一种提升风控策略效果的方法及装置与流程

1.本发明涉及计算机和网络通信领域，尤其是一种提升风控策略效果的方法及装置。


背景技术：

2.在业务安全领域，风控厂商多提供私有化部署决策引擎方案，通过安全策略识别线上各类风险，像营销反欺诈，交易反欺诈等。一般系统上线后，厂商会将策略配置到系统中，进行冷启动，后续根据线上实际情况进行策略调优。 这种方式有一个弊端，即策略的优化只能依赖自有业务数据的挖掘情况，而黑灰产作为一个分工严密的组织，俨然具有全局作战的优势。
3.目前业务安全领域，安全厂商主要将系统部署到客户环境中，然后将安全策略配置到系统上，后期根据自身实际情况进行策略优化。这种方式基本上是各自为战，各家都有自己沉淀总结的安全策略但不共享。互联网上某一家遭受黑灰产攻击时，其他厂商难以了解具体攻击情况，也难以及时调整自身策略。
4.针对这种情况，所以本方案基于这种情况，提出一种方案，可以结合各家风险数据对策略进行调优。本方案主要提出一种通过收集各家漏防数据，及时反馈给云端。由云端模型进行重新训练，并将优化策略下发给私有化平台。


技术实现要素：

5.针对现有技术存在的问题，本发明主要针对特定场景的业务风险防控，可以同时收集多个私有化客户的漏防样本，云端收集黑样本数据和定期训练，将新规则同步给私有化，能做到联防联控，实现策略实时共享，对特定场景的策略优化可以做到最大化。
6.本发明提供一种提升风控策略效果的方法，其特征在于，包括以下步骤：s1.风控厂商基于自己的云服务以及数据积累，针对特定的安全场景，总结出对应的安全策略集,同步到私有化用户环境中；s2. 私有化用户将认为是漏防的数据样本同步到云端,所述漏防的数据样本作为黑样本数据使用；s3. 云端服务接收到私有化版本推送的黑样本数据，结合自身云服务的积累数据，使用模型进行分析得到拦截黑样本的规则；s4.私有化风控服务系统定期从云端同步更新规则。
7.进一步，步骤s1中，所述特定的安全场景为营销反欺诈；所述安全策略集涉及到的输入数据包括用户基本信息、营销场景信息、设备信息以及通过风控服务进行计算产生的特征。
8.进一步，步骤s1中，风控厂商向客户提风控服务时，采用私有化部署的风控系统；私有化系统部署完成以后，将对应风控场景的安全策略集导入到私有化系统中，所述私有化部署的风控系统在对应场景防控时，相关的场景以及策略入参和云服务完全保持一致；
业务系统调用风控服务系统的接口进行风险识别，风控服务系统进行风险识别需要的数据即策略集的输入数据。
9.进一步，步骤s2中，私有化系统上线以后，在策略集出现准确率降低有漏防的情况出现的情况下，用户可以在私有化版本上的日志系统中找到对应的日志数据并同步到云端；其中，定位漏防数据的方法是在业务系统分析业务数据以后发现有薅羊毛的情况并出现资损，则可以在风控系统里将可疑的数据打上标签，作为黑数据样本上传。
10.进一步，漏防包括以下情况：在营销活动中抢到红包以后，出现多个不相关账号将红包转给同一个账号的行为，或者大批不相关账号抢到优惠商品以后，快递的地址都相同。
11.进一步，步骤s3中，云端服务接收到私有化版本推送上来的数据，结合自身云服务的积累数据，使用模型进行分析，所述模型用于对漏防的黑样本进行训练，所述模型为决策树模型，使用决策树模型对推送上来的数据进行训练，并得出定位这些黑样本对应的规则。
12.进一步，所述决策树模型的训练使用spark，语言是python，训练的过程包括对数据的整理、导入、调用pythonspark相关api进行训练，决策树模型在训练完成以后，可以输出基于黑样本的决策树路径，表现形式即为规则；其中所述黑样本是来自多个私有化部署系统的反馈数据。
13.进一步，步骤s4中，定期训练得到的新规则以更新包的方式同步到云服务上，私有化系统可以将更新的规则直接拉取到本地，经过审核以后发布到线上。
14.进一步，黑样本数据从私有化系统同步到云端的方式可以从系统上一键同步，也可以到云端手动上传；更新后的规则以更新包的方式下载，能够同步回私有化系统。
15.另一方面，本发明提供一种提升风控策略效果的装置，所述装置用于实施根据本发明所述的方法，所述装置包括互联网终端、业务系统和风控服务系统。
16.本发明的优势在于：提出一种通过收集各家漏防数据，及时反馈给云端。由云端模型进行重新训练，并将优化策略下发给私有化平台。原始策略由风控厂商基于自身云服务积累得到，同步到私有化客户环境中。私有化用户将认为是漏防的数据样本同步给云端。云端通过收集到的黑样本数据，结合自身云服务数据，使用模型训练得到拦截黑样本的规则。这里针对的指标主要是准确率，不涉及召回率。私有化风控再定期从云端同步更新的规则，使得对特定场景的策略优化可以做到最大化。
附图说明
17.图1示出了根据本发明提出的提升风控策略效果的方法及装置的工作流程示意图；图2示出了根据本发明的私有化部署以及将策略从云端同步到私有化系统中的工作流程示意图；图3示出了根据本发明的提升风控策略效果的方法中防漏样本反馈以及定期同步针对漏防的规则的工作流程示意图。
具体实施方式
18.下面将结合附图，对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技
术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
19.在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。
20.在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。
21.以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。
22.如图1所示，根据本发明的提升风控策略效果的方法及装置，包括互联网终端1、业务系统2和风控服务系统3，所述方法包括以下步骤：s1.风控厂商基于自己的云服务以及数据积累，针对特定的安全场景，主要指营销反欺诈，总结出对应的安全策略集。策略集指的是一系列规则的组合，规则可以解释为一个属性的判断，比如账号注册时间小于1小时，设备上关联账号数量>3，近一天访问次数>5，策略集就是这样的规则组成的集合，通过这些规则勾勒出在营销场景的黑产。策略集涉及到的输入数据包括用户基本信息，营销场景信息，设备信息，通过风控服务进行计算产生的特征，比如近期访问次数，近期设备关联数据。
23.风控厂商向客户提风控服务时，采用私有化部署。私有化部署的是风控系统，这里的系统指的是java应用，部署在linux服务器上。系统以docker容器的方式启动，对外提供http接口，业务系统调用风控的接口进行风险识别。风控系统内部运行相关规则策略进行风险识别，该过程如图2所示，风控厂商云服务对多个用户（用户1、用户2等）实施私有化部署并进行策略初始化。
24.系统部署完成以后，将对应风控场景的安全策略导入到私有化系统中，比如导入营销反欺诈的策略集。这里私有化部署的风控系统在对应场景防控时，相关的场景以及策略入参必须和云服务完全保持一致。业务系统调用风控的接口进行风险识别，风控进行风险识别需要的数据即策略集的输入数据。即前面提到的用户基本信息，营销场景信息，设备信息，通过风控服务进行计算产生的特征，比如近期访问次数，近期设备关联数据。
25.s2.客户私有化系统上线以后，如果策略出现准确率降低，有漏防的情况出现（漏防的情况需要事后结合业务数据进行分析，比如在营销活动中抢到红包以后，出现多个不相关账号将红包转给同一个账号的行为，或者大批不相关账号抢到优惠商品以后，快递的地址都一样。这种情况，可以认为账号是有黑产嫌疑的），客户可以在私有化版本上的日志系统中找到对应的数据（这里的数据指的是当时调用风控系统进行风险识别时，风控系统留下的日志，因为当时没有识别出来风险，所以认为是漏防）。这里定位漏防数据，一般的方法的结合业务情况，比如业务系统分析业务数据以后发现有薅羊毛的情况并出现资损，则
可以在风控系统里将可疑的数据打上标签，私有化版本支持将日志数据一键同步到云端，在这里把出现漏防的风险数据同步到云端（同步过程中涉及用户敏感的数据可以进行脱敏）（因数据需要同步到云端，为了避免数据外泄风险，可以敏感数据进行脱敏，比如手机号，进行md5）。如图3所示，多个用户（用户1、用户2等）将漏防样本向风控厂商云服务（即云端）进行反馈，并且风控厂商云服务将定期同步针对漏防的规则。
26.s3.云端服务接收到私有化版本推送上来的数据，结合自身云服务的积累数据，使用模型进行分析（模型主要是决策树模型）（模型指的是决策树模型，使用决策树模型对推送上来的数据进行训练），模型的目的主要是对漏防的黑样本进行训练（模型的训练使用spark，语言是python，训练的过程包括对数据的整理，导入，调用pythonspark相关api进行训练），并得出定位这些黑样本对应的规则（决策树模型在训练完成以后，可以输出基于黑样本的决策树路径，表现形式即为规则。比如注册时间多长时间内，设备近期关联账号数量。这里的规则和前面说的风控厂商提供的规则形式一致。可以理解为风控厂商提供初始化的规则，后面规则的优化是风控厂商收集客户上报反馈的漏防样本，使用决策树模型进行分析训练，得到能找到漏防样本的规则），这里黑样本是来自多个私有化部署系统的反馈（黑样本即风控系统中漏防的案例，调用风控系统，风控会记录每次防控的情况。具体数据内容即前面提到的 策略集的输入数据）。这样可以即时收集到更广泛的黑样本数据源，模型定期进行训练并得出专门针对黑样本的漏防规则。
27.s4.定期训练得到的新规则以更新包的方式同步到云服务上，私有化系统可以将更新的规则直接拉取到本地，经过审核以后发布到线上。
28.本发明对特定场景的业务风险防控，可以同时收集多个私有化客户的漏防样本，对特定场景的策略优化可以做到最大化。从私有化环境同步到云端的一般都是黑样本数据，可以极大降低数据外泄风险。云端的收集和定期训练，将新规则同步给私有化，能做到联防联控，实现策略实时共享。
29.原始策略由风控厂商基于自身云服务积累得到，同步到私有化客户环境中。私有化用户将认为是漏防的数据样本同步给云端。云端通过收集到的黑样本数据，结合自身云服务数据，使用模型训练得到拦截黑样本的规则。这里针对的指标主要是准确率，不涉及召回率。私有化风控再定期从云端同步更新的规则。
30.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
31.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
32.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特
定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
33.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。