CN117421681A

CN117421681A - 一种异常用户检测方法、装置、电子设备以及存储介质

Info

Publication number: CN117421681A
Application number: CN202311381793.1A
Authority: CN
Inventors: 金博夫; 周俊; 章越; 惠盼; 焦健
Original assignee: Baidu China Co Ltd
Current assignee: Baidu China Co Ltd
Priority date: 2023-10-23
Filing date: 2023-10-23
Publication date: 2024-01-19

Abstract

本公开提供了一种异常用户检测方法、装置、电子设备以及存储介质，涉及数据处理技术领域，尤其涉及网络安全技术领域。具体实现方案为：获得从目标用户的不同模态数据提取的用户特征的目标特征值；基于所获得的目标特征值，确定多个特征值组，每一特征值组包括：多个用户特征的目标特征值和基于所述多个用户特征确定的异常用户的群体特征值；分别对每一特征值组包括的特征值进行特征融合，得到各个特征值组对应的融合特征值；基于所得融合特征值，检测所述目标用户是否为异常用户。应用本公开实施例提供的方案可以提高检测异常用户的准确度。

Description

一种异常用户检测方法、装置、电子设备以及存储介质

技术领域

本公开涉及数据处理技术领域，尤其涉及网络安全技术领域。

背景技术

随着互联网的普及，越来越多的用户通过互联网获取各种信息的同时，一些异常用户利用互联网进行恶意操作，给互联网带来安全隐患。鉴于此，需要对异常用户进行检测，挖掘出互联网中的异常用户，以净化网络环境、消除安全隐患。

发明内容

本公开提供了一种异常用户检测方法、装置、电子设备以及存储介质。

根据本公开的一方面，提供了一种异常用户检测方法，包括：

获得从目标用户的不同模态数据提取的用户特征的目标特征值；

基于所获得的目标特征值，确定多个特征值组，其中，每一特征值组包括：多个用户特征的目标特征值和基于所述多个用户特征确定的异常用户的群体特征值；

分别对每一特征值组包括的特征值进行特征融合，得到各个特征值组对应的融合特征值；

基于所得融合特征值，检测所述目标用户是否为异常用户。

根据本公开的另一方面，提供了一种异常用户检测装置，包括：

特征值获得模块，用于获得从目标用户的不同模态数据提取的用户特征的目标特征值；

特征值组确定模块，用于基于所获得的目标特征值，确定多个特征值组，其中，每一特征值组包括：多个用户特征的目标特征值和基于所述多个用户特征确定的异常用户的群体特征值；

特征融合模块，用于分别对每一特征值组包括的特征值进行特征融合，得到各个特征值组对应的融合特征值；

异常用户检测模块，用于基于所得融合特征值，检测所述目标用户是否为异常用户。

根据本公开的再一方面，提供了一种电子设备，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述任一异常用户检测方法。

根据本公开的又一方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，其中，所述计算机指令用于使所述计算机执行上述任一异常用户检测方法。

根据本公开的又一方面，提供了一种计算机程序产品，包括计算机程序，所述计算机程序在被处理器执行时实现上述任一异常用户检测方法。

由以上可见，本公开实施例提供的方案中，对目标用户的不同模态数据进行提取特征提取得到目标特征值，并对基于目标特征值确定的每一特征值组中的特征值进行融合，再使用特征融合后得到的融合特征值进行异常用户检测，由于每一特征值组中融合的特征值包括：目标用户的多个用户特征的目标特征值、以及异常用户的群体特征值，所以用于进行异常用户检测的融合特征值结合了个体用户的特征值和群体异常用户的特征，这样，可以更准确、更全面地分析出目标用户的特征是否与异常用户的特征相似，提高检测异常用户的准确度。并且，异常用户检测的融合特征值也融合了不同模态的多个用户特征，多种模态的特征可以从不同角度表征目标用户的特征，可以更准确的检查目标用户是否与异常用户详细，进一步提高检测异常用户的准确度。

应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。

附图说明

附图用于更好地理解本方案，不构成对本公开的限定。其中：

图1是根据本公开实施例提供的一种异常用户检测方法的流程示意图；

图2是根据本公开实施例提供的一种异常用户检测模型的结构示意图；

图3是根据本公开实施例提供的一种异常用户检测装置的结构示意图；

图4是用来实现本公开实施例的异常用户检测方法的电子设备的框图。

具体实施方式

以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

下面对本公开实施例的应用场景进行举例说明。

场景一

用户在使用互联网的过程中可能进入由异常用户构建的恶意网站，或者，用户可能收到异常用户发送的恶意信息。然后用户被恶意网站或恶意信息中的内容引导进行相应的操作，进而可能导致用户的信息泄露。

场景二

恶意用户可能会通过一些网络技术手段或者其它方式，获取到其它用户账号的各类凭证信息，然后恶意用户使用其它用户的账号进行恶意操作，进而其它损害用户的权益，造成安全隐患。

场景三

恶意用户可以在社交平台中注册大量的恶意账号，然后通过恶意账号进行恶意操作，例如，恶意用户可以使用恶意账号进行信息转发操作，恶意用户也可以使用恶意账号对指定内容进行访问，恶意提高上述指定内容的访问量。这都会影响到网络安全。

下面对本公开实施例的执行主体进行说明。

本公开实施例提供的异常用户检测方法可以应用在检测平台，其中检测平台可以针对各种社交平台、视频平台以及购物平台等多种网络平台进行异常用户检测。

下面对本公开实施例涉及的概念进行说明。

一、不同模态数据

不同模态数据可以是不同存在形式的数据，也可以是不同数据来源的数据由两种或两种以上模态组成的数据可以称之为多模态数据。例如，文本数据、图像数据以及音频数据都是不同模态的数据。

其中，目标用户的不同模态数据是在经过目标用户允许后获取的。例如，检测平台可以使用向目标用户的发起询问的方式，向目标用户询问是否允许获取目标用户的数据，在目标用户查看上述询问并允许获取相关的数据后再获取目标用户的不同模态数据。

目标用户的不同模态数据可以包括以下数据中至少两种：目标用户的文本数据、目标用户的图像数据、目标用户的音频数据、目标用户的行为数据、目标用户的用户设备数据以及目标用户的位置数据。

下面对各种模态数据进行举例说明。

目标用户的文本数据可以包括：目标用户在社交平台上发布的公开文本、目标用户的评论信息、目标用户填写的个人简介等数据。

目标用户的图像数据可以包括：用户的头像以及用户上传的公开的图文信息中图像的数据。例如，用户可以在社交平台上发布配有图片的文章以及帖子等公开内容，检测平台可以上述用户发布的公开图文信息中获得用户的图像数据。

目标用户的音频数据可以包括：用户发布的语音数据。例如，用户可以通过语音回复的方式，在其它用户发布的内容下进行评论。检测平台可以获得用户发布语音数据。

目标用户的行为数据可以包括：表征用户在网络平台中进行的操作的数据。例如，表征用户访问网络平台中的内容的数据、表征用户在网络平台中发布内容的数据以及表征用户发布的内容曝光率的数据等。

目标用户的用户设备数据可以包括：用户设备型号信息，在用户设备设置有传感器的情况下，用户设备数据还可以包括：设备运动和姿态数据。例如，表征用户设备加速度的数据、表征用户陀螺仪的数据。

目标用户的位置数据可以包括：用户当前地理位置信息、表征用户地理位置移动情况的信息。

这样，采用多种不同模态数据，可以从不同的角度对用户的特征进行分析用户的特征，可以基于不同的角度来确定用户是否属于异常用户，进一步提高检测异常用户的准确度。

二、用户特征

用户特征表征提取从不同模态数据提取得到的特征的种类，例如，用户特征可以包括：文本语义特征、关键词特征、文本情感特征、图像颜色分布特征、图像内容特征、以及用户活跃度特征等。

三、用户特征的特征值

用户特征的特征值表征的是该用户特征的数值。以用户活跃度特征为例，用户活跃度特征可以包括：用户发布公开内容的频率，用户发布公开内容的频率的特征值可以为每天两次。以文本情感特征为例，用户的文本情感特征的特征值可以为“理性的”。其中，目标特征值也是特征值的一种，其表征的是目标用户的用户特征的特征值。

下面通过具体实施例对本公开实施例提供的异常用户检测方法进行详细说明。

本公开的一个实施例中，参见图1，图1提供了一种异常用户检测方法的流程示意图，上述方法包括以下步骤S101-S104。

步骤S101：获得从目标用户的不同模态数据提取的用户特征的目标特征值。

一种实现方式中，检测平台可以针对每一种模态数据，根据该模态数据的数据类型，确定特征提取方式。按照确定的特征提取方式对该模态数据进行特征提取。得到该模态数据的用户特征的目标特征值。

具体的，对于目标用户的文本数据，检测平台可以采用自然语义处理来对文本数据进行特征提取。对于目标用户的行为数据，检测平台可以采用数值统计等方式，来提取目标用户的行为数据的特征。例如，针对表征用户访问网络平台中的内容的数据，可以统计用户访问网络平台中的内容的访问频率、访问次数以及用户所访问内容的种类的分布等等。针对表征用户设备加速度的数据，检测平台可以计算设备加速度的平均值、方差、最大值、最小值等统计指标作为目标特征值。针对表征用户陀螺仪的数据，检测平台可以计算设备陀螺仪数据的平均值、方差、峰度、偏度等统计指标作为目标特征值。

另外，在获得到目标用户的不同模态数据可以对数据进行清洗和预处理剔除异常或重复的数据，确保数据的准确性和一致性，并在特权提取的过程中将原始数据转化为特征向量。

步骤S102：基于所获得的目标特征值，确定多个特征值组。

其中，每一特征值组包括：多个用户特征的目标特征值和基于多个用户特征确定的异常用户的群体特征值。

群体特征值可以是预先确定的特征值，特征值组中的群体特征值是基于多个用户特征确定的，用于确定群体特征的多个用户特征与同一特征值组内的目标特征值所属的多个用户特征可以相同。例如，若特征值组中目标特征值所属的用户特征包括：文本语义特征、文本情感特征和图像颜色分布特征，那么，用于确定异常用户的群体特征值的多个用户特征也可以包括文本语义特征、文本情感特征和图像颜色分布特征。

确定异常用户的群体特征值的实现方式将在下文实施例进行说明，这里暂不详述。

下面对步骤S102确定多个特征值组的方式进行说明。

一种实现方式中，可以基于用户特征确定多个特征组。针对每一特征组，获得基于该特征组中用户特征确定的异常用户的群体特征值，获得包括群体特征值和该特征组中各用户特征的目标特征值的特征值组。

其中，不同特征组中包含的用户特征不完全相同。例如，第一特征组中包括用户特征A和用户特征B，第二特征组中包括用户特征A、用户特征B和用户特征C。那么，第一特征组和第二特征组中包含的用户特征不完全相同。若第一特征组中可以包括用户特征A和用户特征B，第二特征组中也包括用户特征A、用户特征B。那么，第一特征组和第二特征组中包含的用户特征是完全相同的。

一种方式中，可以基于用户特征的种类的数量，确定每一种两个及以上的用户特征的组合，然后将每一种用户特征的组合作为一个特征组中包括的用户特征。并针对每一特征组，获得包括该特征组中的用户特征的群体特征值和目标特征值的特征值组。具体的，可以通过组合公式，确定用户特征的组合。

另一种方式中，在基于用户特征的种类的数量，确定每一种用户特征的组合，并将每一种用户特征的组合作为一个特征组中包括的用户特征后，可以针对每一特征组中包括的用户特征，计算同一特征组内的用户特征的相关性。若相关性大于预设相关性阈值，则保留该特征组，否则，删除该特征组。针对每一剩余的特征组，获得包括该特征组中的用户特征的群体特征值和目标特征值的特征值组。

可见，基于用户特征确定多个特征组，可以根据用户特征灵活地确认多个特征值组，这样，可以考虑到用户特征的种类，配置需要融合在一起的用户特征的特征值，融合得到的融合特征值可以更准确的表征用户的特性，提高异常用户检测的准确度。

