CN110995695A - 异常账户检测方法及装置、电子设备及存储介质 - Google Patents
异常账户检测方法及装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110995695A CN110995695A CN201911198697.7A CN201911198697A CN110995695A CN 110995695 A CN110995695 A CN 110995695A CN 201911198697 A CN201911198697 A CN 201911198697A CN 110995695 A CN110995695 A CN 110995695A
- Authority
- CN
- China
- Prior art keywords
- accounts
- event
- account
- events
- data set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种异常账户检测方法及装置、电子设备及存储介质,该异常账户检测方法包括:获取事件数据集,该事件数据集包括多个事件以及触发多个事件的多个账户;获取事件数据集中的账户的注册时间,得到多个注册时间;基于多个注册时间的分布,检测多个账户中是否存在异常账户。该异常账户检测方法简单易操作,可以有效检测出异常账户,检测效率高,检测准确率高,有助于拦截和预防网络攻击及欺诈行为。
Description
技术领域
本公开的实施例涉及一种异常账户检测方法及装置、电子设备及存储介质。
背景技术
随着信息技术的发展,各种互联网应用越来越多地出现在人们的日常生活中,用户可以便捷地通过在线网站或应用程序获取信息资源,进行交流分享。在使用在线网站或应用程序时,用户通常需要进行注册以获得账户,然后登录账户,从而进行资源获取或交流分享。
发明内容
针对采用虚假账户、机器人操作的账户等异常账户所实施的网络攻击和欺诈行为,本公开至少一个实施例提供一种异常账户检测方法及装置、电子设备及存储介质,可以有效检测出异常账户(例如虚假账户、机器人操作的账户等),检测效率高,检测准确率高,有助于拦截和预防网络攻击及欺诈行为。
本公开至少一个实施例提供一种异常账户检测方法,包括:获取事件数据集,其中,所述事件数据集包括多个事件以及触发所述多个事件的多个账户;获取所述事件数据集中的账户的注册时间,得到多个注册时间;基于所述多个注册时间的分布,检测所述多个账户中是否存在异常账户。
本公开至少一个实施例还提供一种异常账户检测装置,包括:事件数据集获取单元,配置为获取事件数据集,其中,所述事件数据集包括多个事件以及触发所述多个事件的多个账户;注册时间获取单元,配置为获取所述事件数据集中的账户的注册时间,得到多个注册时间;处理单元,配置为基于所述多个注册时间的分布,检测所述多个账户中是否存在异常账户。
本公开至少一个实施例还提供一种电子设备,包括:处理器;存储器,包括一个或多个计算机程序模块;其中,所述一个或多个计算机程序模块被存储在所述存储器中并被配置为由所述处理器执行,所述一个或多个计算机程序模块包括用于实现本公开任一实施例所述的异常账户检测方法的指令。
本公开至少一个实施例还提供一种存储介质,用于存储非暂时性计算机可读指令,当所述非暂时性计算机可读指令由计算机执行时可以实现本公开任一实施例所述的异常账户检测方法。
附图说明
结合附图并参考以下具体实施方式,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中,相同的附图标记表示相同的元素。应当理解附图是示意性的,原件和元素不一定按照比例绘制。
图1为本公开一实施例提供的一种异常账户检测方法的流程示意图;
图2为图1所示的方法的步骤S10的流程示意图;
图3为图1所示的方法的步骤S20的流程示意图;
图4为图1所示的方法的步骤S30的流程示意图;
图5为本公开一实施例提供的另一种异常账户检测方法的流程示意图;
图6A为本公开一实施例提供的一种异常账户检测方法的应用流程示意图;
图6B为一种可用于实施本公开实施例提供的异常账户检测方法的系统;
图7为本公开一实施例提供的一种异常账户检测装置的示意框图;
图8为本公开一实施例提供的一种电子设备的示意框图;
图9为本公开一实施例提供的另一种电子设备的示意框图;以及
图10为本公开一实施例提供的一种存储介质的示意图。
具体实施方式
下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
应当理解,本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。
本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。
需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
互联网服务为人们的生活带来了便利,然而,一些用户却通过滥用互联网服务获取不正当的利益。这些恶意用户通过发布垃圾信息、虚假信息、钓鱼信息等方式扰乱互联网秩序。例如,当部分服务商建立新网站或者推出新业务时,服务商会在网上进行一些促销返利活动以招揽顾客。恶意用户通过注册大量虚假账户直接获取经济利益。当服务商不再有促销活动时,这些虚假账户就变成了僵尸账户。服务商需要对所有账户进行管理,无疑增大了网站或应用程序的运营成本。
例如,可以采取一些安全措施来规避风险,例如,采用举报机制或验证机制。当采用举报机制时,由于注册新用户几乎零成本,即使网站封停了一个恶意用户,该用户可以马上注册新的身份实施攻击或欺诈。并且,恶意用户注册时通常使用虚假信息,由于信息不具有真实性,定位用户的真实身份变得极为困难。当采用验证机制时,例如验证用户手机号或者邮箱来唯一标识一个真实用户,恶意用户往往可以有大量的手机号和邮箱以用于注册,这种防范措施也不能很好地抵抗攻击和欺诈。
本公开至少一个实施例提供一种异常账户检测方法及装置、电子设备及存储介质,该异常账户检测方法简单易操作,可以有效检测出异常账户(例如虚假账户、机器人操作的账户等),检测效率高,检测准确率高,有助于拦截和预防网络攻击及欺诈行为。
下面,将参考附图详细地说明本公开的实施例。
本公开至少一个实施例提供一种异常账户检测方法,该方法包括:获取事件数据集,该事件数据集包括多个事件以及触发多个事件的多个账户;获取事件数据集中的账户的注册时间,得到多个注册时间;基于多个注册时间的分布,检测多个账户中是否存在异常账户。
图1为本公开一实施例提供的一种异常账户检测方法的流程示意图。如图1所示,在至少一个实施例中,该方法包括如下操作。
步骤S10:获取事件数据集,其中,事件数据集包括多个事件以及触发多个事件的多个账户;
步骤S20:获取事件数据集中的账户的注册时间,得到多个注册时间;
步骤S30:基于多个注册时间的分布,检测多个账户中是否存在异常账户。
例如,在步骤S10中,事件数据集为多个事件的集合,事件数据集也可称为子空间。这些事件为互联网中的用户行为数据流中的事件,例如可以为社交应用程序(例如,即时通讯应用、短视频应用、社交媒体应用等)中的点赞、关注、转发、抢红包等操作,也可以为直播应用程序中的刷礼物等操作。例如,事件数据集可以采用适当的数据库形式,例如关系型数据库或非关系性数据库,例如可以与实现本公开实施例的异常账户检测方法的程序运行在同一计算机中,或单独运行在局域网中的数据库服务器上,或运行在互联网中的数据库服务器(例如云服务器)上等。例如,在同一个事件数据集中,多个事件为同一类型的事件。需要说明的是,本公开的实施例中,事件的具体类型不受限制,这可以根据实际需求而定,例如根据应用场景而定。例如,多个事件可以为任意数量,这可以根据实际需求而定,例如根据实际发生的事件数量而定。
对于每一个事件,事件数据集包括一个或多个触发该事件的账户。例如,以点赞操作为例,触发点赞操作的账户为两个,也即,点赞账户和被点赞账户,因此可以根据事件数据集的类型将点赞账户和/或被点赞账户记录到该事件数据集中。例如,以关注操作为例,触发关注操作的账户也为两个,也即,关注发起账户和被关注账户,因此可以根据事件数据集的类型将关注发起账户和/或被关注账户记录到该事件数据集中。需要说明的是,本公开的实施例中,触发事件的账户可以为任意个数,这可以根据实际需求而定,本公开的实施例对此不作限制。
例如,在同一个事件数据集中,事件的数量可以等于账户的数量,也可以等于账户数量的二分之一。当然,本公开的实施例不限于此,根据不同的实际需求,在同一个事件数据集中,事件的数量也可以不等于账户的数量,且不等于账户数量的二分之一。
例如,在步骤S20中,得到事件数据集之后,获取事件数据集中账户的注册时间,从而得到多个注册时间。例如,每个账户具有单一唯一标识(Identification,ID)(例如可以为网站或应用程序生成的序列号或字符串,还可以为电话号码、邮箱、账户名、驾照号码等),且根据该单一标识可以查询到注册时间;又例如每个账户可以具有多个唯一标识(例如网站或应用程序生成的序列号或字符串、电话号码、邮箱、账户名、驾照号码等),且根据该多个标识中至少一个可以查询到注册时间。该异常账户检测方法例如在网站或应用程序的服务器中通过运行代码的方式执行,因此,可以通过服务器便捷地获取账户的注册时间。例如,包括注册时间在内的账户信息存储在该服务器中或存储在另行提供的独立的存储服务器中。当账户信息存储在该服务器中时,可以直接获取账户的注册时间。当账户信息存储在另行提供的独立的存储服务器中时,上述服务器与该存储服务器通过通信协议进行信号传输,从而获取账户的注册时间。
需要说明的是,本公开的实施例中,多个注册时间分别对应的账户彼此不同,因此,多个注册时间的数量可以等于或小于事件数据集中多个账户的数量。例如,当事件数据集中的多个账户彼此不同时,多个注册时间的数量等于多个账户的数量。又例如,当事件数据集中的多个账户存在重复账户时(例如某一个账户触发了多个事件),则多个注册时间的数量小于多个账户的数量。
例如,在步骤S30中,根据多个注册时间可以得到多个注册时间的分布,该分布例如可以通过一些代表分布特征的参数表示。
对于多个正常的账户,其注册时间的分布较为均衡、稳定,且具有一定规律,正常账户的注册时间分布可以通过训练或学习的方法得到。然而,对于存在恶意攻击和欺诈的情形,攻击者往往会在短时间内通过软件注册大量虚假账户,这些虚假账户的注册时间较为集中,其注册时间分布与正常的账户的注册时间分布不同。而且,攻击者若要根据正常的注册时间分布来注册大量虚假账户,其时间成本和金钱成本是昂贵的,因此虚假账户的注册时间分布难以模仿正常账户的注册时间分布。
因此,在步骤S30中,可以将多个注册时间的分布与预设时间分布进行比较,判断多个注册时间的分布是否偏离预设时间分布。例如,预设时间分布为正常的注册时间分布,也即是,预设时间分布对应的多个账户均为正常账户,不存在异常账户(例如虚假账户)。若多个注册时间的分布偏离预设时间分布,则判断多个注册时间对应的账户存在异常账户(例如虚假账户)。
由此,根据事件数据集中账户的注册时间分布,可以检测多个账户中是否存在异常账户,从而快速、高效地识别异常账户,该方法简单易操作,检测效率高,检测准确率高,有助于拦截和预防网络攻击及欺诈行为。
图2为图1所示的方法的步骤S10的流程示意图。例如,在至少一个实施例中,步骤S10包括如下操作。
步骤S11:记录满足约束条件的全部事件;
步骤S12:选择全部事件中满足事件数据集要求的多个事件,并根据事件数据集的类型将多个事件以及触发多个事件的多个账户记录到事件数据集。
例如,在步骤S11中,满足约束条件的全部事件包括:在预设时间窗口内发生的同一类型的全部事件,或者涉及同一内容的同一类型的全部事件。例如,预设时间窗口可以根据需要设定,例如可以设置为5分钟、30分钟、1小时等,本公开的实施例对此不作限制。例如,在一些示例中,可以记录在5分钟内发生的全部点赞操作。例如,在另一些示例中,可以记录针对某一帖子(即涉及同一内容)的全部转发操作,此时无需限定时间。需要说明的是,本公开的实施例中,约束条件不限于上文描述的情形,也可以为其他适用的情形,本公开的实施例对此不作限制。
例如,在步骤S12中,根据事件数据集的要求选择全部事件中的多个事件。例如,可以根据IP地址、操作系统(OS)版本、应用程序版本、下载频道等参数来设定事件数据集的要求。例如,可以选择涉及同一IP地址或同一IP地址段的多个事件,或者,可以选择既涉及同一IP地址(或同一IP地址段)又涉及同一OS版本的多个事件,还可以选择满足其他要求的多个事件。对于存在恶意攻击和欺诈的情形,攻击者通常会在同一台电脑上通过大量虚假账户实施攻击和欺诈行为,因此这些虚假账户触发的事件往往会涉及同一IP地址(或同一IP地址段)和同一OS版本。
通过对事件数据集设定要求,并根据该要求选择全部事件中的多个事件,可以有效减少工作量,减少用于后续处理的数据量。需要说明的是,本公开的实施例中,事件数据集的要求可以根据实际需求设定,例如根据要实现的检测结果的精细程度和准确度而定,本公开的实施例对此不作限制。例如,还可以不设定事件数据集的要求并选择全部事件,以实现全面且无遗漏的检测。
例如,事件数据集的类型包括第一类型、第二类型和第三类型。第一类型为主体-事件-对象,第二类型为主体-事件,第三类型为事件-对象。这里,主体为事件的发起方,对象为事件的接受方。例如,以点赞操作为例,主体为点赞用户,对象为被点赞用户。例如,以转发操作为例,主体为转发某一内容的用户,对象为在先发布该内容的用户。例如,以直播间刷礼物操作为例,主体为送礼物的用户,对象为直播间ID或主播ID。例如,根据不同的应用场景,主体可以为ID、设备ID、IP地址等,对象可以为ID、设备ID、视频ID、直播间ID等。
第一类型的事件数据集中记录事件以及每个事件对应的主体和对象的账户,第二类型的事件数据集中记录事件以及每个事件对应的主体的账户,第三类型的事件数据集中记录事件以及每个事件对应的对象的账户。例如,在一些示例中,需要对点赞操作所涉及的主体和对象均进行监控,因此可以采用第一类型的事件数据集,并将这些点赞操作涉及的主体和对象的账户均记录到该事件数据集中。例如,在另一些示例中,需要对转发某一内容的主体进行监控,而无需关注转发内容的来源,因此,可以采用第二类型的事件数据集,并将这些转发操作涉及的主体的账户记录到该事件数据集中。例如,在再一些示例中,需要对直播间刷礼物所涉及的对象进行监控,而无需关注礼物是由哪些用户送的,因此,可以采用第三类型的事件数据集,并将这些刷礼物操作涉及的对象的账户记录到该事件数据集中。
需要说明的是,本公开的实施例中,事件数据集的类型不限于上文描述的第一类型、第二类型和第三类型,还可以为其他任意适用的类型,例如可以根据应用场景而定义,本公开的实施例对此不作限制。例如,可以根据需要监控的账户来定义事件数据集的类型,以将需要监控的账户记录到所定义的事件数据集中。
例如,事件数据集包括多个事件以及触发多个事件的多个账户。触发每个事件的账户包括一个或多个账户,触发每个事件的账户包括该事件的主体和/或对象的账户。例如,在第一类型的事件数据集中,触发每个事件的账户包括两个账户,即主体的账户和对象的账户。例如,在第二类型的事件数据集中,触发每个事件的账户包括一个账户,即主体的账户,此时,每个事件对应的对象的账户没有记录到该事件数据集中。例如,在第三类型的事件数据集中,触发每个事件的账户包括一个账户,即对象的账户,此时,每个事件对应的主体的账户没有记录到该事件数据集中。
需要说明的是,本公开的实施例中,在事件数据集中,触发每个事件的账户可以为1个、2个、3个、4个或其他任意个数,这可以根据实际需求而定,本公开的实施例对此不作限制。
图3为图1所示的方法的步骤S20的流程示意图。例如,在至少一个实施例中,步骤S20包括如下操作。
步骤S21:将事件数据集中重复的账户排除;
步骤S22:获取事件数据集中不同账户的注册时间,得到多个注册时间。
例如,在步骤S21中,由于事件数据集中的多个事件对应的账户可能会存在重复账户,因此需要将重复的账户排除。例如,以点赞操作为例,假设在预设时间窗口(例如5分钟)内记录了1000个点赞操作,并根据事件数据集的要求(例如IP地址、OS版本等)将其中的800个点赞操作及这些点赞操作的主体和对象的账户记录到第一类型的事件数据集中。此时,每个点赞操作对应2个账户,该事件数据集中记录有1600个账户。在这800个点赞操作中,可能会存在一部分(例如100个)点赞操作是由同一个主体触发的,因此这100个点赞操作的主体的账户是相同的(重复的)。在该事件数据集的1600个账户中,存在100个重复账户,因此将重复账户排除(仅保留1个,排除其余99个),得到余下的1501个账户,以用于后续步骤的处理。通过这种方式,可以避免由于重复账户导致的注册时间的分布发生错误,从而可以提高检测结果的准确性。
例如,在步骤S22中,如前文所述,每个账户具有唯一ID,且根据该ID可以查询到注册时间。该异常账户检测方法例如在网站或应用程序的服务器中通过运行代码的方式执行,因此,可以通过服务器便捷地获取账户的注册时间。例如,多个注册时间对应于不同的账户。多个注册时间的数量小于或等于事件数据集中记录的账户的数量。
图4为图1所示的方法的步骤S30的流程示意图。例如,在至少一个实施例中,步骤S30包括如下操作。
步骤S31:根据多个注册时间的分布,得到第一参数;
步骤S32:将第一参数与预设阈值比较;
步骤S33:若第一参数偏离预设阈值,则判断存在异常账户。
例如,在步骤S31中,第一参数代表多个注册时间的分布的特征。例如,第一参数为相邻的注册时间的间隔时间的平均值或多个注册时间的信息熵。当然,本公开的实施例不限于此,第一参数可以为任意适用的参数,只要第一参数能够代表多个注册时间的分布的特征即可。
例如,在步骤S32中,预设阈值代表预设时间分布的特征,该预设时间分布为正常的注册时间分布,也即是,该预设时间分布对应的账户中不存在异常账户。例如,该预设阈值通过机器学习得到。例如,可以提供样本作为训练数据,并采用神经网络算法进行训练,从而得到预设阈值。当然,本公开的实施例不限于此,也可以采用机器学习领域中的其他算法来进行训练,以得到预设阈值,或者,也可以采用经验值或实验归纳值。
例如,在步骤S33中,若第一参数偏离预设阈值,则表示多个注册时间的分布偏离了预设时间分布(即偏离了正常的注册时间分布),因此,可以判断多个注册时间对应的账户中存在异常账户(例如存在虚假账户)。这里,第一参数偏离预设阈值包括:第一参数大于预设阈值,或者第一参数小于预设阈值。例如,根据第一参数和预设阈值的类型,当第一参数偏离预设阈值时,第一参数有可能大于预设阈值,也有可能小于预设阈值,这可以根据第一参数和预设阈值的类型而定。
下面对步骤S31-S33的具体实施方式进行示例性的说明。
例如,在一些示例中,首先对N个注册时间进行排序,例如按照时间先后顺序排序。然后,计算相邻两个注册时间的间隔时间,得到M个间隔时间。例如,M=N-1,N和M均为正整数,且N≥2,M≥1。接着,计算M个间隔时间的平均值,得到平均间隔时间T。在该示例中,平均间隔时间T即为第一参数,平均间隔时间T代表了N个注册时间的分布的特征。
然后,将平均间隔时间T与预设阈值T0进行比较。例如,预设阈值T0通过机器学习得到,预设阈值T0可以为正常的注册时间分布中相邻注册时间的间隔时间的平均值,也可以为正常的注册时间分布中相邻注册时间的间隔时间的平均值的50%~80%。当平均间隔时间T小于预设阈值T0时,则表示N个注册时间间隔较短,注册时间较为集中,可能为攻击者批量注册的虚假账户,因此判断N个注册时间对应的账户中存在虚假账户。
例如,在另一些示例中,首先根据多个注册时间得到注册时间范围,该注册时间范围为最早的注册时间至最晚的注册时间。然后,将该注册时间范围划分为多个时间段,例如按天划分或按小时划分。接着,统计多个注册时间在每个时间段的数量,例如统计每天的注册数量或每小时的注册数量,以得到多个区间注册数量X,X为整数且X≥0。在该示例中,区间注册数量X即为第一参数,区间注册数量X代表了多个注册时间的分布的特征。
然后,将多个区间注册数量X依次与预设阈值X0进行比较。例如,预设阈值X0通过机器学习得到,预设阈值X0可以为正常的注册时间分布中的区间注册数量的平均值,也可以为正常的注册时间分布中的区间注册数量的平均值的1.5~2倍。当某一区间注册数量X大于预设阈值X0时,则表示在对应的时间段内有大量账户进行了注册,可能为攻击者批量注册的虚假账户,因此判断该时间段内的多个注册时间对应的账户中存在虚假账户。
例如,在该示例中,还可以用多个注册时间的信息熵作为第一参数。例如,在统计得到多个注册时间在每个时间段的数量之后,根据信息熵计算公式H(X)=E[l(Xi)],可以计算出多个注册时间的信息熵H(X)。这里,Xi表示每个时间段内的注册时间数量。信息熵H(X)越大,则表示注册时间在各个时间段出现的不确定性越大。例如,此时的预设阈值可以为通过机器学习得到的标准信息熵。当信息熵H(X)大于标准信息熵时,则表示注册时间在各个时间段出现的不确定性太大,可能为攻击者在某些时间段内批量注册了虚假账户,因此判断多个注册时间对应的账户中存在虚假账户。
需要说明的是,本公开的实施例中,信息熵的计算方法不限于上文描述的方法,也可以为其他适用的方法,只要计算得到的信息熵能够代表多个注册时间的分布的特征即可,本公开的实施例对此不作限制。关于信息熵的详细说明可以参考常规设计,此处不再详述。
需要说明的是,本公开的实施例中,步骤S31-S33的具体实施方式不限于上文中描述的方式,还可以为其他任意适用的方式,本公开的实施例对此不作限制。例如,第一参数可以为代表多个注册时间分布的特征的任意参数,因此,对于多个注册时间的处理和计算方式可以根据该第一参数而定。
图5为本公开一实施例提供的另一种异常账户检测方法的流程示意图。例如,在至少一个实施例中,如图5所示,该异常账户检测方法还包括步骤S40,步骤S10-S30与图1所示的异常账户检测方法中的步骤S10-S30基本相同,此处不再赘述。在该实施例中,异常账户检测方法还包括如下操作。
步骤S40:若检测到存在异常账户,发出反馈信息。
例如,在步骤S40中,反馈信息可以包括提示内容,该提示内容表示检测到存在异常账户。利用该反馈信息,可以进行实时提醒,也即是,一旦检测到存在异常账户,则向检测者实时发出警报。
例如,反馈信息还可以包括异常账户的ID,这些ID被提供给检测者以用于后续的应对恶意攻击和欺诈行为的操作。例如,可以将这些异常账户的ID删除、注销或冻结,或者对这些异常账户的ID触发的事件进行实时拦截。例如,还可以生成黑名单,该黑名单包括异常账户的ID,该黑名单可以提供给其他相关应用的服务器,以预防可能发生的恶意攻击和欺诈行为。例如,该黑名单可以基于某一次检测结果实时生成,也可以回扫历史数据以根据一定时间内(例如前两个月内、前半年内或其他合适的时间段内)的多个检测结果生成。
需要说明的是,本公开的实施例中,反馈信息还可以包括更多内容,这可以根据实际需求而定,本公开的实施例对此不作限制。
需要说明的是,本公开的实施例中,异常账户检测方法还可以包括更多的步骤,各个步骤的执行顺序不受限制,可以顺序执行或并行执行,这可以根据实际需求灵活设置。虽然上文以特定顺序描述了各个步骤的执行过程,但这并不构成对本公开实施例的限制。
图6A为本公开一实施例提供的一种异常账户检测方法的应用流程示意图。下面,以检测进行点赞操作的账户中是否存在虚假账户为例,结合图6A对本公开实施例提供的异常账户检测方法的应用流程进行示例性的简要说明。
对于某一社交应用程序,该应用程序的服务器会持续获取用户行为数据流。例如,用户行为数据流包括了用户使用该应用程序时触发的事件,例如点赞、发布新消息、转发、关注等操作。将该用户行为数据流根据时间和空间分组,并插入服务器的进程。根据用户行为数据流中新的事件进行特征生成,并将签名插入服务器的进程。同时,在特征生成过程中,也可以从服务器的进程加载之前生成的签名。例如,进行特征生成后,新的事件被划分为多类,每一类事件为同一类型的事件。例如,所有的点赞操作被划分为第一类事件,所有的发布新消息操作被划分为第二类事件,所有的转发操作被划分为第三类事件,所有的关注操作被划分为第四类事件。
然后,开始执行本公开实施例提供的异常账户检测方法。例如,根据在预设时间窗口(例如5分钟)内得到的第一类事件(即点赞操作),依据事件数据集的要求(例如涉及同一IP地址),选择涉及同一IP地址的点赞操作,并将这些点赞操作以及触发这些点赞操作的主体和对象的账户记录到第一类型的事件数据集中,从而获得事件数据集。接着,排除该事件数据集中重复的账户,并根据余下的账户的ID,从服务器中查询这些账户的注册时间,从而得到多个注册时间。
然后,基于多个注册时间的分布,检测是否存在异常账户。例如,可以计算相邻的注册时间的间隔时间的平均值以作为第一参数,或者计算多个注册时间的信息熵以作为第一参数,然后将第一参数与预设阈值进行比较。
若第一参数没有偏离预设阈值,则判断进行点赞操作的账户中不存在异常账户,返回并重新开始执行该异常账户检测方法,以继续进行检测。
若第一参数偏离预设阈值,则判断进行点赞操作的账户中存在异常账户,并进一步发出反馈信息。例如,反馈信息中包括提示内容和异常账户的ID。例如,提示内容通过显示器显示,检测者看到提示内容后可以得知有虚假账户在进行点赞操作。拦截程序接收到异常账户的ID,从而实时拦截服务器中由异常账户触发的事件,例如关闭异常账户的点赞权限。并且,根据大量拦截的点赞操作,生成虚假用户的恶意行为模式,以用于预防今后可能发生的恶意攻击和欺诈行为。
需要说明的是,关于用户行为数据流、时间和空间分组、特征生成等相关操作可以参考常规设计,例如参考通常的网站或应用程序的服务器的处理方式,此处不再详述。本公开实施例提供的异常账户检测方法可以通过子程序或子线程的方式运行在服务器中,并基于服务器获取的数据进行检测,并进一步实现实时拦截,以及进行虚假用户恶意行为模式分析。
通过实验数据可知,该异常账户检测方法可以有效检测出异常账户并进行拦截,且被误拦截的账户较少,错误率较低。该异常账户检测方法的检测效率高,检测准确率高。
图6B为一种可用于实施本公开实施例提供的异常账户检测方法的系统。如图6B所示,该系统10可以包括用户终端11、网络12、服务器13以及数据库14。例如,该系统10可以用于实施本公开任一实施例所述的异常账户检测方法。
用户终端11例如为电脑11-1或手机11-2。可以理解的是,用户终端11可以是能够执行数据处理的任何其他类型的电子设备,其可以包括但不限于台式电脑、笔记本电脑、平板电脑、智能手机、智能家居设备、可穿戴设备、车载电子设备、监控设备等。用户终端11也可以是设置有电子设备的任何装备,例如车辆、机器人等。
用户可以对安装在用户终端11上的应用程序或在用户终端11上登录的网站进行操作,应用程序或网站通过网络12将用户行为数据传输给服务器13,用户终端11还可以通过网络12接收服务器13传输的数据。服务器13持续获取用户行为数据流,并可以通过运行子程序或子线程的方式实施本公开实施例提供的异常账户检测方法。
例如,当用户在用户终端11上使用微信时,用户所进行的点赞、转发等操作会通过网络12传输给服务器13,服务器13获取用户的这些操作,并基于触发这些操作的账户的注册时间分布进行异常账户检测,从而可以发现异常账户,并进一步拦截和预防网络攻击及欺诈行为。
在一些示例中,服务器13可以利用服务器内置的应用程序执行异常账户检测方法。在另一些示例中,服务器13可以通过调用服务器13外部存储的应用程序执行异常账户检测方法。
网络12可以是单个网络,或至少两个不同网络的组合。例如,网络12可以包括但不限于局域网、广域网、公用网络、专用网络等中的一种或几种的组合。
服务器13可以是一个单独的服务器,或一个服务器群组,群组内的各个服务器通过有线的或无线的网络进行连接。一个服务器群组可以是集中式的,例如数据中心,也可以是分布式的。服务器13可以是本地的或远程的。
数据库14可以泛指具有存储功能的设备。数据库14主要用于存储用户终端11和服务器13在工作中所利用、产生和输出的各种数据。数据库14可以是本地的或远程的。数据库14可以包括各种存储器、例如随机存取存储器(Random Access Memory,RAM)、只读存储器(Read Only Memory,ROM)等。以上提及的存储设备只是列举了一些例子,该系统10可以使用的存储设备并不局限于此。
数据库14可以经由网络12与服务器13或其一部分相互连接或通信,或直接与服务器13相互连接或通信,或是上述两种方式的结合。
在一些示例中,数据库14可以是独立的设备。在另一些示例中,数据库14也可以集成在用户终端11和服务器13中的至少一个中。例如,数据库14可以设置在用户终端11上,也可以设置在服务器13上。又例如,数据库14也可以是分布式的,其一部分设置在用户终端11上,另一部分设置在服务器13上。
本公开至少一个实施例还提供一种异常账户检测装置,该异常账户检测装置可以有效检测出异常账户(例如虚假账户、机器人操作的账户等),检测效率高,检测准确率高,有助于拦截和预防网络攻击及欺诈行为。
图7为本公开一实施例提供的一种异常账户检测装置的示意框图。如图7所示,该异常账户检测装置100包括事件数据集获取单元110、注册时间获取单元120和处理单元130。例如,该异常账户检测装置100可以应用于网站或应用程序的服务运行系统中(例如服务器中),也可以应用于任意的需要对异常账户(例如虚假账户)进行检测的设备或系统中,本公开的实施例对此不作限制。
事件数据集获取单元110配置为获取事件数据集。例如,事件数据集包括多个事件以及触发多个事件的多个账户。例如,事件数据集获取单元110可以执行如图1或图5所示的异常账户检测方法的步骤S10。注册时间获取单元120配置为获取事件数据集中的账户的注册时间,得到多个注册时间。例如,注册时间获取单元120可以执行如图1或图5所示的异常账户检测方法的步骤S20。处理单元130配置为基于多个注册时间的分布,检测多个账户中是否存在异常账户。例如,处理单元130可以执行如图1或图5所示的异常账户检测方法的步骤S30。
例如,事件数据集获取单元110、注册时间获取单元120和处理单元130可以为硬件、软件、固件以及它们的任意可行的组合。例如,事件数据集获取单元110、注册时间获取单元120和处理单元130可以为专用或通用的电路、芯片或装置等,也可以为处理器和存储器的结合。关于事件数据集获取单元110、注册时间获取单元120和处理单元130的具体实现形式,本公开的实施例对此不作限制。
需要说明的是,本公开的实施例中,异常账户检测装置100的各个单元与前述的异常账户检测方法的各个步骤对应,关于异常账户检测装置100的具体功能可以参考关于异常账户检测方法的相关描述,此处不再赘述。图7所示的异常账户检测装置100的组件和结构只是示例性的,而非限制性的,根据需要,该异常账户检测装置100还可以包括其他组件和结构。例如,在一些示例中,异常账户检测装置100还可以包括提示单元,该提示单元配置为,当处理单元130检测到存在异常账户时,发出反馈信息。也即是,该提示单元可以执行如图5所示的异常账户检测方法的步骤S40。
图8为本公开一实施例提供的一种电子设备的示意框图。如图8所示,电子设备200包括处理器210和存储器220。存储器220用于存储非暂时性计算机可读指令(例如一个或多个计算机程序模块)。处理器210用于运行非暂时性计算机可读指令,非暂时性计算机可读指令被处理器210运行时可以执行上文所述的异常账户检测方法中的一个或多个步骤。存储器220和处理器210可以通过总线系统和/或其它形式的连接机构(未示出)互连。
例如,处理器210可以是中央处理单元(CPU)、数字信号处理器(DSP)或者具有数据处理能力和/或程序执行能力的其它形式的处理单元,例如现场可编程门阵列(FPGA)等;例如,中央处理单元(CPU)可以为X86或ARM架构等。处理器210可以为通用处理器或专用处理器,可以控制电子设备200中的其它组件以执行期望的功能。
例如,存储器220可以包括一个或多个计算机程序产品的任意组合,计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。非易失性存储器例如可以包括只读存储器(ROM)、硬盘、可擦除可编程只读存储器(EPROM)、便携式紧致盘只读存储器(CD-ROM)、USB存储器、闪存等。在计算机可读存储介质上可以存储一个或多个计算机程序模块,处理器210可以运行一个或多个计算机程序模块,以实现电子设备200的各种功能。在计算机可读存储介质中还可以存储各种应用程序和各种数据以及应用程序使用和/或产生的各种数据等。
需要说明的是,本公开的实施例中,电子设备200的具体功能和技术效果可以参考上文中关于异常账户检测方法的描述,此处不再赘述。
图9为本公开一实施例提供的另一种电子设备的示意框图。该电子设备300例如适于用来实施本公开实施例提供的异常账户检测方法。电子设备300可以是云平台或服务器等。需要注意的是,图9示出的电子设备300仅仅是一个示例,其不会对本公开实施例的功能和使用范围带来任何限制。
如图9所示,电子设备300可以包括处理装置(例如中央处理器、图形处理器等)310,其可以根据存储在只读存储器(ROM)320中的程序或者从存储装置380加载到随机访问存储器(RAM)330中的程序而执行各种适当的动作和处理。在RAM 330中,还存储有电子设备300操作所需的各种程序和数据。处理装置310、ROM 320以及RAM 330通过总线340彼此相连。输入/输出(I/O)接口350也连接至总线340。
通常,以下装置可以连接至I/O接口350:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置360;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置370;包括例如磁带、硬盘等的存储装置380;以及通信装置390。通信装置390可以允许电子设备300与其他电子设备进行无线或有线通信以交换数据。虽然图9示出了具有各种装置的电子设备300,但应理解的是,并不要求实施或具备所有示出的装置,电子设备300可以替代地实施或具备更多或更少的装置。
例如,根据本公开的实施例,图1或图5所示的异常账户检测方法可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包括用于执行上述异常账户检测方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置390从网络上被下载和安装,或者从存储装置380安装,或者从ROM 320安装。在该计算机程序被处理装置310执行时,可以执行本公开实施例提供的异常账户检测方法中限定的功能。
本公开至少一实施例还提供一种存储介质,用于存储非暂时性计算机可读指令,当该非暂时性计算机可读指令由计算机执行时可以实现本公开任一实施例所述的异常账户检测方法。利用该存储介质,可以有效检测出异常账户(例如虚假账户、机器人操作的账户等),检测效率高,检测准确率高,有助于拦截和预防网络攻击及欺诈行为。
图10为本公开一实施例提供的一种存储介质的示意图。如图10所示,存储介质400用于存储非暂时性计算机可读指令410。例如,当非暂时性计算机可读指令410由计算机执行时可以执行根据上文所述的异常账户检测方法中的一个或多个步骤。
例如,该存储介质400可以应用于上述电子设备200中。例如,存储介质400可以为图8所示的电子设备200中的存储器220。例如,关于存储介质400的相关说明可以参考图8所示的电子设备200中的存储器220的相应描述,此处不再赘述。
在上文中,结合图1至图10描述了本公开实施例提供的异常账户检测方法、异常账户检测装置、电子设备和存储介质。本公开实施例提供的异常账户检测方法基于多个注册时间的分布来检测异常账户,该方法简单易操作。并且,由于昂贵的时间成本和金钱成本,虚假账户的注册时间分布难以模仿正常的注册时间分布,因此攻击者难以逃避检测。本公开实施例提供的异常账户检测方法可以有效检测出异常账户(例如虚假账户、机器人操作的账户等),检测效率高,检测准确率高,有助于拦截和预防网络攻击及欺诈行为。
需要说明的是,本公开上述的存储介质(计算机可读介质)可以是计算机可读信号介质或者非暂时性计算机可读存储介质或者是上述两者的任意组合。非暂时性计算机可读存储介质例如可以是,但不限于,电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。非暂时性计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,非暂时性计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是非暂时性计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如超文本传输协议(Hyper TextTransfer Protocol,HTTP)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(LAN),广域网(WAN),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:获取至少两个网际协议地址;向节点评价设备发送包括所述至少两个网际协议地址的节点评价请求,其中,所述节点评价设备从所述至少两个网际协议地址中,选取网际协议地址并返回;接收所述节点评价设备返回的网际协议地址;其中,所获取的网际协议地址指示内容分发网络中的边缘节点。
或者,上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:接收包括至少两个网际协议地址的节点评价请求;从所述至少两个网际协议地址中,选取网际协议地址;返回选取出的网际协议地址;其中,接收到的网际协议地址指示内容分发网络中的边缘节点。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括但不限于面向对象的程序设计语言,诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,例如局域网(LAN)或广域网(WAN),连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这根据所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该单元本身的限定。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等。
在本公开中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
根据本公开的一个或多个实施例,至少提供了如下异常账户检测方法及装置、电子设备及存储介质。
根据本公开的一个或多个实施例的异常账户检测方法,包括:获取事件数据集,其中,所述事件数据集包括多个事件以及触发所述多个事件的多个账户;获取所述事件数据集中的账户的注册时间,得到多个注册时间;基于所述多个注册时间的分布,检测所述多个账户中是否存在异常账户。
根据本公开的一个或多个实施例的异常账户检测方法,其中,获取所述事件数据集包括:记录满足约束条件的全部事件;选择所述全部事件中满足所述事件数据集要求的所述多个事件,并根据所述事件数据集的类型将所述多个事件以及触发所述多个事件的所述多个账户记录到所述事件数据集。
根据本公开的一个或多个实施例的异常账户检测方法,其中,触发每个事件的账户包括一个或多个账户。
根据本公开的一个或多个实施例的异常账户检测方法,其中,触发每个事件的账户包括所述事件的主体和/或对象的账户,所述主体为所述事件的发起方,所述对象为所述事件的接受方。
根据本公开的一个或多个实施例的异常账户检测方法,其中,所述事件数据集的类型包括第一类型、第二类型和第三类型,所述第一类型为主体-事件-对象,所述第二类型为主体-事件,所述第三类型为事件-对象。
根据本公开的一个或多个实施例的异常账户检测方法,其中,所述满足约束条件的全部事件包括:在预设时间窗口内发生的同一类型的全部事件,或者涉及同一内容的同一类型的全部事件。
根据本公开的一个或多个实施例的异常账户检测方法,其中,基于所述多个注册时间的分布,检测所述多个账户中是否存在所述异常账户,包括:根据所述多个注册时间的分布,得到第一参数;将所述第一参数与预设阈值比较;若所述第一参数偏离所述预设阈值,则判断存在所述异常账户。
根据本公开的一个或多个实施例的异常账户检测方法,其中,所述第一参数代表所述多个注册时间的分布的特征。
根据本公开的一个或多个实施例的异常账户检测方法,其中,所述第一参数为相邻的注册时间的间隔时间的平均值或所述多个注册时间的信息熵。
根据本公开的一个或多个实施例的异常账户检测方法,其中,所述预设阈值代表预设时间分布的特征,所述预设时间分布对应的账户中不存在所述异常账户。
根据本公开的一个或多个实施例的异常账户检测方法,其中,所述预设阈值通过机器学习得到。
根据本公开的一个或多个实施例的异常账户检测方法,其中,所述第一参数偏离所述预设阈值包括:所述第一参数大于所述预设阈值,或者所述第一参数小于所述预设阈值。
根据本公开的一个或多个实施例的异常账户检测方法,其中,获取所述事件数据集中的账户的注册时间,得到所述多个注册时间,包括:将所述事件数据集中重复的账户排除;获取所述事件数据集中不同账户的注册时间,得到所述多个注册时间。
根据本公开的一个或多个实施例的异常账户检测方法,还包括:若检测到存在所述异常账户,发出反馈信息。
根据本公开的一个或多个实施例的异常账户检测装置,包括:事件数据集获取单元,配置为获取事件数据集,其中,所述事件数据集包括多个事件以及触发所述多个事件的多个账户;注册时间获取单元,配置为获取所述事件数据集中的账户的注册时间,得到多个注册时间;处理单元,配置为基于所述多个注册时间的分布,检测所述多个账户中是否存在异常账户。
根据本公开的一个或多个实施例的电子设备,包括:处理器;存储器,包括一个或多个计算机程序模块;其中,所述一个或多个计算机程序模块被存储在所述存储器中并被配置为由所述处理器执行,所述一个或多个计算机程序模块包括用于实现如上所述的根据本公开的实施例的异常账户检测方法的指令。
根据本公开的一个或多个实施例的存储介质,用于存储非暂时性计算机可读指令,当所述非暂时性计算机可读指令由计算机执行时可以实现如上所述的根据本公开的实施例的异常账户检测方法。
以上描述仅为本公开的部分实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
此外,虽然采用特定次序描绘了各操作,但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序来执行。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
Claims (17)
1.一种异常账户检测方法,包括:
获取事件数据集,其中,所述事件数据集包括多个事件以及触发所述多个事件的多个账户;
获取所述事件数据集中的账户的注册时间,得到多个注册时间;
基于所述多个注册时间的分布,检测所述多个账户中是否存在异常账户。
2.根据权利要求1所述的方法,其中,获取所述事件数据集包括:
记录满足约束条件的全部事件;
选择所述全部事件中满足所述事件数据集要求的所述多个事件,并根据所述事件数据集的类型将所述多个事件以及触发所述多个事件的所述多个账户记录到所述事件数据集。
3.根据权利要求2所述的方法,其中,触发每个事件的账户包括一个或多个账户。
4.根据权利要求2所述的方法,其中,触发每个事件的账户包括所述事件的主体和/或对象的账户,所述主体为所述事件的发起方,所述对象为所述事件的接受方。
5.根据权利要求4所述的方法,其中,所述事件数据集的类型包括第一类型、第二类型和第三类型,
所述第一类型为主体-事件-对象,所述第二类型为主体-事件,所述第三类型为事件-对象。
6.根据权利要求2所述的方法,其中,所述满足约束条件的全部事件包括:在预设时间窗口内发生的同一类型的全部事件,或者涉及同一内容的同一类型的全部事件。
7.根据权利要求1-6任一所述的方法,其中,基于所述多个注册时间的分布,检测所述多个账户中是否存在所述异常账户,包括:
根据所述多个注册时间的分布,得到第一参数;
将所述第一参数与预设阈值比较;
若所述第一参数偏离所述预设阈值,则判断存在所述异常账户。
8.根据权利要求7所述的方法,其中,所述第一参数代表所述多个注册时间的分布的特征。
9.根据权利要求8所述的方法,其中,所述第一参数为相邻的注册时间的间隔时间的平均值或所述多个注册时间的信息熵。
10.根据权利要求7所述的方法,其中,所述预设阈值代表预设时间分布的特征,所述预设时间分布对应的账户中不存在所述异常账户。
11.根据权利要求10所述的方法,其中,所述预设阈值通过机器学习得到。
12.根据权利要求7所述的方法,其中,所述第一参数偏离所述预设阈值包括:
所述第一参数大于所述预设阈值,或者所述第一参数小于所述预设阈值。
13.根据权利要求1-6任一所述的方法,其中,获取所述事件数据集中的账户的注册时间,得到所述多个注册时间,包括:
将所述事件数据集中重复的账户排除;
获取所述事件数据集中不同账户的注册时间,得到所述多个注册时间。
14.根据权利要求1-6任一所述的方法,还包括:
若检测到存在所述异常账户,发出反馈信息。
15.一种异常账户检测装置,包括:
事件数据集获取单元,配置为获取事件数据集,其中,所述事件数据集包括多个事件以及触发所述多个事件的多个账户;
注册时间获取单元,配置为获取所述事件数据集中的账户的注册时间,得到多个注册时间;
处理单元,配置为基于所述多个注册时间的分布,检测所述多个账户中是否存在异常账户。
16.一种电子设备,包括:
处理器;
存储器,包括一个或多个计算机程序模块;
其中,所述一个或多个计算机程序模块被存储在所述存储器中并被配置为由所述处理器执行,所述一个或多个计算机程序模块包括用于实现权利要求1-14任一所述的异常账户检测方法的指令。
17.一种存储介质,用于存储非暂时性计算机可读指令,当所述非暂时性计算机可读指令由计算机执行时可以实现权利要求1-14任一所述的异常账户检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911198697.7A CN110995695B (zh) | 2019-11-29 | 2019-11-29 | 异常账户检测方法及装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911198697.7A CN110995695B (zh) | 2019-11-29 | 2019-11-29 | 异常账户检测方法及装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110995695A true CN110995695A (zh) | 2020-04-10 |
CN110995695B CN110995695B (zh) | 2022-12-23 |
Family
ID=70088263
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911198697.7A Active CN110995695B (zh) | 2019-11-29 | 2019-11-29 | 异常账户检测方法及装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110995695B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111556059A (zh) * | 2020-04-29 | 2020-08-18 | 深圳壹账通智能科技有限公司 | 异常检测方法、异常检测装置及终端设备 |
CN111669817A (zh) * | 2020-05-26 | 2020-09-15 | 新华三技术有限公司 | 一种终端注册方法及装置 |
CN111860644A (zh) * | 2020-07-20 | 2020-10-30 | 北京百度网讯科技有限公司 | 一种异常账号的识别方法、装置、设备和存储介质 |
CN112184334A (zh) * | 2020-10-27 | 2021-01-05 | 北京嘀嘀无限科技发展有限公司 | 用于确定问题用户的方法、装置、设备和介质 |
CN112565271A (zh) * | 2020-12-07 | 2021-03-26 | 瑞数信息技术(上海)有限公司 | Web攻击检测方法和装置 |
CN112738545A (zh) * | 2020-12-28 | 2021-04-30 | 北京蜜莱坞网络科技有限公司 | 直播间分享检测方法、装置、电子设备及存储介质 |
CN113191892A (zh) * | 2021-05-27 | 2021-07-30 | 中国工商银行股份有限公司 | 基于设备指纹的账户风险防控方法、装置、系统及介质 |
CN113378128A (zh) * | 2021-06-15 | 2021-09-10 | 河北时代电子有限公司 | 一种电子政务系统网络感知分析平台系统 |
CN113569910A (zh) * | 2021-06-25 | 2021-10-29 | 石化盈科信息技术有限责任公司 | 账户类型识别方法、装置、计算机设备及存储介质 |
CN115134329A (zh) * | 2022-06-29 | 2022-09-30 | 中国银行股份有限公司 | 一种网络行为的控制方法及装置、电子设备、存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100095374A1 (en) * | 2008-10-10 | 2010-04-15 | Microsoft Corporation | Graph based bot-user detection |
CN105808988A (zh) * | 2014-12-31 | 2016-07-27 | 阿里巴巴集团控股有限公司 | 一种识别异常账户的方法及装置 |
CN108540431A (zh) * | 2017-03-03 | 2018-09-14 | 阿里巴巴集团控股有限公司 | 账号类型的识别方法、装置和系统 |
CN109213857A (zh) * | 2018-08-29 | 2019-01-15 | 阿里巴巴集团控股有限公司 | 一种欺诈行为识别方法和装置 |
CN110033302A (zh) * | 2014-10-28 | 2019-07-19 | 阿里巴巴集团控股有限公司 | 恶意账户识别方法及装置 |
-
2019
- 2019-11-29 CN CN201911198697.7A patent/CN110995695B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100095374A1 (en) * | 2008-10-10 | 2010-04-15 | Microsoft Corporation | Graph based bot-user detection |
CN110033302A (zh) * | 2014-10-28 | 2019-07-19 | 阿里巴巴集团控股有限公司 | 恶意账户识别方法及装置 |
CN105808988A (zh) * | 2014-12-31 | 2016-07-27 | 阿里巴巴集团控股有限公司 | 一种识别异常账户的方法及装置 |
CN108540431A (zh) * | 2017-03-03 | 2018-09-14 | 阿里巴巴集团控股有限公司 | 账号类型的识别方法、装置和系统 |
CN109213857A (zh) * | 2018-08-29 | 2019-01-15 | 阿里巴巴集团控股有限公司 | 一种欺诈行为识别方法和装置 |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111556059A (zh) * | 2020-04-29 | 2020-08-18 | 深圳壹账通智能科技有限公司 | 异常检测方法、异常检测装置及终端设备 |
CN111669817A (zh) * | 2020-05-26 | 2020-09-15 | 新华三技术有限公司 | 一种终端注册方法及装置 |
CN111669817B (zh) * | 2020-05-26 | 2023-10-24 | 新华三技术有限公司 | 一种终端注册方法及装置 |
CN111860644A (zh) * | 2020-07-20 | 2020-10-30 | 北京百度网讯科技有限公司 | 一种异常账号的识别方法、装置、设备和存储介质 |
CN112184334A (zh) * | 2020-10-27 | 2021-01-05 | 北京嘀嘀无限科技发展有限公司 | 用于确定问题用户的方法、装置、设备和介质 |
CN112565271B (zh) * | 2020-12-07 | 2022-09-02 | 瑞数信息技术(上海)有限公司 | Web攻击检测方法和装置 |
CN112565271A (zh) * | 2020-12-07 | 2021-03-26 | 瑞数信息技术(上海)有限公司 | Web攻击检测方法和装置 |
CN112738545A (zh) * | 2020-12-28 | 2021-04-30 | 北京蜜莱坞网络科技有限公司 | 直播间分享检测方法、装置、电子设备及存储介质 |
CN113191892A (zh) * | 2021-05-27 | 2021-07-30 | 中国工商银行股份有限公司 | 基于设备指纹的账户风险防控方法、装置、系统及介质 |
CN113378128B (zh) * | 2021-06-15 | 2022-02-08 | 河北时代电子有限公司 | 一种电子政务系统网络感知分析平台系统 |
CN113378128A (zh) * | 2021-06-15 | 2021-09-10 | 河北时代电子有限公司 | 一种电子政务系统网络感知分析平台系统 |
CN113569910A (zh) * | 2021-06-25 | 2021-10-29 | 石化盈科信息技术有限责任公司 | 账户类型识别方法、装置、计算机设备及存储介质 |
CN115134329A (zh) * | 2022-06-29 | 2022-09-30 | 中国银行股份有限公司 | 一种网络行为的控制方法及装置、电子设备、存储介质 |
CN115134329B (zh) * | 2022-06-29 | 2024-03-15 | 中国银行股份有限公司 | 一种网络行为的控制方法及装置、电子设备、存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110995695B (zh) | 2022-12-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110995695B (zh) | 异常账户检测方法及装置、电子设备及存储介质 | |
US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
US11323471B2 (en) | Advanced cybersecurity threat mitigation using cyberphysical graphs with state changes | |
US11792229B2 (en) | AI-driven defensive cybersecurity strategy analysis and recommendation system | |
US11848966B2 (en) | Parametric analysis of integrated operational technology systems and information technology systems | |
US10530804B2 (en) | Identifying and remediating malware-compromised devices | |
US20220078210A1 (en) | System and method for collaborative cybersecurity defensive strategy analysis utilizing virtual network spaces | |
US10609079B2 (en) | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management | |
US10432660B2 (en) | Advanced cybersecurity threat mitigation for inter-bank financial transactions | |
US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
US20220210200A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
US11818169B2 (en) | Detecting and mitigating attacks using forged authentication objects within a domain | |
US11968227B2 (en) | Detecting KERBEROS ticket attacks within a domain | |
CN110798472B (zh) | 数据泄露检测方法与装置 | |
US20220224723A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
KR20170006805A (ko) | 비트코인의 거래 알림 장치 및 거래 알림 방법 | |
US20210281609A1 (en) | Rating organization cybersecurity using probe-based network reconnaissance techniques | |
US20230283641A1 (en) | Dynamic cybersecurity scoring using traffic fingerprinting and risk score improvement | |
US20230319019A1 (en) | Detecting and mitigating forged authentication attacks using an advanced cyber decision platform | |
WO2019018829A1 (en) | MITIGATING IMPROVED CYBERSECURITY THREATS USING DEEP AND BEHAVIORAL ANALYTICS | |
Kim et al. | Design and analysis of enumeration attacks on finding friends with phone numbers: A case study with KakaoTalk | |
US12003534B2 (en) | Detecting and mitigating forged authentication attacks within a domain | |
Fonseca et al. | Framework for collecting social network events | |
CN118051897A (zh) | 一种数据处理方法、装置、电子设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |