Python的NLP实战分享 如何实现合同风险预测模型？ GVA TECH Co., Ltd 藤井美娜 自我介绍 2% |# | self-introduction • Machine Learning Engineer / Data Scientist • GVA TECH的人工智能法律服务AI-CON的多语言系统 开发负责人 inazo18 藤井美娜 目录 CONTENTS CONTENTS 1. Python NLP 入门 2. 多语言NLP攻略 3.“合同风险预测模型”实战经验分享 4. 总结 5% |### | today’s topic 1 Python NLP 入门 简单介绍自然语言处理的流程和使用corpus的EDA方法。 8% |##### | section1 NLP基础 11% |######### | section1 收集语料 前处理 施事者和受事者都会有助词标记， 可以根据助词推测句法结构。 | section2 3“合同风险预测模型” 实战经验分享 64% |################################################################## | section3 什么叫“合同风险预测”？ 68% |###################################

Python的NLP实战分享 如何实现合同风险预测模型？ GVA TECH Co., Ltd 藤井美娜 自我介绍 2% |# | self-introduction • Machine Learning Engineer / Data Scientist • GVA TECH的人工智能法律服务AI-CON的多语言系统 开发负责人 inazo18 藤井美娜 目录 CONTENTS CONTENTS 1. Python NLP 入门 2. 多语言NLP攻略 3.“合同风险预测模型”实战经验分享 4. 总结 5% |### | today’s topic 1 Python NLP 入门 简单介绍自然语言处理的流程和使用corpus的EDA方法。 8% |##### | section1 NLP基础 11% |####### | section1 收集语料 前处理 分词 施事者和受事者都会有助词标记， 可以根据助词推测句法结构。 | section2 3“合同风险预测模型” 实战经验分享 64% |################################################################## | section3 什么叫“合同风险预测”？ 68% |###################################

应用流量占整个TCP 流量的81.1% q B/S居统治地位：网上银行、电子商务、电子政务、证劵、 手机上网 3 1.2.安全威胁 1.2.安全威胁 n SANS年发布的全球20大安全风险排行榜上，Web应 用安全漏洞名列前茅，攻击者利用最多的漏洞是SQL 注入及跨站脚本 n 根据国家计算机网络应急技术处理协调中心(简称 CNCERT/CC)上半年的工作报告显示，网站漏洞百出， Power Injecto 、SQLNinja q ASP、JSP注入：NBSI3.0、啊d注入工具、小明王注入工具等 q PHP注入：穿山甲、海阳顶端 21 SQL注入DEMO 风险 n 数据表中的数据外泄，例如个人机密数据，帐户数据，密码 n 数据结构被黑客获取，得以做进一步攻击（例如SELECT * FROM sys.tables） n 数据库服务器攻击，系统管理员帐户篡改（例如ALTER 取用户的cookie等个人数据、将用户导向恶意网站 等等 27 原理 28 n反射型XSS 原理 29 n 存储型XSS 留言板 拍卖网站的商品资料介绍 博客自我介绍 使用者自行输入部分 …… 跨站脚本DEMO 风险 n 盗取各类用户帐号，如网银、管理员等帐号 n 欺骗浏览器访问钓鱼网站，以骗取账号密码等 个人信息 n 将使用者浏览器导向恶意网站，向使用者计算 机下载并安装恶意后门程序 防护方法

2022年美团技术年货 运维 / 安全 1277 数字化新业态下数据安全创新——Token 化 1277 Linux 中基于 eBPF 的恶意利用与检测机制 1293 如何应对开源组件风险？软件成分安全分析（SCA）能力的建设与演进 1328 算法 < 1 YOLOv6：又快又准的目标检测框架开源啦 作者：楚怡 凯衡 等 1. 概述 YOLOv6 是美团视觉智能部研发的一款目标检测框架，致力于工业应用。本框架 型的上线流程繁琐，包括模型结构的分离、转换 & 验证以及发布依赖大量的人工操 作，跟多个内部平台的流转、对接；另外特征迭代效率低下，需要客户端协同开发相 应的特征加工逻辑，存在较大的逻辑一致性风险，而且还会存在分端的实现差异等 问题。 基于此，美团的前后端工程合力推进开发、设计了一套适配客户端的 Augur 特征处 理框架，将端上的模型发布和特征处理与一站式实验平台（Poker）、统一预估框架 预计未来十到二十年内，人工智能会在很多风险敏感性的领域得到更加广泛的应用， 包括医疗、司法、生产、金融科技等等。之前，人工智能大部分是应用在互联网之 上，而互联网是一个风险不敏感的领域，不过随着这两年各种法律法规的出台，让各 大互联网平台处在了「风口浪尖」，越来越多的人开始看到互联网中各种潜在的风险， 并且还面临着被宏观政策调控的风险。因此，从这个层面上来讲，人工智能技术所带 来的风险亟待被关注。 对人

app_id / id / name / version / path / ancestor / parent_id / … 本次构建的风险依赖 ‣ 维护风险依赖数据库 ‣ 遍历拍平依赖，拿出包名与版本号 ‣ 匹配风险依赖数据库 包名 安装版本 漏洞名称 风险等级 影响版本范围 package1 1.4.5 XSS High ^1.0.0 package2 3.6.7 CSRF Medium 应用基线之依赖搜索 flatmap-stream ~0.1.0 更多应用基线 ‣ 应用的 Node.js / 框架版本（可出大盘） ‣ 直接依赖的新旧 ‣ 依赖树内的搜索 ‣ 应用的风险依赖巡检 + ?邮件通知 4 启动数据 我要关心启动时的哪些数据？以 Egg.js 为例。 最终的脱敏配置信息 Egg.js 启动时最终合并出来的 config 信息 ‣ ./run/application_config 代码质量 ‣ 应用稳定性 ‣ 页面加载时长 ‣ 可用时长 ‣ apm ‣ … ‣ 基线健康度 ‣ 框架视角：Node.js 版本 / 框架版本等先进性内容 ‣ 依赖视角：有风险的、落后的依赖等 ‣ … ‣ 构建部署质量 ‣ 构建：成功率、时长、产物大小等 ‣ 部署启动：成功率、时长等 ‣ … ‣ 代码质量 ‣ CI 覆盖率 ‣ 代码安全扫描

user.balance >= product.price: user.balance -= product.price ? 目录 CONTENTS 常见不安全代码 代码检查的工具 总结：如何规避风险 常见不安全代码 小心 eval 应对： 在生产环境中，任何情况下都不要使用eval。 import sys def run(s): try: v = eval(s) except Exception 使用较新版本的Python3。Python2中可改用raw_input。 小心类型溢出 应对： 使用较新版本的Python3，而不使用发行版OS自带的旧版Python。 捕获并处理溢出错误，可以减少风险。在重要的位置做好防御式 编程，检查好入参的类型与合法的上下限。 >>> range(100**100) Traceback (most recent call last): File "" 依赖包 不要以为 Star 多的包就不存在漏洞； 更不要以为 PyPI 源中的包就不存在恶意代码； 不要以为你import的就是你实际要import的*； 每个 PyPI 包都可能存在前述所有风险点， 有的甚至是故意、恶意为之。 应对： 谨慎选择第三方 PyPI 包，尽量少导入 PyPI 包； 利用 https://pyup.io/ 等服务保持检查和更新依赖； 利用 Chef InSpect

先水平。” 以终为始，以行为知，这一项目从图计算所面临的挑战出发，解决了大规模图数据所产生 的建模能力不足、结构知识难用、巨量数据难算等技术挑战，实现了大规模复杂异质图数 据的表示学习模型、语义推荐和风险管理关键技术，构建了完整的兼具理论指导与应用检 验的大规模图数据智能分析系统与平台，满足了大数据时代从复杂异质图数据中进行知识 发现的重要需求。最终获得国内外授权发明专利 43 项， CCF -A 复杂、潜在关系推导和挖掘  为已有的分析模型增加“关系特征”维 度 客户贡献度 客户信用分 客户忠诚度 客户欺诈分 客户风险度 违约概率 客户资质 … 集团关系 社群关系 欺诈团伙 担保关系 资金圈 / 链 …  设别出带有某种共同特征 的企业或个人群体 舆情传导 营销传导 风险传导 …  计算某个事件在关联的企业、个人 之间的传递过程和传递概率 图深度学习及其应用场景 图嵌入 •

置要将全部实例重启，不仅增加了系统的不稳定性，也提高了维护的成本。 那么如何能够做到服务不重启就可以修改配置？所有就产生了四个基础诉求：  需要支持动态修改配置  需要动态变更有多实时  变更快了之后如何管控控制变更风险，如灰度、回滚等  敏感配置如何做安全配置 Nacos 架构 < 22 概念介绍 配置(Configuration) 在系统开发过程中通常会将⼀些需要变更的参数、变量等从代码中分离出来独立管理，以独立的配 的设计中，用户扩展是比较审慎的。因为用户扩展 代码的引入，可能会影响原有 Server 服务的可用性，同时如果出问题，排查的难度也是比较大的。 设计良好的 SPI 是可能的，但是由此带来的稳定性和运维的风险是需要仔细考虑的。在开源软件中， 往往通过直接贡献代码的方式来实现用户扩展，好的扩展会被很多人不停的更新和维护，这也是⼀ 种比较好的开发模式。Zookeeper 和 Eureka 目前 Server 对失败设计，沉淀了非常多的经验。 全局高可用 Nacos 部署架构上是单 Region 封闭，Region 间独立，跨 Region 通过网关或者 Nacos-sync 完 成服务互通。从而降低 Region 间网络故障风险。 当然用户也可以跨 Region 组 Nacos 集群，但是这样会带来服务跨 Region 互调，真正发生网络 故障的时候，无法控制业务影响。 因此不推荐此模式。 101 > Nacos 架构

变已有商业系统的开发语言、接入协议的情况下，实现跨机构、跨平台的事件通知与处理。 • 跨链协作方案WeCross：支持跨链事务交易，满足跨链交易的原子性，对跨链进行治理，可支持多 方协作管理，避免单点风险。 • 场景式隐私保护解决方案WeDPR：针对隐匿支付、匿名投票、匿名竞拍和选择性披露等应用方 案，提供即时可用场景式隐私保护高效解决方案，助力各行业合法合规地探索数据相关业务。 • 区块链数据 的参与节点上（轻节点之外），导致的结果是数据膨胀，容量紧张，尤其是在承载海量服务的场景里， 在一定时间之后，一般的存储方案已经无法容纳数据，而海量存储成本很高，另一个角度是安全性，全 量数据永久保存，可能面临历史数据泄露的风险，所以需要在数据治理方面进行设计。 62 Chapter 5. 关键概念 FISCO BCOS Documentation, 发布 v2.9.0 数据治理主要是几个策略：裁剪迁移，平行扩容，分布式存储。如何选择需要结合场景分析。 标签：SDK访问控制 SDK白名单 SDK白配置 FISCO BCOS 2.0开始支持多群组，但没有控制SDK对多群组的访问权限，SDK只要可以与节点建立连 接，就可以访问节点的所有群组，会带来安全风险。 FISCO BCOS v2.6.0引入了群组级别的SDK白名单机制，控制SDK对群组的访问权限，并提供脚本支 持SDK白名单列表的动态加载，进一步提升区块链系统的安全性。 注解: • 当配

构、跨平台的事件通知与处理。 • 跨 跨 跨链 链 链协 协 协作 作 作方 方 方案 案 案WeCross：支持跨链事务交易，满足跨链交易的原子性，对跨链进行治理，可支持 多方协作管理，避免单点风险。 • 场 场 场景 景 景式 式 式隐 隐 隐私 私 私保 保 保护 护 护解 解 解决 决 决方 方 方案 案 案WeDPR：针对隐匿支付、匿名投票、匿名竞拍和选择性披露等应用方 案，提供即时 的参与节点上（轻节点之外），导致的结果是数据膨胀，容量紧张，尤其是在承载海量服务的场景里， 在一定时间之后，一般的存储方案已经无法容纳数据，而海量存储成本很高，另一个角度是安全性，全 量数据永久保存，可能面临历史数据泄露的风险，所以需要在数据治理方面进行设计。 64 Chapter 5. 关 关 关键 键 键概 概 概念 念 念 FISCO BCOS Documentation, 发 发 发布 布 布 v2.7.2 标签：SDK访问控制 SDK白名单 SDK白配置 FISCO BCOS 2.0开始支持多群组，但没有控制SDK对多群组的访问权限，SDK只要可以与节点建立连 接，就可以访问节点的所有群组，会带来安全风险。 FISCO BCOS v2.6.0引入了群组级别的SDK白名单机制，控制SDK对群组的访问权限，并提供脚本支 持SDK白名单列表的动态加载，进一步提升区块链系统的安全性。 注 注 注解 解 解: