在线欺诈识别方法、装置、介质及电子设备与流程

本公开涉及计算机技术领域，具体而言，涉及一种在线欺诈识别方法、装置、计算机可读存储介质及电子设备。

背景技术：

随着互联网的不断发展，黑色产业链即黑产也在不断发展中，具体表现有数据泄漏成灾、黑产技术不断发展、黑产从业人员庞大。

在基于规则策略来进行黑产的识别时，若发生风险需要人工添加和修改规则，但是欺诈及黑产团伙实施欺诈行为往往选择凌晨及休息时段，并且是通过机器脚本定时触发，这将导致规则策略难以及时发挥作用。

采用建立有监督机器学习模型进行欺诈行为识别时，欺诈黑样本数量偏少，实际业务中被模型拦截的行为往往需要给出明确的理由，有监督机器模型的可解释性较差。此外由于欺诈与反欺诈持续处于对抗过程中，有监督模型学习到的是过去的欺诈行为特征，欺诈团伙变换欺诈手段，模型拦截能力大打折扣。重新收集黑白样本，进行模型训练、测试、发布的步骤，过程冗长耗时，难以达到与黑产实时对抗的要求。

如何简单方便地进行在线欺诈识别是当前亟需解决的技术问题。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现要素：

本公开实施例的目的在于提供一种在线欺诈识别方法、装置、计算机可读存储介质及电子设备，进而至少在一定程度上克服无法简单方便地进行在线欺诈识别的问题。

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

根据本公开实施例的第一方面，提供了一种在线欺诈识别方法，包括：接收包含当前待识别数据的欺诈识别请求；获取所述当前待识别数据的当前属性及其当前属性值；将所述当前属性及其当前属性值与缓存的欺诈属性集进行比对，获得所述当前待识别数据是否为欺诈数据的在线识别结果。

在一些实施例中，所述方法还包括：获取历史欺诈数据；采用无监督或者半监督模型获取所述历史欺诈数据的历史属性及其历史属性值；根据所述历史欺诈数据的历史属性及其历史属性值生成所述欺诈属性集；将所述欺诈属性集存入缓存数据库。

在一些实施例中，所述将所述当前属性及其当前属性值与缓存的欺诈属性集进行比对，获得所述当前待识别数据是否为欺诈数据的在线识别结果，包括：若所述当前属性与所述欺诈属性集中的历史属性匹配，则判断所述当前属性值与相应的历史属性值是否匹配；若所述当前属性值与相应的历史属性值匹配，则所述在线识别结果为所述当前待识别数据为欺诈数据。

在一些实施例中，判断所述当前属性值与相应的历史属性值是否匹配，包括：若所述历史属性值是条件表达式，且所述当前属性的当前属性值满足所述条件表达式，则判定所述当前属性值与所述历史属性值匹配。

在一些实施例中，判断所述当前属性值与相应的历史属性值是否匹配，包括：若所述历史属性值为第一设定数值，且所述当前属性值与所述历史属性值相等，则判定所述当前属性值与所述历史属性值匹配。

在一些实施例中，若所述历史属性值为数值向量或集合，且所述当前属性值与所述历史属性值的距离小于第二设定数值，则判定所述当前属性值与所述历史属性值匹配。

在一些实施例中，所述欺诈属性集包括欺诈评分，每个所述历史属性值对应一个欺诈评分；其中，所述方法还包括：若所述在线识别结果为所述当前待识别数据为欺诈数据，则根据与所述欺诈数据匹配的历史属性值对应的欺诈评分获取所述欺诈数据的欺诈评分。

在一些实施例中，所述方法还包括：获取采用参照识别方式对所述待识别数据进行欺诈识别后得到的参照识别结果；根据所述在线识别结果和所述参照识别结果得到所述在线识别结果的评估标识；根据所述历史属性值对应的在线识别结果的评估标识确定所述历史属性值的质量评分；在所述质量评分小于第三设定数值时，从缓存中删除所述质量评分对应的历史属性值。

