一种基于信息安全画像推送预警信息方法及系统

技术领域

本申请涉及数据安全领域，具体涉及一种基于信息安全画像推送预警信息方法及系统。

背景技术

申请公布号为CN113489749B的发明专利申请公开了一种网络资产安全画像的生成方法、装置、设备以及存储介质，通过网络空间、社会空间、地理空间三个维度生成互联网中网络资产的画像，从第三者或黑客角度对资产进行认知，全面准确地体现资产安全性，进而提高了安全画像体现安全风险的能力，达到保护资产的目的，但是对网络资产进行安全画像的方式更适用于单位和企业的资产保护，在电信网络诈骗案件中通常是通过锁定的目标用户，针对目标用户进行诈骗，使目标用户主动将资产转移给犯罪分子，因此现有技术中难以通过目标用户的信息、行为和环境等对目标用户进行安全画像，分析出目标用户容易被诈骗诱导的情景特征，进而难以在目标用户有安全风险时及时进行推送预警信息，有效帮助目标用户识别出诈骗手段。

发明内容

本申请针对现有技术中难以通过目标用户的信息、行为等对目标用户进行安全画像，提供一种基于信息安全画像推送预警信息方法及系统，通过目标用户的信息和行为生成安全画像，进而在目标用户进行有安全风险操作时进行推送预警信息，减少电信诈骗给公众带来的损失，具体技术方案如下：

在本申请的第一方面，提供一种基于信息安全画像推送预警信息方法，包括：

设置数据库，所述数据库用于收集对比信息和对照信息；

所述对比信息包括第一信息、第二信息和第三信息，所述第一信息为目标用户的用户信息，所述第二信息为所述目标用户的用户行为，所述第三信息为所述目标用户的网络环境；将所述第一信息、所述第二信息和所述第三信息中的数据信息进行特性提取得到特征数据；

所述对照信息为收集的风险信息，所述风险信息包括有风险的电话号码、IP地址、网站地址和文本信息；

将所述安全画像中的特征数据与所述风险信息进行对比，当所述特征数据中与所述风险信息出现对比一致的情况，则记录为该所述特征数据的异常情况；

对比所有所述特征数据，所述特征数据形成所述目标用户的安全画像，并根据所述特征数据中的所述异常情况推送预警信息。

在本申请一实施例中，所述根据所述特征数据中的所述异常情况推送预警信息的步骤具体包括：

从所述第一信息中获取所述目标用户的联系方式，以及所述目标用户的第一联系人的联系方式，所述第一联系人包括所述目标用户的亲人和/或朋友；

从所述第三信息中获取所述目标用户的第二联系人的联系方式，所述第二联系人为根据获取所述目标用户所处网络环境的地理位置，再根据所述地理位置获取的当地防诈骗部门；

将所述异常情况根据风险程度由低到高分为一级风险、二级风险和三级风险，当所述异常情况处于所述一级风险，向所述目标用户的联系方式发送预警信息；当所述异常情况处于所述二级风险，在一级风险的基础上，向所述第一联系人的联系方式发送预警信息；当所述异常情况处于所述三级风险，在二级风险的基础上，向所述第二联系人的联系方式发送预警信息。

在本申请一实施例中，所述异常情况在预设的单位时间内累加，当所述特征数据中与所述风险信息出现对比一致时，确定为所述第一风险；当确定为所述第一风险后，在预设单位时间内，所述特征数据中与所述风险信息再次出现对比一致时，升为所述二级风险；当确定为所述第二风险后，在预设单位时间内，所述特征数据中与所述风险信息再次出现对比一致时，升为所述三级风险。

在本申请一实施例中，所述目标用户处于所述二级风险或所述三级风险时，在所述目标用户浏览的当前窗口发送验证窗口，并向所述第一联系人发送验证信息，所述验证窗口用于覆盖所述目标用户当前浏览窗口，所述验证信息用于关闭所述验证窗口。

在本申请一实施例中，所述用户行为包括获取所述目标用户浏览窗口中的网站、文本信息，根据所述网站、文本信息形成所述目标用户的行为足迹；

提取所述行为足迹中的特征数据，所述特征数据包括窗口中的官方网站名称、官方印章；

通过网络平台获取官方网站的网址、官方印章；

获取所述目标用户的浏览窗口中显示有官方网站名称的网址、官方印章，与对应的官方网站的网址、官方印章进行对比；

对比过程中出现所述目标用户窗口中显示有官方网站名称的网址、官方印章，与对应的官方网站的网址、官方印章不一致，则记录所述异常情况。

在本申请一实施例中，所述目标用户所处的所述网络环境中存在连接不信任网络、连接异常IP、病毒、网络挟持时，记录所述异常情况。

在本申请一实施例中，根据所述第一信息、所述第二信息和所述第三信息中记录的所述异常情况对所述安全画像进行更新，根据所述安全画像中所述第一信息、所述第二信息和所述第三信息中记录的所述异常情况对所述目标用户的风险行为进行预测，并向所述目标用户和/或所述第一联系人和/或所述第二联系人发送预测的预警信息。

在本申请一实施例中，所述根据所述安全画像中所述第一信息、所述第二信息和所述第三信息中记录的所述异常情况对所述目标用户的风险行为进行预测的步骤中，具体包括：

所述第一信息、所述第二信息和所述第三信息中出现记录的所述异常情况，则开始记录出现记录的所述异常情况的频次，所述频次为预设的单位时间内出现所述异常情况的次数，当所述异常情况的所述频次升高时，根据所述频次升高的所述特征数据，对所述目标用户的风险行为进行预测。

在本申请一实施例中，所述安全画像中包括，记录同一所述特征数据出现所述异常情况的次数，以及不同所述特征数据出现所述异常情况的时间顺序进行排序，结合多个所述目标用户的所述安全画像，得出常见的所述异常情况出现路径，并在所述特征数据出现所述异常情况时，对后续可能出现的所述异常情况路径进行监测，并将预警信息发送给所述目标用户。

在本申请的第二方面，提供一种基于信息安全画像推送预警信息系统，包括：

数据库模块：设置数据库，所述数据库用于收集对比信息和对照信息；

用户信息获取模块：所述对比信息包括第一信息、第二信息和第三信息，所述第一信息为目标用户的用户信息，所述第二信息为所述目标用户的用户行为，所述第三信息为所述目标用户的网络环境；将所述第一信息、所述第二信息和所述第三信息中的数据信息进行特性提取得到特征数据；

风险信息获取模块：所述对照信息为收集的风险信息，所述风险信息包括有风险的电话号码、IP地址、网站地址和文本信息；

特征对比模块：将所述安全画像中的特征数据与所述风险信息进行对比，当所述特征数据中与所述风险信息出现对比一致的情况，则记录为该所述特征数据的异常情况；

预警推送模块：对比所有所述特征数据，所述特征数据形成所述目标用户的安全画像，并根据所述特征数据中的所述异常情况推送预警信息。

在本申请一实施例中，所述预警推送模块中，还包括：

第一信息获取子模块：从所述第一信息中获取所述目标用户的联系方式，以及所述目标用户的第一联系人的联系方式，所述第一联系人包括所述目标用户的亲人和/或朋友；

第三信息获取子模块：从所述第三信息中获取所述目标用户的第二联系人的联系方式，所述第二联系人为根据获取所述目标用户所处网络环境的地理位置，再根据所述地理位置获取的当地防诈骗部门；

风险等级模块：将所述异常情况根据风险程度由低到高分为一级风险、二级风险和三级风险，当所述异常情况处于所述一级风险，向所述目标用户的联系方式发送预警信息；当所述异常情况处于所述二级风险，在一级风险的基础上，向所述第一联系人的联系方式发送预警信息；当所述异常情况处于所述三级风险，在二级风险的基础上，向所述第二联系人的联系方式发送预警信息。

在本申请一实施例中，所述异常情况在预设的单位时间内累加，当所述特征数据中与所述风险信息出现对比一致时，确定为所述第一风险；当确定为所述第一风险后，在预设单位时间内，所述特征数据中与所述风险信息再次出现对比一致时，升为所述二级风险；当确定为所述第二风险后，在预设单位时间内，所述特征数据中与所述风险信息再次出现对比一致时，升为所述三级风险。

在本申请一实施例中，所述风险等级模块中还包括验证子模块：

所述验证子模块在所述目标用户处于所述二级风险或所述三级风险时，在所述目标用户浏览的当前窗口发送验证窗口，并向所述第一联系人发送验证信息，所述验证窗口用于覆盖所述目标用户当前浏览窗口，所述验证信息用于关闭所述验证窗口。

在本申请一实施例中，所述用户信息获取模块中具体包括：

行为足迹子模块：所述用户行为包括获取所述目标用户浏览窗口中的网站、文本信息，根据所述网站、文本信息形成所述目标用户的行为足迹；

特征提取子模块：提取所述行为足迹中的特征数据，所述特征数据包括窗口中的官方网站名称、官方印章；

网络搜索子模块：通过网络平台获取官方网站的网址、官方印章；

对比子模块：获取所述目标用户的浏览窗口中显示有官方网站名称的网址、官方印章，与对应的官方网站的网址、官方印章进行对比；对比过程中出现所述目标用户窗口中显示有官方网站名称的网址、官方印章，与对应的官方网站的网址、官方印章不一致，则记录所述异常情况。

在本申请一实施例中，所述目标用户所处的所述网络环境中存在连接不信任网络、连接异常IP、病毒、网络挟持时，记录所述异常情况。

在本申请一实施例中，还包括预测模块：

根据所述第一信息、所述第二信息和所述第三信息中记录的所述异常情况对所述安全画像进行更新，根据所述安全画像中所述第一信息、所述第二信息和所述第三信息中记录的所述异常情况对所述目标用户的风险行为进行预测，并向所述目标用户和/或所述第一联系人和/或所述第二联系人发送预测的预警信息。

在本申请一实施例中，所述预测模块具体包括在所述第一信息、所述第二信息和所述第三信息中出现记录的所述异常情况，则开始记录出现记录的所述异常情况的频次，所述频次为预设的单位时间内出现所述异常情况的次数，当所述异常情况的所述频次升高时，根据所述频次升高的所述特征数据，对所述目标用户的风险行为进行预测。

在本申请一实施例中，所述预测模块还包括路径监控子模块：

所述路径监控子模块在所述安全画像中包括，记录同一所述特征数据出现所述异常情况的次数，以及不同所述特征数据出现所述异常情况的时间顺序进行排序，结合多个所述目标用户的所述安全画像，得出常见的所述异常情况出现路径，并在所述特征数据出现所述异常情况时，对后续可能出现的所述异常情况路径进行监测，并将预警信息发送给所述目标用户。

本申请具有以下有益效果：

1、获取所述目标用户的所述对比信息，以及为所述风险信息的所述对照信息，并分开存储在所述数据库中，将所述对比信息中的数据进行特征提取后与所述对照信息进行逐一对比，得到所述目标用户的数据是否存在与所述对照信息一致的信息，将所述特征数据进行分区排列，并显示为所述异常情况的所述特征数据，得到所述目标用户的所述安全画像，根据为所述异常情况的所述特征数据的分布，得出所述目标用户的安全薄弱区域，通过因为该区域导致的诈骗案件对所述目标用户进行预警提醒，因为预警提醒是根据所述目标用户自己的操作生成的，因此对所述目标用户有较高的可信度，有效提高所述目标用户对诈骗情景的防范，有效减少诈骗案件，以下为实际操作过程中的示例，帮助理解技术方案：所述目标用户由于浏览风险网站导致设备中毒，被窃取了个人信息，在此过程中，浏览风险网站为第二信息；设备中毒被窃取个人信息为所述第三信息，此时安全画像中则显示所述目标用户的用户行为以及网络环境存在风险，发送预警信息，提醒所述目标用户浏览安全网站，并检查网络环境以及设备是否有病毒入侵，同时向所述目标用户发送由于浏览风险网站设备中毒导致财产损失的案例；随即所述目标用户接收到多个风险号码来电，在此过程中，与风险号码通话为第一信息，此时安全画像中则显示所述目标用户的用户信息中存在风险，发送预警信息，提醒所述目标用户联系人、通话记录中可能存在诈骗人员，同时向所述目标用户发送由于诈骗人员的常用话术，以及受骗导致财产损失的案例，以上为举例说明，进一步的，所述第一信息、第二信息和第三信息还可以根据使用场景、使用用户进一步的细分，例如第二信息还可以分浏览网页信息、交流文本信息，进一步细分使安全画像的风险区域显示更精确，预警信息也可以更为细致；

2、对所述目标用户特征数据中出现的异常情况进行风险等级划分，风险等级由低到高，对应向不同联系人发送预警信息，具体的一级风险向所述目标用户自己发送预警信息，提醒目标用户注意风险操作，此时需要所述目标用户主观的停止相关风险操作，如所述目标用户主观停止相关风险操作，也就不向第一联系人或第二联系人发送预警信息，避免多次第一联系人，或增加第二联系人的工作量；达到二级风险时，在向所述目标用户发送预警信息的基础上，增加向第一联系人发送预警信息，因此由所述目标用户信任的第一联系人向所述目标用户进行警示，阻止所述目标用户进一步受骗，避免所述目标用户相信诈骗人员而导致无视预警信息的情况，如所述目标用户停止相关风险操作，则不向第二联系人发送预警信息，避免增加第二联系人的工作量；达到三级风险时，在向所述目标用户和所述第一联系人发送预警信息的基础上，增加向第二联系人发送预警信息，因此由所述目标用户所处地区具有公信力的组织对所述目标用户进行提醒，阻止所述目标用户进一步受骗，避免所述目标用户因相信诈骗人员而导致无视预警信息以及第一联系人提醒的情况；进一步的，当处于一级风险向所述目标用户发送预警信息后，在预设时间内再次发现所述目标用户的特征信息出现异常情况时，则说明所述目标用户没有看见预警信息或无视了预警信息，此时所述目标用户可能处于诈骗情景中，需要所述目标人员信任的第一联系人对所述目标人员进行联系，甚至是阻止所述目标用户继续被诈骗人员诈骗；而当处于二级风险中在预设时间内再次发现所述目标用户的特征信息出现异常情况时，则说明所述第一联系人没有成功阻止所述目标用户，则升级为三级风险，由具有公信力的组织对所述目标用户进行劝阻，例如警察局的防诈部门；对所述目标用户的风险进行等级划分，避免例如所述目标用户误点网页，也没有与诈骗人员多次交流，此时只需要对所述目标用户进行提醒，或提醒后所述目标用户不再相信诈骗人员，则无需再联系其他人，造成资源的浪费；

3、当所述目标用户处于二级风险或三级风险时，发送所述验证窗口，所述验证窗口覆盖所述目标用户当前浏览窗口，阻止所述目标用户在当前浏览窗口进一步获取信息，或者阻止所述目标用户的转账等操作，所述验证窗口仅可输入验证信息，所述验证信息则发送至第一联系人，而所述目标用户只能通过第一联系人获得验证信息关闭所述验证窗口才能继续下一步操作，避免第一联系人没有看见预警信息或无法阻止所述目标用户继续操作的情况，导致没有制止所述目标用户的转账等行为，造成财产损失；

4、考虑到诈骗情景中，诈骗人员有仿照官方网站、伪造官方文件的手法，利用所述目标人员对官方的信任诈骗所述目标人员，此种诈骗情景容易获取所述目标人员的信任，因此在本实施方式中，在提取特征时提取所述目标用户浏览的当前页面中出现的官方网站名称、官方印章，再通过网络平台获取到该官方网站名字真实的网站地址，通过对比所述目标用户浏览的当前页面的网站地址与真实的网站地址，得出所述目标用户是否在浏览仿照的官方网站，同样的提取浏览窗口中印章的消息，找到真实的官方印章进行对比，得出所述目标用户所看的文件中的印章是否为伪造；进一步的，也可以在真实的官方网站中搜索是否发布过所述目标用户浏览的文件，得出所述目标用户所看的文件是否为伪造文件，并提醒所述目标用户；进一步的，同时将该伪造的网站地址同步至对照信息中，后续则浏览时则不需要再通过网站搜索以及对比，直接通过该网站地址判定为风险网站；

5、根据特征数据中的所述异常情况对所述安全画像进行更新，通过所述安全画像得到所述目标用户的安全薄弱区域，也就是诈骗人员容易通过所述目标用户的某些特征数据对所述目标用户进行诈骗，例如，检测到所述目标用户的联系人中存在数个风险号码，因此所述目标用户的安全薄弱区域则为第一信息；如检测到所述目标用户的网络浏览记录中存在多个风险网站地址，因此所述目标用户的安全薄弱区域则为第二信息；通过分析出所述目标用户的安全薄弱区，可以针对性的对所述目标用户进行提醒，在没有处于诈骗情景中提前提高所述目标用户的防骗意识；

6、所述目标用户如被诈骗，则在诈骗场景中大多会有一个与诈骗人员联系频次升高的过程，因此在本实施方式中，设定出出现异常情况时开始记录异常情况出现的频次，当单位时间内异常情况未出现频次升高，则说明目标用户没有陷入诈骗场景中，而当单位时间内异常情况出现频次升高，则说明目标用户可能陷入了诈骗场景中，此时对所述目标用户风险行为的预测，用于提醒所述目标用户；

7、通过记录同一所述特征数据出现所述异常情况的次数，以及不同所述特征数据出现所述异常情况的时间顺序进行排序，同一所述特征数据可能出现多次异常，得到当前诈骗场景中所述异常情况的出现的顺序，结合多个所述目标用户以及多个诈骗场景，得出多种诈骗场景中异常情况的出现顺序，当所述目标用户的特征数据出现异常时，分析出所述目标用户可能处于的诈骗情景的阶段，并对后续的诈骗场景进行预测，将预测的后续场景发送给所述目标用户，当所述目标用户发现后续场景符合预警信息中预测的场景时，则更容易使目标用户相信自己正处于诈骗场景中，从而从诈骗场景中脱离，避免财产受到损失。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

图1为本申请实施例涉及的硬件运行环境的电子设备结构示意图。

图2为本申请实施例涉及的系统架构示意图。

图3是本申请实施例提供的一种基于信息安全画像推送预警信息方法的步骤流程图。

图4是本申请实施例提供的不同指标类型分至不同的评价赋值区的效果示意图。

图5是本申请实施例提供的一种基于信息安全画像推送预警信息系统的功能模块示意图。

实施方式

为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本申请作进一步详细的说明。显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

下面结合附图对本申请的方案进一步说明。

参照图1，图1为本申请实施例方案涉及的硬件运行环境的电子设备结构示意图。

如图1所示，该电子设备可以包括：处理器1001，例如中央处理器（CentralProcessing Unit，CPU），通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏（Display）、输入单元比如键盘（Keyboard），可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口（如无线保真（WIreless-FIdelity，WI-FI）接口）。存储器1005可以是高速的随机存取存储器（RandomAccess Memory，RAM）存储器，也可以是稳定的非易失性存储器（Non-Volatile Memory，NVM），例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解，图1中示出的结构并不构成对电子设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及电子程序。

在图1所示的电子设备中，网络接口1004主要用于与网络服务器进行数据通信；用户接口1003主要用于与用户进行数据交互；本发明电子设备中的处理器1001、存储器1005可以设置在电子设备中，电子设备通过处理器1001调用存储器1005中存储的一种基于信息安全画像推送预警信息方法，并执行本申请实施例提供的一种基于信息安全画像推送预警信息方法。

参照图2，示出了本申请实施例的系统架构示意图。如图1所示，该系统架构可以包括第一设备201、第二设备202、第三设备203、第四设备204和网络205。其中，网络205用以在第一设备201、第二设备202、第三设备203和第四设备204之间提供通信链路的介质。网络205可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

在本实施方式中，第一设备201、第二设备202、第三设备203和第四设备204可以是支持网络连接从而提供各种网络服务的硬件设备或软件。当设备为硬件时，其可以是各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机、台式计算机和服务器等等。这时，作为硬件设备，其可以实现成多个设备组成的分布式设备群，也可以实现成单个设备。当设备为软件时，可以安装在上述所列举的设备中。这时，作为软件，其可以实现成例如用来提供分布式服务的多个软件或软件模块，也可以实现成单个软件或软件模块。在此不做具体限定。

在具体实现中，设备可以通过安装相应的客户端应用或服务端应用来提供相应的网络服务。设备在安装了客户端应用之后，其可以在网络通信中体现为客户端。相应地，在安装了服务端应用之后，其可以在网络通信中体现为服务端。

作为示例，在图2中，第一设备201体现为服务端，第二设备202、第三设备203和第四设备204体现为客户端。具体地，第二设备202、第三设备203和第四设备204可以是安装有信息浏览类应用的客户端，第一设备201可以是信息浏览类应用的后台服务器。需要说明的是，本申请实施例所提供的一种基于信息安全画像推送预警信息方法可以由第一设备201、第二设备202、第三设备203和第四设备204执行。

应该理解，图2中的网络和设备的数目仅仅是示意性的。根据实现需要，可以具有任意数目的网络和设备。

参照图3，基于前述硬件运行环境，在本申请提供一种基于信息安全画像推送预警信息方法，包括：

设置数据库，所述数据库用于收集对比信息和对照信息；

需要说明的是，所述数据库可视为电子化的文件柜，也就是存储电子文件的处所，可以根据预设程序对文件中的数据进行新增、截取、更新、删除等操作，在本申请中，所述数据库根据不同定义将不同类别的信息数据进行分别存储，也可以说所述数据库中还包括了两个小数据库，一个中存储所述对比信息，另一个存储所述对照信息，进一步的，所述小数据库还可以进行更小程度划分，使收集来的所有数据有序的存储在所述数据库中，有效节省寻找数据的时间；

所述对比信息包括第一信息、第二信息和第三信息，所述第一信息为目标用户的用户信息，所述第二信息为所述目标用户的用户行为，所述第三信息为所述目标用户的网络环境；将所述第一信息、所述第二信息和所述第三信息中的数据信息进行特性提取得到特征数据；

需要说明的是，所述第一信息为目标用户的用户信息，其中所述用户信息包括多种信息，例如目标用户、目标用户亲人和/或朋友、目标用户最近通话的联系方式，还包括用户年龄等信息，其中目标用户、目标用户亲人和/或朋友的联系方式可以手动设置，添加信任的亲人和/或朋友的联系方式，在目标用户在可能受到诈骗时，更有效的对目标用户进行劝阻；同时，所述目标用户可以是具有数据交互功能的通讯工具，例如手机、iPad等，也可以通指某用户的所有通讯工具；

所述对照信息为收集的风险信息，所述风险信息包括有风险的电话号码、IP地址、网站地址和文本信息；

需要说明的是，所述对照信息通过网络收集得来的风险信息，通过网络对自身数据库中信息进行更新，例如添加新网站地址、删除被注销的网站地址；

将所述安全画像中的特征数据与所述风险信息进行对比，当所述特征数据中与所述风险信息出现对比一致的情况，则记录为该所述特征数据的异常情况；

对比所有所述特征数据，所述特征数据形成所述目标用户的安全画像，并根据所述特征数据中的所述异常情况推送预警信息。

需要说明的是，记录为该所述特征数据的异常情况，也就是所述目标用户的特征数据中存在于所述风险信息相同的信息，例如所述目标用户浏览了钓鱼网站、与诈骗号码通了电话以及信息文本中出现了诈骗敏感词，此时所述目标用户可能处于诈骗情景中，对比所述目标用户的全部所述特征数据，将同处于所述第一信息或第二信息或第三信息的所述特征数据放置在同一区域，同时根据特征数据的相关性、使用场景，相关性较高的所述特征数据放置得较近，得到最终的所述安全画像，所述安全画像中包括了提取的特征数据，同时显示出现所述异常情况的所述特征数据，观察所述安全画像中所述异常情况的所述特征数据的分布，也就可以显示出所述目标用户的所述安全画像中较为薄弱的区域，可以针对性对这区域的诈骗行为对所述目标用户进行预警；

在本实施方式中，首先获取所述目标用户的所述对比信息，以及为所述风险信息的所述对照信息，并分开存储在所述数据库中，将所述对比信息中的数据进行特征提取后与所述对照信息进行逐一对比，得到所述目标用户的数据是否存在与所述对照信息一致的信息，将所述特征数据进行分区排列，并显示为所述异常情况的所述特征数据，得到所述目标用户的所述安全画像，根据为所述异常情况的所述特征数据的分布，得出所述目标用户的安全薄弱区域，通过因为该区域导致的诈骗案件对所述目标用户进行预警提醒，因为预警提醒是根据所述目标用户自己的操作生成的，因此对所述目标用户有较高的可信度，有效提高所述目标用户对诈骗情景的防范，有效减少诈骗案件，参见图4所示，所述对比信息中包括第一信息、第二信息和第三信息，每种信息中又包括了多种特征数据，所述对比信息与所述对照信息中的若干风险信息对比，发现第二信息中的特征数据4与所述对照信息中的风险信息一致，因此形成的安全画像中，特征数据3进行突出显示，所属于的第二信息也进行突出显示，说明第二信息区域中有安全风险，以下为实际操作过程中的示例，帮助理解技术方案：所述目标用户由于浏览风险网站导致设备中毒，被窃取了个人信息，在此过程中，浏览风险网站为第二信息；设备中毒被窃取个人信息为所述第三信息，此时安全画像中则显示所述目标用户的用户行为以及网络环境存在风险，发送预警信息，提醒所述目标用户浏览安全网站，并检查网络环境以及设备是否有病毒入侵，同时向所述目标用户发送由于浏览风险网站设备中毒导致财产损失的案例；随即所述目标用户接收到多个风险号码来电，在此过程中，与风险号码通话为第一信息，此时安全画像中则显示所述目标用户的用户信息中存在风险，发送预警信息，提醒所述目标用户联系人、通话记录中可能存在诈骗人员，同时向所述目标用户发送由于诈骗人员的常用话术，以及受骗导致财产损失的案例，以上为举例说明，进一步的，所述第一信息、第二信息和第三信息还可以根据使用场景、使用用户进一步的细分，例如第二信息还可以分浏览网页信息、交流文本信息，进一步细分使安全画像的风险区域显示更精确，预警信息也可以更为细致。

在本申请一实施例中，所述根据所述特征数据中的所述异常情况推送预警信息的步骤具体包括：

从所述第一信息中获取所述目标用户的联系方式，以及所述目标用户的第一联系人的联系方式，所述第一联系人包括所述目标用户的亲人和/或朋友；

从所述第三信息中获取所述目标用户的第二联系人的联系方式，所述第二联系人为根据获取所述目标用户所处网络环境的地理位置，再根据所述地理位置获取的当地防诈骗部门；

需要说明的是，根据所述目标用户的第三信息，根据数据交互时会留下的地理位置，搜索该地理位置的防诈骗部门，如当地警局没有设立防诈骗部门或没有搜寻到联系方式，则直接联系警局，通过所处网络环境的地理位置，再根据所述地理位置获取的当地防诈骗部门，可以快速反应，在紧急情况下可以较快的找到所述目标用户，阻止所述目标用户与诈骗人员的联系；

将所述异常情况根据风险程度由低到高分为一级风险、二级风险和三级风险，当所述异常情况处于所述一级风险，向所述目标用户的联系方式发送预警信息；当所述异常情况处于所述二级风险，在一级风险的基础上，向所述第一联系人的联系方式发送预警信息；当所述异常情况处于所述三级风险，在二级风险的基础上，向所述第二联系人的联系方式发送预警信息。

在本申请一实施例中，所述异常情况在预设的单位时间内累加，当所述特征数据中与所述风险信息出现对比一致时，确定为所述第一风险；当确定为所述第一风险后，在预设单位时间内，所述特征数据中与所述风险信息再次出现对比一致时，升为所述二级风险；当确定为所述第二风险后，在预设单位时间内，所述特征数据中与所述风险信息再次出现对比一致时，升为所述三级风险。

在本实施方式中，对所述目标用户特征数据中出现的异常情况进行风险等级划分，风险等级由低到高，对应向不同联系人发送预警信息，具体的一级风险向所述目标用户自己发送预警信息，提醒目标用户注意风险操作，此时需要所述目标用户主观的停止相关风险操作，如所述目标用户主观停止相关风险操作，也就不向第一联系人或第二联系人发送预警信息，避免多次第一联系人，或增加第二联系人的工作量；达到二级风险时，在向所述目标用户发送预警信息的基础上，增加向第一联系人发送预警信息，因此由所述目标用户信任的第一联系人向所述目标用户进行警示，阻止所述目标用户进一步受骗，避免所述目标用户相信诈骗人员而导致无视预警信息的情况，如所述目标用户停止相关风险操作，则不向第二联系人发送预警信息，避免增加第二联系人的工作量；达到三级风险时，在向所述目标用户和所述第一联系人发送预警信息的基础上，增加向第二联系人发送预警信息，因此由所述目标用户所处地区具有公信力的组织对所述目标用户进行提醒，阻止所述目标用户进一步受骗，避免所述目标用户因相信诈骗人员而导致无视预警信息以及第一联系人提醒的情况；进一步的，当处于一级风险向所述目标用户发送预警信息后，在预设时间内再次发现所述目标用户的特征信息出现异常情况时，则说明所述目标用户没有看见预警信息或无视了预警信息，此时所述目标用户可能处于诈骗情景中，需要所述目标人员信任的第一联系人对所述目标人员进行联系，甚至是阻止所述目标用户继续被诈骗人员诈骗；而当处于二级风险中在预设时间内再次发现所述目标用户的特征信息出现异常情况时，则说明所述第一联系人没有成功阻止所述目标用户，则升级为三级风险，由具有公信力的组织对所述目标用户进行劝阻，例如警察局的防诈部门；对所述目标用户的风险进行等级划分，避免例如所述目标用户误点网页，也没有与诈骗人员多次交流，此时只需要对所述目标用户进行提醒，或提醒后所述目标用户不再相信诈骗人员，则无需再联系其他人，造成资源的浪费。

在本申请一实施例中，所述目标用户处于所述二级风险或所述三级风险时，在所述目标用户浏览的当前窗口发送验证窗口，并向所述第一联系人发送验证信息，所述验证窗口用于覆盖所述目标用户当前浏览窗口，所述验证信息用于关闭所述验证窗口。

需要说明的是，当所述目标用户处于二级风险或三级风险时，则说明所述目标用户无视或没有看见预警信息，也就是说可能陷入了诈骗情景中，此时第一联系人或第二联系人对所述目标用户的劝告可能也需要时间，而这段时间所述目标用户可以就已经被诈骗了钱财，因此需要一个紧急停止功能，覆盖所述目标用户当前浏览页面，阻止诈骗进一步发展，甚至覆盖转账页面，在最后一步避免钱财损失；

在本实施方式中，当所述目标用户处于二级风险或三级风险时，发送所述验证窗口，所述验证窗口覆盖所述目标用户当前浏览窗口，阻止所述目标用户在当前浏览窗口进一步获取信息，或者阻止所述目标用户的转账等操作，所述验证窗口仅可输入验证信息，所述验证信息则发送至第一联系人，而所述目标用户只能通过第一联系人获得验证信息关闭所述验证窗口才能继续下一步操作，避免第一联系人没有看见预警信息或无法阻止所述目标用户继续操作的情况，导致没有制止所述目标用户的转账等行为，造成财产损失。

在本申请一实施例中，所述用户行为包括获取所述目标用户浏览窗口中的网站、文本信息，根据所述网站、文本信息形成所述目标用户的行为足迹；

提取所述行为足迹中的特征数据，所述特征数据包括窗口中的官方网站名称、官方印章；

通过网络平台获取官方网站的网址、官方印章；

获取所述目标用户的浏览窗口中显示有官方网站名称的网址、官方印章，与对应的官方网站的网址、官方印章进行对比；

对比过程中出现所述目标用户窗口中显示有官方网站名称的网址、官方印章，与对应的官方网站的网址、官方印章不一致，则记录所述异常情况。

在本实施方式中，考虑到诈骗情景中，诈骗人员有仿照官方网站、伪造官方文件的手法，利用所述目标人员对官方的信任诈骗所述目标人员，此种诈骗情景容易获取所述目标人员的信任，因此在本实施方式中，在提取特征时提取所述目标用户浏览的当前页面中出现的官方网站名称、官方印章，再通过网络平台获取到该官方网站名字真实的网站地址，通过对比所述目标用户浏览的当前页面的网站地址与真实的网站地址，得出所述目标用户是否在浏览仿照的官方网站，同样的提取浏览窗口中印章的消息，找到真实的官方印章进行对比，得出所述目标用户所看的文件中的印章是否为伪造；进一步的，也可以在真实的官方网站中搜索是否发布过所述目标用户浏览的文件，得出所述目标用户所看的文件是否为伪造文件，并提醒所述目标用户；进一步的，同时将该伪造的网站地址同步至对照信息中，后续则浏览时则不需要再通过网站搜索以及对比，直接通过该网站地址判定为风险网站。

在本申请一实施例中，所述目标用户所处的所述网络环境中存在连接不信任网络、连接异常IP、病毒、网络挟持时，记录所述异常情况。

需要说明的是，所述网络劫持为异常的修改、获取所述目标用户的数据，诈骗情景中，诈骗人员让所述目标用户下载软件，而这些软件中可能携带病毒，使所述目标用户的数据被诈骗人员获得。

在本申请一实施例中，根据所述第一信息、所述第二信息和所述第三信息中记录的所述异常情况对所述安全画像进行更新，根据所述安全画像中所述第一信息、所述第二信息和所述第三信息中记录的所述异常情况对所述目标用户的风险行为进行预测，并向所述目标用户和/或所述第一联系人和/或所述第二联系人发送预测的预警信息。

在本实施方式中，根据特征数据中的所述异常情况对所述安全画像进行更新，通过所述安全画像得到所述目标用户的安全薄弱区域，也就是诈骗人员容易通过所述目标用户的某些特征数据对所述目标用户进行诈骗，例如，检测到所述目标用户的联系人中存在数个风险号码，因此所述目标用户的安全薄弱区域则为第一信息；如检测到所述目标用户的网络浏览记录中存在多个风险网站地址，因此所述目标用户的安全薄弱区域则为第二信息；通过分析出所述目标用户的安全薄弱区，可以针对性的对所述目标用户进行提醒，在没有处于诈骗情景中提前提高所述目标用户的防骗意识。

在本申请一实施例中，所述根据所述安全画像中所述第一信息、所述第二信息和所述第三信息中记录的所述异常情况对所述目标用户的风险行为进行预测的步骤中，具体包括：

所述第一信息、所述第二信息和所述第三信息中出现记录的所述异常情况，则开始记录出现记录的所述异常情况的频次，所述频次为预设的单位时间内出现所述异常情况的次数，当所述异常情况的所述频次升高时，根据所述频次升高的所述特征数据，对所述目标用户的风险行为进行预测。

所述目标用户如被诈骗，则在诈骗场景中大多会有一个与诈骗人员联系频次升高的过程，因此在本实施方式中，设定出出现异常情况时开始记录异常情况出现的频次，当单位时间内异常情况未出现频次升高，则说明目标用户没有陷入诈骗场景中，而当单位时间内异常情况出现频次升高，则说明目标用户可能陷入了诈骗场景中，此时对所述目标用户风险行为的预测，用于提醒所述目标用户。

在本申请一实施例中，所述安全画像中包括，记录同一所述特征数据出现所述异常情况的次数，以及不同所述特征数据出现所述异常情况的时间顺序进行排序，结合多个所述目标用户的所述安全画像，得出常见的所述异常情况出现路径，并在所述特征数据出现所述异常情况时，对后续可能出现的所述异常情况路径进行监测，并将预警信息发送给所述目标用户。

在本实施方式中，通过记录同一所述特征数据出现所述异常情况的次数，以及不同所述特征数据出现所述异常情况的时间顺序进行排序，同一所述特征数据可能出现多次异常，得到当前诈骗场景中所述异常情况的出现的顺序，结合多个所述目标用户以及多个诈骗场景，得出多种诈骗场景中异常情况的出现顺序，当所述目标用户的特征数据出现异常时，分析出所述目标用户可能处于的诈骗情景的阶段，并对后续的诈骗场景进行预测，将预测的后续场景发送给所述目标用户，当所述目标用户发现后续场景符合预警信息中预测的场景时，则更容易使目标用户相信自己正处于诈骗场景中，从而从诈骗场景中脱离出来，避免财产受到损失。

在本申请的第二方面，参见图5所示，提供一种基于信息安全画像推送预警信息系统，包括：

数据库模块：设置数据库，所述数据库用于收集对比信息和对照信息；

用户信息获取模块：所述对比信息包括第一信息、第二信息和第三信息，所述第一信息为目标用户的用户信息，所述第二信息为所述目标用户的用户行为，所述第三信息为所述目标用户的网络环境；将所述第一信息、所述第二信息和所述第三信息中的数据信息进行特性提取得到特征数据；

风险信息获取模块：所述对照信息为收集的风险信息，所述风险信息包括有风险的电话号码、IP地址、网站地址和文本信息；

特征对比模块：将所述安全画像中的特征数据与所述风险信息进行对比，当所述特征数据中与所述风险信息出现对比一致的情况，则记录为该所述特征数据的异常情况；

预警推送模块：对比所有所述特征数据，所述特征数据形成所述目标用户的安全画像，并根据所述特征数据中的所述异常情况推送预警信息。

在本申请一实施例中，所述预警推送模块中，还包括：

第一信息获取子模块：从所述第一信息中获取所述目标用户的联系方式，以及所述目标用户的第一联系人的联系方式，所述第一联系人包括所述目标用户的亲人和/或朋友；

第三信息获取子模块：从所述第三信息中获取所述目标用户的第二联系人的联系方式，所述第二联系人为根据获取所述目标用户所处网络环境的地理位置，再根据所述地理位置获取的当地防诈骗部门；

风险等级模块：将所述异常情况根据风险程度由低到高分为一级风险、二级风险和三级风险，当所述异常情况处于所述一级风险，向所述目标用户的联系方式发送预警信息；当所述异常情况处于所述二级风险，在一级风险的基础上，向所述第一联系人的联系方式发送预警信息；当所述异常情况处于所述三级风险，在二级风险的基础上，向所述第二联系人的联系方式发送预警信息。

在本申请一实施例中，所述异常情况在预设的单位时间内累加，当所述特征数据中与所述风险信息出现对比一致时，确定为所述第一风险；当确定为所述第一风险后，在预设单位时间内，所述特征数据中与所述风险信息再次出现对比一致时，升为所述二级风险；当确定为所述第二风险后，在预设单位时间内，所述特征数据中与所述风险信息再次出现对比一致时，升为所述三级风险。

在本申请一实施例中，所述风险等级模块中还包括验证子模块：

所述验证子模块在所述目标用户处于所述二级风险或所述三级风险时，在所述目标用户浏览的当前窗口发送验证窗口，并向所述第一联系人发送验证信息，所述验证窗口用于覆盖所述目标用户当前浏览窗口，所述验证信息用于关闭所述验证窗口。

在本申请一实施例中，所述用户信息获取模块中具体包括：

行为足迹子模块：所述用户行为包括获取所述目标用户浏览窗口中的网站、文本信息，根据所述网站、文本信息形成所述目标用户的行为足迹；

特征提取子模块：提取所述行为足迹中的特征数据，所述特征数据包括窗口中的官方网站名称、官方印章；

网络搜索子模块：通过网络平台获取官方网站的网址、官方印章；

对比子模块：获取所述目标用户的浏览窗口中显示有官方网站名称的网址、官方印章，与对应的官方网站的网址、官方印章进行对比；对比过程中出现所述目标用户窗口中显示有官方网站名称的网址、官方印章，与对应的官方网站的网址、官方印章不一致，则记录所述异常情况。

在本申请一实施例中，所述目标用户所处的所述网络环境中存在连接不信任网络、连接异常IP、病毒、网络挟持时，记录所述异常情况。

在本申请一实施例中，还包括预测模块：

根据所述第一信息、所述第二信息和所述第三信息中记录的所述异常情况对所述安全画像进行更新，根据所述安全画像中所述第一信息、所述第二信息和所述第三信息中记录的所述异常情况对所述目标用户的风险行为进行预测，并向所述目标用户和/或所述第一联系人和/或所述第二联系人发送预测的预警信息。

在本申请一实施例中，所述预测模块具体包括在所述第一信息、所述第二信息和所述第三信息中出现记录的所述异常情况，则开始记录出现记录的所述异常情况的频次，所述频次为预设的单位时间内出现所述异常情况的次数，当所述异常情况的所述频次升高时，根据所述频次升高的所述特征数据，对所述目标用户的风险行为进行预测。

在本申请一实施例中，所述预测模块还包括路径监控子模块：

所述路径监控子模块在所述安全画像中包括，记录同一所述特征数据出现所述异常情况的次数，以及不同所述特征数据出现所述异常情况的时间顺序进行排序，结合多个所述目标用户的所述安全画像，得出常见的所述异常情况出现路径，并在所述特征数据出现所述异常情况时，对后续可能出现的所述异常情况路径进行监测，并将预警信息发送给所述目标用户。

需要说明的是，本申请实施例的一种基于信息安全画像推送预警信息系统的具体实施方式参照前述本申请实施例第一方面提出的一种基于信息安全画像推送预警信息方法的具体实施方式，在此不再赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括要素的物品或者设备中还存在另外的相同要素。

以上对所提供的一种基于信息安全画像推送预警信息方法，进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的一种基于信息安全画像推送预警信息方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上，本说明书内容不应理解为对本申请的限制。