CN113988483B

CN113988483B - 风险操作行为的管控及其模型的训练方法及电子设备

Info

Publication number: CN113988483B
Application number: CN202111589797.XA
Authority: CN
Inventors: 张长浩; 傅欣艺; 王维强
Original assignee: Alipay Hangzhou Information Technology Co Ltd
Current assignee: Alipay Hangzhou Information Technology Co Ltd
Priority date: 2021-12-23
Filing date: 2021-12-23
Publication date: 2022-04-29
Anticipated expiration: 2041-12-23
Also published as: CN113988483A

Abstract

本说明书实施例公开了一种风险操作行为的管控及其模型的训练方法及电子设备，该方法包括：在检测到目标用户的待识别操作行为时，从可信执行环境TEE中获取与所述目标用户相匹配的目标云端风险标签；通过与所述目标云端风险标签相对应的用户风险操作行为识别模型，对所述待识别操作行为进行风险识别，得到针对所述待识别操作行为的风险识别结果；如果所述目标用户的待识别操作行为的风险识别结果为风险操作行为，则对所述目标用户进行风险管控。

Description

风险操作行为的管控及其模型的训练方法及电子设备

技术领域

本文件涉及计算机软件技术领域，尤其涉及一种风险操作行为的管控及其模型的训练方法及电子设备。

背景技术

目前，通常是通过对用户的云端中的离线数据进行分析，来对用户风险操作行为实施管控，以管控用户的一些作弊行为，比如通过脚本刷每日步数，通过脚本抢票等可能会在不同程度上损害其他用户的利益的行为。

而依据云端中的离线数据进行用户风险操作行为的管控方式通常是T+1，即利用用户前一天的离线数据，确定用户在前一天是否存在作弊等风险操作行为。而一旦确定某一用户在前一天存在作弊等风险操作行为，在检测到用户针对实施管控的应用进行操作时，则限制该用户的行为，比如限制该用户半小时或者一小时内不能对目标应用进行某些行为操作。显然，上述这种管控方式由于实时性较差，可能会误判一些历史有过风险操作记录但未来没有风险操作行为的用户。而如果直接依据用户的实时操作行为数据对用户进行风险操作行为的识别和管控，通常又会受到数据和上传带宽的限制，精度不够。

因此，亟需一种风险操作行为的管控方法以提高风险操作行为的识别和管控精度，进而提升用户的操作体验同时有效维护大多数用户的利益。

发明内容

本说明书实施例的目的是提供一种风险操作行为的管控方法、装置及电子设备，以提高风险操作行为的识别和管控精度，进而提升用户的操作体验同时有效维护大多数用户的利益。

为解决上述技术问题，本说明书实施例是这样实现的：

第一方面，提出了一种风险操作行为的管控方法，包括：

在检测到目标用户的待识别操作行为时，从可信执行环境TEE中获取与所述目标用户相匹配的目标云端风险标签；

通过与所述目标云端风险标签相对应的用户风险操作行为识别模型，对所述待识别操作行为进行风险识别，得到针对所述待识别操作行为的风险识别结果；

如果所述目标用户的待识别操作行为的风险识别结果为风险操作行为，则对所述目标用户进行风险管控。

第二方面，提出了一种风险操作行为识别模型的训练方法，包括：

从可信执行环境TEE中获取多个用户的云端风险标签，一个用户在一个历史时间段内对应于一个云端风险标签；

基于所述多个用户在所述历史时间段内的云端风险标签，将所述多个用户分为高危用户和低危用户；

基于所述高危用户的云端特征和对应的云端风险标签，训练得到高危用户风险操作行为识别模型，所述多个高危用户的云端特征为基于所述高危用户在历史时间段内的行为操作数据提取得到；

基于所述低危用户的端实时特征和对应的云端风险标签，训练得到低危用户风险操作行为识别模型，所述低危用户的端实时特征为基于所述低危用户的端实时数据提取得到。

第三方面，提出了一种风险操作行为的管控装置，包括：

标签获取单元，在检测到目标用户的待识别操作行为时，从可信执行环境TEE中获取与所述目标用户相匹配的目标云端风险标签；

风险识别单元，通过与所述目标云端风险标签相对应的用户风险操作行为识别模型，对所述待识别操作行为进行风险识别，得到针对所述待识别操作行为的风险识别结果；

风险管控单元，如果所述目标用户的待识别操作行为的风险识别结果为风险操作行为，则对所述目标用户进行风险管控。

第四方面，提出了一种风险操作行为识别模型的训练装置，包括：

数据获取单元，从可信执行环境TEE中获取多个用户的云端风险标签，一个用户在一个历史时间段内对应于一个云端风险标签；

用户分类单元，基于所述多个用户在所述历史时间段内的云端风险标签，将所述多个用户分为高危用户和低危用户；

第一模型训练单元，基于所述高危用户的云端特征和对应的云端风险标签，训练得到高危用户风险操作行为识别模型，所述多个高危用户的云端特征为基于所述高危用户在历史时间段内的行为操作数据提取得到；

第二模型训练单元，基于所述低危用户的端实时特征和对应的云端风险标签，训练得到低危用户风险操作行为识别模型，所述低危用户的端实时特征为基于所述低危用户的端实时数据提取得到。

第五方面，提出了一种电子设备，该电子设备包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器执行以下操作：

第六方面，提出了一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行以下操作：

第七方面，提出了一种电子设备，包括：

处理器；以及

第八方面，提出了一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行以下操作：

由以上本说明书实施例提供的技术方案可见，本说明书实施例方案至少具备如下一种技术效果：

本说明书提供的一种或多个实施例，能够在检测到目标用户的待识别操作行为时，从可信执行环境TEE中获取与目标用户相匹配的目标云端风险标签；即通过目标云端风险标签对目标用户进行风险等级的分类，确定与该目标用户的风险等级相对应的用户风险操作行为识别模型，再通过与目标云端风险标签相对应的用户风险操作行为识别模型，对待识别操作行为进行风险识别，得到针对待识别操作行为的风险识别结果；如果目标用户的待识别操作行为的风险识别结果为风险操作行为，则对目标用户进行风险管控。由于能够预先在TEE中存储各个用户的云端风险标签，并从TEE中获取待识别用户的云端风险标签，为不同风险等级的用户预先训练好对应的用户风险操作行为识别模型，并通过与待识别用户的云端风险标签相对应的用户风险操作行为识别模型来对待识别用户的实时操作行为进行风险识别，从而能够提高对不同风险等级的用户的风险操作行为的识别和管控精度，同时提升用户的操作体验并有效维护大多数用户的利益。

附图说明

为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图：

图1是本说明书的一个实施例提供的一种风险操作行为的管控方法的实施流程示意图；

图2是本说明书的一个实施例提供的风险操作行为的管控方法应用在一种实际场景中的流程示意图；

图3是本说明书的一个实施例提供的一种风险操作行为识别模型的训练方法的实施流程示意图；

图4是本说明书的一个实施例提供的风险操作行为识别模型的训练方法应用在一种实际场景中的流程示意图；

图5是本说明书的一个实施例提供的一种风险操作行为的管控装置的结构示意图；

图6是本说明书的一个实施例提供的一种风险操作行为识别模型的训练装置的结构示意图；

图7是本说明书的一个实施例提供的一种电子设备的结构示意图；

图8是本说明书的一个实施例提供的另一种电子设备的结构示意图。

具体实施方式

为使本说明书的目的、技术方案和优点更加清楚，下面将结合本说明书具体实施例及相应的附图对本说明书中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本文件一部分实施例，而不是全部的实施例。基于本文件中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本文件保护的范围。

在应用的服务端，往往积累了用户大量的云端离线数据，为了便于区分各个用户，服务端甚至会基于用户的云端离线数据提取关于各个用户的信息和云端风险标签（该云端风险标签用于指示各个用户的风险等级的高低程度或者关于应用的一些使用偏好）。而有些用户可能历史上在使用其他应用时有过一些作弊记录，比如使用自动化的作弊脚本进行一些刷单、刷步数的作弊行为，而在使用管控的目标应用时，并没有打算使用作弊手段。或者，一些用户历史上完全没有过作弊记录，而在使用管控的目标应用时，则下载了自动化的作弊脚本进行一些作弊操作。对于上述这些用户的风险行为管控，风险行为的识别上则要求准确度更高。而由于应用的服务端往往存储了大量具备强识别的云端风险标签以及隐私度较高的用户信息，如何避免这些重要信息被黑产获取，也需要提供进一步的解决方案。

为应对上述问题，本说明书一个或多个实施例以可信执行环境（TrustedExecution Environment，TEE）为基础，提供一种风险操作行为的管控方法，以提高风险操作行为的识别和管控精度，进而提升用户的操作体验同时有效维护大多数用户的利益。具体地，能够预先在TEE中存储各个用户的云端风险标签，并从TEE中获取待识别用户的云端风险标签，为不同风险等级的用户预先训练好对应的用户风险操作行为识别模型，并通过与待识别用户的云端风险标签相对应的用户风险操作行为识别模型来对待识别用户的实时操作行为进行风险识别，从而能够提高对不同风险等级的用户的风险操作行为的识别和管控精度，同时提升用户的操作体验并有效维护大多数用户的利益。

应理解，本说明书实施例提供的风险操作行为的管控方法的执行主体，可以但不限于服务器、电脑等能够被配置为执行本说明书实施例提供的该方法用户终端中的至少一种，或者，该方法的执行主体，还可以是能够执行该方法的客户端本身。

为便于描述，下文以该方法的执行主体为能够执行该方法的服务器为例，对该方法的实施方式进行介绍。可以理解，该方法的执行主体为服务器只是一种示例性的说明，并不应理解为对该方法的限定。

图1是本说明书的一个实施例提供的一种风险操作行为的管控方法的实施流程示意图。图1的方法可包括：

S110，在检测到目标用户的待识别操作行为时，从可信执行环境TEE中获取与目标用户相匹配的目标云端风险标签。

其中，目标用户的目标云端风险标签通常由服务端基于目标用户的历史时间段内的行为操作数据提取得到。比如可预先设置一个风险标签的分类门槛：“用户近七天内是否下载过自动化作弊脚本”，根据目标用户的历史时间段内的行为操作数据，若确定目标用户近七天的某一天下载过自动化作弊脚本，则可确定目标用户的目标云端风险标签为高危用户；而若确定目标用户近七天内没有下载过自动化作弊脚本，则确定目标用户的目标云端风险标签为低危用户。

通常情况下，为了高效区分不同用户的风险等级，设置的用户的云端风险标签往往具备强识别性，比如可将云端风险标签设置为“1”或“0”，当云端风险标签为“1”时，则指示对应的用户的风险等级为高危用户，当云端风险标签为“0”时，则指示对应的用户的风险等级为低危用户。而这种具备强识别性的云端风险标签一旦被黑产识破，其可能会截取更篡改获取的用户的云端风险标签，比如可以把原来的“1”改为“0”，或者把原来的“0”改为“1”，显然，这种恶意篡改将会对风控系统造成毁灭性的打击。

在上述这种情况下，由于TEE可以提供了一个移动端的系统运行环境（RichExecution Environment，REE）隔离的环境来保存用户的敏感信息等重要信息，TEE可以直接获取REE的信息，而REE不能获取TEE的信息。本说明书实施例基于这一点，可将用户的云端风险标签保存在TEE中，避免具备强识别特性的云端风险标签被黑产等一些非法分子获取。

以天为单位，用户每天针对某一应用的行为操作习惯往往较为固定，以虚拟种树应用为例，用户每天早上起床时，比如早上七点到八点钟这一时间段，用户往往会打开虚拟种树应用收取用户本人及其好友前一天的行走步数产生的碳能量，在早上上班路上和下午下班路上，比如早上九点到十点钟和下午六点到七点钟这一时间段，用户也会打开虚拟种树应用收取用户本人及其好友前一天乘坐地铁公交等公共交通工具产生的碳能量。

本说明书实施例基于这一点，可预先基于用户历史时间段内的行为操作数据，提取得到用户在一天中各个时间段内的云端风险标签存储到TEE中，以及将用户在每天各个时间段的操作行为的数据与TEE中存储的用户在一天中各个时间段的云端风险标签关联起来。具体地，在检测到目标用户的待识别操作行为时，从TEE中获取与目标用户相匹配的目标云端风险标签，包括：

在检测到目标用户的待识别操作行为时，获取目标用户执行待识别操作行为的目标时刻；

从TEE中获取与目标用户和目标时刻相匹配的目标云端风险标签；

其中，所述TEE中维护有多个用户在历史的多个时间段内的云端风险标签；多个用户在历史的多个时间段内的云端风险标签，为基于多个用户在历史的多个时间段内的行为操作数据确定。

比如，在检测到目标用户的待识别操作行为时，可确定目标用户执行待识别操作行为的目标时刻为上午七点半，再从TEE中获取该用户上午七点半对应的目标云端风险标签，该用户上午七点半对应的目标云端风险标签可基于该用户上午七点到八点这一时间段内的历史行为操作数据确定。此外，TEE中还可存储该用户八点到九点、九点到十点、……、二十三点到二十四点的云端风险标签，即TEE中可存储每个用户在每天的24小时中的每个小时内的云端风险标签。应理解，TEE中存储的一个用户的多个时间段的云端风险标签中的时间段的长短可根据实际情况来划分，本说明书实施例对此不作具体限定。

S120，通过与目标云端风险标签相对应的用户风险操作行为识别模型，对待识别操作行为进行风险识别，得到针对待识别操作行为的风险识别结果。

其中，为了避免与目标云端风险标签相对应的用户风险操作行为识别模型被恶意篡改，与目标云端风险标签相对应的用户风险操作行为识别模型可预先存储在TEE中。那么，在对待识别操作行为进行风险识别之前，可从TEE中获取与目标云端风险标签相对应的用户风险操作行为识别模型。

可选地，为了提高对用户操作行为的风险识别的准确度，可预先基于不同风险等级的用户训练得到对应的用户风险操作行为识别模型。具体地，通过与目标云端风险标签相对应的用户风险操作行为识别模型，对待识别操作行为进行风险识别，得到针对待识别操作行为的风险识别结果，包括：

基于目标云端风险标签，确定目标用户的风险等级；

如果目标用户的风险等级为高危用户，则通过高危用户风险操作行为识别模型对目标用户的待识别操作行为进行风险识别，得到针对目标用户的待识别操作行为的风险识别结果；高危用户风险操作行为识别模型为基于多个高危用户的云端特征和对应的云端风险标签训练得到，所述多个高危用户的云端特征为基于多个高危用户在历史时间段内的行为操作数据提取得到；

如果目标用户的风险等级为低危用户，则通过低危用户风险操作行为识别模型对目标用户的待识别操作行为进行风险识别，得到针对目标用户的待识别操作行为的风险识别结果；低危用户风险操作行为识别模型为基于多个低危用户的端实时特征和对应的云端风险标签训练得到，所述多个低危用户的端实时特征为基于所述多个低危用户的端实时数据提取得到。

其中，用户的云端风险标签可设置为“0”或“1”，其中“0”用于指示用户的风险等级为高危用户，“1”用于指示用户的风险等级为低危用户。

其中，多个高危用户在历史时间段内的行为操作数据可以从所管控的目标应用的服务端中获取的关于目标应用的行为操作数据，也可以从其他应用的服务端获取的关于其他应用的行为操作数据，还可以是通过其他应用的历史数据获取的关于用户设备或ID的风险标识。所述多个低危用户的端实时数据可以是低危用户所使用的终端设备的实时端状态，具体可以通过低危用户使用的终端设备中的传感器获取低危用户的终端设备当前是否处于一个倒置状态，比如放置在裤兜里但仍处于所管控的目标应用在使用中的状态。

可选地，为了提高模型的安全存储级别，所述高危用户风险操作行为识别模型和所述低危用户风险操作行为识别模型存储在所述TEE中。

S130，如果目标用户的待识别操作行为的风险识别结果为风险操作行为，则对目标用户进行风险管控。

为了维护其他用户的合法权益，避免目标用户通过作弊手段进行一些利益获取，在识别到目标用户的待识别操作行为的风险识别结果为风险操作行为时，可对目标用户进行风险管控，比如可以限制目标用户在十分钟或半个小时内不得对管控的目标应用进行指定操作。以虚拟种树应用为例，如果识别到目标用户的待识别操作行为为使用自动化脚本收取碳能量的作弊行为，则限制目标用户半小时或一小时内不得在目标应用内收取其好友的碳能量。

图2是本说明书的一个实施例提供的风险操作行为的管控方法应用在一种实际场景中的流程示意图。图2所示的风险操作行为的管控方法包括：

S21，下发云端风险标签。

将云端存储的云端风险标签和用户风险操作行为识别模型（包括高危用户风险操作行为识别模型和低危用户风险操作行为识别模型）按照T+1（将前一天的云端风险标签下发到TEE中）或者H+1（将前一小时的云端标签下发到TEE中）的方式下发到TEE中存储起来。

S22，将云端风险标签存储至TEE中。

S23，从TEE中确定待识别用户的云端风险标签。

根据待识别用户的用户标识从TEE中获取待识别用户的云端风险标签。

S24，基于待识别用户的云端风险标签，确定用户风险操作行为识别模型是高危风险用户风险操作行为识别模型还是低危用户风险操作行为识别模型。

根据待识别用户的云端风险标签进行云端风险标签划分，确定待识别用户是高危用户还是低危用户，如果待识别用户是高危用户则选择高危用户风险操作行为识别模型对其进行风险识别，如果待识别用户是低危用户则选择低危用户风险操作行为识别模型对其进行风险识别；最后将高危用户风险操作行为识别模型的风险识别结果和低危用户风险操作行为识别模型的识别结果进行融合，得到待管控的用户名单，以对这些待管控的用户的行为操作进行风险管控。

本说明书提供的一种或多个实施例，能够在检测到目标用户的待识别操作行为时，从可信执行环境TEE中获取与目标用户相匹配的目标云端风险标签；即通过目标云端风险标签对目标用户进行风险等级的分类，确定与该目标用户的风险等级相对应的用户风险操作行为识别模型，再通过与目标云端风险标签相对应的用户风险操作行为识别模型，对待识别操作行为进行风险识别，得到针对待识别操作行为的风险识别结果；如果目标用户的待识别操作行为的风险识别结果为风险操作行为，则对目标用户进行风险管控。由于能够从TEE中获取各个用户的云端风险标签，为不同风险等级的用户预先训练好对应的用户风险操作行为识别模型，并通过与各个用户的云端风险标签相对应的用户风险操作行为识别模型来对用户的实时操作行为进行风险识别，从而能够提高对不同风险等级的用户的风险操作行为的识别和管控精度，同时提升用户的操作体验并有效维护大多数用户的利益。

图3是本说明书的一个实施例提供的一种风险操作行为识别模型的训练方法的实施流程示意图。图3的方法可包括：

S310，从可信执行环境TEE中获取多个用户的云端风险标签，一个用户在一个历史时间段内对应于一个云端风险标签。

具体地，每个用户在云端中都存储有对应于一天中各个时间段的行为操作数据，可基于每个用户在云端中都存储有对应于一天中各个时间段的行为操作数据，提取得到各个用户对应于一天中各个时间段的云端风险标签。

S320，基于多个用户在历史时间段内的云端风险标签，将多个用户分为高危用户和低危用户。

云端风险标签可具备强识别性，即该云端风险标签可直接指示用户的风险等级，即确定是高危用户还是低危用户。

S330，基于高危用户的云端特征和对应的云端风险标签，训练得到高危用户风险操作行为识别模型，所述多个高危用户的云端特征为基于高危用户在历史时间段内的行为操作数据提取得到。

可选地，由于被划分为高危用户的用户在历史时间段内的作弊次数可能较多，即进行风险操作的次数较多，本说明书实施例基于这一点，在训练高危用户风险操作行为识别模型时，可侧重于基于高危用户在历史的多个时间段内的云端特征训练。具体地，基于高危用户的云端特征和对应的云端风险标签，训练得到高危用户风险操作行为识别模型，包括：

基于高危用户在历史时间段内的行为操作数据，提取得到高危用户在历史的多个时间段内的云端特征，一个高危用户在一个时间段内的云端特征对应于一个云端风险标签；

基于高危用户在历史的多个时间段内的云端特征和对应的云端风险标签，训练得到高危用户风险操作行为识别模型。

在训练得到高危用户风险操作行为识别模型可基于PR曲线控制高危用户风险操作行为识别模型的识别准确率。

此外，基于高危用户在历史的多个时间段内的云端特征和对应的云端风险标签，训练得到高危用户风险操作行为识别模型，具体还可基于高危用户在历史的多个时间段内的云端特征、以及高危用户的端实时特征和对应的云端风险标签，训练得到高危用户风险操作行为识别模型，其中高危用户在历史的多个时间段内的云端特征在训练过程中所占比重要高于高危用户的端实时特征。

可选地，基于高危用户在历史的多个时间段内的云端特征和对应的云端风险标签，训练得到高危用户风险操作行为识别模型，包括：

基于高危用户在历史的多个时间段内的云端特征和对应的云端风险标签，依次训练得到高危用户风险操作行为召回模型和高危用户风险操作行为精排模型；高危用户风险操作行为召回模型用于对高危用户的操作行为进行筛选，得到风险阈值大于或等于第一预设阈值的操作行为；高危用户风险操作行为精排模型，用于对高危用户风险操作行为召回模型筛选的风险阈值大于或等于第一预设阈值的操作行为进行排序；

基于高危用户风险操作行为召回模型和高危用户风险操作行为精排模型，得到高危用户风险操作行为识别模型。

S340，基于低危用户的端实时特征和对应的云端风险标签，训练得到低危用户风险操作行为识别模型，低危用户的端实时特征为基于低危用户的端实时数据提取得到。

可选地，由于被划分为低危用户的用户在历史时间段内的作弊次数往往较少，即进行风险操作的次数较少，那么在训练低危用户风险操作行为识别模型时，其云端特征的意义就不是很大，本说明书实施例基于这一点，在训练低危用户风险操作行为识别模型时，可侧重于基于低危用户在历史时间段内的端实时特征训练。具体地，基于低危用户的端实时特征和对应的云端风险标签，训练得到低危用户风险操作行为识别模型，包括：

获取低危用户在多个时间段内的端实时数据；

基于低危用户在多个时间段内的端实时数据，提取得到低危用户的端实时特征；

将低危用户在所述多个时间段内的端实时特征、与低危用户在云端中的对应时间段内的云端风险标签进行关联，使得一个低危用户在一个时间段内的端实时特征对应于一个云端风险标签；

基于低危用户在多个时间段内的端实时特征和对应的云端风险标签，训练得到低危用户风险操作行为识别模型。

在训练得到低危用户风险操作行为识别模型可基于PR曲线控制低危用户风险操作行为识别模型的识别准确率。

此外，基于低危用户在多个时间段内的端实时特征和对应的云端风险标签，训练得到低危用户风险操作行为识别模型，具体还可基于低危用户在历史的多个时间段内的云端特征、以及低危用户的端实时特征和对应的云端风险标签，训练得到低危用户风险操作行为识别模型，其中低危用户在历史的多个时间段内的云端特征在训练过程中所占比重要高于低危用户的端实时特征。

可选地，基于低危用户在多个时间段内的端实时特征和对应的云端风险标签，训练得到低危用户风险操作行为识别模型，包括：

基于低危用户在所述多个时间段内的云端特征和对应的云端风险标签，依次训练得到低危用户风险操作行为召回模型和低危用户风险操作行为精排模型；所述低危用户风险操作行为召回模型用于对所述低危用户的操作行为进行筛选，得到风险阈值大于或等于第二预设阈值的操作行为；所述低危用户风险操作行为精排模型，用于对所述低危用户风险操作行为召回模型筛选的风险阈值大于或等于第二预设阈值的操作行为进行排序；

基于低危用户风险操作行为召回模型和低危用户风险操作行为精排模型，得到低危用户风险操作行为识别模型。

其中，高危用户风险操作行为召回模型和高危用户风险操作行为精排模型以及低危用户风险操作行为召回模型和低危用户风险操作行为精排模型的具体训练过程可参照现有的召回模型和精排模型，本说明书实施例对此不作具体限制。

可选地，将所述高危用户风险操作行为识别模型和所述低危用户风险操作行为识别模型存储到所述TEE中。

可选地，为了提高特征的存储安全级别，还可将高危用户在历史的多个时间段内的云端特征和低危用户在多个时间段内的端实时特征存储到所述TEE中。

图4是本说明书的一个实施例提供的风险操作行为识别模型的训练方法应用在一种实际场景中的流程示意图。图4所示的风险操作行为识别模型的训练方法可包括：

S41，获取数据集。

具体可从云端中获取数据集，该数据集中包含有多个用户在历史时间段内的行为操作数据。

S42，从TEE中获取云端风险标签。

具体可从TEE中获取这多个用户的云端风险标签，以对这多个用户进行风险等级划分。

S43，获取高危用户训练样本集和低危用户训练样本集。

将被划分为高危用户的用户在历史时间段内的行为操作数据和对应的云端风险标签加入到高危用户训练样本集中，以及将被划分为低危用户的用户在历史时间段内的行为操作数据和对应的云端风险标签加入到低危用户训练样本集中。

S44，训练得到高危用户风险操作行为识别模型和低危用户风险操作行为识别模型。

依次基于高危用户训练样本集训练得到高危用户风险操作行为召回模型和高危用户风险操作行为精排模型，进而得到高危用户风险操作行为识别模型，以及基于低危用户训练样本集训练得到低危用户风险操作行为召回模型和低危用户风险操作行为精排模型，进而得到低危用户风险操作行为识别模型。

图3所示实施例相关步骤的具体实现可参考图1~图2所示实施例中对应的步骤的具体实现，本说明书在此不再赘述。

本说明书提供的一种或多个实施例，能够从可信执行环境TEE中获取多个用户的云端风险标签，一个用户在一个历史时间段内对应于一个云端风险标签；并基于多个用户在历史时间段内的云端风险标签，将多个用户分为高危用户和低危用户；再分别基于高危用户的云端特征和对应的云端风险标签，训练得到高危用户风险操作行为识别模型，以及基于低危用户的端实时特征和对应的云端风险标签，训练得到低危用户风险操作行为识别模型。由于能够从TEE中获取各个用户的云端风险标签，为不同风险等级的用户分别训练对应的用户风险操作行为识别模型，以通过与各个用户的云端风险标签相对应的用户风险操作行为识别模型来对用户的实时操作行为进行风险识别，从而能够提高对不同风险等级的用户的风险操作行为的识别和管控精度，同时提升用户的操作体验并有效维护大多数用户的利益。

图5是本说明书的一个实施例提供的一种风险操作行为的管控装置500的结构示意图。请参考图5，在一种软件实施方式中，风险操作行为的管控装置500可包括：

标签获取单元501，在检测到目标用户的待识别操作行为时，从可信执行环境TEE中获取与所述目标用户相匹配的目标云端风险标签；

风险识别单元502，通过与所述目标云端风险标签相对应的用户风险操作行为识别模型，对所述待识别操作行为进行风险识别，得到针对所述待识别操作行为的风险识别结果；

风险管控单元503，如果所述目标用户的待识别操作行为的风险识别结果为风险操作行为，则对所述目标用户进行风险管控。

可选地，在一种实施方式中，所述风险识别单元502，用于：

基于所述目标云端风险标签，确定所述目标用户的风险等级；

如果所述目标用户的风险等级为高危用户，则通过高危用户风险操作行为识别模型对所述目标用户的待识别操作行为进行风险识别，得到针对所述目标用户的待识别操作行为的风险识别结果；所述高危用户风险操作行为识别模型为基于多个高危用户的云端特征和对应的云端风险标签训练得到，所述多个高危用户的云端特征为基于所述多个高危用户在历史时间段内的行为操作数据提取得到；

如果所述目标用户的风险等级为低危用户，则通过低危用户风险操作行为识别模型对所述目标用户的待识别操作行为进行风险识别，得到针对所述目标用户的待识别操作行为的风险识别结果；所述低危用户风险操作行为识别模型为基于多个低危用户的端实时特征和对应的云端风险标签训练得到，所述多个低危用户的端实时特征为基于所述多个低危用户的端实时数据提取得到。

可选地，在一种实施方式中，所述标签获取单元501，用于：

在检测到目标用户的待识别操作行为时，获取所述目标用户执行所述待识别操作行为的目标时刻；

从所述TEE中获取与所述目标用户和所述目标时刻相匹配的所述目标云端风险标签；

其中，所述TEE中维护有多个用户在历史的多个时间段内的云端风险标签；所述多个用户在历史的所述多个时间段内的云端风险标签，为基于所述多个用户在历史的所述多个时间段内的行为操作数据确定。

可选地，在一种实施方式中，所述高危用户风险操作行为识别模型和所述低危用户风险操作行为识别模型存储在所述TEE中。

风险操作行为识别模型的训练装置600能够实现图3的方法实施例的方法，具体可参考图3所示实施例的风险操作行为识别模型的训练方法，不再赘述。

图6是本说明书的一个实施例提供的一种风险操作行为识别模型的训练装置600的结构示意图。请参考图6，在一种软件实施方式中，风险操作行为识别模型的训练装置600可包括：

数据获取单元601，从可信执行环境TEE中获取多个用户的云端风险标签，一个用户在一个历史时间段内对应于一个云端风险标签；

用户分类单元602，基于所述多个用户在所述历史时间段内的云端风险标签，将所述多个用户分为高危用户和低危用户；

第一模型训练单元603，基于所述高危用户的云端特征和对应的云端风险标签，训练得到高危用户风险操作行为识别模型，所述多个高危用户的云端特征为基于所述高危用户在历史时间段内的行为操作数据提取得到；

第二模型训练单元604，基于所述低危用户的端实时特征和对应的云端风险标签，训练得到低危用户风险操作行为识别模型，所述低危用户的端实时特征为基于所述低危用户的端实时数据提取得到。

可选地，在一种实施方式中，所述第一模型训练单元603，用于：

基于所述高危用户在历史时间段内的行为操作数据，提取得到所述高危用户在历史的多个时间段内的云端特征，一个所述高危用户在一个时间段内的云端特征对应于一个云端风险标签；

基于所述高危用户在历史的多个时间段内的云端特征和对应的云端风险标签，训练得到所述高危用户风险操作行为识别模型。

基于所述高危用户在历史的多个时间段内的云端特征和对应的云端风险标签，依次训练得到高危用户风险操作行为召回模型和高危用户风险操作行为精排模型；所述高危用户风险操作行为召回模型用于对所述高危用户的操作行为进行筛选，得到风险阈值大于或等于第一预设阈值的操作行为；所述高危用户风险操作行为精排模型，用于对所述高危用户风险操作行为召回模型筛选的风险阈值大于或等于第一预设阈值的操作行为进行排序；

基于所述高危用户风险操作行为召回模型和所述高危用户风险操作行为精排模型，得到所述高危用户风险操作行为识别模型。

可选地，在一种实施方式中，所述第二模型训练单元604，用于：

获取所述低危用户在多个时间段内的端实时数据；

基于所述低危用户在所述多个时间段内的端实时数据，提取得到所述低危用户的端实时特征；

将所述低危用户在所述多个时间段内的端实时特征、与所述低危用户在云端中的对应时间段内的云端风险标签进行关联，使得一个低危用户在一个时间段内的端实时特征对应于一个云端风险标签；

基于所述低危用户在所述多个时间段内的端实时特征和对应的云端风险标签，训练得到低危用户风险操作行为识别模型。

基于所述低危用户在所述多个时间段内的云端特征和对应的云端风险标签，依次训练得到低危用户风险操作行为召回模型和低危用户风险操作行为精排模型；所述低危用户风险操作行为召回模型用于对所述低危用户的操作行为进行筛选，得到风险阈值大于或等于第二预设阈值的操作行为；所述低危用户风险操作行为精排模型，用于对所述低危用户风险操作行为召回模型筛选的风险阈值大于或等于第二预设阈值的操作行为进行排序；

基于所述低危用户风险操作行为召回模型和所述低危用户风险操作行为精排模型，得到所述低危用户风险操作行为识别模型。

可选地，在一种实施方式中，所述装置还包括：

模型存储单元，将所述高危用户风险操作行为识别模型和所述低危用户风险操作行为识别模型存储到所述TEE中。

风险操作行为识别模型的训练装置600能够实现图3的方法实施例的方法，具体可参考图1所示实施例的风险操作行为识别模型的训练方法，不再赘述。

图7是本说明书的一个实施例电子设备的结构示意图。请参考图7，在硬件层面，该电子设备包括处理器，可选地还包括内部总线、网络接口、存储器。其中，存储器可能包含内存，例如高速随机存取存储器(Random-Access Memory，RAM)，也可能还包括非易失性存储器（non-volatile memory），例如至少1个磁盘存储器等。当然，该电子设备还可能包括其他业务所需要的硬件。

处理器、网络接口和存储器可以通过内部总线相互连接，该内部总线可以是ISA(Industry Standard Architecture，工业标准体系结构）总线、PCI(PeripheralComponent Interconnect，外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture，扩展工业标准结构）总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图7中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

存储器，用于存放程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器，并向处理器提供指令和数据。

处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上形成风险操作行为的管控装置。处理器，执行存储器所存放的程序，并具体用于执行以下操作：

上述如本说明书图1~图2所示实施例揭示的风险操作行为的管控装置执行的方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器，包括中央处理器（CentralProcessing Unit，CPU）、网络处理器（Network Processor，NP）等；还可以是数字信号处理器（Digital Signal Processor，DSP）、专用集成电路（Application Specific IntegratedCircuit，ASIC）、现场可编程门阵列（Field－Programmable Gate Array，FPGA）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本说明书实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本说明书实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

该电子设备还可执行图1的方法，并实现风险操作行为的管控装置在图1所示实施例的功能，本说明书实施例在此不再赘述。

本说明书实施例还提出了一种计算机可读存储介质，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的便携式电子设备执行时，能够使该便携式电子设备执行图1所示实施例的方法，并具体用于执行以下操作：

当然，除了软件实现方式之外，本说明书的电子设备并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。

图8是本说明书的一个实施例电子设备的结构示意图。请参考图8，在硬件层面，该电子设备包括处理器，可选地还包括内部总线、网络接口、存储器。其中，存储器可能包含内存，例如高速随机存取存储器(Random-Access Memory，RAM)，也可能还包括非易失性存储器（non-volatile memory），例如至少1个磁盘存储器等。当然，该电子设备还可能包括其他业务所需要的硬件。

处理器、网络接口和存储器可以通过内部总线相互连接，该内部总线可以是ISA(Industry Standard Architecture，工业标准体系结构）总线、PCI(PeripheralComponent Interconnect，外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture，扩展工业标准结构）总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上形成风险操作行为识别模型的训练装置。处理器，执行存储器所存放的程序，并具体用于执行以下操作：

上述如本说明书图3~图4所示实施例揭示的风险操作行为识别模型的训练装置执行的方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器，包括中央处理器（Central Processing Unit，CPU）、网络处理器（Network Processor，NP）等；还可以是数字信号处理器（Digital Signal Processor，DSP）、专用集成电路（Application SpecificIntegrated Circuit，ASIC）、现场可编程门阵列（Field－Programmable Gate Array，FPGA）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本说明书实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本说明书实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

该电子设备还可执行图1的方法，并实现风险操作行为识别模型的训练装置在图3所示实施例的功能，本说明书实施例在此不再赘述。

本说明书实施例还提出了一种计算机可读存储介质，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的便携式电子设备执行时，能够使该便携式电子设备执行图3所示实施例的方法，并具体用于执行以下操作：

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

总之，以上所述仅为本说明书的较佳实施例而已，并非用于限定本说明书的保护范围。凡在本说明书的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本说明书的保护范围之内。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

Claims

1.一种风险操作行为的管控方法，包括：

如果所述目标用户的待识别操作行为的风险识别结果为风险操作行为，则对所述目标用户进行风险管控；

所述通过与所述目标云端风险标签相对应的用户风险操作行为识别模型，对所述待识别操作行为进行风险识别，得到针对所述待识别操作行为的风险识别结果，包括：

2.如权利要求1所述的方法，在检测到目标用户的待识别操作行为时，从TEE中获取与所述目标用户相匹配的目标云端风险标签，包括：

3.如权利要求1所述的方法，所述高危用户风险操作行为识别模型和所述低危用户风险操作行为识别模型存储在所述TEE中。

4.一种风险操作行为识别模型的训练方法，包括：

5.如权利要求4所述的方法，基于所述高危用户的云端特征和对应的云端风险标签，训练得到高危用户风险操作行为识别模型，包括：

6.如权利要求5所述的方法，基于所述高危用户在历史的多个时间段内的云端特征和对应的云端风险标签，训练得到所述高危用户风险操作行为识别模型，包括：

7.如权利要求4所述的方法，基于所述低危用户的端实时特征和对应的云端风险标签，训练得到低危用户风险操作行为识别模型，包括：

获取所述低危用户在多个时间段内的端实时数据；

基于所述低危用户在所述多个时间段内的端实时特征和对应的云端风险标签，训练得到所述低危用户风险操作行为识别模型。

8.如权利要求7所述的方法，基于所述低危用户在所述多个时间段内的端实时特征和对应的云端风险标签，训练得到低危用户风险操作行为识别模型，包括：

9.如权利要求4所述的方法，所述方法还包括：

将所述高危用户风险操作行为识别模型和所述低危用户风险操作行为识别模型存储到所述TEE中。

10.一种风险操作行为的管控装置，包括：

风险管控单元，如果所述目标用户的待识别操作行为的风险识别结果为风险操作行为，则对所述目标用户进行风险管控；

所述风险识别单元，用于：

11.一种风险操作行为识别模型的训练装置，包括：

12.一种电子设备，包括：

处理器；以及

13.一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行以下操作：

14.一种电子设备，包括：

处理器；以及

15.一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行以下操作：