异常员工确定方法、装置、设备及存储介质

技术领域

本公开涉及计算机技术领域，尤其涉及一种异常员工确定方法、装置、设备及存储介质。

背景技术

银行机构通过为客户办理各种金融服务，掌握了大量的客户信息，如客户征信信息。其中，为了避免银行员工违规查询和出售客户信息，银行机构应当采用相应的措施来预警或识别出客户信息的异常查询行为或识别出贩卖客户信息的员工。

相关技术中，通常是基于业务经验，从查询量波动阀值、睡眠用户异常查询、非工作时段异常查询、未授权异常查询、跨地域查询等5条规则对员工的查询行为进行监测，以识别出异常查询行为。或者，是基于数据挖掘，通过预测日查询和月查询量，给定异常阈值，从而识别异常查询行为。

但是相关技术中，存在有以下问题：

一、单规则预警，即：只要触发了某一规则的预警线即被预警，则会由于某些弱规则的预警而导致预警数据量大、疑点核查工作量大、问题查准率低等问题。

二、仅基于查询记录识别异常查询行为，难以洞察员工账号违规使用、违规动机和买卖客户信息的违规表现，准确率较低。

三、缺少员工违规查询征信风险的综合评分模型，难以区别预警规则的风险程度，不利于将有限的核查资源集中在高风险的排查中。

发明内容

本公开提供一种异常员工确定方法、装置、设备及存储介质，用以解决现有技术中创建的大量的线程处于等待状态，使得任务处于空跑状态的问题。

第一方面，本公开提供一种异常员工确定方法，包括：

预设多个异常查询规则，并为多个异常查询规则分别设置对应的规则风险评分；

基于员工对于各个异常查询规则的触发次数以及各个异常查询规则的规则风险评分，确定出各个员工对应的员工风险评分；

基于各个员工的员工风险评分确定第一疑似异常员工名单；

基于所述第一疑似异常员工名单确定异常员工。

第二方面，本公开提供一种异常员工确定装置，包括：

预设模块，用于预设多个异常查询规则，并为多个异常查询规则分别设置对应的规则风险评分；

第一确定模块，用于基于员工对于各个异常查询规则的触发次数以及各个异常查询规则的规则风险评分，确定出各个员工对应的员工风险评分；

第二确定模块，用于基于各个员工的员工风险评分确定第一疑似异常员工名单；

第三确定模块，用于基于所述第一疑似异常员工名单确定异常员工。

综上所述，本公开提供的异常员工确定方法、装置、设备及存储介质，会预设多个异常查询规则，并为多个异常查询规则分别设置对应的规则风险评分；之后，会基于员工对于各个异常查询规则的触发次数以及各个异常查询规则的规则风险评分，确定出各个员工对应的员工风险评分；并基于各个员工的员工风险评分确定第一疑似异常员工名单；以及，还会基于第一疑似异常员工名单确定异常员工。

由此可知，本公开在确定异常员工时，并非仅是基于员工的异常查询次数来确定，还会对各个异常查询规则设置对应的规则风险评分，并综合该规则风险评分和异常查询次数来确定异常员工，则准确率较高。

此外，本公开中针对各个异常查询规则引入了规则风险评分的概念，则可以区别各个规则的风险程度，由此可以将有限的资源集中对于高风险的异常查询规则进行排查，从而可以降低工作量，则在确保准确性的同时，还确保了高效率和灵活性。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

图1a为本公开实施例提供的异常员工确定方法的流程图；

图1b为本公开实施例提供的异常查询规则的历史触发频率的统计图；

图1c为本公开实施例提供的一种风险矩阵的结构示意图；

图1d为本公开实施例提供的一种员工风险评分统计示意图；

图2为本公开实施例提供的异常员工确定装置的结构示意图；

图3为本公开实施例提供的电子设备的结构示意图。

通过上述附图，已示出本公开明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本公开构思的范围，而是通过参考特定实施例为本领域技术人员说明本公开的概念。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

下面以具体地实施例对本公开的技术方案以及本公开的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本公开的实施例进行描述。

图1a为本公开实施例提供的一种异常员工确定方法的流程图。如图1a所示，该异常员工确定方法包括：

步骤101、预设多个异常查询规则，并为该多个异常查询规则分别设置对应的风险评分。

其中，在本公开的一个实施例之中，该异常查询规则可以用于体现：员工异常查询客户信息(如客户征信信息)时对应的情形。以及，表1和表2为本公开实施例提供的异常查询规则的示意表。

表1

/>

/>

表2

/>

如表1和表2所示，该多个异常查询规则可以包括RULE1至RULE19，示例的，RULE1可以为：员工为非正式员工开设查询用户。RULE8可以为：员工的查询行为与业务情况不匹配。

需要说明的是，上述的表2的RULE19提到的模型可以为查询量预测模型，该查询量预测模型基于多元线性回归模型对员工征信查询量进行预测，其中，被解释变量为每个征信查询员工的单月查询量，通过征信查询会发生的场景，从“历史征信查询行为、历史征信查询频度、查询员工数量、信贷业务量、客户授权”等设定19个解释变量。以及，本模型可以应用于：预警员工当月征信查询量是否超过模型预测的查询量上限。

以及，在本公开的一个实施例之中，上述的为多个异常查询规则分别设置对应的规则风险评分的步骤可以包括：

步骤a、基于各个异常查询规则的历史触发频率确定各个异常查询规则对应的等级评分。

具体的，可以先统计各个异常查询规则至少一个月的历史触发频率，并计算各个异常查询规则的至少一个月的历史触发频率的平均值，再基于平均值与等级评分的对应关系，确定出各个异常查询规则对应的等级评分。

其中，上述的历史触发频率可以为：异常查询规则触发员工数÷当月有过查询记录的员工总数。

以及，表3为本公开实施例提供的一种平均值与等级评分之间的对应关系表。

表3

如表3所示，当异常查询规则的历史触发频率的平均值介于[40％,100％]时，则该异常查询规则的等级评分为：1；当异常查询规则的历史触发频率的平均值介于[30％,40％)时，则该异常查询规则的等级评分为：2。

基于此，示例的，图1b为本公开实施例提供的异常查询规则的历史触发频率的统计图，如图1b所示，RULE17在2021年一月、二月、三月的历史触发频率分别为：88.808％、83.582％、90.821％，则该RULE17一月、二月、三月的历史触发频率的平均值为：87.737％。以及，参考表3，当RULE17的历史触发频率的平均值为：87.737％时，87.737％介于[40％,100％]，则RULE17的等级评分为：1。

步骤b、为各个异常查询规则设置风险严重程度值。

其中，可以基于各个异常查询规则的规则内容确定出各个异常查询规则对应的风险严重程度，进而再为其设置具体的风险严重程度值。

表4为本公开实施例提供的一种风险严重程度值设置示例表。

表4

参考上述表4所示，当异常查询规则对应的是非可信行为时，如当该异常查询规则的规则内容为包括：不可信查询对象、查询量超过模型预测上限等风险时，该异常查询规则对应的严重程度较低，则对应的风险严重程度值可以设置为1；当异常查询规则对应的是不规范使用时，如当异常查询规则的内容包括：共用/借用/盗用账户(即前述的出租/出借查询账户)时，该异常查询规则对应的严重程度较高，则对应的风险严重程度值可以设置为4。

需要说明的是，上述表4仅是示例性的以部分异常查询规则为例介绍了风险严重程度值设置方法，以及，表4中未示例出的异常查询规则的风险严重程度值的设置方法应当与表4中的设置方法原理类同，即：均是基于异常查询规则的具体规则内容确定出该异常查询规则对应的风险严重程度，并基于风险严重程度为其设置具体的风险严重程度值。

步骤c、利用预设的风险矩阵，基于各个异常查询规则的等级评分和风险严重程度值确定各个异常查询规则对应的规则风险评分。

其中，在本公开实施例之中，可以预先设置一风险矩阵，该风险矩阵的横轴表示风险严重程度值，纵轴表示等级评分，之后，可以基于各个异常查询规则的等级评分和风险严重程度值在该风险矩阵中确定出各个异常查询规则对应的规则风险评分。

图1c为本公开实施例提供的一种风险矩阵的结构示意图。表5为本公开实施例提供基于风险矩阵确定规则风险评分的示意表。

表5

结合图1c以及表5可知，当RULE1的等级评分为2、风险严重程度值为5，则基于图1c所示的风险矩阵，横轴为5，纵轴为2时，对应的规则风险评分为4，则可以确定RULE1对应的规则风险评分为4。同理的，当RULE2的等级评分为1、风险严重程度值为3，则基于图1c所示的风险矩阵确定出RULE2对应的规则风险评分为2。

则通过执行上述步骤a-c即可为多个异常查询规则分别设置对应的规则风险评分。

步骤102、基于员工对于各个异常查询规则的触发次数以及各个异常查询规则的规则风险评分，确定出各个员工对应的员工风险评分。

具体的，在本公开的一个实施例之中，上述的步骤202具体可以包括以下步骤：

步骤1、针对每个异常查询规则，对各个员工对于该异常查询规则的触发次数进行排序。

其中，该触发次数可以为当前时刻下，员工在本月对异常查询规则的触发次数。

以及，上述排序可以是从高到底排序，或者，也可以是从低到高排序。

例如，针对异常查询规则#10，可以按照从高到底的顺序对各个员工对于该异常查询规则#10的触发次数进行排序。其中，假设员工一对于异常查询规则#10的触发次数为0，员工二对于异常查询规则#10的触发次数为5，员工三对于异常查询规则#10的触发次数为3，则从高到低排序后的触发次数为：5、3、0。

步骤2、基于排序后的触发次数确定出各个异常查询规则下各个员工对应的风险调整系数；其中，风险调整系数与触发次数呈正相关。

具体的，在本公开的一个实施例之中，针对某个异常查询规则而言，可以将排序后的所有触发次数中位于第一区间的触发次数所对应的风险调整系数设置为第一值，将位于第二区间的触发次数所对应的风险调整系数设置为第二值，将位于第三区间的触发次数所对应的风险调整系数设置为第三值。其中，该第一区间顺序位于第二区间之前，第二区间的顺序位于第三区间之前。

以及，上述的“风险调整系数与触发次数呈正相关”具体体现为：

当各个异常查询规则的触发次数按照从高到底的顺序进行排序，则位于第一区间的触发次数排序靠前，也即是为高频触发次数，位于第二区间的触发次数排序靠中间，也即是为中频触发次数，位于第三区间的触发次数排序靠后，也即是为低频触发次数，此时，应当使得第一值大于第二值大于第三值。

以及，当各个异常查询规则的触发次数按照从低到高的顺序进行排序，则位于第一区间的触发次数排序靠前，也即是为低频触发次数，位于第二区间的触发次数排序靠中间，也即是为中频触发次数，位于第三区间的触发次数排序靠后，也即是为高频触发次数，此时，应当使得该第一值小于第二值小于第三值。

示例的，在本公开的一个实施例之中，第一区间可以为[0,1/4)，第二区间可以为：[1/4,3/4)；第三区间可以为：[3/4,1]。也即是，位于第一区间的触发次数为前25％的触发次数，位于第二区间的触发次数为25％的触发次数至75％的触发次数，位于第三区间的触发次数为后25％的触发次数。

基于此，示例的，表6为本公开实施例提供的一种风险调整系数设置示意表。

表6

如表6所示，示例的，假设异常查询规则#10被三个员工分别触发了，其中，员工一触发该异常查询规则#10的次数为X次，员工二触发该异常查询规则#10的次数为Y次，员工三触发该异常查询规则#10的次数为Z次，其中，对该异常查询规则的所有员工对应的触发次数从高到底排序后为Z、Y、X，其中，Z位于第一位，也即是，位于排序后的前25％，Y位于第二位，也即是，位于排序后的第25％至第75％之间，X位于第三位，也即是，位于排序后的75％以后(即位于后25％)。由此可知，员工一是低频触发了该异常查询规则#10，则员工一触发的该异常查询规则#10对应的风险调整系数可以设置的较小，如设置为1；员工二是中频触发了该异常查询规则#10，则员工二触发的该异常查询规则#10对应的风险调整系数可以设置的适中，如设置为1.1；员工三是高频触发了该异常查询规则#10，则员工三触发的该异常查询规则#10对应的风险调整系数可以设置的较高，如设置为1.2。

则由上述内容可知，在本公开中，当触发次数越高，对应确定的风险调整系数也应越大。以下对本公开中之所以“当触发次数越高时，对应确定的风险调整系数也应越大”的原因进行详细介绍：

具体的，本公开实施例中，该风险调整系数后续具体是用于：基于员工对于异常查询规则的触发次数来调整计算员工的员工风险评分，由此可知，该风险调整系数的取值会影响到员工风险评分的计算。基于此，当触发次数越高时，说明该员工高频触发了异常查询规则，则该员工较为可疑，此时，通过设置较大的风险调整系数，以便后续在计算员工风险评分时，可以使得所计算出的员工风险评分能够体现出该员工的高频触发异常查询规则的可疑性，从而确保后续能够基于员工风险评分准确判定出第一可疑异常员工名单，则保证了异常员工确定的准确性。

步骤3、将员工在各个异常查询规则下所对应的风险调整系数与各个异常查询规则的规则风险评分的乘积之和确定为员工的员工风险评分。

具体的，可以将员工在每个异常查询规则所对应的风险调整系数与每个异常查询规则的规则风险评分相乘以得到员工风险子评分，之后，将该员工在所有异常查询规则下对应的员工风险子评分相加得到该员工的员工风险评分。

示例的，表7为本公开实施例提供的一种计算Rule1的风险调整系数与每个异常查询规则的规则风险评分的员工风险子评分的示意表。

如表7所示，Rule1的规则风险评分为4，其中，员工A在Rule1下对应的风险调整系数为1，则员工A在Rule1下的员工风险子评分为4×1＝4；同理的，员工B在Rule1下对应的风险调整系数为1.2，则员工A在Rule1下的员工风险子评分为4×1.2＝4.8。

进一步示例的，图1d为本公开实施例提供的一种员工风险评分统计示意图。参考图1d所示，虚线框起的部分为各个员工在每个异常查询规则下对应的风险调整系数与规则风险评分的员工风险子评分，以及，将该员工在所有异常查询规则下对应的员工风险子评分相加即可得到该员工的员工风险评分。其中，图1d中的“风险评分”即为本公开的“员工风险评分”。以及，图1d中的预警规则可以为上述表1中包括的规则，图1d中的不可信规则可以为上述表2中包括的规则。

步骤103、基于各个员工的员工风险评分确定第一疑似异常员工名单。

具体的，可以将员工风险评分高于第一预设值的员工添加至第一疑似异常员工名单中。和/或

可以将员工风险评分由高到低排序后的前预设百分比(如前25％)的员工添加至第一疑似异常员工名单中。

由此可知，本公开实施例中的第一疑似异常员工名单中包括的是员工风险评分较高的员工。其中，结合前述内容可知，员工风险评分是基于员工对于异常查询规则的触发次数以及各个异常查询规则的规则风险评分综合确定的，因此，当某个员工的员工风险评分较高时，则意味着该员工高频查询了客户信息，或者，意味着该员工触发了高风险规则，则意味着该员工后续可能会存在贩卖客户信息的行为，因此，需要将该员工添加至第一疑似异常员工名单中，以便后续基于该第一疑似异常员工名单进行排查，以预警出贩卖客户信息的异常员工。

步骤104、基于第一疑似异常员工名单确定异常员工。

其中，在本公开的一个实施例之中，上述的“基于第一疑似异常员工名单确定异常员工”可以包括：直接将第一疑似异常员工名单中的员工确定为异常员工。

或者，在本公开的另一个实施例之中，上述的“基于第一疑似异常员工名单确定异常员工”可以包括：基于预设规则对该第一疑似异常员工名单中的员工进行筛选，得到第二疑似异常员工名单，并将第二疑似异常员工名单中的员工确定为异常员工。

其中，该预设规则具体可以用于筛选疑似贩卖过客户信息的员工。其中，该预设规则可以为：将第一疑似异常员工名单中，员工的账户和/或员工的相关账户的交易特征符合贩卖客户信息时的特定交易特征(如“累计一定查询量之后，一次性贩卖客户信息”对应的交易特征，或者，“每月查询并贩卖客户信息”对应的交易特征)的员工筛选出来，以构成第二疑似异常员工名单。

进一步地，当采用上述方法确定出异常员工后，后续可以重点盘查所确定出的异常员工，以进一步确认其是否会贩卖客户信息。

综上所述，本公开提供的异常员工确定方法，会预设多个异常查询规则，并为多个异常查询规则分别设置对应的规则风险评分；之后，会基于员工对于各个异常查询规则的触发次数以及各个异常查询规则的规则风险评分，确定出各个员工对应的员工风险评分；并基于各个员工的员工风险评分确定第一疑似异常员工名单；以及，还会基于第一疑似异常员工名单确定异常员工。

由此可知，本公开在确定异常员工时，并非仅是基于员工的异常查询次数来确定，还会对各个异常查询规则设置对应的规则风险评分，并综合该规则风险评分和异常查询次数来确定异常员工，则准确率较高。

此外，本公开中针对各个异常查询规则引入了规则风险评分的概念，则可以区别各个规则的风险程度，由此可以将有限的资源集中对于高风险的异常查询规则进行排查，从而可以降低工作量，则在确保准确性的同时，还确保了高效率和灵活性。

图2为本公开实施例提供的异常员工确定装置的结构示意图。如图2所示，该异常员工确定装置，包括：

预设模块201，用于预设多个异常查询规则，并为多个异常查询规则分别设置对应的规则风险评分；

第一确定模块202，用于基于员工对于各个异常查询规则的触发次数以及各个异常查询规则的规则风险评分，确定出各个员工对应的员工风险评分；

第二确定模块203，用于基于各个员工的员工风险评分确定第一疑似异常员工名单；

第三确定模块204，用于基于所述第一疑似异常员工名单确定异常员工。

本公开实施例提供的异常员工确定装置，可用于执行上述实施例中异常员工确定方法的技术方案，其实现原理和技术效果类似，在此不再赘述。

需要说明的是，应理解以上装置的各个模块的划分仅仅是一种逻辑功能的划分，实际实现时可以全部或部分集成到一个物理实体上，也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现；也可以全部以硬件的形式实现；还可以部分模块通过处理元件调用软件的形式实现，部分模块通过硬件的形式实现。例如，预设模块201可以为单独设立的处理元件，也可以集成在上述装置的某一个芯片中实现，此外，也可以以程序代码的形式存储于上述装置的存储器中，由上述装置的某一个处理元件调用并执行以上预设模块201的功能。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起，也可以独立实现。这里的处理元件可以是一种集成电路，具有信号的处理能力。在实现过程中，上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。

可选的，所述预设模块，还用于：

基于各个异常查询规则的历史触发频率确定各个异常查询规则对应的等级评分；

为各个异常查询规则设置风险严重程度值；

基于各个异常查询规则的等级评分和风险严重程度值确定各个异常查询规则对应的规则风险评分。

可选的，所述第一确定模块，还用于：

针对每个异常查询规则，对各个员工对于所述异常查询规则的触发次数进行排序；

基于排序后的触发次数确定出各个异常查询规则下各个员工对应的风险调整系数；其中，风险调整系数与触发次数呈正相关；

将所述员工在各个异常查询规则下所对应的风险调整系数与各个异常查询规则的规则风险评分的乘积之和确定为所述员工的员工风险评分。

可选的，所述第二确定模块，还用于：

将员工风险评分高于第一预设值的员工添加至第一疑似异常员工名单中；和/或

将员工风险评分由高到低排序后的前预设百分比的员工添加至第一疑似异常员工名单中。

可选的，所述第三确定模块204还用于：

将所述第一疑似异常员工名单中的员工确定为异常员工。

可选的，所述第三确定模块204还用于：

基于预设规则对所述第一疑似异常员工名单中的员工进行筛选，得到第二疑似异常员工名单；

将所述第二疑似异常员工名单中的员工确定为异常员工。

图3为本公开实施例提供的电子设备的结构示意图。如图3所示，该电子设备可以包括：收发器121、处理器122、存储器123。

处理器122执行存储器存储的计算机执行指令，使得处理器122执行上述实施例中的方案。处理器122可以是通用处理器，包括中央处理器CPU、网络处理器(networkprocessor，NP)等；还可以是数字信号处理器DSP、专用集成电路ASIC、现场可编程门阵列FPGA或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

存储器123通过系统总线与处理器122连接并完成相互间的通信，存储器123用于存储计算机程序指令。

收发器121可以用于获取待运行任务和待运行任务的配置信息。

系统总线可以是外设部件互连标准(peripheral component interconnect，PCI)总线或扩展工业标准结构(extended industry standard architecture，EISA)总线等。系统总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。收发器用于实现数据库访问装置与其他计算机(例如客户端、读写库和只读库)之间的通信。存储器可能包含随机存取存储器(randomaccess memory，RAM)，也可能还包括非易失性存储器(non-volatile memory)。

本公开实施例提供的电子设备，可以是执行上述异常员工确定方法的终端设备。

本公开实施例还提供一种运行指令的芯片，该芯片用于执行上述实施例中异常员工确定方法的技术方案。

本公开实施例还提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机指令，当该计算机指令在计算机上运行时，使得计算机执行上述实施例异常员工确定方法的技术方案。

本公开实施例还提供一种计算机程序产品，该计算机程序产品包括计算机程序，其存储在计算机可读存储介质中，至少一个处理器可以从计算机可读存储介质读取计算机程序，至少一个处理器执行计算机程序时可实现上述实施例中异常员工确定方法的技术方案。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求书指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求书来限制。