一种信息处理方法和装置与流程

本发明涉及信息技术领域，尤其涉及一种信息处理方法和装置。

背景技术：

随着网络技术和终端技术的日益普遍，网络交易中存在的风险越来越多，风险管控的各类方案应运而生。

然而，现有的风险管控中，系统与系统之间运转存在着需要大量人力和时间成本的问题，因此，如何提高风险管控的过程中的效率，减少人为参与，进而缩小风险管控的人力成本成为亟需解决的问题。

技术实现要素：

本发明的一个目的是提供一种信息处理方法和装置，以解决现有风险管控中的智能化低导致的效率低及浪费人力成本的问题。

根据本发明的第一方面，提供一种信息处理方法，所述方法包括：

从受监控的数据采集系统中获取样本数据；

根据所述样本数据聚类确定告警事件的触发参数；

根据所述告警事件的触发参数，检测是否发生了告警事件；

如果发生了告警事件，发出所述告警事件的告警通知。

进一步，本发明所述的方法中，所述方法应用于数据采集系统中；所述根据所述样本数据聚类确定告警事件触发参数的步骤，包括：

对所采集的所述样本数据进行聚类，得到聚类结果；

根据所述聚类结果，确定是否发生聚类异常；

如果发生聚类异常，则确定所述聚类异常对应的第一告警事件；

根据所述第一告警事件，，所述根据聚类结果，确定是否发生聚类异常的步骤，包括以下至少之一：

根据聚类结果，确定是否发生聚类异常中的样本数据无法聚类的第一类异常；

根据聚类结果，确定是否发生聚类异常中的同一事件出现频率超过阈值的第二类异常。

进一步，本发明所述的方法中，所述方法还包括：

所述数据采集系统将所述告警事件的触发参数上传至数据表中，以供数据处理系统进行访问。

进一步，本发明所述的方法中，所述方法应用于数据处理系统；所述根据所述样本数据聚类确定告警事件触发参数的步骤，包括：

访问数据表，获取所述数据表中存储的根据所述样本数据聚类确定的告警事件的触发参数。

进一步，本发明所述的方法中，所述访问数据表，获取所述数据表中存储的根据所述样本数据聚类确定的告警事件的触发参数，包括：

按照预定时间周期访问数据表，获取所述数据表中存储的根据所述样本数据聚类确定的告警事件触发参数。

进一步，本发明所述的方法中，所述根据所述样本数据聚类确定告警事件的触发参数的步骤，包括：

通过比对所述数据表中的历史触发参数与当前触发参数，得到比较结果；

根据所述比较结果，确定出第一告警事件的第一触发参数。

进一步，本发明所述的方法中，，所述根据所述比较结果，确定出第一告警事件的第一触发参数的步骤，包括：

根据所述比较结果，提取当前触发参数与历史触发参数相比发生变化的参数信息；

根据所述发生变化的参数信息，确定出第一告警事件的第一触发参数。

根据本发明的第二方面，提供一种信息处理装置，所述装置包括：

获取单元，用于从受监控的数据采集系统中获取样本数据；

确定单元，用于根据所述样本数据聚类确定告警事件的触发参数；

检测单元，用于根据所述告警事件的触发参数，检测是否发生了告警事件；

发出单元，用于如果发生了告警事件，发出所述告警事件的告警通知。

进一步，本发明所述的装置中，所述装置应用于数据采集系统中；所述确定单元包括获取子单元和确定子单元；

所述获取子单元，用于对所采集的所述样本数据进行聚类，得到聚类结果；

所述确定子单元，用于根据所述聚类结果，确定是否发生聚类异常；如果发生聚类异常，则确定所述聚类异常对应的第一告警事件；根据所述第一告警事件，确定所述第一告警事件的第一触发参数。

进一步，本发明所述的装置中，所述确定子单元还用于以下至少之一：

根据聚类结果，确定是否发生聚类异常中的样本数据无法聚类的第一类异常；

根据聚类结果，确定是否发生聚类异常中的同一事件出现频率超过阈值的第二类异常。

进一步，本发明所述的装置中，所述装置应用于数据采集系统，所述装置还包括：上传单元；

所述上传单元，用于将所述告警事件的触发参数上传至数据表中，以供数据处理系统访问。

进一步，本发明所述的装置中，所述装置应用于数据处理系统，所述确定单元具体用于：

访问数据表，获取所述数据表中存储的根据所述样本数聚类确定的告警事件参数。

进一步，本发明所述的装置中，所述确定单元具体还用于：

按照预定时间周期访问数据表，获取所述数据表中存储的根据所述样本数据聚类确定的告警事件触发参数。

进一步，本发明所述的装置中，所述确定单元具体用于：

通过比对所述数据表中的历史触发参数与当前触发参数，得到比较结果；根据所述比较结果，确定出第一告警事件的第一触发参数。

进一步，本发明所述的装置中，所述确定单元具体还用于：

根据所述比较结果，提取当前触发参数与历史触发参数相比发生变化的参数信息；

根据所述发生变化的参数信息，确定出第一告警事件的第一触发参数。

根据本发明的第三方面，提供一种存储介质，所述存储介质存储计算机程序指令，所述计算机程序指令根据上述所述的方法进行执行。

根据本发明的第四方面，提供一种计算设备，包括：用于存储计算机程序指令的存储器和用于执行计算机程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，触发所述计算设备执行本发明所述的方法。

本发明提供的信息处理方法和装置，应用于风险管控系统的数据处理系统中，利用从受监控的数据采集系统中获取样本数据；根据所述样本数据聚类确定告警事件的触发参数；根据所述告警事件的触发参数，检测是否发生了告警事件；如果发生了告警事件，发出所述告警事件的告警通知。由于本发明实施例的技术方案，能够从受监控的数据采集系统中获取样本数据，并最终发出告警事件的告警通知，整个过程完全不需要人工参与，相比较现有技术而言，有利于风险管控中的工作智能化，提高风险管控的工作效率，缩小风险管控中的人力成本。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为本发明实施例的信息处理方法的流程示意图；

图2为本发明实施例的信息处理方法的时序流程示意图；

图3为本发明具体实施例的信息处理方法的场景示意图；

图4为本发明具体实施例的信息处理方法的流程示意图；

图5为本发明具体实施例的信息处理方法的另一场景示意图；

图6为本发明具体实施例的信息处理方法的另一流程示意图；

图7为本发明实施例的信息处理装置的功能结构示意图。

附图中相同或相似的附图标记代表相同或相似的部件。

具体实施方式

下面结合附图对本发明作进一步详细描述。

图1为本发明实施例的信息处理方法的流程示意图，如图1所示，本发明实施例提供的信息处理方法，所述方法包括：

步骤101，从受监控的数据采集系统中获取样本数据；

步骤102，根据所述样本数据聚类确定告警事件的触发参数；

步骤103，根据所述告警事件的触发参数，检测是否发生了告警事件；

步骤104，如果发生告警事件，发出所述告警事件的告警通知。

需要说明的是，风险管控可以是基于风险管控中的多个系统协同完成的。所述风险管控系统是运用信息技术对风险进行管控的系统，是管理信息系统的重要组成部分，管理人员可借用信息技术工具嵌入业务流程，实时收集相关信息，从而对风险进行识别、分析、评估、预警、识别并制订对应的风险管控策略，处理现实的或者潜在的风险，控制并降低风险所带来的不利影响。例如，支付宝第五代风险引擎alpharisk。

而风险管控系统又是由一个或多个系统组成，多个系统之间在人工操作下协同作业，一起实现风险管控系统的风险管控。例如，alpharisk至少包括perception感知中心，用于感知外部风险态势，提前预警风险和黑产攻击；aidetect智能中心自检测，用于风险识别，有风险识别准确率高的优点；autopilot智能中心自适应，用于基于风险势态自动调整风险策略，可以减少人工干预；evolution进化中心，用于在线自动更新风险模块，可以提升风险引擎的对抗性。

在本实施例中，用于风险管控的系统可以包括数据采集系统和数据处理系统，例如，在alpharisk中，所述perception可以理解为数据采集系统，所述aidetect或者所述autopilot可以理解为数据处理系统。

可以理解的是，所述告警事件表示风险管控中所监控的软件或系统发生的存在风险的事件。例如，软件或系统的用户上报的投诉事件，再例如，支付宝系统中发生的盗取事件，支付宝扫码异常事件等。

这里，所述告警事件可以包括已知的风险事件和未知的风险事件，还可以包括已知的风险事件中的异常事件等。

这里，告警事件的触发参数，可以理解为触发告警事件产生的相关参数或信息，例如，支付宝盗取事件的触发参数可以包括被盗刷用户的报案资料或投诉信息，例如包括支付宝的设备识别码、用户名等信息；或者还可以理解为用于检测所述告警事件是否发生的相关信息，例如，基于某种策略下判断软件或系统发生的事件是否是告警事件，例如，有些策略是未通过人脸识别的情况下产生了的支付事件，才认为该事件为告警事件；而有些策略则是通过人脸识别的情况但在非正常时间或非正常地址产生的支付事件，都认为该事件为告警事件。总之，凡是可以用于表征所述告警事件的相关信息也都可以被归为告警事件的触发参数中。系统可以根据告警事件的触发参数来确定是否发生了告警事件，以及还可以根据告警事件的触发参数生成针对检测告警事件的相关策略，将策略仍作为告警事件的触发参数。

因此，相比较现有技术而言，由于本实施例所述的信息处理方法，能够从受监控的数据采集系统中获取样本数据；根据所述样本数据聚类确定告警事件的触发参数；根据所述告警事件的触发参数，检测是否发生了告警事件；如果发生了告警事件，发出所述告警事件的告警通知。整个过程完全不需要人工参与，可以提高有利于风险管控中的工作智能化，提高风险管控的工作效率，缩小风险管控中的人力成本。

可选地，所述方法可以应用于数据采集系统中；所述步骤102，可以包括：

对采集的所述样本数据进行聚类，得到聚类结果；根据所述聚类结果，确定是否发生聚类异常；如果发生聚类异常，则确定所述聚类异常对应的第一告警事件；根据所述第一告警事件，确定所述第一告警事件的第一触发参数。

在一可选实施例中，所述对采集的所述样本数据进行聚类，得到聚类结果，包括：利用数据采集系统中的聚类模型对所采集的所述样本数据进行聚类。

这里，所述聚类模型被配置在数据采集系统中，所述聚类模型是指通过算法对样本数据进行不同维度相似度聚集。

可选地，利用数据采集系统中的聚类模型对所采集的所述样本数据进行聚类，包括：利用数据采集系统中的聚类模型先所采集的所述样本数据进行向量化处理，对向量化处理后的样本数据再进行聚类，得到聚类结果。如此，可以减少聚类过程中的计算量。

可选地，所述根据聚类结果，确定是否发生聚类异常的步骤，包括以下至少之一：

根据聚类结果，确定是否发生聚类异常中的样本数据无法聚类的第一类异常；

根据聚类结果，确定是否发生聚类异常中的同一事件出现频率超过阈值的第二异常。

这里，第一类异常，可以理解为，在对样本数据进行聚类过程中，出现某些样本数据无法聚到已经建立的类中，例如，盗刷事件作为一个类，登录异常作为一个类，若其中一个样本数据既不属于盗刷事件又不属于登录异常，则判断为样本数据无法聚类的第一类异常。换而言之，第一类异常可以理解为未知的风险事件。

这里，第二类异常，可以理解为，同一事件出现的频率超过阈值，例如，当天盗刷事件的次数超过100次。这时，应该考虑到是否检测该盗刷事件的机制或策略存在问题，需要对该策略进行调整。例如，策略是通过人脸识别的情况但在非正常时间或非正常地址产生的支付事件，认为是告警事件。基于该策略，发生每天上报该告警事件的次数大于阈值，例如大于10次，实际上，可能支付系统的持有人正在出国期间，可能会出现非正常时间或非正常地址的支付事件较大，如此，需要对该策略进行调整，例如调整到未通过人脸识别的情况下才产生了的支付事件。换而言之，第二类异常可以理解为已知风险事件的异常事件。

可选地，所述数据采集系统将所述告警事件的触发参数上传至数据表中，以供数据处理系统进行访问。

这里，所述数据表为建立在数据库中用于存储所述数据采集系统发送的所述告警事件的触发参数。

在一些实施例中，所述数据表可以存储于服务器中，还可以是存储在云端，总之，数据库的接口可以被数据处理系统和数据采集系统所访问。

实际上，在一些实施例中，可以只有在发生了聚类异常，例如发生了未知的风险事件或者已知风险事件的异常事件的情况下，才会将告警事件的触发参数写入到该数据表中。如此一来，可以减轻数据处理系统对数据表的访问量。

可选地，所述方法应用于数据处理系统；所述根据所述样本数据聚类确定告警事件触发参数的步骤，包括：

访问数据表，获取所述数据表中存储的根据所述样本数据聚类确定的告警事件的触发参数。

在一些实施例中，所述访问数据表，获取所述数据表中存储的根据所述样本数据聚类确定的告警事件的触发参数，可以理解为是利用数据处理系统访问数据表，从而获取所述数据表中存储的由数据采集系统根据所述样本数据聚类确定的告警事件的触发参数。

可选地，所述访问数据表，获取所述数据表中存储的根据所述样本数据聚类确定的告警事件的触发参数的步骤，包括：按照预定时间周期访问数据表，获取所述数据表中存储的根据所述样本数据聚类确定的告警事件触发参数。

这里，所述预定时间周期可以是一天，或者一个小时，或者一个月。可以理解的是，对于不同软件或系统对应的风险管控中所设置的周期并可以不相不同，可以根据所述风险管控的对应管理的软件或系统的实际情况来设置。从而满足对不同软件或系统的时间的需求，以实现减少人力等待时间，提高风险管控系统针对系统之间的数据处理的效率。

例如，可以预定时间周期设置为一天，且设置的时刻可以为晚上十二点的非工作时间，如此，可以使得系统在非工作时间进行数据的流转，无需工作人员在工作时间进行等待，进一步提升了数据处理的效率。

可选地，所述根据样本数据聚类确定告警事件的触发参数的步骤，可以包括：

数据处理系统通过比对所述数据表中的历史触发参数与当前触发参数，得到比较结果；根据所述比较结果，确定出第一告警事件的第一触发参数。

这里，所述历史触发参数可以理解为数据表中在前一访问时刻之前存储所有告警事件的触发参数；所述当前触发参数可以理解为当前访问时刻之前存储的所有告警事件的触发参数。通过比对所述数据表中的历史触发参数与当前触发参数，得到比较结果，可以理解为，获取前一访问时刻到当前访问时刻之间存储的告警事件的触发参数。

实际上，如果在当前访问时刻与前一访问时刻之间不存在聚类异常，则可以说，数据表中存储的触发事件的参数是不会发生变化的。

可选地，所述根据所述比较结果，确定出第一告警事件的第一触发参数的步骤，包括：

根据所述比较结果，提取当前触发参数与历史触发参数相比发生变化的参数信息；根据所述发生变化的参数信息，确定出第一告警事件的第一触发参数。

也就是说，在一些实施例中，当前访问时刻与前一访问时刻之间存在了聚类异常，数据表存储的触发参数将发生变化，那么提取出发生变化的参数信息；根据所述发生变化的参数信息，确定出发生变化的参数信息对应的告警事件作为第一告警事件，发生变化的参数作为第一触发参数。

这里，发生变化的参数信息，可以包括相对于历史触发参数多余的信息；还可以包括历史触发参数中变化的参数。

具体地，请参阅图2，图2为本发明实施例的信息处理方法的时序流程示意图，如图2所示，所述方法步骤包括：

步骤201：数据采集系统获取样本数据；

步骤202：数据采集系统根据所述样本数据聚类确定告警事件的触发参数；

步骤203：数据采集系统系统将告警事件的触发参数上传至数据表中；

步骤204：数据处理系统访问数据表，获取所述数据表中存储的根据样本数据聚类确定的告警事件的触发参数。

如此一来，本发明实施例借助数据库将数据采集系统与数据处理系统的数据流转打通，即借助数据库实现数据采集系统和数据处理系统个之间的智能运转，减少了人工将数据采集系统的数据导入到数据处理系统的过程，能够减少人力成本，同时，数据导入的时间不受人工时间的限制，还可以提高风险管控的系统之间数据流转的效率，进而提高风险管控的工作效率。

需要补充的是，所述第一告警事件的第一触发参数，可以包括第一告警事件的第一类触发参数，或第二类触发参数。

这里的第一类触发参数可以理解为第一告警事件自身的事件信息，例如事件的标识、事件发生的地点、时间、事件对应的设备识别码等。这里的第二类触发参数可以理解为根据第一告警事件的第一类触发参数自动生成的与第一告警事件相关的其他参数，例如，判断第一告警事件发生的策略等，或者策略中对应的配置数据等。

所述根据所述样本数据聚类确定告警事件的触发参数，包括：根据所述样本数据聚类，确定聚类异常对应的第一告警事件的第一类触发参数；并根据所述第一类触发参数，确定所述第一告警事件的第二类触发参数。

具体地，根据所述样本数据聚类，生成聚类异常对应的第一告警事件的第一类触发参数，包括：根据样本数据聚类，基于数据处理系统中的相应的数据处理模型，基于第一类触发参数，生成针对告警事件的第二触发参数。

例如，当所述第一告警事件是未知的风险事件的情况下，当数据处理系统确定出第一类触发参数后，再基于第一数据处理模型得到与未知的风险事件对应的第二类触发参数以判断所述未知的风险事件的策略的第二类触发参数，以便后续可以直接基于第二类触发参数检测是否发生了当前未知的风险事件。

例如，当所述第一告警事件是已知的风险事件的异常事件的情况下，当数据处理系统确定出第一类触发参数后，再基于第二数据处理模型得到与所述已知的风险事件的异常事件对应的第二类触发参数以调整所述已知的风险事件的策略。

这里，所述第一数据处理模型和第二数据处理模型可以是被配置在数据处理系统中的，通过机器学习，能够利用告警事件的第一类触发参数直接生成针对告警事件的第二类触发参数的相关模型。

以下提供一具体实施例以进一步理解上述实施例所提供的信息处理方法。

本实施例以支付宝的alpharisk为例，其中alpharisk中的perception可以理解为为上述实施例所述的数据采集系统；alpharisk中的aidetect和autopilot可以理解为上述实施例所述的数据处理系统。

目前大安全-风险与决策中心-国内风险管理-盗用域在日常的风险运营与案件分析过程中，案件分场景分专项需要10余人负责日常运营，品平均花费3小时以上人力成本进行案件分析与汇总，2小时以上进行特征分析与策略分析，1小时以上策略配置与上线。其中，链路中的机械工具成本(如仿真实验室)和人力成本(如批量定性)都非常的高。

基于此，本发明提供的具体实施例通过智能运营链路的升级，可大幅缩减机械工具成本和人力成本，更及时处理并提升案件运营效率与效能。

请参阅图3，图3为本发明具体实施例的信息处理方法的场景示意图，如图所示，数据采集系统的聚类模型在进行聚类处理时，对于正常能够聚类分群的告警事件，直接生成告警事件的案件报告，以便风险管控。而对于无法进行聚类分群的告警事件，基于告警事件对应的第一类触发参数，生成针对告警事件的第二类触发参数，以第二类触发参数重新检测所述告警事件的发生，生成告警事件的案件报告。这里，无法进行聚类分群的告警事件可以为上述实施例所书的第一类异常，即样本数据无法聚类的第一类异常，在本实施例中，通过数据处理系统提取第一类异常对应的第一告警事件的第一类触发参数，基于数据处理系统中的第一数据处理模型，生成针对第一告警事件的第二类触发参数。

具体地，请参阅图4，图4为本发明具体实施例的信息处理方法的流程示意图，如图4所示，所述方法步骤包括：

步骤400：数据处理系统创建定时器；

这里，所述定时器的作用可以是上述实施例所述的设置访问的预定时间周期。

步骤401：数据采集系统进行第一类异常检测；

步骤402：数据采集系统将原始策略参数备份到数据库的数据表中；

这里，所述原始策略参数，可以理解为上述实施例所述的历史触发参数，或者，历史第二类触发参数。

步骤403：数据处理系统检测数据表中的数据发生变化；

这里，所述数据处理系统检测数据表中的数据发生变化的步骤，可以理解为上述实施例所述的所述数据处理系统通过比对所述数据表中的历史触发参数与当前触发参数，得到比较结果；根据所述比较结果，确定数据表中的数据是否发生变化。

步骤404：如果发生变化，则数据表返回变化的数据；

这里，数据表返回变化的数据的步骤，可以理解为上述实施例所述的根据比较结果，提取当前触发参数与历史触发参数相比发生变化的参数信息。

步骤405：数据处理系统分析处理所述变化的数据；

这里，数据处理系统分析处理所述变化的数据，可以理解为上述实施例所述的数据处理系统的第一数据处理模型根据所述变化的数据中的第一类触发参数，处理生成对应的第二类触发参数。

步骤406：生成与所述发生变化的数据对应的告警事件对应的策略，作为该告警事件的触发参数。

本实施例中，所述数据采集系统可以是perception系统，所述数据处理系统可以是aidetect系统。

本实施例中，可以是perception的聚类模型在监测到风险之后，例如，未知的风险事件，会把需要生成的aidetect任务相关的信息创建数据输出到一张odps(opendataprocessingservice，开放数据程式服务)表中，aidetect会定时检测该odps表是否存在新的记录，例如数据是否发生变化，如果存在，则自动使用新的数据创建aidetect任务，并且，一个记录可能存在需要创建多个aidetect任务的可能。

请参阅图5，图5为本发明具体实施例的信息处理方法的另一场景示意图，如图所示，数据采集系统的告警模型在进行告警处理时，对于正常的告警事件，直接发出告警通知，以便风险管控。而对于已知风险事件的异常事件，也就是告警处理过程中发现的异常事件，基于告警事件对应的第一类触发参数，按照新的配置数据生成针对告警事件的第二类触发参数，以第二类触发参数重新检测所述告警事件的发生，发出告警通知。这里，告警处理异常的告警事件可以为上述实施例所述的第二类异常，即同一事件出现频率超过阈值的第二类异常，在本实施例中，通过数据处理系统提取第二类异常对应的第一告警事件的第一类和/或第二触发参数，基于数据处理系统中的第二数据处理模型，以新的配置数据生成针对第一告警事件的调整后的第二类触发参数。

具体地，请参阅图6，图:6为本发明具体实施例的信息处理方法的另一流程示意图，如图6所示，所述方法步骤包括：

步骤600：创建定时器；

步骤601：数据采集系统将告警事件报告发送给数据库中；

步骤602：数据处理系统检测数据表中的数据发生变化；

这里，所述数据发生变化可以理解为上述实施例所述的历史触发参数中变化的参数，例如，针对同一事件的频率范围发生了变化，例如超出了阈值。

步骤603：检测数据表中的数据发生变化；

步骤604：如果发生变化，则数据表返回变化的数据；

步骤605：数据处理系统根据变化的数据生成配置数据；

步骤606：数据处理系统找到存有的配置数据对应的策略；

步骤607：数据处理系统将对应的策略作为调整后的策略重新进行告警事件的告警处理。

本实施例中，所述数据采集系统可以是perception系统，所述数据处理系统可以是autopilot系统。

本实施例中，perception的监测/告警模型在检测到决策树的分群异常之后，会吐出分群策略uuid(universallyuniqueidentifier，通用唯一识别码)，根据策略的uuid查询最新创建包含该策略的autopilot任务，并重新执行。从而自动调整每一条策略的阈值，以在最佳覆盖率和最小打扰率中间寻找到机器能做到的最科学最佳平衡点。

这里，分群异常可以理解为上述实施例所述的历史告警事件的某一类事件出现的第二类异常，此时，会突出该类的策略对应的uuid；所述根据策略的uuid查询最新创建包含该策略的autopilot任务，可以理解为，根据策略的uuid，查询针对当前策略调整的配置数据，更新当前策略的配置数据生成对应的autopilot任务。其中，所述配置数据可以为本实施例所述的策略的阈值。

上述实施例无需人工介入，可以在夜间非工作时间提前将数据计算待用，以便运营人员每日工作时间直接决策是否应用上述实施例推荐处理的各条策略，如需调整则简单快速调整，即可生成策略，大大节省了运营时间。

换而言之，在风险决策中心风险管控的日常运营中，通过系统与系统的数据智能流转，让所有需要人工介入的风险运营工作转为机器根据大数据的算法推荐，将以往“数据等待人来处理到策略需要人来建立到生成策略后又需要进一步等待数据跑队列完成到人工点击发布策略应用”这一模式彻底转变为“机器自动识别数据相似度(进行聚类)到机器推荐变量或特征到机器自动推荐生成策略到人工只决策是否应用策略结果”的智能运营链路。

本实施例的方法可将大安全-风险识别与决策的风控策略调整在最佳收益与最小成本中不断自我学习自我调整，达到最佳平衡点的同时节省运营时间与运营人力成本。

图7为本发明实施例的信息处理装置的功能结构示意图，如图7所示，本发明实施例的信息处理装置，所述装置包括：获取单元71、确定单元72、检测单元73和发出单元74。

所述获取单元71，用于从受监控的数据采集系统中获取样本数据；

所述确定单元72，用于根据所述样本数据聚类确定告警事件的触发参数；

所述检测单元73，用于根据所述告警事件的触发参数，检测是否发生了告警事件；

所述发出单元74，用于如果发生了告警事件，发出所述告警事件的告警通知。

在本发明一个实施例中，所述装置应用于数据采集系统中，所述确定单元72包括获取子单元和确定子单元；

所述获取子单元，用于对所述采集的所述样本数据进行聚类，得到聚类结果；

所述确定子单元，用于根据所述聚类结果，确定是否发生聚类异常；如果发生聚类异常，则确定所述聚类异常对应的第一告警事件；根据所述第一告警事件，确定所述第一告警事件的第一触发参数。

在本发明一个实施例中，所述确定子单元还用于至少以下之一：

根据聚类结果，确定是否发生聚类异常中的样本数据无法聚类的第一类异常；

根据聚类结果，确定是否发生聚类异常中的同一事件出现频率超过阈值的第二类异常。

在本发明一个实施例中，所述装置应用于数据采集系统，所述装置还包括：上传单元；

所述上传单元，用于将所述告警事件的触发参数上传至数据表中，以供数据处理系统访问。

在本发明一个实施例中，所述装置应用于数据处理系统，所述确定单元72具体用于：

访问数据表，获取所述数据表中存储的根据所述样本数据聚类确定的告警事件参数。

在本发明一个实施例中，所述装置应用于数据处理系统，所述确定单元72具体还用于：

按照预定时间周期访问数据表，获取所述数据表中存储的根据所述样本数据聚类确定的告警事件参数。

在本发明一个实施例中，所述确定单元72具体还用于：

通过比对所述数据表中的历史触发参数与当前触发参数，得到比较结果；根据所述比较结果，确定出第一告警事件的第一触发参数。

在本发明一个实施例中，所述确定单元72具体还用于：

根据所述比较结果，提取当前触发参数与历史触发参数相比发生变化的参数信息；

根据所述发生变化的参数信息，确定出第一告警事件的第一触发参数。

本发明实施例图7所示装置为本发明实施例图1和图2所示方法的实现装置，其具体原理与本发明实施例图1和图2所示方法相同，此处不再赘述。

在本发明一个实施例中，还提供一种存储介质，所述存储介质存储计算机程序指令，所述计算机程序指令根据本发明实施例的方法进行执行。

在本发明一个典型的配置中，计算设备均包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的示例。

在本发明一个实施例中，还提供一种计算设备，包括：用于存储计算机程序指令的存储器和用于执行计算机程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，触发所述计算设备执行本发明实施例的方法。

计算机可读存储介质包括永久性和非永久性、可移动和非可移动媒体，可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的装置或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。

需要注意的是，本发明可在软件和/或软件与硬件的组合体中被实施，例如，可采用专用集成电路(asic)、通用目的计算机或任何其他类似硬件设备来实现。在一些实施例中，本发明的软件程序可以通过处理器执行以实现上文步骤或功能。同样地，本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中，例如，ram存储器，磁或光驱动器或软磁盘及类似设备。另外，本发明的一些步骤或功能可采用硬件来实现，例如，作为与处理器配合从而执行各个步骤或功能的电路。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。