CN112417452B - 一种风险控制方法及系统 - Google Patents
一种风险控制方法及系统 Download PDFInfo
- Publication number
- CN112417452B CN112417452B CN201910783935.4A CN201910783935A CN112417452B CN 112417452 B CN112417452 B CN 112417452B CN 201910783935 A CN201910783935 A CN 201910783935A CN 112417452 B CN112417452 B CN 112417452B
- Authority
- CN
- China
- Prior art keywords
- data
- buried point
- risk score
- risk
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种风险控制方法及系统,所述方法包括以下步骤:采集用户的埋点数据;根据风险计分规则对所述埋点数据计算得到第一风险得分值;对所述埋点数据进行分析,判断所述埋点数据中是否存在待调整数据;判断结果为存在所述待调整数据时,对所述待调整数据计算得到权重值;根据第一风险得分值与权重值计算得到第二风险得分值,并存储所述第二风险得分值;判断结果为不存在所述待调整数据时,存储所述第一风险得分值。在第一风险得分值的基础上通过待调整数据加以调整以取得第二风险得分值,更加准确识别用户行为还是机器行为,减少误判概率。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种风险控制方法及系统。
背景技术
“网络黑产”简称黑产,是指通过网络技术形成的分工明确、衔接密切的利益团体,通过入侵计算机信息系统、非法窃取包括个人信息在内的计算机信息系统数据等,谋取非法利益的产业体系。黑产为了扩大获利面,总会尽可能广撒网,因此黑产行为越来越多的向批量化和自动化演进,这就向风控提出了新的挑战。比如,一般业务平台为了营销,经常会开展优惠或者返现等活动,黑产闻风而至,大规模套利,业内称之为“薅羊毛”,最常见的手段就是大量注册新用户领取平台的活动奖励。
风控系统通常使用IP黑灰名单,过滤掉已知/嫌疑的代理IP,进一步的,描绘用户画像,根据用户最常使用的IP判断异常请求,并采取更高强度的身份验证以分辨黑产行为。
现有的风控系统根据自定义的风险评分规则对用户行为进行评分预估,风险评分规则仅对有限个用户的用户行为数据进行分析后制定形成,误判概率较高。
发明内容
针对上述问题,现提供一种风险控制方法及系统,其在计算得到第一风险得分值的基础上结合待调整数据进行调整,从而减少误判概率。
本发明提供一种风险控制方法,包括以下步骤:
采集用户的埋点数据;
根据预设风险计分规则对所述埋点数据计算得到第一风险得分值;
对所述埋点数据进行分析,判断所述埋点数据中是否存在待调整数据;
若是,则对所述待调整数据计算得到权重值;根据所述第一风险得分值与所述权重值计算得到第二风险得分值,并存储所述第二风险得分值;
若否,则存储所述第一风险得分值。
优选地,将所述埋点数据根据风险计分规则对所述埋点数据计算得到第一风险得分值的步骤包括:
提取所述埋点数据中与用户行为关联的埋点数据;
将所述与用户行为关联的埋点数据根据预设风险计分规则计算得到第一风险得分值。
优选地,所述与用户行为关联的埋点数据包括主要行为的埋点数据和/或辅助行为的埋点数据。
优选地,将所述与用户行为关联的埋点数据根据预设风险计分规则计算得到第一风险得分值的步骤包括:
判断所述与用户行为关联的埋点数据是否存在主要行为的埋点数据;
若存在主要行为的埋点数据,则判断所述主要行为的埋点数据的起始时间T2是否早于用户行为的起始时间T1,即T2<T1;
若T2<T1,则将第一风险得分值记为0;
若T2≥T1,则将所述埋点数据根据预设风险计分规则计算得到第一风险得分值;
若不存在主要行为的埋点数据,则判断所述与用户行为关联的埋点数据是否存在辅助行为的埋点数据;
若存在辅助行为的埋点数据,则判断辅助行为的埋点数据的起始时间T3是否早于用户行为的起始时间T1,即T3<T1;
若T3<T1,则将第一风险得分值记为0;
若T3≥T1,则将所述埋点数据根据预设风险计分规则计算得到第一风险得分值;
若不存在辅助行为的埋点数据,则将所述埋点数据根据预设风险计分规则计算得到第一风险得分值。
优选地,对所述埋点数据进行分析,判断所述埋点数据中是否存在待调整数据的步骤之前还包括:
判断所述第一风险得分值是否超出预设阈值;
若是,则对所述埋点数据进行分析,判断所述埋点数据中是否存在待调整数据;
若否,则存储所述第一风险得分值。
优选地,所述待调整数据包括第一待调整数据和第二待调整数据,则分别对所述第一待调整数据和所述第二待调整数据进行计算,得到与所述第一待调整数据对应的第一权重值和与所述第二待调整数据对应的第二权重值,并取第一权重值和第二权重值中较低的权重值进行计算得到第二风险得分值。
优选地,所述待调整数据与所述权重值成反比关系。
优选地,所述第二风险得分值=第一风险得分值×权重值。
优选地,存储所述第一风险得分值之后,还包括,
获取监控周期内达到预设封禁条件的用户及其对应的封禁周期;
监控所述达到预设封禁条件的用户在封禁周期内是否再次产生封禁业务请求;
若是,则根据第一评分规则计算用户的第一风险得分值并存储;
若否,则根据第二评分规则计算用户的第一风险得分值并存储。
优选地,存储所述第二风险得分值之后,还包括,
获取监控周期内达到预设封禁条件的用户及其对应的封禁周期;
监控所述达到预设封禁条件的用户在封禁周期内是否再次产生封禁业务请求;
若是,则根据第一评分规则计算用户的第二风险得分值并存储;
若否,则根据第二评分规则计算用户的第二风险得分值并存储。
优选地,所述第一评分规则是在所述第二评分规则的基础上调增风险得分。
优选地,所述调增风险得分是指采用收敛的方式调整风险得分。
本发明还提供一种计算机设备,所述计算机设备包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现所述风险控制方法的步骤。
本发明还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现所述风险控制方法的步骤。
本发明还提供一种风险控制系统,包括:
采集模块,用于采集用户的埋点数据;
第一计算模块,用于根据预设风险计分规则对所述埋点数据计算得到第一风险得分值;
判断模块,用于对所述埋点数据进行分析,判断所述埋点数据中是否存在待调整数据;
第二计算模块,用于在所述判断模块的判断结果为是时,对所述待调整数据计算得到权重值;根据所述第一风险得分值与所述权重值计算得到第二风险得分值;
存储模块,用于存储所述第二风险得分值;以及,在所述判断模块的判断结果为否时,存储所述第一风险得分值。
上述技术方案的有益效果:
本发明中的待调整数据可有效识别用户行为还是机器行为,将待调整数据经计算折算成权重值,在第一风险得分值的基础上通过权重值加以调整后取得第二风险得分值,第二风险得分值更符合用户行为还是机器行为的得分,从而减少误判概率。且不再局限于应用分类-聚类规则下的风险评分规则计算得到第一风险得分值,通过对与用户行为关联的埋点数据的逻辑关系判断,更加准确识别用户行为还是机器行为,减少误判概率。
附图说明
图1为本发明风险控制方法所对应的系统框架图;
图2为本发明风险控制方法的主要流程图;
图3为本发明风险控制方法的另一实施例的流程图;
图4为本发明风险控制方法基于追踪与用户行为关联的埋点数据以计算得到第一风险得分值的流程图;
图5为图4中S220的具体流程;
图6为本发明风险控制方法基于分类-聚类报表数据规律以计算得到第一风险得分值的流程图;
图7为图2中S50的后续流程图;
图8为图2中S60的后续流程图;
图9为图5的典型的场景流程图;
图10为本发明风险控制系统的模块图;
图11为本发明风险控制方法的计算机设备的硬件结构示意图。
具体实施方式
以下结合附图与具体实施例进一步阐述本发明的优点。
在本公开使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
在本发明的描述中,需要理解的是,步骤前的数字标号并不标识执行步骤的前后顺序,仅用于方便描述本发明及区别每一步骤,因此不能理解为对本发明的限制。
请参阅图1所示,本申请实施例中,直播过程中,用户借助终端设备A、B、C、D、E参与直播及抽奖活动,终端设备A、B、C、D、E将用户行为的埋点数据传送至服务器W,由服务器W接收与处理用户行为的埋点数据并计算用户的风险得分,并由服务器W将用户的风险得分结合待调整数据加以调整,有效识别用户行为还是机器行为,再执行相应的风险控制策略。对此处只给出一个服务器W,此处的应用场景还可以包括多台相互通讯的服务器。服务器W可以是云端服务器,还可以是本地服务器。
请参阅图2所示,本发明提供一种风险控制方法,其包括以下步骤:
S10:采集用户的埋点数据;
于本实施例中,所述S10的埋点数据可包括弹幕连接行为数据、弹幕发送行为数据、访问房间页行为数据、关注行为数据、扭蛋活动行为数据、领取宝箱行为数据、购买特权行为数据、金银瓜子兑换行为数据、抽奖行为数据、签到行为数据、送礼行为数据或充值行为数据的至少一种。采集埋点数据时可通过公司级的实时数据传输中间件,实现了数据的大规模收集。
其中,金银瓜子兑换行为是指金瓜子或银瓜子的兑换行为,银瓜子是免费的虚拟货币,金瓜子是付费购买的虚拟货币。银瓜子可以用硬币兑换,或者用B币购买,也可以在播放器上的宝箱上免费领取。
扭蛋活动包括梦幻扭蛋机仅在活动期间会出现,使用价值累计达到预设值(数值视活动规则而定)的金瓜子礼物,就可以获得1枚梦幻扭蛋币。使用梦幻扭蛋币,就可以参与梦幻扭蛋机的抽奖。关于梦幻扭蛋币:通过赠送庆典烟火、金鱼胖次、小电视,每产生10点信仰值,可以获得一枚梦幻扭蛋币。活动结束后,未使用的梦幻扭蛋币将以10比1的比例兑换为普通扭蛋币,当梦幻扭蛋币不足10个的情况下,不会兑换。
S20:根据预设风险计分规则对所述埋点数据计算得到第一风险得分值;
于本实施例中,所述S20的计算可在Hive计算工具或MapReduce计算框架进行计算,例如,当行为数据具有规律且可量化时,通过分类-聚类分析框架(如Hive计算工具)进行计算,而当行为数据通过自定义规则识别且不可量化时,通过分布式计算框架(如MapReduce计算框架)进行计算。
S30:对所述埋点数据进行分析,判断所述埋点数据中是否存在待调整数据,若是,则执行S40;若否,则执行S60;
于本实施例中,所述待调整数据不局限于只有一项,所述待调整数据包括第一待调整数据和第二待调整数据,则分别对所述第一待调整数据和所述第二待调整数据进行计算,得到与所述第一待调整数据对应的第一权重值和与所述第二待调整数据对应的第二权重值,并取第一权重值和第二权重值中较低的权重值进行计算得到第二风险得分值。
S40:对所述待调整数据计算得到权重值;
S50:根据所述第一风险得分值与所述权重值计算得到第二风险得分值,并存储所述第二风险得分值;
S60:存储所述第一风险得分值,以供风险评估过程读取使用。
于本实施例中,所述待调整数据与权重值成反比关系。所述待调整数据可为单一项或多项不同的组合,下面通过所述待调整数据实施例一和所述待调整数据实施例二与所述待调整数据实施例三分别举例说明。
于本实施例中,第二风险得分值=第一风险得分值×权重值。
所述待调整数据实施例一:
假设服务器W根据预设风险计分规则对用户的埋点数据计算得到第一风险得分值,得到第一风险得分值为100分,预设阈值为80,第一风险得分值>预设阈值,根据第一风险得分进行风险控制,会对其封禁控制,由于埋点数据中存在所述待调整数据:服务器W采集用户的埋点数据中包括用户在终端设备A上的观看时长,假设观看时长2小时,服务器W根据观看时长设置第一权重值,可将第一权重值设置成观看时长为变量的函数,权重值与观看时长反向调整,例如,第一权重值=1/观看时长=0.5,则第二风险得分值=100×0.5=50<预设阈值,根据第二风险得分值,服务器W可以识别为用户行为,而非机器脚本行为,不会对其进行封禁控制。
所述待调整数据实施例二:
假设服务器W根据预设风险计分规则对用户的埋点数据计算得到第一风险得分值,得到第一风险得分值为100分,预设阈值为80,第一风险得分值>预设阈值,根据第一风险得分进行风险控制,会对其封禁控制,由于埋点数据中存在所述待调整数据:服务器W采集用户的埋点数据中包括用户在终端设备A上的发送弹幕数量,假设发送弹幕数量50个,服务器W根据发送弹幕数量设置第一权重值,可将第一权重值设置成发送弹幕数量为变量的函数,权重值与发送弹幕数量反向调整,例如,第一权重值=1/发送弹幕数量=0.02,则第二风险得分值=100×0.02=2<预设阈值,根据第二风险得分值,服务器W可以识别为用户行为,而非机器脚本行为,不会对其进行封禁控制。
所述待调整数据实施例三:
若同时存在所述待调整数据:服务器W采集用户的埋点数据中包括用户在终端设备A上的观看时长与发送弹幕数量,则分别以观看时长与发送弹幕数量计算得到第一权重值与第二权重值,并取较低的权重值计算得到第二风险得分值。例如,第一权重值=1/观看时长=0.5,第二权重值=1/发送弹幕数量=0.02,第二权重值<第一权重值,取第二权重值计算得到第二风险得分值,则第二风险得分值=100×0.02=2<预设阈值,根据第二风险得分值,服务器W可以识别为用户行为,而非机器脚本行为,不会对其进行封禁控制。
请参阅图3所示,本发明提供一种风险控制方法,其包括以下步骤:
S10:采集用户的埋点数据;
S20:根据预设风险计分规则对所述埋点数据计算得到第一风险得分值;
S30A:判断所述第一风险得分值是否超出预设阈值;若是,则执行S30,若否,则执行S60;
S30:对所述埋点数据进行分析,判断所述埋点数据中是否存在待调整数据,若是,则执行S40;若否,则执行S60;
S40:对所述待调整数据计算得到权重值;
S50:根据所述第一风险得分值与所述权重值计算得到第二风险得分值,并存储所述第二风险得分值;
S60:存储所述第一风险得分值。
图2的风险控制方法与图1的风险控制方法之主要区别在于,增加了S30A,通过S30A能实现在超出预设阈值时再将第一风险得分值进行调整,在不超出预设阈值时,不需对第一风险得分值进行调整,从而简化计算程序。
请参阅图4所示,图4为图2中S20基于追踪与用户行为关联的埋点数据以计算得到第一风险得分值,本发明提供一种风险控制方法,其包括以下步骤:
S10:采集用户的埋点数据;
S210:提取所述埋点数据中与用户行为关联的埋点数据;
S220:将所述与用户行为关联的埋点数据根据预设风险计分规则计算得到第一风险得分值;
S30:对所述埋点数据进行分析,判断所述埋点数据中是否存在待调整数据,若是,则执行S40;若否,则执行S60;
S40:对所述待调整数据计算得到权重值;
S50:根据所述第一风险得分值与所述权重值计算得到第二风险得分值,并存储所述第二风险得分值;
S60:存储所述第一风险得分值。
于本实施例中,S210中与用户行为关联的埋点数据通过自定义规则识别且不可量化,S210中与用户行为关联的埋点数据包括主要行为的埋点数据和/或辅助行为的埋点数据,且主要行为的埋点数据和/或辅助行为的埋点数据之间存在逻辑关系。
于本实施例中,S220通过分布式计算框架(如MapReduce计算框架)进行计算。
进一步地,也可在S220与S40之间增加S30A,通过S30A能实现在超出预设阈值时再将第一风险得分值进行调整,在不超出预设阈值时,不需对第一风险得分值进行调整,从而简化计算程序。
请参阅图5所示,图4中S220的步骤包括:
S2210:判断所述与用户行为关联的埋点数据是否存在主要行为的埋点数据,若是,则执行S2220;若否,则执行S2240;
S2220:判断所述主要行为的埋点数据的起始时间T2是否早于用户行为的起始时间T1,即T2<T1;若是,则执行S2225;若否,则执行S2230;
S2225:将第一风险得分值记为0;
S2230:根据预设风险计分规则对所述埋点数据计算得到第一风险得分值;
S2240:判断所述与用户行为关联的埋点数据是否存在辅助行为的埋点数据,若是,则执行S2250;若否,则执行S2230;
S2250:判断所述辅助行为的埋点数据的起始时间T3是否早于用户行为的起始时间T1,即T3<T1;若是,则执行S2225;若否,则执行S2230。
以直播间抽奖活动的应用场景举例,对于抽奖的业务请求关联的行为有访问房间页的行为与观看直播的行为,其中访问房间页为主要行为,观看直播为辅助行为,正常用户的行为轨迹通常为,先访问房间页,再观看直播,然后进入抽奖。
假设情形一:通过S2210判断抽奖与用户行为关联的埋点数据是否存在访问房间页的埋点数据,若是,则表明用户已经有访问房间页的主要行为,则通过S2220进一步判断访问房间页的埋点数据是否开始于抽奖行为之前,若是,则符合正常用户行为轨迹,将第一风险得分值记为0,若否,则可能是机器脚本所为,根据预设风险计分规则对所述埋点数据计算得到第一风险得分值。
假设情形二:通过S2210判断抽奖与用户行为关联的埋点数据是否存在访问房间页的埋点数据,若是,则表明用户已经有访问房间页的主要行为,则通过S2220进一步判断访问房间页的埋点数据是否开始于抽奖行为之前,若否,则表明用户先抽奖再访问房间页,则不符合正常用户行为轨迹,可能是机器脚本所为,根据预设风险计分规则对所述埋点数据计算得到第一风险得分值。
假设情形三:通过S2210判断抽奖与用户行为关联的埋点数据是否存在访问房间页的埋点数据,若否,可能是机器脚本产生的行为,也可能是用户正常行为后因网络环境不好而引起的数据丢失,则需要通过S2240判断抽奖与用户行为关联的埋点数据是否存在辅助行为的埋点数据,若否,则表明用户忽略访问房间页及观看直播而直接进行抽奖,则不符合正常用户行为轨迹,根据预设风险计分规则对所述埋点数据计算得到第一风险得分值。
假设情形四:通过S2210判断抽奖与用户行为关联的埋点数据是否存在访问房间页的埋点数据,若否,可能是机器脚本产生的行为,也可能是用户正常行为后因网络环境不好而引起的数据丢失,则需要通过S2240判断抽奖与用户行为关联的埋点数据是否存在辅助行为的埋点数据,若是,则表明用户在观看直播后进行抽奖,则符合正常用户行为轨迹,将第一风险得分值记为0。
以直播间抽奖活动的另一应用场景举例,对于抽奖的业务请求关联的行为有访问房间页的行为、连接弹幕服务器的行为与发送弹幕的行为,其中访问房间页为主要行为,连接弹幕服务器与发送弹幕为辅助行为,正常用户的行为轨迹通常为,先访问房间页,再连接弹幕服务器,然后发送弹幕,再进入抽奖。
请参阅图6所示,图6为本发明风险控制方法基于分类-聚类报表数据规律以计算得到第一风险得分值的流程图。本发明提供一种风险控制方法,其包括以下步骤:
S10:采集用户的埋点数据;
S230:根据预设风险计分规则对所述埋点数据计算得到第一风险得分值;
S30:对所述埋点数据进行分析,判断所述埋点数据中是否存在待调整数据,若是,则执行S40;若否,则执行S60;
S40:对所述待调整数据计算得到权重值;
S50:根据所述第一风险得分值与所述权重值计算得到第二风险得分值,并存储所述第二风险得分值;
S60:存储所述第一风险得分值。
进一步地,也可在S230与S40之间增加S30A,通过S30A能实现在超出预设阈值时再将所述第一风险得分值进行调整,在不超出预设阈值时,不需对第一风险得分值进行调整,从而简化计算程序。
于本实施例中,所述分类-聚类报表数据规律包括请求时间戳与活动时间之间的关系、客户端的IP地址、动作时间间隔大小、请求频率、地理位置信息、同一IP地址在不同活动中同时出现的请求次数、由已知脚本的行为数据经关联查询后得到的行为数据。
分类-聚类报表数据规律中请求时间戳与活动时间之间的关系的具体实施例如下:
对于直播间某一种活动,每次活动都对应了一个唯一的活动ID,并且该ID每次加一递增,行为异常的用户发现该规律后,就会预估后面尚未出现的活动ID,提前请求接口,这种行为被记录下来后,只需要对比真正的活动ID产生时刻的时间戳,但反是发生在这个时刻(精确到秒级)之前的,都将会判断为可疑用户,并根据时间大小和频次计算得到第一风险得分值。
分类-聚类报表数据规律中客户端的IP地址的具体实施例如下:
每次用户行为的记录,都必含有客户端的IP地址,通过请求IP库的记录,可以得知该IP地址的云主机来源标签;一方面对于一些常见云主机进行统计计数,分析打分;另一方面对于一些不太常见云主机域名,通过每周自动汇总加人工审核的方式,逐步加入可疑云主机列表;关于人工审核,则是过滤出一些例如来源于港澳台地区的云主机,他们会大量出现,但是都是正常的用户。若客户端的IP地址无法从分类-聚类报表数据中找到,则计算得到第一风险得分值。
分类-聚类报表数据规律中动作时间间隔大小与请求频率的具体实施例如下:
对于直播间某一种活动,正常用户依靠手动点击参与时会受到活动规则限制,必然会有一定的间隔的,以及频次限制,这种时间间隔通过用户调用参与活动的接口后上报数据的时间戳体现出来,对于那种连续请求且间隔明显异常或者大量请求的用户,根据其间隔大小和频率计算得到第一风险得分值。
分类-聚类报表数据规律中地理位置信息的具体实施例如下:
对于用户的地理位置信息,可以对异常登陆行为作出判断。关于用户的登录地点,来源于每一次请求中上报的IP参数,通过IP库将之转化为地理位置信息,位置的颗粒度在国内则细化到省份,在海外则细化到国家。对于在国内的行为,主要考虑该地理位置是否为用户常用的地理位置,用户一段时间内变化的地理位置是否过多,以及考虑到极端情况下,用户乘坐高速交通工具,刚好经历多个省份,对于国内跨多省的行为,还要结合相邻时刻不同地点的时间戳计数是否呈现出了合理的速率,不同地点之间的往复是否合理作出过滤;对于海外地理,则针对一定时间周期内,反常的出现了距离过远的多个国家的登录记录,以及维护一份列表,记录一些高可疑国家,例如既非旅游国家也非移民国家的小国家。按照以上做法对每个用户的地位位置计算得到第一风险得分值。
分类-聚类报表数据规律中同一IP地址在不同活动中同时出现的请求次数的具体实施例如下:
对于高危用户群体使用自建机器进行接口请求,故意绕开云主机的行为,为了解决这样情况,分析出其行为特征,使用两次查询的策略应对先查看直播间内某一活动的大量请求记录中,较为集中出现的次数排在前N名的IP,再对直播间内另一活动查询,根据某一用户在活动中大量使用了出现在活动的可疑IP计算得到第一风险得分值。
分类-聚类报表数据规律中由已知脚本的行为数据经关联查询后得到的行为数据的具体实施例如下:
对于一些已知的、被举报的外挂和脚本,通过审阅源代码或者统计请求字段中暴露出来的特征字段的方式得到已知脚本的行为数据,再根据已知脚本的行为数据精准查询脚本相关的行为数据,对相关的行为数据计算得到第一风险得分值,这种方式好处在于效果显著,精确率较高。
请参阅图7所示,为了解决历史数据的滞后性问题,对第二风险得分值进行“钳位”限制,避免被迅速解封。本发明风险控制方法在S50之后还包括:
S510:获取监控周期内达到预设封禁条件的用户及其对应的封禁周期;
S520:监控所述达到预设封禁条件的用户在封禁周期内是否再次产生封禁业务请求;若是,则执行步骤S530;若否,则执行步骤S540;
S530:根据第一评分规则计算用户的第二风险得分值并存储;
S540:根据第二评分规则计算用户的第二风险得分值并存储。
请参阅图8所示,为了解决历史数据的滞后性问题,对第一风险得分值进行“钳位”限制,避免被迅速解封。在S60之后还包括:
S610:获取监控周期内达到预设封禁条件的用户及其对应的封禁周期;
S620:监控所述达到预设封禁条件的用户在封禁周期内是否再次产生封禁业务请求;若是,则执行步骤S630;若否,则执行步骤S640;
S630:根据第一评分规则计算用户的第一风险得分值并存储;
S640:根据第二评分规则计算用户的第一风险得分值并存储。
于本实施例中,所述第一评分规则是在所述第二评分规则的基础上调增风险得分。
于本实施例中,所述调增风险得分是指采用收敛的方式调整风险得分。
监控周期是计算历史行为进而对用户计算风险得分值,监控周期记为T1;封禁周期是用户的风险评估规则得分,记为T2;T1的存在是必须的,而T2的存在是考虑到被风险控制系统封禁的对象中,也存在大量使用外挂的真实用户,将这类用户封禁的目的是警告和惩罚,最终达到杜绝真实用户使用外挂,所以设置了封禁时长,这个时长就是T2。一种特殊情况是,当某用户因为行为数据异常,被判断进入了T2周期的封禁期内,被封禁之后,用户不会再有正常行为,同时也不会再有异常行为。但是对于其命中的规则,计算规则的周期T1而言,当T1<T2的时候,新一轮计算得分,将是分析出一个“毫无异常行为”的正常用户得分,从而快速刷新了封禁状态,使之解封。这种情况下,将用户被封禁后的恶意请求数据上报落盘,在每次刷新数据的时候,与之对比,如果发现用户在封禁状态中,则对历史得分进行“钳位”限制,避免被迅速解封。
计算风险得分值并钳位限制的实施例:
假设达到封禁条件的风险得分阈值为50分,在0~t1区间为第一监控周期,t1~t2为第二监控周期,t2~t3为第三监控周期,且于第一监控周期内用户的风险得分值为100分,100分>50分,达到封禁条件并开始封禁周期的计时,在封禁周期内,例如在第二监控周期再次产生封禁业务请求,则表明是该用户为行为异常的用户,如果按第二监控周期计算风险得分值可能未达到封禁标准,而按更高的标准第一评分规则给该异常的用户计算风险得分值,则可以让该用户在第二监控周期内也达到封禁条件,从而可以让异常用户一直保持封禁的状态,避免提前解禁。
请参阅图9所示,从逻辑实现角度考虑,使用MapReduce计算框架不是必要的,但是有一些行为细节的计算,需要用到其他来源的数据,或者存在请求接口,放入缓存等逻辑,单纯的SQL语句不方便实现,利用MapReduce计算框架本身就是一段高级语言代码的特点,实现了上述逻辑,从而完成了数据的分析处理。
打点产生服务器端的埋点数据:在用户产生请求行为时,服务器端一方面处理其业务,一方面向大数据文件系统上报结构化的用户基础信息及其行为打点数据,为了做到上报数据不影响正常业务,数据上报是并发的并且是无序的,后续处理需要根据当时的时间戳分析需要的结论,或者是避免依赖于数据顺序的分析方式。
离线收集埋点数据:大数据平台文件系统接收用户行为数据,并且将之落盘。这样做可以避免数据大量并发上报的情况下,处理压力过大,丢失数据导致判断结果严重失误的情况。
埋点数据的分类及关系:在计算某个行为规则时,在利用MapReduce计算框架时,输入的数据源,根据逻辑分为三大类,第一类是主要行为的埋点数据,这类数据代表用户在访问页面观看直播过程中,正常用户主动发生的行为记录;第二类是相悖行为的埋点数据,这类数据会在第一类行为发生后一同产生,但是其中数值的有无,大小,先后顺序等异常逻辑,是真实用户和机器脚本之间的最大的差异;通过第三类辅助行为的埋点数据作为第一类和第二类埋点数据的补充数据,在行为的产生上属于平行行为,弥补在埋点数据丢失,解决在埋点数据丢失情况下造成的异常分析进而导致的误判。
通过MapReduce计算框架定时计算用户行为集中发送相悖行为的埋点数据的次数:考虑到风控的目标是用户纬度的,再遵循MapReduce计算框架设计,故以用户ID作为键值对的键,以不同的行为数值为键值对的值,分而治之的处理每个用户逻辑异常的次数,并且结合权重系数得到相应的风险得分值。
对用户计算风险得分值,并根据历史封禁记录进行阈值钳位”限制。
将风险得分值输出到消息队列处理工具,例如kafka工具。
请参阅图10所示,本发明提供一种与上述各方法实施例中风险控制方法相对应的风险控制系统1,其包括:
采集模块101,用于采集用户的埋点数据;
第一计算模块102,用于根据预设风险计分规则对所述埋点数据计算得到第一风险得分值;
判断模块103,用于对所述埋点数据进行分析,判断所述埋点数据中是否存在待调整数据;
第二计算模块104,用于在所述判断模块103的判断结果为是时,对所述待调整数据计算得到权重值;根据所述第一风险得分值与所述权重值计算得到第二风险得分值;
存储模块105,用于存储所述第二风险得分值;以及,在所述判断模块103的判断结果为否时,存储所述第一风险得分值。
请参阅图11所示,本申请还提供一种计算机设备2,所述计算机设备2包括:
存储器21,用于存储可执行程序代码;以及
处理器22,用于调用所述存储器21中的所述可执行程序代码,执行步骤包括上述的风险控制方法。
图11中以一个处理器22为例。
存储器21作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本申请实施例中的风险控制方法对应的程序指令/模块。处理器22通过运行存储在存储器21中的非易失性软件程序、指令以及模块,从而执行计算机设备2的各种功能应用以及数据处理,即实现上述方法实施例风险控制方法。
存储器21可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储用户在计算机设备2的埋点数据。此外,存储器21可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器21可选包括相对于处理器22远程设置的存储器21,这些远程存储器21可以通过网络连接至风险控制系统1。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个模块存储在所述存储器21中,当被所述一个或者多个处理器22执行时,执行上述任意方法实施例中的风险控制方法,例如,执行以上描述的图2-图8的程序。
上述产品可执行本申请实施例所提供的方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本申请实施例所提供的方法。
本申请又一实施例还提供了一种非易失性计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令被一个或多个处理器执行,例如图10中的一个处理器22,可使得上述一个或多个处理器22可执行上述任意方法实施例中风险控制方法,例如,执行以上描述的图2-图8的程序。
上述技术方案的有益效果:
1、不再局限于应用分类-聚类规则下的风险评分规则计算得到第一风险得分值,在风险得分的基础上通过所述待调整数据加以调整,更加准确识别用户行为还是机器行为,减少误判概率。
2、通过自定义的主要行为的埋点数据和辅助行为的埋点数据进一步识别用户行为的逻辑,进一步减少误判概率。
3、将计算用户得分和使用用户得分的过程隔离开,保证了风控服务响应的高速。
4、数据量充分,可以跨越任意时间范围分析用户行为,可以针对不同业务相同维度,或者相同业务的不同维度进行必要分析。
5、容错率高,分析和修正灵活。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (7)
1.一种风险控制方法,其特征在于,包括以下步骤:
采集用户的埋点数据;
根据预设风险计分规则对所述埋点数据计算得到第一风险得分值;
对所述埋点数据进行分析,判断所述埋点数据中是否存在待调整数据;其中,所述待调整数据用于识别是用户行为还是机器行为;
若是,则对所述待调整数据计算得到权重值;
根据所述第一风险得分值与所述权重值计算得到第二风险得分值,并存储所述第二风险得分值;其中,所述待调整数据与所述权重值成反比关系;所述第二风险得分值=第一风险得分值×权重值;
若否,则存储所述第一风险得分值。
2.根据权利要求1所述的方法,其特征在于,根据风险计分规则对所述埋点数据计算得到第一风险得分值的步骤,包括:
提取所述埋点数据中与用户行为关联的埋点数据;
将所述与用户行为关联的埋点数据根据预设风险计分规则计算得到第一风险得分值。
3.根据权利要求2所述的方法,其特征在于:所述与用户行为关联的埋点数据包括主要行为的埋点数据和/或辅助行为的埋点数据。
4.根据权利要求3所述的方法,其特征在于,将所述与用户行为关联的埋点数据根据预设风险计分规则计算得到第一风险得分值的步骤,包括:
判断所述与用户行为关联的埋点数据是否存在主要行为的埋点数据;
若存在主要行为的埋点数据,则判断所述主要行为的埋点数据的起始时间T2是否早于用户行为的起始时间T1,即T2<T1;
若T2<T1,则将第一风险得分值记为0;
若T2≥T1,则将所述埋点数据根据预设风险计分规则计算得到第一风险得分值;
若不存在主要行为的埋点数据,则判断所述与用户行为关联的埋点数据是否存在辅助行为的埋点数据;
若存在辅助行为的埋点数据,则判断辅助行为的埋点数据的起始时间T3是否早于用户行为的起始时间T1,即T3<T1;
若T3<T1,则将第一风险得分值记为0;
若T3≥T1,则将所述埋点数据根据预设风险计分规则计算得到第一风险得分值;
若不存在辅助行为的埋点数据,则将所述埋点数据根据预设风险计分规则计算得到第一风险得分值。
5.根据权利要求1所述的方法,其特征在于,对所述埋点数据进行分析,判断所述埋点数据中是否存在待调整数据的步骤之前,还包括:
判断所述第一风险得分值是否超出预设阈值;
若是,则对所述埋点数据进行分析,判断所述埋点数据中是否存在待调整数据;
若否,则存储所述第一风险得分值。
6.根据权利要求1所述的方法,其特征在于:所述待调整数据包括第一待调整数据和第二待调整数据,则分别对所述第一待调整数据和所述第二待调整数据进行计算,得到与所述第一待调整数据对应的第一权重值和与所述第二待调整数据对应的第二权重值,并取第一权重值和第二权重值中较低的权重值进行计算得到第二风险得分值。
7.一种风险控制系统,其特征在于,包括:
采集模块,用于采集用户的埋点数据;
第一计算模块,用于根据预设风险计分规则对所述埋点数据计算得到第一风险得分值;
判断模块,用于对所述埋点数据进行分析,判断所述埋点数据中是否存在待调整数据;其中,所述待调整数据用于识别是用户行为还是机器行为;
第二计算模块,用于在所述判断模块的判断结果为是时,对所述待调整数据计算得到权重值;根据所述第一风险得分值与所述权重值计算得到第二风险得分值;其中,所述待调整数据与所述权重值成反比关系;所述第二风险得分值=第一风险得分值×权重值;
存储模块,用于存储所述第二风险得分值;以及,在所述判断模块的判断结果为否时,存储所述第一风险得分值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910783935.4A CN112417452B (zh) | 2019-08-23 | 2019-08-23 | 一种风险控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910783935.4A CN112417452B (zh) | 2019-08-23 | 2019-08-23 | 一种风险控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112417452A CN112417452A (zh) | 2021-02-26 |
| CN112417452B true CN112417452B (zh) | 2022-11-25 |
Family
ID=74780348
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910783935.4A Active CN112417452B (zh) | 2019-08-23 | 2019-08-23 | 一种风险控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112417452B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8584219B1 (en) * | 2012-11-07 | 2013-11-12 | Fmr Llc | Risk adjusted, multifactor authentication |
| CN104660694A (zh) * | 2015-02-09 | 2015-05-27 | 北京博雅立方科技有限公司 | 服务调用方法及装置 |
| CN107679897A (zh) * | 2017-09-25 | 2018-02-09 | 北京京东尚科信息技术有限公司 | 一种安全风险控制方法和装置 |
| CN107767021A (zh) * | 2017-09-12 | 2018-03-06 | 阿里巴巴集团控股有限公司 | 一种风险控制方法及设备 |
| CN107911334A (zh) * | 2017-08-31 | 2018-04-13 | 上海壹账通金融科技有限公司 | Ip地址风险监测方法及应用服务器 |
| CN109409896A (zh) * | 2018-10-17 | 2019-03-01 | 北京芯盾时代科技有限公司 | 银行欺诈识别模型训练方法、银行欺诈识别方法和装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140359777A1 (en) * | 2013-05-31 | 2014-12-04 | Fixmo, Inc. | Context-aware risk measurement mobile device management system |
| US10250605B2 (en) * | 2015-09-30 | 2019-04-02 | Quest Software Inc. | Combining a set of risk factors to produce a total risk score within a risk engine |
| US11210670B2 (en) * | 2017-02-28 | 2021-12-28 | Early Warning Services, Llc | Authentication and security for mobile-device transactions |
| US10657263B2 (en) * | 2017-04-18 | 2020-05-19 | International Business Machines Corporation | Management of alerts using a budget-dependent adjustable working threshold |
-
2019
- 2019-08-23 CN CN201910783935.4A patent/CN112417452B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8584219B1 (en) * | 2012-11-07 | 2013-11-12 | Fmr Llc | Risk adjusted, multifactor authentication |
| CN104660694A (zh) * | 2015-02-09 | 2015-05-27 | 北京博雅立方科技有限公司 | 服务调用方法及装置 |
| CN107911334A (zh) * | 2017-08-31 | 2018-04-13 | 上海壹账通金融科技有限公司 | Ip地址风险监测方法及应用服务器 |
| CN107767021A (zh) * | 2017-09-12 | 2018-03-06 | 阿里巴巴集团控股有限公司 | 一种风险控制方法及设备 |
| CN107679897A (zh) * | 2017-09-25 | 2018-02-09 | 北京京东尚科信息技术有限公司 | 一种安全风险控制方法和装置 |
| CN109409896A (zh) * | 2018-10-17 | 2019-03-01 | 北京芯盾时代科技有限公司 | 银行欺诈识别模型训练方法、银行欺诈识别方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112417452A (zh) | 2021-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107992398B (zh) | 一种业务系统的监控方法和监控系统 | |
| EP4020349A1 (en) | Risk control method, computer device, and readable storage medium | |
| EP3104294B1 (en) | Fast device classification | |
| CN109729376B (zh) | 一种生命周期的处理方法、装置、设备和存储介质 | |
| CN110784355B (zh) | 一种故障识别方法及装置 | |
| CN104765689B (zh) | 一种接口性能数据实时监制方法和装置 | |
| CN108111554B (zh) | 一种访问队列的控制方法及装置 | |
| CN115865518B (zh) | 一种基于大数据的云平台数据处理方法及系统 | |
| WO2019136850A1 (zh) | 风险行为识别方法、存储介质、设备及系统 | |
| CN109428910B (zh) | 一种数据处理方法、装置及系统 | |
| CN109886631B (zh) | 快递员派件行为的监管方法、装置、设备及介质 | |
| CN104252458A (zh) | 数据分析方法和装置 | |
| US10853689B2 (en) | Methods for more effectively moderating one or more images and devices thereof | |
| CN111523920B (zh) | 一种信息推送方法、装置及终端设备 | |
| CN110519266A (zh) | 一种基于统计学方法的cc攻击检测的方法 | |
| US9225608B1 (en) | Evaluating configuration changes based on aggregate activity level | |
| CN112417452B (zh) | 一种风险控制方法及系统 | |
| CN113746790B (zh) | 一种异常流量管理方法、电子设备及存储介质 | |
| CN106482742B (zh) | 计步数据的获取方法及装置 | |
| CN116909862A (zh) | 异常日志的收集方法及装置、电子设备、存储介质 | |
| WO2023179162A1 (zh) | 数据处理方法及装置 | |
| US11632588B2 (en) | Measuring the performance of a peer-managed content distribution network | |
| CN112800089B (zh) | 一种中间数据存储级别调整方法、存储介质及计算机设备 | |
| CN111683102B (zh) | Ftp行为数据处理方法、识别异常ftp行为的方法及装置 | |
| CN112383785B (zh) | 热度值的处理方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |