风险交易识别方法、装置、设备、存储介质和程序产品与流程

1.本公开涉及信息安全技术领域，具体涉及交易识别技术领域，更具体地涉及一种风险交易识别方法、装置、设备、存储介质和程序产品。


背景技术：

2.在现有安全风险识别领域，通过在网络链路上拦截网络数据并流量分析，根据调用方的网络ip、mac地址、请求序列码等客户端外部流量数据特征实现。
3.然而这种识别方式无法深入到程序调用层级进行分析，无法感知交易请求数据上的细微差别对实际具体触发的调用链路分支的影响，进而从程序异常调用分支中获取交易异常信息。
4.需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。


技术实现要素：

5.鉴于上述问题，本公开提供了一种提高风险交易识别准确率的风险交易识别方法、装置、设备、存储介质和程序产品。
6.根据本公开的第一个方面，提供了一种风险交易识别方法，所述方法包括：
7.使用程序探针拦截交易请求，以获取函数调用信息；
8.将所述函数调用信息输入渐进多启发式预测模型中进行交易风险识别分析；
9.输出所述交易请求的风险程度预测值；以及
10.根据所述风险程度预测值处理所述交易请求。
11.根据本公开的实施例，所述将所述函数调用信息输入渐进多启发式预测模型中进行交易风险识别分析包括：
12.对当前函数调用进行渐进启发式预测，以生成预测调用链路集合；以及
13.根据所述调用链路集合进行交易可信度计算得到风险程度预测值。
14.根据本公开的实施例，所述渐进多启发式预测模型包括函数历史调用链路信息，所述对当前函数调用进行渐进启发式预测，以生成预测调用链路集合包括：
15.根据所述函数调用信息和所述函数历史调用链路信息确定启发函数结果集合；
16.根据所述启发函数结果集合确定子调用函数节点集合；以及
17.基于渐进决策控制策略对所述子调用函数节点集合进行迭代启发计算，以形成预测调用链路集合。
18.根据本公开的实施例，所述渐进多启发式预测模型还包括函数调用信息的历史参数特征，所述根据所述函数调用信息和所述函数历史调用链路信息确定启发函数结果集合包括：
19.根据所述函数历史调用链路信息确定下一子调用函数节点的转移概率；
20.根据所述函数调用信息计算当前函数节点参数与所述函数调用信息的历史参数
特征的相似度；以及
21.根据所述转移概率和所述相似度确定下一子调用函数节点的置信程度。
22.根据本公开的实施例，所述根据所述启发函数结果集合确定子调用函数节点集合包括：
23.将所述启发函数结果集中置信程度小于预设阈值的下一子调用函数节点生成子调用函数节点集合。
24.根据本公开的实施例，所述基于渐进决策控制策略对所述子调用函数节点集合进行迭代启发计算包括：
25.在对所述子调用函数节点集合进行迭代启发计算之前，根据当前函数节点的置信程度和预设安全等级控制条件进行渐进决策控制；
26.当确定当前函数节点的置信程度满足预设安全等级控制条件时，结束迭代启发计算。
27.本公开的第二方面提供了一种风险交易识别装置，所述装置包括：
28.交易拦截模块，用于使用程序探针拦截交易请求，以获取函数调用信息；
29.交易风险分析模块，用于将所述函数调用信息输入渐进多启发式预测模型中进行交易风险识别分析；
30.输出模块，用于输出所述交易请求的风险程度预测值；以及
31.风险交易处理模块，用于根据所述风险程度预测值处理所述交易请求。
32.根据本公开的实施例，交易风险分析模块包括：调用链路预测子模块和风险程度预测值计算子模块。
33.调用链路预测子模块，用于对当前函数调用进行渐进启发式预测，以生成预测调用链路集合；以及
34.风险程度预测值计算子模块，英语根据所述调用链路集合进行交易可信度计算得到风险程度预测值。
35.根据本公开的实施例，调用路预测子模块包括：第一确定单元、第二确定单元和迭代计算单元。
36.第一确定单元，用于根据所述函数调用信息和所述函数历史调用链路信息确定启发函数结果集合；
37.第二确定单元，用于根据所述启发函数结果集合确定子调用函数节点集合；以及
38.迭代计算单元，用于基于渐进决策控制策略对所述子调用函数节点集合进行迭代启发计算，以形成预测调用链路集合。
39.根据本公开的实施例，第一确定单元包括第一确定子单元、计算子单元和第二确定子单元。
40.第一确定子单元，用于根据所述函数历史调用链路信息确定下一子调用函数节点的转移概率；
41.计算子单元，用于根据所述函数调用信息计算当前函数节点参数与所述函数调用信息的历史参数特征的相似度；以及
42.第二确定子单元，用于根据所述转移概率和所述相似度确定下一子调用函数节点的置信程度。
43.根据本公开的实施例，第二确定单元包括：生成子单元。
44.生成子单元，用于将所述启发函数结果集中置信程度小于预设阈值的下一子调用函数节点生成子调用函数节点集合。
45.根据本公开的实施例，迭代计算单元包括渐进决策控制子单元。
46.渐进控制子单元用于在对所述子调用函数节点集合进行迭代启发计算之前，根据当前函数节点的置信程度和预设安全等级控制条件进行渐进决策控制；当确定当前函数节点的置信程度满足预设安全等级控制条件时，结束迭代启发计算。
47.本公开的第三方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得一个或多个处理器执行上述业务日期变更方法。
48.本公开的第四方面还提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行上述风险交易识别方法。
49.本公开的第五方面还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述风险交易识别方法。
50.通过本公开的实施例提供的一种风险交易识别方法，在接收到交易请求时，使用程序探针获取函数调用信息，将函数调用信息输入渐进多启发式预测模型中进行交易风险识别分析，通过多启发式预测模型基于已有交易样本数据，能够预测当前交易请求的调用链路，能够感知交易请求数据上细微差别对调用链路分支的影响，进而输出当前交易请求的风险程度预测值，根据风险程度预测值处理该交易请求，相较于相关技术，本公开实施例提供的方法无需应用改造适配，泛化适应能力高，保护交易系统免受业务攻击和安全攻击，具有较高的识别处理性能。
附图说明
51.通过以下参照附图对本公开实施例的描述，本公开的上述内容以及其他目的、特征和优点将更为清楚，在附图中：
52.图1示意性示出了根据本公开实施例的风险交易识别装置的系统架构图；
53.图2示意性示出了根据本公开实施例的风险交易识别方法、装置、设备、存储介质和程序产品的应用场景图；
54.图3示意性示出了根据本公开实施例提供的一种风险交易识别方法的流程图；
55.图4示意性示出了根据本公开另一实施例提供的风险交易识别方法的流程图；
56.图5a示意性示出了根据本公开实施例提供的预测调用链路集合生成方法的示意图之一；
57.图5b示意性示出了根据本公开实施例提供的预测调用链路集合生成方法的示意图之二；
58.图5c示意性示出了根据本公开实施例提供的预测调用链路集合生成方法的示意图之三；
59.图6示意性示出了根据本公开实施例的一种风险交易识别装置的结构框图；以及
60.图7示意性示出了根据本公开实施例的适于实现风险交易识别方法的电子设备的方框图。
具体实施方式
61.以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。
62.在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
63.在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。
64.在使用类似于“a、b和c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b和c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。
65.首先对本公开实施例出现的名词术语进行解释：
66.交易处理程序：在计算机交易系统中，完成特定交易业务逻辑的计算机程序。
67.程序探针：以注入的方式灵活从运行的程序进程中获取信息并在关键节点添加定制代码逻辑的工具程序，对业务代码无入侵。
68.程序调用链：由程序执行过程中的函数节点连接组成，可表示程序调用的执行过程和特征。
69.渐进决策过程：是指主张决策者采用渐进方式对现有政策加以修改，组件实现决策目标的理论。
70.启发式算法：一个基于直观或者经验构造的方法，在可接受的计算成本下给出待解决问题的近似最优解。
71.启发式预测：通过启发式算法，对预测分支进行搜索，在给定的条件、目标和置信区间内，得到可能存在分支路径集合，作为问题预测的结果。
72.现有安全风险识别，通过在网络链路上拦截网络数据并流量分析，根据调用方的网络ip，mac地址，请求序列码等客户端外部流量数据特征实现。但是在网络链路上拦截分析，无法深入到程序调用层级进行分析，无法感知交易请求数据上的细微差别对实际具体触发的调用链路分支的影响，进而从程序异常调用分支中获取交易异常信息；且安全规则相对固化，无法根据应用整体交易实况进行学习适应，不同交易应用需要制定一套具体的规则无法很好的在不同类别的交易应用之间有良好的应用效果。
73.基于上述技术问题，本公开的实施例提供了一种风险交易识别方法，所述方法包括：使用程序探针拦截交易请求，以获取函数调用信息；将所述函数调用信息输入渐进多启发式预测模型中进行交易风险识别分析；输出所述交易请求的风险程度预测值；以及根据所述风险程度预测值处理所述交易请求。
74.图1示意性示出了根据本公开实施例的风险交易识别装置的系统架构图。如图1所
示，该风险交易识别装置100包括交易增强模块121、数据采集模块131、渐进决策模块141和多启发式预测模块151。
75.交易增强模块121，用于对接交易处理程序，作为整个风险交易识别装置的入口。交易增强模块121包含交易探针单元122、评估汇总单元123、交易处置单元124。交易探针单元122用于交易处理程序的程序探针，探测采集程序调用信息，包括程序调用关键节点函数，以及函数调用信息等。评估汇总单元123用于将交易入口调用及调用参数，提交到渐进决策模块141进行交易风险识别分析。交易处置单元124用于根据交易风险识别结果，对交易做出处置，允许安全交易实施，或拒绝风险交易并告警提示。
76.数据采集存储模块131，用于对交易调用样本信息做数据分析统计，并完成预处理，如数据的归一化处理，无效数据剔除，调用参数序列化等。模块包含调用链路分析单元132、数据统计处理单元133、链路数据存储单元134。其中调用链路分析单元132用于接收由交易探针单元122收集的调用链路信息，解析出调用链路及链路上函数节点相应的参数值。并根据调用分支末端节点，汇总程序核心底层调用。数据统计处理单元133用于统计调用链路分析单元132解析出链路调用函数节点之间的调用分支转移概率信息，统计计算不同函数节点上参数的出现概率信息，并对相关信息进行归一化处理，统一数值量纲。链路数据存储单元134用于存储调用链路分析单元132和数据统计处理单元133得到的数值结果，供后续多启发式预测模块151使用。
77.渐进决策模块141，用于渐进决策交易风险评估过程，评估每次渐进迭代的多启发式预测效果并控制是否需要再次递进调用子预测过程，直至满足给定安全等级控制条件。模块包含：决策目标识别单元142、渐进控制单元143、决策表决单元144。
78.决策目标识别单元142用于识别由评估汇总单元123发起的交易评估任务，包括设置的总体安全控制等级，根据安全等级设定决策的完成条件。渐进控制单元143使用渐进策略，对交易进行风险识别。渐进控制中以交易核心调用链路上的函数节点为过程节点，沿着调用链对核心调用函数进行递进判断，若对当前函数节点的风险预测满足决策表决单元144判定的置信程度，则完成渐进决策过程，否则由交易探针获取程序调用的下一个子调用，作为渐进过程的下一步决策点，识别调用安全性。决策表决单元144对渐进控制单元143单次完成的渐进决策结果进行条件判断，决定是否满足风险识别需求，完成对交易的识别，返回结果到汇总评估单元123。
79.多启发式预测模块1 51用于对交易进行风险评估，使用多个启发函数的启发式搜索算法进行链路调用预测，并通过给定置信程度参数预测出的调用链路集合，做交易可信度计算，得出交易风险评估。多启发式预测模块151包括数据加载单元152、启发函数计算单元153、置信调控单元154、多启发迭代单元155和预测统筹单元156。
80.数据加载单元152用于根据模块其他单元需要从链路数据存储单元134获取调用函数相关数据。启发函数计算单元153用于根据数据加载单元152采集的数据和函数节点上下游调用关系，计算启发函数结果，存储在启发函数计算结果集合中。其中使用两个启发函数完成计算，一个是计算当前函数节点可能的下一子调用的转移概率，另一个计算当前函数节点获得的参数，与链路数据存储单元134中相同程序调用的历史参数特征的相似度。置信调控单元154用于根据启发函数计算单元153的启发函数结果集合，筛选在置信区间内的下一子调用函数节点，存储在后续函数调用集中。多启发迭代单元155：根据置信调控单元
154处理所得存储在后续函数调用集，对集合中的函数调用，迭代进行启发计算过程，过程中保存每个函数调用的下一子函数信息，形成预测调用链路。当函数节点为设定的核心底层调用，迭代过程结束。预测统筹单元156用于根据多启发迭代单元155生成的预测调用链路集合中链路节点，以及各链路最终核心调用在样本数据的出现概率分布，得出交易的风险程度预测值。
81.图2示意性示出了根据本公开实施例的风险交易识别方法、装置、设备、存储介质和程序产品的应用场景图。
82.如图2所示，根据该实施例的应用场景200可以包括风险交易识别场景。网络204用以在终端设备201、202、203和服务器205之间提供通信链路的介质。网络204可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。
83.用户可以使用终端设备201、202、203通过网络204与服务器205交互，以接收或发送消息等。终端设备201、202、203上可以安装有各种通讯客户端应用，例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
84.终端设备201、202、203可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
85.服务器205可以是风险交易识别服务器，该服务器中执行本公开实施例提供的风险交易识别方法，响应于交易请求，获取函数调用信息，根据预先训练的渐进多启发式预测模型确定当前交易请求的预测调用链路，得到该交易请求的风险程度预测值，根据风险程度预测值处理交易请求。
86.需要说明的是，本公开实施例所提供的风险交易识别方法一般可以由服务器205执行。相应地，本公开实施例所提供的风险交易识别装置一般可以设置于服务器205中。本公开实施例所提供的风险交易识别方法也可以由不同于服务器205且能够与终端设备201、202、203和/或服务器205通信的服务器或服务器集群执行。相应地，本公开实施例所提供的风险交易识别装置也可以设置于不同于服务器205且能够与终端设备201、202、203和/或服务器205通信的服务器或服务器集群中。
87.应该理解，图2中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。
88.需要说明的是，本公开实施例确定的风险交易识别方法和装置可用于云计算技术领域，也可用于金融技术领域，还可用于除金融领域之外的任意领域，本公开实施例确定的风险交易识别方法和装置的应用领域不做限定。
89.以下将基于图1描述的系统架构和图2描述的应用场景，通过图3～图6本公开实施例的风险交易识别方法进行详细描述。
90.图3示意性示出了根据本公开实施例提供的一种风险交易识别方法的流程图。如图3所示，该实施例的风险交易识别方法包括操作s210～操作s240，该方法可以由服务器或其他计算设备执行。
91.在操作s210，使用程序探针拦截交易请求，以获取函数调用信息。
92.在操作s220，将所述函数调用信息输入渐进多启发式预测模型中进行交易风险识别分析。
93.在操作s230，输出所述交易请求的风险程度预测值。
94.在操作s240，根据所述风险程度预测值处理所述交易请求。
95.一个示例中，在识别阶段，通过交易探针拦截交易请求，获取交易入口调用，随后发起对交易的风险识别和评估流程，本公开实施例中的流程为一个渐进决策过程，每一次渐进决策中通过多启发式预测评估出的交易调用安全性，通过所评估安全性的置信度，继续或停止渐进决策过程。
96.一个示例中，在接收到交易请求时，拦截交易请求，先对该交易请求的风险进行预测评估，以识别是否为风险交易，具体的，通过作用与交易处理程序的程序探针，探测采集程序调用信息，包括程序调用关键节点函数和函数调用信息。将函数调用信息输入渐进多启发式预测模型输出所述交易请求的风险程度预测值，渐进多启发式预测模型是根据原始交易数据预先训练的，具体的，在运行准备阶段通过交易探针，采集原始交易数据，经过调用链路挖掘获取交易数据并学习交易特征。
97.一个示例中，根据操作s230输出的风险程度预测值处理该交易请求，例如如果风险程度预测值低于某阈值，则确定当前交易请求属于安全交易，允许继续实施；如果风险程度预测值高于某阈值，则确定当前交易请求属于风险交易，拒绝风险交易并告警提示。
98.通过本公开的实施例提供的一种风险交易识别方法，在接收到交易请求时，使用程序探针获取函数调用信息，将函数调用信息输入渐进多启发式预测模型中进行交易风险识别分析，通过多启发式预测模型基于已有交易样本数据，能够预测当前交易请求的调用链路，能够感知交易请求数据上细微差别对调用链路分支的影响，进而输出当前交易请求的风险程度预测值，根据风险程度预测值处理该交易请求，相较于相关技术，本公开实施例提供的方法无需应用改造适配，泛化适应能力高，保护交易系统免受业务攻击和安全攻击，具有较高的识别处理性能。
99.下面将结合图4介绍渐进多启发式预测模型进行交易风险识别分析的过程。图4示意性示出了根据本公开另一实施例提供的风险交易识别方法的流程图。如图4所示，操作s220包括操作s221和操作s222。
100.在操作s221，对当前函数调用进行渐进启发式预测，以生成预测调用链路集合。
101.根据本公开的实施例，所述渐进多启发式预测模型包括函数历史调用链路信息。
102.在操作s222，根据所述调用链路集合进行交易可信度计算得到风险程度预测值。
103.一个示例中，本公开实施例中的渐进启发式预测模型是基于历史交易调用样本信息进行数据分析统计得到的，具体的，对交易调用样本信息做数据分析统计，并完成预处理，如数据的归一化处理，无效数据剔除，调用参数序列化。统计链路调用函数节点之间的调用分支转移概率信息，统计计算不同函数节点上参数的出现概率信息，并对相关信息进行归一化处理，统一数值量纲。使用多个启发函数的启发式搜索算法进行链路调用预测，并通过给定置信程度参数预测出的调用链路集合，做交易可信度计算，得出交易风险评估。
104.一个示例中，根据预测的调用链路集合中链路节点和各链路最终核心调用在样本数据中出现的概率分布得到交易风险程度预测值。
105.图5a示意性示出了根据本公开实施例提供的预测调用链路集合生成方法的示意图之一。图5b示意性示出了根据本公开实施例提供的预测调用链路集合生成方法的示意图之二。图5c示意性示出了根据本公开实施例提供的预测调用链路集合生成方法的示意图之三。
106.如图5a所示，操作s221包括操作s310～操作s330。
107.在操作s310，根据所述函数调用信息和所述函数历史调用链路信息确定启发函数结果集合。
108.根据本公开实施例，所述渐进多启发式预测模型还包括函数调用信息的历史参数特征。
109.在操作s320，根据所述启发函数结果集合确定子调用函数节点集合。
110.根据本公开实施例，将所述启发函数结果集中置信程度小于预设阈值的下一子调用函数节点生成子调用函数节点集合。
111.如图5b所示，操作s310包括操作s311～操作s313。
112.在操作s311，根据所述函数历史调用链路信息确定下一子调用函数节点的转移概率。
113.在操作s312，根据所述函数调用信息计算当前函数节点参数与所述函数调用信息的历史参数特征的相似度。
114.在操作s313，根据所述转移概率和所述相似度确定下一子调用函数节点的置信程度。
115.一个示例中，通过预测模型中函数历史调用链路信息能够确定函数节点上下游调用关系。根据程序探针获取的函数调用信息和和函数节点上下游调用关系计算启发函数结果，存储在启发函数计算结果集合中。具体的，使用两个启发函数完成计算，一个是计算当前函数节点可能的下一子调用的转移概率，另一个计算当前函数节点获得的参数，与链路数据存储单元中相同程序调用的历史参数特征的相似度。
116.一个示例中，根据所述转移概率和所述相似度确定下一子调用函数节点的置信程度。例如当前函数节点参数与历史参数特征的相似度大于预设阈值，则确定当前函数节点参数风险程度较低，对应的下一子调用函数节点的置信程度较高，若当前函数节点参数与历史参数特征的相似度小于预设阈值，则确定当前函数节点参数可能存在风险，对应的下一子调用函数节点的置信程度较低，根据所述启发函数结果集合确定子调用函数节点集合，将所述启发函数结果集中置信程度小于预设阈值的下一子调用函数节点生成子调用函数节点集合，子调用函数节点集合包括该节点的转移概率和置信程度。
117.在操作s330，基于渐进决策控制策略对所述子调用函数节点集合进行迭代启发计算，以形成预测调用链路集合。
118.如图5c所示，操作s330包括操作s331～操作s332。
119.在操作s331，在对所述子调用函数节点集合进行迭代启发计算之前，根据当前函数节点的置信程度和预设安全等级控制条件进行渐进决策控制。
120.在操作s332，当确定当前函数节点的置信程度满足预设安全等级控制条件时，结束迭代启发计算。
121.一个示例中，本公开实施例中对当前交易请求进行启发式预测，循环迭代启发计算直至得到核心底层调用，形成预测调用链路。
122.一个示例中，若确定当前函数节点参数与链路数据存储单元中相同程序调用的历史参数特征的相似度大于预设阈值，即确定当前函数调用参数为正常合法参数，此时当前函数节点的置信程度大于预设安全等级控制条件中的置信程度值，为了提高识别的效率，
缩短风险识别的时间，使用渐进控制策略对启发预测过程进行控制，前述情况无需继续向下进行迭代计算。若确定当前函数节点参数与链路数据存储单元中相同程序调用的历史参数特征的相似度小于预设阈值，此时当前函数节点的置信程度小于预设安全等级控制条件中的置信程度值时，确定当前函数调用存在一定的风险，此时需继续进行迭代计算，直至确定任一当前函数节点的置信程度满足预设安全等级控制条件时，将不再继续预测调用链路，直接结束迭代启发计算。
123.基于上述风险交易识别方法，本公开还提供了一种风险交易识别装置。以下将结合图6对该装置进行详细描述。
124.图6示意性示出了根据本公开实施例的一种风险交易识别装置的结构框图。
125.如图6所示，该实施例的风险交易识别装置600包括交易拦截模块610、交易风险分析模块620、输出模块630和风险交易处理模块模块640。
126.交易拦截模块610用于使用程序探针拦截交易请求，以获取函数调用信息。在一实施例中，交易拦截模块610可以用于执行前文描述的操作s210，在此不再赘述。
127.交易风险分析模块620用于将所述函数调用信息输入渐进多启发式预测模型中进行交易风险识别分析。在一实施例中，交易风险分析模块620可以用于执行前文描述的操作s220，在此不再赘述。
128.输出模块630用于输出所述交易请求的风险程度预测值。在一实施例中，输出模块630可以用于执行前文描述的操作s230，在此不再赘述。
129.风险交易处理模块640用于根据所述风险程度预测值处理所述交易请求。在一实施例中，风险交易处理模块640可以用于执行前文描述的操作s240，在此不再赘述。
130.根据本公开的实施例，交易风险分析模块包括：调用链路预测子模块和风险程度预测值计算子模块。
131.调用链路预测子模块，用于对当前函数调用进行渐进启发式预测，以生成预测调用链路集合。在一实施例中，调用链路预测子模块可以用于执行前文描述的操作s221，在此不再赘述。
132.风险程度预测值计算子模块，英语根据所述调用链路集合进行交易可信度计算得到风险程度预测值。在一实施例中，风险程度预测值计算子模块可以用于执行前文描述的操作s222，在此不再赘述。
133.根据本公开的实施例，调用路预测子模块包括：第一确定单元、第二确定单元和迭代计算单元。
134.第一确定单元，用于根据所述函数调用信息和所述函数历史调用链路信息确定启发函数结果集合。在一实施例中，第一确定单元可以用于执行前文描述的操作s310，在此不再赘述。
135.第二确定单元，用于根据所述启发函数结果集合确定子调用函数节点集合。在一实施例中，第二确定单元可以用于执行前文描述的操作s320，在此不再赘述。
136.迭代计算单元，用于基于渐进决策控制策略对所述子调用函数节点集合进行迭代启发计算，以形成预测调用链路集合。在一实施例中，迭代计算单元可以用于执行前文描述的操作s330，在此不再赘述。
137.根据本公开的实施例，第一确定单元包括第一确定子单元、计算子单元和第二确
定子单元。
138.第一确定子单元，用于根据所述函数历史调用链路信息确定下一子调用函数节点的转移概率。在一实施例中，第一确定子单元可以用于执行前文描述的操作s3 11，在此不再赘述。
139.计算子单元，用于根据所述函数调用信息计算当前函数节点参数与所述函数调用信息的历史参数特征的相似度。在一实施例中，计算子单元可以用于执行前文描述的操作s312，在此不再赘述。
140.第二确定子单元，用于根据所述转移概率和所述相似度确定下一子调用函数节点的置信程度。在一实施例中，第二确定子单元可以用于执行前文描述的操作s313，在此不再赘述。
141.根据本公开的实施例，第二确定单元包括：生成子单元。
142.生成子单元，用于将所述启发函数结果集中置信程度小于预设阈值的下一子调用函数节点生成子调用函数节点集合。
143.根据本公开的实施例，迭代计算单元包括渐进决策控制子单元。
144.渐进控制子单元用于在对所述子调用函数节点集合进行迭代启发计算之前，根据当前函数节点的置信程度和预设安全等级控制条件进行渐进决策控制；当确定当前函数节点的置信程度满足预设安全等级控制条件时，结束迭代启发计算。
145.根据本公开的实施例，交易拦截模块610、交易风险分析模块620、输出模块630和风险交易处理模块模块640中的任意多个模块可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，交易拦截模块610、交易风险分析模块620、输出模块630和风险交易处理模块模块640中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，交易拦截模块610、交易风险分析模块620、输出模块630和风险交易处理模块模块640中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。
146.图7示意性示出了根据本公开实施例的适于实现风险交易识别方法的电子设备的方框图。
147.如图7所示，根据本公开实施例的电子设备900包括处理器901，其可以根据存储在只读存储器(rom)902中的程序或者从存储部分908加载到随机访问存储器(ram)903中的程序而执行各种适当的动作和处理。处理器901例如可以包括通用微处理器(例如cpu)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(asic))等等。处理器901还可以包括用于缓存用途的板载存储器。处理器901可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
148.在ram 903中，存储有电子设备900操作所需的各种程序和数据。处理器901、rom 902以及ram 903通过总线904彼此相连。处理器901通过执行rom 902和/或ram 903中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，所述程序也可以存储在除
rom 902和ram 903以外的一个或多个存储器中。处理器901也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
149.根据本公开的实施例，电子设备900还可以包括输入/输出(i/o)接口905，输入/输出(i/o)接口905也连接至总线904。电子设备900还可以包括连接至i/o接口905的以下部件中的一项或多项：包括键盘、鼠标等的输入部分906；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分907；包括硬盘等的存储部分908；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分909。通信部分909经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接至i/o接口905。可拆卸介质911，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器910上，以便于从其上读出的计算机程序根据需要被安装入存储部分908。
150.本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的风险交易识别方法。
151.根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的rom 902和/或ram 903和/或rom 902和ram 903以外的一个或多个存储器。
152.本公开的实施例还包括一种计算机程序产品，其包括计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时，该程序代码用于使计算机系统实现本公开实施例所提供的风险交易识别方法。
153.在该计算机程序被处理器901执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例，上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
154.在一种实施例中，该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中，该计算机程序也可以在网络介质上以信号的形式进行传输、分发，并通过通信部分909被下载和安装，和/或从可拆卸介质911被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。
155.在这样的实施例中，该计算机程序可以通过通信部分909从网络上被下载和安装，和/或从可拆卸介质911被安装。在该计算机程序被处理器901执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
156.根据本公开的实施例，可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码，具体地，可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如
java，c++，python，“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
157.附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
158.本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合，即使这样的组合或结合没有明确记载于本公开中。特别地，在不脱离本公开精神和教导的情况下，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
159.以上对本公开的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而并非为了限制本公开的范围。尽管在以上分别描述了各实施例，但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本公开的范围之内。

技术特征：
1.一种风险交易识别方法，其特征在于，所述方法包括：使用程序探针拦截交易请求，以获取函数调用信息；将所述函数调用信息输入渐进多启发式预测模型中进行交易风险识别分析；输出所述交易请求的风险程度预测值；以及根据所述风险程度预测值处理所述交易请求。2.根据权利要求1所述的方法，其特征在于，所述将所述函数调用信息输入渐进多启发式预测模型中进行交易风险识别分析包括：对当前函数调用进行渐进启发式预测，以生成预测调用链路集合；以及根据所述调用链路集合进行交易可信度计算得到风险程度预测值。3.根据权利要求2所述的方法，其特征在于，所述渐进多启发式预测模型包括函数历史调用链路信息，所述对当前函数调用进行渐进启发式预测，以生成预测调用链路集合包括：根据所述函数调用信息和所述函数历史调用链路信息确定启发函数结果集合；根据所述启发函数结果集合确定子调用函数节点集合；以及基于渐进决策控制策略对所述子调用函数节点集合进行迭代启发计算，以形成预测调用链路集合。4.根据权利要求3所述的方法，其特征在于，所述渐进多启发式预测模型还包括函数调用信息的历史参数特征，所述根据所述函数调用信息和所述函数历史调用链路信息确定启发函数结果集合包括：根据所述函数历史调用链路信息确定下一子调用函数节点的转移概率；根据所述函数调用信息计算当前函数节点参数与所述函数调用信息的历史参数特征的相似度；以及根据所述转移概率和所述相似度确定下一子调用函数节点的置信程度。5.根据权利要求4所述的方法，其特征在于，所述根据所述启发函数结果集合确定子调用函数节点集合包括：将所述启发函数结果集中置信程度小于预设阈值的下一子调用函数节点生成子调用函数节点集合。6.根据权利要求5所述的方法，其特征在于，所述基于渐进决策控制策略对所述子调用函数节点集合进行迭代启发计算包括：在对所述子调用函数节点集合进行迭代启发计算之前，根据当前函数节点的置信程度和预设安全等级控制条件进行渐进决策控制；当确定当前函数节点的置信程度满足预设安全等级控制条件时，结束迭代启发计算。7.一种风险交易识别装置，其特征在于，所述装置包括：交易拦截模块，用于使用程序探针拦截交易请求，以获取函数调用信息；交易风险分析模块，用于将所述函数调用信息输入渐进多启发式预测模型中进行交易风险识别分析；输出模块，用于输出所述交易请求的风险程度预测值；以及风险交易处理模块，用于根据所述风险程度预测值处理所述交易请求。8.一种电子设备，包括：一个或多个处理器；
存储装置，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器执行根据权利要求1～6中任一项所述的风险交易识别方法。9.一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行根据权利要求1～6中任一项所述的风险交易识别方法。10.一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现根据权利要求1～6中任一项所述的风险交易识别方法。

技术总结
本公开提供了一种风险交易识别方法，涉及信息安全技术领域，可以应用于金融技术领域。所述方法包括：使用程序探针拦截交易请求，以获取函数调用信息；将所述函数调用信息输入渐进多启发式预测模型中进行交易风险识别分析；输出所述交易请求的风险程度预测值；以及根据所述风险程度预测值处理所述交易请求。本公开还提供了一种风险交易识别装置、设备、存储介质和程序产品。质和程序产品。质和程序产品。


技术研发人员：龚展鸿 谢波 王竟成 程春生
受保护的技术使用者：中国工商银行股份有限公司
技术研发日：2023.05.12
技术公布日：2023/8/14