在一些实施例中，所述欺诈属性集中的历史属性值具有设定的缓存有效期；所述方法还包括：根据所述历史属性值对应的质量评分调节所述历史属性值的缓存有效期。

在一些实施例中，所述方法还包括：接收欺诈属性更改数据；根据所述欺诈属性更改数据更新缓存中的欺诈属性集。

根据本公开实施例的第二方面，提供了一种在线欺诈识别装置，包括：接收单元，用于接收包含当前待识别数据的欺诈识别请求；获取单元，用于获取所述当前待识别数据的当前属性及其当前属性值；判断单元，用于将所述当前属性及其当前属性值与缓存的欺诈属性集进行比对，获得所述当前待识别数据是否为欺诈数据的在线识别结果。

根据本公开实施例的第三方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如上述实施例中第一方面所述的在线欺诈识别方法。

根据本公开实施例的第四方面，提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如上述实施例中第一方面所述的在线欺诈识别方法。

本公开实施例提供的技术方案可以包括以下有益效果：

在本公开的一些实施例所提供的技术方案中，通过获取当前待识别数据的当前属性及其当前属性值后，与缓存的欺诈属性集进行比对，实现对当前待识别数据的欺诈识别，无需更改图关系网络，因而可以简单方便地进行在线欺诈识别。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1示意性示出了根据本公开一种实施例的在线欺诈识别方法的流程图；

图2示意性示出了根据本公开一种实施例的保存欺诈属性集的流程图；

图3示意性示出了根据本公开另一种实施例的线欺诈识别方法的流程图；

图4示意性示出了根据本公开一种实施例的在线欺诈识别装置的方框图；

图5示意性示出了根据本公开另一种实施例的在线欺诈识别装置的方框图；

图6示意性示出了适于用来实现本公开实施例的电子设备的计算机系统的结构图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。

此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本公开的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而没有特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。

附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。

相关技术中，进行实时欺诈检测还可以采用基于关联图划分查询或者基于关联图向量嵌入进行实时欺诈检测。基于关联图划分查询进行实时欺诈检测时，首先基于用户属性之间的关联性构建异构关系网络，再基于社区发现算法，将关系网络划分成单个的社区。关系网络上的少量节点会基于历史黑样本赋予欺诈标签。将关系网络数据插入到图数据库中即可进行实时欺诈检测。在进行实时欺诈检测时，查询到当前节点所在的社区，根据社区内欺诈节点的浓度和分布，即可以返回当前查询的欺诈概率。

基于关联图向量嵌入进行实时欺诈检测时，首先基于用户的属性构建同构或者异构关系网络，接着通过随机游走或node2vec(scalablefeaturelearningfornetworks，网络结构特征提取)或k均值方法将节点转换成数值向量形式。通过对特征向量进行聚类，形成聚类簇。通过历史黑样本数据，对聚类簇进行标记，生成每个聚类簇的欺诈概率。在进行实时欺诈检测时，通过k近邻方式，对查询结果进行加权，得到当前样例的欺诈概率。

基于图关联划分查询和基于关联图向量嵌入进行实时欺诈检测均无法给出查询结果的合理业务含义、图关系网络更新复杂度较高。基于关联图向量嵌入进行实时欺诈检测还存在超参数难以确定的问题，导致实时欺诈检测较为困难。

为解决上述问题，本公开实施例提供一种在线欺诈识别方法，以提高在线欺诈识别的可解释性、简化规则提取的难度、提高实时欺诈检测的便捷性。

图1示意性示出了本公开的示例性实施方式的一种在线欺诈识别方法。本公开实施例提供的方法可以由任意具备计算机处理能力的电子设备执行，例如终端设备和/或服务器。参考图1，本公开实施例提供的在线欺诈识别方法可以包括以下步骤：

步骤s102，接收包含当前待识别数据的欺诈识别请求。

当前待识别数据来自客户端传入的日志数据，当前待识别数据可以来自注册、登录、交易、支付、评论、发帖等多种场景。客户端在接收用户操作后发起诈骗识别请求。

步骤s104，获取当前待识别数据的当前属性及其当前属性值。

步骤s106，将当前属性及其当前属性值与缓存的欺诈属性集进行比对，获得当前待识别数据是否为欺诈数据的在线识别结果。

本公开实施例的技术方案中，通过将当前属性及其当前属性值与缓存的欺诈属性集进行比对进行在线欺诈识别，相比较使用者规则策略或者有监督模型进行欺诈识别，在发生风险时不需要人工添加或者修改规则，不需要重新进行模型训练，可以更加简单方便的进行在线欺诈识别。

在发明实施例中，如图2所示，根据以下步骤将欺诈属性集存入缓存数据库：

步骤s202，获取历史欺诈数据。

步骤s204，采用无监督或者半监督模型获取历史欺诈数据的历史属性及其历史属性值。

步骤s206，根据历史欺诈数据的历史属性及其历史属性值生成欺诈属性集。

步骤s208，将欺诈属性集存入缓存数据库。

无监督或者半监督模型在可解释性、模型迭代方面有着明显的优势。无监督或者半监督模型通过发掘多维度的欺诈特征，从海量行为数据中挖掘出欺诈风险数据，实现从单条记录判别到团伙挖掘的提升。

其中，常见的无监督模型包括聚类、离群点检测、pca(principalcomponentsanalysis，主成分分析)、autoencode(自编码网络)、社区发现等。常见的半监督模型包括简单自训练和协同训练。

在本公开示例性实施例中，历史欺诈数据来源于用户操作产生的日志数据，支持全部场景和全部输入数据，这些输入数据中可以包含注册、登录、交易、支付、评论、发帖等多种场景。

离线挖掘需要进行批量数据计算，难以达到实时风险拦截的要求。本公开实施例中的技术方案中，对历史欺诈数据进行离线挖掘得欺诈概率较高的群组，并根据欺诈概率较高的群组得到历史属性及其历史属性值，并进一步形成欺诈属性集，存入缓存数据库，为实时欺诈识别提供比对数据，充分利用了无监督或者半监督模型离线挖掘的优点。

步骤s111中获取的历史欺诈数据可以包含字段明细和欺诈评分，其中字段明细可以为用户及业务信息以及欺诈团伙识别码。

在步骤s112中，根据无监督及半监督算法，通过批量计算可以得到可疑欺诈团伙。欺诈团伙通常在多个维度上存在关联和相似，为了能够将欺诈团伙的特征应用到在线服务，需要将团伙内部的关联及相似特征提取。

提取历史属性需要基于常见的业务字段，抽取的规则具备明确的含义，比如匹配团伙中心或者与欺诈团伙具有较高相似性。

由于离线结果是定时输出的，需要对最近时间窗内的历史欺诈数据进行去重合并，并给出初始欺诈评分。这里，欺诈评分可以为0至1之间的数值，欺诈评分越高，代表存在欺诈的可能性越高。

在步骤s112中，可以在对上述字段进行脏数据处理、结构化和标准化之后，生成与缓存数据格式一致的k-v数据，k-v数据可能有多条，最后将得到的k-v列表以k-v形式导入到缓存数据库中。这里，k-v形式即key-value(关键字-值)形式。这里，k可以为历史属性，v可以为历史属性值。其中v形式多样，可以为词表达式形式或者数值型数据。

在v为条件表达式时时，可以逻辑逻辑判断，例如将预处理后的特征字段带入到表达式中，判断结果是否为真。类似“a>10&&b<8||c＝‘xx’”。

具体地，条件表达式可以根据团伙中心以及关联规则得到。

在根据团伙中心得到条件表达式时，由于同一个团伙内部存在关联和相似，对关联字段求解最高频属性值，对相似字段求解平均值，进而可以获得欺诈团伙中心的属性值。

在根据关联规则得到条件表达式时，首先对连续数值变量进行量化，通过关联规则算法，得到代表欺诈团伙性质的关联规则。常用关联规则算法包含先验算法(apriorialgorithm)、关联规则挖掘算法(frequentpatterngrowth，简称fp-growth)、eclat算法等。

在v为数值型数据时，v可以为数值向量或者集合形式，其中当前属性值与v之间的距离计算公式可以为欧式距离、余弦距离或杰卡德(jaccard)距离，且并不局限于此。

为了保证结果的准确性，需要设置初始缓存有效期，例如可以设置初始缓存有效期为一周。在步骤s114中，插入到缓存的数据的缓存有效期可以根据欺诈评分变化。

在本公开示例性实施例中，常用的缓存数据库可以为远程数据服务(remotedictionaryserver，简称redis)数据库或者aerospike数据库，且并不局限于此。在将历史属性和历史属性值导入到缓存前，该需要将相同k合并。合并方式可以为新数据覆盖老数据或者将新数据和老数据以条件或的关系的方式组组合使用。

由于只需对欺诈概率较高的群组进行规则提取，因而规则提取的计算复杂度较低。如果需要临时增加或修改规则，只需要导入修改的部分，不需要对全量数据进行重建。具体地，需要接收用于更新欺诈属性集的欺诈属性更改数据，根据欺诈属性更改数据更新缓存中的欺诈属性集。

对于客户反映的误杀、漏杀问题，运营人员可以通过人工操作的方式添加修改历史属性值并同步到缓存中，以及时消除错误，保证实施欺诈识别的准确性。此外，再出现新的风险案例时，也可以在缓存中添加历史属性及其对应的历史属性集。

缓存更新机制使用全量数据离线无监督模型进行规则提取，并将提取到的规则存入缓存，有助于识别实时欺诈。

在步骤s106中，将当前属性及其当前属性值与缓存的欺诈属性集进行比对，即根据当前属性及其当前属性值在缓存的欺诈属性集进行查询，由于将欺诈属性集保存在缓存中，因此查询时耗时极少，可以在毫秒时间内得到查询结果。

在步骤s106中，将当前属性及其当前属性值与缓存的欺诈属性集进行比对时，若当前属性与欺诈属性集中的历史属性匹配，则判断当前属性值与相应的历史属性值是否匹配；若当前属性值与相应的历史属性值匹配，则在线识别结果为当前待识别数据为欺诈数据。

在本公开实施例中，历史属性值可以为条件表达式、固定数值或者数值向量或集合。

若历史属性值是条件表达式，且当前属性的当前属性值满足条件表达式，则判定当前属性值与历史属性值匹配。具体地，当前属性值代入该条件表达式的逻辑判断结果为真，则当前属性值与历史属性值匹配。

若历史属性值为第一设定数值，且当前属性值与历史属性值相等，则判定当前属性值与历史属性值匹配。

若历史属性值为数值向量或集合，且当前属性值与历史属性值的距离小于第二设定数值时，则常见的无监督模型包括当前属性值与历史属性值匹配。

具体地，在将当前属性及其当前属性值与缓存的欺诈属性集进行比对时，需要遍历实时变换的k-v列表，逐个查询缓存，如果k存在，则比较实时变换的v和缓存中对应的v。这里，k-v列表即当前属性和当前属性值列表，缓存中的v则为历史属性值。

欺诈属性集包括欺诈评分，每个历史属性值对应一个欺诈评分，若在线识别结果为当前待识别数据为欺诈数据，则根据与欺诈数据匹配的历史属性值对应的欺诈评分获取欺诈数据的欺诈评分。

本公开示例性实施例中，在离线阶段通过多个特征维度的相似、关联性形成历史属性和历史属性值，根据历史属性值的统计分布规律确定历史属性值的欺诈评分，这样可以得到包含业务含义的识别理由，提高了在线识别结果的可解释性。

在确定当前待识别数据为欺诈数据时，将欺诈评分结果和在线识别结果一起作为欺诈识别请求的响应结果返回。

在本公开实施例中，欺诈属性集中的历史属性值具有设定的缓存有效期，历史属性值的缓存有效期可以根据历史属性值对应的质量评分调节。

具体地，通过对历史属性值进行质量评分，可以判断该历史属性值的欺诈识别能力，在历史属性值的质量评分较高时，可以延长该历史属性值的缓存有效期，在历史属性值的质量评分较低时，可以缩短该历史属性值的缓存有效期。超过缓存有效期的历史属性值将被从缓存中删除。

在本公开示例性实施例中，可以将在线识别结果和对待识别数据的参照识别结果进行对照，获得在线识别结果的评估标识，并根据该评估标识对历史属性值的质量评分进行调整。

这里，可以以定期离线方式对在线识别结果与离线批量无监督、规则策略等其它风控机制的参照识别结果进行对照，并初始化每条在线识别结果的评估标识为0，如果该在线识别结果同时命中其它风控机制的参照识别结果或人工打标中的任意一种，则该评估标识设为1。

具体地，可以获取采用参照识别方式对待识别数据进行欺诈识别后得到的参照识别结果；根据在线识别结果和参照识别结果获取在线识别结果的评估标识；根据历史属性值对应的在线识别结果的评估标识确定历史属性值的质量评分，该质量评分有助于修正该历史属性值。

具体地，关联每一个历史属性值的在线识别结果，计算这些在线识别结果的评估标识为1的百分比。在这一百分比小于设定的第四数值时，按照设定规则对该历史属性值的质量评分设定进行衰减。

将更新质量评分后的历史属性值与更新后到的质量评分重新同步进缓存，在质量评分小于第三设定数值时，从缓存中删除质量评分对应的历史属性值。

根据质量评分可以自动更新缓存中的属性规则，通过有监督模型或者规则策略对无监督或者半监督模型进行交叉核验，可以对规则的权重进行自适应的调整，提高在线诈骗识别的准确性。

如图3所示，在本公开一种实施例中，进行在线欺诈识别包括以下步骤：

步骤s301，离线挖掘欺诈团伙。即根据历史欺诈数据通过批量计算可以得到可疑欺诈团伙。

步骤s302，进行欺诈属性提取。即根据可疑欺诈团伙获取所述历史欺诈数据的历史属性及其历史属性值。

步骤s303，将欺诈属性保存到缓存。此外，还可以通过人工操作的方式添加修改历史属性值并保存到缓存。

步骤s304，获取实时业务数据。

步骤s305，根据实时业务数据和缓存数据判断是否欺诈。即将当前属性及其当前属性值与缓存的欺诈属性集进行比对，得到在线识别结果。

步骤s306，对欺诈结果进行风险处理。即在线识别结果的欺诈评分等规则策略，设置加权系数和欺诈评分阈值，以对实施在线识别结果进行进一步处理。

步骤s307，对可疑结果进行评估。即对在线识别结果与离线批量无监督、规则策略等其它风控机制的参照识别结果进行对照，得到评估结果。

步骤s308，根据评估结果更新缓存。即根据评估结果对历史属性值的质量评分进行调整后，将更新质量评分后的历史属性值与更新后到的质量评分重新同步进缓存。

本公开实施例提供的在线欺诈识别方法，通过获取当前待识别数据的当前属性及其当前属性值后，与缓存的欺诈属性集进行比对，实现对当前待识别数据的欺诈识别，无需更改图网络关系因而可以简单方便地进行在线欺诈识别。

以下介绍本公开的装置实施例，可以用于执行本公开上述的在线欺诈识别方法。如图4所示，根据本公开实施例提供的一种在线欺诈识别装置400可以包括：

接收单元502，可以用于接收包含当前待识别数据的欺诈识别请求。

获取单元504，可以用于获取当前待识别数据的当前属性及其当前属性值。

判断单元506，可以用于将当前属性及其当前属性值与缓存的欺诈属性集进行比对，获得当前待识别数据是否为欺诈数据的在线识别结果。

判断单元406还可以用于，若当前属性与欺诈属性集中的历史属性匹配，则判断当前属性值与相应的历史属性值是否匹配；若当前属性值与相应的历史属性值匹配，则在线识别结果为当前待识别数据为欺诈数据。

判断单元406还可以用于，若历史属性值是条件表达式，且当前属性的当前属性值满足条件表达式，则判定当前属性值与历史属性值匹配；若历史属性值为第一设定数值，且当前属性值与历史属性值相等，则判定当前属性值与历史属性值匹配；若历史属性值为数值向量或集合，且当前属性值与历史属性值的距离小于第二设定数值，则判定当前属性值与历史属性值匹配。

如图5所示，本公开实施例提供的另一种在线欺诈识别装置500，与在线欺诈识别装置400，不仅包括接收单元402、获取单元404和判断单元406，还包括缓存单元502、评分单元504、删除单元506、调节单元508和更新单元510。

缓存单元502可以用于获取历史欺诈数据；并采用无监督或者半监督模型获取历史欺诈数据的历史属性及其历史属性值；根据历史欺诈数据的历史属性及其历史属性值生成欺诈属性集；将欺诈属性集存入缓存数据库。

在线欺诈识别装置500还可以包括评分单元504，用于若在线识别结果为当前待识别数据为欺诈数据，则根据与欺诈数据匹配的历史属性值对应的欺诈评分获取欺诈数据的欺诈评分。

在线欺诈识别装置500还可以包括删除单元506，用于采用参照识别方式对待识别数据进行欺诈识别，得到参照识别结果；根据在线识别结果和参照识别结果生成在线识别结果的评估标识；根据历史属性值对应的在线识别结果的评估标识确定历史属性值的质量评分；在质量评分小于第三设定数值时，从缓存中删除质量评分对应的历史属性值。

在线欺诈识别装置500还可以包括调节单元508，用于根据历史属性值对应的质量评分调节历史属性值的缓存有效期。

在线欺诈识别装置500还可以包括更新单元510，用于接收欺诈属性更改数据；根据欺诈属性更改数据更新缓存中的欺诈属性集。

由于本公开的示例实施例的在线欺诈识别装置的各个功能模块与上述在线欺诈识别方法的示例实施例的步骤对应，因此对于本公开装置实施例中未披露的细节，请参照本公开上述的在线欺诈识别方法的实施例。

本公开实施例的在线欺诈识别装置，通过获取当前待识别数据的当前属性及其当前属性值后，与缓存的欺诈属性集进行比对，实现对当前待识别数据的欺诈识别，无需更改图网络关系因而可以简单方便地进行在线欺诈识别。

下面参考图6，其示出了适于用来实现本公开实施例的电子设备的计算机系统600的结构示意图。图6示出的电子设备的计算机系统600仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图6所示，计算机系统600包括中央处理单元(cpu)601，其可以根据存储在只读存储器(rom)602中的程序或者从存储部分608加载到随机访问存储器(ram)603中的程序而执行各种适当的动作和处理。在ram603中，还存储有系统操作所需的各种程序和数据。cpu601、rom602以及ram603通过总线604彼此相连。输入/输出(i/o)接口605也连接至总线604。

以下部件连接至i/o接口605：包括键盘、鼠标等的输入部分606；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分607；包括硬盘等的存储部分608；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至i/o接口606。可拆卸介质611，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器610上，以便于从其上读出的计算机程序根据需要被安装入存储部分608。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读存储介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分609从网络上被下载和安装，和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(cpu)601执行时，执行本申请的系统中限定的上述功能。

需要说明的是，本公开所示的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质，该计算机可读存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。

作为另一方面，本申请还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被一个该电子设备执行时，使得该电子设备实现如上述实施例中所述的在线欺诈识别方法。

例如，所述的电子设备可以实现如图1中所示的：步骤s102，接收包含当前待识别数据的欺诈识别请求；步骤s104，获取所述当前待识别数据的当前属性及其当前属性值；s106，将所述当前属性及其当前属性值与缓存的欺诈属性集进行比对，获得所述当前待识别数据是否为欺诈数据的在线识别结果。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本公开实施方式的方法。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。