CN116483670A - 一种基于用户访问行为的风控方法及装置 - Google Patents
一种基于用户访问行为的风控方法及装置 Download PDFInfo
- Publication number
- CN116483670A CN116483670A CN202310225738.7A CN202310225738A CN116483670A CN 116483670 A CN116483670 A CN 116483670A CN 202310225738 A CN202310225738 A CN 202310225738A CN 116483670 A CN116483670 A CN 116483670A
- Authority
- CN
- China
- Prior art keywords
- wind control
- value
- data packet
- strategy
- operation log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006399 behavior Effects 0.000 title claims abstract description 76
- 238000000034 method Methods 0.000 title claims abstract description 57
- 230000002159 abnormal effect Effects 0.000 claims abstract description 34
- 238000011217 control strategy Methods 0.000 claims abstract description 18
- 238000012549 training Methods 0.000 claims description 45
- 238000004458 analytical method Methods 0.000 claims description 27
- 238000000605 extraction Methods 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 12
- 238000004422 calculation algorithm Methods 0.000 claims description 10
- 230000008569 process Effects 0.000 description 6
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000000513 principal component analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/213—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Abstract
本申请涉及网络安全技术领域,公开了一种基于用户访问行为的风控方法及装置,其方法包括获取包含用户访问行为的操作日志数据包;基于操作日志数据包,标定风控级别因子;根据风控级别因子,在预设的风控策略池中匹配满足第一预设条件的策略集;基于策略集,结合风控级别因子,预测操作日志数据包的风控值;根据风控值,调用策略集中满足第二预设条件的策略执行风控。本申请具有提高风控方法的识别精度,及时发现成本较高、价值较大的业务的风险事件并采取风控措施,对异常用户访问行为采取不同等级的风控措施,使得业务系统的风控更具针对性,减少损失的效果。
Description
技术领域
本申请涉及网络安全技术领域,尤其是涉及一种基于用户访问行为的风控方法及装置。
背景技术
目前,在业务风控阶段,一般从报文字段的篡改、相同内容多次重复请求、异常访问业务资源等已知攻击手段确定是否采取风控措施。
但根据已知风险事件设定风控策略,对普通的业务较为有效,而对于成本较高、价值较大的业务,因攻击手段经常发生改变,导致难以匹配到风控策略,进而成本较高、价值较大的业务缺少有效的安全措施,难以及时发现风险并采取风控,从而造成较大损失。
针对上述中的相关技术,发明人发现现有的风控方法存在有难以识别未知攻击手段,导致无法及时风控造成损失的问题。
发明内容
为了提高风控方法的识别精度,及时发现成本较高、价值较大的业务的风险事件并采取风控措施,减少损失,本申请提供了一种基于用户访问行为的风控方法及装置。
第一方面,本申请提供一种基于用户访问行为的风控方法。
本申请是通过以下技术方案得以实现的:
一种基于用户访问行为的风控方法,包括以下步骤,
获取包含用户访问行为的操作日志数据包;
基于所述操作日志数据包,标定风控级别因子;
根据所述风控级别因子,在预设的风控策略池中匹配满足第一预设条件的策略集;
基于所述策略集,结合所述风控级别因子,预测所述操作日志数据包的风控值;
根据所述风控值,调用所述策略集中满足第二预设条件的策略执行风控。
本申请在一较佳示例中可以进一步配置为:所述基于所述操作日志数据包,标定风控级别因子的步骤包括,
解析所述操作日志数据包,得到解析数据包;
判断所述解析数据包是否存在预设标识,且与所述解析数据包对应的当前标识值是否匹配于预设的历史标识集中任一个历史标识值;
若所述解析数据包无预设标识,或与所述解析数据包对应的当前标识值与预设的历史标识集中任一个历史标识值均不匹配,则基于所述当前标识值匹配和标定风控级别因子。
本申请在一较佳示例中可以进一步配置为:基于所述当前标识值匹配和标定风控级别因子的步骤后,还包括,
更新所述风控级别因子对应的标识阈值;
判断所述当前标识值是否位于所述标识阈值外;
若已匹配的所述当前标识值位于所述标识阈值外,将所述当前标识值添加至所述历史标识集中。
本申请在一较佳示例中可以进一步配置为:所述根据所述风控级别因子,在预设的风控策略池中匹配满足第一预设条件的策略集的步骤包括,
根据所述风控级别因子,确定所述操作日志数据包的不同维度的风险权重值;
基于所述操作日志数据包和所述风险权重值,确定所述操作日志数据包的风险值;
在所述风控策略池中搜寻包含所述风险值的风险阈值,并匹配与所述风险阈值一一对应的策略集。
本申请在一较佳示例中可以进一步配置为:所述基于所述策略集,结合所述风控级别因子,预测所述操作日志数据包的风控值的步骤包括,
基于所述策略集,获得各个策略的不同维度的风控权重值;
结合所述风控级别因子,获得所述操作日志数据包的不同维度的风险权重值;
预设特征样本,采用特征提取算法对所述操作日志数据包进行特征提取,生成风控数据特征;
基于所述风险权重值和所述风控权重值,采用所述风控数据特征训练预设的风控模型,且所述风控模型的下一轮训练的风险权重值和风控权重值与上一轮训练的模型准确率成反比,直至所述风控模型满足第三预设条件;
采用所述风控模型预测所述风控数据特征的风控值。
本申请在一较佳示例中可以进一步配置为:采用所述风控数据特征训练预设的风控模型时,还包括以下步骤,
根据训练结果,将所述风控数据特征划分为正常样本特征和异常样本特征;
在下一轮训练时仅采用所述异常样本特征对所述风控模型进行训练。
本申请在一较佳示例中可以进一步配置为:所述根据所述风控值,调用所述策略集中满足第二预设条件的策略执行风控的步骤包括,
在所述策略集中搜寻包含所述风控值的风控阈值,并匹配与所述风控阈值一一对应的策略,以执行风控。
本申请在一较佳示例中可以进一步配置为:还包括以下步骤,
标记与所述风控值对应的所述操作日志数据包的出现次数;
当所述操作日志数据包的出现次数大于或等于2时,在所述策略集中搜寻包含所述风控值的风控阈值,匹配对应所述风控阈值的上一层级的策略,所述策略用于加大风控力度。
本申请在一较佳示例中可以进一步配置为:还包括以下步骤,
当所述操作日志数据包的出现次数达到次数阈值时,匹配所述策略集中的最高风控级的策略,并自动发送风控告警至后台。
第二方面,本申请提供一种基于用户访问行为的风控装置。
本申请是通过以下技术方案得以实现的:
一种基于用户访问行为的风控装置,包括,
数据模块,用于获取包含用户访问行为的操作日志数据包;
风控级别标定模块,用于基于所述操作日志数据包,标定风控级别因子;
策略集匹配模块,用于根据所述风控级别因子,在预设的风控策略池中匹配满足第一预设条件的策略集;
风控预测模块,用于基于所述策略集,结合所述风控级别因子,预测所述操作日志数据包的风控值;
风控执行模块,用于根据所述风控值,调用所述策略集中满足第二预设条件的策略执行风控。
本申请在一较佳示例中可以进一步配置为:所述风控级别标定模块包括,
解析单元,用于解析所述操作日志数据包,得到解析数据包;
标识判断单元,判断所述解析数据包是否存在预设标识,且与预设标识对应的当前标识值是否匹配于预设的历史标识集中任一个历史标识值;
标定单元,用于在所述解析数据包无预设标识时,或与预设标识对应的当前标识值与预设的历史标识集中任一个历史标识值均不匹配时,基于所述当前标识值匹配和标定风控级别因子。
本申请在一较佳示例中可以进一步配置为:所述风控级别标定模块还包括,
更新单元,用于更新所述风控级别因子对应的标识阈值,并判断所述当前标识值是否位于所述标识阈值外;
调整单元,用于在已匹配的所述当前标识值位于所述标识阈值外时,将所述当前标识值添加至所述历史标识集中。
本申请在一较佳示例中可以进一步配置为:所述策略集匹配模块包括,
风险权重单元,用于根据所述风控级别因子,确定所述操作日志数据包的不同维度的风险权重值;
风险预测单元,用于基于所述操作日志数据包和所述风险权重值,确定所述操作日志数据包的风险值;
策略集匹配单元,用于在所述风控策略池中搜寻包含所述风险值的风险阈值,并匹配与所述风险阈值一一对应的策略集。
本申请在一较佳示例中可以进一步配置为:所述风控预测模块包括,
风控权重单元,用于基于所述策略集,获得各个策略的不同维度的风控权重值;
风控数据特征单元,用于预设特征样本,采用特征提取算法对所述操作日志数据包进行特征提取,生成风控数据特征;
风控模型单元,用于基于所述风险权重值和所述风控权重值,采用所述风控数据特征训练预设的风控模型,且所述风控模型的下一轮训练的风险权重值和风控权重值与上一轮训练的模型准确率成反比,直至所述风控模型满足第三预设条件;
风控预测单元,用于采用所述风控模型预测所述风控数据特征的风控值。
本申请在一较佳示例中可以进一步配置为:所述风控预测模块还包括,
分类单元,用于根据训练结果,将所述风控数据特征划分为正常样本特征和异常样本特征,在下一轮训练时仅采用所述异常样本特征对所述风控模型进行训练。
本申请在一较佳示例中可以进一步配置为:所述风控执行模块包括,
第一策略单元,用于在所述策略集中搜寻包含所述风控值的风控阈值,并匹配与所述风控阈值一一对应的策略,以执行风控。
本申请在一较佳示例中可以进一步配置为:所述风控执行模块还包括,
次数标记单元,用于标记与所述风控值对应的所述操作日志数据包的出现次数;
第二策略单元,用于在所述操作日志数据包的出现次数大于或等于2时,在所述策略集中搜寻包含所述风控值的风控阈值,匹配对应所述风控阈值的上一层级的策略,所述策略用于加大风控力度。
本申请在一较佳示例中可以进一步配置为:所述风控执行模块还包括,
第三策略单元,用于在所述操作日志数据包的出现次数达到次数阈值时,匹配所述策略集中的最高级的策略,并自动发送风控告警至后台。
第三方面,本申请提供一种计算机设备。
本申请是通过以下技术方案得以实现的:
一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任意一种基于用户访问行为的风控方法的步骤。
第四方面,本申请提供一种计算机可读存储介质。
本申请是通过以下技术方案得以实现的:
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一种基于用户访问行为的风控方法的步骤。
综上所述,与现有技术相比,本申请提供的技术方案带来的有益效果至少包括:
获取用户访问业务系统时的操作日志数据包,作为异常用户访问行为的数据基础,且操作日志数据包随用户访问行为的变化而变化,数据内容能够更精准反映用户访问行为的实际情况,有利于提高风控方法的识别精度;对操作日志数据包中的操作日志内容进行分析,标定对应的风控级别因子,以划分异常用户访问行为的等级,根据标定的风控级别因子,在预设的风控策略池中匹配满足第一预设条件的策略集,以对异常用户访问行为采取不同等级的风控措施,风控方式更具针对性,也有利于提升正常用户被误检时的访问体验;基于策略集,结合风控级别因子,预测操作日志数据包的风控值,作为调用策略集中策略的匹配依据;根据风控值,调用策略集中满足第二预设条件的策略执行风控,提高了风控方法的识别精度,能够及时发现成本较高、价值较大的业务的风险事件并采取风控措施,进而减少损失。
附图说明
图1为本申请一个示例性实施例提供的一种基于用户访问行为的风控方法的整体流程图。
图2为本申请又一个示例性实施例提供的一种基于用户访问行为的风控方法的标定风控级别因子的流程图。
图3为本申请另一个示例性实施例提供的一种基于用户访问行为的风控方法的根据风控级别因子匹配策略集的流程图。
图4为本申请一个示例性实施例提供的一种基于用户访问行为的风控方法的预测操作日志数据包的风控值的流程图。
图5为本申请一个示例性实施例提供的一种基于用户访问行为的风控方法的根据风控值调用策略集中策略的流程图。
图6为本申请一个示例性实施例提供的一种基于用户访问行为的风控装置的结构框图。
具体实施方式
本具体实施例仅仅是对本申请的解释,其并不是对本申请的限制,本领域技术人员在阅读完本说明书后可以根据需要对本实施例做出没有创造性贡献的修改,但只要在本申请的权利要求范围内都受到专利法的保护。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,如无特殊说明,一般表示前后关联对象是一种“或”的关系。
下面结合说明书附图对本申请实施例作进一步详细描述。
参照图1,本申请实施例提供一种基于用户访问行为的风控方法,所述方法的主要步骤描述如下。
S1:获取包含用户访问行为的操作日志数据包;
S2:基于所述操作日志数据包,标定风控级别因子;
S3:根据所述风控级别因子,在预设的风控策略池中匹配满足第一预设条件的策略集;
S4:基于所述策略集,结合所述风控级别因子,预测所述操作日志数据包的风控值;
S5:根据所述风控值,调用所述策略集中满足第二预设条件的策略执行风控。
具体地,用户访问业务系统时,创建的日志平台以操作日志的形式对相关数据信息进行记录,并统一汇总操作日志,形成操作日志数据包,作为异常用户访问行为的数据基础,且操作日志数据包随用户访问行为的变化而变化,数据内容能够更精准反映用户访问行为的实际情况,有利于及时发现成本较高、价值较大的业务的风险事件。
对操作日志数据包中的操作日志内容进行分析,并对操作日志中的短时异常、长期规律性操作等进行实时监控,直至操作日志数据包满足预设的标定条件,标定对应的风控级别因子,以划分异常用户访问行为的等级,使得业务系统的风控方式更具针对性。
根据标定的风控级别因子,在预设的风控策略池中匹配满足第一预设条件的策略集,以对异常用户访问行为采取不同等级的风控措施,风控方式更具针对性,也有利于提升正常用户被误检时的访问体验。
基于策略集,结合风控级别因子,预测操作日志数据包的风控值,作为调用策略集中策略的匹配依据。
其中,风控级别因子包括风控措施由松到严的一级风控因子、二级风控因子、三级风控因子等,各级风控因子对应的风控策略具体内容如表1所示。
表1
根据风控值,调用策略集中满足第二预设条件的策略执行风控,提高了风控方法的识别精度,能够及时发现成本较高、价值较大的业务的风险事件并采取风控措施,进而减少损失。
进一步地,对操作日志数据包中的操作日志内容进行分析时,还可以提取出异常访问的操作日志中的违规操作行为及对应的操作账号,并对违规操作行为进行再次核实确认,有利于进一步提高用户访问行为的识别精度。
参照图2,在一实施例中,S2:基于所述操作日志数据包,标定风控级别因子的步骤包括,
S21:解析所述操作日志数据包,得到解析数据包;
S22:判断所述解析数据包是否存在预设标识,且与所述解析数据包对应的当前标识值是否匹配于预设的历史标识集中任一个历史标识值;
S23:若所述解析数据包无预设标识,或与所述解析数据包对应的当前标识值与预设的历史标识集中任一个历史标识值均不匹配,则基于所述当前标识值匹配和标定风控级别因子。
具体地,日志平台形成操作日志数据包的同时,为初筛的未发现异常的日志数据包的HTTP的头部写入预设标识,并根据访问请求的数据类别生成当前标识值,通过预设标识,服务器可以进行追踪静态接口或动态接口过来的访问请求,有利于后期追踪溯源异常访问行为;当前标识值用于表征用户的访问意图,便于进行异常等级划分。
例如,T-FLAG-A为获取的用户账号名;A0表示生成的当前标识值,A0=2e2324da-2c34-401c-b079-f652de8161e4;T-FLAG-R为预设标识名;R0表示预设标识的值,R0=d658-adf9-006c-19ef-9519-881a-6eb5-cd4b-8920-effa,操作日志数据包解析后的解析数据包的部分数据内容详情如表2所示。
表2
T-FLAG-A | T-FLAG-R |
A0 | R0 |
预设的历史标识集中的历史标识值为基于大数据分析设定的表征正常用户访问行为的历史标识值。历史标识值与任意正常用户访问行为唯一对应。各历史标识值聚集形成历史标识集。
先确定HTTP的头部是否包含预设标识;若包含预设标识,再确定与预设标识对应的当前标识值是否与预设的历史标识集中任一个历史标识值均不匹配。
若解析数据包无预设标识,或与预设标识对应的当前标识值与预设的历史标识集中任一个历史标识值均不匹配,即该用户访问行为超出预期的合理行为,需要引起关注。
基于当前标识值匹配和标定风控级别因子。当前标识值表征用户的访问意图,对于敏感数据,通过预先设定标识值及对应风控级别因子的一一映射关系,实现对异常用户访问行为的等级划分。
在一实施例中,S23:基于所述当前标识值匹配和标定风控级别因子的步骤后,还包括,
S24:更新所述风控级别因子对应的标识阈值;
S25:判断所述当前标识值是否位于所述标识阈值外;
S26:若已匹配的所述当前标识值位于所述标识阈值外,将所述当前标识值添加至所述历史标识集中。
通过定期更新风控级别因子对应的标识阈值,以根据实际情况更精确地设定风控规则,并在当前标识值不符合风控条件时,将当前标识值添加至历史标识集中,及时更新正常用户访问行为的数据集,更够更精准地识别用户访问行为,降低误检率。
参照图3,在一实施例中,S3:根据所述风控级别因子,在预设的风控策略池中匹配满足第一预设条件的策略集的步骤包括,
S31:根据所述风控级别因子,确定所述操作日志数据包的不同维度的风险权重值;
S32:基于所述操作日志数据包和所述风险权重值,确定所述操作日志数据包的风险值;
S33:在所述风控策略池中搜寻包含所述风险值的风险阈值,并匹配与所述风险阈值一一对应的策略集。
具体地,根据风控级别因子自定义设置不同维度的风险权重值,针对未知用户账号、访问敏感链接、访问次数、物料下单量等设置不同级别的风险权重值,同一风控级别因子的不同维度的风险权重值的总和为1,以根据风控级别因子确定操作日志数据包的不同维度的风险权重值。本实施例中,一级风控因子侧重关注未知用户账号,二级风控因子侧重关注访问敏感链接和访问次数,三级风控因子侧重关注物料下单量。
基于操作日志数据包,采用文本特征词提取算法生成用户账号特征值、访问链接特征值及对应访问次数特征值和物料下单量特征值,结合对应的风控级别因子的风险权重值,令未知用户账号特征值*未知用户账号权重值+访问敏感链接特征值*访问该链接权重值+访问敏感链接次数特征值*访问敏感链接次数权重值+物料下单量特征值*物料下单量权重值,将计算结果作为操作日志数据包的风险值。
在风控策略池中搜寻包含所述风险值的风险阈值,并匹配与风险阈值一一对应的策略集,详情如表3所示。
表3
参照图4,在一实施例中,S4:基于所述策略集,结合所述风控级别因子,预测所述操作日志数据包的风控值的步骤包括,
S41:基于所述策略集,获得各个策略的不同维度的风控权重值;
S42:结合所述风控级别因子,获得所述操作日志数据包的不同维度的风险权重值;
S43:预设特征样本,采用特征提取算法对所述操作日志数据包进行特征提取,生成风控数据特征;
S44:基于所述风险权重值和所述风控权重值,采用所述风控数据特征训练预设的风控模型,且所述风控模型的下一轮训练的风险权重值和风控权重值与上一轮训练的模型准确率成反比,直至所述风控模型满足第三预设条件;
S45:采用所述风控模型预测所述风控数据特征的风控值。
具体地,针对人机风险、设备风险、请求上限风险、登录地风险、交易风险等维度设置风控权重值,不同等级的策略集对不同维度的风控权重值的设置不同,同一策略集的不同维度的风控权重值的总和为1。
预设特征样本,采用特征提取算法对操作日志数据包进行特征提取,生成风控数据特征。其中,特征提取算法可以采用主成分分析算法、流形学习Manifold Learning、黑名单或白名单等。
结合获得的操作日志数据包的不同维度的风险权重值和风控权重值,采用风控数据特征训练预设的风控模型,且风控模型的下一轮训练的风险权重值和风控权重值与上一轮训练的模型准确率成反比,直至风控模型满足第三预设条件。
本实施例中,风控模型使前一个基本分类器分错的样本得到加强,加权后的全体样本再次被用来训练下一个基本分类器;同时,在每一轮中加入一个新的弱分类器,直到达到第三预设条件,如某个预置的错误率或达到预先指定的最大迭代次数;将各个训练得到的弱分类器组合成一个强分类器,使得误差率低的弱分类器在最终分类器中占的权重更大,风控模型的精度得以提高。
例如,某个训练样本点,被弱分类器准确地分类,则在构造下一个训练集中,它对应的权值要减小;相反,如果某个训练样本点被错误分类,那么它的权值就应该增大;权值更新过的样本集被用于训练下一个分类器,整个训练过程如此迭代地进行下去。
在一实施例中,采用所述风控数据特征训练预设的风控模型时,还包括以下步骤,
根据训练结果,将所述风控数据特征划分为正常样本特征和异常样本特征;
在下一轮训练时仅采用所述异常样本特征对所述风控模型进行训练。
根据异常样本和正常样本进行初次训练,并在后续训练过程中提升异常样本的占比,采用更多的异常样本对风控模型进行训练,进一步提升风控模型在识别异常时的精确性和泛化性。
参照图5,在一实施例中,S5:根据所述风控值,调用所述策略集中满足第二预设条件的策略执行风控的步骤包括,
S51:在所述策略集中搜寻包含所述风控值的风控阈值,并匹配与所述风控阈值一一对应的策略,以执行风控。
在一实施例中,还包括以下步骤,
S521:标记与所述风控值对应的所述操作日志数据包的出现次数;
S522:当所述操作日志数据包的出现次数大于或等于2时,在所述策略集中搜寻包含所述风控值的风控阈值,匹配对应所述风控阈值的上一层级的策略,所述策略用于加大风控力度。
在一实施例中,还包括以下步骤,
S53:当所述操作日志数据包的出现次数达到次数阈值时,匹配所述策略集中的最高级的策略,并自动发送风控告警至后台。
具体地,采用风控模型预测风控数据特征的风控值,在策略集中搜寻包含风控值的风控阈值,并匹配与所述风控阈值一一对应的策略,以执行风控,实现针对不同的异常访问行为采取分级风控的目的,风控方式更具针对性,更能适用于实际的应用场景,能够有效保护成本较高、价值较高的业务,也改善了用户体验。
其中,风控阈值根据策略内容的风控程度进行设置,风控程度越大,风控阈值愈大,详情如表4所示。
表4
进一步地,当同一操作日志数据包的出现次数大于或等于2时,即该用户访问行为的异常可能性增大,此时,在策略集中搜寻包含风控值的风控阈值,匹配对应风控阈值的上一层级的策略,以加大风控力度。
进一步地,当同一操作日志数据包的出现次数达到次数阈值时,即此时系统无法负荷该异常情况,匹配策略集中的最高级的策略,并自动发送风控告警至后台。
进一步地,若同一用户一小时内访问敏感链接次数大于设定的等级阈值时,则通过日志平台自动发送邮件进行对应等级的告警,或者,通过HTTP请求方式将对应等级的告警传输给对接的作业平台,并将告警信息及可疑操作日志同步到作业平台。
综上所述,一种基于用户访问行为的风控方法通过获取用户访问业务系统时的操作日志数据包,作为异常用户访问行为的数据基础,且操作日志数据包随用户访问行为的变化而变化,数据内容能够更精准反映用户访问行为的实际情况,有利于提高风控方法的识别精度;对操作日志数据包中的操作日志内容进行分析,标定对应的风控级别因子,以划分异常用户访问行为的等级,使得业务系统的风控方式更具针对性;根据标定的风控级别因子,在预设的风控策略池中匹配满足第一预设条件的策略集,以对异常用户访问行为采取不同等级的风控措施,为业务场景建立有效的不同等级的安全规则保护,也有利于提升正常用户被误检时的访问体验;基于策略集,结合风控级别因子,预测操作日志数据包的风控值,作为调用策略集中策略的匹配依据;根据风控值,调用策略集中满足第二预设条件的策略执行风控,提高了风控方法的识别精度,能够及时发现成本较高、价值较大的业务的风险事件并采取风控措施,进而减少损失。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
参照图6,本申请实施例还提供一种基于用户访问行为的风控装置,该一种基于用户访问行为的风控装置与上述实施例中一种基于用户访问行为的风控方法一一对应。该一种基于用户访问行为的风控装置包括,
数据模块,用于获取包含用户访问行为的操作日志数据包;
风控级别标定模块,用于基于所述操作日志数据包,标定风控级别因子;
策略集匹配模块,用于根据所述风控级别因子,在预设的风控策略池中匹配满足第一预设条件的策略集;
风控预测模块,用于基于所述策略集,结合所述风控级别因子,预测所述操作日志数据包的风控值;
风控执行模块,用于根据所述风控值,调用所述策略集中满足第二预设条件的策略执行风控。
进一步地,所述风控级别标定模块包括,
解析单元,用于解析所述操作日志数据包,得到解析数据包;
标识判断单元,判断所述解析数据包是否存在预设标识,且与预设标识对应的当前标识值是否匹配于预设的历史标识集中任一个历史标识值;
标定单元,用于在所述解析数据包无预设标识时,或与预设标识对应的当前标识值与预设的历史标识集中任一个历史标识值均不匹配时,基于所述当前标识值匹配和标定风控级别因子。
进一步地,所述风控级别标定模块还包括,
更新单元,用于更新所述风控级别因子对应的标识阈值,并判断所述当前标识值是否位于所述标识阈值外;
调整单元,用于在已匹配的所述当前标识值位于所述标识阈值外时,将所述当前标识值添加至所述历史标识集中。
进一步地,所述策略集匹配模块包括,
风险权重单元,用于根据所述风控级别因子,确定所述操作日志数据包的不同维度的风险权重值;
风险预测单元,用于基于所述操作日志数据包和所述风险权重值,确定所述操作日志数据包的风险值;
策略集匹配单元,用于在所述风控策略池中搜寻包含所述风险值的风险阈值,并匹配与所述风险阈值一一对应的策略集。
进一步地,所述风控预测模块包括,
风控权重单元,用于基于所述策略集,获得各个策略的不同维度的风控权重值;
风控数据特征单元,用于预设特征样本,采用特征提取算法对所述操作日志数据包进行特征提取,生成风控数据特征;
风控模型单元,用于基于所述风险权重值和所述风控权重值,采用所述风控数据特征训练预设的风控模型,且所述风控模型的下一轮训练的风险权重值和风控权重值与上一轮训练的模型准确率成反比,直至所述风控模型满足第三预设条件;
风控预测单元,用于采用所述风控模型预测所述风控数据特征的风控值。
进一步地,所述风控预测模块还包括,
分类单元,用于根据训练结果,将所述风控数据特征划分为正常样本特征和异常样本特征,在下一轮训练时仅采用所述异常样本特征对所述风控模型进行训练。
进一步地,所述风控执行模块包括,
第一策略单元,用于在所述策略集中搜寻包含所述风控值的风控阈值,并匹配与所述风控阈值一一对应的策略,以执行风控。
进一步地,所述风控执行模块还包括,
次数标记单元,用于标记与所述风控值对应的所述操作日志数据包的出现次数;
第二策略单元,用于在所述操作日志数据包的出现次数大于或等于2时,在所述策略集中搜寻包含所述风控值的风控阈值,匹配对应所述风控阈值的上一层级的策略,所述策略用于加大风控力度。
进一步地,所述风控执行模块还包括,
第三策略单元,用于在所述操作日志数据包的出现次数达到次数阈值时,匹配所述策略集中的最高级的策略,并自动发送风控告警至后台。
关于一种基于用户访问行为的风控装置的具体限定可以参见上文中对于一种基于用户访问行为的风控方法的限定,在此不再赘述。上述一种基于用户访问行为的风控装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现上述任意一种基于用户访问行为的风控方法。
在一个实施例中,提供了一种计算机可读存储介质,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
S1:获取包含用户访问行为的操作日志数据包;
S2:基于所述操作日志数据包,标定风控级别因子;
S3:根据所述风控级别因子,在预设的风控策略池中匹配满足第一预设条件的策略集;
S4:基于所述策略集,结合所述风控级别因子,预测所述操作日志数据包的风控值;
S5:根据所述风控值,调用所述策略集中满足第二预设条件的策略执行风控。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述系统的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
Claims (20)
1.一种基于用户访问行为的风控方法,其特征在于,包括以下步骤,
获取包含用户访问行为的操作日志数据包;
基于所述操作日志数据包,标定风控级别因子;
根据所述风控级别因子,在预设的风控策略池中匹配满足第一预设条件的策略集;
基于所述策略集,结合所述风控级别因子,预测所述操作日志数据包的风控值;
根据所述风控值,调用所述策略集中满足第二预设条件的策略执行风控。
2.根据权利要求1所述的基于用户访问行为的风控方法,其特征在于,所述基于所述操作日志数据包,标定风控级别因子的步骤包括,
解析所述操作日志数据包,得到解析数据包;
判断所述解析数据包是否存在预设标识,且与所述解析数据包对应的当前标识值是否匹配于预设的历史标识集中任一个历史标识值;
若所述解析数据包无预设标识,或与所述解析数据包对应的当前标识值与预设的历史标识集中任一个历史标识值均不匹配,则基于所述当前标识值匹配和标定风控级别因子。
3.根据权利要求2所述的基于用户访问行为的风控方法,其特征在于,基于所述当前标识值匹配和标定风控级别因子的步骤后,还包括,
更新所述风控级别因子对应的标识阈值;
判断所述当前标识值是否位于所述标识阈值外;
若已匹配的所述当前标识值位于所述标识阈值外,将所述当前标识值添加至所述历史标识集中。
4.根据权利要求1所述的基于用户访问行为的风控方法,其特征在于,所述根据所述风控级别因子,在预设的风控策略池中匹配满足第一预设条件的策略集的步骤包括,
根据所述风控级别因子,确定所述操作日志数据包的不同维度的风险权重值;
基于所述操作日志数据包和所述风险权重值,确定所述操作日志数据包的风险值;
在所述风控策略池中搜寻包含所述风险值的风险阈值,并匹配与所述风险阈值一一对应的策略集。
5.根据权利要求1所述的基于用户访问行为的风控方法,其特征在于,所述基于所述策略集,结合所述风控级别因子,预测所述操作日志数据包的风控值的步骤包括,
基于所述策略集,获得各个策略的不同维度的风控权重值;
结合所述风控级别因子,获得所述操作日志数据包的不同维度的风险权重值;
预设特征样本,采用特征提取算法对所述操作日志数据包进行特征提取,生成风控数据特征;
基于所述风险权重值和所述风控权重值,采用所述风控数据特征训练预设的风控模型,且所述风控模型的下一轮训练的风险权重值和风控权重值与上一轮训练的模型准确率成反比,直至所述风控模型满足第三预设条件;
采用所述风控模型预测所述风控数据特征的风控值。
6.根据权利要求5所述的基于用户访问行为的风控方法,其特征在于,采用所述风控数据特征训练预设的风控模型时,还包括以下步骤,
根据训练结果,将所述风控数据特征划分为正常样本特征和异常样本特征;
在下一轮训练时仅采用所述异常样本特征对所述风控模型进行训练。
7.根据权利要求1-6任意一项所述的基于用户访问行为的风控方法,其特征在于,所述根据所述风控值,调用所述策略集中满足第二预设条件的策略执行风控的步骤包括,
在所述策略集中搜寻包含所述风控值的风控阈值,并匹配与所述风控阈值一一对应的策略,以执行风控。
8.根据权利要求7所述的基于用户访问行为的风控方法,其特征在于,还包括以下步骤,
标记与所述风控值对应的所述操作日志数据包的出现次数;
当所述操作日志数据包的出现次数大于或等于2时,在所述策略集中搜寻包含所述风控值的风控阈值,匹配对应所述风控阈值的上一层级的策略,所述策略用于加大风控力度。
9.根据权利要求7所述的基于用户访问行为的风控方法,其特征在于,还包括以下步骤,
当所述操作日志数据包的出现次数达到次数阈值时,匹配所述策略集中的最高级的策略,并自动发送风控告警至后台。
10.一种基于用户访问行为的风控装置,其特征在于,包括,
数据模块,用于获取包含用户访问行为的操作日志数据包;
风控级别标定模块,用于基于所述操作日志数据包,标定风控级别因子;
策略集匹配模块,用于根据所述风控级别因子,在预设的风控策略池中匹配满足第一预设条件的策略集;
风控预测模块,用于基于所述策略集,结合所述风控级别因子,预测所述操作日志数据包的风控值;
风控执行模块,用于根据所述风控值,调用所述策略集中满足第二预设条件的策略执行风控。
11.根据权利要求10所述的基于用户访问行为的风控装置,其特征在于,所述风控级别标定模块包括,
解析单元,用于解析所述操作日志数据包,得到解析数据包;
标识判断单元,判断所述解析数据包是否存在预设标识,且与预设标识对应的当前标识值是否匹配于预设的历史标识集中任一个历史标识值;
标定单元,用于在所述解析数据包无预设标识时,或与预设标识对应的当前标识值与预设的历史标识集中任一个历史标识值均不匹配时,基于所述当前标识值匹配和标定风控级别因子。
12.根据权利要求11所述的基于用户访问行为的风控装置,其特征在于,所述风控级别标定模块还包括,
更新单元,用于更新所述风控级别因子对应的标识阈值,并判断所述当前标识值是否位于所述标识阈值外;
调整单元,用于在已匹配的所述当前标识值位于所述标识阈值外时,将所述当前标识值添加至所述历史标识集中。
13.根据权利要求10所述的基于用户访问行为的风控装置,其特征在于,所述策略集匹配模块包括,
风险权重单元,用于根据所述风控级别因子,确定所述操作日志数据包的不同维度的风险权重值;
风险预测单元,用于基于所述操作日志数据包和所述风险权重值,确定所述操作日志数据包的风险值;
策略集匹配单元,用于在所述风控策略池中搜寻包含所述风险值的风险阈值,并匹配与所述风险阈值一一对应的策略集。
14.根据权利要求13所述的基于用户访问行为的风控装置,其特征在于,所述风控预测模块包括,
风控权重单元,用于基于所述策略集,获得各个策略的不同维度的风控权重值;
风控数据特征单元,用于预设特征样本,采用特征提取算法对所述操作日志数据包进行特征提取,生成风控数据特征;
风控模型单元,用于基于所述风险权重值和所述风控权重值,采用所述风控数据特征训练预设的风控模型,且所述风控模型的下一轮训练的风险权重值和风控权重值与上一轮训练的模型准确率成反比,直至所述风控模型满足第三预设条件;
风控预测单元,用于采用所述风控模型预测所述风控数据特征的风控值。
15.根据权利要求14所述的基于用户访问行为的风控装置,其特征在于,所述风控预测模块还包括,
分类单元,用于根据训练结果,将所述风控数据特征划分为正常样本特征和异常样本特征,在下一轮训练时仅采用所述异常样本特征对所述风控模型进行训练。
16.根据权利要求10-15任意一项所述的基于用户访问行为的风控装置,其特征在于,所述风控执行模块包括,
第一策略单元,用于在所述策略集中搜寻包含所述风控值的风控阈值,并匹配与所述风控阈值一一对应的策略,以执行风控。
17.根据权利要求16所述的基于用户访问行为的风控装置,其特征在于,所述风控执行模块还包括,
次数标记单元,用于标记与所述风控值对应的所述操作日志数据包的出现次数;
第二策略单元,用于在所述操作日志数据包的出现次数大于或等于2时,在所述策略集中搜寻包含所述风控值的风控阈值,匹配对应所述风控阈值的上一层级的策略,所述策略用于加大风控力度。
18.根据权利要求16所述的基于用户访问行为的风控装置,其特征在于,所述风控执行模块还包括,
第三策略单元,用于在所述操作日志数据包的出现次数达到次数阈值时,匹配所述策略集中的最高级的策略,并自动发送风控告警至后台。
19.一种计算机设备,其特征在于,包括存储器、处理器及存储在存储器上的计算机程序,所述处理器执行所述计算机程序以实现权利要求1至9任意一项所述方法的步骤。
20.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1至9任意一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310225738.7A CN116483670A (zh) | 2023-03-09 | 2023-03-09 | 一种基于用户访问行为的风控方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310225738.7A CN116483670A (zh) | 2023-03-09 | 2023-03-09 | 一种基于用户访问行为的风控方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116483670A true CN116483670A (zh) | 2023-07-25 |
Family
ID=87225756
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310225738.7A Pending CN116483670A (zh) | 2023-03-09 | 2023-03-09 | 一种基于用户访问行为的风控方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116483670A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117408395A (zh) * | 2023-12-14 | 2024-01-16 | 成都乐超人科技有限公司 | 基于数字化供应链的风控平台运行稳定性优化方法及装置 |
-
2023
- 2023-03-09 CN CN202310225738.7A patent/CN116483670A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117408395A (zh) * | 2023-12-14 | 2024-01-16 | 成都乐超人科技有限公司 | 基于数字化供应链的风控平台运行稳定性优化方法及装置 |
CN117408395B (zh) * | 2023-12-14 | 2024-04-02 | 成都乐超人科技有限公司 | 基于数字化供应链的风控平台运行稳定性优化方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10878102B2 (en) | Risk scores for entities | |
US11075941B2 (en) | Risk control method, risk control apparatus, electronic device, and storage medium | |
CN110851872B (zh) | 针对隐私数据泄漏的风险评估方法及装置 | |
CN109801151B (zh) | 财务造假风险监控方法、装置、计算机设备和存储介质 | |
CN110162958B (zh) | 用于计算设备的综合信用分的方法、装置和记录介质 | |
Rudolph et al. | A critical survey of security indicator approaches | |
CN111586028B (zh) | 一种异常登录的评估方法、装置、服务器和存储介质 | |
CN116483670A (zh) | 一种基于用户访问行为的风控方法及装置 | |
KR101947757B1 (ko) | 취약점 분석을 수행하는 보안 관리 시스템 | |
CN111260438A (zh) | 产品配置方法、装置、计算机设备和存储介质 | |
CN114548118A (zh) | 一种服务对话检测方法及系统 | |
CN114397842B (zh) | 电力监控网络安全智能巡检加固方法 | |
CN115277250A (zh) | 一种车端攻击路径识别方法、设备和存储介质 | |
CN114547640A (zh) | 涉敏操作行为判定方法、装置、电子设备及存储介质 | |
CN111507594A (zh) | 一种数据处理方法以及设备 | |
CN111949363A (zh) | 业务访问的管理方法、计算机设备、存储介质及系统 | |
CN116067524B (zh) | 一种用于油浸变压器内部组件的实时温度监测方法 | |
CN115809466B (zh) | 基于stride模型的安全需求生成方法、装置、电子设备及介质 | |
CN112866271B (zh) | 一种基于攻击溯源的敏感文件保护方法、装置和系统 | |
KR102448784B1 (ko) | 디바이스 핑거프린트를 이용한 가중치 부여 방법, 이를 수행하기 위한 기록 매체 및 장치 | |
CN116582369B (zh) | 一种在线签约的意愿认证的方法 | |
CN116260640B (zh) | 基于人工智能进行大数据分析的信息拦截控制方法及系统 | |
CN114553726B (zh) | 一种基于功能、资源层面的网络安全运维方法及系统 | |
US20240143785A1 (en) | System and method for evaluating an organization's risk for exposure to cyber security events | |
CN113282922A (zh) | 对移动存储设备进行防护控制的方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |