CN108052824B - 一种风险防控方法、装置及电子设备 - Google Patents
一种风险防控方法、装置及电子设备 Download PDFInfo
- Publication number
- CN108052824B CN108052824B CN201711423469.6A CN201711423469A CN108052824B CN 108052824 B CN108052824 B CN 108052824B CN 201711423469 A CN201711423469 A CN 201711423469A CN 108052824 B CN108052824 B CN 108052824B
- Authority
- CN
- China
- Prior art keywords
- prevented
- abnormal behavior
- controlled
- data
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明实施例提供了一种风险防控方法、装置及电子设备,应用于信息安全技术领域,所述方法包括:获取业务日志中的异常行为数据,将异常行为数据中的异常行为特征添加至缓存数据库和特征数据库中;提取业务日志中符合特征拼接规则的黑名单数据,并将提取的黑名单数据添加至缓存数据库中;将异常行为特征中的黑标签添加至黑标签数据库中,将从黑标签数据库中提取的历史行为特征和从特征数据库中提取的稳定行为特征进行组合,将组合后的特征信息添加至特征拼接规则中;判断当前待防控业务请求是否符合异常行为特征或黑名单数据或特征拼接规则;若是,确定当前待防控业务请求存在风险,对当前待防控业务请求进行拦截。本发明可提高风险检测的实时性。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种风险防控方法、装置及电子设备。
背景技术
在信息安全技术领域,风险评价与控制是永恒的主题,各个互联网公司都建立了或大或小的风险控制团队,以应对日益严峻的安全形势。在这一过程中,风险控制将面临几十甚至上百个不同的业务风险点,如何更加通用、全面地评估风险,已成为所有风险控制系统的核心诉求。
现有的风险防控方法主要是通过离线的方式提取风险数据或特征,再反馈到线上的规则以实现对业务的联防联控。但是这种方式存在实时性差、黑产容易绕过规则等问题;其中,黑产指利用病毒木马来获得利益的一个行业。另外,每个风险业务所面临的黑产群体可能是不同的,那么,需要离线地将各个业务的风险数据进行共享,缺乏时序行为的连贯性。可见,现有的风险防控方法检测风险的实时性比较低,导致风险容易被绕过而不能及时对风险进行防控等问题。
发明内容
本发明实施例的目的在于提供一种风险防控方法、装置及电子设备,以提高风险检测的实时性,从而及时对风险进行防控。具体技术方案如下:
本发明实施例提供了一种风险防控方法,所述方法包括:
获取待防控的第一业务日志中的异常行为数据,将所述异常行为数据中的异常行为特征添加至缓存数据库和特征数据库中;
提取所述第一业务日志中符合所述缓存数据库中存储的特征拼接规则的黑名单数据,并将提取的黑名单数据添加至所述缓存数据库中;
将所述异常行为特征中的黑标签添加至黑标签数据库中,从所述黑标签数据库中提取历史行为特征,从所述特征数据库中提取稳定行为特征,将所述稳定行为特征和所述历史行为特征进行组合,将组合后的特征信息添加至所述特征拼接规则中;
判断当前待防控业务请求是否符合所述异常行为特征或所述黑名单数据或所述特征拼接规则;
若所述当前待防控业务请求符合所述异常行为特征或所述黑名单数据或所述特征拼接规则,确定所述当前待防控业务请求存在风险,对所述当前待防控业务请求进行拦截。
可选的,在所述对所述当前待防控业务请求进行拦截之后,所述方法还包括:
获取所述当前待防控业务请求的第二业务日志,将所述第一业务日志更新为所述第二业务日志,返回所述获取待防控的第一业务日志中的异常行为数据,将所述异常行为数据中的异常行为特征添加至缓存数据库和特征数据库中的步骤。
可选的,所述获取待防控的第一业务日志中的异常行为数据,包括:
通过spark streaming分析引擎对待防控的第一业务日志进行分析,提取所述第一业务日志中的异常行为数据;
所述提取所述第一业务日志中符合所述缓存数据库中存储的特征拼接规则的黑名单数据,包括:
通过flink分析引擎提取所述第一业务日志中符合所述缓存数据库中存储的特征拼接规则的黑名单数据。
可选的,在所述将提取的黑名单数据添加至所述缓存数据库中之后,所述方法还包括:
对所述黑名单数据设置过期时间,使所述黑名单数据在所述过期时间之后过期。
可选的,在所述判断当前待防控业务请求是否符合所述异常行为特征或所述黑名单数据或所述特征拼接规则之后,所述方法还包括:
若所述当前待防控业务请求不符合所述异常行为特征、所述黑名单数据和所述特征拼接规则,确定所述当前待防控业务请求不存在风险,对所述当前待防控业务请求进行放行。
本发明实施例提供了一种风险防控装置,所述装置包括:
异常行为特征添加模块,用于获取待防控的第一业务日志中的异常行为数据,将所述异常行为数据中的异常行为特征添加至缓存数据库和特征数据库中;
黑名单数据添加模块,用于提取所述第一业务日志中符合所述缓存数据库中存储的特征拼接规则的黑名单数据,并将提取的黑名单数据添加至所述缓存数据库中;
特征拼接规则添加模块,用于将所述异常行为特征中的黑标签添加至黑标签数据库中,从所述黑标签数据库中提取历史行为特征,从所述特征数据库中提取稳定行为特征,将所述稳定行为特征和所述历史行为特征进行组合,将组合后的特征信息添加至所述特征拼接规则中;
判断模块,用于判断当前待防控业务请求是否符合所述异常行为特征或所述黑名单数据或所述特征拼接规则;
拦截模块,用于若所述判断模块的判断结果为是时,确定所述当前待防控业务请求存在风险,对所述当前待防控业务请求进行拦截。
可选的,本发明实施例的风险防控装置,还包括:
循环模块,用于获取所述当前待防控业务请求的第二业务日志,将所述第一业务日志更新为所述第二业务日志,返回所述获取待防控的第一业务日志中的异常行为数据,将所述异常行为数据中的异常行为特征添加至缓存数据库和特征数据库中的步骤。
可选的,所述异常行为特征添加模块具体用于,通过spark streaming分析引擎对待防控的第一业务日志进行分析,提取所述第一业务日志中的异常行为数据;
所述黑名单数据添加模块,具体用于通过flink分析引擎提取所述第一业务日志中符合所述缓存数据库中存储的特征拼接规则的黑名单数据。
可选的,本发明实施例的风险防控装置,还包括:
过期时间设置模块,用于对所述黑名单数据设置过期时间,使所述黑名单数据在所述过期时间之后过期。
可选的,本发明实施例的风险防控装置,还包括:
放行模块,用于若所述判断模块的判断结果为否时,确定所述当前待防控业务请求不存在风险,对所述当前待防控业务请求进行放行。
本发明实施例提供了一种电子设备,包括:处理器、通信接口、存储器和通信总线,其中,所述处理器、所述通信接口、所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存放的程序时,实现上述任一所述的风险防控方法的步骤。
在本发明实施的又一方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述任一所述的风险防控方法的步骤。
在本发明实施的又一方面,本发明实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述任一所述的风险防控方法的步骤。
本发明实施例提供的风险防控方法、装置及电子设备,获取待防控的第一业务日志中的异常行为数据,将异常行为数据中的异常行为特征添加至缓存数据库和特征数据库中;提取第一业务日志中符合缓存数据库中存储的特征拼接规则的黑名单数据,并将提取的黑名单数据添加至缓存数据库中;将异常行为特征中的黑标签添加至黑标签数据库中,从黑标签数据库中提取历史行为特征,从特征数据库中提取稳定行为特征,将稳定行为特征和历史行为特征进行组合,将组合后的特征信息添加至特征拼接规则中;判断当前待防控业务请求是否符合异常行为特征或黑名单数据或特征拼接规则;若当前待防控业务请求符合异常行为特征或黑名单数据或特征拼接规则,确定当前待防控业务请求存在风险,对当前待防控业务请求进行拦截。本发明实施例中,由于缓存数据库中存储的异常行为特征、黑名单数据和特征拼接规则是动态生成的,因此,在对当前待防控业务请求进行风险判断时,可以提高风险判断的实时性,进而可以在风险发生时及时对风险进行拦截。当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1为本发明实施例的风险防控方法的一种流程图;
图2为本发明实施例的风险防控方法的另一种流程图;
图3为本发明实施例的风险防控装置的一种结构图;
图4为本发明实施例的风险防控装置的另一种结构图;
图5为本发明实施例的电子设备的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行描述。
为了解决在风险防控过程中因获取风险数据的实时性差而导致的对风险防控不及时的问题,本发明实施例提供了一种风险防控方法、装置及电子设备,以提高风险检测的实时性,从而及时对风险进行防控。
下面首先对本发明实施例所提供的风险防控方法进行详细介绍。
参见图1,图1为本发明实施例的风险防控方法的一种流程图,包括以下步骤:
S101,获取待防控的第一业务日志中的异常行为数据,将异常行为数据中的异常行为特征添加至缓存数据库和特征数据库中。
本发明实施例中,需要防控的第一业务日志可以是Kafka中的日志,Kafka是一种高吞吐量的分布式发布订阅消息系统,它可以处理消费者规模的网站中的所有动作流数据,Kafka可以获取用户的业务日志。第一业务日志可以包括:用户的登录日志等,若用户进行异常登录,将生成相应的异常行为数据,异常行为数据包括:同一IP(InternetProtocol,互联网协议)地址的登录频次过多、登录的账号和密码不正确、同一账号异地登录、同一设备同时登录很多个账号等。异常行为数据为上述异常行为数据中的一种或多种,异常行为数据中的异常行为特征指的是异常行为数据中的特征,例如,若异常行为数据为同一IP地址的登录频次过多,那么异常行为数据中的异常行为特征为该IP地址;若异常行为数据为登录的账号和密码不正确,那么异常行为数据中的异常行为特征为该账号和密码;若异常行为数据为同一设备同时登录很多个账号,那么异常行为数据中的异常行为特征为该设备的设备号。
其中,缓存数据库可以为redis数据库,redis数据库为一种高速读写数据库,并且redis中的数据可以设置过期时间,在过期时间之后,数据将自动过期。特征数据库可以是mysql数据库,mysql是一种开放源代码的关系型数据库管理系统,mysql数据库系统使用最常用的数据库管理语言--结构化查询语言进行数据库管理,mysql数据库可以对数据进行长期存储。本发明实施例中,在得到异常行为数据中的异常行为特征之后,可以将异常行为特征添加至缓存数据库和特征数据库中。
S102,提取第一业务日志中符合缓存数据库中存储的特征拼接规则的黑名单数据,并将提取的黑名单数据添加至缓存数据库中。
本发明实施例中,缓存数据库中存储有特征拼接规则,第一业务日志中符合特征拼接规则的数据为黑名单数据,若提取到黑名单数据,可以将提取的黑名单数据添加至缓存数据库中,用于对获取的其他业务日志进行风险检测。下文将对特征拼接规则的生成方法进行详细说明,在此不再赘述。
S103,将异常行为特征中的黑标签添加至黑标签数据库中,从黑标签数据库中提取历史行为特征,从特征数据库中提取稳定行为特征,将稳定行为特征和历史行为特征进行组合,将组合后的特征信息添加至特征拼接规则中。
具体的,异常行为特征为多个特征的组合,例如,异常行为特征可以为IP地址+useragent+referer+api,异常行为特征中的黑标签可以为IP地址、设备号、帐号等。黑标签数据库中存储有多种黑标签,如果特征拼接规则中需要拼接IP地址维度,可以从黑标签数据库中提取IP地址作为历史行为特征。从异常行为特征中提取的稳定行为特征可以是useragent+referer+api,将从特征数据库中提取的稳定行为特征和历史行为特征进行组合,可以得到多种组合后的特征,并将多种组合后的特征信息添加至特征拼接规则中。因此,特征拼接规则是多种稳定行为特征和历史行为特征组合后的特征的集合。
S104,判断当前待防控业务请求是否符合异常行为特征或黑名单数据或特征拼接规则。
本发明实施例中,缓存数据库中存储的异常行为特征、黑名单数据和特征拼接规则是对业务日志进行分析之后实时更新的,可以根据缓存数据库中存储的异常行为特征、黑名单数据和特征拼接规则对当前待防控业务请求进行风险检测。具体的,判断当前待防控业务请求是否包括异常行为特征、是否符合黑名单数据或特征拼接规则。如果是,执行S105;如果否,执行S106。
S105,确定当前待防控业务请求存在风险,对当前待防控业务请求进行拦截。
本步骤中,当前待防控业务请求符合异常行为特征或黑名单数据或特征拼接规则,指的是当前待防控业务请求符合异常行为特征、黑名单数据、特征拼接规则中的任意一个或多个。在确定当前待防控业务请求存在风险时,对当前待防控业务请求进行拦截,可以预防风险的发生。
S106,确定当前待防控业务请求不存在风险,对当前待防控业务请求进行放行。
本步骤中,当前待防控业务请求不符合异常行为特征、黑名单数据和特征拼接规则,指的是,当前待防控业务请求对于异常行为特征、黑名单数据和特征拼接规则都不符合。
本发明实施例提供的风险防控方法,通过获取待防控的第一业务日志中的异常行为数据,将异常行为数据中的异常行为特征添加至缓存数据库和特征数据库中;提取第一业务日志中符合缓存数据库中存储的特征拼接规则的黑名单数据,并将提取的黑名单数据添加至缓存数据库中;将异常行为特征中的黑标签添加至黑标签数据库中,从黑标签数据库中提取历史行为特征,从特征数据库中提取稳定行为特征,将稳定行为特征和历史行为特征进行组合,将组合后的特征信息添加至特征拼接规则中;判断当前待防控业务请求是否符合异常行为特征或黑名单数据或特征拼接规则;若当前待防控业务请求符合异常行为特征或黑名单数据或特征拼接规则,确定当前待防控业务请求存在风险,对当前待防控业务请求进行拦截。本发明实施例中,由于缓存数据库中存储的异常行为特征、黑名单数据和特征拼接规则是动态生成的,因此,在对当前待防控业务请求进行风险判断时,可以提高风险判断的实时性,进而可以在风险发生时及时对风险进行拦截。
参见图2,图2为本发明实施例的风险防控方法的另一种流程图,在图1实施例的基础上,还包括以下步骤:
S201,获取当前待防控业务请求的第二业务日志,将第一业务日志更新为第二业务日志。
具体的,在通过对当前待防控业务请求进行风险判断时,生成相应的判断日志,即第二业务日志,可以将第二业务日志发送至Kafka中。第二业务日志包括拦截结果日志和放行结果日志,若对当前待防控业务请求进行拦截,则生成拦截结果日志;若对当前待防控业务请求进行放行,则生成放行结果日志。可以将生成的第二业务日志发送至Kafka中,从Kafka中获取第二业务日志,将S101中的第一业务日志更新为第二业务日志,之后,重新执行S101及之后的各个步骤。
这样,与S101形成闭环,使缓存数据库中的异常行为特征、黑名单数据、特征拼接规则更加实时、完整,进而在对当前待防控业务请求进行风险检测时,提高风险检测的实时性及准确性。
本发明的一种实现方式中,获取待防控的第一业务日志中的异常行为数据,包括:
通过spark streaming分析引擎对待防控的第一业务日志进行分析,提取第一业务日志中的异常行为数据。
本发明实施例中,可以通过spark streaming分析引擎对待防控的第一业务日志进行分析,spark streaming是一个准实时流处理框架,平时用户都有网上购物的经历,用户在网站上进行的各种操作通过spark streaming流处理技术可以被监控,用户的购买爱好、关注度、交易等可以进行行为分析。spark streaming的处理响应时间一般以分钟为单位,也就是说,处理实时数据的延迟时间是秒级别的。这样,将从异常行为数据中提取的异常行为特征存储至特征数据库中进行持久存储,根据持久存储的异常行为特征对风险进行检测,可以提高风险检测的实时性。
提取第一业务日志中符合缓存数据库中存储的特征拼接规则的黑名单数据,包括:
通过flink分析引擎提取第一业务日志中符合缓存数据库中存储的特征拼接规则的黑名单数据。
其中,flink是一个高效的、分布式的、基于Java实现的通用大数据分析引擎。flink利用基于内存的数据流并将迭代处理算法深度集成到了系统的运行时中,使得系统能够以极快的速度来处理数据密集型和迭代任务。flink的处理响应时间一般以毫秒为单位,因此,通过flink分析引擎对第一业务日志进行分析,可以提高对第一业务数据的分析速度,提高符合缓存数据库中存储的特征拼接规则的黑名单数据提取的实时性,从而提高风险检测的实时性,及时对风险进行预防。
可见,spark streaming和flink都支持实时计算,spark streaming处理实时数据的延迟时间比flink长,因此,通过spark streaming提取的异常行为特征更加反映历史行为,而通过flink提取的黑名单数据更加体现风险的实时性。因此,通过spark streaming和flink可以对异常行为进行跟踪和自适应,提高风险拦截的实时性。
本发明的一种实现方式中,在将提取的黑名单数据添加至缓存数据库中之后,还包括:
对黑名单数据设置过期时间,使黑名单数据在过期时间之后过期。
本发明实施例中,黑名单数据是根据缓存数据库中存储的特征拼接规则提取的数据,可以对黑名单数据设置过期时间,这样,在过期时间之后,黑名单数据将会过期,其中,过期时间可以为30s等,在此不做限定。通过设置过期时间,使缓存数据库中的黑名单数据及时得到更新,提高风险检测的实时性和准确性。
相应于上述方法实施例,本发明实施例还提供了一种风险防控装置,参见图3,图3为本发明实施例的风险防控装置的一种结构图,包括:
异常行为特征添加模块301,用于获取待防控的第一业务日志中的异常行为数据,将异常行为数据中的异常行为特征添加至缓存数据库和特征数据库中;
黑名单数据添加模块302,用于提取第一业务日志中符合缓存数据库中存储的特征拼接规则的黑名单数据,并将提取的黑名单数据添加至缓存数据库中;
特征拼接规则添加模块303,用于将异常行为特征中的黑标签添加至黑标签数据库中,从黑标签数据库中提取历史行为特征,从特征数据库中提取稳定行为特征,将稳定行为特征和历史行为特征进行组合,将组合后的特征信息添加至特征拼接规则中;
判断模块304,用于判断当前待防控业务请求是否符合异常行为特征或黑名单数据或特征拼接规则;
拦截模块305,用于若判断模块的判断结果为是时,确定当前待防控业务请求存在风险,对当前待防控业务请求进行拦截;
放行模块306,用于若判断模块的判断结果为否时,对当前待防控业务请求进行放行。
本发明实施例提供的风险防控装置,通过获取待防控的第一业务日志中的异常行为数据,将异常行为数据中的异常行为特征添加至缓存数据库和特征数据库中;提取第一业务日志中符合缓存数据库中存储的特征拼接规则的黑名单数据,并将提取的黑名单数据添加至缓存数据库中;将异常行为特征中的黑标签添加至黑标签数据库中,从黑标签数据库中提取历史行为特征,从特征数据库中提取稳定行为特征,将稳定行为特征和历史行为特征进行组合,将组合后的特征信息添加至特征拼接规则中;判断当前待防控业务请求是否符合异常行为特征或黑名单数据或特征拼接规则;若当前待防控业务请求符合异常行为特征或黑名单数据或特征拼接规则,确定当前待防控业务请求存在风险,对当前待防控业务请求进行拦截。本发明实施例中,由于缓存数据库中存储的异常行为特征、黑名单数据和特征拼接规则是动态生成的,因此,在对当前待防控业务请求进行风险判断时,可以提高风险判断的实时性,进而可以在风险发生时及时对风险进行拦截。
需要说明的是,本发明实施例的装置是应用上述风险防控方法的装置,则上述风险防控方法的所有实施例均适用于该装置,且均能达到相同或相似的有益效果。
参见图4,图4为本发明实施例的风险防控装置的另一种结构图,在图3实施例的基础上还包括:
循环模块401,用于获取当前待防控业务请求的第二业务日志,将第一业务日志更新为第二业务日志,返回获取待防控的第一业务日志中的异常行为数据,将异常行为数据中的异常行为特征添加至缓存数据库和特征数据库中的步骤。
本发明的一种实现方式中,异常行为特征添加模块具体用于,通过sparkstreaming分析引擎对待防控的第一业务日志进行分析,提取第一业务日志中的异常行为数据;
黑名单数据添加模块,具体用于通过flink分析引擎提取第一业务日志中符合缓存数据库中存储的特征拼接规则的黑名单数据。
可选的,本发明实施例的风险防控装置,还包括:
过期时间设置模块,用于对黑名单数据设置过期时间,使黑名单数据在过期时间之后过期。
本发明实施例还提供了一种电子设备,参见图5,图5为本发明实施例的电子设备的结构图,包括:处理器501、通信接口502、存储器503和通信总线504,其中,处理器501、通信接口502、存储器503通过通信总线504完成相互间的通信;
存储器503,用于存放计算机程序;
处理器501,用于执行存储器503上所存放的程序时,实现上述实施例中任一风险防控方法的步骤。
需要说明的是,上述电子设备提到的通信总线504可以是PCI(PeripheralComponent Interconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。该通信总线504可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口502用于上述电子设备与其他设备之间的通信。
存储器503可以包括RAM(Random Access Memory,随机存取存储器),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器501可以是通用处理器,包括:CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital SignalProcessing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
由以上可见,本发明实施例的电子设备中,处理器通过执行存储器上所存放的程序,获取待防控的第一业务日志中的异常行为数据,将异常行为数据中的异常行为特征添加至缓存数据库和特征数据库中;提取第一业务日志中符合缓存数据库中存储的特征拼接规则的黑名单数据,并将提取的黑名单数据添加至缓存数据库中;将异常行为特征中的黑标签添加至黑标签数据库中,从黑标签数据库中提取历史行为特征,从特征数据库中提取稳定行为特征,将稳定行为特征和历史行为特征进行组合,将组合后的特征信息添加至特征拼接规则中;判断当前待防控业务请求是否符合异常行为特征或黑名单数据或特征拼接规则;若当前待防控业务请求符合异常行为特征或黑名单数据或特征拼接规则,确定当前待防控业务请求存在风险,对当前待防控业务请求进行拦截。本发明实施例中,由于缓存数据库中存储的异常行为特征、黑名单数据和特征拼接规则是动态生成的,因此,在对当前待防控业务请求进行风险判断时,可以提高风险判断的实时性,进而可以在风险发生时及时对风险进行拦截。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一风险防控方法的步骤。
本发明实施例的计算机可读存储介质中存储的指令在计算机上运行时,通过获取待防控的第一业务日志中的异常行为数据,将异常行为数据中的异常行为特征添加至缓存数据库和特征数据库中;提取第一业务日志中符合缓存数据库中存储的特征拼接规则的黑名单数据,并将提取的黑名单数据添加至缓存数据库中;将异常行为特征中的黑标签添加至黑标签数据库中,从黑标签数据库中提取历史行为特征,从特征数据库中提取稳定行为特征,将稳定行为特征和历史行为特征进行组合,将组合后的特征信息添加至特征拼接规则中;判断当前待防控业务请求是否符合异常行为特征或黑名单数据或特征拼接规则;若当前待防控业务请求符合异常行为特征或黑名单数据或特征拼接规则,确定当前待防控业务请求存在风险,对当前待防控业务请求进行拦截。本发明实施例中,由于缓存数据库中存储的异常行为特征、黑名单数据和特征拼接规则是动态生成的,因此,在对当前待防控业务请求进行风险判断时,可以提高风险判断的实时性,进而可以在风险发生时及时对风险进行拦截。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一风险防控方法的步骤。
可见,本发明实施例的计算机程序产品,当其在计算机上运行时,通过获取待防控的第一业务日志中的异常行为数据,将异常行为数据中的异常行为特征添加至缓存数据库和特征数据库中;提取第一业务日志中符合缓存数据库中存储的特征拼接规则的黑名单数据,并将提取的黑名单数据添加至缓存数据库中;将异常行为特征中的黑标签添加至黑标签数据库中,从黑标签数据库中提取历史行为特征,从特征数据库中提取稳定行为特征,将稳定行为特征和历史行为特征进行组合,将组合后的特征信息添加至特征拼接规则中;判断当前待防控业务请求是否符合异常行为特征或黑名单数据或特征拼接规则;若当前待防控业务请求符合异常行为特征或黑名单数据或特征拼接规则,确定当前待防控业务请求存在风险,对当前待防控业务请求进行拦截。本发明实施例中,由于缓存数据库中存储的异常行为特征、黑名单数据和特征拼接规则是动态生成的,因此,在对当前待防控业务请求进行风险判断时,可以提高风险判断的实时性,进而可以在风险发生时及时对风险进行拦截。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如SSD(Solid State Disk,固态硬盘))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于风险防控装置、电子设备实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (11)
1.一种风险防控方法,其特征在于,所述方法包括:
获取待防控的第一业务日志中的异常行为数据,将所述异常行为数据中的异常行为特征添加至缓存数据库和特征数据库中;所述异常行为特征为:多个不同特征的组合;
提取所述第一业务日志中符合所述缓存数据库中存储的特征拼接规则的黑名单数据,并将提取的黑名单数据添加至所述缓存数据库中;
将所述异常行为特征中的黑标签添加至黑标签数据库中,从所述黑标签数据库中提取历史行为特征,从所述特征数据库中提取稳定行为特征,将所述稳定行为特征和所述历史行为特征进行组合,将组合后的特征信息添加至所述特征拼接规则中;所述特征拼接规则是:多种稳定行为特征和历史行为特征组合后的特征的集合;
判断当前待防控业务请求是否符合所述异常行为特征或所述黑名单数据或所述特征拼接规则;
若所述当前待防控业务请求符合所述异常行为特征或所述黑名单数据或所述特征拼接规则,确定所述当前待防控业务请求存在风险,对所述当前待防控业务请求进行拦截。
2.根据权利要求1所述的风险防控方法,其特征在于,在所述对所述当前待防控业务请求进行拦截之后,所述方法还包括:
获取所述当前待防控业务请求的第二业务日志,将所述第一业务日志更新为所述第二业务日志,返回所述获取待防控的第一业务日志中的异常行为数据,将所述异常行为数据中的异常行为特征添加至缓存数据库和特征数据库中的步骤。
3.根据权利要求1所述的风险防控方法,其特征在于,所述获取待防控的第一业务日志中的异常行为数据,包括:
通过spark streaming分析引擎对待防控的第一业务日志进行分析,提取所述第一业务日志中的异常行为数据;
所述提取所述第一业务日志中符合所述缓存数据库中存储的特征拼接规则的黑名单数据,包括:
通过flink分析引擎提取所述第一业务日志中符合所述缓存数据库中存储的特征拼接规则的黑名单数据。
4.根据权利要求1所述的风险防控方法,其特征在于,在所述将提取的黑名单数据添加至所述缓存数据库中之后,所述方法还包括:
对所述黑名单数据设置过期时间,使所述黑名单数据在所述过期时间之后过期。
5.根据权利要求1所述的风险防控方法,其特征在于,在所述判断当前待防控业务请求是否符合所述异常行为特征或所述黑名单数据或所述特征拼接规则之后,所述方法还包括:
若所述当前待防控业务请求不符合所述异常行为特征、所述黑名单数据和所述特征拼接规则,确定所述当前待防控业务请求不存在风险,对所述当前待防控业务请求进行放行。
6.一种风险防控装置,其特征在于,所述装置包括:
异常行为特征添加模块,用于获取待防控的第一业务日志中的异常行为数据,将所述异常行为数据中的异常行为特征添加至缓存数据库和特征数据库中;所述异常行为特征为:多个不同特征的组合;
黑名单数据添加模块,用于提取所述第一业务日志中符合所述缓存数据库中存储的特征拼接规则的黑名单数据,并将提取的黑名单数据添加至所述缓存数据库中;
特征拼接规则添加模块,用于将所述异常行为特征中的黑标签添加至黑标签数据库中,从所述黑标签数据库中提取历史行为特征,从所述特征数据库中提取稳定行为特征,将所述稳定行为特征和所述历史行为特征进行组合,将组合后的特征信息添加至所述特征拼接规则中;所述特征拼接规则是:多种稳定行为特征和历史行为特征组合后的特征的集合;
判断模块,用于判断当前待防控业务请求是否符合所述异常行为特征或所述黑名单数据或所述特征拼接规则;
拦截模块,用于若所述判断模块的判断结果为是时,确定所述当前待防控业务请求存在风险,对所述当前待防控业务请求进行拦截。
7.根据权利要求6所述的风险防控装置,其特征在于,所述装置还包括:
循环模块,用于获取所述当前待防控业务请求的第二业务日志,将所述第一业务日志更新为所述第二业务日志,返回所述获取待防控的第一业务日志中的异常行为数据,将所述异常行为数据中的异常行为特征添加至缓存数据库和特征数据库中的步骤。
8.根据权利要求6所述的风险防控装置,其特征在于,所述异常行为特征添加模块具体用于,通过spark streaming分析引擎对待防控的第一业务日志进行分析,提取所述第一业务日志中的异常行为数据;
所述黑名单数据添加模块,具体用于通过flink分析引擎提取所述第一业务日志中符合所述缓存数据库中存储的特征拼接规则的黑名单数据。
9.根据权利要求6所述的风险防控装置,其特征在于,所述装置还包括:
过期时间设置模块,用于对所述黑名单数据设置过期时间,使所述黑名单数据在所述过期时间之后过期。
10.根据权利要求6所述的风险防控装置,其特征在于,所述装置还包括:
放行模块,用于若所述判断模块的判断结果为否时,确定所述当前待防控业务请求不存在风险,对所述当前待防控业务请求进行放行。
11.一种电子设备,其特征在于,包括:处理器、通信接口、存储器和通信总线,其中,所述处理器、所述通信接口、所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行所述存储器上所存放的程序时,实现权利要求1~5任一所述的风险防控方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711423469.6A CN108052824B (zh) | 2017-12-25 | 2017-12-25 | 一种风险防控方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711423469.6A CN108052824B (zh) | 2017-12-25 | 2017-12-25 | 一种风险防控方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108052824A CN108052824A (zh) | 2018-05-18 |
| CN108052824B true CN108052824B (zh) | 2020-06-19 |
Family
ID=62131775
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711423469.6A Active CN108052824B (zh) | 2017-12-25 | 2017-12-25 | 一种风险防控方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108052824B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109711973A (zh) * | 2018-11-09 | 2019-05-03 | 深圳壹账通智能科技有限公司 | 风险评估方法及装置、存储介质、计算机设备 |
| CN110288273B (zh) * | 2019-04-19 | 2024-03-22 | 平安科技(深圳)有限公司 | 一种信息提示方法、装置、电子设备及存储介质 |
| CN111078757B (zh) * | 2019-12-19 | 2023-09-08 | 武汉极意网络科技有限公司 | 一种自主学习的业务风控规则引擎系统及风险评估方法 |
| CN112162993A (zh) * | 2020-11-10 | 2021-01-01 | 平安普惠企业管理有限公司 | 黑名单的数据更新方法、装置以及计算机设备 |
| CN113159974A (zh) * | 2021-04-26 | 2021-07-23 | 南京知风之自网络科技有限公司 | 保险智能风控系统 |
| CN117118761B (zh) * | 2023-10-25 | 2024-04-09 | 中汽智联技术有限公司 | 一种贯穿智能汽车信息安全的纵深防御系统和方法 |
| CN117857182B (zh) * | 2024-01-10 | 2024-07-30 | 江苏金融租赁股份有限公司 | 一种服务器异常访问的处理方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104731816A (zh) * | 2013-12-23 | 2015-06-24 | 阿里巴巴集团控股有限公司 | 一种处理异常业务数据的方法和装置 |
| CN106453357A (zh) * | 2016-11-01 | 2017-02-22 | 北京红马传媒文化发展有限公司 | 一种网络购票异常行为的识别方法、系统及设备 |
| CN106649831A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇艺世纪科技有限公司 | 一种数据过滤方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016224871A (ja) * | 2015-06-03 | 2016-12-28 | 富士通株式会社 | 異常検出プログラム、異常検出装置及び異常検出方法 |
-
2017
- 2017-12-25 CN CN201711423469.6A patent/CN108052824B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104731816A (zh) * | 2013-12-23 | 2015-06-24 | 阿里巴巴集团控股有限公司 | 一种处理异常业务数据的方法和装置 |
| CN106453357A (zh) * | 2016-11-01 | 2017-02-22 | 北京红马传媒文化发展有限公司 | 一种网络购票异常行为的识别方法、系统及设备 |
| CN106649831A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇艺世纪科技有限公司 | 一种数据过滤方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108052824A (zh) | 2018-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108052824B (zh) | 一种风险防控方法、装置及电子设备 | |
| CN111752799B (zh) | 一种业务链路跟踪方法、装置、设备及储存介质 | |
| US8321934B1 (en) | Anti-phishing early warning system based on end user data submission statistics | |
| US10958657B2 (en) | Utilizing transport layer security (TLS) fingerprints to determine agents and operating systems | |
| US20210092160A1 (en) | Data set creation with crowd-based reinforcement | |
| US20210136121A1 (en) | System and method for creation and implementation of data processing workflows using a distributed computational graph | |
| CN108334641B (zh) | 采集用户行为数据的方法、系统、电子设备、存储介质 | |
| CN110198248B (zh) | 检测ip地址的方法和装置 | |
| CN107528818B (zh) | 媒体文件的数据处理方法和装置 | |
| CN108156141B (zh) | 一种实时数据识别方法、装置及电子设备 | |
| CN107784205B (zh) | 一种用户产品审核的方法、装置、服务器和存储介质 | |
| CN110059269B (zh) | 页面追踪方法、装置、电子设备和计算机可读存储介质 | |
| CN107835132B (zh) | 一种流量来源跟踪的方法及装置 | |
| US20110060789A1 (en) | File transfer security system and method | |
| US10560473B2 (en) | Method of network monitoring and device | |
| CN109150790B (zh) | Web页面爬虫识别方法和装置 | |
| CN108924159A (zh) | 一种报文特征识别库的验证方法与装置 | |
| CN114189383B (zh) | 封禁方法、装置、电子设备、介质和计算机程序产品 | |
| CN114208114A (zh) | 每参与者的多视角安全上下文 | |
| CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
| US11557005B2 (en) | Addressing propagation of inaccurate information in a social networking environment | |
| CN108650123B (zh) | 故障信息记录方法、装置、设备和存储介质 | |
| CN107612946B (zh) | Ip地址的检测方法、检测装置和电子设备 | |
| CN111078757A (zh) | 一种自主学习的业务风控规则引擎系统及风险评估方法 | |
| CN113778709B (zh) | 接口调用方法、装置、服务器及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |