风险分析方法、装置、电子设计及计算机可读介质与流程

本公开涉及计算机信息处理领域，具体而言，涉及一种风险分析方法、装置、电子设计及计算机可读介质。

背景技术：

一般来说，企业由人力资源、资金、市场。机器设备、材料、信息等要素组成。目前，企业管理显得越来越重要，特别是在现在信息社会中，企业内部的各种电子资料很容易被企业员工窃取，进而造成很大的商业损失。为实现企业可持续安全发展，有多种途径来对企业的信息安全进行管控：一是大力提高科学技术水平，建设网络安全体系；二是规范“法治”，促进员工的信息安全意识；三是细化各级政府部门的监管职责，强化监管。但是以上各方面的内容，均只能从道德和法规的角度来约束企业员工，对一些具有特殊目的和特殊企图的员工，以上管理手段收效甚微。而且，特别是负责对企业进行网络安全的员工，这些员工的一些违规行为，或者违规操作痕迹很容易被其清理掉，在这种情况下，企业内部的信息安全管控是亟待解决的问题。

因此，需要一种新的风险分析方法、装置、电子设计及计算机可读介质。

在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解，因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现要素：

有鉴于此，本公开提供一种风险分析方法、装置、电子设计及计算机可读介质，能够对企业安全进行综合考量，还能够在发生安全事件时，能够快速危险行为与危险目标

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

根据本公开的一方面，提出一种风险分析方法，该方法包括：获取目标实体、目标行为以及目标实体与目标行为之间的关联关系；将所述目标实体与所述目标行为作为节点，所述目标实体与所述目标行为之间的关联关系作为边，构建知识图谱模型；以及通过所述知识图谱模型进行所述目标实体与所述目标行为的风险分析。

在本公开的一种示例性实施例中，还包括：确定目标实体与目标行为之间的关联关系的强度。

在本公开的一种示例性实施例中，所述目标实体包括用户，设备，以及网络地址；和/或所述目标行为包括目标实体的多个预定行为；和/或所述目标实体与目标行为之间的关联关系包括操作行为。

在本公开的一种示例性实施例中，确定目标实体、目标行为以及目标实体与目标行为之间的关联关系包括：提取监控日志中的用户，设备，以及网络地址以作为目标实体；提取监控日志中的预定行为以作为目标行为；以及提取监控日志中的目标实体与目标行为之间的操作行为以作为所述关联关系。

在本公开的一种示例性实施例中，确定目标实体与目标行为之间的关联关系的强度包括：通过目标实体与目标行为之间操作行为的频次确定所述关联关系的强度。

在本公开的一种示例性实施例中，将所述目标实体与所述目标行为作为节点，将目标实体与目标行为之间的关联关系作为边，共同组建知识图谱模型还包括：将所述关联关系的强度做为所述知识图谱模型的边的权重。

在本公开的一种示例性实施例中，通过所述知识图谱模型进行所述目标实体与所述目标行为的风险分析包括：通过所述知识图谱模型确定目标实体的风险值；和/或通过所述知识图谱模型确定异常的目标实体；和/或通过所述知识图谱模型确定异常的目标行为。

在本公开的一种示例性实施例中，通过所述知识图谱模型确定目标实体的风险值包括：获取所述知识图谱模型中每一个目标行为的安全等级；以及通过所述知识图谱模型中边的权重、目标行为的安全等级、以及知识图谱模型中的目标实体集合中每一个目标实体的出入和\或入度，确定知识图谱模型中目标实体的风险值。

在本公开的一种示例性实施例中，通过风险度公式计算目标实体的风险值；

其中，r(j)为目标实体xj的风险值，yi为与目标实体xj关联的第i个目标行为，θ(i)为目标实体xj与yi的连接强度，α(i)为目标实体xj的安全等级，id(yi)为yi的出入度，ni为与yi关联的目标实体个数。

在本公开的一种示例性实施例中，通过所述知识图谱模型确定异常的目标实体包括：确定风险值大于阈值的目标实体；确定所述目标实体的关联实体集合；以及在所述目标实体的风险值大于所述关联实体集合中每一个目标实体的风险值时，确定所述目标实体为异常的目标实体。

在本公开的一种示例性实施例中，通过所述知识图谱模型确定异常的目标行为包括：确定所述异常的目标实体；通过所述知识图谱模型确定与异常的目标实体的相关联的每一个目标行为的风险值；将最大风险值对应的目标行为确定为异常的目标行为。

根据本公开的一方面，提出一种风险分析装置，该装置包括：提取模块，用于获取目标实体、目标行为以及目标实体与目标行为之间的关联关系；模型模块，用于将所述目标实体与所述目标行为作为节点，将目标实体与目标行为之间的关联关系作为边，共同组建知识图谱模型；以及分析模块，用于通过所述知识图谱模型进行所述目标实体与所述目标行为的风险分析。

根据本公开的一方面，提出一种电子设备，该电子设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序；当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如上文的方法。

根据本公开的一方面，提出一种计算机可读介质，其上存储有计算机程序，该程序被处理器执行时实现如上文中的方法。

根据本公开的风险分析方法、装置、电子设计及计算机可读介质，能够对企业安全进行综合考量，还能够在发生安全事件时，能够快速危险行为与危险目标。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本公开。

附图说明

通过参照附图详细描述其示例实施例，本公开的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本公开的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据一示例性实施例示出的一种风险分析方法及装置的系统框图。

图2是根据一示例性实施例示出的一种风险分析方法的流程图。

图3是根据另一示例性实施例示出的一种风险分析方法的示意图。

图4是根据另一示例性实施例示出的一种风险分析方法的流程图。

图5是根据一示例性实施例示出的一种风险分析装置的框图。

图6是根据一示例性实施例示出的一种电子设备的框图。

图7是根据一示例性实施例示出一种计算机可读存储介质示意图。

具体实施方式

现在将参考附图更全面地描述示例实施例。然而，示例实施例能够以多种形式实施，且不应被理解为限于在此阐述的实施例；相反，提供这些实施例使得本公开将全面和完整，并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。

此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本公开的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而没有特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。

附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。

应理解，虽然本文中可能使用术语第一、第二、第三等来描述各种组件，但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此，下文论述的第一组件可称为第二组件而不偏离本公开概念的教示。如本文中所使用，术语“及/或”包括相关联的列出项目中的任一个及一或多者的所有组合。

本领域技术人员可以理解，附图只是示例实施例的示意图，附图中的模块或流程并不一定是实施本公开所必须的，因此不能用于限制本公开的保护范围。

图1是根据一示例性实施例示出的一种风险分析方法及装置的系统框图。

如图1所示，系统架构100可以包括终端设备101、102、103，网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用终端设备101、102、103通过网络104进行各种信息交互，以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用，例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。

终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。

服务器105可以是用于监控终端设备101、102、103的数据服务器，服务器105可以获取用户利用终端设备101、102、103所进行的各种操作或数据服务的日志。服务器105可以对获取到的日志信息进行数据分析等处理，并将处理结果(异常的终端设备、异常的操作行为等)反馈给终端设备。

服务器105可例如获取目标实体、目标行为以及目标实体与目标行为之间的关联关系；服务器105可例如将所述目标实体与所述目标行为作为节点，将目标实体与目标行为之间的关联关系作为边，共同组建知识图谱模型；服务器105可例如通过所述知识图谱模型进行所述目标实体与所述目标行为的风险分析；其中，所述目标实体包括用户，设备，以及网络地址；和/或所述目标行为包括目标实体的多个预定行为；和/或所述目标实体与目标行为之间的关联关系包括操作行为。

服务器105可以是一个实体的服务器，还可例如为多个服务器组成，服务器105中的一部分可例如作为本公开中的风险分析系统，用于通过所述知识图谱模型进行所述目标实体与所述目标行为的风险分析；服务器105中的一部分还可例如作为数据系统，用于响应用户终端的数据访问请求。

需要说明的是，本公开实施例所提供的风险分析方法可以由服务器105执行，相应地，风险分析装置可以设置于服务器105中。而提供给用户进行数据操作或发送数据请求的请求端一般位于终端设备101、102、103中。

根据本公开的风险分析方法及装置，通过知识图谱模型对目标实体、目标行为进行风险分析，能够对企业安全进行综合考量，还能够在发生安全事件时，能够快速危险行为与危险目标。

图2是根据一示例性实施例示出的一种风险分析方法的流程图。风险分析方法20至少包括步骤s202至s206。

如图2所示，在s202中，获取目标实体、目标行为以及目标实体与目标行为之间的关联关系。其中，所述目标实体包括用户、设备以及网络地址的任意组合。

其中，在本实施例中，所述目标实体为企业中执行目标行为的个体，目标实体可包括用户，设备，以及网络地址。

其中，在本实施例中，所述目标行为是企业中目标实体执行的一组与存在安全风险的行为，目标行为包括目标实体的多个预定行为；具体可例如上传数据、下载数据、查阅数据等行为。

其中，所述目标实体与目标行为之间的关联关系包括操作行为。关联关系为目标实体和其进行的目标行为之间的连接。

在一个实施例中，确定目标实体、目标行为以及目标实体与目标行为之间的关联关系包括：提取监控日志中的用户，设备，以及网络地址以作为目标实体；提取监控日志中的预定行为以作为目标行为；以及提取监控日志中的目标实体与目标行为之间的操作行为以作为所述关联关系。

在一个实施例中，可例如目标实体a为xx用户；目标行为b为数据下载行为；目标行为c为数据删除行为，在xx用户有数据下载行为时，确定目标实体a与目标行为b之间具有关联关系；而在xx用户无数据删除行为，则确定目标实体a与目标行为c之间不具有关联关系。

在s204中，将所述目标实体与所述目标行为作为节点，所述目标实体与所述目标行为之间的关联关系作为边，构建知识图谱模型。

在一个实施例中，还包括：确定目标实体与目标行为之间的关联关系的强度。具体可例如通过目标实体与目标行为之间操作行为的频次确定所述关联关系的强度。并将所述关联关系的强度做为所述知识图谱模型的边的权重。

在一个实施例中，可将预定时间内的操作频次为关联关系的强度θ。可例如以一天为期限，在一天内在xx用户有数据下载行为时，确定目标实体a与目标行为b之间具有关联关系，在xx用户数据下载行为的次数为10次时，关联关系的强度θ＝10。

在一个实施例中，知识图谱是通过将应用数学、图形学、信息可视化技术、信息科学等学科的理论与方法与计量学引文分析、共现分析等方法结合，并利用可视化的图谱形象地展示学科的核心结构、发展历史、前沿领域以及整体知识架构达到多学科融合目的的现代理论。

知识图谱包括多种节点：

其中，实体:指的是具有可区别性且独立存在的某种事物。

概念：具有同种特性的实体构成的集合。

属性:从一个实体指向它的属性值。不同的属性类型对应于不同类型属性的边。

关系:在知识图谱上，关系则是一个把kk个图节点(实体、语义类、属性值)映射到布尔值的函数。

知识图谱的一种通用表示方式为，节点为知识库中的实体集合，共包含|e|种不同实体；边为知识库中的关系集合，共包含|r|种不同关系。

在一个实施例中，基于上述定义，可通过所述目标实体、所述目标行为作为节点，关联关系构建的知识图谱可例如图3所示。在所述知识图谱模型中存在两种属性的节点，分别为目标实体节点与目标行为节点，连接目标实体节点与目标行为节点之间的边为关联关系。如图3所示，知识图谱模型中的白色节点可例如为目标实体节点，黑色节点可例如为目标行为节点。

在一个实施例中，如图3所示，在知识图谱模型中目标实体节点与目标行为节点之间通过边连接，目标实体节点与目标实体节点之间不直接相连接；目标行为节点与目标行为节点之间也不直接相连接。知识图谱模型中这样的设置是符合实际情况的，可例如目标实体a为xx用户；目标行为b为数据下载行为，目标行为c为数据删除行为，目标实体d为xx电脑，xx用户与xx电脑之间通过数据下载行为才能互相关联。而数据下载行为与数据删除行为之间不能直接产生关系，需要通过目标实体节点做关联。

在s206中，通过所述知识图谱模型进行所述目标实体或所述目标行为的风险分析。

在一个实施例中，通过所述知识图谱模型进行所述目标实体与所述目标行为的风险分析包括：通过所述知识图谱模型确定目标实体的风险值；和/或通过所述知识图谱模型确定异常的目标实体；和/或通过所述知识图谱模型确定异常的目标行为。

其中，通过所述知识图谱模型确定目标实体的风险值包括：获取所述知识图谱模型中每一个目标行为的安全等级；以及通过所述知识图谱模型中边的权重、目标行为的安全等级、以及知识图谱模型中的目标实体集合中每一个目标实体的出入和\或入度，确定知识图谱模型中目标实体的风险值。

其中，通过所述知识图谱模型确定异常的目标实体包括：确定风险值大于阈值的目标实体；确定所述目标实体的关联实体集合；以及在所述目标实体的风险值大于所述关联实体集合中每一个目标实体的风险值时，确定所述目标实体为异常的目标实体。

其中，通过所述知识图谱模型确定异常的目标行为包括：确定所述异常的目标实体；通过所述知识图谱模型确定与异常的目标实体的相关联的每一个目标行为的风险值；以及将最大风险值对应的目标行为确定为异常的目标行为。

在一个实施例中，还可例如通过定时任务的形式，定时获取监控日志数据以构建所述知识图谱模型进行风险分析。

根据本公开的风险分析方法，将所述目标实体与所述目标行为作为节点，将目标实体与目标行为之间的关联关系作为边，共同组建知识图谱模型，通过所述知识图谱模型进行所述目标实体与所述目标行为的风险分析的方式，能够对企业安全进行综合考量，还能够在发生安全事件时，快速危险行为与危险目标。

应清楚地理解，本公开描述了如何形成和使用特定示例，但本公开的原理不限于这些示例的任何细节。相反，基于本公开公开的内容的教导，这些原理能够应用于许多其它实施例。

图4是根据另一示例性实施例示出的一种风险分析方法的流程图。图4所示的风险分析方法40是对图2所示的风险分析方法20中s206“通过所述知识图谱模型进行所述目标实体与所述目标行为的风险分析”的详细描述。

如图4所示，在s402中，通过所述知识图谱模型确定目标实体的风险值。可例如，获取所述知识图谱模型中每一个目标行为的安全等级；以及通过所述知识图谱模型中边的权重、目标行为的安全等级、以及知识图谱模型中的目标实体集合中每一个目标实体的出入和\或入度，确定知识图谱模型中目标实体的风险值。

在一个实施例中，对于知识图谱模型中每个目标实体xj，可通过下列公式计算出其风险值：

其中:

r(j)表示xj的风险值

yi表示与目标实体xj关联的第i个目标行为，id函数求其入度

ni表示与此安全行为关联的目标实体个数。

θ(i)表示xj与yi的连接强度

α(i)表示第i个安全风险的风险等级

在s404中，通过所述知识图谱模型确定异常的目标实体。可例如，确定风险值大于阈值的目标实体；确定所述目标实体的关联实体集合；以及在所述目标实体的风险值大于所述关联实体集合中每一个目标实体的风险值时，确定所述目标实体为异常的目标实体。

在一个实施例中，阈值可例如为通过经验设置的经验阈值t，对于每个r(j)>t的目标实体xj，确定所述目标实体的关联实体集合sr，在本实施例中，关联实体集合中的目标实体为与异常的目标实体之间存在目标行为关联的目标实体集合：

{r(k)|j！＝k，xj-xk}

与xj连通的多个目标实体xk的风险值。如果r(j)满足条件：

rj＞max(rk)

则标记r(j)为异常的目标实体。

如果目标实体的风险值不大于所述关联实体集合中每一个目标实体的风险值时，不对所述目标实体进行标记。

在一个实施例中定义安全事件为目标实体做出的超越的其能够承担的安全风险范围的一组目标行为；可例如，在确定异常的目标实体之后，可认为异常的目标实体触发了安全事件。

在s406中，通过所述知识图谱模型确定异常的目标行为。可例如，确定所述异常的目标实体；通过所述知识图谱模型确定与异常的目标实体的相关联的每一个目标行为的风险值；以及将最大风险值对应的目标行为确定为异常的目标行为。

对于异常的目标实体r(j)，根据如下公式：

可以计算所有目标行为对r(j)的影响，并可以标记出对其安全风险影响最大的目标行为。

根据本公开的风险分析方法，利用知识图谱技术对企业目标实体的安全风险值提供一个量化的可以进行参考比较的指标。

根据本公开的风险分析方法，发生安全事件时，能够标记处引发安全事件的目标实体。

根据本公开的风险分析方法，发生安全事件时，能够对企业目标实体触发安全事件的安全行为进行追溯。

本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由cpu执行的计算机程序。在该计算机程序被cpu执行时，执行本公开提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中，该存储介质可以是只读存储器，磁盘或光盘等。

此外，需要注意的是，上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。

下述为本公开装置实施例，可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节，请参照本公开方法实施例。

图5是根据一示例性实施例示出的一种风险分析装置的框图。风险分析装置50包括：提取模块502，模型模块504，分析模块506。

提取模块502用于获取目标实体、目标行为以及目标实体与目标行为之间的关联关系；包括：提取监控日志中的用户，设备，以及网络地址以作为目标实体；提取监控日志中的预定行为以作为目标行为；以及提取监控日志中的目标实体与目标行为之间的操作行为以作为所述关联关系。

模型模块504用于将所述目标实体与所述目标行为作为节点，将目标实体与目标行为之间的关联关系作为边，共同构建知识图谱模型；在知识图谱模型中目标实体节点与目标行为节点之间通过边连接，目标实体节点与目标实体节点之间不直接相连接；目标行为节点与目标行为节点之间也不直接相连接。

分析模块506用于通过所述知识图谱模型进行所述目标实体与所述目标行为的风险分析。包括：通过所述知识图谱模型确定目标实体的风险值；和/或通过所述知识图谱模型确定异常的目标实体；和/或通过所述知识图谱模型确定异常的目标行为。

根据本公开的风险分析装置，将所述目标实体与所述目标行为作为节点，将目标实体与目标行为之间的关联关系作为边，共同组建知识图谱模型，通过所述知识图谱模型进行所述目标实体与所述目标行为的风险分析的方式，能够对企业安全进行综合考量，还能够在发生安全事件时，能够快速危险行为与危险目标。

图6是根据一示例性实施例示出的一种电子设备的框图。

下面参照图6来描述根据本公开的这种实施方式的电子设备200。图6显示的电子设备200仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图6所示，电子设备200以通用计算设备的形式表现。电子设备200的组件可以包括但不限于：至少一个处理单元210、至少一个存储单元220、连接不同系统组件(包括存储单元220和处理单元210)的总线230、显示单元240等。

其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元210执行，使得所述处理单元210执行本说明书上述电子处方流转处理方法部分中描述的根据本公开各种示例性实施方式的步骤。例如，所述处理单元210可以执行如图2，图4中所示的步骤。

所述存储单元220可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(ram)2201和/或高速缓存存储单元2202，还可以进一步包括只读存储单元(rom)2203。

所述存储单元220还可以包括具有一组(至少一个)程序模块2205的程序/实用工具2204，这样的程序模块2205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线230可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备200也可以与一个或多个外部设备300(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备200交互的设备通信，和/或与使得该电子设备200能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口250进行。并且，电子设备200还可以通过网络适配器260与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。网络适配器260可以通过总线230与电子设备200的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备200使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本公开实施方式的上述方法。

图7示意性示出本公开示例性实施例中一种计算机可读存储介质示意图。

参考图7所示，描述了根据本公开的实施方式的用于实现上述方法的程序产品400，其可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本公开的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。

所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码，所述程序设计语言包括面向对象的程序设计语言-诸如java、c++等，还包括常规的过程式程序设计语言-诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该计算机可读介质实现如下功能：获取目标实体、目标行为以及目标实体与目标行为之间的关联关系；将所述目标实体与所述目标行为作为节点，将目标实体与目标行为之间的关联关系作为边，共同组建知识图谱模型；以及通过所述知识图谱模型进行所述目标实体与所述目标行为的风险分析。

本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中，也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

通过以上的实施例的描述，本领域的技术人员易于理解，这里描述的示例实施例可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施例的方法。

以上具体地示出和描述了本公开的示例性实施例。应可理解的是，本公开不限于这里描述的详细结构、设置方式或实现方法；相反，本公开意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。