用于在网络交互系统中识别用户可信行为的方法及装置的制造方法
【技术领域】
[0001] 本申请涉及用户行为识别领域,具体涉及一种用于在网络交互系统中识别用户可 信行为的方法。本申请同时提供一种用于在网络交互系统中识别用户可信行为的装置。
【背景技术】
[0002] 随着网络技术和网络应用的飞速发展,互联网逐步渗透到人们生活中的每一个角 落,网上购物、网上阅读、网络视频、网络社交等已经成为了人们生活中不可或缺的组成部 分。互联网给人带来方便的同时,也给人们增添了信息安全上的困扰,网络安全问题成为人 们长期以来关注的焦点问题。
[0003] 采用传统的身份认证等技术手段虽然可以基本解决网络用户的身份信任问题,但 是却无法解决用户网络操作行为的安全问题,例如在网络交易系统中,大部分用户的操作 行为都是正常的(通常也称为可信行为),然而也存在少量黑客或者恶意用户盗用他人账 户、盗用他人银行卡等欺诈行为,因此有必要对用户在网络环境中的操作行为进行识别。通 过识别,一方面可以通过对可疑行为(通常也称为风险行为)的提前识别避免欺诈行为的 发生,另一方面可以对识别出的欺诈行为做出及时的处理,避免合法用户遭受损失、或者尽 可能减少损失。
[0004] 现有技术对网络环境下用户行为的识别通常采用风险识别方式,即:获取与用户 行为相关的数据后,基于大量的原始历史行为数据、交易数据、财务数据、账户信息、登录数 据、银行卡信息、用户身份信息、历史风险数据、黑名单等数据,对所述用户行为进行全规则 覆盖分析和/或采用设定的模型进行打分评估,并根据分析结果和/或打分结果,辨识当前 的用户行为是否存在风险。对于在网络交互环境下随机发起的每个用户行为都采用上述方 式进行识别,从而从大量用户行为中识别出可能的风险行为。
[0005] 通过上面的描述可以看出,传统的用户行为识别模式采用的是类似大海捞针式的 风险防控模式:从大量的用户行为中识别出少量的、个别的风险行为。由于需要对大量用户 行为逐一地进行风险规则分析与模型算法计算,处理过程耗时、处理效率低下,在用户行为 规模达到海量级别的一些网络交互系统中(例如:支付宝网络交互平台),上述用户行为识 别方式已经难以满足线上的实时应用需求;此外,由于上述识别方式需要依赖大量的额外 数据,增加了整个系统的硬件存储成本;而且这种大海捞针的识别方式识别准确率低下,可 能将部分正常操作行为识别为风险行为,一方面会造成对用户的无为打扰,影响用户体验, 另一方面为了提高准确率需要人工介入核查,增加人力成本。
【发明内容】
[0006] 本申请提供一种用于在网络交互系统中识别用户可信行为的方法,针对对用户行 为进行风险识别的传统方式,提出一种用户行为识别的新思路:从可信的角度进行行为识 另IJ,从而为高效、准确地进行用户风险行为的监控与识别提供便利。本申请另外提供一种用 于在网络交互系统中识别用户可信行为的装置。
[0007] 本申请提供一种用于在网络交互系统中识别用户可信行为的方法,包括:
[0008] 获取所述网络交互系统中的用户行为数据;
[0009] 根据所述用户行为数据,采用下述方式中的任意一种识别所述用户行为是否可 信:
[0010] 通过判断预先生成的可信数据与所述用户行为数据的比对结果是否符合预先设 定的规则,识别所述用户行为是否可信;所述可信数据是指,从网络交互系统的用户历史行 为数据中提取的能够反映用户常规行为规律的数据;
[0011] 或者,
[0012] 采用预先生成的可信行为识别模型计算表征所述用户行为可信程度的指标值,通 过判断所述指标值是否满足预先设定的可信阈值,识别所述用户行为是否可信。
