业务风险评估方法、装置及风控系统与流程

本发明涉及互联网技术领域，特别是涉及一种业务风险评估方法、装置及风控系统。

背景技术：

风控系统即业务安全风险控制系统，旨在保证各个业务正常安全的运行。参见图1，为一种典型的风险系统架构示意图。风控系统的工作过程是：业务系统通过服务接入模块传递用户访问行为数据至规则引擎，而规则引擎主要依赖于安全数据仓库和模型策略，其中，安全数据仓库是指社工库(社会工程学数据库)，即恶意用户的信息，包含手机号、ip、用户名等；模型策略主要包括数据分析人员通过数据挖掘等方法制定出的规则策略，提供给规则引擎进行拦截。可见，当风控系统的规则引擎接收到业务传入的访问数据时，通过用户的某次行为数据匹配的规则是否有风险而进行拦截。这里的规则匹配是指只要命中一条事先定义的规则，就停止匹配后续规则集。

现有风控系统通过人工设置的规则以“命中即退出”的方式进行异常行为拦截，这种方式至少存在以下两个问题。

(1)泛化能力差

“命中即退出”的规则拦截方法难以充分利用异常行为触发其它类别的规则信息，使得风控系统的泛化能力(generalizationability，对新鲜样本的适应能力)差。例如，现有方式对访问行为依次遍历规则集合，只要命中其中一条规则，即认为该访问行为是恶意的，并不再继续匹配后续的规则集合。因此，针对一次恶意访问，只能获得其命中的唯一规则，但实际上，一次恶意访问会同时命中多条规则，因而造成难以联合多条规则进行同时判断的情况。

(2)效率低

由于需要人工设置每条规则的优先级，耗时耗力。因为不同的规则间的风险程度是不一样的，因此需要对规则集根据其风险程度进行排序，希望风险较大的规则能提前命中，但设置不同规则的风险程度需要人工经验，当规则集较大时，设置每条规则的风险程度较为复杂。

技术实现要素：

为了提高风控系统的泛化能力及处理效率，本发明实施例提供一种业务风险评估方法、装置及风控系统。

根据本发明的一个方面，提供一种业务风险评估方法，包括：接收待评估业务数据，并根据预置的风险规则引擎，识别出业务数据匹配的风险行为规则集合；对所述规则集合中的多条规则，根据预先建立的风险评估模型，评估各个规则对应的风险分值；将多条规则对应的风险分值进行累加，并将累加后的风险分值总和与预先设置的各个风险等级的风险总分阈值进行比较，确定出业务数据的风险等级。

优选的，还包括：建立所述风险评估模型，包括：获取样本数据；对获取的样本数据进行训练，得到各个规则的模型权重；通过线性映射将各个规则的模型权重转化为分值；根据所述规则的各个子规则触发频率的风险，依次累加各个子规则的分值得到所述规则的分值；以及，设置不同风险等级对应的风险总分阈值。

优选的，对获取的样本数据进行逻辑斯蒂回归训练，得到各个规则的模型权重。

优选的，所述根据预置的风险规则引擎，识别出业务数据匹配的规则集合，包括：所述风险规则引擎，基于安全数据仓库中的恶意用户账户信息或操作行为信息，匹配出业务数据对应的各个风险行为规则构成所述规则集合。

优选的，所述业务数据包括：注册业务数据、登录业务数据、鉴权业务数据，和/或，活动防刷业务数据；所述风险行为规则是指基于恶意用户账户信息或操作行为信息生成的风险行为规则。

根据本发明的一个方面，提供一种业务风险评估装置，包括：业务数据处理单元，用于接收待评估业务数据，并根据预置的风险规则引擎，识别出业务数据匹配的规则集合；风险分值评估单元，用于对所述规则集合中的多条规则，根据预先建立的风险评估模型，评估各个规则对应的风险分值；风险等级确定单元，用于将多条规则对应的风险分值进行累加，并将累加后的风险分值总和与预先设置的各个风险等级的风险总分阈值进行比较，确定出业务数据的风险等级。

优选的，还包括：风险评估模型建立单元，用于建立所述风险评估模型；所述风险评估模型建立单元具体用于，获取样本数据；对获取的样本数据进行训练，得到各个规则的模型权重；通过线性映射将各个规则的模型权重转化为分值；根据所述规则的各个子规则触发频率的风险，依次累加各个子规则的分值得到所述规则的分值；以及，设置不同风险等级对应的风险总分阈值。

优选的，所述风险评估模型建立单元具体用于，对获取的样本数据进行逻辑斯蒂回归训练，得到各个规则的模型权重。

优选的，所述业务数据处理单元具体用于：利用所述风险规则引擎，基于安全数据仓库中的恶意用户账户信息或操作行为信息，匹配出业务数据对应的各个风险行为规则构成所述规则集合。

优选的，所述业务数据包括：注册业务数据、登录业务数据、鉴权业务数据，和/或，活动防刷业务数据；所述风险行为规则是指基于恶意用户账户信息或操作行为信息生成的风险行为规则。

根据本发明的再一个方面，提供一种风控系统，包括业务处理装置、服务接入装置、风险规则引擎、安全数据仓库、拦截处理装置，所述系统还包括风险评估装置，其中：所述业务处理装置，将业务数据通过所述服务接入模型接入到风险规则引擎；所述风险规则引擎，根据安全数据仓库中的恶意用户账户信息或操作行为信息，匹配出业务数据对应的各个风险行为规则构成风险规则集合；所述风险评估装置，用于对所述规则集合中的多条规则，根据预先建立的风险评估模型，评估各个规则对应的风险分值，并将多条规则对应的风险分值进行累加，并将累加后的风险分值总和与预先设置的各个风险等级的风险总分阈值进行比较，确定出业务数据的风险等级；所述拦截处理装置，用于根据业务数据的风险等级，基于预置的拦截策略，对业务数据进行拦截。

优选的，所述风险评估装置还用于建立风险评估模型，具体的，获取样本数据；对获取的样本数据进行训练，得到各个规则的模型权重；通过线性映射将各个规则的模型权重转化为分值；根据所述规则的各个子规则触发频率的风险，依次累加各个子规则的分值得到所述规则的分值；以及，设置不同风险等级对应的风险总分阈值。

优选的，所述业务数据包括：注册业务数据、登录业务数据、鉴权业务数据，和/或，活动防刷业务数据；所述风险行为规则是指基于恶意用户账户信息或操作行为信息生成的风险行为规则。

可见，本发明提供的业务风险控制方法中，不再仅依赖于异常行为所触发的单条规则，而是通过该异常行为所触发的所有规则，以多维度规则分值累加的方式进行风险判断；而且，无需人工设置每条规则的优先级，而是通过训练现有风控系统的数据得到模型，然后根据子规则的风险等级，以权重累加的形式转化模型权重为规则分值，进而达到自动设置规则分值继而输出风险等级的目的。相对于现有技术仅依靠单条规则的风控方式，本发明提高了风控系统的泛化能力，先对于现有技术依靠人工设置规则优先级的方式，本发明提高了处理效率。

附图说明

图1是本发明实施例提供的一种风控系统结构示意图

图2是本发明实施例提供的一种业务风险评估方法流程图；

图3是本发明实施例提供的一种业务风险评估方法实例原理示意图；

图4是本发明实施例提供的一种业务风险评估装置结构示意图；

图5是本发明实施例提供的一种风控系统结构示意图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

本发明实施例针对现有风控系统难以充分利用触发的所有规则信息，以及人工设置规则优先级耗时耗力，提出一种基于权重累加的业务风险评估方法。例如，该方法首先通过逻辑斯蒂回归算法训练现有风控系统得到的数据，得到模型权重，然后根据每条子规则的风险等级，以权重累加的形式将模型权重转化为子规则分值，即将同类型规则低等级分值累加至高等级，以保证同类型规则的高等级分值大于低等级，进而达到自动设置规则分值的目的。

参见图2，为本发明实施例提供的一种业务风险评估方法流程图，该方法包括：

s201：接收待评估业务数据，并根据预置的风险规则引擎，识别出业务数据匹配的风险行为规则集合。

其中，业务数据包括但不限于注册业务数据、登录业务数据、鉴权业务数据，和/或，活动防刷业务数据，等等。

如前介绍的，风险系统中一般包括风险规则引擎，此步骤中，可以利用风险规则引擎，基于安全数据仓库中的恶意用户信息，匹配出业务数据对应的各个风险行为规则构成规则集合。其中，账号信息包括但不限于手机号、ip、用户名；操作行为信息包括但不限于频繁登录，例如，利用同一ip地址频繁登录/访问、错误密码多次登录/访问，等等。

可见，风险行为规则是指基于恶意用户账户信息或操作行为信息生成的风险行为规则，例如，风险行为规则包括但不限于：恶意用户登录/访问、同一地址频繁登录/访问、错误密码频繁登录/访问，等等。

s202：对规则集合中的多条规则，根据预先建立的风险评估模型，评估各个规则对应的风险分值。

优选的，上述方法还包括：建立所述风险评估模型的步骤。具体的，建立所述风险评估模型的过程包括：获取样本数据；对获取的样本数据进行训练，得到各个规则的模型权重；通过线性映射将各个规则的模型权重转化为分值；根据一条规则的各个子规则触发频率的风险，依次累加各个子规则的分值得到该规则的分值；以及，设置不同风险等级对应的风险总分阈值。

优选的，采用逻辑斯蒂回归算法对样本数据进行训练。逻辑斯蒂回归本质是一种分类算法，使用了一个sigmod函数，将特征的线性加权结果映射到0到1之间，而这刚好可以看做是数据样本点属于某一类的概率。如果结果越接近0或者1，说明分类结果的可信度越高。

s203：将多条规则对应的风险分值进行累加，并将累加后的风险分值总和与预先设置的各个风险等级的风险总分阈值进行比较，确定出业务数据的风险等级。

为了理解方便，上述方案的一个简单例子为：首先，待评估业务数据匹配出3条规则：rule1、rule2、rule3(s201)，然后，每条规则对应的风险分值分别为score1、score2、score3(s202)，最后，将这三条规则对应的风险分值相加得到sum_score(sum_score＝score1+score2+score3)，再将sum_score与预先设定的风险等级总分阈值进行比较(s203)，例如，假设有levle1、level2、level3三个风险等级，并且这三个风险等级分别对应不同的风险总分阈值(一般情况下，风险等级越高，总分阈值越高)，将sum_score与各个等级的总分阈值比较，确定出业务数据属于哪个等级。

下面以一个实际例子对本发明实施例进行说明。

该例子可以应用于视频网站上的注册、登录、鉴权、活动防刷等业务，例如登录业务，恶意用户可能用互联网上泄露出来的用户名和密码，进行暴力登录，则可以根据该恶意用户的ip、user_agent、device_id、访问频次、尝试用户名密码数目，确定其所触发的所有规则集合，然后通过本发明实施例的方法，确定恶意用户访问的风险等级，以进行拦截。

参见图3，是本发明实施例提供的一种业务风险评估方法实例原理示意图。

首先，对图3涉及的各个模块作如下介绍。

标注数据集：可利用现有风控系统提供的样本数据，样本数据主要为各个业务的用户行为数据、现有风控系统对其用户行为命中的所有规则集合、以及是否有风险的标注，例如：对于用户登录数据，若命中ip高频访问和ip密码错误率高于阈值的规则集合，则标注为“有风险”；

回归训练模块：主要用于训练现有风控系统标注数据集，用于得到每个规则在有风险标签以及无风险标签下的模型权重，例如：“ip高频访问规则，有风险，权重2.112345”，其表示该规则在有风险标签下的权重较大，说明这个规则的风险等级较高；

模型权重转化分值模块：因为模型权重皆为小数，例如0.01234，不利于人为判断，因此，通过线性映射将其转为分值，例如转为0至100分；

同类型规则权重累加模块：因为现有风控系统中，某条规则因为其触发的频率不同，可能对应不同的风险等级，例如ip访问规则，根据其频率的大小，可能对应高风险等级和低风险等级，而这在现有风控系统中被视为同类型的两条子规则：ip高频访问规则和ip低频访问规则；因此，为了保证同类型子规则根据其数值区间变大而风险等级变大，因此进行分值权重累加，例如ip中频规则分值累加ip低频规则分值，ip高频规则分值累加ip中频规则分值；

风控评分模块：根据待评估业务数据提供的某条用户行为数据，识别出其所触发的所有规则，并累加这些规则的分值，然后比较总分与事先设定好的阈值，以输出风险等级。

下面，对该例子的具体步骤作如下举例说明。

s1：利用现有风控系统标记数据集d为有风险和无风险，同时以二元方式标记每条数据触发的子规则；

s2：利用逻辑斯蒂回归算法以l2正则化训练d，得到模型权重β，下述公式中y表示是否有风险，x表示触发的规则；

s3：通过线性映射将β映射为每条子规则分值s，同时根据每条规则的默认等级修正权重较低的权重；

s＝aβ

s4：将同类型规则的低等级分值依次累加至高等级，以保证同类型规则的高等级分值大于低等级，例如同类型规则有三个等级1、2、3，则其分数如下：

s1＝aβ1

s2＝s1+aβ2

s3＝s2+aβ3

s5：根据先验设置不同等级数据的比例，得到不同等级总分的边界值s；

s＝s1x1+s2x2+...+snxn

s6：针对异常行为的数据，累加其所触发规则的分值，以确定风险等级。

可见，本发明实施例提供的基于权重累加的业务风险控制方法中，不再仅依赖于异常行为所触发的单条规则，而是通过该异常行为所触发的所有规则，以多维度规则分值累加的方式进行风险判断；而且，无需人工设置每条没规则的优先级，而是通过训练现有风控系统的数据得到模型，然后根据子规则的风险等级，以权重累加的形式转化模型权重为规则分值，进而达到自动设置规则分值继而输出风险等级的目的。相对于现有技术仅依靠单条规则的风控方式，本发明提高了风控系统的泛化能力，先对于现有技术依靠人工设置规则优先级的方式，本发明提高了处理效率。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。

参照图4，是本发明实施例提供的一种业务风险评估装置结构示意图。该装置包括：业务数据处理单元401、风险分值评估单元402和风险等级确定单元403

业务数据处理单元401，用于接收待评估业务数据，并根据预置的风险规则引擎，识别出业务数据匹配的规则集合。

其中，业务数据包括但不限于注册业务数据、登录业务数据、鉴权业务数据，和/或，活动防刷业务数据，等等。风险行为规则是指基于恶意用户账户信息或操作行为信息生成的风险行为规则，例如，风险行为规则包括但不限于：恶意用户登录/访问、同一地址频繁登录/访问、错误密码频繁登录/访问，等等。

风险分值评估单元402，用于对所述规则集合中的多条规则，根据预先建立的风险评估模型，评估各个规则对应的风险分值；

风险等级确定单元403，用于将多条规则对应的风险分值进行累加，并将累加后的风险分值总和与预先设置的各个风险等级的风险总分阈值进行比较，确定出业务数据的风险等级。

优选的，该装置还包括：风险评估模型建立单元404，用于建立所述风险评估模型；所述风险评估模型建立单元404具体用于，获取样本数据；对获取的样本数据进行训练，得到各个规则的模型权重；通过线性映射将各个规则的模型权重转化为分值；根据同类型子规则触发频率的风险，依次累加同类型规则的分值；以及，设置不同风险等级对应的风险总分阈值.

优选的，风险评估模型建立单元404具体用于，对获取的样本数据进行逻辑斯蒂回归训练，得到各个规则的模型权重。逻辑斯蒂回归本质是一种分类算法，使用了一个sigmod函数，将特征的线性加权结果映射到0到1之间，而这刚好可以看做是数据样本点属于某一类的概率。如果结果越接近0或者1，说明分类结果的可信度越高。

优选的，所述业务数据处理单元401具体用于：利用所述风险规则引擎，基于安全数据仓库中的恶意用户账户信息或操作行为信息，匹配出业务数据对应的各个风险行为规则构成所述规则集合。

如前介绍的，风险系统中一般包括风险规则引擎，此步骤中，可以利用风险规则引擎，基于安全数据仓库中的恶意用户信息，匹配出业务数据对应的各个风险行为规则构成规则集合。其中，账号信息包括但不限于手机号、ip、用户名；操作行为信息包括但不限于频繁登录，例如，利用同一ip地址频繁登录/访问、错误密码多次登录/访问，等等。

参照图5，是本发明实施例提供的一种风控系统结构示意图。该系统包括：业务处理装置501、服务接入装置502、风险规则引擎503、安全数据仓库504、拦截处理装置505，特别的，所述系统还包括风险评估装置506，其中：

所述业务处理装置501，将业务数据通过所述服务接入模型502接入到风险规则引擎503；

所述风险规则引擎503，根据安全数据仓库504中的恶意用户账户信息或操作行为信息，匹配出业务数据对应的各个风险行为规则构成风险规则集合；

所述风险评估装置506，用于对所述规则集合中的多条规则，根据预先建立的风险评估模型，评估各个规则对应的风险分值，并将多条规则对应的风险分值进行累加，并将累加后的风险分值总和与预先设置的各个风险等级的风险总分阈值进行比较，确定出业务数据的风险等级；

所述拦截处理装置505，用于根据业务数据的风险等级，基于预置的拦截策略，对业务数据进行拦截。

优选的，所述风险评估装置506还用于建立风险评估模型，具体的，获取样本数据；对获取的样本数据进行训练，得到各个规则的模型权重；通过线性映射将各个规则的模型权重转化为分值；根据所述规则的各个子规则触发频率的风险，依次累加各个子规则的分值得到所述规则的分值；以及，设置不同风险等级对应的风险总分阈值。

优选的，所述业务数据包括：注册业务数据、登录业务数据、鉴权业务数据，和/或，活动防刷业务数据；所述风险行为规则是指基于恶意用户账户信息或操作行为信息生成的风险行为规则。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本发明所提供的一种关系型数据库的调度方法及系统，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。