另一种实现方式中，按照以下方式确定每一特征值组：根据特征值组对应的预设用户特征，获得基于特征组中用户特征确定的异常用户的群体特征值。将预设用户特征的目标特征值和群体特征值添加至特征值组。

具体的，可以预设每一特征值组内包括的预设用户特征。例如，预先设定特征值组A中包括用户特征A、用户特征B和用户特征C，特征值组B中包括用户特征用户特征B和用户特征C，特征值组C中包括用户特征D、用户特征E和用户特征F。

这样，可以预先配置最适合的特征值组对应的用户特征的种类。例如，目标用户的用户特征中的图像颜色分布特征和针对表征用户陀螺仪的数据提取得到的用户设备陀螺仪特征可能在任何情况下都不会存在较高的相关性，那么就可以不将上述用户特征作为同一特征值组对应的用户特征。

对于目标用户的用户特征中的文本语义特征和文本情感特征，上述用户特征具有强相关性，那么就可以将上述用户特征作为同一特征值组对应的用户特征。

由以上可见，通过准确的对特征值组对应的预设用户特征进行预先配置，可以使得融合的特征值更加合理，进而提高融合特征值的表达能力，提高异常用户检测的准确度。

步骤S103：分别对每一特征值组包括的特征值进行特征融合，得到各个特征值组对应的融合特征值。

其中，每一特征值组包括的特征值中包含目标特征值和异常用户的群体特征值。

一种实现方式中，可以使用拼接和加权平均等特征融合方式对目标特征值和异常用户的群体特征值进行融合。

另一种实现方式中，针对每一特征值组，对属于同一模态的特征值使用该模态对应的特征融合方式进行特征融合，得到各个模态对应的特征融合结果。然后使用拼接或加权平均等特征融合方式对各个模态对应的特征融合结果进行融合。

步骤S104：基于所得融合特征值，检测目标用户是否为异常用户。

一种实现方式中，可以将所得融合特征值输入预先训练的分类模型，进行用户分类，确定目标用户的分类类别，进而检测目标用户是否为异常用户。例如，分类模型可以为支持向量机和随机森林等。

在检测到异常用户后，可以准确的执行相关策略，保护网络安全。

本公开的一个实施例中，用户特征为：根据应用场景的业务需求信息和/或业务目标信息从不同模态数据的特征中选择的特征。

例如，对于上文对应用场景的说明中的场景一，业务需求信息可以包括检测发送恶意消息的异常用户，场景一中的异常用户的恶意操作主要包括通过发送恶意信息，或者，引导其它用户进入恶意网站等。那么，可以选择用户消息发送频率和用户发送消息指向的用户的分布作为用户特征。

又例如，对于上文对应用场景的说明中的场景一，业务目标信息可以包括检测收到恶意消息的异常用户，并对其进行提醒，那么，也可以选择从表征用户访问网络平台中的内容的数据提取的特征作为用户特征。

再例如，对于上文对应用场景的说明中的场景三，其业务目标信息包括检测进行恶意操作的异常用户，其恶意用户可能会操作大量的恶意账号。结合现实情况，恶意用户可能使用同一设备登录大量的恶意账号，又或者，使用大量的设备来操作大量的恶意账号。这样，可以确定场景三的业务需求信息包括检测用户设备来检测异常用户，那么，可以选择从用户设备数据提取的特征作为用户特征。

这样，结合实际应用场景的业务需求信息和/或业务目标信息可以更准确的选择用户特征，使用选择的用户特征进行异常用户检测，可以进一步提高异常用户检测准确度。也可以减少需要处理的数据量，减少异常用户检测所消耗的计算资源。

下面对实现用户特征为：根据应用场景的业务需求信息和/或业务目标信息从不同模态数据的特征中选择的特征的实现方式进行说明。

一种实现方式中，步骤S101可以通过以下方式实现：根据应用场景的业务需求和/或业务目标信息，从目标用户的不同模态数据的特征中选择目标用户的用户特征。然后从不同模态的数据提取用户特征的目标特征值。这样，可以动态的根据不同应用场景的业务需求和/或业务目标信息，确定对应的用户特征。

另一种实现方式中，可以根据各个应用场景的业务需求和/或业务目标信息，预先针对每一应用场景设置对应的用户特征。

在用户特征为根据指定应用场景的业务需求信息和/或业务目标信息从所述不同模态数据的特征中选择的特征的情况下，那么，提取得到的目标特征值也是针对该应用场景下的用户特征的特征值。并且，确定得到的多个特征值组中的用户特征也为上述针对该应用场景选择的特征。基于多个用户特征确定的异常用户的群体特征值也是针对该应用场景下的群体特征值。那么，在基于融合特征值，检测目标用户是否为异常用户时，实际上也可以检测出目标用户是否为应用场景下的异常用户。

本公开的一个实施例中，在上述用户特征为：根据应用场景的业务需求信息和/或业务目标信息从不同模态数据的特征中选择的特征的基础上，可以通过以下方式确定群体特征值：获得应用场景下样本用户的不同样本模态数据；从不同样本模态数据中提取多个用户特征的样本特征值；根据目标数值分析方式，对样本特征值进行数值分析，并基于分析结果获得群体特征值，其中，目标数值分析方式基于应用场景的业务需求信息和/或业务目标信息确定。

例如，对于上文对应用场景的说明中的场景二，可以获得用户在使用各类凭证信息进行对应的操作的场景下的不同样本模态数据。例如，使用凭证信息进行操作的网络平台的账号头像、账号名称进行操作的次数以及时间等数据。然后可以场景二对应的目标数值分析方式可以包括计算使用凭证信息进行操作的频率等。若使用凭证信息进行对应的操作包括发送消息，那么目标数值分析方式还可以包括统计消息发送对象分布以及计算用户在群体社交关系中的重要性等。

可见，根据不同的应用场景的样本用户确定的群体特征值可以表征这个应用场景下的用户的共性特点，针对不同的应用场景使用不同的目标数值分析方式对样本特征值进行数值分析可以尽可能的体现上述共性特点，减少信息损失，提高群体特征值的信息完整度，进而提高进行特征融合得到的融合特征值的准确度，提高异常用户检测的准确度。

群体特征值可以是从不同样本模态数据中提取得到的，所以群体特征值也可以表征异常用户在文本数据、图像数据和音频数据等多个模态数据上的特征，因此可以基于融合了群体特征值和目标特征值的融合特征值，更细致的捕捉目标用户与异常用户的差异，提高检测异常用户的准确度。

本公开的另一个实施例中，群体特征值可以包括以下数值中的至少一种：表征用户在应用场景中进行恶意操作的频率的数值、表征样本特征值的分布的数值以及表征用户在群体社交关系中的重要性的数值。

如上述实施例中的举例，在上述场景二中，表征用户在应用场景中进行恶意操作的频率的数值可以包括：用户使用凭证信息进行操作的频率数值。在上述场景三中，表征用户在应用场景中进行恶意操作的频率的数值可以包括：用户使用恶意账号进行信息转发操作的频率的数值、用户使用恶意账号对指定内容进行访问的频率的数值等等。

又例如，可以通过以下数值来表征用户在群体社交关系中的重要性：用户在群体社交涉及的其它用户在社交关系中的度中心性、特征向量中心性以及中介中心性等。

一种实现方式中，可以针对表征用户在所述应用场景中进行恶意操作的频率的数值取平均值也可以针对表征用户在群体社交关系中的重要性的数值取平均值，作为群体特征值。这样可以减少需要处理的数据量。

可见，上述数值可以更详细的表征群体的特征，可以获得更详细的群体特征值，进而提高进行群体特征值和目标特征值进行特征融合后得到的融合特征值的丰富度，提高异常用户检测的准确度。

一种情况下，目标用户可能会是新用户，并且，新的用户使用的是新设备。这种情况下，获得到的用户的不同模态数据较少。这样，提取的用户特征的目标特征值会比较稀疏，使用稀疏的数据集进行异常用户检测，会导致准确度低。本公开的一个实施例中，在步骤S102之前还可以通过以下方式来降低目标特征值的稀疏度：

针对每一用户特征，若该用户特征的目标特征值的稀疏度大于预设稀疏度，基于目标群体特征值预测该用户特征的目标特征值的填充值，并使用填充值对该用户特征的目标特征值进行填充。

