黑产账户的识别方法、装置、设备和存储介质与流程

1.本技术涉及金融支付技术领域，特别是涉及一种黑产账户的识别方法、装置、设备和存储介质。


背景技术：

2.网络黑产是指以互联网为媒介，以网络技术为主要手段，为计算机信息系统安全和网络空间管理秩序等带来重大安全隐患的非法行为，比如伪卡盗刷、薅羊毛等。网络黑产通常是有组织、有规模、有分工的团伙组织，具有相对完整、成熟的产业利益链；其一般是使用群控软件，在一个房间内操控多台手机，实现批量的账户操作，给一些企业和机构造成了巨大的财产损失。
3.为了防范黑产账户，在传统的实现方式中，业界常见的做法是通过外部渠道获取已知的黑产账户信息，黑产账户信息创建账户黑名单，并设置风控业务规则；通过账户信息模糊匹配和规则预警的方式，识别出高风险账户，进而对其进行交易拦截。
4.然而，采用上述方式虽然对于拦截黑产账户起到了一定的作用，但是，由于它比较依赖于已知的黑产账户信息，不能主动识别未知来源的黑产账户，可能导致出现漏报的情况，存在黑产账户召回率较低，有效性方面不足的缺陷。


技术实现要素：

5.基于此，本技术提供了一种黑产账户的识别方法、装置、设备和存储介质，以解决黑产账户召回率较低，有效性方面不足的缺陷，达到提高黑产账户识别的召回率，减少漏报，降低企业或机构的财产损失的效果。
6.第一方面，提供一种黑产账户的识别方法，该方法包括：
7.获取实时交易系统的源账户信息；其中，源账户信息包括源账户id、源账户风险等级以及对应于源账户id的多个交易时间；
8.根据多个交易时间得到交易连续时间簇，根据交易连续时间簇和预置指标公式得到交易连续性指标；
9.获取预设时间周期内该源账户id对应的历史交易连续性指标平均值，根据历史交易连续性指标平均值和源账户风险等级得到交易连续性指标阈值；
10.将交易连续性指标和交易连续性指标阈值进行比较，在交易连续性指标大于等于交易连续性指标阈值时，确定当前源账户id为黑产账户，并自动生成交易异常信息回显于人机交互界面以预警。
11.根据本技术实施例中一种可实现的方式，根据多个交易时间得到交易连续时间簇，包括：
12.根据多个交易时间确定当前交易时间单位和当前交易时间基点；
13.根据当前交易时间单位和当前交易时间基点，将各交易时间和交易时间基点做差值运算，得到交易时间间隔序列；
14.根据交易时间间隔序列得到对应于源账户id的交易连续时间簇。
15.根据本技术实施例中一种可实现的方式，根据交易时间间隔序列得到对应于源账户id的交易连续时间簇，包括：
16.将交易时间间隔序列中重复的时间间隔值去掉，得到持续递增的交易时间间隔递增序列；
17.根据交易时间间隔递增序列生成交易时间间隔索引序列；
18.将交易时间间隔递增序列中的时间间隔递增值与交易时间间隔索引序列中的递增索引号分别对应做差值运算得到交易时间差值序列；
19.将交易时间差值序列中的交易时间差值进行分组，交易时间差值相同的为一组，得到对应于交易时间间隔递增序列的至少一个交易连续时间簇。
20.根据本技术实施例中一种可实现的方式，根据交易连续时间簇和预置指标公式得到交易连续性指标，包括：
21.根据交易连续时间簇内的交易时间间隔值的个数之和得到该交易连续时间簇的持续时长；
22.统计交易时间间隔序列中各时间间隔值的交易并发量，根据各时间间隔值的交易并发量得到对应的交易连续时间簇的连续并发量；
23.根据交易连续时间簇的持续时长、交易连续时间簇的连续并发量以及预置指标公式得到交易连续性指标。
24.根据本技术实施例中一种可实现的方式，根据交易连续时间簇的持续时长、交易连续时间簇的连续并发量以及预置指标公式得到交易连续性指标，包括：
25.根据交易连续时间簇的个数确定交易连续时间簇的时间间隔；
26.在交易连续时间簇的个数为一个时，交易连续时间簇的时间间隔为1；
27.在交易连续时间簇的个数大于一个时，将相邻两个交易连续时间簇中后一个交易连续时间簇的最早交易时间间隔值和前一个交易连续时间簇的最晚交易时间间隔值做差值运算，得到相邻两个交易连续时间簇的时间间隔；
28.根据交易连续时间簇的持续时长、交易连续时间簇的连续并发量、交易连续时间簇的时间间隔以及预置指标公式得到交易连续性指标。
29.根据本技术实施例中一种可实现的方式，获取预设时间周期内该源账户id对应的历史交易连续性指标平均值，根据历史交易连续性指标平均值和源账户风险等级得到交易连续性指标阈值，包括：
30.获取预设时间周期内该源账户id对应的历史交易连续性指标，根据历史交易连续性指标得到历史交易连续性指标平均值；
31.根据源账户风险等级和预置弹性公式得到历史交易时间弹性值；
32.将交易连续性指标平均值和历史交易时间弹性值做加和运算，得到交易连续性指标阈值。
33.根据本技术实施例中一种可实现的方式，该方法还包括：
34.获取黑产账户的黑产交易记录和实时交易系统内其它正常账户的正常交易记录；
35.根据对正常账户的预设约束条件、预设同步时间窗口、黑产交易记录、以及对应于预设约束条件下的正常账户的正常交易记录；结合预设交易同步性指标公式得到黑产账户
和其它正常账户的交易同步性指标；
36.将交易同步性指标和预设同步性指标进行比较，在交易同步性指标大于等于预设同步性指标时，确定该正常账户为黑产账户的关联账户，并自动生成关联异常信息回显于人机交互界面以预警。
37.第二方面，提供了一种黑产账户的识别装置，该装置包括：
38.获取模块，用于获取实时交易系统的源账户信息；其中，源账户信息包括源账户id、源账户风险等级以及对应于源账户id的多个交易时间；
39.指标模块，用于根据多个交易时间得到交易连续时间簇，根据交易连续时间簇和预置指标公式得到交易连续性指标；
40.指标阈值模块，用于获取预设时间周期内该源账户id对应的历史交易连续性指标平均值，根据历史交易连续性指标平均值和源账户风险等级得到交易连续性指标阈值；
41.判断模块，用于将交易连续性指标和交易连续性指标阈值进行比较，在交易连续性指标大于等于交易连续性指标阈值时，确定当前源账户id为黑产账户，并自动生成交易异常信息回显于人机交互界面以预警。
42.第三方面，提供了一种计算机设备，包括：
43.至少一个处理器；以及
44.与至少一个处理器通信连接的存储器；其中，
45.存储器存储有可被至少一个处理器执行的计算机指令，计算机指令被至少一个处理器执行，以使至少一个处理器能够执行上述第一方面中涉及的方法。
46.第四方面，提供了一种计算机可读存储介质，其上存储有计算机指令，其特征在于，计算机指令用于使计算机执行上述第一方面中涉及的方法。
47.根据本技术实施例所提供的技术内容，通过获取实时交易系统的源账户信息；其中，源账户信息包括源账户id、源账户风险等级以及对应于源账户id的多个交易时间；根据多个交易时间得到交易连续时间簇，根据交易连续时间簇和预置指标公式得到交易连续性指标；获取预设时间周期内该源账户id对应的历史交易连续性指标平均值，根据历史交易连续性指标平均值和源账户风险等级得到交易连续性指标阈值；将交易连续性指标和交易连续性指标阈值进行比较，在交易连续性指标大于等于交易连续性指标阈值时，确定当前源账户id为黑产账户，并自动生成交易异常信息回显于人机交互界面以预警。以上操作，可基于账户交易时间的连续性准确的识别出可疑的黑产账户，极大地提升了黑产账户识别的召回率，以达到减少漏报，降低企业或组织的资金损失的效果。
附图说明
48.图1为一个实施例中一种黑产账户的识别方法的流程示意图一；
49.图2为一个实施例中一种黑产账户的识别方法的流程示意图二；
50.图3为一个实施例中一种黑产账户的识别方法的优选流程示意图；
51.图4为一个实施例中一种黑产账户的识别装置的结构框图；
52.图5为一个实施例中计算机设备的示意性结构图。
具体实施方式
53.以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
54.图1为本技术实施例提供的一种黑产账户的识别方法的流程图，该方法可以由服务器执行。该方法可以包括以下步骤：
55.步骤101：获取实时交易系统的源账户信息。
56.其中，源账户信息包括但不限于源账户id、源账户风险等级、对应于源账户id的多个交易时间、目标账户、交易业务类型、交易金额、交易业务场景以及交易状态等。
57.具体地，获取实时交易系统的源账户信息，从源账户信息中提取关键信息要素，这里的关键信息要素可以是对应于源账户id的多个交易时间。
58.步骤103：根据多个交易时间得到交易连续时间簇，根据交易连续时间簇和预置指标公式得到交易连续性指标。
59.其中，交易连续时间簇可以是一个或多个，具体由多个交易时间的时间间隔来决定。
60.这里，交易时间通常为年-月-日时:分:秒的格式，为了便于后期的连续性分析，会将其转换为十进制的年/月/日/时/分/秒。根据多个转化后的交易时间得到交易连续时间簇，再根据交易连续时间簇和预置指标公式得到对应于该源账户id的交易连续性指标。
61.步骤105：获取预设时间周期内该源账户id对应的历史交易连续性指标平均值，根据历史交易连续性指标平均值和源账户风险等级得到交易连续性指标阈值。
62.其中，历史交易连续性指标平均值为该源账户id在历史时间周期内的多个历史交易连续性指标的平均值。
63.这里，在获取到源账户信息后，还需从源账户信息中提取源账户风险等级的关键信息要素。根据历史交易连续性指标平均值和源账户风险等级得到交易连续性指标阈值，以便于和交易连续性指标进行对比。
64.步骤107：将交易连续性指标和交易连续性指标阈值进行比较，在交易连续性指标大于等于交易连续性指标阈值时，确定当前源账户id为黑产账户，并自动生成交易异常信息回显于人机交互界面以预警。
65.这里，将交易连续性指标和交易连续性指标阈值进行比较，在交易连续性指标大于等于交易连续性指标阈值时，确定当前源账户id为黑产账户，并自动生成交易异常信息回显于人机交互界面以预警。再由工作人员进行进一步的审核，若确认有风险，将该源账户信息录入黑产账户名单管理模块。其中，黑产账户名单管理模块负责黑产账户的管理和维护，其包括黑产账户自身信息和黑产账户持有者信息。而黑产账户自身信息包括但不限于账户号码、账户名称、开户行、账户类型以及账户等级等；黑产账户持有者信息包括但不限于个人或企业名称、个人的身份证号或企业的社会统一信用代码、行业、地址以及信用等级等。
66.可以看出，本技术实施例通过获取实时交易系统的源账户信息；其中，源账户信息包括源账户id、源账户风险等级以及对应于源账户id的多个交易时间；根据多个交易时间得到交易连续时间簇，根据交易连续时间簇和预置指标公式得到交易连续性指标；获取预设时间周期内该源账户id对应的历史交易连续性指标平均值，根据历史交易连续性指标平
均值和源账户风险等级得到交易连续性指标阈值；将交易连续性指标和交易连续性指标阈值进行比较，在交易连续性指标大于等于交易连续性指标阈值时，确定当前源账户id为黑产账户，并自动生成交易异常信息回显于人机交互界面以预警。以上操作，可基于账户交易时间的连续性准确的识别出可疑的黑产账户，极大地提升了黑产账户识别的召回率，以达到减少漏报，降低企业或组织的资金损失的效果。
67.下面先对上述方法流程中的步骤103中“根据多个交易时间得到交易连续时间簇”进行详细描述。
68.根据多个交易时间确定当前交易时间单位和当前交易时间基点；根据当前交易时间单位和当前交易时间基点，将各交易时间和交易时间基点做差值运算，得到交易时间间隔序列；将交易时间间隔序列中重复的时间间隔值去掉，得到持续递增的交易时间间隔递增序列；根据交易时间间隔递增序列生成交易时间间隔索引序列；将交易时间间隔递增序列中的时间间隔递增值与交易时间间隔索引序列中的递增索引号分别对应做差值运算得到交易时间差值序列；将交易时间差值序列中的交易时间差值进行分组，交易时间差值相同的为一组，得到对应于交易时间间隔递增序列的至少一个交易连续时间簇。
69.其中，当前交易时间单位可以是所分析的交易时间粒度，如果按天分析，当前交易时间单位即为天；如果按小时分析，当前交易时间单位即为小时，以此类推。当前时间基点可以是所分析的交易时间参考点即交易时间起点，可以指定一个较古老的时间点作为当前交易时间基点，例如1900年1月1日0时0分0秒，也可以将当前分析的最小交易时间作为当前交易时间基点。
70.这里，根据多个交易时间确定当前交易时间单位和当前交易时间基点，为了便于理解，以表格一举例说明一下。例如，当前获取的源账户信息如下表格：
71.[0072][0073]
表格一
[0074]
以上述表格一为例，根据多个交易时间确定当前交易时间单位为秒，即按照秒来分析交易时间的连续性，由于当前最小的交易时间为2020-08-2615:08:01，即当前交易时间基点可以是2020-08-2615:08:01。
[0075]
根据当前交易时间单位和当前交易时间基点，将各交易时间和交易时间基点做差值运算，得到交易时间间隔序列。其中，交易时间间隔序列中包含多个交易时间和当前交易时间基点的差值即各交易时间和当前交易时间基点之间的时间间隔值。以表格一为例，得到的交易时间间隔序列为[0,2,3,6,7,8,8,14,15,15,15,16,17,18]，并且需要说明的是由于交易时间是不断向前推进的，因此，交易时间间隔序列中的时间间隔值一定是非递减的，要么递增亦或者保持不变。
[0076]
由于源账户id在同一交易时间内可能有多笔交易，例如，表格一中2020-08-2615:08:09就有两笔交易(第6行和第7行)，2020-08-2615:08:16有三笔交易(第9至11行)，这就导致交易时间间隔序列中存在重复的时间间隔值，则将交易时间间隔序列中重复的时间间隔值去掉，得到持续递增的交易时间间隔递增序列，这里用timelist表示，即timelist＝[0,2,3,6,7,8,14,15,16,17,18]。
[0077]
根据交易时间间隔递增序列生成交易时间间隔索引序列。由于索引是指元素在列
表中所处的位置，一般从第0位开始统计；例如，上述timelist共有11个元素，分别处在交易时间间隔递增序列中的第0位、第1位、第2位、
……
、第10位。则timelist对应的时间间隔索引序列用indexlist表示，即indexlist＝[0,1,2,3,4,5,6,7,8,9,10]。将交易时间间隔递增序列中的时间间隔递增值与交易时间间隔索引序列中的递增索引号分别对应做差值运算得到交易时间差值序列，如下表所示：
[0078]
timelist0236781415161718indexlist012345678910timelist-indexlist01133388888
[0079]
这里交易时间差值序列用difflist表示，则
[0080]
difflist＝timelist-indexlist＝[0,1,1,3,3,3,8,8,8,8,8]。
[0081]
将交易时间差值序列中的交易时间差值进行分组，交易时间差值相同的为一组，具体分组结果如下：
[0082]
第一组：交易时间差值为0，对应的递增索引号为[0]，用indexgroup1表示；
[0083]
第二组：交易时间差值为1，对应的递增索引号为[1,2]，用indexgroup2表示；
[0084]
第三组：交易时间差值为3，对应的递增索引号为[3,4,5]，用indexgroup3表示；
[0085]
第四组：交易时间差值为8，对应的递增索引号为[6,7,8,9,10]，用indexgroup4表示。
[0086]
通过上述分组操作得到indexgroup1-indexgroup4四个组，根据indexgroup1-indexgroup4四个组可得到对应的交易时间间隔递增序列的分组，具体表示如下：
[0087]
timegroup1＝[0]；
[0088]
timegroup2＝[2,3]；
[0089]
timegroup3＝[6,7,8]；
[0090]
timegroup4＝[14,15,16,17,18]。
[0091]
上述timegroup1-timegroup4即为四个交易连续时间簇，当然，交易连续时间簇的数量具体是由最初的交易时间决定的，但是至少可以有一个交易连续时间簇。
[0092]
通过上述操作，可以基于源账户id对应的多个交易时间的连续性，得到至少一个交易连续时间簇，以为后期黑产账户的识别做准备。
[0093]
再结合实施例对上述步骤203中“根据交易连续时间簇和预置指标公式得到交易连续性指标”进行详细描述。
[0094]
根据交易连续时间簇内的交易时间间隔值的个数之和得到该交易连续时间簇的持续时长；统计交易时间间隔序列中各时间间隔值的交易并发量，根据各时间间隔值的交易并发量得到对应的交易连续时间簇的连续并发量；根据交易连续时间簇的个数确定交易连续时间簇的时间间隔；在交易连续时间簇的个数为一个时，交易连续时间簇的时间间隔为1；在交易连续时间簇的个数大于一个时，将相邻两个交易连续时间簇中后一个交易连续时间簇的最早交易时间间隔值和前一个交易连续时间簇的最晚交易时间间隔值做差值运算，得到相邻两个交易连续时间簇的时间间隔；根据交易连续时间簇的持续时长、交易连续时间簇的连续并发量、交易连续时间簇的时间间隔以及预置指标公式得到交易连续性指标。
[0095]
其中，一个交易连续时间簇的持续时长为该交易连续时间簇内交易时间间隔值的
个数之和，继续参照上述实例，四个交易连续时间簇的持续时长具体表示如下：
[0096]
timegroup1＝[0]持续时长为1秒；
[0097]
timegroup2＝[2,3]持续时长为2秒；
[0098]
timegroup3＝[6,7,8]持续时长为3秒；
[0099]
timegroup4＝[14,15,16,17,18]持续时长为5秒。
[0100]
具体地，由于交易时间间隔序列为[0,2,3,6,7,8,8,14,15,15,15,16,17,18]，统计交易时间间隔序列中各时间间隔值的交易并发量即对应交易时间间隔序列中重复的交易时间间隔值的次数，这里，用tpsdict表示交易时间间隔值与交易并发量构成的键值对组合，即tpsdict＝{0:1,2:1,3:1,6:1,7:1,8:2,14:1,15:3,16:1,17:1,18:1}。根据各时间间隔值的交易并发量得到对应的交易连续时间簇的连续并发量，即一个交易连续时间簇的交易并发量为该交易连续时间簇内交易并发量的个数之和，具体表达式如下：
[0101]
timegroup1的交易并发量为tpsdict[0]＝1；
[0102]
timegroup2的交易并发量为tpsdict[2] tpsdict[3]＝1 1＝2；
[0103]
timegroup3的交易并发量为tpsdict[6] tpsdict[7] tpsdict[8]＝1 1 2＝4；
[0104]
timegroup4＝的交易并发量为tpsdict[14] tpsdict[15] tpsdict[16] tpsdict[17] tpsdict[18]＝1 3 1 1 1＝7。
[0105]
根据交易连续时间簇的个数确定交易连续时间簇的时间间隔；在交易连续时间簇的个数为一个时，则交易连续时间簇的时间间隔直接认为是1，不需要再进行详细的计算。
[0106]
在交易连续时间簇的个数大于一个时，将相邻两个交易连续时间簇中后一个交易连续时间簇的最早交易时间间隔值和前一个交易连续时间簇的最晚交易时间间隔值做差值运算，得到相邻两个交易连续时间簇的时间间隔。这里仍以上述四个交易连续时间簇为例，具体表示如下：
[0107]
timegroup1与timegroup2的交易连续时间簇的时间间隔为2-0＝2秒；
[0108]
timegroup2与timegroup3的交易连续时间簇的时间间隔为6-3＝3秒；
[0109]
timegroup3与timegroup4的交易连续时间簇的时间间隔为14-8＝6秒。
[0110]
根据交易连续时间簇的持续时长、交易连续时间簇的连续并发量、交易连续时间簇的时间间隔以及预置指标公式得到交易连续性指标。
[0111]
这里，预设指标公式的表达式如下：
[0112][0113]
其中，li表示第i个交易连续时间簇的持续时长；mi表示第i个交易连续时间簇的连续并发量；d
i～i 1
表示第i个交易连续时间簇与第i 1个交易连续时间簇之间的时间间隔；n表示n个交易连续时间簇；当为n个交易连续时间簇，则l＝(l1,l2,
…
,ln)；m＝(m1,m2,
…
,mn)；d＝(d
1～2
,d
2～3
,
…
,dn-1
～n)。norm为归一化函数，其作用为将交易连续性指标映射到[0,1]区间内，以便于后期的分析。这里需要说明的是，当交易连续时间簇的个数为一个时，理论上d
i～i 1
不存在，此时默认d
i～i 1
＝1。
[0114]
由上述预设指标公式可知，引发交易连续性指标高的一般为以下几种情况：
[0115]
1)交易连续时间簇的持续时长较长，即l值较大。
[0116]
例如，一个源账户id连续50秒每秒都有交易，那么该源账户id就会有一个持续时长为50的交易连续时间簇，又因为pst与交易连续时间簇的持续时长l成正比，所以l值越大，pst越大。
[0117]
2)交易连续时间簇的持续并发量较高，即m值较大。
[0118]
例如，一个源账户id的交易连续时间簇的持续时长不长只有两秒，但两秒内交易次数高达100次，那么源账户id就会有一个连续并发量为100的交易连续时间簇，因为pst与交易连续时间簇的交易并发量m也成正比，所以m值越大，pst也越大。
[0119]
3)多个相邻交易连续时间簇的时间间隔较短，即d
i～i 1
值较小。
[0120]
例如，一个是黑产账户的源账户id为了增强伪装，可能会间歇地发起交易，但是由于黑产账户一般受资源和时间的限制，需要在短时间内完成此任务。因此，该源账户id相邻交易之间的时间间隔通常比正常账户的交易时间间隔要短。由于pst与相邻交易连续时间簇的时间间隔d
i～i 1
成反比，所以d
i～i 1
值越小，pst越大。
[0121]
因此，通过上述操作，便可准确的计算出交易连续性指标，且该交易连续性指标可以针对性的满足黑产账户的不同情况，以达到提高黑产账户识别的召回率的效果。
[0122]
最后结合实施例对上述步骤105中“获取预设时间周期内该源账户id对应的历史交易连续性指标平均值，根据历史交易连续性指标平均值和源账户风险等级得到交易连续性指标阈值”进行详细描述。
[0123]
获取预设时间周期内该源账户id对应的历史交易连续性指标，根据历史交易连续性指标得到历史交易连续性指标平均值；根据源账户风险等级和预置弹性公式得到历史交易时间弹性值；将交易连续性指标平均值和历史交易时间弹性值做加和运算，得到交易连续性指标阈值。
[0124]
其中，预设时间周期一般可以为一个月。
[0125]
获取预设时间周期内该源账户id对应的历史交易连续性指标，将历史交易连续性指标做加和运算再求平均得到历史交易连续性指标平均值。根据源账户风险等级和预置弹性公式得到历史交易时间弹性值。这里，源账户风险等级是可以直接从源账户信息中得到的表示为rs，预置弹性公式表示为f(x)，则历史交易时间弹性值表示为f(rs)。需要说明的是：预置弹性公式f(x)的表达式是根据源账户历史交易数据进行建模分析得到的。
[0126]
将交易连续性指标平均值和历史交易时间弹性值做加和运算，得到交易连续性指标阈值，具体的表达式如下：
[0127]
pst
threshold
＝pst
avg
f(rs)
[0128]
其中，pst
threshold
表示交易连续性指标阈值，pst
avg
表示历史交易连续性指标平均值，f(rs)表示根据rs得到的历史交易时间弹性值，且该值大于等于0。
[0129]
通过上述操作，得到的交易连续性指标阈值更为准确，以便于准确的对超出交易连续性指标阈值的源账户id进行预警。
[0130]
在一些实施例中，该方法还包括：
[0131]
步骤201，获取黑产账户的黑产交易记录和实时交易系统内其它正常账户的正常交易记录。
[0132]
其中，黑产交易记录可以是黑产账户的各交易时间；正常交易记录是对应于正常账户的交易时间。
[0133]
由于黑产账户的交易记录除了其交易时间具有连续性的特点之外，还往往具有一定的同步性，因为黑产通常是有组织、有规模的团伙行动，由幕后指挥控制大量黑产账户在较短的时间范围内完成规定的任务，因此，同一个团伙的黑产账户通常会在相同或相近的时间窗口内执行相似的活动。可能有些黑产账户是新加入的或者伪装性很强的，其交易时间并没有表现出显著的持续性，从而，绕过了对黑产账户的预警操作，这种情况下，可以通过时空关联分析挖掘出与黑产账户具有同步关联行为的潜在黑产账户。
[0134]
例如，实时交易系统共有10个源账户id，其中源账户id为a1的因交易时间的连续性超出交易连续性指标阈值而预警，被确认为黑产账户，另外9个源账户id(a2～a9)未超出交易连续性指标阈值未预警。为了挖掘出与黑产账户具有同步关联交易行为的潜在黑产账户，需要计算黑产账户a1与各正常账户a2～a9之间的交易同步性指标。因此，需要获取黑产账户的黑产交易记录和实时交易系统内其它正常账户的正常交易记录。
[0135]
步骤203，根据对正常账户的预设约束条件、预设同步时间窗口、黑产交易记录、以及对应于预设约束条件下的正常账户的正常交易记录；结合预设交易同步性指标公式得到黑产账户和其它正常账户的交易同步性指标。
[0136]
这里，预设交易同步性指标公式的表达式如下：
[0137][0138]
其中，ai表示黑产账户；aj表示正常账户；ck表示预设约束条件；表示黑产账户ai在预设约束条件下的黑产交易记录的集合；表示正常账户aj在预设约束条件下的正常交易记录的集合；表示黑产账户ai和正常账户aj在预设约束条件ck下交易同步的次数；表示黑产账户ai和正常账户aj在预设约束条件ck下交易次数之和。
[0139]
具体以正常账户a2，举例说明一下黑产账户a1与正常账户a2的同步性指标syn的计算过程。
[0140]
例如，预设约束条件c＝{目标账户：a4}，预设同步时间窗口大小δt＝1小时，即仅分析黑产账户a1对应于目标账户a4的黑产交易记录和正常账户a2对应于目标账户a4的正常交易记录，如果黑产账户a1对应于目标账户a4的某次黑产交易记录和正常账户a2对应于目标账户a4的某次正常交易记录的时间间隔不超过1小时，则认为黑产账户a1和正常账户a2的交易时间是同步的。
[0141]
例如黑产账户a1与目标账户a4有5条交易记录，如下表格1所示：
[0142]
源账户目标账户交易时间a1a42020-08-2615:08:01a1a42020-08-2616:12:32a1a42020-08-2616:13:56a1a42020-08-2617:45:41a1a42020-08-2617:18:33
[0143]
表格1
[0144]
黑产账户a2与目标账户a4有4条交易记录：如下表格2所示：
[0145]
源账户目标账户交易时间a2a42020-08-2613:08:03a2a42020-08-2614:12:38a2a42020-08-2616:13:54a2a42020-08-2618:45:42
[0146]
表格2
[0147]
根据黑产账户a1的黑产交易记录计算预设同步时间窗口的起止时间，如下表格3所示：
[0148][0149]
表格3
[0150]
即黑产账户a1在预设约定条件ck下有5个交易同步时间窗口，分别是：
[0151]
synt1＝2020-08-2614:08:01至2020-08-2616:08:01；
[0152]
synt2＝2020-08-2615:12:32至2020-08-2617:12:32；
[0153]
synt3＝2020-08-2615:13:56至2020-08-2617:13:56；
[0154]
synt4＝2020-08-2616:45:41至2020-08-2618:45:41；
[0155]
synt5＝2020-08-2616:58:33至2020-08-2618:58:33；
[0156]
由上可知，上述5个交易同步时间窗口之间相互有重叠，求其并集得到总的交易同步时间窗口syntall＝synt1∪synt2∪synt3∪synt4∪synt5。
[0157]
接着计算正常账户a2在预设约定条件ck下的正常交易时间落到交易同步时间窗口syntall内的次数。由表格2可知正常账户a2在预设约定条件ck下的正常交易时间有4个，分别是：2020-08-2613:08:03、2020-08-2614:12:38、2020-08-2616:13:54以及2020-08-2618:45:42，可以确定2020-08-2614:12:38、2020-08-2616:13:54、2020-08-2618:45:42均落在了总的交易同步时间窗口syntall内，则的交集即为3，而的并集即为4 5-3＝6。
[0158]
因此，黑产账户a1和正常账户a2的在预设约束条件ck下的交易性同步指标为0.5。以此类推，可以得到各正常账户与黑产账户之间的同步性指标。
[0159]
步骤205，将交易同步性指标和预设同步性指标进行比较，在交易同步性指标大于等于预设同步性指标时，确定该正常账户为黑产账户的关联账户，并自动生成关联异常信息回显于人机交互界面以预警。
[0160]
其中，预设同步性指标是工作人员根据经验提前预置的。
[0161]
这里，将交易同步性指标和预设同步性指标进行比较，在交易同步性指标大于等于预设同步性指标时，确定该正常账户为黑产账户的关联账户，并自动生成关联异常信息回显于人机交互界面以预警，其后续操作同上述对黑产账户a1的操作，此处不再赘述；在交易同步性指标小于预设同步性指标时，确定正常账户a2正常，不需要再对其进行任何操作。
[0162]
通过上述操作，根据已知的黑产账户与其他正常账户之间的交易同步性指标，交易同步性指标越高，说明两者属于同一黑产团伙的概率越大，进而准确地挖掘出更多可疑的黑产团伙账户，以达到提高黑产账户识别的召回率，减少漏报，降低企业或机构的财产损失的效果。
[0163]
结合上述实施例中的实现方式，下面结合图3对本技术实施例提供的一优选的方法流程进行举例描述。如图3所示，该方法可以包括以下步骤：
[0164]
步骤301，获取实时交易系统的源账户信息；其中，源账户信息包括源账户id、源账户风险等级以及对应于源账户id的多个交易时间。
[0165]
步骤302，根据多个交易时间确定当前交易时间单位和当前交易时间基点。
[0166]
步骤303，根据当前交易时间单位和当前交易时间基点，将各交易时间和交易时间基点做差值运算，得到交易时间间隔序列。
[0167]
步骤304，将交易时间间隔序列中重复的时间间隔值去掉，得到持续递增的交易时间间隔递增序列。
[0168]
步骤305，根据交易时间间隔递增序列生成交易时间间隔索引序列。
[0169]
步骤306，将交易时间间隔递增序列中的时间间隔递增值与交易时间间隔索引序列中的递增索引号分别对应做差值运算得到交易时间差值序列。
[0170]
步骤307，将交易时间差值序列中的交易时间差值进行分组，交易时间差值相同的为一组，得到对应于交易时间间隔递增序列的至少一个交易连续时间簇。
[0171]
步骤308，根据交易连续时间簇内的交易时间间隔值的个数之和得到该交易连续时间簇的持续时长。
[0172]
步骤309，统计交易时间间隔序列中各时间间隔值的交易并发量，根据各时间间隔值的交易并发量得到对应的交易连续时间簇的连续并发量。
[0173]
步骤310，根据交易连续时间簇的个数确定交易连续时间簇的时间间隔；在交易连续时间簇的个数为一个时，执行步骤311；在交易连续时间簇的个数大于一个时，执行步骤312。
[0174]
步骤311，交易连续时间簇的时间间隔为1。
[0175]
步骤312，将相邻两个交易连续时间簇中后一个交易连续时间簇的最早交易时间间隔值和前一个交易连续时间簇的最晚交易时间间隔值做差值运算，得到相邻两个交易连续时间簇的时间间隔。
[0176]
步骤313，根据交易连续时间簇的持续时长、交易连续时间簇的连续并发量、交易连续时间簇的时间间隔以及预置指标公式得到交易连续性指标。
[0177]
步骤314，获取预设时间周期内该源账户id对应的历史交易连续性指标，根据历史交易连续性指标得到历史交易连续性指标平均值。
[0178]
步骤315，根据源账户风险等级和预置弹性公式得到历史交易时间弹性值。
[0179]
步骤316，将交易连续性指标平均值和历史交易时间弹性值做加和运算，得到交易连续性指标阈值。
[0180]
步骤317，将交易连续性指标和交易连续性指标阈值进行比较，在交易连续性指标大于等于交易连续性指标阈值时，执行步骤318；在交易连续性指标小于交易连续性指标阈值时，执行步骤319。
[0181]
步骤318，确定当前源账户id为黑产账户，并自动生成交易异常信息回显于人机交互界面以预警。
[0182]
步骤319，确定当前源账户id为正常账户，不需要做任何处理。
[0183]
应该理解的是，虽然图1-图3的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本技术中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图1-图3中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
[0184]
上述方法实施例可以应用于多种应用场景，例如可以包括但不限于b2c电商、公共费用缴纳以及信贷放还款等业务场景。
[0185]
图4为本技术实施例提供的一种黑产账户识别装置的结构示意图，用以执行如图1-图3中所示的方法流程。如图4所示，该装置可以包括：获取模块401、指标模块403、指标阈值模块405以及判断模块407。其中各组成模块的主要功能如下：
[0186]
获取模块401，用于获取实时交易系统的源账户信息；其中，源账户信息包括源账户id、源账户风险等级以及对应于源账户id的多个交易时间；
[0187]
指标模块403，用于根据多个交易时间得到交易连续时间簇，根据交易连续时间簇和预置指标公式得到交易连续性指标；
[0188]
指标阈值模块405，用于获取预设时间周期内该源账户id对应的历史交易连续性指标平均值，根据历史交易连续性指标平均值和源账户风险等级得到交易连续性指标阈值；
[0189]
判断模块407，用于将交易连续性指标和交易连续性指标阈值进行比较，在交易连续性指标大于等于交易连续性指标阈值时，确定当前源账户id为黑产账户，并自动生成交易异常信息回显于人机交互界面以预警。
[0190]
在一些实施例中，指标模块403，还用于：
[0191]
根据多个交易时间确定当前交易时间单位和当前交易时间基点；
[0192]
根据当前交易时间单位和当前交易时间基点，将各交易时间和交易时间基点做差值运算，得到交易时间间隔序列；
[0193]
根据交易时间间隔序列得到对应于源账户id的交易连续时间簇。
[0194]
在一些实施例中，指标模块403，还用于：
[0195]
将交易时间间隔序列中重复的时间间隔值去掉，得到持续递增的交易时间间隔递增序列；
[0196]
根据交易时间间隔递增序列生成交易时间间隔索引序列；
[0197]
将交易时间间隔递增序列中的时间间隔递增值与交易时间间隔索引序列中的递增索引号分别对应做差值运算得到交易时间差值序列；
[0198]
将交易时间差值序列中的交易时间差值进行分组，交易时间差值相同的为一组，得到对应于交易时间间隔递增序列的至少一个交易连续时间簇。
[0199]
在一些实施例中，指标模块403，还用于：
[0200]
根据交易连续时间簇内的交易时间间隔值的个数之和得到该交易连续时间簇的持续时长；
[0201]
统计交易时间间隔序列中各时间间隔值的交易并发量，根据各时间间隔值的交易并发量得到对应的交易连续时间簇的连续并发量；
[0202]
根据交易连续时间簇的持续时长、交易连续时间簇的连续并发量以及预置指标公式得到交易连续性指标。
[0203]
在一些实施例中，指标模块403，还用于：
[0204]
根据交易连续时间簇的个数确定交易连续时间簇的时间间隔；
[0205]
在交易连续时间簇的个数为一个时，交易连续时间簇的时间间隔为1；
[0206]
在交易连续时间簇的个数大于一个时，将相邻两个交易连续时间簇中后一个交易连续时间簇的最早交易时间间隔值和前一个交易连续时间簇的最晚交易时间间隔值做差值运算，得到相邻两个交易连续时间簇的时间间隔；
[0207]
根据交易连续时间簇的持续时长、交易连续时间簇的连续并发量、交易连续时间簇的时间间隔以及预置指标公式得到交易连续性指标。
[0208]
在一些实施例中，指标阈值模块405，还用于：
[0209]
获取预设时间周期内该源账户id对应的历史交易连续性指标，根据历史交易连续性指标得到历史交易连续性指标平均值；
[0210]
根据源账户风险等级和预置弹性公式得到历史交易时间弹性值；
[0211]
将交易连续性指标平均值和历史交易时间弹性值做加和运算，得到交易连续性指标阈值。
[0212]
在一些实施例中，该装置还用于：
[0213]
获取黑产账户的黑产交易记录和实时交易系统内其它正常账户的正常交易记录；
[0214]
根据对正常账户的预设约束条件、预设同步时间窗口、黑产交易记录、以及对应于预设约束条件下的正常账户的正常交易记录；结合预设交易同步性指标公式得到黑产账户和其它正常账户的交易同步性指标；
[0215]
将交易同步性指标和预设同步性指标进行比较，在交易同步性指标大于等于预设同步性指标时，确定该正常账户为黑产账户的关联账户，并自动生成关联异常信息回显于人机交互界面以预警。
[0216]
上述各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0217]
需要说明的是，本技术实施例中可能会涉及到对用户数据的使用，在实际应用中，可以在符合所在国的适用法律法规要求的情况下(例如用户明确同意，对用户切实通知，用户明确授权等)，在适用法律法规允许的范围内在本文描述的方案中使用用户特定的个人数据。
[0218]
根据本技术的实施例，本技术还提供了一种计算机设备、一种计算机可读存储介质。
[0219]
如图5所示，是根据本技术实施例的计算机设备的框图。计算机设备旨在表示各种形式的数字计算机或移动装置。其中数字计算机可以包括台式计算机、便携式计算机、工作台、个人数字助理、服务器、大型计算机和其它适合的计算机。移动装置可以包括平板电脑、智能电话、可穿戴式设备等。
[0220]
如图5所示，设备500包括计算单元501、rom502、ram503、总线504以及输入/输出(i/o)接口505，计算单元501、rom502以及ram503通过总线504彼此相连。输入/输出(i/o)接口505也连接至总线504。
[0221]
计算单元501可以根据存储在只读存储器(rom)502中的计算机指令或者从存储单元508加载到随机访问存储器(ram)503中的计算机指令，来执行本技术方法实施例中的各种处理。计算单元501可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元501可以包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。在一些实施例中，本技术实施例提供的方法可被实现为计算机软件程序，其被有形地包含于计算机可读存储介质，例如存储单元508。
[0222]
ram503还可存储设备500操作所需的各种程序和数据。计算机程序的部分或者全部可以经由rom502和/或通信单元509而被载入和/或安装到设备500上。
[0223]
设备500中的输入单元506、输出单元507、存储单元508和通信单元509可以连接至i/o接口505。其中，输入单元506可以是诸如键盘、鼠标、触摸屏、麦克风等；输出单元507可以是诸如显示器、扬声器、指示灯等。设备500能够通过通信单元509与其他设备进行信息、数据等的交换。
[0224]
需要说明的是，该设备还可以包括实现正常运行所必需的其他组件。也可以仅包含实现本技术方案所必需的组件，而不必包含图中所示的全部组件。
[0225]
此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统的系统(soc)、负载可编程逻辑设备(cpld)、计算机硬件、固件、软件和/或它们的组合中实现。
[0226]
用于实施本技术的方法的计算机指令可以采用一个或多个编程语言的任何组合来编写。这些计算机指令可以提供给计算单元501，使得计算机指令当由诸如处理器等计算单元501执行时使执行本技术方法实施例中涉及的各步骤。
[0227]
本技术提供的计算机可读存储介质可以是有形的介质，其可以包含或存储计算机指令，用以执行本技术方法实施例中涉及的各步骤。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的等形式的存储介质。
[0228]
上述具体实施方式，并不构成对本技术保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本技术
的精神和原则之内所作的修改、等同替换和改进等，均应包含在本技术保护范围之内。