CN110555007B - 盗号行为判别方法、装置、计算设备及存储介质 - Google Patents

盗号行为判别方法、装置、计算设备及存储介质 Download PDF

Info

Publication number
CN110555007B
CN110555007B CN201910848927.3A CN201910848927A CN110555007B CN 110555007 B CN110555007 B CN 110555007B CN 201910848927 A CN201910848927 A CN 201910848927A CN 110555007 B CN110555007 B CN 110555007B
Authority
CN
China
Prior art keywords
behavior
log
account
feature vector
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910848927.3A
Other languages
English (en)
Other versions
CN110555007A (zh
Inventor
蔡淼
刘晓春
吴晗
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Xishanju Interactive Entertainment Technology Co Ltd
Original Assignee
Chengdu Xishanju Interactive Entertainment Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Xishanju Interactive Entertainment Technology Co Ltd filed Critical Chengdu Xishanju Interactive Entertainment Technology Co Ltd
Priority to CN201910848927.3A priority Critical patent/CN110555007B/zh
Publication of CN110555007A publication Critical patent/CN110555007A/zh
Application granted granted Critical
Publication of CN110555007B publication Critical patent/CN110555007B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/1805Append-only file systems, e.g. using logs or journals to store data
    • G06F16/1815Journaling file systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/084Backpropagation, e.g. using gradient descent
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Databases & Information Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本说明书提供盗号行为判别方法、装置、计算设备及存储介质,其中所述盗号行为判别方法包括:获取待判别账号在一次登录到登出期间的日志文件;对所述日志文件进行预处理,得到所述日志文件中的日志行为和所述日志行为的属性值;对所述日志行为和所述属性值进行嵌入化处理,得到日志行为矩阵,所述日志行为矩阵由至少两个日志行为向量组成;将所述日志行为矩阵作为输入提供给预先训练好的判别模型;所述判别模型响应于所述日志行为矩阵作为输入而生成所述待判别账号存在盗号行为的概率值;根据所述概率值判别待判别账号是否存在盗号行为。

Description

盗号行为判别方法、装置、计算设备及存储介质
技术领域
本说明书涉及计算机模式识别、机器学习技术领域,特别涉及盗号行为判别方法、装置、计算设备及存储介质。
背景技术
随着人们对网络游戏的接受程度日益提高,用户对于网络游戏的付费意愿也越来越强烈,用户账号的价值量迅速增加,由此导致大量游戏虚拟账户出现高价值状态。高价值账号因为其在游戏世界角色的等级属性高而具备交易价值,除此之外,高价值账户下具有价值量不菲的高级虚拟物品,此类物品具有在网络上交易的可能。
目前,网络游戏高价值账号被盗事件大量出现,严重侵害了游戏玩家的正常权益,同时也影响了游戏公司的正常运营。因此,游戏客服部门对盗窃网络游戏账号行为的判断和处理,成为了日常极为耗费人力与时间的工作任务。客服的专家岗位在处理游戏盗号行为时,需要基于大量的游戏数据信息,通过经验进行判断,随着游戏规模的增大,账号的持续增多,游戏玩法的日益复杂,盗号行为的判定规则也在不断的发生变化,需要考虑的因素和数据维度也在不断的增加,完全靠人力对每次登录游戏是否存在账号盗窃行为进行判定已经无法满足日常业务工作的需要。
那么,如何提高判别账号是否存在盗号行为的准确率,提高客服部门日常业务工作的效率,是目前需要解决的技术问题。
发明内容
有鉴于此,本说明书实施例提供了一种盗号行为判别方法、装置、计算设备及存储介质,以解决现有技术中存在的技术缺陷。
根据本说明书实施例的第一方面,提供了一种盗号行为判别方法,包括:
获取待判别账号在一次登录到登出期间的日志文件;
对所述日志文件进行预处理,得到所述日志文件中的日志行为和所述日志行为的属性值;
对所述日志行为和所述属性值进行嵌入化处理,得到日志行为矩阵,所述日志行为矩阵由至少两个日志行为向量组成;
将所述日志行为矩阵作为输入提供给预先训练好的判别模型;
所述判别模型响应于所述日志行为矩阵作为输入而生成所述待判别账号存在盗号行为的概率值;
根据所述概率值判别待判别账号是否存在盗号行为。
进一步优选的,所述判别模型包括递归神经网络组件,全连接层组件以及输出层组件,其中所述递归神经网络组件接收数据并与所述全连接层组件连接,所述全连接层组件与所述输出层组件连接;
所述判别模型响应于所述日志行为矩阵作为输入而生成所述待判别账号存在盗号行为的概率值包括:
所述递归神经网络组件接收所述日志行为矩阵,根据所述日志行为矩阵获取所述待判别账号的局部特征向量;
所述全连接层组件接收所述待判别账号的局部特征向量,根据所述待判别账号的局部特征向量确定所述待判别账号的全局特征向量;
所述输出层组件接收所述待判别账号的全局特征向量,根据所述待判别账号的全局特征向量生成并输出所述待判别账号存在盗号行为的概率值。
进一步优选的,所述日志行为的属性值包括时间、财富值;
对所述日志文件进行预处理,得到所述日志行为的属性值包括:
对所述日志文件进行预处理,得到登录时间、登出时间、登录时的财富值和登出时的财富值;
得到所述日志行为的属性值之后还包括:
对所述登录时间、所述登出时间、所述登录时的财富值和所述登出时的财富值进行标准化处理,得到在线时长和财富值变化率;
所述递归神经网络组件包括第一层递归神经网络单元和第二层递归神经网络单元;
所述递归神经网络组件根据所述日志行为矩阵获取所述待判别账号的局部特征向量包括:
所述第一层递归神经网络单元接收所述日志行为矩阵,根据所述日志行为矩阵判别所述待判别账号的行为模式,并将所述行为模式提供给所述第二层递归神经网络单元;
所述第二层递归神经网络单元接收所述待判别账号的行为模式、所述在线时长和所述财富值变化率,根据所述待判别账号的行为模式、所述在线时长和所述财富值变化率生成所述待判别账号的局部特征向量。
进一步优选的,对所述登录时间、所述登出时间、所述登录时的财富值和所述登出时的财富值进行标准化处理包括:
通过所述登出时间和所述登录时间的差值,得到账号在线时长,并对所述账号在线时长做正则化处理;
通过所述登出时的财富值和所述登录时的财富值的差值,得到账号财富值变化量,根据所述账号登出时的财富值和所述账号财富值变化量确定所述账号登录期间财富损失率,并对所述账号登录期间财富损失率做正则化处理。
进一步优选的,所述递归神经网络组件,包括长短期记忆人工神经网络组件。
进一步优选的,所述日志行为的属性值包括获取日志行为对应的任务名称和地图名称;
对所述日志文件进行预处理,得到所述日志行为的属性值包括:
对所述日志文件进行预处理,得到日志行为对应的任务名称和地图名称;
得到所述日志行为的属性值之后还包括:
对所述日志行为对应的任务名称和所述日志行为对应的地图名称进行预加工处理,得到任务数和地图数;
所述全连接层组件,包括:第一层全连接层和第二层全连接层,
所述全连接层组件根据所述待判别账号的局部特征向量确定所述待判别账号的全局特征向量包括:
所述第一层全连接层接收所述待判别账号的局部特征向量,基于所述局部特征向量生成第一全局特征向量,并将所述第一全局特征向量提供给第二层全连接层,所述第一层全连接层中神经元的个数为所述任务数的整数倍;
所述第二层全连接层接收所述第一全局特征向量,根据所述第一全局特征向量生成所述待判别账号的全局特征向量,所述第二层全连接层中神经元的个数为所述地图数的整数倍。
进一步优选的,对所述日志行为对应的任务名称和所述日志行为对应的地图名称进行预加工处理包括:
对所述日志文件中的日志行为对应的任务名称进行独热编码处理;
对所述日志文件中的日志行为对应的地图名称进行独热编码处理。
进一步优选的,根据所述概率值判别待判别账号是否存在盗号行为包括:
当所述概率值超过预设的风险阈值时则认定存在盗号行为。
进一步优选的,还包括:接收指令,根据指令对所风险述阈值进行控制,调整行为判定的门限。
根据本说明书实施例的第二方面,提供了一种判别模型的训练方法,包括:
获取样本数据以及每个样本数据对应的样本标签,所述样本标签标识所述样本数据对应的盗号行为或正常行为;
对于所述样本数据进行预处理,得到所述样本数据的样本行为和所述样本行为的属性值;
将所述样本行为和所述样本行为的属性值做嵌入化处理,得到样本行为向量矩阵,所述样本行为向量矩阵由至少两个样本行为向量组成;
将所述样本行为向量矩阵输入所述判别模型;
所述判别模型响应于所述样本行为向量矩阵作为输入而生成所述样本数据发生盗号行为的概率;
基于所述样本行为发生的概率和所述样本标签计算损失函数;
通过对所述损失函数进行反向传播以训练递归神经网络。
根据本说明书实施例的第三方面,提供了一种盗号行为判别装置,包括:
获取模块,被配置为获取待判别账号在一次登录到登出期间的日志文件;
预处理模块,被配置为对所述日志文件进行预处理,得到所述日志文件中的日志行为和所述日志行为的属性值;
嵌入模块,被配置对所述日志行为和所述属性值进行嵌入化处理,得到日志行为矩阵,所述日志行为矩阵由至少两个日志行为向量组成;
输入模块,被配置为将所述日志行为矩阵作为输入提供给预先训练好的判别模型;
判别模块,被配置为响应于所述日志行为矩阵作为输入而生成所述待判别账号存在盗号行为的概率值;
输出模块,被配置为根据所述概率值判别待判别账号是否存在盗号行为。
进一步优选的,所述判别模块包括递归神经网络组件,全连接层组件以及输出层组件,其中所述递归神经网络组件接收数据并与所述全连接层组件连接,所述全连接层组件与所述输出层组件连接;
所述判别模块,被配置为响应于所述日志行为矩阵作为输入而生成所述待判别账号存在盗号行为的概率值包括:
所述递归神经网络组件,被配置为接收所述日志行为矩阵,根据所述日志行为矩阵获取所述待判别账号的局部特征向量;
所述全连接层组件,被配置为接收所述待判别账号的局部特征向量,根据所述待判别账号的局部特征向量确定所述待判别账号的全局特征向量;
所述输出层组件,被配置为接收所述待判别账号的全局特征向量,根据所述待判别账号的全局特征向量生成并输出所述待判别账号存在盗号行为的概率值。
进一步优选的,所述日志行为的属性值包括时间、财富值;
所述预处理模块,进一步被配置为对所述日志文件进行预处理,得到所述登录时间、所述登出时间、所述登录时的财富值和所述登出时的财富值;
所述盗号行为判别装置还包括标准化处理模块;
所述标准化处理模块,被配置为对所述登录时间、所述登出时间、所述登录时的财富值和所述登出时的财富值进行标准化处理,得到在线时长和财富值变化率;
所述递归神经网络组件包括第一层递归神经网络单元和第二层递归神经网络单元;
所述递归神经网络组件,被配置为根据所述日志行为矩阵获取所述待判别账号的局部特征向量包括:
所述第一层递归神经网络单元,被配置为接收所述日志行为矩阵,根据所述日志行为矩阵判别所述待判别账号的行为模式,并将所述行为模式提供给所述第二层递归神经网络单元;
所述第二层递归神经网络单元,被配置为接收所述待判别账号的行为模式、所述在线时长和所述财富值变化率,根据所述待判别账号的行为模式、所述在线时长和所述财富值变化率生成所述待判别账号的局部特征向量。
进一步优选的,所述标准化处理模块,进一步被配置为通过所述登出时间和所述登录时间的差值,得到账号在线时长,并对所述账号在线时长做正则化处理;
所述标准化处理模块,进一步被配置为通过所述登出时的财富值和所述登录时的财富值的差值,得到账号财富值变化量,根据所述账号登出时的财富值和所述账号财富值变化量确定所述账号登录期间财富损失率,并对所述账号登录期间财富损失率做正则化处理。
进一步优选的,所述递归神经网络组件,包括长短期记忆人工神经网络组件。
进一步优选的,所述日志行为的属性值包括获取日志行为对应的任务名称和地图名称;
所述预处理模块,进一步被配置为对所述日志文件进行预处理,得到日志行为对应的任务名称和地图名称;
所述盗号行为判别装置还包括标准化处理模块;
所述标准化处理模块,被配置为对所述日志行为对应的任务名称和所述日志行为对应的地图名称进行预加工处理,得到任务数和地图数;
所述全连接层组件,包括:第一层全连接层和第二层全连接层,
所述全连接层组件,被配置为根据所述待判别账号的局部特征向量确定所述待判别账号的全局特征向量包括:
所述第一层全连接层,被配置为接收所述待判别账号的局部特征向量,基于所述局部特征向量生成第一全局特征向量,并将所述第一全局特征向量提供给第二层全连接层,所述第一层全连接层中神经元的个数为所述任务数的整数倍;
所述第二层全连接层,被配置为接收所述第一全局特征向量,根据所述第一全局特征向量生成所述待判别账号的全局特征向量,所述第二层全连接层中神经元的个数为所述地图数的整数倍。
进一步优选的,所述标准化处理模块,进一步被配置为对所述日志文件中的日志行为对应的任务名称进行独热编码处理;
所述标准化处理模块,进一步被配置为对所述日志文件中的日志行为对应的地图名称进行独热编码处理。
进一步优选的,所述输出模块,进一步被配置为当所述概率值超过预设的风险阈值时则认定存在盗号行为。
进一步优选的,所述输出模块,进一步被配置为接收指令,根据指令对所风险述阈值进行控制,调整行为判定的门限。
根据本说明书实施例的第四方面,提供了一种判别模型的训练装置,包括:
获取模块,被配置为获取样本数据以及每个样本数据对应的样本标签,所述样本标签标识所述样本数据对应的盗号行为或正常行为;
预处理模块,被配置为对于所述样本数据进行预处理,得到所述样本数据的样本行为和所述样本行为的属性值;
嵌入模块,被配置为将所述样本行为和所述样本行为的属性值做嵌入化处理,得到样本行为向量矩阵,所述样本行为向量矩阵由至少两个样本行为向量组成;
输入模块,被配置为将所述样本行为向量矩阵输入所述判别模型;
判别模块,被配置为响应于所述样本行为向量矩阵作为输入而生成所述样本数据发生盗号行为的概率;
损失函数模块,被配置为基于所述样本行为发生的概率和所述样本标签计算损失函数;
反向传播模块,被配置为通过对所述损失函数进行反向传播以训练递归神经网络。
根据本说明书实施例的第五方面,提供了一种计算设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机指令,所述处理器执行所述指令时实现所述盗号行为判别方法或判别模型的训练方法的步骤。
根据本说明书实施例的第六方面,提供了一种计算机可读存储介质,其存储有计算机指令,该指令被处理器执行时实现所述盗号行为判别方法或判别模型的训练方法的步骤。
本说明书实施例中,通过提供的盗号行为判别方法、装置,引入深度学习算法,学习人工判别模式下得到的训练数据集,建立递归神经网络模型,并将待判别账号的登录日志经过处理后,输入到该递归神经网络模型,该神经递归网络模型根据用户的登录日志判别是否存在盗号行为,从而可以提高判别账号是否存在盗号行为的准确率,提高客服部门日常业务工作的效率。
附图说明
图1是本申请实施例提供的计算设备的结构框图;
图2是本申请实施例提供的盗号行为判别方法的流程图;
图3是本申请实施例提供的盗号行为判别方法中判别模型应用方法的示意图;
图4是本申请实施例提供的盗号行为判别装置的结构示意图;
图5是本申请实施例提供的盗号行为判别装置中判别模型装置的结构示意图;
图6是本申请实施例提供的盗号行为判别方法中判别模型训练方法的结构示意图;
图7是本申请实施例提供的盗号行为判别装置中判别模型训练装置的结构示意图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此本申请不受下面公开的具体实施的限制。
在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本说明书一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书一个或多个实施例范围的情况下,第一也可以被称为第二,类似地,第二也可以被称为第一。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
