事件的实时归类方法和装置与流程

本说明书一个或多个实施例涉及网络通信技术，尤其涉及事件的实时归类方法和装置。

背景技术：

1、随着互联网的日益成熟，在互联网中实时发生着海量的各种类型的事件，比如正常的交易事件、违规者发起的违规交易事件、网络电话事件、数据库访问事件等。面对网络中海量的事件，网络安全则成为了一个非常重要的议题。比如，在网络中会出现违规者发起的违规交易事件，比如盗用他人财产等，因此，需要对网络中发生的事件实时地进行归类，判断该事件是否为违规事件，从而根据归类结果来进行后续的处理，比如网络中实时发生的一个交易事件如果被归类为违规交易，则会进行对应的风险控制处理，比如终止交易流程或向交易方进行安全询问等，而该交易事件如果没有被归类为违规交易，则可以进行后续的交易流程。

2、在已有的技术中，为了能够更好地对网络中实时发生的事件进行归类，通常都会预先对一种类型的违规事件进行分析，分析其特点，比如违规交易发生的时间、地点、金额、账户信息等各种特点，然后根据分析结果制定出符合该种类型的违规事件模型、应对策略以及上线策略。后续，当网络中发生了一个实时事件时，就可以实时地将该事件与该违规事件模型进行匹配，从而确定当前发生的事件是否属于该类型中的违规事件，比如一个交易是否为违规交易。

3、但是，此种针对一种类型的违规事件预先进行分析、产生策略、上线策略的流程会消耗大量的处理资源，当面对网络中的海量事件时，无法及时得出各种类型的违规事件的模型、应对策略以及上线策略，从而无法对实时发生的事件进行有效的归类。

技术实现思路

1、本说明书一个或多个实施例描述了事件的实时归类方法和装置，能够实时地对事件进行归类，提高风控处理的及时性。

2、根据第一方面，提供了一种事件的实时归类方法，其中，该方法包括：

3、得到在网络中当前发生的一个事件；

4、得到该事件的表征；

5、根据该事件所属的业务类型，得到预先确定出的该业务类型对应的违规事件集的质心；

6、计算该事件的表征与该违规事件集的质心之间的距离；

7、判断该距离是否不大于该业务类型对应的违规事件集的半径；

8、如果是，则确定当前发生的该事件是该业务类型的违规事件，否则确定当前发生的该事件不是该业务类型的违规事件。

9、其中，所述违规事件集为：黑产团伙事件或者其他违规群体的事件。

10、其中，所述确定一种业务类型对应的违规事件集的质心及半径的方法，包括：

11、针对一种业务类型，得到该业务类型的违规事件集；其中，该违规事件集中包括已经确定出的多个违规事件；

12、得到违规事件集中每一个违规事件的表征；

13、利用违规事件集中各违规事件的表征以及聚类算法得到违规事件集的质心及半径。

14、该方法进一步包括：针对一种业务类型，确定该业务类型的白样本集；其中，该白样本集中包括多个已经确定出的非违规的正常事件；得到白样本集中每一个正常事件的表征；确定出与该业务类型的违规事件集中违规事件的表征相近的各正常事件的各第一表征；

15、所述利用违规事件集中各违规事件的表征以及聚类算法得到违规事件集的质心及半径，包括：

16、将各个第一表征作为分隔点，利用聚类算法对违规事件集中各违规事件的表征进行聚类，以便得到违规事件集的质心及半径。

17、其中，所述针对一种业务类型确定该业务类型的白样本集，包括：

18、根据该业务类型的违规事件集中各个违规事件发生的时间段，收集在该时间段内发生的非违规的正常事件；

19、利用收集到的该时间段内发生的非违规的正常事件形成该业务类型的白样本集。

20、其中，所述确定出与该业务类型的违规事件集中违规事件的表征相近的各正常事件的各第一表征，包括：

21、针对该业务类型，利用白样本集中每一个正常事件的表征构造kd-tree；

22、将该业务类型的违规事件集中违规事件的表征与kd-tree中正常事件的表征进行匹配，从而确定出与该业务类型的违规事件集中违规事件的表征相近的各正常事件的各第一表征。

23、其中，得到一个事件的表征的方法包括：将一个事件的属性输入表征模型中，将该表征模型输出的多维向量作为该事件的表征。

24、根据第二方面，提高了事件的实时归类装置，其中，该装置包括：

25、事件爬取模块，配置为得到在网络中当前发生的一个事件；

26、表征获取模块，配置为得到该事件的表征；

27、查找模块，配置为根据该事件所属的业务类型，得到预先确定出的该业务类型对应的违规事件集的质心；

28、归类处理模块，配置为计算该事件的表征与该违规事件集的质心之间的距离；判断该距离是否不大于该业务类型对应的违规事件集的半径；如果是，则确定当前发生的该事件是该业务类型的违规事件，否则确定当前发生的该事件不是该业务类型的违规事件。

29、根据第三方面，提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机实现本说明书任一实施例所述的方法。

30、根据第四方面，提供了一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现本说明书任一实施例所述的方法。

31、本说明书实施例提供的事件的实时归类方法和装置，对于一种类型的违规事件无需进行分析、产生策略、上线策略的一系列耗时的流程，而只需要得到违规事件集的质心、半径，这样，当网络中发生了一个事件时，只需要将该事件的表征与违规事件集的质心进行对比，即可判断出当前发生的事件是否为违规事件，因此，实现方式简单，将网络中的海量事件缩减为少量的质心、半径，即可完成事件的实时归类，因此，能够大大提高风险控制的及时性。

技术特征：

1.事件的实时归类方法，其中，该方法包括：

2.根据权利要求1所述的方法，其中，所述违规事件集为：黑产团伙事件或者其他违规群体的事件。

3.根据权利要求1所述的方法，其中，所述确定一种业务类型对应的违规事件集的质心及半径的方法，包括：

4.根据权利要求3所述的方法，其中，

5.根据权利要求4所述的方法，其中，所述针对一种业务类型确定该业务类型的白样本集，包括：

6.根据权利要求4所述的方法，其中，所述确定出与该业务类型的违规事件集中违规事件的表征相近的各正常事件的各第一表征，包括：

7.根据权利要求1所述的方法，其中，得到一个事件的表征的方法包括：将一个事件的属性输入表征模型中，将该表征模型输出的多维向量作为该事件的表征。

8.事件的实时归类装置，其中，该装置包括：

9.一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行权利要求1-7中任一项所述的方法。

10.一种计算设备，包括存储器和处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，实现权利要求1-7中任一项所述的方法。

技术总结
本说明书实施例提供了一种事件的实时归类方法，其中，该方法包括：得到在网络中当前发生的一个事件；得到该事件的表征；根据该事件所属的业务类型，得到预先确定出的该业务类型对应的违规事件集的质心；计算该事件的表征与该违规事件集的质心之间的距离；判断该距离是否不大于该业务类型对应的违规事件集的半径；如果是，则确定当前发生的该事件是该业务类型的违规事件，否则确定当前发生的该事件不是该业务类型的违规事件。本说明书实施例能够实时地对事件进行归类，提高风控处理的及时性。

技术研发人员：朱家明,谭潇
受保护的技术使用者：支付宝（杭州）信息技术有限公司
技术研发日：
技术公布日：2024/1/15