交易风险识别方法、装置和计算机系统专利检索-交易对手风险银行与财务事项专利检索查询-专利查询网

交易 风险识别方法、装置和 计算机系统

阅读：328发布：2020-05-13

专利汇可以提供交易风险识别方法、装置和计算机系统专利检索，专利查询，专利分析的服务。并且本公开提供了一种交易风险识别方法，包括：响应于指定交易行为，获取与所述指定交易行为相关的客户端信息以及交易信息；基于所述客户端信息确定客户端状态特征数据；基于所述交易信息确定交易状态特征数据；以及，利用风险分析模型处理所述客户端状态特征数据和所述交易状态特征数据，以便确定所述指定交易行为是否存在风险。本公开还提供了一种交易风险识别装置和计算机系统。，下面是交易风险识别方法、装置和计算机系统专利的具体信息内容。

权利要求

1.一种交易风险识别方法，包括：
响应于指定交易行为，获取与所述指定交易行为相关的客户端信息以及交易信息；
基于所述客户端信息确定客户端状态特征数据；
基于所述交易信息确定交易状态特征数据；以及
利用风险分析模型处理所述客户端状态特征数据和所述交易状态特征数据，以便确定所述指定交易行为是否存在风险。
2.根据权利要求1所述的方法，其中，所述客户端信息包括如下至少一项：进程信息、驱动信息和网络信息，
其中，所述进程信息包括如下至少一项：进程列表、进程标识信息、进程端口号和进程窗口名称，所述驱动信息包括如下至少一项：驱动安装列表和驱动安装时间，所述网络信息包括如下至少一项：互联网协议地址、媒体访问控制地址和进程流量。
3.根据权利要求2所述的方法，其中，所述客户端状态特征数据包括软件运行特征值；
所述基于所述客户端信息确定客户端状态特征数据包括：
将所述进程信息与预设进程黑名单进行匹配；
如果匹配成功，则确定指定进程处于运行状态，并将所述软件运行特征值置为1；以及如果匹配失败，则确定所述指定进程处于未运行状态，并将所述软件运行特征值置为
0。
4.根据权利要求3所述的方法，其中，所述客户端状态特征数据还包括软件连接特征值；
所述基于所述客户端信息确定客户端状态特征数据还包括：
确定第一预定时间段内所述指定进程的进程流量是否大于零；
如果是，则确定所述指定进程处于连接状态，并将所述软件连接特征值置为1；以及如果否，则确定所述指定进程未处于连接状态，并将所述软件连接特征值置为0。
5.根据权利要求3或4所述的方法，其中，所述客户端状态特征数据还包括屏幕欺骗特征值；
所述基于所述客户端信息确定客户端状态特征数据还包括：
将所述驱动信息与预设规则进行匹配；
如果匹配成功，则将所述屏幕欺骗特征值置为1；以及
如果否，则将所述屏幕欺骗特征值置为0。
6.根据权利要求1所述的方法，其中，所述交易信息包括如下至少一项：客户年龄、交易类型、交易金额、交易对手信息以及交易频率。
7.根据权利要求6所述的方法，其中，所述交易状态特征数据包括如下至少一项：客户年龄特征值、交易类型特征值、交易金额特征值、交易对手特征值以及交易频率特征值；
所述基于所述交易信息确定交易状态特征数据包括如下至少一项：
将所述客户年龄落入的年龄区间的编号确定为所述客户端年龄特征值；
将所述交易类型的编号确定为所述交易类型特征值；
确定所述交易金额是否大于同一客户的历史交易平均金额，如果是，则将所述交易金额特征值置为1，如果否，则将所述交易金额特征值置为0；
确定所述交易对手信息是否存在于同一客户的历史交易对手信息，如果是，则将所述交易对手特征值置为1，如果否，则将所述交易对手特征值置为0；以及
根据所述交易频率确定第二预定时间段内同一客户执行所述指定交易行为的次数，将所述次数确定为所述交易频率特征值。
8.根据权利要求1所述的方法，还包括：
获取多个样本特征数据，所述样本特征数据包括客户端状态特征数据和交易状态特征数据；
分别为所述多个样本特征数据添加交易风险特征值，当所述样本特征数据表征存在风险的交易行为时，所述交易风险特征值置为1，当所述样本特征数据表征不存在风险的交易行为时，所述交易风险特征值置为0；以及
利用带有交易风险特征值的所述多个样本特征数据，依据基尼系数最小化准则建立并优化决策树模型，得到所述风险分析模型；
则所述利用风险分析模型处理所述客户端状态特征数据和所述交易状态特征数据包括：将所述客户端状态特征数据和所述交易状态特征数据输入至所述风险分析模型，当所述风险分析模型输出的交易风险特征值为1时，确定所述指定交易行为存在风险，当所述风险分析模型输出的交易风险特征值为0时，确定所述指定交易行为不存在风险。
9.根据权利要求1所述的方法，还包括：
当确定所述指定交易行为存在风险时，推送提示信息和/或强制中断所述指定交易行为，并将所述客户端状态特征数据和所述交易状态特征数据加入样本库以作为新增的样本特征数据。
10.一种交易风险识别装置，包括：
数据采集模块，用于响应于指定交易行为，获取与所述指定交易行为相关的客户端信息以及交易信息；
客户端特征预处理模块，用于基于所述客户端信息确定客户端状态特征数据；
交易特征预处理模块，用于基于所述交易信息确定交易状态特征数据；以及风险分析模块，用于利用风险分析模型处理所述客户端状态特征数据和所述交易状态特征数据，以便确定所述指定交易行为是否存在风险。
11.一种计算机系统，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时用于实现如权利要求1～9任一项所述的风险识别方法。

说明书全文

交易风险识别方法、装置和 计算机系统

技术领域

[0001] 本公开涉及计算机技术领域，更具体地，涉及一种交易风险识别方法、装置和计算机系统。

背景技术

[0002] 近年来，随着信息技术的日益进步和互联网普及率的不断提高，互联网金融应运而生。如移动支付、投融资、以及基于电子商务转型的P2P、B2C和B2B等新兴金融模式日趋成熟，且在巨大规模网民的支撑下，互联网金融业务得到飞速发展。

[0003] 然而，基于互联网便捷、隐蔽等特性，在互联网金融业务中，各种形式的恶意交易行为在隐秘地开展和进行。例如有的不法分子利用远程控制软件操控用户的终端设备执行用户无感知的转账、支付等行为，一旦实施成功，将会为用户带来数据、信息和资产的损失。因此，如何对交易行为的风险性进行评估，及早发现存在风险的交易行为并进行阻断，是当前亟待解决的问题。
发明内容

[0004] 本公开的一个方面提供了一种交易风险识别方法，包括：响应于指定交易行为，获取与指定交易行为相关的客户端信息以及交易信息。然后，基于客户端信息确定客户端状态特征数据，并基于交易信息确定交易状态特征数据。接着，利用风险分析模型处理客户端状态特征数据和交易状态特征数据，以便确定指定交易行为是否存在风险。

[0005] 可选地，上述客户端信息包括如下至少一项：进程信息、驱动信息和网络信息。其中，进程信息包括如下至少一项：进程列表、进程标识信息、进程端口号和进程窗口名称。驱动信息包括如下至少一项：驱动安装列表和驱动安装时间。网络信息包括如下至少一项：互联网协议地址、媒体访问控制地址和进程流量。

[0006] 可选地，上述客户端状态特征数据包括软件运行特征值。上述基于客户端信息确定客户端状态特征数据包括：将进程信息与预设进程黑名单进行匹配。如果匹配成功，则确定指定进程处于运行状态，并将软件运行特征值置为1，如果匹配失败，则确定所述指定进程处于未运行状态，并将软件运行特征值置为0。

[0007] 可选地，上述客户端状态特征数据还包括软件连接特征值。上述基于客户端信息确定客户端状态特征数据还包括：确定第一预定时间段内指定进程的进程流量是否大于零。如果是，则确定指定进程处于连接状态，并将软件连接特征值置为1，如果否，则确定指定进程未处于连接状态，并将软件连接特征值置为0。

[0008] 可选地，上述客户端状态特征数据还包括屏幕欺骗特征值。上述基于客户端信息确定客户端状态特征数据还包括：将驱动信息与预设规则进行匹配。如果匹配成功，则将屏幕欺骗特征值置为1，如果否，则将屏幕欺骗特征值置为0。

[0009] 可选地，上述交易信息包括如下至少一项：客户年龄、交易类型、交易金额、交易对手信息以及交易频率。

[0010] 可选地，上述交易状态特征数据包括如下至少一项：客户年龄特征值、交易类型特征值、交易金额特征值、交易对手特征值以及交易频率特征值。上述基于所述交易信息确定交易状态特征数据包括如下至少一项：将客户年龄落入的年龄区间的编号确定为客户端年龄特征值。将交易类型的编号确定为交易类型特征值。确定交易金额是否大于同一客户的历史交易平均金额，如果是，则将交易金额特征值置为1，如果否，则将交易金额特征值置为0。确定交易对手信息是否存在于同一客户的历史交易对手信息，如果是，则将交易对手特征值置为1，如果否，则将交易对手特征值置为0。还有，根据交易频率确定第二预定时间段内同一客户执行指定交易行为的次数，将该次数确定为交易频率特征值。

[0011] 可选地，上述方法还包括：获取多个样本特征数据，每个样本特征数据包括客户端状态特征数据和交易状态特征数据。然后分别为多个样本特征数据添加交易风险特征值，当样本特征数据表征存在风险的交易行为时，交易风险特征值置为1，当样本特征数据表征不存在风险的交易行为时，交易风险特征值置为0。接着利用带有交易风险特征值的多个样本特征数据，依据基尼系数最小化准则建立并优化决策树模型，得到风险分析模型。在此基础上，上述利用风险分析模型处理客户端状态特征数据和交易状态特征数据包括：将客户端状态特征数据和交易状态特征数据输入至风险分析模型，当风险分析模型输出的交易风险特征值为1时，确定指定交易行为存在风险，当风险分析模型输出的交易风险特征值为0时，确定指定交易行为不存在风险。

[0012] 可选地，上述方法还包括：当确定指定交易行为存在风险时，推送提示信息和/或强制中断所述指定交易行为，并将客户端状态特征数据和交易状态特征数据加入样本库以作为新增的样本特征数据。

[0013] 本公开的另一方面提供了一种交易风险识别装置，包括：数据采集模块、客户端特征预处理模块、交易特征预处理模块以及风险分析模块。其中，数据采集模块用于响应于指定交易行为，获取与指定交易行为相关的客户端信息以及交易信息。客户端特征预处理模块用于基于客户端信息确定客户端状态特征数据。交易特征预处理模块用于基于交易信息确定交易状态特征数据。风险分析模块用于利用风险分析模型处理客户端状态特征数据和交易状态特征数据，以便确定指定交易行为是否存在风险。

[0014] 本公开的另一方面提供了一种计算机系统，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时用于实现如上所述的方法。

[0015] 本公开的另一方面提供了一种计算机可读存储介质，存储有计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。

[0016] 本公开的另一方面提供了一种计算机程序，所述计算机程序包括计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。

[0017] 根据本公开的实施例，在进行交易风险识别过程中，从与交易行为相关的客户端信息以及指定交易行为自身的交易信息两个角度进行分析，且每个角度都可以参考多个数据维度的信息。既能够发现交易行为自身存在的问题，也能够发现发生交易行为的外部环境中存在的异常，适用于各种场景的交易风险防控。特别地，对于因客户端受到远程控制而执行的远程控制类交易行为中存在的风险具有优异的识别效果，提高交易风险防控机制的覆盖率、安全性及可靠性。附图说明

[0018] 为了更完整地理解本公开及其优势，现在将参考结合附图的以下描述，其中：

[0019] 图1示意性示出了根据本公开实施例的应用交易风险识别方法和装置的示例性系统架构；

[0020] 图2示意性示出了根据本公开实施例的交易风险识别方法的流程图；

[0021] 图3示意性示出了根据本公开实施例的交易风险识别系统执行交易风险识别过程的示意图；

[0022] 图4示意性示出了根据本公开实施例的交易风险识别装置的框图；以及[0023] 图5示意性示出了根据本公开实施例的适于实现交易风险识别方法的计算机系统的框图。

具体实施方式

[0024] 以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。

[0025] 在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。

[0026] 在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。

[0027] 在使用类似于“A、B和C等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。

[0028] 本公开的实施例提供了一种交易风险识别方法、装置以及计算机系统。该方法包括：数据采集过程、客户端特征预处理过程、交易特征预处理过程以及风险分析过程。在数据采集过程，响应于指定交易行为，获取与该指定交易行为相关的客户端信息以及交易信息。然后可以进行客户端特征预处理过程和交易特征预处理过程，基于所获取的客户端信息和交易信息，分别确定客户端状态特征数据和交易状态特征数据。接着进行风险分析过程，利用风险分析模型处理客户端状态特征数据和交易状态特征数据，以便确定指定交易行为是否存在风险。

[0029] 图1示意性示出了根据本公开实施例的可以应用交易风险识别方法和装置的示例性系统架构100。需要注意的是，图1所示仅为可以应用本公开实施例的系统架构的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。

[0030] 如图1所示，根据该实施例的系统架构100可以包括终端设备101、1 02、103，网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

[0031] 终端设备101、102、103上可以安装有各种客户端应用，例如银行类应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。终端设备101、102、103可以通过以上各种客户端应用与服务器105进行交互，以向服务器105发送各种请求或接收服务器105返回的结果。

[0032] 终端设备101、102、103可以是各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。

[0033] 服务器105可以是提供各种服务支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理，并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。

[0034] 需要说明的是，本公开实施例所提供的交易风险识别方法一般可以由服务器105执行。相应地，本公开实施例所提供的交易风险识别装置一般可以设置于服务器105中。本公开实施例所提供的交易风险识别方法一般可以由终端设备101、102、103执行。相应地，本公开实施例所提供的交易风险识别装置一般可以设置于终端设备101、102、103中。本公开实施例所提供的交易风险识别方法也可以由不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群执行。相应地，本公开实施例所提供的交易风险识别装置也可以设置于不同于服务器105且能够与终端设备101、102、103和/或服务器
105通信的服务器或服务器集群中。

[0035] 应该理解，图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实际需要，可以具有任意数目的终端设备、网络和服务器。

[0036] 图2示意性示出了根据本公开实施例的交易风险识别方法的流程图。

[0037] 如图2所示，该方法可以包括以下操作S201～S204。

[0038] 在操作S201，响应于指定交易行为，获取与指定交易行为相关的客户端信息以及交易信息。

[0039] 其中，指定交易行为可以根据实际安全防护力度来进行预先设置，可以覆盖所有交易行为，也可覆盖部分交易行为。考虑到安全性和识别效率，通常情况下可以将具有高安全隐患的交易行为设置为指定交易行为。例如，当客户进行网上银行登录、转账、支付等关键交易行为时，确定发生指定交易行为。当监测到发生指定交易行为时，获取与该指定交易行为相关的客户端信息和交易信息，以从客户端和交易这两个角度来分析该指定交易行为的安全性。其中示例性地，与指定交易行为相关的客户端信息可以是：在发生该指定交易行为的终端设备中的客户端相关信息。与指定交易行为相关的交易信息可以是：指定交易行为的交易行为数据。

[0040] 在操作S202，基于客户端信息确定客户端状态特征数据。

[0041] 其中，客户端状态特征数据是能够从一个或多个数据维度描述发生指定交易行为的终端设备中的客户端状态的规则化数据形式，以便于后续进行风险分析。

[0042] 在操作S203，基于交易信息确定交易状态特征数据。

[0043] 其中，交易状态特征数据是能够从一个或多个数据维度描述指定交易行为的交易状态的规则化数据形式，以便于后续进行风险分析。需要说明的是，操作S202和操作S203的执行顺序不受步骤标号的顺序限制，这两个操作可以同时执行，也可以是任一先执行，另一个后执行。

[0044] 在操作S204，利用风险分析模型处理客户端状态特征数据和交易状态特征数据，以便确定指定交易行为是否存在风险。

[0045] 其中，风险分析模型是预先训练得到的能够判别交易行为是否存在风险的机器学习模型。本操作S204利用该风险分析模型对上述得到的客户端状态特征数据和交易状态特征数据，综合考虑与指定交易行为相关的客户端状态和交易状态，能够发现指定交易行为因交易行为自身问题或客户端问题而导致存在的风险。

[0046] 本领域技术人员可以理解，图2所示的方法在进行交易风险识别过程中，从与交易行为相关的客户端信息以及指定交易行为自身的交易信息两个角度进行分析，且每个角度都可以参考多个数据维度的信息。既能够发现交易行为自身存在的问题，也能够发现发生交易行为的外部环境中存在的异常，适用于各种场景的交易风险防控。特别地，对于因客户端受到远程控制而执行的远程控制类交易行为中存在的风险具有优异的识别效果，提高交易风险防控机制的覆盖率、安全性及可靠性。

[0047] 在本公开的一个实施例中，上述数据采集过程所获取的客户端信息可以示例性地包括如下至少一项：

[0048] (1)进程信息：进程列表、进程标识信息(PID)、进程端口号、进程窗口名称等。

[0049] (2)驱动信息：驱动安装列表、驱动安装时间等。

[0050] (3)网络信息：互联网协议(IP)地址、媒体访问控制(MAC)地址、进程流量等。

[0051] 在获取到以上客户端信息的基础上，在进行远程控制类交易风险识别时，根据本公开实施例的交易风险识别方法中的客户端特征预处理过程可以示例性地按照如下方式1-3进行。

[0052] 方式1：客户端状态特征数据包括软件运行特征值。利用数据采集过程提供的进程列表、端口、窗口标题等进程相关信息，与黑名单进行匹配，若满足匹配条件则可断定有远程控制软件在运行。例如，上述基于客户端信息确定客户端状态特征数据的过程可以包括：将进程信息与预设进程黑名单进行匹配。如果匹配成功，则确定指定进程处于运行状态，并将客户端状态特征数据中的软件运行特征值置为1。如果匹配失败，则确定指定进程处于未运行状态，并将客户端状态特征数据中的软件运行特征值置为0。

[0053] 其中，指定进程是指已经记录于预设进程黑名单中、远程控制软件的进程。在其他实施例中，指定进程可以是指其他已确认具有风险的进程。将进程信息与预设进程黑名单进行匹配，如果该进程信息与预设进程黑名单中的一个指定进程的进程信息的匹配度满足预定匹配阈值，则确定匹配成功，该进程信息与该指定进程相对应。软件运行特征值的设置可以根据需要进行，本例中当确认发生指定交易行为的终端设备中有指定进程运行时，将软件运行特征值设置为1，反之设置为0，在其他例子中也可以设置其他取值，原则上只需将表征进程不同运行状态的取值区分开即可。

[0054] 方式2：客户端状态特征数据中除了软件运行特征值之外，还包括软件连接特征值。仅通过指定进程是否运行，无法准确判断出发生交易行为的终端设备是否被远程控制，因为有可能与指定进程对应的软件仅仅是启动了，但是没有被连接。需要通过其他特征来判断软件是否处于连接状态，本例中把进程流量作为识别远程控制软件已连接的重要特征。

[0055] 由此，在确定发生指定交易行为的终端设备中有指定进程运行后，上述基于客户端信息确定客户端状态特征数据的过程还可以包括：进一步确定第一预定时间段内指定进程的进程流量是否大于零，或者，确定第一预定时间段内指定进程的进程流量是否大于预定流量阈值。如果是，则表示指定进程已启动且有连接，即确定指定进程处于连接状态，并将软件连接特征值置为1，如果否，则表示指定进程虽然已启动但尚未连接，即确定指定进程未处于连接状态，并将软件连接特征值置为0。

[0056] 其中，软件连接特征值的设置可以根据需要进行，本例中当确认发生指定交易行为的终端设备中有指定进程处于连接状态时，将软件运行特征值设置为1，反之设置为0，在其他例子中也可以设置其他取值，原则上只需将表征进程不同连接状态的取值区分开即可。

[0057] 方式3：客户端状态特征数据中除了软件运行特征值、软件连接特征值之外，还包括屏幕欺骗特征值，该屏幕欺骗特征值用于表征发生指定交易行为的终端设备中是否使用虚拟显示器。根据远程控制软件黑屏模式的实现原理，如果被控端是首次使用黑屏功能，则会安装虚拟显示器驱动，安装完成后，在设备管理器中可以看到虚拟显示器。利用数据采集过程提供的驱动安装列表、驱动安装时间等驱动信息，设计一定匹配规则，满足匹配规则即可断定发生指定交易行为的终端设备已被屏幕欺骗。

[0058] 由此，上述基于客户端信息确定客户端状态特征数据还包括：将驱动信息与预设规则进行匹配。如果匹配成功，则表示发生屏幕欺骗操作，将屏幕欺骗特征值置为1，如果否，则表示未发生屏幕欺骗操作，将屏幕欺骗特征值置为0。其中，屏幕欺骗特征值的设置可以根据需要进行，本例中当确认发生指定交易行为的终端设备已被屏幕欺骗时，将屏幕欺骗特征值设置为1，反之设置为0，在其他例子中也可以设置其他取值，原则上只需将表征屏幕欺骗不同状态的取值区分开即可。

[0059] 在本公开的一个实施例中，上述数据采集过程所获取的交易信息可以示例性地包括如下至少一项：客户年龄、交易类型、交易金额、交易对手信息以及交易频率。

[0060] 在获取到以上客户端信息的基础上，在进行远程控制类交易风险识别时，根据本公开实施例的交易风险识别方法中交易状态特征数据可以示例性地包括如下至少一项：客户年龄特征值、交易类型特征值、交易金额特征值、交易对手特征值以及交易频率特征值。由此，用于确定上述交易状态特征数据的交易特征预处理过程可以示例性地包括如下(1)-(5)中的至少一项。

[0061] (1)将客户年龄落入的年龄区间的编号确定为客户端年龄特征值。

[0062] (2)将交易类型的编号确定为交易类型特征值。

[0063] (3)确定交易金额是否大于同一客户的历史交易平均金额，如果是，则将交易金额特征值置为1，如果否，则将交易金额特征值置为0。

[0064] (4)确定交易对手信息是否存在于同一客户的历史交易对手信息，如果是，则将交易对手特征值置为1，如果否，则将交易对手特征值置为0。

[0065] (5)根据交易频率确定第二预定时间段内同一客户执行指定交易行为的次数，将次数确定为交易频率特征值。

[0066] 以上任一种交易状态特征数据的取值可以根据需要进行设置，原则上只需将表征同一特征的不同状态的取值区分开即可。

[0067] 进一步地，在进行风险分析过程之前，需要进行模型训练过程，以得到风险分析模型。在本公开的一个实施例中，根据本公开实施例的交易风险识别方法还可以包括：首先，获取多个样本特征数据，样本特征数据包括客户端状态特征数据和交易状态特征数据。然后进行添加标签过程，分别为多个样本特征数据添加交易风险特征值，当一个样本特征数据表征存在风险的交易行为时，该交易风险特征值置为1，当一个样本特征数据表征不存在风险的交易行为时，该交易风险特征值置为0。接着利用带有交易风险特征值的所述多个样本特征数据，依据基尼系数最小化准则建立并优化决策树模型，得到风险分析模型。

[0068] 在此基础上，上述风险分析过程可以利用风险分析模型对指定交易行为是否存在风险进行预测。示例性地，上述利用风险分析模型处理客户端状态特征数据和交易状态特征数据包括：将客户端状态特征数据和交易状态特征数据输入至风险分析模型，当风险分析模型输出的交易风险特征值为1时，确定指定交易行为存在风险，当风险分析模型输出的交易风险特征值为0时，确定指定交易行为不存在风险。本例中，风险分析模型实质上是一个二分类模型，对指定交易行为进行预测的过程实质上为基于指定交易行为的客户端状态特征数据和交易状态特征数据进行二分类的过程。

[0069] 下面参考图3，结合具体例子对根据本公开实施例的交易风险识别方法进行示例性地说明。本实施例中，进行交易风险识别的目的是防控远程控制类交易行为的风险，如用于防控远程控制类金融诈骗。

[0070] 近年来，利用远程控制软件劫持客户的终端设备进而实施诈骗的案件时有发生，该类案件一般涉案金额较高，会给被骗客户带来巨大损失。该类诈骗案件的过程通常如下：首先诱导客户安装远程控制软件，不法分子一般会冒充公检法机关，编造各种理由取得客户信任，如告知客户涉嫌非法洗钱，需对其进行身份确认，然后诱导客户安装并运行伪装成“身份认证软件”的远程控制软件。然后通过该远程控制软件连接并控制客户的终端设备。
远程控制软件一般分为控制端和被控端，不法分子诱骗客户提供软件连接的必要信息，如软件的ID和软件自动随机分配的密码等，不法分子利用这些信息即可成功连接客户的终端设备，客户的终端设备成为被控端，不法分子在控制端通过远程发送指令来随意操纵客户的终端设备。为了隐藏不法交易行为，不法分子一般使用远程控制软件的黑屏模式，这样不法分子可以在控制端正常看到客户的终端设备的屏幕内容，而受害客户自己的终端设备屏幕不会显示与不法交易行为相关的任何内容，客户无法得知不法分子对自己的终端设备做了什么操作。不法分子在控制端操作受害客户的终端设备来登录客户的网银页面，在需要输入密码或操作U盾等介质的时候，诱导客户完成操作，进而在客户毫无察觉的情况下，将客户资金转走，成功诈骗。

[0071] 针对上述远程控制类金融诈骗，图3示意性示出了根据本公开实施例的交易风险识别系统执行交易风险识别过程的示意图。

[0072] 如图3所示，交易风险识别系统300包括监控子系统301、数据采集子系统302，特征预处理子系统303、风险分析子系统304以及风险处置子系统305。交易风险识别系统300用于实现上述交易风险识别方法，示例性地，交易风险识别系统300用于防控因客户端被远程控制软件劫持而执行的远程控制类交易行为。在其他实施例中，交易风险识别系统还可以根据需求划分成其他子系统，在此不做限制。

[0073] 示例性地，监控子系统301用于监控客户所使用的终端设备上是否发生网上银行的登录、转账等指定交易行为，在监测到发生以上指定交易行为时，通知数据采集子系统302进行数据采集过程。数据采集子系统302采集与指定交易行为相关的客户端信息和交易信息，为特征预处理子系统303提供信息支持。其中客户端信息和交易信息的具体内容与上文描述一致，在此不再赘述。

[0074] 特征预处理子系统303可以先将数据采集子系统302提供的原始数据进行清洗、去噪、归约等处理，然后进行客户端特征预处理过程和交易特征预处理过程，以从客户端信息和交易信息中提取出多个特征值供风险分析子系统304的机器学习模型使用。在客户端特征预处理过程可从客户端端信息中提取出三个客户端状态特征值：软件运行特征值、软件连接特征值和屏幕欺骗特征值。在交易特征预处理过程根据不同规则将各交易信息转化为可被机器学习模型使用的各种交易状态特征值。

[0075] 例如，利用数据采集子系统302提供的进程列表、端口、窗口标题等进程相关信息，与黑名单进行匹配，若满足匹配条件则可断定有远程控制软件在运行，软件运行特征值置为1，否则置为0。然后，把流量作为识别远程控制软件已连接的重要特征。监控软件生成的特定进程的流量，如果该进程一段时间内几乎无流量进出，则判定该软件只是启动了，但是没有连接。如果该进程一段时间内的流量超过一定阈值，则断定该软件处于连接状态，软件连接特征值置为1，否则置为0。接着，根据远程控制软件黑屏模式的实现原理，如果被控端是首次使用黑屏功能，则会安装虚拟显示器驱动，安装完成后，在设备管理器中可以看到虚拟显示器。利用数据采集模块提供的驱动安装列表、驱动安装时间等信息，设计一定规则，满足规则即可断定客户电脑已被屏幕欺骗，屏幕欺骗特征值置为1，否则置为0。

[0076] 此外，交易信息可以涉及客户年龄、交易类型、交易金额、交易对手信息、交易频率等多个业务参数，有些为数字，有些为字符串，格式不统一的这些参数无法作为特征值直接被机器学习模型使用，所以需要特定的规则进行数据处理。具体处理规则如下：对于客户年龄信息，可将客户年龄分为多个阶段，给不同年龄段分别编号，客户年龄落入哪个年龄段，客户年龄特征值就为对应年龄段编号。对于交易类型信息，列出多个高风险交易并分别编号，交易类型特征值即为对应编号。对于交易金额信息，查询客户做本交易的历史信息，设计特定规则计算历史交易的平均交易金额，比较本次交易金额与历史交易平均金额，如本次交易金额较大，则交易金额特征值置为1，否则置为0。对于交易对手信息，查询历史交易对手信息，比对本次交易的对手是否曾在历史列表中出现，如果出现则交易对手特征值置为1，否则置为0。对于交易频率信息，选取客户某段时间的交易记录，把客户在这段时间做本交易的次数作为交易频率特征值。

[0077] 由此，基于特征预处理子系统303所执行的特征处理过程，可以将客户端信息和交易信息转换为空间向量表示，称之为指定交易行为的特征向量，将该特征向量传递至风险分析子系统304。风险分析子系统304包括风险样本库，可以执行模型训练过程和风险分析过程。其中，预先收集以往远程控制类金融诈骗案件，提取并处理所有相关特征值，设计一种特征值代表交易风险状态，1代表有风险，0代表无风险，将交易风险特征值置为1，形成带有标签的样本。风险样本库由大量样本组成。在模型训练过程中，选取分类与回归树(Classification And Regression Tree，CART)算法，根据基尼(Gini)系数最小化准则来进行特征选择，生成二叉树。将风险样本库中的样本划分为训练样本和验证样本。根据训练样本，从根节点开始，递归地生成二叉决策树，再利用验证样本不断验证并优化模型，最终得到风险分析模型。把特征预处理子系统303提供的特征向量作为输入，根据风险分析模型的输出分析出表征指定交易行为的交易风险特征值，将该交易风险特征值提供给风险处置子系统305。

[0078] 如果风险分析子系统304提供的交易风险特征值为1，则说明客户的终端设备中存在远程劫持风险，需要采取措施进行干预。风险处置子系统305提供两种干预措施：风险提示和强制退出。其中，风险干预措施对客户的交易进行干预，消除客户交易风险。例如，由后台客服人员，通过拨打电话的方式联系客户，询问客户的电脑是否被陌生人远程控制，如客户确认电脑已被远程控制，则告知客户交易存在安全风险，建议关闭远程控制软件，切断网络。将客户的该笔交易相关数据加入风险分析子系统304的风险样本库，以便后续风险分析模型的不断优化。此措施的优点为：由客服外拨电话与客户沟通，可与客户交互，进一步了解诈骗的情况，更有针对性地向客户提示风险。可将已确认的诈骗案件相关数据加入风险样本库，便于后续模型优化，提升风险分析准确率。在其他例子中，也可以通过客户端向客户直接推送提示信息，在此不做限制。而强制退出措施强制中断所述指定交易行为，例如，自动强制杀死远程控制软件相关进程，关闭软件。或者，当客户的终端设备使用了黑屏模式时，风险处置子系统305强制退出，使客户屏幕信息可见。此措施的优点为：可快速中断异常操作，保证客户资金安全。

[0079] 基于上述实施例，根据本公开实施例的交易风险识别方法提出了一种可以防控远程控制类金融诈骗的方案，弥补了现有技术的不足。利用大数据手段智能分析客户所使用的终端设备所执行的交易行为的交易风险状态，可有效降低客户端被远程控制的风险，保障客户资金安全。具有以下优点：(1)智能分析客户端交易风险状态：充分利用终端设备的客户端信息和交易信息，提取出有效特征值，结合风险样本库，利用机器学习模型，智能分析终端设备的交易行为的风险状态，覆盖面广，准确度高。(2)提出有效处置措施消除交易风险：提出风险提示和强制退出两种干预措施，可根据风险等级，灵活选择，高效及时地制止诈骗行为，保障客户账户安全。

[0080] 图4示意性示出了根据本公开实施例的交易风险识别装置的框图。

[0081] 如图4所示，该交易风险识别装置400包括：数据采集模块410、客户端特征预处理模块420、交易特征预处理模块430以及风险分析模块440。

[0082] 数据采集模块410用于响应于指定交易行为，获取与指定交易行为相关的客户端信息以及交易信息。

[0083] 客户端特征预处理模块420用于基于客户端信息确定客户端状态特征数据。

[0084] 交易特征预处理模块430用于基于交易信息确定交易状态特征数据。

[0085] 风险分析模块440用于利用风险分析模型处理客户端状态特征数据和交易状态特征数据，以便确定指定交易行为是否存在风险。

[0086] 需要说明的是，装置部分实施例中各模块/单元/子单元等的实施方式、解决的技术问题、实现的功能、以及达到的技术效果分别与方法部分实施例中各对应的步骤的实施方式、解决的技术问题、实现的功能、以及达到的技术效果相同或类似，在此不再赘述。

[0087] 根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC)，或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

[0088] 例如，数据采集模块410、客户端特征预处理模块420、交易特征预处理模块430以及风险分析模块440中的任意多个可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，数据采集模块410、客户端特征预处理模块420、交易特征预处理模块430以及风险分析模块440中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，数据采集模块410、客户端特征预处理模块420、交易特征预处理模块430以及风险分析模块440中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

[0089] 图5示意性示出了根据本公开实施例的适于实现上文描述的方法的计算机系统的框图。图5示出的计算机系统仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

[0090] 如图5所示，根据本公开实施例的计算机系统500包括处理器501，其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。处理器501例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(ASIC))，等等。处理器501还可以包括用于缓存用途的板载存储器。处理器501可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。

[0091] 在RAM 503中，存储有系统500操作所需的各种程序和数据。处理器501、ROM 502以及RAM 503通过总线504彼此相连。处理器501通过执行ROM 502和/或RAM 503中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，所述程序也可以存储在除ROM 502和RAM 503以外的一个或多个存储器中。处理器501也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。

[0092] 根据本公开的实施例，系统500还可以包括输入/输出(I/O)接口505，输入/输出(I/O)接口505也连接至总线504。系统500还可以包括连接至I/O接口505的以下部件中的一项或多项：包括键盘、鼠标等的输入部分506；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507；包括硬盘等的存储部分508；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口505。可拆卸介质511，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器510上，以便于从其上读出的计算机程序根据需要被安装入存储部分508。

[0093] 根据本公开的实施例，根据本公开实施例的方法流程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读存储介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分509从网络上被下载和安装，和/或从可拆卸介质511被安装。在该计算机程序被处理器501执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。

[0094] 本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。

[0095] 附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

[0096] 本领域技术人员可以理解，尽管已经参照本公开的特定示例性实施例示出并描述了本公开，但是本领域技术人员应该理解，在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下，可以对本公开进行形式和细节上的多种改变。因此，本公开的范围不应该限于上述实施例，而是应该不仅由所附权利要求来进行确定，还由所附权利要求的等同物来进行限定。

标题	发布/更新时间	阅读量
个人信贷信用状况采集整合方法	2020-05-26	255
一种去中心的资产交换方法及其装置	2020-05-11	791
一种风险评级方法及装置	2020-05-13	1018
可选地具有估值过滤器的用于低信任和零信任价值转移的设备、系统和方法	2020-05-19	515
基于智能风控和区块链技术的供应链金融业务交互系统	2020-05-08	476
System and method for credit enhancing a debt issuance and creating a present value investable arbitrage	2020-05-26	71
Collateralized lending using a central counterparty	2020-05-25	475
COLLATERAL ARRANGEMENT AGGREGATOR AND NETTING SYSTEM AND METHOD	2020-05-22	596
DEVICES, SYSTEMS, AND METHODS FOR FACILITATING LOW TRUST AND ZERO TRUST VALUE TRANSFERS	2020-05-22	373
ENERGY COLLABORATION PLATFORM	2020-05-24	236

交易风险识别方法、装置和计算机系统

交易风险识别方法、装置和计算机系统

技术领域

背景技术

具体实施方式

该功能需要专业版企业版VIP权限，您可以：