用于在網絡交互系統中識別用戶可信行為的方法及裝置的制造方法

用于在網絡交互系統中識別用戶可信行為的方法及裝置的制造方法
【技術領域】
[0001] 本申請涉及用戶行為識別領域，具體涉及一種用于在網絡交互系統中識別用戶可 信行為的方法。本申請同時提供一種用于在網絡交互系統中識別用戶可信行為的裝置。
【背景技術】
[0002] 隨著網絡技術和網絡應用的飛速發展，互聯網逐步滲透到人們生活中的每一個角 落，網上購物、網上閱讀、網絡視頻、網絡社交等已經成為了人們生活中不可或缺的組成部 分。互聯網給人帶來方便的同時，也給人們增添了信息安全上的困擾，網絡安全問題成為人 們長期以來關注的焦點問題。
[0003] 采用傳統的身份認證等技術手段雖然可以基本解決網絡用戶的身份信任問題，但 是卻無法解決用戶網絡操作行為的安全問題，例如在網絡交易系統中，大部分用戶的操作 行為都是正常的（通常也稱為可信行為），然而也存在少量黑客或者惡意用戶盜用他人賬 戶、盜用他人銀行卡等欺詐行為，因此有必要對用戶在網絡環境中的操作行為進行識別。通 過識別，一方面可以通過對可疑行為（通常也稱為風險行為）的提前識別避免欺詐行為的 發生，另一方面可以對識別出的欺詐行為做出及時的處理，避免合法用戶遭受損失、或者盡 可能減少損失。
[0004] 現有技術對網絡環境下用戶行為的識別通常采用風險識別方式，即：獲取與用戶 行為相關的數據后，基于大量的原始歷史行為數據、交易數據、財務數據、賬戶信息、登錄數 據、銀行卡信息、用戶身份信息、歷史風險數據、黑名單等數據，對所述用戶行為進行全規則 覆蓋分析和/或采用設定的模型進行打分評估，并根據分析結果和/或打分結果，辨識當前 的用戶行為是否存在風險。對于在網絡交互環境下隨機發起的每個用戶行為都采用上述方 式進行識別，從而從大量用戶行為中識別出可能的風險行為。
[0005] 通過上面的描述可以看出，傳統的用戶行為識別模式采用的是類似大海撈針式的 風險防控模式：從大量的用戶行為中識別出少量的、個別的風險行為。由于需要對大量用戶 行為逐一地進行風險規則分析與模型算法計算，處理過程耗時、處理效率低下，在用戶行為 規模達到海量級別的一些網絡交互系統中（例如：支付寶網絡交互平臺），上述用戶行為識 別方式已經難以滿足線上的實時應用需求；此外，由于上述識別方式需要依賴大量的額外 數據，增加了整個系統的硬件存儲成本；而且這種大海撈針的識別方式識別準確率低下，可 能將部分正常操作行為識別為風險行為，一方面會造成對用戶的無為打擾，影響用戶體驗， 另一方面為了提高準確率需要人工介入核查，增加人力成本。

【發明內容】

[0006] 本申請提供一種用于在網絡交互系統中識別用戶可信行為的方法，針對對用戶行 為進行風險識別的傳統方式，提出一種用戶行為識別的新思路：從可信的角度進行行為識 另IJ，從而為高效、準確地進行用戶風險行為的監控與識別提供便利。本申請另外提供一種用 于在網絡交互系統中識別用戶可信行為的裝置。
[0007] 本申請提供一種用于在網絡交互系統中識別用戶可信行為的方法，包括：
[0008] 獲取所述網絡交互系統中的用戶行為數據；
[0009] 根據所述用戶行為數據，采用下述方式中的任意一種識別所述用戶行為是否可 信：
[0010] 通過判斷預先生成的可信數據與所述用戶行為數據的比對結果是否符合預先設 定的規則，識別所述用戶行為是否可信；所述可信數據是指，從網絡交互系統的用戶歷史行 為數據中提取的能夠反映用戶常規行為規律的數據；
[0011] 或者，
[0012] 采用預先生成的可信行為識別模型計算表征所述用戶行為可信程度的指標值，通 過判斷所述指標值是否滿足預先設定的可信閾值，識別所述用戶行為是否可信。