其中，目标群体特征值为：基于该用户特征确定的异常用户的群体特征值。用于确定异常用户的群体特征值的用户特征与稀疏度大于预设稀疏度的目标特征值的用户特征相同。

下面对获得填充值的方式进行说明。

具体的，填充值可以基于均值填充、中位数填充或众数填充的方式计算得到。例如，计算该用户特征的群体特征值的均值、中位数或众数。

也可以使用预先训练填充值预测模型对填充值进行预测，例如，以该用户特征的计算群体特征值为标签，以稀疏度大于预设稀疏度的样本用户的特征值为输入，训练填充值预测模型。将该用户特征的目标特征值输入到填充值预测模型中机芯填充值预测，得到用于对该用户特征的目标特征值进行填充的填充值。

这样，基于目标群体特征值对较为稀疏的目标特征值进行填充，得到更为丰富的目标特征值，提高用于进行异常用户检测的融合特征值的丰富度，提高异常用户检测的准确度。这样，在数据稀疏的情况下也可以进行较为准确的异常用户检测，提高了异常用户检测的鲁棒性。

本公开的一个实施例中，参见图2，图2提供了一种异常用户检测模型的结构示意图。

上述异常用户检测模型包括：特征值融合层和分类层。

具体的，可以将确定得到的目标用户的每一特征值组中多个用户特征的目标特征值和基于多个用户特征确定的异常用户的群体特征值的群体特征值输入到该特征值组对应的特征值融合层中特征值融合单元，得到各个特征值组对应的融合特征值。再将各个特征值融合单元输出的融合特征值输入到分类层中，得到异常用户检测结果。

其中，特征值融合层中各个特征值融合单元可以使用多个的CNN(ConvolutionalNeural Networks，卷积神经网络)或RNN(Recurrent Neural Network，循环神经网络)模型，各个特征值融合单元的网络结构可以不同，每一特征值融合单元中可以使用不同的卷积、池化以及循环等网络结构，也可以使用不同的激活函数和/或损失韩式。这样各个特征值融合单元可以针对不同特征表示进行学习，增加模型的多样性。

分类层可以是元模型，具体的，分类层可以是基于支持向量机(SVM)、随机森林(Random Forest)等算法构建的。

例如，特征值组1中的目标特征值和群体特征值输入到特征值融合单元1，进行特征融合，得到融合特征值1。特征值组2中的目标特征值和群体特征值输入到特征值融合单元2，进行特征融合，得到融合特征值2。以此类推，特征值组n中的目标特征值和群体特征值输入到特征值融合单元n，进行特征融合，得到融合特征值n。其中，n表征的是特征值融合单元的数量，也表征的是特征值组的数量。将上述得到的融合特征值1、融合特征值2…融合特征值n输入分类层，分类层检测目标用户是否为异常用户，输出异常用户检测结果。

在训练上述异常用户检测模型的过程中，可以针对上述多个特征值融合单元的权重进行随机初始化。这样每个特征值融合单元将处于不同的初始状态，可以并朝着不同的方向学习特征表示。随机初始化有助于增加特征值融合单元之间的多样性，从而提高异常用户检测模型的集成效果。

在进行超参调节的过程中，可以使用网格搜索技术和交叉验证技术等，以找到最佳的超参数设置，提高模型性能。

需要说明的是，该技术方案使用的个人信息仅限于取得个人单独同意的信息，包括但不限于在用户使用该功能前，通知用户阅读用户协议，并签署包括授权相关用户信息的该协议。并且，本公开的技术方案中，所涉及的用户个人信息的收集、存储、使用、加工、传输、提供和公开等处理，均符合相关法律法规的规定，且不违背公序良俗。

根据本公开的另一方面，参见图3，图3提供了一种异常用户检测装置的结构示意图，上述装置包括：

特征值获得模块301，用于获得从目标用户的不同模态数据提取的用户特征的目标特征值；

特征值组确定模块302，用于基于所获得的目标特征值，确定多个特征值组，其中，每一特征值组包括：多个用户特征的目标特征值和基于多个用户特征确定的异常用户的群体特征值；

特征融合模块303，用于分别对每一特征值组包括的特征值进行特征融合，得到各个特征值组对应的融合特征值；

异常用户检测模块304，用于基于所得融合特征值，检测目标用户是否为异常用户。

本公开的一个实施例中，通过以下方式确定群体特征值：

获得应用场景下样本用户的不同样本模态数据；

从不同样本模态数据中提取多个用户特征的样本特征值；

根据目标数值分析方式，对样本特征值进行数值分析，并基于分析结果获得群体特征值，其中，目标数值分析方式基于应用场景的业务需求信息和/或业务目标信息确定。

本公开的一个实施例中，群体特征值包括以下数值中的至少一种：表征用户在应用场景中进行恶意操作的频率的数值；表征样本特征值的数值分布的数值；表征用户在群体社交关系中的重要性的数值。

本公开的一个实施例中，上述装置还包括：

特征值填充模块，用于针对每一用户特征，若该用户特征的目标特征值的稀疏度大于预设稀疏度，基于目标群体特征值预测该用户特征的目标特征值的填充值，并使用填充值对该用户特征的目标特征值进行填充，其中，目标群体特征值为：基于该用户特征确定的异常用户的群体特征值。

本公开的一个实施例中，特征值组确定模块302，具体用于基于用户特征确定多个特征组，其中，不同特征组中包含的用户特征不完全相同；针对每一特征组，获得基于该特征组中用户特征确定的异常用户的群体特征值，获得包括群体特征值和该特征组中各用户特征的目标特征值的特征值组。

本公开的一个实施例中，特征值组确定模块302，具体用于按照以下方式确定每一特征值组：

根据特征值组对应的预设用户特征，获得基于特征组中用户特征确定的异常用户的群体特征值；将预设用户特征的目标特征值和群体特征值添加至特征值组。

本公开的一个实施例中，不同模态数据包括以下数据中至少两种：目标用户的文本数据；目标用户的图像数据；目标用户的音频数据；目标用户的行为数据；目标用户的用户设备数据；目标用户的位置数据。

根据本公开的实施例，本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。

根据本公开的再一方面，提供了一种电子设备，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

图4示出了可以用来实施本公开的实施例的示例电子设备400的示意性框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本公开的实现。

如图4所示，设备400包括计算单元401，其可以根据存储在只读存储器(ROM)402中的计算机程序或者从存储单元408加载到随机访问存储器(RAM)403中的计算机程序，来执行各种适当的动作和处理。在RAM 403中，还可存储设备400操作所需的各种程序和数据。计算单元401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。

设备400中的多个部件连接至I/O接口405，包括：输入单元406，例如键盘、鼠标等；输出单元407，例如各种类型的显示器、扬声器等；存储单元408，例如磁盘、光盘等；以及通信单元409，例如网卡、调制解调器、无线通信收发机等。通信单元409允许设备400通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

计算单元401可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元401的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元401执行上文所描述的各个方法和处理，例如方法异常用户检测。例如，在一些实施例中，方法异常用户检测可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元408。在一些实施例中，计算机程序的部分或者全部可以经由ROM 402和/或通信单元409而被载入和/或安装到设备400上。当计算机程序加载到RAM 403并由计算单元401执行时，可以执行上文描述的方法异常用户检测的一个或多个步骤。备选地，在其他实施例中，计算单元401可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行方法异常用户检测。

本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。

用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置(例如，CRT(阴极射线管)或者LCD(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。

可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)和互联网。

计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，也可以为分布式系统的服务器，或者是结合了区块链的服务器。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本公开公开的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本公开保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等，均应包含在本公开保护范围之内。

Claims

1.一种异常用户检测方法，包括：

基于所得融合特征值，检测所述目标用户是否为异常用户。

2.根据权利要求1所述的方法，其中，

所述用户特征为：根据应用场景的业务需求信息和/或业务目标信息从所述不同模态数据的特征中选择的特征。

3.根据权利要求2所述的方法，其中，通过以下方式确定所述群体特征值：

获得所述应用场景下样本用户的不同样本模态数据；

从所述不同样本模态数据中提取所述多个用户特征的样本特征值；

根据目标数值分析方式，对所述样本特征值进行数值分析，并基于分析结果获得所述群体特征值，其中，所述目标数值分析方式基于所述应用场景的业务需求信息和/或业务目标信息确定。

4.根据权利要求3所述的方法，其中，所述群体特征值包括以下数值中的至少一种：

表征用户在所述应用场景中进行恶意操作的频率的数值；

表征所述样本特征值的数值分布的数值；

表征用户在群体社交关系中的重要性的数值。

5.根据权利要求1所述的方法，在所述基于所获得的目标特征值，确定多个特征值组之前，还包括：

针对每一用户特征，若该用户特征的目标特征值的稀疏度大于预设稀疏度，基于目标群体特征值预测该用户特征的目标特征值的填充值，并使用所述填充值对该用户特征的目标特征值进行填充，其中，所述目标群体特征值为：基于该用户特征确定的异常用户的群体特征值。

6.根据权利要求1所述的方法，其中，所述基于所获得的目标特征值，确定多个特征值组，包括：

基于用户特征确定多个特征组，其中，不同特征组中包含的用户特征不完全相同；

针对每一特征组，获得基于该特征组中用户特征确定的异常用户的群体特征值，获得包括所述群体特征值和该特征组中各用户特征的目标特征值的特征值组。

7.根据权利要求1所述的方法，其中，所述基于所获得的目标特征值，确定多个特征值组，包括：

按照以下方式确定每一特征值组：

根据特征值组对应的预设用户特征，获得基于特征组中用户特征确定的异常用户的群体特征值；

将预设用户特征的目标特征值和所述群体特征值添加至所述特征值组。

8.根据权利要求1所述的方法，其中，所述不同模态数据包括以下数据中至少两种：

所述目标用户的文本数据；

所述目标用户的图像数据；

所述目标用户的音频数据；

所述目标用户的行为数据；

所述目标用户的用户设备数据；

所述目标用户的位置数据。

9.一种异常用户检测装置，包括：

10.根据权利要求9所述的装置，其中，

11.根据权利要求10所述的装置，其中，通过以下方式确定所述群体特征值：

获得所述应用场景下样本用户的不同样本模态数据；

12.根据权利要求11所述的装置，其中，所述群体特征值包括以下数值中的至少一种：

表征用户在所述应用场景中进行恶意操作的频率的数值；

表征所述样本特征值的数值分布的数值；

表征用户在群体社交关系中的重要性的数值。

13.根据权利要求9所述的装置，所述装置还包括：

特征值填充模块，用于针对每一用户特征，若该用户特征的目标特征值的稀疏度大于预设稀疏度，基于目标群体特征值预测该用户特征的目标特征值的填充值，并使用所述填充值对该用户特征的目标特征值进行填充，其中，所述目标群体特征值为：基于该用户特征确定的异常用户的群体特征值。

14.根据权利要求9所述的装置，其中，

所述特征值组确定模块，具体用于基于用户特征确定多个特征组，其中，不同特征组中包含的用户特征不完全相同；针对每一特征组，获得基于该特征组中用户特征确定的异常用户的群体特征值，获得包括所述群体特征值和该特征组中各用户特征的目标特征值的特征值组。

15.根据权利要求9所述的装置，其中，

所述特征值组确定模块，具体用于按照以下方式确定每一特征值组：

根据特征值组对应的预设用户特征，获得基于特征组中用户特征确定的异常用户的群体特征值；将预设用户特征的目标特征值和所述群体特征值添加至所述特征值组。

16.根据权利要求9所述的装置，其中，所述不同模态数据包括以下数据中至少两种：

所述目标用户的文本数据；

所述目标用户的图像数据；

所述目标用户的音频数据；

所述目标用户的行为数据；

所述目标用户的用户设备数据；

所述目标用户的位置数据。

17.一种电子设备，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-8中任一项所述的方法。

18.一种存储有计算机指令的非瞬时计算机可读存储介质，其中，所述计算机指令用于使所述计算机执行根据权利要求1-8中任一项所述的方法。

19.一种计算机程序产品，包括计算机程序，所述计算机程序在被处理器执行时实现根据权利要求1-8中任一项所述的方法。