CN116957596A - 一种账号群组识别方法及相关装置 - Google Patents
一种账号群组识别方法及相关装置 Download PDFInfo
- Publication number
- CN116957596A CN116957596A CN202211406331.6A CN202211406331A CN116957596A CN 116957596 A CN116957596 A CN 116957596A CN 202211406331 A CN202211406331 A CN 202211406331A CN 116957596 A CN116957596 A CN 116957596A
- Authority
- CN
- China
- Prior art keywords
- account
- accounts
- attribute information
- relationship
- sub
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 86
- 238000010586 diagram Methods 0.000 claims abstract description 306
- 230000002159 abnormal effect Effects 0.000 claims abstract description 176
- 238000012545 processing Methods 0.000 claims description 78
- 238000003860 storage Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 5
- 238000012795 verification Methods 0.000 claims description 5
- 230000008520 organization Effects 0.000 abstract description 67
- 238000005516 engineering process Methods 0.000 abstract description 18
- 238000013473 artificial intelligence Methods 0.000 abstract description 14
- 208000003443 Unconsciousness Diseases 0.000 description 56
- 238000011144 upstream manufacturing Methods 0.000 description 47
- 230000000694 effects Effects 0.000 description 25
- 238000007789 sealing Methods 0.000 description 13
- 230000006399 behavior Effects 0.000 description 12
- 238000013138 pruning Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 8
- 238000009826 distribution Methods 0.000 description 6
- 239000000463 material Substances 0.000 description 6
- 239000000203 mixture Substances 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000009977 dual effect Effects 0.000 description 4
- 238000002372 labelling Methods 0.000 description 4
- 241000565357 Fraxinus nigra Species 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000009792 diffusion process Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000000644 propagated effect Effects 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 238000004140 cleaning Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000009472 formulation Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000005065 mining Methods 0.000 description 2
- 208000001613 Gambling Diseases 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000009412 basement excavation Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000000586 desensitisation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 239000002574 poison Substances 0.000 description 1
- 231100000614 poison Toxicity 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/018—Certifying business or products
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/01—Social networking
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- General Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- Finance (AREA)
- Development Economics (AREA)
- Accounting & Taxation (AREA)
- Entrepreneurship & Innovation (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Human Resources & Organizations (AREA)
- Primary Health Care (AREA)
- Tourism & Hospitality (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请提供了一种账号群组识别方法以及相关装置。本申请实施例可应用于人工智能技术领域以及云技术、人工智能、智慧交通、辅助驾驶等各种场景。其方法包括:首先,获取包括第一异常账号的待验证账号集合,每个账号具有属性信息;其次,根据每个账号的属性信息生成账号关系图;接着,根据第一异常账号的连边确定与第一异常账号存在至少两个相同的第一属性信息的N个第一账号;根据第一账号的连边确定与第一账号存在至少两个相同的第二属性信息的M个第二账号;最后,根据N个第一账号和M个第二账号,生成与第一异常账号相关的第一子关系图。本申请实施例提供的方法通过账号属性建立待验证账号的群组,以挖掘黑产组织,提高账号群组识别的精准度。
Description
技术领域
本申请涉及人工智能技术领域,尤其涉及一种账号群组识别方法及相关装置。
背景技术
黑产组织使用大量的恶意社交账号进行诈骗会造成严重的社会危害。在目前的黑产账号识别中,都是利用账号的可疑行为进行建模,进而发现潜在的恶意账号,并采取针对性的策略处理。
但是,仅仅从账号层面去进行策略处理,效果已经大大降低,黑产用户一次诈骗行为中往往涉及到多个平台,这就导致单个平台账号的证据变弱;而且每个平台中账号的获取成本也很低,所以账号可以快速变化,导致处理效果变弱。
发明内容
本申请实施例提供了一种账号群组识别方法以及相关装置,通过账号属性建立待验证账号的群组,以挖掘黑产组织,提高账号群组识别精准度,将账号群组作为处理黑产组织的辅助手段,提高黑产团队处理效果。
本申请的一方面提供一种账号群组识别方法,包括:
获取待验证账号集合,其中,待验证账号集合包括第一异常账号,待验证账号集合中的每个账号具有至少两个属性信息;
根据待验证账号集合中每个账号所对应的各个属性信息,将具有至少一个相同属性信息的账号进行连边处理,以生成账号关系图,其中,账号关系图中的节点表示账号;
根据第一异常账号在账号关系图中的连边,确定与第一异常账号存在至少两个相同的第一属性信息的所有账号,以得到N个第一账号,其中,N≥1;
根据第一账号在账号关系图中的连边,确定与第一账号存在至少两个相同的第二属性信息的所有账号,以得到M个第二账号,其中,M≥1,第二属性信息与第一属性信息存在至少一个不同的属性信息;
根据N个第一账号和M个第二账号,从账号关系图中提取出与第一异常账号相关的第一子关系图,其中,第一子关系图包括N个第一账号对应的节点、M个第二账号对应的节点以及第一账号与第二账号之间的连边,连边反映账号之间的属性信息。
本申请的另一方面提供了一种账号群组识别装置,包括:
待验证账号集合获取模块,用于获取待验证账号集合,其中,待验证账号集合包括第一异常账号,待验证账号集合中的每个账号具有至少两个属性信息;
账号关系图生成模块,用于根据待验证账号集合中每个账号所对应的各个属性信息,将具有至少一个相同属性信息的账号进行连边处理,以生成账号关系图,其中,账号关系图中的节点表示账号;
第一账号获取模块,用于根据第一异常账号在账号关系图中的连边,确定与第一异常账号存在至少两个相同的第一属性信息的所有账号,以得到N个第一账号,其中,N≥1;
第二账号获取模块,用于根据第一账号在账号关系图中的连边,确定与第一账号存在至少两个相同的第二属性信息的所有账号,以得到M个第二账号,其中,M≥1,第二属性信息与第一属性信息存在至少一个不同的属性信息;
第一子关系图生成模块,用于根据N个第一账号和M个第二账号,从账号关系图中提取出与第一异常账号相关的第一子关系图,其中,第一子关系图包括N个第一账号对应的节点、M个第二账号对应的节点以及第一账号与第二账号之间的连边,连边反映账号之间的属性信息。
在本申请实施例的另一种实现方式中,账号群组识别装置还包括第三账号获取模块和第二子关系图生成模块。
第三账号获取模块,用于根据第二账号在账号关系图中的连边,确定与第二账号存在至少两个相同的第三属性信息的所有账号,以得到L个第三账号,其中,L≥1,第三属性信息与第一属性信息存在至少一个不同的属性信息,且第三属性信息与第二属性信息存在至少一个不同的属性信息;
第二子关系图生成模块,用于根据N个第一账号、M个第二账号及L个第三账号,从账号关系图中提取出与第一异常账号相关的第二子关系图,其中,第二子关系图包括N个第一账号对应的节点、M个第二账号对应的节点、L个第三账号对应的节点、第一账号与第二账号之间的连边,第一账号与第三账号之间的连边以及第二账号与第三账号之间的连边,连边反映账号之间的属性信息。
在本申请实施例的另一种实现方式中,第二账号获取模块,还用于根据第一账号在账号关系图中的连边,确定与第一账号存在至少两个相同的第二属性信息,并且与第三账号存在至少两个相同的第三属性信息的所有账号,得到M个第二账号。
在本申请实施例的另一种实现方式中,待验证账号集合中的每个账号具有的属性信息包括设备信息、位置信息及关系信息中的至少两种;
第一账号获取模块,还用于根据第一异常账号在账号关系图中的连边,确定与第一异常账号存在设备信息相同及位置信息相同的所有账号,以得到N个第一账号;
第二账号获取模块,还用于根据第一账号在账号关系图中的连边,确定与第一账号存在关系信息相同及位置信息相同的所有账号,以得到M个第二账号。
在本申请实施例的另一种实现方式中,待验证账号集合中的每个账号具有的属性信息包括关系信息及关键词信息;
第三账号获取模块,还用于根据第二账号在账号关系图中的连边,确定与第二账号存在关系信息相同及关键词信息相同的所有账号,以得到L个第三账号。
在本申请实施例的另一种实现方式中,账号群组识别装置还包括第二异常账号获取模块、第三子关系图生成模块及目标关系图生成模块;
第二异常账号获取模块,用于从待验证账号集合中获取第二异常账号;
第一账号获取模块,还用于根据第二异常账号在账号关系图中的连边,确定与第二异常账号存在至少两个相同的第一属性信息的所有账号,以得到S个第一账号,其中,S≥1;
第二账号获取模块,还用于根据第一账号在账号关系图中的连边,确定与第一账号存在至少两个相同的第二属性信息的所有账号,以得到R个第二账号,其中,R≥1,第二属性信息与第一属性信息存在至少一个不同的属性信息;
第三子关系图生成模块,用于根据S个第一账号和R个第二账号,从账号关系图中提取出与第二异常账号相关的第三子关系图,其中,第三子关系图包括S个第一账号对应的节点、R个第二账号对应的节点以及第一账号与第二账号之间的连边,连边反映账号之间的属性信息;
目标关系图生成模块,用于根据目标业务以及账号关系图,确定第三子关系图中一个账号与第一子关系图中一个账号具有相同属性信息;根据相同属性信息所对应的连边,将第三子关系图和第一子关系图进行连接处理,得到目标业务对应的目标关系图。
在本申请实施例的另一种实现方式中,目标关系图生成模块,还用于:
根据目标业务以及账号关系图,确定第一子关系图中第二账号与第三子关系图中的第一账号存在至少两个相同的第二属性信息;
根据目标业务以及账号关系图,确定第一子关系图中第二账号与第三子关系图中的第二账号存在至少两个相同的第四属性信息,其中,第四属性信息与第一属性信息存在至少一个不同的属性信息,且第四属性信息与第二属性信息存在至少一个不同的属性信息。
本申请的另一方面提供了一种计算机设备,包括:
存储器、收发器、处理器以及总线系统;
其中,存储器用于存储程序;
处理器用于执行存储器中的程序,包括执行上述各方面的方法;
总线系统用于连接存储器以及处理器,以使存储器以及处理器进行通信。
本申请的另一方面提供了一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面的方法。
本申请的另一方面提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述各方面所提供的方法。
从以上技术方案可以看出,本申请实施例具有以下优点:
本申请提供了一种账号群组识别方法以及相关装置,其方法包括:首先,获取待验证账号集合,其中,待验证账号集合包括第一异常账号,待验证账号集合中的每个账号具有至少两个属性信息;其次,根据待验证账号集合中每个账号所对应的各个属性信息,将具有至少一个相同属性信息的账号进行连边处理,以生成账号关系图,其中,账号关系图中的节点表示账号;接着,根据第一异常账号在账号关系图中的连边,确定与第一异常账号存在至少两个相同的第一属性信息的所有账号,以得到N个第一账号;然后,根据第一账号在账号关系图中的连边,确定与第一账号存在至少两个相同的第二属性信息的所有账号,以得到M个第二账号,第二属性信息与第一属性信息存在至少一个不同的属性信息;最后,根据N个第一账号和M个第二账号,从账号关系图中提取出与第一异常账号相关的第一子关系图,其中,第一子关系图包括N个第一账号对应的节点、M个第二账号对应的节点以及第一账号与第二账号之间的连边,连边反映账号之间的属性信息。本申请实施例提供的方法通过账号属性建立待验证账号的群组,以挖掘黑产组织,提高账号群组识别的精准度,将账号群组作为处理黑产组织的辅助手段,提高黑产团队处理效果。
附图说明
图1为本申请某一实施例提供的账号群组识别系统的一个架构示意图;
图2为本申请某一实施例提供的账号群组识别方法的流程图;
图3为本申请某一实施例提供的账号关系图的示意图;
图4为本申请某一实施例提供的第一子关系图的示意图;
图5为本申请另一实施例提供的账号群组识别方法的流程图;
图6为本申请某一实施例提供的第二子关系图的示意图;
图7为本申请另一实施例提供的账号群组识别方法的流程图;
图8为本申请另一实施例提供的第二子关系图的示意图;
图9为本申请另一实施例提供的账号群组识别方法的流程图;
图10为本申请另一实施例提供的账号群组识别方法的流程图;
图11为本申请另一实施例提供的账号群组识别方法的流程图;
图12为本申请另一实施例提供的账号关系图的示意图;
图13为本申请某一实施例提供的第三子关系图的示意图;
图14为本申请某一实施例提供的目标关系图的示意图;
图15为本申请另一实施例提供的账号群组识别方法的流程图;
图16为本申请另一实施例提供的目标关系图的示意图;
图17为本申请又一实施例提供的目标关系图的示意图;
图18为本申请某一实施例提供的账号群组识别方法的流程图;
图19为本申请另一实施例提供的账号关系图的示意图;
图20为本申请某一实施例提供的对账号关系图进行剪枝的示意图;
图21为本申请另一实施例提供的第一子关系图的示意图;
图22为本申请另一实施例提供的第二子关系图的示意图;
图23为本申请另一实施例提供的目标关系图的示意图;
图24为本申请另一实施例提供的三种类型的目标关系图的示意图;
图25为本申请某一实施例提供的账号群组识别装置的结构示意图;
图26为本申请另一实施例提供的账号群组识别装置的结构示意图;
图27为本申请又一实施例提供的账号群组识别装置的结构示意图;
图28为本申请某一实施例提供的服务器结构示意图。
具体实施方式
本申请实施例提供了一种账号群组识别方法,通过账号属性建立待验证账号的群组,以挖掘黑产组织,提高账号群组识别的精准度,将账号群组作为处理黑产组织的辅助手段,提高黑产团队处理效果。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“对应于”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。换句话说,人工智能是计算机科学的一个综合技术,它企图了解智能的实质,并生产出一种新的能以人类智能相似的方式做出反应的智能机器。人工智能也就是研究各种智能机器的设计原理与实现方法,使机器具有感知、推理与决策的功能。
人工智能技术是一门综合学科,涉及领域广泛,既有硬件层面的技术也有软件层面的技术。人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
随着人工智能技术研究和进步,人工智能技术在多个领域展开研究和应用,例如常见的智能家居、智能穿戴设备、虚拟助理、智能音箱、智能营销、无人驾驶、自动驾驶、无人机、机器人、智能医疗、智能客服等,相信随着技术的发展,人工智能技术将在更多的领域得到应用,并发挥越来越重要的价值。
为便于理解本申请实施例提供的技术方案,这里先对本申请实施例使用的一些关键名词进行解释:
网络黑色产业链,简称网络黑产,是指利用互联网技术实施网络攻击、窃取信息、勒索诈骗、盗窃钱财、推广黄赌毒等网络违法行为,以及为这些行为提供工具、资源、平台等准备和非法获利变现的渠道与环节。网络黑色产业链可分为上中下游:上游产业链、中游运营及下游业务。
上游产业链人员:负责收集提供各种网络黑产资源,为黑产提供各种物料或资源,例如电话、身份证、银行卡、用户隐私信息、服务器、网站制作、app开发等。上游产业链人员将收集到的物料或者资源信息通过社交账号与中游黑产运营人员进行对接,上游产业链人员用于对接的社交账号称为上游产业链账号。
中游黑产运营人员:与上游黑灰产业链的商家对接,进行物料的购买,并分配给到下游业务人员,进行后续的诈骗。中游黑产运营人员通过社交账号与上游产业链人员进行对接,以购买物料或者资源,与下游业务人员进行任务分发或资源分发,中游黑产运营人员用于对接的社交账号称为中游黑产运营账号。
下游业务人员:负责将黑产活动“成果”进行交易变现,涉及众多黑灰色网络交易和支付渠道。下游业务人员通过社交账号与潜在受害者进行联系,进行诈骗等黑灰色网络交易和支付,下游业务人员用于进行诈骗的社交账号称为下游业务账号。
种子账号:确定由下游业务人员使用的恶意社交账号。种子账号在短时间内的好友添加量往往高于正常账号,且多为被动添加。
黑产组织中的下游业务人员使用大量的恶意社交账号进行具体的黑产行为,对社会造成严重危害。在目前的黑产账号识别中,利用账号的可疑行为进行建模,进而发现种子账号,并采取针对性的策略处理。现有诈骗组织挖掘的方案,存在以下缺点:
1、种子账号维度单一。现有技术方案根据业务特点,对种子账号进行处理,但并没有对黑产组织进行挖掘,致使黑产的上游产业链人员及中游黑产运营人员逍遥法外,继续进行黑产行为,无法获得明确的黑产组织信息,无法采取针对黑产团队的更精准的处理策略。
2、处理效果减弱。目前的黑产账号识别中,仅仅从种子账号层面去进行策略处理,效果大大降低,下游业务人员一次黑产行为往往涉及到多个平台,导致单个平台账号的证据变弱;而且由于获取平台的账号的成本也较低,所以下游业务人员在一个平台中会有多个账号,所以账号可以快速切换,导致处理效果变弱。
本申请提供了一种账号群组识别方法以及相关装置,其方法包括:首先,获取待验证账号集合,其中,待验证账号集合包括第一异常账号,待验证账号集合中的每个账号具有至少两个属性信息;其次,根据待验证账号集合中每个账号所对应的各个属性信息,将具有至少一个相同属性信息的账号进行连边处理,以生成账号关系图,其中,账号关系图中的节点表示账号;接着,根据第一异常账号在账号关系图中的连边,确定与第一异常账号存在至少两个相同的第一属性信息的所有账号,以得到N个第一账号;然后,根据第一账号在账号关系图中的连边,确定与第一账号存在至少两个相同的第二属性信息的所有账号,以得到M个第二账号,第二属性信息与第一属性信息存在至少一个不同的属性信息;最后,根据N个第一账号和M个第二账号,从账号关系图中提取出与第一异常账号相关的第一子关系图,其中,第一子关系图包括N个第一账号对应的节点、M个第二账号对应的节点以及第一账号与第二账号之间的连边,连边反映账号之间的属性信息。本申请实施例提供的方法通过账号属性建立待验证账号的群组,以挖掘黑产组织,提高账号群组识别的精准度,将账号群组作为处理黑产组织的辅助手段,提高黑产团队处理效果。
为了便于理解,请参阅图1,图1为本申请实施例中账号群组识别方法的应用环境图,如图1所示,本申请实施例中账号群组识别方法应用于账号群组识别系统。账号群组识别系统包括:服务器和终端设备;其中,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(ContentDelivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
用户终端包括但不限于手机、电脑、智能语音交互设备、智能家电、车载终端、飞行器等。终端和服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请实施例在此不做限制。
本发明实施例可应用于各种场景,包括但不限于云技术、人工智能、智慧交通、辅助驾驶等。
服务器首先获取待验证账号集合;其中,待验证账号集合包括第一异常账号,待验证账号集合中的每个账号具有至少两个属性信息。其次,服务器根据待验证账号集合中每个账号所对应的各个属性信息,将具有至少一个相同属性信息的账号进行连边处理,以生成账号关系图;其中,账号关系图中的节点表示账号。接着,服务器根据第一异常账号在账号关系图中的连边,确定与第一异常账号存在至少两个相同的第一属性信息的所有账号,以得到N个第一账号。然后,服务器根据第一账号在账号关系图中的连边,确定与第一账号存在至少两个相同的第二属性信息的所有账号,以得到M个第二账号;其中,第二属性信息与第一属性信息存在至少一个不同的属性信息。最后,服务器根据N个第一账号和M个第二账号,从账号关系图中提取出与第一异常账号相关的第一子关系图;其中,第一子关系图包括N个第一账号对应的节点、M个第二账号对应的节点以及第一账号与第二账号之间的连边,连边反映账号之间的属性信息。
本申请实施例提供的方法通过账号属性建立待验证账号之间的关系,以挖掘黑产组织,提高账号关系挖掘的精准度,将账号关系作为处理黑产组织的辅助手段,提高黑产团队处理效果。
下面将从服务器的角度,对本申请中账号群组识别方法进行介绍。请参阅图2,本申请实施例提供的账号群组识别方法包括:步骤S110至步骤S150。
具体的:
S110、获取待验证账号集合。
其中,待验证账号集合包括第一异常账号,待验证账号集合中的每个账号具有至少两个属性信息。
可以理解的是,待验证账号可以是社交账号、游戏账号、网络购物账号等账号,本申请实施例在此不作限制。为便于理解,本申请以社交账号为例,需要说明的是,本申请获取的账号及账号属性信息均为在用户许可的前提下进行获取,以及对获取到的账号及账号属性信息进行脱敏处理,需要说明的是,本申请实施例提供的方法中所使用的账号及相关数据均是对用户授权后的数据通过进一步处理后的脱敏数据,充分保障用户的隐私信息。
第一异常账号为已经确定的黑产组织中由下游业务人员使用的种子账号,第一异常账号可以是由异常账号管理平台获得,也可以是由受害者举报获得等方式获得,本申请在此不做限制。第一异常账号与正常账号的最明显区别在于,第一异常账号具有在短时间内被添加好友的次数远远超过正常账号,第一异常账号的好友分布地理位置较广、年龄较为分散等特征。
属性信息是指账号在使用过程中产生的行为数据,包括但不限于:账号的常用登陆设备的设备唯一标识码,账号的常用登陆地址,账号的常用登录ip地址,注册账号时使用的身份信息,账号的好友列表信息,账号的聊天数据日志、好友添加请求信息等。
S120、根据待验证账号集合中每个账号所对应的各个属性信息,将具有至少一个相同属性信息的账号进行连边处理,以生成账号关系图。
其中,账号关系图中的节点表示账号。
可以理解的是,根据账号的属性信息构建账号关系图,将分散的独立账号通过共同的属性特征进行连边处理,共同的属性特征的种类可以是一种,也可以是一种以上。首先根据账号的属性信息建立账号关系列表,然后根据账号关系列表生成账号关系图。
为便于理解,请参阅图3及表1,图3是本申请实施例提供的账号关系图的示意图,表1是本申请实施例提供的账号关系列表。账号A的常用登陆设备的设备唯一标识码与账号B的常用登陆设备的设备唯一标识码相同,则账号A与账号B为同设备id的关系。账号A的常用登录ip地址与账号C的常用登录ip地址相同,则账号A与账号C为同ip地址的关系。账号A的常用登陆设备的设备唯一标识码与账号D的常用登陆设备的设备唯一标识码相同,并且账号A的常用登录ip地址与账号D的常用登录ip地址相同,则账号A与账号D为同设备id+同ip地址的双重关系。账号D的好友列表中包括账号E,账号E的好友列表中包括账号D,则账号D与账号E为好友关系。账号D的好友列表中包括账号F,账号F的好友列表中包括账号D,并且账号D的常用登录ip地址与账号F的常用登录ip地址相同,则账号D与账号F为好友+同ip地址的双重关系。账号D的好友列表中包括账号G,账号G的好友列表中包括账号D,并且账号D的常用登录ip地址与账号G的常用登录ip地址相同,则账号D与账号G为好友+同ip地址的双重关系。账号F的好友列表中包括账号H,账号H的好友列表中包括账号F,并且账号F和账号H的聊天信息中存在关键词,则账号F和账号H为好友+关键词双重关系。账号F的好友列表中包括账号I,账号I的好友列表中包括账号F,则账号F和账号I为好友关系。账号G的常用登录ip地址与账号J的常用登录ip地址相同,则账号G和账号J为同ip地址的关系。
表1
表1中账号1和账号2为具有关联关系的账号,添加好友时间标识账号1和账号2添加好友并确立好友关系的时间,关联关系根据账号1与账号2具有的相同属性信息得到,关联值表示账号1与账号2相同属性信息的具体信息。
S130、根据第一异常账号在账号关系图中的连边,确定与第一异常账号存在至少两个相同的第一属性信息的所有账号,以得到N个第一账号。
其中,N为大于等于1的整数。
可以理解的是,根据账号关系图中第一异常账号与其他账号的连边关系,将与第一异常账号存在至少两个相同的第一属性信息的所有账号作为第一账号。还可以根据账号关系图中第一异常账号与其他账号的连边关系,将与第一异常账号存在至少一个相同的第一属性信息的所有账号作为第一账号,通过至少一个相同的第一属性信息或者是至少两个相同的第一属性信息均是为了从账号关系图中确定与第一异常账号存在关联关系的账号,增加扩散范围,提高确认第一账号的准确性。至少一个相同的第一属性信息可以是与第一异常账号关联度很强的属性信息。第一账号为黑产组织中的下游业务账号。
为便于理解,请参阅图3。图3中账号A为第一异常账号,与第一异常账号(账号A)存在同设备id+同ip地址的双重关系的为账号D,即账号D为第一账号。由于账号B与账号A仅仅是同设备id的关联关系,即账号B只存在一个与账号A相同的属性信息,所以账号B不是第一账号。同样的,账号C与账号A仅仅是同ip地址的关联关系,即账号C只存在一个与账号A相同的属性信息,所以账号C不是第一账号。
S140、根据第一账号在账号关系图中的连边,确定与第一账号存在至少两个相同的第二属性信息的所有账号,以得到M个第二账号。
其中,M为大于等于1的整数,第二属性信息与第一属性信息存在至少一个不同的属性信息。
可以理解的是,根据账号关系图中第一账号与其他账号的连边关系,将与第一账号至少两个相同的第二属性信息的所有账号作为第二账号。还可以根据账号关系图,将与第一账号存在至少一个相同的第二属性信息的所有账号作为第二账号,通过至少一个相同的第二属性信息或者是至少两个相同的第二属性信息均是为了从账号关系图中确定与第一账号存在关联关系的账号,增加扩散范围,提高确认第二账号的准确性。至少一个相同的第二属性信息可以是与第一账号关联度很强的属性信息。第二账号为黑产组织中的中游黑产运营账号。
为便于理解,请参阅图3,图3中账号D为第一账号,与第一账号(账号D)存在好友+同ip地址的双重关系的为账号F和账号G,即账号F和账号G均为第二账号。由于账号E与账号D的关联关系仅仅是好友关系,即账号E只存在一个与账号D相同的属性信息,所以账号E不是第二账号。
S150、根据N个第一账号和M个第二账号,从账号关系图中提取出与第一异常账号相关的第一子关系图。
其中,第一子关系图包括N个第一账号对应的节点、M个第二账号对应的节点以及第一账号与第二账号之间的连边,连边反映账号之间的属性信息。
可以理解的是,对账号关系图进行剪枝,仅仅保留包括第一异常账号、与第一异常账号存在至少两个第一属性信息的N个第一账号、与第一账号存在至少两个第二属性信息的M个第二账号,将第一异常账号、N个第一账号以及M个第二账号作为第一子关系图的节点,以及保留第一异常账号与第一账号的连边,第一账号与第二账号的连边,得到第一子关系图。第一子关系图为二级关系子图。
为便于理解,请参阅图4。图4为本申请实施例提供的第一子关系图的示意图。账号A为第一异常账号,账号D和账号G为第一账号,账号F为第二账号。以账号A、账号D、账号G、账号F作为第一子关系图的节点;根据账号A与账号D存在两个属性信息的关系,生成账号A节点与账号D节点的边;根据账号D与账号G存在两个属性信息的关系,生成账号D节点与账号G节点的边;根据账号D与账号F存在两个属性信息的关系,生成账号D节点与账号F节点的边。
本申请实施例提供的方法,通过账号属性建立待验证账号之间的两层关系群组,以识别出黑产组织中的下游业务账号及中游黑产运营账号,提高账号群组识别的精准度,将账号群组作为处理黑产组织的辅助手段,提高黑产团队处理效果,对于下游业务账号直接采取封停策略,针对中游黑产运营账号,可以进行标注并持续关注,以便发现更多潜在的下游业务号和上游产业链账号。
在本申请的图2对应的实施例提供的账号群组识别方法的一个可选实施例中,请参阅图5,步骤S140之后还包括步骤S160至步骤S170。具体的:
S160、根据第二账号在账号关系图中的连边,确定与第二账号存在至少两个相同的第三属性信息的所有账号,以得到L个第三账号。
其中,L为大于等于1的整数,第三属性信息与第一属性信息存在至少一个不同的属性信息,且第三属性信息与第二属性信息存在至少一个不同的属性信息。
可以理解的是,将根据账号关系图中第二账号与其他账号的连边关系,将与第二账号至少两个相同的第三属性信息的所有账号作为第三账号。还可以根据账号关系图,将与第二账号存在至少一个相同的第三属性信息的所有账号作为第三账号,通过至少一个相同的第三属性信息或者是至少两个相同的第三属性信息均是为了从账号关系图中确定与第二账号存在关联关系的账号,增加扩散范围,提高确认第三账号的准确性。至少一个相同的第三属性信息可以是与第二账号关联度很强的属性信息。第三账号为黑产组织中的上游产业链账号。
为便于理解,请参阅3。图3中账号F为第二账号,与第二账号(账号F)存在好友+关键词的双重关系的为账号H,即账号H为第三账号。由于账号I与账号F的关联关系仅仅是好友关系,即账号I只存在一个与账号F相同的属性信息,所以账号I不是第三账号。同样的,由于账号J与第二账号(账号G)的关联关系仅仅是好友关系,即账号J只存在一个与账号G相同的属性信息,所以账号J不是第三账号。
S170、根据N个第一账号、M个第二账号及L个第三账号,从账号关系图中提取出与第一异常账号相关的第二子关系图。
其中,第二子关系图包括N个第一账号对应的节点、M个第二账号对应的节点、L个第三账号对应的节点、第一账号与第二账号之间的连边,第一账号与第三账号之间的连边以及第二账号与第三账号之间的连边,连边反映账号之间的属性信息。
可以理解的是,对账号关系图进行剪枝,仅仅保留包括第一异常账号、与第一异常账号存在至少两个第一属性信息的N个第一账号、与第一账号存在至少两个第二属性信息的M个第二账号、与第二账号存在至少两个第三属性信息的L个第三账号,将第一异常账号、N个第一账号、M个第二账号及L个第三账号作为第一子关系图的节点,以及保留第一异常账号与第一账号的连边,第一账号与第二账号的连边、第二账号与第三账号连边,得到第二关系子图。第二关系子图为三级关系子图。
为便于理解,请参阅图6。图6为本申请实施例提供的第二子关系图的示意图。账号A为第一异常账号,账号D和账号G为第一账号,账号F为第二异常账号,账号H为第三账号。以账号A、账号D、账号G、账号F、账号H作为第一子关系图的节点;根据账号A与账号D存在两个属性信息的关系,生成账号A节点与账号D节点的边;根据账号D与账号G存在两个属性信息的关系,生成账号D节点与账号G节点的边;根据账号D与账号F存在两个属性信息的关系,生成账号D节点与账号F节点的边;根据账号F与账号H存在两个属性信息的关系,生成账号F节点与账号H节点的边。
本申请实施例提供的方法,通过账号属性建立待验证账号之间的三层关系群组,以识别出黑产组织中的下游业务账号、中游黑产运营账号及上游产业链账号,提高账号群组识别的精准度,将账号群组作为处理黑产组织的辅助手段,提高黑产团队处理效果:对于下游业务账号直接采取封停策略;针对中游黑产运营账号,可以进行标注并持续关注,以便发现更多潜在的下游业务号和上游产业链账号;针对上游产业链账号,可以进行标注并持续关注,以便发现更多潜在的中游黑产运营账号,作为辅助进行线下处理,从源头对黑产进行有效的处理。
在本申请的图5对应的实施例提供的账号群组识别方法的一个可选实施例中,请参阅图7,步骤S140进一步包括子步骤S142。具体的:
S142、根据第一账号在账号关系图中的连边,确定与第一账号存在至少两个相同的第二属性信息,并且与第三账号存在至少两个相同的第三属性信息的所有账号,得到M个第二账号。
可以理解的是,若某一账号只与第一账号存在至少两个相同的第二属性信息,而不存在与第三账号存在至少两个相同的第三属性信息,则其不能作为第二账号。若某一账号只与第三账号存在至少两个相同的第三属性信息,而不与第一账号存在至少两个相同的第二属性信息,则其不能作为第二账号。只有当与第一账号存在至少两个相同的第二属性信息,并且与第三账号存在至少两个相同的第三属性信息的账号才能作为第二账号。
为便于理解,请参阅图3。账号F与账号D(第一账号)的关联关系为好友+同ip地址的双重关系,且账号F与账号H的关联关系为好友+关键词的双重关系,则账号F为第二账号。由于账号G与账号D(第一账号)的关联关系为好友+同ip地址的双重关系,而账号G与账号J的关联关系为同ip地址的关系,则账号G不是第二账号,账号J不是第三账号。
根据N个第一账号、M个第二账号及L个第三账号,从账号关系图中提取出与第一异常账号相关的第二子关系图。其中,第二子关系图包括N个第一账号对应的节点、M个第二账号对应的节点、L个第三账号对应的节点、第一账号与第二账号之间的连边,第一账号与第三账号之间的连边以及第二账号与第三账号之间的连边,连边反映账号之间的属性信息。
为便于理解,请参阅图8。图8为本申请实施例提供的第二子关系图的示意图。账号A为第一异常账号,账号D为第一账号,账号F为第二异常账号,账号H为第三账号。以账号A、账号D、账号F、账号H作为第一子关系图的节点;根据账号A与账号D存在两个属性信息的关系,生成账号A节点与账号D节点的边;根据账号D与账号F存在两个属性信息的关系,生成账号D节点与账号F节点的边;根据账号F与账号H存在两个属性信息的关系,生成账号F节点与账号H节点的边。
本申请实施例提供的方法,通过账号属性建立待验证账号之间的三层关系群组,以识别黑产组织中的下游业务账号、中游黑产运营账号及上游产业链账号,通过同时考虑中游黑产账号与下游业务账号及上游产业链账号的关联关系,提高账号群组识别的精准度,将账号群组作为处理黑产组织的辅助手段,提高黑产团队处理效果。
在本申请的图2或图5对应的实施例提供的账号群组识别方法的一个可选实施例中,请参阅图9,待验证账号集合中的每个账号具有的属性信息包括设备信息、位置信息及关系信息中的至少两种。
步骤S130进一步包括子步骤S131。具体地:
S131、根据第一异常账号在账号关系图中的连边,确定与第一异常账号存在设备信息相同及位置信息相同的所有账号,以得到N个第一账号。
可以理解的是,在本申请实施例中,账号的属性信息包括设备信息、位置信息及关系信息,待验证账号集合中的每个账号具有的属性信息包括设备信息、位置信息及关系信息中的至少两种。设备信息可以根据账号常用登陆设备的设备唯一标识码获得。位置信息可以根据账号的常用登录ip地址获得。关系信息可以根据账号的好友列表获得。
根据账号关系图,将与第一异常账号具有相同的设备信息及相同的位置信息的账号作为第一账号。第一账号为黑产组织中的下游业务账号。
步骤S140进一步包括子步骤S141。具体地:
S141、根据第一账号在账号关系图中的连边,确定与第一账号存在关系信息相同及位置信息相同的所有账号,以得到M个第二账号。
可以理解的是,根据账号关系图,将与第一账号具有相同的关系信息及相同的位置信息的账号作为第二账号。第二账号为黑产组织中的中游黑产运营账号。
本申请实施例提供的方法,通过账号属性建立待验证账号之间的两层关系群组,以识别黑产组织中的下游业务账号及中游黑产运营账号,提高账号群组识别的精准度,将账号群组作为处理黑产组织的辅助手段,提高黑产团队处理效果,对于下游业务账号直接采取封停策略,针对中游黑产运营账号,可以进行标注并持续关注,以便发现更多潜在的下游业务号和上游产业链账号。
在本申请的图5对应的实施例提供的账号群组识别方法的一个可选实施例中,请参阅图10,待验证账号集合中的每个账号具有的属性信息包括关系信息及关键词信息;
步骤S160进一步包括子步骤S161。具体地:
S161、根据第二账号在账号关系图中的连边,确定与第二账号存在关系信息相同及关键词信息相同的所有账号,以得到L个第三账号。
其中,L为大于等于1的整数。
可以理解的是,在本申请实施例中,待验证账号集合中的每个账号具有的属性信息包括关系信息及关键词信息。关系信息可以根据账号的好友列表获得。关键词信息可以根据账号的聊天数据日志或者好友请求验证信息日志中获得。
将根据账号关系图,将与第二账号具有相同的关系信息及相同的关键词信息的账号作为第三账号。第三账号为黑产组织中的上游产业链账号。
本申请实施例提供的方法,过账号属性建立待验证账号之间的三层关系群组,以识别出黑产组织中的下游业务账号、中游黑产运营账号及上游产业链账号,提高账号群组识别的精准度,将账号群组作为处理黑产组织的辅助手段,提高黑产团队处理效果:对于下游业务账号直接采取封停策略;针对中游黑产运营账号,可以进行标注并持续关注,以便发现更多潜在的下游业务号和上游产业链账号;针对上游产业链账号,可以进行标注并持续关注,以便发现更多潜在的中游黑产运营账号,作为辅助进行线下处理,从源头对黑产进行有效的处理。
在本申请的图2对应的实施例提供的账号群组识别方法的一个可选实施例中,请参阅图11,步骤S150之后还包括步骤S210至步骤S260。具体地:
S210、从待验证账号集合中获取第二异常账号。
可以理解的是,第二异常账号为已经确定的黑产组织中由下游业务人员使用的不同于第一异常账号的另一个种子账号,第二异常账号可以是由异常账号管理平台获得,也可以是由受害者举报获得等方式获得,本申请在此不做限制。第二异常账号与正常账号的最明显区别在于,第二异常账号在短时间内被添加好友的次数远远超过正常账号,第二异常账号的好友分布地理位置较广、年龄较为分散等特征。第二异常账号同样具有至少两个属性信息。需要说明的是,本申请实施例以存在两个异常账号(第一异常账号和第二异常账号为例)进行说明,除此之外还可以有更多数量的异常账号,本申请实施例在此不做限制。
S220、根据第二异常账号在账号关系图中的连边,确定与第二异常账号存在至少两个相同的第一属性信息的所有账号,以得到S个第一账号。
其中,S为大于等于1的整数。
可以理解的是,根据账号关系图,将与第二异常账号存在至少两个相同的第一属性信息的所有账号作为第一账号。第一账号为黑产组织中的下游业务账号。
为便于理解,请参阅图12。图12为本申请实施例提供的账号关系图的示意图。图12中账号A1为第一异常账号,与第一异常账号(账号A1)存在同设备id+同ip地址的双重关系的为账号D1,即账号D1为第一账号。由于账号B1与账号A1仅仅是同设备id的关联关系,即账号B1只存在一个与账号A1相同的属性信息,所以账号B1不是第一账号。同样的,账号C1与账号A1仅仅是同ip地址的关联关系,即账号C1只存在一个与账号A1相同的属性信息,所以账号C1不是第一账号。账号A2为第二异常账号,与第二异常账号(账号A1)存在同设备id+同ip地址的双重关系的为账号B2和账号C2,即账号B2和账号C2为第一账号。由于账号D2与账号A2仅仅是同设备id的关联关系,即账号D2只存在一个与账号A2相同的属性信息,所以账号D2不是第一账号。
图12中的第一账号包括账号D1、账号B2和账号C2。其中,账号D1是与第一异常账号具有关联关系的第一账号;账号B2和账号C2是与第二异常账号具有关联关系的第一账号。
S230、根据第一账号在账号关系图中的连边,确定与第一账号存在至少两个相同的第二属性信息的所有账号,以得到R个第二账号。
其中,R为大于等于1的整数,第二属性信息与第一属性信息存在至少一个不同的属性信息。
可以理解的是,根据账号关系图,将与第一账号至少两个相同的第二属性信息的所有账号作为第二账号。第二账号为黑产组织中的中游黑产运营账号。
为便于理解,请参阅图12,图12中账号D1为第一账号,与第一账号(账号D1)存在好友+同ip地址的双重关系的为账号F1和账号G1,即账号F1和账号G1均为第二账号。由于账号E1与账号D1的关联关系仅仅是好友关系,即账号E1只存在一个与账号D1相同的属性信息,所以账号E1不是第二账号。账号B2为第一账号,与第一账号(账号B2)存在好友+同ip地址的双重关系的为账号E2,即账号E2为第二账号。由于账号F2与账号B2的关联关系仅仅是好友关系,即账号F2只存在一个与账号B1相同的属性信息,所以账号F2不是第二账号。账号C2是为第一账号,与第一账号(账号C2)存在好友+同ip地址的双重关系的为账号G2,即账号G2为第二账号。
图12中的第二账号包括账号F1、账号G1、账号E2和账号G2。其中,账号F1、账号G1为与第一账号D1(账号D1与第一异常账号A1具有关联关系)具有关联关系的第二账号;账号E2为与第一账号B2(账号B2与第二异常账号A2具有关联关系)具有关联关系的第二账号;账号G2为与第一账号C2(账号C2与第二异常账号A2具有关联关系)具有关联关系的第二账号。
S240、根据S个第一账号和R个第二账号,从账号关系图中提取出与第二异常账号相关的第三子关系图。
其中,第三子关系图包括S个第一账号对应的节点、R个第二账号对应的节点以及第一账号与第二账号之间的连边,连边反映账号之间的属性信息。
可以理解的是,对账号关系图进行剪枝,仅仅保留包括第二异常账号、与第二异常账号存在至少两个第一属性信息的S个第一账号、与第一账号存在至少两个第二属性信息的R个第二账号,将第二异常账号、S个第一账号以及R个第二账号作为第三子关系图的节点,以及保留第二异常账号与第一账号的连边,第一账号与第二账号的连边,生成第三子关系图。
为便于理解,请参阅图13。图13为本申请实施例提供的第三子关系图的示意图。账号A2为第二异常账号,账号B2和账号C2为第一账号,账号E2和账号G2为第二账号。以账号A2、账号B2、账号C2、账号E2、账号G2作为第三子关系图的节点;根据账号A2与账号B2存在两个属性信息的关系,生成账号A2节点与账号B2节点的边;根据账号A2与账号C2存在两个属性信息的关系,生成账号A2节点与账号C2节点的边;根据账号B2与账号E2存在两个属性信息的关系,生成账号B2节点与账号E2节点的边;根据账号C2与账号G2存在两个属性信息的关系,生成账号C2节点与账号G2节点的边。
S250、根据目标业务以及账号关系图,确定第三子关系图中一个账号与第一子关系图中一个账号具有相同属性信息。
可以理解的是,目标业务可以是对识别多类型业务号。黑产组织中存在以下两种复杂情况:一种是黑产组织的中游黑产运营账号对接多个不同类型的下游业务账号,为了彻底挖掘黑产组织中的各个账号,需要对不同类型的下游业务账号进行挖掘。另一种是一个黑产组织的中游黑产运营账号与另一个黑产组织的中游黑产运营账号存在关联关系,当发现一个黑产组织的中游黑产运营账号后,可以根据与其账号存在关联关系的账号挖掘出另一个黑产组织的中游黑产运营账号,以挖掘出更多的黑产组织。
为便于理解,请参阅图12。第一账号D1与第二账号E2存在好友+同ip地址的双重关系,即第一账号D1与第二账号E2存在相同属性信息,根据第一账号D1与第二账号E2存在相同属性信息,生成连接第一账号D1节点与第二账号E2节点的边。
S260、根据相同属性信息所对应的连边,将第三子关系图和第一子关系图进行连接处理,得到目标业务对应的目标关系图。
可以理解的是,目标关系图由第三子关系图和第一子关系图及第三子关系图中一个账号与第一子关系图中一个账号具有相同属性信息的连边构成。
为便于理解,请参阅图14。图14为本申请实施例提供的目标关系图的示意图。账号D1与账号E2存在相同属性信息,通过账号D1与账号E2的连边将第一子关系图及第三子关系图进行连接,得到目标关系图。第一子关系图包括以账号A1、账号D1、账号F1、账号G1为节点,以账号A1节点与账号D1节点的连线作为边、以账号D1节点与账号G1节点的连线作为边、以账号D1节点与账号F1节点的连线作为边。第二子关系图包括以账号A2、账号B2、账号C2、账号E2、账号G2为节点,以账号A2节点与账号B2节点的连线作为边、以账号A2节点与账号C2节点的连线作为边、以账号B2节点与账号E2节点的连线作为边、以账号C2节点与账号G2节点的连线作为边。账号D1与账号E2存在相同属性信息,通过账号D1与账号E2的连边将第一子关系图及第三子关系图进行连接,以账号D1节点与账号E2节点的连线作为边,连接第一子关系图及第三子关系图。
本申请实施例提供的方法,通过挖掘不同黑产组织之间的关联关系,提高账号群组识别的精准度,将账号群组作为处理黑产组织的辅助手段,提高黑产团队处理效果,对于下游业务账号直接采取封停策略,针对中游黑产运营账号,可以进行标注并持续关注,以便发现更多潜在的下游业务号和上游产业链账号。
在本申请的图11对应的实施例提供的账号群组识别方法的一个可选实施例中,请参阅图15,步骤250进一步包括子步骤S251至子步骤S252。具体的:
S251、根据目标业务以及账号关系图,确定第一子关系图中第二账号与第三子关系图中的第一账号存在至少两个相同的第二属性信息。
可以理解的是,黑产组织的中游黑产运营账号对接多个不同类型的下游业务账号,为了彻底挖掘黑产组织中的各个账号,需要对不同类型的下游业务账号进行挖掘,具体表现为确定第一子关系图中第二账号是否存在与至少两个相同的第二属性信息的第三子关系图中的第一账号。
为便于理解,请参阅图16,图16是本申请实施例提供的目标关系图的示意图。账号A1为第一异常账号,账号D1为与第一异常账号A1具有关联关系的第一账号,账号G1和账号F1为与第一账号D1具有关联关系的第二账号,账号A2为第二异常账号,账号B2和账号C2为与第二异常账号A2具有关联关系的第一账号,账号E2是同时与第一账号D1具有关联关系以及与第一账号B2具有关联关系的第二账号,账号G2为与第一账号C2具有关联关系的第二账号。第一子关系图包括以账号A1、账号D1、账号G1和账号F1为节点,以账号A1节点与账号D1节点的连线作为边,以账号D1节点与账号G1节点的连线作为边,以账号D1节点与账号F1节点的连线作为边。第三子关系图包括以账号A2、账号B2、账号C2、账号E2和账号G2为节点,以账号A2节点与账号B2节点的连线作为边,以账号A2节点与账号C2节点的连线作为边,以账号B2节点与账号E2节点的连线作为边,以账号C2节点与账号G2节点的连线作为边。第一子关系图中的第一账号D1与第三子关系图中第二账号E2存在好友+同ip地址的双重关系,即第一账号D1与第二账号E2存在至少两个相同的第二属性信息,以第一账号D1与第二账号E2的连线作为连接第一子关系图与第三子关系图的边。
S252、根据目标业务以及账号关系图,确定第一子关系图中第二账号与第三子关系图中的第二账号存在至少两个相同的第四属性信息。
其中,第四属性信息与第一属性信息存在至少一个不同的属性信息,且第四属性信息与第二属性信息存在至少一个不同的属性信息。
可以理解的是,黑产组织的中游黑产运营账号与另一个黑产组织的中游黑产运营账号存在关联关系,当发现黑产组织的中游黑产运营账号后,可以根据与其账号存在关联关系的账号挖掘出另一个黑产组织的中游黑产运营账号,以挖掘出更多的黑产组织。
为便于理解,请参阅图17,图17是本申请实施例提供的目标关系图的示意图。账号A1为第一异常账号,账号D1为与第一异常账号A1具有关联关系的第一账号,账号G1和账号F1为与第一账号D1具有关联关系的第二账号,账号A2为第二异常账号,账号B2和账号C2为与第二异常账号具有关联关系的第一账号,账号E2是同时与第一账号D1具有关联关系以及与第一账号B2具有关联关系的第二账号,账号G2为与第一账号C2具有关联关系的第二账号。第一子关系图包括以账号A1、账号D1、账号G1和账号F1为节点,以账号A1节点与账号D1节点的连线为边,以账号D1节点与账号F1节点的连线为边,以账号D1节点与账号G1节点的连线为边。第三子关系图包括以账号A2、账号B2、账号C2、账号E2和账号G2为节点,以账号A2节点与账号B2节点的连线为边,以账号A2节点与账号C2节点的连线为边,以账号B2节点与账号E2节点的连线为边,以账号C2节点与账号G2节点的连线为边。第一子关系图中的第二账号F1与第三子关系图中第二账号E2存在好友+同ip地址的双重关系,即第二账号F1与第二账号E2存在至少两个相同的第二属性信息,以第二账号F1节点与第二账号E2的节点的连线作为连接第一子关系图和第三子关系图的边。
本申请实施例提供的方法,通过挖掘不同黑产组织之间的关联关系,提高账号群组识别的精准度,将账号群组作为处理黑产组织的辅助手段,提高黑产团队处理效果,对于下游业务账号直接采取封停策略,针对中游黑产运营账号,可以进行标注并持续关注,以便发现更多潜在的下游业务号和上游产业链账号。
为了便于理解,下面将结合图18介绍一种账号群组识别方法。
步骤一,获取待验证账号集合。其中,待验证账号集合包括第一异常账号和第二异常账号,待验证账号集合中的每个账号具有至少两个属性信息。
可以理解的是,待验证账号可以是社交账号、游戏账号、网络购物账号等账号,本申请实施例在此不作限制。为便于理解,本申请以社交账号为例,需要说明的是,本申请获取的账号及账号属性信息均为在用户许可的前提下进行获取。
第一异常账号和第二异常账号为已经确定的黑产组织中由下游业务人员使用的种子账号,第一异常账号和第二异常账号可以是由异常账号管理平台获得,也可以是由受害者举报获得等方式获得,本申请在此不做限制。第一异常账号及第二异常账号与正常账号的最明显区别在于,第一异常账号和第二异常账号具有在短时间内被添加好友的次数远远超过正常账号,第一异常账号和第二异常账号的好友分布地理位置较广、年龄较为分散等特征。
属性信息是指账号在使用过程中产生的行为数据,包括但不限于:账号的常用登陆设备的设备唯一标识码,账号的常用登陆地址,账号的常用登录ip地址,注册账号时使用的身份信息,账号的好友列表信息,账号的聊天数据日志、好友添加请求信息等,其为后续构图提供了多个维度的关联关系。考虑到处理黑产组织具有时效性,本申请实施例只获取近3个月的属性信息。由于黑产组织在进行黑产行为所使用的账号多存在于新增的好友关系中,以获取近3个月的好友添加请求信息的日志为例,请参阅表2,表2为本申请实施例提供的社交关系数据。
表2
步骤二,对获取到的待验证账号集合进行数据清洗。具体清洗步骤如下:
1、过滤缺失数据。由于各种原因,数据中会存在很多信息不全的记录,比如IP地址字段为空,或者设备id字段无法获取到。这部分数据由于无法构成图中对应的边,所以需要舍弃。除去缺失的信息,对于其他能够转换成构图所需的字段,还需要进行转换。
2、过滤和业务场景不相关的数据。聚焦到黑产账号识别场景,黑产团队使用账号具有使用时间较短、关联账号较少的特征;所以对于长期且每天均添加大量好友的账号,可以判定为正常账号,可以对其进行过滤。同时,同一个IP地址或者同一个设备id长期活跃,且关联到大量账号,不符合黑产的场景,可以判定为正常账号,也需要进行过滤。这部分账号、IP地址、设备id,可以计算并累积成过滤库,后续步骤中都可以直接使用。
步骤三,基于清洗后的待验证账号集合构建账号关系列表。如表3所示。账号A1的常用登陆设备的设备唯一标识码与账号B1的常用登陆设备的设备唯一标识码相同,则账号A1与账号B1为同设备id的关系。账号A1的常用登录ip地址与账号B1的常用登录ip地址相同,则账号A1与账号C1为同ip地址的关系。账号A1的常用登陆设备的设备唯一标识码与账号D1的常用登陆设备的设备唯一标识码相同,并且账号A1的常用登录ip地址与账号D1的常用登录ip地址相同,则账号A1与账号D1为同设备id+同ip地址的双重关系。账号D1的好友列表中包括账号E1,账号E1的好友列表中包括账号D1,则账号D1与账号E1为好友关系。账号D1的好友列表中包括账号F1,账号F1的好友列表中包括账号D1,并且账号D1的常用登录ip地址与账号F1的常用登录ip地址相同,则账号D1与账号F1为好友+同ip地址的双重关系。账号D1的好友列表中包括账号G1,账号G1的好友列表中包括账号D1,并且账号D1的常用登录ip地址与账号G1的常用登录ip地址相同,则账号D1与账号G1为好友+同ip地址的双重关系。账号F1的好友列表中包括账号H1,账号H1的好友列表中包括账号F1,并且账号F1和账号H1的聊天信息中存在关键词,则账号F1和账号H1为好友+关键词双重关系。账号F1的好友列表中包括账号I1,账号I1的好友列表中包括账号F1,则账号F1和账号I1为好友关系。账号G1的常用登录ip地址与账号J1的常用登录ip地址相同,则账号G1和账号J1为同ip地址的关系。
账号A2的常用登陆设备的设备唯一标识码与账号B2的常用登陆设备的设备唯一标识码相同,以及账号A2常用登录ip地址与账号B2的常用登录ip地址相同,则账号A2与账号B2为同设备id+同ip地址的双重关系。账号A2的常用登陆设备的设备唯一标识码与账号C2的常用登陆设备的设备唯一标识码相同,以及账号A2常用登录ip地址与账号C2的常用登录ip地址相同,则账号A2与账号C2为同设备id+同ip地址的双重关系。账号A2的常用登陆设备的设备唯一标识码与账号D2的常用登陆设备的设备唯一标识码相同,则账号A2与账号D2为同设备id的关联关系。账号B2的好友列表中包括账号E2,账号E2的好友列表中包括账号B2,并且账号B2的常用登录ip地址与账号E2的常用登录ip地址相同,则账号B2与账号E2为好友+同ip地址的双重关系。账号B2的好友列表中包括账号F2,账号F2的好友列表中包括账号B2,则账号B2与账号F2为好友关系。账号E2的好友列表中包括账号H2,账号H2的好友列表中包括账号E2,并且账号E2和账号H2的聊天信息中存在关键词,则账号E2和账号H2为好友+关键词双重关系。账号F2的好友列表中包括账号I2,账号I2的好友列表中包括账号F2,并且账号F2和账号I2的聊天信息中存在关键词,则账号F2和账号I2为好友+关键词双重关系。账号C2的好友列表中包括账号G2,账号G2的好友列表中包括账号C2,并且账号C2常用登录ip地址和账号G2的常用登录ip地址相同,则账号C2和账号G2为好友+同ip地址的双重关系。账号G2的常用登录ip地址与账号J2的常用登录ip地址相同,则账号G2和账号J2为同ip地址的关系。
表3
/>
表3中账号1和账号2为具有关联关系的账号,添加好友时间标识账号1和账号2添加好友并确立好友关系的时间,关联关系表示账号1与账号2具有的相同属性信息,关联值表示账号1与账号2相同属性信息的具体信息。
步骤四,根据账号关系列表生成账号关系图。根据待验证账号集合中每个账号所对应的各个属性信息,将具有至少一个相同属性信息的账号进行连边处理,以生成账号关系图,其中,账号关系图中的节点表示账号。
可以理解的是,根据账号的属性信息构建账号关系图,将分散的独立账号通过共同的属性特征进行连边处理,共同的属性特征的种类可以是一种,也可以是一种以上。根据社交关系数据进行构图,图会非常的大,涉及到的节点是10亿级别,边是100亿级别,其中会包含大量的干扰信息,给后续从图中进行组织挖掘,带来非常大的困难。所以,后续步骤中还需要根据具体业务场景,对图进行剪枝,聚焦到图中特定的部分,再进行组织的挖掘。为便于理解,请参阅图19。图19是本申请实施例提供的账号关系图的示意图。
步骤五,基于账号关联关系对账号关系图进行剪枝。使用第一异常账号和第二异常账号(种子账号)为起点,然后根据具体黑产团队的特点,进行账号关系图进行剪枝。为便于理解,请参阅图20。图20是本申请实施例提供的对账号关系图进行剪枝的示意图。首先,对种子账号(第一异常账号/第二异常账号)基于设备信息相同及位置信息相同的规则,得到下游业务账号(第一账号);接着,对下游业务账号(第一账号)基于关系信息相同及位置信息相同的规则,得到中游黑产运营账号(第二账号);最后,对中游黑产运营账号(第二账号)基于关系信息相同及关键词信息相同的规则,得到上游产业链账号(第三账号),将不符合上述所有规则的账号对应的节点进行剪枝。具体包括以下步骤:
1、首先,根据第一异常账号在账号关系图中的连边,确定与第一异常账号存在设备信息相同及位置信息相同的所有账号,以得到N个第一账号。接着,根据第一账号在账号关系图中的连边,确定与第一账号存在关系信息相同及位置信息相同的所有账号,以得到M个第二账号,第二属性信息与第一属性信息存在至少一个不同的属性信息。然后,根据第二账号在账号关系图中的连边,确定与第二账号存在关系信息相同及关键词信息相同的所有账号,以得到L个第三账号,其中,L≥1,第三属性信息与第一属性信息存在至少一个不同的属性信息,且第三属性信息与第二属性信息存在至少一个不同的属性信息。
最后,根据N个第一账号、M个第二账号及L个第三账号,从账号关系图中提取出与第一异常账号相关的第一子关系图,其中,第一子关系图包括N个第一账号对应的节点、M个第二账号对应的节点、L个第三账号对应的节点、第一账号与第二账号之间的连边,第一账号与第三账号之间的连边以及第二账号与第三账号之间的连边,连边反映账号之间的属性信息。
请参阅图21,图21是本申请实施例提供的第一子关系图的示意图。图21中账号A1为第一异常账号,与第一异常账号(账号A1)存在同设备id+同ip地址的双重关系的为账号D1,即账号D1为第一账号。由于账号B1与账号A1仅仅是同设备id的关联关系,即账号B1只存在一个与账号A1相同的属性信息,所以账号B1不是第一账号。同样的,账号C1与账号A1仅仅是同ip地址的关联关系,即账号C1只存在一个与账号A1相同的属性信息,所以账号C1不是第一账号。账号D1为第一账号,与第一账号(账号D1)存在好友+同ip地址的双重关系的为账号F1和账号G1,但是由于账号G1不存在与其具有好友+关键词的第三账号,所以账号F1为第二账号,账号G1不是第二账号。由于账号E1与账号D1的关联关系仅仅是好友关系,即账号E1只存在一个与账号D1相同的属性信息,所以账号E1不是第二账号。账号F1为第二账号,与第二账号(账号F1)存在好友+关键词双重关系的为账号H1,即账号H1为第三账号。第一子关系图中以账号A1(第一异常账号)、账号D1(第一账号)、账号F1(第二账号)、账号H1(第三账号)为第一子关系图的节点,以账号A1节点与账号D1节点的连线为边,以账号D1节点与账号F1节点的连线为边,以账号F1节点与账号H1节点的连线为边。
2、首先,根据第二异常账号在账号关系图中的连边,确定与第二异常账号存在设备信息相同及位置信息相同的所有账号,以得到S个第一账号。接着,根据第一账号在账号关系图中的连边,确定与第一账号存在关系信息相同及位置信息相同的所有账号,以得到R个第二账号,第二属性信息与第一属性信息存在至少一个不同的属性信息。然后,根据第二账号在账号关系图中的连边,确定与第二账号存在关系信息相同及关键词信息相同的所有账号,以得到G个第三账号,第三属性信息与第一属性信息存在至少一个不同的属性信息,且第三属性信息与第二属性信息存在至少一个不同的属性信息。
最后,根据S个第一账号、R个第二账号及G个第三账号,从账号关系图中提取出与第二异常账号相关的第二子关系图,其中,第二子关系图包括S个第一账号对应的节点、R个第二账号对应的节点、G个第三账号对应的节点、第一账号与第二账号之间的连边,第一账号与第三账号之间的连边以及第二账号与第三账号之间的连边,连边反映账号之间的属性信息。
请参阅图22,图22是本申请实施例提供的第二子关系图的示意图。账号A2为第二异常账号,与第二异常账号(账号A1)存在同设备id+同ip地址的双重关系的为账号B2和账号C2,即账号B2和账号C2为第一账号。由于账号D2与账号A2仅仅是同设备id的关联关系,即账号D2只存在一个与账号A2相同的属性信息,所以账号D2不是第一账号。账号B2为第一账号,与第一账号(账号B2)存在好友+同ip地址的双重关系的为账号E2,即账号E2为第二账号。由于账号F2与账号B2的关联关系仅仅是好友关系,即账号F2只存在一个与账号B1相同的属性信息,所以账号F2不是第二账号。账号C2是为第一账号,与第一账号(账号C2)存在好友+同ip地址的双重关系的为账号G2,但是账号J2与账号G2只存在同ip地址的关联关系,所以账号G2不是第二账号。账号E2是第二账号,与第二账号(账号E2)存在好友+关键词的双重关系的为账号H2,即账号H2为第三账号。第二子关系图中以账号A2(第二异常账号)、账号B2(第一账号)、账号C2(第一账号)、账号E2(第二账号)、账号H2(第三账号)为第二子关系图的节点,以账号A2与节点与账号B2节点的连线为边,以账号A2与节点与账号C2节点的连线为边,以账号B2与节点与账号E2节点的连线为边,以账号E2与节点与账号H2节点的连线为边。
黑产运营人员从上游产业链进行黑产物料的购买行为,在好友添加日志或聊天信息日志中存在的特定关键词,可以通过账号间加好友时的请求消息进行建模判断或者是对聊天信息进行建模判断,通过标注的请求消息为样本,使用bert算法(BidirectionalEncoder Representations from Transformers)进行建模识别。
特别注意,在进行黑产账号识别的时候,同一级识别规则可以进行多次传播,即每次传播得到的结果,可以用来进行下一次传播。比如设备信息相同及位置信息相同的识别规则,可以固定进行3次,或者直到出现某一次传播量级非常大(比如1000以上),此时认为已经传播到正常账号,则停止。
此外,下游业务账号(第一账号)和上游产业链账号(第三账号),是通过一次传播就可以得到的,即下游业务账号(第一账号)与种子账号(第一异常账号/第二异常账号)存在设备信息相同及位置信息相同,上游产业链账号(第三账号)与中游黑产运营账号(第二账号)存在关系信息相同及位置信息相同。而中游黑产运营账号(第二账号)则需要同时满足,与下游业务账号(第一账号)存在关系信息相同及位置信息相同,以及与上游产业链账号(第三账号)存在关系信息相同及关键词信息相同。所以,每次标签传播,不一定是每个标签的账号都能获取到。即使存在下游业务账号(第一账号),也不一定能够得到中游黑产运营账号(第二账号)和上游产业链账号(第三账号)。
步骤六,对剪枝得到的子关系图进行合并,生成目标关系图。可以通过fastunfolding算法(社团划分算法)对多个子关系图进行社区划分,得到目标关系图。
具体包括:
1、根据目标业务以及账号关系图,确定第一子关系图中一个账号与第二子关系图中一个账号具有相同属性信息。
2、根据相同属性信息所对应的连边,将第一子关系图和第二子关系图进行连接处理,得到目标业务对应的目标关系图。
请参阅图23,图23是本申请实施例提供的目标关系图的示意图。账号A1为第一异常账号,账号D1为与第一异常账号A1具有关联关系的第一账号,账号F1为与第一账号D1具有关联关系的第二账号,账号H1为与第二账号F1具有关联关系的第三账号。账号A2为第二异常账号,账号B2和账号C2为与第二异常账号具有关联关系的第一账号,账号E2是同时与第一账号D1具有关联关系以及与第一账号B2具有关联关系的第二账号,账号H2为与第二账号E2具有关联关系的第三账号。第一子关系图中以账号A1(第一异常账号)、账号D1(第一账号)、账号F1(第二账号)、账号H1(第三账号)为第一子关系图的节点,以账号A1节点与账号D1节点的连线为边,以账号D1节点与账号F1节点的连线为边,以账号F1节点与账号H1节点的连线为边。第二子关系图中以账号A2(第二异常账号)、账号B2(第一账号)、账号C2(第一账号)、账号E2(第二账号)、账号H2(第三账号)为第二子关系图的节点,以账号A2与节点与账号B2节点的连线为边,以账号A2与节点与账号C2节点的连线为边,以账号B2与节点与账号E2节点的连线为边,以账号E2与节点与账号H2节点的连线为边。第一子关系图中的第一账号D1与第二子关系图中第二账号E2存在好友+同ip地址的双重关系,根据第一账号D1节点与第二账号E2节点的连线为连接第一子关系图和第二子关系图的边。
请参阅图24,图24是本申请实施例提供的目标关系图包括三种类型的示意图。目标关系图包括三种类型:第一种是只包含从一个种子账号标签传播得到的三层结构的子关系图的简单组织。第二种是多类型业务号的目标关系图,包含从多个种子账号标签传播得到的三层结构的子关系图,其中也包含多个中游黑产运营账号(第二账号),这些中游黑产运营账号(第二账号)之间是相互独立的,可以认为这样的大组织中,涉及到多种黑产行为。根据目标业务以及账号关系图,确定第一子关系图中第二账号与第二子关系图中的第一账号存在至少两个相同的第二属性信息。第三种是运营多个子组织的大组织,包含从多个种子账号标签传播得到的三层结构的子关系图,其中的多个中游黑产运营账号(第二账号)之间互相有关联,可以认为这样的大组织,是同一个类型的黑产行为,具有较大规模。根据目标业务以及账号关系图,确定第一子关系图中第二账号与第二子关系图中的第二账号存在至少两个相同的第四属性信息,其中,第四属性信息与第一属性信息存在至少一个不同的属性信息,且第四属性信息与第二属性信息存在至少一个不同的属性信息。
本申请实施例提供的方法具有以下有益效果:
1、便于精准处理策略的制定。对于三层结构的黑产组织,实现根据不同角色进行针对性的处理策略的制定。比如针对下游业务账号(第一账号),直接采取封停策略;针对中游黑产运营账号(第二账号),可以进行标记及持续关注,以便发现更多潜在的下游业务账号和上游产业链账号;针对上游产业链账号(第三账号),可以提供更多线索,辅助线下处理,从源头对黑灰产进行有效的处理。
2、提前发现黑产账号。一个黑产账号在投入使用之前,使用者首先是从上游产业链人员处进行购买,然后中游黑产运营人员再对账号进行分配,并由再下游业务进行黑产行为。所以,通过中游黑产运营账号和上游产业链账号进行识别,可以在一个黑产账号实行黑产行为之前,就通过关联关系进行检测。从而提前发现大量黑产账号。
3、提升黑产处理面。根据三层结构的黑产组织账号,进行策略处理,能够覆盖黑灰产上下游整个链条的处理,而不仅仅是针对恶意账号的单一维度、单一策略的处理。
下面对本申请中的账号群组识别装置进行详细描述,请参阅图25。图25为本申请实施例中账号群组识别装置10的一个实施例示意图,账号群组识别装置10包括:
待验证账号集合获取模块110,用于获取待验证账号集合。
其中,待验证账号集合包括第一异常账号,待验证账号集合中的每个账号具有至少两个属性信息。
账号关系图生成模块120,用于根据待验证账号集合中每个账号所对应的各个属性信息,将具有至少一个相同属性信息的账号进行连边处理,以生成账号关系图。
其中,账号关系图中的节点表示账号。
第一账号获取模块130,用于根据第一异常账号在账号关系图中的连边,确定与第一异常账号存在至少两个相同的第一属性信息的所有账号,以得到N个第一账号。
其中,N≥1。
第二账号获取模块140,用于根据第一账号在账号关系图中的连边,确定与第一账号存在至少两个相同的第二属性信息的所有账号,以得到M个第二账号。
其中,M≥1,第二属性信息与第一属性信息存在至少一个不同的属性信息。
第一子关系图生成模块150,用于根据N个第一账号和M个第二账号,从账号关系图中提取出与第一异常账号相关的第一子关系图。
其中,第一子关系图包括N个第一账号对应的节点、M个第二账号对应的节点以及第一账号与第二账号之间的连边,连边反映账号之间的属性信息。
本申请实施例提供的装置,通过账号属性建立待验证账号之间的两层关系群组,以识别出黑产组织中的下游业务账号及中游黑产运营账号,提高账号群组识别的精准度,将账号群组作为处理黑产组织的辅助手段,提高黑产团队处理效果,对于下游业务账号直接采取封停策略,针对中游黑产运营账号,可以进行标注并持续关注,以便发现更多潜在的下游业务号和上游产业链账号。
在本申请的图25对应的实施例提供的账号群组识别装置的一个可选实施例中,请参阅图26,账号群组识别装置10还包括第三账号获取模块160和第二子关系图生成模块170。
第三账号获取模块160,用于根据第二账号在账号关系图中的连边,确定与第二账号存在至少两个相同的第三属性信息的所有账号,以得到L个第三账号。
其中,L≥1,第三属性信息与第一属性信息存在至少一个不同的属性信息,且第三属性信息与第二属性信息存在至少一个不同的属性信息。
第二子关系图生成模块170,用于根据N个第一账号、M个第二账号及L个第三账号,从账号关系图中提取出与第一异常账号相关的第二子关系图。
其中,第二子关系图包括N个第一账号对应的节点、M个第二账号对应的节点、L个第三账号对应的节点、第一账号与第二账号之间的连边,第一账号与第三账号之间的连边以及第二账号与第三账号之间的连边,连边反映账号之间的属性信息。
本申请实施例提供的装置,通过账号属性建立待验证账号之间的三层关系群组,以识别出黑产组织中的下游业务账号、中游黑产运营账号及上游产业链账号,提高账号群组识别的精准度,将账号关系作为处理黑产组织的辅助手段,提高黑产团队处理效果:对于下游业务账号直接采取封停策略;针对中游黑产运营账号,可以进行标注并持续关注,以便发现更多潜在的下游业务号和上游产业链账号;针对上游产业链账号,可以进行标注并持续关注,以便发现更多潜在的中游黑产运营账号,作为辅助进行线下处理,从源头对黑产进行有效的处理。
在本申请的图25或图26对应的实施例提供的账号群组识别装置的一个可选实施例中,第二账号获取模块140,还用于根据第一账号在账号关系图中的连边,确定与第一账号存在至少两个相同的第二属性信息,并且与第三账号存在至少两个相同的第三属性信息的所有账号,得到M个第二账号。
本申请实施例提供的装置,通过账号属性建立待验证账号之间的三层关系群组,以识别出黑产组织中的下游业务账号、中游黑产运营账号及上游产业链账号,通过同时考虑中游黑产账号与下游业务账号及上游产业链账号的关联关系,提高账号群组识别的精准度,将账号关系作为处理黑产组织的辅助手段,提高黑产团队处理效果。
在本申请的图25对应的实施例提供的账号群组识别装置的一个可选实施例中,待验证账号集合中的每个账号具有的属性信息包括设备信息、位置信息及关系信息中的至少两种。
第一账号获取模块130,还用于根据第一异常账号在账号关系图中的连边,确定与第一异常账号存在设备信息相同及位置信息相同的所有账号,以得到N个第一账号。
第二账号获取模块140,还用于根据第一账号在账号关系图中的连边,确定与第一账号存在关系信息相同及位置信息相同的所有账号,以得到M个第二账号。
本申请实施例提供的装置,通过账号属性建立待验证账号之间的两层关系群组,以识别出黑产组织中的下游业务账号及中游黑产运营账号,提高账号群组识别的精准度,将账号群组作为处理黑产组织的辅助手段,提高黑产团队处理效果,对于下游业务账号直接采取封停策略,针对中游黑产运营账号,可以进行标注并持续关注,以便发现更多潜在的下游业务号和上游产业链账号。
在本申请的图26对应的实施例提供的账号群组识别装置的一个可选实施例中,待验证账号集合中的每个账号具有的属性信息包括关系信息及关键词信息;
第三账号获取模块160,还用于根据第二账号在账号关系图中的连边,确定与第二账号存在关系信息相同及关键词信息相同的所有账号,以得到L个第三账号。
其中,L≥1。
本申请实施例提供的装置,过账号属性建立待验证账号之间的三层关系群组,以识别出黑产组织中的下游业务账号、中游黑产运营账号及上游产业链账号,提高账号群组识别的精准度,将账号群组作为处理黑产组织的辅助手段,提高黑产团队处理效果:对于下游业务账号直接采取封停策略;针对中游黑产运营账号,可以进行标注并持续关注,以便发现更多潜在的下游业务号和上游产业链账号;针对上游产业链账号,可以进行标注并持续关注,以便发现更多潜在的中游黑产运营账号,作为辅助进行线下处理,从源头对黑产进行有效的处理。
在本申请的图25应的实施例提供的账号群组识别装置的一个可选实施例中,请参阅图27,账号群组识别装置10括第二异常账号获取模块210、第三子关系图生成模块220及目标关系图生成模块230;
第二异常账号获取模块210,用于从待验证账号集合中获取第二异常账号。
第一账号获取模块130,还用于根据第二异常账号在账号关系图中的连边,确定与第二异常账号存在至少两个相同的第一属性信息的所有账号,以得到S个第一账号。
其中,S≥1。
第二账号获取模块140,还用于根据第一账号在账号关系图中的连边,确定与第一账号存在至少两个相同的第二属性信息的所有账号,以得到R个第二账号。
其中,R≥1,第二属性信息与第一属性信息存在至少一个不同的属性信息。
第三子关系图生成模块220,用于根据S个第一账号和R个第二账号,从账号关系图中提取出与第二异常账号相关的第三子关系图。
其中,第三子关系图包括S个第一账号对应的节点、R个第二账号对应的节点以及第一账号与第二账号之间的连边,连边反映账号之间的属性信息。
目标关系图生成模块230,用于根据目标业务以及账号关系图,确定第三子关系图中一个账号与第一子关系图中一个账号具有相同属性信息;根据相同属性信息所对应的连边,将第三子关系图和第一子关系图进行连接处理,得到目标业务对应的目标关系图。
本申请实施例提供的装置,通过挖掘不同黑产组织之间的关联关系,提高账号群组识别的精准度,将账号群组作为处理黑产组织的辅助手段,提高黑产团队处理效果,对于下游业务账号直接采取封停策略,针对中游黑产运营账号,可以进行标注并持续关注,以便发现更多潜在的下游业务号和上游产业链账号。
在本申请的图27应的实施例提供的账号群组识别装置的一个可选实施例中,目标关系图生成模块230,还用于:
根据目标业务以及账号关系图,确定第一子关系图中第二账号与第三子关系图中的第一账号存在至少两个相同的第二属性信息;
根据目标业务以及账号关系图,确定第一子关系图中第二账号与第三子关系图中的第二账号存在至少两个相同的第四属性信息,其中,第四属性信息与第一属性信息存在至少一个不同的属性信息,且第四属性信息与第二属性信息存在至少一个不同的属性信息。
本申请实施例提供的装置,通过挖掘不同黑产组织之间的关联关系,提高账号群组识别的精准度,将账号群组作为处理黑产组织的辅助手段,提高黑产团队处理效果,对于下游业务账号直接采取封停策略,针对中游黑产运营账号,可以进行标注并持续关注,以便发现更多潜在的下游业务号和上游产业链账号。
图28是本申请实施例提供的一种服务器结构示意图,该服务器300可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(central processingunits,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在服务器300上执行存储介质330中的一系列指令操作。
服务器300还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述实施例中由服务器所执行的步骤可以基于该图28所示的服务器结构。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (11)
1.一种账号群组识别方法,其特征在于,包括:
获取待验证账号集合,其中,所述待验证账号集合包括第一异常账号,所述待验证账号集合中的每个账号具有至少两个属性信息;
根据所述待验证账号集合中每个账号所对应的各个属性信息,将具有至少一个相同属性信息的账号进行连边处理,以生成账号关系图,其中,所述账号关系图中的节点表示账号;
根据所述第一异常账号在所述账号关系图中的连边,确定与所述第一异常账号存在至少两个相同的第一属性信息的所有账号,以得到N个第一账号,其中,N≥1;
根据所述第一账号在所述账号关系图中的连边,确定与所述第一账号存在至少两个相同的第二属性信息的所有账号,以得到M个第二账号,其中,M≥1,所述第二属性信息与所述第一属性信息存在至少一个不同的属性信息;
根据所述N个第一账号和所述M个第二账号,从所述账号关系图中提取出与所述第一异常账号相关的第一子关系图,其中,所述第一子关系图包括所述N个第一账号对应的节点、所述M个第二账号对应的节点以及所述第一账号与所述第二账号之间的连边,所述连边反映账号之间的属性信息。
2.如权利要求1所述的账号群组识别方法,其特征在于,所述得到M个第二账号之后,还包括:
根据所述第二账号在所述账号关系图中的连边,确定与所述第二账号存在至少两个相同的第三属性信息的所有账号,以得到L个第三账号,其中,L≥1,所述第三属性信息与所述第一属性信息存在至少一个不同的属性信息,且所述第三属性信息与所述第二属性信息存在至少一个不同的属性信息;
根据所述N个第一账号、所述M个第二账号及所述L个第三账号,从所述账号关系图中提取出与所述第一异常账号相关的第二子关系图,其中,所述第二子关系图包括所述N个第一账号对应的节点、所述M个第二账号对应的节点、所述L个第三账号对应的节点、所述第一账号与所述第二账号之间的连边,所述第一账号与所述第三账号之间的连边以及所述第二账号与所述第三账号之间的连边,所述连边反映账号之间的属性信息。
3.如权利要求2所述的账号群组识别方法,其特征在于,所述根据所述第一账号在所述账号关系图中的连边,确定与所述第一账号存在至少两个相同的第二属性信息的所有账号,以得到M个第二账号,包括:
根据所述第一账号在所述账号关系图中的连边,确定与所述第一账号存在至少两个相同的第二属性信息,并且与所述第三账号存在至少两个相同的第三属性信息的所有账号,得到M个第二账号。
4.如权利要求1或2任一所述的账号群组识别方法,其特征在于,所述待验证账号集合中的每个账号具有的属性信息包括设备信息、位置信息及关系信息中的至少两种;
所述根据所述第一异常账号在所述账号关系图中的连边,确定与所述第一异常账号存在至少两个相同的第一属性信息的所有账号,以得到N个第一账号,包括:
根据所述第一异常账号在所述账号关系图中的连边,确定与所述第一异常账号存在设备信息相同及位置信息相同的所有账号,以得到N个第一账号;
所述根据所述第一账号在所述账号关系图中的连边,确定与所述第一账号存在至少两个相同的第二属性信息的所有账号,以得到M个第二账号,包括:
根据所述第一账号在所述账号关系图中的连边,确定与所述第一账号存在关系信息相同及位置信息相同的所有账号,以得到M个第二账号。
5.如权利要求2所述的账号群组识别方法,其特征在于,所述待验证账号集合中的每个账号具有的属性信息包括关系信息及关键词信息;
所述根据所述第二账号在所述账号关系图中的连边,确定与所述第二账号存在至少两个相同的第三属性信息的所有账号,以得到L个第三账号,包括:
根据所述第二账号在所述账号关系图中的连边,确定与所述第二账号存在关系信息相同及关键词信息相同的所有账号,以得到L个第三账号。
6.如权利要求1所述的账号群组识别方法,其特征在于,所述从所述账号关系图中提取出与所述第一异常账号相关的第一子关系图之后,还包括:
从所述待验证账号集合中获取第二异常账号;
根据所述第二异常账号在所述账号关系图中的连边,确定与所述第二异常账号存在至少两个相同的第一属性信息的所有账号,以得到S个第一账号,其中,S≥1;
根据所述第一账号在所述账号关系图中的连边,确定与所述第一账号存在至少两个相同的第二属性信息的所有账号,以得到R个第二账号,其中,R≥1,所述第二属性信息与所述第一属性信息存在至少一个不同的属性信息;
根据所述S个第一账号和所述R个第二账号,从所述账号关系图中提取出与所述第二异常账号相关的第三子关系图,其中,所述第三子关系图包括所述S个第一账号对应的节点、所述R个第二账号对应的节点以及第一账号与第二账号之间的连边,所述连边反映账号之间的属性信息;
根据目标业务以及所述账号关系图,确定所述第三子关系图中一个账号与所述第一子关系图中一个账号具有相同属性信息;
根据所述相同属性信息所对应的连边,将所述第三子关系图和所述第一子关系图进行连接处理,得到所述目标业务对应的目标关系图。
7.如权利要求6所述的账号群组识别方法,其特征在于,所述根据目标业务以及所述账号关系图,确定所述第三子关系图中一个账号与所述第一子关系图中一个账号具有相同属性信息,包括:
根据目标业务以及所述账号关系图,确定所述第一子关系图中第二账号与所述第三子关系图中的第一账号存在至少两个相同的第二属性信息;
根据目标业务以及所述账号关系图,确定所述第一子关系图中第二账号与所述第三子关系图中的第二账号存在至少两个相同的第四属性信息,其中,所述第四属性信息与所述第一属性信息存在至少一个不同的属性信息,且所述第四属性信息与所述第二属性信息存在至少一个不同的属性信息。
8.一种账号群组识别装置,其特征在于,包括:
待验证账号集合获取模块,用于获取待验证账号集合,其中,所述待验证账号集合包括第一异常账号,所述待验证账号集合中的每个账号具有至少两个属性信息;
账号关系图生成模块,用于根据所述待验证账号集合中每个账号所对应的各个属性信息,将具有至少一个相同属性信息的账号进行连边处理,以生成账号关系图,其中,所述账号关系图中的节点表示账号;
第一账号获取模块,用于根据所述第一异常账号在所述账号关系图中的连边,确定与所述第一异常账号存在至少两个相同的第一属性信息的所有账号,以得到N个第一账号,其中,N≥1;
第二账号获取模块,用于根据所述第一账号在所述账号关系图中的连边,确定与所述第一账号存在至少两个相同的第二属性信息的所有账号,以得到M个第二账号,其中,M≥1,所述第二属性信息与所述第一属性信息存在至少一个不同的属性信息;
第一子关系图生成模块,用于根据所述N个第一账号和所述M个第二账号,从所述账号关系图中提取出与所述第一异常账号相关的第一子关系图,其中,所述第一子关系图包括所述N个第一账号对应的节点、所述M个第二账号对应的节点以及所述第一账号与所述第二账号之间的连边,所述连边反映账号之间的属性信息。
9.一种计算机设备,其特征在于,包括:存储器、收发器、处理器以及总线系统;
其中,所述存储器用于存储程序;
所述处理器用于执行所述存储器中的程序,包括执行如权利要求1至7中任一项所述的账号群组识别方法;
所述总线系统用于连接所述存储器以及所述处理器,以使所述存储器以及所述处理器进行通信。
10.一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行如权利要求1至7中任一项所述的账号群组识别方法。
11.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行如权利要求1至7中任一项所述的账号群组识别方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211406331.6A CN116957596A (zh) | 2022-11-10 | 2022-11-10 | 一种账号群组识别方法及相关装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211406331.6A CN116957596A (zh) | 2022-11-10 | 2022-11-10 | 一种账号群组识别方法及相关装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116957596A true CN116957596A (zh) | 2023-10-27 |
Family
ID=88451639
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211406331.6A Pending CN116957596A (zh) | 2022-11-10 | 2022-11-10 | 一种账号群组识别方法及相关装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116957596A (zh) |
-
2022
- 2022-11-10 CN CN202211406331.6A patent/CN116957596A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Moreno-Sanchez et al. | Listening to whispers of ripple: Linking wallets and deanonymizing transactions in the ripple network | |
Chakraborty et al. | Recent developments in social spam detection and combating techniques: A survey | |
Phillips et al. | Tracing cryptocurrency scams: Clustering replicated advance-fee and phishing websites | |
CN103620585B (zh) | 虚拟身份管理器 | |
US11568181B2 (en) | Extraction of anomaly related rules using data mining and machine learning | |
CN109831459B (zh) | 安全访问的方法、装置、存储介质和终端设备 | |
CN112165462A (zh) | 基于画像的攻击预测方法、装置、电子设备及存储介质 | |
EP3485450A1 (en) | Network based advertisement data traffic latency reduction | |
CN111738770B (zh) | 广告异常流量检测方法及装置 | |
CN102315952A (zh) | 一种用于社区网络中检测垃圾帖子的方法与设备 | |
CN112506925A (zh) | 一种基于区块链的数据检索系统及方法 | |
CN114338064B (zh) | 识别网络流量类型的方法、装置、系统、设备和存储介质 | |
CN110363540A (zh) | 一种基于用户行为检测的羊毛党识别方法、装置和电子设备 | |
Derr et al. | Relevance measurements in online signed social networks | |
CN107944293B (zh) | 虚拟资产保护方法、系统、设备及存储介质 | |
CN111612085A (zh) | 一种对等组中异常点的检测方法及装置 | |
CN108345582B (zh) | 一种识别社交群从事业务的方法及装置 | |
CN113935738A (zh) | 交易数据处理方法、装置、存储介质及设备 | |
CN111461727A (zh) | 交易行为的监控预警方法、装置、存储介质和智能设备 | |
CN116957596A (zh) | 一种账号群组识别方法及相关装置 | |
CN117216736A (zh) | 异常账号的识别方法、数据调度平台及图计算平台 | |
CN114861076A (zh) | 信息处理方法、装置、计算机设备和存储介质 | |
CN115599345A (zh) | 一种基于知识图谱的应用安全需求分析推荐方法 | |
Moradi et al. | Rogue people: on adversarial crowdsourcing in the context of cyber security | |
CN115174205A (zh) | 一种网络空间安全实时监测方法、系统及计算机存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |