CN114298563A - 一种告警信息的分析方法、装置及计算机设备 - Google Patents
一种告警信息的分析方法、装置及计算机设备 Download PDFInfo
- Publication number
- CN114298563A CN114298563A CN202111639482.1A CN202111639482A CN114298563A CN 114298563 A CN114298563 A CN 114298563A CN 202111639482 A CN202111639482 A CN 202111639482A CN 114298563 A CN114298563 A CN 114298563A
- Authority
- CN
- China
- Prior art keywords
- alarm information
- alarm
- abnormal
- determining
- false
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Alarm Systems (AREA)
Abstract
本发明公开了一种告警信息的分析方法、装置及计算机设备,应用于数据分析领域,包括:将告警信息的综合分数和第一阈值进行比较,根据比较结果和告警信息的风险类型,确定告警信息为第一异常告警信息或第二异常告警信息;若告警信息为第一异常告警信息,则根据第一异常告警信息的告警要素和告警触发类型,确定第一异常告警信息为虚假告警信息;若告警信息为第二异常告警信息,则对第二告警信息进行客户特征扩充,并对扩充后的客户特征进行深度分析,确定第二异常告警信息为虚假告警信息,其中,客户特征包括基础特征和/或行为特征,通过上述方法对***发出的告警信息进行多次确认和分析,区分出告警信息中的虚假告警信息,从而降低误告警率。
Description
技术领域
本发明涉及数据分析领域,特别涉及一种告警信息的分析方法、装置及计算机设备。
背景技术
目前,银行客户身份识别***,通过维护“禁止类”的各种类型客户名单形成风险数据库,并建立客户身份识别监测***,在银行交易过程中,通过名单数据库、风险数据库、搜索引擎、风险关系图谱、第三方风险识别接口等技术方式将客户身份信息送入身份识别引擎,对客户各项要素信息与风险数据进行匹配,对接近、相似、存在关联的客户信息进行告警,并进入人工审批流程,由审核专员进一步人工审批确认。为避免对任何一个“禁止类”客户的识别的遗漏,现有身份识别***通过模糊匹配技术,对客户名称、证件号码、地区、国家、住址等众多要素进行高灵敏度匹配,具有模糊匹配、随机性、高灵敏性、高检出率的特点,因此大量的告警信息会送入人工审核的步骤,从而导致审核复杂、工作效率低等问题。
发明内容
本发明提供一种告警信息的分析方法、装置及计算机设备,用以解决现有技术中存在的人工审核告警信息,工作量大,工作效率低的问题。
第一方面,本发明实施例提供一种告警信息的分析方法,该方法包括:
将告警信息的综合分数和第一阈值进行比较,根据比较结果和所述告警信息的风险类型,确定所述告警信息为第一异常告警信息或第二异常告警信息;
若所述告警信息为所述第一异常告警信息,则根据所述第一异常告警信息的告警要素和告警触发类型,确定所述第一异常告警信息为虚假告警信息;
若所述告警信息为所述第二异常告警信息,则对所述第二告警信息进行客户特征扩充,并对扩充后的客户特征进行深度分析,确定所述第二异常告警信息为虚假告警信息,其中,所述客户特征包括基础特征和/或行为特征。
在一种可能的实施方式中,所述将告警信息的综合分数和第一阈值进行比较,根据比较结果和所述告警信息的风险类型,确定所述告警信息为第一异常告警信息或第二异常告警信息,包括:
确定所述综合分数大于等于所述第一阈值,且所述风险类型为第一风险类型的告警信息为所述第一异常告警信息;
确定所述综合分数小于所述第一阈值,且所述风险类型为第二风险类型的告警信息为所述第二异常告警信息。
在一种可能的实施方式中,所述根据所述第一异常告警信息的告警要素和告警触发类型,确定所述第一异常告警信息为虚假告警信息,包括:
若所述告警要素为单要素,且所述告警要素对应的告警触发类型与历史虚假告警信息的要素对应的告警触发类型完全匹配,则确定所述第一异常告警信息为虚假告警信息;
若所述告警要素为多要素,则根据每个告警要素对应的告警触发类型和历史虚假告警信息的告警触发类型,计算相似哈希值,根据所述相似哈希值确定所述第一异常告警信息为虚假告警信息。
在一种可能的实施方式中,所述根据所述相似哈希值确定所述第一异常告警信息为虚假告警信息,包括:
若所述相似哈希值大于等于第二阈值,则确定所述第一异常告警信息为虚假告警信息;
若所述相似哈希值小于所述第二阈值,则根据所述每个告警要素的特征分数、正常告警触发类型和所述第一异常告警信息对应的客户特征,确定所述第一异常告警信息为虚假告警信息。
在一种可能的实施方式中,所述根据所述每个告警要素的特征分数、正常告警触发类型和所述第一异常告警信息对应的客户特征,确定所述第一异常告警信息为虚假告警信息,包括:
若所述每个告警要素中的任一告警要素的特征分数高于第三阈值,且所述每个告警要素中的任一告警要素对应的告警触发类型不属于所述正常告警触发类型,则对所述第一异常告警信息的客户特征进行深度分析,确定所述第一异常告警信息为虚假告警信息。
在一种可能的实施方式中,该方法还包括:
对所述客户特征进行深度分析后,进行期望最大化EM参数估计;
将EM参数估计结果输入至高斯混合模型,得到虚假概率值;
确定所述虚假概率值小于第四阈值的所述第一异常告警信息或所述第二异常告警信息为所述虚假告警信息。
第二方面,本发明实施例提供一种告警信息的分析装置,该装置包括:
第一确定模块,将告警信息的综合分数和第一阈值进行比较,根据比较结果和所述告警信息的风险类型,确定所述告警信息为第一异常告警信息或第二异常告警信息;
第二确定模块,用于若所述告警信息为所述第一异常告警信息,则根据所述第一异常告警信息的告警要素和告警触发类型,确定所述第一异常告警信息为虚假告警信息;
第三确定模块,用于若所述告警信息为所述第二异常告警信息,则对所述第二告警信息进行客户特征扩充,并对扩充后的客户特征进行深度分析,确定所述第二异常告警信息为虚假告警信息,其中,所述客户特征包括基础特征和/或行为特征。
在一种可能的实施方式中,所述第一确定模块,包括:
第一确定子模块,用于确定所述综合分数大于等于所述第一阈值,且所述风险类型为第一风险类型的告警信息为所述第一异常告警信息;
第二确定子模块,用于确定所述综合分数小于所述第一阈值,且所述风险类型为第二风险类型的告警信息为所述第二异常告警信息。
在一种可能的实施方式中,所述第二确定模块,包括:
单要素确定模块,用于若所述告警要素为单要素,且所述告警要素对应的告警触发类型与历史虚假告警信息的要素对应的告警触发类型完全匹配,则确定所述第一异常告警信息为虚假告警信息;
多要素确定模块,用于若所述告警要素为多要素,则根据每个告警要素对应的告警触发类型和历史虚假告警信息的告警触发类型,计算相似哈希值,根据所述相似哈希值确定所述第一异常告警信息为虚假告警信息。
在一种可能的实施方式中,所述多要素确定模块,包括:
第一多要素确定子模块,用于若所述相似哈希值大于等于第二阈值,则确定所述第一异常告警信息为虚假告警信息;
第二多要素确定子模块,用于若所述相似哈希值小于所述第二阈值,则根据所述每个告警要素的特征分数、正常告警触发类型和所述第一异常告警信息对应的客户特征,确定所述第一异常告警信息为虚假告警信息。
在一种可能的实施方式中,所述第二多要素确定子模块,包括:
第二多要素确定子单元,用于若所述每个告警要素中的任一告警要素的特征分数高于第三阈值,且所述每个告警要素中的任一告警要素对应的告警触发类型不属于所述正常告警触发类型,则对所述第一异常告警信息的客户特征进行深度分析,确定所述第一异常告警信息为虚假告警信息。
在一种可能的实施方式中,该装置还包括:
参数估计模块,用于对所述客户特征进行深度分析后,进行期望最大化EM参数估计;
概率计算模块,用于将EM参数估计结果输入至高斯混合模型,得到虚假概率值;
第四确定模块,用于确定所述虚假概率值小于第四阈值的所述第一异常告警信息或所述第二异常告警信息为所述虚假告警信息。
第三方面,本发明实施例一种计算机设备,包括:存储器、收发机以及处理器;
所述存储器,用于存储计算机指令;
所述收发机,用于在所述处理器的控制下收发数据;
所述处理器,用于读取所述存储器中的计算机程序并执行如下步骤:
将告警信息的综合分数和第一阈值进行比较,根据比较结果和所述告警信息的风险类型,确定所述告警信息为第一异常告警信息或第二异常告警信息;
若所述告警信息为所述第一异常告警信息,则根据所述第一异常告警信息的告警要素和告警触发类型,确定所述第一异常告警信息为虚假告警信息;
若所述告警信息为所述第二异常告警信息,则对所述第二告警信息进行客户特征扩充,并对扩充后的客户特征进行深度分析,确定所述第二异常告警信息为虚假告警信息,其中,所述客户特征包括基础特征和/或行为特征。
第四方面,本发明实施例提供一种计算机可读存储介质,所述存储介质存储有计算机指令,所述计算机指令被所述处理器执行时实现如第一方面中任一项所述的方法。
第五方面,本发明实施例提供一种计算机程序产品,包含有计算机可执行指令,所述计算机可执行指令用于使计算机执行如第一方面中任一项所述的方法。
本发明有益效果如下:
本发明公开了一种告警信息的分析方法、装置及计算机设备,首先,将告警信息的综合分数和第一阈值进行比较,根据比较结果和所述告警信息的风险类型,确定告警信息为第一异常告警信息或第二异常告警信息;然后,若告警信息为第一异常告警信息,则根据第一异常告警信息的告警要素和告警触发类型,确定第一异常告警信息为虚假告警信息;若告警信息为第二异常告警信息,则对第二告警信息进行客户特征扩充,并对扩充后的客户特征进行深度分析,确定第二异常告警信息为虚假告警信息,其中,客户特征包括基础特征和/或行为特征。通过上述方法对***发出的告警信息再进一步筛选出异常告警信息,从异常告警信息中筛选出虚假告警信息,从而可以减少人工审核的工作量,提高工作效率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种告警信息的分析方法的流程示意图;
图2为本发明实施例提供的一种告警信息的分析方法的具体流程示意图;
图3a为本发明实施例提供的一种告警信息的建模示意图;
图3b为本发明实施例提供的一种告警信息概率值示意图;
图4为本发明实施例提供的一种告警信息的分析装置的结构示意图;
图5为本发明实施例提供的一种告警信息的分析装置的具体结构示意图;
图6为本发明实施例提供的一种计算机设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
