本申請涉及網(wǎng)絡(luò)安全技術(shù)，尤其涉及一種賬號被盜的風(fēng)險識別方法、識別裝置及防控系統(tǒng)。

背景技術(shù)：

網(wǎng)上交易、移動支付以及其它應(yīng)用在給用戶帶來便利的同時，也存在突出的安全隱患。若賬號被盜，用戶在蒙受財產(chǎn)損失之外，還可能承擔盜賬者利用被盜賬號從事不法行為的風(fēng)險。如何及時有效地識別賬號是否被盜，以便為用戶提供盡可能安全的網(wǎng)絡(luò)環(huán)境，這是網(wǎng)絡(luò)應(yīng)用服務(wù)提供商無法回避也必須解決的一個重要問題?，F(xiàn)有技術(shù)提出了較多的盜賬風(fēng)險識別方案，以下舉例簡要說明。

一類方案是通過監(jiān)控交易用戶的交易請求是否異常來識別盜賬風(fēng)險。例如，檢測用戶是否為異地登陸，在發(fā)生異地登陸時要求用戶進行驗證；如驗證不成功，將凍結(jié)該用戶賬號。異地登錄是常見的盜賬表現(xiàn)形式，因此通過監(jiān)控異地登陸請求有助于及時識別出盜賬風(fēng)險。但是，由于網(wǎng)絡(luò)運營商可能改變其擁有的IP地址池，特別是城市之間的IP地址調(diào)配時，將會導(dǎo)致正常用戶被識別成風(fēng)險用戶，這導(dǎo)致盜賬識別的誤差率較高。

另一類方案是通過監(jiān)控重點設(shè)備來識別盜賬風(fēng)險。例如，統(tǒng)計交易登陸設(shè)備上的交易用戶數(shù)，作為識別盜賬風(fēng)險評分模型的輸入變量，由此來評價該設(shè)備上盜賬的風(fēng)險等級。若一個設(shè)備上交易的用戶較少，發(fā)生盜賬風(fēng)險的概率相對較低；否則，若設(shè)備上交易的用戶很多，則發(fā)生盜賬的風(fēng)險概率大為增加。因此，重點監(jiān)控這類交易用戶較多的設(shè)備，在一定程度上能識別出盜賬事件。但是，設(shè)備上的交易用戶數(shù)這個變量的區(qū)分能力和穩(wěn)定性較差，對于正常的單設(shè)備多用戶交易的情形而言，該方案容易導(dǎo)致識別錯誤。

其它網(wǎng)絡(luò)操作行為的盜賬風(fēng)險識別方案也經(jīng)常出現(xiàn)誤判、漏判的問題，其盜賬風(fēng)險區(qū)分能力不夠強，導(dǎo)致這些方案的總體效果不夠理想。有鑒于此，有必要設(shè)計一種新的盜賬風(fēng)險識別方案。

技術(shù)實現(xiàn)要素：

針對現(xiàn)有技術(shù)存在的缺陷，本申請的目的在于提供一種賬號被盜的風(fēng)險識別方法、識別裝置及防控系統(tǒng)，以便有效地提高盜賬風(fēng)險區(qū)分能力。

為解決以上技術(shù)問題，本申請?zhí)峁┮环N賬號被盜的風(fēng)險識別方法，包括：

根據(jù)當前操作行為信息，采集操作行為承載設(shè)備的設(shè)備信息；

針對操作行為前預(yù)設(shè)時間段內(nèi)，獲取設(shè)備上歷史操作行為的全部用戶身份信息；

解析各用戶身份信息中表征的用戶身份解析地，統(tǒng)計該時間段內(nèi)設(shè)備用戶身份解析地個數(shù)；以及

根據(jù)該時間段內(nèi)設(shè)備用戶身份解析地個數(shù)，確定當前操作行為是否存在賬號被盜的風(fēng)險。

較優(yōu)地，所述用戶身份信息包括用戶注冊信息中的證件信息；所述解析各用戶身份信息中表征的用戶身份解析地，統(tǒng)計該時間段內(nèi)設(shè)備用戶身份解析地個數(shù)步驟，具體包括：根據(jù)各個的用戶注冊信息中的證件類型和證件號碼，獲取用戶身份解析地并統(tǒng)計設(shè)備用戶身份解析地個數(shù)。

較優(yōu)地，所述根據(jù)各個用戶注冊信息中的證件類型和證件號碼，獲取用戶身份解析地并統(tǒng)計設(shè)備用戶身份解析地個數(shù)步驟，包括：

根據(jù)證件類型的種類，確定用戶身份解析地的解析方式；

在證件類型為中國境內(nèi)居民身份證時，解析每一證件號碼的前六位來獲取用戶身份解析地，并據(jù)此統(tǒng)計設(shè)備用戶身份解析地個數(shù)；

在證件類型為中國境內(nèi)非居民身份證或中國境外證件時，推定每一證件類型或 每一證件號碼對應(yīng)一個用戶身份解析地，并據(jù)此統(tǒng)計設(shè)備用戶身份解析地個數(shù)。

較優(yōu)地，所述根據(jù)當前操作行為信息，采集操作行為承載設(shè)備的設(shè)備信息步驟，包括：通過采集設(shè)備的設(shè)備標識碼，來獲取設(shè)備相應(yīng)的設(shè)備信息。

較優(yōu)地，所述通過采集設(shè)備的設(shè)備標識碼，來獲取設(shè)備相應(yīng)的設(shè)備信息步驟，包括：

根據(jù)設(shè)備的種類，確定設(shè)備信息的采集內(nèi)容；

在設(shè)備為PC時，采集的設(shè)備信息包括MAC、IP和/或UMID；

在設(shè)備為移動終端時，采集的設(shè)備信息包括MAC、IMEI、TID和/或手機號。

較優(yōu)地，所述通過采集設(shè)備的設(shè)備標識碼，來獲取設(shè)備相應(yīng)的設(shè)備信息步驟，包括：

根據(jù)由設(shè)備標識碼識別出的設(shè)備數(shù)量，確定設(shè)備用戶身份解析地個數(shù)的統(tǒng)計方式；

在識別出唯一設(shè)備時，解析統(tǒng)計該設(shè)備用戶身份解析地個數(shù)；

在識別出多個設(shè)備時，解析統(tǒng)計各設(shè)備用戶身份解析地個數(shù)；

在未識別出設(shè)備時，將設(shè)備用戶身份解析地個數(shù)計為0；

得到的設(shè)備用戶身份解析地個數(shù)作為預(yù)設(shè)評分模型的輸入變量，用來評定設(shè)備的盜賬風(fēng)險等級。

較優(yōu)地，所述根據(jù)該時間段內(nèi)設(shè)備用戶身份解析地個數(shù)，確定當前操作行為是否存在賬號被盜的風(fēng)險步驟，包括：結(jié)合設(shè)備上全部用戶個數(shù)、當前操作行為用戶綁定手機號碼個數(shù)、當前用戶歷史操作行為設(shè)備個數(shù)、當前用戶歷史操作行為IP地址個數(shù)、當前用戶的當次操作行為用信息與歷史操作行為信息的差異和/或當次操作行為路由特征信息與歷史操作行為路由特征信息是否相同，來評定當前操作行為用戶的盜賬風(fēng)險等級。

較優(yōu)地，所述根據(jù)該時間段內(nèi)設(shè)備用戶身份解析地個數(shù)，確定當前操作行為是 否存在賬號被盜的風(fēng)險步驟，進一步包括：結(jié)合設(shè)備的盜賬風(fēng)險等級和當前操作行為用戶的盜賬風(fēng)險等級來計算賬號被盜風(fēng)險值，在風(fēng)險值大于預(yù)設(shè)閾值時識別為賬號被盜。

在此基礎(chǔ)上，本申請還提供一種賬號被盜的風(fēng)險識別裝置，包括：

設(shè)備信息采集模塊，根據(jù)當前操作行為信息，采集操作行為登陸設(shè)備的設(shè)備信息；

用戶信息獲取模塊，針對操作行為前預(yù)設(shè)時間段內(nèi)，獲取設(shè)備上歷史操作行為的全部用戶身份信息；

用戶身份解析模塊，解析各用戶身份信息中表征的用戶身份解析地，統(tǒng)計該時間段內(nèi)設(shè)備用戶身份解析地個數(shù)；以及

盜賬風(fēng)險評定模塊，以該時間段內(nèi)設(shè)備用戶身份解析地個數(shù)，確定當前操作行為是否存在賬號被盜的風(fēng)險。

較優(yōu)地，所述用戶身份信息包括用戶注冊信息中的證件信息；所述用戶身份解析模塊根據(jù)各個用戶注冊信息中的證件類型和證件號碼，獲取用戶身份解析地并統(tǒng)計設(shè)備用戶身份解析地個數(shù)。

較優(yōu)地，所述用戶身份解析模塊根據(jù)證件類型的種類，確定用戶身份解析地的解析方式；在證件類型為中國境內(nèi)居民身份證時，解析每一證件號碼的前六位來獲取用戶身份解析地，并據(jù)此統(tǒng)計設(shè)備用戶身份解析地個數(shù)；在證件類型為中國境內(nèi)非居民身份證或中國境外證件時，推定每一證件類型或每一證件號碼對應(yīng)一個用戶身份解析地，并據(jù)此統(tǒng)計設(shè)備用戶身份解析地個數(shù)。

較優(yōu)地，所述設(shè)備信息采集模塊通過采集設(shè)備的設(shè)備標識碼，來獲取設(shè)備相應(yīng)的設(shè)備信息。

較優(yōu)地，所述設(shè)備信息采集模塊根據(jù)設(shè)備的種類，確定設(shè)備信息的采集內(nèi)容；在設(shè)備為PC時，采集的設(shè)備信息包括MAC、IP和/或UMID；在設(shè)備為移動終端時， 采集的設(shè)備信息包括MAC、IMEI、TID和/或手機號。

較優(yōu)地，所述用戶身份解析模塊根據(jù)由所述設(shè)備信息采集模塊通過設(shè)備標識碼識別出的設(shè)備數(shù)量，來確定設(shè)備用戶身份解析地個數(shù)的統(tǒng)計方式：識別出唯一設(shè)備時，解析統(tǒng)計該設(shè)備用戶身份解析地個數(shù)；識別出多個設(shè)備時，解析統(tǒng)計各設(shè)備用戶身份解析地個數(shù)；未識別出設(shè)備時，將設(shè)備用戶身份解析地個數(shù)計為0；得到的設(shè)備用戶身份解析地個數(shù)作為所述盜賬風(fēng)險評定模塊預(yù)設(shè)評分模型的輸入變量，用來評定設(shè)備的盜賬風(fēng)險等級。

較優(yōu)地，所述盜賬風(fēng)險評定模塊結(jié)合設(shè)備上全部用戶個數(shù)、當前操作行為用戶綁定手機號碼個數(shù)、當前用戶歷史操作行為設(shè)備個數(shù)、當前用戶歷史操作行為IP地址個數(shù)、當前用戶的當次操作行為用信息與歷史操作行為信息的差異和/或當次操作行為路由特征信息與歷史操作行為路由特征信息是否相同，來評定當前操作行為用戶的盜賬風(fēng)險等級。

較優(yōu)地，所述盜賬風(fēng)險評定模塊結(jié)合設(shè)備的盜賬風(fēng)險等級和當前操作行為用戶的盜賬風(fēng)險等級來計算賬號被盜風(fēng)險值，在風(fēng)險值大于預(yù)設(shè)閾值時識別為賬號被盜。

在此基礎(chǔ)上，本申請還相應(yīng)提供一種賬號被盜的風(fēng)險防控系統(tǒng)，包括：具有上述風(fēng)險識別裝置、盜賬上報裝置及風(fēng)險處理裝置，其中：

所述風(fēng)險識別裝置用于計算操作行為平臺中賬號被盜風(fēng)險值，在風(fēng)險值大于預(yù)設(shè)閾值時識別賬號被盜；

盜賬上報裝置，用于在所述風(fēng)險識別裝置識別賬號被盜時，上報賬號被盜消息于所述風(fēng)險處理裝置及用戶接收設(shè)備；

所述風(fēng)險處理裝置，用于收到賬號被盜消息時，凍結(jié)用戶被盜賬號并攔截與被盜賬號關(guān)聯(lián)的風(fēng)險數(shù)據(jù)。

較優(yōu)地，所述系統(tǒng)包括：具有案件數(shù)據(jù)庫，用于存放所述風(fēng)險處理裝置攔截的 所述風(fēng)險數(shù)據(jù)，以供所述風(fēng)險處理裝置對所述風(fēng)險數(shù)據(jù)進行核查，以及供所述風(fēng)險識別裝置對所述評分模型進行校驗。

與現(xiàn)有技術(shù)相比，本申請?zhí)岢隽艘环N基于設(shè)備用戶身份解析地個數(shù)來識別盜賬風(fēng)險的方案，其通過采集操作行為前一段時間內(nèi)登陸設(shè)備上全部用戶身份信息，來解析統(tǒng)計該設(shè)備用戶身份解析地個數(shù)，并將該統(tǒng)計量作為風(fēng)險評分模型的輸入變量來評定盜賬風(fēng)險等級，可以有效地提高盜賬風(fēng)險區(qū)分能力。這是因為：最近一段時間內(nèi)登陸設(shè)備上全部操作行為用戶的不同身份解析地是一類更加有效和穩(wěn)定的變量，如果操作行為發(fā)生時設(shè)備在最近一段時間內(nèi)有多個不同的身份解析地，操作行為賬號發(fā)生盜賬的風(fēng)險很高；同時，一個設(shè)備上相同地方不同用戶操作行為的情況遠比不同地方不同用戶操作行為的情況更為普遍，因而該變量能夠有效地剔除部分多用戶操作行為但風(fēng)險較低的情況，這就有助于提升風(fēng)險評分模型變量區(qū)分風(fēng)險的能力和穩(wěn)定性。

附圖說明

通過閱讀下文優(yōu)選實施方式的詳細描述，各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的，而并不認為是對本申請的限制。而且在整個附圖中，用相同的參考符號來表示相同的部件。在附圖中：

圖1示出某網(wǎng)絡(luò)平臺MAC設(shè)備在當前操作行為前7天內(nèi)的設(shè)備用戶身份解析地個數(shù)與盜賬風(fēng)險的關(guān)系；

圖2示出了根據(jù)本申請一個實施例賬號被盜的風(fēng)險識別方法的流程圖；

圖3示出了根據(jù)本申請一個實施例賬號被盜的風(fēng)險識別裝置的方框圖；

圖4示出了根據(jù)本申請一個實施例賬號被盜的風(fēng)險防控系統(tǒng)的方框圖。

具體實施方式

本申請的以下實施例在風(fēng)險評分模型中引入當前操作行為前一段時間內(nèi)設(shè)備 用戶身份解析地個數(shù)這類輸入變量，來提高模型變量的區(qū)分風(fēng)險能力。這一方案需要基于數(shù)據(jù)挖掘技術(shù)來建立風(fēng)險評分模型，主要的建模步驟包括確定研究目標、確定數(shù)據(jù)源及抽取樣本、數(shù)據(jù)探索、模型開發(fā)和模型驗證等等，本申請的重點在于為評分模型構(gòu)建合適的輸入變量。因為評分模型本身不是本申請的主要關(guān)注點，故建模的其它細節(jié)不再展開，具體請參考習(xí)知的現(xiàn)有技術(shù)。

本申請發(fā)明人為了構(gòu)建合適的變量，收集了用戶在某網(wǎng)絡(luò)平臺操作行為的海量數(shù)據(jù)進行數(shù)據(jù)分析與數(shù)據(jù)挖掘。例如，對于上述平臺而言，用戶的每筆操作行為發(fā)生時會采集到設(shè)備信息，且還會統(tǒng)計這些設(shè)備上最近一段時間內(nèi)的操作行為上述平臺的用戶數(shù)，通過設(shè)備上的上述平臺的用戶數(shù)可以識別盜賬風(fēng)險，但這經(jīng)常會發(fā)生誤判的問題。本申請發(fā)明人基于數(shù)據(jù)分析發(fā)現(xiàn)：對于上述平臺操作行為而言，相同設(shè)備上相同地方人操作行為的情況遠比不同地方人操作行為的情況更為普遍。因此，更加有效和穩(wěn)定的變量是統(tǒng)計最近一段時間內(nèi)該設(shè)備上操作行為上述平臺用戶數(shù)的不同的身份解析地，且該身份解析地最好解析到縣(市)這一粒度；如果操作行為發(fā)生時設(shè)備在最近一段時間內(nèi)有多個不同的身份解析地，這樣的操作行為風(fēng)險是非常高的。

上述規(guī)律在上述平臺操作行為中是非常穩(wěn)定的，可以理解的是，這一規(guī)律同樣適應(yīng)于其它網(wǎng)絡(luò)應(yīng)用中的操作行為。有鑒于此，本申請所指“操作行為”是一個廣義的概念，其并不僅僅限于上述平臺等存在資金和貨物轉(zhuǎn)移的商務(wù)行為，各種網(wǎng)絡(luò)應(yīng)用中用戶與服務(wù)平臺之間、不同用戶之間進行的數(shù)據(jù)交換也都屬于本申請“操作行為”的范疇，如社交網(wǎng)站的登陸事件就屬于本申請所指的“操作行為”。

由于當前操作行為前一段時間內(nèi)設(shè)備用戶身份解析地個數(shù)與盜賬風(fēng)險之間存在很強的關(guān)聯(lián)，故本申請發(fā)明人將操作行為前預(yù)設(shè)時間段內(nèi)設(shè)備用戶身份解析地個數(shù)作為風(fēng)險評分模型的輸入變量。這類變量能夠剔除部分多用戶操作行為但風(fēng)險低的情況，從而提升了變量區(qū)分風(fēng)險的能力和穩(wěn)定性。

據(jù)此，本申請發(fā)明人提出以下基本構(gòu)思：以當前操作行為前一段時間內(nèi)設(shè)備用戶身份解析地個數(shù)作為輸入變量，通過預(yù)設(shè)評分模型來評定設(shè)備的盜賬風(fēng)險等級，以便更及時有效地識別用戶賬號被盜的風(fēng)險。這一技術(shù)構(gòu)思主要涉及三方面內(nèi)容：變量構(gòu)建、識別過程、模型校驗，以下進一步詳細說明如下。

1、變量構(gòu)建

在構(gòu)建有效變量時，需要考慮變量主體、變量對象、時間間隔、統(tǒng)計指標等要素，具體說明如下。

(1)變量主體：操作行為(如某支付平臺操作行為)登陸設(shè)備的設(shè)備信息。設(shè)備信息可通過采集設(shè)備的設(shè)備標識碼，如MAC(Medium Access Control，物理地址)、UMID(Unique Material Identifier，唯一素材識別碼)、IP(Internet Protocol，網(wǎng)絡(luò)互連協(xié)議)地址，IMEI(International Mobile Equipment Identity，移動設(shè)備國身份碼)、TID(THREAD Identifier，線程控制符)、手機號等來識別。通常而言，PC(Personal Computer，個人計算機)可采集設(shè)備MAC、IP和/或UMID，移動終端可采集MAC、IMEI、TID和/或手機號。具體的采集、識別方案請參考習(xí)知的現(xiàn)有技術(shù)即可，不再贅述。

(2)變量對象：操作行為登陸設(shè)備上的用戶身份解析地。用戶身份解析地通常根據(jù)證件類型和證件號碼來確定，例如中國居民身份證的前六位就可以表示為縣(市)，識別這前六位就可以知道用戶來自哪個行政區(qū)域，由此也就獲得用戶身份解析地。

(3)時間間隔：操作行為前多久時間內(nèi)的間隔(如30分鐘、2小時、12小時、1天、3天、7天等)。各種操作行為平臺存在較大差異，具體可根據(jù)操作行為請求、操作行為性質(zhì)等因素確定即可，不再贅述。

(4)統(tǒng)計指標：統(tǒng)計設(shè)備上用戶身份解析地個數(shù)。正常操作行為環(huán)境下，設(shè)備上用戶身份解析地個數(shù)通常較少；若設(shè)備用戶身份解析地個數(shù)較多，表明盜賬 風(fēng)險較高，這是根據(jù)大量數(shù)據(jù)分析得出的一個十分可靠的結(jié)論。

綜合上述要素，本申請將具體變量確定為當前操作行為前預(yù)設(shè)某一時間間隔內(nèi)操作行為設(shè)備的全部用戶的不同身份解析地個數(shù)，這個統(tǒng)計變量可以提高模型變量的區(qū)分風(fēng)險能力。該變量與盜賬風(fēng)險存在很強的關(guān)聯(lián)性，如果操作行為前最近一段時間內(nèi)設(shè)備上有多個不同的身份解析地，則該設(shè)備上操作行為發(fā)生賬號盜賬的風(fēng)險較高。

2、識別過程

將上述統(tǒng)計量作為風(fēng)險評分模型的輸入變量之后，可基于不同設(shè)備的用戶身份解析地來對盜賬風(fēng)險進行識別，其優(yōu)點在于可提高變量區(qū)分風(fēng)險的能力和穩(wěn)定性。具體地，盜賬風(fēng)險識別時需遵循以下流程。

(1)設(shè)備身份解析地個數(shù)的獲取，包括：

a.獲取當前操作行為的設(shè)備信息；獲取該設(shè)備操作行為前的特定時間段內(nèi)(比如3天)的全部操作行為用戶的身份信息；

b.解析這些身份信息，獲取身份信息中對應(yīng)的用戶地域，并統(tǒng)計設(shè)備中不同用戶身份解析地個數(shù)。此處的用戶身份解析地通常為標識為城市，此處的“城市”指的是行政區(qū)域，不能狹義地理解為與農(nóng)村相對的概念。

c.特殊情況的處理：若存在多個設(shè)備，則各自分別統(tǒng)計用戶身份解析地個數(shù)；若無法獲取設(shè)備信息，則用戶身份解析地個數(shù)記為0。

(2)評定風(fēng)險等級

設(shè)備是以用戶身份解析地個數(shù)來評定風(fēng)險等級的，具體而言：獲得當前操作行為前預(yù)設(shè)時間段內(nèi)設(shè)備用戶身份解析地個數(shù)后，將其作為變量輸入到風(fēng)險評分模型之中打分，在綜合考慮模型中各變量的權(quán)重后，就可以獲得設(shè)備的盜賬風(fēng)險等級。若得分高，表明盜賬風(fēng)險較高，此時需要重點監(jiān)控此設(shè)備。

3、模型校驗

輸入變量“當前操作行為前預(yù)設(shè)時間段內(nèi)設(shè)備用戶身份解析地個數(shù)”對于風(fēng)險評分模型的預(yù)測效果的影響如何，應(yīng)當進行校驗。若該變量有效，則可以根據(jù)前述第2步的流程來自動識別用戶的盜賬風(fēng)險；否則，需要重新調(diào)整評分模型及有關(guān)輸入變量。

對于本申請而言，模型校驗時需考慮以下因素：

(1)歷史操作行為標識是否為案件。本申請中引入當前操作行為前預(yù)設(shè)時間段內(nèi)設(shè)備用戶身份解析地個數(shù)這一統(tǒng)計量時，需要關(guān)聯(lián)設(shè)備上的歷史操作行為數(shù)據(jù)，以便證明引入的這類變量是有效的。也就是說，變量是否有效需要通過歷史操作行為數(shù)據(jù)來衡量；換而言之，歷史操作行為數(shù)據(jù)可以對是否盜賬進行區(qū)分。

假定歷史操作行為為盜賬，標識為“壞”；否則標志位“好”。如果通過第2步所識別盜賬風(fēng)險結(jié)果為“壞”，而歷史操作行為標識也為“壞”；或者，通過第2步所識別盜賬風(fēng)險結(jié)果為“好”，而歷史操作行為標識也為“好”；則認為校驗通過，否則校驗不通過。若校驗通過的概率較高，就表明當前操作行為前預(yù)設(shè)時間段內(nèi)設(shè)備用戶身份解析地個數(shù)作為輸入變量引入到評分模型中是有效的，即該變量具有較高的風(fēng)險區(qū)分能力。

(2)風(fēng)險區(qū)分能力的量化

上述變量的風(fēng)險區(qū)分能力到底如何，可以進一步進行量化。具體可通過分段計算“當前操作行為前預(yù)設(shè)時間段內(nèi)設(shè)備身份解析地個數(shù)”的盜賬區(qū)分能力指標來實現(xiàn)，這些量化指標主要包括兩類：提升度和區(qū)間IV值(Infofmation Value，信息值)。

盜賬區(qū)分能力指標的計算公式如下：

提升度＝區(qū)間盜賬戶交易濃度/平均盜賬戶交易濃度

區(qū)間IV＝WOE×(區(qū)間非盜賬戶交易占全部非盜賬戶交易比-區(qū)間盜賬戶交易占全部盜賬戶交易比)

IV＝各區(qū)間IV之和

上述公式中，為了分析的方便，將WOE(Weight Of Eividence，證據(jù)權(quán)重)乘以系數(shù)100，其內(nèi)涵與數(shù)據(jù)挖掘中的指標woe并無本質(zhì)區(qū)別。可以理解的是，上述公式中的“交易”應(yīng)理解為廣義的網(wǎng)絡(luò)操作行為，而不僅僅局限為資金支付、商品轉(zhuǎn)移等實際的商務(wù)活動。

按照上述公式計算“當前操作行為前預(yù)設(shè)時間段內(nèi)設(shè)備身份解析地個數(shù)”這一變量的風(fēng)險區(qū)分能力結(jié)果，可以有效驗證引入評分模型的有效性。下面以“MAC設(shè)備在當前操作行為前7天內(nèi)的設(shè)備用戶身份解析地個數(shù)”的盜賬區(qū)分能力指標為例進行說明，計算結(jié)果如表1所示：

表1：MAC設(shè)備操作行為前7天設(shè)備用戶身份解析地個數(shù)盜賬區(qū)分能力

表1可用圖形化的方式來進行展示。參見圖1，其示出某支付平臺MAC設(shè)備在當前操作行為前7天內(nèi)設(shè)備用戶身份解析地個數(shù)與盜賬風(fēng)險的關(guān)系。由表1和圖1可知，在設(shè)備用戶身份解析地個數(shù)大于2時的提升度為13.82，即通過MAC設(shè)備7天內(nèi)操作行為用戶身份解析地個數(shù)來識別盜賬風(fēng)險的能力較提升了13.82倍，由此表明這一變量的盜賬區(qū)分能力是十分有效的。

類似地，對于其它具體實例的校驗，各量化指標也是比較理想的。這就表明，本申請在風(fēng)險評分模型中引入當前操作行為前一段時間內(nèi)設(shè)備用戶身份解析地個數(shù)這類輸入變量來評定盜賬風(fēng)險等級，可以提高模型變量的區(qū)分風(fēng)險能力，由此識 別的盜賬風(fēng)險識別效果較為理想。

值得注意的是，表1和圖中的IV值較大，在某些情況下存在“過預(yù)測”可能，為了消除這一現(xiàn)象，本申請還結(jié)合設(shè)備上全部用戶個數(shù)、當前操作行為用戶綁定手機號碼個數(shù)、當前用戶歷史操作行為設(shè)備個數(shù)、當前用戶歷史操作行為IP地址個數(shù)、當前用戶的當次操作行為用信息與歷史操作行為信息的差異和/或當次操作行為路由特征信息與歷史操作行為路由特征信息是否相同等指標，來綜合評定用戶賬號是否被盜的風(fēng)險，以消除單一變量“過預(yù)測”帶來的不利影響。

以上對本申請利用當前操作行為前預(yù)設(shè)時間段內(nèi)設(shè)備用戶身份解析地個數(shù)這一統(tǒng)計量來識別盜賬風(fēng)險的技術(shù)構(gòu)思進行了系統(tǒng)性、原理性的闡述，以下進一步對該技術(shù)構(gòu)思的具體實現(xiàn)方案進行說明?；谇拔姆治?，在確定風(fēng)險評分模型及輸入變量并校驗成功之后，只要按照前述第2步在服務(wù)器段部署應(yīng)用程序來具體實施即可，并不需要重復(fù)建模及校驗。

參見圖2，出了根據(jù)本申請一個實施例賬號被盜的風(fēng)險識別方法的流程圖。如圖2所示，該風(fēng)險識別方法包括以下步驟210～步驟240等主要步驟，以下詳細進行描述。

S210、根據(jù)當前操作行為信息，采集操作行為登陸設(shè)備的設(shè)備信息。

此步驟響應(yīng)于當前操作行為信息，由服務(wù)器端相應(yīng)設(shè)備來采集操作行為登陸設(shè)備的設(shè)備信息，一般是通過采集設(shè)備的設(shè)備標識碼來得到的。

一般地，客戶端的登陸設(shè)備會有多種類型，如PC設(shè)備經(jīng)常會有MAC、IP和/或UMID，移動終端經(jīng)常會有MAC、IMEI、TID和/或手機號等等，因此需要根據(jù)設(shè)備的種類來確定設(shè)備信息的采集內(nèi)容。通常而言，PC采集MAC、IP和/或UMID，移動終端采集MAC、、TID和/或手機號即可，具體的信息采集及識別方法請參照現(xiàn)有技術(shù)，不再贅述。

值得注意的是，此S210步驟中所指的當前操作行為可以是針對用戶賬號的登錄 請求，也可以是針對用戶賬號的預(yù)設(shè)數(shù)據(jù)操作請求等。其中，針對用戶賬號的預(yù)設(shè)數(shù)據(jù)操作請求可以包括：針對用戶賬號的密碼修改請求、針對用戶賬號的余額轉(zhuǎn)賬請求、針對用戶賬號的物品買賣請求等?？梢岳斫獾氖牵A(yù)設(shè)的數(shù)據(jù)操作請求可以由服務(wù)器預(yù)先設(shè)置，也可以由用戶通過客戶端預(yù)先設(shè)置，在此不進行限定。

在客戶端發(fā)起針對用戶賬號的登錄請求時，用戶的登錄信息通常會包括用戶標識，以及用戶發(fā)起登錄請求的客戶端的信息和接收登錄請求的服務(wù)器的信息。因此，根據(jù)用戶的登錄信息獲取該用戶登錄的路由路徑，并從用戶登錄的路由路徑中提取當次路由特征信息，并通過比較當次操作行為路由特征信息與歷史操作行為路由特征信息是否相同，也可以來評定當前操作行為用戶的盜賬風(fēng)險等級。

S220、針對操作行為前預(yù)設(shè)時間段內(nèi)，獲取設(shè)備上歷史操作行為的全部用戶身份信息。

可以理解的是，對于單個賬號單次操作行為的風(fēng)險識別非常復(fù)雜且也難以實施的，而借助挖掘多個賬號操作行為之間的聯(lián)系是一種非常有效的方法。如前文所述，本申請通過當次操作行為前預(yù)設(shè)時間段內(nèi)設(shè)備用戶身份解析地個數(shù)來評定設(shè)備的盜賬風(fēng)險，這就需要提取該時間段內(nèi)設(shè)備上歷史操作行為的全部用戶身份信息，特別是提取用戶身份解析地尤為重要。

在實際應(yīng)用中，一般可以根據(jù)操作行為平臺、操作行為請求、操作行為性質(zhì)等因素確定設(shè)備上用戶上述時間間隔(如30分鐘、2小時、12小時、1天、3天、7天等)。獲得這段時間內(nèi)歷史操作行為的用戶信息之后，就可以進一步解析各用戶的身份地域，在統(tǒng)計該時間段內(nèi)設(shè)備用戶身份解析地個數(shù)之后，就可以將其作為風(fēng)險評分模型的變量來進行評分。

S230、解析各用戶身份信息中表征的用戶身份解析地，統(tǒng)計該時間段內(nèi)設(shè)備用戶身份解析地個數(shù)。

如前文所述，當前操作行為前最近一段時間內(nèi)該設(shè)備上操作行為某支付平臺用 戶數(shù)的不同的身份解析地是一類非常有效和穩(wěn)定的變量，因此可將該時間段內(nèi)的設(shè)備用戶身份解析地個數(shù)的統(tǒng)計量作為變量輸入到風(fēng)險評分模型中評分，最終達到識別用戶賬號是否被盜的目的。

可以理解的是，用戶身份解析度的區(qū)分粒度對于評分模型的輸出結(jié)果存在較大關(guān)聯(lián)性。較優(yōu)地，本申請以城市為用戶身份解析地的區(qū)分粒度，使得盜賬風(fēng)險識別效果達到較為滿意的效果。

對于很多網(wǎng)絡(luò)操作行為平臺而言，用戶賬戶注冊需要進行實名認證，這對于提高網(wǎng)絡(luò)安全性是較為有利的。為此，本步驟S230根據(jù)各個用戶注冊信息中的證件類型和證件號碼，獲取用戶身份解析地并統(tǒng)計設(shè)備用戶身份解析地個數(shù)，具體是根據(jù)證件類型的種類，確定用戶身份解析地的解析方式：

若證件類型為中國境內(nèi)居民身份證，其前六位為縣(市)級行政區(qū)域，因此可以簡單地解析每一證件號碼的前六位來獲取用戶身份解析地，并據(jù)此統(tǒng)計設(shè)備用戶身份解析地個數(shù)；

若證件類型為中國境內(nèi)非居民身份證(如軍官證)或中國境外證件(如護照)時，無法直接識別用戶身份所在行政區(qū)域。但這種情況是比較少的，因此可以簡單地考慮推定每一證件類型或每一證件號碼對應(yīng)一個用戶身份解析地，并據(jù)此統(tǒng)計設(shè)備用戶身份解析地個數(shù)。當然，若建模時獲得這些證件類型的編號方式，則可以根據(jù)具體證件號碼來獲得用戶身份解析地，不再贅述。

值得注意的是，步驟S210中獲取的設(shè)備信息可能存在不同的情形：在大多數(shù)情況下，可以同時采集到多種設(shè)備信息，如MAC、IMEI等；但由于技術(shù)原因，某些場景或系統(tǒng)限制下無法采集操作行為時的設(shè)備信息；或者，操作行為時采集到的設(shè)備信息是一個明顯的熱點，需要予以排除；等等。針對這些情況，需要相應(yīng)地調(diào)整設(shè)備用戶身份解析地個數(shù)的解析及統(tǒng)計方式。

為此，步驟S220～S230中需要根據(jù)設(shè)備標識碼識別出的設(shè)備數(shù)量，來確定設(shè)備 用戶身份解析地個數(shù)的統(tǒng)計方式，具體是：

若識別出唯一設(shè)備，解析該唯一設(shè)備中每一用戶身份解析地，并統(tǒng)計該設(shè)備用戶身份解析地個數(shù)；

若識別出多個設(shè)備，分別解析各個設(shè)備中每一用戶身份解析地，并統(tǒng)計各個設(shè)備用戶身份解析地個數(shù)；

若未識別出設(shè)備，將設(shè)備用戶身份解析地個數(shù)計為0；

按照上述方式得到的設(shè)備用戶身份解析地個數(shù)，作為預(yù)設(shè)評分模型的輸入變量，引入到風(fēng)險評分模型來評定設(shè)備的盜賬風(fēng)險等級，以便實現(xiàn)通過歷史操作行為數(shù)據(jù)來衡量評分模型中變量對盜賬風(fēng)險的區(qū)分能力。

S240、以該時間段內(nèi)設(shè)備用戶身份解析地個數(shù)，確定當前操作行為是否存在賬號被盜的風(fēng)險。

通常地，以該時間段內(nèi)設(shè)備用戶身份解析地個數(shù)為預(yù)設(shè)評分模型的輸入變量，評定設(shè)備的盜賬風(fēng)險等級。該盜賬風(fēng)險等級表征賬號被盜的風(fēng)險，若盜賬風(fēng)險等級超過設(shè)定的閾值，認定賬號被盜；否則，認定賬號未被盜。

根據(jù)前述步驟S210～S230獲得操作行為前預(yù)設(shè)時間段內(nèi)設(shè)備用戶身份解析地個數(shù)的統(tǒng)計量后，就可以將其引入到風(fēng)險評分模型中評分而得到設(shè)備的盜賬風(fēng)險等級，由此實現(xiàn)對賬號被盜的風(fēng)險識別，以便及時采取處理措施來消除風(fēng)險。

通過以上過程實現(xiàn)了對設(shè)備的盜賬風(fēng)險等級評定之后，為了保證進一步提高盜賬風(fēng)險識別能力，本申請還進一步結(jié)合設(shè)備上全部用戶個數(shù)、當前操作行為用戶綁定手機號碼個數(shù)、當前用戶歷史操作行為設(shè)備個數(shù)、當前用戶歷史操作行為IP地址個數(shù)、當前用戶的當次操作行為用信息與歷史操作行為信息的差異和/或當次操作行為路由特征信息與歷史操作行為路由特征信息是否相同等要素，來評定當前操作行為用戶的盜賬風(fēng)險等級。這樣，在結(jié)合多種因素之后，本申請的盜賬風(fēng)險識別的能力大大提高。

本申請結(jié)合設(shè)備的盜賬風(fēng)險等級和當前操作行為用戶的盜賬風(fēng)險等級來計算賬號被盜風(fēng)險值，在風(fēng)險值大于預(yù)設(shè)閾值時識別為賬號被盜，并且在識別賬號被盜時輸出相應(yīng)的盜賬提示信息，以便由操作行為平臺和用戶及時進行處理，從而消除盜賬的安全隱患，避免造成財產(chǎn)損失或其它問題。

以上對賬號被盜的風(fēng)險識別方法(以下簡稱方法)進行了詳細描述。在此基礎(chǔ)上，本申請還相應(yīng)地提供賬號被盜的風(fēng)險識別裝置(以下簡稱裝置)，以下進行詳細的描述。

順便指出的是，本實施例裝置中如有描述不盡之處，請參見前文方法部分的描述內(nèi)容；同樣地，前述方法部分中如涉及到裝置的結(jié)構(gòu)，也可以引見以下的描述內(nèi)容。

參見圖3，示出了根據(jù)本申請一個實施例賬號被盜的風(fēng)險識別裝置。該裝置300由設(shè)備信息采集模塊310、用戶信息獲取模塊320、用戶身份解析模塊330及盜賬風(fēng)險評定模塊340等部分組成，以下對各部分進行說明。

設(shè)備信息采集模塊310，可以根據(jù)當前操作行為信息，采集操作行為登陸設(shè)備的設(shè)備信息。此處，該設(shè)備信息采集模塊310通過采集設(shè)備的設(shè)備標識碼，來獲取設(shè)備相應(yīng)的設(shè)備信息，具體根據(jù)設(shè)備的種類，確定設(shè)備信息的采集內(nèi)容，即：對于PC，采集MAC、IP和/或UMID；對于移動終端，采集MAC、IMEI、TID和/或手機號。

用戶信息獲取模塊320，可以針對操作行為前預(yù)設(shè)時間段內(nèi)，獲取設(shè)備上歷史操作行為的全部用戶身份信息。該用戶信息獲取模塊320獲得相應(yīng)時間段內(nèi)歷史操作行為的用戶信息之后，提供給用戶身份解析模塊330來解析各用戶的身份地域，并統(tǒng)計該時間段內(nèi)設(shè)備用戶身份解析地個數(shù)，之后就可以將其作為風(fēng)險評分模型的變量來進行評分。

用戶身份解析模塊330，可以解析各用戶身份信息中表征的用戶身份解析地， 統(tǒng)計該時間段內(nèi)設(shè)備用戶身份解析地個數(shù)。特別地，用戶身份解析模塊330以城市為用戶身份解析地的區(qū)分粒度，其用戶身份信息包括用戶注冊信息中的證件信息，并根據(jù)各個用戶注冊信息中的證件類型和證件號碼，獲取用戶身份解析地并統(tǒng)計設(shè)備用戶身份解析地個數(shù)，具體是根據(jù)證件類型的種類來確定用戶身份解析地的解析方式，具體而言：若證件類型為中國境內(nèi)居民身份證，解析每一證件號碼的前六位來獲取用戶身份解析地，并據(jù)此統(tǒng)計設(shè)備用戶身份解析地個數(shù)；若證件類型為中國境內(nèi)非居民身份證或中國境外證件時，推定每一證件類型或每一證件號碼對應(yīng)一個用戶身份解析地，并據(jù)此統(tǒng)計設(shè)備用戶身份解析地個數(shù)。

此外，該用戶身份解析模塊330可以根據(jù)設(shè)備信息采集模塊310通過設(shè)備標識碼識別出的設(shè)備數(shù)量，來確定設(shè)備用戶身份解析地個數(shù)的統(tǒng)計方式，即：若識別出唯一設(shè)備，解析統(tǒng)計該設(shè)備用戶身份解析地個數(shù)；若識別出多個設(shè)備，解析統(tǒng)計各設(shè)備用戶身份解析地個數(shù)；若未識別出設(shè)備，將設(shè)備用戶身份解析地個數(shù)計為0；由此得到的設(shè)備用戶身份解析地個數(shù)，作為盜賬風(fēng)險評定模塊340預(yù)設(shè)評分模型的輸入變量，來評定設(shè)備的盜賬風(fēng)險等級。

盜賬風(fēng)險評定模塊340，可以該時間段內(nèi)設(shè)備用戶身份解析地個數(shù)為預(yù)設(shè)評分模型的輸入變量，評定設(shè)備的盜賬風(fēng)險等級。該盜賬風(fēng)險評定模塊340進一步結(jié)合設(shè)備上全部用戶個數(shù)、當前操作行為用戶綁定手機號碼個數(shù)、當前用戶歷史操作行為設(shè)備個數(shù)、當前用戶歷史操作行為IP地址個數(shù)、當前用戶的當次操作行為用信息與歷史操作行為信息的差異和/或當次操作行為路由特征信息與歷史操作行為路由特征信息是否相同，來評定當前操作行為用戶的盜賬風(fēng)險等級。在此基礎(chǔ)上，該盜賬風(fēng)險評定模塊340通過結(jié)合設(shè)備的盜賬風(fēng)險等級和當前操作行為用戶的盜賬風(fēng)險等級來計算賬號被盜風(fēng)險值，在風(fēng)險值大于預(yù)設(shè)閾值時識別為賬號被盜。

以上對本申請賬號被盜的風(fēng)險識別裝置進行了描述，其具有較好的盜賬風(fēng)險識別區(qū)分能力，且風(fēng)險識別穩(wěn)定性較好。在此基礎(chǔ)上，本申請相應(yīng)構(gòu)建賬號被盜的風(fēng) 險防控系統(tǒng)，以下進行簡要進行描述。

參見圖4，出了根據(jù)本申請一個實施例賬號被盜的風(fēng)險防控系統(tǒng)。該風(fēng)險防控系統(tǒng)適用于用戶(圖未示出)與操作行為平臺(圖未示出)的操作行為風(fēng)險防控，其具有風(fēng)險識別裝置300、盜賬上報裝置200、風(fēng)險處理裝置100及案件數(shù)據(jù)庫400。

風(fēng)險防控系統(tǒng)各部分的連接關(guān)系如圖4所示，相應(yīng)的功能實現(xiàn)過程為：風(fēng)險識別裝置300計算操作行為平臺中賬號被盜風(fēng)險值，在風(fēng)險值大于預(yù)設(shè)閾值時識別賬號被盜；盜賬上報裝置200在風(fēng)險識別裝置100識別賬號被盜時，上報賬號被盜消息于風(fēng)險處理裝置400及用戶接收設(shè)備(如手機)500；風(fēng)險處理裝置100收到賬號被盜消息時，凍結(jié)用戶被盜賬號并攔截與被盜賬號關(guān)聯(lián)的風(fēng)險數(shù)據(jù)；案件數(shù)據(jù)庫400存放風(fēng)險處理裝置100攔截的風(fēng)險數(shù)據(jù)，以供風(fēng)險處理裝置300對風(fēng)險數(shù)據(jù)進行核查，以及風(fēng)險識別裝置300對評分模型進行校驗。

上述風(fēng)險防控系統(tǒng)中，風(fēng)險識別裝置300請參照圖3所示結(jié)構(gòu)，其它裝置可以選擇習(xí)知的設(shè)備或應(yīng)用程序。這種風(fēng)險防控系統(tǒng)可以及時識別用戶賬號被盜的風(fēng)險，一旦確認賬號被盜則可以及時進行處理，由此可以更好地為提供安全的網(wǎng)絡(luò)操作行為環(huán)境，因而具有較好的應(yīng)用價值。

在下面的描述中闡述了很多具體細節(jié)以便于充分理解本申請。但是本申請能夠以很多不同于在此描述的其它方式來實施，本領(lǐng)域技術(shù)人員可以在不違背本申請內(nèi)涵的情況下做類似推廣，因此本申請不受下面公開的具體實施例的限制。

請參見圖5，表示本申請實施例

本申請雖然以較佳實施例公開如上，但其并不是用來限定本申請，任何本領(lǐng)域技術(shù)人員在不脫離本申請的精神和范圍內(nèi)，都可以做出可能的變動和修改，因此本申請的保護范圍應(yīng)當以本申請權(quán)利要求所界定的范圍為準。

在一個典型的配置中，計算設(shè)備包括一個或多個處理模塊(CPU)、輸入/輸出接口、網(wǎng)絡(luò)接口和內(nèi)存。

內(nèi)存可能包括計算機可讀介質(zhì)中的非永久性存儲模塊，隨機存取存儲模塊(RAM)和/或非易失性內(nèi)存等形式，如只讀存儲模塊(ROM)或閃存(flash RAM)。內(nèi)存是計算機可讀介質(zhì)的示例。

1、計算機可讀介質(zhì)包括永久性和非永久性、可移動和非可移動媒體可以由任何系統(tǒng)或技術(shù)來實現(xiàn)信息存儲。信息可以是計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序的模塊或其他數(shù)據(jù)。計算機的存儲介質(zhì)的例子包括，但不限于相變內(nèi)存(PRAM)、靜態(tài)隨機存取存儲模塊(SRAM)、動態(tài)隨機存取存儲模塊(DRAM)、其他類型的隨機存取存儲模塊(RAM)、只讀存儲模塊(ROM)、電可擦除可編程只讀存儲模塊(EEPROM)、快閃記憶體或其他內(nèi)存技術(shù)、只讀光盤只讀存儲模塊(CD-ROM)、數(shù)字多功能光盤(DVD)或其他光學(xué)存儲、磁盒式磁帶，磁帶磁磁盤存儲或其他磁性存儲設(shè)備或任何其他非傳輸介質(zhì)，可用于存儲可以被計算設(shè)備訪問的信息。按照本文中的界定，計算機可讀介質(zhì)不包括非暫存電腦可讀媒體(transitory media)，如調(diào)制的數(shù)據(jù)信號和載波。

2、本領(lǐng)域技術(shù)人員應(yīng)明白，本申請的實施例可提供為系統(tǒng)、系統(tǒng)或計算機程序產(chǎn)品。因此，本申請可采用完全硬件實施例、完全軟件實施例或結(jié)合軟件和硬件方面的實施例的形式。而且，本申請可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲模塊、CD-ROM、光學(xué)存儲模塊等)上實施的計算機程序產(chǎn)品的形式。