CN107305611A - 恶意账号对应的模型建立方法和装置、恶意账号识别的方法和装置 - Google Patents

恶意账号对应的模型建立方法和装置、恶意账号识别的方法和装置 Download PDF

Info

Publication number
CN107305611A
CN107305611A CN201610257894.1A CN201610257894A CN107305611A CN 107305611 A CN107305611 A CN 107305611A CN 201610257894 A CN201610257894 A CN 201610257894A CN 107305611 A CN107305611 A CN 107305611A
Authority
CN
China
Prior art keywords
account
information
malice
behavior
arma model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610257894.1A
Other languages
English (en)
Other versions
CN107305611B (zh
Inventor
任杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201610257894.1A priority Critical patent/CN107305611B/zh
Publication of CN107305611A publication Critical patent/CN107305611A/zh
Application granted granted Critical
Publication of CN107305611B publication Critical patent/CN107305611B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种恶意账号对应的模型建立方法和装置、恶意账号识别的方法和装置,包括:搜集样本恶意账号,获取样本恶意账号对应的历史恶意行为信息;将所述历史恶意行为信息作为训练数据,输入自回归移动平均训练模型训练,对候选自回归阶数、候选移动平均阶数的组合进行参数估计建立候选自回归移动平均模型集;根据拟合优度算法进行定阶得到目标自回归阶数、目标移动平均阶数和对应的目标自回归移动平均模型,能提高恶意账号识别的效率。

Description

恶意账号对应的模型建立方法和装置、恶意账号识别的方法和装置
技术领域
本发明涉及计算机技术领域,特别是涉及一种恶意账号对应的模型建立方法和装置、恶意账号识别的方法和装置。
背景技术
随着计算机技术的发展,人们通过网络进行工作、学习和娱乐,在使用网络的过程中经常需要通过账号进行登录以及获取与账号相应的权限与资源。
恶意账号是指通过机器模拟人的行为进行相应的操作的账号,可以通过恶意账号进行预设的操作以获取相应的权限和利益,如通过机器定时长期登录账号以增加登录时长,获取与登录时长对应的权限,或向多个其他用户快速同时发送信息等。实际应用中对恶意账号往往通过其它客户的举报进行识别,不能快速有效的识别恶意账号。
发明内容
基于此,有必要针对上述技术问题,提供一种恶意账号对应的模型建立方法和装置、恶意账号识别的方法和装置,能提高恶意账号识别的效率。
一种恶意账号对应的模型建立方法,所述方法包括:
搜集样本恶意账号,获取样本恶意账号对应的历史恶意行为信息;
将所述历史恶意行为信息作为训练数据,输入自回归移动平均训练模型训练,对候选自回归阶数、候选移动平均阶数的组合进行参数估计建立候选自回归移动平均模型集;
根据拟合优度算法进行定阶得到目标自回归阶数、目标移动平均阶数和对应的目标自回归移动平均模型。
一种恶意账号对应的模型建立装置,所述装置包括:
历史恶意行为信息获取模块,用于搜集样本恶意账号,获取样本恶意账号对应的历史恶意行为信息;
训练模块,用于将所述历史恶意行为信息作为训练数据,输入自回归移动平均训练模型训练,对候选自回归阶数、候选移动平均阶数的组合进行参数估计建立候选自回归移动平均模型集;
自回归移动平均模型确定模块,用于根据拟合优度算法进行定阶得到目标自回归阶数、目标移动平均阶数和对应的目标自回归移动平均模型。
上述恶意账号对应的模型建立方法和装置,通过搜集样本恶意账号,获取样本恶意账号对应的历史恶意行为信息,将历史恶意行为信息作为训练数据,输入自回归移动平均训练模型训练,对候选自回归阶数、候选移动平均阶数的组合进行参数估计建立候选自回归移动平均模型集,根据拟合优度算法进行定阶得到目标自回归阶数、目标移动平均阶数和对应的目标自回归移动平均模型,将样本恶意账号对应的历史恶意行为信息拟合成自回归移动平均训练模型,并进行定阶建立样本恶意账号对应最优的自回归移动平均模型,从而后续可根据自回归移动平均模型根据其它账号的行为信息进行账号是否为恶意账号的预测,快速方便的进行恶意账号的识别。
一种恶意账号识别的方法,所述方法包括:
获取由上述任一项实施例所述的恶意账号对应的模型建立方法建立的自回归移动平均模型;
获取当前操作账号,根据所述自回归移动平均模型获取所述当前操作账号对应的历史操作行为信息;
将所述历史操作行为信息输入自回归移动平均模型得到对应的拟合恶意账号行为预测信息;
获取所述当前操作账号对应的当前行为信息,判断所述当前行为信息是否符合所述拟合恶意账号行为预测信息,如果符合,则所述当前操作账号为恶意账号,否则,所述当前操作账号为非恶意账号。
一种恶意账号识别的装置,所述装置包括:
模型获取模块,用于获取由上述任一项实施例所述的恶意账号对应的模型建立装置建立的自回归移动平均模型;
历史操作行为信息获取模块,用于获取当前操作账号,根据所述自回归移 动平均模型获取所述当前操作账号对应的历史操作行为信息;
行为信息预测模块,用于将所述历史操作行为信息输入自回归移动平均模型得到对应的拟合恶意账号行为预测信息;
识别模块,用于获取所述当前操作账号对应的当前行为信息,判断所述当前行为信息是否符合所述拟合恶意账号行为预测信息,如果符合,则所述当前操作账号为恶意账号,否则,所述当前操作账号为非恶意账号。
上述恶意账号识别的方法和装置,通过获取上述任一实施例的恶意账号对应的模型建立方法建立的自回归移动平均模型,获取当前操作账号,根据自回归移动平均模型获取当前操作账号对应的历史操作行为信息,将历史操作行为信息输入自回归移动平均模型得到对应的拟合恶意账号行为预测信息,获取当前操作账号对应的当前行为信息,判断当前行为信息是否符合拟合恶意账号行为预测信息,如果符合,则当前操作账号为恶意账号,否则,当前操作账号为非恶意账号,可根据自回归移动平均模型根据当前操作账号的行为信息进行账号是否为恶意账号的预测,快速方便的进行恶意账号的识别。
附图说明
图1为一个实施例中恶意账号对应的模型建立方法、恶意账号识别的方法的应用环境图;
图2为一个实施例中图1中服务器120的内部结构图;
图3为一个实施例中图1中终端110的内部结构图;
图4为一个实施例中恶意账号对应的模型建立方法的流程图;
图5为一个实施例中恶意账号识别的方法的流程图;
图6为一个实施例中获取当前操作账号对应的历史操作行为信息的流程图;
图7为一个实施例中恶意账号对应的模型建立装置的结构框图;
图8为一个实施例中恶意账号识别的装置的结构框图;
图9为另一个实施例中恶意账号识别的装置的结构框图。
具体实施方式
图1为一个实施例中恶意账号对应的模型建立方法、恶意账号识别的方法运行的应用环境图。如图1所示,该应用环境包括终端110和服务器120。终端110和服务器120可以通过网络进行通信。
终端110可为智能手机、平板电脑、笔记本电脑、台式计算机等,但并不局限于此。终端110可以向服务器120发送账号操作请求,服务器120可以向终端110发送样本恶意账号对应的历史恶意行为信息等。恶意账号对应的模型可以在终端或服务器上建立,对恶意账号的识别可以在终端或服务器上。
在一个实施例中,图1中的服务器120的内部结构如图3所示,该服务器120包括通过***总线连接的处理器、存储介质、内存和网络接口。其中,该服务器120的存储介质存储有操作***、数据库和恶意账号对应的模型建立装置、恶意账号识别的装置,数据库用于存储数据,恶意账号对应的模型建立装置用于实现一种适用于服务器120的恶意账号对应的模型建立方法,恶意账号识别的装置用于实现一种适用于服务器120的恶意账号识别的方法。该服务器120的处理器用于提供计算和控制能力,支撑整个服务器120的运行。该服务器120的内存为存储介质中的恶意账号对应的模型建立装置、恶意账号识别的装置的运行提供环境。该服务器120的网络接口用于与外部的终端110通过网络连接通信,比如接收终端110发送的账号操作请求以及向终端110返回数据等。
在一个实施例中,图1中的终端110的内部结构如图2所示,该终端110包括通过***总线连接的处理器、图形处理单元、存储介质、内存、网络接口、显示屏幕和输入设备。其中,终端110的存储介质存储有操作***,还包括恶意账号对应的模型建立装置、恶意账号识别的装置,恶意账号对应的模型建立装置用于实现一种适用于终端的恶意账号对应的模型建立方法,恶意账号识别的装置用于实现一种适用于终端的恶意账号识别的方法。该处理器用于提供计算和控制能力,支撑整个终端110的运行。终端110中的图形处理单元用于至少提供显示界面的绘制能力,内存为存储介质中的恶意账号对应的模型建立装置、恶意账号识别的装置的运行提供环境,网络接口用于与服务器120进行网络通信,如发送账号操作请求至服务器120,接收服务器120返回的数据等。显示屏幕用于显示应用界面等,输入设备用于接收用户输入的命令或数据等。对 于带触摸屏的终端110,显示屏幕和输入设备可为触摸屏。
如图4所示,在一个实施例中,提供了一种恶意账号对应的模型建立方法,以应用于上述应用环境中的终端或服务器来举例说明,包括如下步骤:
步骤S210,搜集样本恶意账号,获取样本恶意账号对应的历史恶意行为信息。
具体的,样本恶意账号可通过条件筛选和检测的方式进行搜集,如将具有用户举报记录、电话访问用户提供的具有恶意行为的号码归为样本恶意账号。还可通过恶意聚集的逻辑检测得到样本恶意账号,如同一个ip上,预设时间段的访问量超过预设阈值,如1分钟的访问量超过1W,则此IP对应的账号归为样本恶意账号。历史恶意行为信息为样本恶意账号在历史操作的过程中依赖于时间t的可量化的行为信息,如与登录操作相关的信息,如上线时间、下线时间、登录时长、登录频率中的一种或多种信息,与信息发送操作相关的信息,如单位时间内发送的信息量,发送的用户数量等。如果在终端建立恶意账号对应的自回归移动平均模型,可由服务器搜集样本恶意账号,获取样本恶意账号对应的历史恶意行为信息后,将历史恶意行为信息发送至终端,服务器服务于多个终端账号,可快速搜集样本恶意账号,且服务器硬件性能好,更适合于大数据的样本数据收集。
历史恶意行为信息可以是不同行为类型的操作行为对应的信息,也可以对应于不同的业务,其中行为类型是以具体操作行为内容进行划分,如上线和下线为两种不同行为类型的操作行为。可以提取样本恶意账号预设历史时间段,如半年内各个业务上的行为信息,为了提高历史恶意行为信息的准确性,对于同一样本恶意账号不同业务上相同种类的行为信息,可分开存储,以建立各个业务对应的历史恶意行为信息,对同一账号在不同业务上可分别进行判断是否为恶意账号,提高恶意账号识别的精细粒度。如同一账号同时可以登录第一应用和第二应用,对于第一应用和第二应用,此账号可以存在不同的恶意账号识别结果。可以将历史恶意行为信息进行统一处理,并按照预设的格式形成序列。
步骤S220,将历史恶意行为信息作为训练数据,输入自回归移动平均训练模型训练,对候选自回归阶数、候选移动平均阶数的组合进行参数估计建立候 选自回归移动平均模型集。
具体的,恶意账号的操作行为大都具有批量性,一般不会动态的变化,具有一定的规律,从而历史恶意行为信息形成的序列是依赖于时间的一组随机变量,虽然构成该序列的单个序列值具有不确定性,但整个序列的变化却有一定的规律性,可以建立相应的数学模型近似描述,且可根据建立的数学模型对其它序列进行预测得到有效的预测结果。能够利用已经收集的样本观测值的历史信息去预测变量的未来值,这种依赖的简单例子就是自回归过程,定义如下:
yt=ayt-1+ut为一种自回归模型,其中ut为白噪声。
因为不断有新的批量恶意账号导致新的恶意行为事件进入,可以用一个移动平均白噪声的过程模拟调整线性拟合函数,因此这个过程整体可以用自回归移动平均的方式模拟批量恶意号码的进入过程,拟合成自回归移动平均训练模型,表达式为:
yt=a1yt-1+a2yt-2+...+apyt-p+ut-b1ut-1-...-bqut-q,可简写为ARMA(p,q),其中p代表自回归阶数,q代表移动平均阶数,ai,bj为待确定的模型参数,其中i和j为整数索引,且0<i≤p,0<j≤q。
候选自回归阶数、候选移动平均阶数的范围可根据样本数据的数量进行确定,如候选自回归阶数、候选移动平均阶数的取值范围中的最大值与当样本数据的数量成正比。在一个实施例中候选自回归阶数的范围为1至3,候选移动平均阶数的范围为1至3。分别任意选取自回归阶数p和移动平均阶数q的一种组合,结合历史恶意行为信息组成的序列Q,采用参数估计算法,如样本矩估计法、最小二乘估计法或极大似然估计法进行拟合得到不同p和q组合时对应的候选ARMA模型,各个不同的候选ARMA模型组成候选自回归移动平均模型集。
步骤S230,根据拟合优度算法进行定阶得到目标自回归阶数、目标移动平均阶数和对应的目标自回归移动平均模型。
具体的,拟合优度算法为从候选自回归移动平均模型集计算选择得到与历史恶意行为信息形成的真实曲线轨迹最匹配的目标自回归移动平均模型算法,如可采用AIC准则和BIC准则进行定阶。在一个实施例中,采用AIC准则进行 定阶,在规定范围内使候选自回归阶数、候选移动平均阶数从低到高进行组合,分别计算AIC值,最后确定使其值最小的自回归阶数、移动平均阶数的组合是模型的合适阶数。如采用最小二乘估计时,AIC=n logσ2+(p+q+1)log n其中n为历史恶意行为信息对应的样本数,σ2为拟合残差平方和,其中拟合残差平方和为样本真实值与采用自回归移动平均模型计算得到的拟合值之间残差的平方和。目标自回归阶数、目标移动平均阶数确定后就可得到对应的目标自回归移动平均模型。目标自回归移动平均模型可以根据样本恶意账号的改变不断拟合新增和调整,从而提高自回归移动平均模型的时间适应性和准确率。
本实施例中,通过搜集样本恶意账号,获取样本恶意账号对应的历史恶意行为信息,将历史恶意行为信息作为训练数据,输入自回归移动平均训练模型训练,对候选自回归阶数、候选移动平均阶数的组合进行参数估计建立候选自回归移动平均模型集,根据拟合优度算法进行定阶得到目标自回归阶数、目标移动平均阶数和对应的目标自回归移动平均模型,将样本恶意账号对应的历史恶意行为信息拟合成自回归移动平均训练模型,并进行定阶建立样本恶意账号对应最优的自回归移动平均模型,从而后续可根据自回归移动平均模型根据其它账号的行为信息进行账号是否为恶意账号的预测,快速方便的进行恶意账号的识别。
在一个实施例中,历史恶意行为信息为账号登录行为信息。
具体的,账号登录行为信息可为一种或多种,如上线时间、下线时间、登录时长、登录频率都是与账号登录行为相关的信息,采用登录行为信息可在恶意账号只登录了情况下,就可建立相应的自回归移动平均模型,从而后续即使恶意账号只是登录,还没有进行具体的恶意行为,也可以根据自回归移动平均模型进行识别,进一步提高了恶意账号识别的及时性。对于时间点类型的历史恶意行为信息,可将具体的时间转化成从1970年1月1日开始,***默认的时间戳形式,相当于从那个时间点开始的数值,从而构建统一格式的历史恶意行为信息对应的序列,方便后续建模。
在一个实施例中,历史恶意行为信息包括多种类型,自回归移动平均模型为根据多种类型的历史恶意行为信息组成的向量训练得到的自回归移动平均模 型集。
具体的,当历史恶意行为信息包括多种类型时,可将多种类型的历史恶意行为信息依次排列组成对应的向量,并将此向量作为训练数训练得到对应的自回归移动平均模型集,其中自回归移动平均模型集中包括每个类型的历史恶意行为信息对应的不同的自回归移动平均模型。通过向量的形式可一次性建立多个不同历史恶意行为信息对应的多个不同的自回归移动平均模型。从而可从多维的角度对其它账号进行识别,只要待识别账号其中一个维度的当前行为信息符合恶意账号行为预测信息,则此账号识别为恶意账号,提高了恶意账号识别的精确度。
在一个实施例中,如图5所示,提供了一种恶意账号识别的方法,可应用于服务器或终端,包括:
步骤S310,获取由上述任一实施例中的恶意账号对应的模型建立方法建立的自回归移动平均模型。
具体的,恶意账号对应的自回归移动平均模型体现了恶意账号的操作行为***均模型可以从服务器或终端获取。
步骤S320,获取当前操作账号,根据自回归移动平均模型获取当前操作账号对应的历史操作行为信息。
具体的,如果应用于服务器,可从终端发送的账号操作请求中获取当前操作账号,账号操作请求中可携带账号标识。如果是终端,则接收输入的当前操作账号,如果是登陆状态,则获取当前登陆的账号作为当前操作账号。历史操作行为信息可以是不同类型的操作行为对应的信息,也可以对应于不同的业务,其中类型是以具体操作行为内容进行划分,如上线和下线为两种不同类型的操作行为。由于终端可包括不同的业务,当前操作账号根据业务的不同,应用的不同可包括多个。对于同一账号不同业务上相同类型的历史操作行为信息,可分开存储,可获取各个业务对应的自回归移动平均模型,对同一账号在不同业务上可分别进行判断是否为恶意账号,提高恶意账号识别的精细粒度。可从当 前操作账号对应的日志记录中获取对应的历史操作行为信息,并根据自回归移动平均模型的类型和自回归阶数筛选有用的历史操作行为信息。
步骤S330,将历史操作行为信息输入自回归移动平均模型得到对应的拟合恶意账号行为预测信息。
具体的,如自回归移动平均模型是上线时间类型的,则历史操作行为信息也为上线时间信息,自回归阶数p=m,移动平均阶数q=n,自回归移动平均模型表达式为yt=a1yt-1+a2yt-2+...+amyt-m+ut-b1ut-1-...-bnut-n,将历史操作行为信息即当前操作账号之前m次的上线时间信息输入自回归移动平均模型,得到拟合恶意账号行为预测信息即恶意账号当前预测上线时间。如果自回归移动平均模型为多个,每个对应了不同的类型,如上线时间、下线时间等,则分别将对应类型的历史操作行为信息输入类型一致的自回归移动平均模型,得到不同类型的操作行为对应的拟合恶意账号行为预测信息。
步骤S340,获取当前操作账号对应的当前行为信息,判断当前行为信息是否符合拟合恶意账号行为预测信息,如果符合,则当前操作账号为恶意账号,否则,当前操作账号为非恶意账号。
具体的,当前行为信息的类型与自回归移动平均模型的类型一致,如自回归移动平均模型是上线时间类型的,则获取的当前行为信息也是当前操作账号的上线时间。可自定义判断当前行为信息是否符合拟合恶意账号行为预测信息的符合标准规则,在一个实施例中,如果当前行为信息与拟合恶意账号行为预测信息的差距小于预设阈值,则当前行为信息符合拟合恶意账号行为预测信息,说明当前账号的行为与恶意账号的预测行为相一致,当前账号是恶意账号。如果当前行为信息不符合拟合恶意账号行为预测信息,则说明当前账号的行为与恶意账号的预测行为不一致,当前账号不是恶意账号。在一个实施例中,如果当前行为信息对应的数值为y,拟合恶意账号行为预测信息对应的数值为values,如果|y-values|>0.05就认为当前行为信息不符合拟合恶意账号行为预测信息,当前操作账号对应的用户为一个真实的用户,否则就认为当前操作账号是上述自回归移动平均模型训练出来的机器账号,是恶意账号。
可以理解的是,上述步骤可以在终端也可以在服务器进行,如果在终端进 行,则在当前操作账号发送操作请求至服务器时,就可识别出当前操作账号是否为恶意账号,如果是恶意账号,可拒绝当前操作账号向外发送操作请求。如终端被安装了恶意软件使得当前操作账号成为恶意账号,可快速识别出恶意账号,避免恶意账号获取用户账号对应的资源和权限。如果在服务器进行,由于服务器服务于多个终端请求,不管恶意软件安装在哪个终端,都可以通过服务器上的恶意账号识别方法进行识别,可快速批量的识别恶意账号。
本实施例中,通过获取上述任一实施例的恶意账号对应的模型建立方法建立的自回归移动平均模型,获取当前操作账号,根据自回归移动平均模型获取当前操作账号对应的历史操作行为信息,将历史操作行为信息输入自回归移动平均模型得到对应的拟合恶意账号行为预测信息,获取当前操作账号对应的当前行为信息,判断当前行为信息是否符合拟合恶意账号行为预测信息,如果符合,则当前操作账号为恶意账号,否则,当前操作账号为非恶意账号,可根据自回归移动平均模型根据当前操作账号的行为信息进行账号是否为恶意账号的预测,快速方便的进行恶意账号的识别。
在一个实施例中,如图6所示,步骤S320包括:
步骤S321,获取自回归移动平均模型对应的行为类型和自回归阶数。
具体的,自回归移动平均模型对应的行为类型与自回归移动平均模型建立时的样本数据类型一致,如自回归移动平均模型是根据样本恶意账号的上线时间信息建立,则自回归移动平均模型对应的行为类型为上线时间。自回归阶数的大小用于确定需要当前操作账号的历史操作行为信息的数据量大小,如自回归阶数为m,则需要当前操作账号的历史m次操作行为对应的信息。
步骤S322,获取当前操作账号对应的自回归阶数次数的历史操作行为对应的信息,历史操作行为的行为类型与自回归移动平均模型对应的行为类型一致。
具体的,如自回归移动平均模型对应的行为类型为上线时间,则获取的当前操作账号的历史操作行为对应的信息也为上线时间。自回归阶数为m,则需要获取之前m次的上线时间,将各个上线时间组成时间序列。本实施例中,根据自回归移动平均模型对应的行为类型和自回归阶数有针对性的获取当前操作账号对应的历史操作行为信息,提高了数据获取的效率。
在一个实施例中,当历史恶意行为信息包括多种类型,自回归移动平均模型为根据多种类型的历史恶意行为信息组成的向量训练得到的自回归移动平均模型集时,历史操作行为信息为根据类型获取的历史操作行为信息向量,拟合恶意账号行为预测信息为根据历史操作行为信息向量得到的拟合恶意账号行为预测信息向量。
步骤S340包括:获取当前操作账号对应的各个类型的当前行为信息,分别判断各个类型的当前行为信息是否符合拟合恶意行为预测信息向量中对应类型的拟合恶意行为预测信息,当至少有一种类型符合时,当前操作账号为恶意账号。
具体的,当历史恶意行为信息包括多种类型时,自回归移动平均模型为根据多种类型的历史恶意行为信息组成的向量训练得到的自回归移动平均模型集时,将根据类型获取的历史操作行为信息向量分别输入自回归移动平均模型集中对应类型的自回归移动平均模型,得到不同类型的对应的拟合恶意账号行为预测信息,组成拟合恶意账号行为预测信息向量。通过各个类型的当前行为信息与拟合恶意行为预测信息向量中对应类型的拟合恶意行为预测信息进行比较,可从多维的角度对当前操作账号进行识别,只要当前操作账号其中一个维度的当前行为信息符合恶意账号行为预测信息,则此账号识别为恶意账号,提高了恶意账号识别的精确度。
在一个实施例中,方法还包括:根据当前操作账号是否为恶意账号,为当前操作账号分配对应的操作权限。
具体的,针对恶意账号对应的操作权限可根据需要自定义,如严格限制恶意账号,使其没有任何操作权限,或限制恶意账号操作权限的范围。如果在终端,当前操作账号为恶意账号,则可直接拒绝其向服务器发送操作请求,或拒绝其向服务器发送限制范围业务的请求。如果在服务器,则可拒绝向恶意账号对应的终端返回数据。操作权限包括登录权限、资源获取权限、信息发送权限、添加好友权限等。如在互联网征信领域,可以限制恶意账号的授信额度,甚至取消恶意号码的优惠权利等。
在一个实施例中,如图7所示,提供了一种恶意账号对应的模型建立装置,包括:
历史恶意行为信息获取模块410,用于搜集样本恶意账号,获取样本恶意账号对应的历史恶意行为信息。
训练模块420,用于将历史恶意行为信息作为训练数据,输入自回归移动平均训练模型训练,对候选自回归阶数、候选移动平均阶数的组合进行参数估计建立候选自回归移动平均模型集。
自回归移动平均模型确定模块430,用于根据拟合优度算法进行定阶得到目标自回归阶数、目标移动平均阶数和对应的目标自回归移动平均模型。
在一个实施例中,历史恶意行为信息为账号登录行为信息。
在一个实施例中,历史恶意行为信息包括多种类型,自回归移动平均模型为根据多种类型的历史恶意行为信息组成的向量训练得到的自回归移动平均模型集。
在一个实施例中,如图8所示,提供了一种恶意账号识别的装置,包括:
模型获取模块510,用于获取由上述任一实施例的恶意账号对应的模型建立装置建立的自回归移动平均模型。
历史操作行为信息获取模块520,用于获取当前操作账号,根据自回归移动平均模型获取当前操作账号对应的历史操作行为信息。
行为信息预测模块530,用于将历史操作行为信息输入自回归移动平均模型得到对应的拟合恶意账号行为预测信息。
识别模块540,用于获取当前操作账号对应的当前行为信息,判断当前行为信息是否符合拟合恶意账号行为预测信息,如果符合,则当前操作账号为恶意账号,否则,当前操作账号为非恶意账号。
在一个实施例中,历史操作行为信息获取模块还用于获取自回归移动平均模型对应的行为类型和自回归阶数,获取当前操作账号对应的自回归阶数次数的历史操作行为对应的信息,历史操作行为的行为类型与自回归移动平均模型对应的行为类型一致。
在一个实施例中,当历史恶意行为信息包括多种类型,自回归移动平均模型为根据多种类型的历史恶意行为信息组成的向量训练得到的自回归移动平均模型集时,历史操作行为信息为根据类型获取的历史操作行为信息向量,拟合恶意账号行为预测信息为根据历史操作行为信息向量得到的拟合恶意账号行为预测信息向量;
识别模块540还用于获取当前操作账号对应的各个类型的当前行为信息,分别判断各个类型的当前行为信息是否符合拟合恶意行为预测信息向量中对应类型的拟合恶意行为预测信息,当至少有一种类型符合时,当前操作账号为恶意账号。
在一个实施例中,如图9所示,装置还包括:
权限分配模块550,用于根据所述当前操作账号是否为恶意账号,为所述当前操作账号分配对应的操作权限。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述程序可存储于一计算机可读取存储介质中,如本发明实施例中,该程序可存储于计算机***的存储介质中,并被该计算机***中的至少一个处理器执行,以实现包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (14)

1.一种恶意账号对应的模型建立方法,所述方法包括:
搜集样本恶意账号,获取样本恶意账号对应的历史恶意行为信息;
将所述历史恶意行为信息作为训练数据,输入自回归移动平均训练模型训练,对候选自回归阶数、候选移动平均阶数的组合进行参数估计建立候选自回归移动平均模型集;
根据拟合优度算法进行定阶得到目标自回归阶数、目标移动平均阶数和对应的目标自回归移动平均模型。
2.根据权利要求1所述的方法,其特征在于,所述历史恶意行为信息为账号登录行为信息。
3.根据权利要求1所述的方法,其特征在于,所述历史恶意行为信息包括多种类型,所述自回归移动平均模型为根据多种类型的历史恶意行为信息组成的向量训练得到的自回归移动平均模型集。
4.一种恶意账号识别的方法,所述方法包括:
获取由权利要求1-3任一项所述的恶意账号对应的模型建立方法建立的自回归移动平均模型;
获取当前操作账号,根据所述自回归移动平均模型获取所述当前操作账号对应的历史操作行为信息;
将所述历史操作行为信息输入自回归移动平均模型得到对应的拟合恶意账号行为预测信息;
获取所述当前操作账号对应的当前行为信息,判断所述当前行为信息是否符合所述拟合恶意账号行为预测信息,如果符合,则所述当前操作账号为恶意账号,否则,所述当前操作账号为非恶意账号。
5.根据权利要求1所述的方法,其特征在于,所述根据所述自回归移动平均模型获取所述当前操作账号对应的历史操作行为信息的步骤包括:
获取所述自回归移动平均模型对应的行为类型和自回归阶数;
获取所述当前操作账号对应的自回归阶数次数的历史操作行为对应的信息,所述历史操作行为的行为类型与所述自回归移动平均模型对应的行为类型 一致。
6.根据权利要求1所述的方法,其特征在于,当所述历史恶意行为信息包括多种类型,所述自回归移动平均模型为根据多种类型的历史恶意行为信息组成的向量训练得到的自回归移动平均模型集时,所述历史操作行为信息为根据所述类型获取的历史操作行为信息向量,所述拟合恶意账号行为预测信息为根据所述历史操作行为信息向量得到的拟合恶意账号行为预测信息向量;
所述获取当前操作账号对应的当前行为信息,判断所述当前行为信息是否符合所述拟合恶意账号行为预测信息,如果符合,则所述当前操作账号为恶意账号的步骤包括:
获取当前操作账号对应的各个类型的当前行为信息,分别判断所述各个类型的当前行为信息是否符合拟合恶意行为预测信息向量中对应类型的拟合恶意行为预测信息,当至少有一种类型符合时,所述当前操作账号为恶意账号。
7.根据权利要求4所述的方法,其特征在于,所述方法还包括:
根据所述当前操作账号是否为恶意账号,为所述当前操作账号分配对应的操作权限。
8.一种恶意账号对应的模型建立装置,其特征在于,所述装置包括:
历史恶意行为信息获取模块,用于搜集样本恶意账号,获取样本恶意账号对应的历史恶意行为信息;
训练模块,用于将所述历史恶意行为信息作为训练数据,输入自回归移动平均训练模型训练,对候选自回归阶数、候选移动平均阶数的组合进行参数估计建立候选自回归移动平均模型集;
自回归移动平均模型确定模块,用于根据拟合优度算法进行定阶得到目标自回归阶数、目标移动平均阶数和对应的目标自回归移动平均模型。
9.根据权利要求8所述的装置,其特征在于,所述历史恶意行为信息为账号登录行为信息。
10.根据权利要求8所述的装置,其特征在于,所述历史恶意行为信息包括多种类型,所述自回归移动平均模型为根据多种类型的历史恶意行为信息组 成的向量训练得到的自回归移动平均模型集。
11.一种恶意账号识别的装置,其特征在于,所述装置包括:
模型获取模块,用于获取由权利要求8-10任一项所述的恶意账号对应的模型建立装置建立的自回归移动平均模型;
历史操作行为信息获取模块,用于获取当前操作账号,根据所述自回归移动平均模型获取所述当前操作账号对应的历史操作行为信息;
行为信息预测模块,用于将所述历史操作行为信息输入自回归移动平均模型得到对应的拟合恶意账号行为预测信息;
识别模块,用于获取所述当前操作账号对应的当前行为信息,判断所述当前行为信息是否符合所述拟合恶意账号行为预测信息,如果符合,则所述当前操作账号为恶意账号,否则,所述当前操作账号为非恶意账号。
12.根据权利要求11所述的装置,其特征在于,所述历史操作行为信息获取模块还用于获取所述自回归移动平均模型对应的行为类型和自回归阶数,获取所述当前操作账号对应的自回归阶数次数的历史操作行为对应的信息,所述历史操作行为的行为类型与所述自回归移动平均模型对应的行为类型一致。
13.根据权利要求11所述的装置,其特征在于,当所述历史恶意行为信息包括多种类型,所述自回归移动平均模型为根据多种类型的历史恶意行为信息组成的向量训练得到的自回归移动平均模型集时,所述历史操作行为信息为根据所述类型获取的历史操作行为信息向量,所述拟合恶意账号行为预测信息为根据所述历史操作行为信息向量得到的拟合恶意账号行为预测信息向量;
所述识别模块还用于获取当前操作账号对应的各个类型的当前行为信息,分别判断所述各个类型的当前行为信息是否符合拟合恶意行为预测信息向量中对应类型的拟合恶意行为预测信息,当至少有一种类型符合时,所述当前操作账号为恶意账号。
14.根据权利要求11所述的装置,其特征在于,所述装置还包括:
权限分配模块,用于根据所述当前操作账号是否为恶意账号,为所述当前操作账号分配对应的操作权限。
CN201610257894.1A 2016-04-22 2016-04-22 恶意账号对应的模型建立方法和装置、恶意账号识别的方法和装置 Active CN107305611B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610257894.1A CN107305611B (zh) 2016-04-22 2016-04-22 恶意账号对应的模型建立方法和装置、恶意账号识别的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610257894.1A CN107305611B (zh) 2016-04-22 2016-04-22 恶意账号对应的模型建立方法和装置、恶意账号识别的方法和装置

Publications (2)

Publication Number Publication Date
CN107305611A true CN107305611A (zh) 2017-10-31
CN107305611B CN107305611B (zh) 2020-11-03

Family

ID=60150894

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610257894.1A Active CN107305611B (zh) 2016-04-22 2016-04-22 恶意账号对应的模型建立方法和装置、恶意账号识别的方法和装置

Country Status (1)

Country Link
CN (1) CN107305611B (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108984721A (zh) * 2018-07-10 2018-12-11 阿里巴巴集团控股有限公司 垃圾账号的识别方法和装置
CN109842619A (zh) * 2019-01-08 2019-06-04 北京百度网讯科技有限公司 用户账号拦截方法和装置
WO2019114344A1 (zh) * 2017-12-15 2019-06-20 阿里巴巴集团控股有限公司 一种基于图结构模型的异常账号防控方法、装置以及设备
CN111507377A (zh) * 2020-03-24 2020-08-07 微梦创科网络科技(中国)有限公司 一种养号帐号批量识别方法及装置
CN112087444A (zh) * 2020-09-04 2020-12-15 腾讯科技(深圳)有限公司 账号识别方法和装置、存储介质及电子设备
CN112231692A (zh) * 2020-10-13 2021-01-15 中移(杭州)信息技术有限公司 安全认证方法、装置、设备及存储介质
CN112347457A (zh) * 2019-08-06 2021-02-09 上海晶赞融宣科技有限公司 异常账户检测方法、装置、计算机设备和存储介质
CN112861128A (zh) * 2021-01-21 2021-05-28 微梦创科网络科技(中国)有限公司 一种批量识别机器账号的方法及***
US11526766B2 (en) 2017-12-15 2022-12-13 Advanced New Technologies Co., Ltd. Graphical structure model-based transaction risk control
US11526936B2 (en) 2017-12-15 2022-12-13 Advanced New Technologies Co., Ltd. Graphical structure model-based credit risk control

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103208091A (zh) * 2013-04-25 2013-07-17 国家电网公司 一种基于用电负荷管理***数据挖掘的反窃电方法
CN104660594A (zh) * 2015-02-09 2015-05-27 中国科学院信息工程研究所 一种面向社交网络的虚拟恶意节点及其网络识别方法
CN105703954A (zh) * 2016-03-17 2016-06-22 福州大学 一种基于arima模型的网络数据流预测方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103208091A (zh) * 2013-04-25 2013-07-17 国家电网公司 一种基于用电负荷管理***数据挖掘的反窃电方法
CN104660594A (zh) * 2015-02-09 2015-05-27 中国科学院信息工程研究所 一种面向社交网络的虚拟恶意节点及其网络识别方法
CN105703954A (zh) * 2016-03-17 2016-06-22 福州大学 一种基于arima模型的网络数据流预测方法

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11102230B2 (en) 2017-12-15 2021-08-24 Advanced New Technologies Co., Ltd. Graphical structure model-based prevention and control of abnormal accounts
US11223644B2 (en) 2017-12-15 2022-01-11 Advanced New Technologies Co., Ltd. Graphical structure model-based prevention and control of abnormal accounts
WO2019114344A1 (zh) * 2017-12-15 2019-06-20 阿里巴巴集团控股有限公司 一种基于图结构模型的异常账号防控方法、装置以及设备
TWI682304B (zh) * 2017-12-15 2020-01-11 香港商阿里巴巴集團服務有限公司 基於圖結構模型的異常帳號防控方法、裝置以及設備
US11526936B2 (en) 2017-12-15 2022-12-13 Advanced New Technologies Co., Ltd. Graphical structure model-based credit risk control
US11526766B2 (en) 2017-12-15 2022-12-13 Advanced New Technologies Co., Ltd. Graphical structure model-based transaction risk control
CN108984721A (zh) * 2018-07-10 2018-12-11 阿里巴巴集团控股有限公司 垃圾账号的识别方法和装置
CN109842619A (zh) * 2019-01-08 2019-06-04 北京百度网讯科技有限公司 用户账号拦截方法和装置
CN109842619B (zh) * 2019-01-08 2022-07-08 北京百度网讯科技有限公司 用户账号拦截方法和装置
CN112347457A (zh) * 2019-08-06 2021-02-09 上海晶赞融宣科技有限公司 异常账户检测方法、装置、计算机设备和存储介质
CN111507377A (zh) * 2020-03-24 2020-08-07 微梦创科网络科技(中国)有限公司 一种养号帐号批量识别方法及装置
CN111507377B (zh) * 2020-03-24 2023-08-11 微梦创科网络科技(中国)有限公司 一种养号帐号批量识别方法及装置
CN112087444A (zh) * 2020-09-04 2020-12-15 腾讯科技(深圳)有限公司 账号识别方法和装置、存储介质及电子设备
CN112231692A (zh) * 2020-10-13 2021-01-15 中移(杭州)信息技术有限公司 安全认证方法、装置、设备及存储介质
CN112861128A (zh) * 2021-01-21 2021-05-28 微梦创科网络科技(中国)有限公司 一种批量识别机器账号的方法及***

Also Published As

Publication number Publication date
CN107305611B (zh) 2020-11-03

Similar Documents

Publication Publication Date Title
CN107305611A (zh) 恶意账号对应的模型建立方法和装置、恶意账号识别的方法和装置
CN111309824B (zh) 实体关系图谱显示方法及***
CN111932269B (zh) 设备信息处理方法及装置
CN111898578B (zh) 人群密度的获取方法、装置、电子设备
CN111522724B (zh) 异常账号的确定方法、装置、服务器及存储介质
CN113792212B (zh) 多媒体资源推荐方法、装置、设备以及存储介质
CN115577152B (zh) 基于数据分析的在线图书借阅管理***
CN116629937A (zh) 营销策略推荐方法及装置
CN112508638A (zh) 数据处理的方法、装置及计算机设备
US20150142872A1 (en) Method of operating a server apparatus for delivering website content, server apparatus and device in communication with server apparatus
EP4273750A1 (en) Data processing method and apparatus, computing device, and test simplification device
JP7015927B2 (ja) 学習モデル適用システム、学習モデル適用方法、及びプログラム
CN112686690A (zh) 数据处理方法、装置、电子设备及计算机可读存储介质
CN111309706A (zh) 模型训练方法、装置、可读存储介质及电子设备
CN116228312A (zh) 大额积分兑换行为的处理方法和装置
CN114925275A (zh) 产品推荐方法、装置、计算机设备及存储介质
CN114418624A (zh) 项目推荐方法、装置、电子设备及可读介质
CN108073629A (zh) 通过网站访问数据识别购买模式的方法及装置
CN115482019A (zh) 一种活动关注度预测方法、装置、电子设备和存储介质
CN113298641A (zh) 诚信程度认知方法及装置
CN113011748A (zh) 推荐效果的评估方法、装置、电子设备及可读存储介质
JP2011227720A (ja) 推薦システム、推薦方法、及び推薦プログラム
CN109446432A (zh) 一种信息推荐方法及装置
CN114820085B (zh) 用户筛选方法、相关装置及存储介质
CN117132169B (zh) 电力人工智能模型调用评价方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant