本发明公开了一种判断金融账户是否恶意的方法,适于在计算设备中执行,计算设备与至少一个提供金融服务的金融服务器相连接,金融服务器允许用户使用移动终端以金融账户进行操作,该方法包括步骤:采集至少一个金融服务器的日志;根据至少一个金融服务器的日志,提取一个金融账户的账户特征;以及根据提取的一个金融账户的账户特征,采用分类模型判断该金融账户是否恶意。本发明还公开一种相应的判断金融账户是否恶意的设备及计算设备。
1.一种判断金融账户是否恶意的方法,适于在计算设备中执行,所述计算设备与多个提供金融服务的金融服务器相连接,所述金融服务器允许用户使用移动终端以金融账户进行操作,所述方法包括步骤:采集多个金融服务器的日志,所述日志包括所述用户操作金融账户时所使用的IP地址、以及该IP地址对所述多个金融服务器的访问请求;
根据多个金融服务器的日志,提取一个金融账户的账户特征,所述账户特征包括以下特征:移动终端是否对应于多个金融账户、IP地址是真实IP地址还是代理IP地址、来自该IP地址的访问请求是否存在扫描行为、以及是否存在仅访问特定内容的行为;以及根据提取的一个金融账户的账户特征,采用分类模型判断该金融账户是否恶意;其中所述根据多个金融服务器的日志,提取一个金融账户的账户特征的步骤包括:从所述日志获取来自所述一个金融账户对应的IP地址的、对该金融账户所属的金融服务器的访问请求;判断该访问请求的协议头是否设置有特定字段,若是,则确定该IP地址是代理IP地址,否则,则确定该IP地址是真实IP地址,所述协议为HTTP协议,所述特定字段为HTTP_VIA字段;
对所述多个金融服务器中的每一个,从所述日志获取多个来自所述一个金融账户对应的IP地址的、对该金融服务器的访问请求;通过计算其中最先的访问请求与最后的访问请求的时间差得到所述IP地址对该金融服务器的访问持续时间;判断该访问持续时间是否小于预定时间值,若是,则确定所述IP地址短暂访问该金融服务器;若确定所述IP地址短暂访问的金融服务器的数目比例大于预定数值,则确定来自该IP地址的访问请求存在扫描行为;
对所述多个金融服务器中的每一个,判断从所述日志获取的对该金融服务器的多个访问请求的目的地址是否均指向该金融服务器上的特定内容,若是,则确定所述IP地址仅访问该金融服务器上的特定内容;若确定所述IP地址仅访问特定内容的金融服务器的数目比例大于预定数值,则确定来自该IP地址的访问请求存在仅访问特定内容的行为。
2.如权利要求1所述的方法,其中,所述计算设备耦接到设备信息存储装置,所述设备信息存储装置存储有已知的金融账户、以及与该金融账户相对应的移动终端的设备信息,所述日志包括用户操作金融账户时所使用的移动终端的设备信息,所述设备信息包括所述移动终端是否使用模拟器、是否越狱、以及设备标识,所述账户特征包括以下特征:移动终端是否使用模拟器、是否越狱、以及是否对应于多个金融账户;
所述根据至少一个金融服务器的日志,提取一个金融账户的账户特征的步骤包括:根据所述日志包括的设备信息确定所述一个金融账户对应的移动终端是否使用模拟器、是否越狱,以及利用设备信息存储装置中存储的金融账户和相对应的设备信息,根据所述日志包括的设备标识来确定所述移动终端是否对应于多个金融账户。
3.如权利要求1所述的方法,其中,所述计算设备耦接到恶意号码存储装置,所述恶意号码存储装置存储有已知的恶意手机号码,所述日志包括金融账户绑定的手机号码,所述账户特征包括以下特征:手机号码是否为恶意号码;
所述根据至少一个金融服务器的日志,提取一个金融账户的账户特征的步骤包括:查询所述日志包括的所述一个金融账户绑定的手机号码是否存在于恶意号码存储装置中,若是,则确定该手机号码为恶意号码,否则不为恶意号码。
4.如权利要求1所述的方法,其中,所述设备信息还包括设备型号,所述账户特征还包括以下特征:金融账户是否存在刷单行为;
所述根据至少一个金融服务器的日志,提取一个金融账户的账户特征的步骤包括:判断所述日志包括的所述一个金融账户对应的移动终端的设备型号是否属于特定设备型号;
判断来自所述一个金融账户对应的IP地址的、对该金融账户所属的金融服务器的访问请求的请求时间是否均位于特定时间范围,并且目的地址均指向该金融服务器上的特定内容;
判断所述一个金融账户对应的IP地址是否在预定时间段内更换预定次数;以及若以上判断均为是,则确定该金融账户存在刷单行为。
5.如权利要求1-4中任一项所述的方法,其中,所述日志包括金融账户的常用地理位置、以及其对应的移动终端当前的登录位置,所述账户特征包括以下特征:金融账户是否为异地登录;
所述根据至少一个金融服务器的日志,提取一个金融账户的账户特征的步骤包括:判断所述一个金融账户的登录位置是否属于常用地理位置,若不属于,则确定该金融账户为异地登录,否则不为异地登录,其中所述常用地理位置包括以下地理位置中的至少一个:手机号码归属地、银行卡开户地、身份证所在地、以及常用的历史登录位置。
6.如权利要求5所述的方法,其中,所述账户特征还包括以下特征:金融账户是否为非正常登录;
所述根据至少一个金融服务器的日志,提取一个金融账户的账户特征的步骤包括:判断所述一个金融账户对应的移动终端的登录位置是否在预定时间段内更换预定次数,若是,则确定该金融账户为非正常登录,否则不为非正常登录。
7.如权利要求1所述的方法,其中,所述分类模型为逻辑回归模型。
8.一种判断金融账户是否恶意的设备,与多个提供金融服务的金融服务器相连接,所述金融服务器允许用户使用移动终端以金融账户进行操作,所述设备包括:日志采集模块,适于采集多个金融服务器的日志,所述日志包括所述用户操作金融账户时所使用的IP地址、以及该IP地址对所述多个金融服务器的访问请求;
特征提取模块,适于根据多个金融服务器的日志,提取一个金融账户的账户特征,所述账户特征包括以下特征:移动终端是否对应于多个金融账户、IP地址是真实IP地址还是代理IP地址、来自该IP地址的访问请求是否存在扫描行为、以及是否存在仅访问特定内容的行为;以及恶意判断模块,适于根据提取的一个金融账户的账户特征,采用分类模型判断该金融账户是否恶意;其中所述特征提取模块还适于:从所述日志获取来自所述一个金融账户对应的IP地址的、对该金融账户所属的金融服务器的访问请求;判断该访问请求的协议头是否设置有特定字段,若是,则确定该IP地址是代理IP地址,否则,则确定该IP地址是真实IP地址,所述协议为HTTP协议,所述特定字段为HTTP_VIA字段;
对所述多个金融服务器中的每一个,从所述日志获取多个来自所述一个金融账户对应的IP地址的、对该金融服务器的访问请求;通过计算其中最先的访问请求与最后的访问请求的时间差得到所述IP地址对该金融服务器的访问持续时间;判断该访问持续时间是否小于预定时间值,若是,则确定所述IP地址短暂访问该金融服务器;若确定所述IP地址短暂访问的金融服务器的数目比例大于预定数值,则确定来自该IP地址的访问请求存在扫描行为;
对所述多个金融服务器中的每一个,判断从所述日志获取的对该金融服务器的多个访问请求的目的地址是否均指向该金融服务器上的特定内容,若是,则确定所述IP地址仅访问该金融服务器上的特定内容;若确定所述IP地址仅访问特定内容的金融服务器的数目比例大于预定数值,则确定来自该IP地址的访问请求存在仅访问特定内容的行为。
所述设备耦接到设备信息存储装置,所述设备信息存储装置存储有已知的金融账户、以及与该金融账户相对应的移动终端的设备信息,所述日志包括用户操作金融账户时所使用的移动终端的设备信息,所述设备信息包括所述移动终端是否使用模拟器、是否越狱、以及设备标识,所述账户特征包括以下特征:移动终端是否使用模拟器、是否越狱、以及是否对应于多个金融账户;
根据所述日志包括的设备信息确定所述一个金融账户对应的移动终端是否使用模拟器、是否越狱,以及利用设备信息存储装置中存储的金融账户和相对应的设备信息,根据所述日志包括的设备标识来确定所述移动终端是否对应于多个金融账户。
10.如权利要求8所述的设备,其中,所述设备耦接到恶意号码存储装置,所述恶意号码存储装置存储有已知的恶意手机号码,所述日志包括金融账户绑定的手机号码,所述账户特征包括以下特征:手机号码是否为恶意号码;
查询所述日志包括的所述一个金融账户绑定的手机号码是否存在于恶意号码存储装置中,若是,则确定该手机号码为恶意号码,否则不为恶意号码。
11.如权利要求8所述的设备,其中,所述设备信息还包括设备型号,所述账户特征还包括以下特征:金融账户是否存在刷单行为;
判断所述日志包括的所述一个金融账户对应的移动终端的设备型号是否属于特定设备型号;
判断来自所述一个金融账户对应的IP地址的、对该金融账户所属的金融服务器的访问请求的请求时间是否均位于特定时间范围,并且目的地址均指向该金融服务器上的特定内容;
判断所述一个金融账户对应的IP地址是否在预定时间段内更换预定次数;以及若以上判断均为是,则确定该金融账户存在刷单行为。
12.如权利要求8-11中任一项所述的设备,其中,所述日志包括金融账户的常用地理位置、以及其对应的移动终端当前的登录位置,所述账户特征包括以下特征:金融账户是否为异地登录;
判断所述日志包括的所述一个金融账户的登录位置是否属于常用地理位置,若不属于,则确定该金融账户为异地登录,否则不为异地登录,其中所述常用地理位置包括以下地理位置中的至少一个:手机号码归属地、银行卡开户地、身份证所在地、以及常用的历史登录位置。
13.如权利要求12所述的设备,其中,所述账户特征还包括以下特征:金融账户是否为非正常登录;
判断所述一个金融账户对应的移动终端的登录位置是否在预定时间段内更换预定次数,若是,则确定该金融账户为非正常登录,否则不为非正常登录。
14.如权利要求8所述的设备,其中,所述分类模型为逻辑回归模型。
15.一种计算设备,适于包括如权利要求8-14中任一项所述的判断金融账户是否恶意的设备。
判断金融账户是否恶意的方法、设备及计算设备
技术领域
[0001] 本发明涉及信息安全技术领域,尤其涉及一种判断金融账户是否恶意的方法、设备及计算设备。
背景技术
[0002] 随着网络通信技术的迅速发展、互联网应用的持续深化、所承载信息的日益丰富,互联网已成为人类社会重要的基础设施。同时,随着互联网金融的发展,各种互联网金融服务提供商更是层出不穷。通常地,这些例如网贷、电商和O2O平台的金融服务商会推出收益丰厚的奖励活动,例如注册认证奖励、充值返现、投标返利等等,这样就催生了一批只关注返现并不投资/使用的恶意用户。这些用户给金融服务提供商造成了巨大的损失,使本应该优质用户享受的福利,被他们恶意占有。
[0003] 现有技术中使用验证码、身份证实名认证或者限制IP地址登录来防止这些恶意用户大批量注册金融账户,但无法对单个的金融账户判断其是否恶意。现有技术由于只能针对自身网站进行分析,无法做到对多个金融网站的金融账户进行统计分析,因此恶意账户识别率很低。而且,恶意用户可以采用批量信息(批量IP地址、批量身份证号码等)进行注册,网站管理员无法察觉这些金融账户是否是恶意。
[0004] 因此,迫切需要一种更先进的更有效的判断金融账户是否恶意的方案。
发明内容
[0005] 为此,本发明提供一种判断金融账户是否恶意的方案,以力图解决或者至少缓解上面存在的至少一个问题。
[0006] 根据本发明的一个方面,提供了一种判断金融账户是否恶意的方法,适于在计算设备中执行,计算设备与至少一个提供金融服务的金融服务器相连接,金融服务器允许用户使用移动终端以金融账户进行操作,该方法包括步骤:采集至少一个金融服务器的日志;根据至少一个金融服务器的日志,提取一个金融账户的账户特征;以及根据提取的一个金融账户的账户特征,采用分类模型判断该金融账户是否恶意。
[0007] 根据本发明的另一方面,提供了一种判断金融账户是否恶意的设备,与至少一个提供金融服务的金融服务器相连接,金融服务器允许用户使用移动终端以金融账户进行操作,该设备包括:日志采集模块,适于采集至少一个金融服务器的日志;特征提取模块,适于根据至少一个金融服务器的日志,提取一个金融账户的账户特征;以及恶意判断模块,适于根据提取的一个金融账户的账户特征,采用分类模型判断该金融账户是否恶意。
[0008] 根据本发明的还有一个方面,提供了一种计算设备,包括根据本发明的判断金融账户是否恶意的设备。
[0009] 根据本发明的判断金融账户是否恶意的方案利用来自多个金融服务器的日志,并结合外部的存储装置,能够获取到有效体现金融账户是否恶意的账户特征。而后根据获取的账户特征采用分类模型能够准确且可靠地对金融账户是否恶意进行判断,从而可以帮助金融服务提供商有效甄别出恶意金融账户,提升运营效能。
附图说明
[0010] 为了实现上述以及相关目的,本文结合下面的描述和附图来描述某些说明性方面,这些方面指示了可以实践本文所公开的原理的各种方式,并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述,本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开,相同的附图标记通常指代相同的部件或元素。
[0011] 图1示出了根据本发明的一个示例性实施方式的金融服务系统100的结构框图;
[0012] 图2示出了根据本发明的一个示例性实施方式的计算设备200的结构框图;
[0013] 图3示出了根据本发明的一个示例性实施方式的判断金融账户是否恶意的设备300的结构框图;以及
[0014] 图4示出了根据本发明的一个示例性实施方式的判断金融账户是否恶意的方法400的流程图。
具体实施方式
[0015] 下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0016] 图1示出了根据本发明一个示例性实施方式的金融服务系统100的结构框图。金融服务系统100可以包括多个金融服务器120,每个金融服务器120可以向用户提供金融服务(例如借贷、理财等等),并允许用户使用移动终端110以金融服务器120对应的金融账户进行操作。可以理解地,金融服务器120可以将用户注册金融账户、以金融账户进行操作等等产生的各种信息存储至该金融服务器120的日志中。
[0017] 如图1所示,计算设备200与至少一个提供金融服务的金融服务器120相连接,可以采集这些金融服务器120的日志,并根据日志中的信息判断金融账户是否恶意。
[0018] 图2示出了根据本发明一个示例性实施方式的实现本发明方案的计算设备200的结构框图。在基本的配置202中,计算设备200典型地包括系统存储器206和一个或者多个处理器204。存储器总线208可以用于在处理器204和系统存储器206之间的通信。
[0019] 取决于期望的配置,处理器204可以是任何类型的处理,包括但不限于:微处理器((μP)、微控制器(μC)、数字信息处理器(DSP)或者它们的任何组合。处理器204可以包括诸如一级高速缓存210和二级高速缓存212之类的一个或者多个级别的高速缓存、处理器核心214和寄存器216。示例的处理器核心214可以包括运算逻辑单元(ALU)、浮点数单元(FPU)、数字信号处理核心(DSP核心)或者它们的任何组合。示例的存储器控制器218可以与处理器
204一起使用,或者在一些实现中,存储器控制器218可以是处理器204的一个内部部分。
[0020] 取决于期望的配置,系统存储器206可以是任意类型的存储器,包括但不限于:易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等)或者它们的任何组合。系统存储器206可以包括操作系统220、一个或者多个应用222以及程序数据224。应用222可以包括被配置为实现本发明方案的判断金融账户是否恶意的设备300。在一些实施方式中,应用222可以布置为在操作系统上利用程序数据224进行操作。
[0021] 计算设备200还可以包括有助于从各种接口设备(例如,输出设备242、外设接口244和通信设备246)到基本配置202经由总线/接口控制器230的通信的接口总线240。示例的输出设备242包括图形处理单元248和音频处理单元250。它们可以被配置为有助于经由一个或者多个A/V端口252与诸如显示器或者扬声器之类的各种外部设备进行通信。示例外设接口244可以包括串行接口控制器254和并行接口控制器256,它们可以被配置为有助于经由一个或者多个I/O端口258和诸如输入设备(例如,键盘、鼠标、笔、语音输入设备、触摸输入设备)或者其他外设(例如打印机、扫描仪等)之类的外部设备进行通信。示例的通信设备246可以包括网络控制器260,其可以被布置为便于经由一个或者多个通信端口264与一个或者多个其他计算设备262通过网络通信链路的通信。
[0022] 网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块,并且可以包括任何信息递送介质。“调制数据信号”可以这样的信号,它的数据集中的一个或者多个或者它的改变可以在信号中编码信息的方式进行。作为非限制性的示例,通信介质可以包括诸如有线网络或者专线网络之类的有线介质,以及诸如声音、射频(RF)、微波、红外(IR)或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。
[0023] 计算设备200可以实现为小尺寸便携(或者移动)电子设备的一部分,这些电子设备可以是诸如蜂窝电话、个人数字助理(PDA)、个人媒体播放器设备、无线网络浏览设备、个人头戴设备、应用专用设备、或者可以包括上面任何功能的混合设备。计算设备200还可以实现为包括桌面计算机和笔记本计算机配置的个人计算机。
[0024] 下面对驻留在计算设备200中的判断金融账户是否恶意的设备300进行详细说明。
[0025] 图3示出了根据本发明一个示例性实施方式的判断金融账户是否恶意的设备300的结构框图。判断金融账户是否恶意的设备300与至少一个提供金融服务的金融服务器120相连接,金融服务器120允许用户使用移动终端以金融账户进行操作,如图3所示,判断金融账户是否恶意的设备可以包括日志采集模块310、特征提取模块320和恶意判断模块330。
[0026] 日志采集模块310可以采集至少一个金融服务器120的日志。根据本发明的一个实施方式,日志采集模块310可以驻留在金融服务器120上,采集金融服务器120上的日志,也可以通过网络向金融服务器120获取日志。
[0027] 日志采集模块310采集到至少一个金融服务器120的日志之后,与日志采集模块310连接的特征提取模块320可以根据至少一个金融服务器120的日志,提取一个金融账户的账户特征。
[0028] 根据本发明的一个实施方式,根据日志提取的账户特征可以包括以下特征:移动终端是否使用模拟器、是否越狱、以及是否对应于多个金融账户。
[0029] 若用户使用模拟器登录金融账户,刻意隐藏其设备信息,或者使用越狱设备登录,或者多个金融账户同时对应一个移动终端的设备标识(IMEI、IMSI号码),则可以认为该金融账户具有恶意的可能性较高,上述特征是可以作为判断金融账户是否恶意的依据的特征。
[0030] 提取这些特征的过程如下:
[0031] 通常地,金融服务器120的日志可以包括用户操作金融账户时所使用的移动终端110的设备信息,该移动终端与金融账户对应,设备信息包括移动终端是否使用模拟器、是否越狱、以及设备标识。
[0032] 特征提取模块320可以根据采集到的日志包括的设备信息确定一个金融账户对应的移动终端是否使用模拟器、是否越狱。具体地,特征提取模块320获取日志中一个金融账户的设备信息,而后直接提取设备信息中的移动终端是否使用模拟器、是否越狱的信息作为相应的账户特征。
[0033] 特征提取模块320还可以与设备信息存储装置相耦接,设备信息存储装置存储有已知的金融账户、以及与该金融账户相对应的移动终端的设备信息。特征提取模块320可以利用设备信息存储装置中存储的金融账户和相对应的设备信息,根据日志包括的设备标识来确定移动终端是否对应于多个金融账户。具体地,特征提取模块320可以查询一个金融账户对应的移动终端的设备标识是否存在于设备信息存储装置中,若不存在,则确定该移动终端不对应于多个金融账户,若存在,则继续查询该设备标识是否对应于除了该一个金融账户以外的其他金融账户,若是,则确定移动终端对应于多个金融账户,否则确定移动终端不对应于多个金融账户。
[0034] 根据本发明的另一个实施方式,账户特征还可以包括以下特征:手机号码是否为恶意号码。若金融账户绑定的手机号码为恶意号码,则可以认为该金融账户具有恶意的可能性较高,该特征是可以作为判断金融账户是否恶意的依据的特征。
[0035] 通常地,金融服务器120的日志包括金融账户绑定的手机号码,同时设备300与恶意号码存储装置相耦接,该恶意号码存储装置存储有已知的恶意手机号码。这样特征提取模块320可以查询日志包括的一个金融账户绑定的手机号码是否存在于恶意号码存储装置中,若存在,则确定该手机号码为恶意号码,否则不为恶意号码。
[0036] 根据本发明的另一个实施方式,账户特征还可以包括以下特征:IP地址是真实IP地址还是代理IP地址、来自该IP地址的访问请求是否存在扫描行为、以及是否存在仅访问特定内容(例如奖励、返现等免费活动)的行为。
[0037] 若用户使用代理IP地址访问金融服务器120,或者存在对金融服务器进行扫描、访问短暂、仅仅访问特定内容的这些行为,则可以认为该金融账户具有恶意的可能性较高。上述特征是可以作为判断金融账户是否恶意的依据的特征。
[0038] 提取这些特征的过程如下:
[0039] 通常地,金融服务器120的日志包括用户操作金融账户时所使用的IP地址、以及来自该IP地址的对至少一个金融服务器的访问请求,访问请求包括请求协议头、请求时间以及请求访问的目的地址。
[0040] 特征提取模块320可以从日志获取来自一个金融账户对应的IP地址的、对该金融账户所属的金融服务器的访问请求。而后判断该访问请求的协议头是否设置有特定字段,若是,则确定该IP地址是代理IP地址,否则,则确定该IP地址是真实IP地址,其中协议为HTTP协议,相应的特定字段为HTTP_VIA字段。
[0041] 根据本发明的另一个实施方式,特征提取模块320还可以对获取到的至少一个金融服务器120中的每一个,都从日志获取多个来自上述一个金融账户对应的IP地址的、对该金融服务器的访问请求。而后通过计算这些访问请求中最先的访问请求与最后的访问请求的时间差得到该IP地址对该金融服务器的访问持续时间。最后判断该访问持续时间是否小于预定时间值,若是,则确定该IP地址短暂访问该金融服务器。这样,得到上述一个金融账户对应的IP地址对每个金融服务器是否短暂访问的结果。
[0042] 可以理解地,如果某些IP地址在各个金融服务器访问持续时间比较短暂,低于预定时间值,则可以认为这些IP地址有可能在扫描金融服务器是否有某种奖励活动。因此若确定上述一个金融账户对应的IP地址短暂访问的金融服务器的数目比例大于预定数值(例如全部金融服务器的一半),则确定来自该IP地址的访问请求存在扫描行为。
[0043] 根据本发明的另一个实施方式,特征提取模块320还可以对至少一个金融服务器中的每一个,都从日志获取多个来自上述一个金融账户对应的IP地址的、对该金融服务器的访问请求,并判断多个访问请求的目的地址是否均指向该金融服务器上的特定内容(例如奖励、返现等活动),若是,则确定该IP地址仅访问该金融服务器上的特定内容。
[0044] 若存在IP地址只访问金融服务器的奖励活动的内容、而不访问其他内容,则该IP地址存在恶意的可能性较高。因此若确定IP地址仅访问特定内容的金融服务器的数目比例大于预定数值(例如全部金融服务器的一半),则确定来自该IP地址的访问请求存在仅访问特定内容的行为。
[0045] 根据本发明的另一个实施方式,账户特征还可以包括如下特征:金融账户是否存在刷单行为。刷单行为是常见的恶意金融账户存在的行为之一,因此该特征是可以作为判断金融账户是否恶意的依据的特征。
[0046] 具体地,上述设备信息还可以包括移动终端的设备型号,特征提取模块320可以判断日志包括的上述一个金融账户对应的移动终端的设备型号是否属于特定设备型号,例如某些配置简单价格低廉的移动终端的设备型号。而后判断来自一个金融账户对应的IP地址的、对该金融账户所属的金融服务器的访问请求的请求时间是否均位于特定时间范围(例如凌晨3点~4点之间),并且目的地址均指向该金融服务器上的特定内容(例如奖励或返现活动的内容),还可以判断上述一个金融账户对应的IP地址是否在预定时间段内更换预定次数(例如10分钟内更换5次)。
[0047] 若以上所有判断均为是,则特征提取模块320可以确定该金融账户存在刷单行为。
[0048] 根据本发明的另一个实施方式,账户特征还可以包括以下特征:金融账户是否为异地登录。通常,获取的日志还可以包括金融账户的常用地理位置、以及其对应的移动终端当前的登录位置。特征提取模块320可以判断日志包括的上述一个金融账户的登录位置是否属于常用地理位置。若不属于,则确定该金融账户为异地登录,否则不为异地登录。其中,常用地理位置可以包括以下地理位置中的至少一个:手机号码归属地、银行卡开户地、身份证所在地、以及常用的历史登录位置。
[0049] 根据本发明的还有一个实施方式,账户特征还可以包括以下特征:金融账户是否为非正常登录。特征提取模块320可以判断上述一个金融账户对应的移动终端的登录位置是否在预定时间段内更换预定次数(例如10分钟内更换5次),若是,则确定该金融账户为非正常登录,否则不为非正常登录。
[0050] 特征提取模块320获取到以上账户特征之后,与特征提取模块320连接的恶意判断模块330可以根据提取的一个金融账户的账户特征,采用分类模型判断该金融账户是否恶意。
[0051] 具体地,根据本发明的一个实施方式,分类模型可以是逻辑回归模型,并可以体现为以下公式:
[0052]
[0053]
[0054] 其中,hθ(x)为预测函数,并表示金融账户为恶意的概率,θ为回归参数,x为由金融账户的账户特征所构成的特征向量,Cost(hθ(x),y)为逻辑回归模型基于对数似然估计的损失函数,J(θ)为逻辑回归模型的简化损失函数,m为训练样本条数。其中,可以针对每一条训练样本进行迭代,并采用梯度下降法对简化损失函数J(θ)求解,得到使得简化损失函数J(θ)最小化的回归参数θ。
[0055] 最后,若p(y=1|x)>0.5,则确定金融账户为恶意,若p(y=1|x)≤0.5,则确定金融账户为非恶意。当然,上述公式所示的分类模型仅是示例性的,本领域技术人员也可以采用其他公式来定义分类模型,本发明对此不做限制。
[0056] 这样,本发明实现了对金融账户是否恶意的准确且可靠的判断,从而可以帮助金融服务提供商有效甄别出恶意金融账户,提升运营效能。
[0057] 图4示出了根据本发明一个示例性实施方式的判断金融账户是否恶意的方法400的流程图。该方法400适于在计算设备200中执行,计算设备200可以与至少一个提供金融服务的金融服务器120相连接,金融服务器120允许用户使用移动终端110以金融账户进行操作,方法400始于步骤S410。
[0058] 在步骤S410中,采集至少一个金融服务器的日志。而后在步骤S420中,可以根据至少一个金融服务器的日志,提取一个金融账户的账户特征。
[0059] 根据本发明的一个实施方式,计算设备200可以耦接到设备信息存储装置,该设备信息存储装置存储有已知的金融账户、以及与该金融账户相对应的移动终端的设备信息,采集的日志可以包括用户操作金融账户时所使用的移动终端的设备信息,该设备信息包括移动终端是否使用模拟器、是否越狱、以及设备标识,提取的账户特征可以包括以下特征:移动终端是否使用模拟器、是否越狱、以及是否对应于多个金融账户。则S420可以包括步骤:根据日志包括的设备信息确定一个金融账户对应的移动终端是否使用模拟器、是否越狱,以及利用设备信息存储装置中存储的金融账户和相对应的设备信息,根据日志包括的设备标识来确定所述移动终端是否对应于多个金融账户。
[0060] 根据本发明的另一个实施方式,计算设备200可以耦接到恶意号码存储装置,该恶意号码存储装置存储有已知的恶意手机号码,采集的日志可以包括金融账户绑定的手机号码,提取的账户特征可以包括以下特征:手机号码是否为恶意号码。则步骤S420可以包括步骤:查询日志包括的一个金融账户绑定的手机号码是否存在于恶意号码存储装置中,若是,则确定该手机号码为恶意号码,否则不为恶意号码。
[0061] 根据本发明的另一个实施方式,采集的日志还可以包括用户操作金融账户时所使用的IP地址、以及来自该IP地址的对至少一个金融服务器的访问请求。提取的账户特征还可以包括以下特征:IP地址是真实IP地址还是代理IP地址、来自该IP地址的访问请求是否存在扫描行为、以及是否存在仅访问特定内容的行为。则步骤S420还可以包括步骤:从日志获取来自一个金融账户对应的IP地址的、对该金融账户所属的金融服务器的访问请求,判断该访问请求的协议头是否设置有特定字段,若是,则确定该IP地址是代理IP地址,否则,则确定该IP地址是真实IP地址,其中协议为HTTP协议,特定字段为HTTP_VIA字段。
[0062] 根据本发明的另一个实施方式,步骤S420还可以包括步骤:对至少一个金融服务器中的每一个,从日志获取多个来自一个金融账户对应的IP地址的、对该金融服务器的访问请求,通过计算其中最先的访问请求与最后的访问请求的时间差得到该IP地址对该金融服务器的访问持续时间,判断该访问持续时间是否小于预定时间值,若是,则确定该IP地址短暂访问该金融服务器。若确定该IP地址短暂访问的金融服务器的数目比例大于预定数值,则确定来自该IP地址的访问请求存在扫描行为。
[0063] 根据本发明的另一个实施方式,步骤S420还可以包括步骤:对至少一个金融服务器中的每一个,从日志获取多个来自一个金融账户对应的IP地址的、对该金融服务器的访问请求,判断多个访问请求的目的地址是否均指向该金融服务器上的特定内容,若是,则确定该IP地址仅访问该金融服务器上的特定内容。若确定该IP地址仅访问特定内容的金融服务器的数目比例大于预定数值,则确定来自该IP地址的访问请求存在仅访问特定内容的行为。
[0064] 根据本发明的另一个实施方式,设备信息还可以包括设备型号,提取的账户特征还可以包括以下特征:金融账户是否存在刷单行为。则步骤S420还可以包括步骤:判断日志包括的一个金融账户对应的移动终端的设备型号是否属于特定设备型号,判断来自一个金融账户对应的IP地址的、对该金融账户所属的金融服务器的访问请求的请求时间是否均位于特定时间范围,并且目的地址均指向该金融服务器上的特定内容,判断一个金融账户对应的IP地址是否在预定时间段内更换预定次数。若以上判断均为是,则确定该金融账户存在刷单行为。
[0065] 根据本发明的另一个实施方式,采集的日志还可以包括金融账户的常用地理位置、以及其对应的移动终端当前的登录位置,提取的账户特征还可以包括以下特征:金融账户是否为异地登录。则步骤S420还可以包括步骤:判断一个金融账户的登录位置是否属于常用地理位置,若不属于,则确定该金融账户为异地登录,否则不为异地登录,其中常用地理位置包括以下地理位置中的至少一个:手机号码归属地、银行卡开户地、身份证所在地、以及常用的历史登录位置。
[0066] 根据本发明的另一个实施方式,提取的账户特征还可以包括以下特征:金融账户是否为非正常登录。步骤S420还可以包括步骤:判断一个金融账户对应的移动终端的登录位置是否在预定时间段内更换预定次数,若是,则确定该金融账户为非正常登录,否则不为非正常登录。
[0067] 提取了上述账户特征之后,最后在步骤S430中,可以根据提取的一个金融账户的账户特征,采用分类模型判断该金融账户是否恶意。
[0068] 根据本发明的还有一个实施方式,分类模型可以是逻辑回归模型,并可以体现为以下公式:
[0069]
[0070]
[0071] 其中,hθ(x)为预测函数,并表示金融账户为恶意的概率,θ为回归参数,x为由金融账户的账户特征所构成的特征向量,Cost(hθ(x),y)为逻辑回归模型基于对数似然估计的损失函数,J(θ)为逻辑回归模型的简化损失函数,m为训练样本条数。其中,可以针对每一条训练样本进行迭代,并采用梯度下降法对简化损失函数J(θ)求解,得到使得简化损失函数J(θ)最小化的回归参数θ。
[0072] 最后,若p(y=1|x)>0.5,则确定金融账户为恶意,若p(y=1|x)≤0.5,则确定金融账户为非恶意。当然,上述公式所示的分类模型仅是示例性的,本领域技术人员也可以采用其他公式来定义分类模型,本发明对此不做限制。
[0073] 以上在结合图1~图3说明判断金融账户是否恶意的设备300的原理的具体描述中已经对各步骤的相应处理进行了详细解释,这里不再对重复内容进行赘述。
[0074] 应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
[0075] 本领域那些技术人员应当理解在本文所公开的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中,或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。
[0076] 本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0077] 此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
[0078] 此外,所述实施例中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此,具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外,装置实施例的在此所述的元素是如下装置的例子:该装置用于实施由为了实施该发明的目的的元素所执行的功能。
[0079] 本发明还可以包括:A6、如A5所述的方法,其中,所述根据至少一个金融服务器的日志,提取一个金融账户的账户特征的步骤包括:对所述至少一个金融服务器中的每一个,从所述日志获取多个来自所述一个金融账户对应的IP地址的、对该金融服务器的访问请求;判断多个访问请求的目的地址是否均指向该金融服务器上的特定内容,若是,则确定所述IP地址仅访问该金融服务器上的特定内容;若确定所述IP地址仅访问特定内容的金融服务器的数目比例大于预定数值,则确定来自该IP地址的访问请求存在仅访问特定内容的行为。A7、如A4所述的方法,其中,所述设备信息还包括设备型号,所述账户特征还包括以下特征:金融账户是否存在刷单行为;所述根据至少一个金融服务器的日志,提取一个金融账户的账户特征的步骤包括:判断所述日志包括的所述一个金融账户对应的移动终端的设备型号是否属于特定设备型号;判断来自所述一个金融账户对应的IP地址的、对该金融账户所属的金融服务器的访问请求的请求时间是否均位于特定时间范围,并且目的地址均指向该金融服务器上的特定内容;判断所述一个金融账户对应的IP地址是否在预定时间段内更换预定次数;以及若以上判断均为是,则确定该金融账户存在刷单行为。A8、如A1-7中任一项所述的方法,其中,所述日志包括金融账户的常用地理位置、以及其对应的移动终端当前的登录位置,所述账户特征包括以下特征:金融账户是否为异地登录;所述根据至少一个金融服务器的日志,提取一个金融账户的账户特征的步骤包括:判断所述一个金融账户的登录位置是否属于常用地理位置,若不属于,则确定该金融账户为异地登录,否则不为异地登录,其中所述常用地理位置包括以下地理位置中的至少一个:手机号码归属地、银行卡开户地、身份证所在地、以及常用的历史登录位置。A9、如A8所述的方法,其中,所述账户特征还包括以下特征:金融账户是否为非正常登录;所述根据至少一个金融服务器的日志,提取一个金融账户的账户特征的步骤包括:判断所述一个金融账户对应的移动终端的登录位置是否在预定时间段内更换预定次数,若是,则确定该金融账户为非正常登录,否则不为非正常登录。A10、如A1-9中任一项所述的方法,其中,所述分类模型为逻辑回归模型。
[0080] B15、如B14所述的设备,其中,所述特征提取模块还适于:对所述至少一个金融服务器中的每一个,从所述日志获取多个来自所述一个金融账户对应的IP地址的、对该金融服务器的访问请求;通过计算其中最先的访问请求与最后的访问请求的时间差得到所述IP地址对该金融服务器的访问持续时间;判断该访问持续时间是否小于预定时间值,若是,则确定所述IP地址短暂访问该金融服务器;若确定所述IP地址短暂访问的金融服务器的数目比例大于预定数值,则确定来自该IP地址的访问请求存在扫描行为。B16、如B15所述的设备,其中,所述特征提取模块还适于:对所述至少一个金融服务器中的每一个,从所述日志获取多个来自所述一个金融账户对应的IP地址的、对该金融服务器的访问请求;判断多个访问请求的目的地址是否均指向该金融服务器上的特定内容,若是,则确定所述IP地址仅访问该金融服务器上的特定内容;若确定所述IP地址仅访问特定内容的金融服务器的数目比例大于预定数值,则确定来自该IP地址的访问请求存在仅访问特定内容的行为。B17、如B14所述的设备,其中,所述设备信息还包括设备型号,所述账户特征还包括以下特征:金融账户是否存在刷单行为;所述特征提取模块还适于:判断所述日志包括的所述一个金融账户对应的移动终端的设备型号是否属于特定设备型号;判断来自所述一个金融账户对应的IP地址的、对该金融账户所属的金融服务器的访问请求的请求时间是否均位于特定时间范围,并且目的地址均指向该金融服务器上的特定内容;判断所述一个金融账户对应的IP地址是否在预定时间段内更换预定次数;以及若以上判断均为是,则确定该金融账户存在刷单行为。B18、如B11-17中任一项所述的设备,其中,所述日志包括金融账户的常用地理位置、以及其对应的移动终端当前的登录位置,所述账户特征包括以下特征:金融账户是否为异地登录;所述特征提取模块适于:判断所述日志包括的所述一个金融账户的登录位置是否属于常用地理位置,若不属于,则确定该金融账户为异地登录,否则不为异地登录,其中所述常用地理位置包括以下地理位置中的至少一个:手机号码归属地、银行卡开户地、身份证所在地、以及常用的历史登录位置。B19、如B18所述的设备,其中,所述账户特征还包括以下特征:金融账户是否为非正常登录;所述特征提取模块还适于:判断所述一个金融账户对应的移动终端的登录位置是否在预定时间段内更换预定次数,若是,则确定该金融账户为非正常登录,否则不为非正常登录。B21、如B11-19中任一项所述的设备,其中,所述分类模型为逻辑回归模型。
[0081] 如在此所使用的那样,除非另行规定,使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例,并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。
[0082] 尽管根据有限数量的实施例描述了本发明,但是受益于上面的描述,本技术领域内的技术人员明白,在由此描述的本发明的范围内,可以设想其它实施例。此外,应当注意,本说明书中使用的语言主要是为了可读性和教导的目的而选择的,而不是为了解释或者限定本发明的主题而选择的。因此,在不偏离所附权利要求书的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围,对本发明所做的公开是说明性的,而非限制性的,本发明的范围由所附权利要求书限定。
