发明内容
针对上述技术问题,本说明书实施例提供一种风险监测方法和装置,技术方案如下:
根据本说明书实施例的第一方面,提供一种风险监测方法,该方法包括:
确定监测对象,所述监测对象包括已经确定的风险群组中的风险用户,和/或与至少一个风险群组具备关联关系的用户;
当监测对象发生风险行为后,确定所述监测对象的归属群组,所述监测对象的归属群组包括用户所在的风险群组,或与用户具备关联关系的风险群组;
针对所述监测对象的每个归属群组,根据所述监测对象与所述归属群组的关联特征,和所述归属群组的实时活跃度确定所述监测对象对应所述归属群组的实时群组风险特征;
根据所述监测对象针对各个归属群组的实时群组风险特征和监测对象的个人风险特征确定监测对象的实时风险状态。
根据本说明书实施例的第二方面,提供一种风险监测装置,该装置包括:
监测对象确定模块:用于确定监测对象,所述监测对象包括已经确定的风险群组中的风险用户,和/或与至少一个风险群组具备关联关系的用户;
归属群组查询模块:用于当监测对象发生风险行为后,确定所述监测对象的归属群组,所述监测对象的归属群组包括用户所在的风险群组,或与用户具备关联关系的风险群组;
风险特征计算模块:用于针对所述监测对象的每个归属群组,根据所述监测对象与所述归属群组的关联特征,和所述归属群组的实时活跃度确定所述监测对象对应所述归属群组的实时群组风险特征;
风险状态确定模块:用于根据所述监测对象针对各个归属群组的实时群组风险特征和监测对象的个人风险特征确定监测对象的实时风险状态。
根据本说明书实施例的第三方面,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现一种风险监测方法,该方法包括:
确定监测对象,所述监测对象包括已经确定的风险群组中的风险用户,和/或与至少一个风险群组具备关联关系的用户;
当监测对象发生风险行为后,确定所述监测对象的归属群组,所述监测对象的归属群组包括用户所在的风险群组,或与用户具备关联关系的风险群组;
针对所述监测对象的每个归属群组,根据所述监测对象与所述归属群组的关联特征,和所述归属群组的实时活跃度确定所述监测对象对应所述归属群组的实时群组风险特征;
根据所述监测对象针对各个归属群组的实时群组风险特征和监测对象的个人风险特征确定监测对象的实时风险状态。
本说明书实施例所提供的技术方案,提供了一种风险监测方法和装置,在用户进行风险行为后,通过确定和用户有关联的风险群组的实时活跃度,和用户本身的个人活跃度对用户进行综合评定,进而通过评定的风险层级确定对于用户的管控方式。本说明书通过加入实时特征,能够在风险群组活跃度较高的时候相应增加对应风险用户的防控力度,减少对用户的误拦截。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书实施例。
此外,本说明书实施例中的任一实施例并不需要达到上述的全部效果。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
聚集性风险是实际风控中面临的重要风险之一,一般来说,需要通过已识别的风险用户进行团伙挖掘和扩散,将与已识别风险用户存在关联(有过资金、环境往来)的用户标定为潜在的风险用户群体。
这种扩散出来的潜在风险用户群体中,有些用户可能并不是聚集性风险用户,只是碰巧与表现出聚集性团伙有一些资金关联,比如陌生人转账、小商户付款等。因此,在潜在风险用户群体中的用户真正活跃起来之前,很难对其进行直接风险限制,因为会造成较严重的误杀伤,目前缺少一种对潜在风险用户群体进行实时防控的方法。
针对以上问题,本说明书实施例提供一种风险监测方法,以及一种用于执行该方法的风险监测装置,下面对本实施例涉及的风险监测方法进行详细说明,参见图1所示,该方法可以包括以下步骤:
S101,确定监测对象,所述监测对象包括已经确定的风险群组中的风险用户,和/或与至少一个风险群组具备关联关系的用户;
确定监测对象的第一步是获取已被确定的风险群组数据,每个风险群组都由多个风险用户组成。确定风险群组的方式有很多种,举例说明:可以在攻击事件后通过攻击表现识别出聚集性风险账户,进而将这些风险账户确定为风险群组。确定风险群组的方式在此不再赘述。
获取风险群组后,基于这些已知的风险群组数据进行用户扩散,具体地,可通过风险群组内部用户和外部用户历史交互(如好友添加,资金转账等交互)来构建连边,进而扩散出于风险群组具备关联关系的用户,这些具备关联关系的用户为潜在的风险用户。
一般地,可将监测对象设置为与风险群组具有关联关系的潜在风险用户,根据实际情况,也可将潜在风险用户和风险群组的内部用户共同设置为监测对象,
S102,当监测对象发生风险行为后,确定所述监测对象的归属群组,所述监测对象的归属群组包括用户所在的风险群组,或与用户具备关联关系的风险群组;
风险行为一般指的是监测对象对一些预设接口的调用行为。当监测对象发生此类风险行为后,触发对该监测对象的归属群组的查询。即判断用户与哪些风险群组有归属关系,若该监测对象为风险群组的内部用户,则监测对象所在的风险群组即是它的归属群组;若该监测对象是与风险群组具有关联关系的潜在风险用户,则与该监测对象具备关联关系的风险群组即是它的归属群组,需要注意的是,监测对象的归属群组很可能不止一个。
S103,针对所述监测对象的每个归属群组,根据所述监测对象与所述归属群组的关联特征,和所述归属群组的实时活跃度确定所述监测对象对应所述归属群组的实时群组风险特征;
具体地,所述监测对象与所述归属群组的关联特征可在一定程度上表征监测对象与归属群组的关联程度。关联特征可以包括多种信息,如监测对象与归属群组中的哪些用户有关联,与归属群组中的各个用户之间的关联性质和关联强度,与归属群组整体的关联性质和关联强度,等等。
归属群组的实时活跃度可由群组内部用户和与群组有关联关系的外部用户的实时行为特征信息计算得出。可以理解,当这些用户在预设时间段内活跃度较高时,可判定该群组的实时活跃度较高,也就是实时风险程度较高。
S104,根据所述监测对象针对各个归属群组的实时群组风险特征和监测对象的个人风险特征确定监测对象的实时风险状态。
具体地,根据监测对象的不同归属群组可获取对应的不同实时群组风险特征,即确定与监测对象有关联关系的各个风险群组的实时活跃度,并确定该监测对象与这些风险群组的具体关联特征。通过某风险群组的实时活跃度和监测对象与该风险群组具体关联特征确定该风险群组对该监测对象的风险影响,即该监测对象对于该风险群组的实时群组风险特征。
可以理解,每个监测对象可能有多个风险群组,即每个监测对象可获得多个实时群组风险特征,通过这些实时群组风险特征和监测对象的个人风险特征可确定监测对象的实时风险状态。
在本说明的其中一种实施例中,可将监测对象的不同风险特征作为输入对象输入通过机器学习的方式获取的实时风险监测模型,通过实时风险监测模型输出监测对象的风险状态。
在本说明的其中一种实施例中,确定监测对象的实时风险状态的方式为评定监测对象的实时风险层级,即通过监测对象的各个群组风险特征和个人风险特征对监测对象的实时风险进行打分评估,根据打分评估的结果将该监测对象归入对应层级的风险观察库中。进一步地,可对高层级的风险观察库中的监测对象进行重点观察,以更好地防范实时风险。
参见图2,本实施例分为实时部分与非实时部分,团伙风险扩散(将风险群组进行风险扩散进而确定潜在风险用户),确定离线团伙特征(确定用户与风险群组的关联特征)为非实时部分;确定用户的实时访问指标(确定实时群组风险特征),并通过实时访问指标和离线团伙特征共同确定用户的聚集性特征,进而和用户的个人特征一起综合判定用户的实时风险分层为实时部分。
风险群组的实时活跃度和个人风险特征都是需要根据用户的实时行为进行特征累计的流程,参考图3和图4,为本说明书实施例提供的实时特征的累计方法,包括以下步骤:
S401,判定监测对象发生风险行为;
S402,查询所述监测对象的归属群组,所述监测对象的归属群组包括用户所在的风险群组,或与用户具备关联关系的风险群组;
S403,根据所述风险行为信息更新所述监测对象对应的各个归属群组的实时特征统计库;其中,归属群组的实时特征统计库中包括所述归属群组中的不同用户在预设时间段内的风险行为特征信息。
S404,根据所述归属群组的实时特征统计库确定所述归属群组的实时活跃度。
S405,当监测对象发生风险行为后,根据所述风险行为信息更新所述监测对象的个人风险特征统计库,其中,监测对象的个人风险特征统计库中包括所述监测对象在预设时间内的风险行为特征信息。
相应于上述方法实施例,本说明书实施例还提供一种风险监测装置,参见图5所示,所述装置可以包括:监测对象确定模块510,归属群组查询模块520,风险特征计算模块530和风险状态确定模块540。
监测对象确定模块510:用于确定监测对象,所述监测对象包括已经确定的风险群组中的风险用户,和/或与至少一个风险群组具备关联关系的用户;
归属群组查询模块520:用于在监测对象发生风险行为后,确定所述监测对象的关联风险群组当监测对象发生风险行为后,确定所述监测对象的归属群组,所述监测对象的归属群组包括用户所在的风险群组,或与用户具备关联关系的风险群组;
风险特征计算模块530:用于针对所述监测对象的每个归属群组,根据所述监测对象与所述归属群组的关联特征,和所述归属群组的实时活跃度确定所述监测对象对应所述归属群组的实时群组风险特征;
风险状态确定模块540:用于根据所述监测对象针对各个归属群组的实时群组风险特征和监测对象的个人风险特征确定监测对象的实时风险状态。
本说明书实施例还提供一种计算机设备,其至少包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,处理器执行所述程序时实现前述风险监测方法,所述方法至少包括:
确定监测对象,所述监测对象包括已经确定的风险群组中的风险用户,和/或与至少一个风险群组具备关联关系的用户;
当监测对象发生风险行为后,确定所述监测对象的归属群组,所述监测对象的归属群组包括用户所在的风险群组,或与用户具备关联关系的风险群组;
针对所述监测对象的每个归属群组,根据所述监测对象与所述归属群组的关联特征,和所述归属群组的实时活跃度确定所述监测对象对应所述归属群组的实时群组风险特征;
根据所述监测对象针对各个归属群组的实时群组风险特征和监测对象的个人风险特征确定监测对象的实时风险状态。
图6示出了本说明书实施例所提供的一种更为具体的计算设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
本说明书实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述的风险监测方法,所述方法至少包括:
确定监测对象,所述监测对象包括已经确定的风险群组中的风险用户,和/或与至少一个风险群组具备关联关系的用户;
当监测对象发生风险行为后,确定所述监测对象的归属群组,所述监测对象的归属群组包括用户所在的风险群组,或与用户具备关联关系的风险群组;
针对所述监测对象的每个归属群组,根据所述监测对象与所述归属群组的关联特征,和所述归属群组的实时活跃度确定所述监测对象对应所述归属群组的实时群组风险特征;
根据所述监测对象针对各个归属群组的实时群组风险特征和监测对象的个人风险特征确定监测对象的实时风险状态。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitorymedia),如调制的数据信号和载波。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本说明书实施例可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本说明书实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本说明书实施例各个实施例或者实施例的某些部分所述的方法。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,在实施本说明书实施例方案时可以把各模块的功能在同一个或多个软件和/或硬件中实现。也可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅是本说明书实施例的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本说明书实施例原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本说明书实施例的保护范围。