(19)国家知识产权局
(12)发明专利申请
(10)申请公布号
(43)申请公布日
(21)申请号 202311032198.7
(22)申请日 2023.08.16
(71)申请人 中国工商银行股份有限公司
地址 100140 北京市西城区复兴门内大街
55号
(72)发明人 许思文 石岳蓉
(74)专利代理机构 中科专利商标代理有限责任
公司 11021
专利代理师 张琛
(51)Int.Cl.
G06Q 20/38(2012.01)
G06Q 20/40(2012.01)
G06F 16/242(2019.01)
G06F 16/2455(2019.01)
(54)发明名称
盗刷风险分析方法、装置、电子设备和介质
(57)摘要
提供了一种基于多维特征的盗刷风险分析
方法、装置、电子设备和介质，可以应用于云计算
技术领域和物联网技术领域。所述方法包括：基
于当前交易，获取经过授权的客户交易数据，其
中，所述客户交易数据至少包括交易时间特征、
交易地区特征、交易金额特征和交易行为特征；
基于所述交易地区特征计算当前交易的地区可
信度；若所述地区可信度小于预设的阈值K，进行
余额异常分析，获得余额分析结果；若所述余额
分析结果为异常，进行时间异常分析，获得时间
分析结果；若所述时间分析结果为异常，进行行
为识别分析，获得行为分析结果；以及基于所述
行为分析结果，获得盗刷风险判断结果。
权利要求书2页 说明书17页 附图7页
CN 117114681 A
2023.11.24
CN 117114681 A
1 .一种基于多维特征的盗刷风险分析方法，其特征在于，所述方法包括：
基于当前交易，获取经过授权的客户交易数据，其中，所述客户交易数据至少包括交易
时间特征、交易地区特征、交易金额特征和交易行为特征；
基于所述交易地区特征计算当前交易的地区可信度；
若所述地区可信度小于预设的阈值K，基于所述交易金额特征进行余额异常分析，获得
余额分析结果；
若所述余额分析结果为异常，基于所述交易时间特征进行时间异常分析，获得时间分
析结果；
若所述时间分析结果为异常，基于所述交易行为特征进行行为识别分析，获得行为分
析结果；以及
基于所述行为分析结果，获得盗刷风险判断结果。
2 .根据权利要求1所述的方法，其特征在于，所述基于所述交易地区特征计算当前交易
的地区可信度，具体包括：
基于所述交易地区特征，获取当前交易所在地的历史地区交易次数；
引入地区风险系数表，基于所述地区风险系数表计算当前交易所在地的地区风险系
数；以及
利用所述历史地区交易次数和所述地区风险系数，计算所述地区可信度。
3 .根据权利要求2所述的方法，其特征在于，所述地区风险系数表包括城市等级评分、
旅游城市等级评分、黑产地区等级评分和附加评分，所述引入地区风险系数表，基于所述地
区风险系数表计算当前交易所在地的地区风险系数，具体包括：
引入风险度加权表，所述风险度加权表包括与所述城市等级评分、旅游城市等级评分、
黑产地区等级评分和附加评分对应的风险加权系数；以及
利用SQL语句，将所述风险度加权表和所述地区风险系数表进行关联和计算，获得所述
地区风险系数。
4 .根据权利要求2或3所述的方法，其特征在于，所述利用所述历史地区交易次数和所
述地区风险系数，计算所述地区可信度，具体包括：
计算预设的常数与所述地区风险系数的第一比值，并与所述历史地区交易次数进行加
和以获得所述地区可信度。
5 .根据权利要求1‑3中任一项所述的方法，其特征在于，所述基于当前交易，获取经过
授权的客户交易数据，具体包括：
与交易数据分析库建立连接，其中，所述交易数据分析库包括从多个数据源提取和转
换的所述客户交易数据；以及
利用SQL语句，从所述交易数据分析库中实时获取所述客户交易数据。
6 .根据权利要求1‑3中任一项所述的方法，其特征在于，所述基于所述交易金额特征进
行余额异常分析，获得余额分析结果，具体包括：
获取当前交易前余额和当前交易后余额；
计算所述当前交易后余额与所述当前交易前余额的第二比值；以及
通过比较所述第二比值和预设的阈值L，获取余额分析结果。
7 .一种基于多维特征的盗刷风险分析方法，其特征在于，所述方法包括：
权　利　要　求　书 1/2 页
2
CN 117114681 A
2
基于当前交易，获取经过授权的客户交易数据，其中，所述客户交易数据包括交易卡种
特征、交易时间特征、交易地区特征、交易金额特征和交易行为特征；
基于所述交易卡种特征，交易时间特征、交易地区特征、交易金额特征和交易行为特
征，获取综合分析可信度；以及
基于所述综合分析可信度，获得盗刷风险判断结果。
8 .根据权利要求7所述的方法，其特征在于，所述基于所述交易卡种特征、交易时间特
征、交易地区特征、交易金额特征和交易行为特征，获取综合分析可信度，具体包括：
利用SQL语句中的条件判断和逻辑表达式，分别比较所述交易卡种特征、交易时间特
征、交易地区特征、交易金额特征和交易行为特征与对应的条件，获得条件满足结果；以及
基于所述条件满足结果和预设的分配权重，计算综合分析可信度。
9 .一种基于多维特征的盗刷风险分析装置，其特征在于，所述装置包括：
客户交易数据获取模块，用于：基于当前交易，获取经过授权的客户交易数据，其中，所
述客户交易数据至少包括交易时间特征、交易地区特征、交易金额特征和交易行为特征；
地区可信度获取模块，用于：基于所述交易地区特征计算当前交易的地区可信度；
余额分析结果获取模块，用于：若所述地区可信度小于预设的阈值K，基于所述交易金
额特征进行余额异常分析，获得余额分析结果；
时间分析结果获取模块，用于：若所述余额分析结果为异常，基于所述交易时间特征进
行时间异常分析，获得时间分析结果；
行为分析结果获取模块，用于：若所述时间分析结果为异常，基于所述交易行为特征进
行行为识别分析，获得行为分析结果；
盗刷风险判断结果获取模块，用于：基于所述行为分析结果，获得盗刷风险判断结果。
10.一种基于多维特征的盗刷风险分析装置，其特征在于，所述装置包括：
客户交易数据获取模块，用于：基于当前交易，获取经过授权的客户交易数据，其中，所
述客户交易数据至少包括交易时间特征、交易地区特征、交易金额特征和交易行为特征；
综合分析可信度获取模块，用于：基于所述交易卡种特征，交易时间特征、交易地区特
征、交易金额特征和交易行为特征，获取综合分析可信度；
盗刷风险判断结果获取模块，用于：基于所述综合分析可信度，获得盗刷风险判断结
果。
11 .一种电子设备，包括：
一个或多个处理器；
存储装置，用于存储一个或多个程序，
其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个
处理器执行根据权利要求1～8中任一项所述的方法。
12.一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理
器执行根据权利要求1～8中任一项所述的方法。
13.一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现根据
权利要求1～8中任一项所述的方法。
权　利　要　求　书 2/2 页
3
CN 117114681 A
3
盗刷风险分析方法、装置、电子设备和介质
技术领域
[0001] 本发明涉及云计算技术领域和物联网技术领域，更具体地涉及一种盗刷风险分析
方法、装置、电子设备和介质。
背景技术
[0002] 随着自动柜员机(ATM)的广泛应用，ATM盗刷事件频繁发生，给个人用户和金融机
构带来了巨大的损失和安全风险。ATM盗刷是指通过欺诈或窃取手段，未经授权地获取他人
银行卡信息以及非法提取资金的行为，盗刷行为不仅损害了个人用户的财产安全和信任，
还对整个金融系统的稳定性产生了负面影响。
[0003] 目前，针对上述问题，金融机构通过加强物理安全措施、改进技术防护手段以及强
化监测和预警系统等方面进行应对，包括：加强ATM的监控、防护和巡检；采用芯片卡技术、
双因素认证、加密通信等提升安全性；以及使用实时监测系统加强监控。
[0004] 然而，尽管当前的应对手段在一定程度上提高了交易安全性，但仍存在一些不足
和挑战：盗刷事件有明显的地域异常性，而现有手段主要通过监测面部这单一特征进行风
险判断，所得到的信息有限，容易出现误判或遗漏；同时，由于盗刷技术不断演进，新的安全
漏洞和攻击方式层出不穷，使得现有的应对手段效果较差。此外，监测和预警系统在发现异
常交易后的相应速度和准确性仍有提升的空间。
发明内容
[0005] 鉴于上述问题，根据本发明的第一方面，提供了一种基于多维特征的盗刷风险分
析方法，其特征在于，所述方法包括：基于当前交易，获取经过授权的客户交易数据，其中，
所述客户交易数据至少包括交易时间特征、交易地区特征、交易金额特征和交易行为特征；
基于所述交易地区特征计算当前交易的地区可信度；若所述地区可信度小于预设的阈值K，
基于所述交易金额特征进行余额异常分析，获得余额分析结果；若所述余额分析结果为异
常，基于所述交易时间特征进行时间异常分析，获得时间分析结果；若所述时间分析结果为
异常，基于所述交易行为特征进行行为识别分析，获得行为分析结果；以及基于所述行为分
析结果，获得盗刷风险判断结果。
[0006] 根据一些示例性实施例，所述基于所述交易地区特征计算当前交易的地区可信
度，具体包括：基于所述交易地区特征，获取当前交易所在地的历史地区交易次数；引入地
区风险系数表，基于所述地区风险系数表计算当前交易所在地的地区风险系数；以及利用
所述历史地区交易次数和所述地区风险系数，计算所述地区可信度。
[0007] 根据一些示例性实施例，所述地区风险系数表包括城市等级评分、旅游城市等级
评分、黑产地区等级评分和附加评分，所述引入地区风险系数表，基于所述地区风险系数表
计算当前交易所在地的地区风险系数，具体包括：引入风险度加权表，所述风险度加权表包
括与所述城市等级评分、旅游城市等级评分、黑产地区等级评分和附加评分对应的风险加
权系数；以及利用SQL语句，将所述风险度加权表和所述地区风险系数表进行关联和计算，
说　明　书 1/17 页
4
CN 117114681 A
4
获得所述地区风险系数。
[0008] 根据一些示例性实施例，所述利用所述历史地区交易次数和所述地区风险系数，
计算所述地区可信度，具体包括：计算预设的常数与所述地区风险系数的第一比值，并与所
述历史地区交易次数进行加和以获得所述地区可信度。
[0009] 根据一些示例性实施例，所述基于当前交易，获取经过授权的客户交易数据，具体
包括：与交易数据分析库建立连接，其中，所述交易数据分析库包括从多个数据源提取和转
换的所述客户交易数据；以及利用SQL语句，从所述交易数据分析库中实时获取所述客户交
易数据。
[0010] 根据一些示例性实施例，所述基于所述交易金额特征进行余额异常分析，获得余
额分析结果，具体包括：获取当前交易前余额和当前交易后余额；计算所述当前交易后余额
与所述当前交易前余额的第二比值；以及通过比较所述第二比值和预设的阈值L，获取余额
分析结果。
[0011] 根据本发明的第二方面，提供了一种基于多维特征的盗刷风险分析方法，其特征
在于，所述方法包括：基于当前交易，获取经过授权的客户交易数据，其中，所述客户交易数
据包括交易卡种特征、交易时间特征、交易地区特征、交易金额特征和交易行为特征；基于
所述交易卡种特征，交易时间特征、交易地区特征、交易金额特征和交易行为特征，获取综
合分析可信度；以及基于所述综合分析可信度，获得盗刷风险判断结果。
[0012] 根据一些示例性实施例，所述基于所述交易卡种特征、交易时间特征、交易地区特
征、交易金额特征和交易行为特征，获取综合分析可信度，具体包括：利用SQL语句中的条件
判断和逻辑表达式，分别比较所述交易卡种特征、交易时间特征、交易地区特征、交易金额
特征和交易行为特征与对应的条件，获得条件满足结果；以及基于所述条件满足结果和预
设的分配权重，计算综合分析可信度。
[0013] 根据本发明的第三方面，提出了一种基于多维特征的盗刷风险分析装置，所述装
置包括：客户交易数据获取模块，用于：基于当前交易，获取经过授权的客户交易数据，其
中，所述客户交易数据至少包括交易时间特征、交易地区特征、交易金额特征和交易行为特
征；地区可信度获取模块，用于：基于所述交易地区特征计算当前交易的地区可信度；余额
分析结果获取模块，用于：若所述地区可信度小于预设的阈值K，基于所述交易金额特征进
行余额异常分析，获得余额分析结果；时间分析结果获取模块，用于：若所述余额分析结果
为异常，基于所述交易时间特征进行时间异常分析，获得时间分析结果；行为分析结果获取
模块，用于：若所述时间分析结果为异常，基于所述交易行为特征进行行为识别分析，获得
行为分析结果；盗刷风险判断结果获取模块，用于：基于所述行为分析结果，获得盗刷风险
判断结果。
[0014] 根据一些示例性实施例，所述客户交易数据获取模块可以包括连接单元、客户交
易数据单元。
[0015] 根据一些示例性实施例，所述连接单元可以用于与交易数据分析库建立连接，其
中，所述交易数据分析库包括从多个数据源提取和转换的所述客户交易数据。
[0016] 根据一些示例性实施例，所述客户交易数据单元可以用于利用SQL语句，从所述交
易数据分析库中实时获取所述客户交易数据。
[0017] 根据一些示例性实施例，根据本发明的实施例，所述地区可信度获取模块可以包
说　明　书 2/17 页
5
CN 117114681 A
5
括历史地区交易次数获取单元、地区风险系数计算模块以及地区可信度计算单元。
[0018] 根据一些示例性实施例，所述历史地区交易次数获取单元可以用于基于所述交易
地区特征，获取当前交易所在地的历史地区交易次数。
[0019] 根据一些示例性实施例，所述地区风险系数计算模块可以用于引入地区风险系数
表，基于所述地区风险系数表计算当前交易所在地的地区风险系数。
[0020] 根据一些示例性实施例，所述地区可信度计算单元可以用于利用所述历史地区交
易次数和所述地区风险系数，计算所述地区可信度。
[0021] 所述地区可信度计算单元还可以包括可信度计算单元。所述可信度计算单元可以
用于计算预设的常数与所述地区风险系数的第一比值，并与所述历史地区交易次数进行加
和以获得所述地区可信度。
[0022] 根据一些示例性实施例，所述地区风险系数计算模块可以包括风险度加权表引入
单元和地区风险系数计算单元。
[0023] 根据一些示例性实施例，所述风险度加权表引入单元可以用于引入风险度加权
表，所述风险度加权表包括与所述城市等级评分、旅游城市等级评分、黑产地区等级评分和
附加评分对应的风险加权系数。
[0024] 根据一些示例性实施例，所述地区风险系数计算单元可以用于利用SQL语句，将所
述风险度加权表和所述地区风险系数表进行关联和计算，获得所述地区风险系数。
[0025] 根据一些示例性实施例，所述余额分析结果获取模块可以包括余额获取单元、第
二比值计算单元和余额分析结果获取单元。
[0026] 根据一些示例性实施例，所述余额获取单元可以用于获取当前交易前余额和当前
交易后余额。
[0027] 根据一些示例性实施例，所述第二比值计算单元可以用于计算所述当前交易后余
额与所述当前交易前余额的第二比值。
[0028] 根据一些示例性实施例，所述余额分析结果获取单元可以用于通过比较所述第二
比值和预设的阈值L，获取余额分析结果。
[0029] 根据本发明的第四方面，提出了一种基于多维特征的盗刷风险分析装置，所述装
置包括：客户交易数据获取模块，用于：基于当前交易，获取经过授权的客户交易数据，其
中，所述客户交易数据至少包括交易时间特征、交易地区特征、交易金额特征和交易行为特
征；综合分析可信度获取模块，用于：基于所述交易卡种特征，交易时间特征、交易地区特
征、交易金额特征和交易行为特征，获取综合分析可信度；盗刷风险判断结果获取模块，用
于：基于所述综合分析可信度，获得盗刷风险判断结果。
[0030] 根据一些示例性实施例，所述综合分析可信度获取模块可以包括条件满足结果获
取单元以及综合分析可信度计算单元。
[0031] 根据一些示例性实施例，所述条件满足结果获取单元可以用于利用SQL语句中的
条件判断和逻辑表达式，分别比较所述交易卡种特征、交易时间特征、交易地区特征、交易
金额特征和交易行为特征与对应的条件，获得条件满足结果。
[0032] 根据一些示例性实施例，所述综合分析可信度计算单元可以用于基于所述条件满
足结果和预设的分配权重，计算综合分析可信度。
[0033] 根据本发明的第五方面，提供一种电子设备，包括：一个或多个处理器；存储装置，
说　明　书 3/17 页
6
CN 117114681 A
6
用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，
使得所述一个或多个处理器执行如上所述的方法。
[0034] 根据本发明的第六方面，提供一种计算机可读存储介质，其上存储有可执行指令，
该指令被处理器执行时使处理器执行如上所述的方法。
[0035] 根据本发明的第七方面，提供一种计算机程序产品，包括计算机程序，所述计算机
程序被处理器执行时实现如上所述的方法。
[0036] 上述一个或多个实施例具有如下优点或有益效果：根据本发明提供的基于多维特
征的盗刷风险分析方法，通过对客户ATM取款的交易地区、交易时间、交易金额、交易行为等
特征进行分析，能够按照特征的重要性进行分析，并综合考虑多个特征，更好地捕捉到潜在
的异常模型和风险信号，因此可以得到更全面和准确的盗刷风险判断结果。
附图说明
[0037] 通过以下参照附图对本发明实施例的描述，本发明的上述内容以及其他目的、特
征和优点将更为清楚，在附图中：
[0038] 图1示意性示出了根据本发明实施例的基于多维特征的盗刷风险分析方法、装置、
设备、介质的应用场景图。
[0039] 图2示意性示出了根据本发明实施例的基于多维特征的盗刷风险分析方法的流程
图。
[0040] 图3示意性示出了根据本发明实施例的获取客户交易数据的方法的流程图。
[0041] 图4示意性示出了根据本发明实施例的计算当前交易的地区可信度的方法的流程
图。
[0042] 图5示意性示出了根据本发明实施例的计算当前交易所在地的地区风险系数的方
法的流程图。
[0043] 图6示意性示出了根据本发明实施例的进行余额异常分析的方法的流程图。
[0044] 图7示意性示出了根据本发明另一实施例的基于多维特征的盗刷风险分析方法的
流程图。
[0045] 图8示意性示出了根据本发明实施例的计算综合分析可信度的方法的流程图。
[0046] 图9示意性示出了根据本发明实施例的基于多维特征的盗刷风险分析装置的结构
框图。
[0047] 图10示意性示出了根据本发明又一实施例的基于多维特征的盗刷风险分析装置
的结构框图。
[0048] 图11示意性示出了根据本发明实施例的适于基于多维特征的盗刷风险分析方法
的电子设备的方框图。
具体实施方式
[0049] 以下，将参照附图来描述本发明的实施例。但是应该理解，这些描述只是示例性
的，而并非要限制本发明的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细
节以提供对本发明实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细
节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免
说　明　书 4/17 页
7
CN 117114681 A
7
不必要地混淆本发明的概念。
[0050] 在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本发明。在此使用
的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在
或添加一个或多个其他特征、步骤、操作或部件。
[0051] 在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的
含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的
含义，而不应以理想化或过于刻板的方式来解释。
[0052] 在使用类似于“A、B和C等中至少一个”这样的表述的情况下，一般来说应该按照本
领域技术人员通常理解该表述的含义来予以解释(例如，“具有A、B和C中至少一个的系统”
应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或
具有A、B、C的系统等)。
[0053] 在本发明的技术方案中，所涉及的用户个人信息的获取，存储和应用等，均符合相
关法律法规的规定，采取了必要保密措施，且不违背公序良俗。
[0054] 首先，对本文中记载的技术术语作如下解释和说明。
[0055] SQL(Structured Query Language)：一种用于管理关系型数据库的标准化语言，
它是一种强大的编程语言，用于在数据库中存储、操作和检索数据。SQL允许用户创建数据
库、表、视图和存储过程，以及执行各种数据操作，例如插入、更新、删除和查询数据。
[0056] 云计算：一种通过互联网提供计算资源和服务的模式，基于虚拟化技术和分布式
计算理念，将计算、存储和网络等资源通过云服务提供给用户。
[0057] 物联网：是指互联网与各种物品(如传感器、执行器、智能设备等)相互连接和通信
的网络。通过物联网，可以实现物与物之间、物与人之间的智能交互和信息共享，从而使各
种智能设备、传感器、执行器等互相协作，形成智能系统，提供更为智能化、高效和便利的服
务体验。
[0058] ATM盗刷事件在银行业时有发生，随着信息技术的不断发展，黑产团伙的攻击手段
及作案工具效能的不断提高，黑产欺诈行为更加隐蔽和难以防范。不法分子通过在ATM的读
卡器安装磁条复制部件、在密码键盘上安装摄像头，窃取客户银行卡磁条信息和密码，进而
盗取客户银行卡资金。
[0059] ATM盗刷的作案方式通常为团伙集中作案，且通常具有以下特征：一是地点异常，
据统计，ATM盗刷交易多发生在外埠，也就是异地取现，团伙作案、跨地区作案，使得ATM盗刷
隐蔽性高，破案难度大；二是时间异常，银行卡盗刷行为多发生在深夜和凌晨，由于单日ATM
机取款金额有限，在0：00前后跨日取款可以使用两天的额度，以及深夜取款不易引起注意，
被盗刷客户往往早上醒来才发觉资金被盗，不法分子通常选择深夜和凌晨作案，令人防不
胜防；三是卡种特殊，ATM被盗刷的卡大多是单磁条借记卡。由于历史原因，单磁条借记卡存
在磁条信息能够被复制的漏洞，而芯片卡的安全性较高，被盗刷的风险较低，所以不法分子
主要针对单磁条借记卡进行作案；四是金额异常，不法分子盗刷银行卡进行ATM取现交易时
往往会将客户卡内资金尽数取出以求获取最大利益，客户卡内资金常常所剩无几；五是行
为异常，按照相关要求，银行取款设备一般会安装摄像头以便监控取款人的操作过程，为防
止被摄像头拍到，不法分子在作案时多会选择用口罩遮挡面部，增加破案难度。
[0060] 由于近年来ATM盗刷事件时有发生，给客户资金安全带来极大隐患，如何防范不法
说　明　书 5/17 页
8
CN 117114681 A
8
分子及黑产团伙的攻击，保护客户ATM交易安全成为亟待解决的问题。
[0061] 基于此，本发明的实施例提供一种基于多维特征的盗刷风险分析方法，其特征在
于，所述方法包括：基于当前交易，获取经过授权的客户交易数据，其中，所述客户交易数据
至少包括交易时间特征、交易地区特征、交易金额特征和交易行为特征；基于所述交易地区
特征计算当前交易的地区可信度；若所述地区可信度小于预设的阈值K，基于所述交易金额
特征进行余额异常分析，获得余额分析结果；若所述余额分析结果为异常，基于所述交易时
间特征进行时间异常分析，获得时间分析结果；若所述时间分析结果为异常，基于所述交易
行为特征进行行为识别分析，获得行为分析结果；以及基于所述行为分析结果，获得盗刷风
险判断结果。根据本发明提供的基于多维特征的盗刷风险分析方法，通过对客户ATM取款的
交易地区、交易时间、交易金额、交易行为等特征进行分析，能够按照特征的重要性进行分
析，并综合考虑多个特征，更好地捕捉到潜在的异常模型和风险信号，因此可以得到更全面
和准确的盗刷风险判断结果。
[0062] 在一些实施例中，本发明还提供了一种基于多维特征的盗刷风险分析方法，其特
征在于，所述方法包括：基于当前交易，获取经过授权的客户交易数据，其中，所述客户交易
数据包括交易卡种特征、交易时间特征、交易地区特征、交易金额特征和交易行为特征；基
于所述交易卡种特征，交易时间特征、交易地区特征、交易金额特征和交易行为特征，获取
综合分析可信度；以及基于所述综合分析可信度，获得盗刷风险判断结果。根据本发明提供
的基于多维特征的盗刷风险分析方法，通过对客户ATM取款的交易卡种、交易时间、交易地
区、交易金额、交易行为等特征进行分析，能够同时综合考虑多个特征，避免按多个单一特
征的顺序判断出现的遗漏。
[0063] 需要说明的是，本发明确定的基于多维特征的盗刷风险分析方法、装置、设备和介
质可用于云计算技术领域和物联网技术领域，也可用于金融领域，还可以用于除云计算技
术领域和物联网技术领域以及金融领域之外的多种领域。本发明的实施例提供的基于多维
特征的盗刷风险分析方法、装置、设备和介质的应用领域不做限定。
[0064] 在本发明的技术方案中，所涉及的用户信息(包括但不限于用户个人信息、用户图
像信息、用户设备信息，例如位置信息等)和数据(包括但不限于用于分析的数据、存储的数
据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，并且相关数据
的收集、存储、使用、加工、传输、提供、公开和应用等处理，均遵守相关国家和地区的相关法
律法规和标准，采取了必要保密措施，不违背公序良俗，并提供有相应的操作入口，供用户
选择授权或者拒绝。
[0065] 图1示意性示出了根据本发明实施例的基于多维特征的盗刷风险分析方法、装置、
设备、介质的应用场景图。
[0066] 如图1所示，根据该实施例的应用场景100可以包括终端设备101、102、103，网络
104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的
介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。
[0067] 用户可以使用终端设备101、102、103通过网络104与服务器105交互，以接收或发
送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用，例如购物类应用、网
页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
[0068] 终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备，包
说　明　书 6/17 页
9
CN 117114681 A
9
括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
[0069] 服务器105可以是提供各种服务的服务器，例如对用户利用终端设备101、102、103
所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用
户请求等数据进行分析等处理，并将处理结果(例如根据用户请求获取或生成的网页、信
息、或数据等)反馈给终端设备。
[0070] 需要说明的是，本发明实施例所提供的基于多维特征的盗刷风险分析方法一般可
以由服务器105执行。相应地，本发明实施例所提供的基于多维特征的盗刷风险分析装置一
般可以设置于服务器105中。本发明实施例所提供的基于多维特征的盗刷风险分析方法也
可以由不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或
服务器集群执行。相应地，本发明实施例所提供的基于多维特征的盗刷风险分析装置也可
以设置于不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器
或服务器集群中。
[0071] 应该理解，图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需
要，可以具有任意数目的终端设备、网络和服务器。
[0072] 图2示意性示出了根据本发明实施例的基于多维特征的盗刷风险分析方法的流程
图。
[0073] 如图2所示，该实施例的基于多维特征的盗刷风险分析方法200可以包括操作S210
～操作S260。
[0074] 在操作S210，基于当前交易，获取经过授权的客户交易数据，其中，所述客户交易
数据至少包括交易时间特征、交易地区特征、交易金额特征和交易行为特征。
[0075] 在本发明的实施例中，为了帮助客户避免盗刷风险的同时保护数据的安全性，在
客户办理信用卡、借记卡等支付工具时，银行或支付机构应该向客户清楚说明数据采集的
目的、范围和使用方式，同时告知客户关于数据隐私的保护措施，以确保客户对于数据采集
过程的透明度和知情同意。其中，在办卡过程中，银行或支付机构可以向客户提供明确的授
权条款，让客户明确同意将其交易数据提供给机构进行实时采集和分析，授权条款应该具
体而明确，确保客户的授权意愿得到明确表达。
[0076] 在本发明的技术方案中，所涉及的用户信息(包括但不限于用户个人信息、用户图
像信息、用户设备信息，例如位置信息等)和数据(包括但不限于用于分析的数据、存储的数
据、展示的数据等)的收集、存储、使用、加工、传输、提供、公开和应用等处理，均遵守相关国
家和地区的相关法律法规和标准，采取了必要保密措施，不违背公序良俗。
[0077] 图3示意性示出了根据本发明实施例的获取客户交易数据的方法的流程图。
[0078] 如图3所示，该实施例的获取客户交易数据的方法可以包括操作S310～操作S320。
[0079] 在操作S310，与交易数据分析库建立连接，其中，所述交易数据分析库包括从多个
数据源提取和转换的所述客户交易数据。
[0080] 在本发明的实施例中，交易数据分析库包含了从多个数据源提取和转换的客户交
易数据。这些数据源可以包括交易卡种、交易时间、交易地区、交易金额、交易设备、交易行
为等。将这些数据整合到交易数据分析库中，可以方便进行数据的存储、管理和分析。
[0081] 在本发明的实施例中，可以与交易数据分析库建立连接，以便实时获取最新的客
户交易数据。连接可以通过网络通信协议(如TCP/IP)来实现，以确保系统可以与数据分析
说　明　书 7/17 页
10
CN 117114681 A
10
库进行数据交换。
[0082] 在操作S320，利用SQL语句，从所述交易数据分析库中实时获取所述客户交易数
据。
[0083] 在本发明的实施例中，通过编写合适的SQL查询语句，可以从交易数据分析库中实
时获取所需的客户交易数据。查询语句可以包括选择特定客户的交易记录，包括交易时间、
交易地区等，这些操作都可以通过SQL语句来实现。
[0084] 在本发明的实施例中，交易地区特征描述了当前交易所发生的地理位置或地区信
息，该特征可以用于确定客户交易的地理分布情况，并与客户正常的交易行为进行对比。异
常的交易地区可能暗示着潜在的盗刷风险。
[0085] 在本发明的实施例中，交易金额特征可以包括当前交易的金额、当前交易前余额
和当前交易后余额。该特征可以用于检测交易的异常金额，如异常高额或异常低额的交易，
大额交易可能引发风险，而小额交易可能是盗刷者测试账户有效性的行为；该特征也可以
用于检测余额是否异常，避免盗刷者将卡内资金尽数取出。
[0086] 在本发明的实施例中，交易时间特征指的是当前交易发生的具体时间，异常的交
易时间可能是风险的指示因素。
[0087] 在本发明的实施例中，交易行为特征描述了ATM交易者的交易行为，如是否戴口
罩、帽子进行遮掩等。
[0088] 在操作S220，基于所述交易地区特征计算当前交易的地区可信度。
[0089] 在本发明的实施例中，地区可信度可以根据历史交易数据、客户交易地点的风险
指数等因素来确定，这可以用来评估当前交易地点是否可信。
[0090] 图4示意性示出了根据本发明实施例的计算当前交易的地区可信度的方法的流程
图。
[0091] 如图4所示，该实施例的计算当前交易的地区可信度的方法可以包括操作S410～
操作S430。
[0092] 在操作S410，基于所述交易地区特征，获取当前交易所在地的历史地区交易次数。
[0093] 在本发明的实施例中，可以收集客户在不同地区的历史交易记录，这些历史交易
记录包括交易发生的地理位置信息，可以统计每个地区的交易次数，形成历史地区交易次
数的数据。具体地，可以使用SQL语句中的GROUP BY子句的分组函数将交易数据按照地区字
段进行分组，通过COUNT函数来计算每个地区交易数据的数量。
[0094] 需要说明的是，此处列举的方法仅为示例性的，不意图限制本发明实施例中获取
历史地区交易次数的方法，即，本发明实施例中获取历史地区交易次数还可以参考其他的
方法。
[0095] 在操作S420，引入地区风险系数表，基于所述地区风险系数表计算当前交易所在
地的地区风险系数。
[0096] 在本发明的实施例中，地区风险系数表可以是预先创建的表格，其中包含了各个
地区的风险系数评分。所述风险系数评分可以包括基于城市和/或地区的等级的基础风险
评分。进一步地，风险系数评分还可以包括基于历史盗刷数据、犯罪率、交易安全等因素进
行统计和分析的附加风险评分。其中，基于城市和/或地区的等级可以占评分的较大比重，
基于历史盗刷数据、犯罪率、交易安全等因素的评分可以作为补充，以区分同一等级的城市
说　明　书 8/17 页
11
CN 117114681 A
11
和/或地区的风险评分。
[0097] 在本发明的实施例中，引入地区风险系数表的目的是对不同地区进行风险评估，
高风险地区的风险系数可以较高，低风险地区的风险系数可以较低。通过查找地区风险系
数表，可以找到当前交易所在地的地区风险系数。
[0098] 在本发明的实施例中，可以通过训练机器学习模型来评估基于历史盗刷数据、犯
罪率、交易安全等因素的附加风险评分。具体地，可以根据包含历史盗刷数据、犯罪率、交易
安全等因素以及对应的风险标签准备训练数据集并进行特征工程；选择逻辑回归、决策树、
神经网络等合适的模型建立附加评分模型，并进行训练和评估；根据训练好的附加评分模
型对当前交易所在地进行预测，得到基于历史盗刷数据、犯罪率、交易安全等因素的评分。
[0099] 在本发明的实施例中，地区风险系数表可以包括城市等级、旅游城市等级和黑产
地区等级。对应地，风险系数评分可以为：一线城市+10，二线城市+20，其他城市+30；热门旅
游城市+0，小众旅游城市+10，非旅游城市+30；黑产活跃地区+50，黑产活跃周边地区+20，普
通地区+0。进一步地，地区风险系数表还可以包括各城市和/或地区的基于附加评分模型得
到0～9的附加评分。
[0100] 图5示意性示出了根据本发明实施例的计算当前交易所在地的地区风险系数的方
法的流程图。
[0101] 如图5所示，该实施例的计算当前交易所在地的地区风险系数的方法可以包括操
作S510～操作S520。
[0102] 在操作S510，引入风险度加权表，所述风险度加权表包括与所述城市等级评分、旅
游城市等级评分、黑产地区等级评分和附加评分对应的风险加权系数。
[0103] 在本发明的实施例中，风险度加权表也可以是预先创建的表格，其中包含了与城
市等级评分、旅游城市等级评分、黑产地区等级评分和附加评分对应的风险加权系数。这些
加权系数是事先确定的，可以根据历史数据、统计信息和专业知识来确定。风险度加权表的
目的是为了将不同类别的地区风险进行加权计算，以综合考虑不同类别的风险因素。
[0104] 在操作S520，利用SQL语句，将所述风险度加权表和所述地区风险系数表进行关联
和计算，获得所述地区风险系数。
[0105] 在本发明的实施例中，可以使用JOIN子句将风险度加权表和地区风险系数表进行
关联，随后，通过乘法运算计算地区风险系数，其中，地区风险系数Fi的计算公式为：
[0106] Fi＝k1
Ci
+k2
Ti
+k3
Bi
+k4
Pi
(1)
[0107] 其中，Ci为城市等级评分，Ti为旅游城市等级评分，Bi为黑产地区等级评分，Pi为附
加评分，k1～k4为对应的风险加权系数。
[0108] 返回参考图4，在操作S430，利用所述历史地区交易次数和所述地区风险系数，计
算所述地区可信度。
[0109] 在本发明的实施例中，所述利用所述历史地区交易次数和所述地区风险系数，计
算所述地区可信度，具体包括：计算预设的常数与所述地区风险系数的第一比值，并与所述
历史地区交易次数进行加和以获得所述地区可信度。因此，地区可信度Kb计算公式如下：
[0110]
[0111] 其中，D为历史地区交易次数，M为预设的常数。第一比值的目的是对地区风险系数
说　明　书 9/17 页
12
CN 117114681 A
12
进行归一化或标准化，使得地区风险系数的数值范围不会过大或过小，常数M的选择可以根
据实际情况和需要进行调整，以适应具体的业务场景和数据特征。地区可信度的数值将反
映当前交易所在地的可信程度，数值越高表示地区越可信，数值越低表示地区可能存在风
险。
[0112] 返回参照图2，在操作S230，若所述地区可信度小于预设的阈值K，基于所述交易金
额特征进行余额异常分析，获得余额分析结果。
[0113] 图6示意性示出了根据本发明实施例的进行余额异常分析的方法的流程图。
[0114] 如图6所示，该实施例的进行余额异常分析的方法可以包括操作S610～操作S630。
[0115] 在操作S610，获取当前交易前余额和当前交易后余额。
[0116] 在操作S620，计算所述当前交易后余额与所述当前交易前余额的第二比值。
[0117] 在操作S630，通过比较所述第二比值和预设的阈值L，获取余额分析结果。
[0118] 在本发明的实施例中，第二比值的计算旨在分析当前交易对账户余额的影响程
度。如果第二比值大于预设的阈值L，表示当前交易后余额与当前交易前余额相差不大，可
能是正常交易；如果第二比值小于预设的阈值L，表示当前交易导致账户余额急剧减少，可
能存在异常情况，可能是盗刷或欺诈行为。
[0119] 返回参照图2，在操作S240，若所述余额分析结果为异常，基于所述交易时间特征
进行时间异常分析，获得时间分析结果。
[0120] 在本发明的实施例中，交易时间特征可以与客户的历史交易习惯和行为模式的相
关数据进行比较，例如，可以获取并分析交易卡的历史交易时间，在客户通常不进行交易的
时间发生的交易认定为异常的交易时间；该特征也可以与系统设定的时间段进行比较，例
如，交易时间在晚上11:00～第二天凌晨3:00认定为异常的交易时间，或者，将目标客户通
常不进行交易的下午3:00～5:00认定为异常的交易时间，时间段可根据需求调整。
[0121] 在本发明的实施例中，可能通过建立模型或使用统计方法来检测交易时间的异常
情况。例如，可以使用离群点检测算法来识别异常的交易时间。
[0122] 需要说明的是，此处列举的方法仅为示例性的，不意图限制本发明实施例中检测
交易时间的异常情况的参考方法，即，本发明实施例中检测交易时间的异常情况还可以参
考其他的方法。
[0123] 在操作S250，若所述时间分析结果为异常，基于所述交易行为特征进行行为识别
分析，获得行为分析结果。
[0124] 在本发明的实施例中，可以根据摄像头采集人脸图像以识别客户是否存在可疑行
为，例如遮挡脸部等。
[0125] 在操作S260，基于所述行为分析结果，获得盗刷风险判断结果。
[0126] 在本发明的实施例中，对于最终判定为异常的交易进行事中干预，如进行短信核
验、人工电话核验等，并中断当前交易。
[0127] 根据本发明实施例提供的基于多维特征的盗刷风险分析方法，通过对客户ATM取
款的交易卡种、交易时间、交易地区、交易金额、交易设备、交易行为等特征进行分析，利用
地区风险系数表计算交易可信度，区分客户正常交易与可疑交易，对于可疑交易进行事中
干预防止客户资金被盗刷。通过综合多个特征的信息，盗刷风险分析方法可以更准确地识
别异常交易和风险行为，相较于仅考虑单一特征的方法，综合多维特征的方法更能捕捉异
说　明　书 10/17 页
13
CN 117114681 A
13
常模式和规律，提高了盗刷风险判断的准确性。因此，本发明的实施例具有以下有益效果：
[0128] 1、克服了目前ATM盗刷团伙作案隐蔽、不易被察觉的风险，有效保障客户资金安
全；
[0129] 2、该方法利用数据库中实时的交易数据进行分析，使得风险评估可以及时进行，
通过及时获取最新的交易信息，可以更快地发现潜在的盗刷风险，从而采取及时的措施来
防范风险；
[0130] 3、数据库作为数据存储和管理的基础，可以存储大量的交易数据，因此该方法具
有较好的可扩展性。随着交易数据量的增加，分析方法可以灵活地扩展，以应对不断增长的
数据需求；
[0131] 4、数据库通常具有访问控制和安全机制，可以保护客户的交易数据不被未授权的
访问或泄露。同时，可以对敏感信息进行加密，增加数据的安全性。
[0132] 需要说明的是，在上述本发明实施例提供的基于多维特征的盗刷风险分析方法
中，按照特征重要性的顺序分析风险。在地区可信度大于预设的阈值K时，可以终止分析过
程，并输出本次交易为正常交易。同理，在余额分析结果、时间分析结果和行为分析结果为
正常时，可以终止分析过程，并输出本次交易为正常交易。
[0133] 因此，为了进一步提高盗刷风险判断结果的准确性和可靠性，避免按多个单一特
征的顺序判断出现的遗漏，本发明的另一实施例还提供了基于综合多维特征的盗刷风险方
法。
[0134] 图7示意性示出了根据本发明另一实施例的基于多维特征的盗刷风险分析方法的
流程图。
[0135] 如图7所示，该实施例的基于多维特征的盗刷风险分析方法可以包括操作S710～
操作S730。
[0136] 在操作S710，基于当前交易，获取经过授权的客户交易数据，其中，所述客户交易
数据包括交易卡种特征、交易时间特征、交易地区特征、交易金额特征和交易行为特征。
[0137] 在操作S720，基于所述交易卡种特征，交易时间特征、交易地区特征、交易金额特
征和交易行为特征，获取综合分析可信度。
[0138] 在本发明的实施例中，交易卡种特征可以包括芯片卡或磁条卡。
[0139] 在本发明的实施例中，可以利用综合的分析方法和模型，对客户交易数据进行综
合分析，得出综合分析可信度。综合分析可信度可以是一个综合评估的指标，它考虑了交易
卡种、交易时间、交易地区、交易金额和交易行为等多个因素，以评估当前交易的可信程度。
[0140] 图8示意性示出了根据本发明实施例的计算综合分析可信度的方法的流程图。
[0141] 如图8所示，该实施例的计算综合分析可信度的方法可以包括操作S810～操作
S820。
[0142] 在操作S810，利用SQL语句中的条件判断和逻辑表达式，分别比较所述交易卡种特
征、交易时间特征、交易地区特征、交易金额特征和交易行为特征与对应的条件，获得条件
满足结果。
[0143] 在本发明的实施例中，通过SQL语句，可以根据各个特征的值与预设的条件进行比
较和判断，得出条件满足结果。
[0144] 在操作S820，基于所述条件满足结果和预设的分配权重，计算综合分析可信度。
说　明　书 11/17 页
14
CN 117114681 A
14
[0145] 在本发明的实施例中，在获得条件满足结果后，可以根据预设的分配权重，对各个
特征的条件满足结果进行加权计算，从而得到综合分析可信度。
[0146] 返回参照图7，在操作S730，基于所述综合分析可信度，获得盗刷风险判断结果。
[0147] 在本发明的实施例中，根据综合分析可信度的结果，得出盗刷风险判断结果。如果
综合分析可信度较高，说明当前交易较为可信，可能是正常的客户行为。反之，如果综合分
析可信度较低，说明当前交易存在潜在的风险，可能是盗刷行为。根据盗刷风险判断结果，
可以采取相应的防范措施，以保护客户的资金和安全。
[0148] 根据本发明另一实施例提供的基于多维特征的盗刷风险分析方法，能够从多个维
度获取和分析客户交易数据，包括交易卡种特征、交易时间特征、交易地区特征、交易金额
特征和交易行为特征。通过综合性的分析，可以更全面地了解客户的交易行为和习惯，避免
按多个单一特征的顺序判断出现的遗漏，从而补充判断是否存在异常交易；同时，可以更好
地适应不同的交易场景和数据分布，提高了风险分析的可解释性。
[0149] 需要说明的是，基于操作S210～S260以及操作S710～S710所提供的基于多维特征
的盗刷风险分析方法可以同时应用或先后应用，只要其中输出的一种盗刷风险判断结果为
异常，该交易就应进行事中干预，如进行短信核验、人工电话核验等，并中断当前交易；并根
据干预结果，进行正常交易或终止交易。
[0150] 图9示意性示出了根据本发明实施例的基于多维特征的盗刷风险分析装置的结构
框图。
[0151] 如图9所示，根据该实施例的基于多维特征的盗刷风险分析装置900包括客户交易
数据获取模块910、地区可信度获取模块920、余额分析结果获取模块930、时间分析结果获
取模块940、行为分析结果获取模块950和盗刷风险判断结果获取模块960。
[0152] 所述客户交易数据获取模块910可以用于基于当前交易，获取经过授权的客户交
易数据，其中，所述客户交易数据至少包括交易时间特征、交易地区特征、交易金额特征和
交易行为特征。在一实施例中，所述客户交易数据获取模块910可以用于执行前文描述的操
作S210，在此不再赘述。
[0153] 所述地区可信度获取模块920可以用于基于所述交易地区特征计算当前交易的地
区可信度。在一实施例中，所述地区可信度获取模块920可以用于执行前文描述的操作
S220，在此不再赘述。
[0154] 所述余额分析结果获取模块930可以用于若所述地区可信度小于预设的阈值K，基
于所述交易金额特征进行余额异常分析，获得余额分析结果。在一实施例中，所述余额分析
结果获取模块930可以用于执行前文描述的操作S230，在此不再赘述。
[0155] 所述时间分析结果获取模块940可以用于若所述余额分析结果为异常，基于所述
交易时间特征进行时间异常分析，获得时间分析结果。在一实施例中，所述时间分析结果获
取模块940可以用于执行前文描述的操作S240，在此不再赘述。
[0156] 所述行为分析结果获取模块950可以用于若所述时间分析结果为异常，基于所述
交易行为特征进行行为识别分析，获得行为分析结果。在一实施例中，所述行为分析结果获
取模块950可以用于执行前文描述的操作S250，在此不再赘述。
[0157] 所述盗刷风险判断结果获取模块960可以用于基于所述行为分析结果，获得盗刷
风险判断结果。在一实施例中，所述盗刷风险判断结果获取模块960可以用于执行前文描述
说　明　书 12/17 页
15
CN 117114681 A
15
的操作S260，在此不再赘述。
[0158] 根据本发明的实施例，所述客户交易数据获取模块910可以包括连接单元、客户交
易数据单元。
[0159] 所述连接单元可以用于与交易数据分析库建立连接，其中，所述交易数据分析库
包括从多个数据源提取和转换的所述客户交易数据。在一实施例中，所述连接单元可以用
于执行前文描述的操作S310，在此不再赘述。
[0160] 所述客户交易数据单元可以用于利用SQL语句，从所述交易数据分析库中实时获
取所述客户交易数据。在一实施例中，所述客户交易数据单元可以用于执行前文描述的操
作S320，在此不再赘述。
[0161] 根据本发明的实施例，所述地区可信度获取模块920可以包括历史地区交易次数
获取单元、地区风险系数计算模块以及地区可信度计算单元。
[0162] 所述历史地区交易次数获取单元可以用于基于所述交易地区特征，获取当前交易
所在地的历史地区交易次数。在一实施例中，所述历史地区交易次数获取单元可以用于执
行前文描述的操作S410，在此不再赘述。
[0163] 所述地区风险系数计算模块可以用于引入地区风险系数表，基于所述地区风险系
数表计算当前交易所在地的地区风险系数。在一实施例中，所述地区风险系数计算模块可
以用于执行前文描述的操作S420，在此不再赘述。
[0164] 所述地区可信度计算单元可以用于利用所述历史地区交易次数和所述地区风险
系数，计算所述地区可信度。在一实施例中，所述地区可信度计算单元可以用于执行前文描
述的操作S430，在此不再赘述。
[0165] 所述地区可信度计算单元还可以包括可信度计算单元。所述可信度计算单元可以
用于计算预设的常数与所述地区风险系数的第一比值，并与所述历史地区交易次数进行加
和以获得所述地区可信度。
[0166] 根据本发明的实施例，所述地区风险系数计算模块可以包括风险度加权表引入单
元和地区风险系数计算单元。
[0167] 所述风险度加权表引入单元可以用于引入风险度加权表，所述风险度加权表包括
与所述城市等级评分、旅游城市等级评分、黑产地区等级评分和附加评分对应的风险加权
系数。在一实施例中，所述风险度加权表引入单元可以用于执行前文描述的操作S510，在此
不再赘述。
[0168] 所述地区风险系数计算单元可以用于利用SQL语句，将所述风险度加权表和所述
地区风险系数表进行关联和计算，获得所述地区风险系数。在一实施例中，所述地区风险系
数计算单元可以用于执行前文描述的操作S520，在此不再赘述。
[0169] 根据本发明的实施例，所述余额分析结果获取模块930可以包括余额获取单元、第
二比值计算单元和余额分析结果获取单元。
[0170] 所述余额获取单元可以用于获取当前交易前余额和当前交易后余额。在一实施例
中，所述余额获取单元可以用于执行前文描述的操作S610，在此不再赘述。
[0171] 所述第二比值计算单元可以用于计算所述当前交易后余额与所述当前交易前余
额的第二比值。在一实施例中，所述第二比值计算单元可以用于执行前文描述的操作S620，
在此不再赘述。
说　明　书 13/17 页
16
CN 117114681 A
16
[0172] 所述余额分析结果获取单元可以用于通过比较所述第二比值和预设的阈值L，获
取余额分析结果。在一实施例中，所述余额分析结果获取单元可以用于执行前文描述的操
作S630，在此不再赘述。
[0173] 根据本发明的实施例，客户交易数据获取模块910、地区可信度获取模块920、余额
分析结果获取模块930、时间分析结果获取模块940、行为分析结果获取模块950和盗刷风险
判断结果获取模块960中的任意多个模块可以合并在一个模块中实现，或者其中的任意一
个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以
与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，客户交易
数据获取模块910、地区可信度获取模块920、余额分析结果获取模块930、时间分析结果获
取模块940、行为分析结果获取模块950和盗刷风险判断结果获取模块960中的至少一个可
以至少被部分地实现为硬件电路，例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、
片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC)，或可以通过对电路进行集
成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现
方式中任意一种或以其中任意几种的适当组合来实现。或者，客户交易数据获取模块910、
地区可信度获取模块920、余额分析结果获取模块930、时间分析结果获取模块940、行为分
析结果获取模块950和盗刷风险判断结果获取模块960中的至少一个可以至少被部分地实
现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。
[0174] 图10示意性示出了根据本发明又一实施例的基于多维特征的盗刷风险分析装置
的结构框图。
[0175] 如图10所示，根据该实施例的基于多维特征的盗刷风险分析装置1000包括客户交
易数据获取模块1010、综合分析可信度获取模块1020和盗刷风险判断结果获取模块1030。
[0176] 所述客户交易数据获取模块1010可以用于基于当前交易，获取经过授权的客户交
易数据，其中，所述客户交易数据至少包括交易时间特征、交易地区特征、交易金额特征和
交易行为特征。在一实施例中，所述客户交易数据获取模块1010可以用于执行前文描述的
操作S710，在此不再赘述。
[0177] 所述综合分析可信度获取模块1020可以用于基于所述交易卡种特征，交易时间特
征、交易地区特征、交易金额特征和交易行为特征，获取综合分析可信度。在一实施例中，所
述综合分析可信度获取模块1020可以用于执行前文描述的操作S720，在此不再赘述。
[0178] 所述盗刷风险判断结果获取模块1030可以用于基于所述综合分析可信度，获得盗
刷风险判断结果。在一实施例中，所述盗刷风险判断结果获取模块1030可以用于执行前文
描述的操作S730，在此不再赘述。
[0179] 根据本发明的实施例，所述综合分析可信度获取模块1020可以包括条件满足结果
获取单元以及综合分析可信度计算单元。
[0180] 所述条件满足结果获取单元可以用于利用SQL语句中的条件判断和逻辑表达式，
分别比较所述交易卡种特征、交易时间特征、交易地区特征、交易金额特征和交易行为特征
与对应的条件，获得条件满足结果。在一实施例中，所述条件满足结果获取单元可以用于执
行前文描述的操作S810，在此不再赘述。
[0181] 所述综合分析可信度计算单元可以用于基于所述条件满足结果和预设的分配权
重，计算综合分析可信度。在一实施例中，所述综合分析可信度计算单元可以用于执行前文
说　明　书 14/17 页
17
CN 117114681 A
17
描述的操作S820，在此不再赘述。
[0182] 根据本发明的实施例，客户交易数据获取模块1010、综合分析可信度获取模块
1020和盗刷风险判断结果获取模块1030中的任意多个模块可以合并在一个模块中实现，或
者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至
少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的
实施例，客户交易数据获取模块1010、综合分析可信度获取模块1020和盗刷风险判断结果
获取模块1030中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列
(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路
(ASIC)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，
或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。
或者，客户交易数据获取模块1010、综合分析可信度获取模块1020和盗刷风险判断结果获
取模块1030中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块
被运行时，可以执行相应的功能。
[0183] 图11示意性示出了根据本发明实施例的适于基于多维特征的盗刷风险分析方法
的电子设备的方框图。
[0184] 如图11所示，根据本发明实施例的电子设备1100包括处理器1101，其可以根据存
储在只读存储器(ROM)1102中的程序或者从存储部分1108加载到随机访问存储器(RAM)
1103中的程序而执行各种适当的动作和处理。处理器1101例如可以包括通用微处理器(例
如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(ASIC))
等等。处理器1101还可以包括用于缓存用途的板载存储器。处理器1101可以包括用于执行
根据本发明实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
[0185] 在RAM 1103中，存储有电子设备1100操作所需的各种程序和数据。处理器1101、
ROM 1102以及RAM 1103通过总线1104彼此相连。处理器1101通过执行ROM 1102和/或RAM
1103中的程序来执行根据本发明实施例的方法流程的各种操作。需要注意，所述程序也可
以存储在除ROM 1102和RAM 1103以外的一个或多个存储器中。处理器1101也可以通过执行
存储在所述一个或多个存储器中的程序来执行根据本发明实施例的方法流程的各种操作。
[0186] 根据本发明的实施例，电子设备1100还可以包括输入/输出(I/O)接口1105，输入/
输出(I/O)接口1105也连接至总线1104。电子设备1100还可以包括连接至I/O接口1105的以
下部件中的一项或多项：包括键盘、鼠标等的输入部分1106；包括诸如阴极射线管(CRT)、液
晶显示器(LCD)等以及扬声器等的输出部分1107；包括硬盘等的存储部分1108；以及包括诸
如LAN卡、调制解调器等的网络接口卡的通信部分1109。通信部分1109经由诸如因特网的网
络执行通信处理。驱动器1110也根据需要连接至I/O接口1105。可拆卸介质1111，诸如磁盘、
光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1110上，以便于从其上读出的计
算机程序根据需要被安装入存储部分1108。
[0187] 本发明还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实
施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/
系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被
执行时，实现根据本发明实施例的方法。
[0188] 根据本发明的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介
说　明　书 15/17 页
18
CN 117114681 A
18
质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器
(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD‑ROM)、光
存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可
以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或
者与其结合使用。例如，根据本发明的实施例，计算机可读存储介质可以包括上文描述的
ROM 1102和/或RAM 1103和/或ROM 1102和RAM 1103以外的一个或多个存储器。
[0189] 本发明的实施例还包括一种计算机程序产品，其包括计算机程序，该计算机程序
包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时，
该程序代码用于使计算机系统实现本发明实施例所提供的方法。
[0190] 在该计算机程序被处理器1101执行时执行本发明实施例的系统/装置中限定的上
述功能。根据本发明的实施例，上文描述的系统、装置、模块、单元等可以通过计算机程序模
块来实现。
[0191] 在一种实施例中，该计算机程序可以依托于光存储器件、磁存储器件等有形存储
介质。在另一种实施例中，该计算机程序也可以在网络介质上以信号的形式进行传输、分
发，并通过通信部分1109被下载和安装，和/或从可拆卸介质1111被安装。该计算机程序包
含的程序代码可以用任何适当的网络介质传输，包括但不限于：无线、有线等等，或者上述
的任意合适的组合。
[0192] 在这样的实施例中，该计算机程序可以通过通信部分1109从网络上被下载和安
装，和/或从可拆卸介质1111被安装。在该计算机程序被处理器1101执行时，执行本发明实
施例的系统中限定的上述功能。根据本发明的实施例，上文描述的系统、设备、装置、模块、
单元等可以通过计算机程序模块来实现。
[0193] 根据本发明的实施例，可以以一种或多种程序设计语言的任意组合来编写用于执
行本发明实施例提供的计算机程序的程序代码，具体地，可以利用高级过程和/或面向对象
的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如
Java，C++，python，“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备
上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备
或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，
包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备
(例如利用因特网服务提供商来通过因特网连接)。
[0194] 附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程
序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代
表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个
用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所
标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际
上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要
注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规
定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组
合来实现。
[0195] 以上对本发明的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而
说　明　书 16/17 页
19
CN 117114681 A
19
并非为了限制本发明的范围。尽管在以上分别描述了各实施例，但是这并不意味着各个实
施例中的措施不能有利地结合使用。不脱离本发明的范围，本领域技术人员可以做出多种
替代和修改，这些替代和修改都应落在本发明的范围之内。
说　明　书 17/17 页
20
CN 117114681 A
20
图1
说　明　书　附　图 1/7 页
21
CN 117114681 A
21
图2
说　明　书　附　图 2/7 页
22
CN 117114681 A
22
图3
图4
说　明　书　附　图 3/7 页
23
CN 117114681 A
23
图5
图6
说　明　书　附　图 4/7 页
24
CN 117114681 A
24
图7
图8
说　明　书　附　图 5/7 页
25
CN 117114681 A
25
图9
图10
说　明　书　附　图 6/7 页
26
CN 117114681 A
26
图11
说　明　书　附　图 7/7 页
27
CN 117114681 A
27