具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本申请的一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
图1示出了本申请实施例所提供的一种大数据风控分析系统10的方框示意图。本申请实施例中的大数据风控分析系统10可以为具有数据存储、传输、处理功能的服务端,如图1所示,大数据风控分析系统10包括:存储器11、处理器12、网络模块13和应用于大数据风控的异常支付数据分析装置20。
存储器11、处理器12和网络模块13之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件互相之间可以通过一条或多条通讯总线或信号线实现电性连接。存储器11中存储有应用于大数据风控的异常支付数据分析装置20,所述应用于大数据风控的异常支付数据分析装置20包括至少一个可以软件或固件(firmware)的形式储存于所述存储器11中的软件功能模块,所述处理器12通过运行存储在存储器11内的软件程序以及模块,例如本申请实施例中的应用于大数据风控的异常支付数据分析装置20,从而执行各种功能应用以及数据处理,即实现本申请实施例中的应用于大数据风控的异常支付数据分析方法。
其中,所述存储器11可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器11用于存储程序,所述处理器12在接收到执行指令后,执行所述程序。
所述处理器12可能是一种集成电路芯片,具有数据的处理能力。上述的处理器12可以是通用处理器,包括中央处理器 (Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等。可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
网络模块13用于通过网络建立大数据风控分析系统10与其他通信终端设备之间的通信连接,实现网络信号及数据的收发操作。上述网络信号可包括无线信号或者有线信号。
可以理解,图1所示的结构仅为示意,大数据风控分析系统10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供了一种计算机存储介质,所述计算机存储介质存储有计算机程序,所述计算机程序在运行时实现上述的方法。
图2示出了本申请实施例所提供的一种应用于大数据风控的异常支付数据分析方法的流程图。所述方法有关的流程所定义的方法步骤应用于大数据风控分析系统10,可以由所述处理器12实现,所述方法包括以下内容。
步骤step-102,采集触发风控分析条件的数字化支付互动记录。
在本申请实施例中,触发风控分析条件的数字化支付互动记录为可能存在异常交互风险(比如用户信息窃取、资金盗用等支付风险)的在线/远程支付互动记录。风控分析条件可以根据支付时段、支付地区等进行设置,本申请实施例不作限制。
步骤step-104,确定所述触发风控分析条件的数字化支付互动记录所涵盖的实时支付业务日志中,与所述触发风控分析条件的数字化支付互动记录中的验证型交互请求日志存在匹配关系的衍生型支付业务日志,所述验证型交互请求日志包括实时支付业务主题以及不少于一个请求倾向关键词。
在本申请实施例中,实时支付业务日志可以理解为数字化支付互动记录中的部分记录内容,相应的,实时支付业务日志中可以涵盖多个实时支付业务主题。另外,验证型交互请求日志中包括多个验证型交互请求。验证型交互请求可以理解为相关支付对象所发出的需要进行一些列安全验证的会话请求,比如支付会话建立请求、支付金额确定请求、会话对象连接请求等。进一步地,请求倾向关键词用于表达验证型交互请求的倾向信息或者意图信息,比如关键词“快速成交”、“商品对比”或“买家身份窃取”等。
步骤step-106,对所述验证型交互请求日志进行倾向关键词统计分析,得到倾向关键词统计分析情况,以及对所述衍生型支付业务日志进行实时支付业务主题种类定位,得到实时支付业务主题种类定位情况。
在本申请实施例中,倾向关键词统计分析情况用于记录倾向关键词的数目,实时支付业务主题种类定位可以理解为对实时支付业务主题的种类进行识别。
步骤step-108,结合所述倾向关键词统计分析情况和所述实时支付业务主题种类定位情况,确定所述验证型交互请求日志中的目标验证型交互请求是否存在异常交互风险。
在本申请实施例中,目标验证型交互请求可以是需要进行风险分析的验证型交互请求,一般而言,验证型交互请求所对应的倾向关键词不会过多,如果验证型交互请求所对应的倾向关键词过多,表明验证型交互请求可能存在非法意图,基于此,可以精准确定验证型交互请求是否存在异常交互风险。
可以理解的是,上述技术方案借助相关的AI智能网络对验证型交互请求日志进行倾向关键词统计分析,可以通过AI智能网络深度分析验证型交互请求日志中的关键词量化统计结果,这样一来,即使触发风控分析条件的数字化支付互动记录中存在支付业务互动干扰等问题,也能够尽可能分析得到精准的关键词量化统计结果,进而在一定程度上保障异常交互风险分析的精度和可信度。
此外,上述技术方案可以结合倾向关键词统计分析情况和实时支付业务主题种类定位情况,分析目标验证型交互请求的风控安全性,进而在分析风控安全性的过程中尽可能全面地结合实时支付业务主题种类与关键词量化统计结果,这样能够针对不同种类的实时支付业务主题进行异常交互风险分析的质量。
可选的,在采集触发风控分析条件的数字化支付互动记录后,可以实施步骤step-104。本申请实施例所提出的验证型交互请求日志是指触发风控分析条件的数字化支付互动记录中的目标验证型交互请求的约束条件标记得到的记录内容。所述目标验证型交互请求可以结合实际情况进行选择。比如,所述目标验证型交互请求可以是从触发风控分析条件的数字化支付互动记录所涵盖的验证型交互请求日志中任意选择的验证型交互请求。再比如,所述目标验证型交互请求可以是触发风控分析条件的数字化支付互动记录所涵盖的验证型交互请求日志中热度最高的的验证型交互请求。再比如,可以将触发风控分析条件的数字化支付互动记录所涵盖的各验证型交互请求分别指定为目标验证型交互请求。
本申请实施例所提出的实时支付业务日志是指触发风控分析条件的数字化支付互动记录中的实时支付业务主题的约束条件标记得到的记录内容。
在本申请实施例中至少可以通过验证型交互请求日志与实时支付业务日志之间的日志特征共性评价或者匹配指数,来确定与验证型交互请求日志存在匹配关系的衍生型支付业务日志。
在一些可能的实施例中,可以通过验证型交互请求日志与实时支付业务日志之间的匹配指数确定目标实时支付业务主题。
在一些可独立实施的设计思路下,在实施步骤step-104时,可以实施步骤step-202对所述触发风控分析条件的数字化支付互动记录进行日志挖掘,得到所述实时支付业务日志以及所述验证型交互请求日志。然后可以实施步骤step-204,确定挖掘所得的所述实时支付业务日志中,与所述验证型交互请求日志匹配指数最高的目标实时支付业务日志,并将所述目标实时支付业务日志作为与所述验证型交互请求日志存在匹配关系的衍生型支付业务日志。
基于此,通过将与所述验证型交互请求日志匹配指数最高的目标实时支付业务日志,作为与验证型交互请求日志存在匹配关系的衍生型支付业务日志,可以借助实时支付业务主题与验证型交互请求日志在交互场景层面下的联系,确定准确的衍生型支付业务日志,从而利于准确地确定目标验证型交互请求对应的实时支付业务主题种类,利于提高异常交互风险分析的准确性。在一些实施例中,在实施步骤step-202时,可以通过相关AI神经网络进行处理,得到触发风控分析条件的数字化支付互动记录中的验证型交互请求日志和实时支付业务主题分别绑定的约束条件;然后可以将与目标验证型交互请求对应目标约束条件在所述触发风控分析条件的数字化支付互动记录中标记得到的记录内容作为所述验证型交互请求日志;以及将实时支付业务主题绑定的约束条件在所述触发风控分析条件的数字化支付互动记录中标记得到的记录内容作为所述实时支付业务日志。
可以理解的是,在配置完成后,AI神经网络可以用于对所述触发风控分析条件的数字化支付互动记录进行日志分割,得到触发风控分析条件的数字化支付互动记录中所涵盖的各验证型交互请求日志分别绑定的验证型交互请求日志集,以及各实时支付业务主题分别绑定的实时支付业务主题集。如果数字化支付互动记录中包括多个验证型交互请求日志和/或多个实时支付业务主题,在关键词分析情况中还可以对不同验证型交互请求日志集和/或不同实时支付业务主题集进行记录。
在得到触发风控分析条件的数字化支付互动记录中所涵盖的验证型交互请求日志集与实时支付业务主题集后,可以选出目标验证型交互请求绑定的目标验证型交互请求集,并将所述目标验证型交互请求集在所述触发风控分析条件的数字化支付互动记录中标记得到的记录内容确定所述验证型交互请求日志,以及将实时支付业务主题集在所述触发风控分析条件的数字化支付互动记录中标记得到的记录内容作为所述实时支付业务日志。
在上述内容的基础上,在实施步骤step-204时,可以分别确定各实时支付业务日志与所述验证型交互请求日志之间的匹配指数。然后可以按照确定得到的匹配指数降序的规则,对实时支付业务日志进行整理,并将排序第一的实时支付业务日志作为所述目标实时支付业务日志。之后,可以将所述目标实时支付业务日志作为与所述验证型交互请求日志存在匹配关系的衍生型支付业务日志。
在一些可能的实施例中,所述匹配指数可以表征实时支付业务日志与验证型交互请求日志的日志内容重叠度。基于匹配指数,可以准确确定实时支付业务日志与验证型交互请求日志之间匹配指数,从而准确地确定出与所述验证型交互请求日志存在匹配关系的衍生型支付业务日志,利于提高异常交互风险分析的准确性。
在一些实施例中,还可以通过验证型交互请求日志与实时支付业务主题之间的日志特征共性评价(相关度指数)确定目标实时支付业务主题。
在一些可独立实施的设计思路下,在实施步骤step-104时,可以实施步骤step-402,对所述触发风控分析条件的数字化支付互动记录进行日志挖掘,得到所述实时支付业务日志以及所述验证型交互请求日志。然后实施步骤step-404,调用事先已经过配置的日志特征识别网络,确定所述实时支付业务日志与所述验证型交互请求日志之间日志特征共性评价。然后可以实施步骤step-406,将所述实时支付业务日志中,与所述验证型交互请求日志日志特征共性评价最高的目标实时支付业务日志,作为与所述验证型交互请求日志存在匹配关系的衍生型支付业务日志。
基于此,通过日志特征共性评价准确反映验证型交互请求日志与实时支付业务日志之间的相关性,从而可以确定与所述验证型交互请求日志相关度最强的衍生型支付业务日志,利于准确地确定目标验证型交互请求对应的实时支付业务主题种类,进而利于提高异常交互风险分析的准确性。在确定衍生型支付业务日志后,可以继续实施步骤step-106。
本申请实施例公开的所述验证型交互请求日志中可以涵盖与验证型交互请求的异常交互风险相关的第一数字化支付互动记录描述。比如,所述第一数字化支付互动记录描述可以涵盖验证型交互请求日志对应的实时支付业务主题,以及该实时支付业务主题关联的请求倾向关键词绑定的数字化支付互动记录描述。通过所述第一数字化支付互动记录描述可以确定关键词量化统计结果。
本申请实施例公开的所述实时支付业务日志中可以涵盖与实时支付业务主题种类相关的第二数字化支付互动记录描述。比如,所述第二数字化支付互动记录描述可以涵盖实时支付业务主题绑定的数字化支付互动记录描述。通过所述第二数字化支付互动记录描述可以确定实时支付业务主题种类。
对于一些可独立实施的设计方案,在实施步骤step-106时,可以实施步骤step-1062,对所述验证型交互请求日志进行倾向关键词统计分析,得到倾向关键词统计分析情况。以及步骤step-1064,对所述衍生型支付业务日志进行实时支付业务主题种类定位,得到实时支付业务主题种类定位情况。本申请实施例中不限定步骤step-1062与步骤step-1064的实施顺序。
举例而言,在实施步骤step-1062时,可以先确定所述验证型交互请求日志绑定的验证型交互请求日志内容。在一些实施例中,可以将所述目标验证型交互请求绑定的验证型交互请求日志集以及接收到的触发风控分析条件的数字化支付互动记录(或者借助CNN对所述触发风控分析条件的数字化支付互动记录进行描述挖掘得到的目标描述向量集)传入日志描述挖掘网络层,得到与所述目标验证型交互请求绑定的验证型交互请求日志内容。
可以理解的是,得到验证型交互请求日志内容之后,可以对所述验证型交互请求日志内容进行倾向关键词统计分析,得到倾向关键词统计分析情况。
举例而言,可以调用事先已经过配置的倾向关键词统计分析网络进行关键词数量统计。所述倾向关键词统计分析网络可以涵盖依据机器学习建立的Classifier。该网络导出的倾向关键词统计分析情况可以涵盖第一关键词分析情况、第二关键词分析情况与第三关键词分析情况,以及各种关键词分析情况分别绑定的真实性期望指数。其中,所述第一设定关键词分析情况反映关键词量化统计结果大于或等于第一设定量化条件。所述第二设定关键词分析情况反映关键词量化统计结果大于或等于第二设定量化条件。所述第三关键词分析情况反映关键词量化统计结果为第三设定量化条件。第一设定量化条件,第二设定量化条件与第三设定量化条件可以结合实际情况进行调整。比如,第一设定量化条件可以是6,第二设定量化条件可以是4,第一设定量化条件可以是2。
在确定精准倾向关键词统计分析情况时,可以挑选最高的真实性期望指数绑定的关键词分析情况。比如,借助上述倾向关键词统计分析网络,对验证型交互请求日志内容中关键词量化统计结果进行分类得到的关键词分析情况引导:第一关键词分析情况、第二关键词分析情况、第三关键词分析情况分别绑定的真实性期望指数0.6,0.25,0.15。即可确定倾向关键词统计分析情况为最高真实性期望指数0.6绑定的第一关键词分析情况。
然而经发明人研究和分析发现,在一些状态中可能无需进行或者难以正常进行异常交互风险分析。在本申请实施例中可以将这类状态称为指定状态。比如,虽然在验证型交互请求携带已认证身份标识的状态和验证型交互请求为延时请求的状态中包括验证型交互请求日志也包括实时支付业务主题,但是验证型交互请求并未触发相关异常检测条件,因此无需对这类状态中的异常交互风险进行分析。再比如,在多个验证型交互请求存在时序关联的状态、支付互动热度未达到设定热度值的状态和实时支付业务主题被限制的状态中,由于数字化支付互动记录中验证型交互请求日志或实时支付业务主题的热度欠佳,可能难以正常识别验证型交互请求日志或实时支付业务主题,从而可能难以正常进行异常交互风险分析。
鉴于此,可以在对验证型交互请求日志进行倾向关键词统计分析后得到的倾向关键词统计分析情况中增加反映当前风险分析未激活的第四关键词分析情况。如果对于验证型交互请求日志的倾向关键词统计分析情况为所述第四关键词分析情况,则表明该验证型交互请求日志中的状态为指定状态,无需或无法进行异常交互风险分析,因此可以无需对该验证型交互请求日志进行异常交互风险分析。
结合上述相关内容,借助上述倾向关键词统计分析网络导出的倾向关键词统计分析情况可以涵盖第一关键词分析情况、第二关键词分析情况、第三关键词分析情况与第四关键词分析情况,以及各种关键词分析情况分别绑定的真实性期望指数。所述第四关键词分析情况反映所述触发风控分析条件的数字化支付互动记录存在如下一种或多种指定状态:验证型交互请求携带已认证身份标识的状态;验证型交互请求为延时请求的状态;多个验证型交互请求存在时序关联的状态;支付互动热度未达到设定热度值的状态;实时支付业务主题被限制的状态。
在确定精准倾向关键词统计分析情况时,可以选择最高的真实性期望指数绑定的关键词分析情况。比如,借助上述倾向关键词统计分析网络,对验证型交互请求日志内容中关键词量化统计结果进行分类得到的关键词分析情况引导:第一关键词分析情况、第二关键词分析情况、第三关键词分析情况与第四关键词分析情况分别绑定的真实性期望指数0.2,0.1,0.05,0.65。即可确定倾向关键词统计分析情况为最高真实性期望指数0.65绑定的无效关键词分析情况。
对于一些可独立实施的技术方案而言,所述倾向关键词解析模型的配置步骤可以涵盖步骤step-11-步骤step-13。
步骤step-11,确定第一配置范例。所述第一配置范例包括多组验证型交互请求日志的范例数字化支付互动记录以及对应每组数字化支付互动记录的关键词量化统计结果的第一显著性描述内容,所述第一显著性描述内容包括如下注释中的一种:一个倾向关键词、两个倾向关键词、三个倾向关键词、指定状态显著性描述,所述指定状态显著性描述涵盖如下的不少于一种情形:验证型交互请求携带已认证身份标识、验证型交互请求为延时请求、多个验证型交互请求存在时序关联、支付互动热度未达到设定热度值、实时支付业务主题被限制;
步骤step-12,将所述第一配置范例传入指定的第一基础解析模型,得到每组范例数字化支付互动记录的范例倾向关键词统计分析情况。所述第一基础解析模型可以是CNN、RNN或者LSTM等。所述第一基础解析模型可以输出倾向关键词统计分析情况。
步骤step-13,依据所述范例倾向关键词统计分析情况与所述第一显著性描述内容确定的第一模型质量评价,二次配置所述第一基础解析模型,得到所述倾向关键词解析模型。
通过所述配置步骤,在进行倾向关键词统计分析时,不仅可以削减无法或无需进行异常交互风险分析的指定状态,提高异常交互风险检测异常交互风险分析效率;还可以准确地确定关键词量化统计结果,提高异常交互风险分析质量。
对于一些可独立实施的设计思路而言,在对所述验证型交互请求日志进行倾向关键词统计分析,得到关键词量化统计结果以及绑定的第一真实性期望指数之后,可以结合所述第一真实性期望指数大于或等于第一真实性期望指数判定值,将所述关键词量化统计结果作为所述验证型交互请求日志的倾向关键词统计分析情况。
可以理解的是,所述第一真实性期望指数判定值可以结合业务情形进行设定。比如,模型导出的假设倾向关键词统计分析为一个倾向关键词绑定的真实性期望指数为0.8,则倾向关键词统计分析情况绑定的第一真实性期望指数为0.8。该真实性期望指数可以反映关键词量化统计结果为一个倾向关键词时的可信系数(置信度)。
通过设置真实性期望指数判定值,并在真实性期望指数大于或等于真实性期望指数判定值的前提下输出倾向关键词统计分析情况,可以保证导出的关键词分析情况的可信度,进而保证异常交互风险分析的准确性。
对于一些可独立实施的设计思路而言,在实施步骤step-1064时,可以先结合所述衍生型支付业务日志,得到绑定的实时支付业务日志内容。在一些实施例中,可以将所述衍生型支付业务日志绑定的实时支付业务主题集以及与触发风控分析条件的数字化支付互动记录绑定的目标描述向量集,传入相关功能网络层,得到所述实时支付业务日志内容。
然后可以对所述实时支付业务日志内容进行实时支付业务主题种类定位,得到实时支付业务主题种类定位情况。在一些实施例中,可以调用事先已经过配置的支付业务主题关键词解析模型进行实时支付业务主题种类定位。所述支付业务主题关键词解析模型可以涵盖依据机器学习建立的Classifier。该模型导出的确定结果可以涵盖将实时支付业务日志内容中实时支付业务主题分别识别为各设定实时支付业务主题种类时的真实性期望指数。在确定精准实时支付业务主题种类时,可以挑选最高的真实性期望指数绑定的实时支付业务主题种类,可以将最高的真实性期望指数绑定的实时支付业务主题种类作为所述实时支付业务主题种类定位情况。
对于另一些刻独立实施的设计思路而言,所述支付业务主题关键词解析模型的配置步骤可以涵盖步骤step-21-步骤step-23。
步骤step-21,确定第二配置范例。所述第二配置范例包括多组实时支付业务主题的范例数字化支付互动记录以及对应每组数字化支付互动记录的实时支付业务主题种类的第二显著性描述内容。
步骤step-22,将所述第二配置范例传入指定的第二基础解析模型,得到每组范例数字化支付互动记录的范例实时支付业务主题种类定位情况。所述第二基础解析模型可以是CNN、RNN或者LSTM。所述第二基础解析模型可以输出实时支付业务主题种类定位情况。
步骤step-23,依据所述范例实时支付业务主题种类定位情况与所述第二显著性描述内容确定的第二模型质量评价,二次配置所述第二基础解析模型,得到所述支付业务主题关键词解析模型。
通过所述配置步骤,在进行实时支付业务主题种类定位时,可以借助机器学习模型的自适应学习特点,提高实时支付业务主题种类定位的精度。
对于一些可独立实施设计思路而言,在对所述衍生型支付业务日志进行实时支付业务主题种类定位,得到实时支付业务主题种类以及绑定的第二真实性期望指数之后。可以结合所述第二真实性期望指数大于或等于第二真实性期望指数判定值,将所述实时支付业务主题种类作为所述实时支付业务日志的实时支付业务主题种类定位情况。所述第二真实性期望指数判定值可以结合实际情况进行调整
通过设置真实性期望指数判定值,并在真实性期望指数大于或等于真实性期望指数判定值的前提下才输出实时支付业务主题种类定位情况,可以保证导出的关键词分析情况的可信度,进而保证异常交互风险分析的准确性。
可以理解的是,在得到验证型交互请求日志倾向关键词统计分析情况,实时支付业务主题种类定位情况后,可以实施步骤step-108。
在实施步骤step-108时,可以结合所述倾向关键词统计分析情况为第一关键词分析情况,确定所述目标验证型交互请求存在异常交互风险;所述第一设定关键词分析情况反映关键词量化统计结果大于或等于第一设定量化条件。所述第一设定量化条件,可以为先验条件。比如,在双端交互支付主题场景,不论何种种类的实时支付业务主题,包括主要互动倾向关键词在内的关键词量化统计结果不能超过三个倾向关键词。此时可以将所述第一设定量化条件设为3,关键词量化统计结果大于或等于三个倾向关键词或三个倾向关键词以上的,则可以确定存在异常交互风险。
此外,可以结合所述倾向关键词统计分析情况为第二关键词分析情况,并且所述种类定位情况反映的实时支付业务主题种类为指定的双端交互支付主题种类,确定所述目标验证型交互请求存在异常交互风险;所述第二关键词分析情况反映关键词量化统计结果大于或等于第二设定量化条件,所述第二设定量化条件小于所述第一设定量化条件。
进一步地,可以结合所述倾向关键词统计分析情况反映的关键词量化统计结果为所述第二关键词分析情况,并且所述种类定位情况反映的实时支付业务主题种类不是所述指定的双端交互支付主题种类,确定所述目标验证型交互请求并未存在异常交互风险。
更进一步地,可以结合所述倾向关键词统计分析情况为第三关键词分析情况,确定所述目标验证型交互请求并未存在异常交互风险;所述第三关键词分析情况反映关键词量化统计结果为第三设定量化条件,所述第三设定量化条件小于所述第二设定量化条件。所述第三设定量化条件可以是先验条件。。
最后,还可以结合所述倾向关键词统计分析情况为第四关键词分析情况,确定对于所述目标验证型交互请求的异常交互风险分析未激活。由此可以无需继续进行异常交互风险分析。
通过上述几种情况,可以对于不同的实时支付业务主题种类状态,得到对应的关键词分析情况。
在一些实施例中,在确定目标验证型交互请求存在异常交互风险的前提下,可以广播信息安全风控提示(向相关支付终端发送提示信息)。
对于一些可独立实施的实施方案而言,在接收到触发风控分析条件的数字化支付互动记录后,可以实施步骤step-501,确定出所述触发风控分析条件的数字化支付互动记录中存在的验证型交互请求日志绑定的验证型交互请求日志集和实时支付业务主题绑定的实时支付业务主题集,并挑选出目标验证型交互请求绑定的目标验证型交互请求集,将所述目标验证型交互请求集在所述触发风控分析条件的数字化支付互动记录中标记得到的记录内容作为验证型交互请求日志,将所述实时支付业务主题集在所述触发风控分析条件的数字化支付互动记录中标记得到的记录内容作为实时支付业务日志。
然后可以实施步骤step-502,确定各实时支付业务日志与所述验证型交互请求日志之间的匹配指数,并将最大匹配指数绑定的目标实时支付业务日志作为与所述验证型交互请求日志在交互场景层面下存在匹配关系的衍生型支付业务日志。由此可以借助验证型交互请求日志与其对应的实时支付业务主题在交互场景层面下的重叠情况,准确地确定出与所述验证型交互请求日志存在匹配关系的衍生型支付业务日志,利于提高实时支付业务主题种类定位准确性,得到准确的异常交互风险关键词分析情况。
进一步地,可以实施步骤step-503,确定与所述验证型交互请求日志绑定的验证型交互请求日志内容,并得到倾向关键词统计分析情况。步骤step-504,确定与所述衍生型支付业务日志绑定的实时支付业务日志内容,并得到实时支付业务主题种类定位情况。在本例中,可以判断倾向关键词统计分析情况与实时支付业务主题种类定位情况绑定的真实性期望指数是否大于或等于0.9,从而可以挑选出可信的倾向关键词统计分析情况与实时支付业务主题种类定位情况,进而提高异常交互分析准确性。之后可以实施步骤step-505,结合所述倾向关键词统计分析情况和所述种类定位情况,判断所述目标验证型交互请求是否存在异常交互风险。
对于一些可独立实施的设计思路而言,可以先实施步骤step-602,判断倾向关键词统计分析情况反映的关键词分析情况。如果所述倾向关键词统计分析情况对应于无效分析,无需进行所述目标验证型交互请求的异常交互风险分析。如果所述倾向关键词统计分析情况反映的关键词量化统计结果大于或等于三个倾向关键词,确定所述目标验证型交互请求存在异常交互风险。如果所述倾向关键词统计分析情况反映的关键词量化统计结果为两个倾向关键词,则可以进一步实施步骤step-604,确定所述种类定位情况反映的实时支付业务主题种类是否为目标种类。如果实时支付业务主题种类为目标种类,则确定所述目标验证型交互请求存在异常交互风险,否则确定所述目标验证型交互请求并未存在异常交互风险。如果所述倾向关键词统计分析情况反映的关键词量化统计结果为一个倾向关键词,则确定所述目标验证型交互请求并未存在异常交互风险。
除此之外,对于一些可独立实施的设计思路而言,在确定所述验证型交互请求日志中的目标验证型交互请求是否存在异常交互风险之后,如果所述目标验证型交互请求存在异常交互风险,根据所述目标验证型交互请求确定触发防攻击分析条件的在线支付会话以及会话要素筛选指标,通过所述在线支付会话以及所述会话要素筛选指标确定对应网络攻击的最终解析记录;根据所述最终解析记录确定攻击防护策略。
除此之外,对于一些可独立实施的设计思路而言,根据所述目标验证型交互请求确定触发防攻击分析条件的在线支付会话以及会话要素筛选指标,通过所述在线支付会话以及所述会话要素筛选指标确定对应网络攻击的最终解析记录的实施方式,以及根据所述最终解析记录确定攻击防护策略的实施方式可以包括以下内容。
步骤S101、确定不少于一组触发防攻击分析条件的在线支付会话和待分析支付数据网络攻击的不少于一个会话要素筛选指标。
对于本申请实施例而言,触发防攻击分析条件的在线支付会话可以理解为待处理的在线支付会话,防攻击分析条件可以根据会话时段、会话对象进行灵活设置,本申请实施例不作进一步限定。在线支付会话可以涉及境内支付会话或者跨境支付会话。
对于本申请实施例而言,待分析支付数据网络攻击可以是各类网络攻击。可选的,待分析支付数据网络攻击为具有数据信息安全风险的会话行为。
对于本申请实施例而言,待分析支付数据网络攻击的会话要素筛选指标用于删除被误认为网络攻击的会话行为。待分析支付数据网络攻击的会话要素筛选指标可以包括很多类指标,相关内容请参阅后续描述。
步骤S102、对所述不少于一组触发防攻击分析条件的在线支付会话启用网络攻击解析操作,获得所述待分析支付数据网络攻击的阶段化攻击解析记录。
对于本申请实施例而言,网络攻击解析操作可通过AI智能网络实现,阶段化攻击解析记录可以理解为中间解析记录或者过渡型解析记录。
对于本申请实施例而言,待分析支付数据网络攻击的阶段化攻击解析记录可以包括以下内容:不少于一组触发防攻击分析条件的在线支付会话中存在待分析支付数据网络攻击或不少于一组触发防攻击分析条件的在线支付会话中未携带待分析支付数据网络攻击。大数据防攻击系统使用AI智能网络对不少于一组触发防攻击分析条件的在线支付会话进行处理,可获得阶段化攻击解析记录。
对于本申请实施例而言,AI智能网络可以是CNN、RNN或者LSTM网络,但不限于此。
步骤S103、对所述不少于一组触发防攻击分析条件的在线支付会话进行网络攻击会话要素挖掘操作,获得所述待分析支付数据网络攻击的不少于一个会话要素。
对于本申请实施例而言,待分析支付数据网络攻击的会话要素可以理解为待分析支付数据网络攻击的会话属性或者会话特征。在一种对不少于一组触发防攻击分析条件的在线支付会话进行网络攻击会话要素挖掘操作的可独立实施的实施例中,将不少于一组触发防攻击分析条件的在线支付会话传入至会话要素挖掘网络,可获得待分析支付数据网络攻击的会话要素。会话要素挖掘网络可以是以会话要素为注释的在线支付会话作为训练集,调试和优化对应的神经网络模型。通过会话要素挖掘网络对不少于一组触发防攻击分析条件的在线支付会话进行处理,获得待分析支付数据网络攻击的会话要素。
比如,不少于一组触发防攻击分析条件的在线支付会话包括:触发防攻击分析条件的在线支付会话session_1。通过对会话要素挖掘网络对触发防攻击分析条件的在线支付会话session_1进行处理,获得的待分析支付数据网络攻击的会话要素包括:触发防攻击分析条件的在线支付会话session_1中包含的操作习惯特征/属性。
又比如,不少于一组触发防攻击分析条件的在线支付会话包括:触发防攻击分析条件的在线支付会话session_1和触发防攻击分析条件的在线支付会话session_2。通过对会话要素挖掘网络对触发防攻击分析条件的在线支付会话session_1和触发防攻击分析条件的在线支付会话session_2进行处理,获得的待分析支付数据网络攻击的会话要素。
再比如,不少于一组触发防攻击分析条件的在线支付会话包括:触发防攻击分析条件的在线支付会话session_1和触发防攻击分析条件的在线支付会话session_2。通过对会话要素挖掘网络对触发防攻击分析条件的在线支付会话session_1和触发防攻击分析条件的在线支付会话session_2进行处理,获得的待分析支付数据网络攻击的会话要素。
步骤S104、结合所述阶段化攻击解析记录、所述不少于一个会话要素和所述待分析支付数据网络攻击的不少于一个会话要素筛选指标,获得所述待分析支付数据网络攻击的最终解析记录。
如果待分析支付数据网络攻击的阶段化攻击解析记录为不少于一组触发防攻击分析条件的在线支付会话中未携带待分析支付数据网络攻击,此时,最终解析记录为待分析支付数据网络攻击处于待激活状态。如果待分析支付数据网络攻击的阶段化攻击解析记录为不少于一组触发防攻击分析条件的在线支付会话中存在待分析支付数据网络攻击,且待分析支付数据网络攻击的会话要素不满足会话要素筛选指标,表明待分析支付数据网络攻击处于待激活状态,即AI智能网络的解析记录存在误差,此时,最终解析记录为待分析支付数据网络攻击处于待激活状态。如果待分析支付数据网络攻击的阶段化攻击解析记录为不少于一组触发防攻击分析条件的在线支付会话中存在待分析支付数据网络攻击,且待分析支付数据网络攻击的会话要素满足会话要素筛选指标,表明待分析支付数据网络攻击处于激活状态,即AI智能网络的解析记录准确,此时,最终解析记录为待分析支付数据网络攻击处于激活状态。
对于一种可独立实施的实施方式,在阶段化攻击解析记录为不少于一组触发防攻击分析条件的在线支付会话中存在待分析支付数据网络攻击,且不少于一个会话要素满足不少于一个会话要素筛选指标的基础上,大数据防攻击系统确定最终解析记录为待分析支付数据网络攻击处于激活状态;在阶段化攻击解析记录为不少于一组触发防攻击分析条件的在线支付会话中存在待分析支付数据网络攻击,且不少于一个会话要素不满足不少于一个会话要素筛选指标的基础上,确定最终解析记录为待分析支付数据网络攻击处于待激活状态。
对于本申请实施例而言,大数据防攻击系统结合待分析支付数据网络攻击的会话要素和会话要素筛选指标,对阶段化攻击解析记录进行清洗,可清洗掉会话要素不满足会话要素筛选指标的解析情况,获得最终解析记录,可确保最终解析记录的精度。
对于一种可独立实施的实施例而言,大数据防攻击系统在执行步骤S103的过程中可以实施如下内容:在所述阶段化攻击解析记录为所述不少于一组触发防攻击分析条件的在线支付会话中存在所述待分析支付数据网络攻击的基础上,对所述不少于一组触发防攻击分析条件的在线支付会话进行网络攻击会话要素挖掘操作,获得所述待分析支付数据网络攻击的不少于一个会话要素。
其中,大数据防攻击系统先通过执行步骤S102获得阶段化攻击解析记录。在确定阶段化攻击解析记录为不少于一组触发防攻击分析条件的在线支付会话中存在待分析支付数据网络攻击的基础上执行步骤S103,可以节约大数据防攻击系统的资源开销。
对于一种可独立实施的实施例而言,大数据防攻击系统在执行步骤S102的过程中可以实施如下内容:在所述不少于一个会话要素满足会话要素筛选指标的基础上,对所述不少于一组触发防攻击分析条件的在线支付会话启用网络攻击解析操作,获得所述待分析支付数据网络攻击的阶段化攻击解析记录。
其中,大数据防攻击系统先通过执行步骤S103获得待分析支付数据网络攻击的不少于一个会话要素。在确定待分析支付数据网络攻击的不少于一个会话要素满足会话要素筛选指标的基础上执行步骤S102,可以节约大数据防攻击系统的资源开销。
对于一种可独立实施的实施例而言,待分析支付数据网络攻击包括分布式拒绝服务攻击,不少于一组触发防攻击分析条件的在线支付会话涵盖第一在线支付会话,第一在线支付会话涵盖分布式拒绝服务攻击检测内容。大数据防攻击系统在执行步骤S102的过程中可以实施如下内容:在确定所述分布式拒绝服务攻击检测内容内携带异常检测事项的基础上,确定所述阶段化攻击解析记录为所述第一在线支付会话中存在所述分布式拒绝服务攻击(DDOS)。
对于本申请实施例而言,分布式拒绝服务攻击包括以下不少于一个:实时分布式拒绝服务攻击、延时分布式拒绝服务攻击。异常检测事项包括以下不少于一个:应答拒绝式请求、异常流量状态主题。
如果大数据防攻击系统通过对第一在线支付会话启用网络攻击解析操作,确定分布式拒绝服务攻击检测内容内携带异常检测事项,表明异常检测事项处于激活状态分布式拒绝服务攻击行为;若大数据防攻击系统通过对第一在线支付会话启用网络攻击解析操作,确定分布式拒绝服务攻击检测内容内携带异常检测事项,表明异常检测事项处于待激活状态。
如此,在确定分布式拒绝服务攻击检测内容内携带异常检测事项的基础上,大数据防攻击系统确定阶段化攻击解析记录为第一在线支付会话中存在分布式拒绝服务攻击;在确定分布式拒绝服务攻击检测内容内不携带异常检测事项的基础上,大数据防攻击系统确定阶段化攻击解析记录为第一在线支付会话中未携带分布式拒绝服务攻击。
对于一种可独立实施的实施例而言,不少于一个会话要素筛选指标包括放行主题关键描述集,不少于一个会话要素包括异常检测事项的显著性语义表达。大数据防攻击系统在执行步骤S103的过程中可以实施如下内容:对所述第二在线支付会话进行显著性语义表达挖掘操作,获得所述异常检测事项的显著性语义表达内容。
对于本申请实施例而言,显著性语义表达内容包括以下不少于一个:局部语义向量、全局语义向量。其中,全局语义向量携带在线支付会话中的会话对象的验证关键词标签。
可以理解的是,大数据防攻击系统通过将显著性语义表达内容与放行主题关键描述集中的语义向量进行比较分析,确定放行主题关键描述集中是否存在与显著性语义表达内容存在对应关系的语义向量,来判断不少于一个会话要素是否满足不少于一个会话要素筛选指标。
例如,大数据防攻击系统确定放行语义向量(白名单语义向量)中未携带与显著性语义表达内容存在对应关系的语义向量,表明所述异常检测事项不能被放行,此时,大数据防攻击系统可确定不少于一个会话要素满足不少于一个会话要素筛选指标;大数据防攻击系统确定放行语义向量中存在与显著性语义表达内容存在对应关系的语义向量,表明所述异常检测事项能够被放行,此时,大数据防攻击系统可确定不少于一个会话要素不满足不少于一个会话要素筛选指标。
大数据防攻击系统通过将放行主题关键描述集作为会话要素筛选指标,能够减少解析误差,确保最终解析记录的精度。
对于一种可独立实施的实施例而言,不少于一个会话要素筛选指标还包括特征维度区间,不少于一个会话要素还包括异常检测事项的事项特征维度。大数据防攻击系统在执行步骤S103的过程中可以实施如下内容:对所述第二在线支付会话进行事项识别操作,获得所述异常检测事项的事项特征维度。
大数据防攻击系统通过对第二在线支付会话进行事项识别操作,可获得异常检测事项在第二在线支付会话中的事项特征维度。比如,在异常检测事项为应答拒绝式请求的基础上,大数据防攻击系统通过对第二在线支付会话进行会话对象检测处理,可获得涵盖应答拒绝式请求的会话对象标记结果,进而可结合会话对象标记结果的事项特征维度获得应答拒绝式请求在第二在线支付会话中的事项特征维度。又比如,在异常检测事项为异常流量状态主题的基础上,大数据防攻击系统通过对第二在线支付会话进行访问请求识别操作,可获得包含异常流量状态主题的异常流量状态主题标记结果,进而可结合异常流量状态主题标记结果的事项特征维度获得异常流量状态主题在第二在线支付会话中的事项特征维度。
基于此,大数据防攻击系统通过将显著性语义表达内容与放行主题关键描述集中的语义向量进行比较分析,确定放行主题关键描述集中是否存在与显著性语义表达内容存在对应关系的语义向量和判断异常检测事项的事项特征维度是否处于特征维度区间内,来判断不少于一个会话要素是否满足不少于一个会话要素筛选指标。
进一步地,大数据防攻击系统确定放行语义向量中未携带与显著性语义表达内容存在对应关系的语义向量,且异常检测事项的事项特征维度处于特征维度区间内,表明所述异常检测事项不能被放行,此时,大数据防攻击系统可确定不少于一个会话要素满足不少于一个会话要素筛选指标;大数据防攻击系统确定放行语义向量中存在与显著性语义表达内容存在对应关系的语义向量,且异常检测事项的事项特征维度处于特征维度区间内,表明所述异常检测事项能够被放行,此时,大数据防攻击系统可确定不少于一个会话要素不满足不少于一个会话要素筛选指标;大数据防攻击系统确定放行语义向量中未携带与显著性语义表达内容存在对应关系的语义向量,且异常检测事项的事项特征维度处于特征维度区间外,表明所述异常检测事项能够被放行,此时,大数据防攻击系统可确定不少于一个会话要素不满足不少于一个会话要素筛选指标;大数据防攻击系统确定放行语义向量中未携带与显著性语义表达内容存在对应关系的语义向量,且异常检测事项的事项特征维度处于特征维度区间外,表明所述异常检测事项能够被放行,此时,大数据防攻击系统可确定不少于一个会话要素不满足不少于一个会话要素筛选指标。
可以理解的是,大数据防攻击系统结合异常检测事项的事项特征维度和特征维度区间,判断待分析支付数据网络攻击的会话要素是否满足会话要素筛选指标,可确保最终解析记录的精度。
在一些可独立实施的设计思路下,不少于一组触发防攻击分析条件的在线支付会话包括第三在线支付会话和第四在线支付会话,其中,第三在线支付会话的设定数字签名先于第四在线支付会话的设定数字签名。不少于一个会话要素筛选指标包括设定时序累计值,不少于一个会话要素包括待分析支付数据网络攻击的时序统计结果。大数据防攻击系统在执行步骤S103的过程中可以实施如下内容:将所述第三在线支付会话的设定数字签名(时间戳)作为所述待分析支付数据网络攻击的启动时序节点(开始时间),并将所述第四在线支付会话的设定数字签名作为所述待分析支付数据网络攻击的终止时序节点(结束时间),获得所述时序统计结果(持续时长)。
比如,假定待分析支付数据网络攻击为过权限访问。大数据防攻击系统通过对第三在线支付会话启用网络攻击解析操作确定第三在线支付会话中的异常流量状态主题theme_1处于过权限访问约束条件内,通过对第四在线支付会话启用网络攻击解析操作确定第三在线支付会话中的异常流量状态主题theme_1处于过权限访问约束条件内。大数据防攻击系统进而确定异常流量状态主题theme_1过权限访问的时序统计结果为第三在线支付会话的捕捉时间至第四在线支付会话的捕捉时间。即第三在线支付会话的设定数字签名为异常流量状态主题theme_1过权限访问的启动时序节点,第四在线支付会话的设定数字签名为异常流量状态主题theme_1过权限访问的终止时序节点。
可以理解的是,对于本申请实施例而言的第三在线支付会话和第四在线支付会话仅为示例,在实际实施时,大数据防攻击系统可结合不少于两组触发防攻击分析条件的在线支付会话,获得待分析支付数据网络攻击的时序统计结果。
可以理解的是,大数据防攻击系统通过将待分析支付数据网络攻击的时序统计结果与设定时序累计值进行对比分析,确定待分析支付数据网络攻击的时序统计结果是否超过设定时序累计值,来判断不少于一个会话要素是否满足不少于一个会话要素筛选指标。
举例而言,大数据防攻击系统确定时序统计结果超过设定时序累计值,表明不少于一个会话要素满足不少于一个会话要素筛选指标;大数据防攻击系统确定时序统计结果未超过设定时序累计值,表明不少于一个会话要素不满足不少于一个会话要素筛选指标。
可以理解的是,大数据防攻击系统还可通过对不少于一组触发防攻击分析条件的在线支付会话进行事项识别操作,获得待分析支付数据网络攻击中的异常检测事项所处的分布情况,作为待分析支付数据网络攻击的不少于一个会话要素。
在一些可独立实施的设计思路下,待分析支付数据网络攻击包括过权限访问,不少于一个会话要素筛选指标还包括过权限访问约束条件,不少于一个会话要素包括待处理访问请求的分布情况,第三在线支付会话和第四在线支付会话皆涵盖所述待处理访问请求。大数据防攻击系统在执行步骤S103的过程中还可以实施如下内容:对所述第三在线支付会话进行访问请求识别操作,获得所述待处理访问请求在所述第三在线支付会话中的第一分布情况;对所述第四在线支付会话进行访问请求识别操作,获得所述待处理访问请求在所述第四在线支付会话中的第二分布情况。
对于本申请实施例而言,待处理访问请求在在线支付会话中的分布情况可以是包含待处理访问请求的异常流量状态主题标记结果在在线支付会话的映射空间下的分布情况。比如,待处理访问请求在在线支付会话中的分布情况可以是,包含待处理访问请求的异常流量状态主题标记结果的二维分布约束在映射空间下的空域描述。
大数据防攻击系统通过对第三在线支付会话进行访问请求识别操作,可获得待处理访问请求在第三在线支付会话中的分布情况,即第一分布情况。大数据防攻击系统通过对第三在线支付会话进行访问请求识别操作,可获得待处理访问请求在第三在线支付会话中的分布情况,即第二分布情况。
可以理解的是,大数据防攻击系统通过待分析支付数据网络攻击的时序统计结果与设定时序累计值进行对比分析确定待分析支付数据网络攻击的时序统计结果是否超过设定时序累计值和判断待处理访问请求的分布情况是否处于过权限访问约束条件内,来判断不少于一个会话要素是否满足不少于一个会话要素筛选指标。
示例性的,大数据防攻击系统确定时序统计结果超过设定时序累计值,且第一分布情况和第二分布情况皆匹配于过权限访问约束条件内,表明不少于一个会话要素满足不少于一个会话要素筛选指标。
大数据防攻击系统在确定以下至少一种情况发生的基础上,确定不少于一个会话要素不满足不少于一个会话要素筛选指标:时序统计结果未超过设定时序累计值、第一分布情况位于过权限访问约束条件外、第二分布情况位于过权限访问约束条件外,进一步地:大数据防攻击系统确定时序统计结果未超过设定时序累计值,且第一分布情况和第二分布情况皆匹配于过权限访问约束条件内,表明不少于一个会话要素不满足不少于一个会话要素筛选指标;大数据防攻击系统确定时序统计结果未超过设定时序累计值,且第一分布情况位于过权限访问约束条件外、第二分布情况皆匹配于过权限访问约束条件内,表明不少于一个会话要素不满足不少于一个会话要素筛选指标;大数据防攻击系统确定时序统计结果未超过设定时序累计值,且第一分布情况位于过权限访问约束条件内、第二分布情况皆匹配于过权限访问约束条件外,表明不少于一个会话要素不满足不少于一个会话要素筛选指标;大数据防攻击系统确定时序统计结果超过设定时序累计值,且第一分布情况和第二分布情况皆匹配于过权限访问约束条件外,表明不少于一个会话要素不满足不少于一个会话要素筛选指标;大数据防攻击系统确定时序统计结果未超过设定时序累计值,且第一分布情况和第二分布情况皆匹配于过权限访问约束条件外,表明不少于一个会话要素不满足不少于一个会话要素筛选指标。
在一些可独立实施的设计思路下,不少于一组触发防攻击分析条件的在线支付会话包括第五在线支付会话,不少于一个会话要素筛选指标包括可信评价判定值。大数据防攻击系统在执行步骤S103的过程中还可以实施如下内容:对所述第五在线支付会话进行事项识别操作,获得所述第五在线支付会话中异常检测事项的可信评价。
异常检测事项的可信评价表明异常检测事项的置信权重。比如,在异常检测事项为应答拒绝式请求的基础上,异常检测事项的可信评价表明第五在线支付会话中的异常检测事项为应答拒绝式请求的可能性;在异常检测事项为异常流量状态主题的基础上,异常检测事项的可信评价表明第五在线支付会话中的异常检测事项为异常流量状态主题的可能性。
基于此,大数据防攻击系统通过将异常检测事项的可信评价与可信评价判定值进行对比分析确定在线支付会话中的异常检测事项是否可信,来判断不少于一个会话要素是否满足不少于一个会话要素筛选指标。
可以理解的是,大数据防攻击系统确定异常检测事项的可信评价超过可信评价判定值,表明不少于一个会话要素满足不少于一个会话要素筛选指标;大数据防攻击系统确定异常检测事项的可信评价未超过可信评价判定值,表明不少于一个会话要素不满足不少于一个会话要素筛选指标。
在一些可独立实施的设计思路下,不少于一个会话要素筛选指标包括异常提示时序区间。大数据防攻击系统在执行步骤S103的过程中还可以实施如下内容:将所述第六在线支付会话的设定数字签名作为所述待分析支付数据网络攻击的激活时刻。
对于本申请实施例而言,第六在线支付会话为不少于一组触发防攻击分析条件的在线支付会话中设定数字签名最晚的在线支付会话。异常提示时序区间为大数据防攻击系统在确定待分析支付数据网络攻击发生的基础上进行提示的时段。
基于此,大数据防攻击系统通过判断待分析支付数据网络攻击的激活时刻是否处于异常提示时序区间内,确定不少于一个会话要素是否满足不少于一个会话要素筛选指标。
示例性的,大数据防攻击系统确定待分析支付数据网络攻击的激活时刻处于异常提示时序区间外,表明不少于一个会话要素满足不少于一个会话要素筛选指标;大数据防攻击系统确定待分析支付数据网络攻击的激活时刻处于异常提示时序区间内,表明不少于一个会话要素不满足不少于一个会话要素筛选指标。
在一些可独立实施的设计思路下,在会话要素筛选指标的数目大于一的基础上,在执行步骤S103之前,大数据防攻击系统还可以实施如下内容:确定所述筛选指标所对应的待分析支付数据网络攻击的会话要素的关注度队列。
对于本申请实施例而言,关注度越高的待分析支付数据网络攻击的会话要素,从触发防攻击分析条件的在线支付会话中挖掘出该会话要素所需的资源开销越小。比如,大数据防攻击系统从在线支付会话中确定在线支付会话的设定数字签名所需的资源开销,比从在线支付会话中挖掘出异常流量状态主题所在的分布情况所需的资源开销小。因此,对待分析支付数据网络攻击而言,时序统计结果这个会话要素的关注度比异常流量状态主题的分布情况这个会话要素的关注度要高。
可以理解的是,在确定所述筛选指标所对应的待分析支付数据网络攻击的会话要素的关注度队列的基础上,大数据防攻击系统在执行步骤S103的过程中可以实施如下内容:对所述不少于一组触发防攻击分析条件的在线支付会话进行第一会话要素挖掘操作,获得所述待分析支付数据网络攻击的第一会话要素;在所述第一会话要素满足所述第一会话要素所对应的会话要素筛选指标的基础上,对所述不少于一组触发防攻击分析条件的在线支付会话进行第二会话要素挖掘操作,获得所述待分析支付数据网络攻击的第二会话要素;在所述第一会话要素不满足第一会话要素所对应的筛选指标的基础上,终止对所述不少于一组触发防攻击分析条件的在线支付会话进行网络攻击会话要素挖掘操作。
对于本申请实施例而言,第一会话要素为关注度队列中关注度最大的会话要素。比如待分析支付数据网络攻击为过权限访问。待分析支付数据网络攻击的会话要素包括:时序统计结果、异常流量状态主题的分布情况、异常流量状态主题的事项特征维度。假定待分析支付数据网络攻击的会话要素的关注度队列中,关注度最大的会话要素为时序统计结果,关注度次高的会话要素为异常流量状态主题的事项特征维度,关注度最低的会话要素的异常流量状态主题的分布情况。
在本申请实施例中,大数据防攻击系统首先通过对不少于一组触发防攻击分析条件的在线支付会话进行第一会话要素挖掘操作,获得待分析支付数据网络攻击的第一会话要素。比如,结合上述内容,大数据防攻击系统首先确定不少于一组触发防攻击分析条件的在线支付会话的设定数字签名。
对于本申请实施例而言,第二会话要素为关注度队列中关注度次高的会话要素。比如,集合上述内容,第二会话要素为异常流量状态主题的事项特征维度。
大数据防攻击系统在获得第一会话要素后,判断第一会话要素是否满足不少于一个会话要素筛选指标中第一会话要素所对应的会话要素筛选指标。在第一会话要素满足第一会话要素所对应的会话要素筛选指标的基础上,大数据防攻击系统对不少于一组触发防攻击分析条件的在线支付会话进行第二会话要素挖掘操作,获得待分析支付数据网络攻击的第二会话要素。
比如,大数据防攻击系统在确定异常流量状态主题终止的时序统计结果超过设定时序累计值的基础上,对不少于一组触发防攻击分析条件的在线支付会话进行访问请求识别操作,获得异常流量状态主题在触发防攻击分析条件的在线支付会话中的分布情况。
如果第一会话要素不满足第一会话要素所对应的会话要素筛选指标,表明待处理的不少于一个会话要素不满足不少于一个会话要素筛选指标。因此,大数据防攻击系统无需再继续从不少于一组触发防攻击分析条件的在线支付会话中挖掘除第一会话要素之外的会话要素,这样可减少资源开销。
对于另外的一些实施例而言,如果第二会话要素满足第二会话要素所对应的会话要素筛选指标,对不少于一组触发防攻击分析条件的在线支付会话进行第三会话要素挖掘操作,获得待分析支付数据网络攻击的第三会话要素。大数据防攻击系统再判断第三会话要素是否满足第三会话要素所对应的会话要素筛选指标,一直迭代直到某个会话要素不满足该会话要素所对应的会话要素筛选指标,大数据防攻击系统终止执行会话要素挖掘操作。或者,大数据防攻击系统再判断第三会话要素是否满足第三会话要素所对应的会话要素筛选指标,一直迭代直到挖掘出待分析支付数据网络攻击的全部会话要素。
对于本申请实施例而言,大数据防攻击系统在关注度高的会话要素满足会话要素筛选指标的基础上,从不少于一组触发防攻击分析条件的在线支付会话中挖掘关注度次高的会话要素,可减少资源开销,提高攻击防护处理效率。
在另一些实施例下,在所述最终解析记录为所述待分析支付数据网络攻击处于待激活状态的基础上,下发攻击应对策略。
除此之外,对于一些可独立实施的技术方案而言,在获得所述待分析支付数据网络攻击的最终解析记录之后,该方法还可以包括以下内容:根据所述最终解析记录确定所述待分析支付数据网络攻击的攻击风险描述;基于所述攻击风险描述确定针对所述待分析支付数据网络攻击的攻击防护策略。
其中,在所述最终解析记录为所述待分析支付数据网络攻击处于待激活状态的基础上,下发攻击应对策略的实施方式与根据所述最终解析记录确定所述待分析支付数据网络攻击的攻击风险描述;基于所述攻击风险描述确定针对所述待分析支付数据网络攻击的攻击防护策略的实施方式可以择一实施,本申请实施例不作限制。
除此之外,对于一些可独立实施的技术方案而言,根据所述最终解析记录确定所述待分析支付数据网络攻击的攻击风险描述,可以通过以下实施方式实现:将最终解析记录加载至第一已训练LSTM模型中的攻击偏好提取网络层,得到所述攻击偏好提取网络层生成的所述最终解析记录的第一攻击偏好表达和第二攻击偏好表达,其中,所述攻击偏好提取网络层包括存在上下游关系的多个偏好提取节点,所述第一攻击偏好表达是所述存在上下游关系的多个偏好提取节点中的除最后一个节点之外的偏好提取节点生成的攻击偏好表达,所述第二攻击偏好表达是所述存在上下游关系的多个偏好提取节点中的最后一个的偏好提取节点生成的攻击偏好表达;将所述第二攻击偏好表达加载至所述第一已训练LSTM模型中的粗识别网络层,得到所述粗识别网络层生成的目标粗识别结果,其中,所述目标粗识别结果为在所述最终解析记录中挖掘出的目标攻击风险描述所在的粗识别结果;将所述第一攻击偏好表达、所述第二攻击偏好表达和第三攻击偏好表达以及所述目标粗识别结果加载至所述第一已训练LSTM模型中的细识别网络层,得到所述细识别网络层生成的所述目标攻击风险描述的检测攻击风险描述标签以及所述目标攻击风险描述的风险等级在所述最终解析记录中的检测分布,其中,所述第三攻击偏好表达是所述粗识别网络层中的偏好提取节点根据目标偏好向量生成的攻击偏好表达,所述目标偏好向量是对所述第二攻击偏好表达进行调整得到的描述向量。
如此设计,可以基于粗细识别网络层精准定位检测攻击风险描述标签以及目标攻击风险描述的风险等级在所述最终解析记录中的检测分布,这样能够保障攻击风险描述的准确性和完整性,从而基于攻击风险描述准确完整地确定针对待分析支付数据网络攻击的攻击防护策略。
通过对在线支付会话进行网络攻击解析操作获得待分析支付数据网络攻击的阶段化攻击解析记录,以及对在线支付会话进行网络攻击会话要素挖掘操作获得待分析支付数据网络攻击的不少于一个会话要素,能够结合阶段化攻击解析记录、会话要素和会话要素筛选指标,获得待分析支付数据网络攻击的最终解析记录。如此,结合待分析支付数据网络攻击的会话要素和会话要素筛选指标,对阶段化攻击解析记录进行清洗,可清洗掉会话要素不满足会话要素筛选指标的解析情况,获得最终解析记录,可确保最终解析记录的精度,从而为后续的攻击防护提供准确可靠的数据基础。
基于上述同样的发明构思,还提供了一种应用于大数据风控的异常支付数据分析装置20,应用于大数据风控分析系统10,所述装置包括:记录采集模块21,用于采集触发风控分析条件的数字化支付互动记录,以及确定所述触发风控分析条件的数字化支付互动记录所涵盖的实时支付业务日志中,与所述触发风控分析条件的数字化支付互动记录中的验证型交互请求日志存在匹配关系的衍生型支付业务日志,所述验证型交互请求日志包括实时支付业务主题以及不少于一个请求倾向关键词;风险检测模块22,用于对所述验证型交互请求日志进行倾向关键词统计分析,得到倾向关键词统计分析情况,以及对所述衍生型支付业务日志进行实时支付业务主题种类定位,得到实时支付业务主题种类定位情况;结合所述倾向关键词统计分析情况和所述实时支付业务主题种类定位情况,确定所述验证型交互请求日志中的目标验证型交互请求是否存在异常交互风险。
在本申请实施例所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,大数据风控分析系统10,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。