(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210731439.6 (22)申请日 2022.06.24 (71)申请人 完美世界 （北京） 软件科技发展 有限 公司 地址 100085 北京市海淀区上地 东路1号院 5号楼7层701-14 (72)发明人 郑晶　魏志文　曹聿玮　樊雅君　 (74)专利代理 机构 北京华夏泰和知识产权代理 有限公司 1 1662 专利代理师 曾军 (51)Int.Cl. G06F 16/23(2019.01) G06F 16/2457(2019.01) (54)发明名称 风险识别策略的更新方法、 装置、 设备及计 算机可读介质 (57)摘要 本申请涉及一种风险识别策略的更新方法、 装置、 设备及计算机可读介质。 该方法包括： 在基 于第一风险识别策略将业务系统中的第一业务 事件判别为第一可疑风险事件的情况下， 获取目 标时间段内包含先前被判别为无可疑风险的第 二业务事件的数据作为第一回测数据， 其中， 目 标时间段早于将第一业务事件判别为第一可疑 风险事件的时间点； 在第一回测数据中确定与第 一可疑风险事件的目标特征相 匹配的特定第二 业务事件， 并将特定第二业务事件重新判别为存 在可疑风险的第二可疑风险事件； 以及， 利用第 二可疑风险事件和目标特征更新第一风险识别 策略， 得到第二风险识别策略。 本申请解决了风 控系统对前期特征分散的攻击识别能力较差的 技术问题。 权利要求书3页 说明书17页 附图2页 CN 115185963 A 2022.10.14 CN 115185963 A 1.一种风险识别策略的更新方法， 其特 征在于， 包括： 在基于第一风险识别策略将业务系统中的第一业务事件判别为第一可疑风险事件的 情况下， 获取目标时间段内包含先前被判别为无可疑风险的第二业务事件的数据作为第一 回测数据， 其中， 所述 目标时间段早于将所述第一业务事件判别为所述第一可疑风险事件 的时间点； 在所述第一回测数据中确定与所述第一可疑风险事件的目标特征相匹配的特定第二 业务事件， 并将所述特定第二业务事件重新判别为存在可疑风险的第二可疑风险事件； 以 及， 利用所述第 二可疑风险事件和所述目标特征更新所述第 一风险识别策略， 得到第 二风 险识别策略。 2.根据权利要求1所述的方法， 其特征在于， 所述基于第 一风险识别策略将业务系统中 的第一业务事件判别为第一可疑风险事 件包括以下 方式中的至少一种： 在识别到产生所述第一业务事件的第一业务请求中携带的识别标识与数据库中存储 的历史使用的识别标识不一致的情况下， 将所述识别标识确定为可疑风险特征， 并将所述 第一业务事件判别为所述第一可疑风险事 件； 在识别到所述第一业务请求中携带的所述识别标识在当前风险识别周期内关联的账 号数量大于或等于目标数量阈值的情况下， 将所述识别标识确定为所述可疑风险特征， 并 将所述第一 业务事件判别为所述第一可疑风险事 件； 在识别到所述第一业务事件的第一特征与预设案例库中存储的风险特征匹配的情况 下， 将所述第一特征确定为所述可疑风险特征， 并将所述第一业务事件判别为所述第一可 疑风险事 件； 其中， 所述识别标识包括硬件设备识别标识、 手机号、 号码归属地以及互联网协议地址 中的至少之一。 3.根据权利要求1所述的方法， 其特征在于， 所述获取目标时间段内包含先前被判别为 无可疑风险的第二业务事件的数据作为第一回测数据之前， 所述方法还包括按照如下方式 确定所述目标时间段： 确定所述第 一业务事件所属业务活动的活动 起始时间， 并将所述活动起始时间至当前 时间的范围确定为所述目标时间段； 和/或， 确定将所述第一 业务事件判别为所述第一可疑风险事 件的判别类型； 在所述判别类型为阈值判别类型的情况下， 将当前风险识别周期的起始时间至当前时 间的范围确定为所述目标时间段； 在所述判别类型为特征判别类型的情况下， 确定所述第 一可疑风险事件的关联事件的 发生周期， 并将所述第一可疑风险事件的发生时间点作为当前发生周期的最 晚节点， 以及 将所述当前发生周期的最 早节点至所述 最晚节点间的时段确定为所述目标时间段。 4.根据权利要求1所述的方法， 其特征在于， 所述第 一可疑风险事件中包括可疑风险特 征， 所述确定所述目标时间段还 包括： 将与所述可疑风险特征同在所述第一可疑风险事件中的第二特征确定为关联风险特 征； 确定所述关联风险特 征出现在其 他业务事件中的最 早时间；权　利　要　求　书 1/3 页 2 CN 115185963 A 2将所述最早时间至所述当前时间的范围确定为所述目标时间段。 5.根据权利要求1所述的方法， 其特征在于， 所述在所述第 一回测数据中确定与所述第 一可疑风险事 件的目标 特征相匹配的特定第二 业务事件包括： 确定所述第一风险识别策略识别出的所述第一可疑风险事件的可疑风险特征以作为 所述目标特征， 并将所述第一回测数据中具有相同所述目标特征的所述第二业务事件确定 为所述特定第二 业务事件； 和/或， 确定与所述可疑风险特征同在所述第一可疑风险事件中的其他特征为关联风险特征 以作为所述目标特征， 并将所述第一回测数据中具有 所述目标特征的所述第二业务事件确 定为所述特定第二 业务事件。 6.根据权利要求5所述的方法， 其特征在于， 所述将所述特定第 二业务事件重新判别为 存在可疑风险的第二可疑风险事 件之后， 所述方法还 包括： 将所述可疑风险特征、 所述关联风险特征以及所述第 二可疑风险事件的事件特征添加 到预设案例库中， 以将所述可疑风险特征、 所述关联风险特征以及所述第二可疑风险事件 的事件特征作为分析攻击行为的基础数据。 7.根据权利要求1至6任一所述的方法， 其特征在于， 所述得到第二风险识别策略之后， 所述方法还 包括： 基于所述第二风险识别策略对第二回测数据进行风险识别， 其中， 所述第二回测数据 与所述第一回测数据不完全重 叠； 统计所述第二 风险识别策略对可疑风险事 件的准确率和漏判率； 在所述第二风险识别策略的准确率小于或等于所述第一风险识别策略的准确率， 和/ 或所述第二风险识别策略的漏判率大于或等于所述第一风险识别策略的漏判率的情况下， 继续利用所述第二可疑风险事件和所述目标特征更新所述第二风险识别策略， 并利用所述 第二回测数据再次检验更新后的第二风险识别策略识别可疑风险事件的准确率和漏判率， 直至检验通过。 8.一种风险识别策略的更新装置， 其特 征在于， 包括： 数据获取模块， 用于在基于第 一风险识别策略将业务系统中的第 一业务事件判别为第 一可疑风险事件的情况下， 获取目标时间段内包含先前被判别为无可疑风险的第二业务事 件的数据作为第一回测数据， 其中， 目标时间段早于将第一业务事件判别为第一可疑风险 事件的时间点； 事件回测模块， 用于在第 一回测数据中确定与第 一可疑风险事件的目标特征相匹配的 特定第二业务事件， 并将特定第二业务事件重新判别为存在可疑风险的第二可疑风险事 件； 以及， 策略更新模块， 用于利用所述第 二可疑风险事件和所述目标特征更新所述第 一风险识 别策略， 得到第二 风险识别策略。 9.一种风险识别策略的更新设备， 包括存储器、 处理器、 通信接口及通信总线， 所述存 储器中存储有可在所述处理器上运行 的计算机程序， 所述存储器、 所述处理器通过所述通 信总线和所述通信接口进行通信， 其特征在于， 所述处理器执行所述计算机程序时实现上 述权利要求1至7任一项所述的方法的步骤。 10.一种具有处理器可执行的非易失的程序代码的计算机可读介质， 其特征在于， 所述权　利　要　求　书 2/3 页 3 CN 115185963 A 3