[0013] 可选的,在所述通过判断预先生成的可信数据与所述用户行为数据的比对结果是 否符合预先设定的规则,识别所述用户行为是否可信的步骤之前或者之后,执行所述采用 预先生成的可信行为识别模型识别所述用户行为是否可信的步骤;
[0014] 相应的,采用上述两种方式分别识别所述用户行为是否可信后,执行下述操作:
[0015] 采用预先设置的策略,根据上述两种识别方式的识别结果,综合判断所述用户行 为是否可{目。
[0016] 可选的,采用以下两种方式获取所述网络交互系统中的用户行为数据:
[0017] 通过同步事件触发的方式,获取所述网络交互系统中的用户行为数据;
[0018] 或者,
[0019] 通过接收异步事件通知的方式,获取所述网络交互系统中的用户行为数据。
[0020] 可选的,当所述网络交互系统为在线交易系统时,所述网络交互系统中的用户行 为数据包括:账户信息、发起所述用户行为的客户端IP地址、发起所述用户行为的客户端 MAC地址、发起所述用户行为的移动终端号码、所述用户行为涉及的银行卡号、交易金额、和 /或交易类别。
[0021] 可选的,采用判断预先生成的可信数据与所述用户行为数据的比对结果是否符合 预先设定的规则来识别所述用户行为是否可信时,在完成所述识别操作后,将所述用户行 为数据存储到数据仓库中。
[0022] 可选的,采用如下方式预先生成所述可信数据:
[0023] 对所述数据仓库中存储的用户行为数据,进行分类、筛选、统计;
[0024] 将经过上述处理得到的用户行为数据与预先设置的可信条件进行比对,如果满足 所述可信条件的要求,则生成与所述用户行为数据涉及的主体相关联的可信数据;
[0025] 所述可信数据包括:主体类型、主体值、可信数据项类型、可信数据项值、有效时 间、可信等级、以及对应的规则标识;
[0026] 当所述网络交互系统为在线交易系统时,所述主体类型为账户或者银行卡,所述 主体值为对应的账户号码或者银行卡号。
[0027] 可选的,所述预先生成所述可信数据的步骤还包括:
[0028] 将已有的可信数据、采用上述步骤生成的可信数据、以及人工维护生成的可信数 据合并;
[0029] 从合并后的可信数据中,剔除过期的以及被确认为不可信的数据,得到可用于可 信行为识别的可信数据。
[0030] 可选的,将采用上述方式预先生成的可信数据存储在采用MySQL数据库技术构建 的数据中心,该数据中心依据以可信数据的主体类型和主体值为输入执行高可靠哈希操作 得到的哈希值,对所述可信数据采用分库分表的形式存储。
[0031] 可选的,所述通过判断预先生成的可信数据与所述用户行为数据的比对结果是否 符合预先设定的规则,识别所述用户行为是否可信,包括:
[0032] 根据所述用户行为数据涉及的主体类型和主体值,从所述数据中心提取与所述主 体相关联的可信数据;
[0033] 将已提取的可信数据中的可信数据项值,与所述用户行为数据中的相应数据进行 比对,获取所述用户行为的可信级别;
[0034] 根据所述已提取的可信数据中的规则标识,获取预先设定的可信规则;
[0035] 判断所述可信级别是否符合所述可信规则的要求;若符合,则判定所述用户行为 可信。
[0036] 可选的,所述可信规则是通过Java动态编译的方式注入的;所述判断所述可信级 别是否符合所述可信规则的要求,是通过groovy技术进行动态构建以及比较来实现的。
[0037] 可选的,当采用预先生成的可信行为识别模型计算表征所述用户行为可信程度的 指标值,通过判断所述指标值是否满足预先设定的可信阈值来识别所述用户行为是否可信 时,所述可信行为识别模型是指朴素贝叶斯模型,所述表征所述用户行为可信程度的指标 值是指,所述用户行为是可信行为的概率值;
[0038] 相应的,所述模型通过如下步骤训练生成:
[0039] 选择与识别用户行为相关的属性特征;
[0040] 针对每个属性特征的取值范围进行划分,并为每个范围设定一个特征值;
[0041] 从所述网络交互系统的历史行为数据中获取可信行为数据和不可信行为数据组 成训练样本集合;
[0042] 计算可信行为和不可信行为在训练样本集合中出现的概率、以及每个属性特征划 分对应的特征值在可信行为样本和不可信行为样本中出现的条件概率,所述朴素贝叶斯模 型训练完毕。
[0043] 可选的,所述采用预先生成的可信行为识别模型计算表征所述用户行为可信程度 的指标值,通过判断所述指标值是否满足预先设定的可信阈值,识别所述用户行为是否可 信,包括:
[0044] 根据所述用户行为数据中的相应属性特征值,采用预先训练好的朴素贝叶斯模 型,计算所述用户行为是可信行为的概率值;
[0045] 判断所述概率值是否大于所述预先设定的可信阈值,若是,则判定所述用户行为 可信。
[0046] 可选的,所述采用预先生成的可信行为识别模型计算表征所述用户行为可信程度 的指标值,通过判断所述指标值是否满足预先设定的可信阈值,识别所述用户行为是否可 信,包括:
[0047] 根据所述用户行为数据中的相应属性特征值,采用基于所述朴素贝叶斯模型的改 进算法robinson-fisher算法,计算所述用户行为是可信行为的概率值;
[0048] 判断所述概率值是否大于所述预先设定的可信阈值,若是,则判定所述用户行为 可信。
[0049] 可选的,当所述网络交互系统为在线交易系统时,所述属性特征包括:交易金额、 时间、键盘行为特征、和/或商品名称;所述键盘行为特征是指执行所述用户行为时键盘按 键从被按下到被松开的平均时间。
[0050] 可选的,当对所述用户行为的最终识别结果为"不可信"时,执行下述操作:
[0051] 识别所述用户行为是否为风险行为。
[0052] 可选的,所述识别所述用户行为是否为风险行为是指,采用预先生成的风险行为 模型和/或预先设定的风险行为规则进行识别。
[0053] 相应的,本申请还提供一种用于在网络交互系统中识别用户可信行为的装置,包 括:
[0054] 行为数据获取单元,用于获取所述网络交互系统中的用户行为数据;
[0055] 识别方式触发单元,用于触发下述单元中的任意一个识别所述用户行为是否可 信;
[0056] 规则分析识别单元,用于通过判断预先生成的可信数据与所述用户行为数据的比 对结果是否符合预先设定的规则,识别所述用户行为是否可信;
[0057] 模型分析识别单元,用于根据所述用户行为数据,采用预先生成的可信行为识别 模型计算表征所述用户行为可信程度的指标值,通过判断所述指标值是否满足预先设定的 可信阈值,识别所述用户行为是否可信。
[0058] 可选的,所述识别方式触发单元在触发所述规则分析识别单元工作之前或者之 后,触发所述模型分析识别单元工作;
[0059] 相应的,所述装置还包括:
[0060] 识别结果合并单元,用于采用预先设置的策略,根据所述规则分析识别单元和所 述模型分析识别单元输出的识别结果,综合判断所述用户行为是否可信。
[0061] 可选的,所述行为数据获取单元具体用于通过同步事件触发的方式,获取所述网 络交互系统中的用户行为数据;或者,通过接收异步事件通知的方式,获取所述网络交互系 统中的用户行为数据。
[0062] 可选的,如果所述识别方式触发单元触发所述规则分析识别单元工作,所述装置 还包括:
[0063] 数据存储单元,用于当所述规则分析识别单元完成所述识别操作后,将所述用户 行为数据存储到数据仓库中。
[0064] 可选的,所述装置包括:
[0065] 可信数据生成单元,用于预先生成所述可信数据;
[0066] 所述可信数据生成单元包括:
[0067] 行为数据清洗子单元,用于对所述数据仓库中存储的用户