呂芳，盧西婧，王巍，黃俊恒，王佰玲

銀行賬戶(hù)交易網(wǎng)絡(luò)中特定組織發(fā)現(xiàn)研究

呂芳，盧西婧，王巍，黃俊恒，王佰玲

（哈爾濱工業(yè)大學(xué)（威海）計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，山東 威海 264209）

近年來(lái)，非法傳銷(xiāo)、非法集資和洗錢(qián)等涉眾型非法金融活動(dòng)屢禁不止，從資金交易網(wǎng)絡(luò)中進(jìn)行異常檢測(cè)的研究，逐漸引起研究者的重視。非法組織中銀行賬戶(hù)間的資金流轉(zhuǎn)方式隱含了其成員的關(guān)系架構(gòu)。以關(guān)鍵角色賬戶(hù)為核心種子節(jié)點(diǎn)，結(jié)合交易關(guān)系進(jìn)行特定異常組織的發(fā)現(xiàn)研究。首先，基于銀行賬戶(hù)的交易特點(diǎn)，建立了一個(gè)有向加權(quán)資金交易網(wǎng)絡(luò)模型。進(jìn)而，結(jié)合賬戶(hù)的局部拓?fù)浣Y(jié)構(gòu)，定義了組織中的兩種核心節(jié)點(diǎn)，即黑洞節(jié)點(diǎn)和星光節(jié)點(diǎn)。利用兩種節(jié)點(diǎn)的關(guān)聯(lián)關(guān)系，提出一種“黑洞&星光”組織發(fā)現(xiàn)算法。在含有傳銷(xiāo)組織的真實(shí)銀行交易數(shù)據(jù)上進(jìn)行實(shí)驗(yàn)，結(jié)果表明上述算法對(duì)發(fā)現(xiàn)傳銷(xiāo)組織的有效性。

資金交易網(wǎng)絡(luò)；黑洞節(jié)點(diǎn)；星光節(jié)點(diǎn)；生成子圖

1 引言

隨著經(jīng)濟(jì)的發(fā)展，非法傳銷(xiāo)、非法集資和洗錢(qián)等涉眾型非法金融活動(dòng)屢禁不止。在涉眾型非法金融活動(dòng)中，成員的角色分工呈類(lèi)金子塔形或紡錘形等結(jié)構(gòu)，相應(yīng)賬戶(hù)的資金交易由其扮演的角色驅(qū)動(dòng)產(chǎn)生，具有涉及賬戶(hù)多、賬戶(hù)角色差異大、犯罪意圖隱蔽等特點(diǎn)。目前，銀行部門(mén)使用的反洗錢(qián)等金融安全系統(tǒng)能夠根據(jù)交易規(guī)則發(fā)現(xiàn)存在異常交易的單個(gè)賬戶(hù)，但對(duì)上述多賬戶(hù)協(xié)作實(shí)施非法金融活動(dòng)的行為束手無(wú)策。同時(shí)，金融環(huán)境的復(fù)雜性、異常交易行為的隱蔽性及盈利模式的多樣性，為犯罪行為的發(fā)現(xiàn)、取證和防范帶來(lái)了巨大難題。

針對(duì)涉眾型非法金融活動(dòng)，本文將參與活動(dòng)的賬戶(hù)稱(chēng)為異常賬戶(hù)，由異?；顒?dòng)引發(fā)的交易稱(chēng)為異常交易；具有異常交易關(guān)系的異常賬戶(hù)群體，稱(chēng)為異常組織。研究發(fā)現(xiàn)，異常組織為達(dá)到金融犯罪的目的，多具有特定的組織交易關(guān)系，賬戶(hù)間資金流動(dòng)方式與組織的盈利方式一致。分析賬戶(hù)的交易行為和賬戶(hù)間的交易關(guān)系，有助于發(fā)現(xiàn)異常賬戶(hù)和異常組織，對(duì)輔助公安機(jī)關(guān)偵破犯罪案件具有重要作用。

目前，在金融領(lǐng)域異常檢測(cè)方面的研究，主要集中在欺詐賬戶(hù)檢測(cè)和異常交易檢測(cè)方面，針對(duì)異常組織發(fā)現(xiàn)的研究尚處于初級(jí)階段。異常組織的研究在社交網(wǎng)絡(luò)領(lǐng)域受到較多關(guān)注。

在欺詐賬戶(hù)檢測(cè)方面，現(xiàn)有的研究多數(shù)采用對(duì)單個(gè)賬戶(hù)（或多個(gè)有關(guān)聯(lián)賬戶(hù)的集合）的資金交易情況進(jìn)行統(tǒng)計(jì)分析，進(jìn)而發(fā)現(xiàn)離群賬戶(hù)的方法。秦學(xué)志等[1]利用賬戶(hù)在交易網(wǎng)絡(luò)中出入度、流出和流入資金狀態(tài)分布的不同，提出了有效發(fā)現(xiàn)異常賬戶(hù)的大數(shù)據(jù)樣本分析方法。Barabasi等[2]利用交易網(wǎng)絡(luò)中賬戶(hù)的異常行為，如交易頻率、交易金額及交易方向等，對(duì)賬戶(hù)分類(lèi)進(jìn)而得到具有相似行為的異常賬戶(hù)集合。

在異常交易檢測(cè)方面，Hong等[3]借鑒交通網(wǎng)絡(luò)的有向圖構(gòu)建方法，構(gòu)建了有向資金交易網(wǎng)絡(luò)，提出一種借助圖分析技術(shù)的異常交易發(fā)現(xiàn)方法。該方法突出各節(jié)點(diǎn)之間的資金流動(dòng)關(guān)系，簡(jiǎn)化了銀行賬戶(hù)交易特點(diǎn)和交互關(guān)系的分析問(wèn)題。薛蕾[4]利用賬戶(hù)間資金流通的數(shù)量、路徑及頻率等特征，結(jié)合鏈接分析技術(shù)提出一種異常資金流偵測(cè)技術(shù)。

在異常組織的發(fā)現(xiàn)方面，Li等[5]根據(jù)節(jié)點(diǎn)出入度關(guān)系定義了一種黑洞交互模式，并提出了3種黑洞模式發(fā)現(xiàn)算法，該研究有助于發(fā)現(xiàn)資金交易網(wǎng)絡(luò)中存在金融欺詐行為的異常組織。李艷麗等[6]構(gòu)建了賬戶(hù)的ego-network，對(duì)普通和傳銷(xiāo)賬戶(hù)的ego-network的結(jié)構(gòu)特點(diǎn)進(jìn)行分析對(duì)比，發(fā)現(xiàn)傳銷(xiāo)異常組織呈現(xiàn)類(lèi)樹(shù)形結(jié)構(gòu)。該項(xiàng)研究為利用異常個(gè)體的交互關(guān)系進(jìn)行異常組織的發(fā)現(xiàn)提供了基礎(chǔ)。此外，金融交易網(wǎng)絡(luò)中異常組織的發(fā)現(xiàn)可借鑒社交網(wǎng)絡(luò)中水軍異常組織的發(fā)現(xiàn)方法。葉施仁等[7]以典型賬戶(hù)為種子，提出一種通過(guò)賬戶(hù)間的互粉關(guān)系逐層發(fā)現(xiàn)水軍組織的方法，算法的準(zhǔn)確率顯著高于以普通賬戶(hù)為中心的發(fā)現(xiàn)方法。劉程等[8]提出一種利用節(jié)點(diǎn)的內(nèi)容親密度挖掘隱式組織的方法。張慧杰[9]利用組織成員內(nèi)部的交互緊密性高的特點(diǎn)進(jìn)行評(píng)論網(wǎng)絡(luò)異常組織發(fā)現(xiàn)研究。肖昕[10]利用組織內(nèi)節(jié)點(diǎn)內(nèi)容相似性高的特點(diǎn)進(jìn)行水軍異常組織發(fā)現(xiàn)研究。

綜上所述，目前金融領(lǐng)域的異常檢測(cè)方法多依據(jù)賬戶(hù)交易的統(tǒng)計(jì)特征進(jìn)行判斷，忽略了交易關(guān)系信息。因此，不適用于解決存在多賬戶(hù)協(xié)作的異常組織發(fā)現(xiàn)問(wèn)題。

傳銷(xiāo)組織的成員結(jié)構(gòu)呈類(lèi)金字塔形，塔頂為管理層成員，負(fù)責(zé)組織的運(yùn)營(yíng)和管理；塔底成員由上層成員以發(fā)展會(huì)員的形式吸納進(jìn)來(lái)，通過(guò)向組織繳納會(huì)員費(fèi)成為上層成員的下線(xiàn)；上層成員作為發(fā)展人獲得與下線(xiàn)會(huì)員費(fèi)、自身層級(jí)相關(guān)的獎(jiǎng)勵(lì)金；成員在組織中的層級(jí)與其下線(xiàn)成員人數(shù)相關(guān)。類(lèi)似地，從組織中資金流通的角度看，資金交易關(guān)系結(jié)構(gòu)呈現(xiàn)類(lèi)樹(shù)形結(jié)構(gòu)。傳銷(xiāo)組織的塔頂兩層為管理層，最頂層為大頭目成員，他從所有成員的會(huì)員費(fèi)中獲利，所有成員的會(huì)員費(fèi)最終匯入大頭目的賬戶(hù)；組織中另有兩種負(fù)責(zé)資金管理的賬戶(hù)，即斂財(cái)賬戶(hù)和返利賬戶(hù)，分別負(fù)責(zé)會(huì)員費(fèi)的匯集和獎(jiǎng)勵(lì)金的散發(fā)。

為解決這種類(lèi)樹(shù)形特定異常組織的發(fā)現(xiàn)問(wèn)題，本文借鑒社交網(wǎng)絡(luò)中水軍組織的檢測(cè)方法，以典型節(jié)點(diǎn)為種子，結(jié)合節(jié)點(diǎn)屬性和節(jié)點(diǎn)交易關(guān)系進(jìn)行傳銷(xiāo)組織發(fā)現(xiàn)，提出了一種“黑洞&星光”異常組織挖掘算法。

本文的主要貢獻(xiàn)如下。

1) 構(gòu)建了賬戶(hù)資金交易網(wǎng)絡(luò)，為后續(xù)提供分析基礎(chǔ)。

2) 詳細(xì)分析了斂財(cái)賬戶(hù)和返利賬戶(hù)兩種關(guān)鍵角色賬戶(hù)的屬性、網(wǎng)絡(luò)交互特點(diǎn)，并將其分別定義為黑洞和星光兩種核心節(jié)點(diǎn)。

3) 量化核心節(jié)點(diǎn)的交易特征，分別提出黑洞節(jié)點(diǎn)和星光節(jié)點(diǎn)的發(fā)現(xiàn)算法，進(jìn)而利用節(jié)點(diǎn)的網(wǎng)絡(luò)交互關(guān)系，提出一種基于生成子圖融合的特定異常組織發(fā)現(xiàn)算法。

4) 在真實(shí)資金交易數(shù)據(jù)上進(jìn)行實(shí)驗(yàn)，證明了算法在發(fā)現(xiàn)傳銷(xiāo)組織方面的有效性。

2 資金交易網(wǎng)絡(luò)

賬戶(hù)的交易行為對(duì)應(yīng)現(xiàn)實(shí)世界中用戶(hù)的經(jīng)濟(jì)行為，用戶(hù)在現(xiàn)實(shí)社會(huì)網(wǎng)絡(luò)中的經(jīng)濟(jì)關(guān)系可映射到賬戶(hù)的資金交易網(wǎng)絡(luò)中。銀行賬戶(hù)和賬戶(hù)間的資金流動(dòng)關(guān)系共同組成資金交易網(wǎng)絡(luò)，這一復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)可抽象為有向加權(quán)圖結(jié)構(gòu)。其中，節(jié)點(diǎn)為銀行賬戶(hù)，有向邊為節(jié)點(diǎn)之間的有向交易關(guān)系，有向邊的權(quán)重由交易集合的時(shí)間、金額、次數(shù)等信息組成。銀行賬戶(hù)的資金交易網(wǎng)絡(luò)定義如下。

定義1 一個(gè)銀行賬戶(hù)交易網(wǎng)絡(luò)可表示為= (,,)，其中={1,2, … ,v}為賬戶(hù)集合，= {e} ?×, 1≤,≤為邊集合，v與v之間存在有向邊，當(dāng)且僅當(dāng)v對(duì)v至少進(jìn)行了一次交易，該有向邊記作e=<v,v>。= {w},∈(R),w= ((1),(2), … ,())，其中()、分別表示節(jié)點(diǎn)v與v間第次交易的金額和總交易次數(shù)。

在有向加權(quán)交易網(wǎng)絡(luò)中，任一賬戶(hù)的交易網(wǎng)絡(luò)可視為一個(gè)局部拓?fù)渚W(wǎng)絡(luò)，該網(wǎng)絡(luò)由及其進(jìn)出交易對(duì)手集合組成，網(wǎng)絡(luò)結(jié)構(gòu)與賬戶(hù)屬性和賬戶(hù)間交易關(guān)系有關(guān)。

本文將交易對(duì)手節(jié)點(diǎn)定義為鄰居節(jié)點(diǎn)，賬戶(hù)屬性包括賬戶(hù)的交易資金和有向交易對(duì)手?jǐn)?shù)量，將其分別定義為節(jié)點(diǎn)的出入大小和出入度。

定義2 給定資金交易網(wǎng)絡(luò)=(,,)，對(duì)∈,v的交易候選賬戶(hù)集合可記為C={1,2,,(i?1),(i+1),, v}，v的入鄰居節(jié)點(diǎn)集合定義為in{v | v∈C, w∈}，v的出鄰居節(jié)點(diǎn)定義為out{v | v∈C, w∈}，則Nin∪out稱(chēng)作節(jié)點(diǎn)v的鄰居集合。

3 基于生成子圖融合的特定組織發(fā)現(xiàn)

通過(guò)對(duì)非法傳銷(xiāo)組織等組織的研究發(fā)現(xiàn)，其資金交易關(guān)系具有類(lèi)樹(shù)形結(jié)構(gòu)，即縱向具有以根節(jié)點(diǎn)為核心的層級(jí)結(jié)構(gòu)，橫向上同層節(jié)點(diǎn)的關(guān)系呈網(wǎng)狀結(jié)構(gòu)。因此，首先通過(guò)擴(kuò)展根節(jié)點(diǎn)得到組織的局部結(jié)構(gòu)，即得到組織關(guān)系圖的生成子圖。然后，融合生成子圖實(shí)現(xiàn)對(duì)特定異常組織的發(fā)現(xiàn)。

3.1 黑洞節(jié)點(diǎn)和黑洞組織

每個(gè)組織都有一個(gè)或多個(gè)斂財(cái)賬戶(hù)，該賬戶(hù)負(fù)責(zé)收集所有組員的會(huì)員費(fèi)并將其轉(zhuǎn)出到固定賬戶(hù)中，其在行為上類(lèi)似于天體學(xué)中的“黑洞”。本文將其定義為黑洞節(jié)點(diǎn)，如定義5所示。

定義5 給定銀行賬戶(hù)交易網(wǎng)絡(luò)為, 節(jié)點(diǎn)∈被為黑洞節(jié)點(diǎn)，當(dāng)且僅當(dāng)

其中，inoutins和為閾值。

組織中以黑洞節(jié)點(diǎn)為中心形成了穩(wěn)定的資金周轉(zhuǎn)關(guān)系，本文將黑洞節(jié)點(diǎn)與其交易對(duì)手組成的這種局部網(wǎng)絡(luò)結(jié)構(gòu)稱(chēng)為黑洞組織。該組織的交易行為具有以下特點(diǎn)。①組織具有明顯的層級(jí)結(jié)構(gòu)，底層為會(huì)員節(jié)點(diǎn)，中間層為黑洞節(jié)點(diǎn)，頂層為大頭目節(jié)點(diǎn)。②各層級(jí)節(jié)點(diǎn)數(shù)量分布穩(wěn)定。底層節(jié)點(diǎn)數(shù)量較多，頂層節(jié)點(diǎn)數(shù)量為1。③資金為單向流通。以黑洞節(jié)點(diǎn)為中心，資金由底層流入頂層。④組織中交易關(guān)系穩(wěn)定。即以黑洞節(jié)點(diǎn)為中心，底層節(jié)點(diǎn)為其入交易對(duì)手集合，頂層節(jié)點(diǎn)為其出交易對(duì)手集合。

依據(jù)上述分析，以黑洞節(jié)點(diǎn)為中心，本文提出了一種擴(kuò)展中心節(jié)點(diǎn)的黑洞組織發(fā)現(xiàn)算法。首先，根據(jù)定義5設(shè)計(jì)交易網(wǎng)絡(luò)中的黑洞節(jié)點(diǎn)發(fā)現(xiàn)算法，如算法1所示。

算法1 黑洞節(jié)點(diǎn)發(fā)現(xiàn)算法.

輸出 黑洞節(jié)點(diǎn)集合記錄黑洞節(jié)點(diǎn)

2) for∈do

3) if滿(mǎn)足定義5 do

4)=∪{}

5) end if

6) end for

將黑洞節(jié)點(diǎn)作為組織的核心種子節(jié)點(diǎn)，指定擴(kuò)展層級(jí)閾值，以黑洞節(jié)點(diǎn)為中心逐層進(jìn)行黑洞組織挖掘，具體如算法2所示。

算法2 黑洞組織發(fā)現(xiàn)算法

輸入(,,)，黑洞節(jié)點(diǎn)集合擴(kuò)展層級(jí)

輸出 黑洞組織集合

2) forv∈do

3)T=v,=∪T//黑洞節(jié)點(diǎn)v為種子節(jié)點(diǎn)

4) end for

5) forT∈do

6) for=1;≤;++ do

7) forB∈Tdo //第層中任一節(jié)點(diǎn)

8) ifv∈&v∈do

9)T-=T-∪{v}

10) end if

11) end for

12) end for

13) end for

3.2 星光節(jié)點(diǎn)和星光組織

與斂財(cái)賬戶(hù)相對(duì)，每個(gè)傳銷(xiāo)組織中都有一個(gè)或多個(gè)返利型賬戶(hù)，該賬戶(hù)負(fù)責(zé)根據(jù)會(huì)員所交會(huì)費(fèi)的金額，按照一定比例返還給組員。這些費(fèi)用來(lái)自固定賬戶(hù)，經(jīng)由返利賬戶(hù)散發(fā)給底層會(huì)員。本文將這種交易網(wǎng)絡(luò)中的返利型賬戶(hù)，稱(chēng)為星光節(jié)點(diǎn)，定義如下。

定義6 給定銀行賬戶(hù)交易網(wǎng)絡(luò)為，節(jié)點(diǎn)∈被稱(chēng)為星光節(jié)點(diǎn)，當(dāng)且僅當(dāng)

其中，inoutouts和為閾值。

與黑洞組織相對(duì)應(yīng)，以星光節(jié)點(diǎn)為中心的類(lèi)樹(shù)形穩(wěn)定交易組織，稱(chēng)為星光組織。該組織與黑洞組織除資金流向相反外，其余交易行為類(lèi)似，在此不予贅述。

3.3 基于生成子圖的“黑洞&星光”組織發(fā)現(xiàn)算法

根據(jù)定義5和定義6可知，黑洞組織和星光組織圖結(jié)構(gòu)都可視為非法傳銷(xiāo)組織圖結(jié)構(gòu)的生成子圖。因此，通過(guò)聯(lián)合兩種生成子圖可以擴(kuò)展得到該傳銷(xiāo)組織的網(wǎng)絡(luò)圖。本節(jié)在第3.1節(jié)和第3.2節(jié)的基礎(chǔ)上，提出一種生成子圖的“黑洞&星光”組織發(fā)現(xiàn)算法。

定義7 給定黑洞組織和星光組織，其中，和分別表示黑洞節(jié)點(diǎn)和星光節(jié)點(diǎn)，則與被稱(chēng)為直接連接當(dāng)且僅當(dāng)e∈∨e∈，與被稱(chēng)為弱連接當(dāng)且僅當(dāng)?shù)南录?jí)賬戶(hù)與的下級(jí)賬戶(hù)具有一定的重合率，即

其中，為重合率閾值。

結(jié)合定義7，“黑洞&星光”組織發(fā)現(xiàn)算法的設(shè)計(jì)細(xì)節(jié)詳見(jiàn)算法3

算法3 “黑洞&星光”組織發(fā)現(xiàn)算法

輸入(,,)；黑洞和星光組織集合set,set;閾值

輸出 異常組織集合為樹(shù)形結(jié)構(gòu)

2) for∈set,∈setdo //直接連接

4) ife∈ore∈do

5)T=T∪{(,)}

6) end if

7) end for

8) for∈set,∈setdo //間接連接

9) if (,) 滿(mǎn)足定義6 do

10)T=T∪{(,)}

11) end if

12) end for

4 實(shí)驗(yàn)

4.1 實(shí)驗(yàn)環(huán)境

Inter(R) Core(TM) i7-7700HQ CPU@ 2.80 GHz，內(nèi)存(RAM) 16 GB。軟件環(huán)境為：Python語(yǔ)言，Windows 7操作系統(tǒng)。

4.2 數(shù)據(jù)集

近幾年，筆者積極參與經(jīng)偵部門(mén)打擊非法傳銷(xiāo)的工作，得到包含傳銷(xiāo)組織的銀行賬戶(hù)交易數(shù)據(jù)，經(jīng)過(guò)數(shù)據(jù)去噪等處理，最終得到349 126條交易記錄，涉及傳銷(xiāo)賬戶(hù)855個(gè)，正常賬戶(hù)3 232個(gè)，其中斂財(cái)賬戶(hù)為112個(gè)，返利賬戶(hù)為61個(gè)。

4.3 算法分析

實(shí)驗(yàn)1 黑洞節(jié)點(diǎn)與星光節(jié)點(diǎn)發(fā)現(xiàn)

算法對(duì)黑洞和星光節(jié)點(diǎn)的發(fā)現(xiàn)效率如表1所示，發(fā)現(xiàn)結(jié)果示例如表2所示。

表1 黑洞和星光節(jié)點(diǎn)的發(fā)現(xiàn)效率

表2 黑洞節(jié)點(diǎn)和星光節(jié)點(diǎn)示例

如表1所示，根據(jù)實(shí)際應(yīng)用需求，當(dāng)定義5的閾值取值為0.5時(shí)，黑洞節(jié)點(diǎn)發(fā)現(xiàn)算法共發(fā)現(xiàn)黑洞節(jié)點(diǎn)98個(gè)，其中斂財(cái)賬戶(hù)，即真正的黑洞節(jié)點(diǎn)74個(gè)。該算法達(dá)到了75.51%的精確率和66.07%的召回率。星光節(jié)點(diǎn)發(fā)現(xiàn)算法固定閾值0.5，此時(shí)共發(fā)現(xiàn)37個(gè)星光節(jié)點(diǎn)，其中返利賬戶(hù)，即真正的星光節(jié)點(diǎn)共計(jì)26個(gè)。該算法的精確率為70.27%，召回率為42.62%。由于資金交易網(wǎng)絡(luò)中，傳銷(xiāo)組織的規(guī)模與星光節(jié)點(diǎn)的交易頻繁程度、交易對(duì)手?jǐn)?shù)量等具有很大關(guān)系，因此，星光節(jié)點(diǎn)發(fā)現(xiàn)算法的召回率相對(duì)較低。整體上來(lái)說(shuō)，兩種種子節(jié)點(diǎn)發(fā)現(xiàn)算法均具有較穩(wěn)定發(fā)現(xiàn)的效率。算法發(fā)現(xiàn)的典型黑洞、星光節(jié)點(diǎn)如表2所示。可見(jiàn)，作為傳銷(xiāo)組織的資金中轉(zhuǎn)節(jié)點(diǎn)，具有以下特點(diǎn)：① 節(jié)點(diǎn)的出大小近似等于節(jié)點(diǎn)的入大小；② 兩種節(jié)點(diǎn)的出入度具有顯著差異，黑洞節(jié)點(diǎn)的入度遠(yuǎn)遠(yuǎn)大于出度，星光節(jié)點(diǎn)的出度遠(yuǎn)遠(yuǎn)大于入度。

實(shí)驗(yàn)2 黑洞組織發(fā)現(xiàn)

從黑洞節(jié)點(diǎn)出發(fā)，設(shè)置擴(kuò)展層閾值=4，通過(guò)逐層擴(kuò)展實(shí)現(xiàn)黑洞組織發(fā)現(xiàn)。真實(shí)數(shù)據(jù)中的典型黑洞組織如圖1所示。

如圖1所示，為以黑洞節(jié)點(diǎn)為核心，以入邊為擴(kuò)展方向，層級(jí)為4的黑洞組織。從縱向上看，每層節(jié)點(diǎn)與次級(jí)層節(jié)點(diǎn)的連接呈樹(shù)形交易關(guān)系，從橫向上看，同層節(jié)點(diǎn)之間呈網(wǎng)狀交易關(guān)系。例如，第一層節(jié)點(diǎn)可視為與其相連的第二層節(jié)點(diǎn)的根節(jié)點(diǎn)；由于具有多個(gè)根節(jié)點(diǎn)，第二層節(jié)點(diǎn)整體形成網(wǎng)狀結(jié)構(gòu)。因此，黑洞組織的結(jié)構(gòu)具有縱向?yàn)闃?shù)形結(jié)構(gòu)、橫向?yàn)榫W(wǎng)狀結(jié)構(gòu)的特點(diǎn)。這與傳銷(xiāo)組織的實(shí)際運(yùn)作特點(diǎn)相對(duì)應(yīng)：①具有明確的上下線(xiàn)關(guān)系；②通過(guò)親屬關(guān)系等社會(huì)關(guān)系擴(kuò)展會(huì)員，導(dǎo)致會(huì)員之間存在因正常社會(huì)關(guān)系產(chǎn)生的資金交互。

圖1 黑洞組織示例

Figure 1 The demo of a blockhole-organization

實(shí)驗(yàn)3 算法閾值分析

定義5、定義6中的取值對(duì)基于生成子圖的“黑洞&星光”組織發(fā)現(xiàn)算法的效率有直接影響。本實(shí)驗(yàn)以0.01為參數(shù)間距，對(duì)∈[0,1]不同取值時(shí)算法的性能進(jìn)行測(cè)試，實(shí)驗(yàn)結(jié)果如圖2所示。

如圖2所示，橫軸FPR表示負(fù)例錯(cuò)分為正例的概率，縱軸TPR表示能將正例分對(duì)的概率。隨著增大，接收者操作特征（ROC，receiver operating characteristic）曲線(xiàn)呈上升趨勢(shì)，且當(dāng)0.3時(shí)，曲線(xiàn)最靠近左上角，此時(shí)算法性能最優(yōu)。

實(shí)驗(yàn)4 異常組織發(fā)現(xiàn)算法比較

本實(shí)驗(yàn)比較基于黑洞節(jié)點(diǎn)、基于星光節(jié)點(diǎn)、基于黑洞&星光節(jié)點(diǎn)及基于親密度的組織發(fā)現(xiàn)算法。基于黑洞節(jié)點(diǎn)的組織發(fā)現(xiàn)算法，即在算法1發(fā)現(xiàn)的黑洞節(jié)點(diǎn)集合基礎(chǔ)上，利用算法2進(jìn)行組織發(fā)現(xiàn)。類(lèi)似地，基于星光節(jié)點(diǎn)的組織發(fā)現(xiàn)算法，基于第3.3節(jié)中的算法，僅依賴(lài)星光節(jié)點(diǎn)進(jìn)行異常組織發(fā)現(xiàn)?；谟H密度算法的研究是研究小組的另一項(xiàng)研究工作。該算法定義節(jié)點(diǎn)之間與交易頻率、交易局部拓?fù)浣Y(jié)構(gòu)相關(guān)的親密度，在已知部分異常賬戶(hù)的基礎(chǔ)上，進(jìn)行組織賬戶(hù)發(fā)現(xiàn)。上述4種算法，在數(shù)據(jù)集上進(jìn)行測(cè)試結(jié)果如表3所示。

圖2 閾值θ對(duì)算法性能的影響分析

Figure 2 The analysis of the influence of thresholdon the algorithm performance

由表3可知，黑洞&星光節(jié)點(diǎn)異常組織發(fā)現(xiàn)算法的精確率，由于受星光節(jié)點(diǎn)的影響，相比于基于黑洞的發(fā)現(xiàn)算法較低，但其召回率取得了顯著提升。基于親密度算法依賴(lài)標(biāo)簽信息，取得了最高的精確率，但由于親密度指標(biāo)過(guò)于嚴(yán)苛，算法的召回率較低?？傮w來(lái)說(shuō)，基于生成子圖的“黑洞&星光”組織發(fā)現(xiàn)算法，取得了最優(yōu)的效率，其1值達(dá)到73.13%，明顯優(yōu)于另外兩種獨(dú)立的組織發(fā)現(xiàn)算法。黑洞和星光節(jié)點(diǎn)聯(lián)合的組織發(fā)現(xiàn)算法，根據(jù)兩種種子節(jié)點(diǎn)組成的關(guān)聯(lián)關(guān)系，首先建立核心關(guān)聯(lián)結(jié)構(gòu)，然后逐層擴(kuò)張進(jìn)而發(fā)現(xiàn)異常組織成員。實(shí)驗(yàn)結(jié)果表明，黑洞和星光節(jié)點(diǎn)的節(jié)點(diǎn)能夠有效提高組織發(fā)現(xiàn)的效率。

表3 異常組織發(fā)現(xiàn)算法比較

實(shí)驗(yàn)5 異常組織發(fā)現(xiàn)實(shí)例

分別以黑洞和星光兩種核心種子節(jié)點(diǎn)為中心，利用算法3結(jié)合黑洞組織和星光組織，在真實(shí)的資金交易網(wǎng)絡(luò)中挖掘傳銷(xiāo)組織。本實(shí)驗(yàn)通過(guò)如圖3所示的實(shí)例，分析算法的有效性。其中，紅色和藍(lán)色分別代表黑洞和星光節(jié)點(diǎn)，橙色節(jié)點(diǎn)為星光組織第二層和黑洞組織第二層的交集，粉色和紫色節(jié)點(diǎn)分別同屬于星光組織和黑洞組織的第二、三層結(jié)構(gòu)。

驗(yàn)證發(fā)現(xiàn)，圖3組織中的所有節(jié)點(diǎn)都為傳銷(xiāo)節(jié)點(diǎn)，星光和黑洞節(jié)點(diǎn)分別為傳銷(xiāo)組織的斂財(cái)賬戶(hù)和返利賬戶(hù)。

圖3 傳銷(xiāo)組織發(fā)現(xiàn)示例

Figure 3 The demo of a discovered multi-levels commission

5 結(jié)束語(yǔ)

本文從關(guān)鍵角色賬戶(hù)出發(fā)，進(jìn)行了銀行賬戶(hù)交易網(wǎng)絡(luò)中特定異常組織的發(fā)現(xiàn)研究。在建立通用資金交易網(wǎng)絡(luò)模型的基礎(chǔ)上，首先詳述了組織中斂財(cái)型與返利型賬戶(hù)的特點(diǎn)，然后定義了網(wǎng)絡(luò)中的黑洞和星光兩種核心種子節(jié)點(diǎn)；進(jìn)而通過(guò)逐層擴(kuò)展得到黑洞和星光組織，最終提出了一種基于生成子圖融合的組織發(fā)現(xiàn)算法。在真實(shí)包含傳銷(xiāo)組織的數(shù)據(jù)上進(jìn)行測(cè)試，對(duì)黑洞和星光節(jié)點(diǎn)的精確率分別達(dá)到75.51%和70.27%，基于子圖融合的組織發(fā)現(xiàn)算法，對(duì)異常賬戶(hù)的1值達(dá)到73.13%，能有效地發(fā)現(xiàn)其中隱藏的傳銷(xiāo)組織。

本文的組織發(fā)現(xiàn)算法只找出了傳銷(xiāo)組織的核心交易網(wǎng)絡(luò)，組織結(jié)構(gòu)不夠完備。此外，由于真實(shí)資金交易場(chǎng)景復(fù)雜，且交易關(guān)系與真實(shí)的異常組織架構(gòu)不完全吻合，導(dǎo)致異常組織發(fā)現(xiàn)的準(zhǔn)確率較低。下一步將針對(duì)提升發(fā)現(xiàn)的準(zhǔn)確率進(jìn)行專(zhuān)門(mén)的算法改進(jìn)。

[1] 秦學(xué)志, 李靜一. 基于大數(shù)據(jù)樣本的銀行異常賬戶(hù)監(jiān)測(cè)方法[J]. 系統(tǒng)管理學(xué)報(bào), 2016, 25(4): 677-682.

QIN X Z, LI J Y. Abnormal account monitoring method for bank loans using big data samples[J]. Journal of System and Management, 2016, 25(4): 677-682.

[2] BARABASI A L, ALBERT R. Emergence of scaling in random networks[J]. Science, 1999, 286(5439): 509-512.

[3] HONG L, ZHENG Y, YUNG D C, et al. Detecting urban black holes based on human mobility data[C]//Sigspatial International Conference on Advances in Geographic Information Systems (SIGSPATIAL’15). 2015.

[4] 薛蕾. 鏈接分析在金融監(jiān)管中的應(yīng)用研究[D]. 武漢: 華中科技大學(xué), 2006.

XUE L. Research on the application of link analysis in financial supervision[D]. Wuhan: HuaZhong University of Science and Technology. 2006.

[5] LI Z M, XIONG H, LIU Y C. Mining blackhole and volcano patterns in directed graphs: a general approach[J]. Data Mining and Knowledge Discovery, 2012, 25(3): 577-602.

[6] 李艷麗, 劉陽(yáng), 謝文波，等. 大數(shù)據(jù)發(fā)現(xiàn)非法傳銷(xiāo)網(wǎng)絡(luò)[J]. 大數(shù)據(jù), 2017, 3(5): 106-112.

LI Y L, LIU Y, XIE W B, et al. Uncovering the illegal pyramid networks by big data[J]. Big Data Research, 2017, 3(5): 106-112.

[7] 葉施仁, 葉仁明, 朱明峰. 基于網(wǎng)絡(luò)關(guān)系的微博水軍集團(tuán)發(fā)現(xiàn)方法[J]. 計(jì)算機(jī)工程與應(yīng)用, 2017, 53(6): 96-100.

YE S R, YE R M, ZHU M F. Method to find spammer group for Weibo based on network relationship[J]. Computer Engineering and Applications, 2017, 53(6): 96-100.

[8] 劉程, 沙瀛, 姜波, 等. 新浪微博隱式組織發(fā)現(xiàn)[J]. 中文信息學(xué)報(bào), 2017, 31(2): 139-145.

LIU C, SHA Y, JIANG B, et al. Detecting implicit organization on sina weibo[J]. Journal of Chinese Information Processing, 2017, 31(2): 139-145.

[9] 張慧杰. 基于多特征尺度空間模型的網(wǎng)絡(luò)水軍組織發(fā)現(xiàn)技術(shù)研究[D]. 杭州: 浙江工商大學(xué), 2015.

ZHANG H J. Research technology on fund of spammer organizations based on multi-feature scale space model[D]. Hangzhou: Zhejiang Gongshang University, 2015.

[10] 肖昕. 基于論壇信息的網(wǎng)絡(luò)組織發(fā)現(xiàn)技術(shù)研究[D]. 沈陽(yáng): 沈陽(yáng)航空航天大學(xué), 2013.

XIAO X. Research technology on found of network organization based on forums information[D]. Shenyang: Shenyang Aerospace University, 2013.

Research on the method of discovering specific organization structure in bank account transaction network

LYU Fang, LU Xijing, WANG Wei, HUANG Junheng, WANG Bailing

School of Computer Science and Technology, Harbin Institute of Technology(Weihai), Weihai 264209, China

In recent years, stakeholder economic crime behaviors such as illegal pyramid schemes, illegal fund raising and money laundering despite repeated prohibitions, makes the research of anomaly detection in financial transaction network has gradually attracted the attention of researchers. The way how to fund flow between bank accounts in an illegal organization implies the relationship structure of their members. Firstly, a directed weighted transaction network model was built on the basis of the transaction characteristics. Then, combining with the local topology structure of the built transaction network of the accounts, two kinds of core nodes of the organization, including black hole nodes and star nodes, were defined. By analyzing the relationship between those two kinds nodes, an organization discovery algorithm of combining “black hole and star nodes” based on spanning subgraph was proposed. Experiments on real bank accounts transaction network containing illegal pyramid scheme organizations show the effectiveness of the algorithm in discovering the specific tree organization structure.

financial transaction network, black hole nodes, star nodes, spanning subgraph

s: The National Key R&D Program of China (No.2018YFB2004201), Frontier Science and Technology in Notation of China (No.2016QY05X1002-2),National Regional Innovation Center Science and Technology Special Project of China (No.2017QYCX14), Key Research and Development Program of Shandong Province (No.2017CXGC0706), The Fundamental Research Funds for the Central Universities (No.HIT.NSRIF.2020098), 2017 University Co-construction Project in Weihai City

TP391.4

A

10.11959/j.issn.2096?109x.2020001

呂芳（1990? ），女，山東陽(yáng)谷人，哈爾濱工業(yè)大學(xué)（威海）博士生，主要研究方向?yàn)閺?fù)雜網(wǎng)絡(luò)、信息內(nèi)容安全、數(shù)據(jù)挖掘。

盧西婧（1998? ），女，山東泰安人，主要研究方向?yàn)榻鹑诎踩?/p>

王?。?975? ），女，黑龍江齊齊哈爾人，博士，哈爾濱工業(yè)大學(xué)（威海）講師、碩士生導(dǎo)師，主要研究方向?yàn)榻鹑诎踩?、?shù)據(jù)挖掘、自然語(yǔ)言處理。

黃俊恒（1966– ），男，河南新鄉(xiāng)人，哈爾濱工業(yè)大學(xué)（威海）副教授，主要研究方向?yàn)閿?shù)據(jù)挖掘、人工智能。

王佰玲（1978– ），男，黑龍江哈爾濱人，哈爾濱工業(yè)大學(xué)（威海）教授、博士生導(dǎo)師，主要研究方向?yàn)樾畔?duì)抗、信息安全、信息搜索、移動(dòng)網(wǎng)絡(luò)、金融安全。

論文引用格式：呂芳, 盧西婧, 王巍, 等. 銀行賬戶(hù)交易網(wǎng)絡(luò)中特定組織發(fā)現(xiàn)研究[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2020, 6(1): 62-69.

LYU F, LU X J, WANG W, et al. Research on the method of discovering specific organization structure in bank account transaction network[J]. Chinese Journal of Network and Information Security, 2020, 6(1): 62-69.

2019?02?19；

2019?06?14

王佰玲，wbl@hit.edu.cn

國(guó)家重點(diǎn)研發(fā)計(jì)劃基金資助項(xiàng)目（No.2018YFB2004201）；國(guó)家前沿科技創(chuàng)新專(zhuān)項(xiàng)基金資助項(xiàng)目（No. 2016QY05X1002-2）；國(guó)家區(qū)域創(chuàng)新中心科技專(zhuān)項(xiàng)基金資助項(xiàng)目（No.2017QYCX14）；山東省重點(diǎn)研發(fā)計(jì)劃基金資助項(xiàng)目（No.2017CXGC0706）；中央高?；究蒲袠I(yè)務(wù)費(fèi)專(zhuān)項(xiàng)基金資助項(xiàng)目（No.HIT.NSRIF.2020098）；2017威海市大學(xué)共建基金資助項(xiàng)目