一种风险行为监测方法、装置及设备与流程

1.本发明涉及风险行为监测技术领域，尤其涉及一种风险行为监测方法、装置及设备。


背景技术：

2.当前金融行业业务不断推陈出新，业务流程设计往往缺乏充分、科学的风险评估，特别是针对复杂业务场景的员工风险行为，仅通过优化业务流程的方式来进行处理，往往需要较长项目周期，且过于复杂的业务流程控制会极大降低员工体验，降低业务办理效率。在业务流程整改完善前，关键风险点就会暴露在真空中，为业务操作带来巨大风险隐患。
3.现有技术中往往是在员工风险行为发生后，根据员工风险行为的历史记录进行员工风险行为的事后管理，这种方法管理时效低、成本高，并且无法从根源上对员工的风险行为进行有效防控。


技术实现要素：

4.本发明提供了一种风险行为监测方法，对员工的行为进行实时的监控，并且一旦确定员工的行为是风险行为，立刻触发实时监测机制，对员工的行为进行管理。
5.第一方面，本发明提供了一种员工风险行为监测方法，该方法包括：
6.根据用户利用账号进行的业务操作，确定用户的不同行为数据；
7.利用风险行为模型中的业务函数确定所述不同行为数据对应的风险因子，并利用所述风险行为模型配置的风险行为子模型，判断所述风险因子符合异常交易逻辑对应的风险条件时，触发对应的监测干预机制。
8.在一种可能实现的方式中，所述风险行为模型中包括分别与不同监测场景对应的风险行为子模型，其中，各风险行为子模型采用如下方式生成：
9.确定各监测场景对应的至少一个异常交易逻辑，并解析符合各异常交易逻辑对应的至少一个风险条件；
10.根据解析得到的风险条件中的交易要素得到对应的风险因子，并配置利用风险因子判定是否符合各风险条件的逻辑判断单元；
11.将属于同一监测场景的逻辑判断单元进行组合，得到该监测场景对应的风险行为子模型。
12.在一种可能实现的方式中，利用风险行为模型中的业务函数确定所述不同行为数据对应的风险因子，包括：
13.利用风险行为模型中的各业务函数根据确定对应的风险因子所依据的交易要素，从所述不同行为数据中提取对应的交易要素，确定与所述交易要素对应的风险因子。
14.在一种可能实现的方式中，所述业务函数包括如下至少一项：
15.字符串类型业务函数，用于从不同行为数据中提取指定字符类型的第一交易要素，得到对应的风险因子；
16.数字类型业务函数，用于从不同行为数据中提取指定数字类型的第二交易要素，得到对应的风险因子；
17.列表类型业务函数，用于从不同行为数据中提取指定列表类型的第三交易要素，得到对应的风险因子；
18.黑白名单业务函数，用于从不同行为数据中提取包含在预定义的黑名单和/或白名单中的第四交易要素，得到对应的风险因子；
19.累加因子业务函数，用于从不同行为数据中提取指定的第五交易要素，并对预设时长内出现的第五交易要素进行累计运算，得到对应的风险因子；
20.事件序列业务函数，用于从不同的行为数据中提取符合预定义的事件序列的第六交易要素，得到对应的风险因子。
21.在一种可能实现的方式中，得到该监测场景对应的风险行为子模型后，还包括：
22.配置与所述风险行为子模型对应的监测干预机制，所述监测干预机制包括记录当前行为数据、进行风险提醒、阻断当前业务操作中的至少一种，其中，记录当前行为数据为干预级别最低的监测干预机制、阻断当前业务操作为干预级别最高的监测干预机制。
23.在一种可能实现的方式中，判断所述风险因子符合异常交易逻辑对应的风险条件时，触发对应的监测干预机制，包括：
24.判断所述风险因子符合多个异常交易逻辑对应的风险条件时，触发所述多个干预级别不同的检测干预机制中干预级别最高的监测干预机制。
25.在一种可能实现的方式中，得到该监测场景对应的风险行为子模型之后，还包括：
26.待所述风险行为子模型审核通过后，获取用户的不同行为测试数据及是否有风险标识的测试数据；
27.将不同行为测试数据输入风险行为子模型，测试风险行为子模型是否监测出有风险标识的行为数据；
28.根据测试结果确定测试通过时，进入风险行为子模型使用阶段。
29.在一种可能实现的方式中，测试风险行为子模型是否监测出有风险标识的行为数据过程中，还包括：
30.根据测试结果调整所述风险行为子模型中为风险行为子模型配置的风险条件，所述调整包括新增、修改和删除。
31.第二方面，本发明提供了一种员工风险行为监测装置，该装置包括：
32.行为数据确定模块，用于根据用户利用账号进行的业务操作，确定用户的不同行为数据；
33.风险行为监测模块，用于利用风险行为模型中的业务函数确定所述不同行为数据对应的风险因子，并利用所述风险行为模型配置的风险行为子模型，判断所述风险因子符合异常交易逻辑对应的风险条件时，触发对应的监测干预机制。
34.第三方面，本发明提供了一种员工风险行为监测设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行以下步骤：
35.根据用户利用账号进行的业务操作，确定用户的不同行为数据；
36.利用风险行为模型中的业务函数确定所述不同行为数据对应的风险因子，并利用所述风险行为模型配置的风险行为子模型，判断所述风险因子符合异常交易逻辑对应的风
险条件时，触发对应的监测干预机制。
37.第四方面，本发明提供一种计算机可读存储介质，其上存储有计算机程序指令，该计算机程序指令被处理器执行时执行以下步骤：
38.根据用户利用账号进行的业务操作，确定用户的不同行为数据；
39.利用风险行为模型中的业务函数确定所述不同行为数据对应的风险因子，并利用所述风险行为模型配置的风险行为子模型，判断所述风险因子符合异常交易逻辑对应的风险条件时，触发对应的监测干预机制。
40.本发明提供了一种员工风险行为监测方法，该方法包括：根据用户利用账号进行的业务操作，确定用户的不同行为数据；利用风险行为模型中的业务函数确定所述不同行为数据对应的风险因子，并利用所述风险行为模型配置的风险行为子模型，判断所述风险因子符合异常交易逻辑对应的风险条件时，触发对应的监测干预机制。
41.基于以上方法，本发明具有下列优点：
42.1、用户操作灵活易用：可针对特定场景灵活配置风险模型，用户只需根据交易逻辑字段进行条件配置，大幅提升用户体验。
43.2、提升风险监测时效性：从根源上对员工行为风险进行防控，弥补事后管理的滞后性。
44.3、快速反应机制：弥补业务流程中控制周期长、流程慢的短板，可对突发风险事件进行快速部署发布。
附图说明
45.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
46.图1为本发明实施例提供的一种风险行为监测方法的流程图；
47.图2为本发明实施例提供的一种风险行为获取渠道的示意图；
48.图3为本发明实施例提供的一种监测干预机制的示意图；
49.图4为本发明实施例提供的一种风险行为模型生成步骤的流程图；
50.图5为实施例提供的一种风险行为监测装置的示意图；
51.图6实施例提供的一种风险行为监测设备结构图。
具体实施方式
52.为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
53.本发明实施例中术语“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
54.本发明实施例描述的应用场景是为了更加清楚的说明本发明实施例的技术方案，并不构成对于本发明实施例提供的技术方案的限定，本领域普通技术人员可知，随着新应用场景的出现，本发明实施例提供的技术方案对于类似的技术问题，同样适用。
55.当前金融行业业务不断推陈出新，业务流程设计往往缺乏充分、科学的员工风险行为评估，特别是针对复杂业务场景的员工风险行为，仅通过优化业务流程的方式来进行处理，往往需要较长项目周期，且过于复杂的业务流程控制会极大降低员工体验，降低业务办理效率。在业务流程整改完善前，关键风险点就会暴露在真空中，为业务操作带来巨大风险隐患。
56.现有技术中往往是在员工风险行为发生后，根据员工风险行为的历史记录进行员工风险行为的事后管理，这种方法存在以下技术问题：
57.1、员工风险行为事后管理成本高：事后管理多为线下操作，专项现场或非现场检查人力成本高，且无法从根源上对员工行为风险进行防控。
58.2、缺乏员工行为风险事中防控有效机制：事后管理时效性低，无法在风险发生时第一时间进行侦测识别，缺少科学的手段对员工行为风险进行侦测和预判。
59.3、缺乏对突发风险事件的快速反应机制：若新业务流程设计缺乏充分风险评估，会存在风险漏洞，仅靠业务流程优化周期较长，会使风险暴露在真空中。
60.4、缺乏灵活的个性化机制：每个地区业务发展存在差异化，风险规则执行缺乏对不同区域和渠道灵活的个性化风控机制。
61.为解决以上问题，本发明提供了一种风险行为监测方法，该方法可从渠道端对金融机构风险行为进行特征匹配风险模型，实现实时监测，并触发模型监测机制。以降低风险行为为金融机构带来的损失风险，提高金融机构实时风控能力。同时该方法适用于多种场景，并实时触发风险模型监测，例如：
62.1)非营业时间异常业务办理：
63.非营业时间柜面办理大额货币存取、货币冲正、密码重置、挂失补发等高风险业务，可实时触发风险模型监测，杜绝疑似盗取客户资金的风险隐患。
64.2)多交易参数累加值风险场景：
65.如：60分钟内同一客户累计存款及取款总次数大于10次，可实时触发风险模型监测，杜绝疑似盗取客户资金的风险隐患。
66.3)多交易时序高风险操作：
67.如：客户存款后10分钟内取走货币，可实时触发风险模型监测，杜绝疑似盗取客户资金的风险隐患。
68.4)地域差异化行为风险：
69.每个地区业务发展存在差异化，可以基于风险主模型对不同区域的风险子模型进行个性化参数配置，实现差异化风险行为实时监测。
70.实施例1
71.本发明实施例提出了一种风险行为监测方法，可以进行实时地监测多种风险行为，并灵活支持对多种复杂场景和个性化的风险行为的监测，如图1所示，包括：
72.步骤101，根据用户利用账号进行的业务操作，确定用户的不同行为数据；
73.实施中，上述用户一般是指银行等交易场所中具有一定权限的员工，获取上述用
户利用账号进行的业务操作的渠道包括柜面渠道、自主渠道和员工移动端三种，如图2所示，柜面渠道是指通过用户利用账号登录的银行等交易场所的非自助式柜员机、电脑等设备来获取用户进行的业务操作；自助渠道是通过用户利用账号登录的银行网点的自助柜员机等设备来获取用户进行的业务操作；用户移动端是指通过用户利用账号登录的移动设备来获取用户进行的业务操作。
74.通过上述渠道获取用户的业务操作后，确定用户的不同行为数据，上述行为数据中包含此行为对应的多个交易要素，在确定行为数据后，利用预设的风险行为模型对该行为数据进行解析，以确定该行为数据是否为风险行为数据。
75.步骤102，利用风险行为模型中的业务函数确定所述不同行为数据对应的风险因子，并利用所述风险行为模型配置的风险行为子模型，判断所述风险因子符合异常交易逻辑对应的风险条件时，触发对应的监测干预机制。
76.上述监测干预机制为监测到风险行为后触发的对此风险行为进行干预的机制，按照机制对应的干预级别从低到高的顺序，分为记录当前行为数据、进行风险提醒、阻断当前业务操作三种类型，如图3所示，其中，上述风险提醒的对象可以为进行当前业务操作的用户，也可以为负责监管风险行为时间的监管人员；上述风险提醒的方式可以为页面弹窗、短信等多种方式。需要注意的是，该进行风险提醒的监测干预机制只能做到提醒，用户可忽略该提醒后继续进行操作。
77.需要注意的是，各风险行为子模型中可能配置监测干预机制中的一种或多种，例如，配置的监测干预机制为记录当前行为数据和进行风险提醒，又例如配置的监测干预机制为记录当前行为数据。
78.作为一种可选的实施方式，判断所述风险因子符合异常交易逻辑对应的风险条件时，触发对应的监测干预机制，包括：
79.判断所述风险因子符合多个异常交易逻辑对应的风险条件时，触发所述多个干预级别不同的检测干预机制中干预级别最高的监测干预机制。
80.例如，当上述多个干预级别不同的检测干预机制为进行风险提醒、阻断当前业务操作，触发干预级别更高的监测干预机制，即阻断当前业务操作。
81.根据本发明实施例提供的方法，对风险行为进行实时的监测，当监测到风险行为发生时，可以做到快速反应，弥补了传统事后风险管理的滞后性，提升了风险行为的时效性，从根源上对风险行为进行了防控。
82.上述步骤102中，确定不同行为数据后，首先利用风险行为模型中的业务函数从该行为数据中提取交易要素，并且根据此交易要素确定风险因子，确定风险因子后，再根据确定的风险因子判断是否符合风险行为模型中的风险条件，如果符合所述风险条件，则确定该行为数据为风险行为数据，并通过监测干预机制对该风险行为数据进行干预。
83.作为一种可选的实施方式，利用风险行为模型中的业务函数确定所述不同行为数据对应的风险因子，包括：
