本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種預(yù)測用戶是否存在惡意行為的方法和計(jì)算設(shè)備。

背景技術(shù)：

隨著網(wǎng)絡(luò)通信技術(shù)的迅速發(fā)展、互聯(lián)網(wǎng)應(yīng)用的持續(xù)深化、所承載信息的日益豐富，互聯(lián)網(wǎng)已成為人類社會重要的基礎(chǔ)設(shè)施，與此同時(shí)，網(wǎng)絡(luò)安全問題也日益嚴(yán)重。其中，諸如網(wǎng)絡(luò)欺詐之類的網(wǎng)絡(luò)惡意行為正逐漸成為危害公眾財(cái)產(chǎn)安全的一種重要犯罪手段。

目前，針對這種惡意行為進(jìn)行治理的主要方式是基于用戶的基礎(chǔ)信息來檢測，例如用戶的征信評分、用戶的消費(fèi)情況、用戶的歷史借貸情況等等。但由于用戶個(gè)人的基礎(chǔ)信息比較容易偽造，并且每個(gè)用戶的信息很大程度是孤立的，和其他信息缺乏關(guān)聯(lián)信息，導(dǎo)致對網(wǎng)絡(luò)異常的檢測準(zhǔn)確度不高，誤檢和漏檢情況較多。

因此，迫切需要一種更先進(jìn)更準(zhǔn)確的預(yù)測用戶是否存在惡意行為的方法和計(jì)算設(shè)備的方案。

技術(shù)實(shí)現(xiàn)要素：

為此，本發(fā)明提供一種基于用戶關(guān)系圖來預(yù)測用戶是否存在惡意行為的方案，以力圖解決或者至少緩解上面存在的至少一個(gè)問題。

根據(jù)本發(fā)明的一個(gè)方面，提供了一種基于用戶關(guān)系圖來預(yù)測用戶是否存在惡意行為的方法，適于在計(jì)算設(shè)備中執(zhí)行，用戶關(guān)系圖包括節(jié)點(diǎn)和連接關(guān)聯(lián)節(jié)點(diǎn)的邊，該方法包括步驟：獲取用戶的用戶數(shù)據(jù)；根據(jù)所獲取的用戶數(shù)據(jù)來更新用戶關(guān)系圖；根據(jù)用戶關(guān)系圖，判斷用戶是否與預(yù)置的異常模式相匹配；根據(jù)所匹配到的異常模式以及對應(yīng)于該異常模式的概率值，計(jì)算用戶的惡意概率；以及預(yù)測惡意概率位于預(yù)定數(shù)值區(qū)間的用戶存在惡意行為。

根據(jù)本發(fā)明的另一方面，提供了一種計(jì)算設(shè)備，包括：一個(gè)或多個(gè)處理器；

存儲器；以及一個(gè)或多個(gè)程序，其中一個(gè)或多個(gè)程序存儲在存儲器中并被配置為由一個(gè)或多個(gè)處理器執(zhí)行，一個(gè)或多個(gè)程序包括用于執(zhí)行根據(jù)本發(fā)明的基于用戶關(guān)系圖來預(yù)測用戶是否存在惡意行為的方法中的任一方法的指令。

根據(jù)本發(fā)明的還有一個(gè)方面，提供了一種存儲一個(gè)或多個(gè)程序的計(jì)算機(jī)可讀存儲介質(zhì)，所述一個(gè)或多個(gè)程序包括指令，所述指令當(dāng)由計(jì)算設(shè)備執(zhí)行時(shí)，使得所述計(jì)算設(shè)備執(zhí)行根據(jù)本發(fā)明的基于用戶關(guān)系圖來預(yù)測用戶是否存在惡意行為的方法中的任一方法。

根據(jù)本發(fā)明的基于用戶關(guān)系圖來預(yù)測用戶是否存在惡意行為的方案，采用用戶關(guān)系圖以圖的形式來展現(xiàn)用戶數(shù)據(jù)，在用戶關(guān)系圖中提取出與用戶關(guān)聯(lián)的、多維的信息，將提取到的與用戶關(guān)聯(lián)的、多維的信息與預(yù)置的異常模式進(jìn)行匹配，從而可以有效地預(yù)測該用戶是否存在惡意行為，并且準(zhǔn)確度高，更加直觀。

附圖說明

為了實(shí)現(xiàn)上述以及相關(guān)目的，本文結(jié)合下面的描述和附圖來描述某些說明性方面，這些方面指示了可以實(shí)踐本文所公開的原理的各種方式，并且所有方面及其等效方面旨在落入所要求保護(hù)的主題的范圍內(nèi)。通過結(jié)合附圖閱讀下面的詳細(xì)描述，本公開的上述以及其它目的、特征和優(yōu)勢將變得更加明顯。遍及本公開，相同的附圖標(biāo)記通常指代相同的部件或元素。

圖1示出了根據(jù)本發(fā)明的一個(gè)示例性實(shí)施方式的計(jì)算設(shè)備100的結(jié)構(gòu)框圖；

圖2示出了根據(jù)本發(fā)明的一個(gè)示例性實(shí)施方式的計(jì)算設(shè)備100的網(wǎng)絡(luò)環(huán)境的示意圖；

圖3示出了根據(jù)本發(fā)明的一個(gè)示例性實(shí)施方式的用戶關(guān)系圖的示意圖；以及

圖4示出了根據(jù)本發(fā)明的一個(gè)示例性實(shí)施方式的基于用戶關(guān)系圖來預(yù)測用戶是否存在惡意行為的方法400的流程圖。

具體實(shí)施方式

下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例。雖然附圖中顯示了本公開的示例性實(shí)施例，然而應(yīng)當(dāng)理解，可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制。相反，提供這些實(shí)施例是為了能夠更透徹地理解本公開，并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。

圖1示出了根據(jù)本發(fā)明一個(gè)示例性實(shí)施例的計(jì)算設(shè)備100的結(jié)構(gòu)框圖。該計(jì)算設(shè)備100可以實(shí)現(xiàn)為服務(wù)器，例如文件服務(wù)器、數(shù)據(jù)庫服務(wù)器、應(yīng)用程序服務(wù)器和網(wǎng)絡(luò)服務(wù)器等，也可以實(shí)現(xiàn)為包括桌面計(jì)算機(jī)和筆記本計(jì)算機(jī)配置的個(gè)人計(jì)算機(jī)。此外，計(jì)算設(shè)備100還可以實(shí)現(xiàn)為小尺寸便攜(或者移動)電子設(shè)備的一部分，這些電子設(shè)備可以是諸如蜂窩電話、個(gè)人數(shù)字助理(pda)、個(gè)人媒體播放器設(shè)備、無線網(wǎng)絡(luò)瀏覽設(shè)備、個(gè)人頭戴設(shè)備、應(yīng)用專用設(shè)備、或者可以包括上面任何功能的混合設(shè)備。

在基本的配置102中，計(jì)算設(shè)備100典型地包括系統(tǒng)存儲器106和一個(gè)或者多個(gè)處理器104。存儲器總線108可以用于在處理器104和系統(tǒng)存儲器106之間的通信。

取決于期望的配置，處理器104可以是任何類型的處理，包括但不限于：微處理器((μp)、微控制器(μc)、數(shù)字信息處理器(dsp)或者它們的任何組合。處理器104可以包括諸如一級高速緩存110和二級高速緩存112之類的一個(gè)或者多個(gè)級別的高速緩存、處理器核心114和寄存器116。示例的處理器核心114可以包括運(yùn)算邏輯單元(alu)、浮點(diǎn)數(shù)單元(fpu)、數(shù)字信號處理核心(dsp核心)或者它們的任何組合。示例的存儲器控制器118可以與處理器104一起使用，或者在一些實(shí)現(xiàn)中，存儲器控制器218可以是處理器104的一個(gè)內(nèi)部部分。

取決于期望的配置，系統(tǒng)存儲器106可以是任意類型的存儲器，包括但不限于：易失性存儲器(諸如ram)、非易失性存儲器(諸如rom、閃存等)或者它們的任何組合。系統(tǒng)存儲器106可以包括操作系統(tǒng)120、一個(gè)或者多個(gè)程序122以及程序數(shù)據(jù)124。在一些實(shí)施方式中，程序122可以被配置為在操作系統(tǒng)上由一個(gè)或者多個(gè)處理器104利用程序數(shù)據(jù)124執(zhí)行指令。

計(jì)算設(shè)備100還可以包括有助于從各種接口設(shè)備(例如，輸出設(shè)備142、外設(shè)接口144和通信設(shè)備146)到基本配置102經(jīng)由總線/接口控制器130的通信的接口總線140。示例的輸出設(shè)備142包括圖形處理單元148和音頻處理單元150。它們可以被配置為有助于經(jīng)由一個(gè)或者多個(gè)a/v端口152與諸如顯示器或者揚(yáng)聲器之類的各種外部設(shè)備進(jìn)行通信。示例外設(shè)接口144可以包括串行接口控制器154和并行接口控制器156，它們可以被配置為有助于經(jīng)由一個(gè)或者多個(gè)i/o端口158和諸如輸入設(shè)備(例如，鍵盤、鼠標(biāo)、筆、語音輸入設(shè)備、觸摸輸入設(shè)備)或者其他外設(shè)(例如打印機(jī)、掃描儀等)之類的外部設(shè)備進(jìn)行通信。示例的通信設(shè)備146可以包括網(wǎng)絡(luò)控制器160，其可以被布置為便于經(jīng)由一個(gè)或者多個(gè)通信端口164與一個(gè)或者多個(gè)其他計(jì)算設(shè)備162通過網(wǎng)絡(luò)通信鏈路的通信。

網(wǎng)絡(luò)通信鏈路可以是通信介質(zhì)的一個(gè)示例。通信介質(zhì)通常可以體現(xiàn)為在諸如載波或者其他傳輸機(jī)制之類的調(diào)制數(shù)據(jù)信號中的計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊，并且可以包括任何信息遞送介質(zhì)?！罢{(diào)制數(shù)據(jù)信號”可以這樣的信號，它的數(shù)據(jù)集中的一個(gè)或者多個(gè)或者它的改變可以在信號中編碼信息的方式進(jìn)行。作為非限制性的示例，通信介質(zhì)可以包括諸如有線網(wǎng)絡(luò)或者專線網(wǎng)絡(luò)之類的有線介質(zhì)，以及諸如聲音、射頻(rf)、微波、紅外(ir)或者其它無線介質(zhì)在內(nèi)的各種無線介質(zhì)。這里使用的術(shù)語計(jì)算機(jī)可讀介質(zhì)可以包括存儲介質(zhì)和通信介質(zhì)二者。

圖2示出了根據(jù)本發(fā)明的一個(gè)示例性實(shí)施方式的計(jì)算設(shè)備100的網(wǎng)絡(luò)環(huán)境的示意圖。如圖2所示，計(jì)算設(shè)備100可以從網(wǎng)絡(luò)中獲取用戶數(shù)據(jù)，同時(shí)，計(jì)算設(shè)備100還與數(shù)據(jù)存儲設(shè)備相耦接，數(shù)據(jù)存儲設(shè)備可以實(shí)現(xiàn)為諸如neo4j和titan之類的圖數(shù)據(jù)庫(graphdatabase)管理系統(tǒng)。數(shù)據(jù)存儲設(shè)備存儲用戶關(guān)系圖，用戶關(guān)系圖存儲著多個(gè)用戶的用戶數(shù)據(jù)，并將其以“圖”的形式展現(xiàn)出來。

圖3示出了根據(jù)本發(fā)明的一個(gè)示例性實(shí)施方式的用戶關(guān)系圖的示意圖。如圖3所示，用戶關(guān)系圖包括多個(gè)節(jié)點(diǎn)和連接關(guān)聯(lián)節(jié)點(diǎn)的邊，其中節(jié)點(diǎn)具有多種類型，例如可以包括人員節(jié)點(diǎn)、電話節(jié)點(diǎn)、貸款節(jié)點(diǎn)、貸款平臺節(jié)點(diǎn)、和銀行卡節(jié)點(diǎn)、公司節(jié)點(diǎn)等等。每個(gè)類型的節(jié)點(diǎn)均有相應(yīng)的屬性值，例如人員節(jié)點(diǎn)具有以下屬性值：該人員的姓名、身份證號碼、銀行征信評分和是否存在惡意行為的標(biāo)記，電話節(jié)點(diǎn)具有以下屬性值：該電話號碼的數(shù)值，貸款節(jié)點(diǎn)具有以下屬性值：該筆貸款的貸款時(shí)間、貸款金額和逾期次數(shù)，貸款平臺具有以下屬性值：該貸款平臺的名稱，銀行卡節(jié)點(diǎn)具有以下屬性值：該銀行卡號碼，公司節(jié)點(diǎn)具有以下屬性值：該公司名稱。

節(jié)點(diǎn)之間的邊則可以指示兩個(gè)節(jié)點(diǎn)之間的關(guān)系，例如兩個(gè)人員節(jié)點(diǎn)之間的邊指示兩個(gè)人員之間存在關(guān)聯(lián)，人員節(jié)點(diǎn)與電話節(jié)點(diǎn)之間的邊指示該電話屬于該人員，人員節(jié)點(diǎn)與公司節(jié)點(diǎn)之間的邊指示該人員任職于該公司，人員節(jié)點(diǎn)與貸款節(jié)點(diǎn)之間的邊指示該筆貸款屬于該人員，公司節(jié)點(diǎn)與電話節(jié)點(diǎn)之間的邊指示該電話屬于該公司，兩個(gè)電話節(jié)點(diǎn)之間的邊指示兩個(gè)電話之間存在呼叫記錄，貸款節(jié)點(diǎn)與貸款平臺節(jié)點(diǎn)之間的邊指示該筆貸款交易于該貸款平臺。

計(jì)算設(shè)備100的一個(gè)或多個(gè)程序122包括用于執(zhí)行根據(jù)本發(fā)明的基于用戶關(guān)系圖來預(yù)測用戶是否存在惡意行為的方法中任一方法的指令。圖4示出了根據(jù)本發(fā)明一個(gè)示例性實(shí)施方式的基于用戶關(guān)系圖來預(yù)測用戶是否存在惡意行為的方法400的流程圖。如圖4所示，基于用戶關(guān)系圖來預(yù)測用戶是否存在惡意行為的方法400始于步驟s420。

在步驟s420中，獲取用戶的用戶數(shù)據(jù)，用戶數(shù)據(jù)可以包括用戶及其關(guān)聯(lián)人的基礎(chǔ)信息(姓名、身份證號碼、銀行征信評分等等)、用戶及其關(guān)聯(lián)人的電話號碼、用戶的通話記錄、用戶的貸款信息(貸款的貸款時(shí)間、貸款金額、逾期次數(shù))和貸款所在的貸款平臺、以及銀行卡信息等等。

而后在步驟s440中，根據(jù)所獲取的用戶數(shù)據(jù)來更新數(shù)據(jù)存儲設(shè)備中的用戶關(guān)系圖。

具體地，根據(jù)本發(fā)明的一個(gè)實(shí)施方式，對于用戶數(shù)據(jù)中的用戶及其每個(gè)關(guān)聯(lián)人，均可以將其作為一個(gè)人員節(jié)點(diǎn)添加至用戶關(guān)系圖，并將基礎(chǔ)信息中所包含的該人員的姓名、身份證號碼、銀行征信評分作為該人員節(jié)點(diǎn)的屬性值。然后建立用戶對應(yīng)的人員節(jié)點(diǎn)與每個(gè)該用戶的關(guān)聯(lián)人對應(yīng)的人員節(jié)點(diǎn)之間的邊。

根據(jù)本發(fā)明的一個(gè)實(shí)施方式，對于用戶數(shù)據(jù)中的每個(gè)電話號碼，均可以將其作為一個(gè)電話節(jié)點(diǎn)添加至用戶關(guān)系圖，并將電話號碼數(shù)值作為該電話節(jié)點(diǎn)的屬性值。然后，可以建立該電話節(jié)點(diǎn)與該電話號碼所屬的人員對應(yīng)的人員節(jié)點(diǎn)之間的邊。還可以根據(jù)用戶的通話記錄，建立用戶的電話號碼對應(yīng)的電話節(jié)點(diǎn)與每個(gè)該電話號碼呼叫過的電話號碼對應(yīng)的電話節(jié)點(diǎn)之間的邊。

