CN110691082B - 风险事件的处理方法及装置 - Google Patents

Abstract

本说明书一个或多个实施例公开了一种风险事件的处理方法及装置，用以实现风险防控的智能化及提高风险识别的准确率。所述方法包括：获取指定时间段内发生的各事件的事件信息；所述各事件的事件信息包括当前事件的第一事件信息及多个历史事件的第二事件信息；所述事件信息包括执行所述事件的用户信息和/或设备信息；根据所述第一事件信息及所述第二事件信息，确定各所述事件在预设维度上的事件分布特征；根据所述事件分布特征，确定所述当前事件是否为风险事件。

Description

风险事件的处理方法及装置

技术领域

本文件涉及通信领域，尤其涉及一种风险事件的处理方法及装置。

背景技术

垃圾账号是指具有强烈获取利益倾向和团伙性质、批量、低成本注册的账号。常见的垃圾注册风险的识别主要通过两种主要的风险特征进行识别：1.注册环节账号的聚集性和团伙性，主要包括设备聚集、环境聚集、手机号段聚集等；2.账户的异常行为特征，如注册1分钟内完成红包领取、网银支付、淘宝实物支出等。

身份冒用是指自然人的身份信息，如身份证、护照等证件信息被他人非法获取后，在需要认证的产品流程上被他人恶意使用，进而产生各种风险行为。与垃圾注册的防控类似，身份冒用风险的识别也主要依靠认证环节的聚集性和批量性，如设备聚集、环境聚集、身份号段聚集等。

由于防控对象大多为新注册用户，手机号和证件号也可能是在***内完全没有出现过的全新的，能采集到的信息较少、用户行为单一、好/坏用户行为特征区分不明显，因此在防控垃圾注册和身份冒用风险的同时，也会对正常用户造成一定的误打扰。特别是对于双十一、双十二、新春红包、五福活动、淘宝拉新等大促活动，由于注册量和认证量短期内上涨明显，会造成手机号段、证件号段、邀请人、渠道等维度的聚集程度上升，如果策略没有进行及时针对性调整，很容易造成风控***的误判，误把正常用户当成垃圾账户和冒用账户进行处罚，从而对正常用户造成打扰。

以手机号段为例，在会员运营活动期间，如双十二、新春红包、大学开学季等，某些手机号段(手机号前7位)的注册量相比日常会有明显上涨，涨幅可达日常的5～10倍，甚至更多。如果从手机号段异常聚集进行风险识别，会造成很多正常用户的打扰。

发明内容

本说明书一个或多个实施例的目的是提供一种风险事件的处理方法及装置，用以实现风险防控的智能化及提高风险识别的准确率。

为解决上述技术问题，本说明书一个或多个实施例是这样实现的：

一方面，本说明书一个或多个实施例提供一种风险事件的处理方法，包括：

获取指定时间段内发生的各事件的事件信息；所述各事件的事件信息包括当前事件的第一事件信息及多个历史事件的第二事件信息；所述事件信息包括执行所述事件的用户信息和/或设备信息；

根据所述第一事件信息及所述第二事件信息，确定各所述事件在预设维度上的事件分布特征；

根据所述事件分布特征，确定所述当前事件是否为风险事件。

另一方面，本说明书一个或多个实施例提供一种风险事件的处理装置，包括：

获取模块，获取指定时间段内发生的各事件的事件信息；所述各事件的事件信息包括当前事件的第一事件信息及多个历史事件的第二事件信息；所述事件信息包括执行所述事件的用户信息和/或设备信息；

第一确定模块，根据所述第一事件信息及所述第二事件信息，确定各所述事件在预设维度上的事件分布特征；

第二确定模块，根据所述事件分布特征，确定所述当前事件是否为风险事件。

再一方面，本说明书一个或多个实施例提供一种风险事件的处理设备，包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：

获取指定时间段内发生的各事件的事件信息；所述各事件的事件信息包括当前事件的第一事件信息及多个历史事件的第二事件信息；所述事件信息包括执行所述事件的用户信息和/或设备信息；

根据所述第一事件信息及所述第二事件信息，确定各所述事件在预设维度上的事件分布特征；

根据所述事件分布特征，确定所述当前事件是否为风险事件。

再一方面，本说明书一个或多个实施例提供一种存储介质，用于存储计算机可执行指令，所述可执行指令在被执行时实现以下流程：

获取指定时间段内发生的各事件的事件信息；所述各事件的事件信息包括当前事件的第一事件信息及多个历史事件的第二事件信息；所述事件信息包括执行所述事件的用户信息和/或设备信息；

