风险嫌疑对象监测方法、装置、设备及可读存储介质与流程

本发明涉及大数据技术领域，尤其涉及一种风险嫌疑对象监测方法、装置、设备及计算机可读存储介质。

背景技术：

目前安全审计领域内，国内外同类安全分析产品中，十分缺乏利用ai算法对潜在风险嫌疑对象进行事前辅助锁定的方法和工具。这一现状导致缺乏自下而上的、针对安全事件风险的主要行为载体—嫌疑行为对象为关注维度的安全风险分析工具。

根据安全审计实践经验，具备作案动机、作案机会的嫌疑行为对象安全风险事件通常高度符合帕累托法则(二八定律)，即高风险安全事件通常呈高度集中化，少部分嫌疑行为对象造成了较高占比的安全风险损失，但目前业界对此暂无很好的风险解决方案，往往在抽样测试过程中浪费大量时间和人力在不存在问题的测试样本中，极大占用了有限的审计资源。

技术实现要素：

本发明的主要目的在于提供一种风险嫌疑对象监测方法、装置、设备及计算机可读存储介质，旨在解决如何从海量样本数据中锁定潜在风险嫌疑对象的技术问题。

为实现上述目的，本发明提供一种风险嫌疑对象监测方法，所述风险嫌疑对象监测方法包括以下步骤：

获取预先按统一字段格式输入的所有待检测对象的第一数据信息，其中，所述第一数据信息中包含有待检测对象的唯一身份标识字段信息；

将各待检测对象的唯一身份标识字段信息分别作为各自信息链的主键，并将各待检测对象的所有字段信息分别进行串联，得到各待检测对象的信息链；

分别将各信息链中的字段信息按照预置的标签格式进行格式转换，得到各信息链分别对应的标签集；

基于预置匹配规则，依次将各标签集与预置嫌疑对象辅助锁定画像对应标签进行标签匹配，得到各标签集对应的画像匹配结果，其中，所述嫌疑对象辅助锁定画像由用于描述嫌疑对象特征的标签集构成；

计算各待检测对象对应画像匹配结果的匹配度，并依次判断所述各匹配度是否大于预置阈值；

若是，则将对应待检测对象作为风险嫌疑对象并按照风险等级输出风险嫌疑对象的唯一身份标识字段信息。

可选地，在所述获取预先按统一字段格式输入的所有待检测对象的第一相关数据信息的步骤之前，还包括：

获取所有风险行为对象的第二数据信息；

基于所述第二数据信息，生成嫌疑对象白画像；

基于所述嫌疑对象白画像，获取所述嫌疑对象白画像中的所有标签，并计算所有标签的风险权重指数；

基于所述风险权重指数，分别对各标签进行着色标记，生成嫌疑对象辅助锁定画像，其中，对高风险标签进行深着色，对中风险标签进行浅着色，对低风险标签不进行着色。

可选地，所述基于所述第二数据信息，生成嫌疑对象白画像包括：

读取所述第二数据信息中包含的各风险行为对象的唯一身份标识字段信息；

分别将各风险行为对象的唯一身份标识字段信息作为主键，与所述风险行为对象的字段信息串联，生成与所述所有主键关联的多个信息链；

基于所述多个信息链，将所述多个信息链中字段信息转译为预设格式的多个标签；

将所述多个标签按照预设的分析维度进行归类并输出标签数据集；

基于所述标签数据集，生成嫌疑对象白画像。

可选地，所述将所述多个标签按照预设的分析维度进行归类并输出标签数据集的步骤之后，还包括，

校验所述标签数据集中数据标签的完整性；

所述基于所述标签数据集，生成嫌疑对象白画像包括，

将所述标签数据集中的各个标签进行量化赋值，得到基于标签量化赋值的标签数据集；

若所述基于标签量化赋值的标签数据集中数据标签完整，则通过预设算法在所述基于标签量化赋值的标签数据集当中确定目标标签，得到目标项集；

根据所述目标项集生成并输出嫌疑对象白画像。

可选地，所述基于预置匹配规则，依次将各标签集与预置嫌疑对象辅助锁定画像对应标签进行标签匹配，得到各标签集对应的画像匹配结果包括：

将所述标签集与嫌疑对象辅助锁定画像对应标签按照预置匹配规则进行匹配，并输出各标签集对应的画像匹配结果；

若所述匹配结果为待检测对象对应标签集中标签全部落在无着色区域，则将所述匹配结果按照匹配成功标签的数量进行排序，并输出对应匹配结果；

若所述匹配结果为待检测对象对应标签集中标签落在深着色区域或浅着色区域，则将所述匹配结果按照匹配成功的标签中着色标签的数量进行排序，并输出对应匹配结果。

可选地，所述基于所述风险权重指数，分别对所述各标签进行着色标记，生成嫌疑对象辅助锁定画像包括：

若所述标签的风险权重指数大于第一预设阈值，则将所述标签标注为高风险标签；

若所述标签的风险权重指数大于第二预设阈值且小于所述第一预设阈值，则将所述标签标注为中风险标签；

若所述标签的风险权重指数小于所述第二预设阈值，则将所述标签标注为低风险标签；

基于所述风险权重指数，对所述高风险标签进行深着色、对所述中风险标签进行浅着色、对所述低风险标签不着色，生成嫌疑对象辅助锁定画像；

其中，所述第一预设阈值大于所述第二预设阈值。

可选地，所述基于所述嫌疑对象白画像，获取所述嫌疑对象白画像中的所有标签，并计算所有标签的风险权重指数包括：

获取所述嫌疑对象白画像中的多个标签；

分别计算所述多个标签的风险权重指数，基于所述风险权重指数将所述多个标签按照预置顺序进行排列；

其中，所述风险权重指数计算公式如下：

r＝m/t，m＝w*n；

其中，r表示风险权重指数，m表示客观风险权重，t表示风险容忍度，w表示标签累计频率，n表示关联损失，为常量。

进一步地，本发明还提供一种风险嫌疑对象监测装置，所述风险嫌疑对象监测装置包括：

信息获取模块，用于获取预先按统一字段格式输入的所有待检测对象的第一数据信息，其中，所述第一数据信息中包含有待检测对象的唯一身份标识字段信息；

字段处理模块，用于将各待检测对象的唯一身份标识字段信息分别作为各自信息链的主键，并将各待检测对象的所有字段信息分别进行串联，得到各待检测对象的信息链；

格式转换模块，用于分别将各信息链中的字段信息按照预置的标签格式进行格式转换，得到各信息链分别对应的标签集；

匹配模块，用于基于预置匹配规则，依次将各标签集与预置嫌疑对象辅助锁定画像对应标签进行标签匹配，得到各标签集对应的画像匹配结果，其中，所述嫌疑对象辅助锁定画像由用于描述嫌疑对象特征的标签集构成；

判断模块，用于计算各待检测对象对应画像匹配结果的匹配度，并依次判断所述各匹配度是否大于预置阈值；

输出模块，用于若所述匹配度大于预置阈值，则将对应待检测对象作为风险嫌疑对象并按照风险等级输出风险嫌疑对象的唯一身份标识字段信息。

进一步地，所述风险嫌疑对象监测装置还包括：

样本获取模块，用于获取所有风险行为对象的第二数据信息；

白画像生成模块，用于基于所述第二数据信息，生成嫌疑对象白画像；

计算模块，用于基于所述嫌疑对象白画像，获取所述嫌疑对象白画像中的所有标签，并计算所有标签的风险权重指数；

着色模块，用于基于所述风险权重指数，分别对各标签进行着色标记，生成嫌疑对象辅助锁定画像，其中，对高风险标签进行深着色，对中风险标签进行浅着色，对低风险标签不进行着色。

可选地，所述生成模块包括：

读取单元，用于读取所述所有风险行为对象的第二数据信息中包含的待检测对象的唯一身份标识字段信息；

标识单元，用于分别将所述所有风险行为对象的唯一身份标识作为主键，同时与所述风险行为对象的字段信息串联，生成与所述所有主键关联的多个信息链；

格式转换单元，用于基于所述多个信息链，将所述多个信息链中字段信息按照预置的标签格式进行格式转换，生成预设格式的多个标签；

归类单元，用于将所述多个标签按照预设的分析维度进行归类并输出标签数据集；

生成单元，用于基于所述标签数据集，生成嫌疑对象白画像。

可选地，所述生成模块还包括：

校验单元，用于校验所述标签数据集中数据标签的完整性；

所述生成单元具体用于：

将所述标签数据集中的各个标签进行量化赋值，得到基于标签量化赋值的标签数据集；当所述标签数据集中数据标签完整，基于所述标签数据集，通过预设算法在所述标签数据集当中确定目标标签，得到目标项集；根据所述目标项集生成并输出嫌疑对象白画像。

可选地，所述匹配模块具体用于：将所述标签集与嫌疑对象辅助锁定画像对应标签按照预置匹配规则进行匹配，并输出各标签集对应的画像匹配结果，当所述匹配结果为待检测对象对应标签集中标签全部落在无着色区域，则将所述匹配结果按照匹配成功标签的数量进行排序，并输出对应匹配结果；当所述匹配结果为待检测对象对应标签集中标签落在深着色区域或浅着色，则将所述匹配结果按照匹配成功的标签中着色标签的数量进行排序，并输出对应匹配结果。

可选地，所述着色模块具体用于：当所述标签的风险权重指数大于第一预设阈值，则将所述标签标注为高风险标签；当所述标签的风险权重指数大于第二预设阈值同时小于第一预设阈值，则将所述标签标注为中风险标签；当所述标签的风险权重指数小于第二预设阈值，则将所述标签标注为低风险标签；基于所述风险权重指数，对所述高风险标签进行深着色，对所述中风险标签进行浅着色，对所述低风险标签不着色，生成嫌疑对象辅助锁定画像，其中，第一预设阈值大于第二预设阈值。

可选地，所述计算模块具体用于：

获取所述嫌疑对象白画像中的多个标签，分别计算所述多个标签的风险权重指数，基于所述风险权重指数将所述多个标签按照预置顺序进行排列；

其中，所述风险权重指数计算公式如下：

r＝m/t，m＝w*n；

其中，r表示风险权重指数，m表示客观风险权重，t表示风险容忍度，w表示标签累计频率，n表示关联损失，为常量。

进一步地，为实现上述目的，本发明还提供一种风险嫌疑对象监测设备，所述风险嫌疑对象监测设备包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的风险嫌疑对象监测程序，所述风险嫌疑对象监测程序被所述处理器执行时实现如上所述的风险嫌疑对象监测方法的步骤。

进一步地，为实现上述目的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有风险嫌疑对象监测程序，所述风险嫌疑对象监测程序被处理器执行时实现如上所述的风险嫌疑对象监测方法的步骤。

本发明通过预先获取所有包含待检测对象唯一身份标识字段的数据信息，将唯一身份标识字段与待检测对象其他的字段信息进行串联，得到各个待检测对象的信息链，然后分别将各条信息链中的字段信息转换为标签格式，生成对应的标签集；根据预置匹配规则，依次将各标签集中的标签与预置的嫌疑对象辅助锁定画像中用于描述嫌疑对象特征的标签进行匹配，确定匹配结果。根据匹配结果计算各个待检测对象对应画像匹配结果的匹配度，根据匹配度，输出对应的风险嫌疑对象的唯一身份标识字段信息。本发明实现了对海量数据原料进行自动筛选，获得与风险事件具备强关联的风险嫌疑对象名单，进而可以更快速的识别并辅助锁定风险嫌疑对象。

附图说明

图1为本发明风险嫌疑对象监测设备实施例方案涉及的设备硬件运行环境的结构示意图；

图2为本发明风险嫌疑对象监测方法第一实施例的流程示意图；

图3为本发明风险嫌疑对象监测方法第二实施例的流程示意图；

图4为图3中步骤s220一实施例的细化流程示意图；

图5为图4中步骤s2205一实施例的细化流程示意图；

图6为图2中步骤s140一实施例的细化流程示意图；

图7为图3中步骤s230一实施例的细化流程示意图；

图8为图3中步骤s240一实施例的细化流程示意图；

图9为本发明风险嫌疑对象监测装置一实施例的功能模块示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本发明提供一种风险嫌疑对象监测设备。

参照图1，图1为本发明风险嫌疑对象监测设备实施例方案涉及的设备硬件运行环境的结构示意图。

如图1所示，该风险嫌疑对象监测设备可以包括：处理器1001，例如cpu，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如wi-fi接口)。存储器1005可以是高速ram存储器，也可以是稳定的存储器(non-volatilememory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储设备。

本领域技术人员可以理解，图1中示出的风险嫌疑对象监测设备的硬件结构并不构成对风险嫌疑对象监测设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种计算机可读存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及风险嫌疑对象监测程序。其中，操作系统是管理和控制风险嫌疑对象监测设备与软件资源的程序，支持网络通信模块、用户接口模块、风险嫌疑对象监测程序以及其他程序或软件的运行；网络通信模块用于管理和控制网络接口1004；用户接口模块用于管理和控制用户接口1003。

在图1所示的风险嫌疑对象监测设备硬件结构中，网络接口1004主要用于连接系统后台，与系统后台进行数据通信；用户接口1003主要用于连接客户端(用户端)，与客户端进行数据通信；风险嫌疑对象监测设备通过处理器1001调用存储器1005中存储的风险嫌疑对象监测程序，并执行以下风险嫌疑对象监测方法的各实施例的操作。

基于上述风险嫌疑对象监测设备硬件结构，提出本发明风险嫌疑对象监测方法的各个实施例。

参照图2，图2为本发明风险嫌疑对象监测方法第一实施例的流程示意图。本实施例中，所述风险嫌疑对象监测方法包括以下步骤：

步骤s110，获取预先按统一字段格式输入的所有待检测对象的第一数据信息，其中，所述第一数据信息中包含有待检测对象的唯一身份标识字段信息；

本实施例中，待检测对象的第一相关数据信息指的是，安全审计师需要判断是否存在风险嫌疑对象的待检测对象的数据信息。将这些数据信息按照统一的字段格式输入，其中每一个待检测对象的数据信息中均包含有可以确认待检测对象的唯一身份标识字段信息。比如说，员工工号，或者身份证号等。

步骤s120，将各待检测对象的唯一身份标识字段信息分别作为各自信息链的主键，并将各待检测对象的所有字段信息分别进行串联，得到各待检测对象的信息链；

本实施例中，主键是指主关键字，主关键字是表中的一个或多个字段，它的值用于唯一地标识表中的某一条记录。比如说，有一条张三的数据信息：张三男，年龄>30，有处罚历史，工号zhangsan748，其中的工号zhangsan748就可以作为这条数据信息的主键，用以确认张三。

本实施例中，信息链是指由事实信息等到情报的信息链条，比如说，李四男，年龄>30，有处罚历史，工号lisi668，最高学历本科，未婚，民族，生日，籍贯，曾用名，这些所有的字段的信息，构成了关于李四的信息链。将各待检测对象的唯一身份标识，比如说，工号，与该待检测对象对应的所有字段信息进行串联，得到的数据信息，就是李四的信息链。

步骤s130，分别将各信息链中的字段信息按照预置的标签格式进行格式转换，得到各信息链分别对应的标签集；

本实施例中，分别将各个信息链中的字段信息，按照预先设置好的标签格式进行处理，生成标签格式的字段信息，生成的每一个标签格式的字段信息，就是标签。

本实施例中，标签是指待检测对象的某一个数据信息，比如说：年龄，最高学历，民族，生日，籍贯等，都是形容某一个人基本信息的标签。

一条信息链中有很多字段，每一个字段都可以生成对应的标签，所以，当一条信息链中的字段信息进行标签化转译时，可以生成多个标签。比如说，张三工号zhangsan748(主键)-男，年龄>30，有处罚历史，属于外勤，存在共用账号，进行格式转换处理后为zhangsan748-{1，5，10，14，16}，其中，生成的多个标签组成的集合，就叫标签集，比如zhangsan748-{1，5，10，14，16}。

步骤s140，基于预置匹配规则，依次将各标签集与预置嫌疑对象辅助锁定画像对应标签进行标签匹配，得到各标签集对应的画像匹配结果，其中，所述嫌疑对象辅助锁定画像由用于描述嫌疑对象特征的标签集构成；

本实施例中，预置的匹配规则有两种，包括：无着色匹配模式和着色匹配模式。依次将各标签集与预置嫌疑对象辅助锁定工具进行标签匹配，得到各标签集对应的画像匹配结果。

步骤s150，计算各待检测对象对应画像匹配结果的匹配度，并依次判断所述各匹配度是否大于预置阈值；

本实施例中，根据个待检测对象对应的画像匹配结果，计算各待检测对象对应的标签集与嫌疑对象辅助锁定画像的匹配度，并判断该匹配度是否大于预先设定好的阈值。

步骤s160，若是，则将对应待检测对象作为风险嫌疑对象并按照风险等级输出风险嫌疑对象的唯一身份标识字段信息。

本实施例中，若匹配度大于预先设定好的阈值，则将对应检测对象作为风险嫌疑对象目标，同时按照风险等级输出风险嫌疑对象的唯一身份标识字段信息，根据唯一身份标识字段信息，确定具体的风险嫌疑对象。

比如说：画像{2，5，7，8，12(无着色区域)|15(浅)，21，23(着色区域)}a2{1，7，23},b2{2，5，7，8，12，15}，c2{6，15，21}，则输出的匹配结果为c2、a2、b2，同时输出c2、a2、b2对应的唯一身份标识字段信息c2，a2，b2。

本实施例通过预先获取所有包含待检测对象唯一身份标识字段的数据信息，将唯一身份标识字段与待检测对象其他的字段信息进行串联，得到各个待检测对象的信息链，然后分别将各条信息链中的字段信息转换为标签格式，生成对应的标签集；根据预置匹配规则，依次将各标签集中的标签与预置的嫌疑对象辅助锁定画像中用于描述嫌疑对象特征的标签进行匹配，确定匹配结果。根据匹配结果计算各个待检测对象对应画像匹配结果的匹配度，根据匹配度，输出对应的风险嫌疑对象的唯一身份标识字段信息。本实施例实现了对海量数据原料进行自动筛选，获得与风险事件具备强关联的风险嫌疑对象名单，进而可以更快速的识别并辅助锁定风险嫌疑对象。

参照图3，图3为本发明风险嫌疑对象监测方法第二实施例的流程示意图。本实施例中，上述步骤s110之前还包括：

步骤s210，获取所有风险行为对象的第二数据信息；

本实施例中，风险行为对象的第二相关数据是指往期信息安全风险事件的相关风险行为对象的相关数据信息。

步骤s220，基于所述第二数据信息，生成嫌疑对象白画像；

本实施例中，根据所有的风险行为对象的第二相关数据信息，将对应数据信息按照预设的标签格式输出，生成对应的标签，所有生成的标签构成对应的标签数据集，根据标签数据集生成嫌疑对象白画像。

步骤s230，基于所述嫌疑对象白画像，获取所述嫌疑对象白画像中的所有标签，并计算所有标签的风险权重指数；

本实施例中，获取嫌疑对象白画像中的所有的标签信息，并计算各个标签的风险权重指数，其中，各个标签可以根据风险权重指数的不同进行划分，包括三种标签：高风险标签，中风险标签以及低风险标签。

步骤s240，基于所述风险权重指数，分别对各标签进行着色标记，生成嫌疑对象辅助锁定画像，其中，对高风险标签进行深着色，对中风险标签进行浅着色，对低风险标签不进行着色。

本实施例中，通过计算各标签的风险权重指数，将各标签从高到低排列，对风险权重指数排前20％的进行深着色，对排20％-50％的标签进行浅着色，排后50％的标签不进行着色。其中，浅着色和深着色标签组成的画像的区域为着色区域，未进行着色的标签组成的画像的区域为无着色区域。全部标签完成着色后，生成嫌疑对象辅助锁定画像。

参照图4，图4为图3中步骤s220一实施例的细化流程示意图。基于上述实施例，本实施例中，上述步骤s220进一步包括：

步骤s2201，读取所述第二数据信息中包含的各风险行为对象的唯一身份标识字段信息；

本实施例中，将所有风险行为对象的相关数据信息，按照同一的字段格式输入，如：性别、年龄、籍贯、最高学历、是否具备终端特权等。其中，这些字段信息中包含风险行为对象的唯一身份标识字段信息。风险行为对象的唯一身份标识是指唯一可以确定该风险行为对象身份的字段信息，比如说，工号或者身份证号码等。

步骤s2202，分别将各风险行为对象的唯一身份标识字段信息作为主键，与所述风险行为对象的字段信息串联，生成与所述所有主键关联的多个信息链；

本实施例中，主键是指主关键字，主关键字是表中的一个或多个字段，它的值用于唯一地标识表中的某一条记录。比如说，有一条张三的数据信息：张三男，年龄>30,有处罚历史，工号zhangsan748,其中的工号zhangsan748就可以作为这条数据信息的主键，用以确认张三。

本实施例中，将风险行为对象的唯一身份标识作为主键，与风险行为对象的其他字段信息串联，生成的数据信息，就是该风险行为对象的信息链。信息链是指由事实信息等到情报的信息链条，比如说，李四男，年龄>30,有处罚历史，工号lisi668，最高学历本科，未婚，民族，生日，籍贯，曾用名，这些所有的字段的信息，构成了关于李四的信息链。

步骤s2203，基于所述多个信息链，将所述多个信息链中字段信息按照预置的标签格式进行格式转换，生成预设格式的多个标签；

本实施例中，分别将各个信息链中的字段信息，按照预先设置好的标签格式进行处理，生成标签格式的字段信息，生成的每一个标签格式的字段信息，就是标签。

本实施例中，标签是指待检测对象的某一个数据信息，比如说：年龄，最高学历，民族，生日，籍贯等记录某一个人基本信息的字段。

一条信息链中有很多字段，每一个字段都可以生成对应的标签，所以，当一条信息链中的字段信息进行标签化转译时，可以生成多个标签。比如说，张三工号zhangsan748(主键)-男，年龄>30,有处罚历史，属于外勤，存在共用账号，转译后为zhangsan748-{1，5，10，14，16}。

步骤s2204，将所述多个标签按照预设的分析维度进行归类并输出标签数据集；

本实施例中，生成的多个标签组成的集合，就叫标签集。比如说，张三工号zhangsan748(主键)-男，年龄>30,有处罚历史，属于外勤，存在共用账号，转译后得到的标签组成的集合为zhangsan748-{1，5，10，14，16}。进一步地，分别将所有风险行为对象对应的信息链中的字段信息按照不同维度属性，进行标签化归类，直到所有输入字段信息均根据其维度属性完成标签化归类，并将结果输出构成标签数据集。

步骤s2205，基于所述标签数据集，生成嫌疑对象白画像。

本实施例中，对生成的标签数据集中的标签信息进行处理，找出关联度最强的标签输出。比如说，查看存量风险行为对象的各项标签特征中，哪些标签特征是频繁出现，与风险动作关联度最高。利用剪枝，层层删减关联度低的标签，逐步得到最后关联度最高的目标项集，生成嫌疑对象白画像。

进一步地，上述步骤s2204之后，还包括:

校验所述标签数据集中数据标签的完整性；

本实施例中，对输出的标签数据集进行校验。随机抽取n条风险行为对象主键及信息链，根据主键信息匹配标签集中相关数据的标签完整性，观察是否存在遗漏。若存在输入标签不完整的情况，则向展示界面进行告警提示，用户可以选择剔除存在问题的样本数据。

参照图5，图5为图4中步骤s2205一实施例的细化流程示意图。基于上述实施例，本实施例中，上述步骤s2205进一步包括：

步骤s101，将所述标签数据集中的各个标签进行量化赋值，得到基于标签量化赋值的标签数据集；

本实施例中，将标签进行量化赋值，比如说如男＝1，女＝2，年龄[20，25]＝3；年龄(25，30]＝4；年龄(30,100)＝5；民族(汉族)＝6；民族(非汉族)＝7；最高学历(本科)＝8；最高学历(本科以上)＝9等等，直到最后一个标签n，得到基于标签量化赋值的特征集合：[1...n]，该特征集合，就是基于标签量化赋值的标签数据集。

步骤s102，若所述数据标签完整，则基于所述标签数据集，通过预设算法在所述标签数据集当中确定目标标签，以得到目标项集；

本实施例中，若所有标签数据完整，则根据预设算法对该标签数据集中的所有标签进行处理，以得到多个关联性强的标签，这些多个标签就是目标标签，这些目标标签组成的集合就是目标项集。比如说，利用apriori算法原理对上述标签数据集进行迭代剪枝，通过迭代剪枝后，输出强关联性的目标标签。利用这些目标标签，得到最终的目标项集。

步骤s103，根据所述目标项集生成并输出嫌疑对象白画像。

本实施例中，根据目标项集生成并输出嫌疑对象白画像，比如说，最终输出的目标项集k为{1，5，6，8，11，13，15，17，18，20}，则说明往期风险嫌疑对象的普适性强关联标签特征为：男性，年龄30岁以上，汉族，本科学历，无处罚历史，不属于管理层，不是外勤，不是共用账号，夜间操作次数>10，有频繁操作，根据这些强关联标签特征，生成嫌疑对象白画像。

参照图6，图6为图2中步骤s140一实施例的细化流程示意图。基于上述实施例，本实施例中，上述步骤s140进一步包括：

步骤s1401,将所述标签集与嫌疑对象辅助锁定画像对应标签按照预置匹配规则进行匹配，并输出各标签集对应的画像匹配结果；

本实施例中，将标签集中的标签生成的画像与嫌疑对象辅助锁定画像进行匹配，并输出匹配结果。

本实施例中，预置匹配规则有两种：无着色匹配模式和着色匹配模式。依次将各标签集与预置嫌疑对象辅助锁定工具进行标签匹配，得到各标签集对应的画像匹配结果。

本实施例中，嫌疑对象辅助锁定画像其实是一种特殊的标签集，包含有多个标签，是多个标签的集合。计算这些标签的风险权重指数，对排前50％的标签进行着色，排后50％的标签不着色，也即重点关注前50％的标签对应的风险特征。被着色的标签所组成的区域就是着色区域，未被着色的区域就叫无着色区域。

本实施例中，无着色匹配模式是指，将标签集中的标签与嫌疑对象辅助锁定画像中标签进行匹配，若匹配成功的标签全部均为为无着色的标签，也即全部落在了无着色区域，则优先按照相同标签数量的多少排序后输出。如：画像{2，5，7，8，12(无着色区域)|15，21，23(着色区域)}，a1{2，512}，b1{1，3，6}，c1{2，7}，则输出的匹配结果为a1、c1。

本实施例中，着色匹配模式是指，将标签集中的标签与嫌疑对象辅助锁定画像中标签进行匹配，若匹配成功的标签中有着色的标签，也即完全或一部分落在着色区域，则优先按照着色画像匹配结果进行输出，其中。如：画像{2，5，7，8，12(无着色区域)|15(浅)，21，23(着色区域)}，a2{1，7，23}，b2{2，5，7，8，12，15}，c2{6，15，21},则输出的匹配结果为c2、a2、b2

步骤s1402,若所述匹配结果为待检测对象对应标签集中标签全部落在无着色区域，则将所述匹配结果按照匹配成功标签的数量进行排序，并输出对应匹配结果；

本实施例中，若标签集中的所有标签均与嫌疑对象辅助锁定画像中的无着色标签组成的区域对应，则优先按照待检测对象对应的标签集中相同标签数量的多少排序后输出。如：画像{2，5，7，8，12(无着色区域)，a1{2，5，12}，b1{1，3，6}，c1{2，7}，则输出的匹配结果为a1、c1，a1与嫌疑对象辅助锁定画像中的相同标签数量有3个标签，c1与嫌疑对象辅助锁定画像中的相同标签数量有2个标签，3大于2，所以输出的匹配结果为a1、c1。

步骤s1403，若所述匹配结果为待检测对象对应标签集中标签落在深着色区域或浅着色区域，则将所述匹配结果按照匹配成功的标签中着色标签的数量进行排序，并输出对应匹配结果；

本实施例中，若标签集中的标签与嫌疑对象辅助锁定画像中的有色标签组成的区域对应，则优先按照着色画像匹配结果，按着色度的高低，排序后输出。如：画像{2，5，7，8，12(无着色区域)|15(浅着色区域)|21，23(深着色区域)，a2{1，7，23}，b2{2，5，7，8，12，15}，c2{6，15，21}，则输出的匹配结果为c2、a2、b2。

参照图7，图7为图3中步骤s230一实施例的细化流程示意图。基于上述实施例，本实施例中，上述步骤s230进一步包括：

步骤s2301，获取所述嫌疑对象白画像中的多个标签；

本实施例中，嫌疑对象白画像就是基于多个标签组成的目标项集绘制的，所以嫌疑对象白画像中有许多标签。

步骤s2302，分别计算所述多个标签的风险权重指数，基于所述风险权重指数将所述多个标签按照预置顺序进行排列；

其中，所述风险权重指数采用如下公式计算：

r＝m/t，m＝w*n；

其中，r表示风险权重指数，m表示客观风险权重，t表示风险容忍度，w表示标签累计频率，n表示关联损失，为常量。

本实施例中，n为关联损失且因只讨论频率与容忍度关系，故设为固定常量。

本实施例中，安全审计师根据对不同风险标签的风险容忍度进行自定义设置，假设“年龄>30”这一标签的累计频率w＝115，被设置为0.8的高容忍度；而“夜间操作次数>10”这一标签的累计频率w＝70，被设置为0.2的低容忍度。

以上述场景为例：

a)r(“年龄>30”)＝(115*n)/0.8＝143.75n,排列属于20％-50％；

b)r(“夜间操作次数>10”)＝(70*n)/0.2＝350n，排列属于前20％。

参照图8，图8为图3中步骤s240一实施例的细化流程示意图。基于上述实施例，本实施例中，上述步骤s240进一步包括：

步骤s2401，若所述标签的风险权重指数大于第一预设阈值，则将所述标签标注为高风险标签；

本实施例中，通过计算各标签的风险权重指数并从高到低排列，若标签的风险权重指数排前20％，也即预设第一阈值为0.8，则将对应标签标注为高风险标签。

比如：假设“夜间操作次数>10”这一标签的累计频率w＝70，被设置为0.2的低容忍度。以上述场景为例：

r(“夜间操作次数>10”)＝(70*n)/0.2＝350n，排列属于前20％，也即风险权重指数(“夜间操作次数>10”)>0.8，则将“夜间操作次数>10”这一标签标注为高风险标签。

步骤s2402，若所述标签的风险权重指数大于第二预设阈值且小于所述第一预设阈值，则将所述标签标注为中风险标签；

本实施例中，通过计算各标签的风险权重指数并从高到低排列，若标签的风险权重指数排20％-50％也即预设第一阈值为0.8，第二预设阈值为0.5，0.5<风险权重指数<0.8,则将对应标签标注为中风险标签。

比如：假设“年龄>30”这一标签的累计频率w＝115，被设置为0.8的高容忍度。以上述场景为例：

r(“年龄>30”)＝(115*n)/0.8＝143.75n,排列属于20％-50％，也即0.5<风险权重指数(“年龄>30”)<0.8,则将“年龄>30”这一标签标注为中风险标签。

步骤s2403，若所述标签的风险权重指数小于所述第二预设阈值，则将所述标签标注为低风险标签；

本实施例中，通过计算各标签的风险权重指数并从高到低排列，若标签的风险权重指数排后50％，也即风险权重指数<0.5，则将对应标签标注为低风险标签。

步骤s2404，基于所述风险权重指数，对所述高风险标签进行深着色、对所述中风险标签进行浅着色、对所述低风险标签不着色，生成嫌疑对象辅助锁定画像。

本实施例中，根据风险权重指数的值，对标签的风险度进行标注，分别将高风险标签进行深着色，对中风险标签进行浅着色，对低风险标签不着色标签完成着色后，生成对应的嫌疑对象辅助锁定画像。比如，“夜间操作次数>10”这一标签为高风险标签，则对“夜间操作次数>10”这一标签进行深着色，再比如，“年龄>30”这一标签为中风险标签，则对“年龄>30”这一标签进行浅着色，若“年龄<20”这一标签为低风险标签，则不对“年龄<20”这一标签进行着色，也即无着色。

参照图9，图9为本发明风险嫌疑对象监测装置一实施例的功能模块示意图。本实施例中，所述风险嫌疑对象监测装置包括：

信息获取模块10，用于获取预先按统一字段格式输入的所有待检测对象的第一数据信息，其中，所述第一数据信息中包含有待检测对象的唯一身份标识字段信息；

字段处理模块20，用于将各待检测对象的唯一身份标识字段信息分别作为各自信息链的主键，并将各待检测对象的所有字段信息分别进行串联，得到各待检测对象的信息链；

格式转换模块30，用于分别将各信息链中的字段信息按照预置的标签格式进行格式转换，得到各信息链分别对应的标签集；

匹配模块40，用于基于预置匹配规则，依次将各标签集与预置嫌疑对象辅助锁定画像对应标签进行标签匹配，得到各标签集对应的画像匹配结果，其中，所述嫌疑对象辅助锁定画像由用于描述嫌疑对象特征的标签集构成；

判断模块50，用于计算各待检测对象对应画像匹配结果的匹配度，并依次判断所述各匹配度是否大于预置阈值；

输出模块60，用于若所述匹配度大于预置阈值，则将对应待检测对象作为风险嫌疑对象并按照风险等级输出风险嫌疑对象的唯一身份标识字段信息。

可选地，在一具体实施例中，所述风险嫌疑对象监测装置还包括：

样本获取模块，用于获取所有风险行为对象的第二数据信息；

白画像生成模块，用于基于所述第二数据信息，生成嫌疑对象白画像；

计算模块，用于基于所述嫌疑对象白画像，获取所述嫌疑对象白画像中的所有标签，并计算所有标签的风险权重指数；

着色模块，用于基于所述风险权重指数，分别对各标签进行着色标记，生成嫌疑对象辅助锁定画像，其中，对高风险标签进行深着色，对中风险标签进行浅着色，对低风险标签不进行着色。

可选地，在一具体实施例中，所述生成模块包括：

读取单元，用于读取所述所有风险行为对象的第二数据信息中包含的待检测对象的唯一身份标识字段信息；

标识单元，用于分别将所述所有风险行为对象的唯一身份标识作为主键，同时与所述风险行为对象的字段信息串联，生成与所述所有主键关联的多个信息链；

格式转换单元，用于基于所述多个信息链，将所述多个信息链中字段信息按照预置的标签格式进行格式转换，生成预设格式的多个标签；

归类单元，用于将所述多个标签按照预设的分析维度进行归类并输出标签数据集；

生成单元，用于基于所述标签数据集，生成嫌疑对象白画像。

可选地，在一具体实施例中，所述生成模块还包括：

校验单元，用于校验所述标签数据集中数据标签的完整性；

所述生成单元具体用于：

将所述标签数据集中的各个标签进行量化赋值，得到基于标签量化赋值的标签数据集；当所述标签数据集中数据标签完整，基于所述标签数据集，通过预设算法在所述标签数据集当中确定目标标签，得到目标项集；目标项集生成子单元，用于根据所述目标项集生成并输出嫌疑对象白画像。

可选地，在一具体实施例中，所述匹配模块具体用于：将所述标签集与嫌疑对象辅助锁定画像对应标签按照预置匹配规则进行匹配，并输出各标签集对应的画像匹配结果，当所述匹配结果为待检测对象对应标签集中标签全部落在无着色区域，则将所述匹配结果按照匹配成功标签的数量进行排序，并输出对应匹配结果；当所述匹配结果为待检测对象对应标签集中标签落在着色区域，则将所述匹配结果按照匹配成功的标签中着色标签的数量进行排序，并输出对应匹配结果。

可选地，在一具体实施例中，所述着色模块具体用于：当所述标签的风险权重指数大于第一预设阈值，则将所述标签标注为高风险标签；当所述标签的风险权重指数大于第二预设阈值同时小于第一预设阈值，则将所述标签标注为中风险标签；当所述标签的风险权重指数小于第二预设阈值，则将所述标签标注为低风险标签；基于所述风险权重指数，对所述高风险标签进行深着色，对所述中风险标签进行浅着色，对所述低风险标签不着色，生成嫌疑对象辅助锁定画像，其中，第一预设阈值大于第二预设阈值。

可选地，在一具体实施例中，所述计算模块具体用于：

获取所述嫌疑对象白画像中的多个标签，分别计算所述多个标签的风险权重指数，基于所述风险权重指数将所述多个标签按照预置顺序进行排列；

其中，所述风险权重指数计算公式如下：

r＝m/t，m＝w*n；

其中，r表示风险权重指数，m表示客观风险权重，t表示风险容忍度，w表示标签累计频率，n表示关联损失，为常量。

本实施例提出的风险嫌疑对象监测方法，完善了目前安全审计针对嫌疑对象识别与锁定领域的不足，提供了以行为人为维度的分析和辅助工具。安全审计师能够利用自动化工具对海量数据原料进行自动筛选，获得与风险事件具备强关联的风险嫌疑对象清单，无需像传统方法一般投入大量人力资源，可以更快速的识别并辅助锁定风险嫌疑对象。

基于与上述本发明风险嫌疑对象监测方法相同的实施例说明内容，因此本实施例对风险嫌疑对象监测装置的实施例内容不做过多赘述。

本发明还提供一种计算机可读存储介质。

本实施例中，所述计算机可读存储介质上存储有风险嫌疑对象监测程序，所述风险嫌疑对象监测程序被处理器执行时实现如上述任一项实施例中所述的风险嫌疑对象监测方法的步骤。其中，风险嫌疑对象监测程序被处理器执行时所实现的方法可参照本发明风险嫌疑对象监测方法的各个实施例，因此不再过多赘述。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器或者网络设备等)执行本发明各个实施例所述的方法。

上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，这些均属于本发明的保护之内。