 和请求类别集中程度指标作为访问行为特征值。
[0008] 进一步地，根据预设风险评估模型对访问行为特征值进行风险评估计算，得到目 标账户的风险值包括:将访问行为特征值输入到预设风险评估模型中；获取第一预设时间 内预设风险评估模型输出的风险值，得到多个输出风险值；W及对多个输出风险值进行累 加，将累加得到的风险值作为目标账户的风险值。
[0009] 进一步地，在通过预设风险评估模型对访问行为特征值进行计算，得到目标账户 的风险值之前，方法包括:通过分布式计算方法对第二预设时间内目标账户的访问行为特 征值进行解析，得到多个类别的访问行为特征值;通过自适应聚类方法根据多个类别的访 问行为特征值和目标账户风险值对预设风险评估模型进行更新。
[0010] 进一步地，根据风险值确定目标账户的风险等级之后，方法还包括:生成与确定的 风险等级对应的控制指令，其中，控制指令用于对目标账户阻止访问，部分阻止访问或者不 阻止访问；W及通过控制指令控制目标账户的访问。
[0011] 为了实现上述目的，根据本发明的另一方面，提供了 一种电子银行访问行为的检 测装置，该装置包括:获取单元，用于获取目标账户的访问行为特征值;计算单元，用于通过 预设风险评估模型对访问行为特征值进行计算，得到目标账户的风险值，其中，预设风险评 估模型用于按照预设算法对访问行为特征值进行计算，风险值用于表示访问行为的风险大 小；W及确定单元，用于根据风险值确定目标账户的风险等级。
[0012] 进一步地，获取单元包括:确定模块，用于确定目标账户的目标会话，其中，目标会 话为需要进行访问行为检测的会话，目标会话为单会话，并且目标会话至少包含一次访问 行为;第一获取模块，用于获取目标会话中的访问数量指标，请求类别密度指标和请求类别 集中程度指标，其中，目标会话中的访问数量指标为目标会话中的会话操作次数，目标会话 中的请求类别密度指标为目标会话中会话交易码类型个数与目标会话操作次数的比值，请 求类别集中程度指标为目标会话中交易查询类交易码的个数与目标会话的操作次数的比 值，与自动缴费查询类交易码个数与会话操作次数的比值之差;第一获取模块还用于将访 问数量指标，请求类别密度指标和请求类别集中程度指标作为访问行为特征值。
[0013] 进一步地，计算单元包括;输入模块，用于将访问行为特征值输入到预设风险评估 模型中；第二获取模块，用于获取第一预设时间内预设风险评估模型输出的风险值，得到多 个输出风险值；W及累加模块，用于对多个输出风险值进行累加，将累加得到的风险值作为 目标账户的风险值。
[0014] 进一步地，装置还包括:解析单元，用于通过分布式计算方法对第二预设时间内目 标账户的访问行为特征值进行解析，得到多个类别的访问行为特征值;更新单元，用于通过 自适应聚类方法根据多个类别的访问行为特征值和目标账户风险值对预设风险评估模型 进行更新。
[0015] 进一步地，装置还包括:生成单元，用于生成与确定的风险等级对应的控制指令， 其中，控制指令用于对目标账户阻止访问，部分阻止访问或者不阻止访问；W及控制单元， 用于通过控制指令控制目标账户的访问。
[0016] 本发明通过获取目标账户的访问行为特征值;通过预设风险评估模型对访问行为 特征值进行计算，得到目标账户的风险值，其中，预设风险评估模型用于按照预设算法对访 问行为特征值进行计算，风险值用于表示访问行为的风险大小；W及根据风险值确定目标 账户的风险等级，解决了电子银行访问行为检测方法准确性低的问题，进而达到了提高电 子银行访问行为检测方法准确性的效果。
【附图说明】
[0017] 构成本申请的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实 施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
[0018] 图1是根据本发明第一实施例的电子银行访问行为的检测方法的流程图；
[0019] 图2是根据本发明第二实施例的电子银行访问行为的检测方法的流程图；
[0020] 图3是根据本发明第Ξ实施例的电子银行访问行为的检测方法的流程图；
[0021] 图4是根据本发明第四实施例的电子银行访问行为的检测方法的流程图；
[0022] 图5是根据本发明第五实施例的电子银行访问行为的检测方法的流程图；
[0023] 图6是根据本发明第六实施例的电子银行访问行为的检测方法的流程图；W及
[0024] 图7是根据本发明实施例的电子银行访问行为的检测装置的示意图。
