一种应用于数字金融的大数据入侵分析方法及存储介质与流程

1.本技术实施例涉及人工智能和新媒体技术领域，具体涉及一种应用于数字金融的大数据入侵分析方法及存储介质。


背景技术：

2.数字金融是指通过互联网及信息技术手段与传统金融服务业态相结合的新一代金融服务。一般而言，数字金融包括互联网支付、移动支付、网上银行、金融服务外包及网上贷款、网上保险、网上基金等金融服务。数字金融的不断发展显著提高了金融服务的智能化程度和效率，有效减少了不必要的资源浪费。
3.然而在实际应用过程中，随着数字金融规模的不断扩大，个人/企业的金融数据信息安全容易受到不法分子的入侵和盗取，这会带来严重的经济损失，甚至造成一系列的连带后果。为此，保障数字金融的数据信息安全是当下工作的重点。


技术实现要素：

4.有鉴于此，本技术实施例提供了一种应用于数字金融的大数据入侵分析方法及存储介质。
5.本技术实施例提供了一种应用于数字金融的大数据入侵分析方法，应用于大数据入侵分析系统，所述方法至少包括：针对需进行入侵分析的数字金融业务日志集中的每组需进行入侵分析的用户操作会话进行异常活动事件识别，确定第一疑似异常活动事件簇和若干第二疑似异常活动事件簇；对所述第一疑似异常活动事件簇与所述若干第二疑似异常活动事件簇之间进行依据独立会话的相关性挖掘，获得反映所述第一疑似异常活动事件簇与所述若干第二疑似异常活动事件簇中的待处理第二疑似异常活动事件簇互相之间存在上下游联系的第一事件相关性挖掘情况；针对所述需进行入侵分析的数字金融业务日志集中的涵盖所述第一疑似异常活动事件簇的目标数字金融业务日志，结合所述第一事件相关性挖掘情况，获得所述第一疑似异常活动事件簇的事件定位评价、所述第一疑似异常活动事件簇与所述待处理第二疑似异常活动事件簇之间的事件适配评价和目标差异性评价中的不少于两种量化指标；结合所述不少于两种量化指标，获得反映所述第一疑似异常活动事件簇与所述待处理第二疑似异常活动事件簇之间是否存在入侵目的联系的第二事件相关性挖掘情况。
6.在一些可独立实施的设计思路下，所述方法还包括：依据所述第二事件相关性挖掘情况，确定所述第一疑似异常活动事件簇所指向会话活动事件的可视化事件变化记录。
7.在一些可独立实施的设计思路下，所述针对所述需进行入侵分析的数字金融业务日志集中的涵盖所述第一疑似异常活动事件簇的目标数字金融业务日志，结合所述第一事件相关性挖掘情况，获得所述第一疑似异常活动事件簇的事件定位评价、所述第一疑似异常活动事件簇与所述待处理第二疑似异常活动事件簇之间的事件适配评价和目标差异性评价中的不少于两种量化指标，包括：针对所述需进行入侵分析的数字金融业务日志集中
的涵盖所述第一疑似异常活动事件簇的目标数字金融业务日志，结合所述第一事件相关性挖掘情况，获得所述第一疑似异常活动事件簇的事件定位评价和所述第一疑似异常活动事件簇与所述待处理第二疑似异常活动事件簇之间的目标差异性评价中的不少于一种，以及所述第一疑似异常活动事件簇与所述待处理第二疑似异常活动事件簇之间的事件适配评价。
8.在一些可独立实施的设计思路下，所述待处理第二疑似异常活动事件簇包括：若干第二疑似异常活动事件子簇；在所述不少于两种量化指标中涵盖所述目标差异性评价的前提下，所述方法还包括：针对所述需进行入侵分析的数字金融业务日志集中的涵盖所述第一疑似异常活动事件簇的目标数字金融业务日志，结合所述第一事件相关性挖掘情况，确定所述目标数字金融业务日志的每组中的每个第二疑似异常活动事件子簇，与所述第一疑似异常活动事件簇之间的局部差异性评价，获得与所述每个第二疑似异常活动事件子簇对应的不少于一种所述局部差异性评价；从不少于一种所述局部差异性评价中，确定所述第一疑似异常活动事件簇与所述每个第二疑似异常活动事件子簇之间的所述目标差异性评价。
9.在一些可独立实施的设计思路下，所述待处理第二疑似异常活动事件簇包括：若干第二疑似异常活动事件子簇；在所述不少于两种量化指标中涵盖所述事件适配评价的前提下，所述方法还包括：确定出所述目标数字金融业务日志中，每个第二疑似异常活动事件子簇与所述第一疑似异常活动事件簇存在所述第一事件相关性挖掘情况的第一数字金融业务日志数目目；确定所述目标数字金融业务日志的第二数字金融业务日志数目；将所述第一数字金融业务日志数目与所述第二数字金融业务日志数目之间的量化处理结果，确定为所述第一疑似异常活动事件簇与所述每个第二疑似异常活动事件子簇之间的所述事件适配评价。
10.在一些可独立实施的设计思路下，在所述不少于两种量化指标中涵盖所述事件定位评价的前提下，所述方法还包括：确定所述目标数字金融业务日志的第二数字金融业务日志数目；确定所述目标数字金融业务日志中，从第一组用户操作会话到最后一组用户操作会话之间所记录的存在时序先后关系的用户操作会话的会话组数统计结果；将所述第二数字金融业务日志数目与所述会话组数统计结果之间的量化处理结果，确定为所述第一疑似异常活动事件簇的所述事件定位评价。
11.在一些可独立实施的设计思路下，所述待处理第二疑似异常活动事件簇包括：若干第二疑似异常活动事件子簇；所述结合所述不少于两种量化指标，获得反映所述第一疑似异常活动事件簇与所述待处理第二疑似异常活动事件簇之间是否存在入侵目的联系的第二事件相关性挖掘情况，包括以下任一项：在其中一个第二疑似异常活动事件子簇的所述不少于两种量化指标达到第一设定要求的前提下，确定所述第一疑似异常活动事件簇与所述其中一个第二疑似异常活动事件子簇之间互相之间存在上下游联系的第二事件相关性挖掘情况；在其中一个第二疑似异常活动事件子簇的所述不少于两种量化指标存在其中一个不达到第一设定要求的前提下，确定所述第一疑似异常活动事件簇与所述其中一个第二疑似异常活动事件子簇之间互相之间不存在上下游联系的第二事件相关性挖掘情况。
12.在一些可独立实施的设计思路下，在所述不少于两种量化指标中涵盖所述事件适配评价的前提下，所述第一设定要求包括：所述第一疑似异常活动事件簇与目标第二疑似
异常活动事件子簇之间的所述事件适配评价，不小于设定事件适配评价判定值；所述目标第二疑似异常活动事件子簇是所述若干第二疑似异常活动事件子簇中与所述第一疑似异常活动事件簇之间的事件适配评价最高的一个第二疑似异常活动事件子簇。
13.在一些可独立实施的设计思路下，在所述不少于两种量化指标中涵盖所述事件定位评价的前提下，所述第一设定要求包括：所述第一疑似异常活动事件簇的所述事件定位评价，不小于设定事件定位评价判定值。
14.在一些可独立实施的设计思路下，在所述不少于两种量化指标中涵盖所述目标差异性评价的前提下，所述第一设定要求包括：所述第一疑似异常活动事件簇与目标第二疑似异常活动事件子簇之间的所述目标差异性评价，不小于设定差异性评价判定值；所述目标差异性评价是所述第一疑似异常活动事件簇与所述目标第二疑似异常活动事件子簇之间的不少于一种差异性评价中的最低差异性评价；所述目标第二疑似异常活动事件子簇是所述若干第二疑似异常活动事件子簇中，与所述第一疑似异常活动事件簇之间的事件适配评价最高的一个第二疑似异常活动事件子簇。
15.在一些可独立实施的设计思路下，所述对所述第一疑似异常活动事件簇与所述若干第二疑似异常活动事件簇之间进行依据独立会话的相关性挖掘，获得反映所述第一疑似异常活动事件簇与所述若干第二疑似异常活动事件簇中的待处理第二疑似异常活动事件簇互相之间存在上下游联系的第一事件相关性挖掘情况，包括：借助ai神经网络，确定所述若干第二疑似异常活动事件簇的显著性事件主题；结合所述若干第二疑似异常活动事件簇的显著性事件主题与所述第一疑似异常活动事件簇的核心事件主题之间的词向量差异，挖掘所述若干第二疑似异常活动事件簇与所述第一疑似异常活动事件簇之间的相关性描述，获得反映所述第一疑似异常活动事件簇与所述若干第二疑似异常活动事件簇中的待处理第二疑似异常活动事件簇互相之间存在上下游联系的第一事件相关性挖掘情况。
16.在一些可独立实施的设计思路下，所述结合所述若干第二疑似异常活动事件簇的显著性事件主题与所述第一疑似异常活动事件簇的核心事件主题之间的词向量差异，挖掘所述若干第二疑似异常活动事件簇与所述第一疑似异常活动事件簇之间的相关性描述，获得反映所述第一疑似异常活动事件簇与所述若干第二疑似异常活动事件簇中的待处理第二疑似异常活动事件簇互相之间存在上下游联系的第一事件相关性挖掘情况，包括：确定所述若干第二疑似异常活动事件簇中每个第二疑似异常活动事件簇的显著性事件主题与所述第一疑似异常活动事件簇的核心事件主题之间的词向量差异，获得若干词向量差异值；将所述若干词向量差异值中最低的词向量差异值所对应的第二疑似异常活动事件簇，确定为所述待处理第二疑似异常活动事件簇；挖掘所述待处理第二疑似异常活动事件簇与所述第一疑似异常活动事件簇之间互相之间存在上下游联系，获得反映所述待处理第二疑似异常活动事件簇与所述第一疑似异常活动事件簇互相之间存在上下游联系的所述第一事件相关性挖掘情况。
17.在一些可独立实施的设计思路下，所述第一疑似异常活动事件簇携带第一事件语义，所述待处理第二疑似异常活动事件簇携带第二事件语义；所述结合所述不少于两种量化指标，获得反映所述第一疑似异常活动事件簇与所述待处理第二疑似异常活动事件簇之间是否存在入侵目的联系的第二事件相关性挖掘情况之后，所述方法还包括：在所述第二事件相关性挖掘情况反映所述第一疑似异常活动事件簇与所述待处理第二疑似异常活动
事件簇互相之间存在上下游联系的前提下，存储并输出所述第一事件语义与所述第二事件语义之间的映射列表。
18.在一些可独立实施的设计思路下，所述第一疑似异常活动事件簇为跨境金融业务事件集，所述第二疑似异常活动事件簇为在线金融业务事件集；或着，所述第一疑似异常活动事件簇为在线金融业务事件集，所述第二疑似异常活动事件簇为跨境金融业务事件集。
19.在一些可独立实施的设计思路下，在所述第二疑似异常活动事件簇为在线金融业务事件集的前提下，所述显著性事件主题为异地显著性事件主题。
20.本技术实施例还提供了一种大数据入侵分析系统，包括处理器、网络模块和存储器；所述处理器和所述存储器通过所述网络模块通信，所述处理器从所述存储器中读取计算机程序并运行，以执行上述的方法。
21.本技术实施例还提供了一种计算机存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序在运行时实现上述的方法。
22.相较于现有技术，应用于本技术实施例，可以结合异常活动事件识别结果确定出第一疑似异常活动事件簇所对应的多组数字金融业务日志中，每一组内的第一疑似异常活动事件簇与该组内的若干第二疑似异常活动事件簇中的待处理疑似异常活动事件簇之间存在联系的第一事件相关性挖掘情况，结合该多组数字金融业务日志中每一组所对应的第一事件相关性挖掘情况确定出第一疑似异常活动事件簇的事件定位评价，以及第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇之间的事件适配评价和目标差异性评价中的不少于两种量化指标，并结合上述不少于两种量化指标准确获得第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇之间是否存在入侵目的联系的第二事件相关性挖掘情况，结合第二事件相关性挖掘情况确定出第一疑似异常活动事件簇所指向的会话活动事件的可视化事件变化记录；鉴于能够结合事件定位评价、事件适配评价和差异性评价这三种量化指标中的不少于两种量化指标，确定第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇之间是否存在入侵目的联系，可以理解的是，在确定第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇之间是否存在入侵目的联系时，能够从更多更丰富的维度进行考虑和分析，使得获得的反映第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇之间是否存在入侵目的联系的第二事件相关性挖掘情况更加精准可信，这样能够通过第二事件相关性挖掘情况对数字金融业务日志集进行准确可靠的大数据入侵分析，以保障数字金融业务的安全运行，避免入侵行为对相关业务数据信息的破坏。
23.在后面的描述中，将部分地陈述其他的特征。在检查后面内容和附图时，本领域的技术人员将部分地发现这些特征，或者可以通过生产或运用了解到这些特征。通过实践或使用后面所述详细示例中列出的方法、工具和组合的各个方面，当前申请中的特征可以被实现和获得。
附图说明
24.为了更清楚地说明本技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
25.图1为本技术实施例所提供的一种大数据入侵分析系统的方框示意图。
26.图2为本技术实施例所提供的一种应用于数字金融的大数据入侵分析方法的流程图。
27.图3为本技术实施例所提供的一种应用于数字金融的大数据入侵分析装置的框图。
具体实施方式
28.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例只是本技术的一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。
29.因此，以下对在附图中提供的本技术的实施例的详细描述并非旨在限制要求保护的本技术的范围，而是仅仅表示本技术的选定实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
30.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
31.图1示出了本技术实施例所提供的一种大数据入侵分析系统10的方框示意图。本技术实施例中的大数据入侵分析系统10可以为具有数据存储、传输、处理功能的服务端，如图1所示，大数据入侵分析系统10包括：存储器0011、处理器0012、网络模块0013和应用于数字金融的大数据入侵分析装置20。
32.存储器0011、处理器0012和网络模块0013之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件互相之间可以通过一条或多条通讯总线或信号线实现电性连接。存储器0011中存储有应用于数字金融的大数据入侵分析装置20，所述应用于数字金融的大数据入侵分析装置20包括至少一个可以软件或固件（firmware）的形式储存于所述存储器0011中的软件功能模块，所述处理器0012通过运行存储在存储器0011内的软件程序以及模块，例如本技术实施例中的应用于数字金融的大数据入侵分析装置20，从而执行各种功能应用以及数据处理，即实现本技术实施例中的应用于数字金融的大数据入侵分析方法。
33.其中，所述存储器0011可以是，但不限于，随机存取存储器（random access memory，ram），只读存储器（read only memory，rom），可编程只读存储器（programmable read-only memory，prom），可擦除只读存储器（erasable programmable read-only memory，eprom），电可擦除只读存储器（electric erasable programmable read-only memory，eeprom）等。其中，存储器0011用于存储程序，所述处理器0012在接收到执行指令后，执行所述程序。
34.所述处理器0012可能是一种集成电路芯片，具有数据的处理能力。上述的处理器0012可以是通用处理器，包括中央处理器 (central processing unit，cpu)、网络处理器 (network processor，np)等。可以实现或者执行本技术实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
35.网络模块0013用于通过网络建立大数据入侵分析系统10与其他通信终端设备之间的通信连接，实现网络信号及数据的收发操作。上述网络信号可包括无线信号或者有线信号。
36.可以理解，图1所示的结构仅为示意，大数据入侵分析系统10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
37.本技术实施例还提供了一种计算机存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序在运行时实现上述的方法。
38.图2示出了本技术实施例所提供的一种应用于数字金融的大数据入侵分析方法的流程图。所述方法有关的流程所定义的方法步骤应用于大数据入侵分析系统10，可以由所述处理器0012实现，所述方法包括以下内容。
39.步骤101、针对需进行入侵分析的数字金融业务日志集中的每组需进行入侵分析的用户操作会话进行异常活动事件识别，确定第一疑似异常活动事件簇和若干第二疑似异常活动事件簇。
40.大数据入侵分析系统可以借助异常活动事件识别网络，来对需进行入侵分析的数字金融业务日志集中的每组需进行入侵分析的用户操作会话进行异常活动事件识别，从而识别得到每组需进行入侵分析的用户操作会话是否涵盖第一疑似异常活动事件簇，以及若干第二疑似异常活动事件簇。以一些例子来看待，在本技术的实施例中，第一疑似异常活动事件簇的数目为一个；在其他实施例中，第一疑似异常活动事件簇的数目也可以为若干个，而本技术实施例则针对每个第一疑似异常活动事件簇为例进行介绍。
41.在本技术实施例中，需进行入侵分析的数字金融业务日志集可以了解为待分析数字金融业务日志集，比如可以通过实现设置的各类条件来确定数字金融业务日志集，进一步地，每组需进行入侵分析的用户操作会话同样可以通过实现设置的各类条件来确定。
42.可以理解的是，需进行入侵分析的数字金融业务日志集可对应于境内在线支付、境外在线支付或者区块链支付，本技术实施例对此不作限定。
43.在本技术实施例中，当针对需进行入侵分析的数字金融业务日志集中的一组需进行入侵分析的用户操作会话进行异常活动事件识别后，未识别到第一疑似异常活动事件簇和/或第二疑似异常活动事件簇的前提下，或者，识别到该组需进行入侵分析的用户操作会话中涵盖了第一疑似异常活动事件簇和一个第二疑似异常活动事件簇的前提下，对该第一疑似异常活动事件簇和/或第二疑似异常活动事件簇进行注释，并继续对之后的需进行入侵分析的数字金融业务日志集进行识别，直至识别到一组需进行入侵分析的用户操作会话中涵盖一个疑似异常活动事件簇和若干第二疑似异常活动事件簇的前提下，确定出第一疑似异常活动事件簇和若干第二疑似异常活动事件簇。
44.可以理解的是，由于在一组需进行入侵分析的用户操作会话中涵盖了第一疑似异常活动事件簇和一个第二疑似异常活动事件簇的前提下，通常该第一疑似异常活动事件簇与该第二疑似异常活动事件簇之间是互相之间存在上下游联系的，可以理解的是，本技术实施例中，仅针对一组需进行入侵分析的用户操作会话中涵盖第一疑似异常活动事件簇和若干第二疑似异常活动事件簇的情况进行说明。
45.在本技术的一些可独立实施的实施例中，第一疑似异常活动事件簇为跨境金融业
务事件集，第二疑似异常活动事件簇为在线金融业务事件集；或者，第一疑似异常活动事件簇为在线金融业务事件集，第二疑似异常活动事件簇为跨境金融业务事件集。本技术实施例将以第一疑似异常活动事件簇为跨境金融业务事件集，第二疑似异常活动事件簇为在线金融业务事件集为例，进行本技术后续相关内容的说明。
46.可以理解的是，本技术所述的在线金融业务事件集为全局事件识别线程确定的事件集（比如可以理解为第一线程），跨境金融业务事件集为局部事件识别线程确定的事件集（比如可以理解为第二线程）；以一些例子来看待，以下为本技术提供的以一些例子来看待涵盖有第一线程和第二线程的一组需进行入侵分析的用户操作会话，其中包括第一线程thread_1a、第一线程thread_1b、第一线程thread_1c、以及第二线程thread_2d。
47.在上述基础上，异常活动事件可以是非常规的或者可能存在风险的业务会话行为事件，包括但不限于频繁密码错误登录、非常用地登录、敏感词检测命中等对应的活动事件。
48.步骤102、对第一疑似异常活动事件簇与若干第二疑似异常活动事件簇之间进行依据独立会话的相关性挖掘，获得反映第一疑似异常活动事件簇与若干第二疑似异常活动事件簇中的待处理第二疑似异常活动事件簇互相之间存在上下游联系的第一事件相关性挖掘情况。
49.在本技术的一些可独立实施的实施例中，大数据入侵分析系统可以在识别得到一组需进行入侵分析的用户操作会话中涵盖的第一疑似异常活动事件簇与若干第二疑似异常活动事件簇后，便对该组需进行入侵分析的用户操作会话中涵盖的第一疑似异常活动事件簇与若干第二疑似异常活动事件簇之间进行依据独立会话的相关性挖掘。在本技术的另一些可独立实施的实施例中，大数据入侵分析系统也可以在将一部分需进行入侵分析的日志簇全部进行异常活动事件识别完之后，再对每一组需进行入侵分析的用户操作会话中涵盖的第一疑似异常活动事件簇与若干第二疑似异常活动事件簇之间进行依据独立会话的相关性挖掘（依据单一会话的关联性挖掘预测）。
50.可以理解的是，涵盖有第一疑似异常活动事件簇与若干第二疑似异常活动事件簇的多组不同需进行入侵分析的用户操作会话之间的第二疑似异常活动事件簇可能一致，也可能存在差异。
51.第一组用户操作会话需进行入侵分析的用户操作会话中涵盖了第一疑似异常活动事件簇case_cluster_a和第二疑似异常活动事件簇case_cluster_bd和case_cluster_be，第三组需进行入侵分析的用户操作会话中涵盖了第一疑似异常活动事件簇case_cluster_a和第二疑似异常活动事件簇case_cluster_bd、case_cluster_bf和case_cluster_be；第四组需进行入侵分析的用户操作会话中涵盖了第一疑似异常活动事件簇case_cluster_a和第二疑似异常活动事件簇case_cluster_bg和case_cluster_bh；第五组需进行入侵分析的用户操作会话中涵盖了第一疑似异常活动事件簇case_cluster_a和第二疑似异常活动事件簇case_cluster_bd和case_cluster_be等。
52.可以理解的是，当一组需进行入侵分析的用户操作会话涵盖第一疑似异常活动事件簇与一个第二疑似异常活动事件簇时，通常该第一疑似异常活动事件簇与一个第二疑似异常活动事件簇属于同一会话活动事件，因此无需进行相关性挖掘，鉴于此，本技术对当一组需进行入侵分析的用户操作会话涵盖第一疑似异常活动事件簇与一个第二疑似异常活
动事件簇不进行说明。
53.在本技术的一些可独立实施的实施例中，大数据入侵分析系统进行依据独立会话的相关性挖掘时，可以确定第一疑似异常活动事件簇与每一个第二疑似异常活动事件簇之间的差异性评价（余弦距离），并确定与第一疑似异常活动事件簇之间的差异性评价不小于设定值的第二疑似异常活动事件簇作为待处理第二疑似异常活动事件簇，并确定第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇之间互相之间存在上下游联系，从而获得反映第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇互相之间存在上下游联系的第一事件相关性挖掘情况。
54.比如，大数据入侵分析系统确定第一疑似异常活动事件簇case_cluster_a分别与第二疑似异常活动事件簇case_cluster_b1和case_cluster_b2之间的差异性评价，获得对应的差异性评价值cosine1、cosine2和cosine3，在cosine1和cosine2均大于设定值的前提下，则将cosine1对应的第二疑似异常活动事件簇case_cluster_b1，以及，cosine2对应的第二疑似异常活动事件簇case_cluster_b2确定为待处理第二疑似异常活动事件簇，并确定第一疑似异常活动事件簇case_cluster_a与待处理第二疑似异常活动事件簇case_cluster_b1之间互相之间存在上下游联系，第一疑似异常活动事件簇case_cluster_a与待处理第二疑似异常活动事件簇case_cluster_b2之间互相之间存在上下游联系，获得反映第一疑似异常活动事件簇case_cluster_a与待处理第二疑似异常活动事件簇case_cluster_b1和case_cluster_b2互相之间存在上下游联系的第一事件相关性挖掘情况。
55.在本技术的实施例中，待处理第二疑似异常活动事件簇的数目可以是若干，即，待处理第二疑似异常活动事件簇可以包括若干第二疑似异常活动事件子簇。在本技术的另一些可独立实施的实施例中，待处理第二疑似异常活动事件簇的数目也可以是一个。可以理解的是，对于一组需进行入侵分析的用户操作会话而言，存在一个待处理第二疑似异常活动事件簇。
56.在本技术的一些可独立实施的实施例中，第一疑似异常活动事件簇携带第一事件语义，待处理第二疑似异常活动事件簇携带第二事件语义，且不同的第一疑似异常活动事件簇，以及不同的第二疑似异常活动事件簇之间的事件语义不同；在获得反映第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇互相之间存在上下游联系的第一事件相关性挖掘情况之后，大数据入侵分析系统可以缓存第一事件语义与待处理第二疑似异常活动事件簇的第二事件语义之间的映射列表（相关性描述），并输出事件语义之间的映射列表。
57.步骤103、针对需进行入侵分析的数字金融业务日志集中的涵盖第一疑似异常活动事件簇的目标数字金融业务日志，结合第一事件相关性挖掘情况，获得第一疑似异常活动事件簇的事件定位评价、第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇之间的事件适配评价和目标差异性评价中的不少于两种量化指标。
58.本技术实施例中，第一疑似异常活动事件簇的事件定位评价，为第一疑似异常活动事件簇的定位事件数与统计事件数之间的量化处理结果（可以理解为比例值）；其中，定位事件数反映识别到第一疑似异常活动事件簇的数字金融业务日志的数目；统计事件数反映从首轮识别到第一疑似异常活动事件簇的第一组用户操作会话到最后一轮识别到第一疑似异常活动事件簇的最后一组用户操作会话，之间所记录的存在时序先后关系的用户操
作会话的会话组数统计结果。
59.本技术实施例中，第一疑似异常活动事件簇与一个待处理第二疑似异常活动事件簇之间的事件适配评价，为第一疑似异常活动事件簇与该待处理第二疑似异常活动事件簇所对应的适配事件数与第一疑似异常活动事件簇的定位事件数之间的量化处理结果；适配事件数反映同时涵盖第一疑似异常活动事件簇和该待处理第二疑似异常活动事件簇，且第一疑似异常活动事件簇与该待处理第二疑似异常活动事件簇互相之间存在上下游联系的数字金融业务日志的数目。
60.本技术实施例中，第一疑似异常活动事件簇与一个待处理第二疑似异常活动事件簇之间的差异性评价为，第一疑似异常活动事件簇与该待处理第二疑似异常活动事件簇之间的第一余弦距离（局部）和第二余弦距离（全局）的量化处理结果，第一疑似异常活动事件簇与该待处理第二疑似异常活动事件簇之间的目标差异性评价为，第一疑似异常活动事件簇与该待处理第二疑似异常活动事件簇对应的若干量化处理结果中的最低量化处理结果。
61.大数据入侵分析系统在获得需进行入侵分析的数字金融业务日志集中涵盖有第一疑似异常活动事件簇的所有数字金融业务日志（目标数字金融业务日志）后，可以结合涵盖有第一疑似异常活动事件簇的所有数字金融业务日志中，每组的第一事件相关性挖掘情况，确定出第一疑似异常活动事件簇的事件定位评价、第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇中每个第二疑似异常活动事件子簇之间的事件适配评价，以及第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇中每个第二疑似异常活动事件子簇之间的目标差异性评价，这三种量化指标中的不少于两种量化指标。
62.在本技术的一些可独立实施的实施例中，上述步骤103可以包括如下内容：针对需进行入侵分析的数字金融业务日志集中的涵盖第一疑似异常活动事件簇的目标数字金融业务日志，结合第一事件相关性挖掘情况，获得第一疑似异常活动事件簇的事件定位评价和第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇之间的目标差异性评价中的不少于一种，以及第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇之间的事件适配评价。这样一来，使确定出的不少于两种量化指标中的其中一个量化指标为事件适配评价，可以使从待处理第二疑似异常活动事件簇中确定得到的与第一疑似异常活动事件簇相关联的第二疑似异常活动事件簇更加准确可信。
63.步骤104、结合不少于两种量化指标，获得反映第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇之间是否存在入侵目的联系的第二事件相关性挖掘情况。