目前银行的客户身份识别***在交易过程中,通过名单数据库、风险数据库、搜索引擎、风险关系图谱、第三方风险识别接口等技术方式将客户身份信息送入身份识别引擎,对客户各项要素信息与风险数据进行匹配,对接近、相似、存在关联的客户信息进行告警,并进入人工审批流程,由审核专员进一步人工审批确认该告警信息是否为虚假告警信息。
为提升身份识别***识别能力,技术人员通过增强风险数据实效性和准确性、提升身份识别***识别能力、接入更多职能部门和第三方身份识别接口,联合多个***分别进行识别,对告警记录进行综合判断,在一定程度上减少告警,仍面临着异常指标众多、指标权重无法统一、大量弱告警信息让审核人员难以分辨的问题。
针对客户身份识别***告警信息过多的问题,为降低误报率,目前普遍采用的方法包括基于有监督方式的随机森林、多层神经网络等,对告警样本标记,对样本数据进行拟合,从而对新产生的告警记录进行真假告警分类。这类降误报的方式,面临着需要标注大量的样本数据、标签的标注和维护成本高、极易过拟合、模型过于复杂对预测结果难以解释、对未知的异常告警不能判断等问题。
基于上述问题,本发明实施例提供一种告警信息的分析方法、装置及计算机设备,用以解决现有技术人工审核告警信息,工作量大,效率低的问题。
下面结合上述描述的应用场景,参考附图来描述本申请示例性实施方式提供的告警信息的分析方法、装置及计算机设备,需要注意的是,上述应用场景仅是为了便于理解本申请的精神和原理而示出,本申请的实施方式在此方面不受任何限制。
如图1所示,为本发明实施例提供的一种告警信息的分析方法的流程示意图,该方法包括:
步骤101,将告警信息的综合分数和第一阈值进行比较,根据比较结果和所述告警信息的风险类型,确定所述告警信息为第一异常告警信息或第二异常告警信息;
步骤102,若所述告警信息为所述第一异常告警信息,则根据所述第一异常告警信息的告警要素和告警触发类型,确定所述第一异常告警信息为虚假告警信息;
步骤103,若所述告警信息为所述第二异常告警信息,则对所述第二告警信息进行客户特征扩充,并对扩充后的客户特征进行深度分析,确定所述第二异常告警信息为虚假告警信息,其中,所述客户特征包括基础特征和/或行为特征。
本发明公开了一种告警信息的分析方法,首先,将告警信息的综合分数和第一阈值进行比较,根据比较结果和所述告警信息的风险类型,确定告警信息为第一异常告警信息或第二异常告警信息;然后,若告警信息为第一异常告警信息,则根据第一异常告警信息的告警要素和告警触发类型,确定第一异常告警信息为虚假告警信息;若告警信息为第二异常告警信息,则对第二告警信息进行客户特征扩充,并对扩充后的客户特征进行深度分析,确定第二异常告警信息为虚假告警信息,其中,客户特征包括基础特征和/或行为特征。通过上述方法对***发出的告警信息再进一步筛选出异常告警信息,从异常告警信息中筛选出虚假告警信息,从而可以减少人工审核的工作量,提高工作效率。
如图2所示,为本发明实施例提供的一种告警信息的分析方法的具体流程示意图,该方法包括:
步骤201,获取告警信息;
具体的,告警信息中可以包括告警要素、告警特征、告警触发类型、综合分数、特征分数、风险类型等信息。
其中,风险类型可以包括高风险、中高风险、中风险、中低风险和低风险。
步骤202,判断告警信息的综合分数是否大于等于第一阈值,若是,则执行步骤203,若否,则执行步骤204;
步骤203,确定第一风险类型的告警信息为第一异常告警信息,执行步骤205;
具体的,第一风险类型可以包括高/中高/中风险,若告警信息的综合分数大于等于第一阈值,且风险类型为第一风险类型,则确定该告警信息为第一异常告警信息,即有误报隐患的告警信息;
步骤204,确定第二风险类型的告警信息为第二异常告警信息,执行步骤211;
具体的,第二风险类型可以包括中低/低风险,若告警信息的综合分数小于第一阈值,且风险类型为第二风险类型,则确定该告警信息为第二异常告警信息,即有漏报隐患的告警信息;
步骤205,判断第一异常告警信息为单要素告警信息或多要素告警信息,若为单要素告警信息,则执行步骤206,若为多要素告警信息,则执行步骤207;
具体的,如表1所示,告警要素可以包括法定名称、社会统一信用代码、法定代表人名称、法定代表人身份证号码、实控人(自然人)名称、实控人(自然人)身份证号码、实际控股股东企业名称、实际控股股东企业社会统一信用代码、受益人姓名、受益人证件号、授权代表人姓名、授权代表人证件号等内容,其中,告警信息只包括一个告警要素,则该告警信息为单要素告警信息,告警信息包括两个及以上告警要素,则该告警信息为多要素告警信息。
表1
步骤206,判断告警要素对应的告警触发类型与历史虚假告警信息的要素对应的告警触发类型是否完全匹配,若是,则执行步骤214,若否,则执行步骤211;
步骤207,根据每个告警要素对应的告警触发类型和历史虚假告警信息的告警触发类型,计算相似哈希值,执行步骤208;
需要说明的是,在上述实施例中,若告警信息中存在单个要素与历史虚假告警信息中的告警要素完全匹配,但告警触发类型为未知的触发类型的,比如,待分析的告警信息包含社会统一信用代码,触发类型为社会统一信用代码前9-17位或1-18位,并不在表1所示的已知告警触发类型的范围中,对于该告警信息,不再继续进行告警信息分析,确定该告警信息为真实告警。
步骤208,判断相似哈希值是否小于第二阈值,若是,则执行步骤209,若否,则执行步骤216;
在具体实施中,第二阈值可以根据实际情况确定,比如可以为0.95;
需要说明的是,上述实施例通过相似哈希SimHash算法,根据每个告警要素对应的告警触发类型和历史虚假告警信息的告警触发类型计算相似哈希值。
