一种风险识别方法及装置
技术领域
本说明书实施例涉及数据处理技术领域,尤其涉及一种风险识别方法及装置。
背景技术
欺诈案件分析在整个风控策略和业务运营中占据了非常重要的位置,分析人员需要花费大量的时间和精力对案件进行分析,去确定一个案件是否为欺诈案件,分析效率低,分析结果会因分析人员的不同而产生差异。
发明内容
本说明书实施例提供及一种风险识别方法及装置,解决了现有技术中分析效率低,分析结果因分析人员的不同而产生差异的技术问题。
本说明书实施例提供一种风险识别方法,包括:
获得多个风险事件样本,并生成每个所述风险事件样本的个案画像,所述个案画像包括风险行为信息;
基于每个风险事件样本的风险行为信息,对所述多个风险事件样本进行聚类处理,获得多个风险行为类别;
根据每个风险行为类别包括的风险事件样本,生成每个风险行为类别的模式信息,所述每个风险行为类别的模式信息包括:与每个风险行为信息对应的一个以上的风险行为特征以及每个所述风险行为特征的权重;
当需要对目标事件进行风险识别时,根据所述每个风险行为的模式信息,对所述目标事件进行风险识别
本说明书实施例提供一种风险识别方法,包括:
获得多个风险事件样本,并生成每个所述风险事件样本的个案画像,所述个案画像包括风险主体相关信息;
基于每个风险事件样本的风险主体相关信息,对所述多个风险事件样本进行聚类处理,获得多个风险主体类别;
根据每个风险主体类别包括的风险事件样本,生成每个风险主体类别的模式信息,所述每个风险主体类别的模式信息包括:与每个风险主体相关信息对应的一个以上的风险主体特征以及每个所述风险主体特征的权重;
当需要对事件进行风险识别时,根据所述每个风险主体的模式信息,对所述事件进行风险识别。
本说明书实施例提供一种风险识别装置,包括:
个案画像生成单元,用于生成多个风险事件样本中每个所述风险事件样本的个案画像,所述个案画像包括风险行为信息;
聚类处理单元,用于基于每个风险事件样本的风险行为信息,对所述多个风险事件样本进行聚类处理,获得多个风险行为类别;
模式生成单元,用于根据每个风险行为类别包括的风险事件样本,生成每个风险行为类别的模式信息,所述每个风险行为类别的模式信息包括:与每个风险行为信息对应的一个以上的风险行为特征以及每个所述风险行为特征的权重;
识别单元,用于当需要对目标事件进行风险识别时,根据所述每个风险行为的模式信息,对所述目标事件进行风险识别。
本说明书实施例提供一种风险识别装置,包括:
个案画像生成单元,用于生成多个风险事件样本中每个所述风险事件样本的个案画像,所述个案画像包括风险主体相关信息;
聚类处理单元,用于基于每个风险事件样本的风险主体相关信息,对所述多个风险事件样本进行聚类处理,获得多个风险主体类别;
模式生成单元,用于根据每个风险主体类别包括的风险事件样本,生成每个风险主体类别的模式信息,所述每个风险主体类别的模式信息包括:与每个风险主体相关信息对应的一个以上的风险主体特征以及每个所述风险主体特征的权重;
识别单元,用于当需要对事件进行风险识别时,根据所述每个风险主体的模式信息,对所述事件进行风险识别。
本说明书实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时所述方法的步骤。
本说明书实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述方法的步骤。
本说明书实施例有益效果如下:
本说明书实施例中,通过获得多个风险事件样本的个案画像,所述个案画像包括风险行为信息或风险主体相关信息;基于每个风险事件样本的风险行为信息或风险主体相关信息,对所述多个风险事件样本进行聚类处理,获得多个风险行为类别或风险主体类别;根据每个风险行为类别或风险主体类别包括的风险事件样本,生成每个风险行为类别或风险主体类别的模式信息,在需要对目标事件进行风险识别时,根据所述每个风险行为类别或风险主体类别的模式信息,对目标事件进行风险识别,从而可以实现对被识别策略稽核的交易、被举报但未定型的交易、其它未完成的或已完成的或正在进行中的交易等案件的智能审理,从而可以实现风控体系的自动驾驶,解决了现有技术中分析效率低,分析结果因分析人员的不同而产生差异的技术问题。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本说明书的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本说明书一个实施例的一种风险识别方法的方法流程图;
图2示出了图1中的风险识别方法中的个人画像的示意图;
图3示出了本说明书另一个实施例的一种风险识别方法的方法流程图;
图4示出了根据本说明书一个实施例的一种风险识别装置的示意图;
图5示出了根据本说明书另一个实施例的一种风险识别装置的示意图;
图6示出了根据本说明书一个实施例的计算机设备的示意图。
具体实施方式
为了更好地理解上述技术方案,下面通过附图以及具体实施例对本说明书实施例的技术方案做详细说明,应当理解本说明书实施例以及实施例中的具体特征是对本说明书实施例技术方案的详细说明,而不是对本说明书技术方案的限定。在不冲突的情况下,本说明书实施例以及实施例中的技术特征可以相互组合。
实施例一
本说明书实施例一提供一种风险识别方法。所述风险识别方法可用于案件分析,如游戏类案件、电信类案件等,也可以用于安全教育中,以提高相关人员的风险识别能力,或者生成风险防控策略,用于风控引擎中。以下对所述风险识别方法进行详细描述。
请参见图1,图1为本说明书实施例的一种风险识别方法的方法流程图。所述风险识别方法包括以下步骤:
步骤110,获得多个风险事件样本,并生成每个所述风险事件样本的个案画像,所述个案画像包括案件描述信息。风险事件样本是从已经定性为案件中获得的,可以是从已经定性的案件中挑选的典型案件,也可以是从案件中随机挑选出来的;还可以是已经定性案件的所有案件。
在本实施例中,对风险事件样本的具体选择方式不做限定,可以根据需求进行风险事件样本的选择。在获得多个风险事件样本后,生成每个风险事件样本的个案画像。个案画像用于为每个风险事件的描述信息,以便于能够进行每个风险事件的描述信息的快速获取。
所述案件描述信息可以为用户信息、风险主体相关信息、资金往来信息、案情描述信息等中的一种或者多种。用户信息可以包括姓名、性别、年龄、账号等相关信息。风险主体是执行风险行为的主体,所述风险主体相关信息包括风险主体的ID如姓名或账号或身份证号等、风险主体的即时通讯应用账号如QQ、微信等、风险主体的支付应用账号如支付宝账号等、风险主体的银行卡信息、风险主体的设备号、风险主体的IP地址等中的一种或者多种。
资金往来信息包括转账金额、转账方式等信息,案情描述信息包括风险行为信息、案件起因、过程、结果等信息。风险行为信息即风险主体的行为,如开通花呗消费、开通借呗借钱、更换绑定的手机号码、更换绑定的电子邮箱号码、更改密码、支付位置变化、变更收货地址、购买特定商品中的一种或者多种。开通花呗消费、开通借呗借钱等,其中,花呗和借呗均为一种借贷工具,包括用户的信息,用户可以通过该工具进行借贷。购买特定商品,如购买以前未曾购买过的类别的商品,反复购买同一种商品等。
在本实施方式中,所述个案画像还包括定性原因,即将该事件确定为风险事件的过程及原因。其中,所述定性原因是通过对判别模型进行reason code的解析而得,具体地,所述定性原因的获得方法,具体为:
采用可解释性算法,从所述案情描述信息中获得多个风险事件定性变量及排序;基于多个风险事件定性变量的排序,获得定性原因。
可解释性算法,这里可以采用tree based learning(集成树算法)算法或SHAP(SHapley Additive exPlanations)算法。针对经典机器学习算法,如GBDT、XGBOOST算法,我们采用采用tree based learning(集成树算法)的方法给出多个案件定性变量的排序,根据排序结果获得定性原因;针对深度学习算法,采用SHAP(SHapley AdditiveexPlanations)算法来给出每个打分变量的重要性排序,根据排序结果获得定性原因。比如说:某个事件里面因为双方无可信关系、历史没有交易而被定性为风险事件。
在其它实施方式中,所述个案画像还可以包括:定性处理(如确定为风险事件)、事中识别(如交易uct策略未稽核)等,事中识别(即实时识别,如对每笔进来的交易进行风险判断)等。
本说明书实施例以一游戏类案件为例进行个案画像的说明,如图2所示,所述个案画像包括定性处理、用户、风险主体、资金往来、事中识别、案情描述、以及定性原因。在该示例中,因为双方(用户和风险主体)无可信关系、而且历史没有交易而被定性为风险事件。
生成个案画像之后,进入步骤120。
步骤120,基于每个风险事件样本的案件行为信息,对多个所述风险事件样本进行聚类处理,获得多个风险行为类别。
在对风险事件样本进行聚类时,可以根据案件描述信息所包括一种或者多种信息对风险事件样本进行聚类,从而获得多个风险事件类别。
在本实施方式中,主要根据风险行为信息对风险事件样本进行聚类,以下进行详细说明。
聚类处理是对样本进行聚类算法的处理,聚类算法是对事物自动归类的一类算法,聚类算法是一种典型的无监督的学习算法,在聚类算法中通过定义不同的相似性的度量方法,将具有相似属性的事物聚集到同一个类中。聚类算法是以相似性为基础,在一个聚类中的模式之间比不在同一聚类中的模式之间具有更多的相似性。
风险事件类别表示每个风险事件样本的类别,如可将风险事件类别设置为1、2、3或,a、b、c均可,由于本申请采用的是无监督算法—聚类算法,没有标记样本,因此,这个风险事件类别只是一个类别标记,并不表示任何该类别的特征信息。
在对所有的风险事件样本进行聚类处理后,将所有的风险事件样本分为多个风险事件类别,定义出多个风险事件类别的id,如风险行为1、风险行为2、风险行为3等,其中风险行为1、风险行为2、风险行为3即为风险事件类别,每个类的风险事件样本的风险事件类别相同,即通过聚类将相同或者相近似的聚为同一类,设置为类别信息相同,该类的所有风险事件样本的风险行为信息相同或者相近似。
以下举例对基于风险行为信息对风险事件样本进行的聚类处理进行说明,假设风险事件样本的数目为5个(编号分别为1~5),基于风险行为信息对风险事件样本进行聚类处理,获得2个风险行为的风险事件类别,如表1所示。
表1基于风险行为信息的聚类处理示意表
样本 |
风险行为信息 |
聚类结果 |
样本1 |
改密码、换绑手机 |
风险行为1 |
样本2 |
开通借呗借钱 |
风险行为2 |
样本3 |
改密码、换绑电子邮箱 |
风险行为1 |
样本4 |
开通花呗消费 |
风险行为2 |
样本5 |
开通花呗消费 |
风险行为2 |
在5个风险事件样本中,由于风险事件样本1、风险事件样本3的风险行为相近似,都是改密码、换绑手机、换绑电子邮箱,则将风险事件样本1和风险事件样本3聚类为风险行为1的风险事件类别;而风险事件样本2、风险事件样本4和风险事件样本5的风险行为相近似,都是通过开通借呗借钱、开通花呗消费,则将风险事件样本2、风险事件样本4和风险事件样本5聚类为风险行为2的风险事件类别。即,基于风险行为信息,将5个样本聚为两个风险事件类别,风险行为1的风险事件类别和风险行为2的风险事件类别。
具体地,基于风险行为的具体聚类算法过程如下:
具体地,所述基于每个风险事件样本的风险行为信息,对多个所述风险事件样本进行聚类处理,获得多个风险事件类别,包括:
基于每个所述风险事件样本的风险行为信息,生成序列数据,通过node2vec的方法构建图向量,获得第一聚类特征,以及通过word2vec的方法构建图向量,获得第二聚类特征;将预设的结构化向量特征与所述第一聚类特征、以及所述第二聚类特征结合,获得结构化数据;采用聚类算法对所述结构化数据进行聚类处理,获得多个风险事件类别。
具体地,第一聚类特征为Xi(i=1,…,n,n为大于1的整数,i为正整数),第二聚类特征为Xj(j=n+1,…,m,j为大于n小于等于m的整数,m为大于n的整数),预设的结构化向量特征为Xk(k=m+1,…,l,k为大于m小于等于l的整数,l为大于m的整数)。预设的结构化向量特征为开发人员根据业务经验设定的,也叫经验变量,或者经验特征,通过设置这个预设的结构化向量特征,是的聚类结果与真实结果更相近。在获得Xi、Xj、Xk后,通过将Xi、Xj、Xk按照列拼接,即可获得基于风险行为信息对风险事件样本进行聚类的结果。
在对风险事件样本进行聚类处理,获得风行为类别后,进入步骤130。
步骤130,根据每个风险行为类别包括的风险事件样本,生成每个风险行为类别的模式信息,所述每个风险行为类别的模式信息包括:与每个风险行为信息对应的一个以上的风险行为特征以及每个所述风险行为特征的权重。
在获得基于风险行为信息对风险事件样本进行聚类处理,获得风险行为类别的结果后,进入步骤130,基于每个风险行为类别生成模式信息。
在获得每个风险行为类别后,分析该类别风险事件样本的具体风险行为信息,风险行为信息具体可以通过提取关键字或者通过AI(人工智能),即可生成该风险事件类别的风险事件样本的风险行为信息,也可以基于该风险事件类别中的风险事件样本的个案画像,直接获得该类别的风险事件样本的风险行为信息。
每个模式信息对应一个风险行为件类别,也就是说,一个风险行为件类别只有一个模式信息。每个模式信息所包含的风险行为特征的数量是根据该风险行为件类别的风险行为件样本所包含的风险行为信息确定的。每个模式信息中与每种风险行为对应的风险行为特征可以为一个,也可以为多个。每个所述风险行为特征的权重是根据该风险行为特征的重要性确定的,重要的风险行为特征权重高,次要的风险行为特征权重低,也就是说,越重要的风险行为特征权重值越高。
具体地,在本实施方式中,所述与每个风险行为信息对应的风险行为特征包括:开启特定的功能、开启特定的权限、更换绑定电话号码、更改绑定电子邮箱、更改密码、支付位置变化、变更收货地址和/或购买特定商品。即,与风险行为信息对应的风险行为特征可以为开启特定的功能、开启特定的权限、更换绑定手机号码、更换绑定电子邮箱号码、更改密码、支付位置变化、变更收货地址、购买特定商品等中的一种或者多种。购买特定商品,如购买以前未曾购买过的类别的商品,反复购买同一种商品等。
如在某一种风险行为类别中,包括三个风险行为特征:开启特定的功能、支付位置变化、变更收货地址,其中“开启特定的功能、开启特定的权限”这个风险行为特征的重要程度最高,则将这个风险行为特征的权重值最大,如设置为0.8,另外两个风险行为特征的重要程度是一样的,则将这两个风险行为特征的权重值设置为相同,如0.2。
获得每个风险行为类别的模式信息至少有以下两种获得方式:
方式1:
具体地,所述根据每个风险行为类别包括的风险事件样本,生成每个风险行为类别的模式信息,包括:
针对每个风险行为类别的风险事件样本,提取与该风险行为类别的风险行为信息对应的一个以上风险行为特征;
确定一个以上风险行为特征中每个风险行为特征对应的权重,生成该风险行为类别的模式信息。
本方式是通过人设定的方式进行的,基于风险行为信息,确定风险行为特征后,再根据该风险行为特征的重要性确定每个所述风险行为特征的权重。每个风险行为特征的重要性可以根据经验设置,也可以根据大数据分析结果进行设置。
继续以前述的基于风险行为2的风险行为类别的风险事件样本为例进行说明,该风险行为类别的风险事件样本的风险行为信息为开通借呗借钱,基于风险行为信息,可确定与该风险行为信息对应的风险行为特征—开启特定的功能,设定该风险行为特征的权重为1,即可获得该风险行为类别的模式信息1。
又如,某风险行为类别的风险行为信息为改密码、换绑手机,基于该风险行为信息,确定与该风险行为信息对应的两个风险行为特征,风险行为特征1—更换绑定手机号码,风险行为特征2—更改密码,设定风险行为特征1的权重为0.5,风险行为特征2为0.5,获得模式信息2,如下表2所示。
表2模式信息的示意
方式2:
具体地,所述根据每个风险行为类别包括的风险事件样本,生成每个风险行为类别的模式信息,包括:
将每个风险行为类别的风险事件样本输入到预设模型;
获得所述预设模型输出该风险行为类别的风险行为信息对应的一个以上风险行为特征及每个风险行为特征的权重;
基于输出该风险行为类别的风险行为对应的一个以上风险行为特征及每个风险行为特征的权重,获得该风险行为类别的模式信息。
该方式是通过预设模型的获得模式信息。该预设模型是用于对输入的风险行为类别的风险事件样本进行分析,输出该风险行为类别的风险行为对应风险行为特征及权重。所述预设模式具体可以为基于神经网络如卷积神经网络(Convolutional NeuralNetworks,CNN)模型、循环神经网络(RNN)的模型。
在获得模式信息后,进入步骤140。
步骤140,当需要对目标事件进行风险识别时,根据所述每个风险行为类别的模式信息,对目标事件进行风险识别。
所述目标事件可以为一件或者多件,包括但不限于被识别策略稽核的交易、被举报但未定型的交易、其它未完成的或已完成的或正在进行中的交易等事件。通过确定目标事件是否为风险事件,从而可以发现潜在的风险行为,也可以挖掘出隐在的风险事件。在识别出所述目标事件为风险事件时,可以拦截或者提醒。
具体地,所述根据所述每个风险行为类别的模式信息,对目标事件进行风险识别,包括:根据每个风险行为类别的模式信息,对所述目标事件进行打分,获得打分结果;基于所述打分结果,确定所述目标事件是否为风险事件。
具体地,所述根据每个风险行为类别的模式信息,对所述目标事件进行打分,获得打分结果,包括:
在所述目标事件中提取与每个风险行为类别的模式信息包括一个以上风险行为特征;
基于提取的风险行为特征及每个所述风险行为特征对应的权重,获得所述目标事件在每个风险行为类别的打分结果。
如,基于风险行为类别获得的模式信息1的风险行为特征为开启特定的功能,该风险行为特征的权重为1为例进行说明。识别目标事件是否有开启特定的功能,如是否有开启花呗消费、开启借呗借钱等,若是,则提取该特征,获得该特征对应的权重值1,则可获得目标事件在模式信息1对应的风险行为类别的打分结果,打分结果为1。
又如,某个风险行为类别的模式信息2具有两个风险行为特征,风险行为特征1—更换绑定手机号码,风险行为特征2—更改密码,设定风险行为特征1的权重为0.5,风险行为特征2为0.5,识别目标事件是否有改密码,是否为更换绑定手机号码,若目标事件具有风险行为特征2—更改密码,基于风险行为特征2的权重,获得打分结果为0.5。
在获得打分结果后,所述基于所述打分结果,确定所述目标事件是否为风险事件,包括:判断所述目标事件在每个风险行为类别的打分结果是否大于该风险行为类别的预设分值;若是,则确定所述目标事件为该风险行为类别的风险事件。
通过设定预设分值,确定目标事件为某个风险行为类别的风险事件,如某一目标事件的打分结果为0.9,预设值设定为0.8,则打分结果大于预设值,确定该风险行为类别的风险事件,基于此,可进行交易拦截或者对用户进行提醒。
在其它实施方式中,可以多设置几个预设分值,基于预设分值识别目标事件的风险程度的级别,如风险程度高、风险程度低、风险程度中,基于风险程度的不同,生成不要的策略,如风险程度高,则拦截的防控策略,直接拦截交易,如风险程度低,则,生成提示信息,提示用户有风险。通过生成防控策略,能够在用户报案之前自动地、智能地推荐给用户或者强制执行,减少风险事件的发生,通过该方法,可与风控引擎打通,实现策略的自动化、智能化的推荐,从而提高交易的安全性。
也可以直接提取特征,确定目标事件是否为风险事件,具体地,所述根据所述每个风险行为类别的模式信息,对所述目标事件进行风险识别,包括:
提取所述目标事件中与每个风险行为类别的模式信息对应的风险行为特征;
基于提取的风险行为特征及每个所述风险行为特征对应的权重,确定所述目标事件是否为风险事件。
进一步地,所述方法还包括:基于所述模式信息,生成安全教育页面,并展示所述安全教育页面。具体地,如模式信息为基于案件行为类别——更换绑定电话号码、更改密码,则根据潜在可能被盗的用户去宣传修改更安全的密码等。通过基于模式信息,可以针对不同的人群生成安全教育信息,从而可以针对不同的人群进行安全教育,实现用户心智的运营。
又,本说明书实施例的方法可以用于智能审理的服务,将需要审理的事件作为目标事件,通过本说明书实施例的方法对事件进行申请,即可确定该事件属于哪个风险行为类别的风险事件,从而可以实现风控体系的自动驾驶。
进一步地,在获得每个风险行为类别的目标事件后,可以对每个风险行为类别的目标事件进行聚类处理,获得一个以上的风险主体类别,再获得每个风险主体类别的模式信息,基于模式信息对待识别事件进行识别;也可以直接提取每个风险行为类别包括的目标事件的风险主体相关信息,基于风险主体相关信息对待识别事件进行识别,以下分别进行详细介绍。
A、具体地,所述方法还包括:
获得每个风险行为类别的各目标事件的风险主体相关信息;
基于每个风险行为类别的各目标事件的风险主体相关信息,对该风险行为类别的目标事件进行聚类处理,获得一个以上的风险主体类别;
根据每个风险主体类别包括的目标事件,生成每个风险主体类别的模式信息;所述每个风险主体类别的模式信息具体包括:与每个风险主体相关信息对应的一个以上风险主体特征、及每个所述风险主体特征的权重;
通过每个风险主体类别的模式信息对待识别事件进行识别。
在获得每个风险行为类别的目标事件的风险主体相关信息后,即可对多个目标事件进行基于风险主体相关信息进行聚类出来,获得一个以上的风险主体类别。检测风险主体群的手段可以通过强介质进行连通图关联,建立用户和设备号、用户和卡号、用户和电话号码等关系,通过逐层关联向外拓展挖掘风险主体群。如用户1和卡1有关联,卡1和用户2有关联,用户1和设备1有关联,设备1和用户3有关联,通过联通关系最终可以发现,用户1、用户2、用户3属于同一风险主体群。另外也可通过自主选择介质如IP地址的方式来执行风险行为。基于聚类算法,将相关联的风险主体聚在一起,获得基于风险主体进行聚类处理获得的风险主体类别。
具体地,所述与每个风险主体相关信息对应的风险主体特征包括:ID、即时通讯应用账号、支付应用账号、银行卡信息、电话号码、电子邮箱、操作设备号码和/或IP地址。即,所述与每个风险主体相关信息对应的风险主体特征包括:ID、即时通讯应用账号、支付应用账号、银行卡信息、电话号码、电子邮箱、操作设备号码、IP地址等中的一种或多种。ID、即时通讯应用账号、支付应用账号、银行卡信息、电话号码、电子邮箱、操作设备号码、IP地址均为风险主体的信息。
在获得每个风险主体类别后,分析该类别的目标事件的风险主体相关信息。每个模式信息对应一个风险主体类别,也就是说,一个风险主体类别只有一个模式信息。每个模式信息所包含的风险主体特征的数量是根据该风险主体类别的风险事件样本所包含的风险主体相关信息确定的。每个模式信息中与风险主体对应的风险主体特征可以为一个,也可以为多个。每个所述风险主体特征的权重是根据该风险主体特征的重要性确定的,重要的风险主体特征权重高,次要的风险主体特征权重低,也就是说,越重要的风险主体特征权重值越高。
继续以前述用户1、用户2、用户3属于同一风险主体群这一示例进行说明,该风险主体类别中的风险主体相关信息包括用户、设备、卡,因此,基于该等风险主体相关信息,可以获得三个风险主体特征:ID、银行卡信息、操作设备号码,其中,风险主体特征—操作设备号码的重要程度最高,则将这个风险主体特征的权重值最大,如设置为0.7,另外两个风险主体特征—ID、银行卡信息的重要程度次之,则分别设置为0.2和0.3,即可生成模式信息。
具体地,所述通过每个风险主体类别的模式信息对待识别事件进行识别,包括:
提取所述待识别事件中与每个风险主体类别的模式信息对应的风险主体特征;
基于提取的风险主体特征及每个所述风险主体特征对应的权重,确定所述待识别事件是否为风险事件。
如,某风险主体类别的模式信息,包括三个风险主体相关特征:ID、银行卡信息、操作设备号码,权重分别为0.2、0.3、0.7。提取待识别事件是否有三个风险主体相关特征,若识别出待识别事件具有其中两个风险主体相关特征ID、操作设备号码,则提取该两个风险主体相关特征,基于该两个风险主体相关特征的权重,则可获得待识别事件的打分结果为0.9,基于该打分结果,可确定待识别事件为风险事件。
B、具体地,所述方法还包括:
获得每个风险行为类别的目标事件的风险主体相关信息;
通过每个风险行为类别的风险主体相关信息,对待识别事件进行识别。
所述风险主体相关信息包括风险主体的ID如姓名或账号或身份证号等、风险主体的即时通讯应用账号如QQ、微信等、风险主体的支付应用账号如支付宝账号等、风险主体的银行卡信息、风险主体的设备号、风险主体的IP地址等中的一种或者多种。
获得每个风险行为类别的目标事件的风险主体相关信息后,确定待识别事件中的是否具有该等风险主体相关信息中的一个或者多个,然后再根据预设规则,确定待识别事件是否为风险事件。
如,待识别事件中的风险主体的ID与某一风险行为类别的目标事件的风险主体的ID相同,则根据预设规则风险主体的ID相同,则确定待识别事件是否为风险事件。
本说明书实施例通过获得多个风险事件样本的个案画像,所述个案画像包括风险行为信息;基于每个风险事件样本的风险行为信息,对所述多个风险事件样本进行聚类处理,获得多个风险行为类别;根据每个风险行为类别包括的风险事件样本,生成每个风险行为类别的模式信息,在需要对目标事件进行风险识别时,根据所述每个风险行为类别的模式信息,对目标事件进行风险识别,从而可以实现对被识别策略稽核的交易、被举报但未定型的交易、其它未完成的或已完成的或正在进行中的交易等案件的智能审理,从而可以实现风控体系的自动驾驶,解决了现有技术中分析效率低,分析结果因分析人员的不同而产生差异的技术问题。
另外,本申请分别基于风险行为信息对风险事件样本进行聚类处理,实现从风险行为的不同的角度对风险事件样本进行分类处理,使得基于每个风行为类别生成的模式信息能够更体现该类别的风险事件的特点,进而在对目标事件识别时,提高风险识别率。
实施例二
于同样的发明构思,本申请还提供一种风险识别方法,如图3所示,所述风险识别方法包括:
步骤310,获得多个风险事件样本,并生成每个所述风险事件样本的个案画像,所述个案画像包括风险主体相关信息。
个案画像参见实施例一的描述,在此不再赘述。
步骤320,基于每个风险事件样本的风险主体相关信息,对所述多个风险事件样本进行聚类处理,获得多个风险主体类别。
一个风险主体群是指两个以上成员之间,基于共同的违反法律的意图和目标,以共同的需要、兴趣、价值观念等心理因素作为精神纽带,纠合在一起,进行多次共同进行不合法风险行为。基于风险主体的信息,可以确定风险事件样本中与该风险主体关联的风险主体群,基于该风险主体群,就可以进行风险主体聚类处理。
一般来说,所有风险事件背后对应的风险主体都是呈群体性质的,从风险事件出发挖掘出背后的群体,以便快速防控风险事件和进行线下打击。在该步骤中,可以采用标签传播(LPA)的算法。LPA算法的逻辑结构如下:一开始构建所有样本的一个全网络,通过案件定性的结果,发现定性的黑样本,从黑样本出发,经过多轮迭代,就可以发现周围的样本慢慢都可以传染到,以此发现两个子群为风险主体群。该方案从黑样本出发去侵染剩余样本,给剩余样本打分,根据得分的大小判断该样本是否是风险事件,以此来达到发现风险主体群的目的。
在获得每个风险事件样本的风险主体相关信息后,即可对多个风险事件样本进行基于风险主体相关信息进行聚类出来,获得多个风险事件类别。检测风险主体群的手段可以通过强介质进行连通图关联,建立用户和设备号、用户和卡号、用户和电话号码等关系,通过逐层关联向外拓展挖掘风险主体群。如用户1和卡1有关联,卡1和用户2有关联,用户1和设备1有关联,设备1和用户3有关联,通过联通关系最终可以发现,用户1、用户2、用户3属于同一风险主体群。另外也可通过自主选择介质如IP地址的方式来执行风险行为。基于聚类算法,将相关联的风险主体聚在一起,获得基于风险主体进行聚类处理获得的风险事件类别。
具体地,所述与每个风险主体相关信息对应的风险主体特征包括:ID、即时通讯应用账号、支付应用账号、银行卡信息、电话号码、电子邮箱、操作设备号码和/或IP地址。即,所述与每个风险主体对应的风险主体特征包括:ID、即时通讯应用账号、支付应用账号、银行卡信息、电话号码、电子邮箱、操作设备号码、IP地址等中的一种或多种。ID、即时通讯应用账号、支付应用账号、银行卡信息、电话号码、电子邮箱、操作设备号码、IP地址均为风险主体的信息。
在对风险事件样本进行聚类处理,获得风险事件类别后,进入步骤330。
步骤330,根据每个风险主体类别包括的风险事件样本,生成每个风险主体类别的模式信息,所述每个风险主体类别的模式信息包括:与每个风险主体相关信息对应的一个以上的风险主体特征以及每个所述风险主体特征的权重。
在获得每个风险主体类别后,分析该类别的风险事件样本的风险主体相关信息。每个模式信息对应一个风险主体类别,也就是说,一个风险主体类别只有一个模式信息。每个模式信息所包含的风险主体特征的数量是根据该风险主体类别的风险事件样本所包含的风险主体相关信息确定的。每个模式信息中与风险主体对应的风险主体特征可以为一个,也可以为多个。每个所述风险主体特征的权重是根据该风险主体特征的重要性确定的,重要的风险主体特征权重高,次要的风险主体特征权重低,也就是说,越重要的风险主体特征权重值越高。
继续以前述用户1、用户2、用户3属于同一风险主体群这一示例进行说明,该风险主体类别中的风险主体相关信息包括用户、设备、卡,因此,基于该等风险主体相关信息,可以获得三个风险主体特征:ID、银行卡信息、操作设备号码,其中,风险主体特征—操作设备号码的重要程度最高,则将这个风险主体特征的权重值最大,如设置为0.7,另外两个风险主体特征—ID、银行卡信息的重要程度次之,则分别设置为0.2和0.3,即可生成模式信息。
获得每个风险主体类别的模式信息的方式至少有如下两种:
方式1:
具体地,根据每个风险主体类别包括的风险事件样本,生成每个风险主体类别的模式信息,包括:
针对每个风险主体类别的风险事件样本,提取与该风险主体类别的风险主体对应的一个以上风险主体特征;
确定一个或者多个风险主体特征对应的权重,生成该风险主体类别的模式信息。
本方式是通过人设定的方式进行的,基于风险主体相关信息,确定风险主体特征后,再根据该风险主体特征的重要性确定每个所述风险主体特征的权重。每个风险主体特征的重要性可以根据经验设置,也可以根据大数据分析结果进行设置。
继续以前述的风险主体类别为例进行说明,该风险主体类别中的风险主体相关信息包括用户、设备、卡,基于该信息,即可确定出该风险主体类别的模式信息的三个风险主体特征:ID、银行卡信息、操作设备号码,由于风险主体特征—操作设备号码的重要程度最高,则将这个风险主体特征的权重值最大,如设置为0.7,另外两个风险主体特征—ID、银行卡信息的重要程度次之,则分别设置为0.2和0.3。
方式2:
根据每个风险主体类别包括的风险事件样本,生成每个风险主体类别的模式信息,包括:
将每个风险主体类别的风险事件样本输入到预设模型;
获得所述预设模型输出该风险主体类别的风险主体相关信息对应的一个以上风险主体特征及每个风险主体特征的权重;
基于输出该风险主体类别的风险主体相关信息对应的一个以上风险主体特征及每个风险主体特征的权重,获得该风险主体类别的模式信息。
该方式是通过预设模型的获得模式信息。该预设模型是用于对输入的某一风险主体类别的风险事件样本进行分析,输出该风险主体件类别的风险主体相关信息对应风险主体特征及权重。所述预设模式具体可以为基于神经网络如卷积神经网络(ConvolutionalNeural Networks,CNN)模型、循环神经网络(RNN)的模型。
在获得模式信息后,进入步骤340。
步骤340,当需要对事件进行风险识别时,根据所述每个风险主体的模式信息,对所述事件进行风险识别。
所述目标事件可以为一件或者多件,包括但不限于被识别策略稽核的交易、被举报但未定型的交易、其它未完成的或已完成的或正在进行中的交易等事件。通过确定目标事件是否为风险事件,从而可以发现潜在的风险行为,也可以挖掘出隐在的风险事件。在识别出所述目标事件为风险事件时,可以拦截或者提醒。
具体地,所述根据所述每个风险主体类别的模式信息,对所述事件进行风险识别,包括:
提取所述事件中与每个风险主体类别的模式信息对应的风险主体特征;
基于提取的风险主体特征及每个所述风险主体特征对应的权重,确定所述事件是否为风险事件。
如,某风险主体类别的模式信息,包括三个风险主体相关特征:ID、银行卡信息、操作设备号码,权重分别为0.2、0.3、0.7。提取目标事件是否有三个风险主体相关特征,若识别出目标事件具有其中两个风险主体相关特征ID、操作设备号码,则提取该两个风险主体相关特征,基于该两个风险主体相关特征的权重,则可获得目标事件的打分结果为0.2+0.7=0.9,基于该打分结果,确定该目标事件为风险事件。
本说明书实施例通过获得多个风险事件样本的个案画像,所述个案画像包括风险主体相关信息;基于每个风险事件样本的风险主体相关信息,对所述多个风险事件样本进行聚类处理,获得多个风险主体类别;根据每个风险主体类别包括的风险事件样本,生成每个风险主体类别的模式信息,在需要对目标事件进行风险识别时,根据所述每个风险主体类别的模式信息,对目标事件进行风险识别,从而可以实现对被识别策略稽核的交易、被举报但未定型的交易、其它未完成的或已完成的或正在进行中的交易等案件的智能审理,从而可以实现风控体系的自动驾驶,解决了现有技术中分析效率低,分析结果因分析人员的不同而产生差异的技术问题。
另外,本申请分别基于风险主体相关信息对风险事件样本进行聚类处理,实现从风险主体的不同的角度对风险事件样本进行分类处理,使得基于每个风险主体类别生成的模式信息能够更体现该类别的风险事件的特点,进而在对目标事件识别时,提高风险识别率。
实施例三
基于同样的发明构思,本申请还提供一种风险识别装置,如图4所示,所述风险识别装置,包括:
个案画像生成单元410,用于生成多个风险事件样本中每个所述风险事件样本的个案画像,所述个案画像包括风险行为信息;
聚类处理单元420,用于基于每个风险事件样本的风险行为信息,对所述多个风险事件样本进行聚类处理,获得多个风险行为类别;
模式信息生成单元430,用于根据每个风险行为类别包括的风险事件样本,生成每个风险行为类别的模式信息,所述每个风险行为类别的模式信息包括:与每个风险行为信息对应的一个以上的风险行为特征以及每个所述风险行为特征的权重;
识别单元440,用于当需要对目标事件进行风险识别时,根据所述每个风险行为的模式信息,对所述目标事件进行风险识别。
具体地,所述装置还包括获得单元,所述获得单元用于获得每个风险行为类别的各目标事件的风险主体相关信息;所述聚类处理单元240还用于基于每个风险行为类别的各目标事件的风险主体相关信息,对该风险行为类别的目标事件进行聚类处理,获得一个以上的风险主体类别;
所述模式生成单元430还用于根据每个风险主体类别包括的目标事件,生成每个风险主体类别的模式信息;所述每个风险主体类别的模式信息具体包括:与每个风险主体相关信息对应的一个以上风险主体特征、及每个所述风险主体特征的权重;
所述识别单元440还用于通过每个风险主体类别的模式信息对待识别事件进行识别。
具体地,所述与每个风险行为信息对应的风险行为特征为:开启特定的功能、开启特定的权限、更换绑定电话号码、更换绑定电子邮箱、更改密码、支付位置变化、变更收货地址或购买特定商品。
所述装置还包括获得单元,所述获得单元用于获得每个风险行为类别的目标事件的风险主体相关信息;所述识别单元440还用于通过每个风险行为类别的风险主体相关信息,对待识别事件进行识别。
所述识别单元440具体用于提取所述目标事件中与每个风险事件类别的模式信息对应的风险主体特征,并基于提取的风险主体特征及每个所述风险主体特征对应的权重,确定所述目标事件是否为该风险主体类别的风险事件。
具体地,所述与每个风险主体相关信息对应的风险主体特征为:ID、即时通讯应用账号、支付应用账号、银行卡信息、电话号码、电子邮箱、操作设备号码或IP地址。
本说明书实施例通过获得多个风险事件样本的个案画像,所述个案画像包括风险行为信息;基于每个风险事件样本的风险行为信息,对所述多个风险事件样本进行聚类处理,获得多个风险行为类别;根据每个风险行为类别包括的风险事件样本,生成每个风险行为类别的模式信息,在需要对目标事件进行风险识别时,根据所述每个风险行为类别的模式信息,对目标事件进行风险识别,从而可以实现对被识别策略稽核的交易、被举报但未定型的交易、其它未完成的或已完成的或正在进行中的交易等案件的智能审理,从而可以实现风控体系的自动驾驶,解决了现有技术中分析效率低,分析结果因分析人员的不同而产生差异的技术问题。
另外,本申请分别基于风险行为信息对风险事件样本进行聚类处理,实现从风险行为的不同的角度对风险事件样本进行分类处理,使得基于每个风行为类别生成的模式信息能够更体现该类别的风险事件的特点,进而在对目标事件识别时,提高风险识别率。
实施例四
基于同样的发明构思,本申请还提供一种风险识别装置,如图5所示,所述风险识别装置包括:
个案画像生成单元510,用于生成多个风险事件样本中每个所述风险事件样本的个案画像,所述个案画像包括风险主体相关信息;
聚类处理单元520,用于基于每个风险事件样本的风险主体相关信息,对所述多个风险事件样本进行聚类处理,获得多个风险主体类别;
模式生成单元530,用于根据每个风险主体类别包括的风险事件样本,生成每个风险主体类别的模式信息,所述每个风险主体类别的模式信息包括:与每个风险主体相关信息对应的一个以上的风险主体特征以及每个所述风险主体特征的权重;
识别单元540,用于当需要对事件进行风险识别时,根据所述每个风险主体的模式信息,对所述事件进行风险识别。
具体地,所述识别单元540具体用于提取所述事件中与每个风险主体类别的模式信息对应的风险主体特征,并基于提取的风险主体特征及每个所述风险主体特征对应的权重,确定所述事件是否为风险事件。
具体地,所述与每个风险主体相关信息对应的风险主体特征为:ID、即时通讯应用账号、支付应用账号、银行卡信息、电话号码、电子邮箱、操作设备号码或IP地址。
本说明书实施例通过获得多个风险事件样本的个案画像,所述个案画像包括风险主体相关信息;基于每个风险事件样本的风险主体相关信息,对所述多个风险事件样本进行聚类处理,获得多个风险主体类别;根据每个风险主体类别包括的风险事件样本,生成每个风险主体类别的模式信息,在需要对目标事件进行风险识别时,根据所述每个风险主体类别的模式信息,对目标事件进行风险识别,从而可以实现对被识别策略稽核的交易、被举报但未定型的交易、其它未完成的或已完成的或正在进行中的交易等案件的智能审理,从而可以实现风控体系的自动驾驶,解决了现有技术中分析效率低,分析结果因分析人员的不同而产生差异的技术问题。
另外,本申请分别基于风险主体相关信息对风险事件样本进行聚类处理,实现从风险主体的不同的角度对风险事件样本进行分类处理,使得基于每个风险主体类别生成的模式信息能够更体现该类别的风险事件的特点,进而在对目标事件识别时,提高风险识别率。
实施例五
基于与前述实施例中同样的发明构思,本说明书实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前文任一所述方法的步骤。
实施例六
基于与前述实施例中同样的发明构思,本说明书的实施例还提供一种计算机设备,如图6所示,包括存储器604、处理器602及存储在存储器604上并可在处理器602上运行的计算机程序,所述处理器602执行所述程序时实现前文任一所述方法的步骤。
其中,在图6中,总线架构(用总线600来代表),总线600可以包括任意数量的互联的总线和桥,总线600将包括由处理器602代表的一个或多个处理器和存储器604代表的存储器的各种电路链接在一起。总线600还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口605在总线600和接收器601和发送器603之间提供接口。接收器601和发送器603可以是同一个元件,即收发机,提供用于在传输介质上与各种其他终端设备通信的单元。处理器602负责管理总线600和通常的处理,而存储器604可以被用于存储处理器602在执行操作时所使用的数据。
通过本说明书的一个或者多个实施例,本说明书具有以下有益效果或者优点:
本说明书实施例通过获得多个风险事件样本的个案画像,所述个案画像包括案件描述信息;基于每个风险事件样本的案件描述信息,对所述多个风险事件样本进行聚类处理,获得多个风险事件类别;根据每个风险事件类别包括的风险事件样本,生成每个风险事件类别的模式信息,在需要对目标事件进行风险识别时,根据所述每个风险事件类别的模式信息,对目标事件进行风险识别,从而可以实现对被识别策略稽核的交易、被举报但未定型的交易、其它未完成的或已完成的或正在进行中的交易等案件的智能审理,从而可以实现风控体系的自动驾驶,解决了现有技术中分析效率低,分析结果因分析人员的不同而产生差异的技术问题。
另外,本申请分别基于风险行为信息和风险主体相关信息对风险事件样本进行聚类处理,实现从不同的角度对风险事件样本进行分类处理,使得基于每个风险事件类别生成的模式信息能够更体现该类别的风险事件的特点,进而在对目标事件识别时,提高风险识别率。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的网关、代理服务器、系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。