CN115935323A

CN115935323A - 特征变量获取方法及装置

Info

Publication number: CN115935323A
Application number: CN202211533120.9A
Authority: CN
Inventors: 廖春丽; 李彦良; 孙倩; 李顺锋; 李志钢
Original assignee: Beijing Sunshine Consumer Finance Co ltd
Current assignee: Beijing Sunshine Consumer Finance Co ltd
Priority date: 2022-11-29
Filing date: 2022-11-29
Publication date: 2023-04-07

Abstract

本发明提供了一种特征变量获取方法及装置。该方法包括：采集产生实质操作行为的用户设备的信息数据，并将所述信息数据分别存储到设备信息主题消息队列和用户访问行为消息队列中；按照所述信息数据的属性，将消息队列中的信息数据拆分成不同主题的多个数据表，并将所述多个数据表整合到数据分析引擎中；根据接收到的对目标设备进行风控的请求，从所述数据分析引擎中获取与所述目标设备相对应的信息数据，并基于所述目标设备的信息数据进行特征变量计算，得到所述目标设备的设备行为特征。通过本发明，解决了相关技术中需要一种大规模、高并发的实时数据处理方案来实现更加有效的反欺诈目的问题，达到提高反欺诈的有效性的效果。

Description

特征变量获取方法及装置

技术领域

本发明涉及计算机技术领域，具体而言，涉及一种特征变量获取方法及装置。

背景技术

在数字化转型驱动下，消费金融公司通过线上渠道提供多样化的服务模式和场景，在给客户带来便捷的同时，面临着更加隐蔽、专业的欺诈风险。欺诈风险具备强突发性，对消费金融公司的快速识别与反应能力提出了更加严峻的考验。利用身份一致性校验、用户验证码、动态验证码模式识别存在着以下问题：用户名和动态验证码极易被盗用、对新型变异化欺诈行为的应对能力覆盖度不足，对欺诈的感知不及时，对欺诈信号捕捉的灵敏度不高。

现有的反欺诈技术方案中的数据处理过程存在以下问题：(1)多为基于历史数据批量计算指标，例如：采用黑名单类的简单控制，实时化程度不高；(2)数据来源单一，例如：主要为结构化数据，无法处理半结构化数据，客户行为习惯参与规则运算配置支持不高；(3)并发量低：例如：采用传统集中式架构，并发量低，潮涌场景下时延高。

针对上述问题，需要一种实时快速的数据处理方案，以实现更加有效的反欺诈目的。

发明内容

本发明实施例提供了一种特征变量获取方法及装置，以至少解决相关技术中需要一种实时快速的数据处理方案来实现更加有效的反欺诈目的问题。

根据本发明的一个实施例，提供了一种特征变量获取方法，包括：根据采集产生实质操作行为的用户设备的信息数据，并将所述信息数据分别存储到设备信息主题消息队列和用户访问行为消息队列中；按照所述信息数据的属性，将消息队列中的信息数据拆分成不同主题的多个数据表以整合到数据分析引擎中；根据接收到的对目标设备进行风控的请求，从所述数据分析引擎中获取与所述目标设备相对应的信息数据，并基于所述目标设备的信息数据进行特征变量计算，得到所述目标设备的设备行为特征。

在一个示例性实施例中，所述实质操作行为至少包括：授信申请行为、用信申请行为。

在一个示例性实施例中，所述信息数据的属性包括以下至少之一：登录编号、用户编号、设备标识、设备类型、操作系统、用户行为操作类型、用户操作日期、用户登录手机号、设备风险信息。

在一个示例性实施例中，将消息队列中的信息数据拆分成不同主题的多个数据表，包括：基于flink开源流处理框架对所述信息数据进行分流，以将上述信息数据拆分成不同主题的多个数据表。

在一个示例性实施例中，所述主题至少包括以下之一：设备指纹风险信息、设备指纹用户标识关系、设备指纹身份证关系、设备指纹手机号关系、设备指纹经纬度、设备指纹时间间隔。

在一个示例性实施例中，基于所述目标设备的信息数据进行特征变量计算，包括：确定所述目标设备的设备标识是否存在；在确定所述目标设备的设备标识存在的情况下，查询所述数据分析引擎中的信息数据，以获取目标设备标识相对应的设备行为特征；或，基于所述数据分析引擎中的信息数据进行指标计算，以获取与所述目标设备标识相对应的设备行为特征。

在一个示例性实施例中，基于所述数据分析引擎中的信息数据进行指标计算，包括：基于所述信息数据，并行调用多个维度的指标计算方法，以获取所述目标设备标识相对应的设备行为特征。

在一个示例性实施例中，基于所述数据分析引擎中的信息数据进行指标计算之后，还包括：判断所述指标计算的时间是否超时；判断所述目标设备指标是否满足预设条件；判断所述指标计算的结果是否异常。

在一个示例性实施例中，所述方法还包括：将多个设备行为特征封装到一个应用程序接口API服务中，以通过各设备的设备标识从所述API服务查询所述各设备的设备行为特征。

在一个示例性实施例中，所述设备行为特征至少包括以下之一：目标设备标识关联的手机号数量、注册设备关联的手机号数量、授信申请设备关联手机号的数量、用信申请设备关联的手机号数量、目标设备相邻两次操作行为时间间隔。

在一个示例性实施例中，得到所述目标设备的设备行为特征之后，还包括：将所述设备行为特征与预设标准进行比对，基于比对结果判定所述目标设备是否存在风险行为。

根据本发明的另一个实施例，提供了一种设备行为特征获取装置，包括：存储模块，用于采集产生实质操作行为的用户设备的信息数据，并将所述信息数据分别存储到设备信息主题消息队列和用户访问行为消息队列中；拆分模块，用于按照所述信息数据的属性，将消息队列中的信息数据拆分成不同主题的多个数据表以整合到数据分析引擎中；获取模块，用于根据接收到的对目标设备进行风控的请求，从所述数据分析引擎中获取与所述目标设备相对应的信息数据，并基于所述目标设备的信息数据进行特征变量计算，得到所述目标设备的设备行为特征。

根据本发明的又一个实施例，还提供了一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。

根据本发明的又一个实施例，还提供了一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。

通过本发明，由于在采集数据时仅采集产生实际操作行为的信息数据，可在有效减少数据存储空间的同时，提升数据查询效率，从而可提高数据处理速度。因此，可以解决相关技术中需要一种实时快速的数据处理方案来实现更加有效的反欺诈目的问题，达到提高反欺诈的有效性的效果。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是本发明实施例的运行特征变量获取方法的计算机终端的硬件结构框图；

图2是根据本发明实施例的特征变量获取方法的流程图；

图3是根据本发明实施例的特征变量获取装置的结构框图；

图4是根据本发明实施例的实时数据处理过程的流程图；

图5是根据本发明实施例的数据分流示意图；

图6是根据本发明实施例的获取指标方法的流程图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。

下面是本发明实施例所涉及到的相关术语说明：

Flink：开源流处理框架，以数据并行和流水线方式执行任意流数据程序，flink的流水线运行时系统可以执行批处理和流处理程序。

Flume：是一个分布式、可靠、和高可用的海量日志采集、聚合和传输的系统，具有可靠的可靠性机制以及许多故障转移和恢复机制，具有强大的容错性和容错能力。

Elasticsearch：是一个基于Lucene的搜索服务器，提供一个分布式的实时搜索和分析引擎，基于其提供的RESTful接口可以很好的定制数据检索、分析服务。

SDK：Software Development Kit，软件开发工具包。

本发明实施例所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例，图1是本发明实施例的运行特征变量获取方法的计算机终端的硬件结构框图。如图1所示，计算机终端10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104，可选地，上述计算机终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述计算机终端的结构造成限定。例如，计算机终端10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。

存储器104可用于存储计算机程序，例如，应用软件的软件程序以及模块，如本发明实施例中的特征变量获取方法对应的计算机程序，处理器102通过运行存储在存储器104内的计算机程序，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(Network Interface Controller，简称为NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(Radio Frequency，简称为RF)模块，其用于通过无线方式与互联网进行通讯。

在本实施例中提供了一种运行于上述计算机终端的特征变量获取方法，图2是根据本发明实施例的特征变量获取方法的流程图，如图2所示，该流程包括如下步骤：

步骤S202，采集产生实质操作行为的用户设备的信息数据，并将所述信息数据分别存储到设备信息主题消息队列和用户访问行为消息队列中；

步骤S204，按照所述信息数据的属性，将消息队列中的信息数据拆分成不同主题的多个数据表以整合到数据分析引擎中；

步骤S206，根据接收到的对目标设备进行风控的请求，从所述数据分析引擎中获取与所述目标设备相对应的信息数据，并基于所述目标设备的信息数据进行特征变量计算，得到所述目标设备的设备行为特征。

在本实施例中，所述实质操作行为至少包括：授信申请行为、用信申请行为。

在本实施例中，信息数据的属性包括以下至少之一属性：设备标识、设备类型、操作系统、用户行为操作类型、用户操作时间、登录编号、登录手机号、用户编号、设备风险信息、用户登录手机。

其中，设备风险信息包括：对于使用app访问的设备风险信息包括：是否root/越狱、是否安装改机软件、是否模拟器、是否代理、是否隐身模式；对于使用Web访问的设备风险信息包括：是否风险浏览器、是否欺诈语言、是否欺诈分辨率、是否是欺诈、是否是欺诈浏览器。

在本实施例的步骤S204中，包括：基于flink开源流处理框架对所述信息数据进行分流，以将上述信息数据拆分成不同主题的多个数据表。

在一个示例性实施例中，所述主题至少包括以下之一：设备指纹风险信息索引、设备指纹用户标识关系索引、设备指纹身份证关系索引、设备指纹手机号关系索引、设备指纹经纬度索引、设备指纹时间间隔索引。

其中，设备指纹风险信息包括：是否root/越狱、是否安装改机软件、是否模拟器、是否代理、是否隐身模式、是否风险浏览器、是否欺诈语言、是否欺诈分辨率、是否是欺诈的os、是否是欺诈浏览器；

设备指纹用户标识包括：客户id、指纹码、渠道、事件、状态、时间；

设备指纹身份证包括：指纹码、身份证号、事件、渠道、时间；

在本实施例的步骤S206中，包括：确定所述目标设备的设备标识是否存在；在确定所述目标设备的设备标识存在的情况下，查询所述数据分析引擎中的信息数据，以获取目标设备标识相对应的设备行为特征；或，基于所述数据分析引擎中的信息数据进行指标计算，以获取与所述目标设备标识相对应的设备行为特征。

在本实施例的步骤S206中，还包括：基于所述信息数据，并行调用多个维度的指标计算方法，以获取所述目标设备标识相对应的设备行为特征。

在本实施例的步骤S206之后，还包括：判断所述指标计算的时间是否超时；判断所述目标设备指标是否满足预设条件；判断所述指标计算的结果是否异常。

在本实施例中，还包括：将多个设备行为特征封装到一个应用程序接口API服务中，以通过各设备的设备标识从所述API服务查询所述各设备的设备行为特征。

在本实施例中，所述设备行为特征至少包括以下之一：目标设备标识关联的手机号数量、注册设备关联的手机号数量、授信申请设备关联手机号的数量、用信申请设备关联的手机号数量、目标设备相邻两次操作行为时间间隔。

在本实施例的步骤S206之后，还包括：将所述设备行为特征与预设标准进行比对，基于比对结果判定所述目标设备是否存在风险行为。

通过上述步骤，由于通过对用户信息进行分流能够提高数据处理的高效性，同时，将与目标设备标识相对应的实时特征变量封装成高并发的应用程序服务接口，可保证实时查询效率，有利于实时特征变量的构建，从而在将该实时特征变量应用到风控策略中时，能够达到更加有效的反欺诈目的。因此，可以解决需要一种实时快速的数据处理方案来实现更加有效的反欺诈目的问题，提高了反欺诈的有效性。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

在本实施例中还提供了一种特征变量获取装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图3是根据本发明实施例的特征变量获取装置的结构框图，如图3所示，该装置包括：存储模块10、拆分模块20和获取模块30。

存储模块10，用于采集产生实质操作行为的用户设备的信息数据，并将所述信息数据分别存储到设备信息主题消息队列和用户访问行为消息队列中；

拆分模块20，用于按照所述信息数据的属性，将消息队列中的信息数据拆分成不同主题的多个数据表以整合到数据分析引擎中；

获取模块30，用于根据接收到的对目标设备进行风控的请求，从所述数据分析引擎中获取与所述目标设备相对应的信息数据，并基于所述目标设备的信息数据进行特征变量计算，得到所述目标设备的设备行为特征。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述各个模块以任意组合的形式分别位于不同的处理器中。

为便于对本发明实施例所提供的技术方案的理解，下面将结合具体场景的实施例进行详细的阐述。

本发明提供一种基于消费金融授用信场景触发的实时特征计算装置，该装置直接将用户app点击流日志、设备信息、用户相关信息，存储在kafka消息队列中，利用flinkdatasteaming技术将kafka不同主题(topic)中数据进行整合生成中间表加载到elstaticsearch，当用户授信或用信时触发基于用户行为特征变量并行计算，保证指标计算满足低延迟、高吞吐要求，最后将指标封装成数据API(APP lication ProgrammingInterface，应用程序接口)服务为风控策略提供数据服务，

该装置实现全平台(例如：app、h5、wap)、多场景(例如：注册、登陆、授信、用信)、围绕IP、手机号、身份证号、设备指纹构建设备统一视图，并完成指标实时计算，有效识别设备中介、设备异常、设备多次申请等欺诈风险，使得风险识别能力和规避欺诈能力可以得到显著加强。

在本实施例中还提供一种实时数据处理过程，该过程包括实时数据采集、实时数据计算、实时数据存储和实时指标应用4个过程。具体地，通过采用分布式流数据计算框架，将用户行为及设备信息经过实时采集kafka消息队列中，每个源系统表对应以一个消息队列主题topic。利用flink实时计算引擎，将计算中间表分别存储在ES中以便实时查询调用，数据模型采用Key/Value指标数据模型。使用kafka来进行削峰以及解耦。

图4是根据本发明实施例的实时数据处理过程的流程图，如图4所示，该过程包括如下步骤：

步骤S401，采集用户设备信息及用户APP行为数据

具体地，在进入APP/h5s，调用设备指纹SDK，生成设备指纹，采用设备相关要素；其中，设备指纹相当于上述实施例中设备标识。

设备指纹是目前在互联网领域被广泛使用的一种技术手段，其在反欺诈体系中的作用是设备唯一标识，在采集设备指纹同时也会采集其他用户授权信息，包括：设备类型、操作系统、风险标示等信息，并将信息存放到相对应的kafka消息队列中。

采集用户设备信息还包括采集app埋点数据，即用户点击流埋点信息，例如：小程序、APP、web网页等前端集成设备指纹sdk/js服务，在用户登录\注册\授信\用信时，会调用设备指纹生成器，获取设备指纹码、用户行为操作类型、用户操作日期等信息，存储在后台日志文件中。

步骤S402，多种实时数据采集方式，将信息存储到kafka消息队列中。

源端用户点击流日志等其他属性信息(例如：设备类型、操作系统、风险标示等)实时采集至相对应属性的kafka消息队列中，同时建立基于flink的增量同步任务，将设备指纹kafka设备信息传输至存储的kafka消息队列，以实时多源异构数据采集同步。其中，Kafka通过不同的topic对应不同源端数据。

在一个示例性实施例中，flink配置增量同步任务环境，包括：配置任务断点恢复策略，配置断点保存时间间隔及断点保存超时时间。

在本实施例中，通过kafka消息队列可在高并发场景下实现数据削峰、防止Elasticsearch的写入堆积。

步骤S403，基于flink流式计算，将多流分流、合并、加工设备相关中间表存放到Elasticsearch中。

具体地，图5是根据本发明实施例的数据分流示意图，如图5所示，利用flink的filter算子根据数据的细分对kafka topic中的信息进行分流将每个属性作为一个特殊流，每个特殊流对应Elasticsearch中的一个索引，以建立Elasticsearch数据处理模型，这样可以保证flink分流和更新Elasticsearch采用时提高并行度，以及实现用户行为衍生变量计算。原有的模式对于Elasticsearch索引需要采用upset模式，采用遍历方式更新Elasticsearch中的数据，无法提升并行度。

在本实施例中，由于Elasticsearch无法提供数据分组排序，为了计算用户最近一次操作行为间隔时间，需要设计一种数据存储方式，方便统计和查询用户设备操作行为。如表1所示，设备指纹码设置为索引，每个设备保留一条记录，最近访问间隔初始化默认0。

表1

设备指纹码	最近访问时间	最近访问间隔

例如：当监测到日志有登录、授信操作时获取到本次客户操作时间，使用searchAPI检索在ElasticSearch上的数据获得最近一次操作时间，两个时间相减获取最近一次登录/授信间隔时间，并向Elasticsearch发起调整请求，将最近访问时间更新为本次客户操作时间，最近访问间隔。如果该设备为首次发生登录或授信操作，最近访问时间为本次客户操作时间，最近访问间隔为0。

采用上述模型存储方式，一个设备只需要存储一条记录，改变了原有的将日志信息全量存储模型，再根据访问时间进行排序取出最近两条记录进行计算，有效减少数据存储空间和提升数据查询效率。

步骤S404，接收风控调用请求，触发以设备指纹码、客户ID、手机号多维度、注册/登录/授信/用信为场景的用户行为特征变量计算(并行计算)。

步骤S405，生成设备指纹及设备衍生特征变量API服务接口。

具体地，本实施例中支持设备指纹查询的高并发API服务接口。当接收到风控请求，基于设备指纹、手机号等信息实现实时查询和计算，封装成接口服务提供数据调用。

在本实施例中，可采用多线程并发执行技术，以建立支持设备指纹码查询的高并发API接口服务；而由于接口中包含多个变量，指标计算复杂度不一致，为了保证实时查询获取指标的效率，本实施例中还设置了查询超时时间，如图6所示，该获取指标的流程包括如下步骤：

步骤S601，判断参数是否为空。

具体地，在接收到风控系统调用请求后，接收参数(即设备指纹、手机号)并判断接口标识参数是否空，如为空则转至步骤S602，不为空则转至步骤S603。

步骤S602，返回参数缺失错误。

步骤S603，调用指标计算类。

具体地，判断“渠道”，根据“渠道”调用相对应的指标计算类。例如：H5渠道请求时：APP基础指标不取值(即默认-9999)，且APP衍生不计算GPS相关指标；APP渠道请求时：H5基础指标不取值(即默认-9999)。

步骤S604，并行调用各个指标方法。

具体地，通过开启多线程服务来并行调用各指标获取方法。

步骤S605，计算各指标结果。

步骤S606，同步等待所有指标计算结果。

步骤S607，判断计算各指标结果是否超时。

具体地，判断计算各指标是否超时，未超时则转至步骤S608，否则进行相对应的赋值，例如：超时赋值-9997，如果无值默认-9999。

步骤S608，判断各指标结果是否异常。

具体地，若指标结果正常则转至步骤S609，否则进行相对应的赋值，例如：异常赋值-9996。

步骤S609，判断代码是否异常。

具体地，判断整个过程代码是否异常，异常则输出“系统异常”，否输出“处理成功”。

通过本发明的上述实施例，通过流计算、内存计算等技术提高数据处理的时效性，及时识别跨系统的风险行为；提供实时多源异构数据同步技术，完成对日志文件，kafka、数据库表等数据同步；通过建立一种Elasticsearch数据处理模型，改变了原有将日志信息全量存储模型，有效减少数据存储空间和提升数据查询效率；建立支持设备指纹查询的高并发API服务接口，保证实时查询效率，防止交易延迟风险。

本发明的实施例还提供了一种存储介质，该存储介质中存储有计算机程序，其中，该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。

可选地，在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(Read-Only Memory，简称为ROM)、随机存取存储器(Random Access Memory，简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。

本发明的实施例还提供了一种电子装置，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。

可选地，上述电子装置还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种设备行为特征获取方法，其特征在于，包括：

采集产生实质操作行为的用户设备的信息数据，并将所述信息数据分别存储到设备信息主题消息队列和用户访问行为消息队列中；

按照所述信息数据的属性，将消息队列中的信息数据拆分成不同主题的多个数据表以整合到数据分析引擎中；

根据接收到的对目标设备进行风控的请求，从所述数据分析引擎中获取与所述目标设备相对应的信息数据，并基于所述目标设备的信息数据进行特征变量计算，得到所述目标设备的设备行为特征。

2.根据权利要求1所述的方法，其特征在于，其中，所述实质操作行为至少包括：授信申请行为、用信申请行为。

3.根据权利要求1所述的方法，其特征在于，其中，所述信息数据的属性包括以下至少之一：登录编号、用户编号、设备标识、设备类型、操作系统、用户行为操作类型、用户操作时间、用户登录手机号、设备风险信息。

4.根据权利要求2所述的方法，其特征在于，将消息队列中的信息数据拆分成不同主题的多个数据表，包括：

基于flink开源流处理框架对所述信息数据进行分流，以将上述信息数据拆分成不同主题的多个数据表。

5.根据权利要求4所述的方法，其特征在于，其中，所述主题至少包括以下之一：设备指纹风险信息、设备指纹用户标识关系、设备指纹身份证关系、设备指纹手机号关系、设备指纹经纬度、设备指纹时间间隔。

6.根据权利要求1所述的方法，其特征在于，基于所述目标设备的信息数据进行特征变量计算，包括：

确定所述目标设备的设备标识是否存在；

在确定所述目标设备的设备标识存在的情况下，查询所述数据分析引擎中的信息数据，以获取目标设备标识相对应的设备行为特征；或，基于所述数据分析引擎中的信息数据进行指标计算，以获取与所述目标设备标识相对应的设备行为特征。

7.根据权利要求6所述的方法，其特征在于，基于所述数据分析引擎中的信息数据进行指标计算，包括：

基于所述信息数据，并行调用多个维度的指标计算方法，以获取所述目标设备标识相对应的设备行为特征。

8.根据权利要求7所述的方法，其特征在于，基于所述数据分析引擎中的信息数据进行指标计算之后，还包括：

判断所述指标计算的时间是否超时；

判断所述目标设备指标是否满足预设条件；

判断所述指标计算的结果是否异常。

9.根据权利要求8所述的方法，其特征在于，所述方法还包括：

将多个设备行为特征封装到一个应用程序接口API服务中，以通过各设备的设备标识从所述API服务查询所述各设备的设备行为特征。

10.根据权利要求6所述的方法，其特征在于，其中，所述设备行为特征至少包括以下之一：目标设备标识关联的手机号数量、注册设备关联的手机号数量、授信申请设备关联手机号的数量、用信申请设备关联的手机号数量、目标设备相邻两次操作行为时间间隔。

11.根据权利要求1所述的方法，其特征在于，得到所述目标设备的设备行为特征之后，还包括：

将所述设备行为特征与预设标准进行比对，基于比对结果判定所述目标设备是否存在风险行为。

12.一种设备行为特征获取装置，其特征在于，包括：

存储模块，用于采集产生实质操作行为的用户设备的信息数据，并将所述信息数据分别存储到设备信息主题消息队列和用户访问行为消息队列中；

拆分模块，用于按照所述信息数据的属性，将消息队列中的信息数据拆分成不同主题的多个数据表以整合到数据分析引擎中；

获取模块，用于根据接收到的对目标设备进行风控的请求，从所述数据分析引擎中获取与所述目标设备相对应的信息数据，并基于所述目标设备的信息数据进行特征变量计算，得到所述目标设备的设备行为特征。

13.一种计算机可读存储介质，其特征在于，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行所述权利要求1至11任一项中所述的方法。

14.一种电子装置，包括存储器和处理器，其特征在于，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行所述权利要求1至11任一项中所述的方法。