一种基于云计算的数据安防处理方法及数据安防服务器与流程

1.本技术实施例涉及云计算和数据安防技术领域，具体涉及一种基于云计算的数据安防处理方法及数据安防服务器。


背景技术：

2.在云计算时代，云计算安防已经成为各行业非常关注的话题，“大数据+云计算+数据信息安防”的理念被越来越多的的行业所接受，针对性的安防技术和服务正不断发展，并以此为中心形成一系列的产品和系统解决方案。数据信息安防能够确保用户的核心数字化资产不被破坏，进而充分保障用户的相关权益。一般而言，数据信息安防处理需要对一些特定的对象进行检测以判断是否实施相关的防护应对措施。然而在实际实施过程中发明人发现，由于各类业务存在复杂多变性，在获取这类特定的对象时，难以确保其时效性和可信度，进而难以确保准确可靠的数据安全检测。


技术实现要素：

3.有鉴于此，本技术实施例提供了一种基于云计算的数据安防处理方法及数据安防服务器。
4.本技术实施例提供了一种基于云计算的数据安防处理方法，应用于数据安防服务器，所述方法包括：获得第一事件行为记录和待检测云业务事件的视觉描述，其中，所述第一事件行为记录为数据安防服务器针对待检测云业务事件检测得到的事件行为记录；在第一风险状态内容错误或不可用的前提下，获得第二事件行为记录，并基于所述第二事件行为记录和所述视觉描述确定所述第一风险状态内容，其中，所述第二事件行为记录为所述数据安防服务器针对所述待检测云业务事件检测得到的事件行为记录，所述第一风险状态内容为所述数据安防服务器和/或所述待检测云业务事件的风险状态内容；基于所述第一事件行为记录、所述视觉描述和所述第一风险状态内容，确定第二风险状态内容，其中，所述第二风险状态内容为所述数据安防服务器和/或所述待检测云业务事件的风险状态内容；在所述第二风险状态内容与所述第一风险状态内容满足设定的第一判断要求的前提下，展示所述第二风险状态内容；在所述第二风险状态内容与所述第一风险状态内容不满足设定的第一判断要求的前提下，确定所述第一风险状态内容不可用。
5.对于一些可独立实施的技术方案而言，基于所述第二事件行为记录和所述视觉描述确定所述第一风险状态内容，包括：获得所述视觉描述中与所述第二事件行为记录对应的至少一个事件行为数据，并确定所述第二事件行为记录的显著性表达与所述至少一个事件行为数据的显著性表达间的第一比较信息；获得所述视觉描述中与所述至少一事件行为数据对应的行为特征知识图谱，并基于所述第一比较信息，确定所述第二事件行为记录的显著性表达与所述行为特征知识图谱的图谱特征间的第二比较信息；基于所述第一比较信息和所述第二比较信息，确定所述第一风险状态内容。
6.对于一些可独立实施的技术方案而言，所述获得所述视觉描述中与所述第二事件
行为记录对应的至少一个事件行为数据，包括：确定所述视觉描述中的每个事件行为数据与所述第二事件行为记录的关联评价；将与所述第二事件行为记录的关联评价高于设定的关联评价值的事件行为数据，确定为与所述第二事件行为记录对应的事件行为数据。
7.对于一些可独立实施的技术方案而言，所述确定所述第二事件行为记录的显著性表达与所述至少一个事件行为数据的显著性表达间的第一比较信息，包括：获得所述第二事件行为记录的显著性表达及特征向量，以及所述事件行为数据的显著性表达及特征向量；基于所述第二事件行为记录的特征向量和所述事件行为数据的特征向量，确定所述第二事件行为记录的显著性表达与所述事件行为数据的显著性表达间的原始比较信息；基于所述原始比较信息，确定所述第二事件行为记录与所述事件行为数据的初阶映射关系和/或目标映射关系；基于所述初阶映射关系和/或目标映射关系，对所述原始比较信息进行挑选，得到所述第一比较信息。
8.对于一些可独立实施的技术方案而言，所述基于所述第一比较信息，确定所述第二事件行为记录的显著性表达与所述行为特征知识图谱的图谱特征间的第二比较信息，包括：将与所述事件行为数据的显著性表达配对的所述第二事件行为记录的显著性表达，和与所述事件行为数据的显著性表达对应的所述行为特征知识图谱的图谱特征进行比较，得到所述第二比较信息。
9.对于一些可独立实施的技术方案而言，所述基于所述第一比较信息和所述第二比较信息，确定所述第一风险状态内容，包括：获得所述数据安防服务器的检测运行情况；基于所述第一比较信息和所述第二比较信息以及所述检测运行情况，确定所述第一风险状态内容。
10.对于一些可独立实施的技术方案而言，所述基于所述第一事件行为记录、所述视觉描述和所述第一风险状态内容，确定第二风险状态内容，包括：基于所述第一风险状态内容和所述第一事件行为记录，确定所述第一事件行为记录对应的第三风险状态内容，其中，所述第三风险状态内容为所述数据安防服务器相对所述待检测云业务事件的风险状态内容；基于所述第三风险状态内容，确定所述第一事件行为记录的显著性表达与所述视觉描述的行为特征知识图谱的图谱特征间的第三比较信息；在所述第三比较信息满足设定的第二判断要求的前提下，基于所述第三风险状态内容，确定所述第一事件行为记录的显著性表达与所述视觉描述的至少一个事件行为数据的显著性表达间的第四比较信息；基于所述第三比较信息和所述第四比较信息，确定所述第二风险状态内容。
11.对于一些可独立实施的技术方案而言，所述第一风险状态内容包括第四风险状态内容，其中，所述第四风险状态内容为所述待检测云业务事件在设定业务场景内的风险状态内容；所述基于所述第一风险状态内容和所述第一事件行为记录，确定所述第一事件行为记录对应的第三风险状态内容，包括：基于所述第一事件行为记录，借助风险识别单元获得第五风险状态内容，其中，所述第五风险状态内容为所述数据安防服务器在设定业务场景内的风险状态内容；基于所述第四风险状态内容和所述第五风险状态内容，确定所述第三风险状态内容。
12.对于一些可独立实施的技术方案而言，所述基于所述第三风险状态内容，确定所述第一事件行为记录的显著性表达与所述视觉描述的行为特征知识图谱的图谱特征间的第三比较信息，包括：基于所述第三风险状态内容，将所述视觉描述的行为特征知识图谱迁
移变换至所述第一事件行为记录上，形成多个迁移变换单元，并挖掘每个所述迁移变换单元的特征向量；挖掘所述第一事件行为数据的显著性表达和特征向量；基于所述显著性表达对应的特征向量和所述迁移变换单元的特征向量，确定所述显著性表达与所述行为特征知识图谱的图谱特征间的第三比较信息。
13.对于一些可独立实施的技术方案而言，所述基于所述第三风险状态内容，确定所述第一事件行为记录的显著性表达与所述视觉描述的至少一个事件行为数据的显著性表达间的第四比较信息，包括：基于所述第三风险状态内容，以及所述视觉描述的事件行为数据的风险状态内容，确定与所述第三风险状态内容配对的至少一个事件行为数据；获得所述第一事件行为记录的显著性表达和特征向量，以及与所述第三风险状态内容配对的事件行为数据的显著性表达和特征向量；基于所述第一事件行为记录的特征向量和所述事件行为数据的特征向量，确定所述第一事件行为记录的显著性表达与所述事件行为数据的显著性表达间的第四比较信息。
14.对于一些可独立实施的技术方案而言，所述基于所述第三比较信息和所述第四比较信息，确定所述第二风险状态内容，包括：获得所述数据安防服务器的检测运行情况；基于所述第三比较信息、所述第四比较信息和所述检测运行情况，确定所述第二风险状态内容。
15.对于一些可独立实施的技术方案而言，所述第二风险状态内容与所述第一风险状态内容满足设定的第一判断要求，包括：所述第二风险状态内容与所述第一风险状态内容的偏移小于设定的偏移阈值；和/或，所述第三比较信息满足设定的第二判断要求，包括：所述第一事件行为记录与所述视觉描述的行为特征知识图谱间的比较对象的数目，大于设定的数目阈值，其中，所述比较对象包括相互配对的一对显著性表达和图谱特征。
16.对于一些可独立实施的技术方案而言，所述获得待检测云业务事件视觉描述，包括：获得所述数据安防服务器针对所述待检测云业务事件检测得到多组待处理事件行为记录，并并行获得每组待处理事件行为记录对应的第六风险状态内容；将所述多组待处理事件行为记录的显著性表达进行比较，并根据比较结果对所述显著性表达进行图谱化，以形成行为特征知识图谱；从所述多组待处理事件行为记录中确定至少一个事件行为数据，并确定每个事件行为数据对应的行为特征知识图谱；将所述至少一个事件行为数据、每个事件行为数据对应的第六风险状态内容以及所述行为特征知识图谱组合为视觉描述。
17.本技术实施例还提供了一种数据安防服务器，包括处理器、通信总线和存储器；所述处理器和所述存储器通过所述通信总线通信，所述处理器从所述存储器中读取计算机程序并运行，以执行上述的方法。
18.本技术实施例还提供了一种计算机存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序在运行时实现上述的方法。
19.根据上述实施例可知，通过获得数据安防服务器针对待检测云业务事件检测得到的第一事件行为记录和所述待检测云业务事件的视觉描述，并在第一风险状态内容错误或不可用的前提下，获得第二事件行为记录，基于所述第二事件行为记录和所述视觉描述确定所述第一风险状态内容，再基于所述第一事件行为记录、所述视觉描述和第一风险状态内容，确定第二风险状态内容，最后在所述第二风险状态内容与所述第一风险状态内容满足设定的第一判断要求的前提下，展示所述第二风险状态内容，否则确定第一风险状态内
