[发明专利]基于复杂网络的异常模式挖掘和增量式异常检测方法

权利要求书

1.基于复杂网络的异常模式挖掘和增量式异常检测方法，其特征在于，主要是应用于发现异常洗钱行为和非法集资行为，找出其运行的规律并进行可解释性分析；

在挖掘异常账户时，可按照下面描述的步骤进行：

第一步：首先我们获得银行的交易数据；

第二步：对数据进行预处理；

第三步:根据五元组构建转账交易网络；

第四步:使用频繁模式挖掘算法挖掘正常转账模式；

第五步：加入自定义异常模式定义挖掘异常转账模式；

第六步：加入自定义人工经验丰富异常模式库；

第七步：针对网络中不断变化的情况，使用增量式模式检测。

2.根据权利要求1所述的基于复杂网络的异常模式挖掘和增量式异常检测方法，其特征在于，根据交易关系，包含以下步骤：

a.首先对银行内数据进行清洗选择，交易关系的抽取，以及交易流水与客户账户信息的对接，最后对涉及个人隐私的私密数据要进行筛除脱密处理；

b.将某个带有标签的网络看作是一个五元组，G＝{V,E,ΣV,ΣE,L}，其中，V表示网络中节点的集合；表示网络中边的集合；ΣV和ΣE分别表示的是节点和边的标签的集合；L是标签函数，V∪E→L，它的作用是完成标签向节点和边的映射，因此有：V→ΣV，E→ΣE；

c.下一步我们引入数据挖掘中的支持度来计算模式的出现频率，采用基于图像的最小支持度MNI作为评价指标，是基于单节点的支持度量，将MNI作为本算法的支持度来进行计算，来建模数据的分布；

给定一个网络集合GD＝(V,E)，从GD中挖掘出的模式集合PD＝(V_P,E_P)，PD＝{P_i|i＝1,2,…,n}，如果模式P在G出现m次{f₁,f₂,...f_m}，MNI定义为：

σ_MNI(P，G)＝min v∈V_P|{f_i(v)：i＝1，2，...，m}|

为了后续便于说明，直接将模式P_i的支持度记为SUP_Pi；

d.进行频繁模式挖掘过程，进行扩展时遵循最右路径扩展原则，每次扩展要更新模式的支持度SUP_Pi，计算方法使用GRAMI的CSP框架，此时计算的结果会大于真实值，使用当前的支持度SUP_Pi和给定的频繁模式的支持度阈值supp_σ1作比较：

若SUP_Pisupp_σ1，则判定新模式不是频繁模式，并对更新的该节点vi+1和边进行剪枝；

若SUP_Pi≥supp_σ1，那么将使用一系列启发式算法进行计算，每次计算都会在CSP模式下计算当前的支持度，然后再次和阈值进行比较；

如果使用最后一个启发式算法也不能排除是不是频繁模式，那么就要完整计算此模式的具体支持度；

e.基于提出的频繁模式挖掘算法GRAMI，利用该算法改进后的高效率来进行异常模式的挖掘和分析，提出异常模式挖掘算法AbGRAMI，由正常、频繁，逐渐演变的过程中可能引入了一条新的边或者是一个新的节点，使之变为异常情况；

f.基于已经挖掘出的异常模式集合APD，将根据异常模式的基础上再加入一些人工经验因素，丰富异常模式库，生成异常模式集合APD+再次进行检测；

g.使用AbGRAM的批处理算法一次计算APD，然后根据ΔG增量计算变化ΔAP。