84.利用风险行为模型中的各业务函数根据确定对应的风险因子所依据的交易要素，从所述不同行为数据中提取对应的交易要素，确定与所述交易要素对应的风险因子。
85.作为一种可选的实施方式，上述业务函数包括第一类型业务函数和第二类型行业务函数，所述第一类型业务函数用于从所述行为数据中提取对应的交易要素，并将提取的
交易要素确定为风险因子；
86.所述第二类型业务函数用于从所述行为数据中提取对应的交易要素后，利用预定义的确定对应的风险因子的规则，对所述提取的对应的交易要素进行处理，得到对应的风险因子。
87.其中，所述第一类型业务函数包括字符串类型业务函数、数字类型业务函数、列表类型业务函数、黑白名单业务函数、事件序列业务函数，所述第二类型业务函数包括累加因子业务函数。
88.作为一种可选的实施方式，上述业务函数包括如下至少一项：
89.字符串类型业务函数，用于从不同行为数据中提取指定字符类型的第一交易要素，得到对应的风险因子；
90.数字类型业务函数，用于从不同行为数据中提取指定数字类型的第二交易要素，得到对应的风险因子；
91.列表类型业务函数，用于从不同行为数据中提取指定列表类型的第三交易要素，得到对应的风险因子；
92.黑白名单业务函数，用于从不同行为数据中提取包含在预定义的黑名单和/或白名单中的第四交易要素，得到对应的风险因子；
93.累加因子业务函数，用于从不同行为数据中提取指定的第五交易要素，并对预设时长内出现的第五交易要素进行累计运算，得到对应的风险因子；
94.事件序列业务函数，用于从不同的行为数据中提取符合预定义的事件序列的第六交易要素，得到对应的风险因子。
95.实施中，所述风险因子包括交易金额、交易时间、交易次数、交易类型、柜面重复操作次数中的一项或多项。
96.实施中可根据业务函数确定对应的风险因子，例如，可以根据数字类型业务函数从行为数据中提取出上述交易金额对应的指定数字类型的第二交易要素，并将该第二交易要素确定为交易金额类风险因子。
97.可以根据累加因子业务函数从行为数据中提取该账号对应第五交易要素，即第五交易要素的交易号，并在预设时长内的根据交易号累计运算该交易号对应的次数，得到交易次数类风险因子。
98.上述对风险行为监测方法是基于风险行为模型来实现的，上述风险行为模型是由多个风险行为子模型组成的，每个风险行为子模型都是根据对应的监测场景来进行搭建的，并且各风险行为子模型都是根据对应的监测场景中的至少一个异常交易逻辑来对该风险行为子模型中的风险条件进行配置，实施中，风险行为子模型的构建整体上分为以下几步：风险因子维护、风险条件配置、风险模型维护、模型审核、模型试运行和模型投产发布。其中，风险因子维护是指确定模型建立所需的风险因子的过程，风险条件配置是指对风险行为模型中的风险因子进行条件配置进而形成风险行为模型的过程，风险模型维护是指基于已建立的风险行为模型进行新增、查询、修改、删除的过程。
99.作为一种可选的实施方式，所述风险行为模型中包括分别与不同监测场景对应的风险行为子模型，其中，各风险行为子模型采用如下方式生成：
100.确定各监测场景对应的至少一个异常交易逻辑，并解析符合各异常交易逻辑对应
的至少一个风险条件；
101.根据解析得到的风险条件中的交易要素得到对应的风险因子，并配置利用风险因子判定是否符合各风险条件的逻辑判断单元；
102.将属于同一监测场景的逻辑判断单元进行组合，得到该监测场景对应的风险行为子模型。
103.以下根据图4对风险模型的构建过程进行详细阐述。
104.步骤401、风险因子维护
105.根据该风险行为子模型对应的监测场景，确定该监测场景对应的至少一个异常交易逻辑，其中，每个异常交易逻辑都对应一个风险条件，通过对上述异常交易逻辑的解析，确定该异常交易逻辑对应的风险条件，并根据该风险条件，确定对应的风险因子后，确定对应的业务函数。
106.其中，上述监测场景可能为非营业时间大额货币存取、短时间内多次重复操作等存在风险隐患的业务场景。
107.例如，在构建行为风险子模型时，根据该行为风险子模型需要监测的业务场景中的一个异常交易逻辑确定的风险条件为60分钟内累计存款及取款总次数大于10次，根据该风险条件，确定对应的风险因子为60分钟的存取款次数，根据该风险因子，可确定对应的业务函数为累加因子业务函数，并对配置该累加因子业务函数中的预定义时长为60分钟。
108.步骤402、风险条件配置
109.确定上述异常交易逻辑对应的至少一个风险因子后，根据该异常交易逻辑对应的风险条件，配置利用所述至少一个风险因子判断是否符合风险条件的逻辑判断单元，实施中，通过配置每个风险因子对应的条件描述，配置逻辑判断单元；根据监测场景，将属于同一检测场景的多逻辑判断单元进行组合，确定行为风险子模型。
110.例如，确定该风险行为子模型中异常交易逻辑对应的风险因子为60分钟的存取款次数，则可以配置该风险因子对应的条件描述为大于50，则对应的逻辑判断单元判断的条件即为60分钟的存取款次数大于50，如果该风险行为子模型对应的监测场还对应另一个异常交易逻辑，即存取款金额大于100万，则配置另一个逻辑判断单元，使其判断的条件为存取款金额大于100万，将两个交易判断单元进行组合，即可确定该风险行为子模型。
111.步骤403、风险模型维护
112.建立风险行为子模型后，可根据该风险行为子模型对应的监测场景对该风险行为子模型进行风险条件的查询和调整，调整包括对风险条件进行新增、修改和删除。
113.对所述行为风险子模型进行调整后，对所述风险行为子模型进行监测干预机制配置，根据干预级别由低到高的顺序，监测干预机制可分为记录当前行为数据、进行风险提醒、阻断当前业务操作三类，在配置检测干预机制时，可以选择配置一类或多类检测干预机制，如果选择配置多类检测干预机制时，需要根据风险行为的严重程度进行配置；
114.例如，该行为风险子模型中存在5个风险条件，且对该风险行为子模型配置的监测干预机制为记录当前行为数据、进行风险提醒、阻断当前业务操作，则可配置监测到行为数据符合一个风险条件时记录当前行为数据，监测到行为数据符合三个风险条件时进行风险提醒，监测到行为数据符合四个风险条件时进行风险提醒阻断当前业务操作。
115.作为一种可选的实施方式，得到该监测场景对应的风险行为子模型后，还包括：
116.配置与所述风险行为子模型对应的监测干预机制，所述监测干预机制包括记录当前行为数据、进行风险提醒、阻断当前业务操作中的至少一种，其中，记录当前行为数据为干预级别最低的监测干预机制、阻断当前业务操作为干预级别最高的监测干预机制。
117.步骤404、模型审核
118.有权限审核人员对即将投放试运行的风险行为子模型进行审查核实，确定模型无误后判定审核通过，模型进入试运行阶段。
119.步骤405、模型试运行
120.确定所述风险行为子模型通过审核后，将待识别的行为数据输入该风险行为子模型，得到所述待识别的行为数据对应的测试结果，其中，待识别的行为数据包括不存在风险的正常行为数据和带有标识的风险行为数据。
121.当测试结果为上述正常行为数据未被识别为风险行为数据并未触发监测干预机制，且带有标识的风险行为数据被识别为风险行为数据，且触发了对应的监测干预机制时，更新待识别的行为数据再次进行测试，多次测试结果无误后，判定该风险行为子模型通过试运行。
122.作为一种可选的实施方式，得到该监测场景对应的风险行为子模型之后，还包括：
123.待所述风险行为子模型审核通过后，获取用户的不同行为测试数据及是否有风险标识的测试数据；
124.将不同行为测试数据输入风险行为子模型，测试风险行为子模型是否监测出有风险标识的行为数据；
125.根据测试结果确定测试通过时，进入风险行为子模型使用阶段。
126.如果测试结果出现错误，则对该风险行为子模型中的风险条件进行调整，作为一张可选的实施方式，测试风险行为子模型是否监测出有风险标识的行为数据过程中，还包括：
127.根据测试结果调整所述风险行为子模型中为风险行为子模型配置的风险条件，所述调整包括新增、修改和删除。
128.需要注意的是，在此阶段可以对该风险行为子模型进行差异化配置，例如，根据使用该风险行为子模型进行风险行为检测的地区的经济水平，对该风险行为子模型中的风险条件进行调整，实现对不同区域的风控差异化；又例如，根据获取用户业务操作的渠道，对该风险行为子模型中的风险条件进行调整，实现对不同渠道的风控差异化。
129.步骤406、模型投产发布
130.确定各风险行为子模型通过试运行阶段，将包含多个风险行为子模型的风险行为模型进行投产发布，通过该风险行为模型对用户的业务操作进行实时的风险行为检测。
131.实施例2
132.以上对本发明中一种风险行为监测方法进行说明，以下对执行上述风险行为监测的装置进行说明。
133.请参阅图5，本发明实施例提供一种风险行为监测装置，该装置包括：
134.行为数据确定模块501，用于根据用户利用账号进行的业务操作，确定用户的不同行为数据；
135.风险行为监测模块502，用于利用风险行为模型中的业务函数确定所述不同行为
数据对应的风险因子，并利用所述风险行为模型配置的风险行为子模型，判断所述风险因子符合异常交易逻辑对应的风险条件时，触发对应的监测干预机制。
136.可选的，所述风险行为模型中包括分别与不同监测场景对应的风险行为子模型，本发明实施例还包括风险行为子模型生成模块，其中，风险行为子模型生成模块采用如下方式生成各风险行为子模型：
137.确定各监测场景对应的至少一个异常交易逻辑，并解析符合各异常交易逻辑对应的至少一个风险条件；
138.根据解析得到的风险条件中的交易要素得到对应的风险因子，并配置利用风险因子判定是否符合各风险条件的逻辑判断单元；
139.将属于同一监测场景的逻辑判断单元进行组合，得到该监测场景对应的风险行为子模型。
140.可选的，风险行为子模型生成模块利用风险行为模型中的业务函数确定所述不同行为数据对应的风险因子，包括：
141.利用风险行为模型中的各业务函数根据确定对应的风险因子所依据的交易要素，从所述不同行为数据中提取对应的交易要素，确定与所述交易要素对应的风险因子。
142.可选的，所述业务函数包括如下至少一项：
143.字符串类型业务函数，用于从不同行为数据中提取指定字符类型的第一交易要素，得到对应的风险因子；
144.数字类型业务函数，用于从不同行为数据中提取指定数字类型的第二交易要素，得到对应的风险因子；
145.列表类型业务函数，用于从不同行为数据中提取指定列表类型的第三交易要素，得到对应的风险因子；
146.黑白名单业务函数，用于从不同行为数据中提取包含在预定义的黑名单和/或白名单中的第四交易要素，得到对应的风险因子；
147.累加因子业务函数，用于从不同行为数据中提取指定的第五交易要素，并对预设时长内出现的第五交易要素进行累计运算，得到对应的风险因子；
148.事件序列业务函数，用于从不同的行为数据中提取符合预定义的事件序列的第六交易要素，得到对应的风险因子。
149.可选的，风险行为子模型生成模块得到该监测场景对应的风险行为子模型后，还用于：
150.配置与所述风险行为子模型对应的监测干预机制，所述监测干预机制包括记录当前行为数据、进行风险提醒、阻断当前业务操作中的至少一种，其中，记录当前行为数据为干预级别最低的监测干预机制、阻断当前业务操作为干预级别最高的监测干预机制。
151.可选的，风险行为监测模块用于判断所述风险因子符合异常交易逻辑对应的风险条件时，触发对应的监测干预机制，包括：
152.判断所述风险因子符合多个异常交易逻辑对应的风险条件时，触发所述多个干预级别不同的检测干预机制中干预级别最高的监测干预机制。
153.可选的，本发明实施例还包括风险行为子模型测试模块，风险行为子模型测试模块得到该监测场景对应的风险行为子模型之后，还用于：
154.待所述风险行为模型审核通过后，获取用户的不同行为测试数据及是否有风险标识的测试数据；
155.将不同行为测试数据输入风险行为模型，测试风险行为模型是否监测出有风险标识的行为数据；
156.根据测试结果确定测试通过时，进入风险行为模型使用阶段。
157.可选的，风险行为子模型测试模块在测试风险行为模型是否监测出有风险标识的行为数据过程中，还用于：
158.根据测试结果调整所述风险行为模型中为风险行为子模型配置的风险条件，所述调整包括新增、修改和删除。
159.实施例3
160.在介绍了本发明示例性实施方式的风险行为监测方法和装置之后，接下来，介绍根据本发明的另一示例性实施方式的设备。
161.所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。
162.在一些可能的实施方式中，根据本发明的设备可以至少包括至少一个处理器、以及至少一个存储器。其中，存储器存储有程序代码，当程序代码被处理器执行时，使得处理器执行本说明书上述描述的根据本发明各种示例性实施方式的风险行为监测方法中的步骤。例如，处理器可以执行如风险行为监测方法中的步骤：
163.根据用户利用账号进行的业务操作，确定用户的不同行为数据；
164.利用风险行为模型中的业务函数确定所述不同行为数据对应的风险因子，并利用所述风险行为模型配置的风险行为子模型，判断所述风险因子符合异常交易逻辑对应的风险条件时，触发对应的监测干预机制。
165.下面参照图6来描述根据本发明的这种实施方式的设备130。图6显示的设备130仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。
166.如图6所示，设备130以通用设备的形式表现。设备130的组件可以包括但不限于：上述至少一个处理器131、上述至少一个存储器132、连接不同系统组件(包括存储器132和处理器131)的总线133。
167.总线133表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。
168.存储器132可以包括易失性存储器形式的可读介质，例如随机存取存储器(ram)1321和/或高速缓存存储器1322，还可以进一步包括只读存储器(rom)1323。
169.存储器132还可以包括具有一组(至少一个)程序模块1324的程序/实用工具1325，这样的程序模块1324包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。
170.设备130也可以与一个或多个外部设备134(例如键盘、指向设备等)通信，还可与一个或者多个使得用户能与设备130交互的设备通信，和/或与使得该设备130能与一个或多个其它设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通
过输入/输出(i/o)接口135进行。并且，设备130还可以通过网络适配器136与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器136通过总线133与用于设备130的其它模块通信。应当理解，尽管图中未示出，可以结合设备130使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。
171.可选的，所述风险行为模型中包括分别与不同监测场景对应的风险行为子模型，其中，各风险行为子模型采用如下方式生成：
172.确定各监测场景对应的至少一个异常交易逻辑，并解析符合各异常交易逻辑对应的至少一个风险条件；
173.根据解析得到的风险条件中的交易要素得到对应的风险因子，并配置利用风险因子判定是否符合各风险条件的逻辑判断单元；
174.将属于同一监测场景的逻辑判断单元进行组合，得到该监测场景对应的风险行为子模型。
175.可选的，所述处理器用于利用风险行为模型中的业务函数确定所述不同行为数据对应的风险因子，包括：
176.利用风险行为模型中的各业务函数根据确定对应的风险因子所依据的交易要素，从所述不同行为数据中提取对应的交易要素，确定与所述交易要素对应的风险因子。
177.可选的，所述业务函数包括如下至少一项：
178.字符串类型业务函数，用于从不同行为数据中提取指定字符类型的第一交易要素，得到对应的风险因子；
179.数字类型业务函数，用于从不同行为数据中提取指定数字类型的第二交易要素，得到对应的风险因子；
180.列表类型业务函数，用于从不同行为数据中提取指定列表类型的第三交易要素，得到对应的风险因子；
181.黑白名单业务函数，用于从不同行为数据中提取包含在预定义的黑名单和/或白名单中的第四交易要素，得到对应的风险因子；
182.累加因子业务函数，用于从不同行为数据中提取指定的第五交易要素，并对预设时长内出现的第五交易要素进行累计运算，得到对应的风险因子；
183.事件序列业务函数，用于从不同的行为数据中提取符合预定义的事件序列的第六交易要素，得到对应的风险因子。
184.可选的，所述处理器得到该监测场景对应的风险行为子模型后，还用于：
185.配置与所述风险行为子模型对应的监测干预机制，所述监测干预机制包括记录当前行为数据、进行风险提醒、阻断当前业务操作中的至少一种，其中，记录当前行为数据为干预级别最低的监测干预机制、阻断当前业务操作为干预级别最高的监测干预机制。
186.可选的，所述处理器判断所述风险因子符合异常交易逻辑对应的风险条件时，还用于触发对应的监测干预机制，包括：
187.判断所述风险因子符合多个异常交易逻辑对应的风险条件时，触发所述多个干预级别不同的检测干预机制中干预级别最高的监测干预机制。
188.可选的，所述处理器得到该监测场景对应的风险行为子模型之后，还用于：
189.待所述风险行为子模型审核通过后，获取用户的不同行为测试数据及是否有风险标识的测试数据；
190.将不同行为测试数据输入风险行为子模型，测试风险行为子模型是否监测出有风险标识的行为数据；
191.根据测试结果确定测试通过时，进入风险行为子模型使用阶段。
192.可选的，所述处理器测试风险行为模型是否监测出有风险标识的行为数据过程中，还用于：
193.根据测试结果调整所述风险行为子模型中为风险行为子模型配置的风险条件，所述调整包括新增、修改和删除。
194.在一些可能的实施方式中，本发明提供的一种风险行为监测方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在计算机设备上运行时，程序代码用于使计算机设备执行本说明书上述描述的根据本发明各种示例性实施方式的一种风险行为监测方法中的步骤。
195.程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
196.本发明的实施方式的用于监控的程序产品可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在设备上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
197.可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
198.可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。
199.可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，程序设计语言包括面向对象的程序设计语言—诸如java、c 等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户设备上部分在远程设备上执行、或者完全在远程设备或服务端上执行。在涉及远程设备的情形中，远程设备可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户设备，或者，可以连接到外部设备(例如利用因特网服务提供商来通过因特网连接)。
200.应当注意，尽管在上文详细描述中提及了装置的若干单元或子单元，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多
单元的特征和功能可以在一个单元中具体化。反之，上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
201.此外，尽管在附图中以特定顺序描述了本发明方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
202.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
203.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和方框图来描述的。应理解可由计算机程序指令实现流程图和方框图中的每一流程和/或方框、以及流程图和方框图中的流程和方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和方框图一个方框或多个方框中指定的功能的装置。
204.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和方框图一个方框或多个方框中指定的功能。
205.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和方框图一个方框或多个方框中指定的功能的步骤。
206.尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
207.显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。