根据所述第一事件信息及所述第二事件信息，确定各所述事件在预设维度上的事件分布特征；

根据所述事件分布特征，确定所述当前事件是否为风险事件。

采用本说明书一个实施例的技术方案，能够根据指定时间段内发生的各事件的时间信息(包括当前事件的第一事件信息及多个历史事件的第二事件信息)，确定各事件在预设维度上的事件分布特征，进而根据各事件在预设维度上的事件分布特征来确定当前事件是否为风险事件，使得当前事件的风险识别能够依赖于指定时间段内发生的各事件的事件分布特征，从而在一定程度上自动衡量事件是否为批量攻击，提高了对风险事件(尤其是批量攻击)的识别能力及智能化水平，避免在风险事件误判的情况下对用户造成打扰。

附图说明

为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书一个或多个实施例中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是根据本说明书一实施例的一种风险事件的处理方法的示意性流程图；

图2是根据本说明书一具体实施例的一种风险事件的处理方法的示意性流程图；

图3是根据本说明书一实施例的一种风险事件的处理装置的示意性框图；

图4是根据本说明书一实施例的一种风险事件的处理设备的示意性框图。

具体实施方式

本说明书一个或多个实施例提供一种风险事件的处理方法及装置，用以实现风险防控的智能化及提高风险识别的准确率。

为了使本技术领域的人员更好地理解本说明书一个或多个实施例中的技术方案，下面将结合本说明书一个或多个实施例中的附图，对本说明书一个或多个实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书一个或多个实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本文件保护的范围。

本说明书一个或多个实施例提供的一种风险事件的处理方法，可应用于批量账号注册或认证的场景中。例如，在某一时段内发生了大批量的用户注册新号事件，那么风控***可对该时段内发生的大批量的用户注册新号事件进行风险判断，即判断大批量的用户注册新号事件是为风险事件、还是因大促活动等因素所导致的注册量正常增长。下面详细介绍本说明书一个或多个实施例提供的风险事件的处理方法。

图1是根据本说明书一实施例的一种风险事件的处理方法的示意性流程图，如图1所示，该方法包括：

S102，获取指定时间段内发生的各事件的事件信息；各事件的事件信息包括当前事件的第一事件信息及多个历史事件的第二事件信息；事件信息包括执行事件的用户信息和/或设备信息。

其中，为使指定时间段内发生的各事件能够准确地为当前事件的风险程度提供依据，指定时间段可选为最近一段时间，如最近一周、最近一月等。例如，假设指定时间段为最近一周，则历史时间即为最近一周内发生的除当前事件外的其他事件。

用户信息可包括用户注册或认证过程中输入的信息，如手机号、证件号码、姓名、地理位置、人体生物特征等。设备信息即用户注册或认证时使用的设备的信息，如设备的硬件MAC地址、网络之间互连的协议IP地址、定位信息、操作***版本等。

S104，根据第一事件信息及第二事件信息，确定各事件在预设维度上的事件分布特征。

其中，预设维度可以是用户注册或认证过程中所涉及到的任一个或多个维度，例如注册渠道、注册时间、注册地点、注册类型、设备类型、设备型号、操作***版本等。

S106，根据事件分布特征，确定当前事件是否为风险事件。

本实施例中，事件分布特征可以是能够表征事件分布情况的任一项信息，如事件分布特征可以是各事件在各预设维度上的分布复杂程度，或者，也可以是各事件在各预设维度上的分布平衡程度等。

采用本说明书一个实施例的技术方案，能够根据指定时间段内发生的各事件的时间信息(包括当前事件的第一事件信息及多个历史事件的第二事件信息)，确定各事件在预设维度上的事件分布特征，进而根据各事件在预设维度上的事件分布特征来确定当前事件的风险程度，使得当前事件的风险识别能够依赖于指定时间段内发生的各事件的事件分布特征，从而在一定程度上自动衡量事件是否为批量攻击，提高了对风险事件(尤其是批量攻击)的识别能力及智能化水平，避免在风险事件误判的情况下对用户造成打扰。

在一个实施例中，预设维度包括多个；事件分布特征为各事件在各预设维度上的分布复杂程度。基于此，可根据各事件在各预设维度上的分布复杂程度，确定当前事件是否为风险事件；其中，分布复杂程度与当前事件属于风险事件的概率之间负相关。

本实施例中，指定时间段内发生的各事件在各预设维度上的分布越复杂，说明该时间段内事件发生的不同情况的种类越多，即事件越“混乱”，因此当前事件属于风险事件的概率也就越低，即当前事件的风险程度越低。反之，指定时间段内发生的各事件在各预设维度上的分布越规律，说明该时间段内事件发生的不同情况的种类越少，因此当前事件属于风险事件的概率也就越高，即当前事件的风险程度越高。

在一个实施例中，各事件在各预设维度上的分布复杂程度可用信息熵来表示。因此，可按照如下步骤A1-A3确定当前事件是否为风险事件：

步骤A1、根据各事件在各预设维度上的出现概率，分别计算各事件在各预设维度上的信息熵。

其中，预设维度可以是用户注册或认证过程中所涉及到的任一个或多个维度，例如注册渠道、注册时间、注册地点、注册类型、设备类型、设备型号、操作***版本等。

计算各事件在各预设维度上的信息熵即为各事件在各预设维度上的一维信息熵。以手机号段为例，假设最近一周内手机号前7位相同的号码大批量注册，那么判断大批量注册事件的风险程度时，可先计算该大批量注册事件在各预设维度上的一位信息熵，如分别计算该大批量注册事件在注册渠道、注册时间、注册地点、注册类型、设备类型、设备型号、操作***版本等维度上的信息熵。

信息熵H(X)的计算方式如以下公式(1)所示：

H(X)＝-∑_x∈Xp(x)log_ap(x) (I)

在公式(1)中，X表示发生的各事件的集合，x表示各事件中的其中一个事件。p(x)表示在当前维度上事件x的发生概率。a为对数函数的底数，本实施例对a的值不做限定，优选的，可选择a＝2。

仍以上述手机号段的例子为例，假设当前计算大批量注册事件在预设维度“注册渠道”上的信息熵H(X)。首先计算出在预设维度“注册渠道”上，该大批量注册事件中的每个注册事件的发生概率，然后基于上述公式(1)，即可计算出该大批量注册事件在预设维度“注册渠道”上的信息熵H(X)。

某个预设维度上的信息熵越大，说明各事件在该预设维度上发生的不同情况的种类越多，即事件越“混乱”，因此当前事件属于风险事件的概率也就越低，即当前事件的风险程度越低。反之，某个预设维度上的信息熵越小，说明指定时间段内发生的各事件在该预设维度上的分布越规律，即各事件该预设维度上发生的不同情况的种类越少，因此当前事件属于风险事件的概率也就越高，即当前事件的风险程度越高。

步骤A2、确定各预设维度分别对应的权重；根据权重对各事件在各预设维度上的信息熵进行加权求和，得到各事件在预设维度上的总信息熵。

该步骤中，可根据各事件在各预设维度上的特征发生量，确定各预设维度分别对应的权重；其中，特征发生量与各预设维度分别对应的权重之间正相关。即，各事件在预设维度上的特征发生量越多，则该预设维度对应的权重越高；反之，各事件在预设维度上的特征发生量越少，则该预设维度对应的权重越低。

各事件在预设维度上的特征发生量，指的是各事件在预设维度上的特征发生种类数量。假设预设维度为注册地点，由于注册地点可能包括地点1、地点2、地点3、……地点n等多个地点，因此各事件在预设维度“注册地点”上的特征发生量为n。

步骤A3、根据各事件在预设维度上的总信息熵，确定当前事件是否为风险事件；总信息熵与当前事件属于风险事件的概率之间负相关。

本实施例中，各事件在预设维度上的总信息熵表征了各事件的整体分布情况。如果各预设维度上的信息熵都较小(或仅有个别维度上的信息熵较高)，则总信息熵较小，说明当前事件的风险程度较高，当前事件属于风险事件的概率越大；反之，如果各预设维度上的信息熵较大(或仅有个别维度上的信息熵较低)，则总信息熵较大，说明当前事件的风险程度较低，当前事件属于风险事件的概率越小。

在一个实施例中，若总信息熵小于第一预设阈值，则确定当前事件为风险事件；若总信息熵大于或等于第二预设阈值，则确定当前事件为安全事件。其中，第一预设阈值和第二预设阈值可相同、也可不同。第二预设阈值可大于或等于第一预设阈值。

根据总信息熵确定当前事件是否为风险事件之后，可对当前事件执行相应的风控操作。具体的，若当前事件为风险事件，则对当前事件执行风险管控操作；若当前事件为安全事件，则对当前事件执行无风险放过操作。

上述实施例中，通过信息熵识别业务增长时各维度上的特征分布情况，并根据加权信息熵定量刻画了这种特征分布“复杂度”，能够在一定程度上自动衡量业务增长时批量攻击的风险程度。因此，通过该方案，可以提高风控***对大促活动和批量攻击的识别能力，降低大促活动时策略对正常用户的打扰，减少风控对外部业务活动同步的依赖；同时，也降低了策略对人工的依赖，减少了人工调整的频率和范围，提高了风控***的智能水平。

下面以一具体实施例说明本说明提供的一种风险事件的处理方法。在该具体实施例中，风险事件的处理方法应用于批量账号注册场景中。例如，在线上商场的大促活动中，近一周内发生大批量的注册新号事件，当某一用户在近一周内注册新号时，风控***则需要对该用户的注册新号事件进行风险判断，以判断该用户的注册新号事件的风险性，即判断该注册新号事件属于大促活动导致的正常注册事件、还是风险事件。

图2是根据本说明书一具体实施例的一种风险事件的处理方法的示意性流程图。如图2所示，该方法可用于风控***中，包括：

S201，当接收到用户的注册新号事件时，获取最近一周内发生的所有注册事件的事件信息。

其中，所有注册事件的事件信息包括当前所接收到的注册新号事件的第一事件信息，以及最近一周内发生的历史注册事件的第二事件信息。事件信息包括执行事件的用户信息和/或设备信息。用户信息可包括用户注册或认证过程中输入的信息，如手机号、证件号码、姓名、地理位置、人体生物特征等。设备信息即用户注册或认证时使用的设备的信息，如设备的硬件MAC地址、网络之间互连的协议IP地址、定位信息、操作***版本等。

S202，统计各注册事件在各预设维度上的出现概率。

其中，预设维度可包括注册渠道、注册时间、注册地点、注册类型、设备类型、设备型号、操作***版本等。

S203，根据各注册事件在各预设维度上的出现概率，分别计算各注册事件在各预设维度上的信息熵。

信息熵的计算方式如上述公式(1)所示。公式(1)已在上述实施例中详细介绍，此处不再赘述。

例如，对于最近一周内发生的注册事件，若这些注册事件对应的号码均通过同一个渠道进行注册，那么这些注册事件在该渠道上的出现概率即为1，即p(x)＝1，log_ap(x)＝0，因此注册渠道这一维度的信息熵H(X)就为0。

再例如，若这些注册事件对应的号码分布在10个维度上，且每个维度上的分布是相等的。那么对于注册渠道这一维度，注册事件在注册渠道上的出现概率即为0.1，即p(x)＝0.1。假设上述公式(1)中的底数a＝2，则log₂p(x)＝log₂0.1＝-3.3。注册事件在注册渠道上的信息熵为：H(X)＝-∑_x∈X0.1log₂0.1＝3.3。

S204，根据各事件在各预设维度上的特征发生量，确定各预设维度分别对应的权重。

其中，特征发生量与各预设维度分别对应的权重之间正相关。即，各事件在预设维度上的特征发生量越多，则该预设维度对应的权重越高；反之，各事件在预设维度上的特征发生量越少，则该预设维度对应的权重越低。

各事件在预设维度上的特征发生量，指的是各事件在预设维度上的特征发生种类数量。假设预设维度为注册地点，由于注册地点可能包括地点1、地点2、地点3、……地点n等多个地点，因此各事件在预设维度“注册地点”上的特征发生量为n。

S205，根据各预设维度分别对应的权重，对各注册事件在各预设维度上的信息熵进行加权求和，得到各注册事件在预设维度上的总信息熵。

假设预设维度包括维度1、维度2、……维度n，其中，维度1对应的权重即为a1，维度2对应的权重即为a2，……维度n对应的权重即为an。则各注册事件在预设维度上的总信息熵即为：维度1*a1+维度2*a2+……维度n*an。

S206，根据各注册事件在预设维度上的总信息熵，判断当前发生的注册新号事件是否为风险事件。若是，则执行S207；若否，则执行S208。

其中，总信息熵越大，当前发生的注册新号事件属于风险事件的概率越小；反之，总信息熵越小，当前发生的注册新号事件属于风险事件的概率越大。

S207，对当前发生的注册新号事件执行风险管控操作。

S208，对当前发生的注册新号事件执行无风险放过操作。

沿用上述举例，若各注册事件在注册渠道这一维度上的信息熵H(X)为0，则表明当前发生的注册新号事件属于风险事件的概率较大，即最近一周内发生的大批量注册事件很可能属于批量攻击事件。若通过计算得到各注册事件在注册渠道上的信息熵为3.3，则表明当前发生的注册新号事件属于风险事件的概率较小，即最近一周内发生的大批量注册事件很可能属于大促活动所导致的正常注册事件。

基于上述计算结果，可进一步根据各注册事件在所有预设维度上的总信息熵，确定当前发生的注册新号事件是否为风险事件。总信息熵越大，说明当前发生的注册新号事件属于风险事件的概率较小，即最近一周内发生的大批量注册事件很可能属于大促活动所导致的正常注册事件；反之，总信息熵越小，说明当前发生的注册新号事件属于风险事件的概率较大，即最近一周内发生的大批量注册事件很可能属于批量攻击事件。

由上述实施例可看出，通过信息熵识别业务增长时各维度上的特征分布情况，并根据加权信息熵定量刻画了这种特征分布“复杂度”，能够在一定程度上自动衡量业务增长时批量攻击的风险程度。因此，通过该方案，可以提高风控***对大促活动和批量攻击的识别能力，降低大促活动时策略对正常用户的打扰，减少风控对外部业务活动同步的依赖；同时，也降低了策略对人工的依赖，减少了人工调整的频率和范围，提高了风控***的智能水平。

在一个实施例中，预设维度包括多个，事件分布特征为各事件在各预设维度上的分布平衡程度，基于此，可根据各事件在各预设维度上的分布平衡程度，确定当前事件是否为风险事件；其中，分布平衡程度与当前事件属于风险事件的概率之间负相关。

本实施例中，指定时间段内发生的各事件在各预设维度上的分布越平衡，说明该时间段内事件发生的不同情况的种类越少，因此当前事件属于风险事件的概率也就越高，即当前事件的风险程度越高。反之，指定时间段内发生的各事件在各预设维度上的分布越失衡，说明该时间段内事件发生的不同情况的种类越多，即事件越“混乱”，因此当前事件属于风险事件的概率也就越低，即当前事件的风险程度越低。

在一个实施例中，分布平衡程度可采用基尼系数来表征。因此，在根据各事件在各预设维度上的分布平衡程度确定当前事件的风险程度时，可首先分别计算各事件在各预设维度上的基尼系数；进而根据基尼系数的值，确定当前事件是否为风险事件。

其中，基尼系数与当前事件属于风险事件的概率之间负相关，即，基尼系数的值越大，当前事件属于风险事件的概率越小；基尼系数的值越小，当前事件属于风险事件的概率越大。基尼系数的计算方式已属现有技术，因此不再赘述。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

以上为本说明书一个或多个实施例提供的风险事件的处理方法，基于同样的思路，本说明书一个或多个实施例还提供一种风险事件的处理装置。

图3是根据本说明书一实施例的一种风险事件的处理装置的示意性框图，如图3所示，风险事件的处理装置300包括：

获取模块310，获取指定时间段内发生的各事件的事件信息；各事件的事件信息包括当前事件的第一事件信息及多个历史事件的第二事件信息；事件信息包括执行事件的用户信息和/或设备信息；

第一确定模块320，根据第一事件信息及第二事件信息，确定各事件在预设维度上的事件分布特征；

第二确定模块330，根据事件分布特征，确定当前事件是否为风险事件。

在一个实施例中，预设维度包括多个；事件分布特征包括各事件在各预设维度上的分布复杂程度；

第二确定模块330包括：

第一确定单元，根据各事件在各预设维度上的分布复杂程度，确定当前事件是否为风险事件；分布复杂程度与当前事件的风险程度之间负相关。

在一个实施例中，分布复杂程度包括信息熵；

第一确定单元，根据各事件在各预设维度上的出现概率，分别计算各事件在各预设维度上的信息熵；确定各预设维度分别对应的权重；根据权重对各事件在各预设维度上的信息熵进行加权求和，得到各事件在预设维度上的总信息熵；根据总信息熵，确定当前事件是否为风险事件；总信息熵与当前事件属于风险事件的概率之间负相关。

在一个实施例中，第一确定单元，根据各事件在各预设维度上的特征发生量，确定各预设维度分别对应的权重；特征发生量与各预设维度分别对应的权重之间正相关。

在一个实施例中，若总信息熵小于第一预设阈值，则确定当前事件为风险事件；若总信息熵大于或等于第二预设阈值，则确定当前事件为安全事件；

装置300还包括：

执行模块，若当前事件为风险事件，则对当前事件执行风险管控操作；若当前事件为安全事件，则对当前事件执行无风险放过操作。

在一个实施例中，预设维度包括多个；事件分布特征包括各事件在各预设维度上的分布平衡程度；

第二确定模块330包括：

第二确定单元，根据各事件在各预设维度上的分布平衡程度，确定当前事件是否为风险事件；分布平衡程度与当前事件属于风险事件的概率之间负相关。

在一个实施例中，分布平衡程度包括基尼系数；

第二确定单元，分别计算各事件在各预设维度上的基尼系数；根据基尼系数的值，确定是否为风险事件；基尼系数与当前事件属于风险事件的概率之间负相关。

采用本说明书一个实施例的装置，能够根据指定时间段内发生的各事件的时间信息(包括当前事件的第一事件信息及多个历史事件的第二事件信息)，确定各事件在预设维度上的事件分布特征，进而根据各事件在预设维度上的事件分布特征来确定当前事件是否为风险事件，使得当前事件的风险识别能够依赖于指定时间段内发生的各事件的事件分布特征，从而在一定程度上自动衡量事件是否为批量攻击，提高了对风险事件(尤其是批量攻击)的识别能力及智能化水平，避免在风险事件误判的情况下对用户造成打扰。

本领域的技术人员应可理解，上述风险事件的处理装置能够用来实现前文所述的风险事件的处理方法，其中的细节描述应与前文方法部分描述类似，为避免繁琐，此处不另赘述。

基于同样的思路，本说明书一个或多个实施例还提供一种风险事件的处理设备，如图4所示。风险事件的处理设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上的处理器401和存储器402，存储器402中可以存储有一个或一个以上存储应用程序或数据。其中，存储器402可以是短暂存储或持久存储。存储在存储器402的应用程序可以包括一个或一个以上模块(图示未示出)，每个模块可以包括对风险事件的处理设备中的一系列计算机可执行指令。更进一步地，处理器401可以设置为与存储器402通信，在风险事件的处理设备上执行存储器402中的一系列计算机可执行指令。风险事件的处理设备还可以包括一个或一个以上电源403，一个或一个以上有线或无线网络接口404，一个或一个以上输入输出接口405，一个或一个以上键盘406。

具体在本实施例中，风险事件的处理设备包括有存储器，以及一个或一个以上的程序，其中一个或者一个以上程序存储于存储器中，且一个或者一个以上程序可以包括一个或一个以上模块，且每个模块可以包括对风险事件的处理设备中的一系列计算机可执行指令，且经配置以由一个或者一个以上处理器执行该一个或者一个以上程序包含用于进行以下计算机可执行指令：

获取指定时间段内发生的各事件的事件信息；所述各事件的事件信息包括当前事件的第一事件信息及多个历史事件的第二事件信息；所述事件信息包括执行所述事件的用户信息和/或设备信息；

根据所述第一事件信息及所述第二事件信息，确定各所述事件在预设维度上的事件分布特征；

根据所述事件分布特征，确定所述当前事件是否为风险事件。

可选地，所述预设维度包括多个；所述事件分布特征包括各所述事件在各所述预设维度上的分布复杂程度；

计算机可执行指令在被执行时，还可以使所述处理器：

根据各所述事件在各所述预设维度上的分布复杂程度，确定所述当前事件是否为风险事件；所述分布复杂程度与所述当前事件属于所述风险事件的概率之间负相关。

可选地，所述分布复杂程度包括信息熵；

计算机可执行指令在被执行时，还可以使所述处理器：

根据各所述事件在所述各预设维度上的出现概率，分别计算各所述事件在各所述预设维度上的信息熵；

确定各所述预设维度分别对应的权重；根据所述权重对各所述事件在各所述预设维度上的信息熵进行加权求和，得到各所述事件在所述预设维度上的总信息熵；

根据所述总信息熵，确定所述当前事件是否为风险事件；所述总信息熵与所述当前事件属于所述风险事件的概率之间负相关。

可选地，计算机可执行指令在被执行时，还可以使所述处理器：

根据各所述事件在各所述预设维度上的特征发生量，确定各所述预设维度分别对应的权重；所述特征发生量与各所述预设维度分别对应的权重之间正相关。

可选地，计算机可执行指令在被执行时，还可以使所述处理器：

若所述总信息熵小于第一预设阈值，则确定所述当前事件为所述风险事件；

若所述总信息熵大于或等于第二预设阈值，则确定所述当前事件为安全事件；

所述根据所述总信息熵，确定所述当前事件是否为风险事件之后，若所述当前事件为所述风险事件，则对所述当前事件执行风险管控操作；

若所述当前事件为所述安全事件，则对所述当前事件执行无风险放过操作。

可选地，所述预设维度包括多个；所述事件分布特征包括各所述事件在各所述预设维度上的分布平衡程度；

计算机可执行指令在被执行时，还可以使所述处理器：

根据各所述事件在各所述预设维度上的分布平衡程度，确定所述当前事件是否为风险事件；所述分布平衡程度与所述当前事件属于所述风险事件的概率之间负相关。

可选地，所述分布平衡程度包括基尼系数；

计算机可执行指令在被执行时，还可以使所述处理器：

根据所述基尼系数的值，确定所述当前事件是否为风险事件；所述基尼系数与所述当前事件属于所述风险事件的概率之间负相关。

本说明书一个或多个实施例还提出了一种计算机可读存储介质，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的电子设备执行时，能够使该电子设备执行上述风险事件的处理方法，并具体用于执行：

获取指定时间段内发生的各事件的事件信息；所述各事件的事件信息包括当前事件的第一事件信息及多个历史事件的第二事件信息；所述事件信息包括执行所述事件的用户信息和/或设备信息；

根据所述第一事件信息及所述第二事件信息，确定各所述事件在预设维度上的事件分布特征；

根据所述事件分布特征，确定所述当前事件是否为风险事件。

上述实施例阐明的***、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本说明书一个或多个实施例时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本说明书一个或多个实施例可提供为方法、***、或计算机程序产品。因此，本说明书一个或多个实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本说明书一个或多个实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本说明书一个或多个实施例是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本说明书一个或多个实施例可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于***实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本说明书一个或多个实施例而已，并不用于限制本说明书。对于本领域技术人员来说，本说明书一个或多个实施例可以有各种更改和变化。凡在本说明书一个或多个实施例的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本说明书一个或多个实施例的权利要求范围之内。

Claims (16)

1.一种风险事件的处理方法，包括：

获取指定时间段内发生的各事件的事件信息；所述各事件的事件信息包括当前事件的第一事件信息及多个历史事件的第二事件信息；所述事件信息包括执行所述事件的用户信息和/或设备信息；

根据所述第一事件信息及所述第二事件信息，确定各所述事件在预设维度上的事件分布特征；

根据所述事件分布特征，确定所述当前事件是否为风险事件；

所述事件分布特征包括分布复杂程度或者分布平衡程度；所述分布复杂程度以信息熵来表示；所述分布平衡程度以基尼系数来表示；所述确定各所述事件在预设维度上的事件分布特征；根据所述事件分布特征，确定所述当前事件是否为风险事件，包括：确定各所述事件在各所述预设维度上的信息熵，根据所述信息熵确定所述当前事件是否为风险事件；或者，确定各所述事件在各所述预设维度上的基尼系数，根据所述基尼系数确定所述当前事件是否为风险事件。

2.根据权利要求1所述的方法，所述预设维度包括多个；所述事件分布特征包括各所述事件在各所述预设维度上的分布复杂程度；

所述根据所述事件分布特征，确定所述当前事件是否为风险事件，包括：

根据各所述事件在各所述预设维度上的分布复杂程度，确定所述当前事件是否为风险事件；所述分布复杂程度与所述当前事件属于所述风险事件的概率之间负相关。

3.根据权利要求2所述的方法，所述分布复杂程度包括信息熵；

所述根据各所述事件在各所述预设维度上的分布复杂程度，确定所述当前事件是否为风险事件，包括：

根据各所述事件在所述各预设维度上的出现概率，分别计算各所述事件在各所述预设维度上的信息熵；

确定各所述预设维度分别对应的权重；根据所述权重对各所述事件在各所述预设维度上的信息熵进行加权求和，得到各所述事件在所述预设维度上的总信息熵；

根据所述总信息熵，确定所述当前事件是否为风险事件；所述总信息熵与所述当前事件属于所述风险事件的概率之间负相关。

4.根据权利要求3所述的方法，所述确定各所述预设维度分别对应的权重，包括：

根据各所述事件在各所述预设维度上的特征发生量，确定各所述预设维度分别对应的权重；所述特征发生量与各所述预设维度分别对应的权重之间正相关。

5.根据权利要求3所述的方法，所述根据所述总信息熵，确定所述当前事件是否为风险事件，包括：

若所述总信息熵小于第一预设阈值，则确定所述当前事件为所述风险事件；

若所述总信息熵大于或等于第二预设阈值，则确定所述当前事件为安全事件；

所述根据所述总信息熵，确定所述当前事件是否为风险事件之后，还包括：

若所述当前事件为所述风险事件，则对所述当前事件执行风险管控操作；

若所述当前事件为所述安全事件，则对所述当前事件执行无风险放过操作。

6.根据权利要求1所述的方法，所述预设维度包括多个；所述事件分布特征包括各所述事件在各所述预设维度上的分布平衡程度；

所述根据所述事件分布特征，确定所述当前事件是否为风险事件，包括：

根据各所述事件在各所述预设维度上的分布平衡程度，确定所述当前事件是否为风险事件；所述分布平衡程度与所述当前事件属于所述风险事件的概率之间负相关。

7.根据权利要求6所述的方法，所述分布平衡程度包括基尼系数；

所述根据各所述事件在各所述预设维度上的分布平衡程度，确定所述当前是否为风险事件，包括：

分别计算各所述事件在各所述预设维度上的基尼系数；

根据所述基尼系数的值，确定所述当前事件是否为风险事件；所述基尼系数与所述当前事件属于所述风险事件的概率之间负相关。

8.一种风险事件的处理装置，包括：

获取模块，获取指定时间段内发生的各事件的事件信息；所述各事件的事件信息包括当前事件的第一事件信息及多个历史事件的第二事件信息；所述事件信息包括执行所述事件的用户信息和/或设备信息；

第一确定模块，根据所述第一事件信息及所述第二事件信息，确定各所述事件在预设维度上的事件分布特征；

第二确定模块，根据所述事件分布特征，确定所述当前事件是否为风险事件；

所述事件分布特征包括分布复杂程度或者分布平衡程度；所述分布复杂程度以信息熵来表示；所述分布平衡程度以基尼系数来表示；所述确定各所述事件在预设维度上的事件分布特征；根据所述事件分布特征，确定所述当前事件是否为风险事件，包括：确定各所述事件在各所述预设维度上的信息熵，根据所述信息熵确定所述当前事件是否为风险事件；或者，确定各所述事件在各所述预设维度上的基尼系数，根据所述基尼系数确定所述当前事件是否为风险事件。

9.根据权利要求8所述的装置，所述预设维度包括多个；所述事件分布特征包括各所述事件在各所述预设维度上的分布复杂程度；

所述第二确定模块包括：

第一确定单元，根据各所述事件在各所述预设维度上的分布复杂程度，确定所述当前事件是否为风险事件；所述分布复杂程度与所述当前事件的风险程度之间负相关。

10.根据权利要求9所述的装置，所述分布复杂程度包括信息熵；

所述第一确定单元，根据各所述事件在所述各预设维度上的出现概率，分别计算各所述事件在各所述预设维度上的信息熵；确定各所述预设维度分别对应的权重；根据所述权重对各所述事件在各所述预设维度上的信息熵进行加权求和，得到各所述事件在所述预设维度上的总信息熵；根据所述总信息熵，确定所述当前事件是否为风险事件；所述总信息熵与所述当前事件属于所述风险事件的概率之间负相关。

11.根据权利要求10所述的装置，所述第一确定单元，根据各所述事件在各所述预设维度上的特征发生量，确定各所述预设维度分别对应的权重；所述特征发生量与各所述预设维度分别对应的权重之间正相关。

12.根据权利要求10所述的装置，所述第一确定单元，若所述总信息熵小于第一预设阈值，则确定所述当前事件为所述风险事件；若所述总信息熵大于或等于第二预设阈值，则确定所述当前事件为安全事件；

所述装置还包括：

执行模块，若所述当前事件为所述风险事件，则对所述当前事件执行风险管控操作；若所述当前事件为所述安全事件，则对所述当前事件执行无风险放过操作。

13.根据权利要求8所述的装置，所述预设维度包括多个；所述事件分布特征包括各所述事件在各所述预设维度上的分布平衡程度；

所述第二确定模块包括：

第二确定单元，根据各所述事件在各所述预设维度上的分布平衡程度，确定所述当前事件是否为风险事件；所述分布平衡程度与所述当前事件属于所述风险事件的概率之间负相关。

14.根据权利要求13所述的装置，所述分布平衡程度包括基尼系数；

所述第二确定单元，分别计算各所述事件在各所述预设维度上的基尼系数；根据所述基尼系数的值，确定所述是否为风险事件；所述基尼系数与所述当前事件属于所述风险事件的概率之间负相关。

15.一种风险事件的处理设备，包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：

获取指定时间段内发生的各事件的事件信息；所述各事件的事件信息包括当前事件的第一事件信息及多个历史事件的第二事件信息；所述事件信息包括执行所述事件的用户信息和/或设备信息；

根据所述第一事件信息及所述第二事件信息，确定各所述事件在预设维度上的事件分布特征；

根据所述事件分布特征，确定所述当前事件是否为风险事件；

所述事件分布特征包括分布复杂程度或者分布平衡程度；所述分布复杂程度以信息熵来表示；所述分布平衡程度以基尼系数来表示；所述确定各所述事件在预设维度上的事件分布特征；根据所述事件分布特征，确定所述当前事件是否为风险事件，包括：确定各所述事件在各所述预设维度上的信息熵，根据所述信息熵确定所述当前事件是否为风险事件；或者，确定各所述事件在各所述预设维度上的基尼系数，根据所述基尼系数确定所述当前事件是否为风险事件。

16.一种存储介质，用于存储计算机可执行指令，所述可执行指令在被执行时实现以下流程：

获取指定时间段内发生的各事件的事件信息；所述各事件的事件信息包括当前事件的第一事件信息及多个历史事件的第二事件信息；所述事件信息包括执行所述事件的用户信息和/或设备信息；

根据所述第一事件信息及所述第二事件信息，确定各所述事件在预设维度上的事件分布特征；

根据所述事件分布特征，确定所述当前事件是否为风险事件；

所述事件分布特征包括分布复杂程度或者分布平衡程度；所述分布复杂程度以信息熵来表示；所述分布平衡程度以基尼系数来表示；所述确定各所述事件在预设维度上的事件分布特征；根据所述事件分布特征，确定所述当前事件是否为风险事件，包括：确定各所述事件在各所述预设维度上的信息熵，根据所述信息熵确定所述当前事件是否为风险事件；或者，确定各所述事件在各所述预设维度上的基尼系数，根据所述基尼系数确定所述当前事件是否为风险事件。

Images