一种针对数字货币的异常交易行为检测方法、装置、设备及介质

技术领域

本发明属于区块链数字货币领域，尤其是涉及一种针对数字货币的异常交易行为检测方法、装置、设备及介质。

背景技术

数字货币的监管是国家金融稳定和金融安全的重要任务，就目前的匿名数字货币而言，如何通过对数字货币交易所的交易行为进行检测和数字货币的交易数据进行分析，得到其中是否存在异常交易行为是一个重要的安全问题。

在数字货币交易所，非法交易者可以用法币购买数字货币或直接向交易所个人账户充入数字货币以完成非法资金入场。然后通过不同币种间的币币交易分散资金，并利用币种间差价赚取利润以混合不明资金和“合法”收入。最后非法交易者卖出数字货币获得法币或直接从交易所转出数字货币，完成非法资金出场。非法交易者为了隐匿行踪，往往会进行错综复杂的入场、出场操作与币币交易，并减少大额与频繁交易。加上数字货币交易具有强匿名和去中心化等特点，传统异常交易行为检测手段难以直接适用。

早期反异常交易主要采用基于规则的检测模型，例如：设置个人金融风险阈值来识别大额交易、高频交易等可疑交易行为；设计基于语义web规则语言的反异常交易专家系统。随着金融活动日趋复杂，许多研究者将数据挖掘和机器学习技术用于反异常交易，比如：提出聚类技术是反异常交易的有力工具；采用最小生成树对银行账户聚类，并利用类簇间差异鉴别异常交易账户；利用支持向量机识别具有快速开销户、启用闲置账户等可疑交易行为的银行账户。近年来，基于网络模型的反异常交易技术逐步流行，Anacpapa图分析工具是早期典型代表，随后出现了Analyst's Notebook、Netmap和XANALYS Link Explorer等金融犯罪网络分析工具。然而，现有反异常交易技术主要面向传统金融形态，很难直接应对数字货币这类新兴金融形态。

发明内容

本发明提供一种针对数字货币的异常交易行为检测方法、装置、设备及介质，可以提高异常交易行为检测的准确度，可以实现自动化地对有异常交易嫌疑的账户进行检测，为进一步验证与取证提供线索，适合推广应用。

为实现上述技术目的，本发明采用如下技术方案：

一种针对数字货币的异常交易行为检测方法，包括：

获取数字货币交易所中每个用户在检测时间段的所有交易记录；

将检测时间段划分为长度相同的m个分段，将单个用户在第j个时间分段t

从入场、出场以及币币交易这三个维度对每个交易行为分析单元进行特征描述，作为交易行为分析单元的特征向量；所有用户所有交易行为分析单元的特征向量，构成数据集；

使用局部异常因子算法计算数据集中每个数据点的离群因子值LOF；对数据集中所有数据点进行聚类，并对各数据点根据其所在聚类簇的大小调整其离群因子值，所得值称为DLOF 值；

根据数据点的DLOF值确定该数据点对应交易行为分析单元的异常交易可疑值，进而根据用户所有交易行为分析单元的异常交易可疑值确定该用户的异常交易可疑性。

在更优的技术方案中，交易行为分析单元的异常交易可疑值的计算公式为：

t(S′

Z

式中，t(S′

用户的异常交易可疑性的确定方法为：取该用户所有交易行为分析单元的异常交易可疑值中最大的前n个异常交易可疑值的平均值，即为该用户的异常交易可疑值。

在更优的技术方案中，对各数据点根据其所在聚类簇的大小调整其离群因子值的方法为：

式中，LOF(p)表示数据点p的离群因子值，DLOF(p)表示对数据点p的LOF(p)调整得到后的离群因子值，c

在更优的技术方案中，数据点p的离群因子值的计算方法为：

首先确定数据点p在数据集中的k邻域，记作N

然后按以下公式计算数据点p到其k邻域N

reach-dist

式中，reach-dist

再按照与数据点p的局部可达密度相同的计算方法，计算数据点p的k邻域N

最后，按以下公式计算数据点p的离群因子值LOF(p)：

在更优的技术方案中，使用DBSCAN聚类算法对数据集聚类成簇，具体步骤如下：

(1)设置DBSCAN聚类算法所需的两个参数：半径eps和邻域内最少要求点数minpts；标记数据集中所有数据点的初始状态为未被访问；

(2)任选一个未被访问的数据点开始，找出与其距离不大于eps的其他数据点：

如果满足条件的数据点个数大于或等于minpts，则将当前选择的数据点与满足条件的数据点形成一个聚类簇，并将当前选择的数据点的状态由未被访问更新为已访问；然后递归，以相同的方法处理该聚类簇内所有未被访问的数据点；如果聚类簇内所有数据点均已访问，再返回步骤(2)，使用相同的方法处理数据集中未被访问的数据点；

如果满足条件的数据点个数小于minpts，则将当前选择的数据点标记为噪声点；

(3)最终由数据集得到基于DBSCAN聚类算法的K个聚类簇。

在更优的技术方案中，交易行为分析单元在入场维度提取的特征包括：入场总额、入场总次数、入场额均值、入场频率、单笔最大入场额、入场最大额与最小额差值、入场额离散系数、入场额占总交易额比、入场次数占总交易次数比、入场额为整数的交易次数、入场额大于一万的交易次数、最多持续入场次数、非工作时段入场次数占入场总次、入场币种数、入场小众币种数占入场币种数比、最长入场间隔天数；

交易行为分析单元在出场维度提取的特征包括：出场总额、出场总次数、出场额均值、出场频率、单日最大出场额、单笔最大出场额、出场最大额与最小额差值、出场额占总交易额比例、出场次数占总交易次数比、出场额大于与小于均值的次数差、出场天数、连续最多出场次数、非工作时段出场次数占入场总次数比、出场币种数、出场小众币种数占入场币种数比例、出场后数字钱包余额为零的次数；

交易行为分析单元在币币交易维度提取的特征包括：币币交易总额、币币交易次数、币币交易交易对数量、币币交易涉及币种数、币币交易频率、币币交易次数占总交易次数比例、币币交易额离散系数、非工作时段币币交易次数占币币交易总次数比例。

在更优的技术方案中，所述检测时间段的每个时间分段均为10天。

一种针对数字货币的异常交易行为检测装置，包括：

交易记录获取模块，用于：获取数字货币交易所中每个用户在检测时间段的所有交易记录；

交易行为分析单元构建模块，用于：将检测时间段划分为长度相同的m个分段，将单个用户在第j个时间分段t

特征向量及数据集构建模块，用于：从入场、出场以及币币交易这三个维度对每个交易行为分析单元进行特征描述，作为交易行为分析单元的特征向量；所有用户所有交易行为分析单元的特征向量，构成数据集；

离群因子值计算及调整模块，用于：计算数据集中每个数据点的离群因子值LOF；对数据集中所有数据点进行聚类，并对各数据点根据其所在聚类簇的大小调整其离群因子值，所得值称为DLOF值；

异常交易可疑性检测模块，用于：根据数据点的DLOF值确定该数据点对应交易行为分析单元的异常交易可疑值，进而根据用户所有交易行为分析单元的异常交易可疑值确定该用户的异常交易可疑性。

一种设备，包括存储器及处理器，所述存储器中存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器实现上述任一技术方案所述的异常交易行为检测方法。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一技术方案所述的异常交易行为检测方法。

有益效果

本发明使用聚类算法，根据聚类簇大小按上述离群因子值调整公式来调整原来的离群因子值LOF(p)，聚类簇的规模越大其异常值降低越多，聚类簇的规模越小其异常值降低越少，使得离群点的离群因子值在所有数据集中更明显突出，从而避免无法检测出聚集成小簇的离群点，提高异常交易行为检测的准确度。同时，本发明基于聚类调整得到的离群因子值 DLOF(p)，对检测时间段内各用户异常交易可疑性进行量化，可以实现自动化地对有异常交易嫌疑的账户进行检测并确定异常交易时段，为进一步验证与取证提供线索，适合推广应用。

附图说明

图1是本申请实施例所述方法的流程示意图。

具体实施方式

下面对本发明的实施例作详细说明，本实施例以本发明的技术方案为依据开展，给出了详细的实施方式和具体的操作过程，对本发明的技术方案作进一步解释说明。

实施例1

本实施例提供一种针对数字货币的异常交易行为检测方法，如图1所示，包括以下步骤：

步骤1，获取交易数据：

在数字货币交易所中每个用户的每一次交易会生成一组对应的交易记录，因此本实施例在步骤1获取数字货币交易所中每个用户在检测时间段[t

步骤2，将检测时间段[t

本实施例将每个时间分段设置为10天基于以下四个方面考虑：1)异常交易过程中有一定时间跨度，短则几天，长则十天甚至数月；2)固定时间间隔有利于建立比较基准；3)根据现有的交易所提供的数据的统计情况，大部分账户交易频率每天平均不足1笔；4)金融领域经常以旬为单位来进行政策调整和风险管控。因此，本实施例采用10天内单个账户所有交易的组合作为交易行为分析单元能提供高于单条交易记录的复杂信息，符合数据统计特性与业务场景特点，便于在多个用户和长时间跨度分析中发现偏离正常形态的交易行为。

步骤3，提取交易行为分析单元的特征向量：

从入场、出场以及币币交易这三个维度对每个交易行为分析单元进行特征描述，包括以下表1所示的交易行为特征描述体系，构建交易行为分析单元的特征向量；所有用户所有交易行为分析单元的特征向量，构成数据集。

表1数字货币交易特征描述体系

步骤4，使用局部异常因子算法计算数据集中每个数据点的离群因子值；对数据集中所有数据点进行聚类，并对各数据点根据其所在聚类簇的大小调整其离群因子值，所得值称为 DLOF值；

其一，离群因子值即LOF值，可用于表示数据点的异常情况，数据点的LOF值越大表明该数据点是异常点的可能性越大。数据点p的离群因子值的计算方法为：

首先确定数据点p在数据集中的k邻域，记作N

数据点p的k邻域的定义为：首先采用层次分析法对数据集求得的特征权值矩阵M；然后计算数据集中其他每个数据点q与数据点p的加权距离

然后按以下公式计算数据点p到其k邻域N

reach-dist

式中，reach-dist

再按照与数据点p的局部可达密度相同的计算方法，计算数据点p的k邻域N

最后，按以下公式计算数据点p的离群因子值LOF(p)：

其二，对数据集中所有数据点使用DBSCAN聚类算法进行聚类，具体步骤如下：

(1)设置DBSCAN聚类算法所需的两个参数：半径eps和邻域内最少要求点数minpts；标记数据集中所有数据点的初始状态为未被访问；

(2)任选一个未被访问的数据点开始，找出与其距离不大于eps的其他数据点：

如果满足条件的数据点个数大于或等于minpts，则将当前选择的数据点与满足条件的数据点形成一个聚类簇，并将当前选择的数据点的状态由未被访问更新为已访问；然后递归，以相同的方法处理该聚类簇内所有未被访问的数据点；如果聚类簇内所有数据点均已访问，再返回步骤(2)，使用相同的方法处理数据集中未被访问的数据点；

如果满足条件的数据点个数小于minpts，则将当前选择的数据点标记为噪声点；

此处所述的距离，与k邻域定义中的加权距离相同。在常规的LOF算法中通常采用欧式距离计算数据点间距离，每个特征被同等看待。但是将欧氏距离直接用于数字货币的异常交易行为检测是不科学的，因为每一交易行为的特征对于判定异常交易的贡献度是不同的。因此，本实施例中使用层次分析法计算出特征权值矩阵，再据此求得数据集两点间的加权距离更为合理，从而提高异常交易行为检测的准确性。

(3)最终由数据集得到基于DBSCAN聚类算法的K个聚类C＝{c

其三，对各数据点根据其所在聚类簇的大小调整其离群因子值的方法为：

式中，LOF(p)表示数据点p的离群因子值，DLOF (p)表示对数据点p的LOF(p)调整得到后的离群因子值，c

如果直接使用LOF(p)对数据点进行异常判断以检测异常交易可疑性，会存在以下问题：在数字货币交易所中，某些非法交易者的异常交易行为模式会非常相近，这些行为产生的数据点会形成小簇，LOF算法很难检测出这些小簇中的离群点。因为离群因子值LOF(p)由数据点p与其近邻点的相对密度决定，当数个离群点形成了簇，由于离群点周围的密度通常较低，那么这些点之间的密度比值也会偏低，最终导致它们的离群因子值偏低。

因此，本发明使用聚类算法，根据聚类簇大小按上述离群因子值调整公式来调整原来的离群因子值LOF(p)，聚类簇的规模越大其异常值降低越多，聚类簇的规模越小其异常值降低越少，使得离群点的离群因子值在所有数据集中更明显突出，从而避免无法检测出聚集成小簇的离群点。

步骤5，根据数据点的DLOF值确定该数据点对应交易行为分析单元的异常交易可疑值，进而根据用户所有交易行为分析单元的异常交易可疑值确定该用户的异常交易可疑性。

其中，交易行为分析单元的异常交易可疑值的计算公式为：

t(S′

Z

式中，t(S′

用户的异常交易可疑性的确定方法为：取该用户所有交易行为分析单元的异常交易可疑值中最大的前n个异常交易可疑值的平均值，即为该用户的异常交易可疑值；

计算用户的异常交易可疑值更关注用户有可能异常交易的时段，即异常交易可疑值较高的交易行为，因为异常交易行为具有时段性，一个用户极有可能是在某些时段进行异常交易。因此，计算具体方法是取异常交易可疑值前s个大的交易行为的异常交易可疑值的均值作为该用户的异常交易可疑值m(X)。则相对应的这s个交易行为所在的时间段即为该用户的异常交易时段，定义为：

其中序列{T

实施例2

本实施例提供一种针对数字货币的异常交易行为检测装置，是与上述实施例1所述的针对数字货币的异常交易行为检测方法对应的装置实施例，主要包括：

交易记录获取模块，用于：获取数字货币交易所中每个用户在检测时间段的所有交易记录；

交易行为分析单元构建模块，用于：将检测时间段划分为长度相同的m个分段，将单个用户在第j个时间分段t

特征向量及数据集构建模块，用于：从入场、出场以及币币交易这三个维度对每个交易行为分析单元进行特征描述，作为交易行为分析单元的特征向量；所有用户所有交易行为分析单元的特征向量，构成数据集；

离群因子值计算及调整模块，用于：计算数据集中每个数据点的离群因子值LOF；对数据集中所有数据点进行聚类，并对各数据点根据其所在聚类簇的大小调整其离群因子值，所得值称为DLOF值；

异常交易可疑性检测模块，用于：根据数据点的DLOF值确定该数据点对应交易行为分析单元的异常交易可疑值，进而根据用户所有交易行为分析单元的异常交易可疑值确定该用户的异常交易可疑性。

以上所述异常交易行为检测装置中各模块的具体工作原理参见上述异常交易行为检测方法中各相应步骤的描述。

实施例3

本实施例提供一种设备，包括处理器和存储器；其中：所述存储器用于存储计算机指令；所述处理器用于执行所述存储器存储的计算机指令，具体执行上述实施例1所述的异常交易行为检测方法。

实施例4

本实施例提供一种计算机介质，用于存储程序，所述程序被执行时，用于实现上述实施例1所述的异常交易行为检测方法。

以上实施例为本申请的优选实施例，本领域的普通技术人员还可以在此基础上进行各种变换或改进，在不脱离本申请总的构思的前提下，这些变换或改进都应当属于本申请要求保护的范围之内。