首先,对本发明一个或多个实施例涉及的名词术语进行解释。
递归神经网络:是具有树状阶层结构且网络节点按其连接顺序对输入信息进行递归的人工神经网络,是深度学习算法之一。
全连接:是把所有的输入与输出连接起来的单个交换机。具有吞吐量大、可靠性高、低延时的特点。
长短期记忆人工神经网络:是一种时间递归神经网络,是为了解决长期以来问题而专门设计出来的,所有的RNN都具有一种重复神经网络模块的链式形式。
独热编码处理:又称一位有效编码,其方法是使用N位状态寄存器来对N个状态进行编码,每个状态都有它独立的寄存器位,并且在任意时候,其中只有一位有效。
L1正则化:是机器学习中重要的手段,通过向成本函数中添加L1范数,使得学习得到的结果满足稀疏化,从而方便人们提取特征。
L2正则化:是机器学习中重要的手段,通过向目标函数添加一个正则项,使权重更加接近原点。
word2vec算法:用来映射每个词到一个向量,可用来表示词对词之间的关系。
在本申请中,提供了一种盗号行为判别方法、装置、计算设备及存储介质,在下面的实施例中逐一进行详细说明。
图1示出了根据本说明书一实施例的计算设备100的结构框图。该计算设备100的部件包括但不限于存储器110和处理器120。处理器120与存储器110通过总线130相连接,数据库150用于保存数据。
计算设备100还包括接入设备140,接入设备140使得计算设备100能够经由一个或多个网络160通信。这些网络的示例包括公用交换电话网(PSTN)、局域网(LAN)、广域网(WAN)、个域网(PAN)或诸如因特网的通信网络的组合。接入设备140可以包括有线或无线的任何类型的网络接口(例如,网络接口卡(NIC))中的一个或多个,诸如IEEE802.11无线局域网(WLAN)无线接口、全球微波互联接入(Wi-MAX)接口、以太网接口、通用串行总线(USB)接口、蜂窝网络接口、蓝牙接口、近场通信(NFC)接口,等等。
在本说明书的一个实施例中,计算设备100的上述部件以及图1中未示出的其他部件也可以彼此相连接,例如通过总线。应当理解,图1所示的计算设备结构框图仅仅是出于示例的目的,而不是对本说明书范围的限制。本领域技术人员可以根据需要,增添或替换其他部件。
计算设备100可以是任何类型的静止或移动计算设备,包括移动计算机或移动计算设备(例如,平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动电话(例如,智能手机)、可佩戴的计算设备(例如,智能手表、智能眼镜等)或其他类型的移动设备,或者诸如台式计算机或PC的静止计算设备。计算设备100还可以是移动式或静止式的服务器。
其中,处理器120可以执行图2所示盗号行为判别方法中的步骤。图2示出了根据本说明书一实施例的盗号行为判别方法的流程图,包括步骤202至步骤212。
202、获取待判别账号在一次登录到登出期间的日志文件。
在一个具体的使用场景中,当用户在开始登录账户时,就会自动生成一份日志文件,日志文件用来记录用户的所有行为,直到当用户完成一次登录到登出的行为之后,服务器端会生成一份记录了账户从登录到登出期间所有行为动作的日志文件。行为动作包括键盘、鼠标、麦克风和触摸屏中的一个或多个操作。计算设备读取到这份日志文件。
204、对所述日志文件进行预处理。
具体地,对所述日志文件中的通用项进行预处理,使行为属性和数据形成对应关系,得到所述日志文件中的日志行为和日志行为的属性值。
所述日志行为的属性值包括时间、财富值、任务名称和地图名称等。
表1
行为\属性 时间 财富值 任务 地图
登录 10:00 20000 T1,T2,T3,T4 M1
切换地图 10:01 20000 T1,T2,T3,T4 M2
商店交易 10:02 26000 T1,T2,T3,T4 M2
切换地图 10:03 26000 T1,T2,T3,T4 M3
玩家交易 10:03 100 T1,T2,T3,T4 M3
登出 10:04 100 T1,T2,T3,T4 M3
如表1所示,在一个具体实施例中,对日志文件中时间属性值的预处理可以得到登录时间为10:00,登出时间为10:04,可以进一步得到账号在线时长为4分钟。并对账号在线时长做L1或L2正则化处理,记做在线时长(LoginChange),简称LC,目的是防止在线时长发生过拟合现象。
如表1所示,在一个具体实施例中,对日志文件中财富值属性的预处理可以得到登录时的财富值为20000,登出时的财富值为100,登录与登出时财富值的差值,可以得到财富值变化量为-19900,用财富值变化量除以登出时的财富值100得到财富值损失率-199。并对财富值损失率做L1或L2正则化处理,记做财富值损失率(WealthChange),简称WC,目的是防止财富值损失率发生过拟合现象。
如表1所示,在一个具体实施例中,对日志文件中任务数属性值的预处理可以得到日志中的任务名称有T1,T2,T3,T4,对任务名称进行独热编码处理得到任务数0001,0010,0100,1000。
如表1所示,在一个具体实施例中,对日志文件中地图数属性值的预处理可以得到日志中的地图有M1,M2,M3。对地图名称进行独热编码处理得到地图数001,010,100。
表2
时间 财富值 任务 地图
登录 07:00 24000 T1,T2,T3,T4 M1
切换地图 07:01 24000 T1,T2,T3,T4 M2
完成任务T1 07:01 26000 T2,T3,T4 M2
完成任务T2 07:02 27000 T3,T4 M2
商店交易 07:03 21000 T3,T4 M2
接收新任务T5 07:04 21000 T3,T4,T5 M2
切换地图 07:06 21000 T3,T4,T5 M3
完成任务T5 07:56 29000 T3,T4 M3
切换地图 08:01 29000 T3,T4 M4
登出 08:05 29000 T3,T4 M4
如表2所示,在一个具体实施例中,对日志文件中时间属性值的预处理可以得到登录时间为07:00,登出时间为08:05,可以进一步得到账号在线时长为65分钟。并对账号在线时长做L1或L2正则化处理,记做LoginChange,简称LC,目的是防止在线时长发生过拟合现象。
如表2所示,在一个具体实施例中,对日志文件中财富值属性的预处理可以得到登录时的财富值为24000,登出时的财富值为29000,登录与登出时财富值的差值,可以得到财富值变化量为5000,用财富值变化量除以登出时的财富值29000得到财富值损失率0.172。并对财富值损失率做L1或L2正则化处理,记做WealthChange,简称WC,目的是防止财富值损失率发生过拟合现象。
如表2所示,在一个具体实施例中,对日志文件中任务数属性值的预处理可以得到日志中的任务名称有T1,T2,T3,T4,T5,对任务名称进行独热编码处理得到任务数00001,00010,00100,01000,10000。
如表2所示,在一个具体实施例中,对日志文件中地图数属性值的预处理可以得到日志中的地图有M1,M2,M3,M4。对地图名称进行独热编码处理得到地图数0001,0010,0100,1000。
206、对所述日志行为和所述属性值进行嵌入化处理得到日志行为矩阵。
其中,所述日志行为矩阵由至少两个日志行为向量组成。
在一个具体的使用场景中,用户至少会有登录和登出的操作,那么日志文件中,至少会有登录和登出的日志记录,在经过嵌入层的嵌入化处理后,用以识别行为之间的相似度,得到一个至少包含登录行为向量和登出行为向量的日志行为矩阵。
208、将所述日志行为矩阵作为输入提供给预先训练好的判别模型。
具体地,在将所述日志行为矩阵作为输入提供给预先训练好的判别模型的同时,还将经过预处理之后的在线时长、财富值变化率、任务数和地图数等数据作为输入提供给预先训练好的判别模型。
如表1所示,在具体的使用场景中,计算设备将经过嵌入层处理的日志行为矩阵和经过标准化处理过的在线时长4分钟,财富值变化率-199,任务数0001,0010,0100,1000和地图数001,010,100等数据一同传递给判别模型。
如表2所示,在具体的使用场景中,计算设备将经过嵌入层处理的日志行为矩阵和经过标准化处理过的在线时长65分钟,财富值变化率0.172,任务数00001,00010,00100,01000,10000和地图数0001,0010,0100,1000等数据一同传递给判别模型。
210、判别模型根据所述日志行为矩阵生成所述待判别账号存在盗号行为的概率值。
判别模型用以接收日志行为矩阵的同时,还会接收经过预处理的数据文件。经过预处理的文件包括有很多属性值,其中在线时长LC和财富值变化率WC是该判别模型用来判断账号是否存在盗号行为的重要判别参数,这两项数值在判别过程中占据的权重比较大。
所述判别模型在接收日志行为矩阵后,筛选出与盗号行为相关的行为属性值,比如玩家交易、商店交易、转移物品、地图转移、完成任务、公聊喊话、私聊等行为,这些动作之间存在着内在的前后关联性。模型筛选出于盗号行为相关的行为属性值之后与经过预处理的数据文件相结合,得到盗号行为的局部特征向量。将局部特征向量进行全连接,根据不同属性值所占据不同的权重值生成一个0-1之间的一个小数,将生成的小数作为判定结果的概率,最后输出得到的概率值。
212、根据所述概率值判别待判别账号是否存在盗号行为。
具体地,当所述概率值超过计算设备预设的风险阈值时,则计算设备判定该待判别账号存在盗号行为。
具体地,可以根据实际情况,对所述风险阈值的数值进行控制,调整行为判定的门限。
在一个具体的使用场景中,可以设置风险阈值为0.60,当判别模型输出的账号存在盗号行为的概率超过0.60的时候,则可以判定存在盗号行为。在日常维护时,发现输出的概率为0.55的时候,也是存在盗号行为,则可以将风险阈值降低为0.55,降低判定门限。当发现输出概率为0.70以上的时候,才存在盗号行为,则可以将风险阈值提高到0.70,提高判定门限。
本说明书的盗号行为判别方法,用预先训练好的判别模型,根据系统生成的日志文件,可以自行监测日志文件中的日志行为是否存在盗号行为,并且根据判别模型输出的盗号行为的概率,可以自行调整风险阈值,提高了判别账号是否存在盗号行为的准确率,提高了客服部门日常业务的效率。
图3示出了本说明书一实施例的盗号行为判别方法中判别模型的应用方法,该判别模型处理方法包括步骤302至步骤306。
步骤302:接收所述日志行为矩阵,获取所述待判别账号的局部特征向量。
具体地,在接收所述日志行为矩阵的同时,还接收到经过步骤204处理过的在线时长LC和财富值变化率WC。
具体地,所述判别模型中包括两层递归神经网络,第一层递归神经网络接接收所述日志行为矩阵,根据所述日志行为矩阵中的日志行为向量,判别出与盗号行为相关的行为模式,比如登录行为,玩家交易行为,商店交易行为,接收任务行为,喊话行为,登出行为等,并将这些行为传递给第二层递归神经网络。
第二层递归神经网络接收第一层传递的行为模式和步骤204处理过的在线时长LC和财富值变化率WC等属性值。根据所述行为模式、所述在线时长和所述财富值变化率,来生成判别账号的局部特征向量。
具体地,判别模型中包括的两层递归神经网络,可以是两层长短期记忆人工神经网络。
在一个具体的使用场景中,第一层长短期记忆人工神经网络接收到经过嵌入层分类的日志行为矩阵,获得与盗号行为相关的行为模式,比如玩家交易行为,接收任务行为,完成任务行为,喊话行为等,并传递给第二层长短期记忆人工神经网络,第二层长短期记忆人工神经网络在接收所述行为模式的同时,还会接收经过预处理的数据,例如在盗号行为判定中占据权重比例较高的财富值变化率WC和在线时长LC等信息。根据所述行为模式和预处理的数据,获得多条盗号行为的局部特征向量。
步骤304:接收所述待判别账号的局部特征向量,确定所述待判别账号的全局特征向量。
具体的,所述判别模型包含两层全连接层,第一层全连接层中神经元的个数为所述任务数的整数倍,第二层全连接层中的神经元个数为所述地图数的整数倍。
在一个具体的使用场景中,第一层全连接层接收到第二层递归神经网络生成的所有盗号行为的局部特征向量,通过任务数的整数倍的神经元的整合所述局部特征向量,生成第一全局特征向量,并将所述的第一全局特征向量传递给第二层全连接层,第二层全连接层接收到第一全局特征向量,通过地图数的整数倍的神经元的整合全连接,生成待判别账号的全局特征向量。
步骤306:接收所述待判别账号的全局特征向量,生成并输出所述待判别账号存在盗号行为的概率值。
具体的,所述判别模型还包括一个输出层,输出层的神经元个数为2个,代表存在盗号行为和不存在盗号行为,根据所述待判别账号的全局特征向量,分析存在盗号行为的向量数和不存在盗号行为的向量数,之后采用softmax激活函数,采用归一化计算后得到的是0-1之间的一个小数,可以看做是判定结果的概率,最后输出得到的概率值。
本说明书的盗号行为判别方法中判别模型的应用方法,通过机器学习的方法代替人工进行对日志文件的分析,判别账号是否存在盗号行为。提高了工作效率和准确率。
与上述方法实施例相对应,本说明书还提供了盗号行为判别装置实施例,图4示出了本说明书一个实施例的盗号行为判别装置的结构示意图。如图4所示,该装置400包括:
获取模块402,被配置为获取待判别账号在一次登录到登出期间的日志文件。
预处理模块404,被配置为对所述日志文件进行预处理,得到所述日志文件中的日志行为和所述日志行为的属性值。
标准化处理模块406,被配置为对所述登录时间、所述登出时间、所述登录时的财富值和所述登出时的财富值进行标准化处理,得到在线时长和财富值变化率。
同时被配置为对所述日志行为对应的任务名称和所述日志行为对应的地图名称进行预加工处理,得到任务数和地图数。
嵌入模块408,被配置对所述日志行为和所述属性值进行嵌入化处理,得到日志行为矩阵,所述日志行为矩阵由至少两个日志行为向量组成;
输入模块410,被配置为将所述日志行为矩阵作为输入提供给预先训练好的判别模型;
判别模块412,被配置为响应于所述日志行为矩阵作为输入而生成所述待判别账号存在盗号行为的概率值;
输出模块414,被配置为根据所述概率值判别待判别账号是否存在盗号行为。
本申请提供的盗号行为判别装置,用预先训练好的判别模块,根据系统生成的日志文件,可以自行监测日志文件中的日志行为是否存在盗号行为,并且根据判别模型输出的盗号行为的概率,可以自行调整风险阈值,提高了判别账号是否存在盗号行为的准确率,提高了客服部门日常业务的效率。
与上述方法实施例相对应,本说明书还提供了盗号行为判别装置中判别模块处理装置实施例,图5示出了本说明书一个实施例的盗号行为判别装置中判别模块处理装置的结构示意图。如图5所示,该判别模块412包括:
第一层长短期记忆人工神经网络502,被配置为接收所述日志行为矩阵,根据所述日志行为矩阵判别所述待判别账号的行为模式;
第二层长短期记忆人工神经网络504,被配置为接收所述待判别账号的行为模式、所述在线时长和所述财富值变化率,根据所述待判别账号的行为模式、所述在线时长和所述财富值变化率生成所述待判别账号的局部特征向量;
第一层全连接层506,被配置为接收所述待判别账号的局部特征向量,基于所述局部特征向量生成第一全局特征向量,并将所述第一全局特征向量提供给
第二层全连接层;
第二层全连接层508,被配置为接收所述第一全局特征向量,根据所述第一全局特征向量生成所述待判别账号的全局特征向量;
输出层510,被配置为接收所述待判别账号的全局特征向量,根据所述待判别账号的全局特征向量生成并输出所述待判别账号存在盗号行为的概率值。
本申请提供的盗号行为判别装置中判别模块处理装置,通过机器学习的方法代替人工进行对日志文件的分析,判别账号是否存在盗号行为。提高了工作效率和准确率。
图6示出了根据本说明书一实施例的盗号行为判别方法中的训练方法的流程图,包括步骤602至步骤614。
步骤602:获取样本数据以及每个样本数据对应的样本标签。
在具体的训练场景中,提供的每份样本数据都会有对应的样本标签,标识样本数据是盗号行为或者是正常行为。
步骤604:对于所述样本数据进行预处理,得到所述样本数据的样本行为和所述样本行为的属性值。
在具体的训练场景中,对数据样本日志中的通用项进行数据清洗,使游戏行为属性和数据形成对应关系。比如将登录和登出时间转换为账号在线时长,将登录时财富值和登出时的财富值转换为财富变化值,并用财富变化值除以登出时的财富值,得到财富变化率。同时对日志中的中文文本信息进行预加工处理,主要针对任务名称和日志事件发生时的地图名称,用独热编码针对这里两类数据进行标准处理方式得到任务数和地图数。
步骤606:将所述样本行为和所述样本行为的属性值做嵌入化处理,得到样本行为向量矩阵。
在具体的训练场景中,将日志行为和所述行为的属性值做嵌入化处理后,运用word2vec算法,为分类型文本信息建立距离关系,使得分类型文本名称能够自动聚类,使最终模型学习到盗号行为和发生该行为的具体任务名称及地图名称之间的关系,由于word2vec是模型自己学习到的文本分类信息关系,所以针对不同的日志应用该算法,会产生特定的、不同的向量信息,对最终分类模型的精度有很大帮助。
步骤608:将所述样本行为向量矩阵输入所述判别模型。
进一步的,在将所述样本行为向量矩阵输入所述判别模型的同时,还需要将经过预处理的日志通用项输入到所述判别模型。
步骤610:所述判别模型响应于所述样本行为向量矩阵作为输入而生成所述样本数据发生盗号行为的概率。
判别模型通过学习日志行为和所述行为的属性值与样本标签之间的关系,学习到游戏玩法的行为模式,再结合所述的样本行为向量矩阵,输出盗号行为的局部特征向量。所述局部特征向量经过两层全连接层的全连接处理,得到盗号行为的全局特征向量。所述全局特征向量再经过输出层处理,采用softmax激活函数,生成判定的概率值。
步骤612:基于所述样本行为发生的概率和所述样本标签计算损失函数。
将得到的判定概率值和样本标签比对,判断误差,计算出损失函数。
步骤614:通过对所述损失函数进行反向传播以训练递归神经网络。
盗号行为判别方法中的训练方法通过学习人工判别模式下得到的训练数据,建立起人工神经网络模型,能够准确高效的判断游戏账号是否被盗,并给出存在盗号行为的概率数值。
图7示出了根据本说明书一实施例的盗号行为判别装置中判别模型训练装置的结构示意图,该装置包括:
获取模块702,被配置为获取样本数据以及每个样本数据对应的样本标签,所述样本标签标识所述样本数据对应的盗号行为或正常行为。
预处理模块704,被配置为对于所述样本数据进行预处理,得到所述样本数据的样本行为和所述样本行为的属性值。
嵌入模块706,被配置为将所述样本行为和所述样本行为的属性值做嵌入化处理,得到样本行为向量矩阵,所述样本行为向量矩阵由至少两个样本行为向量组成。
输入模块708,被配置为将所述样本行为向量矩阵输入所述判别模型。
判别模块710,被配置为响应于所述样本行为向量矩阵作为输入而生成所述样本数据发生盗号行为的概率。
损失函数模块712,被配置为基于所述样本行为发生的概率和所述样本标签计算损失函数。
反向传播模块714,被配置为通过对所述损失函数进行反向传播以训练递归神经网络。
盗号行为判别装置中判别模型训练装置通过学习人工判别模式下得到的训练数据,建立起人工神经网络模型,能够准确高效的判断游戏账号是否被盗,并给出存在盗号行为的概率数值。
本说明书一实施例中还提供一种计算设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机指令,所述处理器执行所述指令时实现所述的盗号行为判别方法的步骤。
本申请一实施例还提供一种计算机可读存储介质,其存储有计算机指令,该指令被处理器执行时实现如前所述盗号行为判别方法的步骤。
上述为本实施例的一种计算机可读存储介质的示意性方案。需要说明的是,该存储介质的技术方案与上述的盗号行为判别方法的技术方案属于同一构思,存储介质的技术方案未详细描述的细节内容,均可以参见上述盗号行为判别方法的技术方案的描述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
所述计算机指令包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本申请所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上公开的本申请优选实施例只是用于帮助阐述本申请。可选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本申请的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本申请。本申请仅受权利要求书及其全部范围和等效物的限制。

Claims (17)

1.一种盗号行为判别方法,其特征在于,包括:
获取待判别账号在一次登录到登出期间的日志文件;
对所述日志文件进行预处理,得到所述日志文件中的日志行为和所述日志行为的属性值;
对所述日志行为和所述属性值进行嵌入化处理,得到日志行为矩阵,所述日志行为矩阵由至少两个日志行为向量组成;
将所述日志行为矩阵作为输入提供给预先训练好的判别模型;
所述判别模型响应于所述日志行为矩阵作为输入而生成所述待判别账号存在盗号行为的概率值,其中,所述概率值根据所述待判别账号的局部特征向量和全局特征向量生成,所述局部特征向量根据所述待判别账号的行为模式、在线时长、财富值变化率生成,所述行为模式根据所述日志行为矩阵生成,所述在线时长和所述财富值根据所述日志行为的属性值生成;
根据所述概率值判别待判别账号是否存在盗号行为。
2.如权利要求1所述的盗号行为判别方法,其特征在于,
所述判别模型包括递归神经网络组件,全连接层组件以及输出层组件,其中所述递归神经网络组件接收数据并与所述全连接层组件连接,所述全连接层组件与所述输出层组件连接;
所述判别模型响应于所述日志行为矩阵作为输入而生成所述待判别账号存在盗号行为的概率值包括:
所述递归神经网络组件接收所述日志行为矩阵,根据所述日志行为矩阵获取所述待判别账号的局部特征向量;
所述全连接层组件接收所述待判别账号的局部特征向量,根据所述待判别账号的局部特征向量确定所述待判别账号的全局特征向量;
所述输出层组件接收所述待判别账号的全局特征向量,根据所述待判别账号的全局特征向量生成并输出所述待判别账号存在盗号行为的概率值。
3.如权利要求2所述的盗号行为判别方法,其特征在于,
所述日志行为的属性值包括时间、财富值;
对所述日志文件进行预处理,得到所述日志行为的属性值包括:
对所述日志文件进行预处理,得到登录时间、登出时间、登录时的财富值和登出时的财富值;
得到所述日志行为的属性值之后还包括:
对所述登录时间、所述登出时间、所述登录时的财富值和所述登出时的财富值进行标准化处理,得到在线时长和财富值变化率;
所述递归神经网络组件包括第一层递归神经网络单元和第二层递归神经网络单元;
所述递归神经网络组件根据所述日志行为矩阵获取所述待判别账号的局部特征向量包括:
所述第一层递归神经网络单元接收所述日志行为矩阵,根据所述日志行为矩阵判别所述待判别账号的行为模式,并将所述行为模式提供给所述第二层递归神经网络单元;
所述第二层递归神经网络单元接收所述待判别账号的行为模式、所述在线时长和所述财富值变化率,根据所述待判别账号的行为模式、所述在线时长和所述财富值变化率生成所述待判别账号的局部特征向量。
4.如权利要求3所述的盗号行为判别方法,其特征在于,
对所述登录时间、所述登出时间、所述登录时的财富值和所述登出时的财富值进行标准化处理包括:
通过所述登出时间和所述登录时间的差值,得到账号在线时长,并对所述账号在线时长做正则化处理;
通过所述登出时的财富值和所述登录时的财富值的差值,得到账号财富值变化量,根据所述账号登出时的财富值和所述账号财富值变化量确定所述账号登录期间财富损失率,并对所述账号登录期间财富损失率做正则化处理。
5.如权利要求2或3所述的盗号行为判别方法,其特征在于,
所述递归神经网络组件,包括长短期记忆人工神经网络组件。
6.如权利要求2所述的盗号行为判别方法,其特征在于,
所述日志行为的属性值包括获取日志行为对应的任务名称和地图名称;
对所述日志文件进行预处理,得到所述日志行为的属性值包括:
对所述日志文件进行预处理,得到日志行为对应的任务名称和地图名称;
得到所述日志行为的属性值之后还包括:
对所述日志行为对应的任务名称和所述日志行为对应的地图名称进行预加工处理,得到任务数和地图数;
所述全连接层组件,包括:第一层全连接层和第二层全连接层,
所述全连接层组件根据所述待判别账号的局部特征向量确定所述待判别账号的全局特征向量包括:
所述第一层全连接层接收所述待判别账号的局部特征向量,基于所述局部特征向量生成第一全局特征向量,并将所述第一全局特征向量提供给第二层全连接层,所述第一层全连接层中神经元的个数为所述任务数的整数倍;
所述第二层全连接层接收所述第一全局特征向量,根据所述第一全局特征向量生成所述待判别账号的全局特征向量,所述第二层全连接层中神经元的个数为所述地图数的整数倍。
7.如权利要求6所述的盗号行为判别方法,其特征在于,
对所述日志行为对应的任务名称和所述日志行为对应的地图名称进行预加工处理包括:
对所述日志文件中的日志行为对应的任务名称进行独热编码处理;
对所述日志文件中的日志行为对应的地图名称进行独热编码处理。
8.如权利要求1所述的盗号行为判别方法,其特征在于,
根据所述概率值判别待判别账号是否存在盗号行为包括:
当所述概率值超过预设的风险阈值时则认定存在盗号行为。
9.如权利要求8所述的盗号行为判别方法,其特征在于,还包括:
接收指令,根据指令对所风险述阈值进行控制,调整行为判定的门限。
10.一种判别模型的训练方法,其特征在于,
获取样本数据以及每个样本数据对应的样本标签,所述样本标签标识所述样本数据对应的盗号行为或正常行为;
对于所述样本数据进行预处理,得到所述样本数据的样本行为和所述样本行为的属性值;
将所述样本行为和所述样本行为的属性值做嵌入化处理,得到样本行为向量矩阵,所述样本行为向量矩阵由至少两个样本行为向量组成;
将所述样本行为向量矩阵输入所述判别模型;
所述判别模型响应于所述样本行为向量矩阵作为输入而生成所述样本数据发生盗号行为的概率,其中,所述概率值根据待判别账号的局部特征向量和全局特征向量生成,所述局部特征向量根据待判别账号的行为模式、在线时长、财富值变化率生成,所述行为模式根据所述样本行为向量矩阵生成,所述在线时长和所述财富值根据所述属性值生成;
基于所述样本行为发生的概率和所述样本标签计算损失函数;
通过对所述损失函数进行反向传播以训练递归神经网络。
11.一种盗号行为判别装置,其特征在于,所述判别装置包括:
获取模块,被配置为获取待判别账号在一次登录到登出期间的日志文件;
预处理模块,被配置为对所述日志文件进行预处理,得到所述日志文件中的日志行为和所述日志行为的属性值;
嵌入模块,被配置对所述日志行为和所述属性值进行嵌入化处理,得到日志行为矩阵,所述日志行为矩阵由至少两个日志行为向量组成;
输入模块,被配置为将所述日志行为矩阵作为输入提供给预先训练好的判别模型;
判别模块,被配置为响应于所述日志行为矩阵作为输入而生成所述待判别账号存在盗号行为的概率值,其中,所述概率值根据所述待判别账号的局部特征向量和全局特征向量生成,所述局部特征向量根据所述待判别账号的行为模式、在线时长、财富值变化率生成,所述行为模式根据所述日志行为矩阵生成,所述在线时长和所述财富值根据所述日志行为的属性值生成;
输出模块,被配置为根据所述概率值判别待判别账号是否存在盗号行为。
12.如权利要求11所述的盗号行为判别装置,其特征在于,
所述判别模块包括递归神经网络组件,全连接层组件以及输出层组件,其中所述递归神经网络组件接收数据并与所述全连接层组件连接,所述全连接层组件与所述输出层组件连接;
所述判别模块,被配置为响应于所述日志行为矩阵作为输入而生成所述待判别账号存在盗号行为的概率值包括:
所述递归神经网络组件,被配置为接收所述日志行为矩阵,根据所述日志行为矩阵获取所述待判别账号的局部特征向量;
所述全连接层组件,被配置为接收所述待判别账号的局部特征向量,根据所述待判别账号的局部特征向量确定所述待判别账号的全局特征向量;
所述输出层组件,被配置为接收所述待判别账号的全局特征向量,根据所述待判别账号的全局特征向量生成并输出所述待判别账号存在盗号行为的概率值。
13.如权利要求12所述的盗号行为判别装置,其特征在于,
所述日志行为的属性值包括时间、财富值;
所述预处理模块,进一步被配置为对所述日志文件进行预处理,得到所述登录时间、所述登出时间、所述登录时的财富值和所述登出时的财富值;
所述盗号行为判别装置还包括标准化处理模块;
所述标准化处理模块,被配置为对所述登录时间、所述登出时间、所述登录时的财富值和所述登出时的财富值进行标准化处理,得到在线时长和财富值变化率;
所述递归神经网络组件包括第一层递归神经网络单元和第二层递归神经网络单元;
所述递归神经网络组件,被配置为根据所述日志行为矩阵获取所述待判别账号的局部特征向量包括:
所述第一层递归神经网络单元,被配置为接收所述日志行为矩阵,根据所述日志行为矩阵判别所述待判别账号的行为模式,并将所述行为模式提供给所述第二层递归神经网络单元;
所述第二层递归神经网络单元,被配置为接收所述待判别账号的行为模式、所述在线时长和所述财富值变化率,根据所述待判别账号的行为模式、所述在线时长和所述财富值变化率生成所述待判别账号的局部特征向量。
14.如权利要求12所述的盗号行为判别装置,其特征在于,
所述日志行为的属性值包括获取日志行为对应的任务名称和地图名称;
所述预处理模块,进一步被配置为对所述日志文件进行预处理,得到日志行为对应的任务名称和地图名称;
所述盗号行为判别装置还包括标准化处理模块;
所述标准化处理模块,被配置为对所述日志行为对应的任务名称和所述日志行为对应的地图名称进行预加工处理,得到任务数和地图数;
所述全连接层组件,包括:第一层全连接层和第二层全连接层,
所述全连接层组件,被配置为根据所述待判别账号的局部特征向量确定所述待判别账号的全局特征向量包括:
所述第一层全连接层,被配置为接收所述待判别账号的局部特征向量,基于所述局部特征向量生成第一全局特征向量,并将所述第一全局特征向量提供给第二层全连接层,所述第一层全连接层中神经元的个数为所述任务数的整数倍;
所述第二层全连接层,被配置为接收所述第一全局特征向量,根据所述第一全局特征向量生成所述待判别账号的全局特征向量,所述第二层全连接层中神经元的个数为所述地图数的整数倍。
15.一种判别模型的训练装置,其特征在于,所述训练装置包括:
获取模块,被配置为获取样本数据以及每个样本数据对应的样本标签,所述样本标签标识所述样本数据对应的盗号行为或正常行为;
预处理模块,被配置为对于所述样本数据进行预处理,得到所述样本数据的样本行为和所述样本行为的属性值;
嵌入模块,被配置为将所述样本行为和所述样本行为的属性值做嵌入化处理,得到样本行为向量矩阵,所述样本行为向量矩阵由至少两个样本行为向量组成;
输入模块,被配置为将所述样本行为向量矩阵输入所述判别模型;
判别模块,被配置为响应于所述样本行为向量矩阵作为输入而生成所述样本数据发生盗号行为的概率,其中,所述概率值根据待判别账号的局部特征向量和全局特征向量生成,所述局部特征向量根据待判别账号的行为模式、在线时长、财富值变化率生成,所述行为模式根据所述样本行为向量矩阵生成,所述在线时长和所述财富值根据所述样本行为的属性值生成;
损失函数模块,被配置为基于所述样本行为发生的概率和所述样本标签计算损失函数;
反向传播模块,被配置为通过对所述损失函数进行反向传播以训练递归神经网络。
16.一种计算设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机指令,其特征在于,所述处理器执行所述指令时实现权利要求1-9或10任意一项所述方法的步骤。
17.一种计算机可读存储介质,其存储有计算机指令,其特征在于,该指令被处理器执行时实现权利要求1-9或10任意一项所述方法的步骤。
CN201910848927.3A 2019-09-09 2019-09-09 盗号行为判别方法、装置、计算设备及存储介质 Active CN110555007B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910848927.3A CN110555007B (zh) 2019-09-09 2019-09-09 盗号行为判别方法、装置、计算设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910848927.3A CN110555007B (zh) 2019-09-09 2019-09-09 盗号行为判别方法、装置、计算设备及存储介质

Publications (2)

Publication Number Publication Date
CN110555007A CN110555007A (zh) 2019-12-10
CN110555007B true CN110555007B (zh) 2023-09-05

Family

ID=68739665

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910848927.3A Active CN110555007B (zh) 2019-09-09 2019-09-09 盗号行为判别方法、装置、计算设备及存储介质

Country Status (1)

Country Link
CN (1) CN110555007B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111259968A (zh) * 2020-01-17 2020-06-09 腾讯科技(深圳)有限公司 非法图像识别方法、装置、设备和计算机可读存储介质
CN111797978A (zh) * 2020-07-08 2020-10-20 北京天融信网络安全技术有限公司 一种内部威胁检测方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106209862A (zh) * 2016-07-14 2016-12-07 微梦创科网络科技(中国)有限公司 一种盗号防御实现方法及装置
WO2017177018A1 (en) * 2016-04-06 2017-10-12 Nec Laboratories America, Inc A mobile phone with system failure prediction using long short-term memory neural networks
CN109191167A (zh) * 2018-07-17 2019-01-11 阿里巴巴集团控股有限公司 一种目标用户的挖掘方法和装置
CN109271356A (zh) * 2018-09-03 2019-01-25 中国平安人寿保险股份有限公司 日志文件格式处理方法、装置、计算机设备和存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017177018A1 (en) * 2016-04-06 2017-10-12 Nec Laboratories America, Inc A mobile phone with system failure prediction using long short-term memory neural networks
CN106209862A (zh) * 2016-07-14 2016-12-07 微梦创科网络科技(中国)有限公司 一种盗号防御实现方法及装置
CN109191167A (zh) * 2018-07-17 2019-01-11 阿里巴巴集团控股有限公司 一种目标用户的挖掘方法和装置
CN109271356A (zh) * 2018-09-03 2019-01-25 中国平安人寿保险股份有限公司 日志文件格式处理方法、装置、计算机设备和存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
统一身份认证日志集中管理与账号风险检测;章思宇等;《东南大学学报(自然科学版)》;20171120;全文 *

Also Published As

Publication number Publication date
CN110555007A (zh) 2019-12-10

Similar Documents

Publication Publication Date Title
CN107609708B (zh) 一种基于手机游戏商店的用户流失预测方法及系统
WO2021174966A1 (zh) 训练风险识别模型的方法及装置
CN111784348B (zh) 账户风险识别方法及装置
CN109410036A (zh) 一种欺诈检测模型训练方法和装置及欺诈检测方法和装置
CN111310814A (zh) 利用不平衡正负样本对业务预测模型训练的方法及装置
CN111932269B (zh) 设备信息处理方法及装置
JP2022141931A (ja) 生体検出モデルのトレーニング方法及び装置、生体検出の方法及び装置、電子機器、記憶媒体、並びにコンピュータプログラム
CN112927061B (zh) 用户操作检测方法及程序产品
CN113011646B (zh) 一种数据处理方法、设备以及可读存储介质
CN112215604B (zh) 交易双方关系信息识别方法及装置
CN111368926B (zh) 图像筛选方法、装置和计算机可读存储介质
Barry-Straume et al. An evaluation of training size impact on validation accuracy for optimized convolutional neural networks
CN110555007B (zh) 盗号行为判别方法、装置、计算设备及存储介质
CN111428217A (zh) 欺诈团伙识别方法、装置、电子设备及计算机可读存储介质
CN111222638A (zh) 一种基于神经网络的网络异常检测方法及装置
CN112634017A (zh) 远程开卡激活方法、装置、电子设备及计算机存储介质
CN115687732A (zh) 基于ai和流式计算的用户分析方法及系统
CN113222732A (zh) 信息处理方法、装置、设备及存储介质
CN112487284A (zh) 银行客户画像生成方法、设备、存储介质及装置
CN115759748A (zh) 风险检测模型生成方法和装置、风险个体识别方法和装置
CN115204322B (zh) 行为链路异常识别方法和装置
CN116629423A (zh) 用户行为预测方法、装置、设备及存储介质
CN112116358A (zh) 一种交易欺诈行为的预测方法、装置及电子设备
CN109190556B (zh) 一种公证意愿真实性鉴别方法
CN112528140A (zh) 信息推荐方法、装置、设备、系统及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant