CN110210227B - 风险检测方法、装置、设备和存储介质 - Google Patents
风险检测方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN110210227B CN110210227B CN201910499796.2A CN201910499796A CN110210227B CN 110210227 B CN110210227 B CN 110210227B CN 201910499796 A CN201910499796 A CN 201910499796A CN 110210227 B CN110210227 B CN 110210227B
- Authority
- CN
- China
- Prior art keywords
- target node
- node
- sub
- graph structure
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
Abstract
本发明实施例提出一种风险检测方法、装置、设备和存储介质,其中的方法包括获取目标节点的子图结构,子图结构包括目标节点在预设时间段内的多个时间点的节点邻居快照,节点邻居快照包括目标节点与目标节点的至少一个关联节点的关联关系;根据子图结构获取目标节点的时序向量列表;将时序向量列表输入风险检测模型,得到目标节点的风险检测结果。本发明实施例的方法可以融合多源异构威胁情报数据,由此构建由节点特征和节点关联关系在长时间表现下形成的时序关联网络,通过关联学习和时间序列预测,实现节点的场景化风险预测。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种风险检测方法、装置、设备和存储介质。
背景技术
随着信息量的日益庞大,恶意文档、恶意网页、恶意执行文件等越来越多,因此,对情报信息进行风险检测,以提高信息安全性,显得极为重要。对情报信息进行风险检测,可以通过人工构造特征来提取图结构的信息。例如:人工构造诸如度中心性、介数中心性和紧密中心性等的衡量指标,利用设备关联的账号数等等统计值,并结合关联网络某个节点邻域的特性,进行风险分析。这种方案基于人工构造的特征,因此不能全面反映出图的结构和拓扑语义,且不能很好地处理关联网络之中历史积累的情报信息。对情报信息进行风险检测,还可以采用联通子图算法或者社区算法划分社区,通过分析每个社区的风险度,定义出风险用户。其缺点是通常需要迭代计算,在海量数据集上计算开销大,结果难以收敛,可解释性较差。
发明内容
本发明实施例提供一种风险检测方法、装置、设备和存储介质,以解决现有技术中的一个或多个技术问题。
第一方面,本发明实施例提供了一种风险检测方法,包括:
获取目标节点的子图结构,所述子图结构包括所述目标节点在预设时间段内的多个时间点的节点邻居快照,所述节点邻居快照包括所述目标节点与所述目标节点的至少一个关联节点的关联关系;
根据所述子图结构获取所述目标节点的时序向量列表;
将所述时序向量列表输入风险检测模型,得到所述目标节点的风险检测结果。
在一种实施方式中,根据所述子图结果获取所述目标节点的时序向量列表,包括:
对所述目标节点在所述时间点的节点邻居快照进行特征提取,得到所述目标节点在所述时间点的特征向量;
基于时间顺序拼接所述目标节点在每个所述时间点的特征向量,得到所述时序向量列表。
在一种实施方式中,根据所述子图结构获取所述目标节点的时序向量列表,包括:
根据所述目标节点在所述时间点的节点邻居快照,获取多个属性向量;
按照各所述属性向量的类型,聚合各所述属性向量,得到所述目标节点在所述时间点的特征向量;
基于时间顺序拼接所述目标节点在每个所述时间点的特征向量,得到所述时序向量列表。
在一种实施方式中,获取目标节点的子图结构,包括:
在所述预设时间段内采样多种类型的情报数据;
基于各所述情报数据生成多个关系子图,所述关系子图包括多个节点、各节点之间的关联关系、所述关联关系的建立时间,所述节点包括所述目标节点和所述目标节点的关联节点;
基于至少一个所述关系子图,获取所述目标节点的子图结构。
在一种实施方式中,基于至少一个所述关系子图,获取所述目标节点的子图结构,包括:
根据至少一个所述关系子图,对所述目标节点在每个所述时间点的关联关系进行检索,得到所述目标节点在每个所述时间点的节点邻居快照。
第二方面,本发明实施例提供一种风险检测装置,包括:
子图结构获取模块,用于获取目标节点的子图结构,所述子图结构包括所述目标节点在预设时间段内的多个时间点的节点邻居快照,所述节点邻居快照包括所述目标节点与所述目标节点的至少一个关联节点的关联关系;
时序向量列表获取模块,用于根据所述子图结构获取所述目标节点的时序向量列表;
风险检测结果得到模块,用于将所述时序向量列表输入风险检测模型,得到所述目标节点的风险检测结果。
在一种实施方式中,所述时序向量列表获取模块包括:
特征提取子模块,用于对所述目标节点在所述时间点的节点邻居快照进行特征提取,得到所述目标节点在所述时间点的特征向量;
第一拼接子模块,用于基于时间顺序拼接所述目标节点在每个所述时间点的特征向量,得到所述时序向量列表。
在一种实施方式中,所述时序向量列表获取模块包括:
属性向量获取子模块,用于根据所述目标节点在所述时间点的节点邻居快照,获取多个属性向量;
聚合子模块,用于按照各所述属性向量的类型,聚合各所述属性向量,得到所述目标节点在所述时间点的特征向量;
第二拼接子模块,用于基于时间顺序拼接所述目标节点在每个所述时间点的特征向量,得到所述时序向量列表。
在一种实施方式中,所述子图结构获取包括:
采样子模块,用于在所述预设时间段内采样多种类型的情报数据;
生成子模块,用于基于各所述情报数据生成多个关系子图,所述关系子图包括多个节点、各节点之间的关联关系、所述关联关系的建立时间,所述节点包括所述目标节点和所述目标节点的关联节点;
子图结构获取子模块,用于基于至少一个所述关系子图,获取所述目标节点的子图结构。
在一种实施方式中,所述子图结构获取子模块还用于:
根据至少一个所述关系子图,对所述目标节点在每个所述时间点的关联关系进行检索,得到所述目标节点在每个所述时间点的节点邻居快照。
第三方面,本发明实施例提供了一种风险检测设备,所述设备的功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一个可能的设计中,所述设备的结构中包括处理器和存储器,所述存储器用于存储支持所述设备执行上述风险检测方法的程序,所述处理器被配置为用于执行所述存储器中存储的程序。所述设备还可以包括通信接口,用于与其他设备或通信网络通信。
第四方面,本发明实施例提供了一种计算机可读存储介质,用于存储风险检测设备所用的计算机软件指令,其包括用于执行上述风险检测方法所涉及的程序。
本发明实施例的方法可以融合多源异构威胁情报数据,由此构建由节点特征和节点关联关系在长时间表现下形成的时序关联网络,通过关联学习和时间序列预测,实现节点的场景化风险预测。
上述概述仅仅是为了说明书的目的,并不意图以任何方式进行限制。除上述描述的示意性的方面、实施方式和特征之外,通过参考附图和以下的详细描述,本发明进一步的方面、实施方式和特征将会是容易明白的。
附图说明
在附图中,除非另外规定,否则贯穿多个附图相同的附图标记表示相同或相似的部件或元素。这些附图不一定是按照比例绘制的。应该理解,这些附图仅描绘了根据本发明公开的一些实施方式,而不应将其视为是对本发明范围的限制。
图1示出根据本发明实施例的风险检测方法的流程图。
图2示出本发明实施例中的一个示例中的风险检测系统的结构框图。
图3示出根据本发明实施例的一种实施方式的风险检测方法的流程图。
图4示出根据本发明实施例的另一种实施方式的风险检测方法的流程图。
图5示出根据本发明实施例的风险检测装置的结构框图。
图6示出根据本发明实施例的一种实施方式中的风险检测装置的结构框图。
图7示出根据本发明实施例的另一种实施方式中的风险检测装置的结构框图。
图8示出根据本发明实施例的又一种实施方式中的风险检测装置的结构框图。
图9示出根据本发明实施例的风险检测设备的结构框图。
具体实施方式
在下文中,仅简单地描述了某些示例性实施例。正如本领域技术人员可认识到的那样,在不脱离本发明的精神或范围的情况下,可通过各种不同方式修改所描述的实施例。因此,附图和描述被认为本质上是示例性的而非限制性的。
图1示出根据本发明实施例的风险检测方法的流程图。图2示出根据本发明实施例的风险检测系统的结构框图。在一种实施方式中,风险检测系统可以用来执行本发明实施例的风险检测方法。
如图1所示,本发明实施例的风险检测方法可以包括:
步骤S101、获取目标节点的子图结构,所述子图结构包括所述目标节点在预设时间段内的多个时间点的节点邻居快照,所述节点邻居快照包括所述目标节点与所述目标节点的至少一个关联节点的关联关系。
本实施例中,节点可以为具备明确物理含义并且有若干风险特征的节点。例如:账号、设备或手机号等。风险特征包括节点自身属性(如节点是否活跃)和业务风险标签(如有风险或无风险的标签)。节点包括目标节点和关联节点。关联关系包括节点之间具备明确物理含义且可能形成团伙的关系。例如:账号与账号之间的活动邀请或好友关系;设备与设备通过无线连接形成的关系;账号与设备通过账号登录设备形成的关系等。也就是说,子图结构可以用来表征预设时间段内,目标节点的时序特点和关联网络特点。
在一种实施方式中,在步骤S101中可以包括:在所述预设时间段内采样多种类型的情报数据;基于各所述情报数据生成多个关系子图,所述关系子图包括多个节点、各节点之间的关联关系、所述关联关系的建立时间,所述节点包括所述目标节点和所述目标节点的关联节点;基于至少一个所述关系子图,获取所述目标节点的子图结构。
情报数据因来源不同,其类型也不同。可以从不同的情报数据源获取多种类型的情报数据。在一个示例中,在预设时间段内,按固定的采样间隔对多个情报数据源的情报数据(多源数据)的日志数据进行采样;进一步地,从采样得到的多源数据中提取多个关系子图。每个关系子图可以用来表示一种类型的情报数据中的节点、节点之间的关联关系,以及关联关系的建立时间。其中,关联关系的建立时间即为本发明实施例的时间点。多个关系子图形成了多源数据的时空关联网络。
在一个示例中,如图2所示,风险检测系统可以包括威胁情报数据源融合处理模块和图数据库存储模块。其中,威胁情报数据源融合处理模块可以用来对多个情报数据源的情报数据进行预处理和有效融合。根据情报数据源的不同,可以采取不同的预处理工作,形成多个情报数据流,定期批量输出到图数据库存储模块中的图存储层,以便安全高效地存取和管理。
其中,预处理工作可以包括清洗、筛选、去重等工作,以对情报数据进行快速、实时的采样、拆分、组合和清理。其中,清洗可以去除情报数据中的无用数据,如乱码或格式错误的数据;筛选可以基于专家经验筛选具有安全意义的字段。
图数据库存储模块可以包括图数据库的图存储层和图存储层之上的联机事务处理过程(On-Line Transaction Processing,OLTP)和联机分析处理过程(On-LineAnalytical Processing,OLAP)层。图数据库具有对关联关系数据进行存储整合、处理和分析计算能力。其中,图存储层采用分布式文件系统存储节点和边的数据列表。OLTP和OLAP层对于时序设备账号网络数据图进行分析挖掘。
在一个示例中,如图2所示,风险检测系统可以包括图网络算法分析模块。图网络算法分析模块包括关联学习层。关联学习层可以依托图数据库,按时间点对每个节点进行快照生成。例如:在时空关联网络之中,基于一个或多个包含目标节点的关联子图,关联学习层对目标节点在每个时间点的关联关系进行邻居检索,并基于关联程度为对应的关联节点赋予相应的权重,进而生成该节点在该时间点的节点邻居快照。
如图1所示,本发明实施例的风险检测方法还可以包括:
步骤S102、根据所述子图结构获取所述目标节点的时序向量列表。
在一个示例中,如图2所示,图网络算法分析模块包括网络表示学习层,网络表示学习层可以通过低维状态的时序向量列表表示子图结构中的每个目标节点和关联节点的属性信息、关联关系和时间信息(关联关系建立的时间点)。
在一种实施方式中,如图3所示,在步骤S102中可以包括:
步骤S301、对所述目标节点在所述时间点的节点邻居快照进行特征提取,得到所述目标节点在所述时间点的特征向量;
步骤S302、基于时间顺序拼接所述目标节点在每个所述时间点的特征向量,得到所述时序向量列表。
例如:通过图卷积或其他图嵌入技术,提取出节点邻居快照的表示向量。进行特征嵌入处理之后,生成该目标节点在相应时间点的特征向量。通过拼接目标节点每个时间点的特征向量,最终生成该目标节点的时序向量列表。
在一种实施方式中,如图4所示,在步骤S102中可以包括:
步骤S401、根据所述目标节点在所述时间点的节点邻居快照,获取多个属性向量;
步骤S402、按照各所述属性向量的类型,聚合各所述属性向量,得到所述目标节点在所述时间点的特征向量;
步骤S403、基于时间顺序拼接所述目标节点在每个所述时间点的特征向量,得到所述时序向量列表。
例如:一个账号A在时间点t1的属性向量为:[属性1:活跃度=30;属性2:盗号风险=否;t1时的节点邻居有设备1(属性1:风险设备=是)、设备2(属性1:风险设备=否)、手机号1(属性1:风险=否)、手机号2(属性1:风险=否)]。
对账号A在时间点t1的属性向量进行聚合后,得到:[属性1:活跃度=30;属性2:盗号风险=否;属性3:t1;属性4:节点设备数=2;属性5:风险设备数=1;属性6:节点手机号数=2;属性7:手机号风险比例=0%]。进而,账号A在时间点t1的特征向量为(30,0,t1,2,1,2,0)。
用相类似的方法,可以分别得到账号A在时间点t2的特征向量为:(32,0,t2,2,1,2,0),账号A在时间点t3的特征向量为(30,0,t3,2,1,2,0)。
可以按照时间点的时间属性拼接各特征向量,得到账号A的时序向量列表为:[(30,0,t1,2,1,2,0),(32,0,t2,2,1,2,0),(30,0,t3,2,1,2,0)]。
如图1所示,本发明实施例的风险检测方法还可以包括:
步骤S103、将所述时序向量列表输入风险检测模型,得到所述目标节点的风险检测结果。
可以将多个目标节点的时序向量列表作为样本数据训练风险检测模型,然后,在应用过程中,可以将作为检测对象的目标节点的时序向量列表输入训练好的风险检测模型,进而得到该目标节点的风险检测结果。
其中,风险检测模型可以为循环神经网络。循环神经网络可以用来处理可变长度序列数据。通过在风险检测模型的不同部分共享参数,风险检测模型可以在时间上共享不同序列长度和不同位置的统计强度。风险设备或者风险账号的行为事件之间,通常存在隐藏关联性和相似性。例如潜伏养号、模拟真实用户行为、以及最终进行欺诈行为等。当相似信息的特定部分在时序向量列表内多个位置出现时,共享参数的风险检测模型就能够预测出目标节点(账号或设备)存在风险,以及风险程度。可以将风险程度作为风险检测结果。
在一个示例中,如图2所示,图网络算法分析模块包括时间序列预测层,时间序列预测层可以用来执行步骤S103中的方法。
在一个示例中,如图2所示,本发明实施例的风险检测系统还可以包括安全能力服务模块。安全能力服务模块可以用来针对不同的业务场景,进行针对性的特征提取和模型训练,进而实现输出对应业务场景下的风险情报的能力。
本发明实施例的风险检测方法,可以从多个情报数据源中获取多种类型的海量情报数据,挖掘历史不断累积的关联关系数据,并进行融合处理,生成包括多个关系子图的时序关联网络,可以深化信息在时空维度的轨迹变迁规律;进一步地,可以从关系子图中获取目标节点在预设时间段内的子图结构,并对子图结构进行向量表示,以得到可以表征目标节点的属性信息、时序信息和结构信息的时序向量列表。通过将时序向量列表输入循环神经网络,训练机器学习模型,得到风险检测模型,进而进行风险检测或风险预测,可以从海量的节点标签、节点关系和节点行为规律中,检测出潜在的风险。
图5示出根据本发明实施例的风险检测装置的结果框图。如图5所示,该装置可以包括:
子图结构获取模块501,用于获取目标节点的子图结构,所述子图结构包括所述目标节点在预设时间段内的多个时间点的节点邻居快照,所述节点邻居快照包括所述目标节点与所述目标节点的至少一个关联节点的关联关系;
时序向量列表获取模块502,用于根据所述子图结构获取所述目标节点的时序向量列表;
风险检测结果得到模块503,用于将所述时序向量列表输入风险检测模型,得到所述目标节点的风险检测结果。
在一种实施方式中,如图6所示,时序向量列表获取模块502可以包括:
特征提取子模块601,用于对所述目标节点在所述时间点的节点邻居快照进行特征提取,得到所述目标节点在所述时间点的特征向量;
第一拼接子模块602,用于基于时间顺序拼接所述目标节点在每个所述时间点的特征向量,得到所述时序向量列表。
在一种实施方式中,如图7所示,时序向量列表获取模块502可以包括:
属性向量获取子模块701,用于根据所述目标节点在所述时间点的节点邻居快照,获取多个属性向量;
聚合子模块702,用于按照各所述属性向量的类型,聚合各所述属性向量,得到所述目标节点在所述时间点的特征向量;
第二拼接子模块703,用于基于时间顺序拼接所述目标节点在每个所述时间点的特征向量,得到所述时序向量列表。
在一种实施方式中,如图8所示,子图结构获取501可以包括:
采样子模块801,用于在所述预设时间段内采样多种类型的情报数据;
生成子模块802,用于基于各所述情报数据生成多个关系子图,所述关系子图包括多个节点、各节点之间的关联关系、所述关联关系的建立时间,所述节点包括所述目标节点和所述目标节点的关联节点;
子图结构获取子模块803,用于基于至少一个所述关系子图,获取所述目标节点的子图结构。
在一种实施方式中,子图结构获取子模块803还可以用于:
根据至少一个所述关系子图,对所述目标节点在每个所述时间点的关联关系进行检索,得到所述目标节点在每个所述时间点的节点邻居快照。
发明实施例各装置中的各模块的功能可以参见上述方法中的对应描述,在此不再赘述。
图9示出根据本发明实施例的风险检测设备的结构框图。如图9所示,该设备可以包括:存储器901和处理器902,存储器901内存储有可在处理器902上运行的计算机程序。所述处理器902执行所述计算机程序时实现上述实施例中的风险检测方法。所述存储器901和处理器902的数量可以为一个或多个。
该设备还可以包括:
通信接口903,用于与外界设备进行通信,进行数据交互传输。
存储器901可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
如果存储器901、处理器902和通信接口903独立实现,则存储器901、处理器902和通信接口903可以通过总线相互连接并完成相互间的通信。所述总线可以是工业标准体系结构(ISA,Industry Standard Architecture)总线、外部设备互连(PCI,PeripheralComponent Interconnect)总线或扩展工业标准体系结构(EISA,Extended IndustryStandard Architecture)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
可选的,在具体实现上,如果存储器901、处理器902及通信接口903集成在一块芯片上,则存储器901、处理器902及通信接口903可以通过内部接口完成相互间的通信。
本发明实施例提供了一种计算机可读存储介质,其存储有计算机程序,该程序被处理器执行时实现上述实施例中任一所述的方法。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读存储介质中。所述存储介质可以是只读存储器,磁盘或光盘等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到其各种变化或替换,这些都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (12)
1.一种风险检测方法,其特征在于,包括:
获取目标节点的子图结构,所述子图结构包括所述目标节点在预设时间段内的多个时间点的节点邻居快照,所述节点邻居快照包括所述目标节点与所述目标节点的至少一个关联节点的风险特征;所述目标节点和所述关联节点包括账号、设备和手机号中的至少一种;
根据所述子图结构获取所述目标节点的时序向量列表;所述时序向量列表用于表示所述子图结构中的每个所述目标节点和所述关联节点的属性信息、关联关系和时间信息;
将所述时序向量列表输入风险检测模型,得到所述目标节点的风险检测结果。
2.根据权利要求1所述的方法,其特征在于,根据所述子图结果获取所述目标节点的时序向量列表,包括:
对所述目标节点在所述时间点的节点邻居快照进行特征提取,得到所述目标节点在所述时间点的特征向量;
基于时间顺序拼接所述目标节点在每个所述时间点的特征向量,得到所述时序向量列表。
3.根据权利要求1所述的方法,其特征在于,根据所述子图结构获取所述目标节点的时序向量列表,包括:
根据所述目标节点在所述时间点的节点邻居快照,获取多个属性向量;
按照各所述属性向量的类型,聚合各所述属性向量,得到所述目标节点在所述时间点的特征向量;
基于时间顺序拼接所述目标节点在每个所述时间点的特征向量,得到所述时序向量列表。
4.根据权利要求1至3任一项所述的方法,其特征在于,获取目标节点的子图结构,包括:
在所述预设时间段内采样多种类型的情报数据;
基于各所述情报数据生成多个关系子图,所述关系子图包括多个节点、各节点之间的关联关系、所述关联关系的建立时间,所述节点包括所述目标节点和所述目标节点的关联节点;
基于至少一个所述关系子图,获取所述目标节点的子图结构。
5.根据权利要求4所述的方法,其特征在于,基于至少一个所述关系子图,获取所述目标节点的子图结构,包括:
根据至少一个所述关系子图,对所述目标节点在每个所述时间点的关联关系进行检索,得到所述目标节点在每个所述时间点的节点邻居快照。
6.一种风险检测装置,其特征在于,包括:
子图结构获取模块,用于获取目标节点的子图结构,所述子图结构包括所述目标节点在预设时间段内的多个时间点的节点邻居快照,所述节点邻居快照包括所述目标节点与所述目标节点的至少一个关联节点的风险特征;所述目标节点和所述关联节点包括账号、设备和手机号中的至少一种;
时序向量列表获取模块,用于根据所述子图结构获取所述目标节点的时序向量列表;所述时序向量列表用于表示所述子图结构中的每个所述目标节点和所述关联节点的属性信息、关联关系和时间信息;
风险检测结果得到模块,用于将所述时序向量列表输入风险检测模型,得到所述目标节点的风险检测结果。
7.根据权利要求6所述的装置,其特征在于,所述时序向量列表获取模块包括:
特征提取子模块,用于对所述目标节点在所述时间点的节点邻居快照进行特征提取,得到所述目标节点在所述时间点的特征向量;
第一拼接子模块,用于基于时间顺序拼接所述目标节点在每个所述时间点的特征向量,得到所述时序向量列表。
8.根据权利要求6所述的装置,其特征在于,所述时序向量列表获取模块包括:
属性向量获取子模块,用于根据所述目标节点在所述时间点的节点邻居快照,获取多个属性向量;
聚合子模块,用于按照各所述属性向量的类型,聚合各所述属性向量,得到所述目标节点在所述时间点的特征向量;
第二拼接子模块,用于基于时间顺序拼接所述目标节点在每个所述时间点的特征向量,得到所述时序向量列表。
9.根据权利要求6至8任一项所述的装置,其特征在于,所述子图结构获取包括:
采样子模块,用于在所述预设时间段内采样多种类型的情报数据;
生成子模块,用于基于各所述情报数据生成多个关系子图,所述关系子图包括多个节点、各节点之间的关联关系、所述关联关系的建立时间,所述节点包括所述目标节点和所述目标节点的关联节点;
子图结构获取子模块,用于基于至少一个所述关系子图,获取所述目标节点的子图结构。
10.根据权利要求9所述的装置,其特征在于,所述子图结构获取子模块还用于:
根据至少一个所述关系子图,对所述目标节点在每个所述时间点的关联关系进行检索,得到所述目标节点在每个所述时间点的节点邻居快照。
11.一种风险检测设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1至5中任一项所述的方法。
12.一种计算机可读存储介质,其存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910499796.2A CN110210227B (zh) | 2019-06-11 | 2019-06-11 | 风险检测方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910499796.2A CN110210227B (zh) | 2019-06-11 | 2019-06-11 | 风险检测方法、装置、设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110210227A CN110210227A (zh) | 2019-09-06 |
CN110210227B true CN110210227B (zh) | 2021-05-14 |
Family
ID=67791923
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910499796.2A Active CN110210227B (zh) | 2019-06-11 | 2019-06-11 | 风险检测方法、装置、设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110210227B (zh) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110880040A (zh) * | 2019-11-08 | 2020-03-13 | 支付宝(杭州)信息技术有限公司 | 自动生成累积特征的方法及系统 |
CN111047332B (zh) * | 2019-11-13 | 2021-05-07 | 支付宝(杭州)信息技术有限公司 | 模型训练和风险识别方法、装置及设备 |
CN111008198B (zh) * | 2019-11-22 | 2023-05-16 | 广联达科技股份有限公司 | 业务数据获取方法、装置、存储介质、电子设备 |
CN111046019A (zh) * | 2019-11-22 | 2020-04-21 | 北京网聘咨询有限公司 | 数据库安全隐患排查方法及装置 |
CN111080304B (zh) * | 2019-12-12 | 2022-06-03 | 支付宝(杭州)信息技术有限公司 | 一种可信关系识别方法、装置及设备 |
CN111260618B (zh) * | 2020-01-13 | 2023-08-25 | 北京妙医佳健康科技集团有限公司 | 病灶检测系统构建的方法、装置及电子设备 |
CN111343161B (zh) * | 2020-02-14 | 2021-12-10 | 平安科技(深圳)有限公司 | 异常信息处理节点分析方法、装置、介质及电子设备 |
CN111405563B (zh) * | 2020-03-24 | 2021-07-13 | 支付宝(杭州)信息技术有限公司 | 保护用户隐私的风险检测方法和装置 |
CN111538989B (zh) * | 2020-04-22 | 2022-08-26 | 四川大学 | 基于图卷积网络和主题模型的恶意代码同源性分析方法 |
CN111640005A (zh) * | 2020-05-28 | 2020-09-08 | 深圳壹账通智能科技有限公司 | 数据分析方法、装置、计算机设备及存储介质 |
CN111932273B (zh) * | 2020-09-28 | 2021-02-19 | 支付宝(杭州)信息技术有限公司 | 一种交易风险识别方法、装置、设备及介质 |
CN113627950B (zh) * | 2021-06-25 | 2023-12-29 | 淮安集略科技有限公司 | 基于动态图的用户交易特征提取的方法和系统 |
CN113744882B (zh) * | 2021-09-17 | 2023-09-19 | 腾讯科技(深圳)有限公司 | 目标区域的确定方法、装置、设备以及存储介质 |
CN113989043A (zh) * | 2021-10-28 | 2022-01-28 | 支付宝(杭州)信息技术有限公司 | 一种事件的风险识别方法、装置及设备 |
CN113934453B (zh) * | 2021-12-15 | 2022-03-22 | 深圳竹云科技有限公司 | 风险检测方法、装置及存储介质 |
CN115718870A (zh) * | 2022-09-08 | 2023-02-28 | 中国电信股份有限公司 | 检测方法、装置、设备及存储介质 |
CN116070916B (zh) * | 2023-03-06 | 2023-06-16 | 支付宝(杭州)信息技术有限公司 | 数据处理方法、装置及设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107729465A (zh) * | 2017-10-12 | 2018-02-23 | 杭州中奥科技有限公司 | 人物危险度的评估方法、装置及电子设备 |
US10014076B1 (en) * | 2015-02-06 | 2018-07-03 | Brain Trust Innovations I, Llc | Baggage system, RFID chip, server and method for capturing baggage data |
CN109003089A (zh) * | 2018-06-28 | 2018-12-14 | 中国工商银行股份有限公司 | 风险识别方法及装置 |
CN109657918A (zh) * | 2018-11-19 | 2019-04-19 | 平安科技(深圳)有限公司 | 关联评估对象的风险预警方法、装置和计算机设备 |
CN109685647A (zh) * | 2018-12-27 | 2019-04-26 | 阳光财产保险股份有限公司 | 信贷欺诈检测方法及其模型的训练方法、装置和服务器 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101639793A (zh) * | 2009-08-19 | 2010-02-03 | 南京邮电大学 | 一种基于支持向量回归机的网格负载预测方法 |
CN105426375B (zh) * | 2014-09-22 | 2019-01-18 | 阿里巴巴集团控股有限公司 | 一种关系网络的计算方法及装置 |
-
2019
- 2019-06-11 CN CN201910499796.2A patent/CN110210227B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10014076B1 (en) * | 2015-02-06 | 2018-07-03 | Brain Trust Innovations I, Llc | Baggage system, RFID chip, server and method for capturing baggage data |
CN107729465A (zh) * | 2017-10-12 | 2018-02-23 | 杭州中奥科技有限公司 | 人物危险度的评估方法、装置及电子设备 |
CN109003089A (zh) * | 2018-06-28 | 2018-12-14 | 中国工商银行股份有限公司 | 风险识别方法及装置 |
CN109657918A (zh) * | 2018-11-19 | 2019-04-19 | 平安科技(深圳)有限公司 | 关联评估对象的风险预警方法、装置和计算机设备 |
CN109685647A (zh) * | 2018-12-27 | 2019-04-26 | 阳光财产保险股份有限公司 | 信贷欺诈检测方法及其模型的训练方法、装置和服务器 |
Also Published As
Publication number | Publication date |
---|---|
CN110210227A (zh) | 2019-09-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110210227B (zh) | 风险检测方法、装置、设备和存储介质 | |
Yang et al. | A time efficient approach for detecting errors in big sensor data on cloud | |
US10592516B2 (en) | Anomaly detection by multi-level tolerance relations | |
US20160055044A1 (en) | Fault analysis method, fault analysis system, and storage medium | |
Olmezogullari et al. | Representation of click-stream datasequences for learning user navigational behavior by using embeddings | |
CN112491872A (zh) | 一种基于设备画像的异常网络访问行为检测方法和系统 | |
CN108021651A (zh) | 一种网络舆情风险评估方法及装置 | |
CN112463859B (zh) | 基于大数据和业务分析的用户数据处理方法及服务器 | |
CN110019519A (zh) | 数据处理方法、装置、存储介质和电子装置 | |
CN103577514A (zh) | 用于自动数据探索的方法和装置 | |
Jin et al. | Crime-GAN: A context-based sequence generative network for crime forecasting with adversarial loss | |
CN114430331A (zh) | 一种基于知识图谱的网络安全态势感知方法及系统 | |
Kwee et al. | Traffic-cascade: Mining and visualizing lifecycles of traffic congestion events using public bus trajectories | |
Yoo et al. | LongLine: Visual analytics system for large-scale audit logs | |
US9384285B1 (en) | Methods for identifying related documents | |
Walchshofer et al. | Provectories: Embedding-based analysis of interaction provenance data | |
CN112750047A (zh) | 行为关系信息提取方法及装置、存储介质、电子设备 | |
CN113761293A (zh) | 图数据强连通分量挖掘方法、装置、设备及存储介质 | |
Nguyen et al. | Pagerank-based approach on ranking social events: a case study with flickr | |
CN113162958A (zh) | 智能推送消息的方法、装置、设备及存储介质 | |
CN117593096B (zh) | 产品信息智能推送方法、装置、电子设备和计算机介质 | |
Ikram et al. | A cloud resource management model for the creation and orchestration of social communities | |
CN115174226B (zh) | 基于人工智能和大数据的用户行为预测方法、设备、介质及产品 | |
CN117544423B (zh) | 一种基于数据特征的api应用程序接口链路测绘方法 | |
CN109241428B (zh) | 用户性别的确定方法、装置、服务器及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |