CN114764370A - 风险评估方法、装置、电子设备及可读介质 - Google Patents
风险评估方法、装置、电子设备及可读介质 Download PDFInfo
- Publication number
- CN114764370A CN114764370A CN202210335260.9A CN202210335260A CN114764370A CN 114764370 A CN114764370 A CN 114764370A CN 202210335260 A CN202210335260 A CN 202210335260A CN 114764370 A CN114764370 A CN 114764370A
- Authority
- CN
- China
- Prior art keywords
- risk
- data
- application program
- grabbing
- original
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45504—Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
- G06F9/45516—Runtime code conversion or optimisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45504—Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
- G06F9/45529—Embedded in an application, e.g. JavaScript in a Web browser
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Human Resources & Organizations (AREA)
- General Engineering & Computer Science (AREA)
- Entrepreneurship & Innovation (AREA)
- Strategic Management (AREA)
- Economics (AREA)
- Educational Administration (AREA)
- Game Theory and Decision Science (AREA)
- Development Economics (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Stored Programmes (AREA)
Abstract
本发明实施例提供了一种风险评估方法、装置、电子设备及可读介质,在自动化测试工具中设置有抓取脚本,所述抓取脚本为针对应用程序定制开发,所述方法包括:将所述抓取脚本转换为所述应用程序的抓取指令;在连接所述应用程序时,驱动所述应用程序执行所述抓取指令,以得到所述应用程序的原始风险数据;根据所述原始风险数据进行风险评估。本发明实施例通过自动化测试工具来抓取应用程序的原始风险数据,以及对原始风险数据进行风险评估,无需人工参与,风险评估的全流程自动化,提高了风险评估的效率。
Description
技术领域
本发明实施例涉及互联网技术领域,特别是涉及一种风险评估方法、一种风险评估装置、一种电子设备以及一种计算机可读介质。
背景技术
风控系统是企业风险控制的核心系统,风控治理旨在降低或消除企业业务中存在的安全风险。风控系统中包括风险评估系统,风险评估系统是整个风控系统中非常重要的一个环节,风险评估系统是负责企业业务风险评估的平台,它以一种外部身份,评估风险并产出风险评估报告。具体而言,风险评估系统主要包含风险发现、风险评估、结果存储和风险报告等阶段。风险评估系统可以依据发现的风险反哺风控系统,从而形成一个良性的大循环,促进企业风控能力不断升级。
然而,风险评估系统获取用于进行风险评估的原始风险数据,是通过网络抓包的方式来抓取,但是网络抓包成本较高,且成功率低,也正是如此,导致无法在风险评估系统中正常进入下一步的评估,不能实现风险评估的全流程自动化,风险评估的效率低。
发明内容
本发明实施例是提供一种风险评估方法、装置、电子设备以及计算机可读存储介质,以解决不能实现风险评估的全流程自动化,风险评估的效率低的问题。
本发明实施例公开了一种风险评估方法,在自动化测试工具中设置有抓取脚本,所述抓取脚本为针对应用程序定制开发,所述方法包括:
将所述抓取脚本转换为所述应用程序的抓取指令;
在连接所述应用程序时,驱动所述应用程序执行所述抓取指令,以得到所述应用程序的原始风险数据;
根据所述原始风险数据进行风险评估。
可选地,所述驱动所述应用程序执行所述抓取指令,以得到所述应用程序的原始风险数据,包括:
确定抓取范围;所述抓取范围为根据指定业务区域或者预设知识库确定;
驱动所述应用程序执行所述抓取指令,以得到在所述抓取范围内的所述应用程序的原始风险数据。
可选地,所述驱动所述应用程序执行所述抓取指令,以得到所述应用程序的原始风险数据,包括:
将所述抓取指令发送至所述应用程序,以驱动所述应用程序执行所述抓取指令,抓取所述应用程序的页面的页面数据;
对所述页面数据进行解析,得到原始风险数据。
可选地,在所述对所述页面数据进行解析,得到原始风险数据之后,所述方法还包括:
当所述原始风险数据与预设知识库中匹配时,生成截图指令;
将所述截图指令发送至所述应用程序,以驱动所述应用程序执行所述截图指令,得到所述应用程序的页面的现场页面截图。
可选地,所述根据所述原始风险数据进行风险评估,包括:
对所述原始风险数据进行风险评估,得到评估结果数据;
根据所述原始风险数据和所述评估结果数据,生成风险报告。
可选地,所述对所述原始风险数据进行风险评估,得到评估结果数据,包括:
将所述原始风险数据提交至第一风险评估平台,以得到第一评估结果数据;
在得到第一评估结果数据后,将所述原始风险数据和所述第一评估结果数据提交至第二风险评估平台,以得到第二评估结果数据。
可选地,所述自动化测试工具为Appium。
本发明实施例还公开了一种风险评估装置,在自动化测试工具中设置有抓取脚本,所述抓取脚本为针对应用程序定制开发,所述装置包括:
抓取脚本转换模块,用于将所述抓取脚本转换为所述应用程序的抓取指令;
风险数据得到模块,用于在连接所述应用程序时,驱动所述应用程序执行所述抓取指令,以得到所述应用程序的原始风险数据;
风险评估模块,用于根据所述原始风险数据进行风险评估。
可选地,所述风险数据得到模块,用于确定抓取范围;所述抓取范围为根据指定业务区域或者预设知识库确定;驱动所述应用程序执行所述抓取指令,以得到在所述抓取范围内的所述应用程序的原始风险数据。
可选地,所述风险数据得到模块,用于将所述抓取指令发送至所述应用程序,以驱动所述应用程序执行所述抓取指令,抓取所述应用程序的页面的页面数据;对所述页面数据进行解析,得到原始风险数据。
可选地,所述装置还包括:现场页面截图模块,用于当所述原始风险数据与预设知识库中匹配时,生成截图指令;将所述截图指令发送至所述应用程序,以驱动所述应用程序执行所述截图指令,得到所述应用程序的页面的现场页面截图。
可选地,所述风险评估模块,用于对所述原始风险数据进行风险评估,得到评估结果数据;根据所述原始风险数据和所述评估结果数据,生成风险报告。
可选地,所述风险评估模块,用于将所述原始风险数据提交至第一风险评估平台,以得到第一评估结果数据;在得到第一评估结果数据后,将所述原始风险数据和所述第一评估结果数据提交至第二风险评估平台,以得到第二评估结果数据。
可选地,所述自动化测试工具为Appium。
本发明实施例还公开了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,所述处理器、所述通信接口以及所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行存储器上所存放的程序时,实现如本发明实施例所述的方法。
本发明实施例还公开了一个或多个计算机可读介质,其上存储有指令,当由一个或多个处理器执行时,使得所述处理器执行如本发明实施例所述的方法。
本发明实施例还公开了一种计算机程序产品,该程序产品被存储在存储介质中,该计算机程序产品被至少一个处理器执行以实现如本发明实施例所述的方法。
本发明实施例包括以下优点:
在本发明实施例中,在自动化测试工具中设置有针对应用程序定制开发的抓取脚本,将抓取脚本转换为应用程序的抓取指令,随后,在自动化测试工具连接应用程序时,可以驱动应用程序执行抓取指令,得到应用程序的原始风险数据,进而可以根据原始风险数据进行风险评估。本发明实施例通过自动化测试工具来抓取应用程序的原始风险数据,以及对原始风险数据进行风险评估,无需人工参与,风险评估的全流程自动化,提高了风险评估的效率。
附图说明
图1是本发明实施例中提供的一种应用环境的示意图;
图2是本发明实施例中提供的一种风险评估方法的步骤流程图;
图3是本发明实施例中提供的一种Appium的架构示意图;
图4是本发明实施例中提供的一种知识库形成的流程示意图;
图5是本发明实施例中提供的一种报告任务执行的示意图;
图6是本发明实施例中提供的一种风险评估系统的整体系统架构图;
图7是本发明实施例中提供的一种风险评估装置的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明实施例所提供的风险评估方法,可以应用于如图1所示的应用环境中。其中,终端设备102中运行有应用程序,终端设备102的应用程序均可以通过网络与服务器104进行通信。具体地,服务器104将抓取脚本转换为终端设备102的应用程序的抓取指令,在连接应用程序时,驱动应用程序执行抓取指令,以得到应用程序的原始风险数据;根据原始风险数据进行风险评估。
实际应用中,终端设备102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、机器人、车载终端和便携式可穿戴设备,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
参照图2,示出了本发明实施例中提供的一种风险评估方法的步骤流程图,在自动化测试工具中设置有抓取脚本,所述抓取脚本为针对应用程序定制开发,具体可以包括如下步骤:
步骤202、将所述抓取脚本转换为所述应用程序的抓取指令。
步骤204、在连接所述应用程序时,驱动所述应用程序执行所述抓取指令,以得到所述应用程序的原始风险数据。
其中,所述自动化测试工具可以为Appium。Appium是一个开源、跨平台(测试程序跨平台、支持多平台上的应用程序测试)、支持多语言的(开发语言)移动应用自动化工具。具体来说,Appium可用于原生应用程序(Native App)、混合应用程序(Hybrid App)和移动Web应用程序(Web App)的测试,Appium可以使用WebDriver协议驱动上述类型的应用程序。
其中,抓取脚本为开发人员在自动化测试工具基础上编写的、用于抓取原始风险数据的脚本。在具体实现中,基于Appium支持多语言的特性,摆脱语言的限制,因此,在开发人员编写抓取脚本时可以使用多种语言,例如,Java、Python、Objective-C等等,并且,开发人员可以针对应用程序定制开发抓取脚本,从而可以在Appium中将抓取脚本转换为针对应用程序的抓取指令,驱动应用程序执行抓取指令,实现原始风险数据的自动抓取。
在具体实现中,在终端设备上运行应用程序,这些应用程序为需要进行原始风险数据抓取的抓取对象,通常依赖于Android或者iOS等语言。参照图3,应用程序(AppiumClient)可以是运行在Android或者iOS等环境的终端设备中,在Appium连接应用程序时,Appium作为服务端(Appium Server),可以对抓取脚本进行解析,转化成应用程序的抓取指令,从而Appium可以驱动应用程序执行抓取指令,得到应用程序的原始风险数据。
步骤206、根据所述原始风险数据进行风险评估。
其中,风险是指存在不符合法律规范或企业的业务规范的所有一切内容。需要说明的是,风险所定义的内容短期内是相对固定的,长期内是不断变化的,并且,在实际应用中,风险可以根据企业实际需求细化或者调整定义。
在本发明实施例中,抓取到应用程序的原始风险数据后,可以基于原始风险数据对应用程序进行风险评估,以确定应用程序是否存在风险、确定风险类型。示例性地,假设某个用户在应用程序中发布了一些内容,通过将Appium的抓取脚本转换为应用程序的抓取指令,驱动应用程序执行抓取指令,可以抓取到应用程序的原始风险数据,对这些原始风险数据进行风险评估,若发现存在不符合法律规范的敏感内容,则说明应用程序中该用户发布的内容存在风险。
在上述风险评估方法中,在自动化测试工具中设置有针对应用程序定制开发的抓取脚本,将抓取脚本转换为应用程序的抓取指令,随后,在自动化测试工具连接应用程序时,可以驱动应用程序执行抓取指令,得到应用程序的原始风险数据,进而可以根据原始风险数据进行风险评估。本发明实施例通过自动化测试工具来抓取应用程序的原始风险数据,以及对原始风险数据进行风险评估,无需人工参与,风险评估的全流程自动化,提高了风险评估的效率。
在上述实施例的基础上,提出了上述实施例的变型实施例,在此需要说明的是,为了使描述简要,在变型实施例中仅描述与上述实施例的不同之处。
在一示例性实施例中,所述步骤204、驱动所述应用程序执行所述抓取指令,以得到所述应用程序的原始风险数据,可以包括如下步骤:
确定抓取范围;所述抓取范围为根据指定业务区域或者预设知识库确定;
驱动所述应用程序执行所述抓取指令,以得到在所述抓取范围内的所述应用程序的原始风险数据。
在具体实现中,在应用程序中设置有多个业务区域,例如房产业务区域、汽车业务区域、招聘业务区域、物品交易业务区域等等,其中,指定业务区域是应用程序中重点业务区域,重点业务区域可以依赖运营人员分析确定。例如,可以将应用程序的房产业务区域、汽车业务区域等作为重点业务区域。
其中,知识库是风险评估系统的核心数据资产,其主要作用是帮助发现风险,可以在对原始风险数据进行风险评估提供有力支撑。知识库中可以包括用例集、风险词库、图像库、音频库和视频库等。具体来说,用例集是直接面向评估任务流程,评估任务通过跑用例集完成风险发现和风险评估,同时,用例集自身的完善和丰富也会提升督导能力;风险词库是收录了风险相关的关键词的知识库;图像库是收录了风险相关的图像的知识库、音频库是收录了风险相关的音频的知识库;视频库是收录了风险相关的视频的知识库。当然,随着知识库不断积累和丰富,后续可以新增其他介质的知识库和完善已有的知识库,进而实现更高质量和更多方面的风险评估。
参照图4,是本发明实施例的一种知识库形成的流程示意图,具体地,收集一些在应用程序中的数据作为线索,例如,从应用程序中抓取的黑样本数据、在应用程序中审核不通过的数据、经申诉后审核通过的数据、以及其他的风险数据作为线索,通过对这些线索在过滤器链进行过滤后,再进行人工评估和机器评估,得到可以收录到知识库风险相关的用例集。
在本发明实施例中,预先可以根据指定业务区域或者知识库,设置应用程序的原始风险数据的抓取范围,例如,驱动应用程序执行抓取指令时,仅抓取在应用程序的指定业务区域中的原始风险数据,或者,驱动应用程序执行抓取指令时,抓取在应用程序中与风险词库中的关键词匹配的原始风险数据。
在上述示例性实施例中,确定抓取范围,从而在自动化测试工具在连接应用程序后,驱动应用程序执行抓取指令,得到在抓取范围内的应用程序的原始风险数据,通过目标性的缩小发现范围,可以更精准地定位风险。
在一示例性实施例中,所述步骤204、驱动所述应用程序执行所述抓取指令,以得到所述应用程序的原始风险数据,可以包括如下步骤:
将所述抓取指令发送至所述应用程序,以驱动所述应用程序执行所述抓取指令,抓取所述应用程序的页面的页面数据;
对所述页面数据进行解析,得到原始风险数据。
应用程序在终端设备运行的过程中,用户可以通过应用程序提供的页面与应用程序进行交互,例如,通过应用程序的页面发布文本、图像、视频、音频等内容。
在本发明实施例中,在自动化测试工具在连接应用程序后,可以将抓取脚本转换成的抓取指令发送至应用程序,驱动应用程序抓取应用程序的页面的页面数据,具体地,页面数据为所有能够在页面中观察到的数据,这些数据都可以通过抓取脚本抓取得到,例如,用户在应用程序的页面中的输入、点击、按压、滑动、聊天等内容。在得到页面数据后,自动化测试工具可以对页面数据进行解析,从而得到原始风险数据,以便于后续进行风险评估。
在上述示例性实施例中,通过在自动化测试工具的抓取脚本,可以抓取在应用程序的页面中能够观察到的页面数据,进而基于页面数据可以解析得到原始风险数据,相比对于是通过网络抓包的方式来抓取,成本较低,且成功率高,也正是如此,在风险评估系统中可以正常进入下一步的风险评估,实现风险评估的全流程自动化,提高了风险评估的效率。
在一示例性实施例中,在所述步骤204、对所述页面数据进行解析,得到原始风险数据之后,所述方法还可以包括如下步骤:
当所述原始风险数据与预设知识库中匹配时,生成截图指令;
将所述截图指令发送至所述应用程序,以驱动所述应用程序执行所述截图指令,得到所述应用程序的页面的现场页面截图。
在本发明实施例中,预设知识库可以用于进行风险评估,在从应用程序中得到页面数据,并解析得到原始风险数据后,可以将原始风险数据与预设知识库进行匹配,示例性地,可以将原始风险数据与风险词库的关键词进行匹配,若存在匹配项(例如原始风险数据中包括关键词“办证”,风险词库中也包括关键词“办证”),则可以确定该原始风险数据可能存在风险,则生成截图指令,并将截图指令发送至应用程序,应用程序则可以执行截图指令,对相应的界面进行截图,得到现场页面截图,从而保留现场,那么即使后续这些内容被用户从应用程序中移除,也可以基于现场页面截图进行追溯。
作为一个可选示例,在得到原始风险数据的同时,就可以驱动应用程序对页面进行截图,得到应用程序的页面的现场页面截图,从而保留现场,使得从应用程序抓取的原始风险数据更具说服力。
可以理解,现场页面截图对现场的保存意义重大,不仅仅是对技术上的创新突破,对于相关人员而言也提供了一种追溯手段,尤其在使用本发明实施例的风险评估系统为各个企业提供服务的过程中,现场页面截图可以作为证据的保存,使得风险评估更具说服力。
在上述示例性实施例中,在得到原始风险数据后,可以将原始风险数据与预设知识库中进行匹配,在两者存在匹配项时生成截图指令,并发送至所述应用程序,以驱动应用程序执行截图指令,得到应用程序的页面的现场页面截图,作为证据留存,便于后续追溯等处理。
在一示例性实施例中,所述步骤206、根据所述原始风险数据进行风险评估,可以包括如下步骤:
对所述原始风险数据进行风险评估,得到评估结果数据;
根据所述原始风险数据和所述评估结果数据,生成风险报告。
其中,评估结果数据可以包括原始风险数据的风险类型(例如是一级风险内容或者二级风险内容等)、是否存在风险等等。风险报告是基预设的报告模板整理原始风险数据和评估结果数据得到。
在本发明实施例中,在得到原始风险数据后,可以基于知识库或者其他方式,对原始风险数据进行风险评估得到评估结果数据,然后,可以选取风险评估系统中预设的某个报告模板,进而基于该报告模板整理原始风险数据和评估结果数据,生成风险报告,便于相关人员阅读时可以快速了解到关键内容,提出对应的风险策略。
参照图5,在风控系统中可以接收到多个任务报告,针对其中任意的一个任务报告,首先确定该任务报告生成风险报告所需要涉及的原始风险数据和需要使用的报告模板,然后,在获取到所需的原始风险数据和对应的评估结果数据后,例如,在2022年3月20日App1的原始风险数据和对应的评估结果数据,就可以使用报告模板生成风险报告,并提交给相关人员。
在上述示例性实施例中,将原始风险数据和对应的评估结果数据,整理生成为便于阅读的风险报告,辅助相关人员进行风险治理。
在一示例性实施例中,所述对所述原始风险数据进行风险评估,得到评估结果数据,可以包括如下步骤:
将所述原始风险数据提交至第一风险评估平台,以得到第一评估结果数据;
在得到第一评估结果数据后,将所述原始风险数据和所述第一评估结果数据提交至第二风险评估平台,以得到第二评估结果数据。
在具体实现中,对原始风险数据的风险评估方式,可以分人工评估和机器评估。其中,不同的风险评估方式之间组合评估方式,可以通过配置数据对应的流转顺序实现。例如,通过配置数据可以配置为流转顺序为:在机器评估后,再交由人工评估;或者,在人工评估后,再交由机器评估;又或者,分别进行人工评估和机器评估。
其中,第一风险评估平台是风险评估系统中的机器评估平台,可在风险评估阶段对原始风险数据进行机器评估;第二风险评估平台是风险评估系统中的人工评估工作台,可在风险评估阶段对原始风险数据进行人工评估。在本发明实施例中,可以通过配置数据配置进行风险评估的流转顺序为:先将原始风险数据提交至第一风险评估平台进行机器评估,以得到第一评估结果数据,然后,将原始风险数据和第一评估结果数据提交至第二风险评估平台进行人工评估,得到第二评估结果数据。
当然在实际应用中,也可以设置为第一风险评估平台和第二风险评估平台之间互相不干涉对方的评估,从而可以分散风险评估的压力,尤其对于大型的应用程序而言,通过多个风险评估平台分别进行风险评估,也可以避免风险评估平台压力过大,影响应用程序的正常运营。
在上述示例性实施例中,原始风险数据可以多个风险评估平台进行顺序流转,进行风险评估,通过多个风险评估平台的多方风险评估,可以提高风险评估的准确率,也可以避免将风险评估的压力集中在个别的风险评估平台中。
为了使本领域技术人员更好地理解本发明实施例的风险评估系统,以下采用一个完整的例子进行说明。参照图6,是本发明的一种风险评估系统的整体系统架构图,该风险评估系统主要由5部分组成,分别为风险发现模块、风险评估模块、结果存储模块、风险报告生成模块和知识库模块,其中:
风险发现模块:主要负责获取原始风险数据,包含两种风险发现方式:数据抓取和数据扫描。
风险评估模块:主要负责对原始风险数据做出评估,主要指针对风险的定性判别,可以包含人工评估和机器评估两种方式。
结果存储模块:主要存储经过发现和评估流程后生成的风险数据,即原始风险数据和对应的评估结果数据。
风险报告生成模块:主要是根据运营专家提供的报告模版,将原始风险数据和评估结果数据生成风险报告。
知识库模块:是风险评估系统的核心数据资产,其主要作用是帮助发现原始风险数据,在对原始风险数据进行风险评估时提供有力支撑,知识库中可以包括用例集、风险词库、图像库、音频库和视频库等。
应用本发明实施例中,通过抓取和数据扫描的方式进行风险发现,使得运营专家可以更快速的发现风险、评估风险,提高了督导效率。本发明实施例的风险评估系统具备对各个类型的应用程序进行风险评估的能力,对比机器评估方式,风险发现量有大幅提升,提高了风险治理效果。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
参照图7,示出了本发明实施例中提供的一种风险评估装置的结构框图,在自动化测试工具中设置有抓取脚本,所述抓取脚本为针对应用程序定制开发,具体可以包括如下模块:
抓取脚本转换模块702,用于将所述抓取脚本转换为所述应用程序的抓取指令;
风险数据得到模块704,用于在连接所述应用程序时,驱动所述应用程序执行所述抓取指令,以得到所述应用程序的原始风险数据;
风险评估模块706,用于根据所述原始风险数据进行风险评估。
在一示例性实施例中,所述风险数据得到模块704,用于确定抓取范围;所述抓取范围为根据指定业务区域或者预设知识库确定;驱动所述应用程序执行所述抓取指令,以得到在所述抓取范围内的所述应用程序的原始风险数据。
在一示例性实施例中,所述风险数据得到模块704,用于将所述抓取指令发送至所述应用程序,以驱动所述应用程序执行所述抓取指令,抓取所述应用程序的页面的页面数据;对所述页面数据进行解析,得到原始风险数据。
在一示例性实施例中,所述装置还包括:现场页面截图模块,用于当所述原始风险数据与预设知识库中匹配时,生成截图指令;将所述截图指令发送至所述应用程序,以驱动所述应用程序执行所述截图指令,得到所述应用程序的页面的现场页面截图。
在一示例性实施例中,所述风险评估模块706,用于对所述原始风险数据进行风险评估,得到评估结果数据;根据所述原始风险数据和所述评估结果数据,生成风险报告。
在一示例性实施例中,所述风险评估模块706,用于将所述原始风险数据提交至第一风险评估平台,以得到第一评估结果数据;在得到第一评估结果数据后,将所述原始风险数据和所述第一评估结果数据提交至第二风险评估平台,以得到第二评估结果数据。
在一示例性实施例中,所述自动化测试工具为Appium。
综上,在本发明实施例中,在自动化测试工具中设置有针对应用程序定制开发的抓取脚本,将抓取脚本转换为应用程序的抓取指令,随后,在自动化测试工具连接应用程序时,可以驱动应用程序执行抓取指令,得到应用程序的原始风险数据,进而可以根据原始风险数据进行风险评估。本发明实施例通过自动化测试工具来抓取应用程序的原始风险数据,以及对原始风险数据进行风险评估,无需人工参与,风险评估的全流程自动化,提高了风险评估的效率。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
优选的,本发明实施例还提供了一种电子设备,包括:处理器,存储器,存储在存储器上并可在处理器上运行的计算机程序,该计算机程序被处理器执行时实现上述风险评估方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述风险评估方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等。
本发明实施例提供一种计算机程序产品,该程序产品被存储在存储介质中,该程序产品被至少一个处理器执行以实现如上述风险评估方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本发明的保护之内。
本领域普通技术人员可以意识到,结合本发明实施例中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种风险评估方法,其特征在于,在自动化测试工具中设置有抓取脚本,所述抓取脚本为针对应用程序定制开发,所述方法包括:
将所述抓取脚本转换为所述应用程序的抓取指令;
在连接所述应用程序时,驱动所述应用程序执行所述抓取指令,以得到所述应用程序的原始风险数据;
根据所述原始风险数据进行风险评估。
2.根据权利要求1所述的方法,其特征在于,所述驱动所述应用程序执行所述抓取指令,以得到所述应用程序的原始风险数据,包括:
确定抓取范围;所述抓取范围为根据指定业务区域或者预设知识库确定;
驱动所述应用程序执行所述抓取指令,以得到在所述抓取范围内的所述应用程序的原始风险数据。
3.根据权利要求1所述的方法,其特征在于,所述驱动所述应用程序执行所述抓取指令,以得到所述应用程序的原始风险数据,包括:
将所述抓取指令发送至所述应用程序,以驱动所述应用程序执行所述抓取指令,抓取所述应用程序的页面的页面数据;
对所述页面数据进行解析,得到原始风险数据。
4.根据权利要求3所述的方法,其特征在于,在所述对所述页面数据进行解析,得到原始风险数据之后,所述方法还包括:
当所述原始风险数据与预设知识库中匹配时,生成截图指令;
将所述截图指令发送至所述应用程序,以驱动所述应用程序执行所述截图指令,得到所述应用程序的页面的现场页面截图。
5.根据权利要求1所述的方法,其特征在于,所述根据所述原始风险数据进行风险评估,包括:
对所述原始风险数据进行风险评估,得到评估结果数据;
根据所述原始风险数据和所述评估结果数据,生成风险报告。
6.根据权利要求5所述的方法,其特征在于,所述对所述原始风险数据进行风险评估,得到评估结果数据,包括:
将所述原始风险数据提交至第一风险评估平台,以得到第一评估结果数据;
在得到第一评估结果数据后,将所述原始风险数据和所述第一评估结果数据提交至第二风险评估平台,以得到第二评估结果数据。
7.根据权利要求1所述的方法,其特征在于,所述自动化测试工具为Appium。
8.一种风险评估装置,其特征在于,在自动化测试工具中设置有抓取脚本,所述抓取脚本为针对应用程序定制开发,所述装置包括:
抓取脚本转换模块,用于将所述抓取脚本转换为所述应用程序的抓取指令;
风险数据得到模块,用于在连接所述应用程序时,驱动所述应用程序执行所述抓取指令,以得到所述应用程序的原始风险数据;
风险评估模块,用于根据所述原始风险数据进行风险评估。
9.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,所述处理器、所述通信接口以及所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行存储器上所存放的程序时,实现如权利要求1至7任一项所述的方法。
10.一个或多个计算机可读介质,其上存储有指令,当由一个或多个处理器执行时,使得所述处理器执行如权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210335260.9A CN114764370A (zh) | 2022-03-31 | 2022-03-31 | 风险评估方法、装置、电子设备及可读介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210335260.9A CN114764370A (zh) | 2022-03-31 | 2022-03-31 | 风险评估方法、装置、电子设备及可读介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114764370A true CN114764370A (zh) | 2022-07-19 |
Family
ID=82365302
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210335260.9A Pending CN114764370A (zh) | 2022-03-31 | 2022-03-31 | 风险评估方法、装置、电子设备及可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114764370A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112149123A (zh) * | 2020-09-29 | 2020-12-29 | 公安部第三研究所 | 一种应用程序的安全检查系统及方法 |
| CN112685737A (zh) * | 2020-12-24 | 2021-04-20 | 恒安嘉新(北京)科技股份公司 | 一种app的检测方法、装置、设备及存储介质 |
| CN114006721A (zh) * | 2021-09-14 | 2022-02-01 | 北京纽盾网安信息技术有限公司 | 电子邮件的风险检测方法及系统 |
-
2022
- 2022-03-31 CN CN202210335260.9A patent/CN114764370A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112149123A (zh) * | 2020-09-29 | 2020-12-29 | 公安部第三研究所 | 一种应用程序的安全检查系统及方法 |
| CN112685737A (zh) * | 2020-12-24 | 2021-04-20 | 恒安嘉新(北京)科技股份公司 | 一种app的检测方法、装置、设备及存储介质 |
| CN114006721A (zh) * | 2021-09-14 | 2022-02-01 | 北京纽盾网安信息技术有限公司 | 电子邮件的风险检测方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 石兴华: ""面向 Android 的恶意软件检测及行为分析"", 中国优秀硕士学位论文全文数据库 信息科技辑, no. 12, 15 December 2020 (2020-12-15), pages 4 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106682910B (zh) | 一种信息处理方法、系统及相关设备 | |
| CN108984202B (zh) | 一种电子资源分享方法、装置和存储介质 | |
| CN113704590A (zh) | 网页数据获取方法、装置、电子设备及存储介质 | |
| CN110851324B (zh) | 基于日志的巡检处理方法、装置以及电子设备、存储介质 | |
| CN112667517A (zh) | 自动化测试脚本的获取方法、装置、设备及存储介质 | |
| CN113495498B (zh) | 用于硬件设备的模拟方法、模拟器、设备和介质 | |
| CN114092246A (zh) | 金融交易链路的问题定位方法及装置 | |
| CN112463432B (zh) | 基于指标数据的巡检方法、装置及系统 | |
| CN111695075B (zh) | 一种网站cms识别方法、安全漏洞检测方法及装置 | |
| CN119922099A (zh) | 基于大模型的报文检测方法、装置、设备及可读存储介质 | |
| CN114490892A (zh) | 一种基于datax的数据传输方法和装置 | |
| CN112965711A (zh) | 作业测试方法和装置、电子设备和存储介质 | |
| CN111949510B (zh) | 测试处理方法、装置、电子设备及可读存储介质 | |
| JP4734454B2 (ja) | システム分析プログラム、システム分析方法およびシステム分析装置 | |
| CN114764370A (zh) | 风险评估方法、装置、电子设备及可读介质 | |
| CN114064504B (zh) | 全链路压测数据隔离的检测方法、装置、介质及计算设备 | |
| CN114285774B (zh) | 流量录制方法、装置、电子设备及存储介质 | |
| CN101847124A (zh) | 一种实现浏览器测试的方法及浏览器测试系统 | |
| CN113641575B (zh) | 一种测试方法、装置、设备及存储介质 | |
| CN114461180A (zh) | 一种微服务框架下的数据开发系统和方法 | |
| CN114371866A (zh) | 业务系统的版本重构测试方法、装置和设备 | |
| CN113608996B (zh) | 一种镜像编译测试方法、系统、装置及可读存储介质 | |
| CN111931465A (zh) | 基于用户操作自动生成用户手册的方法及系统 | |
| CN116010467B (zh) | 基于通联图谱的风险发现方法、装置、设备及存储介质 | |
| CN119739590A (zh) | 日志处理方法及装置、计算机可读存储介质、电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |