(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211176717.2 (22)申请日 2022.09.26 (71)申请人 北京奇艺世纪科技有限公司 地址 100080 北京市海淀区北一 街2号鸿城 拓展大厦10、 1 1层 (72)发明人 杜杰　 (74)专利代理 机构 北京华夏泰和知识产权代理 有限公司 1 1662 专利代理师 李曼 (51)Int.Cl. G06F 11/34(2006.01) G06F 16/2455(2019.01) (54)发明名称 异常行为的识别方法、 装置、 设备及存储介 质 (57)摘要 本申请涉及一种异常行为的识别方法、 装 置、 设备及存储介质。 所述方法包括： 将终端上报 的历史属性信息写入分布式缓存后与设备标识 码进行关联映射得到映射关系， 接收终端发起的 业务请求， 判断业务请求是否携带设备标识码， 若否， 根据业务请求的当前属性信息及映射关 系， 从分布式缓存中查询业务请求关联的目标标 识码， 根据目标标识码及预设识别规则， 判断发 起业务请求的用户是否存在异常行为。 本申请通 过分布式缓存来反向查询出目标标识码， 不影 响 业务的实时链路， 再根据目标标识码及预设识别 规则， 判断发起业务请求的用户是否存在异常操 作行为， 可以实现更快地 从多维度的去分析用户 是否存在异常操作行为。 权利要求书2页 说明书10页 附图2页 CN 115481002 A 2022.12.16 CN 115481002 A 1.一种异常行为的识别方法， 其特 征在于， 所述方法包括： 获取终端上报的多个维度的历史属性信息； 将所述历史属性信息写入分布式缓存后与至少一个设备标识码进行关联映射得到映 射关系； 接收终端发起的业务请求， 判断所述业务请求是否携带设备标识码， 若否， 根据 所述业 务请求的当前属性信息及所述映射关系， 从所述分布式缓存中查询所述业务请求关联的至 少一个目标 标识码； 根据所述目标标识码及预设识别规则， 判断发起所述业务请求的用户是否存在异常行 为。 2.如权利要求1所述的异常行为的识别方法， 其特征在于， 所述将所述历史属性信 息写 入分布式缓存后与至少一个设备 标识码进行关联映射得到映射关系， 包括： 将每个维度的历史属性信息划分为核心维度的历史属性信息及非核心维度的历史属 性信息； 将所述核心维度的历史属性信息与所述非核心维度的历史属性信息分别与设备标识 码进行关联映射得到映射关系。 3.如权利要求2所述的异常行为的识别方法， 其特征在于， 所述根据所述目标标识码及 预设识别规则， 判断发起所述 业务请求的用户是否存在异常行为， 包括： 获取所述目标 标识码对应的核心维度的历史属性信息及非核心维度的历史属性信息； 根据预设识别规则分别为所述目标标识码对应的核心维度的历史属性信息及非核心 维度的历史属性信息进行评分， 得到 评分结果； 根据所述评分结果判断发起所述 业务请求的用户是否存在异常行为。 4.如权利要求3所述的异常行为的识别方法， 其特征在于， 所述根据所述评分结果判断 发起所述 业务请求的用户是否存在异常行为， 包括： 当所述评分结果的分值大于第 一阈值且小于第 二阈值时， 判断发起所述业务请求的用 户的风险等级为低风险； 当所述评分结果的分值小于或等于第 一阈值时， 判断发起所述业务请求的用户的风险 等级为无风险； 当所述评分结果的分值大于或等于第 三阈值时， 判断发起所述业务请求的用户的风险 等级为高风险； 当所述评分结果的分值大于第 二阈值且小于第 三阈值时， 判断发起所述业务请求的用 户的风险等级为中风险； 若所述用户的风险等级为无风险时， 判断所述用户不存在异常行为； 若所述用户的风险等级为高风险、 中风险或低风险时， 判断所述用户存在异常行为。 5.如权利要求1所述的异常行为的识别方法， 其特征在于， 所述获取终端上报的多个维 度的历史属性信息， 包括： 从消息队列中获取终端每隔预设时间段上报的多个维度的历史属性信息， 其中， 所述 多个维度的历史属性信息为终端通过异步消息的形式发送至所述消息队列中。 6.如权利要求1所述的异常行为的识别方法， 其特征在于， 所述判断所述业务请求是否 携带设备 标识码还 包括：权　利　要　求　书 1/2 页 2 CN 115481002 A 2当判断所述业务请求携带设备标识码时， 根据所述业务请求携带的设备标识码及预设 识别规则， 判断发起所述 业务请求的用户是否存在异常行为。 7.如权利要求1至6中任意一项所述的异常行为的识别方法， 其特征在于， 所述方法还 包括： 将所述多个维度的历史属性信息写入HIVE表中。 8.一种异常行为的识别装置， 其特 征在于， 所述装置包括： 获取模块： 用于获取终端上报的多个维度的历史属性信息； 关联模块： 用于将所述历史属性信 息写入分布式缓存后与至少一个设备标识码进行关 联映射得到映射关系； 查询模块： 用于接收终端发起的业务请求， 判断所述业务请求是否携带设备标识码， 若 否， 根据所述业务请求的当前属 性信息及所述映射关系， 从所述分布式缓存中查询所述业 务请求关联的至少一个目标 标识码； 识别模块： 用于根据所述目标标识码及预设识别规则， 判断发起所述业务请求的用户 是否存在异常行为。 9.一种电子设备， 其特征在于， 包括处理器、 通信接口、 存储器和通信总线， 其中， 处理 器， 通信接口， 存 储器通过通信总线完成相互间的通信； 存储器， 用于存放计算机程序； 处理器， 用于执行存储器上所存放的程序时， 实现权利要求1至7中任一项所述的异常 行为的识别方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现如权利要求1至7中任一项所述异常行为的识别方法的步骤。权　利　要　求　书 2/2 页 3 CN 115481002 A 3