CN112418259A - 一种基于直播过程中用户行为的实时规则的配置方法、计算机设备及可读存储介质 - Google Patents

Abstract

本发明公开了一种基于直播过程中用户行为的实时规则的配置方法、计算机设备及可读存储介质，该方法包括以下步骤：初始化风控系统的风险评估规则，以取得按照预设的层次结构配置的第一风险评估规则组合；监控是否接收到风险评估规则的变更请求；若是，则获取变更规则文件；按照预设的层次结构解析所述变更规则文件，并将所述第一风险评估规则组合更新为第二风险评估规则组合；存储所述第二风险评估规则组合。本发明通过监控规则的变更请求，解析并完成规则的动态更新，使得实时规则与实时环境相匹配，从而保证风控系统拦截的精确率和封禁率，风险控制效果好。

Description

一种基于直播过程中用户行为的实时规则的配置方法、计算 机设备及可读存储介质

技术领域

本发明涉及计算机技术领域，尤其涉及一种基于直播过程中用户行为的实时规则的配置方法、计算机设备及可读存储介质。

背景技术

随着互联网技术的发展，视频以多样化的方式进行传播，例如，网络直播、短视频等。以网络直播为例，其吸取和延续了互联网的优势，利用视讯方式进行网上现场直播，可以将产品展示、相关会议、在线培训等内容现场发布到互联网上，利用互联网的直观、交互性强、地域不受限制等特点，能够加强活动现场的推广效果。

然而，在这便捷生活的另一面，却暗藏“杀机”。大数据时代的来临，越来越多的信息将实现快速汇集，潜在的风险激增。随着一幕幕触目惊心的案件发生，“网络黑产”渐渐走入人们的视线，互联网的“广”、“大”使得网络黑产找到了滋生的沃土，它就像病毒一般，吞噬着互联网的每一个角落。

“网络黑产”简称黑产，是指通过网络技术形成的分工明确、衔接密切的利益团体，通过入侵计算机信息系统、非法窃取包括个人信息在内的计算机信息系统数据等，谋取非法利益的产业体系。黑产为了扩大获利面，总会尽可能广撒网，因此黑产行为越来越多的向批量化和自动化演进，这就向风控提出了新的挑战。比如，一般业务平台为了营销，经常会开展优惠或者返现等活动，黑产闻风而至，大规模套利，业内称之为“薅羊毛”，最常见的手段就是大量注册新用户领取平台的活动奖励。

风控系统通过风险评估规则的组合搭配和预设阈值对异常用户进行封禁，风险评估规则的组合搭配和预设阈值的高低决定了风控系统拦截的精确率和封禁率，修改这些参数是需要考量多方面因素的，比如上下游系统的变更，黑产行为的进化，运营产品对于策略的放松或收紧，还有升级参数的周期及其方法，都充满了不确定性。但是，现有风险控制系统的规则配置流程是固定不变的，需经历繁杂的开发，测试，发版流程，规则配置不能同步实现动态更新。

发明内容

针对上述问题，现提供一种可同步实现动态更新的基于直播过程中用户行为的实时规则的配置方法、计算机设备及可读存储介质。

本发明提供一种基于直播过程中用户行为的实时规则的配置方法，包括以下步骤：

初始化风控系统的风险评估规则，以取得按照预设的层次结构配置的第一风险评估规则组合；

监控是否接收到风险评估规则的变更请求；

若是，则获取变更规则文件；

按照预设的层次结构解析所述变更规则文件，并将所述第一风险评估规则组合更新为第二风险评估规则组合；

存储所述第二风险评估规则组合。

优选地，所述预设的层次结构包括业务名、桶、规则；所述第一风险评估规则组合与所述第二风险评估规则组合分别具有多个业务名分支，每个业务名分支下具有多个桶分支，每个桶分支下具有多个规则，且每个桶具有相应的权重值，桶的权重值与风险评估效果正相关。

优选地，所述风险评估规则采用风险评估模型。

优选地，所述风险评估模型为决策树模型。

优选地，初始化风控系统的风险评估规则时还包括初始化第一风险评估规则组合对应的第一预设阈值，所述第一预设阈值为所述第一风险评估规则组合的置信度的预设阈值。

优选地，解析所述变更规则文件时，还包括解析所述第二风险评估规则组合对应的第二预设阈值，所述第二预设阈值为第二风险评估规则组合的置信度的预设阈值。

优选地，按照预设的层次结构解析所述变更规则文件，并将所述第一风险评估规则组合更新为第二风险评估规则组合的步骤，之前包括：

将行为日志在第一风险评估规则组合中验证以取得验证结果，根据验证结果迭代降低第一预设阈值以取得第二预设阈值，所述第二预设阈值低于第一预设阈值。

优选地，所述第一预设阈值为一维预设阈值矩阵，所述第二预设阈值为多维预设阈值矩阵，所述第二预设阈值是通过对所述第一预设阈值、行为日志中正向样本和负向样本分析获取的阈值。

本发明还提供一种计算机设备，所述计算机设备包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现所述基于直播过程中用户行为的实时规则的配置方法的步骤。

本发明还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现所述基于直播过程中用户行为的实时规则的配置方法的步骤。

上述技术方案的有益效果：

本发明通过监控规则的变更请求，解析并完成规则的动态更新，使得实时规则与实时环境相匹配，从而保证风控系统拦截的精确率和封禁率，风险控制效果好。另，通过上线测试实时规则，迭代降低预设阈值，使得在封禁的同时，提高封禁的准确率。

附图说明

图1为本发明基于直播过程中用户行为的实时规则的配置方法所对应的系统框架图；

图2为本发明基于直播过程中用户行为的实时规则的配置方法的流程图；

图3为本发明风险评估规则组合的层次结构；

图4为本发明基于直播过程中用户行为的实时规则的配置系统的模块图；

图5为本发明基于直播过程中用户行为的实时规则的配置方法的计算机设备的硬件结构示意图。

具体实施方式

以下结合附图与具体实施例进一步阐述本发明的优点。

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

在本公开使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

在本发明的描述中，需要理解的是，步骤前的数字标号并不标识执行步骤的前后顺序，仅用于方便描述本发明及区别每一步骤，因此不能理解为对本发明的限制。

请参考图1所示，本申请实施例中，直播过程中，用户帐号借助终端设备 A、B、C、D、E参与直播及抽奖活动，终端设备A、B、C、D、E将用户帐号的行为数据传送至服务器W，由服务器W接收与处理用户帐号的埋点数据并计算风险得分。服务器W在启动时初始化风险评估规则，结合实时计算风险得分的风险效果更新风险评估规则组合，使得动态更新后的实时规则与实时环境相匹配，保证风控系统拦截的精确率和封禁率。对此处只给出一个服务器W，此处的应用场景还可以包括多台相互通讯的服务器。服务器W可以是云端服务器，还可以是本地服务器。在本申请实施例中，服务器W放置在云端。

请参阅图2所示，一种基于直播过程中用户行为的实时规则的配置方法，其包括以下步骤：

S10：初始化风控系统的风险评估规则，以取得按照预设的层次结构配置的第一风险评估规则组合；

其中，预设的层次结构包括业务名、桶、规则，第一风险评估规则组合与第二风险评估规则组合分别具有多个业务名分支，每个业务名分支下具有多个桶分支，每个桶分支下具有多个规则，且每个桶具有相应的权重值，桶的权重值与风险评估效果正相关。

S20：监控是否接收到风险评估规则的变更请求；若是，则执行S30，若否，则继续执行S20；

其中，变更请求可以通过网络或客户端或服务器端提交到线上配置系统。

S30：获取变更规则文件；

于本实施例中，变更规则文件中的内容，以JSON(全称：JavaScript ObjectNotation，是一种轻量级的数据交换格式)的形式存储。

S40：按照预设的层次结构解析所述变更规则文件，并将所述第一风险评估规则组合更新为第二风险评估规则组合；

每当服务器W读取变更规则文件，首先对JSON格式下的变更规则文件进行解析，然后按照预设的层次结构更新内存中的内容。例如，把所述第一风险评估规则组合中的对应业务及桶下的规则删除或替换，还可在所述第一风险评估规则组合中的对应业务及桶下新增规则，以形成新的第二风险评估规则组合。

S50：存储所述第二风险评估规则组合。

请参考图3所示，预设的层次结构包括业务名、桶、规则；所述第一风险评估规则组合与所述第二风险评估规则组合分别具有多个业务名分支，每个业务名分支下具有多个桶分支，每个桶分支下具有多个规则，且每个桶具有相应的权重值，桶的权重值与风险评估效果正相关。

在计算风险得分时，服务器W根据接收到用户在终端设备的业务请求，映射到风险评估规则组合的业务名，当业务名匹配到第一业务，则根据第一业务可以匹配到一个数组，该数组包含了多个桶，每个桶包含两个成员，权重值和规则流。例如，第一业务包括第一桶、第二桶与第三桶，且第一桶、第二桶与第三桶分别对应第一权重植、第二权重植与第三权重植，然后对UID(全称： user identification，中文：用户身份证明)进行哈希计算，桶的权重值越高，被分配到这个桶里的概率越高。每个桶对应了一个规则流，从上到下匹配各个规则，包括第一规则、第二规则、……、第N规则，匹配成功则封禁用户。规则流中的每一个规则用形如“‘rule_expr’:’$1>100’，’ttl’:3600”的形式描述规则，rule_expr字段包含一个布尔表达式，$1表示pattern(类)1的置信度，其中pattern是通过离线计算历史数据，实时流计算等方式同步给到风控的风控模式得分，以此类推；ttl表示封禁的时间。匹配时先将对应pattern的置信度代入rule_expr字段中的表达式，如果计算结果为true(真)，则判断当前时间和封禁时间的差有没有超过ttl，未超过则进行封禁。通过上述规则，能够灵活控制封禁的接口，规则可以进行灰度上线和网页优化方法(如：A/B测试)。实际实施过程中，随着上线后的实际效果观察，可以选择效果最好的桶中的规则流，从而逐步取消桶级别的概念，使用效果最优的桶，并且设置其权重值为100。

于本实施例中，所述风险评估规则采用风险评估模型，所述风险评估模型为决策树模型。

于本实施例中，初始化风控系统的风险评估规则时，还包括初始化第一风险评估规则组合对应的第一预设阈值，所述第一预设阈值为第一风险评估规则组合的置信度的预设阈值；解析变更规则文件时，还包括解析第二风险评估规则组合对应的第二预设阈值，所述第二预设阈值为第二风险评估规则组合的置信度的预设阈值。置信度(confidencelevel)：也称为置信水平，描述总体参数值落在通过样本计算得到的某一区间(即上述置信区间)内的概率，可以表示特定个体对待特定命题真实性相信的程度。在实际应用中，置信度通常不会达到100％，统计值与总体参数值之间总会有些误差，可以根据实际需要给定95％ (本申请对该数值不作限定)的置信度，置信度和用户真实度呈负相关的关系，置信度越低，说明该用户约接近良好用户，置信度越高，则表示该用户容易被判定为行为异常用户。

风险评估规则组合的变更举例说明如下：

假设初始化时，服务器W中存储的第一风险评估规则组合中有第N条规则，但在线测试后，将采样样本(包括正向样本和负向样本)在第一风险评估规则组合验证后，所有异常用户通过终端设备A、B、C、D、E根据第N条规则计算风险得分均小于预设阈值，则表明第N条规则不适用于当前环境，训练后将其删除，并生成变更规则文件，经服务器W解析后根据变更规则文件将评估规则组合更新成第二风险评估规则组合，且第二风险评估规则组合中不存在第N条规则及其相应的预设阈值。

于本实施例中，S40之前，包括将行为日志在第一风险评估规则组合中验证以取得验证结果，根据验证结果迭代降低第一预设阈值以取得第二预设阈值，所述第二预设阈值低于第一预设阈值。预设阈值的设定采用宁漏勿错的原则，初始化时，可将预设阈值设置为较高的值，即第一预设阈值，然后根据日志分析，逐步迭代降低预设阈值以取得第二预设阈值，迭代降低预设阈值的次数和程度与实时规则配置后的风险评估效果有关，使得在封禁率最高的同时，达到最高的准确率。

于本实施例中，所述第一预设阈值为一维预设阈值矩阵，所述第二预设阈值为多维预设阈值矩阵，所述第二预设阈值是通过对所述第一预设阈值、行为日志中正向样本和负向样本分析获取的阈值。初始化时，各个规则之间相互对立，可根据第一预设阈值分别设定，可以得到一维的预设阈值矩阵，此时可以简化为预设阈值向量，实时计算风险过程中(上线)，利用更新后的第二风险评估规则实时计算，会采集到一些误封和漏封的负向样本，再由负向样本分析后取得新增的风险评估规则。将不同的风险评估规则进行逻辑组合，提升为两至三个维度的预设阈值矩阵组合，随着正向样本和负向样本的丰富和明确，建立风控模型，通过反向传播梯度下降等算法训练合适的预设阈值矩阵，精准利用特征输入，进行风控封禁结果的输出。

预设阈值迭代更新的实施例：

假设初始化时，设置第一预设阈值60％。在上线测试后，将采样样本(包括正向样本和负向样本)在第一风险评估规则组合验证后，发现正常用户的风险得分均小于60％，而异常用户的风险得分均大于60％。将第一预设阈值进行迭代减小的计算，如，迭代成第二预设阈值50％，此时，发现正常用户的风险得分仍小于50％，而异常用户的风险得分仍大于50％。则进一步迭代，将第二预设阈值迭代成第三预设阈值40％，此时，发现正常用户的风险得分大于40％，则将以第二预设阈值50％配置。

请参阅图4所示，本发明还提供一种基于直播过程中用户行为的实时规则的配置系统1，其包括：

配置模块101，用于初始化风控系统的风险评估规则，以取得按照预设的层次结构配置的第一风险评估规则组合；初始化第一风险评估规则组合对应的第一预设阈值，所述第一预设阈值为第一风险评估规则组合的置信度的预设阈值；

监控模块102，用于监控是否接收到风险评估规则的变更请求；

下载模块103，用于获取变更规则文件；

解析模块104，用于按照预设的层次结构解析变更规则文件，并将第一风险评估规则组合更新为第二风险评估规则组合；同时，解析第二风险评估规则组合对应的第二预设阈值，所述第二预设阈值为第二风险评估规则组合的置信度的预设阈值；

存储模块105，用于存储第二风险评估规则组合。

于本实施例中，预设的层次结构包括业务名、桶、规则，第一风险评估规则组合与第二风险评估规则组合分别具有多个业务名分支，每个业务名分支下具有多个桶分支，每个桶分支下具有多个规则，且每个桶具有相应的权重值，桶的权重值与风险评估效果正相关。

于本实施例中，所述配置模块101还连接训练模块200，所述训练模块200 用于生成风险评估规则对应的风险评估模型，所述风险评估模型为决策树模型。

于本实施例中，在按照预设的层次结构解析所述变更规则文件，并将所述第一风险评估规则组合更新为第二风险评估规则组合前，训练模块200将行为日志在第一风险评估规则组合中验证以取得验证结果，根据验证结果迭代降低第一预设阈值以取得第二预设阈值，所述第二预设阈值低于第一预设阈值。于本实施例中，所述第一预设阈值为一维预设阈值矩阵，所述第二预设阈值为多维预设阈值矩阵，所述第二预设阈值是通过对所述第一预设阈值、行为日志中正向样本和负向样本分析获取的阈值。

请参阅图5所示，一种计算机设备2，所述计算机设备2包括：

存储器21，用于存储可执行程序代码；以及

处理器22，用于调用所述存储器21中的所述可执行程序代码，执行步骤包括上述的基于直播过程中用户行为的实时规则的配置方法。

图5中以一个处理器22为例。

存储器21作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块，如本申请实施例中的基于直播过程中用户行为的实时规则的配置方法对应的程序指令/模块。处理器22通过运行存储在存储器21中的非易失性软件程序、指令以及模块，从而执行计算机设备2的各种功能应用以及数据处理，即实现上述方法实施例基于直播过程中用户行为的实时规则的配置方法。

存储器21可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储用户在计算机设备2的播放信息。此外，存储器21可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中，存储器21可选包括相对于处理器22远程设置的存储器21，这些远程存储器21可以通过网络连接至基于直播过程中用户行为的实时规则的配置系统1。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

所述一个或者多个模块存储在所述存储器21中，当被所述一个或者多个处理器22执行时，执行上述任意方法实施例中的基于直播过程中用户行为的实时规则的配置方法，例如，执行以上描述的图2的程序。

上述产品可执行本申请实施例所提供的方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本申请实施例所提供的方法。

本申请实施例的计算机设备2以多种形式存在，包括但不限于：

(1)移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括：智能手机(例如iPhone)、多媒体手机、功能性手机，以及低端手机等。

(2)超移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：PDA、MID和UMPC设备等，例如iPad。

(3)便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放器(例如iPod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。

(4)服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。

(5)其他具有数据交互功能的电子装置。

本申请实施例提供了一种非易失性计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令被一个或多个处理器执行，例如图5中的一个处理器22，可使得上述一个或多个处理器22可执行上述任意方法实施例中的基于直播过程中用户行为的实时规则的配置方法，例如，执行以上描述的图2的程序。

以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到至少两个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域普通技术人员可以清楚地了解到各实施方式可借助软件加通用硬件平台的方式来实现，当然也可以通过硬件。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory，ROM) 或随机存储记忆体(RandomAccessMemory，RAM)等。

上述技术方案的有益效果：

本发明通过监控规则的变更请求，解析并完成规则的动态更新，使得实时规则与实时环境相匹配，从而保证风控系统拦截用户在终端设备上的业务请求时，提高精确率和封禁率。

本发明通过上线测试实时规则，迭代降低预设阈值，从而保证风控系统拦截用户在终端设备上的业务请求时，提高封禁的准确率。

最后应说明的是：以上各实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述各实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (10)

1.一种基于直播过程中用户行为的实时规则的配置方法，其特征在于，包括以下步骤：

初始化风控系统的风险评估规则，以取得按照预设的层次结构配置的第一风险评估规则组合；

监控是否接收到风险评估规则的变更请求；

若是，则获取变更规则文件；

按照预设的层次结构解析所述变更规则文件，并将所述第一风险评估规则组合更新为第二风险评估规则组合；

存储所述第二风险评估规则组合。

2.根据权利要求1所述的方法，其特征在于：所述预设的层次结构包括业务名、桶、规则；所述第一风险评估规则组合与所述第二风险评估规则组合分别具有多个业务名分支，每个业务名分支下具有多个桶分支，每个桶分支下具有多个规则，且每个桶具有相应的权重值，桶的权重值与风险评估效果正相关。

3.根据权利要求2所述的方法，其特征在于：所述风险评估规则采用风险评估模型。

4.根据权利要求3所述的方法，其特征在于：所述风险评估模型为决策树模型。

5.根据权利要求1所述的方法，其特征在于：初始化风控系统的风险评估规则时还包括初始化第一风险评估规则组合对应的第一预设阈值，所述第一预设阈值为所述第一风险评估规则组合的置信度的预设阈值。

6.根据权利要求5所述的方法，其特征在于：解析所述变更规则文件时，还包括解析所述第二风险评估规则组合对应的第二预设阈值，所述第二预设阈值为第二风险评估规则组合的置信度的预设阈值。

7.根据权利要求6所述的方法，其特征在于：按照预设的层次结构解析所述变更规则文件，并将所述第一风险评估规则组合更新为第二风险评估规则组合的步骤，之前包括：

将行为日志在第一风险评估规则组合中验证以取得验证结果，根据验证结果迭代降低第一预设阈值以取得第二预设阈值，所述第二预设阈值低于第一预设阈值。

8.根据权利要求7所述的方法，其特征在于：所述第一预设阈值为一维预设阈值矩阵，所述第二预设阈值为多维预设阈值矩阵，所述第二预设阈值是通过对所述第一预设阈值、行为日志中正向样本和负向样本分析获取的阈值。

9.一种计算机设备，所述计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，其特征在于：所述处理器执行所述计算机程序时实现权利要求1至8任一项所述方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现权利要求1至8任一项所述方法的步骤。

Images