根據(jù)本發(fā)明的一個(gè)實(shí)施方式，對于用戶數(shù)據(jù)中的每個(gè)貸款平臺，均可以將其作為一個(gè)貸款平臺節(jié)點(diǎn)添加至用戶關(guān)系圖，并將該貸款平臺名稱作為該貸款平臺節(jié)點(diǎn)的屬性值。對于用戶數(shù)據(jù)中的每筆貸款，均可以將其作為一個(gè)貸款節(jié)點(diǎn)添加至用戶關(guān)系圖，并將貸款信息中所包含的該筆貸款的貸款時(shí)間、貸款金額、逾期次數(shù)作為該貸款節(jié)點(diǎn)的屬性值。然后，可以建立該貸款節(jié)點(diǎn)與該筆貸款所屬的人員對應(yīng)的人員節(jié)點(diǎn)之間的邊，建立該貸款節(jié)點(diǎn)與該筆貸款所在的貸款平臺對應(yīng)的貸款平臺節(jié)點(diǎn)之間的邊。

根據(jù)本發(fā)明的一個(gè)實(shí)施方式，對于用戶數(shù)據(jù)中的每個(gè)銀行卡，均可以將其作為一個(gè)銀行卡節(jié)點(diǎn)添加至用戶關(guān)系圖，并將該銀行卡號碼作為該銀行卡節(jié)點(diǎn)的屬性值。然后可以建立該銀行卡節(jié)點(diǎn)與該銀行卡所屬的人員對應(yīng)的人員節(jié)點(diǎn)之間的邊。

當(dāng)然，在進(jìn)行上述更新之前，可以先查找在用戶關(guān)系圖中是否已存在需要更新的節(jié)點(diǎn)和邊，若已存在，則對該節(jié)點(diǎn)和邊不進(jìn)行更新。

更新完用戶關(guān)系圖之后，在步驟s460中，根據(jù)該用戶關(guān)系圖，判斷用戶是否與預(yù)置的異常模式相匹配。

其中，預(yù)置的異常模式可以根據(jù)用戶關(guān)系圖中用戶的關(guān)聯(lián)關(guān)系生成，也可以人工進(jìn)行配置，并且每個(gè)異常模式都具有對應(yīng)的概率值。根據(jù)本發(fā)明的一個(gè)實(shí)施方式，異常模式及其概率值可以如下表：

其中，可以在用戶關(guān)系圖中，根據(jù)與用戶相關(guān)的節(jié)點(diǎn)以及通過邊與該節(jié)點(diǎn)相連的其它節(jié)點(diǎn)的屬性值，判斷用戶是否與預(yù)置的異常模式相匹配。

具體地，步驟s460可以包括根據(jù)用戶關(guān)系圖判斷用戶是否與第一異常模式相匹配，判斷用戶是否與第一異常模式相匹配的步驟包括：在用戶關(guān)系圖中，查找與用戶電話號碼對應(yīng)的電話節(jié)點(diǎn)連接的電話節(jié)點(diǎn)。接著獲取與所查找到的電話節(jié)點(diǎn)連接的、標(biāo)記為存在惡意行為的人員節(jié)點(diǎn)的數(shù)目。若該數(shù)目超過第一閾值，則確定該用戶與第一異常模式匹配。

步驟s460還可以包括根據(jù)用戶關(guān)系圖判斷用戶是否與第二異常模式相匹配，判斷用戶是否與第二異常模式相匹配的步驟包括：在用戶關(guān)系圖中，查找與用戶對應(yīng)的人員節(jié)點(diǎn)連接的人員節(jié)點(diǎn)。接著計(jì)算所查找到的人員節(jié)點(diǎn)中與貸款次數(shù)超過第二閾值的貸款節(jié)點(diǎn)連接的人員節(jié)點(diǎn)的數(shù)目。若該數(shù)目超過第一比例，則確定該用戶與第二異常模式匹配。

步驟s460還可以包括根據(jù)用戶關(guān)系圖判斷用戶是否與第三異常模式相匹配，判斷用戶是否與第三異常模式相匹配的步驟包括：在用戶關(guān)系圖中，查找與用戶對應(yīng)的人員節(jié)點(diǎn)連接的人員節(jié)點(diǎn)。接著計(jì)算所查找到的人員節(jié)點(diǎn)中銀行征信評分低于第三閾值的人員節(jié)點(diǎn)的數(shù)目。若該數(shù)目超過第二比例，則確定該用戶與第三異常模式匹配。

步驟s460還可以包括根據(jù)用戶關(guān)系圖判斷用戶是否與第四異常模式相匹配，判斷用戶是否與第四異常模式相匹配的步驟包括：在用戶關(guān)系圖中，查找與用戶對應(yīng)的人員節(jié)點(diǎn)連接的貸款節(jié)點(diǎn)。接著獲取與所查找到的貸款節(jié)點(diǎn)中貸款時(shí)間位于預(yù)定時(shí)間范圍內(nèi)的貸款節(jié)點(diǎn)連接的貸款平臺節(jié)點(diǎn)的數(shù)目。若該數(shù)目超過第四閾值，則確定該用戶與第四異常模式匹配。

步驟s460還可以包括根據(jù)用戶關(guān)系圖判斷用戶是否與第五異常模式相匹配，判斷用戶是否與第五異常模式相匹配的步驟包括：在用戶關(guān)系圖中，查找與用戶對應(yīng)的人員節(jié)點(diǎn)連接的人員節(jié)點(diǎn)。接著獲取所查找到的人員節(jié)點(diǎn)中標(biāo)記為存在惡意行為的人員節(jié)點(diǎn)的數(shù)目。若該數(shù)目超過第五閾值，則確定該用戶與第五異常模式匹配。

步驟s460還可以根據(jù)用戶關(guān)系圖判斷用戶是否與第六異常模式相匹配，判斷用戶是否與第六異常模式相匹配的步驟包括：在用戶關(guān)系圖中，查找與用戶對應(yīng)的人員節(jié)點(diǎn)連接的銀行卡節(jié)點(diǎn)。接著查找與該銀行卡節(jié)點(diǎn)連接的其他人員節(jié)點(diǎn)，獲取所查找到的人員節(jié)點(diǎn)中與貸款節(jié)點(diǎn)連接的人員節(jié)點(diǎn)的數(shù)目。若該數(shù)目超過第六閾值，則確定該用戶與第六異常模式匹配。

確定相匹配的異常模式之后，在步驟s480中，根據(jù)所匹配到的異常模式以及對應(yīng)于該異常模式的概率值，計(jì)算用戶的惡意概率。

具體地，對于每個(gè)所匹配到的異常模式，均可以獲取對應(yīng)于該異常模式的概率值。而后將所獲取的概率值相加，以得到概率值之和，最后根據(jù)得到的概率值之和計(jì)算用戶的惡意概率，其中概率值之和越大，用戶的惡意概率越大。

根據(jù)本發(fā)明的一個(gè)實(shí)施方式，假設(shè)所匹配到的異常模式的數(shù)目為n，所匹配到的第i個(gè)異常模式的概率值為ri，則計(jì)算用戶的惡意概率y的公式可以如下：

首先，利用式(1)計(jì)算映射到取值區(qū)間[-5，5]的概率值之和x，而后通過式(2)的sigmoid函數(shù)，可以計(jì)算得到取值區(qū)間為[0，1]的惡意概率y。

最后，在步驟s490中，預(yù)測惡意概率位于預(yù)定數(shù)值區(qū)間的用戶存在惡意行為。具體地，若惡意概率大于或等于第一閾值r1，即預(yù)定數(shù)值區(qū)間為[r1，∞)，則預(yù)測用戶存在惡意行為，并可以將存在惡意行為的標(biāo)記作為該用戶對應(yīng)的人員節(jié)點(diǎn)的屬性值添加至用戶關(guān)系圖。若惡意概率小于第一閾值r1、并大于或等于第二閾值r2，即位于數(shù)值區(qū)間[r2，r1)，可以認(rèn)為該用戶存在異常嫌疑，并通過人工分析調(diào)查后確認(rèn)該用戶是否存在惡意行為，再設(shè)置對應(yīng)于該用戶的人員節(jié)點(diǎn)的屬性值中是否存在惡意行為的標(biāo)記。若惡意概率小于第二閾值r2，即位于數(shù)值區(qū)間(∞，r2)，可以預(yù)測該用戶不存在惡意行為，并設(shè)置其對應(yīng)的人員節(jié)點(diǎn)的標(biāo)記為不存在惡意行為。其中，根據(jù)本發(fā)明的一個(gè)實(shí)施方式，第一閾值r1可以為0.98，第二閾值r2可以為0.70。

根據(jù)本發(fā)明的一個(gè)實(shí)施方式，還可以對預(yù)置的每個(gè)異常模式，根據(jù)與該異常模式相匹配的用戶中實(shí)際存在惡意行為的用戶數(shù)目，更新該異常模式的概率值。具體地，可以計(jì)算與該異常模式相匹配的用戶中實(shí)際存在惡意行為的用戶數(shù)目在全部數(shù)目中的比率，并將該異常模式的概率值更新為該比率。

這樣，通過提取出的與用戶關(guān)聯(lián)的、多維的信息，實(shí)現(xiàn)了對惡意行為的準(zhǔn)確檢測，并對團(tuán)伙異常、信息偽造等相對復(fù)雜的惡意行為，也有很好的檢測效果。

此外，需要指出的是，除了上表所述的異常模式，根據(jù)本發(fā)明的一個(gè)實(shí)施方式，還可以基于用戶關(guān)系圖自動生成異常模式。

具體地，可以根據(jù)用戶關(guān)系圖中的每個(gè)人員節(jié)點(diǎn)以及通過邊與該人員節(jié)點(diǎn)相連接的其他節(jié)點(diǎn)的屬性值，提取每個(gè)人員節(jié)點(diǎn)的至少一類關(guān)聯(lián)特征。提取的關(guān)聯(lián)特征至少可以包括以下一類：

1)與該人員節(jié)點(diǎn)連接的人員節(jié)點(diǎn)中標(biāo)記為存在惡意行為的人員節(jié)點(diǎn)個(gè)數(shù)；

2)與該人員節(jié)點(diǎn)連接的人員節(jié)點(diǎn)中標(biāo)記為存在惡意行為的人員節(jié)點(diǎn)占比；

3)與該人員節(jié)點(diǎn)連接的貸款節(jié)點(diǎn)的逾期次數(shù)的總數(shù)；

4)與該人員節(jié)點(diǎn)連接的貸款節(jié)點(diǎn)的逾期次數(shù)的平均數(shù)；

5)與人員節(jié)點(diǎn)連接的貸款節(jié)點(diǎn)的逾期次數(shù)的中位數(shù)；

6)與該人員節(jié)點(diǎn)連接的電話節(jié)點(diǎn)的個(gè)數(shù)；

7)與該人員節(jié)點(diǎn)連接的電話節(jié)點(diǎn)，其連接的所有人員節(jié)點(diǎn)的個(gè)數(shù)；

8)與該人員節(jié)點(diǎn)連接的電話節(jié)點(diǎn)，其連接的所有人員節(jié)點(diǎn)中標(biāo)記為存在惡意行為的人員節(jié)點(diǎn)個(gè)數(shù)；

9)與該人員節(jié)點(diǎn)連接的電話節(jié)點(diǎn)，其連接的電話節(jié)點(diǎn)連接的人員節(jié)點(diǎn)中標(biāo)記為存在惡意行為的人員節(jié)點(diǎn)的個(gè)數(shù)；

10)與該人員節(jié)點(diǎn)連接的電話節(jié)點(diǎn)，其連接的電話節(jié)點(diǎn)連接的人員節(jié)點(diǎn)的銀行征信評分的均值；

11)與該人員節(jié)點(diǎn)連接的電話節(jié)點(diǎn)，其連接的電話節(jié)點(diǎn)連接的人員節(jié)點(diǎn)的銀行征信評分的中位數(shù)；

12)與該人員節(jié)點(diǎn)連接的銀行卡節(jié)點(diǎn)的個(gè)數(shù)；

13)與該人員節(jié)點(diǎn)連接的銀行卡節(jié)點(diǎn)連接的人員節(jié)點(diǎn)個(gè)數(shù)；

14)與該人員節(jié)點(diǎn)連接的銀行卡節(jié)點(diǎn)連接的人員節(jié)點(diǎn)中標(biāo)記為存在惡意行為的人員節(jié)點(diǎn)個(gè)數(shù)；

15)與該人員節(jié)點(diǎn)連接的貸款節(jié)點(diǎn)中貸款時(shí)間位于預(yù)定時(shí)間范圍內(nèi)的貸款節(jié)點(diǎn)個(gè)數(shù)；

16)與該人員節(jié)點(diǎn)連接的貸款節(jié)點(diǎn)中貸款時(shí)間位于預(yù)定時(shí)間范圍內(nèi)的貸款節(jié)點(diǎn)連接的貸款平臺個(gè)數(shù)；

17)與該人員節(jié)點(diǎn)連接的人員節(jié)點(diǎn)，其連接的人員節(jié)點(diǎn)中標(biāo)記為存在惡意行為的人員節(jié)點(diǎn)個(gè)數(shù)；

18)與該人員節(jié)點(diǎn)連接的人員節(jié)點(diǎn)，其連接的人員節(jié)點(diǎn)中標(biāo)記為存在惡意行為的人員節(jié)點(diǎn)占比；

19)與該人員節(jié)點(diǎn)連接的人員節(jié)點(diǎn)，其連接的人員節(jié)點(diǎn)連接的貸款節(jié)點(diǎn)的逾期次數(shù)的總數(shù)；

20)與該人員節(jié)點(diǎn)連接的人員節(jié)點(diǎn)，其連接的人員節(jié)點(diǎn)連接的貸款節(jié)點(diǎn)的逾期次數(shù)的平均數(shù)；

21)與該人員節(jié)點(diǎn)連接的人員節(jié)點(diǎn)，其連接的人員節(jié)點(diǎn)連接的貸款節(jié)點(diǎn)的逾期次數(shù)的中位數(shù)；

22)與該人員節(jié)點(diǎn)連接的人員節(jié)點(diǎn)，其連接的人員節(jié)點(diǎn)的銀行征信評分的均值；

23)與該人員節(jié)點(diǎn)連接的人員節(jié)點(diǎn)，其連接的人員節(jié)點(diǎn)的銀行征信評分的中位數(shù)。

提取關(guān)聯(lián)特征之后，對于其中每一類關(guān)聯(lián)特征，可以根據(jù)標(biāo)記為存在惡意行為的人員節(jié)點(diǎn)的該類關(guān)聯(lián)特征，計(jì)算該類關(guān)聯(lián)特征的異常參考值，同時(shí)根據(jù)標(biāo)記為不存在惡意行為的人員節(jié)點(diǎn)的該類關(guān)聯(lián)特征，計(jì)算該類關(guān)聯(lián)特征的非異常參考值。這里的參考值可以包括最小值、最大值、平均值、第一四分位數(shù)和第三四分位數(shù)。

最后根據(jù)所計(jì)算的至少一類關(guān)聯(lián)特征的異常參考值和非異常參考值，可以生成異常模式，并根據(jù)與所生成的異常模式相匹配的人員節(jié)點(diǎn)中標(biāo)記為存在惡意行為的人員節(jié)點(diǎn)數(shù)目來計(jì)算得到該異常模式的概率值。例如，可以計(jì)算與該異常模式相匹配的人員節(jié)點(diǎn)中標(biāo)記為存在惡意行為的人員節(jié)點(diǎn)數(shù)目在全部數(shù)目中的比率，以此為該異常模式的概率值。

根據(jù)本發(fā)明的一個(gè)實(shí)施方式，對于非異常最大值不大于異常最小值的每一類關(guān)聯(lián)特征，可以生成異常模式的內(nèi)容如下：該關(guān)聯(lián)特征大于非異常最大值和異常最小值的均值。例如對于關(guān)聯(lián)特征1)：與該人員節(jié)點(diǎn)連接的人員節(jié)點(diǎn)中標(biāo)記為存在惡意行為的人員節(jié)點(diǎn)個(gè)數(shù)，如果計(jì)算出的該類關(guān)聯(lián)特征的異常最小值為5，該類關(guān)聯(lián)特征的非異常最大值為3，顯然地，非異常最大值小于異常最小值，則生成異常模式的內(nèi)容為：與用戶對應(yīng)的人員節(jié)點(diǎn)連接的人員節(jié)點(diǎn)中標(biāo)記為存在惡意行為的人員節(jié)點(diǎn)個(gè)數(shù)大于(5+3)/2＝4。

根據(jù)本發(fā)明的一個(gè)實(shí)施方式，對于非異常最大值大于異常最小值、不大于異常第一四分位數(shù)的每一類關(guān)聯(lián)特征，生成異常模式的內(nèi)容如下：該關(guān)聯(lián)特征大于非異常最大值和異常第一四分位數(shù)的均值。

根據(jù)本發(fā)明的一個(gè)實(shí)施方式，對于非異常最大值大于異常最小值、大于異常第一四分位數(shù)、且非異常第三四分位數(shù)小于異常第三四分位數(shù)的每一類關(guān)聯(lián)特征，生成異常模式的內(nèi)容如下：該關(guān)聯(lián)特征大于非異常最大值和異常最小值的均值。

還可以將多類關(guān)聯(lián)特征組合起來生成異常模式。根據(jù)本發(fā)明的一個(gè)實(shí)施方式，可以獲取非異常最大值大于異常最小值、大于異常第一四分位數(shù)、且非異常第三四分位數(shù)小于異常第三四分位數(shù)的多類關(guān)聯(lián)特征。

而后，對于所獲取的多類關(guān)聯(lián)特征中的每一類關(guān)聯(lián)特征(假設(shè)為關(guān)聯(lián)特征a)，均獲取該類關(guān)聯(lián)特征(關(guān)聯(lián)特征a)的異常第三四分位數(shù)不小于該類關(guān)聯(lián)特征(關(guān)聯(lián)特征a)的異常第一四分位數(shù)、且標(biāo)記為不存在惡意行為的人員節(jié)點(diǎn)。再對于多類關(guān)聯(lián)特征中另外的每一類關(guān)聯(lián)特征(假設(shè)為關(guān)聯(lián)特征b)，均計(jì)算所獲取的人員節(jié)點(diǎn)的該另一類關(guān)聯(lián)特征(關(guān)聯(lián)特征b)的最大值。若所計(jì)算的另一類關(guān)聯(lián)特征(關(guān)聯(lián)特征b)的最大值小于該另一類關(guān)聯(lián)特征(關(guān)聯(lián)特征b)的異常最小值，則均生成異常模式的內(nèi)容如下：該類關(guān)聯(lián)特征(關(guān)聯(lián)特征a)大于該類關(guān)聯(lián)特征(關(guān)聯(lián)特征a)的非異常第三四分位數(shù)、且另一類關(guān)聯(lián)特征(關(guān)聯(lián)特征b)大于該另一類關(guān)聯(lián)特征(關(guān)聯(lián)特征b)的異常最小值。

這樣，可以為惡意行為的檢測提供更多樣更豐富的異常模式，進(jìn)一步提高了檢測的準(zhǔn)確度。

應(yīng)當(dāng)理解，這里描述的各種技術(shù)可結(jié)合硬件或軟件，或者它們的組合一起實(shí)現(xiàn)。從而，本發(fā)明的方法和設(shè)備，或者本發(fā)明的方法和設(shè)備的某些方面或部分可采取嵌入有形媒介，例如軟盤、cd-rom、硬盤驅(qū)動器或者其它任意機(jī)器可讀的存儲介質(zhì)中的程序代碼(即指令)的形式，其中當(dāng)程序被載入諸如計(jì)算機(jī)之類的機(jī)器，并被該機(jī)器執(zhí)行時(shí)，該機(jī)器變成實(shí)踐本發(fā)明的設(shè)備。

在程序代碼在可編程計(jì)算機(jī)上執(zhí)行的情況下，計(jì)算設(shè)備一般包括處理器、處理器可讀的存儲介質(zhì)(包括易失性和非易失性存儲器和/或存儲元件)，至少一個(gè)輸入裝置，和至少一個(gè)輸出裝置。其中，存儲器被配置用于存儲程序代碼；處理器被配置用于根據(jù)該存儲器中存儲的該程序代碼中的指令，執(zhí)行本發(fā)明的各種方法。

以示例而非限制的方式，計(jì)算機(jī)可讀介質(zhì)包括計(jì)算機(jī)存儲介質(zhì)和通信介質(zhì)。計(jì)算機(jī)可讀介質(zhì)包括計(jì)算機(jī)存儲介質(zhì)和通信介質(zhì)。計(jì)算機(jī)存儲介質(zhì)存儲諸如計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其它數(shù)據(jù)等信息。通信介質(zhì)一般以諸如載波或其它傳輸機(jī)制等已調(diào)制數(shù)據(jù)信號來體現(xiàn)計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊或其它數(shù)據(jù)，并且包括任何信息傳遞介質(zhì)。以上的任一種的組合也包括在計(jì)算機(jī)可讀介質(zhì)的范圍之內(nèi)。

應(yīng)當(dāng)理解，為了精簡本公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)，在上面對本發(fā)明的示例性實(shí)施例的描述中，本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖、或者對其的描述中。然而，并不應(yīng)將該公開的方法解釋成反映如下意圖：即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多特征。更確切地說，如下面的權(quán)利要求書所反映的那樣，發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征。因此，遵循具體實(shí)施方式的權(quán)利要求書由此明確地并入該具體實(shí)施方式，其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。

本領(lǐng)域那些技術(shù)人員應(yīng)當(dāng)理解在本文所公開的示例中的設(shè)備的模塊或單元或組件可以布置在如該實(shí)施例中所描述的設(shè)備中，或者可替換地可以定位在與該示例中的設(shè)備不同的一個(gè)或多個(gè)設(shè)備中。前述示例中的模塊可以組合為一個(gè)模塊或者此外可以分成多個(gè)子模塊。

本領(lǐng)域那些技術(shù)人員可以理解，可以對實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中?？梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件，以及此外可以把它們分成多個(gè)子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外，可以采用任何組合對本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述，本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個(gè)特征可以由提供相同、等同或相似目的的替代特征來代替。

本發(fā)明還可以包括：a9、如a4所述的方法，其中，所述根據(jù)用戶關(guān)系圖，判斷用戶是否與預(yù)置的異常模式相匹配的步驟包括根據(jù)用戶關(guān)系圖判斷用戶是否與第五異常模式相匹配，所述判斷用戶是否與第五異常模式相匹配的步驟包括：在用戶關(guān)系圖中，查找與用戶對應(yīng)的人員節(jié)點(diǎn)連接的人員節(jié)點(diǎn)；獲取所查找到的人員節(jié)點(diǎn)中標(biāo)記為存在惡意行為的人員節(jié)點(diǎn)的數(shù)目；若該數(shù)目超過第五閾值，則確定該用戶與第五異常模式匹配。a10、如a4所述的方法，其中，用戶數(shù)據(jù)包括用戶的銀行卡信息，用戶關(guān)系圖中的節(jié)點(diǎn)包括銀行卡節(jié)點(diǎn)，所述根據(jù)所獲取的用戶數(shù)據(jù)來更新用戶關(guān)系圖的步驟包括：對于用戶數(shù)據(jù)中的每個(gè)銀行卡，均將其作為一個(gè)銀行卡節(jié)點(diǎn)添加至用戶關(guān)系圖，并將該銀行卡號碼作為該銀行卡節(jié)點(diǎn)的屬性值；建立該銀行卡節(jié)點(diǎn)與該銀行卡所屬的人員對應(yīng)的人員節(jié)點(diǎn)之間的邊。a11、如a10所述的方法，其中，所述根據(jù)用戶關(guān)系圖，判斷用戶是否與預(yù)置的異常模式相匹配的步驟包括根據(jù)用戶關(guān)系圖判斷用戶是否與第六異常模式相匹配，所述判斷用戶是否與第六異常模式相匹配的步驟包括：在用戶關(guān)系圖中，查找與用戶對應(yīng)的人員節(jié)點(diǎn)連接的銀行卡節(jié)點(diǎn)；查找與該銀行卡節(jié)點(diǎn)連接的其他人員節(jié)點(diǎn)；獲取所查找到的人員節(jié)點(diǎn)中與貸款節(jié)點(diǎn)連接的人員節(jié)點(diǎn)的數(shù)目；若該數(shù)目超過第六閾值，則確定該用戶與第六異常模式匹配。a12、如a1-11中任一個(gè)所述的方法，其中，所述根據(jù)所匹配到的異常模式以及對應(yīng)于該異常模式的概率值，計(jì)算用戶的惡意概率的步驟包括：對于每個(gè)所匹配到的異常模式，均獲取對應(yīng)于該異常模式的概率值；將所獲取的概率值相加，以得到概率值之和；根據(jù)得到的概率值之和計(jì)算用戶的惡意概率，其中所述概率值之和越大，用戶的惡意概率越大。a13、如a12所述的方法，其中，所述計(jì)算用戶的惡意概率的公式如下：

其中，n為所匹配到的異常模式的數(shù)目，ri為所匹配到的第i個(gè)異常模式的概率值，y為用戶的惡意概率。a14、如a1-13中任一個(gè)所述的方法，其中，還包括步驟：在預(yù)測惡意概率位于預(yù)定數(shù)值區(qū)間的用戶存在惡意行為之后，將存在惡意行為的標(biāo)記作為該用戶對應(yīng)的人員節(jié)點(diǎn)的屬性值添加至用戶關(guān)系圖。a15、如a1-14中任一個(gè)所述的方法，其中，還包括步驟：對預(yù)置的每個(gè)異常模式，根據(jù)與該異常模式相匹配的用戶中實(shí)際存在惡意行為的用戶數(shù)目，更新該異常模式的概率值。

此外，本領(lǐng)域的技術(shù)人員能夠理解，盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征，但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如，在下面的權(quán)利要求書中，所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用。

此外，所述實(shí)施例中的一些在此被描述成可以由計(jì)算機(jī)系統(tǒng)的處理器或者由執(zhí)行所述功能的其它裝置實(shí)施的方法或方法元素的組合。因此，具有用于實(shí)施所述方法或方法元素的必要指令的處理器形成用于實(shí)施該方法或方法元素的裝置。此外，裝置實(shí)施例的在此所述的元素是如下裝置的例子：該裝置用于實(shí)施由為了實(shí)施該發(fā)明的目的的元素所執(zhí)行的功能。

如在此所使用的那樣，除非另行規(guī)定，使用序數(shù)詞“第一”、“第二”、“第三”等等來描述普通對象僅僅表示涉及類似對象的不同實(shí)例，并且并不意圖暗示這樣被描述的對象必須具有時(shí)間上、空間上、排序方面或者以任意其它方式的給定順序。

盡管根據(jù)有限數(shù)量的實(shí)施例描述了本發(fā)明，但是受益于上面的描述，本技術(shù)領(lǐng)域內(nèi)的技術(shù)人員明白，在由此描述的本發(fā)明的范圍內(nèi)，可以設(shè)想其它實(shí)施例。此外，應(yīng)當(dāng)注意，本說明書中使用的語言主要是為了可讀性和教導(dǎo)的目的而選擇的，而不是為了解釋或者限定本發(fā)明的主題而選擇的。因此，在不偏離所附權(quán)利要求書的范圍和精神的情況下，對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說許多修改和變更都是顯而易見的。對于本發(fā)明的范圍，對本發(fā)明所做的公開是說明性的，而非限制性的，本發(fā)明的范圍由所附權(quán)利要求書限定。