一种基于用户访问行为的风控方法及装置制造方法及图纸

本申请涉及网络安全技术领域，公开了一种基于用户访问行为的风控方法及装置，其方法包括获取包含用户访问行为的操作日志数据包；基于操作日志数据包，标定风控级别因子；根据风控级别因子，在预设的风控策略池中匹配满足第一预设条件的策略集；基于策略集，结合风控级别因子，预测操作日志数据包的风控值；根据风控值，调用策略集中满足第二预设条件的策略执行风控。本申请具有提高风控方法的识别精度，及时发现成本较高、价值较大的业务的风险事件并采取风控措施，对异常用户访问行为采取不同等级的风控措施，使得业务系统的风控更具针对性，减少损失的效果。减少损失的效果。减少损失的效果。

【技术实现步骤摘要】
一种基于用户访问行为的风控方法及装置


[0001]本申请涉及网络安全
，尤其是涉及一种基于用户访问行为的风控方法及装置。

技术介绍

[0002]目前，在业务风控阶段，一般从报文字段的篡改、相同内容多次重复请求、异常访问业务资源等已知攻击手段确定是否采取风控措施。
[0003]但根据已知风险事件设定风控策略，对普通的业务较为有效，而对于成本较高、价值较大的业务，因攻击手段经常发生改变，导致难以匹配到风控策略，进而成本较高、价值较大的业务缺少有效的安全措施，难以及时发现风险并采取风控，从而造成较大损失。
[0004]针对上述中的相关技术，专利技术人发现现有的风控方法存在有难以识别未知攻击手段，导致无法及时风控造成损失的问题。

技术实现思路

[0005]为了提高风控方法的识别精度，及时发现成本较高、价值较大的业务的风险事件并采取风控措施，减少损失，本申请提供了一种基于用户访问行为的风控方法及装置。
[0006]第一方面，本申请提供一种基于用户访问行为的风控方法。
[0007]本申请是通过以下技术方案得以实现的：
[0008]一种基于用户访问行为的风控方法，包括以下步骤，
[0009]获取包含用户访问行为的操作日志数据包；
[0010]基于所述操作日志数据包，标定风控级别因子；
[0011]根据所述风控级别因子，在预设的风控策略池中匹配满足第一预设条件的策略集；
[0012]基于所述策略集，结合所述风控级别因子，预测所述操作日志数据包的风控值；
[0013]根据所述风控值，调用所述策略集中满足第二预设条件的策略执行风控。
[0014]本申请在一较佳示例中可以进一步配置为：所述基于所述操作日志数据包，标定风控级别因子的步骤包括，
[0015]解析所述操作日志数据包，得到解析数据包；
[0016]判断所述解析数据包是否存在预设标识，且与所述解析数据包对应的当前标识值是否匹配于预设的历史标识集中任一个历史标识值；
[0017]若所述解析数据包无预设标识，或与所述解析数据包对应的当前标识值与预设的历史标识集中任一个历史标识值均不匹配，则基于所述当前标识值匹配和标定风控级别因子。
[0018]本申请在一较佳示例中可以进一步配置为：基于所述当前标识值匹配和标定风控级别因子的步骤后，还包括，
[0019]更新所述风控级别因子对应的标识阈值；
[0020]判断所述当前标识值是否位于所述标识阈值外；
[0021]若已匹配的所述当前标识值位于所述标识阈值外，将所述当前标识值添加至所述历史标识集中。
[0022]本申请在一较佳示例中可以进一步配置为：所述根据所述风控级别因子，在预设的风控策略池中匹配满足第一预设条件的策略集的步骤包括，
[0023]根据所述风控级别因子，确定所述操作日志数据包的不同维度的风险权重值；
[0024]基于所述操作日志数据包和所述风险权重值，确定所述操作日志数据包的风险值；
[0025]在所述风控策略池中搜寻包含所述风险值的风险阈值，并匹配与所述风险阈值一一对应的策略集。
[0026]本申请在一较佳示例中可以进一步配置为：所述基于所述策略集，结合所述风控级别因子，预测所述操作日志数据包的风控值的步骤包括，
[0027]基于所述策略集，获得各个策略的不同维度的风控权重值；
[0028]结合所述风控级别因子，获得所述操作日志数据包的不同维度的风险权重值；
[0029]预设特征样本，采用特征提取算法对所述操作日志数据包进行特征提取，生成风控数据特征；
[0030]基于所述风险权重值和所述风控权重值，采用所述风控数据特征训练预设的风控模型，且所述风控模型的下一轮训练的风险权重值和风控权重值与上一轮训练的模型准确率成反比，直至所述风控模型满足第三预设条件；
[0031]采用所述风控模型预测所述风控数据特征的风控值。
[0032]本申请在一较佳示例中可以进一步配置为：采用所述风控数据特征训练预设的风控模型时，还包括以下步骤，
[0033]根据训练结果，将所述风控数据特征划分为正常样本特征和异常样本特征；
[0034]在下一轮训练时仅采用所述异常样本特征对所述风控模型进行训练。
[0035]本申请在一较佳示例中可以进一步配置为：所述根据所述风控值，调用所述策略集中满足第二预设条件的策略执行风控的步骤包括，
[0036]在所述策略集中搜寻包含所述风控值的风控阈值，并匹配与所述风控阈值一一对应的策略，以执行风控。
[0037]本申请在一较佳示例中可以进一步配置为：还包括以下步骤，
[0038]标记与所述风控值对应的所述操作日志数据包的出现次数；
[0039]当所述操作日志数据包的出现次数大于或等于2时，在所述策略集中搜寻包含所述风控值的风控阈值，匹配对应所述风控阈值的上一层级的策略，所述策略用于加大风控力度。
[0040]本申请在一较佳示例中可以进一步配置为：还包括以下步骤，
[0041]当所述操作日志数据包的出现次数达到次数阈值时，匹配所述策略集中的最高风控级的策略，并自动发送风控告警至后台。
[0042]第二方面，本申请提供一种基于用户访问行为的风控装置。
[0043]本申请是通过以下技术方案得以实现的：
[0044]一种基于用户访问行为的风控装置，包括，
[0045]数据模块，用于获取包含用户访问行为的操作日志数据包；
[0046]风控级别标定模块，用于基于所述操作日志数据包，标定风控级别因子；
[0047]策略集匹配模块，用于根据所述风控级别因子，在预设的风控策略池中匹配满足第一预设条件的策略集；
[0048]风控预测模块，用于基于所述策略集，结合所述风控级别因子，预测所述操作日志数据包的风控值；
[0049]风控执行模块，用于根据所述风控值，调用所述策略集中满足第二预设条件的策略执行风控。
[0050]本申请在一较佳示例中可以进一步配置为：所述风控级别标定模块包括，
[0051]解析单元，用于解析所述操作日志数据包，得到解析数据包；
[0052]标识判断单元，判断所述解析数据包是否存在预设标识，且与预设标识对应的当前标识值是否匹配于预设的历史标识集中任一个历史标识值；
[0053]标定单元，用于在所述解析数据包无预设标识时，或与预设标识对应的当前标识值与预设的历史标识集中任一个历史标识值均不匹配时，基于所述当前标识值匹配和标定风控级别因子。
[0054]本申请在一较佳示例中可以进一步配置为：所述风控级别标定模块还包括，
[0055]更新单元，用于更新所述风控级别因子对应的标识阈值，并判断所述当前标识值是否位于所述标识阈值外；
[0056]调整单元，用于在已匹配的所述当前标识值位于所述标识阈值外时，将所述当前标识值添加至所述历史本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于用户访问行为的风控方法，其特征在于，包括以下步骤，获取包含用户访问行为的操作日志数据包；基于所述操作日志数据包，标定风控级别因子；根据所述风控级别因子，在预设的风控策略池中匹配满足第一预设条件的策略集；基于所述策略集，结合所述风控级别因子，预测所述操作日志数据包的风控值；根据所述风控值，调用所述策略集中满足第二预设条件的策略执行风控。2.根据权利要求1所述的基于用户访问行为的风控方法，其特征在于，所述基于所述操作日志数据包，标定风控级别因子的步骤包括，解析所述操作日志数据包，得到解析数据包；判断所述解析数据包是否存在预设标识，且与所述解析数据包对应的当前标识值是否匹配于预设的历史标识集中任一个历史标识值；若所述解析数据包无预设标识，或与所述解析数据包对应的当前标识值与预设的历史标识集中任一个历史标识值均不匹配，则基于所述当前标识值匹配和标定风控级别因子。3.根据权利要求2所述的基于用户访问行为的风控方法，其特征在于，基于所述当前标识值匹配和标定风控级别因子的步骤后，还包括，更新所述风控级别因子对应的标识阈值；判断所述当前标识值是否位于所述标识阈值外；若已匹配的所述当前标识值位于所述标识阈值外，将所述当前标识值添加至所述历史标识集中。4.根据权利要求1所述的基于用户访问行为的风控方法，其特征在于，所述根据所述风控级别因子，在预设的风控策略池中匹配满足第一预设条件的策略集的步骤包括，根据所述风控级别因子，确定所述操作日志数据包的不同维度的风险权重值；基于所述操作日志数据包和所述风险权重值，确定所述操作日志数据包的风险值；在所述风控策略池中搜寻包含所述风险值的风险阈值，并匹配与所述风险阈值一一对应的策略集。5.根据权利要求1所述的基于用户访问行为的风控方法，其特征在于，所述基于所述策略集，结合所述风控级别因子，预测所述操作日志数据包的风控值的步骤包括，基于所述策略集，获得各个策略的不同维度的风控权重值；结合所述风控级别因子，获得所述操作日志数据包的不同维度的风险权重值；预设特征样本，采用特征提取算法对所述操作日志数据包进行特征提取，生成风控数据特征；基于所述风险权重值和所述风控权重值，采用所述风控数据特征训练预设的风控模型，且所述风控模型的下一轮训练的风险权重值和风控权重值与上一轮训练的模型准确率成反比，直至所述风控模型满足第三预设条件；采用所述风控模型预测所述风控数据特征的风控值。6.根据权利要求5所述的基于用户访问行为的风控方法，其特征在于，采用所述风控数据特征训练预设的风控模型时，还包括以下步骤，根据训练结果，将所述风控数据特征划分为正常样本特征和异常样本特征；在下一轮训练时仅采用所述异常样本特征对所述风控模型进行训练。
7.根据权利要求1
‑
6任意一项所述的基于用户访问行为的风控方法，其特征在于，所述根据所述风控值，调用所述策略集中满足第二预设条件的策略执行风控的步骤包括，在所述策略集中搜寻包含所述风控值的风控阈值，并匹配与所述风控阈值一一对应的策略，以执行风控。8.根据权利要求7所述的基于用户访问行为的风控方法，其特征在于，还包括以下步骤，标记与所述风控值对应的所述操作日志数据包的出现次数；当所述操作日志数据包的出现次数大于或等于2时，在所述策略集中搜寻包含所述风控值的风控阈值，匹配对应所述风控阈值的上一层级的策略，所述策略用于加大风控力度。9.根据权利要求7所述的基于用户访问行为的风控方法，其特征在于，还包括以下步骤，当所述操作日志数据包的出现次数达到次数阈值时，匹配所述策略集中的最高级的策略，并自动发送风控告警至后台。10.一种基于用户访问行为的风控装置，其特征在于，包括，数据模块，用于获取包含用户访问行为的操作日志数据包；风控级别标定模块，用于基于所述操作日志数据包，标定风控级别因子；策略集匹配模块，用于根据所...

【专利技术属性】
技术研发人员：周艳华，侯凯，朱同道，
申请(专利权)人：广州盖盟达工业品有限公司，
类型：发明
国别省市：