【具体实施方式】
[0025] 需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可W相 互组合。下面将参考附图并结合实施例来详细说明本发明。
[0026] 为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的 附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是 本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人 员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范 围。
[0027] 需要说明的是，本申请的说明书和权利要求书及上述附图中的术语"第一"、"第 二"等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解运样使用 的数据在适当情况下可W互换，W便运里描述的本申请的实施例。此外，术语"包括"和"具 有及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的 过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清 楚地列出的或对于运些过程、方法、产品或设备固有的其它步骤或单元。
[0028] 本发明实施例提供了一种电子银行访问行为的检测方法。
[0029] 图1是根据本发明第一实施例的电子银行访问行为的检测方法的流程图，如图1所 示，该方法包括W下步骤：
[0030] 步骤S102:获取目标账户的访问行为特征值。
[0031 ]获取目标账户的访问行为特征值可W通过W下方式来实现:确定目标账户的目标 会话，获取目标会话中的访问数量指标，请求类别密度指标和请求类别集中程度指标，将访 问数量指标，请求类别密度指标和请求类别集中程度指标作为访问行为特征值。在获取目 标账户的访问行为特征值时，W会话为单位来获取目标账户的访问行为特征值。会话是指 客户与服务器之间的不中断的请求响应序列，对客户的每个请求，服务器能够识别出请求 来自于同一客户，例如，当一个未知的客户向网页应用程序发送第一个请求时就开始了一 个会话，当客户明确结束会话或服务器在一个预设时间内不接受客户任何请求时，会话结 束。
[0032] 目标会话为需要进行访问行为检测的会话，W单次会话为单位来获取目标账户的 访问行为特征值，目标会话为单会话，并且目标会话至少包含一次访问行为。在获取到目标 会话之后，获取目标会话中的访问数量指标，请求类别密度指标和请求类别集中程度指标， 其中，目标会话中的访问数量指标为目标会话中的会话操作次数，目标会话中的请求类别 密度指标为目标会话中会话交易码类型个数与目标会话操作次数的比值，请求类别集中程 度指标为目标会话中交易查询类交易码的个数与目标会话的操作次数的比值，与自动缴费 查询类交易码个数与会话操作次数的比值之差;将访问数量指标，请求类别密度指标和请 求类别集中程度指标作为访问行为特征值。
[0033] 步骤S104:通过预设风险评估模型对访问行为特征值进行计算，得到目标账户的 风险值。
[0034] 预设风险评估模型用于按照预设算法对访问行为特征值进行计算，风险值用于表 示访问行为的风险大小。
[0035] 根据预设风险评估模型对访问行为特征值进行风险评估计算，得到目标账户的风 险值可W是:将访问行为特征值输入到预设风险评估模型中；获取第一预设时间内预设风 险评估模型输出的风险值，得到多个输出风险值;对多个输出风险值进行累加，将累加得到 的风险值作为目标账户的风险值。
[0036] 将目标账户的单会话访问行为特征值输入到预设的风险评估模型中，通过预设的 风险评估模型得到目标账户单会话的风险值，将第一预设时间内目标账户所有会话的风险 值累加，得到第一预设时间的目标账户的风险值。
[0037] 举例而言，在对目标账户进行访问行为检测时，可W包括特征值提取，欺诈检测， 风险评价Ξ部分，其中，特征值提取是指将获取账户的单会话中的访问数量指标特征、单会 话中的请求类别密度指标特征和单会话中的请求类别集中程度指标特征，并组成特征向 量;欺诈检测是指将单个会话对应的特征向量输入风险类别决策模型中得到该会话的风险 类别，并产生响应的风险评分，也即风险值;风险评价是指将该账户下所有会话的风险评分 进行累加，得到针对该账户的风险评分结果，并将该风险评分结果依据设定的风险等级阔 值得到定性的风险评价结果，其中，在对该账户下的会话的风险评分进行累加时，可W将该 账户下所有会话的风险评分进行累加，也可W对预设时间内的该账户下的会话的风险评分 进行累加，例如，对一个月内该账户下的会话的风险评分进行累加，得到一个月内账户风险 评分结果。
[0038] 在通过预设风险评估模型对访问行为特征值进行计算，得到目标账户的风险值之 前，方法还包括:通过分布式计算方法对第二预设时间内目标账户的访问行为特征值进行 解析，得到多个类别的访问行为特征值;通过自适应聚类方法根据多个类别的访问行为特 征值和目标账户风险值对预设风险评估模型进行更新。
[0039] 上述风险评估模型W及所检测到的访问行为特征值的数据等可W通过主流大数 据工具来实现数据存储、查询和分析。例如，使用分布式数据存储平台，分布式数据存储平 台采用主流大数据工具搭建，能够支持海量异构数据的存储和查询。
[0040] 为了进一步提高电子银行访问行为检测方法的准确性，对预设风险评估模型进行 更新。对预设风险评估模型进行更新可W是根据新补充的数据进行定期的更新，其中，更新 是对各风险类别的决策模型进行校正。例如，通过自适应K-means聚类方法生成风险类别决 策模型，依据所有会话各指标特征组成的特征向量在特征空间中的分布，为各风险类别设 定相应的风险评分，生成风险评分模型，并依据策略对该模型进行动态更新，动态更新包 括:风险评估模型依据新补充的数据进行定期更新，新补充的数据是指上次对风险评估模 型修正之后的新数据。
[0041] 步骤S106:根据风险值确定目标账户的风险等级。
[0042] 根据风险值确定目标账户的风险等级可W是:通过预设风险评估模型对访问行为 特征值进行计算，得到目标账户的风险值，根据风险值和风险等级分段情况判断预设时间 内该目标账户的风险值所处的风险等级，例如，风险等级分为Ξ个等级：低风险，中风险和 高风险，风险值在20分W下为低风险，21分至80分为中风险，81分至100分为高风险，通过判 断风险值所在的风险等级区间来确定目标账户的风险等级。
[0043] 根据风险值确定目标账户的风险等级之后，方法还包括:生成与确定的风险等级 对应的控制指令，其中，控制指令用于对目标账户阻止访问，部分阻止访问或者不阻止访 问；W及通过控制指令控制目标账户的访问。
[0044] 优选地，为了提高电子银行的安全性，在确定目标账户的风险等级之后，依据目标 账户的风险等级控制账户行为，生成与相应的风险等级对应的控制指令。例如，控制指令包 括第一控制指令，第一控制指令为阻止访问指令，阻止访问指令用于阻止目标账户的访问 行为;控制指令还包括第二控制指令，第二控制指令为部分阻止访问指令，部分阻止访问指 令用于阻止目标账户的部分访问行为;控制指令还包括第Ξ控制指令，第Ξ控制指令为不 阻止访问指令，不阻止访问指令用于允许目标账户的访问行为。如果目标账户的风险等级 为高风险，为保证账户安全，生成第一控制指令，即阻止目标账户的访问行为;如果目标账 户的风险等级为中风险，为保证账户安全，生成第二控制指令，即阻止目标账户的部分访问 行为，例如，阻止目标账户的交易行为，或者对于目标账户的交易行为进行电话或短信确 认，确认通过后才允许目标账户的访问或交易行为;如果目标账户的风险等级为低风险，贝U 生成第Ξ控制指令，即不阻止目标账户的访问行为。
[0045] 该实施例采用获取目标账户的访问行为特征值;通过预设风险评估模型对访问行 为特征值进行计算，得到目标账户的风险值，其中，预设风险评估模型用于按照预设算法对 访问行为特征值进行计算，风险值用于表示访问行为的风险大小；W及根据风险值确定目 标账户的风险等级，提高了电子银行访问行为检测方法的准确性，从而更准确地确定目标 账户的风险等级，W便对目标账户的访问行为进行控制。
[0046] 图2是根据本发明第二实施例的电子银行访问行为的检测方法的流程图，该实施 例可W作为上述第一实施例的优选实施方式，如图2所示，该电子银行访问行为的检测方法 包括：
[0047] 步骤S202:数据收集与预处理。
[0048] 在电子银行系统中，通过数据收集与预处理将存储在业务系统中的目标账户的访 问行为特征值等数据W实时或者批量的方式收集到分布式数据存储平台中，作为历史数 据，例如使用风暴（Storm)和分布式文件系统巧adoop Distributed File System,简称为 HDFS)，通过并行计算方法，例如映射归纳(MapReduce)，W会话为单位对历史数据进行整 理。
[0049] 例如，将原始数据在大数据处理平台化doop下进行处理，原始数据W会话为单位 进行整理，W会话为键化ey)，原始数据为值(化lue)。
[(K)加]步骤S204:模型构建。
[0051] 对整理好的历史数据进行提取，提取单会话中的访问数量指标，单会话中的请求 类别密度指标和单会话中的请求类别集中程度指标，根据上述Ξ种指标生成特征向量，使 用自适应聚类方法，例如K-means聚类方法将数据归类，输出风险评估模型，也即风险类别 决策模型，并为各个风险类别设定风险评分标准值。
[0052] 单会话特征向量表示:对采集到的数据进行对应指标的特征提取，即会话操作次 数与会话交易码类型列表，做如下处理后得到可W直接被训练的特征向量：
[0053] 获取单会话中的访问数量指标:提取会话操作次数，记为η;
[0054] 获取单会话中的请求类别密度指标:提取会话交易码类型列表，计算它的元素个 数m与会话操作次数η的比值，记为d;
[0055] 获取单会话中的请求类别集中程度指标:提取会话交易码类型列表，计算其中属 于交易查询类的交易码个数C1与会话操作次数η的比值与其中属于自动缴费查询类的 化 交易码个数C2与会话操作次数η的比值之差，记为C;
[0化6] 最终得到特征向量Vrobot = (η, d, C )。
[0057] 通过自适应K-means聚类方法得到风险类别决策模型：
[0058] 初步确定风险类别数：由于在整个特征空间中，单会话中的访问数量(η)反映异常 的情况最为明显，故W该特征值进行最小二乘拟合，由拟合曲线走势分析得出单会话可分 Ξ个风险级别，因而初步设定风险类别为3,同时，还得出最高风险级别中样本数SC;
[0059] 得到决策模型：采用K-means聚类方法，将特征空间划分为Ξ个区域，比较落于Ξ 个特征区域的样本数W及各类中屯、单会话中的请求类别密度(d)与单会话中的请求类别集 中程度(C)运两个特征，不满足W下Ξ个条件，则风险类别数+1后，重新聚类直到条件满足：
[0060] Ξ个特征区域的样本数逐类递增，类中屯、η值越大，样本数越少，且最大那一类对 应的样本数在误差（6 = 100)允许的范围内与3(3相近，即为（〇,3。+5)，其中，〇=1]1曰义(0,3(3- δ);
[0061 ]类中屯、d值与样本数成反比；
[0062] 类中屯、C值与样本数成正比；
[0063] 输出各风险类别的类中屯、，即为风险类别决策模型。
[0064] 在得到风险类别决策模型后，依据风险类别决策模型，建立风险评分模型，W计算 目标账户访问行为特征值。
[0065] 分析风险类别决策模型可知，类别1最符合机器人类异常的特征，其中，机器人类 是指外挂程序，机器人类交易是指由外挂程序发起的交易类型，因此风险等级最高，其它两 类的风险程度依次递减，将该异常的风险级别定义如表1所示。
[0066] 表1聚类结果与风险评分对应关系表
[0067] ____
[0068] 如表1所示，当风险评分为0时，聚类结果属于类别3,当风险评分为1时，聚类结果 为类别2，当风险评分为10时，风险等级最高，聚类结果为类别1。
[0069] 步骤S206:风险分析。
[0070] 获取目标账户的会话数据，包括单会话中的访问数量指标，单会话中的请求类别 密度指标与单会话中的请求类别集中程度指标，生成单会话对应的特征向量，将特征向量 输入到风险类别决策模型中，风险类别决策模型的输出即为该会话数据的风险值，将目标 账户的所有单会话的风险值累加得到目标账户的最终风险值，通过最终风险值来确定目标 账户的风险级别。
[0071] 在构建风险评估模型之后，通过风险评估模型进行风险分析，风险分析部分可W 分为风险评分计算和风险级别确定。
[0072] 风险评分计算：
[0073] 将待评分的账户下所有会话进行特征向量表示，输入风险类别决策模型，即输入 风险评估模型；
[0074] 每条会话所属风险类别的判别方法:计算单个会话(S)到Ξ个类中屯、(曰1，曰2，曰3)的 距离，将其归于距离最近min( I s-ai U s-a21，I s-a31 )的那类，并将该类对应的风险评分赋 给该会话；
[0075] 将该账户下所有会话的风险评分累加即得到该账户总的风险评分值R。
[0076] 风险级别确定：
[0077] 通过历史风险评分的分布，计算出风险划分区间，例如，可使用分段最小二乘拟合 得到合适的边界，目前划分为无风险、低风险、中风险、高风险四个级别，然后将R与不同风 险级别的风险区间进行比较，确定最终账户的风险级别。
[0078] 该实施例通过数据收集与预处理，构建风险评估模型，然后利用风险评估模型进 行风险分析，得到目标账户的风险值，通过大数据处理平台对账户行为是否与所有账户单 会话中的访问数量指标、单会话中的请求类别密度指标与单会话中的请求类别集中程度指 标相一致进行欺诈检测，并根据所述风险评分值与风险级别的对应关系判断是否为欺诈行 为账户。提出了自适应K-means聚类方法，提高了电子银行访问行为欺诈检测的准确性，同 时，本发明的系统还具有处理海量数据的优良性能。
[0079] 图3是根据本发明第Ξ实施例的电子银行访问行为的检测方法的流程图。该实施 例可W作为第二实施例中模型构建的优选实施方式，如图3所示，该方法包括W下步骤：
[0080] 步骤S302:提取单会话指标特征值组成特征向量。
[0081] 在本实施例中，风险评估模型即风险类别决策模型，构建风险评估模型主要的输 入为目标账户的会话操作次数与会话交易码类型，目标账户的会话操作次数与会话交易码 类型存储在会话操作次数与会话交易码类型列表中。其中，会话操作次数为单个会话中的 记录数，会话交易码类型列表为单个会话所有记录中出现的交易码类型组成的列表。
[0082] 单会话中的访问数量指标为会话操作次数;单会话中的请求类别密度指标为会话 交易码类型列表中元素个数与会话操作次数的比值;单会话中的请求类别集中程度指标为 会话交易码类型列表中属于交易查询类的交易码个数与会话操作次数的比值，与会话交易 码类型列表中属于自动缴费查询类的交易码个数与会话操作次数的比值之差。
[0083] 步骤S304:使用K-means聚类方法获取单会话风险类别决策模型。
[0084] 采用自适应聚类方法，例如K-means，将特征向量归类，得到各类的类中屯、，作为预 测会话所属风险类别的决策模型，具体模型构建步骤如下：
[0085] 初步确定风险类别数单会话中的访问数量进行最小二乘拟合，由曲线走势分 析出单会话风险级别数b，并初步设定风险类别为b，同时，还得出最高风险级别中样本数 SC;
[0086] 采用K-means聚类方法，将特征空间划分为b个区域，比较落于b个特征区域的样本 数W及各类中屯、单会话中的请求类别密度与单会话中的请求类别集中程度运两个特征，不 满足W下Ξ个条件，则需要增加风险类别数重新聚类直到条件满足。
[0087] b个特征区域的样本数逐类递增，类中屯、η值越大，样本数越少，且最大的那一类对 应的样本数所占比率在误差允许的范围内与SC相近，过大容易产生误报，过小则风险类别 数过大，运算量加大;类中屯、对应的单会话中的请求类别密度与样本数成反比;类中屯、对应 的单会话中的请求类别集中程度与样本数成正比。
[0088] 步骤S306:依据聚类后各风险类别中样本的异常程度设定风险评分值。
[0089] 依据聚类后各风险类别中样本数量体现出来的异常程度，设定各风险类别相应的 风险值，即样本数量越稀少，说明异常程度越高，则风险值设置越高，相反风险值设定越低。
[0090] 该实施例通过提取单会话指标特征值组成特征向量，使用K-means聚类方法获取 单会话风险类别决策模型，依据聚类后各风险类别中样本的异常程度设定风险评分值，提 高了电子银行访问行为检测方法的准确性，从而更准确地确定目标账户的风险等级，W便 对目标账户的访问行为进行控制。
[0091] 图4是根据本发明第四实施例的电子银行访问行为的检测方法的流程图。该实施 例可W作为第二实施例中风险分析的优选实施方式，如图4所示，该方法包括W下步骤：
[0092] 步骤S402:风险评分计算。
[0093] 通过特征提取过程获得目标账户的单会话中的访问数量指标特征、单会话中的请 求类别密度指标特征与单会话中的请求类别集中程度指标特征，计算单个会话中机器人类 特征向量；
[0094] 通过风险类别决策模型得到单个会话所属的风险类别，得到相应的风险值，具体 步骤可W为:计算单个会话对应的特征向量到各类中屯、的距离，将该会话归于距离最短的 那类，将该类对应的风险评分赋给它；
[00%]将同一账户下所有会话的风险值累加得到账户风险评分结果，即风险值。
[0096] 步骤S404:风险等级确定。
[0097] 依据历史数据中所有风险评分结果的分布进行风险等级划分，例如，使用分段拟 合的方法得到不同的风险等级；
[0098] 将用户风险评分值与风险等级对应的评分区间进行比较，如果落在该区间中，贝U 用户被划定为该风险级别。
[0099] 该实施例通过提取目标账户的访问行为特征值进行风险评分计算，然后根据所计 算得到的风险值和风险等级划分区间来判断目标账户的风险等级，提高了电子银行访问行 为检测方法的准确性。
[0100] 图5是根据本发明第五实施例的电子银行访问行为的检测方法的流程图。该实施 例可W作为第四实施例中风险评分计算的优选实施方式，如图5所示，该方法包括W下步 骤：
[0101 ]步骤S502:计算单个会话中机器人类特征向量。
[0102] 通过特征提取过程获得待分析账户的单会话中的访问数量指标特征、单会话中的 请求类别密度指标特征与单会话中的请求类别集中程度指标特征，计算单个会话中机器人 类特征向量。
[0103] 步骤S504:通过决策模型判断特征向量所属风险类别，得到相应的风险评分。
[0104] 通过风险类别决策模型得到单个会话所属的风险类别，得到相应的风险值，具体 做法:计算单个会话对应的特征向量到各类中屯、的距离，将该会话归于距离最短的那类，将 该类对应的风险评分赋给它。
[0105] 步骤S506:将单个账户所有会话的风险评分累加得到账户风险评分结果。
[0106] 在通过决策模型判断特征向量所属风险类别，得到相应的风险评分之后，将单个 目标账户的所有会话的风险评分累加得到目标账户的风险评分结果，在进行累加时，可W 将目标账户所有的会话的风险评分进行累加，也可W将预设时间内的目标账户的风险评分 进行累加，得到预设时间内目标账户的风险值。
[0107] 该实施例通过计算单个会话中机器人类特征向量，通过决策模型判断特征向量所 属风险类别，得到相应的风险评分，将单个账户所有会话的风险评分累加得到账户风险评 分结果，通过上述方法，提高了电子银行访问行为检测方法的准确性。
[0108] 图6是根据本发明第六实施例的电子银行访问行为的检测方法的流程图。该实施 例可W作为第四实施例中风险级别确定的优选实施方式，如图6所示，该方法包括W下步 骤：
[0109] 步骤S602:风险评分计算。
[0110] 通过特征提取过程获得目标账户的单会话中的访问数量指标特征、单会话中的请 求类别密度指标特征与单会话中的请求类别集中程度指标特征，作为访问行为特征值。根 据预设风险评估模型对访问行为特征值进行风险评估计算，得到目标账户的风险值可W 是:将访问行为特征值输入到预设风险评估模型中；获取第一预设时间内预设风险评估模 型输出的风险值，得到多个输出风险值，对多个输出风险值进行累加，将累加得到的风险值 作为目标账户的风险值。
[0111] 步骤S604:确定风险级别阔值区间。
[0112] 在确定风险级别阔值区间时可W通过对预设时间内多个目标账户的风险值的结 果进行计算得到，或者依据经验值来确定各风险级别所对应的阔值区间，例如，风险等级分 为Ξ个等级:低风险，中风险和高风险，风险值在20分W下为低风险，21分至80分为中风险， 81分至100分为高风险。
[0113] 步骤S606:账户风险级别计算。
[0114] 目标账户风险级别计算，也即风险级别确定，通过判断风险值所在的风险等级区 间来确定目标账户的风险等级。例如目标账户的风险评分为90分，则账户风险级别为高风 险，优选地，根据账户的风险级别对账户的访问行为进行控制，例如，生成阻止访问指令，通 过阻止访问指令阻止高风险的目标账户的访问行为。
[0115] 该实施例通过风险评分计算，确定风险级别阔值区间，账户风险级别计算，确定目 标账户的风险级别，提高了电子银行访问行为检测方法的准确性。
[0116] 需要说明的是，在附图的流程图示出的步骤可W在诸如一组计算机可执行指令的 计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可不 同于此处的顺序执行所示出或描述的步骤。
[0117] 本发明实施例提供了一种电子银行访问行为的检测装置，该电子银行访问行为的 检测装置可W用于执行本发明实施例的电子银行访问行为的检测方法。
[0118] 图7是根据本发明实施例的电子银行访问行为的检测装置的示意图，如图7所示， 该装置包括：
[0119] 获取单元10,用于获取目标账户的访问行为特征值。
[0120] 获取单元10包括:确定模块，用于确定目标账户的目标会话，其中，目标会话为需 要进行访问行为检测的会话，目标会话为单会话，并且目标会话至少包含一次访问行为;第 一获取模块，用于获取目标会话中的访问数量指标，请求类别密度指标和请求类别集中程 度指标，其中，目标会话中的访问数量指标为目标会话中的会话操作次数，目标会话中的请 求类别密度指标为目标会话中会话交易码类型个数与目标会话操作次数的比值，请求类别 集中程度指标为目标会话中交易查询类交易码的个数与目标会话的操作次数的比值，与自 动缴费查询类交易码个数与会话操作次数的比值之差;第一获取模块还用于将访问数量指 标，请求类别密度指标和请求类别集中程度指标作为访问行为特征值。
[0121 ]计算单元20，用于通过预设风险评估模型对访问行为特征值进行计算，得到目标 账户的风险值。
[0122] 预设风险评估模型用于按照预设算法对访问行为特征值进行计算，风险值用于表 示访问行为的风险大小。
[0123] 计算单元20包括;输入模块，用于将访问行为特征值输入到预设风险评估模型中； 第二获取模块，用于获取第一预设时间内预设风险评估模型输出的风险值，得到多个输出 风险值;累加模块，用于对多个输出风险值进行累加，将累加得到的风险值作为目标账户的 风险值。
[0124] 确定单元30,用于根据风险值确定目标账户的风险等级。
[0125] 在计算单元20通过预设风险评估模型对访问行为特征值进行计算，得到目标账户 的风险值之后，确定单元30根据目标账户的风险值确定目标账户的风险等级，例如，确定单 元30通过风险值与风险等级的阔值区间判断目标账户的风险值所对应的风险等级。
[0126] 优选地，为了提高目标账户的访问行为安全性，装置还包括:生成单元，用于生成 与确定的风险等级对应的控制指令，其中，控制指令用于对目标账户阻止访问，部分阻止访 问或者不阻止访问；W及控制单元，用于通过控制指令控制目标账户的访问。
[0127] 为了进一步提高电子银行访问行为检测方法的准确性，装置还包括:解析单元，用 于通过分布式计算方法对第二预设时间内目标账户的访问行为特征值进行解析，得到多个 类别的访问行为特征值;更新单元，用于通过自适应聚类方法根据多个类别的访问行为特 征值和目标账户风险值对预设风险评估模型进行更新。
[0128] 该实施例通过获取单元10获取目标账户的访问行为特征值;计算单元20通过预设 风险评估模型对访问行为特征值进行计算，得到目标账户的风险值，其中，预设风险评估模 型用于按照预设算法对访问行为特征值进行计算，风险值用于表示访问行为的风险大小； W及确定单元30根据风险值确定目标账户的风险等级，从而提高了电子银行访问行为检测 方法的准确性。
[0129] 显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可W用通用 的计算装置来实现，它们可W集中在单个的计算装置上，或者分布在多个计算装置所组成 的网络上，可选地，它们可W用计算装置可执行的程序代码来实现，从而，可W将它们存储 在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们 中的多个模块或步骤制作成单个集成电路模块来实现。运样，本发明不限制于任何特定的 硬件和软件结合。
[0130] W上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技 术人员来说，本发明可W有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修 改、等同替换、改进等，均应包含在本发明的保护范围之内。
【主权项】
1. 一种电子银行访问行为的检测方法，其特征在于，包括： 获取目标账户的访问行为特征值； 通过预设风险评估模型对所述访问行为特征值进行计算，得到所述目标账户的风险 值，其中，预设风险评估模型用于按照预设算法对所述访问行为特征值进行计算，所述风险 值用于表示访问行为的风险大小；以及 根据所述风险值确定所述目标账户的风险等级。2. 根据权利要求1所述的方法，其特征在于，获取所述目标账户的访问行为特征值包 括： 确定所述目标账户的目标会话，其中，所述目标会话为需要进行访问行为检测的会话， 所述目标会话为单会话，并且所述目标会话至少包含一次访问行为； 获取所述目标会话中的访问数量指标，请求类别密度指标和请求类别集中程度指标， 其中，所述目标会话中的访问数量指标为所述目标会话中的会话操作次数，所述目标会话 中的请求类别密度指标为所述目标会话中会话交易码类型个数与所述目标会话操作次数 的比值，所述请求类别集中程度指标为所述目标会话中交易查询类交易码的个数与所述目 标会话的操作次数的比值，与自动缴费查询类交易码个数与所述会话操作次数的比值之 差；以及 将所述访问数量指标，所述请求类别密度指标和所述请求类别集中程度指标作为所述 访问行为特征值。3. 根据权利要求1所述的方法，其特征在于，根据所述预设风险评估模型对所述访问行 为特征值进行风险评估计算，得到所述目标账户的风险值包括： 将所述访问行为特征值输入到所述预设风险评估模型中； 获取第一预设时间内所述预设风险评估模型输出的风险值，得到多个输出风险值；以 及 对所述多个输出风险值进行累加，将累加得到的风险值作为所述目标账户的风险值。4. 根据权利要求1所述的方法，其特征在于，在通过所述预设风险评估模型对所述访问 行为特征值进行计算，得到所述目标账户的风险值之前，所述方法包括： 通过分布式计算方法对第二预设时间内所述目标账户的访问行为特征值进行解析，得 到多个类别的访问行为特征值;以及 通过自适应聚类方法根据所述多个类别的访问行为特征值和所述目标账户风险值对 所述预设风险评估模型进行更新。5. 根据权利要求1所述的方法，其特征在于，根据所述风险值确定所述目标账户的风险 等级之后，所述方法还包括： 生成与确定的风险等级对应的控制指令，其中，所述控制指令用于对所述目标账户阻 止访问，部分阻止访问或者不阻止访问；以及 通过所述控制指令控制所述目标账户的访问。6. -种电子银行访问行为的检测装置，其特征在于，包括： 获取单元，用于获取目标账户的访问行为特征值； 计算单元，用于通过预设风险评估模型对所述访问行为特征值进行计算，得到所述目 标账户的风险值，其中，预设风险评估模型用于按照预设算法对所述访问行为特征值进行 计算，所述风险值用于表示访问行为的风险大小；以及 确定单元，用于根据所述风险值确定所述目标账户的风险等级。7. 根据权利要求6所述的装置，其特征在于，所述获取单元包括： 确定模块，用于确定所述目标账户的目标会话，其中，所述目标会话为需要进行访问行 为检测的会话，所述目标会话为单会话，并且所述目标会话至少包含一次访问行为； 第一获取模块，用于获取所述目标会话中的访问数量指标，请求类别密度指标和请求 类别集中程度指标，其中，所述目标会话中的访问数量指标为所述目标会话中的会话操作 次数，所述目标会话中的请求类别密度指标为所述目标会话中会话交易码类型个数与所述 目标会话操作次数的比值，所述请求类别集中程度指标为所述目标会话中交易查询类交易 码的个数与所述目标会话的操作次数的比值，与自动缴费查询类交易码个数与所述会话操 作次数的比值之差； 第一获取模块还用于将所述访问数量指标，所述请求类别密度指标和所述请求类别集 中程度指标作为所述访问行为特征值。8. 根据权利要求6所述的装置，其特征在于，所述计算单元包括； 输入模块，用于将所述访问行为特征值输入到所述预设风险评估模型中； 第二获取模块，用于获取第一预设时间内所述预设风险评估模型输出的风险值，得到 多个输出风险值;以及 累加模块，用于对所述多个输出风险值进行累加，将累加得到的风险值作为所述目标 账户的风险值。9. 根据权利要求6所述的装置，其特征在于，所述装置还包括： 解析单元，用于通过分布式计算方法对第二预设时间内所述目标账户的访问行为特征 值进行解析，得到多个类别的访问行为特征值;以及 更新单元，用于通过自适应聚类方法根据所述多个类别的访问行为特征值和所述目标 账户风险值对所述预设风险评估模型进行更新。10. 根据权利要求6所述的装置，其特征在于，所述装置还包括： 生成单元，用于生成与确定的风险等级对应的控制指令，其中，所述控制指令用于对所 述目标账户阻止访问，部分阻止访问或者不阻止访问；以及 控制单元，用于通过所述控制指令控制所述目标账户的访问。
【文档编号】G06Q40/02GK106067088SQ201610371473
【公开日】2016年11月2日
【申请日】2016年5月30日 公开号201610371473.1, CN 106067088 A, CN 106067088A, CN 201610371473, CN-A-106067088, CN106067088 A, CN106067088A, CN201610371473, CN201610371473.1
【发明人】曲家文, 李庆华, 胡军锋, 章传强, 廖渊, 刘云川
【申请人】中国邮政储蓄银行股份有限公司