一种欺诈行为识别方法和装置与流程

本说明书涉及互联网领域，尤其涉及一种欺诈行为识别方法和装置。

背景技术：

随着互联网的兴起，社交网络成为人们生活中必不可少的工具，各大社交平台均推出了形式多样、功能丰富的社交产品，为用户提供低门槛、低成本、高便捷的社交服务。由于网络的虚拟性，用户在社交平台的身份也开始变得模糊，隐藏或者虚拟自己的身份变得越来越容易，欺诈分子正是利用了这一点，开始利用社交平台进行欺诈。

现有技术中，主要是使用已有的黑样本集合提取出欺诈关键词，再对用户的社交消息中的欺诈关键词进行监控，避免发生欺诈行为，但现有技术容易误伤正常账户，或被黑产分子通过将文本替换成图片等方式绕过监控。

技术实现要素：

针对上述技术问题，本说明书实施例提供一种欺诈账户识别方法和装置，技术方案如下：

根据本说明书实施例的第一方面，提供一种欺诈账户识别方法，该方法包括：

利用预设的社交行为评估规则评估目标账户的社交行为是否存在异常，所述目标账户的社交行为即目标账户的关联账户集合的状态；

若目标账户的社交行为存在异常，则将目标账户的社交语言与欺诈关键词进行匹配，根据所述目标账户的社交语言中所包含的欺诈关键词的权重评定目标账户的风险程度；

若风险程度高于预设阈值，则将目标账户标记为欺诈账户。

根据本说明书实施例的第二方面，提供一种欺诈账户识别装置，该装置包括：

社交行为识别模块：用于利用预设的社交行为评估规则评估目标账户的社交行为是否存在异常，所述目标账户的社交行为即目标账户的关联账户集合的状态；

社交语言识别模块：用于在目标账户的社交行为存在异常时，将目标账户的社交语言与欺诈关键词进行匹配，根据所述目标账户的社交语言中所包含的欺诈关键词的权重评定目标账户的风险程度；

欺诈账户标记模块：用于在风险程度高于预设阈值时，将目标账户标记为欺诈账户。

根据本说明书实施例的第三方面，提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，所述处理器执行所述程序时实现一种欺诈账户识别方法，该方法包括：

利用预设的社交行为评估规则评估目标账户的社交行为是否存在异常，所述目标账户的社交行为即目标账户的关联账户集合的状态；

若目标账户的社交行为存在异常，则将目标账户的社交语言与欺诈关键词进行匹配，根据所述目标账户的社交语言中所包含的欺诈关键词的权重评定目标账户的风险程度；

若风险程度高于预设阈值，则将目标账户标记为欺诈账户。

本说明书实施例所提供的技术方案，提供了一种欺诈账户识别方法和装置，增加对于账户社交行为的判断步骤，先通过账户的社交行为筛选出具有行为风险的账户，再通过欺诈关键词进一步筛选高风险账户，将高风险标记为欺诈账户，本说明书通过层层过滤的方式建立集合高风险用户的标记集合，以便及时管控，降低误伤正常账户和被黑产分子绕过的几率。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本说明书实施例。

此外，本说明书实施例中的任一实施例并不需要达到上述的全部效果。

附图说明

为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书实施例中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1是本说明书一示例性实施例示出的欺诈账户识别方法的一种流程图；

图2是本说明书一示例性实施例示出的欺诈行为识别方法的一种流程图；

图3-5是本说明书一示例性实施例示出的异常社交行为判断方式的一种流程图；

图6是本说明书一示例性实施例示出的欺诈账户识别装置的一种示意图；

图7是本说明书一示例性实施例示出的账户间关系交叉度的一种示意图；

图8是本说明书一示例性实施例示出的一种计算机设备的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。

在本说明书使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

随着互联网的兴起，社交网络成为人们生活中必不可少的工具，各大社交平台均推出了形式多样、功能丰富的社交产品，为用户提供低门槛、低成本、高便捷的社交服务。由于网络的虚拟性，用户在社交平台的身份也开始变得模糊，隐藏或者虚拟自己的身份变得越来越容易，欺诈分子正是利用了这一点，开始利用社交平台进行欺诈。

现有技术中，主要是使用已有的黑样本集合提取出欺诈关键词，再对用户的社交消息中的欺诈关键词进行监控，避免发生欺诈行为，但现有技术容易误伤正常账户，或被黑产分子通过将文本替换成图片等方式绕过监控。

针对以上问题，本说明书实施例提供一种欺诈账户识别方法，以及一种用于执行该方法的欺诈账户识别装置。下面对本实施例涉及的欺诈账户识别方法进行详细说明，参见图1所示，该方法可以包括以下步骤：

s101，利用预设的社交行为评估规则评估目标账户的社交行为进行评估；

其中，目标账户的社交行为即为目标账户的关联账户集合的状态，关联账户表示与目标账户产生关联的账户，一般地，与目标账户发生过关联行为即可判定产生关联，该关联行为可以是：与目标账户成为好友关系，与目标账户发生聊天，转账等等。

继续对关联账户集合的状态进行举例说明：关联账户的增加或减少，目标账户增加关联账户时的账户添加方向，目标账户增加关联账户时的是否具有短时间内集中添加账户的特性，等等，都可以称之为目标账户的关联账户的状态。

s102，判断目标账户的社交行为是否存在异常？若目标账户的社交行为存在异常，执行步骤s103，若目标账户的社交行为不存在异常，则不操作；

其中，判断社交行为的异常可以有多种方式，例如，间隔性添加其他账户是正常的社交行为，相对应的，短时间内添加大量其他账户就是具备欺诈账户特征的异常社交行为。可以理解，本实施例需要设定并预置多种异常社交行为模板，并以此判断账户的社交行为是否异常。

具体地，设定多种异常社交行为模板的方式可以为：获取已有的欺诈账户样本，通过对样本的分析计算提取欺诈账户的共性社交行为，进而从中筛选出异常的社交行为，将其设定为异常社交行为模板。

s103，将目标账户的社交语言与欺诈关键词进行匹配，根据所述目标账户的社交语言中所包含的欺诈关键词的权重评定目标账户的风险程度；

其中，欺诈关键词的获取方式可以为：将标记欺诈账户的社交语言和/或历史欺诈黑样本作为输入样本，通过机器学习确定欺诈关键词，并为不同的欺诈关键词设定权重，该权重表示对应欺诈关键词的风险程度。

具体地，需要抓取到的欺诈关键词进行分层分类，按照一定的权重转换成代表风险程度高低的数值。这是基于社交隐私安全要求，将内容进行模糊化处理，即对明文的关键词进行脱敏处理，仅保留主要的风险特征，风险特征和明文关键词之间无强关联并不可逆向，通过机器学习只输出不同的关键词的风险程度，不会直接输出明文关键词。

s104，判断目标账户的风险程度是否高于预设阈值？若目标账户的风险程度高于预设阈值，执行步骤s105，若目标账户的风险程度不高于预设阈值，则不操作；

s105，将目标账户标记为欺诈账户。

将目标账户标记为欺诈账户后，可进一步对目标账户和目标账户的关联账户做出监控处理，以避免发生欺诈行为，参见图2所示，为本说明书实施例提供的一种欺诈行为的防控方法，该方法可以包括以下步骤：

s201，将目标账户标记为欺诈账户；

s202，将目标账户的关联账户标记为待保护账户，将所述标记欺诈账户与对应的待保护账户加入观察库；

其中，待保护账户可以有多种确定方式，举例说明，将与目标账户产生过关联行为的所有账户标记为待保护账户，或将与目标账户产生过关联行为的频率高于预设阈值的账户标记为待保护账户，等等。

s203，观察库中的待保护账户请求资金支出时，判断所述资金支出对应的交易是否为异常交易？若所述资金支出对应的交易为异常交易，执行步骤s204，若所述资金支出对应的交易不为异常交易，则不操作；

s204，判定发生欺诈行为，判定发生欺诈行为，并做出对应处理

判定发生欺诈行为后，对所述交易和交易双方做出相应处理。一般地，可拒绝所述资金支出请求，并限定所述欺诈账户的交易权限。

其中，判断目标账户的社交行为是否存在异常的方式可进一步参考图3-5，具体地，可综合不同的社交行为方式对目标账户的社交行为是否异常进行综合判定，且对不同社交行为方式的判定过程可以并行进行。

以图3为例，为判断目标账户的社交行为是否存在异常的方式之一，其包括以下步骤：

s301，评估目标账户的好友添加行为；

s302，是否在单一时间段内对其他账户的添加行为次数超过预设阈值？

好友添加行为即目标账户与其他账户间添加好友的行为，一般地，对于正常账户来说，好友添加行为通常是分散且随机的。而欺诈账户的好友添加行为往往具有批量性和集中性的特征，即在短时间内与大量其他账户成为好友。

本实施例中，可预先设定时间和次数参数，当目标账户在设定的时间内的好友添加行为超过设定的次数后，则执行步骤s303，否则执行步骤s304。

s303，判定目标账户的社交行为存在异常；

s304，判定目标账户的社交行为不存在异常。

以图4为例，为判断目标账户的社交行为是否存在异常的方式之一，其包括以下步骤：

s401，评估目标账户与其他账户进行好友添加行为的方向特征；

s402，主动添加行为在全部添加行为中的占比是否高于预设阈值？

账户之间存在添加和被添加的关系，主动添加行为即目标账户在添加好友时，是否通常为主动添加方？一般地，对于正常账户来说，添加其他账户与被其他账户添加的行为通常是较为平均的。

而对于欺诈账户来说，通常是通过非法途径获得用户社交账户信息后，用经过伪装的账户来添加这些用户，因此从欺诈者使用的账户来看，其好友添加行为的操作方向相对单一，绝大部分为主动添加。

本实施例中，可预先设定一个比例作为预设阈值，当目标账户的主动添加行为在全部添加行为中的占比高于预设阈值后，执行步骤s403，否则执行步骤s404。

s403，判定目标账户的社交行为存在异常；

s404，判定目标账户的社交行为不存在异常。

以图5为例，为判断目标账户的社交行为是否存在异常的方式之一，其包括以下步骤：

s501，评估目标账户与关联账户的关系交叉度；

s502，一度交叉关系的占比是否高于预设阈值？

具体地，可参考图6，一度交叉关系即两个账户间只存在一条关系线，无其他共同关联账户；二度交叉关系是两个账户间有至少一个直接与两个账户有社交关系的其他账户；三度、四度交叉关系以此类推。

可以理解的是，正常社交账户会拥有自己的社交圈子，与其他账户的关联通常为多度交叉。而在欺诈场景，欺诈者账户与被欺诈者并没有共同的社交圈子，两者账户之间的关系交叉度一般集中在一度交叉。

本实施例中，可预先设定一个比例作为预设阈值，当目标账户的一度交叉关系的占比高于预设阈值后，执行步骤s503，否则执行步骤s504。

s503，判定目标账户的社交行为存在异常；

s504，判定目标账户的社交行为不存在异常。

除了上述几种对社交行为的判定方式外，还可评估目标账户中存在的冲突信息，若目标账户的冲突信息量超过预设阈值，则判定目标账户的社交行为存在异常，其中，冲突信息的评估方式至少包括：判断目标账户与关联账户是否存在地理环境冲突和/或判断目标账户所在的设备的注册账户数量是否超过预设阈值

在本说明书提供的其中一种实施例中，可为账户增加异常程度值这一数值，并设定不同社交行为的异常程度。举例说明：某账户在1小时内添加20个其他账户，则将该账户的异常程度值增加10，某账户在1小时内添加40个其他账户，则将该账户的异常程度值增加20，在所有添加行为中，百分之九十为账户主动添加其他账户，则将该账户的异常程度值增加15，等等。当账户的异常程度值超过预定阈值时，判定账户发生社交行为发生异常，并进入欺诈关键词匹配步骤。

相应于上述方法实施例，本说明书实施例还提供一种欺诈账户识别装置，参见图7所示，所述装置可以包括：社交行为识别模块710，社交语言识别模块720，欺诈账户标记模块730。

社交行为识别模块710：用于利用预设的社交行为评估规则评估目标账户的社交行为是否存在异常，所述目标账户的社交行为即目标账户的关联账户集合的状态；

社交语言识别模块720：用于在目标账户的社交行为存在异常时，将目标账户的社交语言与欺诈关键词进行匹配，根据所述目标账户的社交语言中所包含的欺诈关键词的权重评定目标账户的风险程度；

欺诈账户标记模块730：用于在风险程度高于预设阈值时，将目标账户标记为欺诈账户。

本说明书实施例还提供一种计算机设备，其至少包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，处理器执行所述程序时实现前述欺诈账户识别方法，所述方法至少包括：

利用预设的社交行为评估规则评估目标账户的社交行为是否存在异常，所述目标账户的社交行为即目标账户的关联账户集合的状态；

若目标账户的社交行为存在异常，则将目标账户的社交语言与欺诈关键词进行匹配，根据所述目标账户的社交语言中所包含的欺诈关键词的权重评定目标账户的风险程度；

若风险程度高于预设阈值，则将目标账户标记为欺诈账户。

图8示出了本说明书实施例所提供的一种更为具体的计算设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。

处理器1010可以采用通用的cpu(centralprocessingunit，中央处理器)、微处理器、应用专用集成电路(applicationspecificintegratedcircuit，asic)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。

存储器1020可以采用rom(readonlymemory，只读存储器)、ram(randomaccessmemory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。

输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。

通信接口1040用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如usb、网线等)实现通信，也可以通过无线方式(例如移动网络、wifi、蓝牙等)实现通信。

总线1050包括一通路，在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。

需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。

本说明书实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现前述的欺诈账户识别方法，所述方法至少包括：

利用预设的社交行为评估规则评估目标账户的社交行为是否存在异常，所述目标账户的社交行为即目标账户的关联账户集合的状态；

若目标账户的社交行为存在异常，则将目标账户的社交语言与欺诈关键词进行匹配，根据所述目标账户的社交语言中所包含的欺诈关键词的权重评定目标账户的风险程度；

若风险程度高于预设阈值，则将目标账户标记为欺诈账户。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本说明书实施例可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本说明书实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本说明书实施例各个实施例或者实施例的某些部分所述的方法。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，在实施本说明书实施例方案时可以把各模块的功能在同一个或多个软件和/或硬件中实现。也可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅是本说明书实施例的具体实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本说明书实施例原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本说明书实施例的保护范围。