[0013] 可選的，在所述通過判斷預先生成的可信數據與所述用戶行為數據的比對結果是 否符合預先設定的規則，識別所述用戶行為是否可信的步驟之前或者之后，執行所述采用 預先生成的可信行為識別模型識別所述用戶行為是否可信的步驟；
[0014] 相應的，采用上述兩種方式分別識別所述用戶行為是否可信后，執行下述操作：
[0015] 采用預先設置的策略，根據上述兩種識別方式的識別結果，綜合判斷所述用戶行 為是否可{目。
[0016] 可選的，采用以下兩種方式獲取所述網絡交互系統中的用戶行為數據：
[0017] 通過同步事件觸發的方式，獲取所述網絡交互系統中的用戶行為數據；
[0018] 或者，
[0019] 通過接收異步事件通知的方式，獲取所述網絡交互系統中的用戶行為數據。
[0020] 可選的，當所述網絡交互系統為在線交易系統時，所述網絡交互系統中的用戶行 為數據包括：賬戶信息、發起所述用戶行為的客戶端IP地址、發起所述用戶行為的客戶端 MAC地址、發起所述用戶行為的移動終端號碼、所述用戶行為涉及的銀行卡號、交易金額、和 /或交易類別。
[0021] 可選的，采用判斷預先生成的可信數據與所述用戶行為數據的比對結果是否符合 預先設定的規則來識別所述用戶行為是否可信時，在完成所述識別操作后，將所述用戶行 為數據存儲到數據倉庫中。
[0022] 可選的，采用如下方式預先生成所述可信數據：
[0023] 對所述數據倉庫中存儲的用戶行為數據，進行分類、篩選、統計；
[0024] 將經過上述處理得到的用戶行為數據與預先設置的可信條件進行比對，如果滿足 所述可信條件的要求，則生成與所述用戶行為數據涉及的主體相關聯的可信數據；
[0025] 所述可信數據包括：主體類型、主體值、可信數據項類型、可信數據項值、有效時 間、可信等級、以及對應的規則標識；
[0026] 當所述網絡交互系統為在線交易系統時，所述主體類型為賬戶或者銀行卡，所述 主體值為對應的賬戶號碼或者銀行卡號。
[0027] 可選的，所述預先生成所述可信數據的步驟還包括：
[0028] 將已有的可信數據、采用上述步驟生成的可信數據、以及人工維護生成的可信數 據合并；
[0029] 從合并后的可信數據中，剔除過期的以及被確認為不可信的數據，得到可用于可 信行為識別的可信數據。
[0030] 可選的，將采用上述方式預先生成的可信數據存儲在采用MySQL數據庫技術構建 的數據中心，該數據中心依據以可信數據的主體類型和主體值為輸入執行高可靠哈希操作 得到的哈希值，對所述可信數據采用分庫分表的形式存儲。
[0031] 可選的，所述通過判斷預先生成的可信數據與所述用戶行為數據的比對結果是否 符合預先設定的規則，識別所述用戶行為是否可信，包括：
[0032] 根據所述用戶行為數據涉及的主體類型和主體值，從所述數據中心提取與所述主 體相關聯的可信數據；
[0033] 將已提取的可信數據中的可信數據項值，與所述用戶行為數據中的相應數據進行 比對，獲取所述用戶行為的可信級別；
[0034] 根據所述已提取的可信數據中的規則標識，獲取預先設定的可信規則；
[0035] 判斷所述可信級別是否符合所述可信規則的要求；若符合，則判定所述用戶行為 可信。
[0036] 可選的，所述可信規則是通過Java動態編譯的方式注入的；所述判斷所述可信級 別是否符合所述可信規則的要求，是通過groovy技術進行動態構建以及比較來實現的。
[0037] 可選的，當采用預先生成的可信行為識別模型計算表征所述用戶行為可信程度的 指標值，通過判斷所述指標值是否滿足預先設定的可信閾值來識別所述用戶行為是否可信 時，所述可信行為識別模型是指樸素貝葉斯模型，所述表征所述用戶行為可信程度的指標 值是指，所述用戶行為是可信行為的概率值；
[0038] 相應的，所述模型通過如下步驟訓練生成：
[0039] 選擇與識別用戶行為相關的屬性特征；
[0040] 針對每個屬性特征的取值范圍進行劃分，并為每個范圍設定一個特征值；
[0041] 從所述網絡交互系統的歷史行為數據中獲取可信行為數據和不可信行為數據組 成訓練樣本集合；
[0042] 計算可信行為和不可信行為在訓練樣本集合中出現的概率、以及每個屬性特征劃 分對應的特征值在可信行為樣本和不可信行為樣本中出現的條件概率，所述樸素貝葉斯模 型訓練完畢。
[0043] 可選的，所述采用預先生成的可信行為識別模型計算表征所述用戶行為可信程度 的指標值，通過判斷所述指標值是否滿足預先設定的可信閾值，識別所述用戶行為是否可 信，包括：
[0044] 根據所述用戶行為數據中的相應屬性特征值，采用預先訓練好的樸素貝葉斯模 型，計算所述用戶行為是可信行為的概率值；
[0045] 判斷所述概率值是否大于所述預先設定的可信閾值，若是，則判定所述用戶行為 可信。
[0046] 可選的，所述采用預先生成的可信行為識別模型計算表征所述用戶行為可信程度 的指標值，通過判斷所述指標值是否滿足預先設定的可信閾值，識別所述用戶行為是否可 信，包括：
[0047] 根據所述用戶行為數據中的相應屬性特征值，采用基于所述樸素貝葉斯模型的改 進算法robinson-fisher算法，計算所述用戶行為是可信行為的概率值；
[0048] 判斷所述概率值是否大于所述預先設定的可信閾值，若是，則判定所述用戶行為 可信。
[0049] 可選的，當所述網絡交互系統為在線交易系統時，所述屬性特征包括：交易金額、 時間、鍵盤行為特征、和/或商品名稱；所述鍵盤行為特征是指執行所述用戶行為時鍵盤按 鍵從被按下到被松開的平均時間。
[0050] 可選的，當對所述用戶行為的最終識別結果為"不可信"時，執行下述操作：
[0051] 識別所述用戶行為是否為風險行為。
[0052] 可選的，所述識別所述用戶行為是否為風險行為是指，采用預先生成的風險行為 模型和/或預先設定的風險行為規則進行識別。
[0053] 相應的，本申請還提供一種用于在網絡交互系統中識別用戶可信行為的裝置，包 括：
[0054] 行為數據獲取單元，用于獲取所述網絡交互系統中的用戶行為數據；
[0055] 識別方式觸發單元，用于觸發下述單元中的任意一個識別所述用戶行為是否可 信；
[0056] 規則分析識別單元，用于通過判斷預先生成的可信數據與所述用戶行為數據的比 對結果是否符合預先設定的規則，識別所述用戶行為是否可信；
[0057] 模型分析識別單元，用于根據所述用戶行為數據，采用預先生成的可信行為識別 模型計算表征所述用戶行為可信程度的指標值，通過判斷所述指標值是否滿足預先設定的 可信閾值，識別所述用戶行為是否可信。
[0058] 可選的，所述識別方式觸發單元在觸發所述規則分析識別單元工作之前或者之 后，觸發所述模型分析識別單元工作；
[0059] 相應的，所述裝置還包括：
[0060] 識別結果合并單元，用于采用預先設置的策略，根據所述規則分析識別單元和所 述模型分析識別單元輸出的識別結果，綜合判斷所述用戶行為是否可信。
[0061] 可選的，所述行為數據獲取單元具體用于通過同步事件觸發的方式，獲取所述網 絡交互系統中的用戶行為數據；或者，通過接收異步事件通知的方式，獲取所述網絡交互系 統中的用戶行為數據。
[0062] 可選的，如果所述識別方式觸發單元觸發所述規則分析識別單元工作，所述裝置 還包括：
[0063] 數據存儲單元，用于當所述規則分析識別單元完成所述識別操作后，將所述用戶 行為數據存儲到數據倉庫中。
[0064] 可選的，所述裝置包括：
[0065] 可信數據生成單元，用于預先生成所述可信數據；
[0066] 所述可信數據生成單元包括：
[0067] 行為數據清洗子單元，用于對所述數據倉庫中存儲的用戶