CN115577701B

CN115577701B - 针对大数据安全的风险行为识别方法、装置、设备及介质

Info

Publication number: CN115577701B
Application number: CN202211162301.5A
Authority: CN
Inventors: 刘娇平
Original assignee: Individual
Current assignee: Hegang Power Supply Company State Grid Heilongjiang Electric Power Co ltd; State Grid Corp of China SGCC
Priority date: 2022-09-23
Filing date: 2022-09-23
Publication date: 2023-09-19
Anticipated expiration: 2042-09-23
Also published as: CN115577701A

Abstract

本发明涉及人工智能技术，揭露了一种针对大数据安全的风险行为识别方法，包括：生成信息风险案例的风险特征，提取用户的用户行为特征；利用预设的层级匹配算法计算风险特征与用户行为特征之间的层级匹配度；根据层级匹配度、风险特征及用户行为特征生成特征对，并根据所述特征对构建特征交叉决策树模型；获取用户实时行为，利用所述特征交叉决策树模型识别所述用户实时行为的风险系数，并确定所述风险系数大于预设阈值的用户实时行为为风险行为。此外，本发明还涉及区块链技术，数据列表可存储于区块链的节点。本发明还提出一种针对大数据安全的风险行为识别装置、电子设备以及存储介质。本发明可以提高针对大数据安全的风险行为识别效率。

Description

针对大数据安全的风险行为识别方法、装置、设备及介质

技术领域

本发明涉及人工智能技术领域，尤其涉及一种针对大数据安全的风险行为识别方法、装置、设备及介质。

背景技术

随着大数据时代的来临，企业数据开始激增，各种数据在云端、移动设备、关系型数据库、大数据库平台、pc端以及采集器端等多个位置分散，这对数据安全来说，存在着更大的挑战。大数据业务的多样化、数据分散、***种类繁多以及应用环境复杂等特点，使得数据在大部分阶段都可能存在风险。

现如今，企业需要提供针对性的大数据信息安全技术措施，以采取合理的综合管控手段达到安全合规与安全防护。为了保障大数据信息安全防护的质量，前序环节通常需要对不同风险或者威胁进行识别处理，然而相关技术难以保障识别的效率，因此如何提升针对大数据安全的风险行为识别效率，成为了亟待解决的问题。

发明内容

本发明提供一种针对大数据安全的风险行为识别方法、装置及计算机可读存储介质，其主要目的在于解决针对大数据安全的风险行为识别时效率较低的问题。

为实现上述目的，本发明提供的一种针对大数据安全的风险行为识别方法，包括：

获取预设的大数据***的信息风险案例，构建所述信息风险案例的核心语义矩阵；

对所述核心语义矩阵进行异化窗口采样，得到多尺寸子矩阵集合；

分别根据所述多尺寸子矩阵集合内的每个子矩阵提取所述信息风险案例的风险特征；

获取所述大数据***的用户行为日志，根据所述用户行为日志生成用户行为特征；

利用预设的层级匹配算法计算每个所述风险特征与每个所述用户行为特征之间的层级匹配度；

根据所述层级匹配度、所述风险特征及所述用户行为特征生成特征对，并根据所述特征对构建特征交叉决策树模型；

获取用户实时行为，利用所述特征交叉决策树模型识别所述用户实时行为的风险系数，并确定所述风险系数大于预设阈值的用户实时行为为风险行为。

可选地，所述构建所述信息风险案例的核心语义矩阵，包括：

对每个所述信息风险案例进行数据清洗，得到所述信息风险案例的标准案例；

对每个所述标准案例进行分词处理，得到所述标准案例的案例分词；

统计所述案例分词中每一个分词的分词频率，选取所述分词频率大于预设频率阈值的案例分词为关键词，并将每个所述关键词转换为词向量；

将所述词向量进行向量拼接，得到所述信息风险案例的核心语义矩阵。

可选地，所述对所述核心语义矩阵进行异化窗口采样，得到多尺寸子矩阵集合，包括：

根据预设的第一维度异化窗口对所述核心语义矩阵进行采样，得到所述核心语义矩阵的一级子矩阵；

根据预设的第二维度异化窗口对所述核心语义矩阵进行采样，得到所述核心语义矩阵的二级子矩阵；

根据预设的第三维度异化窗口对所述核心语义矩阵进行采样，得到所述核心语义矩阵的三级子矩阵；

汇集所述一级子矩阵、所述二级子矩阵和所述三级子矩阵为多尺寸子矩阵集合。

可选地，所述分别根据所述多尺寸子矩阵集合内的每个子矩阵提取所述信息风险案例的风险特征，包括：

根据整数规划思想对所述多尺寸子矩阵集合内的子矩阵进行聚类，得到多个子矩阵集；

利用如下风险权重算法生成所述子矩阵集的风险权重，包括：

其中，W_SS是所述子矩阵集的风险权重矩阵，a是所述多尺寸子矩阵集合中每个子矩阵的初始风险权重值，w_po代表所述子矩阵是安全矩阵的安全权重值，w_ne代表所述子矩阵是危险矩阵的危险权重值，b表示预设的风险字典里该子矩阵的权重值；

将所述子矩阵集的风险权重矩阵与所述子矩阵集进行点乘处理，得到所述多个子矩阵集的融合特征；

逐个生成所述融合特征的激活函数，利用所述激活函数对所述融合特征进行归一化处理，得到所述信息风险案例的风险特征。

可选地，所述根据整数规划思想对所述多尺寸子矩阵集合内的子矩阵进行聚类，得到多个子矩阵集，包括：

确定所述多尺寸子矩阵集合内的子矩阵进行聚类时的目标函数、决策变量和约束条件；

根据所述目标函数、所述决策变量和所述约束条件对所述子矩阵进行分组聚类，得到多个所述子矩阵的一级分组矩阵；

利用如下聚类指标算法计算一级分组矩阵的聚类指标：

其中，i是所述一级分组矩阵的标识，u_i是所述一级分组矩阵的聚类指标,x_i是第i组所述所述子矩阵的一级分组矩阵，表示所有所述一级分组矩阵均值，l是所述一级分组矩阵的总数；

根据所述聚类指标对所述子矩阵的聚类形式不断进行优化，直至所述聚类指标大于预设的聚类阈值时，确定对所述多尺寸子矩阵集合内的子矩阵进行聚类的聚类形式；

根据确定的聚类形式对所述子矩阵进行分组聚类，得到多个所述子矩阵的一级分组矩阵。

可选地，所述获取所述大数据***的用户行为日志，包括：

获取预设的埋点事件，对所述埋点事件进行元素转化，得到目标埋点元素；

将所述目标埋点元素添加到所述大数据***的预设的埋点接口中，完成所述大数据***的埋点；

利用所述埋点获取所述大数据***的用户行为日志。

可选地，所述根据所述特征对构建特征交叉决策树模型，包括：

任意选择所述特征对中的一个特征对作为根节点，在所述根节点上***左节点和右节点；

将所述特征对分配至所述左节点和所述右节点，得到基本决策树；

对所述基本决策树进行决策树增添处理，得到中间决策树；

根据所述特征对中的层级匹配度建立所述风险特征与所述用户行为特征的反馈分支；

对所述中间决策树进行所述反馈分支的配置，得到标准决策树；

将预获取的训练数据集输入至所述标准决策树,得到得分数据集；

根据所述得分数据集和预设的损失函数计算所述标准决策树的损失值；

当所述损失值大于或者等于预设的损失阈值时，再次执行所述对所述初始决策树进行决策树添加处理的操作，直至所述损失值小于所述损失阈值时，输出当前的标准决策树为特征交叉决策树模型。

为了解决上述问题，本发明还提供一种针对大数据安全的风险行为识别装置，所述装置包括：

语义矩阵模块，用于获取预设的大数据***的信息风险案例，构建所述信息风险案例的核心语义矩阵；

异化窗口采样模块，用于对所述核心语义矩阵进行异化窗口采样，得到多尺寸子矩阵集合；

风险特征模块，用于分别根据所述多尺寸子矩阵集合内的每个子矩阵提取所述信息风险案例的风险特征；

用户行为特征模块，用于获取所述大数据***的用户行为日志，根据所述用户行为日志生成用户行为特征；

层级匹配度模块，用于利用预设的层级匹配算法计算每个所述风险特征与每个所述用户行为特征之间的层级匹配度；

交叉决策树模块，用于根据所述层级匹配度、所述风险特征及所述用户行为特征生成特征对，并根据所述特征对构建特征交叉决策树模型；

风险系数模块，用于获取用户实时行为，利用所述特征交叉决策树模型识别所述用户实时行为的风险系数，并确定所述风险系数大于预设阈值的用户实时行为为风险行为。

为了解决上述问题，本发明还提供一种电子设备，所述电子设备包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述所述的针对大数据安全的风险行为识别方法。

为了解决上述问题，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一个计算机程序，所述至少一个计算机程序被电子设备中的处理器执行以实现上述所述的针对大数据安全的风险行为识别方法。

本发明实施例通过构建信息风险案例的核心语义矩阵，对所述核心语义矩阵进行异化窗口采样，避免了所述核心语义矩阵中的重要信息丢失，分别根据所述多尺寸子矩阵集合内的每个子矩阵提取所述信息风险案例的风险特征，通过将所述信息风险案例从高维特征空间映射到低维特征空间，并使映射后的信息风险案例仍具有良好的可分性，旨在提供所述信息风险案例的关键信息和非冗余的派生值，利用埋点获取所述大数据***的用户行为日志，能较好地支持历史数据回溯，利用预设的层级匹配算法计算风险特征与用户行为特征之间的层级匹配度，考虑了不同用户行为特征导致的风险程度，使得识别结果更加准确，根据生成的特征对构建特征交叉决策树模型，所述特征交叉决策树模型通过反馈分支很好的处理了所述用户行为特征与所述用户行为特征之间的关联性，同时也建立起了所述用户行为特征与所述风险特征的关联性，因此本发明提出针对大数据安全的风险行为识别方法、装置、电子设备及计算机可读存储介质，可以解决大数据安全的风险行为识别效率较低的问题。

附图说明

图1为本发明一实施例提供的针对大数据安全的风险行为识别方法的流程示意图；

图2为本发明一实施例提供的异化窗口采样的流程示意图；

图3为本发明一实施例提供的获取用户行为日志的流程示意图；

图4为本发明一实施例提供的针对大数据安全的风险行为识别装置的功能模块图；

图5为本发明一实施例提供的实现所述针对大数据安全的风险行为识别方法的电子设备的结构示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本申请实施例提供一种针对大数据安全的风险行为识别方法。所述针对大数据安全的风险行为识别方法的执行主体包括但不限于服务端、终端等能够被配置为执行本申请实施例提供的该方法的电子设备中的至少一种。换言之，所述针对大数据安全的风险行为识别方法可以由安装在终端设备或服务端设备的软件或硬件来执行，所述软件可以是区块链平台。所述服务端包括但不限于：单台服务器、服务器集群、云端服务器或云端服务器集群等。所述服务器可以是独立的服务器，也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(ContentDelivery Network，CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。

参照图1所示，为本发明一实施例提供的针对大数据安全的风险行为识别方法的流程示意图。在本实施例中，所述针对大数据安全的风险行为识别方法包括：

S1、获取预设的大数据***的信息风险案例，构建所述信息风险案例的核心语义矩阵。

在本发明实施例中，所述预设的大数据***可以是企业***、机器***、互联网***和社交***，其中，所述企业***可以是客户关系管理***、企业资源计划***、库存***、销售管理***等，所述机器***可以是智能仪表、工业设备传感器、智能设备、视频监控***等，所述互联网***可以是电商***、服务行业业务***、政府监管***等。

详细地，所述信息风险案例包括但不限于：数据泄露事件、网络攻击事件。

详细地，所述信息风险案例的核心语义矩阵是用来表示所述信息风险案例的关键信息的，例如：“ongchoi”和“rice”、“garlic”、“delicious”、“salty”等词连用，“spinach”、“chard”、“collard greens”等词连用，可能会向读者暗示“ongchoi”是一种绿叶蔬菜，类似于其他绿叶蔬菜。

进一步地，利用预设的关联算法计算“ongchoi”的上下文关联词的相似性，因此所述核心语义矩阵结合所述信息风险案例中词的向量语义与所述信息风险案例中词的情景向量形成，可利用独热编码对所述所述信息风险案例中词进行向量转化，得到所述信息风险案例中词的语义向量，利用预设的情景向量模型对所述信息风险案例进行处理，得到所述信息风险案例中词的情景向量。

详细地，所述向量语义的概念是将所述信息风险案例中一个词表示为多维语义空间中的一个点。

在本发明实施例中，所述构建所述信息风险案例的核心语义矩阵，包括：

在本发明实施例中，所述数据清洗是指对所述信息风险案例进行重新审查和校验的过程，目的在于删除重复信息、纠正存在的错误，并提供数据一致性；所述数据清洗指发现并纠正所述信息风险案例中可识别的错误，包括检查数据一致性，处理无效值和缺失值等。

详细地，所述数据清洗还包括：去停用词、去低频词、大写字母转化为小写字母等操作，其中，所述去停用词指在英文里，比如“the”，“a”，“an”等单词或“$”，“％”，“&”等标点符号，都可以作为停用词来过滤掉，而在中文里，比如“啊”，“一则”，“不尽然”等词汇或“『”，“▲”，“⑥”等标点符号，都可以作为停用词来过滤掉，可以利用已有的停用词词库对文本进行去停用词处理。

详细地，当所述标准案例存在着虚假信息，所述虚假信息为“小明硕士毕业于中国科学院计算所”，将“小明硕士毕业于中国科学院计算所”进行分词处理，得到“小明/硕士/毕业于/中国/科学院/计算/所”。

详细地，可利用预先训练的具有分词功能的人工智能模型对所述标准案例进行分词处理，得到所述标准案例的案例分词，其中，所述人工智能模型包括但不限于NLP(Natural Language Processing，自然语言处理)模型、HMM(Hidden Markov Model，隐马尔可夫模型)。

具体地，所述分词频率是指某一个分词在所述标准案例的案例分词中出现的次数，当分词的分词频率越高，则说明该分词的重要性越大。

进一步地，为了提高对所述关键词的处理效率，可利用预先训练的词向量模型将所述关键词转换为数值形式的词向量，其中，所述词向量模型包括但不限于word2vec模型、bert模型。

在本发明实施例中，所述将所述词向量进行向量拼接，得到所述信息风险案例的核心语义矩阵，包括：

统计所述词向量中每一个词向量的向量长度，确定所述向量长度中的最大值为目标长度；

利用预设参数将所述词向量中的每一个向量的向量长度延长至所述目标长度；

将延长后的所述词向量中的每一个向量作为行向量进行拼接，得到所述信息风险案例的核心语义矩阵。

例如，所述词向量中包含向量A：(1,4,6)，向量B：(2,3)，向量C：(3,7,8,9)，经过统计可知，向量A的向量长度为3，向量B的向量长度为2，向量C的向量长度为4，则确定4为所述目标长度，并利用预设参数(如x)将向量A的向量长度延长为4，得到延长后的向量A：(1,4,6,x)，将向量B的向量长度延长为4，得到延长后的向量B：(2,3,x,x)。

进一步地，可将延长后的每一个词向量作为行向量，拼接为如下所述向量矩阵：

进一步地，确定所述向量矩阵为所述信息风险案例的核心语义矩阵。

S2、对所述核心语义矩阵进行异化窗口采样，得到多尺寸子矩阵集合。

在本发明实施例中，采用单一窗口对所述核心语义矩阵进行采样，可能导致所述信息风险案例的关键信息丢失。

详细地，所述异化窗口是指对所述核心语义矩阵进行采样时的多种窗口维度，采样窗口维度可以是3*3、4*4和5*5等。

在本发明实施例中，参图2所示，所述对所述核心语义矩阵进行异化窗口采样，得到多尺寸子矩阵集合，包括：

S21、根据预设的第一维度异化窗口对所述核心语义矩阵进行采样，得到所述核心语义矩阵的一级子矩阵；

S22、根据预设的第二维度异化窗口对所述核心语义矩阵进行采样，得到所述核心语义矩阵的二级子矩阵；

S23、根据预设的第三维度异化窗口对所述核心语义矩阵进行采样，得到所述核心语义矩阵的三级子矩阵；

S24、汇集所述一级子矩阵、所述二级子矩阵和所述三级子矩阵为多尺寸子矩阵集合。

详细地，所述预设的第一维度异化窗口可以是2*2维度的窗口，当所述核心语义矩阵的维度是6*6时，那么，对所述预设的第一维度异化窗口对所述核心语义矩阵进行取样，将得到9个一级子矩阵；所述预设的第二维度异化窗口可以是3*3维度的窗口，当所述核心语义矩阵的维度是6*6时，那么，经过所述预设的第二维度异化窗口对所述核心语义矩阵进行取样，将得到4个二级子矩阵；所述预设的第三维度异化窗口可以是6*6维度的窗口，当所述核心语义矩阵的维度是6*6时，那么，对所述预设的第三维度异化窗口对所述核心语义矩阵进行取样，将得到1个三级子矩阵。

在本发明实施例中，根据所述异化窗口对所述核心语义矩阵采样时，可以避免所述核心语义矩阵中的重要信息丢失。

S3、分别根据所述多尺寸子矩阵集合内的每个子矩阵提取所述信息风险案例的风险特征。

在本发明实施例中，提取所述信息风险案例的风险特征是指从所述信息风险案例建立旨在提供信息和非冗余的派生值，从而促进后续的学习和泛化步骤，并且在某些情况下带来更好的可解释性；通过将所述信息风险案例从高维特征空间映射到低维特征空间，并使映射后的信息风险案例仍具有良好的可分性。

在本发明实施例中，所述分别根据所述多尺寸子矩阵集合内的每个子矩阵提取所述信息风险案例的风险特征，包括：

详细地，利用所述风险权重算法是因为不同的所述子矩阵集中的子矩阵代表的风险程度是不同的，可以根据所述多尺寸子矩阵集合中每个子矩阵确定。

详细地，所述点乘操作是指计算风险权重矩阵与所述子矩阵集的哈达玛积，即所述风险权重矩阵维度与所述子矩阵集的矩阵维度是一致的，逐元素相乘得到所述多个子矩阵集的融合特征。

例如，当所述预设的权重矩阵为所述文本依赖特征为/>时，则所述分类依赖特征为/>

在本发明实施例中，所述根据整数规划思想对所述多尺寸子矩阵集合内的子矩阵进行聚类，得到多个子矩阵集，包括：

利用如下聚类指标算法计算一级分组矩阵的聚类指标：

详细地，所述约束条件为所述决策变量的取值为0或者1；所述决策变量是指最优化问题中所涉及的与约束条件和目标函数有关的待确定的量；在最优化问题中，与变量有关的待求其极值(或最大值最小值)的函数称为所述目标函数。

在本发明实施例中，所述整数规划思想是指将规划中的全部变量或部分变量限制为整数，例如：在初次聚类时，将聚类产生的子矩阵集分为A子矩阵集和B子矩阵集，所述子矩阵要么归为A子矩阵集，要么归为B子矩阵集；再将所述A子矩阵集中的子矩阵进行聚类，得到两个关于所述A子矩阵集的子矩阵集，所述B子矩阵集中的子矩阵进行聚类，得到两个关于所述B子矩阵集中的子矩阵集，不断迭代，直至所述子矩阵集的总数达到预设数目。

详细地，所述根据整数规划思想对所述多尺寸子矩阵集合内的子矩阵进行聚类，充分挖掘了各子矩阵之间的关联性和独立性。

S4、获取所述大数据***的用户行为日志，根据所述用户行为日志生成用户行为特征。

在本发明实施例中，利用埋点所述大数据***运行过程中的事件，当需要关注的事件发生时进行判断和捕获，然后获取必要的上下文信息，最后将信息整理后发送至服务器端。根据所述埋点进行数据收集，跟踪所述大数据***使用情况，为后续的运营与产品的优化提供相关的数据支撑。为了提高埋点工作的效率和易用性，不再使用笨拙的采集代码编程来定义行为采集的触发条件和后续行为，而是通过后端配置或前端可视化圈选等方式来完成关键事件的定义和捕获，其中，数据监测工具一般倾向于在监测时捕获和发送尽可能多的事件和信息，而在数据处理后端进行触发条件匹配和统计计算等工作，以较好地支持关注点变更和历史数据回溯。

详细地，所述用户行为日志数据庞大，所以对所述用户行为日志进行特征提取，得到所述用户行为日志的用户行为特征，有利于后续用户行为的风险分析。

在本发明实施例中，参图3所示，所述获取所述大数据***的用户行为日志，包括：

S31、获取预设的埋点事件，对所述埋点事件进行元素转化，得到目标埋点元素；

S32、将所述目标埋点元素添加到所述大数据***的预设的埋点接口中，完成所述大数据***的埋点；

S33、利用所述埋点获取所述大数据***的用户行为日志。

详细地，所述目标埋点元素是指在所述大数据***中特定的收集的一些数据信息，用于追踪应用的使用情况，并为产品运营提供数据支撑，包括但不限于访问位置、访客类型、页面停留时长、页面浏览数以及点击率等。

详细地，可利用预设的监听接口对所述大数据***进行监听，所述监听接口可以是IntersectionObserver接口，IntersectionObserver接口提供了一种异步观察目标元素与其祖先元素或顶级文档视窗交叉状态的方法，当一个IntersectionObserver对象被创建时，它会被配置为监听根中一段给定比例的可见区域，用来监听可见区域的特定变化值。

S5、利用预设的层级匹配算法计算每个所述风险特征与每个所述用户行为特征之间的层级匹配度。

在本发明实施例中，因为不同的所述用户行为特征对应的风险程度是不同的，例如：将任职公司的数据卖给竞业条款中禁止的公司和点击一些危险网站造成数据泄露所产生的风险是不同的。

详细地，所述用户行为特征是建立在用户拥有知情权、访问权、修改权、限制处理权、被遗忘权、可携带权、拒绝权等多项权利的基础上的，企业必须履行和响应用户提出的权利请求，例如：用户发起数据查看请求，那么企业必须完整呈现数据主体个人数据报告，包括收集了用户哪些结构化数据、哪些非结构化数据(包括网络浏览、点击等信息)、以及将数据共享给了哪些第三方企业；所述用户行为特征包括用户的点击行为、查找行为、检索行为、登录行为、浏览行为、权限修改行为和删除行为等。

详细地，将所述风险特征描绘为10各层级，例如：最严重的所述风险特征设为10级，最轻微的所述风险特征设为1级，所述风险特征的严重性从1到10依次增大。

本发明实施例中，所述利用预设的层级匹配算法计算每个所述风险特征与每个所述用户行为特征之间的层级匹配度，包括：

根据预设的风险层级表将所述风险特征分类归并至预设的风险层级队列内；

根据每个所述风险特征在所述风险层级队列内的层级计算每个所述风险特征的层级权重；

根据所述层级权重和如下层级匹配算法计算每个所述风险特征与每个所述用户行为特征之间的层级匹配度：

其中，c为所述风险特征，d为所述用户行为特征，T(c,d)表示所述风险特征与所述用户行为特征的层级匹配度，c_k表示所述第k个风险特征，d_k表示第k个所述用户行为特征,w_k表示第k个风险特征的层级权重。

详细地，所述风险层级表按照不同风险特征对应的风险的危害大小对所述风险特征进行划分。

进一步地，根据所述风险层级表可以对所述用户行为特征进行定性定量评价。

S6、根据所述层级匹配度、所述风险特征及所述用户行为特征生成特征对，并根据所述特征对构建特征交叉决策树模型。

在本发明实施例中，所述特征对表征着用户的所述风险特性与所述用户行为特征之间的关联关系，例如：用户盗窃公司数据，将盗窃得到数据售卖给其他同类型公司，根据此事件生成所述用户的用户行为特征，选取所述风险特征处于10级时的风险特征为目标风险特征，计算所述用户行为特征与所述目标风险特征之间的层级匹配度，当所述层级匹配度大于或者等于预设的层级匹配度阈值时，确定此事件的风险特征为10级。

详细地，所述根据所述特征对构建特征交叉决策树模型，建立起了所述用户行为特征与所述用户行为特征之间的关联性，同时也建立起了所述用户行为特征与所述风险特征的关联性。

详细地，所述特征交叉决策树模型是一种非参数的有监督学习方法，能够从一系列有特征和标签的数据中总结出决策规则，并用树状图的结构来呈现这些规则，以解决分类和回归问题。

在本发明实施例中，所述根据所述特征对构建特征交叉决策树模型，包括：

对所述基本决策树进行决策树增添处理，得到中间决策树；

详细地，所述根据所述特征对中的层级匹配度建立所述风险特征与所述用户行为特征的反馈分支，其中，所述反馈分支是所述风险特征与所述用户行为特征的一种联系。

进一步地，根据预设的风险特征与所述用户行为特征的定量关系对所述中间决策树进行配置，例如：确定当前用户行为特征为中间级风险特征的用户行为特征时，将当前用户行为特征反馈至预设的风险特征分支上，对所述预设的风险特征分支和所述当前用户行为特征进行加和处理，得到语境行为特征，再对所述进行决策分类。

详细地，所述基本决策树是一个最简单的决策树，是后续决策树进行***的基础。

具体地，所述预设的损失函数包括：

其中，L(y,y^p)为所述标准决策树的损失值，为所述得分数据集中的得分数据，y_i为预设的真实得分数据，n为所述得分数据集中的得分数据的总数，i是所述得分数据集中的得分数据的标识。

S7、获取用户实时行为，利用所述特征交叉决策树模型识别所述用户实时行为的风险系数，并确定所述风险系数大于预设阈值的用户实时行为为风险行为。

在本发明实施例中，所述预设的风险层级包括区间阈值，所述预设阈值时根据所述区间阈值确定的，例如：当所述风险系数为1时，所述区间阈值中的安全区间阈值为2，所以所述风险系数处于安全区间内；当所述风险系数为3时，所述区间阈值中的安全区间阈值为2，所以所述风险系数超出安全区间，确定所述用户实时行为为风险行为。

本发明实施例通过构建信息风险案例的核心语义矩阵，对所述核心语义矩阵进行异化窗口采样，避免了所述核心语义矩阵中的重要信息丢失，分别根据所述多尺寸子矩阵集合内的每个子矩阵提取所述信息风险案例的风险特征，通过将所述信息风险案例从高维特征空间映射到低维特征空间，并使映射后的信息风险案例仍具有良好的可分性，旨在提供所述信息风险案例的关键信息和非冗余的派生值，利用埋点获取所述大数据***的用户行为日志，能较好地支持历史数据回溯，利用预设的层级匹配算法计算风险特征与用户行为特征之间的层级匹配度，考虑了不同用户行为特征导致的风险程度，使得识别结果更加准确，根据生成的特征对构建特征交叉决策树模型，所述特征交叉决策树模型通过反馈分支很好的处理了所述用户行为特征与所述用户行为特征之间的关联性，同时也建立起了所述用户行为特征与所述风险特征的关联性，因此本发明提出针对大数据安全的风险行为识别方法，可以解决大数据安全的风险行为识别效率较低的问题。

如图4所示，是本发明一实施例提供的针对大数据安全的风险行为识别装置的功能模块图。

本发明所述针对大数据安全的风险行为识别装置100可以安装于电子设备中。根据实现的功能，所述针对大数据安全的风险行为识别装置100可以包括语义矩阵模块101、异化窗口采样模块102、风险特征模块103、用户行为特征模块104、层级匹配度模块105、交叉决策树模块106及风险系数模块107。本发明所述模块也可以称之为单元，是指一种能够被电子设备处理器所执行，并且能够完成固定功能的一系列计算机程序段，其存储在电子设备的存储器中。

在本实施例中，关于各模块/单元的功能如下：

所述语义矩阵模块101，用于获取预设的大数据***的信息风险案例，构建所述信息风险案例的核心语义矩阵；

所述异化窗口采样模块102，用于对所述核心语义矩阵进行异化窗口采样，得到多尺寸子矩阵集合；

所述风险特征模块103，用于分别根据所述多尺寸子矩阵集合内的每个子矩阵提取所述信息风险案例的风险特征；

所述用户行为特征模块104，用于获取所述大数据***的用户行为日志，根据所述用户行为日志生成用户行为特征；

所述层级匹配度模块105，用于利用预设的层级匹配算法计算每个所述风险特征与每个所述用户行为特征之间的层级匹配度；

所述交叉决策树模块106，用于根据所述层级匹配度、所述风险特征及所述用户行为特征生成特征对，并根据所述特征对构建特征交叉决策树模型；

所述风险系数模块107，用于获取用户实时行为，利用所述特征交叉决策树模型识别所述用户实时行为的风险系数，并确定所述风险系数大于预设阈值的用户实时行为为风险行为。

如图5所示，是本发明一实施例提供的实现针对大数据安全的风险行为识别方法的电子设备的结构示意图。

所述电子设备可以包括处理器10、存储器11、通信总线12以及通信接口13，还可以包括存储在所述存储器11中并可在所述处理器10上运行的计算机程序，如针对大数据安全的风险行为识别程序。

其中，所述处理器10在一些实施例中可以由集成电路组成，例如可以由单个封装的集成电路所组成，也可以是由多个相同功能或不同功能封装的集成电路所组成，包括一个或者多个中央处理器(Central Processing Unit，CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器10是所述电子设备的控制核心(ControlUnit)，利用各种接口和线路连接整个电子设备的各个部件，通过运行或执行存储在所述存储器11内的程序或者模块(例如执行针对大数据安全的风险行为识别程序等)，以及调用存储在所述存储器11内的数据，以执行电子设备的各种功能和处理数据。

所述存储器11至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如：SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备的内部存储单元，例如该电子设备的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备的外部存储设备，例如电子设备上配备的插接式移动硬盘、智能存储卡(Smart Media Card，SMC)、安全数字(Secure Digital，SD)卡、闪存卡(Flash Card)等。进一步地，所述存储器11还可以既包括电子设备的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备的应用软件及各类数据，例如针对大数据安全的风险行为识别程序的代码等，还可以用于暂时地存储已经输出或者将要输出的数据。

所述通信总线12可以是外设部件互连标准(Peripheral ComponentInterconnect，简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器11以及至少一个处理器10等之间的连接通信。

所述通信接口13用于上述电子设备与其他设备之间的通信，包括网络接口和用户接口。可选地，所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等)，通常用于在该电子设备与其他电子设备之间建立通信连接。所述用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard))，可选地，用户接口还可以是标准的有线接口、无线接口。可选地，在一些实施例中，显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode，有机发光二极管)触摸器等。其中，显示器也可以适当的称为显示屏或显示单元，用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。

图中仅示出了具有部件的电子设备，本领域技术人员可以理解的是，图中示出的结构并不构成对所述电子设备的限定，可以包括比图示更少或者更多的部件，或者组合某些部件，或者不同的部件布置。

例如，尽管未示出，所述电子设备还可以包括给各个部件供电的电源(比如电池)，优选地，电源可以通过电源管理装置与所述至少一个处理器10逻辑相连，从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备还可以包括多种传感器、蓝牙模块、Wi-Fi模块等，在此不再赘述。

应该了解，所述实施例仅为说明之用，在专利申请范围上并不受此结构的限制。

所述电子设备中的所述存储器11存储的针对大数据安全的风险行为识别程序是多个指令的组合，在所述处理器10中运行时，可以实现：

具体地，所述处理器10对上述指令的具体实现方法可参考附图对应实施例中相关步骤的描述，在此不赘述。

进一步地，所述电子设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。所述计算机可读存储介质可以是易失性的，也可以是非易失性的。例如，所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)。

本发明还提供一种计算机可读存储介质，所述可读存储介质存储有计算机程序，所述计算机程序在被电子设备的处理器所执行时，可以实现：

在本发明所提供的几个实施例中，应该理解到，所揭露的设备，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。

因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。

本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain)，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。

本申请实施例可以基于人工智能技术对相关的数据进行获取和处理。其中，人工智能(Artificial Intelligence，AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能，感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用***。

此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。***权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一、第二等词语用来表示名称，而并不表示任何特定的顺序。

最后应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或等同替换，而不脱离本发明技术方案的精神和范围。

Claims

1.一种针对大数据安全的风险行为识别方法，其特征在于，所述方法包括：

S1、获取预设的大数据***的信息风险案例，构建所述信息风险案例的核心语义矩阵；

S2、对所述核心语义矩阵进行异化窗口采样，得到多尺寸子矩阵集合；

S3、分别根据所述多尺寸子矩阵集合内的每个子矩阵提取所述信息风险案例的风险特征；

S4、获取所述大数据***的用户行为日志，根据所述用户行为日志生成用户行为特征；

S5、利用预设的层级匹配算法计算每个所述风险特征与每个所述用户行为特征之间的层级匹配度，其中，所述利用预设的层级匹配算法计算每个所述风险特征与每个所述用户行为特征之间的层级匹配度，包括：

S11、根据预设的风险层级表将所述风险特征分类归并至预设的风险层级队列内；

S12、根据每个所述风险特征在所述风险层级队列内的层级计算每个所述风险特征的层级权重；

S13、根据所述层级权重和如下层级匹配算法计算每个所述风险特征与每个所述用户行为特征之间的层级匹配度：

其中，c为所述风险特征，d为所述用户行为特征，T(c,d)表示所述风险特征与所述用户行为特征的层级匹配度，c_k表示第k个风险特征，d_k表示第k个所述用户行为特征,w_k表示第k个风险特征的层级权重；

S6、根据所述层级匹配度、所述风险特征及所述用户行为特征生成特征对，并根据所述特征对构建特征交叉决策树模型；

2.如权利要求1所述的针对大数据安全的风险行为识别方法，其特征在于，所述构建所述信息风险案例的核心语义矩阵，包括：

3.如权利要求1所述的针对大数据安全的风险行为识别方法，其特征在于，所述对所述核心语义矩阵进行异化窗口采样，得到多尺寸子矩阵集合，包括：

4.如权利要求1所述的针对大数据安全的风险行为识别方法，其特征在于，所述分别根据所述多尺寸子矩阵集合内的每个子矩阵提取所述信息风险案例的风险特征，包括：

5.如权利要求4所述的针对大数据安全的风险行为识别方法，其特征在于，所述根据整数规划思想对所述多尺寸子矩阵集合内的子矩阵进行聚类，得到多个子矩阵集，包括：

利用如下聚类指标算法计算一级分组矩阵的聚类指标：

其中，i是所述一级分组矩阵的标识，u_i是所述一级分组矩阵的聚类指标,x_i是第i组所述子矩阵的一级分组矩阵，表示所有所述一级分组矩阵均值，l是所述一级分组矩阵的总数；

6.如权利要求1所述的针对大数据安全的风险行为识别方法，其特征在于，所述获取所述大数据***的用户行为日志，包括：

利用所述埋点获取所述大数据***的用户行为日志。

7.一种电子设备，其特征在于，所述电子设备包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行如权利要求1至6中任意一项所述的针对大数据安全的风险行为识别方法。

8.一种计算机可读存储介质，存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6中任意一项所述的针对大数据安全的风险行为识别方法。