一种风险用户识别方法、装置、电子设备及存储介质与流程

1.本发明涉及信息安全技术领域，特别是涉及一种风险用户识别方法、装置、电子设备及存储介质。


背景技术：

2.随着计算机网络的广泛应用，网络安全的重要性尤为突出，尤其是在网络结构愈加复杂化，边界愈加模糊化、威胁形态愈加多样化的形势下，网络风险防控面临着严峻挑战。
3.当前的互联网公司除了需要防控传统的风险类型，例如：网络黑客的入侵和攻击，还需要抵御各种新的业务形态所带来的新的风险类型，例如：刷量、发布恶意评论和广告、支付欺诈等。风险用户所发起的这些风险类型的行为不仅会对正常用户造成损失，也会给企业的形象和名誉造成负面影响。因此，需要提供一种安全有效的风险用户识别方法。


技术实现要素：

4.本发明实施例的目的在于提供一种风险用户识别方法、装置、电子设备及存储介质，以实现安全有效的风险用户识别。具体技术方案如下：
5.第一方面，本发明实施例提供了一种风险用户识别方法，所述方法包括：
6.获取待识别用户的网络访问特征；
7.判断所述网络访问特征是否符合预设规则，其中，所述预设规则是根据黑名单中所记录的风险用户的网络访问特征建立的；
8.如果所述网络访问特征符合所述预设规则，则确定所述待识别用户为风险用户；
9.如果所述网络访问特征不符合所述预设规则，则判断预设规则模块所包括的多个规则中，是否存在与所述网络访问特征相匹配的规则，其中，所述预设规则模块所包括的多个规则是根据风险程度不高于风险程度阈值的网络访问特征建立的；
10.如果存在，则根据与所述网络访问特征相匹配的规则对应的风险程度，确定所述待识别用户是否为风险用户。
11.可选的，所述预设规则模块为多个，各个预设规则模块中的规则相互独立，所述判断预设规则模块所包括的多个规则中，是否存在与所述网络访问特征相匹配的规则的步骤，包括：
12.分别判断每个预设规则模块所包括的多个规则中，是否存在与所述网络访问特征相匹配的规则。
13.可选的，所述根据与所述网络访问特征相匹配的规则对应的风险程度，确定所述待识别用户是否为风险用户的步骤，包括：
14.根据预设的规则与风险评分之间的对应关系，以及所述网络访问特征所匹配的每个规则，确定所述网络访问特征对应的风险评分；
15.当所述风险评分大于预设评分阈值时，确定所述待识别用户为风险用户。
16.可选的，所述根据预设的规则与风险评分之间的对应关系，以及所述网络访问特征所匹配的每个规则，确定所述网络访问特征对应的风险评分的步骤，包括：
17.如果所述网络访问特征所匹配的规则中存在目标规则，将对应的风险评分最大的规则对应的风险评分作为该规则所属的预设规则模块对应的目标风险评分，其中，所述目标规则为属于同一预设规则模块的规则；
18.根据各个预设规则模块对应的目标风险评分，确定所述网络访问特征对应的风险评分。
19.可选的，所述预设规则模块至少包括通用规则模块和定制规则模块，其中，所述通用规则模块中的规则是根据风险用户的网络访问特征的共同属性特点确定的；所述定制规则模块中的规则是根据用户需求确定的。
20.第二方面，本发明实施例提供了一种风险用户识别装置，所述装置包括：
21.网络访问特征获取模块，用于获取待识别用户的网络访问特征；
22.第一判断模块，用于判断所述网络访问特征是否符合预设规则，其中，所述预设规则是根据黑名单中所记录的风险用户的网络访问特征建立的；
23.第二判断模块，用于在所述第一判断模块的判断结果为否时，判断预设规则模块所包括的多个规则中，是否存在与所述网络访问特征相匹配的规则，其中，所述预设规则模块所包括的多个规则是根据风险程度不高于风险程度阈值的网络访问特征建立的；
24.风险用户确定模块，用于在所述第一判断模块的判断结果为是时，确定所述待识别用户为风险用户；以及在所述第二判断模块的判断结果为是时，根据与所述网络访问特征相匹配的规则对应的风险程度，确定所述待识别用户是否为风险用户。
25.可选的，所述预设规则模块为多个，各个预设规则模块中的规则相互独立，所述第二判断模块，具体用于：
26.分别判断每个预设规则模块所包括的多个规则中，是否存在与所述网络访问特征相匹配的规则。
27.可选的，所述风险用户确定模块，包括：
28.风险评分确定单元，用于根据预设的规则与风险评分之间的对应关系，以及所述网络访问特征所匹配的每个规则，确定所述网络访问特征对应的风险评分；
29.风险用户确定单元，用于当所述风险评分大于预设评分阈值时，确定所述待识别用户为风险用户。
30.可选的，所述风险评分确定单元，包括：
31.目标风险评分确定子单元，用于当所述网络访问特征所匹配的规则中存在目标规则时，将对应的风险评分最大的规则对应的风险评分作为该规则所属的预设规则模块对应的目标风险评分，其中，所述目标规则为属于同一预设规则模块的规则；
32.风险评分确定子单元，用于根据各个预设规则模块对应的目标风险评分，确定所述网络访问特征对应的风险评分。
33.可选的，所述预设规则模块至少包括通用规则模块和定制规则模块，其中，所述通用规则模块中的规则是根据风险用户的网络访问特征的共同属性特点确定的；所述定制规则模块中的规则是根据用户需求确定的。
34.第三方面，本发明实施例提供了一种电子设备，包括处理器、通信接口、存储器和
通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；
35.存储器，用于存放计算机程序；
36.处理器，用于执行存储器上所存放的程序时，实现上述第一方面任一所述的风险用户识别方法步骤。
37.第四方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面任一所述的风险用户识别方法步骤。
38.本发明实施例提供的方案中，电子设备可以获取待识别用户的网络访问特征；判断网络访问特征是否符合预设规则，其中，预设规则是根据黑名单中所记录的风险用户的网络访问特征建立的；如果网络访问特征符合预设规则，则确定待识别用户为风险用户；如果网络访问特征不符合预设规则，则判断预设规则模块所包括的多个规则中，是否存在与网络访问特征相匹配的规则，其中，预设规则模块所包括的多个规则是根据风险程度不高于风险程度阈值的网络访问特征建立的；如果存在，则根据与网络访问特征相匹配的规则对应的风险程度，确定待识别用户是否为风险用户。由于预设规则中所包括的是黑名单中的风险用户的网络访问特征，该部分网络访问特征的风险程度较高，所以电子设备在对待访问用户进行识别时，可以先判断待识别用户的网络访问特征是否符合预设规则，以初步确定待识别用户是否为风险用户。当待识别用户的网络访问特征符合预设规则时，说明待识别用户的风险程度较高，此时可以直接将该待识别用户确定为风险用户，无需进行后续的判断过程，节省了计算资源，提高了风险用户的识别效率。如果不符合的话，为了实现准确的风险用户识别，电子设备可以进一步的判断待识别用户的网络访问特征是否匹配预设规则模块所包括的多个规则，根据其所匹配的规则对应的风险程度，综合确定待识别用户是否为风险用户，从而保证风险用户的识别成功率。由此，电子设备可以在快速识别风险用户的同时，保证风险用户的识别成功率，实现了安全有效的风险用户识别。
附图说明
39.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
40.图1为本发明实施例所提供的一种风险用户识别方法的流程图；
41.图2为基于图1所示实施例的确定风险用户的一种流程图；
42.图3为基于图2所示实施例的确定风险评分的一种流程图；
43.图4为基于图1所示实施例的一种风险用户识别方法的示意图；
44.图5为本发明实施例所提供的一种风险用户识别装置的结构示意图；
45.图6为本发明实施例所提供的一种电子设备的结构示意图。
具体实施方式
46.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行描述。
47.为了实现安全有效的风险用户识别，本发明实施例提供了一种风险用户识别方法、装置、电子设备、计算机可读存储介质以及计算机程序产品。下面首先对本发明实施例所提供的的一种风险用户识别方法进行介绍。
48.本发明实施例所提供的一种风险用户识别方法可以应用于任意需要进行风险用户识别的电子设备，例如，可以为服务器、终端等，在此不做具体限定。为了描述清楚，以下称为电子设备。
49.如图1所示，一种风险用户识别方法，包括：
50.s101，获取待识别用户的网络访问特征。
51.s102，判断所述网络访问特征是否符合预设规则。
52.其中，所述预设规则是根据黑名单中所记录的风险用户的网络访问特征建立的。
53.s103，如果所述网络访问特征符合所述预设规则，则确定所述待识别用户为风险用户。
54.s104，如果所述网络访问特征不符合所述预设规则，则判断预设规则模块所包括的多个规则中，是否存在与所述网络访问特征相匹配的规则。
55.其中，所述预设规则模块所包括的多个规则是根据风险程度不高于风险程度阈值的网络访问特征建立的。
56.s105，如果存在，则根据与所述网络访问特征相匹配的规则对应的风险程度，确定所述待识别用户是否为风险用户。
57.可见，本发明实施例提供的方案中，电子设备可以获取待识别用户的网络访问特征；判断网络访问特征是否符合预设规则，其中，预设规则是根据黑名单中所记录的风险用户的网络访问特征建立的；如果网络访问特征符合预设规则，则确定待识别用户为风险用户；如果网络访问特征不符合预设规则，则判断预设规则模块所包括的多个规则中，是否存在与网络访问特征相匹配的规则，其中，预设规则模块所包括的多个规则是根据风险程度不高于风险程度阈值的网络访问特征建立的；如果存在，则根据与网络访问特征相匹配的规则对应的风险程度，确定待识别用户是否为风险用户。由于预设规则中所包括的是黑名单中的风险用户的网络访问特征，该部分网络访问特征的风险程度较高，所以电子设备在对待访问用户进行识别时，可以先判断待识别用户的网络访问特征是否符合预设规则，以初步确定待识别用户是否为风险用户。当待识别用户的网络访问特征符合预设规则时，说明待识别用户的风险程度较高，此时可以直接将该待识别用户确定为风险用户，无需进行后续的判断过程，节省了计算资源，提高了风险用户的识别效率。如果不符合的话，为了实现准确的风险用户识别，电子设备可以进一步的判断待识别用户的网络访问特征是否匹配预设规则模块所包括的多个规则，根据其所匹配的规则对应的风险程度，综合确定待识别用户是否为风险用户，从而保证风险用户的识别成功率。由此，电子设备可以在快速识别风险用户的同时，保证风险用户的识别成功率，实现了安全有效的风险用户识别。
58.为了实现安全有效的风险用户识别，电子设备可以在待识别用户发起网络访问请求时，或在待识别用户进行网络访问时，获取待识别用户的网络访问特征，通过该网络访问特征判断待识别用户是否为风险用户。
59.其中，待识别用户的网络访问特征可以包括：待识别用户所使用的设备的信息，待识别用户的ip地址信息，待识别用户的账号信息，待识别用户的位置信息，待识别用户发起的历史访问请求等等，在此不做具体限定。
60.在此需要说明的是，本发明的技术方案中所涉及的待识别用户的网络访问特征的获取、存储、使用、加工和提供等操作，均是在已取得待识别用户授权的情况下进行的。
61.因为黑名单中记录了历史识别过程中所确定出的风险用户，该部分用户的网络访问特征的风险程度是很高的，所以可以根据黑名单中所记录的风险用户的网络访问特征建立预设规则。例如，将黑名单中所记录的风险用户的ip地址、作为风险程度高于阈值的网络访问特征，进而根据该风险用户的ip地址建立预设规则。其中，网络访问特征的风险程度反映的是具有该网络访问特征的用户在进行网络访问时，对于网络安全的威胁程度，具体可以采用风险评分或风险等级等形式进行表征。
62.进而，电子设备中可以预先存储有上述根据黑名单中所记录的风险用户的网络访问特征建立的预设规则，这样电子设备在获取到待识别用户的网络访问特征后，可以先判断待识别用户的网络访问特征是否符合预设规则，以初步判断待识别用户是否为风险用户。
63.例如，电子设备可以判断预设规则中的各个ip地址，是否存在与待识别用户的ip地址相同的ip地址，从而判断待识别用户的网络访问特征是否符合预设规则。电子设备也可以判断预设规则中的各个mac地址，是否存在与待识别用户所使用的设备的mac地址相同的mac地址，从而判断待识别用户的网络访问特征是否符合预设规则。
64.在一种实施方式中，因为在不同的业务场景中，同一网络访问特征对应的风险程度是不同的，所以在建立预设规则时，除了可以根据黑名单中所记录的风险用户的网络访问特征进行建立之外，可以预先为每一业务场景确定对应的风险程度高于阈值的网络访问特征，进而根据黑名单中所记录的风险用户的网络访问特征和预设的每一业务场景对应的风险程度高于阈值的网络访问特征，分别建立每一业务场景所对应的预设规则。
65.例如，在对刷量类型的风险用户进行识别时，可以将秒播ip、访问请求的发起时间间隔小于预设时间间隔作为该业务场景中风险程度高于阈值的网络访问特征，进而可以根据秒播ip、访问请求的发起时间间隔小于预设时间间隔以及黑名单中所记录的风险用户的网络访问特征，建立刷量识别业务场景所对应的预设规则。
66.因为预设规则是根据风险程度较高的网络访问特征建立的，所以如果待识别用户的网络访问特征符合预设规则，则表明该待识别用户极大可能为风险用户，在此情况下为了避免该待识别用户的网络访问行为对网络安全产生影响，电子设备可以直接将该待识别用户确定为风险用户，进而拒绝该待识别用户的网络访问行为，无需再进行后续的判断过程，因而也节省了计算资源，提高了风险用户的识别效率。
67.如果待识别用户的网络访问特征不符合预设规则，则表明该待识别用户的网络访问特征不是高风险特征，但是该待识别用户仍可能是风险用户，在此情况下，为了避免出现对于风险用户的漏判，电子设备可以进一步地判断预设规则模块所包括的多个规则中，是否存在与网络访问特征相匹配的规则。
68.上述预设规则模块所包括的多个规则可以是根据风险程度不高于阈值的网络访问特征建立的，例如，用户的设备上安装有高危软件，用户的账号未实名制，用户的ip地址为公共ip地址等等。
69.其中，在风险程度是以风险评分的形式进行表征的情况下，网络访问特征的风险程度不高于阈值可以指的是网络访问特征的风险评分不大于预设阈值，该预设阈值可以由用户根据经验以及具体的量化标准进行设定，在此不做具体限定。例如，用户根据经验以及具体的量化标准设定风险评分的最大值为100分，最小值为0分，高风险的网络访问特征的
评分大于80分，那么在网络访问特征的风险评分不大于80分时，可以认定为网络访问特征的风险程度不高于预设阈值。
70.在风险程度是以风险等级的形式进行表征的情况下，网络访问特征的风险程度不高于阈值可以指的是网络访问特征的风险等级不大于预设等级，该预设等级可以由用户根据经验以及具体的量化标准进行设定，在此不做具体限定。例如用户根据经验以及具体的量化标准设定各个风险等级为高风险等级、中风险等级、低风险等级，那么在网络访问特征的风险等级为中风险等级或低风险等级时，则可以认定为网络访问特征的风险程度不高于预设阈值。
71.如果预设规则模块所包括的多个规则中，并不存在与待识别用户的网络访问特征相匹配的规则，则表示该待识别用户不是风险用户，此时电子设备可以放行该待识别用户的访问请求，或继续为该待识别用户提供网络访问服务，以使该待识别用户进行正常的网络访问业务。
72.如果预设规则模块所包括的多个规则中，存在与待识别用户的网络访问特征相匹配的规则，则表示该待识别用户可能为风险用户，此时可以根据与待识别用户的网络访问特征所匹配的规则对应的风险程度，综合判断待识别用户是否为风险用户。
73.例如，在风险程度是以风险评分的形式进行表征的情况下，电子设备可以确定预设规则模块中，与待识别用户的网络访问特征所匹配的各个规则对应的风险评分，将待识别用户的网络访问特征所匹配的各个规则的风险评分之和，作为待识别用户的风险总评分，将该风险总评分与预设评分阈值进行比较，当风险总评分大于预设评分阈值时，确定待识别用户为风险用户。
74.又例如，在风险程度是以风险等级的形式进行表征的情况下，电子设备可以确定预设规则模块中，与待识别用户的网络访问特征所匹配的各个规则对应的风险等级，进而分别确定与待识别用户的网络访问特征所匹配的各个规则中，中风险等级和低风险等级的规则的数量，将中风险等级和低风险等级的规则的数量分别与对应的预设数量阈值进行比较，当中风险等级的规则的数量大于对应的预设数量阈值和/或低风险等级的规则的数量大于对应的预设数量阈值时，确定待识别用户为风险用户。
75.可见，本发明实施例中，电子设备可以先判断待识别用户的网络访问特征是否符合预设规则，如果符合则直接将待识别用户确定为风险用户，无需再进行后续的判断过程，节省了计算资源，提高了风险用户的识别效率。如果不符合，则可以进一步地通过判断预设规则模块所包括的多个规则中，是否存在与网络访问特征相匹配的规则，以准确判断待识别用户是否为风险用户。
76.作为本发明实施例的一种实施方式，上述预设规则模块可以为多个，各个预设规则模块中的规则相互独立，上述判断预设规则模块所包括的多个规则中，是否存在与所述网络访问特征相匹配的规则的步骤，可以包括：
77.分别判断每个预设规则模块所包括的多个规则中，是否存在与所述网络访问特征相匹配的规则。
78.因为预设规则模块可以为多个，且各个预设规则模块中的规则相互独立，所以电子设备在判断判断预设规则模块所包括的多个规则中，是否存在与网络访问特征相匹配的规则时，可以分别判断每个预设规则模块所包括的多个规则中，是否存在与网络访问特征
相匹配的规则。
79.在一种实施方式中，上述预设规则模块可以包括：设备规则模块、环境规则模块、账号规则模块和冲突规则模块等等。
80.其中，设备规则模块中的规则是根据风险用户的设备属性建立的，例如，设备规则模块中的各规则可以为用户的设备上安装有高危软件，用户的设备存在篡改信息等等。
81.环境规则模块中的规则是根据风险用户的环境属性建立的，例如，环境规则模块中的各规则可以为用户的ip地址为公共地址，用户的当前网络环境存在潜在风险等等。
82.账号规则模块中的规则是根据风险用户的账号属性建立的，例如，账号规则模块中的各规则可以为用户的账号注册方式为邮箱注册，用户的账号未实名制，用户的账号为非会员等等。
83.冲突规则模块中的规则是根据风险用户的相同属性信息之间的不一致性建立的，例如，冲突规则模块中的各规则可以为用户的ip归属地和手机号码归属地不一致，用户的常住地址与当前所在地址不一致等等。
84.相应的，在预设规则模块包括设备规则模块、环境规则模块、账号规则模块和冲突规则模块的情况下，电子设备在分别判断每个预设规则模块所包括的多个规则中，是否存在与网络访问特征相匹配的规则时，可以分别判断设备规则模块、环境规则模块、账号规则模块和冲突规则模块中，是否存在与网络访问特征相匹配的规则。
85.可见，本发明实施例中，预设规则模块可以为多个，各个预设规则模块中的规则相互独立，电子设备在判断预设规则模块所包括的多个规则中，是否存在与网络访问特征相匹配的规则时，可以分别判断每个预设规则模块所包括的多个规则中，是否存在与所述网络访问特征相匹配的规则。一方面，对于一些只需要对待识别用户的部分类型的网络访问特征进行判断的业务场景来说，电子设备可以仅将该部分类型的网络访问特征与对应的预设规则模块中的规则进行匹配，无需采用所有的预设规则模块进行匹配，节省了计算资源，提高了风险用户的识别效率。另一方面，因为各个预设规则模块中的规则之间是相互独立，所以后续可仅针对具体的某个预设规则模块进行单独优化和更新，避免牵一发而动全身的干扰问题。
86.作为本发明实施例的一种实施方式，如图2所示，上述根据与所述网络访问特征相匹配的规则对应的风险程度，确定所述待识别用户是否为风险用户的步骤，可以包括：
87.s201，根据预设的规则与风险评分之间的对应关系，以及所述网络访问特征所匹配的每个规则，确定所述网络访问特征对应的风险评分；
88.电子设备在通过分别判断每个预设规则模块所包括的多个规则中，是否存在与网络访问特征相匹配的规则，而确定出待识别用户的网络访问特征所匹配的每个规则后，可以根据预设的规则与风险评分之间的对应关系，确定待识别用户的网络访问特征所匹配的每个规则对应的风险评分，进而确定网络访问特征对应的风险评分。
89.在一种实施方式，电子设备在确定出待识别用户的网络访问特征所匹配的每个规则对应的风险评分后，可以直接将每个规则对应的风险评分进行加和处理，得到的风险评分之和即为网络访问特征对应的风险评分。
90.例如，电子设备确定出的待识别用户的网络访问特征所匹配的规则为：设备规则a1、账号规则c3，其中，设备规则a1对应的风险评分为70分，账号规则c3对应的风险评分50
分，那么电子设备可以将设备规则a1对应的风险评分和账号规则c3对应的风险评分进行加和，得到风险评分之和为120分，此时，待识别用户的网络访问特征对应的风险评分即为120分。
91.在另一种实施方式中，因为在不同业务场景下，确定待识别用户是否为风险用户时，不同预设规则模块对应的重要程度是不同的，例如，在对刷量类型的风险用户进行识别时，账号规则模块起到比较重要的作用，在对支付欺诈类型的风险用户进行识别时，环境规则模块和冲突规则模块起到比较重要的作用。
92.所以可以预先为不同的业务场景中的各个预设规则模块设定相应的风险权重，这样电子设备在确定出待识别用户的网络访问特征所匹配的每个规则对应的风险评分后，可以根据当前业务场景下，预设规则模块与风险权重的对应关系，对各个规则的风险评分进行加权求和，得到网络访问特征对应的风险评分。
93.例如，在对刷量类型的风险用户进行识别的业务场景中，设备规则模块、环境规则模块、账号规则模块和冲突规则模块所对应的风险权重分别为0.2、0.2、0.5和0.1，电子设备在确定出待识别用户的网络访问特征所匹配的设备规则a1和账号规则c3对应的风险评分分别为70分和50分后，可以根据当前对刷量类型的风险用户进行识别的业务场景中，设备规则模块和账号规则模块风险权重，对设备规则a1对应的风险评分和账号规则c3对应的风险评分进行加和求和，计算得到网络访问特征对应的风险评分为39分。
94.s202，当所述风险评分大于预设评分阈值时，确定所述待识别用户为风险用户。
95.电子设备在确定出网络访问特征对应的风险评分后，可以将该风险评分与预设评分阈值进行比较，当风险评分大于预设评分阈值时，表示该待识别用户的风险程度比较高，可以将该待识别用户确定为风险用户，拒绝该待识别用户的网络访问行为。当风险评分不大于预设评分阈值时，表示该待识别用户的风险比较低，可以将该待识别用户确定为非风险用户，接收该待识别用户的访问请求，或继续为该待识别用户提供网络访问服务，以使该待识别用户进行正常的网络访问业务。
96.其中，预设评分阈值可以根据具体使用需求、针对的业务场景，以及风险评分的计算方式而对应设置，在此不做具体限定。例如，预设评分阈值可以为50分，而通过对待识别用户的网络访问特征所匹配的每个规则进行加权求和，得到的该待识别用户的风险总评分为39分，那么此时电子设备可以确定该待识别用户不是风险用户，进而接收该待识别用户的访问请求，或继续为该待识别用户提供网络访问服务，以使该待识别用户进行正常的网络访问业务。
97.可见，本发明实施例中，电子设备确定出待识别用户的网络访问特征所匹配的每个规则后，可以根据预设的规则与风险评分之间的对应关系，确定网络访问特征对应的风险评分，进而可以通过判断风险评分是否大于预设评分阈值，来确定待识别用户是否为风险用户。因为判断待识别用户是否为风险用户时，综合考虑了待识别用户的网络访问特征所符合的每个规则以及每个规则所对应的风险评分，所以得到的判断结果更加合理、准确。
98.作为本发明实施例的一种实施方式，如图3所示，上述根据预设的规则与风险评分之间的对应关系，以及所述网络访问特征所匹配的每个规则，确定所述网络访问特征对应的风险评分的步骤，可以包括：
99.s301，如果所述网络访问特征所匹配的规则中存在目标规则，将对应的风险评分
最大的规则对应的风险评分作为该规则所属的预设规则模块对应的目标风险评分；
100.因为同一预设规则模块中的多个规则包括的是风险用户同一类型的网络访问特征，所以在判断预设规则模块所包括的多个规则中，是否存在与网络访问特征相匹配的规则时，可以会出现网络访问特征同时匹配同一预设规则模块中的多个规则的情况，此时，电子设备对于同一类型的网络访问特征会进行叠加运算，从而导致得出的风险评分偏高，和实际风险水平不符合，容易出现误判的情况。
101.因此，电子设备在确定出与网络访问特征相匹配的规则后，可以判断网络访问特征所匹配的各规则中是否存在属于同一预设规则模块的规则，即判断网络访问特征所匹配的规则中存在目标规则。如果存在，则可以将对应的风险评分最大的规则对应的风险评分作为该规则所属的预设规则模块对应的目标风险评分。
102.例如，电子设备确定出与网络访问特征相匹配的规则分别为设备规则a1、设备规则a3，环境规则b2、账号规则c4，冲突规则d1、冲突规则d3、冲突规则d5后，可以进一步判断上述规则是否存在属于同一预设规则模块的规则。
103.进而电子设备在确定出设备规则a1和设备规则a3为属于同一预设规则模块，即设备规则模块的规则，冲突规则d1、冲突规则d3和冲突规则d5为属于同一预设规则模块，即冲突规则模块的规则后，可以进一步根据预设的规则与风险评分之间的对应关系，确定设备规则a1、设备规则a3、冲突规则d1、冲突规则d3和冲突规则d5所对应的风险评分分别为：70分、50分、34分、48分、65分。
104.因为设备规则a1是设备规则模块中与网络访问特征所匹配的、对应的风险评分最大的规则，冲突规则d5是冲突规则模块中与网络访问特征所匹配的、对应的风险评分最大的规则，所以电子设备可以将设备规则a1对应的风险评分70分作为该设备规则a1所属的设备规则模块对应的目标风险评分，将冲突规则d5对应的风险评分65分作为该冲突规则d5所属的冲突规则模块对应的目标风险评分。
105.s302，根据各个预设规则模块对应的目标风险评分，确定所述网络访问特征对应的风险评分。
106.对于环境规则模块和账号规则模块来说，因为其所包括的各个规则中只有一个规则与网络访问特征相匹配，所以可以直接将环境规则b2对应的风险评分作为该环境规则b2所属的环境规则模块对应的风险评分、将账号规则c4对应的风险评分作为该账号规则c4所属的账号规则模块对应的风险评分。
107.进而电子设备可以根据预设的规则与风险评分之间的对应关系确定环境规则b2对应的风险评分为52，将52分确定为环境规则模块对应的风险评分，以及确定账号规则c4对应的风险评分为38，将38分确定为账号规则模块对应的风险评分，结合上述步骤中确定出设备规则模块对应的风险评分70分，冲突规则模块对应的风险评分为65分，即可确定出网络访问特征对应的风险评分。
108.对于根据各预设规则模块对应的风险评分，确定出网络访问特征对应的风险评分的方式，可以参见前述根据预设的规则与风险评分之间的对应关系，以及网络访问特征所匹配的每个规则，确定网络访问特征对应的风险评分中的论述，在此不再赘述。
109.可见，本发明实施例中，电子设备在同一预设规则模块中存在与网络访问特征相匹配的多个规则的情况下，可以根据预设的规则与风险评分之间的对应关系，确定每个预
设规则模块中与网络访问特征相匹配的各规则所对应的风险评分，从中选取风险评分最大的规则的风险评分，作为该规则所属的预设规则模块对应的风险评分。这样，电子设备对于同一预设规则模块中的各规则不会进行叠加运算，避免了同一个类型的规则容易被多次匹配，而导致得出的风险评分偏高，和实际风险水平不符合，容易出现误判的情况。
110.作为本发明实施例的一种实施方式，上述预设规则模块可以至少包括通用规则模块和定制规则模块，其中，通用规则模块中的规则是根据风险用户的网络访问特征的共同属性特点确定的；定制规则模块中的规则是根据用户需求确定的。
111.电子设备中的预设规则模块可以按照规则的确定方式分为至少两类，即根据风险用户的网络访问特征共同属性特点确定的通用规则模块，和根据用户需求确定的定制规则模块。
112.例如，风险用户的设备上一般均安装有高危软件，那么则可以将设备上安装有高危软件，作为风险用户的网络访问特征的共同属性特点，进而可以根据该共同属性特点，确定一条通用规则，即用户的设备上安装有高危软件。
113.又例如，用户在风险用户的识别过程中，发现了新型的风险类型，或对于风险用户的识别过程产生了新的需求，那么则可以根据实际的使用需求，设置一个规则，该规则即为定制规则。
114.相应的，在一种实施方式中，电子设备中的预设规则模块，可以首先按照规则的确定方式分为通用规则模块和定制规则模块，通用规则模块又可以进一步按照规则的类型，划分为设备规则模块、环境规则模块、账号规则模块和冲突规则模块，定制规则模块可以不进行进一步的划分，也可以如通用规则模块中，进一步按照规则的类型，划分为包设备规则模块、环境规则模块、账号规则模块和冲突规则模块。
115.可见，本发明实施例中，当预设规则模块中包括通用规则模块时，因为通用规则模块中的规则是根据风险用户的网络访问特征的共同属性特点确定的，所以该通用规则模块可以适用于不同业务场景下的风险用户识别，节省了重复建设的成本。当预设规则模块中包括定制规则模块时，因为定制规则模块中的规则是根据用户需求确定的，所以可以使得风险用户的识别过程可以更加灵活，适用范围更广。
116.为便于理解本发明的方案，下面以图4为例对本发明中的风险用户识别方法进行详细描述，具体为：
117.如图4所示，电子设备在接收到待识别用户的访问请求后，可以先将待识别用户的网络访问特征与阻断层的阻断规则1、阻断规则2、阻断规则3等进行匹配，即判断网络访问特征是否符合预设规则，如果符合，即确定匹配成功，输出决策结果，确定待识别用户为风险用户。
118.如果匹配不成功，则将待识别用户的网络访问特征与通用层的通用规则和定制层的定制规则进行并行匹配，即判断预设规则模块所包括的多个规则中，是否存在与网络访问特征相匹配的规则，其中，预设规则模块包括通用规则模块和定制规则模块。
119.其中，通用层可以包括设备模块、环境模块、账号模块和冲突模块等多个模块，设备模块中可以包括通用规则a1、a2、a3等与风险用户的设备属性相关的通用规则，环境模块中可以包括通用规则b1、b2、b3等与风险用户的环境属性相关的通用规则，账号模块中可以包括通用规则c1、c2、c3等与风险用户的账号属性相关的通用规则，冲突模块中可以包括通
用规则d1、d2、d3等与风险用户的相同属性信息之间的不一致性相关的通用规则，定制层中包括定制规则1、定制规则2、定制规则3等由用户根据实际使用需求而设置的规则。
120.即通用规则模块包括设备规则模块、环境规则模块、账号规则模块和冲突规则模块，设备规则模块、环境规则模块、账号规则模块和冲突规则模块分别包括多个规则，定制规则模块包括多个规则。
121.最后在决策层中，电子设备可以将各模块最大评分与定制评分进行求和，即将通用规则模块中的每个预设规则模块中与网络访问特征相匹配的各规则所对应的最大风险评分，与定制规则模块中与网络访问特征相匹配的规则所对应的风险评分进行求和，从而得到待识别用户的总风险评分，然后判断该总风险评分是否大于预设风险评分阈值，如果大于，则输出决策结果，即确定待识别用户为风险用户。
122.可见，本发明实施例中，电子设备可以先将待识别用户的网络访问特征与预设规则进行匹配，如果匹配成功则直接将待识别用户确定为风险用户，无需再进行后续的判断过程，节省了计算资源，提高了风险用户的识别效率。如果不匹配，则可以进一步地判断预设规则模块所包括的多个规则中，是否存在与网络访问特征相匹配的规则，以准确判断待识别用户是否为风险用户。
123.同时因为通用规则模块中的规则是根据风险用户的网络访问特征的共同属性特点确定的，所以该通用规则模块可以适用于不同业务场景下的风险用户识别，节省了重复建设的成本。因为定制规则模块中的规则是根据用户需求确定的，所以可以使得风险用户的识别过程可以更加灵活，适用范围更广。
124.并且因为预设规则模块可以为多个，各个预设规则模块中的规则相互独立，电子设备在判断预设规则模块所包括的多个规则中，是否存在与网络访问特征相匹配的规则时，可以分别判断每个预设规则模块所包括的多个规则中，是否存在与所述网络访问特征相匹配的规则。一方面，对于一些只需要对待识别用户的部分类型的网络访问特征进行判断的业务场景来说，电子设备可以将该部分类型的网络访问特征与对应的预设规则模块中的规则进行匹配，无需采用所有的预设规则模块进行匹配，节省了计算资源，提高了风险用户的识别效率。另一方面，因为各个预设规则模块中的规则之间是相互独立，所以后续可仅针对具体的某个预设规则模块进行单独优化和更新，避免牵一发而动全身的干扰问题。
125.此外，电子设备在同一预设规则模块中存在与网络访问特征相匹配的多个规则的情况下，可以根据预设的规则与风险评分之间的对应关系，确定每个预设规则模块中与网络访问特征相匹配的各规则所对应的风险评分，从中选取风险评分最大的规则的风险评分，作为该规则所属的预设规则模块对应的风险评分。这样，电子设备对于同一预设规则模块中的各规则不会进行叠加运算，避免了同一个类型的规则容易被多次匹配，而导致得出的风险评分偏高，和实际风险水平不符合，容易出现误判的情。
126.相应于上述风险用户识别方法，本发明实施例还提供了一种风险用户识别装置。下面对本发明实施例所提供的一种风险用户识别装置进行介绍。
127.如图5所示，一种风险用户识别装置，所述装置包括：
128.网络访问特征获取模块510，用于获取待识别用户的网络访问特征；
129.第一判断模块520，用于判断所述网络访问特征是否符合预设规则，其中，所述预设规则是根据黑名单中所记录的风险用户的网络访问特征建立的；
130.第二判断模块530，用于在所述第一判断模块的判断结果为否时，判断预设规则模块所包括的多个规则中，是否存在与所述网络访问特征相匹配的规则，其中，所述预设规则模块所包括的多个规则是根据风险程度不高于风险程度阈值的网络访问特征建立的；
131.风险用户确定模块540，用于在所述第一判断模块的判断结果为是时，确定所述待识别用户为风险用户；以及在所述第二判断模块的判断结果为是时，根据与所述网络访问特征相匹配的规则对应的风险程度，确定所述待识别用户是否为风险用户。
132.可见，本发明实施例提供的方案中，电子设备可以获取待识别用户的网络访问特征；判断网络访问特征是否符合预设规则，其中，预设规则是根据黑名单中所记录的风险用户的网络访问特征建立的；如果网络访问特征符合预设规则，则确定待识别用户为风险用户；如果网络访问特征不符合预设规则，则判断预设规则模块所包括的多个规则中，是否存在与网络访问特征相匹配的规则，其中，预设规则模块所包括的多个规则是根据风险程度不高于风险程度阈值的网络访问特征建立的；如果存在，则根据与网络访问特征相匹配的规则对应的风险程度，确定待识别用户是否为风险用户。由于预设规则中所包括的是黑名单中的风险用户的网络访问特征，该部分网络访问特征的风险程度较高，所以电子设备在对待访问用户进行识别时，可以先判断待识别用户的网络访问特征是否符合预设规则，以初步确定待识别用户是否为风险用户。当待识别用户的网络访问特征符合预设规则时，说明待识别用户的风险程度较高，此时可以直接将该待识别用户确定为风险用户，无需进行后续的判断过程，节省了计算资源，提高了风险用户的识别效率。如果不符合的话，为了实现准确的风险用户识别，电子设备可以进一步的判断待识别用户的网络访问特征是否匹配预设规则模块所包括的多个规则，根据其所匹配的规则对应的风险程度，综合确定待识别用户是否为风险用户，从而保证风险用户的识别成功率。由此，电子设备可以在快速识别风险用户的同时，保证风险用户的识别成功率，实现了安全有效的风险用户识别。
133.作为本发明实施例的一种实施方式，所述预设规则模块为多个，各个预设规则模块中的规则相互独立，所述第二判断模块530，可以具体用于：
134.分别判断每个预设规则模块所包括的多个规则中，是否存在与所述网络访问特征相匹配的规则。
135.作为本发明实施例的一种实施方式，上述风险用户确定模块540，可以包括：
136.风险评分确定单元，用于根据预设的规则与风险评分之间的对应关系，以及所述网络访问特征所匹配的每个规则，确定所述网络访问特征对应的风险评分；
137.风险用户确定单元，用于当所述风险评分大于预设评分阈值时，确定所述待识别用户为风险用户。
138.作为本发明实施例的一种实施方式，上述风险评分确定单元，可以包括：
139.目标风险评分确定子单元，用于当所述网络访问特征所匹配的规则中存在目标规则时，将对应的风险评分最大的规则对应的风险评分作为该规则所属的预设规则模块对应的目标风险评分，其中，所述目标规则为属于同一预设规则模块的规则；
140.风险评分确定子单元，用于根据各个预设规则模块对应的目标风险评分，确定所述网络访问特征对应的风险评分。
141.作为本发明实施例的一种实施方式，上述预设规则模块至少包括通用规则模块和定制规则模块，其中，所述通用规则模块中的规则是根据风险用户的网络访问特征的共同
属性特点确定的；所述定制规则模块中的规则是根据用户需求确定的。
142.作为本发明实施例的一种实施方式，上述装置还可以包括：
143.网络访问行为拒绝模块，用于在确定所述待识别用户为风险用户后，拒绝所述待识别用户的网络访问行为。
144.本发明实施例还提供了一种电子设备，如图6所示，包括处理器601、通信接口602、存储器603和通信总线604，其中，处理器601，通信接口602，存储器603通过通信总线604完成相互间的通信，
145.存储器603，用于存放计算机程序；
146.处理器601，用于执行存储器603上所存放的程序时，实现上述任一实施例所述的风险用户识别方法步骤。
147.可见，本发明实施例提供的方案中，电子设备可以电子设备可以获取待识别用户的网络访问特征；判断网络访问特征是否符合预设规则，其中，预设规则是根据黑名单中所记录的风险用户的网络访问特征建立的；如果网络访问特征符合预设规则，则确定待识别用户为风险用户；如果网络访问特征不符合预设规则，则判断预设规则模块所包括的多个规则中，是否存在与网络访问特征相匹配的规则，其中，预设规则模块所包括的多个规则是根据风险程度不高于风险程度阈值的网络访问特征建立的；如果存在，则根据与网络访问特征相匹配的规则对应的风险程度，确定待识别用户是否为风险用户。由于预设规则中所包括的是黑名单中的风险用户的网络访问特征，该部分网络访问特征的风险程度较高，所以电子设备在对待访问用户进行识别时，可以先判断待识别用户的网络访问特征是否符合预设规则，以初步确定待识别用户是否为风险用户。当待识别用户的网络访问特征符合预设规则时，说明待识别用户的风险程度较高，此时可以直接将该待识别用户确定为风险用户，无需进行后续的判断过程，节省了计算资源，提高了风险用户的识别效率。如果不符合的话，为了实现准确的风险用户识别，电子设备可以进一步的判断待识别用户的网络访问特征是否匹配预设规则模块所包括的多个规则，根据其所匹配的规则对应的风险程度，综合确定待识别用户是否为风险用户，从而保证风险用户的识别成功率。由此，电子设备可以在快速识别风险用户的同时，保证风险用户的识别成功率，实现了安全有效的风险用户识别。
148.上述电子设备提到的通信总线可以是外设部件互连标准(peripheral component interconnect，简称pci)总线或扩展工业标准结构(extended industry standard architecture，简称eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
149.通信接口用于上述电子设备与其他设备之间的通信。
150.存储器可以包括随机存取存储器(random access memory，简称ram)，也可以包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。
151.上述的处理器可以是通用处理器，包括中央处理器(central processing unit，简称cpu)、网络处理器(network processor，简称np)等；还可以是数字信号处理器(digital signal processor，简称dsp)、专用集成电路(application specific integrated circuit，简称asic)、现场可编程门阵列(field－programmable gate array，
简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
152.在本发明提供的又一实施例中，还提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述实施例中任一所述的风险用户识别方法。
153.在本发明提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的风险用户识别方法。
154.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘solid state disk(ssd))等。
155.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
156.本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、电子设备、计算机可读存储介质以及计算机程序产品实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
157.以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。