一种风险检测方法及装置与流程

本发明涉及风险控制领域，尤其涉及一种风险检测方法及装置。
背景技术：
：在当前风险控制领域，风险指标体系的建立、风险规则的定义和风险的发现以及用户的体验都息息相关。而当前很多风控系统的分析规则至少有如下两个方面的问题：1)应对未知类型的规则能力差：目前的风控系统大量采用内置的、预定义的规则来实现风险指标规则的定义，也就是说，用户可以定义的分析规则范围是有限的、预置的。例如，某个风控系统是基于特定的某个风险指标的参数值来进行风险检测的，那么当用户希望定义超出预置规则范围的分析规则，例如增加新的风险指标时，就需要研发人员开发新的规则分析模板和页面。无法实现按需、及时的定义未知的规则。2)关联分析能力差，风险的分析不仅是针对单个风险指标分析其异常情况，还经常需要根据多个风险指标来判断风险异常，而这种关联分析在大数据、实时流计算领域更加难以定义风控规则。因此，我们提出一种新的风险检测方法，能够灵活适用于不同的风险规则并进行复杂的多指标关联分析。技术实现要素：本发明的实施例提供一种风险检测方法及装置，能够灵活适用于不同的风险规则并进行复杂的多指标关联分析。第一方面，本发明实施例提供一种风险检测方法，包括：获取风险规则文件；风险规则文件中存储有需要采集的风险指标以及风险规则标准；按照预设周期采集风险指标的参数；判断风险指标的参数与风险规则标准是否匹配；若匹配则生成告警信息。第二方面，本发明实施例提供一种风险检测装置，包括：获取单元，用于获取风险规则文件；风险规则文件中存储有需要采集的风险指标以及风险规则标准；采集单元，用于按照预设周期采集风险指标的参数；判断单元，用于判断风险指标的参数与风险规则标准是否匹配；告警单元，用于若匹配则生成告警信息。第三方面，本发明实施例提供另一种风险检测装置，包括：处理器、存储器、总线和通信接口；存储器用于存储计算机执行指令，处理器与存储器通过总线连接，当风险检测装置运行时，处理器执行上述存储器存储的上述计算机执行指令，以使风险检测装置执行如上述第一方面所提供的风险检测方法。第四方面，本发明实施例提供一种计算机存储介质，包括指令，当其在风险检测装置上运行时，使得风险检测装置执行上述第一方面所提供的风险检测方法。本发明实施例所提供的风险检测方法及装置，能够根据风险规则文件确定需要采集的风险指标以及风险规则标准，然后按照预设周期采集风险指标的参数，并将采集到的风险指标的参数与风险规则标准进行匹配，根据匹配结果生成告警信息。从而当用户根据实际需求，需要调整风险评估时所涉及到的风险指标以及风险规则标准时，只需要用户对风险规则文件进行相应调整即可，不需要研发人员开发新的规则分析模板和页面。这种风险检测方法更加灵活，能够适用于各种场景中对风险评估的方法。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。图1为本发明实施例提供的一种风险检测方法的流程示意图；图2为本发明实施例提供的一种生成风险规则文件的流程示意图；图3为本发明实施例提供的一种多指标不同步现象的示意图；图4为本发明实施例提供的另一种风险检测方法的流程示意图；图5为本发明实施例提供的又一种风险检测方法的流程示意图图6为本发明实施例提供的一种风险检测装置的结构示意图；图7为本发明实施例提供的另一种风险检测装置的结构示意图；图8为本发明实施例提供的又一种风险检测装置的结构示意图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。本文中字符“/”，一般表示前后关联对象是一种“或”的关系。应当理解，尽管在本发明实施例中可能采用术语第一、第二、第三等来描述各种消息、请求和操作，但这些消息、请求和操作不应限于这些术语。这些术语仅用来将消息、请求和操作彼此区分开。例如，在不脱离本发明实施例范围的情况下，第一操作也可以被称为第二操作，类似地，第二操作也可以被称为第一操作。取决于语境，如在此所使用的词语“如果”或“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地，取决于语境，短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。下面结合附图，对本发明的实施例进行描述。现有技术中的风险控制系统的运行过程通常如下：假设业务风控系统通过如下几个风险指标来发现某运营商用户的风险行为：1、每日登录次数；2、所属的用户类型(vip、普通用户还是游客)；3、每日消费金额。定义了上述三个指标后会按照一定的时间周期来采集指标的值，然后我们需要定义什么是风险行为，有如下几种风险指标规则定义方式：1)基于单指标的风险规则定义方式。a)每日用户登录次数大于100次；b)每日消费金额超过1000元。2)基于多指标的风险规则定义方式。a)用户是vip并且每日登录次数超过50，而且消费金额大于均值的50％；b)用户不是vip并且每日登录次数超过30，而且消费金额为0的。对于上述两种定义方式，可以用内置的方式来按需实现用户的需求，即内置上述两种单指标规则和两种多指标规则。但是一旦用户需求发生变更如下：1)需求变更1：增加一种指标：用户所在城市类型(一线、二线、三线等等)。2)需求变更2：多指标分析规则要加上所在城市类型的判断，即：a)用户在一线城市、是vip并且每日登录次数超过50，而且消费金额大于均值的50％；b)用户不在一线城市、不是vip并且每日登录次数超过30，而且消费金额为0的。这时候，常规的基于内置规则的风控规则定义方法就失去了时效性，它需要时间来开发这个需求，不能灵活的修改调整规则。根据上述现有技术的案例，我们可以发现现有技术的缺点如下：1)应对未知类型的规则能力差：目前的风控系统大量采用内置的、预定义的规则(模板)来实现风险指标规则的定义，也就是说，用户可以定义的分析规则范围是有限的、预置的。一旦用户希望定义超出预置规则范围的分析规则，就需要研发人员开发新的规则分析模板和页面。无法实现按需、及时的定义未知的规则。2)关联分析能力差，风险的分析不仅是针对单个指标分析其异常情况，还经常需要根据多个指标来判断风险异常，而这种关联分析在大数据、实时流计算领域更加难以定义风控规则。针对上述现有技术存在的问题，本发明实施例中通过对风险规则文件进行解析从而确定需要采集的风险指标以及风险规则标准，然后按照确定出的风险指标以及风险规则标准进行后续风险评估。从而增加了风险评估系统的适用范围。当用户根据实际需求，需要调整风险评估时所涉及到的风险指标以及风险规则标准时，只需要用户对风险规则文件进行相应调整即可，不需要研发人员开发新的规则分析模板和页面。这种风险检测方法更加灵活，能够适用于各种场景中对风险评估的方法。基于上述发明构思，本发明实施例提供一种风险检测方法，如图1所示，该方法包括：s101、生成风险规则文件。其中，风险规则文件中记录有需要采集的风险指标，以及风险指标对应的风险规则标准。例如，将每日登陆次数作为一种风险指标，每日登陆次数对应的编码为idx_login_times_daily，则风险规则文件中存储有mvel表达式：idx_login_times_daily.value>10表示当每日登陆次数大于10次时存在风险。其中风险规则文件中可以存储有多个mvel表达式，用于表示不同风险指标以及风险指标对应的风险规则标准。具体的，如图2所示，步骤s101包括：s1011、接收用户的第一选择操作。其中，第一选择操作，用于确定风险规则为单指标规则还是多指标规则。具体的，考虑到单指标规则与多指标规则，在规则的具体评判条件、指标的具体内容等方面都存在一些差异，因此本发明实施例中分别将单指标规则与多指标规则进行不同的处理，以便用户通过尽量少的操作来确定出需要的标准规则。s1012、若确定风险规则为单指标规则，则向用户提供n个内置规则类型选项。其中，n个内置规则类型选项中每个选项分别对应一种风险指标以及风险规则标准。例如，在一种实例中，在显示界面上显示出三个内置规则类型选项a、b、c。其中内置规则类型选项a对应的风险指标为“每日登陆次数”，风险规则标准为“次数大于阈值”；内置规则类型选项b对应的风险指标为“每日消费金额”，风险规则标准为“金额超过阈值”；内置规则类型选项c对应的风险指标为“每日消费次数”，风险规则标准为“次数超过阈值”。s1013、接收用户对n个内置规则选项的第二选择操作，并根据第二选择操作生成风险规则文件。继续以上述实例为例，在上述实例中当用户通过触摸点击或者鼠标选择等方式选择了内置规则类型选项a。即可得到用户需要的风险指标为“每日登陆次数”，并且可以知道这条风险规则标准的内容为“次数大于阈值”。从而即可知道风险规则的内容。具体的，风险规则标准具体可以包括：等于、大于或小于等等风险规则标准。之后，再根据用户的输入操作生成阈值的具体数值，或者根据预设方式生成阈值的具体数值，即可生成对应的mvel表达式，并将该mvel表达式存储至风险规则文件中，从而生成相应的风险规则文件。示例性的，下表1示出了mvel表达式通常包括的操作类型。表1在另一种实现方式中，在s1011接收用户的第一选择操作后，本发明实施例所提供的方法还包括：s1014、若确定风险规则为单指标规则，则接收用户输入的mvel表达式。其中，mvel表达式用于表示需要采集的风险指标以及风险规则标准。例如，用户可以直接手动输入mvel表达式：idx_login_times_daily.value>10，表示当每日登陆次数大于10次时存在风险。本发明实施例中，考虑到在某些场景下，预设的n个内置规则类型选项对应的风险指标以及风险规则标准可能不能满足用户需要。因此，可以通过接收用户手动输入的mvel表达式来建立新的风险指标以及风险规则标准。s1015、在接收到用户输入的mvel表达式后，根据mvel表达式生成风险规则文件。另外，在s1011接收用户的第一选择操作后，本发明实施例提供的方法还包括：s1016、若确定风险规则为多指标规则，则接收用户输入的mvel表达式。其中，mvel表达式用于表示需要采集的多个风险指标以及风险规则标准。具体的，由于在多指标规则中，无法预测每个指标的阀值定义方式，也就无法在界面上预先提供好输入框。所以多指标规则只提供用户自定义mvel表达式的输入方式。s1019、根据接收到的用户输入的mvel表达式，生成风险规则文件。在一种实现方式中，考虑到在多指标规则中，不同的风险指标的采样时间以及频次可能不同步。如图3所示，在同一个分析周期中，风险指标1采集了两组数据，风险指标2采集了一组数据，风险指标3采集了五组数据。因此，在进行风险分析时，就需要先确定每个指标的取值方式。因此，本发明实施例中，在步骤s1019之前，还包括：s1017、向用户提供m个取值方式选项。s1018、根据用户对m个取值方式选项的第三选择操作，确定多个风险指标中的风险指标的取值方式，并将风险指标的取值方式记录在风险规则文件中。例如，下表2所示，取值方式编码说明11取指标最新值12取指标的最旧值13取指标的最大值14取指标的最小值15取指标的均值16取指标当前值17取指标所有历史值进行搭配表2其中，该表2中规定了多个取值方式，用户可以通过第三选择操作从表2所规定的多个取值方式中选择一种取值方式作为多个风险指标中的一个或多个风险指标的取值方式。s102、获取风险规则文件。其中，风险规则文件中存储有需要采集的风险指标以及风险规则标准。具体的，在获取到风险规则文件后，读取风险规则文件中包含的mvel表达式，通过读取到的mvel表达式即可确定需要采集的风险指标以及风险规则标准。s103、按照预设周期采集风险指标的参数。例如，以一天为周期，每天到凌晨2点整则采集风险指标的参数。在一种实现方式中，考虑到当风险规则包括多指标规则时，s104具体包括：按照预设周期以及风险规则文件中记录的取值方式，采集多个风险指标的参数。s104、判断风险指标的参数与风险规则标准是否匹配。s105、若匹配则生成告警信息。以下结合实例，对单指标规则的风险检测流程进行介绍。如图4所示，为本发明实施例提供的一种单指标规则的风险检测流程示意图。其中包括：s201、单指标规则引擎启动，加载所有单指标规则mvel表达式。即获取风险规则文件，并加载风险规则文件中的mvel表达式，确定需要采集的风险指标以及风险规则标准。s202、指标采集器按照预设周期采集风险指标的参数。s203、指标采集器将采集到的风险指标的参数发送至消息中间件。s204、单指标规则引擎持续监听指标采集结果。s205、在指标采集器将采集到的风险指标的参数之后，消息中间件将采集到的风险指标的参数发送给单指标规则引擎。s206、单指标规则引擎，判断风险指标的参数与风险规则标准是否匹配。若匹配，则生成告警信息。以下结合实例，对多指标规则的风险检测流程进行介绍。如图5所示，为本发明实施例提供的一种多指标规则的风险检测流程示意图。其中包括：s301、多指标规则引擎启动并加载所有多指标规则。即获取风险规则文件，并加载风险规则文件中的mvel表达式，确定需要采集的风险指标以及风险规则标准。s302、多指标规则引擎将需要采集的风险指标发送至消息中间件，之后则通过消息中间件监听多指标采集结果。s303、多指标调度器周期性查询新的风险指标。s304、多指标调度器发现新的风险指标，并向消息中间件发送指标调度信息。具体的，多指标规则引擎将需要采集的风险指标发送至消息中间件后，消息中间件会将这些风险指标发送给多指标调度器。多指标调度器在查询后这些风险指标后，向消息中间件发送指标调度信息。s305、多指标采集器通过消息中间件监听指标调度信息。s306、当消息中间件接收到指标调度信息后，多指标采集器按照预设周期以及相应的取值方式采集风险指标的参数。s307、多指标采集器在得到风险指标的参数后，将多指标采集结果发送消息中间件。s308、多指标规则引擎监听到多指标采集结果后，判断风险指标的参数与风险规则标准是否匹配，得到检测结果。例如若结果匹配，则生成告警信息。本发明实施例所提供的风险检测方法，能够根据风险规则文件确定需要采集的风险指标以及风险规则标准，然后按照预设周期采集风险指标的参数，并将采集到的风险指标的参数与风险规则标准进行匹配，根据匹配结果生成告警信息。从而当用户根据实际需求，需要调整风险评估时所涉及到的风险指标以及风险规则标准时，只需要用户对风险规则文件进行相应调整即可，不需要研发人员开发新的规则分析模板和页面。这种风险检测方法更加灵活，能够适用于各种场景中对风险评估的方法。本发明不仅支持预置类型的风险分析规则，一旦用户希望定义超出预置规则范围的分析规则，只需要在界面上输入新的mvel表达式即可，理论上支持任意类型的风控规则。本发明提出的风险检测方法，不仅支持单指标分析，还支持多指标关联分析，通过mvel表达式，可以支持复杂的逻辑运算、算数运算、集合运算和嵌套运算。支持的分析场景不限于基于数据库的指标分析，也支持大数据、实时分析等场景。本发明实施例提供一种风险检测设备，用于执行上述实施例一所提供的风险检测方法。如图6所示，为本发明实施例提供的风险检测设备的一种可能的结构示意图。具体的，该风险检测设备40包括：获取单元401、采集单元402、判断单元403、告警单元404。其中，获取单元401，用于获取风险规则文件；风险规则文件中存储有需要采集的风险指标以及风险规则标准；采集单元402，用于按照预设周期采集风险指标的参数；判断单元403，用于判断风险指标的参数与风险规则标准是否匹配；告警单元404，用于若匹配则生成告警信息。可选的，在获取单元401获取风险规则文件之前，风险检测装置40，还包括：生成单元405；生成单元405，用于接收用户的第一选择操作；第一选择操作，用于确定风险规则信息对应的风险规则为单指标规则还是多指标规则；生成单元405，还用于若确定风险规则为单指标规则，则向用户提供n个内置规则类型选项，n个内置规则类型选项中每个选项分别对应一种风险指标以及风险规则标准；生成单元405，还用于接收用户对n个内置规则类型选项的第二选择操作，并根据第二选择操作生成风险规则文件。可选的，生成单元405，还用于若确定风险规则为单指标规则，则接收用户输入的mvel表达式；mvel表达式用于表示需要采集的风险指标以及风险规则标准；生成单元405，还用于根据mvel表达式，生成风险规则文件。可选的，生成单元405，还用于若确定风险规则为多指标规则，则接收用户输入的mvel表达式；mvel表达式用于表示需要采集的多个风险指标以及风险规则标准；生成单元405，还用于根据mvel表达式，生成风险规则文件。可选的，生成单元405，还用于向用户提供m个取值方式选项；生成单元405，还用于根据用户对m个取值方式选项的第三选择操作，确定多个风险指标中的风险指标的取值方式，并将风险指标的取值方式记录在风险规则文件中；采集单元402，具体用于按照预设周期以及取值方式，采集多个风险指标的参数。本发明实施例中提供的风险检测设备中各模块所的功能以及所产生的效果可以参照上述实施例一数据传输方法中的对应的描述内容，在此不再赘述。需要说明的是，本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。在采用集成的单元的情况下，图7示出了上述实施例中所涉及的风险检测设备的一种可能的结构示意图。风险检测设备50包括：处理模块501、通信模块502和存储模块503。处理模块501用于对风险检测设备50的动作进行控制管理，例如，处理模块501用于支持风险检测设备50执行图1中的过程s101-s106。通信模块502用于支持风险检测设备50与其他实体的通信。存储模块503用于存储应用服务器的程序代码和数据。其中，处理模块501可以是处理器或控制器，例如可以是中央处理器(centralprocessingunit，cpu)，通用处理器，数字信号处理器(digitalsignalprocessor，dsp)，专用集成电路(application-specificintegratedcircuit，asic)，现场可编程门阵列(fieldprogrammablegatearray，fpga)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框，模块和电路。处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，dsp和微处理器的组合等等。通信模块502可以是收发器、收发电路或通信接口等。存储模块503可以是存储器。当处理模块501为如图8所示的处理器，通信模块502为图8的收发器，存储模块503为图8的存储器时，本发明实施例所涉及的风险检测设备可以为如下的风险检测设备60。参照图8所示，该风险检测设备60包括：处理器601、收发器602、存储器603和总线604。其中，处理器601、收发器602、存储器603通过总线604相互连接；总线604可以是外设部件互连标准(peripheralcomponentinterconnect，pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，eisa)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。处理器601可以是一个通用中央处理器(centralprocessingunit，cpu)，微处理器，特定应用集成电路(application-specificintegratedcircuit，asic)，或一个或多个用于控制本发明方案程序执行的集成电路。存储器603可以是只读存储器(read-onlymemory，rom)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(randomaccessmemory，ram)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electricallyerasableprogrammableread-onlymemory，eeprom)、只读光盘(compactdiscread-onlymemory，cd-rom)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。其中，存储器602用于存储执行本发明方案的应用程序代码，并由处理器601来控制执行。收发器602用于接收外部设备输入的内容，处理器601用于执行存储器603中存储的应用程序代码，从而实现本发明实施例中提供的生成java类对象的方法。应理解，在本发明的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户终端线(digitalsubscriberline，dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，dvd)、或者半导体介质(例如固态硬盘(solidstatedisk，ssd))等。以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本
技术领域：
的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。当前第1页12