[发明专利]风险操作行为的识别方法、装置、设备及存储介质

权利要求书

1.一种风险操作行为的识别方法，其特征在于，所述风险操作行为的识别方法包括：

采集操作行为数据，并将所述操作行为数据转化为操作行为事件，得到初始操作事件数据，所述初始操作事件数据包括以下至少一种：操作行为类型、操作行为内容、操作身份数据、操作行为时间或操作终端数据；

根据预设的风险操作行为策略对所述初始操作事件数据进行风险操作行为识别，得到候选风险操作行为数据；

根据所述操作行为类型，对所述候选风险操作行为数据进行风险内容识别，得到风险内容识别结果；

根据所述风险内容识别结果，计算所述候选风险操作行为数据对应的风险操作分值，并根据所述风险操作分值确定所述候选风险操作行为数据中的目标风险操作行为数据。

2.根据权利要求1所述的风险操作行为的识别方法，其特征在于，所述操作行为数据包括：拦截操作数据和/或非拦截操作数据；所述采集操作行为数据包括：

对操作行为进行监控，并判断所述操作行为是否触发预置拦截条件；

若是，则对所述操作行为进行拦截，得到拦截操作数据；

若否，则将所述操作行为对应的操作行为类型、操作行为内容、操作身份数据、操作行为时间或操作终端数据记录至预置操作日志，得到非拦截操作数据。

3.根据权利要求1所述的风险操作行为的识别方法，其特征在于，所述采集操作行为数据，并将所述操作行为数据转化为操作行为事件，得到初始操作事件数据，包括：

通过多个监控插件采集操作行为数据，每个监控插件对应一个操作行为类型的操作行为数据；

对所述操作行为数据进行解析，得到解析结果，并提取所述解析结果中的操作行为事件参数；

按照预置数据格式，对所述操作行为事件参数进行标准化格式转换，得到初始操作事件数据。

4.根据权利要求3所述的风险操作行为的识别方法，其特征在于，所述通过多个监控插件采集操作行为数据，包括：

接收操作行为数据的采集指令，并根据所述采集指令中的终端标识和身份标识，发送对应的监控策略获取请求，得到多个监控插件标识；

对每个监控插件标识对应的监控插件进行配置参数更新，得到目标监控插件；

通过所述目标监控插件对操作行为数据进行采集，得到所述操作行为数据。

5.根据权利要求1所述的风险操作行为的识别方法，其特征在于，所述根据预设的风险操作行为策略对所述初始操作事件数据进行风险操作行为识别，得到候选风险操作行为数据，包括：

基于所述操作身份数据和所述操作终端数据，发送风险策略获取请求；

根据所述风险策略获取请求，生成风险操作行为策略，并按照所述风险操作行为策略对所述初始操作事件数据进行数据维度、事件维度、时段维度和权限维度的风险操作识别，得到候选风险操作行为数据。

6.根据权利要求1-5中任一项所述的风险操作行为的识别方法，其特征在于，所述根据所述操作行为类型，对所述候选风险操作行为数据进行风险内容识别，得到风险内容识别结果，包括：

根据候选风险操作行为数据中的操作行为类型，调用对应的预置风险内容识别算法，所述预置风险内容识别算法包括以下至少一种：关键词提取函数、非法链接识别函数和文件扫描函数；

通过所述关键词提取函数，对所述候选风险操作行为数据中的操作行为内容进行关键词识别，得到风险关键词；

通过所述非法链接识别函数，对所述候选风险操作行为数据中的操作行为内容进行非法链接提取，得到风险链接；

通过所述文件扫描函数，对所述候选风险操作行为数据中的操作行为内容进行非法文件扫描，得到风险文件；

将所述风险关键词、所述风险链接和所述风险文件组合，得到风险内容识别结果。