一种基于大数据的用户行为认证方法及系统与流程

本发明涉及一种网络交易行为认证方法，特别是涉及一种基于大数据的用户行为认证方法及系统。

背景技术：

随着网络和通讯技术的快速发展，互联网正逐步改变着人们的生活方式，尤其是电子商务等网络服务已经融入到了人们的日常生活，为人们带来了极大的便利，同时也记录并积累了大量的用户行为数据，使得人们真正步入了大数据时代。但是与此同时，人们也遭受着各种安全问题的威胁。网络欺诈、病毒攻击、钓鱼网站等网络安全问题给国家、社会以及个人带来了巨大的困扰与经济损失。随着电子商务、网上支付、网上银行等业务的相继开展，账户被盗用的事件屡次发生，严重削减了用户对于使用网络进行商务和支付的安全感，使得网络在这些领域很难普及和向纵深发展。因此，研究如何构建安全可信的基于大数据的用户身份认证方法是解决上述安全问题的关键，具有十分重要的现实意义。

身份认证技术主要用于确认通信参与者的身份是否是合法的通信实体的一种手段，它是网络交互的第一道防线，是整个网络安全的门户与基石。现有的身份认证方法主要包括：密码认证、智能卡认证和生物信息认证三种。密码认证易于实现，却存在诸如密码泄露、盗号攻击等安全隐患；智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒，但是也存在信息截取等安全隐患；生物信息认证相对比较安全可靠，却对硬件设备有较强的依赖性，如指纹采集器、虹膜识别器等。

现有技术中的网络交易行为认证方法存在诸如密码泄露、盗号攻击、信息截取等安全隐患，对硬件设备有较强的依赖性，其中密码和智能卡认证存在安全漏洞，生物信息认证存在识别设备成本高等技术问题。

技术实现要素：

鉴于以上现有技术存在的诸如密码泄露、盗号攻击、信息截取等安全隐患，对硬件设备有较强的依赖性，尤其密码和智能卡认证的安全漏洞，以及生物信息认证识别设备成本高等技术问题，本发明的目的在于提供一种基于大数据的用户行为认证方法及系统，包括：获取每位用户的历史交易记录及网页访问信息；统计历史交易记录及网页访问信息，得出交易数据，根据交易数据中的特征信息为每位用户构建交易行为证书；判断是否存在用户在线交易行为；若是，则抽取出此次交易行为的交易行为信息，从数据库中提取该用户的交易行为证书与交易行为信息的数据特征匹配，得交易行为的风险度，根据风险度判断该交易行为得出用户身份认证结果，并依据交易行为信息及用户身份认证结果更新行为证书；若否，则持续在离线状态下获取历史交易记录及网页访问信息并计算交易数据。

于本发明的一实施方式中，统计历史交易记录及网页访问信息，得出交易数据，根据交易数据中的特征信息为每位用户构建交易行为证书，包括：根据预设输入格式提取用户的交易行为信息，得到交易数据；统计交易数据，根据交易数据计算得行为概率信息；根据行为概率信息，以预设向量构建逻辑对各个交易特征数据构建特征向量；从交易行为信息中提取卡号及历史交易数据，结合行为概率信息生成交易行为证书。

于本发明的一实施方式中，统计交易数据，根据交易数据计算得行为概率信息，包括：统计被上线用户转账的所有卡号；根据交易数据中的交易时间信息统计交易时间概率；根据交易数据中的时间区间信息统计时间区间分布概率；根据交易数据中的交易地点信息及公式：

统计用户交易地点概率：p^l，其中，i为交易位置序号，m表示用户交易位置总数，fi表示交易位置i出现的频率；根据交易数据中的交易金额信息统计金额分布概率。

于本发明的一实施方式中，根据行为概率信息，以预设向量构建逻辑对各个交易特征数据构建特征向量，包括：获取转账卡号信息及交易时间概率、时间区间分布概率、交易地点概率和金额分布概率；取交易时间概率为时间分向量，构建得交易时间特征向量；取时间区间分布概率为时间区间分向量，构建得交易时间分布向量；取根据交易地点概率为地点分向量，构建计算交易地点特征向量；取根据金额分布概率为金额分向量，构建计算得金额分布向量。

于本发明的一实施方式中，若是，则抽取出此次交易行为的交易行为信息，从数据库中提取该用户的交易行为证书与交易行为信息的数据特征匹配，得交易行为的风险度，根据风险度判断该交易行为得出用户身份认证结果，并依据交易行为信息及用户身份认证结果更新行为证书，包括：读取待认证用户的交易行为信息，根据交易行为信息得交易数据；从证书库中获取用户的行为证书；根据交易数据计算用户交易概率。根据用户交易概率信息及公式：

计算风险值p，其中αi为特征系数，pi为用户交易概率；判断风险值p是否大于等于预设阈值；若是，则判定用户为非法用户，拦截该操作行为；若否，则判定用户为合法用户，放行该操作行为并标记为正常操作行为；根据正常操作行为的数据更新进行该次交易的用户行为证书并存入证书库中。

于本发明的一实施方式中，一种基于大数据的用户行为认证系统，其特征在于，包括：交易信息获取模块、证书构建模块、用户在线判断模块、行为认证模块与离线证书库构建模块；交易信息获取模块，用于获取每位用户的历史交易记录及网页访问信息；证书构建模块，统计历史交易记录及网页访问信息，得出交易数据，根据交易数据中的特征信息为每位用户构建交易行为证书，证书构建模块与交易信息获取模块连接；用户在线判断模块，用于判断是否有用户在线交易行为；行为认证模块，用于在有用户在线交易行为时，抽取出此次交易行为的交易行为信息，从证书库中提取该用户的交易行为证书与交易行为信息的数据特征匹配，得交易行为的风险度，根据风险度判断该交易行为得出用户身份认证结果，并依据交易行为信息及用户身份认证结果更新行为证书，行为认证模块与用户在线判断模块连接。离线证书库构建模块，用于持续在离线状态下获取历史交易记录及网页访问信息并计算交易数据，离线证书库构建模块与行为认证模块连接。

于本发明的一实施方式中，证书构建模块包括：交易信息输入模块，概率计算模块、特征向量模块和证书生成模块；交易信息输入模块，用于根据预设输入格式提取用户的交易行为信息，得到交易数据；概率计算模块，用于统计交易数据，根据交易数据计算得行为概率信息，概率计算模块与交易信息输入模块连接；特征向量模块，用于根据行为概率信息，以预设向量构建逻辑对各个交易特征数据构建特征向量，特征向量模块与概率计算模块连接；证书生成模块，用于从交易行为信息中提取卡号及历史交易数据，结合行为概率信息生成交易行为证书，证书生成模块与特征向量模块连接，证书生成模块和交易信息输入模块连接。

于本发明的一实施方式中，概率计算模块，包括：转账卡号模块、交易时间概率模块、时间区间概率模块、交易地点概率模块和金额区间概率模块；转账卡号模块，用于统计被上线用户转账的所有卡号；交易时间概率模块，用于根据交易数据中的交易时间信息统计交易时间概率；时间区间概率模块，用于根据交易数据中的时间区间信息统计时间区间分布概率，时间区间概率模块与交易时间概率模块连接；交易地点概率模块，用于根据交易数据中的交易地点信息及公式：

统计用户交易地点概率：p^l，其中，i为交易位置序号，m表示用户交易位置总数，fi表示交易位置i出现的频率；金额区间概率模块，用于根据交易数据中的交易金额信息统计金额分布概率。

于本发明的一实施方式中，特征向量模块，包括：概率信息获取模块、时间特征向量模块、时间区间向量模块、地点特征向量模块和金额分布向量模块；概率信息获取模块，用于获取转账卡号信息及交易时间概率、时间区间分布概率、交易地点概率和金额分布概率；时间特征向量模块，用于取交易时间概率为时间分向量，构建交易时间特征向量，时间特征向量模块与概率信息获取模块连接；时间区间向量模块，用于取时间区间分布概率为时间区间分向量，构建交易时间分布向量，时间区间向量模块与概率信息获取模块连接；地点特征向量模块，用于取交易地点概率为地点分向量，构建交易地点特征向量，地点特征向量模块与概率信息获取模块连接；金额分布向量模块，用于取金额分布概率为金额分向量，构建金额分布向量，金额分布向量模块与概率信息获取模块连接。

于本发明的一实施方式中，行为认证模块，包括：交易信息获取模块、行为证书获取模块、用户概率模块、风险值计算模块、非法风险判断模块、非法拦截模块、合法放行模块和证书更新模块；交易信息获取模块，用于读取待认证用户的交易行为信息，根据交易行为信息得交易特征数据；行为证书获取模块，用于从证书库中获取用户的行为证书；用户概率模块，用于根据交易特征数据计算用户交易概率，用户概率模块与行为证书获取模块连接；风险值计算模块，用于根据用户交易概率信息及公式：

计算风险值p，其中αi为特征系数，pi为用户交易概率，风险值计算模块与用户概率模块连接；非法风险判断模块，用于判断风险值p是否大于等于预设阈值，非法风险判断模块与风险值计算模块连接；非法拦截模块，用于在风险值p大于等于预设阈值时，判定用户为非法用户，拦截该操作行为，非法拦截模块与非法风险判断模块连接；合法放行模块，用于在风险值p小于预设阈值时，判定用户为合法用户，放行该操作行为并标记为正常操作行为，合法放行模块与非法风险判断模块连接；证书更新模块，用于根据正常操作行为的数据更新进行该次交易的用户行为证书并存入证书库中，证书更新模块与合法放行模块连接。

如上所述，本发明提供的一种基于大数据的用户行为认证方法及系统，具有以下有益效果：本发明针对大数据环境下用户身份的可信性问题，提出一种基于大数据的用户行为认证方法。以网络交易为例，此方法可利用用户新的交易行为与历史交易行为证书之间匹配计算得到的风险度来进行用户身份的认证。一旦新交易行为的风险度过大(即大于等于系统设定阈值)，则判定为用户的新交易行为可疑，从而采取一些必要的交互措施(如重新出入密码，手机验证码验证或电话通知用户等)来进一步确定用户身份。

综上所述，本发明提供一种基于大数据的用户行为认证方法及系统，解决了现有技术诸如密码泄露、盗号攻击、信息截取等安全隐患，克服了对硬件设备较强的依赖性，密码和智能卡认证的漏洞，以及生物信息认证识别设备成本高等技术问题。

附图说明

图1显示为本发明的一种基于大数据的用户行为认证方法步骤示意图。

图2显示为本发明的交易行为证书构建步骤示意图。

图3显示为本发明的概率统计步骤示意图。

图4显示为本发明的特征向量构建步骤示意图。

图5显示为本发明的用户身份认证及证书更新步骤示意图。

图6显示为本发明的一种基于大数据的用户行为认证系统模块示意图。

图7显示为本发明的证书构建模块示意图。

图8显示为本发明的概率计算模块示意图。

图9显示为本发明的特征向量模块示意图。

图10显示为行为认证模块示意图。

元件标号说明

1基于大数据的用户行为认证系统

11交易信息获取模块

12证书构建模块

13用户在线判断模块

14行为认证模块

15离线证书库构建模块

121交易信息输入模块

122概率计算模块

123特征向量模块

124证书生成模块

1221转账卡号模块

1222交易时间概率模块

1223时间区间概率模块

1224交易地点概率模块

1225金额区间概率模块

1231概率信息获取模块

1232时间特征向量模块

1233时间区间向量模块

1234地点特征向量模块

1235金额分布向量模块

141交易信息获取模块

142行为证书获取模块

143用户概率模块

144风险值计算模块

145非法风险判断模块

146非法拦截模块

147合法放行模块

148证书更新模块

步骤标号说明

图1s1～s5

图2s11～s14

图3s221～s225

图4s231～s235

图5s41～s48

具体实施方式

以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效。

请参阅图1至图10，须知，本说明书所附图式所绘示的结构，均仅用以配合说明书所揭示的内容，以供熟悉此技术的人士了解与阅读，并非用以限定本发明可实施的限定条件，故不具技术上的实质意义，任何结构的修饰、比例关系的改变或大小的调整，在不影响本实用新型所能产生的功效及所能达成的目的下，均应仍落在本发明所揭示的技术内容所能涵盖的范围内。同时，本说明书中所引用的如”上”、”下”、”左”、”右”、”中间”及”一”等的用语，亦仅为便于叙述的明了，而非用以限定本发明可实施的范围，其相对关系的改变或调整，在无实质变更技术内容下，当亦视为本发明可实施的范畴。

请参阅图1，显示为本发明的一种基于大数据的用户行为认证方法步骤示意图，如图1所示，包括：一种基于大数据的用户行为认证方法及系统，包括：

s1、获取每位用户的历史交易记录及网页访问信息，获取互联网网页上的日志序号，用户的用于交易的卡号信息，用户交易行为发生的时间记录信息，交易行为涉及的金额信息以及交易发生以及相关的地理位置信息；

s2、统计历史交易记录及网页访问信息，得出交易数据，根据交易数据中的特征信息为每位用户构建交易行为证书，根据记录格式：<日志序号，转出卡号，转入卡号，事件日期，时间标签，交易金额，地区号>从用户的历史交易信息中提取交易特征数据以构建用于用户身份认证的用户行为证书；

s3、判断是否存在用户在线交易行为，本发明中的行为认证属于在线计算过程，统计计算以及证书生成的步骤可在离线状态下进行；

s4、若是，则抽取出此次交易行为的交易行为信息，从数据库中提取该用户的交易行为证书与交易行为信息的数据特征匹配，得交易行为的风险度，根据风险度判断该交易行为得出用户身份认证结果，并依据交易行为信息及用户身份认证结果更新行为证书，抽取其交易行为特征，生成一组特征向量，构建用户行为证书。基于此证书，实时监控用户的当前交易行为，在交易过程中判定是否为合法用户；

s5、若否，则持续在离线状态下获取历史交易记录及网页访问信息并计算交易数据，标记成放行(正常)记录存入数据库中，更新用户行为证书，将更新内容加入基于大数据的用户行为证书数据库中。

请参阅图2，显示为本发明的交易行为证书构建步骤示意图，请参阅图2，s2、统计历史交易记录及网页访问信息，得出交易数据，根据交易数据中的特征信息为每位用户构建交易行为证书，包括：

s21、根据预设输入格式提取用户的交易行为信息，得到交易数据，输入：用户的历史交易信息，其中包含多条用户交易记录，每条记录格式为：<日志序号，转出卡号，转入卡号，事件日期，时间标签，交易金额，地区号>；

s22、统计交易数据，根据交易数据计算得行为概率信息，主要从交易日期是否工作日、是否节假日、与最近一次交易的时间间隔、交易地点、交易金额等5个特征考虑；

s23、根据行为概率信息，将用户行为刻画为一个13维的特征向量；

s24、从交易行为信息中提取卡号及历史交易数据，结合行为概率信息生成交易行为证书，根据用户的历史交易信息中包含的用户账户信息及交易行为发生的时间地点及涉及金额等交易数据计算出用户使用银行卡交易的行为特征，根据这些行为特征为每一个用户建立一个行为证书。

请参阅图3，显示为本发明的概率统计步骤示意图，请参阅图3，统计交易数据，s22、根据交易数据计算得行为概率信息，包括：

s221、统计被上线用户转账的所有卡号，ticn(transferintocardnumber)：被用户转账过的所有卡号；

s222、根据交易数据中的交易时间信息统计交易时间概率，p^w1，p^w2：由用户历史交易记录统计出其交易日期分别为工作日和周末的概率，p^f1，p^f2：由用户历史交易记录统计出其交易日期分别为节假日和非节假日的概率；

s223、根据交易数据中的时间区间信息统计时间区间分布概率，pⁱ1，pⁱ2，pⁱ3，pⁱ4：由用户历史交易记录统计出其相邻两次交易的时间间隔分布在相应区间的概率。其中时间间隔区间的划分是针对每个用户分别计算；

s224、根据交易数据中的交易地点信息及公式：

统计用户交易地点概率：p^l，其中，i为交易位置序号，m表示用户交易位置总数，fi表示交易位置i出现的频率，v4＝(p^l)：根据每个用户交易地点的多样性确定的用户可能会在新地点进行交易的概率。采用信息熵来计算用户的位置多样性；

s225、根据交易数据中的交易金额信息统计金额分布概率，p^r1，p^r2，p^r3，p^r4：由用户历史交易记录统计出其交易金额分布在四个金额区间段的概率。其中金额区间段的划分是针对每个用户分别计算。

请参阅图4，显示为本发明的特征向量构建步骤示意图，如图4所示，s23、根据行为概率信息，以预设向量构建逻辑对各个交易特征数据构建特征向量，包括：

s231、获取转账卡号信息及交易时间概率、时间区间分布概率、交易地点概率和金额分布概率；

s232、取交易时间概率为时间分向量，构建交易时间特征向量，构建时间特征向量的公式为：v1＝(p^w1，p^w2)，v2＝(p^f1，p^f2)，其中v1是交易日期分别为工作日和周末的特征向量，v2是由用户历史交易记录统计出其交易日期分别为节假日和非节假日的特征向量；

s233、取时间区间分布概率为时间区间分向量，构建交易时间分布向量，构建时间区间分布特征向量的公式为：v3＝(pⁱ1，pⁱ2，pⁱ3，pⁱ4)，v3是由用户历史交易记录统计出其相邻两次交易的时间间隔分布在相应区间的特征向量；

s234、取交易地点概率为地点分向量，构建计算交易地点特征向量v4＝(p^l)，其中v4为每个用户交易地点的多样性确定的用户可能会在新地点进行交易的特征向量；

s235、取金额分布概率为金额分向量，构建计算得金额分布向量v5＝(p^r1，p^r2，p^r3，p^r4)是由用户历史交易记录统计出其交易金额分布在四个金额区间段的特征向量。

请参阅图5，显示为本发明的用户身份认证及证书更新步骤示意图，如图5所示，s4、若是，则抽取出此次交易行为的交易行为信息，从数据库中提取该用户的交易行为证书与交易行为信息的数据特征匹配，得交易行为的风险度，根据风险度判断该交易行为得出用户身份认证结果，并依据交易行为信息及用户身份认证结果更新行为证书，包括：

s41、读取待认证用户的交易行为信息，根据交易行为信息得交易数据，用于网络支付、电子银行等用户的身份认证，在现有的认证基础上增加行为认证。利用用户的历史交易数据，抽取其交易行为特征；

s42、从证书库中获取用户的行为证书；

s43、根据交易数据计算用户交易概率，分别匹配此用户行为特征并输出相应的概率值p1，p2，p3，p4，p5，其中：p1，p2根据判断待认证交易记录的交易日期是否为工作日和是否为节假日，从用户行为证书中相应维度获取的概率；p3根据待认证交易记录中交易时间与行为证书中的最近一次交易时间的间隔，获取行为证书中相应时间间隔区间的概率；p4是根据待认证交易记录的交易地点，判断其是否在常用地点列表中，如果在，则p4＝1，否则，输出其对应的地点多样性概率，即p4＝p^l；p5是根据判断待认证交易记录中交易金额所在区间，得到相应概率。

s44、根据用户交易概率信息及公式：

计算风险值p，其中αi为特征系数，pi为用户交易概率，其中p的值越大，则代表其风险度越大，用户的此次交易越不可信(即异常)，反之用户此次交易行为越可信(即正常)；

s45、判断风险值p是否大于等于预设阈值，行为认证模块根据用户行为证书匹配用户的新的行为序列，判断其是否为正常操作。如果是正常操作则放行，如果不是正常操作则拦截；

s46、若是，则判定用户为非法用户，拦截该操作行为，根据具体的实验设定阈值，若大于等于阈值表明风险度较高，可将其拦截，并标记成拦截(异常)记录存入数据库中；

s47、若否，则判定用户为合法用户，放行该操作行为并标记为正常操作行为；

s48、根据正常操作行为的数据更新进行该次交易的用户行为证书并存入证书库中，可将其放行，并标记成放行(正常)记录存入数据库中，更新用户行为证书。

请参阅图6，显示为本发明的一种基于大数据的用户行为认证系统模块示意图，如图6所示，一种基于大数据的用户行为认证系统1，其特征在于，包括：交易信息获取模块11、证书构建模块12、用户在线判断模块13、行为认证模块14与离线证书库构建模块15；交易信息获取模块11，用于获取每位用户的历史交易记录及网页访问信息，用户的用于交易的卡号信息，用户交易行为发生的时间记录信息，交易行为涉及的金额信息以及交易发生以及相关的地理位置信息；证书构建模块12，统计历史交易记录及网页访问信息，得出交易数据，根据交易数据中的特征信息为每位用户构建交易行为证书，根据记录格式：<日志序号，转出卡号，转入卡号，事件日期，时间标签，交易金额，地区号>从用户的历史交易信息中提取交易特征数据以构建用于用户身份认证的用户行为证书，证书构建模块12与交易信息获取模块11连接；用户在线判断模块13，用于判断是否有用户在线交易行为，本发明中的行为认证属于在线计算过程，统计计算以及证书生成的步骤可在离线状态下进行；行为认证模块14，用于在有用户在线交易行为时，抽取出此次交易行为的交易行为信息，从证书库中提取该用户的交易行为证书与交易行为信息的数据特征匹配，得交易行为的风险度，根据风险度判断该交易行为得出用户身份认证结果，并依据交易行为信息及用户身份认证结果更新行为证书，抽取其交易行为特征，生成一组特征向量，构建用户行为证书。基于此证书，实时监控用户的当前交易行为，在交易过程中判定是否为合法用户，行为认证模块14与用户在线判断模块13连接。离线证书库构建模块15，用于持续在离线状态下获取历史交易记录及网页访问信息并计算交易数据，标记成放行(正常)记录存入数据库中，更新用户行为证书，将更新内容加入基于大数据的用户行为证书数据库中，离线证书库构建模块15与行为认证模块13连接。

请参阅图7，显示为本发明的证书构建模块示意图，如图7所示，证书构建模块12包括：交易信息输入模块121、概率计算模块122、特征向量模块123和证书生成模块124；交易信息输入模块121，用于根据预设输入格式提取用户的交易行为信息，得到交易数据，输入：用户的历史交易信息，其中包含多条用户交易记录，每条记录格式为：<日志序号，转出卡号，转入卡号，事件日期，时间标签，交易金额，地区号>；概率计算模块122，用于统计交易数据，根据交易数据计算得行为概率信息，根据交易日期是否工作日、是否节假日、与最近一次交易的时间间隔、交易地点、交易金额等5个特征，概率计算模块122与交易信息输入模块121连接；特征向量模块123，用于根据行为概率信息，以预设向量构建逻辑利用交易信息将用户行为刻画为一个13维的特征向量(weekday，weekend，festival，normalday，interval1，interval2，interval3，interval4，location，range1，range2，range3，range4)，特征向量模块123与概率计算模块122连接；证书生成模块，用于从交易行为信息中提取卡号及历史交易数据，结合行为概率信息生成交易行为证书，证书生成模块124与特征向量模块123连接，根据用户的历史交易信息中包含的用户账户信息及交易行为发生的时间地点及涉及金额等交易数据计算出用户使用银行卡交易的行为特征，根据这些行为特征为每一个用户建立一个行为证书，证书生成模块124和交易信息输入模块121连接。

请参阅图8，显示为本发明的概率计算模块示意图，如图8所示，概率计算模块122，包括：转账卡号模块1221、交易时间概率模块1222、时间区间概率模块1223、交易地点概率模块1224和金额区间概率模块1225；转账卡号模块1221，用于统计被上线用户转账的所有卡号，ticn(transferintocardnumber)：被用户转账过的所有卡号；交易时间概率模块1222，用于根据交易数据中的交易时间信息统计交易时间概率，v1＝(p^w1，p^w2)：由用户历史交易记录统计出其交易日期分别为工作日和周末的概率，v2＝(p^f1，p^f2)：由用户历史交易记录统计出其交易日期分别为节假日和非节假日的概率；时间区间概率模块1223，用于根据交易数据中的时间区间信息统计时间区间分布概率，v3＝(pⁱ1，pⁱ2，pⁱ3，pⁱ4)：由用户历史交易记录统计出其相邻两次交易的时间间隔分布在相应区间的概率。其中时间间隔区间的划分是针对每个用户分别计算，时间区间概率模块1223与交易时间概率模块1222连接；交易地点概率模块1224，用于根据交易数据中的交易地点信息及公式：

统计用户交易地点概率：p^l，其中，i为交易位置序号，m表示用户交易位置总数，fi表示交易位置i出现的频率，根据每个用户交易地点的多样性确定的用户可能会在新地点进行交易的概率。采用信息熵来计算用户的位置多样性；金额区间概率模块1225，用于根据交易数据中的交易金额信息统计金额分布概率，v5＝(p^r1，p^r2，p^r3，p^r4)：由用户历史交易记录统计出其交易金额分布在四个金额区间段的概率。其中金额区间段的划分是针对每个用户分别计算。

请参阅图9，显示为本发明的特征向量模块示意图，如图9所示，特征向量模块123，包括：概率信息获取模块1231、时间特征向量模块1232、时间区间向量模块1233、地点特征向量模块1234和金额分布向量模块1235；概率信息获取模块1231，用于获取转账卡号信息及交易时间概率、时间区间分布概率、交易地点概率和金额分布概率。时间特征向量模块1232，用于取交易时间概率为时间分向量，构建交易时间特征向量，构建时间特征向量的公式为：v1＝(p^w1，p^w2)，v2＝(p^f1，p^f2)，其中v1是交易日期分别为工作日和周末的特征向量，v2是由用户历史交易记录统计出其交易日期分别为节假日和非节假日的特征向量，时间特征向量模块1232与概率信息获取模块1231连接；时间区间向量模块1233，用于取时间区间分布概率为时间区间分向量，构建得交易时间区间分布向量，构建时间区间分布特征向量的公式为：v3＝(pⁱ1，pⁱ2，pⁱ3，pⁱ4)，v3是由用户历史交易记录统计出其相邻两次交易的时间间隔分布在相应区间的特征向量，时间区间向量模块1233与概率信息获取模块1231连接；地点特征向量模块1234，用于取交易地点概率为地点分向量，构建交易地点特征向量，构建计算的交易地点特征向量v4＝(p^l)是由每个用户交易地点的多样性确定的用户可能会在新地点进行交易的特征向量，地点特征向量模块1234与概率信息获取模块1231连接；金额分布向量模块1235，用于取金额分布概率为金额分向量，构建得金额分布向量，构建计算的金额分布向量v5＝(p^r1，p^r2，p^r3，p^r4)是由用户历史交易记录统计出其交易金额分布在四个金额区间段的特征向量，金额分布向量模块1235与概率信息获取模块1231连接。

请参阅图10，显示为行为认证模块示意图，如图10所示，行为认证模块14，包括：交易信息获取模块141、行为证书获取模块142、用户概率模块143、风险值计算模块144、非法风险判断模块145、非法拦截模块146、合法放行模块147和证书更新模块148；交易信息获取模块141，用于读取待认证用户的交易行为信息，根据交易行为信息得交易特征数据，用于网络支付、电子银行等用户的身份认证，在现有的认证基础上增加行为认证。利用用户的历史交易数据，抽取其交易行为特征；行为证书获取模块142，用于从证书库中获取用户的行为证书；用户概率模块143，用于根据交易特征数据计算用户交易概率，分别匹配此用户行为特征并输出相应的概率值p1，p2，p3，p4，p5，其中：p1，p2是根据判断待认证交易记录的交易日期是否为工作日和是否为节假日，从用户行为证书中相应维度获取的概率；p3是根据待认证交易记录中交易时间与行为证书中的最近一次交易时间的间隔，获取行为证书中相应时间间隔区间的概率；p4是根据待认证交易记录的交易地点，判断其是否在常用地点列表中，如果在，则p4＝1，否则，输出其对应的地点多样性概率，即p4＝p^l；p5是根据判断待认证交易记录中交易金额所在区间，得到相应概率，用户概率模块143与行为证书获取模块142连接；风险值计算模块144，用于根据用户交易概率信息及公式：

计算风险值p，其中αi为特征系数，pi为用户交易概率，其中p的值越大，则代表其风险度越大，用户的此次交易越不可信(即异常)，反之用户此次交易行为越可信(即正常)，风险值计算模块144与用户概率模块143连接；非法风险判断模块145，用于判断风险值p是否大于等于预设阈值，行为认证模块根据用户行为证书匹配用户的新的行为序列，判断其是否为正常操作。如果是正常操作则放行，如果不是正常操作则拦截，非法风险判断模块145与风险值计算模块144连接；非法拦截模块146，用于在风险值p大于等于预设阈值时，判定用户为非法用户，拦截该操作行为。根据具体的实验设定阈值，若大于等于阈值表明风险度较高，可将其拦截，并标记成拦截(异常)记录存入数据库中，非法拦截模块146与非法风险判断模块连接145；合法放行模块147，用于在风险值p小于预设阈值时，判定用户为合法用户，放行该操作行为并标记为正常操作行为，合法放行模块147与非法风险判断模块145连接；证书更新模块148，用于根据正常操作行为的数据更新进行该次交易的用户行为证书并存入证书库中，可将其放行，并标记成放行(正常)记录存入数据库中，更新用户行为证书，证书更新模块148与合法放行模块147连接。

综上所述，本发明提供的一种基于大数据的用户行为认证方法及系统，具有以下有益效果：本发明可应用于网络支付、电子银行等用户的身份认证，在现有的认证基础上增加行为认证。利用用户的历史交易数据，抽取其交易行为特征，生成一组特征向量，构建用户行为证书。基于此证书，实时监控用户的当前交易行为，在交易过程中判定是否为合法用户，本发明针对大数据环境下用户身份的可信性问题，提出一种基于大数据的用户行为认证方法。以网络交易为例，此方法可利用用户新的交易行为与历史交易行为证书之间匹配计算得到的风险度来进行用户身份的认证。一旦新交易行为的风险度过大(即大于等于系统设定阈值)，则判定为用户的新交易行为可疑，从而采取一些必要的交互措施(如重新出入密码，手机验证码验证或电话通知用户等)来进一步确定用户身份，本发明提供一种基于大数据的用户行为认证方法及系统，解决了现有技术诸如密码泄露、盗号攻击、信息截取等安全隐患，克服了对硬件设备较强的依赖性，密码和智能卡认证的漏洞，以及生物信息认证识别设备成本高等技术问题，具有很高的商业价值和实用性。