步骤209,判断该告警信息中的每个告警要素的特征分数是否均低于第三阈值,若是,则执行步骤210,若否,则执行步骤216;
在具体实施中,可以只先选择关键告警要素,然后判断每个关键告警要素的特征分数是否均低于第三阈值,比如,关键告警要素可以包括社会统一信用代码的特征分数。关键告警要素的选择可以基于预设的关键告警要素表格选择,即从多要素的告警信息中的告警要素中选择关键告警要素表格中存在的告警要素,作为该告警信息对应的关键告警要素。
步骤210,判断该告警信息中的每个告警要素对应的告警触发类型均为已确定的正常告警触发类型,若是,则执行步骤215,若否,则执行步骤211;
需要说明的是,本发明实施例中的正常告警触发类型可以是告警白名单,告警白名单可以包括正常行为、合法程序等内容,以及已确认可忽略的触发类型。
步骤211,对告警信息进行客户特征扩充,执行步骤212;
具体的,客户特征可以包括基础特征和实时行为特征,客户的基础特征可以包括客户行业、客户证件号归属地、年龄、账户开户地、注册资金、开户方式等,该类客户静态特征由离线计算引擎进行计算。
客户实时行为特征可以包括告警时间段、网际互连协议(Internet Protocol,IP)所在城市、IP所在国家、位置信息、交易类型、交易方式、交易对手城市等,该类动态特征用于分析客户的活动强度和地域分布。
需要说明的是,本发明实施例中的第二异常告警信息即客户特征较少的告警信息,所以需要进行客户特征的扩充。扩充客户特征时,可以从第三方获取,具体的获取方式可以为,向第三方服务器发送携带第二异常告警信息的标识对应的获取请求,第三方服务器接收到该请求后,根据该请求中携带的标识,查找与该标识对应的客户特征,返回查找到的客户特征。
步骤212,对该告警信息的客户特征进行深度分析并输出虚假概率值,执行步骤213;
具体的,对该告警信息的客户特征进行深度分析过程可以为:基于告警特征、客户基础特征、客户实时特征等告警的分布情况。对告警信息进行分析和特征提取,并进行特征组合,经过高维数据降维方法(Principal Component Analysis,PCA)进行降维,提取数据的主要特征分量,对上述众多特征进行正交变换,使特征转换为线性不相关,且最大程度的保留原有特征信息,确定出靠前的主要维度的特征向量作为聚类模型的特征参数。
计算虚假概率值的过程可以为:在对所述客户特征进行深度分析后,进行期望最大化(Expectation Maximum,EM)参数估计,对高斯混合模型(Gaussian Mixed Model,GMM)的每个高斯成分进行参数估计,设定两个真、假告警的聚类目标类别,并指定停止阈值、迭代次数等参数,计算每条告警记录的隐藏变量的期望值,并求解最大似然估计,得出收敛后的均值、方差,得到GMM,具体过程参照(式1-3),将(式1-2)中最大的训练结果作为模型参数,并对告警记录的告警特征经过降维、归一化处理后,导入该GMM模型中,得到每条记录的真告警和假告警的标签和对应概率值,并与设定的阈值进行比较,从而得到真告警和假告警。真假告警建模结果如图3a所示,同时可以得到真假告警之后的概率值,如图3b所示。
需要说明的是,本发明实施例所使用的GMM是一种多元分布函数,通过任意多个高斯模型的加权,对任意分布的样本的概率密度分布进行估计,一个或多个高斯模型代表一个类,它不仅可以对既定分布提供一个平滑的拟合,还能给出各个高斯模型参数和权重。高斯混合模型使用多个高斯密度函数对实际数据进行拟合,对告警样本中的数据在各个高斯分布上进行映射,得出每个类上的概率,选择概率最大的类作为该样本的类。假设一共有M个高斯分布,那么高斯混合分布模型为:
其中,M为高斯分布的个数,αj是第j个高斯分布的权重系数,xj为每条身份识别异常告警记录,μj是均值,∑i是协方差矩阵,Nj(xj;μj,∑j)是第j个高斯分布:
j代表高斯混合模型的阶数,Γ代表训练特征维度,(x-μj)表示第j个高斯分布的概率密度函数,
对于求解高斯分布的权重系数αj、均值μj、协方差矩阵∑i,通过样本数据集x来估计GMM的所有参数,N条告警数据的总概率可以表示为每条告警数据的概率的乘积,这个即为似然函数,从而对告警样本X构建似然函数:
式中,N为告警样本条数,概率密度函数用来表示监测参数是否发生本质变化。由于式(1-2)使用最大似然估计不能求解析解,只能使用迭代的方法来求解,这里使用EM算法进行参数估计。
另外,本发明实施例中的EM算法先通过期望估计得到期望结果,再通过最大化期望来求解参数值,具体流程如下:
(1)初始化:协方差矩阵∑0设为单位矩阵,每个模型比例的先验概率
均值υ0设为随机数。
(2)期望估计步骤:令αj的后验概率为:
(3)期望最大化步骤:
构造拉格朗日乘子:
更新混合权值:
更新均值:
更新协方差矩阵:
(4)收敛条件:
检查式(1-2)似然函数的收敛性,反复迭代上述步骤(2)和步骤(3),重复更新权值αj、均值μj、协方差矩阵Σj,直到满足收敛标准p(X|Φ)-p(X|Φ)′<ε,为更新参数后计算的值,当前后两次迭代得到的结果变化小于某个值时终止迭代。
高斯混合模型通过假设待估计的分布来自固定分数量的高斯混合分布,把密度估计转变成了最大似然估计的求解问题,减少了模型的参数,降低了空间复杂度;
本发明通过对身份识别***的告警记录分析挖掘告警记录特征,并结合客户静态基础特征、实时行为特征,对多维特征归一化、降维,构建高斯混合模型,进行再次识别和学习,在漏报率不提升的情况下,能明显减少告警记录,减少审批失误,降低人力成本。同时,本发明无须对真假告警查记录进行标记,不过度依赖业务专家的个人经验。
步骤213,判断虚假概率值是否小于第四阈值,若是,则执行步骤215,若否,则执行步骤216。
步骤214,确定该告警信息中的每个告警要素的特征分数是否均低于第五阈值,若是,则执行步骤211,若否,则执行步骤216。
步骤215,确定该告警信息为虚假告警信息;
具体的,确定该告警信息为虚假告警信息后,经人工确认后作为历史虚假告警信息记入虚假告警信息库。
步骤216,确定该告警信息为真实告警信息;
具体的,确定该告警信息为真实告警信息后,对该告警信息进行人工审核。
本发明实施例中的各个阈值均为预设的阈值,可以根据实际情况确定。
另外,本申请技术方案中,对数据的采集、传播、使用等,均符合国家相关法律法规要求。
基于相同的发明构思,本发明实施例还提供了一种告警信息的分析装置。如图4所示,为本发明实施例提供的一种告警信息的分析装置的结构示意图,该装置包括:
第一确定模块401,将告警信息的综合分数和第一阈值进行比较,根据比较结果和所述告警信息的风险类型,确定所述告警信息为第一异常告警信息或第二异常告警信息;
第二确定模块402,用于若所述告警信息为所述第一异常告警信息,则根据所述第一异常告警信息的告警要素和告警触发类型,确定所述第一异常告警信息为虚假告警信息;
第三确定模块403,用于若所述告警信息为所述第二异常告警信息,则对所述第二告警信息进行客户特征扩充,并对扩充后的客户特征进行深度分析,确定所述第二异常告警信息为虚假告警信息,其中,所述客户特征包括基础特征和/或行为特征。
如图5所示,为本发明实施例提供的一种告警信息的分析装置的具体结构示意图,该装置包括:第一确定模块401、第二确定模块402和第三确定模块403。
可选的,第一确定模块401,包括:
第一确定子模块501,用于确定所述综合分数大于等于所述第一阈值,且所述风险类型为第一风险类型的告警信息为所述第一异常告警信息;
第二确定子模块502,用于确定所述综合分数小于所述第一阈值,且所述风险类型为第二风险类型的告警信息为所述第二异常告警信息。
可选的,第二确定模块402,包括:
单要素确定模块503,用于若所述告警要素为单要素,且所述告警要素对应的告警触发类型与历史虚假告警信息的要素对应的告警触发类型完全匹配,则确定所述第一异常告警信息为虚假告警信息;
多要素确定模块504,用于若所述告警要素为多要素,则根据每个告警要素对应的告警触发类型和历史虚假告警信息的告警触发类型,计算相似哈希值,根据所述相似哈希值确定所述第一异常告警信息为虚假告警信息。
可选的,多要素确定模块504,包括:
第一多要素确定子模块5041,用于若所述相似哈希值大于等于第二阈值,则确定第一异常告警信息为虚假告警信息;
第二多要素确定子模块5042,用于若所述相似哈希值小于所述第二阈值,则根据每个告警要素的特征分数、正常告警触发类型和所述第一异常告警信息对应的客户特征,确定所述第一异常告警信息为虚假告警信息。
可选的,第二多要素确定子模块5042,包括:
第二多要素确定子单元50421,用于若每个告警要素中的任一告警要素的特征分数高于第三阈值,且每个告警要素中的任一告警要素对应的告警触发类型不属于正常告警触发类型,则对第一异常告警信息的客户特征进行深度分析,确定第一异常告警信息为虚假告警信息。
可选的,该装置还包括:
参数估计模块505,用于对客户特征进行深度分析后,进行期望最大化EM参数估计;
概率计算模块506,用于将EM参数估计结果输入至高斯混合模型,得到虚假概率值;
第四确定模块507,用于确定虚假概率值小于第四阈值的第一异常告警信息或第二异常告警信息为虚假告警信息。
基于相同的发明构思,本发明实施例还提供了一种计算机设备。该计算机设备可实现前述实施例中图1所执行的方法的流程。
如图6所示,为本发明实施例提供的一种计算机设备的结构示意图,该计算机设备包括处理器601、存储器602和收发机603;
处理器601负责管理总线架构和通常的处理,存储器602可以存储处理器601在执行操作时所使用的数据。收发机603用于在处理器601的控制下接收和发送数据。
总线架构可以包括任意数量的互联的总线和桥,具体由处理器601代表的一个或多个处理器和存储器602代表的存储器的各种电路链接在一起。总线架构还可以将诸如***设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口604提供接口。处理器601负责管理总线架构和通常的处理,存储器602可以存储处理器601在执行操作时所使用的数据。
本申请实施例揭示的流程,可以应用于处理器601中,或者由处理器601实现。在实现过程中,信号处理流程的各步骤可以通过处理器601中的硬件的集成逻辑电路或者软件形式的指令完成。处理器601可以是通用处理器、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器602,处理器601读取存储器602中的信息,结合其硬件完成信号处理流程的步骤。
具体地,处理器601,用于读取存储器602中的程序并执行:
将告警信息的综合分数和第一阈值进行比较,根据比较结果和所述告警信息的风险类型,确定所述告警信息为第一异常告警信息或第二异常告警信息;
若所述告警信息为所述第一异常告警信息,则根据所述第一异常告警信息的告警要素和告警触发类型,确定所述第一异常告警信息为虚假告警信息;
若所述告警信息为所述第二异常告警信息,则对所述第二告警信息进行客户特征扩充,并对扩充后的客户特征进行深度分析,确定所述第二异常告警信息为虚假告警信息,其中,所述客户特征包括基础特征和/或行为特征。
可选的,处理器601具体用于:
确定所述综合分数大于等于所述第一阈值,且所述风险类型为第一风险类型的告警信息为所述第一异常告警信息;
确定所述综合分数小于所述第一阈值,且所述风险类型为第二风险类型的告警信息为所述第二异常告警信息。
可选的,处理器601具体用于:
若所述告警要素为单要素,且所述告警要素对应的告警触发类型与历史虚假告警信息的要素对应的告警触发类型完全匹配,则确定所述第一异常告警信息为虚假告警信息;
若所述告警要素为多要素,则根据每个告警要素对应的告警触发类型和历史虚假告警信息的告警触发类型,计算相似哈希值,根据所述相似哈希值确定所述第一异常告警信息为虚假告警信息。
可选的,处理器601具体用于:
若所述相似哈希值大于等于第二阈值,则确定所述第一异常告警信息为虚假告警信息;
若所述相似哈希值小于所述第二阈值,则根据所述每个告警要素的特征分数、正常告警触发类型和所述第一异常告警信息对应的客户特征,确定所述第一异常告警信息为虚假告警信息。
可选的,处理器601具体用于:
若所述每个告警要素中的任一告警要素的特征分数高于第三阈值,且所述每个告警要素中的任一告警要素对应的告警触发类型不属于所述正常告警触发类型,则对所述第一异常告警信息的客户特征进行深度分析,确定所述第一异常告警信息为虚假告警信息。
可选的,处理器601还用于:
对所述客户特征进行深度分析后,进行期望最大化EM参数估计;
将EM参数估计结果输入至高斯混合模型,得到虚假概率值;
确定所述虚假概率值小于第四阈值的所述第一异常告警信息或所述第二异常告警信息为所述虚假告警信息。
本申请实施例针对告警信息的分析方法还提供一种计算机可读存储介质,即断电后内容不丢失。该存储介质中存储软件程序,包括程序代码,当程序代码在计算设备上运行时,该软件程序在被一个或多个处理器读取并执行时可实现本申请实施例上面任何一种告警信息的分析方法的方案。
在一些可能的实施方式中,本申请提供的告警信息的分析方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在计算机设备上运行时,程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的告警信息的分析方法的步骤。
本发明公开了一种告警信息的分析方法、装置及计算机设备,首先,将告警信息的综合分数和第一阈值进行比较,确定综合分数大于等于第一阈值,且风险类型为第一风险类型的告警信息为第一异常告警信息,即有误报隐患的告警信息;确定综合分数小于第一阈值,且风险类型为第二风险类型的告警信息为第二异常告警信息,即有漏报隐患的告警信息;
对于第一异常告警信息,若其告警要素为单要素,且告警要素对应的告警触发类型与历史虚假告警信息的要素对应的告警触发类型完全匹配,则确定第一异常告警信息为虚假告警信息;若其告警要素为多要素,则根据每个告警要素对应的告警触发类型和历史虚假告警信息的告警触发类型,计算相似哈希值,根据相似哈希值确定第一异常告警信息为虚假告警信息,若相似哈希值大于等于第二阈值,则确定第一异常告警信息为虚假告警信息;若相似哈希值小于第二阈值,且任一告警要素的特征分数均高于第三阈值,任一告警要素对应的告警触发类型均不属于正常告警触发类型,则对第一异常告警信息的客户特征进行深度分析;
对于第二异常告警信息进行客户特征扩充,并对扩充后的客户特征进行深度分析;
在对第一异常告警信息或第二异常告警信息的客户特征进行深度分析后,进行EM参数估计;将EM参数估计结果输入至高斯混合模型,得到虚假概率值;确定虚假概率值小于第四阈值的第一异常告警信息或第二异常告警信息为虚假告警信息。通过上述方法对***发出的告警信息进行多次确认和分析,区分出告警信息中的虚假告警信息,从而降低误告警率。
以上参照示出根据本申请实施例的方法、装置(***)和/或计算机程序产品的框图和/或流程图描述本申请。应理解,可以通过计算机程序指令来实现框图和/或流程图示图的一个块以及框图和/或流程图示图的块的组合。可以将这些计算机程序指令提供给通用计算机、专用计算机的处理器和/或其它可编程数据处理装置,以产生机器,使得经由计算机处理器和/或其它可编程数据处理装置执行的指令创建用于实现框图和/或流程图块中所指定的功能/动作的方法。
相应地,还可以用硬件和/或软件(包括固件、驻留软件、微码等)来实施本申请。更进一步地,本申请可以采取计算机可使用或计算机可读存储介质上的计算机程序产品的形式,其具有在介质中实现的计算机可使用或计算机可读程序代码,以由指令执行***来使用或结合指令执行***而使用。在本申请上下文中,计算机可使用或计算机可读介质可以是任意介质,其可以包含、存储、通信、传输、或传送程序,以由指令执行***、装置或设备使用,或结合指令执行***、装置或设备使用。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (15)
1.一种告警信息的分析方法,其特征在于,该方法包括:
将告警信息的综合分数和第一阈值进行比较,根据比较结果和所述告警信息的风险类型,确定所述告警信息为第一异常告警信息或第二异常告警信息;
若所述告警信息为所述第一异常告警信息,则根据所述第一异常告警信息的告警要素和告警触发类型,确定所述第一异常告警信息为虚假告警信息;
若所述告警信息为所述第二异常告警信息,则对所述第二告警信息进行客户特征扩充,并对扩充后的客户特征进行深度分析,确定所述第二异常告警信息为虚假告警信息,其中,所述客户特征包括基础特征和/或行为特征。
2.如权利要求1所述的方法,其特征在于,所述将告警信息的综合分数和第一阈值进行比较,根据比较结果和所述告警信息的风险类型,确定所述告警信息为第一异常告警信息或第二异常告警信息,包括:
确定所述综合分数大于等于所述第一阈值,且所述风险类型为第一风险类型的告警信息为所述第一异常告警信息;
确定所述综合分数小于所述第一阈值,且所述风险类型为第二风险类型的告警信息为所述第二异常告警信息。
3.如权利要求1所述的方法,其特征在于,所述根据所述第一异常告警信息的告警要素和告警触发类型,确定所述第一异常告警信息为虚假告警信息,包括:
若所述告警要素为单要素,且所述告警要素对应的告警触发类型与历史虚假告警信息的要素对应的告警触发类型完全匹配,则确定所述第一异常告警信息为虚假告警信息;
若所述告警要素为多要素,则根据每个告警要素对应的告警触发类型和历史虚假告警信息的告警触发类型,计算相似哈希值,根据所述相似哈希值确定所述第一异常告警信息为虚假告警信息。
4.如权利要求3所述的方法,其特征在于,所述根据所述相似哈希值确定所述第一异常告警信息为虚假告警信息,包括:
若所述相似哈希值大于等于第二阈值,则确定所述第一异常告警信息为虚假告警信息;
若所述相似哈希值小于所述第二阈值,则根据所述每个告警要素的特征分数、正常告警触发类型和所述第一异常告警信息对应的客户特征,确定所述第一异常告警信息为虚假告警信息。
5.如权利要求4所述的方法,其特征在于,所述根据所述每个告警要素的特征分数、正常告警触发类型和所述第一异常告警信息对应的客户特征,确定所述第一异常告警信息为虚假告警信息,包括:
若所述每个告警要素中的任一告警要素的特征分数高于第三阈值,且所述每个告警要素中的任一告警要素对应的告警触发类型不属于所述正常告警触发类型,则对所述第一异常告警信息的客户特征进行深度分析,确定所述第一异常告警信息为虚假告警信息。
6.如权利要求1-5任一所述的方法,其特征在于,该方法还包括:
对所述客户特征进行深度分析后,进行期望最大化EM参数估计;
将EM参数估计结果输入至高斯混合模型,得到虚假概率值;
确定所述虚假概率值小于第四阈值的所述第一异常告警信息或所述第二异常告警信息为所述虚假告警信息。
7.一种告警信息的分析装置,其特征在于,该装置包括:
第一确定模块,将告警信息的综合分数和第一阈值进行比较,根据比较结果和所述告警信息的风险类型,确定所述告警信息为第一异常告警信息或第二异常告警信息;
第二确定模块,用于若所述告警信息为所述第一异常告警信息,则根据所述第一异常告警信息的告警要素和告警触发类型,确定所述第一异常告警信息为虚假告警信息;
第三确定模块,用于若所述告警信息为所述第二异常告警信息,则对所述第二告警信息进行客户特征扩充,并对扩充后的客户特征进行深度分析,确定所述第二异常告警信息为虚假告警信息,其中,所述客户特征包括基础特征和/或行为特征。
8.如权利要求7所述的装置,其特征在于,所述第一确定模块,包括:
第一确定子模块,用于确定所述综合分数大于等于所述第一阈值,且所述风险类型为第一风险类型的告警信息为所述第一异常告警信息;
第二确定子模块,用于确定所述综合分数小于所述第一阈值,且所述风险类型为第二风险类型的告警信息为所述第二异常告警信息。
9.如权利要求7所述的装置,其特征在于,所述第二确定模块,包括:
单要素确定模块,用于若所述告警要素为单要素,且所述告警要素对应的告警触发类型与历史虚假告警信息的要素对应的告警触发类型完全匹配,则确定所述第一异常告警信息为虚假告警信息;
多要素确定模块,用于若所述告警要素为多要素,则根据每个告警要素对应的告警触发类型和历史虚假告警信息的告警触发类型,计算相似哈希值,根据所述相似哈希值确定所述第一异常告警信息为虚假告警信息。
10.如权利要求9所述的装置,其特征在于,所述多要素确定模块,包括:
第一多要素确定子模块,用于若所述相似哈希值大于等于第二阈值,则确定所述第一异常告警信息为虚假告警信息;
第二多要素确定子模块,用于若所述相似哈希值小于所述第二阈值,则根据所述每个告警要素的特征分数、正常告警触发类型和所述第一异常告警信息对应的客户特征,确定所述第一异常告警信息为虚假告警信息。
11.如权利要求10所述的装置,其特征在于,所述第二多要素确定子模块,包括:
第二多要素确定子单元,用于若所述每个告警要素中的任一告警要素的特征分数高于第三阈值,且所述每个告警要素中的任一告警要素对应的告警触发类型不属于所述正常告警触发类型,则对所述第一异常告警信息的客户特征进行深度分析,确定所述第一异常告警信息为虚假告警信息。
12.如权利要求7-11任一所述的装置,其特征在于,该装置还包括:
参数估计模块,用于对所述客户特征进行深度分析后,进行期望最大化EM参数估计;
概率计算模块,用于将EM参数估计结果输入至高斯混合模型,得到虚假概率值;
第四确定模块,用于确定所述虚假概率值小于第四阈值的所述第一异常告警信息或所述第二异常告警信息为所述虚假告警信息。
13.一种计算机设备,其特征在于,包括:存储器、收发机以及处理器;
所述存储器,用于存储计算机指令;
所述收发机,用于在所述处理器的控制下收发数据;
所述处理器,用于读取所述存储器中的计算机程序并执行如下步骤:
将告警信息的综合分数和第一阈值进行比较,根据比较结果和所述告警信息的风险类型,确定所述告警信息为第一异常告警信息或第二异常告警信息;
若所述告警信息为所述第一异常告警信息,则根据所述第一异常告警信息的告警要素和告警触发类型,确定所述第一异常告警信息为虚假告警信息;
若所述告警信息为所述第二异常告警信息,则对所述第二告警信息进行客户特征扩充,并对扩充后的客户特征进行深度分析,确定所述第二异常告警信息为虚假告警信息,其中,所述客户特征包括基础特征和/或行为特征。
14.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机指令,所述计算机指令被所述处理器执行时实现如权利要求1至6中任一项所述的方法。
15.一种计算机程序产品,其特征在于,包含有计算机可执行指令,所述计算机可执行指令用于使计算机执行如权利要求1至6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111639482.1A CN114298563A (zh) | 2021-12-29 | 2021-12-29 | 一种告警信息的分析方法、装置及计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111639482.1A CN114298563A (zh) | 2021-12-29 | 2021-12-29 | 一种告警信息的分析方法、装置及计算机设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114298563A true CN114298563A (zh) | 2022-04-08 |
Family
ID=80970684
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111639482.1A Pending CN114298563A (zh) | 2021-12-29 | 2021-12-29 | 一种告警信息的分析方法、装置及计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114298563A (zh) |
-
2021
- 2021-12-29 CN CN202111639482.1A patent/CN114298563A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110009174B (zh) | 风险识别模型训练方法、装置及服务器 | |
| WO2020253358A1 (zh) | 业务数据的风控分析处理方法、装置和计算机设备 | |
| CN109543096B (zh) | 数据查询方法、装置、计算机设备和存储介质 | |
| CN111309822B (zh) | 用户身份识别方法及装置 | |
| CN111177714A (zh) | 异常行为检测方法、装置、计算机设备和存储介质 | |
| US11481707B2 (en) | Risk prediction system and operation method thereof | |
| CN111160745A (zh) | 用户账户数据的处理方法及装置 | |
| CN112581259A (zh) | 账户风险识别方法及装置、存储介质、电子设备 | |
| CN111145006A (zh) | 基于用户画像的汽车金融反欺诈模型训练方法和装置 | |
| CN112990281A (zh) | 异常投标识别模型训练方法、异常投标识别方法及装置 | |
| CN112990989B (zh) | 价值预测模型输入数据生成方法、装置、设备和介质 | |
| CN112035775B (zh) | 基于随机森林模型的用户识别方法、装置和计算机设备 | |
| CN117132383A (zh) | 一种信贷数据处理方法、装置、设备及可读存储介质 | |
| CN115329347B (zh) | 基于车联网漏洞数据的预测方法、设备和存储介质 | |
| CN111582647A (zh) | 用户数据处理方法、装置及电子设备 | |
| CN116664306A (zh) | 风控规则的智能推荐方法、装置、电子设备及介质 | |
| CN116485185A (zh) | 基于比对数据的企业风险分析***及方法 | |
| CN114298563A (zh) | 一种告警信息的分析方法、装置及计算机设备 | |
| CN115907898A (zh) | 对再保客户进行金融产品推荐的方法及其相关设备 | |
| CN112686762B (zh) | 保单数据违规检测方法、装置、计算机设备及存储介质 | |
| CN115392351A (zh) | 风险用户识别方法、装置、电子设备及存储介质 | |
| CN114048330A (zh) | 风险传导概率知识图谱生成方法、装置、设备及存储介质 | |
| CN114547640A (zh) | 涉敏操作行为判定方法、装置、电子设备及存储介质 | |
| CN114528908A (zh) | 网络请求数据分类模型训练方法、分类方法及存储介质 | |
| CN113691552A (zh) | 威胁情报有效性评估方法、装置、***及计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |