一种交易风险识别方法、装置、及计算机设备与流程

本说明书实施例涉及数据处理技术领域，尤其涉及一种交易风险识别方法、装置、及计算机设备。

背景技术

目前，存在一类具有一定技术能力的资金盗用者，其通过向用户常用的电脑设备(例如个人笔记本电脑、办公电脑、家庭电脑等)植入木马病毒，以获取用户的身份信息、资金账户信息、交易信息等，并利用这些信息远程控制用户常用的电脑设备实施支付行为，从而达到盗取用户资金的目的。

由于此类资金盗用事件发生于用户常用的电脑设备上，从而导致从用户行为角度分析来看，此类资金盗用事件与用户本人正常交易事件之间的区分度很低，也就导致现有的风控系统对此类资金盗用事件进行识别的准确度较低，继而导致用户打扰率较高，影响用户体验。

技术实现要素：

针对上述技术问题，本说明书实施例提供一种交易风险识别方法、装置、及计算机设备，技术方案如下：

根据本说明书实施例的第一方面，提供一种交易风险识别方法，所述方法包括：

获取风险识别模型针对待识别交易输出的预测结果；

获取指定风险量化评分卡针对所述待识别交易输出的量化结果，所述指定风险量化评分卡为所述待识别交易所属的交易场景对应的风险量化评分卡，其中，不同的交易场景对应不同的风险量化评分卡；

获取用于表示所述待识别交易是否存在木马风险的技术识别结果；

根据所述预测结果、所述量化结果，以及所述技术识别结果确定所述待识别交易的风险等级。

根据本说明书实施例的第二方面，提供一种交易风险识别装置，所述装置包括：

第一获取模块，用于获取风险识别模型针对待识别交易输出的预测结果；

第二获取模块，用于获取指定风险量化评分卡针对所述待识别交易输出的量化结果，所述指定风险量化评分卡为所述待识别交易所属的交易场景对应的风险量化评分卡，其中，不同的交易场景对应不同的风险量化评分卡；

第三获取模块，用于获取用于表示所述待识别交易是否存在木马风险的技术识别结果；

确定模块，用于根据所述预测结果、所述量化结果，以及所述技术识别结果确定所述待识别交易的风险等级。

根据本说明书实施例的第三方面，提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，所述处理器执行所述程序时实现本说明书实施例提供的交易风险识别方法。

本说明书实施例所提供的技术方案，通过获取风险识别模型针对待识别交易输出的预测结果，获取指定风险量化评分卡针对待识别交易输出的量化结果，以及获取用于表示待识别交易是否存在木马风险的技术识别结果，根据预测结果、量化结果，以及技术识别结果共同确定待识别交易的风险等级，实现了区分交易场景，精准地识别依赖木马病毒实现的资金盗用事件，有效保障用户资金账户的安全性，同时降低用户打扰率，保障用户的支付体验。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本说明书实施例。

此外，本说明书实施例中的任一实施例并不需要达到上述的全部效果。

附图说明

为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书实施例中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本说明书一示例性实施例提出的一种交易风险识别方法的实施例流程图；

图2为生成风险量化评分卡过程的示意图；

图3为指定三维空间中风险阈值曲面的示意图；

图4为本说明书一示例性实施例提供的交易风险识别装置的实施例框图；

图5示出了本说明书实施例所提供的一种更为具体的计算设备硬件结构示意图。

具体实施方式

为了使本领域技术人员更好地理解本说明书实施例中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行详细地描述，显然，所描述的实施例仅仅是本说明书的一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员所获得的所有其他实施例，都应当属于保护的范围。

在风控系统中，针对用户资金账户实施反盗用是重中之重。通过对历史发生的资金盗用事件进行分析可以发现，一类资金盗用者在盗取到用户的身份信息、资金账户信息之后，使用自身手机或电脑设备操作用户的资金账户，以盗取资金；而另一类资金盗用者则具有一定技术能力，其通过向用户常用的电脑设备(例如个人笔记本电脑、办公电脑、家庭电脑等)植入木马病毒，以获取用户的身份信息、资金账户信息等，并利用这些信息远程控制用户常用的电脑设备实施支付行为，以盗取资金。

针对由后一类资金盗用者操纵的资金盗用事件而言，由于其依赖木马病毒，从而通常发生于电脑设备端，并且，由于此类资金盗用事件发生于用户常用的电脑设备上，从而导致从用户行为角度分析来看，此类资金盗用事件与用户本人正常交易事件之间的区分度很低，这也就导致现有的风控系统对此类资金盗用事件进行识别的准确度较低，从而导致用户打扰率较高，影响用户体验。

基于此，本说明书实施例提供一种交易风险识别方法，该方法着重针对上述所描述的依赖木马病毒实现的资金盗用事件，以提高识别出此类资金盗用事件的准确度，继而降低用户打扰率，提升用户体验。

请参见图1，为本说明书一示例性实施例提出的一种交易风险识别方法的实施例流程图，该方法可以包括以下步骤：

步骤102：获取风险识别模型针对待识别交易输出的预测结果。

在本说明书实施例中，可以利用有监督学习算法，例如k-近邻算法、决策树算法、逻辑回归算法等，对历史交易事件样本集进行训练，得到风险识别模型，其中，该历史交易事件样本集中包括多个历史交易事件，且任一历史交易事件具有已确定标签值，该已确定标签值用于标识历史交易事件的风险等级，例如高风险或低风险。

至于利用有监督学习算法对历史交易事件样本集进行训练，得到风险识别模型的具体过程，本领域技术人员可以参见相关技术中的描述，本说明书实施例对此不再详述。

在本说明书实施例中，当接收到客户端发起的待识别交易时，将该待识别交易输入上述训练出的风险识别模型，则可以获取到该风险识别模型针对待识别交易输出的预测结果。

步骤104：获取指定风险量化评分卡针对待识别交易输出的量化结果，所述指定风险量化评分卡为该待识别交易所属的交易场景对应的风险量化评分卡，其中，不同的交易场景对应不同的风险量化评分卡。

在本说明书实施例中，考虑到上述风险识别模型是在全场景层面上对待识别交易进行风险识别，而对于一些适用范围较小的交易场景、新出现的交易场景而言，风险识别效率较低，识别准确率较低(尤其是对于新出现的交易场景而言)，从而进一步提出了风险量化评分卡。

通俗来说，风险量化评分卡是在特定交易场景下，综合待识别交易的多个维度信息(例如收付款方之间关系、付款方身份信息、收款方身份信息、付款方行为模式信息等)，综合运用数学分析模型，对待识别交易进行综合评分，判断其风险等级的工具。这里所说的交易场景至少包括转账场景、线上支付场景、红包场景、公共事业缴费场景，或线下支付场景等。

综上，在本说明书实施例中，可以针对任一交易场景，利用交易场景对应的历史交易事件样本集拟合出该交易场景对应的风险量化评分卡，从而得到各个交易场景各自对应的风险量化评分卡，也即不同的交易场景对应不同的风险量化评分卡。其中，交易场景对应的历史交易事件样本集中包括多个发生于该交易场景下的历史交易事件，且任一发生于该交易场景下的历史交易事件均具有已确定标签值。

在本说明书实施例中，以其中一个交易场景为例，利用该交易场景对应的历史交易事件样本集拟合出该交易场景对应的风险量化评分卡的大致过程可以包括：在维度上进行变量清洗、计算变量woe(weightofevidence，证据权重)并基于iv(informationvalue，信息量)值进行变量筛选、将变量woe整合为模块woe、构建评分卡、评分卡优化等处理步骤，至于实施该些步骤的具体过程，本领域技术人员可以参见相关技术中的描述，本说明书实施例对此不再详述。

为了使本领域技术人员更好地理解上述描述的风险量化评分卡的构建层级，示出图2，该图2为生成风险量化评分卡过程的示意图。

在本说明书实施例中，当接收到客户端发起的待识别交易时，可以首先确定该待识别交易所属的交易场景，例如，可以通过该待识别交易所对应的交易接口确定该待识别交易所属的交易场景，然后，将该待识别交易输入其所属的交易场景对应的风险量化评分卡，为了描述方便，将其所属的交易场景对应的风险量化评分卡称为指定风险量化评分卡，则可以获取到该指定风险量化评分卡针对待识别交易输出的量化结果。

步骤106：获取用于表示待识别交易是否存在木马风险的技术识别结果。

在本说明书实施例中，可以结合两方面的考量因素获取用于表示待识别交易是否存在木马风险的技术识别结果，一方面，确定发起待识别交易的客户端上是否种植有木马病毒；另一方面，确定待识别交易是否通过远程控制发起。对于前者而言，可以利用已知的木马病毒的特性对发起待识别交易的客户端进行文件扫描，例如全盘扫描，以确定该客户端上是否种植有木马病毒；对于后者而言，则可以利用特定的技术手段，从操作行为角度分析待识别交易是否通过远程控制发起，例如，检测在客户端发起该待识别交易的过程中，其键盘鼠标是否无任何操作，其中，若键盘鼠标无任何操作，则可认为待识别交易通过远程控制发起；检测该客户端是否频繁发起待识别交易，其中，若该客户端频繁发起待识别交易，则可认为待识别交易通过远程控制发起；检测在客户端发起该待识别交易的过程中，鼠标点击的操作点是否位于该客户端显示屏幕之外，其中，若鼠标点击的操作点位于客户端显示屏幕之外，则可认为待识别交易通过远程控制发起，等等。

在本说明书实施例中，当确定客户端上种植有木马病毒，和/或确定待识别交易通过远程控制发起时，则可认为待识别交易存在木马风险，也即可以得到用于表示待识别交易存在木马风险的技术识别结果；当确定客户端上未种植有木马病毒，且确定待识别交易并非通过远程控制发起时，则可认为待识别交易不存在木马风险，也即可以得到用于表示待识别交易不存在木马风险的技术识别结果。举例来说，可以用“0”表示待识别交易不存在木马风险的技术识别结果；用“1”表示待识别交易存在木马风险的技术识别结果。

以上，对步骤102、步骤104，以及步骤106分别作出描述，在此需要说明的是，上述所示例的步骤102至步骤106的执行顺序并非严格如此，在实际应用中，只要针对待识别交易分别得到预测结果、量化结果、技术识别结果即可，至于得到该三个结果的先后顺序，本说明书实施例不作限制。

此外，在本说明书实施例中，在针对任一交易场景，拟合出各自对应的风险量化评分卡之后，还可以进行如下处理：

以其中一个交易场景为例，可以获取该交易场景对应的风险量化评分卡针对该交易场景对应的测试交易事件集中的任一测试交易事件输出的量化结果，其中，这里所说的“对应”是指，测试交易事件发生在该交易场景下，并且，任一交易事件不具有标签值，不同的交易场景对应的测试交易事件集不同。

针对任一测试交易事件，可以获取用于表示该测试交易事件是否存在木马风险的技术识别结果，至于此步骤的具体实现过程，可以参见上述步骤106中的相关描述，在此不再详述。

另外，针对任一测试交易事件而言，其均具有交易金额，那么通过上述处理，对于任一测试交易事件而言，则可以获取到其三个维度的信息，分别为量化结果、技术识别结果、交易金额。

后续，则可以利用各个测试交易事件在该三个维度的信息，在指定三维空间中拟合出一个曲面，其中，该指定三维空间的三个轴则分别表示量化结果、技术识别结果、交易金额。在本说明书实施例中，为了描述方便，将该曲面称为风险阈值曲面，例如，如图3所示，为指定三维空间中风险阈值曲面的示意图。通俗来说，该图3所示例的风险阈值曲面可以理解为一个“二分类器”，通过该风险阈值曲面，可以将待识别交易分类为高风险交易或低风险交易。

在本说明书实施例中，可以采用求取帕累托最优集的求解方法拟合出图3所示例的风险阈值曲面，至于具体的拟合过程，本领域技术人员可以参见现有技术中的相关描述，本说明书实施例对此不再详述。

步骤108：根据预测结果、量化结果，以及技术识别结果确定待识别交易的风险等级。

基于上述描述，在本说明书实施例中，则可以结合两方面的考量因素确定待识别交易的风险等级，其中一个考量因素为风险识别模型输出的预测结果，另一个考量因素则为利用上述风险阈值曲面，根据待识别交易的量化结果、技术识别结果，以及交易金额对待识别交易进行分类的分类结果。

得到后一个考量因素的过程为：根据步骤104中得到的待识别交易的量化结果、步骤106中得到的待识别交易的技术识别结果，以及待识别交易的交易金额，确定该待识别交易在图3所示例的指定三维空间中对应的位置点，若该位置点位于风险阈值曲面的上方，则可以得到待识别交易为高风险交易的分类结果；若该位置点位于风险阈值曲面的下方，或者位于该风险阈值曲面上，则可以得到待识别交易为低风险交易的分类结果。

在此需要说明的是，由于该后一个考量因素是通过待识别交易的量化结果、技术识别结果，以及交易金额这三个维度的信息得出的，通过该种处理，可以实现在风险等级高的情况下实施低金额管控，在风险等级低的情况下实施高金额管控，从而在提高风险识别准确度的同时，尽可能降低用户打扰率，保障用户的支付体验。

此外，在本说明书实施例中，确定待识别交易的风险等级之后，则可以依据所确定出的风险等级对该待识别交易进行处理，例如，若确定出待识别交易的风险等级为低风险，则可以正常对该待识别交易进行处理；若确定出待识别交易的风险等级为高风险，则可以对该待识别交易采取管控措施，例如短信校验、手机扫码鉴权、限制交易等等。

本说明书实施例所提供的技术方案，通过获取风险识别模型针对待识别交易输出的预测结果，获取指定风险量化评分卡针对待识别交易输出的量化结果，以及获取用于表示待识别交易是否存在木马风险的技术识别结果，根据预测结果、量化结果，以及技术识别结果共同确定待识别交易的风险等级，实现了区分交易场景，精准地识别依赖木马病毒实现的资金盗用事件，有效保障用户资金账户的安全性，同时降低用户打扰率，保障用户的支付体验。

相应于上述方法实施例，本说明书实施例还提供一种交易风险识别装置，参见图4所示，为本说明书一示例性实施例提供的交易风险识别装置的实施例框图，该装置可以包括：第一获取模块41、第二获取模块42、第三获取模块43，以及确定模块44。

其中，第一获取模块41，可以用于获取风险识别模型针对待识别交易输出的预测结果；

第二获取模块42，可以用于获取指定风险量化评分卡针对所述待识别交易输出的量化结果，所述指定风险量化评分卡为所述待识别交易所属的交易场景对应的风险量化评分卡，其中，不同的交易场景对应不同的风险量化评分卡；

第三获取模块43，可以用于获取用于表示所述待识别交易是否存在木马风险的技术识别结果；

确定模块44，可以用于根据所述预测结果、所述量化结果，以及所述技术识别结果确定所述待识别交易的风险等级。

在一实施例中，所述交易场景至少包括：

转账场景、线上支付场景、红包场景、公共事业缴费场景、线下支付场景。

在一实施例中，所述第三获取模块43可以包括(图4中未示出)：

第一确定子模块，用于确定发起所述待识别交易的客户端上是否种植有木马病毒；

第二确定子模块，用于确定所述待识别交易是否通过远程控制发起；

第三确定子模块，用于当确定所述客户端上种植有木马病毒，和/或确定所述待识别交易通过远程控制发起时，得到用于表示所述待识别交易存在木马风险的技术识别结果；当确定所述客户端上未种植有木马病毒，且确定所述待识别交易并非通过远程控制发起时，得到用于表示所述待识别交易不存在木马风险的技术识别结果。

在一实施例中，所述装置还可以包括(图4中未示出)：

训练模块，用于利用有监督学习算法对历史交易事件样本集进行训练，得到风险识别模型，所述历史交易事件样本集中包括多个历史交易事件，且任一所述历史交易事件具有已确定标签值；

拟合模块，用于针对任一交易场景，利用所述交易场景对应的历史交易事件样本集拟合出所述交易场景对应的风险量化评分卡，所述交易场景对应的历史交易事件样本集中包括多个发生于所述交易场景下的历史交易事件，且任一发生于所述交易场景下的历史交易事件具有已确定标签值。

在一实施例中，所述装置还可以包括(图4中未示出)：

第四获取模块，用于获取所述交易场景对应的风险量化评分卡针对所述交易场景对应的测试交易事件集中的任一测试交易事件输出的量化结果；

第五获取模块，用于针对所述任一测试交易事件，获取用于表示所述测试交易事件是否存在木马风险的技术识别结果；

曲面拟合模块，用于利用所述任一测试交易事件的量化结果、技术识别结果，以及交易金额，在指定三维空间中拟合出所述交易场景对应的风险阈值曲面，所述指定三维空间的三个轴分别表示量化结果、技术识别结果、交易金额；

在一实施例中，所述确定模块44可以包括(图4中未示出)：

分类子模块，用于利用所述风险阈值曲面，根据所述待识别交易的量化结果、技术识别结果，以及交易金额对所述待识别交易进行分类，得到所述待识别交易的分类结果，所述分类结果为高风险交易或低风险交易；

风险等级确定子模块，用于根据所述待识别交易的分类结果、所述预测结果确定所述待识别交易的风险等级。

在一实施例中，所述分类子模块可以包括(图4中未示出)：

位置点确定子模块，用于根据所述待识别交易的量化结果、技术识别结果，以及交易金额，确定所述待识别交易在所述指定三维空间中对应的位置点；

第四确定子模块，用于若所述位置点位于所述风险阈值曲面的上方，则得到所述待识别交易为高风险交易的分类结果；若所述位置点位于所述风险阈值曲面的下方，或者位于所述风险阈值曲面上，则得到所述待识别交易为低风险交易的分类结果。

可以理解的是，第一获取模块41、第二获取模块42、第三获取模块43，以及确定模块44作为四种功能独立的模块，既可以如图4所示同时配置在装置中，也可以分别单独配置在装置中，因此图4所示的结构不应理解为对本说明书实施例方案的限定。

此外，上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

本说明书实施例还提供一种计算机设备，其至少包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，处理器执行所述程序时实现前述的交易风险识别方法，该方法至少包括：获取风险识别模型针对待识别交易输出的预测结果；获取指定风险量化评分卡针对所述待识别交易输出的量化结果，所述指定风险量化评分卡为所述待识别交易所属的交易场景对应的风险量化评分卡，其中，不同的交易场景对应不同的风险量化评分卡；获取用于表示所述待识别交易是否存在木马风险的技术识别结果；根据所述预测结果、所述量化结果，以及所述技术识别结果确定所述待识别交易的风险等级。

图5示出了本说明书实施例所提供的一种更为具体的计算设备硬件结构示意图，该设备可以包括：处理器510、存储器520、输入/输出接口530、通信接口540和总线550。其中处理器510、存储器520、输入/输出接口530和通信接口540通过总线550实现彼此之间在设备内部的通信连接。

处理器510可以采用通用的cpu(centralprocessingunit，中央处理器)、微处理器、应用专用集成电路(applicationspecificintegratedcircuit，asic)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。

存储器520可以采用rom(readonlymemory，只读存储器)、ram(randomaccessmemory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器520可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器520中，并由处理器510来调用执行。

输入/输出接口530用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图5中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。

通信接口540用于连接通信模块(图5中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如usb、网线等)实现通信，也可以通过无线方式(例如移动网络、wifi、蓝牙等)实现通信。

总线550包括一通路，在设备的各个组件(例如处理器510、存储器520、输入/输出接口530和通信接口540)之间传输信息。

需要说明的是，尽管上述设备仅示出了处理器510、存储器520、输入/输出接口530、通信接口540以及总线550，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。

本说明书实施例还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现前述的交易风险识别方法，该方法至少包括：获取风险识别模型针对待识别交易输出的预测结果；获取指定风险量化评分卡针对所述待识别交易输出的量化结果，所述指定风险量化评分卡为所述待识别交易所属的交易场景对应的风险量化评分卡，其中，不同的交易场景对应不同的风险量化评分卡；获取用于表示所述待识别交易是否存在木马风险的技术识别结果；根据所述预测结果、所述量化结果，以及所述技术识别结果确定所述待识别交易的风险等级。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本说明书实施例可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本说明书实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本说明书实施例各个实施例或者实施例的某些部分所述的方法。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，在实施本说明书实施例方案时可以把各模块的功能在同一个或多个软件和/或硬件中实现。也可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅是本说明书实施例的具体实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本说明书实施例原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本说明书实施例的保护范围。