业务事件的风险识别方法、装置、设备及计算机可读介质与流程

1.本技术涉及风控技术领域，尤其涉及一种业务事件的风险识别方法、装置、设备及计算机可读介质。


背景技术：

2.风险控制是指风险管理者采取各种措施和方法，消灭或减少风险事件发生的各种可能性，或减少风险事件发生时造成的损失。现如今，风控系统广泛存在于各业务系统中，为业务系统安全运行保驾护航。在搭建业务风控系统并和业务对接后，业务将需要判断的业务请求按约定(如按业务按场景分类)请求风控接口，由风控系统的规则引擎判断当前请求的风险等级并返回给业务。
3.目前，相关技术中，业务风控系统的判断规则有一部分是基于单一维度的统计规则，如相同设备注册账号数量统计、相同ip地址注册账号数量等。然而，这种统计类规则设定的阈值主要依赖于个人经验，阈值设定过高会出现漏判的情况，阈值设定过低则又会出现误判的情况。不仅如此，单一维度的规则的防御能力极低，异常行为可疑人员通过更新其攻击方法，如修改设备参数以伪造新设备，即可导致设备统计时不易命中异常行为发生的设备。因此，单一维度的统计规则已无法及时应对不断变化的攻击方式，难以满足快速、准确识别出异常行为的需求。
4.针对单一维度的统计规则无法及时应对不断变化的攻击方式的问题，目前尚未提出有效的解决方案。


技术实现要素：

5.本技术提供了一种业务事件的风险识别方法、装置、设备及计算机可读介质，以解决单一维度的统计规则无法及时应对不断变化的攻击方式的技术问题。
6.根据本技术实施例的一个方面，本技术提供了一种业务事件的风险识别方法，包括：
7.获取业务系统在生产环境中产生的业务事件，其中，业务事件为目标对象在向业务系统发出业务请求后产生的，业务系统用于向目标对象提供目标业务的服务；
8.提取出业务事件的事件特征，并构建以事件特征为基因构成元素的目标业务的基因图谱，其中，基因图谱用于表示目标业务的业务事件之间的特征关联关系；
9.基于基因图谱和特征关联关系，确定目标业务的可疑风险特征；以及，
10.依据可疑风险特征确定业务事件的风险水平。
11.可选地，提取出业务事件的事件特征，并构建以事件特征为基因构成元素的目标业务的基因图谱包括：
12.确定业务事件的事件类型，并提取出构成业务事件的特征字段；
13.分别在每个特征字段对应的字段命名节点处为每个特征字段确定与事件类型匹配的字段名，其中，同一类别的特征字段对应同一个字段命名节点，字段命名节点用于确定
同一类别的特征字段在不同业务事件中的定义；以及，
14.基于特征字段的字段名和字段值构建目标业务的基因图谱，其中，事件特征包括事件类型、特征字段的字段名以及特征字段的字段值。
15.可选地，基于特征字段的字段名和字段值构建目标业务的基因图谱包括：
16.按照预先为每个业务事件指定的核心字段名和关联字段名，将每个业务事件的特征字段划分为核心字段和关联字段；
17.提取核心字段的字段值相同的多个目标业务事件；
18.将多个目标业务事件中字段值相同的核心字段合并，并将合并后的核心字段、核心字段的字段值以及其余所有关联字段和对应的字段值添加到同一个基因团簇；
19.在不同基因团簇中字段值相同的关联字段之间建立连接；以及，
20.将多个基因团簇构成的图谱确定为基因图谱。
21.可选地，基于特征字段的字段名和字段值构建目标业务的基因图谱还包括：
22.按照预先为每个业务事件指定的核心字段名和关联字段名，将每个业务事件的特征字段划分为核心字段和关联字段；
23.在同一个业务事件中存在多个核心字段的情况下，确定每个核心字段的优先级；
24.在多个业务事件之间按照优先级依次对比核心字段的字段值；
25.将优先级大于或等于目标优先级且核心字段的字段值相同的多个业务事件确定为目标业务事件；
26.将目标业务事件中字段值相同的核心字段合并，并将合并后的核心字段、核心字段的字段值以及其余所有关联字段和对应的字段值添加到同一个基因团簇；
27.在不同基因团簇中字段值相同的关联字段之间建立连接；以及，
28.将多个基因团簇构成的图谱确定为基因图谱。
29.可选地，基于特征字段的字段名和字段值构建目标业务的基因图谱还包括：
30.按照预先为每个业务事件指定的核心字段名和关联字段名，将每个业务事件的特征字段划分为核心字段和关联字段；
31.在同一个业务事件中存在多个核心字段的情况下，为每个核心字段分配权重；
32.在多个业务事件之间对比核心字段的字段值；
33.累积字段值相同的核心字段对应的权重，得到核心字段相似度；
34.将核心字段相似度大于或等于目标阈值的多个业务事件确定为目标业务事件；
35.将目标业务事件中字段值相同的核心字段合并，并将合并后的核心字段、核心字段的字段值以及其余所有关联字段和对应的字段值添加到同一个基因团簇；
36.在不同基因团簇中字段值相同的关联字段之间建立连接；以及，
37.将多个基因团簇构成的图谱确定为基因图谱。
38.可选地，基于基因图谱和特征关联关系，确定目标业务的可疑风险特征包括：
39.确定基因图谱中每个基因团簇的每个特征字段的字段值数量，其中，字段值数量为特征字段对应的字段值的数量；
40.按照预先对多个特征字段配置的排序优先级依次提取特征字段，并以特征字段的字段值数量从大到小的顺序对多个基因团簇进行排序；
41.从排序结果中选取出目标排序位置之前的目标基因团簇；
42.在目标基因团簇中核心字段的字段值数量大于或等于对应类别的第一数量阈值的情况下，将核心字段的字段值确定为目标基因团簇中目标业务的可疑风险特征。
43.可选地，从排序结果中选取出目标排序位置之前的目标基因团簇之后，基于基因图谱和特征关联关系，确定目标业务的可疑风险特征还包括：
44.在目标基因团簇中，为每个核心字段统计与核心字段具有特征关联关系的关联字段的字段值数量；
45.在关联字段的字段值数量大于或等于对应类别的第二数量阈值的情况下，获取关联字段的所有字段值；
46.将字段值划分为多个值片段；
47.按照每个值片段的出现次数从大到小的顺序对值片段进行排序；
48.从排序结果中选取出目标排序位置之前的目标值片段，并将目标值片段和关联的核心字段确定为目标基因团簇中目标业务的可疑风险特征。
49.可选地，基于基因图谱和特征关联关系，确定目标业务的可疑风险特征还包括：
50.将基因图谱中每一基因团簇的特征字段的字段值与案例库中已有字段值进行对比以获取对比结果；
51.在对比结果的相似度大于相似度阈值时，将特征字段的字段值确定为目标基因图谱中目标业务的可疑风险特征。
52.可选地，所述方法还包括：
53.将目标业务、目标业务的可疑风险特征添加到案例库，以将可疑风险特征作为目标业务的图谱分析的基础数据。
54.根据本技术实施例的另一方面，本技术提供了一种业务事件的风险识别装置，包括：
55.事件获取模块，用于获取业务系统在生产环境中产生的业务事件，其中，业务事件为目标对象在向业务系统发出业务请求后产生的，业务系统用于向目标对象提供目标业务的服务；
56.图谱构建模块，用于提取出业务事件的事件特征，并构建以事件特征为基因构成元素的目标业务的基因图谱，其中，基因图谱用于表示目标业务的业务事件之间的特征关联关系；
57.可疑特征确定模块，用于基于基因图谱和特征关联关系，确定目标业务的可疑风险特征；以及，
58.风险识别模块，用于依据可疑风险特征确定业务事件的风险水平。
59.根据本技术实施例的另一方面，本技术提供了一种电子设备，包括存储器、处理器、通信接口及通信总线，存储器中存储有可在处理器上运行的计算机程序，存储器、处理器通过通信总线和通信接口进行通信，处理器执行计算机程序时实现上述方法的步骤。
60.根据本技术实施例的另一方面，本技术还提供了一种具有处理器可执行的非易失的程序代码的计算机可读介质，程序代码使处理器执行上述的方法。
61.本技术实施例提供的上述技术方案与相关技术相比具有如下优点：
62.本技术技术方案为获取业务系统在生产环境中产生的业务事件，其中，业务事件为目标对象在向业务系统发出业务请求后产生的，业务系统用于向目标对象提供目标业务
的服务；提取出业务事件的事件特征，并构建以事件特征为基因构成元素的目标业务的基因图谱，其中，基因图谱用于表示目标业务的业务事件之间的特征关联关系；基于基因图谱和特征关联关系，确定目标业务的可疑风险特征；以及，依据可疑风险特征确定业务事件的风险水平。本技术根据多个业务事件的多个特征建立目标业务的基因图谱，从而利用基因图谱进行多特征联合分析，得到目标业务中的可疑风险特征，最后即可利用该可疑风险特征确定业务事件的风险水平，那么即使异常行为可疑人员不断更新其攻击手段，本技术技术方案也能够在异常行为可疑人员使用其攻击手段实施攻击行为后快速、准确地找出攻击方向，进而准确地进行风险识别，进一步提高业务运行的稳定性，解决了单一维度的统计规则无法及时应对不断变化的攻击方式的技术问题。
附图说明
63.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本技术的实施例，并与说明书一起用于解释本技术的原理。
64.为了更清楚地说明本技术实施例或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
65.图1为根据本技术实施例提供的一种可选的业务事件的风险识别方法硬件环境示意图；
66.图2为根据本技术实施例提供的一种可选的业务事件的风险识别方法流程示意图；
67.图3为根据本技术实施例提供的一种可选的基因团簇1示意图；
68.图4为根据本技术实施例提供的一种可选的基因团簇2示意图；
69.图5为根据本技术实施例提供的一种可选的基因团簇1、2关联特征连接示意图；
70.图6为根据本技术实施例提供的另一种可选的基因团簇1示意图；
71.图7为根据本技术实施例提供的另一种可选的基因团簇2示意图；
72.图8为根据本技术实施例提供的另一种可选的基因团簇1、2关联特征连接示意图；
73.图9为根据本技术实施例提供的一种可选的基因团簇3、4示意图；
74.图10为根据本技术实施例提供的一种可选的基因团簇3、4关联特征连接示意图；
75.图11为根据本技术实施例提供的一种可选的三维基因图谱示意图；
76.图12为根据本技术实施例提供的另一种可选的三维基因图谱示意图；
77.图13为根据本技术实施例提供的一种可选的值片段排序示意图；
78.图14为根据本技术实施例提供的一种可选的业务事件的风险识别装置框图；
79.图15为本技术实施例提供的一种可选的业务事件的风险识别设备结构示意图。
具体实施方式
80.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术的一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。
81.在后续的描述中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本技术的说明，其本身并没有特定的意义。因此，“模块”与“部件”可以混合地使用。
82.相关技术中，业务风控系统的判断规则有一部分是基于单一维度的统计规则，如相同设备注册账号数量统计、相同ip地址注册账号数量等。然而，这种统计类规则设定的阈值主要依赖于个人经验，阈值设定过高会出现漏判的情况，阈值设定过低则又会出现误判的情况。不仅如此，单一维度的规则的防御能力极低，异常行为可疑人员通过更新其攻击方法，如修改设备参数以伪造新设备，即可导致设备统计时不易命中异常行为发生的设备。因此，单一维度的统计规则已无法及时应对不断变化的攻击方式，难以满足快速、准确识别出异常行为的需求。
83.为了解决背景技术中提及的问题，根据本技术实施例的一方面，提供了一种业务事件的风险识别方法的实施例。
84.可选地，在本技术实施例中，上述业务事件的风险识别方法可以应用于如图1所示的由终端101和服务器103所构成的硬件环境中。如图1所示，服务器103通过网络与终端101进行连接，可用于为终端或终端上安装的客户端提供服务(如业务服务、业务事件的特征字段提取服务、基因图谱构建服务、风险识别服务以及风险识别策略生成服务等)，可在服务器上或独立于服务器设置数据库105，用于为服务器103提供数据存储服务，上述网络包括但不限于：广域网、城域网或局域网，终端101包括但不限于pc、手机、平板电脑等。
85.本技术实施例中的一种业务事件的风险识别方法可以由服务器103来执行，还可以是由服务器103和终端101共同执行，如图2所示，该方法可以包括以下步骤：
86.步骤s202，获取业务系统在生产环境中产生的业务事件，其中，业务事件为目标对象在向业务系统发出业务请求后产生的，业务系统用于向目标对象提供目标业务的服务；
87.步骤s204，提取出业务事件的事件特征，并构建以事件特征为基因构成元素的目标业务的基因图谱，其中，基因图谱用于表示目标业务的业务事件之间的特征关联关系；
88.步骤s206，基于基因图谱和特征关联关系，确定目标业务的可疑风险特征；以及，
89.步骤s208，依据可疑风险特征确定业务事件的风险水平。
90.通过上述步骤s202至s208，本技术根据多个业务事件的多个特征建立目标业务的基因图谱，从而利用基因图谱进行多特征联合分析，得到目标业务中的可疑风险特征，最后即可利用该可疑风险特征确定业务事件的风险水平，那么即使异常行为可疑人员不断更新其攻击手段，本技术技术方案也能够在异常行为可疑人员使用其攻击手段实施攻击行为后快速、准确地找出攻击方向，进而准确地进行风险识别，进一步提高业务运行的稳定性，解决了单一维度的统计规则无法及时应对不断变化的攻击方式的技术问题。
91.在步骤s202提供的技术方案中，用户在向业务系统发出业务请求后业务系统响应该业务请求会创建对应的任务，该任务即为业务事件，如，用户向业务系统发出注册请求，则产生注册事件，用户向业务系统发出登录请求，则产生登录事件，又如，用户向业务系统发出拉新活动的参与请求，则产生与注册事件性质相同的参与事件，用户向业务系统发出拉新活动的助力请求，则产生对邀请者的助力事件。业务系统用于向用户提供注册服务、登录服务、充值服务、拉新活动服务等。上述生产环境可以是业务系统上线运行的工作环境。
92.在步骤s204提供的技术方案中，可以通过提取特征字段来提取出业务事件的事件
特征，并以事件特征为基因构成元素构建目标业务的基因图谱，具体的，提取出业务事件的事件特征，并构建以事件特征为基因构成元素的目标业务的基因图谱包括：
93.步骤1，确定业务事件的事件类型，并提取出构成业务事件的特征字段。
94.本技术实施例中，业务请求有不同的请求类型，如注册请求、登录请求、参与请求以及助力请求等，相应的，业务事件也有不同的事件类型，即注册事件、登录事件、充值事件、参与事件、助力事件以提现事件等。不同类型的事件可以具有相同的特征字段，如设备号、手机号、ip地址、账号等。业务事件的描述如：手机号138的某个用户，在昨天的某个时间，在设备a上注册了账号888，其联网使用的ip是xxx，则可确定该业务事件为注册事件，并可提取出特征字段包括：设备a、ipxxx、账号888、手机号138。
95.进一步地，针对每个具体的事件，可以根据该事件类型，确定各个特征之间的关联，以上述注册事件为例进行说明，该注册事件中具有的关联关系如：[设备a注册关系关联账号888]、[ipxxx注册关系关联账号888]、[手机号138注册关系关联账号888]、[设备a注册关系关联手机号138]、[ipxxx注册关系关联手机号138]、[设备a注册关系关联ipxxx]。构建目标业务的基因图谱，就是为了将该目标业务的多个业务事件的特征进行联合分析，从而挖掘该目标业务的业务事件之间的特征关联关系，如一个设备号注册了多个账号、一个账号在多个设备、多个ip地址登录等。
[0096]
步骤2，分别在每个特征字段对应的字段命名节点处为每个特征字段确定与事件类型匹配的字段名，其中，同一类别的特征字段对应同一个字段命名节点，字段命名节点用于确定同一类别的特征字段在不同业务事件中的定义。
[0097]
本技术实施例中，可以在字段命名节点处确定同一类别的特征字段在不同业务事件中的定义，即为每个特征字段确定与事件类型匹配的字段名，如在注册事件中，特征字段设备号可以命名为注册设备号，在登录事件中，设备号可以命名为登录设备号，而在充值事件中，设备号则可以命名为充值设备号。以上注册设备号、登录设备号、充值设备号等设备号相关的都归属于同一类别，即设备号类，类似的，手机号相关的可归属于手机号类、ip地址相关的可归属于ip地址类，账号相关的可归属于账号类。
[0098]
步骤3，基于特征字段的字段名和字段值构建目标业务的基因图谱，其中，事件特征包括事件类型、特征字段的字段名以及特征字段的字段值。
[0099]
本技术实施例中，为了使基因图谱能够表示目标业务的业务事件之间的特征关联关系，可以将业务事件的特征字段划分为核心字段和关联字段，核心字段表示该业务事件的核心特征，关联字段表示与核心特征具有关联关系的特征。构建基因图谱时，就是将核心特征相同的业务事件的所有特征(即核心字段表示的核心特征和关联字段表示的关联特征)合并，求同存异，最终即可根据目标业务的所有已发生的业务事件来构建得到反映事件之间特征关联关系的基因图谱。下面对基于特征字段的字段名和字段值构建目标业务的基因图谱的技术方案进行详细说明。
[0100]
可选地，基于特征字段的字段名和字段值构建目标业务的基因图谱包括：
[0101]
步骤1，按照预先为每个业务事件指定的核心字段名和关联字段名，将每个业务事件的特征字段划分为核心字段和关联字段。
[0102]
本技术实施例中，核心字段和关联字段的指定可以根据业务事件的具体情况进行设定，如在注册事件中，将设备号指定为核心字段，则注册设备号即为核心字段名，将手机
号、账号指定为关联字段，则注册手机号、账号为关联字段名。
[0103]
步骤2，提取核心字段的字段值相同的多个目标业务事件。
[0104]
本技术实施例中，若指定核心字段为设备号，且有以下事件：事件一，设备a 手机号b注册了账号b；事件二，设备c 手机号d注册了账号d；事件三，设备a 手机号d登录了账号d，则匹配事件一与事件三的核心字段的字段值完全一致(均为设备a)，则将事件一和事件三确定为待合并特征的目标业务事件，而将事件2单独作为一个目标事件。
[0105]
步骤3，将多个目标业务事件中字段值相同的核心字段合并，并将合并后的核心字段、核心字段的字段值以及其余所有关联字段和对应的字段值添加到同一个基因团簇。
[0106]
本技术实施例中，合并事件一与事件三中字段值相同的核心字段，是指添加到一个基因团簇时相同的字段值只保留一个，并将其余所有关联字段和对应的字段值添加到同一个基因团簇，如图3所示，可以将设备a、手机号b、账号b、手机号d以及账号d添加到同一个基因团簇中(基因团簇1)，而如图4所示，将事件二的设备c、手机号d以及账号d添加到另一个团簇中(基因团簇2)。
[0107]
步骤4，在不同基因团簇中字段值相同的关联字段之间建立连接。
[0108]
本技术实施例中，可以在多个基因图谱中，在字段值相同的关联字段之间建立连接，如图5所示，手机号d与账号d为两个基因图谱中的相同字段值，故将二者的关联字段连接，连接的形式可以是求交集的方式，还可以是其他连接方式，如连线。
[0109]
步骤5，将多个基因团簇构成的图谱确定为基因图谱。
[0110]
本技术实施例中基因图谱由多个基因团簇构成，综合了多个业务的业务事件及其特征，从而作为特征分析的基础。
[0111]
若指定的核心字段有多个，则可以按照以下逻辑生成基因图谱。
[0112]
可选地，基于特征字段的字段名和字段值构建目标业务的基因图谱还包括：
[0113]
步骤1，按照预先为每个业务事件指定的核心字段名和关联字段名，将每个业务事件的特征字段划分为核心字段和关联字段；
[0114]
步骤2，在同一个业务事件中存在多个核心字段的情况下，确定每个核心字段的优先级；
[0115]
步骤3，在多个业务事件之间按照优先级依次对比核心字段的字段值；
[0116]
步骤4，将优先级大于或等于目标优先级且核心字段的字段值相同的多个业务事件确定为目标业务事件；
[0117]
步骤5，将目标业务事件中字段值相同的核心字段合并，并将合并后的核心字段、核心字段的字段值以及其余所有关联字段和对应的字段值添加到同一个基因团簇；
[0118]
步骤6，在不同基因图谱中字段值相同的关联字段之间建立连接；
[0119]
步骤7，将多个基因团簇构成的图谱确定为基因图谱。
[0120]
本技术实施例中，若指定设备号和手机号为核心字段，设备号的优先级大于手机号，且有以下事件：事件一，设备a 手机号b注册了账号b；事件二，设备c 手机号d注册了账号d；事件三，设备a 手机号d登录了账号d；事件四，设备e 手机号b登录了账号b。则如图6所示，按照设备号大于手机号的优先级，先匹配到事件一与事件三的设备号核心字段的字段值完全一致(均为设备a)，则将事件一和事件三确定为目标业务事件并将二者的特征添加到一个基因团簇。再匹配到事件一与事件四的手机号核心字段的字段值完全一致(均为手
机号b)，则将事件四也确定为与事件一、事件三合并的目标业务事件并将事件四的特征也添加到同一个基因团簇。而事件二虽与事件三的手机号核心字段的字段值一致，但事件二与事件一的两个核心字段的字段值均不一致，与事件四的两个核心字段的字段值也不一致，因此可将事件二判别为与事件一、事件三以及事件四所在基因团簇关联度较低的事件，从而将事件二的特征单独添加到另一个基因团簇，如图7所示。最后，在以上两个基因团簇中，在字段值相同的特征字段(手机号d、账号d)之间建立连接，如图8所示。
[0121]
若指定的核心字段有多个，还可以按照以下逻辑生成基因图谱。
[0122]
可选地，基于特征字段的字段名和字段值构建目标业务的基因图谱还包括：
[0123]
步骤1，按照预先为每个业务事件指定的核心字段名和关联字段名，将每个业务事件的特征字段划分为核心字段和关联字段；
[0124]
步骤2，在同一个业务事件中存在多个核心字段的情况下，为每个核心字段分配权重；
[0125]
步骤3，在多个业务事件之间对比核心字段的字段值；
[0126]
步骤4，累积字段值相同的核心字段对应的权重，得到核心字段相似度；
[0127]
步骤5，将核心字段相似度大于或等于目标阈值的多个业务事件确定为目标业务事件；
[0128]
步骤6，将目标业务事件中字段值相同的核心字段合并，并将合并后的核心字段、核心字段的字段值以及其余所有关联字段和对应的字段值添加到同一个基因团簇；
[0129]
步骤7，在不同基因团簇中字段值相同的关联字段之间建立连接；
[0130]
步骤8，将多个基因团簇构成的图谱确定为基因图谱。
[0131]
本技术实施例中，若指定设备号、手机号以及账号为核心字段，对应权重分配为0.5、0.3以及0.2，目标阈值为0.5，则能够添加到同一个基因团簇的情况包括：设备号一致、设备号 手机号一致以及设备号 账号一致，而仅手机号一致或账号一致则不能添加到同一个基因团簇。上述核心字段的权重和目标阈值可以根据实际业务的需求进行配置。
[0132]
进一步的，可以将业务请求、业务事件、特征字段以及上述构建的基因团簇关联后保存在数据库中，如数据一：注册请求1 设备a 手机号b 账号b 基因团簇1；数据二：注册请求2 设备c 手机号d 账号d 基因团簇2；数据三：登录请求1 设备a 手机号d 账号d 基因团簇1；数据四：登录请求2 设备e 手机号b 账号b 基因团簇1。
[0133]
下面以拉新提现活动对基因图谱的构建进行再次说明。
[0134]
本技术实施例中，拉新提现活动中，包括参与事件、助力事件以及提现事件。参与事件的特征字段包括参与账号、参与设备；助力事件的特征字段包括助力账号、助力设备、邀请者账号以及邀请者设备；提现事件的特征字段包括提现账号、提现设备。若存在以下事件且指定核心字段为设备、账号，设备的匹配权重大于账号的匹配权重，如图9所示，对应构建得到对应的基因图谱：
[0135]
参与事件五，参与账号a 参与设备a，生成基因团簇3；
[0136]
助力事件六，助力账号b 助力设备b 邀请者账号a 邀请者设备a，设备a和账号a均匹配成功，添加到基因团簇3；
[0137]
助力事件七，助力账号c 助力设备c 邀请者账号a 邀请者设备a，设备a和账号a均匹配成功，添加到基因团簇3；
[0138]
参与事件八，参与账号d 参与设备d，与以上事件的核心字段均不匹配，生成基因团簇4；
[0139]
助力事件九，助力账号e 助力设备e 邀请者账号d 邀请者设备d，设备d和账号d均匹配成功，添加到基因团簇4；
[0140]
提现事件十，提现账号a 提现设备a，设备a和账号a均匹配成功，添加到基因团簇3；
[0141]
提现事件十一，提现账号d 提现设备a，由于设备权重大于账号权重，因此设备a优先匹配成功，添加到基因团簇3。
[0142]
最后，如图10所示，在基因团簇3和基因团簇4中，在字段值相同(设备a、账号d)的关联字段之间建立连接。
[0143]
本技术实施例中，最终得到的基因图谱可以进行二维或三维展示，其中，将基因图谱中的特征字段为点，以特征之间的关联关系为边，即可得到如图11和图12所示的三维基因图谱。三维基因图谱中，聚簇越大、越密集的，说明聚簇的核心特征是可疑风险特征的概率越大，因此本技术技术方案还能在构建基因图谱后，直观的将目标业务的特征构成、可疑风险特征展示出来，从而提升了决策者的决策效率和决策准确率。
[0144]
在步骤s206提供的技术方案中，基于基因图谱和特征关联关系，确定目标业务的可疑风险特征包括：
[0145]
步骤1，确定基因图谱中每个基因团簇的每个特征字段的字段值数量，其中，字段值数量为特征字段对应的字段值的数量。
[0146]
本技术实施例中，一个基因团簇中，可能会有设备a、设备b以及设备c，则该基因团簇的“设备号”特征字段的字段数量为3。
[0147]
步骤2，按照预先对多个特征字段配置的排序优先级依次提取特征字段，并以特征字段的字段值数量从大到小的顺序对多个基因团簇进行排序。
[0148]
本技术实施例中，若目标业务的业务事件的特征字段包括设备号、手机号、账号以及生成时间，以设备号大于手机号大于账号大于生成时间的排序优先级进行说明。若存在以下基因图谱：
[0149]
基因团簇5，设备号的字段值数量为20，手机号的字段值数量为1000，账号的字段值数量为2000，生成时间的字段值数量为2000；
[0150]
基因团簇6，设备号的字段值数量为18，手机号的字段值数量为1000，账号的字段值数量为2000，生成时间的字段值数量为2000；
[0151]
基因团簇7，设备号的字段值数量为18，手机号的字段值数量为1200，账号的字段值数量为2000，生成时间的字段值数量为2000；
[0152]
基因团簇8，设备号的字段值数量为15，手机号的字段值数量为1200，账号的字段值数量为2000，生成时间的字段值数量为2000。
[0153]
则对以上基因团簇排序时，先按照设备号的字段数量排序得到：top1、基因团簇5，top2、基因团簇6，top2、基因团簇7，top3、基因团簇8。再按照手机号的字段数量排序得到：top1、基因团簇5，top2、基因团簇7，top3、基因团簇6，top4、基因团簇8。依此类推，直至得到所有基因团簇的最终排序。
[0154]
步骤3，从排序结果中选取出目标排序位置之前的目标基因团簇。
[0155]
步骤4，在目标基因团簇中核心字段的字段值数量大于或等于对应类别的第一数量阈值的情况下，将核心字段的字段值确定为目标基因团簇中目标业务的可疑风险特征。
[0156]
本技术实施例中，上述目标排序位置可以根据实际需求进行设置，如前10名。
[0157]
本技术实施例中，可以从上述特征字段中指定核心字段作为主要的分析对象。若将设备号和账号指定为核心字段，则可分别为设备号和账号设置对应的数量阈值。核心字段的字段数量大于或等于对应类别的第一数量阈值的情况下，将核心字段的字段值确定为目标基因团簇中目标业务的可疑风险特征，如设备号的字段值数量大于10(该基因团簇中包含的设备数量大于10)时，将该基因团簇中的所有设备号确认为可疑风险特征。
[0158]
本技术实施例中，为了使得可疑风险特征的定位更加准确，可以基于基因图谱表示的业务事件之间的特征关联关系来缩小可疑风险特征的范围。
[0159]
可选地，从排序结果中选取出目标排序位置之前的目标基因图谱之后，基于基因图谱和特征关联关系，确定目标业务的可疑风险特征还包括：
[0160]
步骤1，在目标基因团簇中，为每个核心字段统计与核心字段具有特征关联关系的关联字段的字段值数量。
[0161]
本技术实施例中，核心字段表示该业务事件的核心特征，关联字段表示与核心特征具有关联关系的特征。以设备号为核心字段、账号、手机号为关联字段为例，则统计到[设备a注册关系关联账号1000个]时，表示在设备a上注册了1000个账号，也即可知在设备a上发生了1000个注册事件。统计到[设备a注册关系关联手机号1000个]，则表示在设备a上有1000个手机号进行了注册。
[0162]
步骤2，在关联字段的字段值数量大于或等于对应类别的第二数量阈值的情况下，获取关联字段的所有字段值。
[0163]
本技术实施例中，以同一个设备关联的手机号的第二数量阈值为100为例，若统计到信息[设备a注册关系关联手机号100个]，则获取设备a所关联的所有手机号。在这里，第二数量阈值也可以低于直接判断可疑风险特征的数量阈值(即，超过该阈值即可确定是风险特征)，以实现对字段值较低特征的判断。例如，关联手机号数量超过100可以直接确定为可疑风险特征，第二数量阈值可以设置为80，从而对关联手机号数量80-100的基金团簇进行判断。
[0164]
步骤3，将字段值划分为多个值片段。
[0165]
本技术实施例中，将字段值划分为多个值片段是为了找出相似特征，如将十一位手机号划分为三个值片段，分别为第一位号码至第三位号码、第四位号码至第七位号码以及第八位号码至第十一位号码。
[0166]
步骤4，按照每个值片段的出现次数从大到小的顺序对值片段进行排序。
[0167]
本技术实施例中，将字段值划分为多个值片段后，每个值片段的出现次数从大到小的顺序对值片段进行排序，如图13所示为对手机号前三位进行排序的示意图。其余可排序的字段包括但不限于手机号归属地、设备号、账号、ip地址等。
[0168]
步骤5，从排序结果中选取出目标排序位置之前的目标值片段，并将目标值片段和关联的核心字段确定为目标基因团簇中目标业务的可疑风险特征。
[0169]
本技术实施例中，核心字段关联的某关联字段的字段数量较多时，说明该核心字段存在异常，如一个设备上注册了1000个账号。而对于出现次数过多的值片段，也可以将其
确定为可疑风险特征，如非法行为可疑人员大量使用170号段的手机号进行注册，则本技术技术方案经过对关联字段的值片段进行排序后，即可找出非法行为可疑人员使用170号段大量注册账号的可疑风险特征，由此可以加强对该值片段相关的特征的关注度，也为风险识别提供明确方向。
[0170]
本领域技术人员可以理解，上述划分值片段的方案还可以进一步结合到核心字段的可疑风险特征判断(即在目标基因团簇中核心字段的字段值数量大于或等于对应类别的第一数量阈值的情况下，将核心字段的字段值确定为目标基因团簇中目标业务的可疑风险特征)，此时需要将第二数量阈值设置为低于第一数量阈值，从而对字段值数量在第一和第二阈值之间的基因团簇进行判断。
[0171]
在步骤s208提供的技术方案中，依据可疑风险特征确定业务事件的风险水平，具体可以是以该业务事件中包含的可疑风险特征的数量、类型、分布情况以及这些特征对业务运营的影响等因素来确定业务事件的风险水平，风险水平可以是一般风险、严重风险、高危风险、特殊风险等，本领域技术人员也根据实际情况对风险水平进行分类，如自定义类别名称、分类数量等。
[0172]
可选地，基于基因图谱和特征关联关系，确定目标业务的可疑风险特征还包括：
[0173]
步骤1，将基因图谱中每一基因团簇的特征字段的字段值与案例库中已有字段值进行对比以获取对比结果；
[0174]
步骤2，在对比结果的相似度大于相似度阈值时，将特征字段的字段值确定为目标基因图谱中目标业务的可疑风险特征。
[0175]
本技术实施例中，可以直接将每个基因团簇的特征字段的字段值与案例库中已有字段的字段值进行对比，从而根据字段值的相似度来确定当前基因团簇中的可疑风险特征。上述字段值的相似度可以是字段值的具体内容的相似度，如手机号170****8836与170****8839(二者****部分相同)的相似度为90.9％，也可以是字段值数量的相似度，如当前基因团簇中手机号的数量有100个，某个案例的手机号的数量为125个，则字段值数量的相似度为80％。
[0176]
可选地，还可以综合字段名对比和字段值对比，在字段名相似度和字段值相似度均满足一定条件时，将满足条件的字段名和字段值均确认为当前基因团簇中的可疑风险特征。
[0177]
例如，字段名相似度可以通过以下方式确定：将基因图谱中每一基因团簇的特征字段的字段名与案例库中已有字段名进行对比，如当前基因团簇中有4个字段，分别是设备号、手机号、账号以及ip地址，某个案例的团簇中有3个字段，分别是设备号、手机号、账号，则字段名相似度为75％。
[0178]
可选地，还可以将目标业务、目标业务的可疑风险特征添加到案例库，以将可疑风险特征作为目标业务的图谱分析的基础数据。
[0179]
本技术实施例中，可以不断更新、升级案例库，从而对历史出现过的可疑风险的特征进行记录，为图谱分析提供基础数据。
[0180]
本技术根据多个业务事件的多个特征建立目标业务的基因图谱，从而利用基因图谱进行多特征联合分析，得到目标业务中的可疑风险特征，最后即可利用该可疑风险特征确定业务事件的风险水平，那么即使异常行为可疑人员不断更新其攻击手段，本技术技术
方案也能够在异常行为可疑人员使用其攻击手段实施攻击行为后快速、准确地找出攻击方向，进而准确地进行风险识别，进一步提高业务运行的稳定性，解决了单一维度的统计规则无法及时应对不断变化的攻击方式的技术问题。
[0181]
进一步地，基于基因图谱得到可疑风险特征之后，可以针对该可疑风险特征生成或更新风险识别策略，以辅助识别业务事件的风险水平。如得到可疑风险特征为设备a 170号段，则在生产环境中将设备a和170号段均作为筛选字段进行重点检查，可以是将筛选结果交由人工检查，可以是利用神经网络判别筛选结果属于非法行为的概率等。
[0182]
针对风险识别策略的更新，本技术也提供了一种策略更新方法，具体包括：
[0183]
步骤1，在基于第一风险识别策略将业务系统中的第一业务事件判别为第一可疑风险事件的情况下，获取目标时间段内包含先前被判别为无可疑风险的第二业务事件的数据作为第一回测数据，其中，目标时间段早于将第一业务事件判别为第一可疑风险事件的时间点；
[0184]
步骤2，在第一回测数据中确定与第一可疑风险事件的目标特征相匹配的特定第二业务事件，并将特定第二业务事件重新判别为存在可疑风险的第二可疑风险事件；以及，
[0185]
步骤3，利用第二可疑风险事件和目标特征更新第一风险识别策略，得到第二风险识别策略。
[0186]
在上述策略更新方案中，可以利用上文所述的业务事件的风险识别方法来确定第一可疑风险事件，即完成基于第一风险识别策略将业务系统中的第一业务事件判别为第一可疑风险事件的过程：对各个业务事件的风险水平进行评估，通过基因图谱和特征关联关系确定到业务事件中的可疑风险特征，并当根据可疑风险特征确定业务事件的风险水平达到设定风险水平的情况下，将该业务事件判别为该第一可疑风险事件。下面进一步说明该策略更新方案。
[0187]
本技术实施例中，可以在基于第一风险识别策略发现第一业务事件为可疑风险事件的情况下，可以通过调取回测数据，在回测数据中对第二业务事件进行分析，找出与第一业务事件具有特征匹配关系的特定第二业务事件，利用特定第二业务事件以及匹配的特征对第一风险识别策略进行更新，从而可以利用第二风险识别策略识别出第一风险识别策略未能识别出的可疑风险事件，完成风险识别策略的更新。如，非法行为可疑人员注册多个账号时使用不同的设备进行注册，风控系统将这些注册事件均判别为正常事件，而在非法行为可疑人员后期实施攻击行为时，短时间内在目标设备上登录了多个账号，登录的账号数量超出一天的判别阈值时，风控系统将超出判别阈值的登录事件判别为第一可疑风险事件，此时才发现目标设备为非法行为可疑人员实施攻击手段的特征，即目标设备确定为可疑风险特征。本技术技术方案就在回测数据中，找出与目标设备关联的其他事件，如使用目标设备且未超出判别阈值的登录事件和使用目标设备注册账号的注册事件，接着将这些事件重新判别为第二可疑风险事件，再分析这些可疑风险事件中是否还存在其他异常，如在该目标设备上登录过的账号、与该目标设备关联过的ip地址、手机号等是否为与可疑风险特征关联的关联风险特征，最后用这些第二可疑风险事件、可疑风险特征以及关联风险特征对第一风险识别策略进行更新，得到第二风险识别策略。
[0188]
上述第一业务事件可以是注册事件、登录事件、支付事件、退款时间、拉新活动的参与事件、邀请事件以及助力事件等。上述目标时间段为风控系统识别出第一可疑风险事
件后确定的回测数据的获取范围。
[0189]
可选地，基于第一风险识别策略将业务系统中的第一业务事件判别为第一可疑风险事件包括以下方式中的至少一种：
[0190]
第一种，在识别到产生第一业务事件的第一业务请求中携带的识别标识与数据库中存储的历史使用的识别标识不一致的情况下，将识别标识确定为可疑风险特征，并将第一业务事件判别为第一可疑风险事件。
[0191]
本技术实施例中，业务事件是用户向业务系统发出业务请求而产生的。上述识别标识包括硬件设备识别标识、手机号、号码归属地以及互联网协议地址中的至少之一，也即第一业务事件中的设备号与数据库中存储的历史使用的设备号不一致的情况下，确定用户在非常用设备上请求该事件；第一业务事件中的ip地址与数据库中存储的历史使用的ip地址不一致的情况下，确定用户在异地请求该事件；第一业务事件中的手机号与数据库中存储的历史使用的手机号不一致的情况下，确定用户使用非常用手机号请求该事件；第一业务事件中手机号的号码归属地与数据库中存储的历史使用的号码归属地不一致的情况下，确定用户在异地请求该事件。此时风控系统将出现上述非正常情况的第一业务事件判别为第一可疑风险事件，将所用的识别标识确定为可疑风险特征。
[0192]
第二种，在识别到第一业务请求中携带的识别标识在当前风险识别周期内关联的账号数量大于或等于目标数量阈值的情况下，将识别标识确定为可疑风险特征，并将第一业务事件判别为第一可疑风险事件。
[0193]
本技术实施例中，风险识别周期为风控系统重置阈值条件的周期，如规定同一设备一天内登录账号20个以上即为异常，则今天在目标设备上登录了19个账号，这19个登录事件均判别为正常事件，第二天在目标设备上又登录了19个账号也判别为正常事件，而若在同一天内在该目标设备上登录了21个账号，则登录第21个账号时，将当前登录事件判别为第一可疑风险事件，将所用的识别标识(如目标设备的设备号)确定为可疑风险特征。
[0194]
第三种，在识别到第一业务事件的第一特征与预设案例库中存储的风险特征匹配的情况下，将第一特征确定为可疑风险特征，并将第一业务事件判别为第一可疑风险事件。
[0195]
本技术实施例中，上述预设案例库存储有风控系统识别出来的可疑风险事件的风险特征，在进一步识别时，风控系统可以将业务事件与预设案例库中的风险特征进行对比，若在识别到第一业务事件的第一特征与预设案例库中存储的风险特征匹配的情况下，即可将第一特征确定为可疑风险特征，并将第一业务事件判别为第一可疑风险事件。
[0196]
本技术实施例中，还可以设置其他判决条件，如同一设备关联的账号大于40即为异常，此时不分识别周期进行计数，而是不清零计数，同一个设备上关联的账号总数超出该阈值，即判决为异常。
[0197]
本技术实施例中，风险识别策略可以包含单一条件或多个条件的组合，判别条件可以是阈值判别类型，如同一设备一天内登录的账号数大于20即为异常，可以是特征判别类型，如出现某些特定字段即为异常。
[0198]
将第一业务事件判别为第一可疑风险事件之后，为了在已经先前判别为无可疑风险的第二业务事件中找出与该第一可疑风险事件具有特征匹配关系的特定第二业务事件，需要先确定第一回测数据的获取范围，即上述目标时间段。第一回测数据的获取范围与第一可疑风险事件的判别类型、所属活动有关，下面对此进行说明。
[0199]
可选地，获取目标时间段内包含先前被判别为无可疑风险的第二业务事件的数据作为第一回测数据之前，所述方法还包括按照如下方式确定所述目标时间段：
[0200]
确定第一业务事件所属业务活动的活动起始时间，并将活动起始时间至当前时间的范围确定为目标时间段；和/或，
[0201]
确定将第一业务事件判别为第一可疑风险事件的判别类型；
[0202]
在判别类型为阈值判别类型的情况下，将当前风险识别周期的起始时间至当前时间的范围确定为目标时间段；
[0203]
在判别类型为特征判别类型的情况下，确定第一可疑风险事件的关联事件的发生周期，并将第一可疑风险事件的发生时间作为当前发生周期的最晚节点，以及将当前发生周期的最早节点至最晚节点间的时段确定为目标时间段。
[0204]
本技术实施例中，上述业务活动可以包括各种促销活动(如关注商家自媒体账号领优惠券等)、拉新活动(如社区团购应用程序的注册拉新、新游戏预约注册等)、普及推广活动以及公益活动等。若第一业务事件是因某项业务活动而引发的，则将第一业务事件所属业务活动的活动起始时间至当前时间的范围确定为该目标时间段。
[0205]
本技术实施例中，对于阈值判别类型，可以将当前风险识别周期的起始时间至当前时间的范围确定为目标时间段。如第一可疑风险事件触发的判别条件为同一个设备一天内登录的账号数量超过20报异常，在第一可疑风险事件中监测到目标设备在今天的此时此刻正在登录第21个账号，则依照上述判别条件进行判别后，将今天零点至当前时刻的时间段确定为回测数据的获取范围。对于特征判别类型，要先看该第一可疑风险事件是否存在关联事件，存在关联事件的情况下，确定关联事件的发生周期，并将第一可疑风险事件的发生时间点作为当前发生周期的最晚节点，以及将当前发生周期的最早节点至最晚节点间的时段确定为目标时间段。例如，付款事件和退款事件为互相关联的事件，退款事件只允许在付款事件发生后的24小时内进行，则若风控系统在当前退款事件中发现异常，则需要倒推24小时为起点来获取回测数据。
[0206]
可选地，还可以从第一可疑风险事件的可疑风险特征和其他特征入手来确定回测数据的获取范围。具体的，将与可疑风险特征同在第一可疑风险事件中的第二特征确定为关联风险特征；确定关联风险特征出现在其他业务事件中的最早时间；将最早时间至当前时间的范围确定为目标时间段。上述其他业务事件包括第二业务事件，在确定出上述关联风险特征之后，可将关联风险特征出现在第二业务事件中的最早时间至当前时间的范围确定为该目标时间段。
[0207]
本技术实施例中，上述第一回测数据可以包括该目标时间段内被识别为无可疑风险的第二业务事件，这样在进行回测时能够更快、更有针对性的找出与第一可疑风险事件具有特征匹配关系的特定第二业务事件。还可以包括在该目标时间段内产生的所有业务事件，这样在对更新后的第二风险识别策略进行检验时，能够更好的与第一风险识别策略的识别结果进行对比，从而确定是否用第二风险事件识别策略替换第一风险识别策略。
[0208]
按照上述目标时间段获取到回测数据之后，即可进行回测。
[0209]
可选地，在第一回测数据中确定与第一可疑风险事件的目标特征相匹配的特定第二业务事件包括：
[0210]
确定第一风险识别策略识别出的第一可疑风险事件的可疑风险特征以作为目标
特征，并将第一回测数据中具有相同目标特征的第二业务事件确定为特定第二业务事件；和/或，
[0211]
确定与可疑风险特征同在第一可疑风险事件中的其他特征为关联风险特征以作为目标特征，并将第一回测数据中具有目标特征的第二业务事件确定为特定第二业务事件。
[0212]
本技术实施例中，有的业务事件发生时，可疑风险特征还未表现出异常而未被标记为可疑风险特征(如同一设备一天内登录的账号数量还小于判别阈值)，因此回测是要将具有该可疑风险特征但前期未表现出异常的事件找出来。即本技术实施例中，回测的目的是找出与第一可疑风险事件具有特征匹配关系的特定第二业务事件，所述特征匹配关系即存在目标特征相匹配，所述目标特征包括第一可疑风险事件中由第一风险识别策略识别出的可疑风险特征，还可以包括与可疑风险特征同在第一可疑风险事件中的其他关联风险特征。
[0213]
可选地，将特定第二业务事件重新判别为存在可疑风险的第二可疑风险事件之后，所述方法还包括：
[0214]
将可疑风险特征、关联风险特征以及第二可疑风险事件的事件特征添加到预设案例库中，以将可疑风险特征、关联风险特征以及第二可疑风险事件的事件特征作为分析攻击行为的基础数据。
[0215]
本技术实施例中，为了更准确、更全面地分析非法行为可疑人员的攻击行为，可以将识别出来的可疑风险特征、关联风险特征以及第二可疑风险事件的事件特征添加到预设案例库中，以将可疑风险特征、关联风险特征、和/或第二可疑风险事件的事件特征作为分析攻击行为的基础数据，同时在风控系统识别其他业务事件时提供对比数据。在实施过程中，本领域技术人员可根据业务不同选择可疑风险特征、关联风险特征以及第二可疑风险事件的事件特征的部分或全部来进行攻击行为的分析。
[0216]
可选地，得到第二风险识别策略之后，还需要对第二风险识别策略进行检验，以判断第二风险识别策略是否符合上线要求，所述方法还包括：
[0217]
步骤1，基于第二风险识别策略对第二回测数据进行风险识别，其中，第二回测数据与第一回测数据不完全重叠；
[0218]
步骤2，统计第二风险识别策略对可疑风险事件的准确率和漏判率；
[0219]
步骤3，；在第二风险识别策略的准确率小于或等于第一风险识别策略的准确率，和/或第二风险识别策略的漏判率大于或等于第一风险识别策略的漏判率的情况下，继续利用第二可疑风险事件和目标特征更新第二风险识别策略，并利用第二回测数据再次检验更新后的第二风险识别策略识别可疑风险事件的准确率和漏判率，直至检验通过。
[0220]
本技术实施例中，第二回测数据与第一回测数据不完全重叠，可以是时间的不重叠，也可以是数据的不重叠，如第二回测数据可以是当前时间点之前与第一回测数据不完全重叠的数据，作为优选，可以是没有任何重叠，即第二回测数据可以选择上次回测(b事件异常后回测发现相关事件a异常时候的回测)之后到当前时间点的数据，如此使用第二回测数据对第二风险识别策略进行检验才有最大意义。
[0221]
本技术实施例中，在第二风险识别策略的准确率大于第一风险识别策略的准确率，且第二风险识别策略的漏判率小于第一风险识别策略的漏判率的情况下，确定第二风
险识别策略检验通过。
[0222]
本技术实施例中，准确率的计算可以是：在当前规则识别出的异常事件中，真异常事件的数量与总识别成异常事件的数量的比例。漏判率的计算可以是：未识别出的异常事件的数量与回测数据中真异常事件的数量的比例。
[0223]
本技术实施例中，第二风险识别策略的准确率大于第一风险识别策略的准确率，且第二风险识别策略的漏判率小于第一风险识别策略的漏判率，则确定第二风险识别策略满足上线要求，检验通过，否则检验不通过，需要继续利用第二可疑风险事件和目标特征更新第二风险识别策略，直至检验通过。上述第二风险识别策略的准确率大于第一风险识别策略的准确率的情况可以作为理想情况，而在实际应用中，由于第二风险识别策略要比第一风险识别策略的判断范围大，被判断为有风险的事件要更多，如第一风险识别策略能在1000个事件中判断出100个事件具有风险，第二风险识别策略能在1000个事件中判断出200个事件具有风险，因此第二风险识别策略的准确率的限制条件在实际应用中可以适当放宽，如第一风险识别策略的准确率为95％，则第二风险识别策略的准确率为90％时，也可以将第二风险识别策略上线使用，即可以允许第二风险识别策略的准确率略低于第一风险识别策略的准确率。
[0224]
本技术实施例中，对第一风险识别策略的更新，除了针对可疑风险特征、关联风险特征以及第二可疑风险事件添加更细分的筛选规则外，还可以包括对第一风险识别策略中，剔除掉包含误判事件的特征，从而进一步提高第二风险识别策略的准确率，降低误判率。
[0225]
可选地，确定第二风险识别策略检验通过之后，所述方法还包括：
[0226]
在生产环境中使用第二风险识别策略替换第一风险识别策略，以在利用第二风险识别策略识别到与第一可疑风险事件和/或第二可疑风险事件具有特征匹配关系的第三业务事件的情况下，将第三业务事件判别为存在可疑风险的第三可疑风险事件。
[0227]
本技术实施例中，将第二风险识别策略上线后，即可利用第二风险识别策略，识别出前期特征分散的攻击行为。
[0228]
根据本技术实施例的又一方面，如图14所示，提供了一种业务事件的风险识别装置，包括：
[0229]
事件获取模块1401，用于获取业务系统在生产环境中产生的业务事件，其中，业务事件为目标对象在向业务系统发出业务请求后产生的，业务系统用于向目标对象提供目标业务的服务；
[0230]
图谱构建模块1403，用于提取出业务事件的事件特征，并构建以事件特征为基因构成元素的目标业务的基因图谱，其中，基因图谱用于表示目标业务的业务事件之间的特征关联关系；
[0231]
可疑特征确定模块1405，用于基于基因图谱和特征关联关系，确定目标业务的可疑风险特征；以及，
[0232]
风险识别模块1407，用于依据可疑风险特征确定业务事件的风险水平。
[0233]
需要说明的是，该实施例中的事件获取模块1401可以用于执行本技术实施例中的步骤s202，该实施例中的图谱构建模块1403可以用于执行本技术实施例中的步骤s204，该实施例中的可疑特征确定模块1405可以用于执行本技术实施例中的步骤s206，该实施例中
的风险识别模块1407可以用于执行本技术实施例中的步骤s208。
[0234]
此处需要说明的是，上述模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在如图1所示的硬件环境中，可以通过软件实现，也可以通过硬件实现。
[0235]
可选地，该图谱构建模块，具体用于：
[0236]
确定业务事件的事件类型，并提取出构成业务事件的特征字段；
[0237]
分别在每个特征字段对应的字段命名节点处为每个特征字段确定与事件类型匹配的字段名，其中，同一类别的特征字段对应同一个字段命名节点，字段命名节点用于确定同一类别的特征字段在不同业务事件中的定义；以及，
[0238]
基于特征字段的字段名和字段值构建目标业务的基因图谱，其中，事件特征包括事件类型、特征字段的字段名以及特征字段的字段值。
[0239]
可选地，该图谱构建模块，还用于：
[0240]
按照预先为每个业务事件指定的核心字段名和关联字段名，将每个业务事件的特征字段划分为核心字段和关联字段；
[0241]
提取核心字段的字段值相同的多个目标业务事件；
[0242]
将多个目标业务事件中字段值相同的核心字段合并，并将合并后的核心字段、核心字段的字段值以及其余所有关联字段和对应的字段值添加到同一个基因团簇；
[0243]
在不同基因团簇中字段值相同的关联字段之间建立连接；以及，
[0244]
将多个基因团簇构成的图谱确定为基因图谱。
[0245]
可选地，该图谱构建模块，还用于：
[0246]
按照预先为每个业务事件指定的核心字段名和关联字段名，将每个业务事件的特征字段划分为核心字段和关联字段；
[0247]
在同一个业务事件中存在多个核心字段的情况下，确定每个核心字段的优先级；
[0248]
在多个业务事件之间按照优先级依次对比核心字段的字段值；
[0249]
将优先级大于或等于目标优先级且核心字段的字段值相同的多个业务事件确定为目标业务事件；
[0250]
将目标业务事件中字段值相同的核心字段合并，并将合并后的核心字段、核心字段的字段值以及其余所有关联字段和对应的字段值添加到同一个基因团簇；
[0251]
在不同基因团簇中字段值相同的关联字段之间建立连接；以及，
[0252]
将多个基因团簇构成的图谱确定为基因图谱。
[0253]
可选地，该图谱构建模块，还用于：
[0254]
按照预先为每个业务事件指定的核心字段名和关联字段名，将每个业务事件的特征字段划分为核心字段和关联字段；
[0255]
在同一个业务事件中存在多个核心字段的情况下，为每个核心字段分配权重；
[0256]
在多个业务事件之间对比核心字段的字段值；
[0257]
累积字段值相同的核心字段对应的权重，得到核心字段相似度；
[0258]
将核心字段相似度大于或等于目标阈值的多个业务事件确定为目标业务事件；
[0259]
将目标业务事件中字段值相同的核心字段合并，并将合并后的核心字段、核心字段的字段值以及其余所有关联字段和对应的字段值添加到同一个基因团簇；
[0260]
在不同基因团簇中字段值相同的关联字段之间建立连接；以及，
[0261]
将多个基因团簇构成的图谱确定为基因图谱。
[0262]
可选地，该可疑特征确定模块，具体用于：
[0263]
确定基因图谱中每个基因团簇的每个特征字段的字段值数量，其中，字段值数量为特征字段对应的字段值的数量；
[0264]
按照预先对多个特征字段配置的排序优先级依次提取特征字段，并以特征字段的字段值数量从大到小的顺序对多个基因团簇进行排序；
[0265]
从排序结果中选取出目标排序位置之前的目标基因团簇；
[0266]
在目标基因团簇中核心字段的字段值数量大于或等于对应类别的第一数量阈值的情况下，将核心字段的字段值确定为目标基因团簇中目标业务的可疑风险特征。
[0267]
可选地，该可疑特征确定模块，还用于：
[0268]
在目标基因团簇中，为每个核心字段统计与核心字段具有特征关联关系的关联字段的字段值数量；
[0269]
在关联字段的字段值数量大于或等于对应类别的第二数量阈值的情况下，获取关联字段的所有字段值；
[0270]
将字段值划分为多个值片段；
[0271]
按照每个值片段的出现次数从大到小的顺序对值片段进行排序；
[0272]
从排序结果中选取出目标排序位置之前的目标值片段，并将目标值片段和关联的核心字段确定为目标基因团簇中目标业务的可疑风险特征。
[0273]
可选地，该业务事件的风险识别装置，还包括案例库对比模块，用于：
[0274]
将基因图谱中每一基因团簇的特征字段的字段值与案例库中已有字段值进行对比以获取对比结果；
[0275]
在对比结果的相似度大于相似度阈值时，将特征字段的字段值确定为目标基因图谱中目标业务的可疑风险特征。
[0276]
可选地，该业务事件的风险识别装置，还包括案例添加模块，用于：
[0277]
将目标业务、目标业务的可疑风险特征添加到案例库，以将可疑风险特征作为目标业务的图谱分析的基础数据。
[0278]
上述装置实现的技术方案与前文所述方法保持一致，为简洁起见，具体方案细节内容不再在此展开。
[0279]
根据本技术实施例的另一方面，本技术提供了一种风险识别策略的更新装置，以实现上述的风险策略更新方法，具体包括：
[0280]
数据获取模块，用于在基于第一风险识别策略将业务系统中的第一业务事件判别为第一可疑风险事件的情况下，获取目标时间段内包含先前被判别为无可疑风险的第二业务事件的数据作为第一回测数据，其中，目标时间段早于将第一业务事件判别为第一可疑风险事件的时间点；
[0281]
事件回测模块，用于在第一回测数据中确定与第一可疑风险事件的目标特征相匹配的特定第二业务事件，并将特定第二业务事件重新判别为存在可疑风险的第二可疑风险事件；以及，
[0282]
策略更新模块，用于利用第二可疑风险事件和目标特征更新第一风险识别策略，
得到第二风险识别策略。
[0283]
上述风险识别策略的更新装置实现的技术方案与前文所述对应方法保持一致，为简洁起见，具体方案细节内容不再在此展开。
[0284]
根据本技术实施例的另一方面，本技术提供了一种电子设备，如图15所示，包括存储器1501、处理器1503、通信接口1505及通信总线1507，存储器1501中存储有可在处理器1503上运行的计算机程序，存储器1501、处理器1503通过通信接口1505和通信总线1507进行通信，处理器1503执行计算机程序时实现上述方法的步骤。
[0285]
上述电子设备中的存储器、处理器通过通信总线和通信接口进行通信。所述通信总线可以是外设部件互连标准(peripheral component interconnect，简称pci)总线或扩展工业标准结构(extended industry standard architecture，简称eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。
[0286]
存储器可以包括随机存取存储器(random access memory，简称ram)，也可以包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。
[0287]
上述的处理器可以是通用处理器，包括中央处理器(central processing unit，简称cpu)、网络处理器(network processor，简称np)等；还可以是数字信号处理器(digital signal processing，简称dsp)、专用集成电路(application specific integrated circuit，简称asic)、现场可编程门阵列(field-programmable gate array，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
[0288]
根据本技术实施例的又一方面还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述任一实施例的步骤。
[0289]
可选地，在本技术实施例中，计算机可读介质被设置为存储用于所述处理器执行以下步骤的程序代码：
[0290]
获取业务系统在生产环境中产生的业务事件，其中，业务事件为目标对象在向业务系统发出业务请求后产生的，业务系统用于向目标对象提供目标业务的服务；
[0291]
提取出业务事件的事件特征，并构建以事件特征为基因构成元素的目标业务的基因图谱，其中，基因图谱用于表示目标业务的业务事件之间的特征关联关系；
[0292]
基于基因图谱和特征关联关系，确定目标业务的可疑风险特征；以及，
[0293]
依据可疑风险特征确定业务事件的风险水平。
[0294]
可选地，本实施例中的具体示例可以参考上述实施例中所描述的示例，本实施例在此不再赘述。
[0295]
本技术实施例在具体实现时，可以参阅上述各个实施例，具有相应的技术效果。
[0296]
可以理解的是，本文描述的这些实施例可以用硬件、软件、固件、中间件、微码或其组合来实现。对于硬件实现，处理单元可以实现在一个或多个专用集成电路(application specific integrated circuits，asic)、数字信号处理器(digital signal processing，dsp)、数字信号处理设备(dsp device，dspd)、可编程逻辑设备(programmable logic device，pld)、现场可编程门阵列(field-programmable gate array，fpga)、通用处理器、
控制器、微控制器、微处理器、用于执行本技术所述功能的其它电子单元或其组合中。
[0297]
对于软件实现，可通过执行本文所述功能的单元来实现本文所述的技术。软件代码可存储在存储器中并通过处理器执行。存储器可以在处理器中或在处理器外部实现。
[0298]
本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
[0299]
所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0300]
在本技术所提供的实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0301]
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0302]
另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
[0303]
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0304]
以上所述仅是本技术的具体实施方式，使本领域技术人员能够理解或实现本技术。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本技术的精神或范围的情况下，在其它实施例中实现。因此，本技术将不会被限制于本文所示的这些实施例，而是要符合与本文所申请的原理和新颖特点相一
致的最宽的范围。