银行账户交易网络中特定组织发现研究

2020-04-15 03:47吕芳卢西婧王巍黄俊恒王佰玲
网络与信息安全学报 2020年1期
关键词:子图星光黑洞

吕芳,卢西婧,王巍,黄俊恒,王佰玲

银行账户交易网络中特定组织发现研究

吕芳,卢西婧,王巍,黄俊恒,王佰玲

(哈尔滨工业大学(威海)计算机科学与技术学院,山东 威海 264209)

近年来,非法传销、非法集资和洗钱等涉众型非法金融活动屡禁不止,从资金交易网络中进行异常检测的研究,逐渐引起研究者的重视。非法组织中银行账户间的资金流转方式隐含了其成员的关系架构。以关键角色账户为核心种子节点,结合交易关系进行特定异常组织的发现研究。首先,基于银行账户的交易特点,建立了一个有向加权资金交易网络模型。进而,结合账户的局部拓扑结构,定义了组织中的两种核心节点,即黑洞节点和星光节点。利用两种节点的关联关系,提出一种“黑洞&星光”组织发现算法。在含有传销组织的真实银行交易数据上进行实验,结果表明上述算法对发现传销组织的有效性。

资金交易网络;黑洞节点;星光节点;生成子图

1 引言

随着经济的发展,非法传销、非法集资和洗钱等涉众型非法金融活动屡禁不止。在涉众型非法金融活动中,成员的角色分工呈类金子塔形或纺锤形等结构,相应账户的资金交易由其扮演的角色驱动产生,具有涉及账户多、账户角色差异大、犯罪意图隐蔽等特点。目前,银行部门使用的反洗钱等金融安全系统能够根据交易规则发现存在异常交易的单个账户,但对上述多账户协作实施非法金融活动的行为束手无策。同时,金融环境的复杂性、异常交易行为的隐蔽性及盈利模式的多样性,为犯罪行为的发现、取证和防范带来了巨大难题。

针对涉众型非法金融活动,本文将参与活动的账户称为异常账户,由异常活动引发的交易称为异常交易;具有异常交易关系的异常账户群体,称为异常组织。研究发现,异常组织为达到金融犯罪的目的,多具有特定的组织交易关系,账户间资金流动方式与组织的盈利方式一致。分析账户的交易行为和账户间的交易关系,有助于发现异常账户和异常组织,对辅助公安机关侦破犯罪案件具有重要作用。

目前,在金融领域异常检测方面的研究,主要集中在欺诈账户检测和异常交易检测方面,针对异常组织发现的研究尚处于初级阶段。异常组织的研究在社交网络领域受到较多关注。

在欺诈账户检测方面,现有的研究多数采用对单个账户(或多个有关联账户的集合)的资金交易情况进行统计分析,进而发现离群账户的方法。秦学志等[1]利用账户在交易网络中出入度、流出和流入资金状态分布的不同,提出了有效发现异常账户的大数据样本分析方法。Barabasi等[2]利用交易网络中账户的异常行为,如交易频率、交易金额及交易方向等,对账户分类进而得到具有相似行为的异常账户集合。

在异常交易检测方面,Hong等[3]借鉴交通网络的有向图构建方法,构建了有向资金交易网络,提出一种借助图分析技术的异常交易发现方法。该方法突出各节点之间的资金流动关系,简化了银行账户交易特点和交互关系的分析问题。薛蕾[4]利用账户间资金流通的数量、路径及频率等特征,结合链接分析技术提出一种异常资金流侦测技术。

在异常组织的发现方面,Li等[5]根据节点出入度关系定义了一种黑洞交互模式,并提出了3种黑洞模式发现算法,该研究有助于发现资金交易网络中存在金融欺诈行为的异常组织。李艳丽等[6]构建了账户的ego-network,对普通和传销账户的ego-network的结构特点进行分析对比,发现传销异常组织呈现类树形结构。该项研究为利用异常个体的交互关系进行异常组织的发现提供了基础。此外,金融交易网络中异常组织的发现可借鉴社交网络中水军异常组织的发现方法。叶施仁等[7]以典型账户为种子,提出一种通过账户间的互粉关系逐层发现水军组织的方法,算法的准确率显著高于以普通账户为中心的发现方法。刘程等[8]提出一种利用节点的内容亲密度挖掘隐式组织的方法。张慧杰[9]利用组织成员内部的交互紧密性高的特点进行评论网络异常组织发现研究。肖昕[10]利用组织内节点内容相似性高的特点进行水军异常组织发现研究。

综上所述,目前金融领域的异常检测方法多依据账户交易的统计特征进行判断,忽略了交易关系信息。因此,不适用于解决存在多账户协作的异常组织发现问题。

传销组织的成员结构呈类金字塔形,塔顶为管理层成员,负责组织的运营和管理;塔底成员由上层成员以发展会员的形式吸纳进来,通过向组织缴纳会员费成为上层成员的下线;上层成员作为发展人获得与下线会员费、自身层级相关的奖励金;成员在组织中的层级与其下线成员人数相关。类似地,从组织中资金流通的角度看,资金交易关系结构呈现类树形结构。传销组织的塔顶两层为管理层,最顶层为大头目成员,他从所有成员的会员费中获利,所有成员的会员费最终汇入大头目的账户;组织中另有两种负责资金管理的账户,即敛财账户和返利账户,分别负责会员费的汇集和奖励金的散发。

为解决这种类树形特定异常组织的发现问题,本文借鉴社交网络中水军组织的检测方法,以典型节点为种子,结合节点属性和节点交易关系进行传销组织发现,提出了一种“黑洞&星光”异常组织挖掘算法。

本文的主要贡献如下。

1) 构建了账户资金交易网络,为后续提供分析基础。

2) 详细分析了敛财账户和返利账户两种关键角色账户的属性、网络交互特点,并将其分别定义为黑洞和星光两种核心节点。

3) 量化核心节点的交易特征,分别提出黑洞节点和星光节点的发现算法,进而利用节点的网络交互关系,提出一种基于生成子图融合的特定异常组织发现算法。

4) 在真实资金交易数据上进行实验,证明了算法在发现传销组织方面的有效性。

2 资金交易网络

账户的交易行为对应现实世界中用户的经济行为,用户在现实社会网络中的经济关系可映射到账户的资金交易网络中。银行账户和账户间的资金流动关系共同组成资金交易网络,这一复杂的网络结构可抽象为有向加权图结构。其中,节点为银行账户,有向边为节点之间的有向交易关系,有向边的权重由交易集合的时间、金额、次数等信息组成。银行账户的资金交易网络定义如下。

定义1 一个银行账户交易网络可表示为= (,,),其中={1,2, … ,v}为账户集合,= {e} ⊂×, 1≤,≤为边集合,vv之间存在有向边,当且仅当vv至少进行了一次交易,该有向边记作e=<v,v>。= {w},∈(R),w= ((1),(2), … ,()),其中()、分别表示节点vv间第次交易的金额和总交易次数。

在有向加权交易网络中,任一账户的交易网络可视为一个局部拓扑网络,该网络由及其进出交易对手集合组成,网络结构与账户属性和账户间交易关系有关。

本文将交易对手节点定义为邻居节点,账户属性包括账户的交易资金和有向交易对手数量,将其分别定义为节点的出入大小和出入度。

定义2 给定资金交易网络=(,,),对∈,v的交易候选账户集合可记为C={1,2,,(i−1),(i+1),, v},v的入邻居节点集合定义为in{v | vC, w∈},v的出邻居节点定义为out{v | vC, w∈},则Nin∪out称作节点v的邻居集合。

3 基于生成子图融合的特定组织发现

通过对非法传销组织等组织的研究发现,其资金交易关系具有类树形结构,即纵向具有以根节点为核心的层级结构,横向上同层节点的关系呈网状结构。因此,首先通过扩展根节点得到组织的局部结构,即得到组织关系图的生成子图。然后,融合生成子图实现对特定异常组织的发现。

3.1 黑洞节点和黑洞组织

每个组织都有一个或多个敛财账户,该账户负责收集所有组员的会员费并将其转出到固定账户中,其在行为上类似于天体学中的“黑洞”。本文将其定义为黑洞节点,如定义5所示。

定义5 给定银行账户交易网络为, 节点∈被为黑洞节点,当且仅当

其中,inoutins和为阈值。

组织中以黑洞节点为中心形成了稳定的资金周转关系,本文将黑洞节点与其交易对手组成的这种局部网络结构称为黑洞组织。该组织的交易行为具有以下特点。①组织具有明显的层级结构,底层为会员节点,中间层为黑洞节点,顶层为大头目节点。②各层级节点数量分布稳定。底层节点数量较多,顶层节点数量为1。③资金为单向流通。以黑洞节点为中心,资金由底层流入顶层。④组织中交易关系稳定。即以黑洞节点为中心,底层节点为其入交易对手集合,顶层节点为其出交易对手集合。

依据上述分析,以黑洞节点为中心,本文提出了一种扩展中心节点的黑洞组织发现算法。首先,根据定义5设计交易网络中的黑洞节点发现算法,如算法1所示。

算法1 黑洞节点发现算法.

输出 黑洞节点集合记录黑洞节点

2) for∈do

3) if满足定义5 do

4)=∪{}

5) end if

6) end for

将黑洞节点作为组织的核心种子节点,指定扩展层级阈值,以黑洞节点为中心逐层进行黑洞组织挖掘,具体如算法2所示。

算法2 黑洞组织发现算法

输入(,,),黑洞节点集合扩展层级

输出 黑洞组织集合

2) forv∈do

3)T=v,=∪T//黑洞节点v为种子节点

4) end for

5) forT∈do

6) for=1;≤;++ do

7) forBTdo //第层中任一节点

8) ifv∈&v∈do

9)=∪{v}

10) end if

11) end for

12) end for

13) end for

3.2 星光节点和星光组织

与敛财账户相对,每个传销组织中都有一个或多个返利型账户,该账户负责根据会员所交会费的金额,按照一定比例返还给组员。这些费用来自固定账户,经由返利账户散发给底层会员。本文将这种交易网络中的返利型账户,称为星光节点,定义如下。

定义6 给定银行账户交易网络为,节点∈被称为星光节点,当且仅当

其中,inoutouts和为阈值。

与黑洞组织相对应,以星光节点为中心的类树形稳定交易组织,称为星光组织。该组织与黑洞组织除资金流向相反外,其余交易行为类似,在此不予赘述。

3.3 基于生成子图的“黑洞&星光”组织发现算法

根据定义5和定义6可知,黑洞组织和星光组织图结构都可视为非法传销组织图结构的生成子图。因此,通过联合两种生成子图可以扩展得到该传销组织的网络图。本节在第3.1节和第3.2节的基础上,提出一种生成子图的“黑洞&星光”组织发现算法。

定义7 给定黑洞组织和星光组织,其中,和分别表示黑洞节点和星光节点,则与被称为直接连接当且仅当e∈∨e∈,与被称为弱连接当且仅当的下级账户与的下级账户具有一定的重合率,即

其中,为重合率阈值。

结合定义7,“黑洞&星光”组织发现算法的设计细节详见算法3

算法3 “黑洞&星光”组织发现算法

输入(,,);黑洞和星光组织集合set,set;阈值

输出 异常组织集合为树形结构

2) for∈set,∈setdo //直接连接

4) ife∈ore∈do

5)T=T∪{(,)}

6) end if

7) end for

8) for∈set,∈setdo //间接连接

9) if (,) 满足定义6 do

10)T=T∪{(,)}

11) end if

12) end for

4 实验

4.1 实验环境

Inter(R) Core(TM) i7-7700HQ CPU@ 2.80 GHz,内存(RAM) 16 GB。软件环境为:Python语言,Windows 7操作系统。

4.2 数据集

近几年,笔者积极参与经侦部门打击非法传销的工作,得到包含传销组织的银行账户交易数据,经过数据去噪等处理,最终得到349 126条交易记录,涉及传销账户855个,正常账户3 232个,其中敛财账户为112个,返利账户为61个。

4.3 算法分析

实验1 黑洞节点与星光节点发现

算法对黑洞和星光节点的发现效率如表1所示,发现结果示例如表2所示。

表1 黑洞和星光节点的发现效率

表2 黑洞节点和星光节点示例

如表1所示,根据实际应用需求,当定义5的阈值取值为0.5时,黑洞节点发现算法共发现黑洞节点98个,其中敛财账户,即真正的黑洞节点74个。该算法达到了75.51%的精确率和66.07%的召回率。星光节点发现算法固定阈值0.5,此时共发现37个星光节点,其中返利账户,即真正的星光节点共计26个。该算法的精确率为70.27%,召回率为42.62%。由于资金交易网络中,传销组织的规模与星光节点的交易频繁程度、交易对手数量等具有很大关系,因此,星光节点发现算法的召回率相对较低。整体上来说,两种种子节点发现算法均具有较稳定发现的效率。算法发现的典型黑洞、星光节点如表2所示。可见,作为传销组织的资金中转节点,具有以下特点:① 节点的出大小近似等于节点的入大小;② 两种节点的出入度具有显著差异,黑洞节点的入度远远大于出度,星光节点的出度远远大于入度。

实验2 黑洞组织发现

从黑洞节点出发,设置扩展层阈值=4,通过逐层扩展实现黑洞组织发现。真实数据中的典型黑洞组织如图1所示。

如图1所示,为以黑洞节点为核心,以入边为扩展方向,层级为4的黑洞组织。从纵向上看,每层节点与次级层节点的连接呈树形交易关系,从横向上看,同层节点之间呈网状交易关系。例如,第一层节点可视为与其相连的第二层节点的根节点;由于具有多个根节点,第二层节点整体形成网状结构。因此,黑洞组织的结构具有纵向为树形结构、横向为网状结构的特点。这与传销组织的实际运作特点相对应:①具有明确的上下线关系;②通过亲属关系等社会关系扩展会员,导致会员之间存在因正常社会关系产生的资金交互。

图1 黑洞组织示例

Figure 1 The demo of a blockhole-organization

实验3 算法阈值分析

定义5、定义6中的取值对基于生成子图的“黑洞&星光”组织发现算法的效率有直接影响。本实验以0.01为参数间距,对∈[0,1]不同取值时算法的性能进行测试,实验结果如图2所示。

如图2所示,横轴FPR表示负例错分为正例的概率,纵轴TPR表示能将正例分对的概率。随着增大,接收者操作特征(ROC,receiver operating characteristic)曲线呈上升趋势,且当0.3时,曲线最靠近左上角,此时算法性能最优。

实验4 异常组织发现算法比较

本实验比较基于黑洞节点、基于星光节点、基于黑洞&星光节点及基于亲密度的组织发现算法。基于黑洞节点的组织发现算法,即在算法1发现的黑洞节点集合基础上,利用算法2进行组织发现。类似地,基于星光节点的组织发现算法,基于第3.3节中的算法,仅依赖星光节点进行异常组织发现。基于亲密度算法的研究是研究小组的另一项研究工作。该算法定义节点之间与交易频率、交易局部拓扑结构相关的亲密度,在已知部分异常账户的基础上,进行组织账户发现。上述4种算法,在数据集上进行测试结果如表3所示。

图2 阈值θ对算法性能的影响分析

Figure 2 The analysis of the influence of thresholdon the algorithm performance

由表3可知,黑洞&星光节点异常组织发现算法的精确率,由于受星光节点的影响,相比于基于黑洞的发现算法较低,但其召回率取得了显著提升。基于亲密度算法依赖标签信息,取得了最高的精确率,但由于亲密度指标过于严苛,算法的召回率较低。总体来说,基于生成子图的“黑洞&星光”组织发现算法,取得了最优的效率,其1值达到73.13%,明显优于另外两种独立的组织发现算法。黑洞和星光节点联合的组织发现算法,根据两种种子节点组成的关联关系,首先建立核心关联结构,然后逐层扩张进而发现异常组织成员。实验结果表明,黑洞和星光节点的节点能够有效提高组织发现的效率。

表3 异常组织发现算法比较

实验5 异常组织发现实例

分别以黑洞和星光两种核心种子节点为中心,利用算法3结合黑洞组织和星光组织,在真实的资金交易网络中挖掘传销组织。本实验通过如图3所示的实例,分析算法的有效性。其中,红色和蓝色分别代表黑洞和星光节点,橙色节点为星光组织第二层和黑洞组织第二层的交集,粉色和紫色节点分别同属于星光组织和黑洞组织的第二、三层结构。

验证发现,图3组织中的所有节点都为传销节点,星光和黑洞节点分别为传销组织的敛财账户和返利账户。

图3 传销组织发现示例

Figure 3 The demo of a discovered multi-levels commission

5 结束语

本文从关键角色账户出发,进行了银行账户交易网络中特定异常组织的发现研究。在建立通用资金交易网络模型的基础上,首先详述了组织中敛财型与返利型账户的特点,然后定义了网络中的黑洞和星光两种核心种子节点;进而通过逐层扩展得到黑洞和星光组织,最终提出了一种基于生成子图融合的组织发现算法。在真实包含传销组织的数据上进行测试,对黑洞和星光节点的精确率分别达到75.51%和70.27%,基于子图融合的组织发现算法,对异常账户的1值达到73.13%,能有效地发现其中隐藏的传销组织。

本文的组织发现算法只找出了传销组织的核心交易网络,组织结构不够完备。此外,由于真实资金交易场景复杂,且交易关系与真实的异常组织架构不完全吻合,导致异常组织发现的准确率较低。下一步将针对提升发现的准确率进行专门的算法改进。

[1] 秦学志, 李静一. 基于大数据样本的银行异常账户监测方法[J]. 系统管理学报, 2016, 25(4): 677-682.

QIN X Z, LI J Y. Abnormal account monitoring method for bank loans using big data samples[J]. Journal of System and Management, 2016, 25(4): 677-682.

[2] BARABASI A L, ALBERT R. Emergence of scaling in random networks[J]. Science, 1999, 286(5439): 509-512.

[3] HONG L, ZHENG Y, YUNG D C, et al. Detecting urban black holes based on human mobility data[C]//Sigspatial International Conference on Advances in Geographic Information Systems (SIGSPATIAL’15). 2015.

[4] 薛蕾. 链接分析在金融监管中的应用研究[D]. 武汉: 华中科技大学, 2006.

XUE L. Research on the application of link analysis in financial supervision[D]. Wuhan: HuaZhong University of Science and Technology. 2006.

[5] LI Z M, XIONG H, LIU Y C. Mining blackhole and volcano patterns in directed graphs: a general approach[J]. Data Mining and Knowledge Discovery, 2012, 25(3): 577-602.

[6] 李艳丽, 刘阳, 谢文波,等. 大数据发现非法传销网络[J]. 大数据, 2017, 3(5): 106-112.

LI Y L, LIU Y, XIE W B, et al. Uncovering the illegal pyramid networks by big data[J]. Big Data Research, 2017, 3(5): 106-112.

[7] 叶施仁, 叶仁明, 朱明峰. 基于网络关系的微博水军集团发现方法[J]. 计算机工程与应用, 2017, 53(6): 96-100.

YE S R, YE R M, ZHU M F. Method to find spammer group for Weibo based on network relationship[J]. Computer Engineering and Applications, 2017, 53(6): 96-100.

[8] 刘程, 沙瀛, 姜波, 等. 新浪微博隐式组织发现[J]. 中文信息学报, 2017, 31(2): 139-145.

LIU C, SHA Y, JIANG B, et al. Detecting implicit organization on sina weibo[J]. Journal of Chinese Information Processing, 2017, 31(2): 139-145.

[9] 张慧杰. 基于多特征尺度空间模型的网络水军组织发现技术研究[D]. 杭州: 浙江工商大学, 2015.

ZHANG H J. Research technology on fund of spammer organizations based on multi-feature scale space model[D]. Hangzhou: Zhejiang Gongshang University, 2015.

[10] 肖昕. 基于论坛信息的网络组织发现技术研究[D]. 沈阳: 沈阳航空航天大学, 2013.

XIAO X. Research technology on found of network organization based on forums information[D]. Shenyang: Shenyang Aerospace University, 2013.

Research on the method of discovering specific organization structure in bank account transaction network

LYU Fang, LU Xijing, WANG Wei, HUANG Junheng, WANG Bailing

School of Computer Science and Technology, Harbin Institute of Technology(Weihai), Weihai 264209, China

In recent years, stakeholder economic crime behaviors such as illegal pyramid schemes, illegal fund raising and money laundering despite repeated prohibitions, makes the research of anomaly detection in financial transaction network has gradually attracted the attention of researchers. The way how to fund flow between bank accounts in an illegal organization implies the relationship structure of their members. Firstly, a directed weighted transaction network model was built on the basis of the transaction characteristics. Then, combining with the local topology structure of the built transaction network of the accounts, two kinds of core nodes of the organization, including black hole nodes and star nodes, were defined. By analyzing the relationship between those two kinds nodes, an organization discovery algorithm of combining “black hole and star nodes” based on spanning subgraph was proposed. Experiments on real bank accounts transaction network containing illegal pyramid scheme organizations show the effectiveness of the algorithm in discovering the specific tree organization structure.

financial transaction network, black hole nodes, star nodes, spanning subgraph

s: The National Key R&D Program of China (No.2018YFB2004201), Frontier Science and Technology in Notation of China (No.2016QY05X1002-2),National Regional Innovation Center Science and Technology Special Project of China (No.2017QYCX14), Key Research and Development Program of Shandong Province (No.2017CXGC0706), The Fundamental Research Funds for the Central Universities (No.HIT.NSRIF.2020098), 2017 University Co-construction Project in Weihai City

TP391.4

A

10.11959/j.issn.2096−109x.2020001

吕芳(1990− ),女,山东阳谷人,哈尔滨工业大学(威海)博士生,主要研究方向为复杂网络、信息内容安全、数据挖掘。

卢西婧(1998− ),女,山东泰安人,主要研究方向为金融安全。

王巍(1975− ),女,黑龙江齐齐哈尔人,博士,哈尔滨工业大学(威海)讲师、硕士生导师,主要研究方向为金融安全、数据挖掘、自然语言处理。

黄俊恒(1966– ),男,河南新乡人,哈尔滨工业大学(威海)副教授,主要研究方向为数据挖掘、人工智能。

王佰玲(1978– ),男,黑龙江哈尔滨人,哈尔滨工业大学(威海)教授、博士生导师,主要研究方向为信息对抗、信息安全、信息搜索、移动网络、金融安全。

论文引用格式:吕芳, 卢西婧, 王巍, 等. 银行账户交易网络中特定组织发现研究[J]. 网络与信息安全学报, 2020, 6(1): 62-69.

LYU F, LU X J, WANG W, et al. Research on the method of discovering specific organization structure in bank account transaction network[J]. Chinese Journal of Network and Information Security, 2020, 6(1): 62-69.

2019−02−19;

2019−06−14

王佰玲,wbl@hit.edu.cn

国家重点研发计划基金资助项目(No.2018YFB2004201);国家前沿科技创新专项基金资助项目(No. 2016QY05X1002-2);国家区域创新中心科技专项基金资助项目(No.2017QYCX14);山东省重点研发计划基金资助项目(No.2017CXGC0706);中央高校基本科研业务费专项基金资助项目(No.HIT.NSRIF.2020098);2017威海市大学共建基金资助项目

猜你喜欢
子图星光黑洞
HAYDON黑洞
行走的星光
关于星匹配数的图能量下界
5500万光年之外的“黑洞”,是如何被拍到的
黑洞什么样,有图有真相
不含3K1和K1+C4为导出子图的图色数上界∗
面向高层次综合的自定义指令自动识别方法
星光闪耀
星光擂台
黑洞思