一种基于诈骗案件案情的诈骗分析方法及装置与流程

本发明涉及安全技术领域，尤其涉及一种基于诈骗案件案情的诈骗分析方法及装置。

背景技术：

随着计算机网络与移动通信的快速发展，个人计算机、智能手机以及其他具有上网功能的移动设备已经成为人们生活与工作中不可缺少的工具，但是背后的安全问题越来越严重，网络、电信诈骗就是其中一种。目前，网络诈骗已成为人们经济和财产损失的主要危害方式。网络诈骗的手段多种方式，诈骗分子通过电子邮件、手机短信、电话、微信等向被害者发送含有诈骗信息的内容，如含有木马的链接、可疑的账号甚至虚假信息等数据，会有大量的群众受骗。电信诈骗是通过电话的方式，经常是通过软件进行改号，并仿冒银行、运营商、社保、公检法等进行欺诈行为。

现有的诈骗分析技术只能针对某种特定典型的呼叫械，而现有的网络诈骗、电信诈骗手段种类层出不穷，手段不断更新变化，无法实现自动分析识别。

因此，现有技术还有待于改进和发展。

技术实现要素：

鉴于上述现有技术的不足，本发明的目的在于提供一种基于诈骗案件案情的诈骗分析方法及装置，旨在解决现有技术中诈骗分析技术只能针对某种特定典型的呼叫械，而现有的网络诈骗、电信诈骗手段种类层出不穷，手段不断更新变化，无法实现自动分析识别的问题。

本发明的技术方案如下：

一种基于诈骗案件案情的诈骗分析方法，所述方法包括：

获取诈骗案例数据，对诈骗案例数据进行预处理；

根据预处理的诈骗案例数据生成要素特征；

对要素特征进行处理后，生成有效特征库；

对有效特征库进行分析后，生成易受骗群体特征、诈骗特征及案件数量的统计信息；

根据易受骗群体特征及诈骗特征、及案件数量的统计信息，生成诈骗预测模型；

根据诈骗预测模型对疑似诈骗案例进行分析。

可选地，所述诈骗案例数据包括受骗人反馈的诈骗案件数据以及警方诈骗案件案情。

可选地，所述获取诈骗案例数据，对诈骗案例数据进行预处理，包括：

获取受骗人反馈的诈骗案件数据及警方诈骗案件案情，分别对受骗人反馈的诈骗案件数据及警方诈骗案件案情进行预处理；其中预处理操作包括分词处理及语义分析。

可选地，所述根据预处理的诈骗案例数据生成要素特征，包括：

根据预处理的诈骗案例数据生成与两类标签对应的要素特征，所述两类标签为容易受骗或不容易受骗。

可选地，所述对要素特征进行处理后，生成有效特征库，包括：

获取要素特征，去除无用标签对应的要素特征，生成包括受害者特征、诈骗案件信息及诈骗特征的有效特征库。

可选地，所述易受骗群体特征包括易受骗群体的地域、职业、概况及经历。

可选地，所述根据诈骗预测模型对疑似诈骗案例进行分析，包括：

将疑似诈骗案例输入诈骗预测模型，获取诈骗预测模型的输出结果；

若输出结果为易受骗，则对疑似诈骗案例的疑似受害人发送预警消息。

本发明又一实施例还提供了一种基于诈骗案件案情的诈骗分析装置，所述装置包括至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述的基于诈骗案件案情的诈骗分析方法。

本发明的另一实施例还提供了一种非易失性计算机可读存储介质，所述非易失性计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令被一个或多个处理器执行时，可使得所述一个或多个处理器执行上述的基于诈骗案件案情的诈骗分析方法。

本发明的另一种实施例提供了一种计算机程序产品，所述计算机程序产品包括存储在非易失性计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被处理器执行时，使所述处理器执行上述的基于诈骗案件案情的诈骗分析方法。

有益效果：本发明公开了一种基于诈骗案件案情的诈骗分析方法及装置，相比于现有技术，本发明实施例可根据用户的案件反馈，以及警方的诈骗案件案情，对不同诈骗手段的成功比例，从而可以快速识别出新型诈骗手段，减少人民群众不必要的财产损失，提高人民群众的财产安全性。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1为本发明一种基于诈骗案件案情的诈骗分析方法较佳实施例的流程图；

图2为本发明一种基于诈骗案件案情的诈骗分析装置较佳实施例的硬件结构示意图。

具体实施方式

为使本发明的目的、技术方案及效果更加清楚、明确，以下对本发明进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。以下结合附图对本发明实施例进行介绍。

请参阅图1，图1为本发明一种基于诈骗案件案情的诈骗分析方法较佳实施例的流程图。如图1所示，其包括步骤：

步骤s100、获取诈骗案例数据，对诈骗案例数据进行预处理；

步骤s200、根据预处理的诈骗案例数据生成要素特征；

步骤s300、对要素特征进行处理后，生成有效特征库；

步骤s400、对有效特征库进行分析后，生成易受骗群体特征、诈骗特征及案件数量的统计信息；

步骤s500、根据易受骗群体特征及诈骗特征、及案件数量的统计信息，生成诈骗预测模型；

步骤s600、根据诈骗预测模型对疑似诈骗案例进行分析。

具体实施时，诈骗案例数据包括受骗人反馈的诈骗案件数据以及警方诈骗案件案情。具体地，可预先在现有的反诈骗系统中接收人民群众反馈的诈骗案件，并从公安系统获取警方的诈骗案件案情。因有些诈骗案件中的数额未达到公安系统所要求的立案要求，只获取警方的诈骗案件案情会漏掉一些诈骗案例。因此通过增加受骗人反馈的诈骗案件数据，也更有助于完善诈骗案例的类型。本发明实施例中需要预先收集大量的诈骗案例数据，为了保证对诈骗数据分析的准确性，诈骗案例数据包括受骗人反馈的诈骗案件数据和警方诈骗案件案情总的应该不少于5000个。当后续有新的诈骗案例数据时，也可将新的诈骗案例数据录入反诈骗系统。其中诈骗案例的类型包括但不限于电信诈骗和网络诈骗。

具体地，将警情大数据与案件反馈一起输入案件分析系统，对警情大数据与案件反馈进行预处理，将预处理后的警情大数据与案件反馈提取要素特征，由于成功的诈骗案件有两个要素：受害者特征(地域、职业、概况、经历)及诈骗手段，因此要素特征对应的为受害者特征及诈骗手段，并将要素特征进行标签化，将标签化的要素特征进行处理后生成有效特征库，对有效特征库进行分析统计，生成易受骗群体特征、诈骗特征及案件数量的统计信息，并根据统计信息生成诈骗预警模型，根据诈骗预测模型对疑似诈骗案例进行分析，分析不同诈骗手段对应的成功比例，判断不同地区的诈骗趋势变化以及识别出新的诈骗手段，还可预测诈骗套路。

其中易受骗群体特征包括但不限于易受骗群体的地域、职业、概况及经历。其中易受骗群体的概况包括但不限于易受骗群体的年龄、学历和性别，易受骗群体的经历包括但不限于易受骗群体的学历、工作年限等数据。例如易受骗群体特征为xx省xx市xx区，程序员，20-30岁，男，本科，工作1年。诈骗手段为电信诈骗，冒充公检法诈骗，具体地为犯罪分子冒充公检法工作人员拨打张三电话，以其身份信息被盗用涉嫌洗钱犯罪为由，要求其资金转入国家账户配合调查。

其中诈骗预测模型主要执行深度学习、提取自然语言、以及利用专家系统进行特征关键字提取，诈骗预测模型具体实施过程如下：

深度学习是指在语义分析模型中添加多个隐层的神经网络，从而可有效的对数据进行分析；其中专家系统是一个智能计算机程序系统，其内部含有大量的某个领域专家水平的知识与经验，能够利用人类专家的知识和解决问题的方法来处理该领域问题；是一种模拟人类专家解决领域问题的计算机程序系统。

其中，语义分析具体的实施例为：选择两种类别的结果，例如：我因为这个诈骗手段受骗了，我没有因为这个诈骗手段受骗；语义分析的具体过程为：

对文本数据进行具体标注，例如现在有20000条诈骗案例数据，一部分是未受骗案例，称为正类样本，一部分是差评，称为负类样本；

分词处理，例如，我没有因为这个诈骗手段受骗分为“我”“没有”“因为”“这个”“诈骗手段”“受骗”；我因为这个诈骗手段受骗分为“我”“因为”“这个”“诈骗手段”“受骗”。

特征提取，从样本中选择正类样本的所有特征：诈骗手段没有受骗；从样本中选择负类样本的所有特征：诈骗手段受骗；

统计特征出现的次数，按照倒序排序；

将结果中排序靠前的一些特征作为最终的评判特征；

使用训练数据训练分类算法，得到分类器(模型训练时候会用到深度学习)；其中整个过程就是语义分析，分析出对电影的评价好或者不好，模型训练过程中会用深度学习，有关文本处理的内容属于自然语言的范畴。

因此本发明实施例中，通过在现有反诈骗系统中接受案件反馈，结合警方诈骗案件案情，分析不同诈骗套路的成功比例；判断不同地区的诈骗趋势变化情况，而且快速识别出新型诈骗手段并预测未来热门的诈骗套路。

在进一步地实施例中，获取诈骗案例数据，对诈骗案例数据进行预处理，包括：

获取受骗人反馈的诈骗案件数据及警方诈骗案件案情，分别对受骗人反馈的诈骗案件数据及警方诈骗案件案情进行预处理；其中预处理操作包括分词处理、语义分析。

具体实施时，获取受骗人反馈的诈骗案件数据及警方诈骗案件案情，分别对对受骗人反馈的诈骗案件数据及警方诈骗案件案情进行预处理。预处理包括进行分词、语义分析、深度学习及专家系统处理。其中分词处理是指用于提取句子主干部分，去掉停用词；语义分析，语义分析的任务是对结构上正确的源程序进行上下文有关性质的审查，进行类型审查。

进一步地，根据预处理的诈骗案例数据生成要素特征，包括：

根据预处理的诈骗案例数据生成与两类标签对应的要素特征，所述两类标签为容易受骗或不容易受骗。

具体实施时，将诈骗案例数据预处理后，生成要素特征，从要素特征中选出可能影响的易受诈骗的特征，例如x1(性别)，x2(年龄)，x3(性格)，而两类标签记为y＝0(容易受骗)，y＝1(不容易受骗)。

进一步地，对要素特征进行处理后，生成有效特征库，包括：

获取要素特征，去除无用标签对应的要素特征，生成包括受害者特征、诈骗案件信息及诈骗特征的有效特征库。

具体实施时，获取要素特征，去除无用标签对应的要素特征，通过特征筛选筛选有关特征，例如x3(性格)；剔除无关特征，例如剔除x1(性别)，x2(年龄)；，从而生成了只包含有效特征(性格)的有效特征库，

根据易受骗群体特征、诈骗特征及案件数量的统计信息，生成诈骗预测模型，即再重新根据已选的有效特征和标签数据重新建立x3与y受诈骗的关系模型。

进一步地，根据诈骗预测模型对疑似诈骗案例进行分析，包括：

将疑似诈骗案例输入诈骗预测模型，获取诈骗预测模型的输出结果；

若输出结果为易受骗，则对疑似诈骗案例的疑似受害人发送预警消息。

具体实施时，获取生成的诈骗预测模型，可将疑似诈骗案例，例如疑似诈骗手段输入诈骗预测模型，获取诈骗预测模型的输出结果，若输出结果为易受骗，则对疑似诈骗案例的疑似受害人发送预警消息；

在一些其他的实施例中，也可以将用户的特征输入诈骗预测模型，获取诈骗预测模型的输出结果，若输出结果为易受骗，则对用户发送诈骗预警消息。

本发明另一实施例提供一种基于诈骗案件案情的诈骗分析装置，如图2所示，装置10包括：

一个或多个处理器110以及存储器120，图2中以一个处理器110为例进行介绍，处理器110和存储器120可以通过总线或者其他方式连接，图2中以通过总线连接为例。

处理器110用于完成装置10的各种控制逻辑，其可以为通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)、单片机、arm(acornriscmachine)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。还有，处理器110还可以是任何传统处理器、微处理器或状态机。处理器110也可以被实现为计算设备的组合，例如，dsp和微处理器的组合、多个微处理器、一个或多个微处理器结合dsp核、或任何其它这种配置。

存储器120作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块，如本发明实施例中的基于诈骗案件案情的诈骗分析方法对应的程序指令。处理器110通过运行存储在存储器120中的非易失性软件程序、指令以及单元，从而执行装置10的各种功能应用以及数据处理，即实现上述方法实施例中的基于诈骗案件案情的诈骗分析方法。

存储器120可以包括存储程序区和存储数据区，其中，存储程序区可存储操作装置、至少一个功能所需要的应用程序；存储数据区可存储根据装置10使用所创建的数据等。此外，存储器120可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中，存储器120可选包括相对于处理器110远程设置的存储器，这些远程存储器可以通过网络连接至装置10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

一个或者多个单元存储在存储器120中，当被一个或者多个处理器110执行时，执行上述任意方法实施例中的基于诈骗案件案情的诈骗分析方法，例如，执行以上描述的图1中的方法步骤s100至步骤s600。

本发明实施例提供了一种非易失性计算机可读存储介质，计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令被一个或多个处理器执行，例如，执行以上描述的图1中的方法步骤s100至步骤s600。

作为示例，非易失性存储介质能够包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦rom(eeprom)或闪速存储器。易失性存储器能够包括作为外部高速缓存存储器的随机存取存储器(ram)。通过说明丽非限制，ram可以以诸如同步ram(sram)、动态ram、(dram)、同步dram(sdram)、双数据速率sdram(ddrsdram)、增强型sdram(esdram)、synchlinkdram(sldram)以及直接rambus(兰巴斯)ram(drram)之类的许多形式得到。本文中所描述的操作环境的所公开的存储器组件或存储器旨在包括这些和/或任何其他适合类型的存储器中的一个或多个。

本发明的另一种实施例提供了一种计算机程序产品，计算机程序产品包括存储在非易失性计算机可读存储介质上的计算机程序，计算机程序包括程序指令，当程序指令被处理器执行时，使所述处理器执行上述方法实施例的基于诈骗案件案情的诈骗分析方法。例如，执行以上描述的图1中的方法步骤s100至步骤s600。

以上所描述的实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际需要选择其中的部分或者全部模块来实现本实施例方案的目的。

通过以上的实施例的描述，本领域的技术人员可以清楚地了解到各实施例可借助软件加通用硬件平台的方式来实现，当然也可以通过硬件实现。基于这样的理解，上述技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存在于计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机电子设备(可以是个人计算机，服务器，或者网络电子设备等)执行各个实施例或者实施例的某些部分的方法。

除了其他之外，诸如"能够'、"能"、"可能"或"可以"之类的条件语言除非另外具体地陈述或者在如所使用的上下文内以其他方式理解，否则一般地旨在传达特定实施方式能包括(然而其他实施方式不包括)特定特征、元件和/或操作。因此，这样的条件语言一般地不旨在暗示特征、元件和/或操作对于一个或多个实施方式无论如何都是需要的或者一个或多个实施方式必须包括用于在有或没有学生输入或提示的情况下判定这些特征、元件和/或操作是否被包括或者将在任何特定实施方式中被执行的逻辑。

已经在本文中在本说明书和附图中描述的内容包括能够提供基于诈骗案件案情的诈骗分析方法及装置的示例。当然，不能够出于描述本公开的各种特征的目的来描述元件和/或方法的每个可以想象的组合，但是可以认识到，所公开的特征的许多另外的组合和置换是可能的。因此，显而易见的是，在不脱离本公开的范围或精神的情况下能够对本公开做出各种修改。此外，或在替代方案中，本公开的其他实施例从对本说明书和附图的考虑以及如本文中所呈现的本公开的实践中可能是显而易见的。意图是，本说明书和附图中所提出的示例在所有方面被认为是说明性的而非限制性的。尽管在本文中采用了特定术语，但是它们在通用和描述性意义上被使用并且不用于限制的目的。