64.在本技术的一些可独立实施的实施例中，大数据入侵分析系统在获得第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇中每个第二疑似异常活动事件子簇之间的不少于两种量化指标后，对于每一个第二疑似异常活动事件子簇而言，可以借助判断与该第二疑似异常活动事件子簇相关的上述不少于两种量化指标是否达到第一设定要求，来确定该第二疑似异常活动事件子簇是否与第一疑似异常活动事件簇之间存在联系。以一些示例性的角度来看待，大数据入侵分析系统可以在其中一个第二疑似异常活动事件子簇的不少于两种量化指标达到第一设定要求的前提下，确定出第一疑似异常活动事件簇与该其中一个第二疑似异常活动事件子簇之间互相之间存在上下游联系的第二事件相关性挖掘情况；在该其中一个第二疑似异常活动事件子簇的不少于两种量化指标中的其中一个量化指标不达到第一设定要求的前提下，确定出第一疑似异常活动事件簇与该其中一个第二疑
似异常活动事件子簇之间互相之间不存在上下游联系的第二事件相关性挖掘情况；借助此方法，准确获得每个第二疑似异常活动事件子簇与第一疑似异常活动事件簇之间的第二事件相关性挖掘情况，即获得第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇之间的第二事件相关性挖掘情况。
65.在本技术的实施例中，在不少于两种量化指标中包括事件适配评价的前提下，第一设定要求包括：【1】第一疑似异常活动事件簇与目标第二疑似异常活动事件子簇之间的事件适配评价，不小于设定事件适配评价判定值；目标第二疑似异常活动事件子簇是若干二疑似异常活动事件子簇中与第一疑似异常活动事件簇之间的事件适配评价最高的一个第二疑似异常活动事件子簇。
66.在本技术的实施例中，在不少于两种量化指标中包括事件定位评价的前提下，第一设定要求包括：【2】第一疑似异常活动事件簇的事件定位评价，不小于设定事件定位评价判定值。
67.在本技术的实施例中，在不少于两种量化指标中包括目标差异性评价的前提下，第一设定要求包括：【3】第一疑似异常活动事件簇与目标第二疑似异常活动事件子簇之间的目标差异性评价，不小于设定差异性评价判定值；其中，目标差异性评价是第一疑似异常活动事件簇与目标第二疑似异常活动事件子簇之间的不少于一种差异性评价中的最低差异性评价。
68.在本技术的实施例中，由于第一疑似异常活动事件簇与某个第二疑似异常活动事件子簇之间的事件适配评价越高、事件定位评价越高，以及差异性评价越高，则说明第一疑似异常活动事件簇与该第二疑似异常活动事件子簇之间的相关系系数越高，可以理解的是，此处相应的设定事件适配评价判定值、事件定位评价判定值和差异性评价判定值，并采用指定的判定值进行第二事件相关性挖掘情况的确定，可以快速精准确定出第二事件相关性挖掘情况。
69.可以理解的是，事件适配评价判定值、事件定位评价判定值和差异性评价判定值均可以结合实际需要设定，本技术实施例对此不作限定。比如，在不少于两种量化指标为事件适配评价和事件定位评价的前提下，第一设定要求可以是【1】和【2】；在不少于两种量化指标为事件适配评价和目标差异性评价的前提下，第一设定要求可以是【1】和【3】；在不少于两种量化指标为事件适配评价、事件定位评价和目标差异性评价的前提下，第一设定要求可以是【1】、【2】和【3】；在不少于两种量化指标为事件定位评价和目标差异性评价的前提下，第一设定要求可以是【2】和【3】。
70.在本技术的一些可独立实施的实施例中，在获得第一疑似异常活动事件簇与某个第二疑似异常活动事件子簇之间的第二事件相关性挖掘情况的前提下，可以结合该第二事件相关性挖掘情况，对第一疑似异常活动事件簇所指向会话活动事件进行定位。
71.本技术的实施例中，鉴于能够结合事件定位评价、事件适配评价和差异性评价这三种量化指标中的不少于两种量化指标，确定第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇之间是否存在入侵目的联系，可以理解的是，在确定第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇之间是否存在入侵目的联系时，能够从更多更丰富的维度进行考虑和分析，使得获得的反映第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇之间是否存在入侵目的联系的第二事件相关性挖掘情况更加精准可信，这样能
够通过第二事件相关性挖掘情况对数字金融业务日志集进行准确可靠的大数据入侵分析，以保障数字金融业务的安全运行，避免入侵行为对相关业务数据信息的破坏，从而使得最终对第一疑似异常活动事件簇所指向的会话活动事件的定位更加精准可信，这样能够通过第二事件相关性挖掘情况对数字金融业务日志集进行准确可靠的大数据入侵分析，以保障数字金融业务的安全运行，避免入侵行为对相关业务数据信息的破坏。
72.在一些可独立实施的实施例中，上述方法还可以包括一下内容：步骤105、依据第二事件相关性挖掘情况，确定第一疑似异常活动事件簇所指向会话活动事件的可视化事件变化记录。
73.在本技术的一些可独立实施的实施例中，大数据入侵分析系统在获得第一疑似异常活动事件簇与某个第二疑似异常活动事件子簇互相之间存在上下游联系的第二事件相关性挖掘情况后，可以先确定出第一疑似异常活动事件簇与该第二疑似异常活动事件子簇所指向的会话活动事件，，并采用指定的用户操作会话识别方法分别对涵盖有第一疑似异常活动事件簇和该第二疑似异常活动事件子簇所对应的数字金融业务日志（需进行入侵分析的用户操作会话）进行多维识别，以分别获得第一疑似异常活动事件簇和该二疑似异常活动事件子簇所对应的多维特征，从而基于多维特征（时序特征、地域特征等）完整准确确定出可视化事件变化记录。
74.本技术的实施例中，鉴于能够结合事件定位评价、事件适配评价和差异性评价这三种量化指标中的不少于两种量化指标，确定第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇之间是否存在入侵目的联系，可以理解的是，在确定第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇之间是否存在入侵目的联系时，能够从更多更丰富的维度进行考虑和分析，使得获得的反映第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇之间是否存在入侵目的联系的第二事件相关性挖掘情况更加精准可信，这样能够通过第二事件相关性挖掘情况对数字金融业务日志集进行准确可靠的大数据入侵分析，以保障数字金融业务的安全运行，避免入侵行为对相关业务数据信息的破坏，从而使得最终确定出的第一疑似异常活动事件簇所指向的会话活动事件的可视化事件变化记录更加完整可信。
75.在本技术的一些可独立实施的实施例中，以下本技术实施例提供的应用于数字金融的大数据入侵分析方法的一个可选的实施方案，上述步骤102还可以借助步骤201和步骤202实施。
76.步骤201、借助ai神经网络，确定若干第二疑似异常活动事件簇的显著性事件主题。
77.对于一组需进行入侵分析的用户操作会话，大数据入侵分析系统在确定出第一疑似异常活动事件簇和若干第二疑似异常活动事件簇之后，还可以采用ai神经网络确定出若干第二疑似异常活动事件簇中每个第二疑似异常活动事件簇的显著性事件主题。可以理解的是，显著性事件主题为在需进行入侵分析的用户操作会话中的一个二维标签。
78.在本技术实施例中，ai神经网络可以是事先通过注释有第二疑似异常活动事件簇的显著性事件主题的需进行入侵分析的用户操作会话作为积极范例，通过没有注释有第二疑似异常活动事件簇的显著性事件主题的需进行入侵分析的用户操作会话作为消极范例，对lstm/cnn/rnn进行训练所获得的网络。
79.在本技术的一些可独立实施的实施例中，在第二疑似异常活动事件簇为第一线程的前提下，一个第二疑似异常活动事件簇的显著性事件主题是指一个第一线程的异地显著性事件主题。在本技术的另一些可独立实施的实施例中，在第二疑似异常活动事件簇为第二线程的前提下，一个第二疑似异常活动事件簇的显著性事件主题可以是指一个第二线程的核心事件主题。
80.步骤202、结合若干第二疑似异常活动事件簇的显著性事件主题与第一疑似异常活动事件簇的核心事件主题之间的词向量差异，挖掘若干第二疑似异常活动事件簇与第一疑似异常活动事件簇之间的相关性描述，获得反映第一疑似异常活动事件簇与若干第二疑似异常活动事件簇中的待处理第二疑似异常活动事件簇互相之间存在上下游联系的第一事件相关性挖掘情况。
81.可以理解的是，大数据入侵分析系统可以确定出每个第二疑似异常活动事件簇的显著性事件主题，借助每个第二疑似异常活动事件簇的显著性事件主题与第一疑似异常活动事件簇的核心事件主题之间的词向量差异，来确定每个第二疑似异常活动事件簇是否与第一疑似异常活动事件簇关联，以确定出若干第二疑似异常活动事件簇中的待处理第二疑似异常活动事件簇，从而获得反映第一疑似异常活动事件簇与若干第二疑似异常活动事件簇中的待处理第二疑似异常活动事件簇互相之间存在上下游联系的第一事件相关性挖掘情况。
82.在本技术的一些可独立实施的实施例中，上述步骤202可以借助步骤11~步骤13实施。
83.步骤11、确定若干第二疑似异常活动事件簇中每个第二疑似异常活动事件簇的显著性事件主题与第一疑似异常活动事件簇的核心事件主题之间的词向量差异，获得若干词向量差异值。
84.大数据入侵分析系统可以在确定出每个第二疑似异常活动事件簇的显著性事件主题的主题向量的同时，确定出第一疑似异常活动事件簇的核心事件主题的主题向量，并结合每个第二疑似异常活动事件簇的显著性事件主题的主题向量与第一疑似异常活动事件簇的核心事件主题的主题向量，确定出每个第二疑似异常活动事件簇与第一疑似异常活动事件簇之间的词向量差异，从而获得与若干第二疑似异常活动事件簇的数目相同的词向量差异值。比如，当有三个第二疑似异常活动事件簇时，则可以确定三个第二疑似异常活动事件簇中，每个第二疑似异常活动事件簇与第一疑似异常活动事件簇之间的词向量差异值，从而总共获得三个词向量差异值。
85.步骤12、将若干词向量差异值中最低的词向量差异值所对应的第二疑似异常活动事件簇，确定为待处理第二疑似异常活动事件簇。
86.大数据入侵分析系统在获得若干词向量差异值后，可以从中选取最低的词向量差异值，并将最低的词向量差异值所对应的第二疑似异常活动事件簇确定为待处理第二疑似异常活动事件簇，其中，当最低的词向量差异值存在不少于两个时，则可以对应确定出不少于两个的待处理第二疑似异常活动事件簇。
87.步骤13、挖掘待处理第二疑似异常活动事件簇与第一疑似异常活动事件簇之间互相之间存在上下游联系，获得反映待处理第二疑似异常活动事件簇与第一疑似异常活动事件簇互相之间存在上下游联系的第一事件相关性挖掘情况。
88.大数据入侵分析系统在从第二疑似异常活动事件簇中确定出待处理第二疑似异常活动事件簇后，则可以确定待处理第二疑似异常活动事件簇与第一疑似异常活动事件簇之间互相之间存在上下游联系，从而获得反映待处理第二疑似异常活动事件簇与第一疑似异常活动事件簇之间互相之间存在上下游联系的第一事件相关性挖掘情况。
89.本技术实施例中，在第二疑似异常活动事件簇是第一线程的前提下，利用ai神经网络挖掘第二线程的异地显著性事件主题，并将获得的异地显著性事件主题应用在相关性描述判断中，可以减少由于识别线程的误差所造成的相关性分析异常的问题，从而可以提高依据独立会话的第一线程与第二线程之间的相关性分析稳定性。
90.在本技术的一些可独立实施的实施例中，以下本技术实施例提供的应用于数字金融的大数据入侵分析方法的一个可选的方案，所述方法还包括步骤3011和步骤3012。
91.步骤3011、在不少于两种量化指标中包括目标差异性评价的前提下，针对需进行入侵分析的数字金融业务日志集中的涵盖第一疑似异常活动事件簇的目标数字金融业务日志，结合第一事件相关性挖掘情况，确定目标数字金融业务日志的每组中的每个第二疑似异常活动事件子簇，与第一疑似异常活动事件簇之间的局部差异性评价，获得与每个第二疑似异常活动事件子簇对应的不少于一种局部差异性评价；待处理第二疑似异常活动事件簇包括：若干第二疑似异常活动事件子簇。
92.大数据入侵分析系统可以在获得目标数字金融业务日志的每组的第一事件相关性挖掘情况后，结合事件相关性挖掘情况确定出该每组内，与第一疑似异常活动事件簇相关联的所有的第二疑似异常活动事件子簇，并确定所有的第二疑似异常活动事件子簇中，每个第二疑似异常活动事件子簇与第一疑似异常活动事件簇之间的信息量差异性评价，获得目标数字金融业务日志的每组内每个第二疑似异常活动事件子簇与第一疑似异常活动事件簇之间的局部差异性评价，从而准确获得与每个第二疑似异常活动事件子簇对应的不少于一种局部差异性评价。比如，目标数字金融业务日志的第一组用户操作会话中涵盖第二疑似异常活动事件子簇part_ba和第二疑似异常活动事件子簇part_bb共两个第二疑似异常活动事件子簇，第三组中涵盖第二疑似异常活动事件子簇part_ba和第二疑似异常活动事件子簇part_bc共两个第二疑似异常活动事件子簇的前提下，大数据入侵分析系统可以分别确定第一组用户操作会话中，第二疑似异常活动事件子簇part_ba与第一疑似异常活动事件簇之间的局部差异性评价part_cosine_a，以及，第三组中的第二疑似异常活动事件子簇part_ba与第一疑似异常活动事件簇之间的局部差异性评价part_cosine_a，从而获得与第二疑似异常活动事件子簇part_ba对应的两个局部差异性评价；并且，确定第二疑似异常活动事件子簇part_bb与第一疑似异常活动事件簇之间的局部差异性评价part_cosine_b，以及，确定第二疑似异常活动事件子簇part_bc与第一疑似异常活动事件簇之间的局部差异性评价part_cosine_b，分别获得与第二疑似异常活动事件子簇part_bb对应的一个局部差异性评价，以及获得与第二疑似异常活动事件子簇part_bc对应的一个局部差异性评价。
93.步骤3012、从不少于一种局部差异性评价中，确定第一疑似异常活动事件簇与每个第二疑似异常活动事件子簇之间的目标差异性评价。
94.大数据入侵分析系统可以在获得与每个第二疑似异常活动事件子簇对应的不少于一种局部差异性评价的前提下，从该不少于一种局部差异性评价中选取最低的一个局部
差异性评价，作为第一疑似异常活动事件簇与该第二疑似异常活动事件子簇之间的目标差异性评价。比如，结合上述内容，可以从与第二疑似异常活动事件子簇part_ba对应的两个局部差异性评价中，选出最低的一个局部差异性评价作为第二疑似异常活动事件子簇part_ba与第一疑似异常活动事件簇之间的目标差异性评价；又比如，结合上述内容，可以将与第二疑似异常活动事件子簇part_bb对应的一个局部差异性评价，作为第二疑似异常活动事件子簇part_bb与第一疑似异常活动事件簇之间的目标差异性评价，以及，将与第二疑似异常活动事件子簇part_bc对应的一个局部差异性评价，作为第二疑似异常活动事件子簇part_bc与第一疑似异常活动事件簇之间的目标差异性评价。
95.在本技术实施例中，针对上述步骤3011~步骤3012，大数据入侵分析系统可以在获得某一组需进行入侵分析的用户操作会话的第一事件相关性挖掘情况后，便确定该组内与第一疑似异常活动事件簇互相之间存在上下游联系的每个第二疑似异常活动事件子簇与第一疑似异常活动事件簇之间的局部差异性评价，并在获得所有目标数字金融业务日志的前提下，确定出所有目标数字金融业务日志中的每一个第二疑似异常活动事件子簇与第一疑似异常活动事件簇之间的局部差异性评价；其中，在所有目标数字金融业务日志中，一个第二疑似异常活动事件子簇part_bx仅在一个需进行入侵分析的用户操作会话内与第一疑似异常活动事件簇互相之间存在上下游联系的前提下，便可确定获得该第二疑似异常活动事件子簇part_bx与第一疑似异常活动事件簇之间的一个局部差异性评价；在第二疑似异常活动事件子簇part_bx在不少于两个的需进行入侵分析的用户操作会话内均与第一疑似异常活动事件簇互相之间存在上下游联系的前提下，便可确定获得该第二疑似异常活动事件子簇part_bx与第一疑似异常活动事件簇之间的不少于两个的局部差异性评价；在获得不少于两个的局部差异性评价的前提下，可以将这不少于两个的局部差异性评价中的最低局部差异性评价，作为目标差异性评价，在获得一个局部差异性评价的前提下，可以将这一个局部差异性评价，作为目标差异性评价。
96.在本技术的一些可独立实施的实施例中，以下本技术实施例提供的应用于数字金融的大数据入侵分析方法的一个可选的技术方案，所述方法还包括步骤3013~步骤3015。
97.步骤3013、确定出目标数字金融业务日志中，每个第二疑似异常活动事件子簇与第一疑似异常活动事件簇存在第一事件相关性挖掘情况的第一数字金融业务日志数目；待处理第二疑似异常活动事件簇包括：若干第二疑似异常活动事件子簇。
98.大数据入侵分析系统在获得目标数字金融业务日志后，还会确定出在目标数字金融业务日志中，每个第二疑似异常活动事件子簇与第一疑似异常活动事件簇之间携带第一事件相关性挖掘情况的数字金融业务日志的数目，从而获得每个第二疑似异常活动事件子簇与第一疑似异常活动事件簇存在第一事件相关性挖掘情况的第一数字金融业务日志数目。比如，当目标数字金融业务日志共有5组，其中，第二疑似异常活动事件子簇part_ba在第1组、第3组和第4组中与第一疑似异常活动事件簇之间存在第一事件相关性挖掘情况，第二疑似异常活动事件簇case_cluster_bb在第2组和第5组中与第一疑似异常活动事件簇之间存在第一事件相关性挖掘情况，则可以确定出第二疑似异常活动事件子簇part_ba与第一疑似异常活动事件簇存在第一事件相关性挖掘情况的第一数字金融业务日志数目为3，第二疑似异常活动事件子簇part_bb与第一疑似异常活动事件簇之间存在第一事件相关性挖掘情况的第一数字金融业务日志数目为2。
99.步骤3014、确定目标数字金融业务日志的第二数字金融业务日志数目。
100.大数据入侵分析系统可以结合异常活动事件识别结果，确定出涵盖有第一疑似异常活动事件簇的目标数字金融业务日志的总数目，并将其作为目标数字金融业务日志的第二数字金融业务日志数目；比如，结合上述内容，当目标数字金融业务日志共有5组时，则第二数字金融业务日志数目为5。
101.步骤3015、将第一数字金融业务日志数目与第二数字金融业务日志数目之间的量化处理结果，确定为第一疑似异常活动事件簇与每个第二疑似异常活动事件子簇之间的事件适配评价。
102.第二数字金融业务日志数目是涵盖第一疑似异常活动事件簇的所有需进行入侵分析的用户操作会话的数目num1，每个第二疑似异常活动事件子簇所对应的第一数字金融业务日志数目，是涵盖该第二疑似异常活动事件子簇与第一疑似异常活动事件簇、且涵盖的该第二疑似异常活动事件子簇与第一疑似异常活动事件簇是互相之间存在上下游联系的需进行入侵分析的用户操作会话的数目num3；可以理解的是，大数据入侵分析系统可以确定出num3/num1的值，并将num3/num1的值作为第一会话活动事件与该第二疑似异常活动事件子簇之间的事件适配评价。比如，第二疑似异常活动事件子簇part_ba所对应的第一数字金融业务日志数目是num3a，第二疑似异常活动事件子簇part_bb所对应的第一数字金融业务日志数目是num3b，则大数据入侵分析系统可以将num3a/num1的值，作为第二疑似异常活动事件子簇part_ba与第一疑似异常活动事件簇之间的事件适配评价ass1，将num3b/num1的值作为第二疑似异常活动事件子簇part_bb与第一疑似异常活动事件簇之间的事件适配评价ass2。
103.在本技术的一些可独立实施的实施例中，以下本技术实施例提供的应用于数字金融的大数据入侵分析方法的一个可选的技术方案，所述方法还包括步骤3016~步骤3018。
104.步骤3016、确定目标数字金融业务日志的第二数字金融业务日志数目。
105.鉴于步骤3016与上述步骤3014类似，在此不作更多介绍。
106.步骤3017、确定目标数字金融业务日志中，从第一组用户操作会话到最后一组用户操作会话之间所记录的存在时序先后关系的用户操作会话的会话组数统计结果。
107.在本技术实施例中，由于需进行入侵分析的数字金融业务日志中，每组需进行入侵分析的用户操作会话之间是不间断的，但是第一疑似异常活动事件簇可能并不是在需进行入侵分析的数字金融业务日志的每组需进行入侵分析的用户操作会话中均存在，比如，可能是在需进行入侵分析的数字金融业务日志的第一组用户操作会话中未存在，在第三组中存在，然后在第五组、第六组中存在，并且此后一直未存在在需进行入侵分析的用户操作会话中（基于此，涵盖第一疑似异常活动事件簇的目标数字金融业务日志的第二数字金融业务日志数目则为3）；可以理解的是，大数据入侵分析系统还需要确定出从目标数字金融业务日志的第一组用户操作会话到目标数字金融业务日志的最后一组用户操作会话所记录的存在时序先后关系的用户操作会话的数目，并将该存在时序先后关系的用户操作会话的数目作为会话组数统计结果。比如，结合以上内容，当目标数字金融业务日志共有3组，且，这3组中的第1组（上述的第三组）到第3组（上述的第六组）之间实际经过了连续6组需进行入侵分析的用户操作会话，则目标数字金融业务日志中从第1组到第3组之间所记录的存在时序先后关系的用户操作会话的会话组数统计结果为6。
108.可以理解的是，通常需进行入侵分析的数字金融业务日志中每组需进行入侵分析的用户操作会话之间携带相互不间断的编号，大数据入侵分析系统可以结合目标数字金融业务日志的第一组用户操作会话和最后一组用户操作会话所对应的编号，获得从目标数字金融业务日志的第一组用户操作会话到最后一组用户操作会话所记录的存在时序先后关系的用户操作会话的数目。
109.步骤3018、将第二数字金融业务日志数目与会话组数统计结果之间的量化处理结果，确定为第一疑似异常活动事件簇的事件定位评价。
110.第二数字金融业务日志数目是涵盖第一疑似异常活动事件簇的所有需进行入侵分析的用户操作会话的数目num1，会话组数统计结果是从第一疑似异常活动事件簇开始存在的一组需进行入侵分析的用户操作会话，到第一疑似异常活动事件簇最后存在的另一组需进行入侵分析的用户操作会话之间所记录的所有不间断的需进行入侵分析的用户操作会话的数目num2；可以理解的是，大数据入侵分析系统可以确定出num1/num2的值，并将num1/num2的值作为第一会话活动事件的事件定位评价。
111.在本技术的一些可独立实施的实施例中，大数据入侵分析系统可以确定出第一疑似异常活动事件簇的事件定位评价，以及第一疑似异常活动事件簇与每个第二疑似异常活动事件子簇之间的事件适配评价这两个量化指标；或者，确定出第一疑似异常活动事件簇的事件定位评价，以及第一疑似异常活动事件簇与每个第二疑似异常活动事件子簇之间的目标差异性评价；或者，确定出第一疑似异常活动事件簇与每个第二疑似异常活动事件子簇之间的事件适配评价，以及第一疑似异常活动事件簇与每个第二疑似异常活动事件子簇之间的目标差异性评价；如此，相比于仅依据单一条件来确定最后的事件相关性挖掘情况而言，可以提高确定出的事件相关性挖掘情况的准确性和可信度。
112.在本技术的另一些可独立实施的实施例中，可以确定出第一疑似异常活动事件簇的事件定位评价、第一疑似异常活动事件簇与每个第二疑似异常活动事件子簇之间的事件适配评价，以及第一疑似异常活动事件簇与每个第二疑似异常活动事件子簇之间的目标差异性评价这三种量化指标，如此，利用最低差异性评价、事件定位评价和事件适配评价这三个条件的结合，可以显著降低误差，以更进一步地提高确定出的事件相关性挖掘情况的准确性和可信度。
113.在本技术的一些可独立实施的实施例中，在步骤104之后，该方法还可以包括步骤2。
114.步骤2、在第二事件相关性挖掘情况反映第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇互相之间存在上下游联系的前提下，存储并输出第一事件语义与第二事件语义之间的映射列表。
115.在本技术的实施例中，在获得反映第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇互相之间存在上下游联系的第二事件相关性挖掘情况之后，若第二事件相关性挖掘情况表明第一疑似异常活动事件簇与待处理第二疑似异常活动事件簇之间组间关联，则大数据入侵分析系统可以记录与第一疑似异常活动事件簇组间关联的待处理第二疑似异常活动事件簇的第二事件语义，与第一疑似异常活动事件簇的第一事件语义之间的映射列表；并输出事件语义（标识信息）之间的映射列表（对应关系）。
116.除此之外，在本技术的一些可独立实施的实施例中，在步骤104之后，该方法还可
以包括以下内容：根据所述第二事件相关性挖掘情况确定每组需进行入侵分析的用户操作会话的入侵风险解析结果；通过所述入侵风险解析结果确定针对所述每组需进行入侵分析的用户操作会话的信息防护策略；将所述信息防护策略下发至每组需进行入侵分析的用户操作会话对应的数字金融客户端。
117.比如，可以通过第二事件相关性挖掘情况所对应的相关性系数确定每组需进行入侵分析的用户操作会话的入侵风险解析结果，入侵风险解析结果可以包括低风险、中风险和高风险三类，因而可以根据不同类的风险等级制定对应的信息防护策略并进行下发。
118.又比如，在本技术的一些可独立实施的实施例中，可以针对高风险的入侵解析结果确定信息防护策略，基于此，通过所述入侵风险解析结果确定针对所述每组需进行入侵分析的用户操作会话的信息防护策略，可以通过以下实施方式实现：在所述入侵风险解析结果为高风险等级的前提下，提取所述高风险等级对应的用户操作会话中待进行入侵行为解析的目标会话行为项目集；对所述目标会话行为项目集中的若干会话行为项目分别进行实时入侵偏好挖掘和延时入侵偏好挖掘，得到实时入侵偏好挖掘清单列表和延时入侵偏好挖掘清单列表；调用第一指定偏好挖掘核验模型，对所述实时入侵偏好挖掘清单列表进行第一偏好挖掘核验处理，得到携带了实时入侵偏好的第一会话行为项目子集；调用第二指定偏好挖掘核验模型，对所述延时入侵偏好挖掘清单列表进行第二偏好挖掘核验处理，得到携带了延时入侵偏好的第二会话行为项目子集；通过所述第一会话行为项目子集和所述第二会话行为项目子集进行注意力处理，得到所述目标会话行为项目集中与目标入侵偏好相绑定的辅助会话行为项目子集；所述目标入侵偏好包括实时入侵偏好和延时入侵偏好中的一种或两种，所述辅助会话行为项目子集用于对所述目标会话行为项目集进行入侵行为解析；通过所述辅助会话项目子集中的会话关键词对所述目标会话行为项目集进行入侵行为解析，得到所述目标会话行为项目集的入侵行为执行流程，针对所述入侵行为执行流程进行信息防护策略制定。
119.可以理解的是，入侵行为执行流程包括多个行为节点，通过对入侵行为执行流程进行节点化分析和处理，能够针对性地制定用户操作会话的信息防护策略，从而确保信息防护策略能够有效应对相关的入侵行为。
120.基于上述同样的发明构思，还提供了一种应用于数字金融的大数据入侵分析装置20，应用于大数据入侵分析系统10，所述装置包括：事件簇确定模块21，用于针对需进行入侵分析的数字金融业务日志集中的每组需进行入侵分析的用户操作会话进行异常活动事件识别，确定第一疑似异常活动事件簇和若干第二疑似异常活动事件簇；对所述第一疑似异常活动事件簇与所述若干第二疑似异常活动事件簇之间进行依据独立会话的相关性挖掘，获得反映所述第一疑似异常活动事件簇与所述若干第二疑似异常活动事件簇中的待处理第二疑似异常活动事件簇互相之间存在上下游联系的第一事件相关性挖掘情况；相关性挖掘模块22，用于针对所述需进行入侵分析的数字金融业务日志集中的涵盖所述第一疑似异常活动事件簇的目标数字金融业务日志，结合所述第一事件相关性挖掘情况，获得所述第一疑似异常活动事件簇的事件定位评价、所述第一疑似异常活动事件簇与所述待处理第二疑似异常活动事件簇之间的事件适配评价和目标差异性评价中的不少于两种量化指标；结合所述不少于两种量化指标，获得反映所述第一疑似异常活动事件簇
与所述待处理第二疑似异常活动事件簇之间是否存在入侵目的联系的第二事件相关性挖掘情况。
121.在本技术实施例所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
122.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
123.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，大数据入侵分析系统10，或者网络设备等）执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器（rom，read-only memory）、随机存取存储器（ram，random access memory）、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
124.以上所述仅为本技术的优选实施例而已，并不用于限制本技术，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。