容不可用。由于第一风险状态内容是基于所述数据安防服务器针对所述待检测云业务事件检测得到的第二事件行为记录和所述视觉描述确定的，且确定第一风险状态内容后，可以不间断地用作确定多组第一事件行为记录对应的第二风险状态内容，直到第二风险状态内容与第一风险状态内容不满足第一判断要求才刷新一轮第一风险状态内容，因此可以提高风险状态内容获得的时效性和可信度，从而保证利用风险状态内容进行数据安全检测的准确性和可靠性。
20.在后面的描述中，将部分地陈述其他的特征。在检查后面内容和附图时，本领域的技术人员将部分地发现这些特征，或者可以通过生产或运用了解到这些特征。通过实践或使用后面所述详细示例中列出的方法、工具和组合的各个方面，当前申请中的特征可以被实现和获得。
附图说明
21.为了更清楚地说明本技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
22.图1为本技术实施例所提供的一种数据安防服务器的方框示意图。
23.图2为本技术实施例所提供的一种基于云计算的数据安防处理方法的流程图。
24.图3为本技术实施例所提供的一种基于云计算的数据安防处理装置的框图。
具体实施方式
25.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例只是本技术的一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。
26.因此，以下对在附图中提供的本技术的实施例的详细描述并非旨在限制要求保护的本技术的范围，而是仅仅表示本技术的选定实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
27.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
28.图1示出了本技术实施例所提供的一种数据安防服务器10的方框示意图。本技术实施例中的数据安防服务器10可以为具有数据存储、传输、处理功能的服务端，如图1所示，数据安防服务器10包括：存储器11、处理器12、通信总线13和基于云计算的数据安防处理装置20。
29.存储器11、处理器12和通信总线13之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件互相之间可以通过一条或多条通讯总线或信号线实现电性连接。存储器11中存储有基于云计算的数据安防处理装置20，所述基于云计算的数据安防处理装置20包括至少一个可以软件或固件（firmware）的形式储存于所述存储器11中的软件功能
模块，所述处理器12通过运行存储在存储器11内的软件程序以及模块，例如本技术实施例中的基于云计算的数据安防处理装置20，从而执行各种功能应用以及数据处理，即实现本技术实施例中的基于云计算的数据安防处理方法。
30.其中，所述存储器11可以是，但不限于，随机存取存储器（random access memory，ram），只读存储器（read only memory，rom），可编程只读存储器（programmable read
‑
only memory，prom），可擦除只读存储器（erasable programmable read
‑
only memory，eprom），电可擦除只读存储器（electric erasable programmable read
‑
only memory，eeprom）等。其中，存储器11用于存储程序，所述处理器12在接收到执行指令后，执行所述程序。
31.所述处理器12可能是一种集成电路芯片，具有数据的处理能力。上述的处理器12可以是通用处理器，包括中央处理器 (central processing unit，cpu)、网络处理器 (network processor，np)等。可以实现或者执行本技术实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
32.通信总线13用于通过网络建立数据安防服务器10与其他通信终端设备之间的通信连接，实现网络信号及数据的收发操作。上述网络信号可包括无线信号或者有线信号。
33.可以理解，图1所示的结构仅为示意，数据安防服务器10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
34.本技术实施例还提供了一种计算机存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序在运行时实现上述的方法。
35.图2示出了本技术实施例所提供的一种基于云计算的数据安防处理的流程图。所述方法有关的流程所定义的方法步骤应用于数据安防服务器10，可以由所述处理器12实现，所述方法包括如下内容。
36.step101，获得第一事件行为记录和待检测云业务事件的视觉描述，其中，所述第一事件行为记录为数据安防服务器针对待检测云业务事件检测得到的事件行为记录。
37.在本技术实施例中，数据安防服务器可以为智能服务器、数字化平台系统等具有数据分析处理能力的设备，也可以为检测线程等事件行为记录处理机制（比如可以理解为防火墙）。当数据安防服务器为具有数据分析处理能力的设备时，该步骤中获得第一事件行为记录、后续技术内容中第二风险状态内容的确定和展示以及第一风险状态内容的确定和刷新，也都可以由具有数据分析处理能力的设备执行。待检测云业务事件可以是数据信息防护处理针对的业务服务事件。进一步地，业务服务事件可以为支付业务事件、在线办公事件等。本技术实施例不作限制。
38.可以理解的是，数据安防服务器针对待检测云业务事件进行检测时，可以不间断地获取多组第一事件行为记录，即获得一个事件行为记录队列；第一事件行为记录就是上述事件行为记录队列中的任一队列成员，换言之，本技术实施例提供的基于云计算的数据安防处理方法可以针对上述事件行为记录队列中的任一队列成员来执行；示例性地，可以在数据安防服务器针对待检测云业务事件进行检测时，针对得到的每一组第一事件行为记录皆实施该方法，即得到每一组第一事件行为记录对应的第二风险状态内容。数据安防服务器针对待检测云业务事件进行检测时，可以是待检测云业务事件处于暂停状态，数据安防服务器针对待检测云业务事件进行多个层面的分析。例如，数据安防服务器针对待检测
云业务事件进行多个层面的分析并采集事件行为记录时的三个事件行为数据的采集过程如下：数据安防服务器在前前一事件行为数据的状态节点采集一组事件行为数据，然后跳转至上一事件行为数据的状态节点采集一组事件行为数据，再跳转至当前事件行为数据的状态节点采集一组事件行为数据。其中，状态节点可以是时间节点或者业务环境节点，本技术实施例不作限制。
39.此外，视觉描述包括该待检测云业务事件的行为特征知识图谱、至少一个/组事件行为数据和每个/组事件行为数据对应的风险状态内容（比如以下所述的第六风险状态内容）。其中，事件行为数据可以理解为，数据安防服务器在对应的第六风险状态内容下对待检测云业务事件识别得到的事件行为记录。每个事件行为数据对应部分行为特征知识图谱，相关的对应关系可以由知识图谱生成过程中事件行为记录的显著性表达图谱化的关系确定，还可以由风险状态内容确定，本技术实施例不作限制。
40.step102，在第一风险状态内容错误或不可用的前提下，获得第二事件行为记录，并基于所述第二事件行为记录和所述视觉描述确定所述第一风险状态内容，其中，所述第二事件行为记录为所述数据安防服务器针对所述待检测云业务事件检测得到的事件行为记录，所述第一风险状态内容为所述数据安防服务器和/或所述待检测云业务事件的风险状态内容。
41.在该方法刚开始实施时，第一风险状态内容是错误的（比如存在部分丢失），因此需要确定第一风险状态内容，该方法实施过程中，如果第一风险状态内容不可用，则需要重新确定第一风险状态内容，即刷新第一风险状态内容。
42.可以理解，数据安防服务器的风险状态内容可以为数据安防服务器在设定业务场景内解析得到的的风险状态内容（state_1），即数据安防服务器相对于设定业务场景的标准安全事件的风险状态内容。待检测云业务事件的风险状态内容可以为待检测云业务事件在设定业务场景内的风险状态内容（state_2），即待检测云业务事件相对于设定业务场景的标准安全事件的风险状态内容。数据安防服务器和待检测云业务事件的风险状态内容可以为数据安防服务器相对于待检测云业务事件的风险状态内容（state_12）。
43.step103，基于所述第一事件行为记录、所述视觉描述和第一风险状态内容，确定第二风险状态内容，其中，所述第二风险状态内容为所述数据安防服务器和/或所述待检测云业务事件的风险状态内容。
44.在本技术实施例中，针对每一组第一事件行为记录，确定对应的第二风险状态内容时皆需要借助第一风险状态内容，而第一风险状态内容是可以重复使用的，直到其被刷新。由于第一风险状态内容的利用，可以避免手动调整上述知识图谱和待检测云业务事件的操作，从而可以提高获得第二风险状态内容的时效性和可信度，进而提高持续性检测待检测云业务事件的时效性和可信度。
45.此外，第一风险状态内容可以由风险识别模块或信息防护算法确定，风险识别模块或信息防护算法用于获得数据安防服务器检测得到的事件行为记录作为第二事件行为记录，并根据第二事件行为记录和视觉描述确定第一风险状态内容，即风险识别模块或信息防护算法用于得出持续性检测的触发条件，即辅助持续性风险识别模块对待检测云业务事件的持续性检测。第二风险状态内容可以由持续性风险识别模块或持续性信息防护算法确定，持续性风险识别模块或持续性信息防护算法用于获得数据安防服务器检测得到的事
件行为记录作为第一事件行为记录，并利用第一事件行为记录、视觉描述和第一风险状态内容确定第二风险状态内容，即持续性风险识别模块或持续性信息防护算法用于持续性检测待检测云业务事件。确定第一风险状态内容时，只能利用第一事件行为记录和视觉描述，无其他辅助信息，而确定第二风险状态内容时，在利用第二事件行为记录和视觉描述的基础上，还增加了第一风险状态内容的辅助，因此确定第一风险状态内容的速率比确定第二风险状态内容的速率慢，即确定第一风险状态内容的时效性比确定第二风险状态内容的时效性差，因此第一风险状态内容的确定可以提高第二风险状态内容的精度，第二风险状态内容重复利用第一风险状态内容可以提高风险状态内容定位和展示的时效性。
46.可以理解的是，数据安防服务器检测得到的一组事件行为记录，不仅可以作为第一事件行为记录，也可以作为第二事件行为记录，还可以同时作为第一事件行为记录和第二事件行为记录。当第一风险状态内容错误或不可用时，即需要确定或刷新第一风险状态内容时，可以将数据安防服务器检测得到的事件行为记录作为第一事件行为记录；当第一风险状态内容存在且可用时，即无需确定或刷新第一风险状态内容时，可以将数据安防服务器检测得到的事件行为记录作为第二事件行为记录；当数据安防服务器检测得到的一组事件行为记录作为第一事件行为记录，用于确定第一风险状态内容后，数据安防服务器尚未检测得到下一组事件行为记录（例如数据安防服务器相对于待检测云业务事件未发生跳转或跳转后还未到采集下一组事件行为记录的周期），则该组事件行为记录可以继续作为第二事件行为记录，用于确定第二风险状态内容。
47.step104，在所述第二风险状态内容与所述第一风险状态内容满足设定的第一判断要求的前提下，展示所述第二风险状态内容；在所述第二风险状态内容与所述第一风险状态内容不满足设定的第一判断要求的前提下，确定所述第一风险状态内容不可用。
48.在本技术实施例中，风险状态内容可以用于进行信息防护检测或者入侵检测分析。比如，风险状态内容可以包括行为习惯状态、操作意图信息或者业务交互情况等，落地到支付业务场景，风险状态内容包括但不限于身份验证内容、交易会话内容、支付行为内容、支付网络地址内容等。
49.在一种可独立实施的实施方式中，可以事先设置偏移阈值，并事先设置第一判断要求为所述第二风险状态内容与所述第一风险状态内容的偏移（误差或者偏差）小于上述偏移阈值。比较第一风险状态内容和第二风险状态内容的偏移时，可以比较相同类别的风险状态，即可以比较第一风险状态内容中的数据安防服务器在设定业务场景内的风险状态内容和第二风险状态内容中的数据安防服务器在设定业务场景内的风险状态内容，也可以比较第一风险状态内容中的待检测云业务事件在设定业务场景内的风险状态内容和第二风险状态内容中的待检测云业务事件在设定业务场景内的风险状态内容，还可以比较第一风险状态内容中的数据安防服务器相对待检测云业务事件的风险状态内容和第二风险状态内容中的数据安防服务器相对待检测云业务事件的风险状态内容，本技术实施例不作限制。
50.可以理解的是，第二风险状态内容与第一风险状态内容满足第一判断要求，可以表征第二风险状态内容与第一风险状态内容一致，则两种风险状态内容皆是可用风险状态（有效风险状态，比如可以作为后续数据入侵防护检测分析的依据），因此将第二风险状态内容进行展示（比如在一些可视化交互界面进行呈现和输出，以供相关工作人员进行审
阅），即将该组第一事件行为记录的第二风险状态内容展示，同时第一风险状态内容可以继续用于确定下一组第一事件行为记录的第二风险状态内容。第二风险状态内容比第一风险状态内容更加丰富，且对于各组第一事件行为记录的针对性强、确定效率佳，因此展示第二风险状态内容更便于对待检测云业务事件的持续性检测。
51.另外，第二风险状态内容与第一风险状态内容不满足第一判断要求，可以表征第二风险状态内容与第二风险状态内容不一致，则两种风险状态内容中的至少一种为不可用风险状态，因此第二风险状态内容不能作为可用风险状态进行展示，即该组第一事件行为记录未获得可用风险状态，同时第一风险状态内容不能继续用于确定下一组第一事件行为记录的第二风险状态内容，即需要对第一风险状态内容进行刷新，此时可确定第一风险状态内容不可用。刷新第一风险状态内容，就是指重新获得第二事件行为记录，并利用重新获得的第二事件行为记录重新确定第一风险状态内容，同时丢弃原第一风险状态内容。
52.在上述相关内容的基础上，当展示第二风险状态内容后，可以根据第二风险状态内容进行相关的数据入侵检测处理和分析。
53.根据上述实施例可知，通过获得数据安防服务器针对待检测云业务事件检测得到的第一事件行为记录和所述待检测云业务事件的视觉描述，并在第一风险状态内容错误或不可用的前提下，获得第二事件行为记录，基于所述第二事件行为记录和所述视觉描述确定所述第一风险状态内容，再基于所述第一事件行为记录、所述视觉描述和第一风险状态内容，确定第二风险状态内容，最后在所述第二风险状态内容与所述第一风险状态内容满足设定的第一判断要求的前提下，展示所述第二风险状态内容，否则确定第一风险状态内容不可用。由于第一风险状态内容是基于所述数据安防服务器针对所述待检测云业务事件检测得到的第二事件行为记录和所述视觉描述确定的，且确定第一风险状态内容后，可以不间断地用作确定多组第一事件行为记录对应的第二风险状态内容，直到第二风险状态内容与第一风险状态内容不满足第一判断要求才刷新一轮第一风险状态内容，因此可以提高风险状态内容获得的时效性和可信度，从而保证利用风险状态内容进行数据安全检测的可靠性。
54.本技术的一些可独立实施的实施例中，可以基于以下内容根据第二事件行为记录和所述视觉描述确定第一风险状态内容：首先，获得所述视觉描述中与所述第二事件行为记录对应的至少一个事件行为数据，并确定所述第二事件行为记录的显著性表达与所述至少一个事件行为数据的显著性表达间的第一比较信息（由于第二事件行为记录和事件行为数据的显著性表达皆是局部特征，因此第一比较信息为局部
‑
局部比较）；接下来，获得所述视觉描述中与所述至少一事件行为数据对应的行为特征知识图谱，并基于所述第一比较信息，确定所述第二事件行为记录的显著性表达与所述行为特征知识图谱的图谱特征间的第二比较信息（由于第二事件行为记录的显著性表达为局部特征，因此第二比较信息为局部
‑
全局比较）；最后，基于所述第一比较信息和所述第二比较信息，确定所述第一风险状态内容。
55.在一些可独立实施的实施例中，获得视觉描述中与第二事件行为记录对应的至少一个事件行为数据时：可以先确定所述视觉描述中的每个事件行为数据与所述第二事件行为记录的关联评价，再将与所述第二事件行为记录的关联评价高于设定的关联评价值的事件行为数据，确定为与所述第二事件行为记录对应的事件行为数据。关联评价值事先设置，
关联评价值越大，则挑选出的与第二事件行为记录对应的事件行为数据越少，关联评价值越小，则挑选出的与第二事件行为记录对应的事件行为数据越多。与第二事件行为记录对应的事件行为数据的风险状态内容与第二事件行为记录的风险状态内容相同或相近。在一个可能的实施例中，确定事件行为数据与第二事件行为记录的关联评价时，可以通过确定事件行为数据的显著性表达与第二事件行为记录的显著性表达的余弦相似度，进而根据余弦相似度得到关联评价。
56.示例性地，可以将视觉描述中的事件行为数据变化为事件行为记录查询信息，并挖掘第二事件行为记录的足够多的显著性表达，进而使用事件行为记录查询的方式获寻到与第二事件行为记录关联评价高于关联评价值的的事件行为数据。可以通过特征分析算法（例如特征分析算法）将所有事件行为数据的特征向量进行逐层特征分析，从而得到表示这些特征向量的关键词组成的事件行为记录查询信息。事件行为记录查询的方式，可以理解为确定与第二事件行为记录的显著性表达的关联评价超过关联评价值的判断要求，然后利用上述判断要求对事件行为记录查询信息中的每个信息进行逐一索引，将满足上述判断要求的信息挑选出来，并将挑选出的信息对应的事件行为数据，作为与第二事件行为记录关联评价高于关联评价值的的事件行为数据。
57.在一些可独立实施的技术方案中，确定所述第二事件行为记录的显著性表达与所述至少一个事件行为数据的显著性表达间的第一比较信息时：可以先获得所述第二事件行为记录的显著性表达及特征向量，以及所述事件行为数据的显著性表达及特征向量；再基于所述第二事件行为记录的特征向量和所述事件行为数据的特征向量，确定所述第二事件行为记录的显著性表达与所述事件行为数据的显著性表达间的原始比较信息；然后基于所述原始比较信息，确定所述第二事件行为记录与所述事件行为数据的初阶映射关系和/或目标映射关系；最后，基于所述初阶映射关系和/或目标映射关系，对所述原始比较信息进行挑选，得到所述第一比较信息。
58.示例性地，确定原始比较信息时，可以先为第二事件行为记录中的每个特征向量在事件行为数据中寻找特征差异最小的特征向量，然后再按照相反的方式，为事件行为数据中的每个特征向量在第二事件行为记录中寻找特征差异最小的特征向量，如果第二事件行为记录中的某个特征向量和事件行为数据中的某个特征向量互为特征差异最小的特征向量，则认为上述两个特征向量比较，进而确定上述两个特征向量对应的两个显著性表达比较，全部的相互配对的显著性表达组成了原始比较信息。在本技术实施例中，比较信息可以理解为匹配信息。
59.示例性地，确定初阶映射关系（初阶映射矩阵）和/或目标映射关系（归一化映射矩阵）时，可以通过相关算法（比如随机样本一致算法）确定得到。在一些可能的实施例中，还可以通过其他算法计算出多个初阶映射关系和/或目标映射关系，并确定每个初阶映射关系和/或目标映射关系的主用映射路径，再将主用映射路径数最多的初阶映射关系和/或目标映射关系确定为最后的计算结果。如果相互配对的两个显著性表达满足初阶映射关系和/或目标映射关系，则该两个显著性表达为主用映射路径；在另一种情况下，如果相互配对的两个显著性表达不满足初阶映射关系和/或目标映射关系，则该两个显著性表达为备用映射路径。利用初阶映射关系和/或目标映射关系挑选原始比较信息时，也是留下原始比较信息中的主用映射路径，即丢弃原始比较信息中的备用映射路径。
60.在一些可独立实施的实施例中，基于所述第一比较信息，确定所述第二事件行为记录的显著性表达与所述行为特征知识图谱的图谱特征间的第二比较信息时：可以将与所述事件行为数据的显著性表达配对的所述第二事件行为记录的显著性表达，和与所述事件行为数据的显著性表达对应的所述行为特征知识图谱的图谱特征进行比较，得到所述第二比较信息。换言之，通过事件行为数据的显著性表达作为承接对象，将第二事件行为记录的显著性表达与行为特征知识图谱的图谱特征进行比较。
61.在一些可独立实施的实施例中，基于所述第一比较信息和所述第二比较信息，确定所述第一风险状态内容时：可以先获得所述数据安防服务器的检测运行情况；再基于所述第一比较信息和所述第二比较信息以及所述检测运行情况，确定所述第一风险状态内容。
62.在本技术实施例中，数据安防服务器的检测运行情况可以理解为数据安防服务器的检测运行状态，比如相关分类器或者拦截机制的运行状态、配置情况等。此外，还可以加入检测运行情况的约束判断要求，这样可以综合第一比较信息（局部
‑
局部比较）以及第二比较信息（局部
‑
全局比较），使得所得到的第一风险状态内容更加精准，进而能够使得基于该第一风险状态内容得到的第二风险状态内容更加可靠。基于上述的相关实施例，可以通过风险识别模块或信息防护算法确定第一风险状态内容，以供持续性风险识别模块或持续性信息防护算法利用。
63.本技术的一些可独立实施实施例中，可以基于以下内容基于所述第一事件行为记录、所述视觉描述和第一风险状态内容，确定第二风险状态内容：首先，基于所述第一风险状态内容和所述第一事件行为记录，确定所述第一事件行为记录对应的第三风险状态内容，其中，所述第三风险状态内容为所述数据安防服务器相对所述待检测云业务事件的风险状态内容；接下来，基于所述第三风险状态内容，确定所述第一事件行为记录的显著性表达与所述视觉描述的行为特征知识图谱的图谱特征间的第三比较信息（由于第一事件行为记录的显著性表达为局部特征，因此第三比较信息为局部
‑
全局比较）；接下来，在所述第三比较信息满足设定的第二判断要求的前提下，基于所述第三风险状态内容，确定所述第一事件行为记录的显著性表达与所述视觉描述的至少一个事件行为数据的显著性表达间的第四比较信息（由于第一事件行为记录和事件行为数据的显著性表达皆是局部特征，因此第四比较信息为局部
‑
全局比较）；最后，基于所述第三比较信息和所述第四比较信息，确定所述第二风险状态内容。
64.在本技术实施例中，第一风险状态内容可以包括第四风险状态内容，第四风险状态内容为待检测云业务事件在设定业务场景内的行为状态信息（state_2）。当待检测云业务事件的状态节点处于暂停状态时，则第四风险状态内容保持不变。基于此，基于所述第一风险状态内容和所述第一事件行为记录，确定所述第一事件行为记录对应的第三风险状态内容时：可以先基于所述第一事件行为记录，借助风险识别单元获得第五风险状态内容，其中，所述第五风险状态内容为所述数据安防服务器在设定业务场景内的风险状态内容（state_1）；再基于所述第四风险状态内容和所述第五风险状态内容，确定所述第三风险状态内容。
65.示例性地，风险识别单元在运行过程中可以实时展示数据安防服务器在设定业务场景内的风险状态内容。待检测云业务事件在设定业务场景内的风险状态内容为待检测云
业务事件的显性风险状态，数据安防服务器在设定业务场景内的风险状态内容为数据安防服务器的显性风险状态，因此可以通过待检测云业务事件和数据安防服务器在统一行为状态映射空间内的显性风险状态，确定二者的相对风险状态，即数据安防服务器相对于待检测云业务事件的风险状态内容（state_12），或待检测云业务事件相对于数据安防服务器的风险状态内容（state_21），上述步骤中选择数据安防服务器相对于待检测云业务事件的风险状态内容（state_12）作为第三风险状态内容，当然也可以选择待检测云业务事件相对于数据安防服务器的风险状态内容（state_21）作为第三风险状态内容。
66.在一些可独立实施的实施例中，基于所述第三风险状态内容，确定所述第一事件行为记录的显著性表达与所述视觉描述的行为特征知识图谱的图谱特征间的第三比较信息时：可以先基于所述第三风险状态内容，将所述视觉描述的行为特征知识图谱迁移变换至所述第一事件行为记录上，形成多个迁移变换单元，并挖掘每个所述迁移变换单元的特征向量；再挖掘所述第一事件行为数据的显著性表达和特征向量；最后基于所述显著性表达对应的特征向量和所述迁移变换单元的特征向量，确定所述显著性表达与所述行为特征知识图谱的图谱特征间的第三比较信息。
67.在本技术实施例中，由于第三风险状态内容可以表征识别第一事件行为记录的数据安防服务器与待检测云业务事件的相对风险状态，即能够表征数据安防服务器与待检测云业务事件的事件发展趋势和事件实时状态，因此可以将行为特征知识图谱迁移变换（映射或者投影）至第一事件行为记录上。
68.在本技术实施例中，由于行为特征知识图谱的图谱特征可以是在知识图谱生成过程中，通过事件行为数据的显著性表达比较和图谱化得到的，因此行为特征知识图谱的每一个图谱特征都对应至少一个事件行为数据的显著性表达，挖掘一个图谱特征对应的所有显著性表达的特征向量，并通过整合这些特征向量得到该图谱特征的迁移变换单元的特征向量。
69.示例性地，确定第三比较信息时，可以先为每个显著性表达的特征向量寻找特征差异最小的迁移变换单元的特征向量，然后再按照相反的方式，为每个迁移变换单元的特征向量寻找特征差异最小的显著性表达的特征向量，如果某个显著性表达的特征向量和某个迁移变换单元的特征向量互为特征差异最小的特征向量，则认为上述两个特征向量比较，进而确定上述两个特征向量对应的显著性表达和图谱特征比较，全部的相互配对的显著性表达和图谱特征组成了第三比较信息。
70.本技术实施例中，第二判断要求可以是所述第一事件行为记录与所述视觉描述的行为特征知识图谱间的比较对象的数目，大于设定的数目阈值。其中，所述比较对象包括相互配对的一对显著性表达和图谱特征。比较对象的数目，在一定程度上表征了第一风险状态内容的可用性，如果第一风险状态内容不可用，则比较对象的数目势必减少或消失，如果第一风险状态内容可用，则比较对象的数目势必较多。第二判断要求的判断，是在step104判断第一风险状态内容的可用性之前的一个前序分析步骤，如果第三比较信息不满足第二判断要求，即比较对象的数目小于或等于设定的数目阈值，则第一风险状态内容势必与第二风险状态内容不满足第一判断要求，因此无需进行后续确定第二风险状态内容的步骤，可以直接认为第一风险状态内容不可用，如果第三比较信息满足第二判断要求，即比较对象的数目大于设定的数目阈值，则还不能直接确定第一风险状态内容是否可用，因此继续
确定出第二风险状态内容，并根据第一风险状态内容和第二风险状态内容是否满足第一判断要求，来判断第一风险状态内容的可用性。
71.在上述内容的基础上，基于所述第三风险状态内容，确定所述第一事件行为记录的显著性表达与所述视觉描述的至少一个事件行为数据的显著性表达间的第四比较信息时，可以先基于所述第三风险状态内容，以及所述视觉描述的每个事件行为数据的风险状态内容，确定与所述第三风险状态内容配对的至少一个事件行为数据；再获得所述第一事件行为记录的显著性表达和特征向量，以及与所述第三风险状态内容配对的每个事件行为数据的显著性表达和特征向量；最后基于所述第一事件行为记录的特征向量和所述事件行为数据的特征向量，确定所述第一事件行为记录的显著性表达与所述事件行为数据的显著性表达间的第四比较信息。
72.可以理解的是，每个事件行为数据均具有风险状态内容（比如以下的第六风险状态内容），该风险状态内容表征获得该事件行为数据的数据安防服务器与待检测云业务事件的相对风险状态，即数据安防服务器在该相对风险状态下时，可以获得到该事件行为数据；而第三风险状态内容表征获得第一事件行为记录的数据安防服务器与待检测云业务事件的相对风险状态，即数据安防服务器在该相对风险状态下时，可以获得到该第一事件行为记录。当某个事件行为数据的风险状态内容与某个第一事件行为记录的风险状态内容相同或相近（例如事件实时状态的差异在设定约束区间内）时，则可以确定该事件行为数据与该第一事件行为记录相匹配。
73.可以理解的是，确定第四比较信息时，可以先为第一事件行为记录中的每个特征向量在事件行为数据中寻找特征差异最小的特征向量，然后再按照相反的方式，为事件行为数据中的每个特征向量在第一事件行为记录中寻找特征差异最小的特征向量，如果第一事件行为记录中的某个特征向量和事件行为数据中的某个特征向量互为特征差异最小的特征向量，则认为上述两个特征向量比较，进而确定上述两个特征向量对应的两个显著性表达比较，全部的相互配对的显著性表达组成了第四比较信息。
74.在一些可独立实施的技术方案中，基于所述第三比较信息和所述第四比较信息，确定所述第二风险状态内容时，可以先获得所述数据安防服务器的检测运行情况；再基于所述第三比较信息、所述第四比较信息和所述检测运行情况，确定所述第二风险状态内容。
75.基于上述的相关实施例，可以通过持续性风险识别模块或持续性信息防护算法确定第二风险状态内容，且确定过程中利用风险识别模块或信息防护算法得到的第一风险状态内容。由于风险识别模块或信息防护算法确定第一风险状态内容的准确度高于持续性风险识别模块或持续性信息防护算法，且时效性低于持续性风险识别模块，因此利用风险识别模块或信息防护算法确定（可以反复使用的）第一风险状态内容，利用持续性风险识别模块或持续性信息防护算法多次展示第二风险状态内容，既能够通过风险识别模块或信息防护算法确定持续性风险识别模块的持续性检测的触发条件，从而提高风险状态获得的准确性，且避免主动匹配视觉描述与待检测云业务事件造成的繁杂处理和持续性检测不准确，且能够保证风险状态获得的准确度和时效性。
76.本技术的一些可独立实施的实施例中，可以基于以下内容获得待检测云业务事件视觉描述：首先，获得数据安防服务器针对待检测云业务事件检测得到多组待处理事件行为记录，并并行获得每组待处理事件行为记录对应的第六风险状态内容；接下来，将所述多
组待处理事件行为记录的显著性表达进行比较，并根据比较结果对所述显著性表达进行图谱化，以形成行为特征知识图谱；接下来，从所述多组待处理事件行为记录中确定至少一个事件行为数据，并确定每个事件行为数据对应的行为特征知识图谱；最后，将所述至少一个事件行为数据、每个事件行为数据对应的第六风险状态内容以及所述行为特征知识图谱组合为视觉描述。
77.可以理解的是，在进行特征比较过程中，可以采用邻居特征向量比较或者是时序持续性检测配对的方法。图谱化的过程中，通过相邻之间的比较可以在连续事件行为数据之间对图谱平面中的相关图谱状态节点进行持续性检测，通过这些连续多组之间的比较关系以及每一组的风险状态内容，可以执行后续的相关处理进而实现图谱化，可以理解，图谱化的其他相关处理可以参阅相关技术文件，本技术在此不作一一列举。
78.数据安防服务器检测待处理事件行为记录时的步长较短，而选择事件行为数据时可以只选择部分待处理事件行为记录，从而使得整个知识图谱的所占用的资源不会太多，从而可以确保后续进行入侵风险检测的性能。
79.在一个可能的实施例中，视觉描述包括行为特征知识图谱和待处理事件行为数据（用于生成知识图谱的事件行为数据），且每个事件行为数据标注了第六风险状态内容。第六风险状态内容可以是数据安防服务器相对于待检测云业务事件的风险状态内容，可以先向数据安防服务器内的风险识别单元，获得数据安防服务器在设定业务场景内的风险状态内容，再将上述风险状态内容与事先获得的待检测云业务事件在设定业务场景内的风险状态内容进行合并，得到第六风险状态内容。
80.可以理解的是，上述技术方案所确定出的第二风险状态内容可用于后续的入侵风险检测，因此，上述技术方案可以理解为数据信息入侵风险检测和信息防护处理的前置步骤。基于此，在一些可独立实施的技术方案中，在获得了第二风险状态内容之后，该方法还可以包括以下内容：基于所述第二风险状态内容确定待检测云业务事件的业务类别，在所述业务类别为支付服务时，获取支付服务会话记录并基于所述支付服务会话记录生成针对信息威胁防护的预处理结果；调用预设的风控模型对所述针对信息威胁防护的预处理结果进行入侵检测，得到入侵检测结果；在所述入侵检测结果触发警示条件时，拦截与所述支付服务会话记录对应的支付服务会话请求。
81.在本技术实施例中，可以通过第二风险状态内容的状态标签确定待检测云业务事件的业务类别，基于此，在一些可独立实施的实施例中，在所述业务类别为支付服务时，获取支付服务会话记录并基于所述支付服务会话记录生成针对信息威胁防护的预处理结果；调用预设的风控模型对所述针对信息威胁防护的预处理结果进行入侵检测，得到入侵检测结果；在所述入侵检测结果触发警示条件时，拦截与所述支付服务会话记录对应的支付服务会话请求，可以包括以下技术方案所描述的内容。
82.其中，所述针对信息威胁防护的预处理结果为与支付场景所对应的威胁行为画像图谱，支付场景可以指本地支付场景或者跨地区支付场景。本地支付场景或者跨地区支付场景中的各个会话事件在预处理结果中以所对应的图谱单元表示，图谱单元即为全局内容集构成的节点画像的汇总结果。进一步地，预处理结果能够用于后续进行数据信息的威胁检测和威胁分析，此外，由于预处理结果能够反映不同支付服务会话及其互动行为表达之间的关联关系和传递关系，因而能够从整体层面把控存在威胁的行为画像，以确保风控防
护的前处理阶段的可靠性。
83.对于s101而言，获得支付服务会话记录中的支付服务会话的第一互动行为表达。
84.在本技术实施例中，支付服务会话记录内包括多个支付服务会话，支付服务会话可以是多种约束信息所对应的的支付服务会话，例如离线支付服务会话，支付服务会话可以是由相关会话采集线程所获得的会话，或者多个合法的爬虫程序获得的组合的会话按照设定转换方式得到的会话。比如，每个支付服务会话对应待处理支付场景的一个区域化支付场景，而且支付服务会话所对应的区域化支付场景的互动热门程度大于相同条件下的常规会话对应的区域化支付场景的互动热门程度，所述支付服务会话记录的全部支付服务会话所对应的区域化支付场景可以组成整个待处理支付场景；不同的支付服务会话所对应的区域化支付场景可以存在重复。
85.在相关示例中，可以采用事先完成训练的ai机器学习模型获得支付服务会话的第一互动行为表达，也可以采用其他方式获得支付服务会话的第一互动行为表达，本技术对获得方式不进行进一步限定。可以获得支付服务会话记录中每个支付服务会话的第一互动行为表达。此外，互动行为表达可以理解为互动行为特征或者互动行为描述，包括但不限于支付参与方的操作习惯、互动内容、支付标的物相关事项介绍等。
86.对于s102而言，基于所述第一互动行为表达确定所述支付服务会话记录中的至少一个会话二元组及所对应的行为表达关联情况，其中，所述会话二元组涵盖第一互动行为表达存在关联的两个支付服务会话，所述行为表达关联情况用于表征两个支付服务会话的第一互动行为表达之间的上下文配对结果。
87.在本技术实施例中，第一互动行为表达存在关联，是指两个支付服务会话存在对应于相同支付场景的第一互动行为关键内容，即一个支付服务会话的至少一个第一互动行为关键内容与另一个支付服务会话的至少一个第一互动行为关键内容，对应本地支付场景或者跨地区支付场景中相同的支付场景。
88.在相关示例中，可以采用直接关联的方式对支付服务会话记录内的支付服务会话进行匹配关联，比如采用依次处理的形式进行匹配，例如，可以逐一取每一个支付服务会话，并将其与其他每个支付服务会话进行匹配。可以理解的是，两个支付服务会话进行匹配时，利用两个支付服务会话的第一互动行为表达进行匹配，比如根据两个支付服务会话的第一互动行为表达的行为表达关联情况确定支付服务会话的行为表达关联情况。两个支付服务会话的第一互动行为表达完成匹配，比如两个支付服务会话完成了互动行为表达匹配，则这两个会话可以确定为一个会话二元组，同时将两个支付服务会话的第一互动行为表达的上下文配对结果确定为行为表达关联情况。
89.另外，每个支付服务会话可以和另一个支付服务会话组成会话二元组，也可以分别和另多个支付服务会话组成多个会话二元组，比如说，每个支付服务会话组成会话二元组后，没有被限定，还可以继续与其他支付服务会话组成新的会话二元组。进一步地，第一互动行为表达之间的上下文配对结果可以理解为第一互动行为表达之间的对应关系或者传递关系。
90.在s103中，基于所述至少一个会话二元组及所对应的行为表达关联情况生成针对信息威胁防护的预处理结果。
91.在相关示例中，利用上述s102中的行为表达关联情况进行针对信息威胁防护的预
处理结果的生成。预处理结果的生成过程比如互动意图倾向组合过程，包括行为习惯和图谱单元整合，行为习惯可以理解为挖掘支付服务会话记录内每一个支付服务会话的可视化服务操作习惯（例如，支付用户对于各类图形化的功能模块的触控操作习惯），图谱单元整合可以理解为补全所对应的区域化支付场景（比如s102中提到的区域化支付场景）的全局状态的图谱单元。
92.在一个可能的示例中，可以采用动态插值的方式生成针对信息威胁防护的预处理结果。其中，动态插值可以是根据不同的会话二元组以及行为表达关联情况的实时内容变化情况进行预处理结果的组合、优化和更新。比如针对会话内容、会话身份验证方式的变化而言，可以将对应的行为特征增添到预处理结果中以进行完善。
93.本技术的实施例中，通过支付服务会话组成支付服务会话记录，进一步根据第一互动行为表达存在关联并关联支付服务会话记录中的支付服务会话，并将完成互动行为表达存在关联的两个支付服务会话作为一个会话二元组，从而确定至少一个会话二元组及所对应的行为表达关联情况，最后根据确定的至少一个会话二元组及所对应的行为表达关联情况生成针对信息威胁防护的预处理结果。由于采用支付服务会话进行匹配关联继而根据进行匹配关联继而根据行为表达关联情况生成针对信息威胁防护的预处理结果，这样可以在一定程度上削减会话记录中的会话数目，从而提高会话关联匹配质量和预处理质量，且支付服务会话所对应的支付场景所涉及的类型较多，因此能够提高不同支付服务会话之间的关联效果和匹配效果，继而确保得到的针对信息威胁防护的预处理结果能够从整体层面完整且准确地反映不同支付服务会话的特征关联情况，这样可以确保信息威胁防护预处理的可信度，使得后续通过预处理结果进行信息威胁检测时能够具有更高的精度和可信度。
94.在本技术的一些可独立实施的实施例中，可以采用以下步骤获得支付服务会话记录的支付服务会话的第一互动行为表达，包括s301至s304。
95.对于s301而言，确定所述支付服务会话所对应的多个场景型互动会话，其中，多个场景型互动会话对应的支付场景的汇总结果为支付服务会话所对应的支付场景。
96.在一个可能的示例中，可以采用以下步骤确定多个场景型互动会话。首先，获得所述支付服务会话所对应的风控参考会话，并确定支付服务会话的会话消息标签与风控参考会话的参考标签之间的第一迁移变换情况。接下来，基于所述风控参考会话确定多个场景型互动会话，并确定场景型互动会话的会话消息标签与风控参考会话的参考标签之间的第二迁移变换情况，其中，所述多个场景型互动会话对应的感兴趣会话的汇总结果为风控参考会话。最后，基于所述第一迁移变换情况和所述第二迁移变换情况确定支付服务会话的会话消息标签与场景型互动会话的会话消息标签之间的第三迁移变换情况，并根据支付服务会话的会话消息的消息特征和所述第三迁移变换情况确定场景型互动会话的会话消息的消息特征。
97.另外，场景型互动会话侧重于支付服务场景层面，该类会话携带更多的场景特征，比如网络环境特征、支付安全性评估特征等。此外，风控参考会话可以是预先设定的，用于进行参考分析的会话。进一步地，会话消息标签以及参考标签用于表征对应会话消息的状态或者分布情况，基于此，迁移变换情况可以理解为映射关系，可以理解的是，消息特征对应于会话消息的一些显著性或者关键的特征内容。
98.进一步地，根据支付服务会话的会话消息的消息特征和所述第三迁移变换情况确
定场景型互动会话的会话消息的消息特征，可以是将支付服务会话的会话消息的消息特征直接确定为场景型互动会话的对应会话消息的消息特征，也可以通过对支付服务会话的会话消息进行特征挖掘得到场景型互动会话的消息特征。
99.对于s302而言，获得所述多个场景型互动会话中的至少一个场景型互动会话的第二互动行为表达。
100.在相关示例中，可以采用事先完成训练的ai机器学习模型提取场景型互动会话的第二互动行为表达，也可以采用其他方式提取场景型互动会话的第二互动行为表达，本技术对提取方式不进行进一步限定。可以获得支付服务会话所对应的的每个场景型互动会话的第二互动行为表达。
101.在一个可能的示例中，第二互动行为表达为第二互动行为关键内容及所对应的第二隐含特征（比如可以理解为行为描述子），比如说，场景型互动会话内的全部的第二互动行为关键内容及所对应的第二隐含特征构成场景型互动会话的第二互动行为表达。
102.对于s303而言，基于所述场景型互动会话的第二互动行为表达确定所述支付服务会话的对应会话环节的第一局部互动行为表达，其中，所述场景型互动会话与所述支付服务会话的对应会话环节对应相同的支付场景。
103.在本技术实施例中，所述场景型互动会话与所述支付服务会话的对应会话环节对应相同的支付场景，比如说，场景型互动会话与支付服务会话的对应会话环节对应设定支付场景上相同的感兴趣会话汇总结果。进一步地，感兴趣会话可以为局部关注的会话。此外，会话环节包括信息发送、安全验证、服务升级等会话环节。
104.在本技术实施例中，第一局部互动行为表达可以包括支付服务会话的对应会话环节内全部的第一互动行为关键内容及所对应的第一隐含特征。
105.在与s302的示例所对应的示例中，可以采用以下步骤确定支付服务会话的对应会话环节的第一局部互动行为表达。首先，基于所述场景型互动会话的第二互动行为关键内容的标签和所述第三迁移变换情况确定所述支付服务会话的第一互动行为关键内容的标签。接下来，基于所述场景型互动会话的第二互动行为关键内容所对应的第二隐含特征确定所述支付服务会话的第一互动行为关键内容所对应的第一隐含特征。
106.可以理解的是，第二互动行为关键内容所对应的支付服务会话中的点即为第一互动行为关键内容，比如说，第一互动行为关键内容和第二互动行为关键内容相对应，或者说第一互动行为关键内容所对应的风控参考会话的感兴趣会话与第二互动行为关键内容所对应的风控参考会话的感兴趣会话一致。可以将第二互动行为关键内容所对应的第二隐含特征视为所对应的第一互动行为关键内容的第一隐含特征。
107.对于s304而言，根据至少一个所述第一局部互动行为表达确定所述支付服务会话的第一互动行为表达。
108.可以理解的是，支付服务会话的第一互动行为表达包括支付服务会话内全部的第一互动行为关键内容及所对应的第一隐含特征。
109.本技术的实施例中，通过支付服务会话与风控参考会话之间的迁移变换情况以及风控参考会话与场景型互动会话间的迁移变换情况，确定了支付服务会话与场景型互动会话间的迁移变换情况，比如以风控参考会话为引导将支付服务会话分解为多个场景型互动会话，并且进一步通过提取场景型互动会话的第二互动行为表达以及将第二互动行为关键
内容迁移变换至（映射）支付服务会话的第一互动行为关键内容，实现支付服务会话的第一互动行为表达的提取。
110.在本技术的一些可独立实施的实施例中，所述第一互动行为表达包括第一互动行为关键内容和所对应的第一隐含特征，相匹配的，可以采用以下步骤基于所述第一互动行为表达确定所述支付服务会话记录中的至少一个会话二元组及所对应的行为表达关联情况，包括s401至s403。
111.对于s401而言，通过每个支付服务会话与所对应的待进行关联的支付服务会话确定多个会话二元组。
112.在相关示例中，两个支付服务会话组成一个会话二元组。可以通过每个支付服务会话所对应的支付场景确定所对应的待进行关联的支付服务会话；或按照设定的关联引导确定每个支付服务会话所对应的待进行关联的支付服务会话。比如说，确定一个支付服务会话的待进行关联的支付服务会话时，可以将与该个支付服务会话的对应支付场景存在重复的支付服务会话作为待进行关联的支付服务会话，还可以按照设定的关联引导（比如匹配规则或者匹配策略）确定，设定的关联引导可以根据上述需求确定，例如根据所对应的支付场景次序对支付服务会话进行整理，然后将每个支付服务会话之后的设定数量（例如10个）的支付服务会话作为待进行关联的支付服务会话。还可以将一个支付服务会话之外的其他全部支付服务会话均作为该个支付服务会话的待匹配支付服务会话，本技术实施例不作限制。
113.对于s402而言，基于所述会话二元组的两个支付服务会话的第一隐含特征确定多组关键内容集，其中，每组所述关键内容集包括两个存在联系且分别归属两个支付服务会话的第一互动行为关键内容。
114.在相关示例中，可以先为会话二元组的第一个支付服务会话中的每个第一隐含特征在第二个支付服务会话中查询相似度最高的第一隐含特征，然后再按照相反的方式，为会话二元组的第二个支付服务会话中的每个第一隐含特征在第一个支付服务会话中查询相似度最高的第一隐含特征，如果第一个支付服务会话中的某个第一隐含特征和第二个支付服务会话中的某个第一隐含特征互为另一个支付服务会话中的相似度最高的第一隐含特征，则认为上述两个第一隐含特征匹配，进而确定上述两个第一隐含特征所对应的两个第一互动行为关键内容匹配，比如两个第一互动行为关键内容完成互动行为表达匹配，组成关键内容集。
115.在相关示例中，按照上述方式确定会话二元组的两个支付服务会话间的全部关键内容集后，还可以统计关键内容集的数目，再预设第一要求，并利用第一要求清洗s401中确定的多个会话二元组，比如可以利用第一要求丢弃部分会话二元组。在一个可能的示例中，第一要求可以为小于第二设定数目，比如清洗关键内容集的数目小于第二设定数目的会话二元组，即丢弃关键内容集的数目小于第二设定数目的会话二元组，例如，可以将第二设定数目设置为10或20等，本技术实施例对第二设定数目的具体数值不进行进一步限定。通过清洗掉部分会话二元组，能够减少对匹配关联情况较差的会话二元组的后续操作，从而可以运算所耗费的资源开销，进而提高匹配关联的处理效率。
116.可以理解的是，每组关键内容集表示了两个第一互动行为关键内容的上下文配对结果，多组关键内容集构成了会话二元组的行为表达关联情况。
117.对于s403而言，基于所述多组关键内容集确定第一特征切换策略，并通过所述第一特征切换策略对所述多组关键内容集进行清洗，得到所述会话二元组所对应的行为表达关联情况。
118.在相关示例中，可以采用以下步骤确定第一特征切换策略。首先，基于所述关键内容集中的两个第一互动行为关键内容的特征偏移确定所述关键内容集的特征偏移，其中，所述第一互动行为关键内容的特征偏移为该第一互动行为关键内容所对应的风控参考会话的感兴趣会话与风控参考会话的热点消息的主题比较结果和设定判定结果间的差别情况。接下来，以所对应的所述关键内容集的特征偏移为质量评价，反复基于设定数量的所述关键内容集确定特征切换策略；最后，确定每个所述特征切换策略所对应的目标内容集的数目，并确定目标内容集的数目最多的特征切换策略为所述第一特征切换策略。
119.在本技术实施例中，特征切换策略可以理解为同一特征在不同业务情况下所对应的表达形式，因此，特征切换策略可以通过矩阵或者列表的形式进行表示。其中，不同互动行为关键内容之间的切换和变化情况可以采用相关公式或者算法计算得到，本技术不作一一列举，应当理解，基于本技术所提供的内容，本领域技术人员能够结合相关技术选择合适的公式算法以及参数变量实施本技术所记载的上述内容。
120.在上述内容的基础上，可以以关键内容集的特征偏移为质量评价通过相关算法可以确定出多个特征切换策略，每5组关键内容集即可确定出一个特征切换策略，因此利用上述方式可以得出多个特征切换策略。
121.可以了解的是，可按照以下步骤确定特征切换策略所对应的目标内容集的数目。首先，基于所述特征切换策略计算所述会话二元组的每组关键内容集的特征偏移。接下来，确定所述特征偏移满足设定的第二要求的关键内容集为目标内容集。最后，根据所有目标内容集确定所述特征切换策略所对应的目标内容集的数目。比如利用上述特征切换策略确定每组关键内容集的特征偏移；实现设定第二要求，并利用第二要求筛选目标内容集，在一个可能的实施例中，第二要求可以是特征偏移小于第一约束信息阈值，比如确定小于第一约束信息阈值的特征偏移所对应的关键内容集为目标内容集。
122.在相关示例中，可以采用以下步骤通过所述第一特征切换策略对所述多组关键内容集进行清洗。首先，基于所述第一特征切换策略确定所述会话二元组的每组关键内容集的特征偏移（比如可以理解为内容误差）。接下来，清洗特征偏移满足设定的第三要求的关键内容集。
123.可以理解的是，可以利用上述第一特征切换策略确定每组关键内容集的特征偏移；事先设定第三要求，并利用第三要求筛选关键内容集，在一个可能的实施例中，第三要求可以是特征偏移大于或等于第二约束信息阈值（如大于或等于40%），比如清洗大于或等于第二约束信息阈值的特征偏移所对应的关键内容集，即丢弃大于或等于第二约束信息阈值的特征偏移所对应的关键内容集，维持小于第二约束信息阈值的特征偏移所对应的关键内容集。
124.本技术实施例中，通过对会话二元组进行互动行为表达匹配确定会话二元组之间的关键内容集，并进一步根据关键内容集确定第一特征切换策略，最后再用第一特征切换策略清洗上述关键内容集，并且在确定第一特征切换策略和清洗关键内容集时均使用了特征偏移，因此相较于其他特征切换策略，与第一特征切换策略一致的关键内容集最多，且清
洗步骤将与第一特征切换策略不一致的关键内容集丢弃，不仅提高了第一特征切换策略的准确度，而且在丢弃异常的关键内容集的前提下，尽可能地增加关键内容集的数目，进而保障会话二元组的两个支付服务会话的关联匹配可信度。
125.在本技术的一些实施例中，在完成每个会话二元组的第一特征切换策略确定及关键内容集清洗后，还可以利用第一互动行为关键内容的分布来判断两个支付服务会话的匹配是否由多余的特征造成，并进一步对多个会话二元组进行清洗，示例性地可以采用以下步骤。首先，获得所述会话二元组的关键内容集的两个第一互动行为关键内容在所绑定的支付服务会话的标签。接下来，基于所述支付服务会话所对应的第三迁移变换情况以及所述支付服务会话中的归属关键内容集的第一互动行为关键内容的标签，确定与关键内容集存在联系的场景型互动会话，其中，所述与关键内容集存在联系的场景型互动会话为存在与归属关键内容集的第一互动行为关键内容相匹配的第二互动行为关键内容的场景型互动会话。最后，通过所述与关键内容集存在联系的场景型互动会话对所述会话二元组进行清洗。
126.此外，还可以预设第三设定数目，并确定场景型互动会话包括的对应于关键内容集的第二互动行为关键内容的数目，当该数目大于或等于上述第三设定数目时，场景型互动会话才确定为与关键内容集存在联系的场景型互动会话，例如，可以将上述第三设定数目设置为10，这样可以削弱少量干扰关联造成的异常统计。
127.可以理解的是，响应于所述会话二元组的至少一个支付服务会话所对应的与关键内容集存在联系的场景型互动会话为存在时序不间断性的多个会话，且所述存在时序不间断性的多个会话的数目小于设定的清洗触发值，清洗所述会话二元组。比如说，当与关键内容集存在联系的第一互动行为关键内容所对应的第二互动行为关键内容都集中在部分场景型互动会话，且这部分场景型互动会话的数目小于设定的清洗触发值，则认为这两个支付服务会话的匹配是由多余特征造成的异常匹配，因此清洗掉该会话二元组，比如丢弃该会话二元组。清洗触发值可以根据场景型互动会话的总量和设定的第一占比确定，例如场景型互动会话的总数量为12，设定的第一占比为0.25，则认为与关键内容集存在联系的场景型互动会话的数目小于4时，则清洗掉该会话二元组。
128.本技术的实施例中，完成互动行为表达存在关联的第一互动行为关键内容均对应于场景型互动会话的第二互动行为关键内容，因此通过确定第二互动行为关键内容的分布可以判断两个支付服务会话的匹配是否由多余特征造成，且通过丢弃干扰关联可进一步提高上述判断的准确性，排除异常存在关联的会话二元组。多余特征大多是局部的，利用支付服务会话之间整体性的匹配情况尽量规避异常匹配。
129.在本技术的一些可独立实施的实施例中，可以采用以下步骤基于所述至少一个会话二元组及所对应的行为表达关联情况生成针对信息威胁防护的预处理结果。首先，按照设定的默认要求和每个会话二元组的关键内容集及第一特征切换策略确定一个会话二元组为原始会话二元组，并确定原始会话二元组的每个支付服务会话的采集线程状态，以及将所述原始会话二元组的第一关键内容集进行全局化，形成原始全局内容集。接下来，反复基于第一全局内容集所对应的第一互动行为关键内容和每个未处理会话的第一互动行为关键内容之间的指示情况，确定一个未处理会话为目标会话，直到支付服务会话记录中的每个支付服务会话皆是已处理会话，其中，所述未处理会话为全部第一互动行为关键内容
皆未全局化的支付服务会话，所述已处理会话为存在第一互动行为关键内容被全局化的支付服务会话，所述第一全局内容集涵盖所述原始全局内容集，或涵盖所述原始全局内容集和所述已处理会话的第一互动行为关键内容全局化形成的全局内容集。并且，在在每一次完成对目标会话的确定的前提下，确定所述目标会话的采集线程状态，并将所述目标会话的第一互动行为关键内容进行全局化以生成所对应的全局内容集，以及将已处理会话的第三互动行为关键内容进行全局化以生成所对应的全局内容集，所述第三互动行为关键内容为所述已处理会话中与所述目标会话的第一互动行为关键内容存在关联的第一互动行为关键内容。
130.在本技术实施例中，确定原始会话二元组时，可以依据关键内容集的数目降序的顺序逐一挑选会话二元组，每次挑选会话二元组后均基于所述关键内容集及所述第一特征切换策略，确定所述会话二元组是否达到所述默认要求，直到挑选的会话二元组达到所述默认要求，确定挑选的会话二元组为原始会话二元组。
131.此外，在一些可独立实施的实施例中，可以采用以下步骤基于所述关键内容集及所述第一特征切换策略，确定所述会话二元组是否达到所述默认要求，包括s601至s604。
132.对于s601而言，基于所述会话二元组的第一特征切换策略确定至少一组（例如四组）特征切换指示，并针对每组特征切换指示分别全局化关键内容集的互动行为关键内容，以生成各组特征切换指示所对应的全局内容集，以及根据各组全局内容集的内容变换损失和全局化约束信息清洗所述全局内容集，其中，所述特征切换指示包括更新指示和对换指示。
133.示例性地，更新指示可以用6*6的分布列表表示，对换指示用6维的数组表示，基于此，可以计算得到各组全局内容集在相关支付服务会话（即第一个或第二个支付服务会话）中的内容变换损失（内容切换误差）。
134.示例性地，根据各组全局内容集的内容变换损失和全局化约束信息清洗所述全局内容集时，可以设置第三约束信息阈值和第四约束信息阈值，然后维持在两个支付服务会话中的内容变换损失都小于第三约束信息阈值且全局化约束信息大于第四约束信息阈值的全局内容集。
135.对于s602而言，响应于数目最多的一组全局内容集的数目大于设定的第一设定数目，确定所对应的特征切换指示为第一特征切换指示。
136.对于s603而言，从批量确定得到的特征切换策略中挑选目标内容集的数目大于或等于内容集判定值的特征切换策略，分别通过每个特征切换策略确定至少一组（例如四组）特征切换指示，并针对每组特征切换指示分别全局化关键内容集的互动行为关键内容，以生成各组特征切换指示所对应的全局内容集，以及根据各组全局内容集的内容变换损失和全局化约束信息清洗所述全局内容集，维持每个特征切换策略的数目最多的一组全局内容集所对应的特征切换指示（比如量化的指示信息）。
137.可以理解的是，可以在s403确定得到多个特征切换策略并确定第一特征切换策略后，维持其余的特征切换策略，以供该步骤使用；或者在在相关示例中再次利用与s403中相同的方式确定得到多个特征切换策略。此外，还可以事先设置第二占比，然后利用第一特征切换策略的目标内容集的数目与上述第二占比确定内容集判定值；可以将第一特征切换策略的目标内容集的数目与第二占比的加权结果（比如乘积）作为内容集判定值，例如，可以
将第二占比预设为0.3，但本技术并非对第二占比的实际数值进行限定。
138.可以理解的是，上述步骤对挑选出的特征切换策略执行的操作与s601至s602的操作相同，为每个特征切换策略维持一个特征切换指示，因此在次不作更多说明。
139.对于s604而言，在每个特征切换策略维持的特征切换指示与所述第一特征切换指示之间的比对情况满足设定指标的前提下，确定所述会话二元组达到所述默认要求。
140.可以理解的是，特征切换策略维持的特征切换指示与第一特征切换指示之间的比对情况，可以采用两个特征切换指示的路径差别情况表示，路径差别情况以两个特征切换指示的变换列表（变换矩阵或者映射关系列表）的加权结果得到；设定指标可以是用一个设定的第五约束信息阈值表示，比如小于第五约束信息阈值为满足设定指标；因此当每个特征切换策略维持的特征切换指示与第一特征切换指示的路径差别情况均小于第五约束信息阈值，确定所述会话二元组达到所述默认要求。
141.可以理解的是，当会话二元组不满足默认要求时，可以采用s601至s604，继续判断其他会话二元组是否达到默认要求。上述判断默认要求的过程中，对每个特征切换策略的多个结果的分析处理，可以让默认要求的判断结果更加可信，尽可能减少判断结果的扰动或者突变。
142.在另一些可能的实施例中，还可以通过调整原始的全局内容集在原始会话二元组的两个支付服务会话中的内容变换损失，改进每个支付服务会话的采集线程状态以及原始的全局内容集的分布。此外，在每一次完成目标会话的采集线程状态的确定的前提下，还可以通过调整全局内容集在所述目标会话中的内容变换损失改进所述目标会话的采集线程状态。进一步地，在每次将所述目标会话的互动行为关键内容进行全局化以生成所对应的全局内容集，以及将已处理会话的第三互动行为关键内容进行全局化以生成所对应的全局内容集的前提下，还可以通过调整每个全局内容集在每个已处理会话中的内容变换损失，改进每个已处理会话的采集线程状态以及每个全局内容集的分布。
143.可以理解的是，全局内容集的分布可以理解为全局内容集的相对位置情况，比如，以文本形式或者图形形式表达的全局内容集的段落位置或者区域位置。
144.基于上述对用于大数据风控分析的信息处理方法的描述可知，该方法可以利用支付服务会话进行行为习惯和图谱单元整合，从而完成针对信息威胁防护的预处理结果的生成，而且基于支付服务会话生成的针对信息威胁防护的预处理结果比传统的基于常规场景型互动会话生成的针对信息威胁防护的预处理结果精度更高、对多余特征的抗干扰能力更好、场景整合更丰富。
145.除此之外，在一些可独立实施的实施例中，在基于所述至少一个会话二元组及所对应的行为表达关联情况生成针对信息威胁防护的预处理结果之后，该方法还可以包括以下内容：调用预设的风控模型对所述针对信息威胁防护的预处理结果进行入侵检测，得到入侵检测结果；在所述入侵检测结果触发警示条件时，拦截与所述支付服务会话记录对应的支付服务会话请求。
146.在本技术实施例中，入侵检测结果触发警示条件可以拦截为入侵检测结果的预警值超过设定警示值，此外，与所述支付服务会话记录对应的支付服务会话请求可以拦截为与支付服务会话记录中的服务发起者对应的支付服务会话请求，比如交易请求、身份验证请求、密钥配对请求等。
147.除此之外，在一些可独立实施的实施例中，预设的风控模型也可以是神经网络模型，基于此，调用预设的风控模型对所述针对信息威胁防护的预处理结果进行入侵检测，得到入侵检测结果，可以包括以下步骤所描述的内容：将针对信息威胁防护的预处理结果输入所述预设的风控模型，获取针对所述预处理结果的威胁意图簇，所述威胁意图簇包括至少两条威胁意图；获得所述威胁意图簇中的各条威胁意图与所述预处理结果之间的意图吻合程度；根据所述各条威胁意图对应的意图吻合程度，以及所述各条威胁意图的潜在入侵倾向描述，对所述各条威胁意图进行整理，得到相应的威胁意图列表；基于所述威胁意图列表生成针对所述预处理结果的目标入侵风险信息列表，所述目标入侵风险信息列表包括至少两个目标入侵风险等级；根据所述目标入侵风险信息列表中的目标数量个目标入侵风险等级确定所述预处理结果的预警值。
148.在本技术实施例中，意图吻合程度可以理解为相关性系数，目标数量个目标入侵风险等级可以根据预处理结果的信息量确定，该信息量可以根据画像图谱的图谱单元的数量进行确定，比如图谱单元的数量为x1，则信息量为x2=f1（x1），相应的目标数量为x3=f2（x2）。如此设计，能够基于相关性系数进行威胁意图的排序，从而选择风险等级最高的若干目标入侵风险等级确定预处理结果的预警值，以提高入侵检测结果的精度。
149.除此之外，在一些可独立实施的实施例中，所述根据所述各条威胁意图对应的意图吻合程度，以及所述各条威胁意图的潜在入侵倾向描述，对所述各条威胁意图进行整理，得到相应的威胁意图列表，进一步包括：根据所述各条威胁意图对应的意图吻合程度，以及所述各条威胁意图的潜在入侵倾向描述，对所述各条威胁意图进行拆解，得到至少两个威胁意图子列表；对各个威胁意图子列表进行整理，并分别对所述各个威胁意图子列表中的各条威胁意图进行整理，得到所述威胁意图列表。如此，可以确保威胁意图列表的完整性。
150.除此之外，在一些可独立实施的实施例中，所述根据所述各条威胁意图对应的意图吻合程度，以及所述各条威胁意图的潜在入侵倾向描述，对所述各条威胁意图进行拆解，得到至少两个威胁意图子列表，进一步包括：分别根据所述各条威胁意图对应的意图吻合程度，对所述各条威胁意图的潜在入侵倾向描述进行优化，得到所述各条威胁意图的显著性倾向描述；根据所述各条威胁意图的显著性倾向描述对所述各条威胁意图进行特征分析，得到至少两个威胁意图子列表。如此，能够尽可能避免威胁意图子列表出现缺失。
151.除此之外，在一些可独立实施的实施例中，所述对各个威胁意图子列表之间进行整理，并分别对所述各个威胁意图子列表中的各条威胁意图进行整理，得到所述威胁意图列表，进一步包括：根据各个威胁意图子列表所包含的威胁意图的数目，对所述各个威胁意图子列表进行整理；以及，针对所述各个威胁意图子列表，分别执行以下操作：根据所述威胁意图子列表中各条威胁意图的潜在入侵倾向描述与所述威胁意图子列表的相关性强度，对所述威胁意图子列表中的各条威胁意图进行整理；基于所述各个威胁意图子列表之间的整理内容，以及所述各个威胁意图子列表中各条威胁意图的整理内容，生成所述威胁意图列表。如此设计，可以确保威胁意图列表在整理过程中不同的威胁意图之间不会出现混乱。
152.基于上述同样的发明构思，还提供了一种基于云计算的数据安防处理装置20，应用于数据安防服务器10，所述装置包括：获得模块21，用于获得第一事件行为记录和待检测云业务事件的视觉描述，其中，所述第一事件行为记录为数据安防服务器针对待检测云业务事件检测得到的事件行为记录；确定模块22，用于在第一风险状态内容错误或不可用的
前提下，获得第二事件行为记录，并基于所述第二事件行为记录和所述视觉描述确定所述第一风险状态内容，其中，所述第二事件行为记录为所述数据安防服务器针对所述待检测云业务事件检测得到的事件行为记录，所述第一风险状态内容为所述数据安防服务器和/或所述待检测云业务事件的风险状态内容；判断模块23，用于基于所述第一事件行为记录、所述视觉描述和所述第一风险状态内容，确定第二风险状态内容，其中，所述第二风险状态内容为所述数据安防服务器和/或所述待检测云业务事件的风险状态内容；在所述第二风险状态内容与所述第一风险状态内容满足设定的第一判断要求的前提下，展示所述第二风险状态内容；在所述第二风险状态内容与所述第一风险状态内容不满足设定的第一判断要求的前提下，确定所述第一风险状态内容不可用。
153.在本技术实施例所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
154.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
155.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，数据安防服务器10，或者网络设备等）执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器（rom，read
‑
only memory）、随机存取存储器（ram，random access memory）、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
156.以上所述仅为本技术的优选实施例而已，并不用于限制本技术，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。