风险账号的识别方法、装置、介质及电子设备与流程

[0001]
本公开涉及计算机技术领域，具体而言，涉及一种风险账号的识别方法、装置、计算机可读存储介质及电子设备。


背景技术：

[0002]
随着互联网的飞速发展，访问很多应用或网站都需要用户进行登录，典型登录场景有电商用户登录、游戏用户登录、社交产品用户登录等。
[0003]
在用户进行登录的业务系统在登录操作时涉及到的安全问题称为登录安全。用户登录是业务逻辑中比较重要的一部分，同时往往是最容易受到攻击的节点，在登录场景经常面临各类账号异常登录及试探登录的风险，典型的风险包括暴力破解、撞库、扫号等。
[0004]
在线登录场景的主要风险来源为黑产、团伙欺诈、第三方欺诈等，典型的黑产登录攻击中，使用自动化脚本或工具，同时借助于特定的ip地址资源池和设备集合进行非法登录。
[0005]
在登录场景中，经常面临各类账号异常登录及试探登录的风险，其中，典型的风险包括暴力破解、撞库、扫号等。
[0006]
暴力破解是一种网络攻击方式，其过程是使用大量的认证信息在认证接口进行尝试登录，直到得到正确的结果。为了提高效率，暴力破解一般会使用带有字典的工具来进行自动化操作。
[0007]
撞库是以大量的用户数据为基础，利用用户相同的注册习惯，例如相同的用户名和密码，尝试登录其它的网站的攻击方式，可以理解为用户在a网站被盗的账号密码来登录b网站，因为很多用户在不同网站使用的是相同的账号密码，因此可以获取用户在b网站的用户账号从而达到目的。
[0008]
扫号是利用弱口令来进行登录尝试的原理来实现破解。弱口令可以为“123”、“abc”等仅包含简单数字和字母的口令、用户在不同途径泄漏的用户名-密码对或者常用弱密码。
[0009]
现有技术中，识别风险账号的方法包括：基于规则的风险账号识别、基于有监督机器学习的风险账号识别和基于风险ip地址库或风险设备库的风险账号识别。
[0010]
其中，使用规则进行风险账号的识别，典型的风险属性举例如ip地址或设备的登录账号的失败比例、登录次数的失败比例等。如果当前ip地址或设备的登录账号数量大等于阈值m并且登录账号失败比例大等于阈值p时，则认为当前ip地址或设备是有风险的，进而提取出ip地址或设备访问的账号作为风险账号集合。
[0011]
该方案基于单个ip地址或设备的风险指标如登录账号失败比例或者登录次数失败比例识别风险ip地址或风险设备，失败比例阈值并不好定义，一个ip地址下可能有正常登录的账号，同时单个ip地址或设备的高失败比例的业务解释性并不强。
[0012]
有监督机器学习是利用一组已知类别的样本训练分类器的参数,使其达到所要求性能的过程。例如，基于风险账号样例集合，提取特征，然后采用一定的机器学习方法训练
有监督模型。针对一个待检测的账号，首先提取特征，然后调用已有模型进行风险预测，如果分数大等于阈值m，则认为该账号是风险账号。本方案中，风险账号的标记，来自于规则检测或领域专家的确认。
[0013]
该方案风险账号样例的获取通常存在困难，同时风险结果的可解释性不强。
[0014]
基于ip地址画像[1]等风险ip地址名单或风险设备名单发现风险ip地址和风险设备，进而发现ip地址或设备访问的风险账号。ip地址画像等风险ip地址或风险设备名单数据产品，一部分数据直接来自外部名单，另外一部分基于业务大数据挖掘统计获得。
[0015]
在该方案中，风险ip地址或风险设备库必须保持动态更新才可以持续发挥作用，同时不同场景的风险ip地址或风险设备库不一定能通用。现有方案三基于风险ip地址或风险设备库进行风险识别，风险ip地址或风险设备库必须保持动态更新才可以持续发挥作用，同时不同场景的风险ip地址或风险设备库不一定能通用。
[0016]
综上，如何较为精确地识别风险账号是当前亟需解决的技术问题。
[0017]
需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。


技术实现要素：

[0018]
本公开实施例的目的在于提供一种风险账号的识别方法、装置、计算机可读存储介质及电子设备，进而至少在一定程度上更为精确地识别风险账号。
[0019]
本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。
[0020]
根据本公开实施例的第一方面，提供了一种风险账号的识别方法，所述识别方法包括：基于登录流水数据确定候选风险ip地址和候选风险设备，根据所述登录流水数据、所述候选风险ip地址和所述候选风险设备构建关联边数据；根据所述关联边数据进行团伙关联计算，得到若干连通子图；对各个所述连通子图进行异常评分，得到异常分数；选取异常分数大于等于设定阈值的连通子图作为风险团伙，其中，所述风险团伙中的候选风险ip地址和候选风险设备对应的非本人登录的账号为风险账号。
[0021]
在一些实施例中，所述基于登录流水数据确定候选风险ip地址和候选风险设备，包括：基于账号历史登录行为数据和账号当前登录行为数据获取所述登录流水数据；根据所述登录流水数据计算所有ip地址和设备的风险指标；根据所述风险指标、所述登录流水数据筛选出所述候选风险ip地址和候选风险设备。
[0022]
在一些实施例中，所述根据所述风险指标、所述登录流水数据筛选出所述候选风险ip地址和候选风险设备，包括：如果当前ip地址的登录失败比例大等于阈值m1并且当前ip地址的本人登录设备和本人登录地区比例小等于阈值m2并且当前ip地址的登录账号数量大等于阈值m3，则当前ip地址为风险ip地址；如果当前设备的登录失败比例大等于阈值k1并且当前设备的本人登录设备和本人登录地区比例小等于阈值k2并且当前设备的登录账号数量大等于阈值k3，则当前设备为风险设备。
[0023]
在一些实施例中，所述根据所述登录流水数据、所述候选风险ip地址和所述候选风险设备构建关联边数据，包括：如果两个ip地址属于同一个ip地址段，则这两个ip地址存在一条关联边；如果两个ip地址当天访问过同一个账号，则这两个ip地址存在一条关联边；
如果两个设备当天访问过同一个账号，则这两个设备存在一条关联边；如果一个ip地址和一个设备同时出现在当天一个账号的登录流水记录中，则这一个ip地址和一个设备存在一条关联边。
[0024]
在一些实施例中，所述选取异常分数大于等于设定阈值的连通子图作为风险团伙之后，所述识别方法还包括：获取所述风险团伙中的风险ip地址和风险设备对应的非本人登录的账号登录记录。
[0025]
在一些实施例中，所述对各个所述连通子图进行异常评分包括：根据所述连通子图中的不同风险ip地址的数量、不同风险设备的数量以及非本人登录账号的数量进行异常分数score计算。
[0026]
在一些实施例中，所述风险指标至少包括以下任一种：总账号数量、账号登录失败比例、非本人登录账号的数量、使用本人登录设备登录和在本人登录地区登录的比例。
[0027]
根据本公开实施例的第二方面，提供了一种风险账号的识别装置，所述识别装置包括：关联边构建单元，用于基于登录流水数据确定候选风险ip地址和候选风险设备，根据所述登录流水数据、所述候选风险ip地址和所述候选风险设备构建关联边数据；团伙关联单元，用于根据所述关联边数据进行团伙关联计算，得到若干连通子图；评分单元，用于对各个所述连通子图进行异常评分，得到异常分数；选取单元，用于选取异常分数大于等于设定阈值的连通子图作为风险团伙，其中，所述风险团伙中的候选风险ip地址和候选风险设备对应的非本人登录的账号为风险账号。
[0028]
在一些实施例中，所述关联边构建单元还用于基于账号历史登录行为数据和账号当前登录行为数据获取所述登录流水数据；根据所述登录流水数据计算所有ip地址和设备的风险指标；根据所述风险指标、所述登录流水数据筛选出所述候选风险ip地址和候选风险设备。
[0029]
在一些实施例中，所述选取单元还用于，获取所述风险团伙中的风险ip地址和风险设备对应的非本人登录的账号登录记录。
[0030]
在一些实施例中，所述评分单元还用于，根据所述连通子图中的不同风险ip地址的数量、不同风险设备的数量以及非本人登录账号的数量进行异常分数score计算。
[0031]
据本公开实施例的第三方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如上述实施例中第一方面所述的风险账号的识别方法。
[0032]
根据本公开实施例的第四方面，提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如上述实施例中第一方面所述的风险账号的识别方法。
[0033]
本公开实施例提供的技术方案可以包括以下有益效果：
[0034]
在本公开的一些实施例所提供的技术方案中，通过使用对连通子图进行排序和选取的方式来进行团伙挖掘，从而根据初步风险筛选得到的风险ip地址和风险设备得到风险团伙即风险账号集合，具有更高的识别精确率和更好的业务可解释性。
[0035]
相对于基于规则的方法，本方法进行了候选风险ip地址和风险设备的选取、风险团伙的排序和选取，增加了结果的精确率。
[0036]
相对于有监督机器学习的方法，避免了对风险账号样例的依赖，同时结果风险子图具有更好的业务可解释性。
[0037]
相对于基于风险ip地址库或风险设备库的风险账号识别方案，本公开基于具体的业务场景数据动态统计所有账号的历史登录行为，不依赖其他外部风险数据，获得的风险ip地址和风险设备集合时效性较强并且可以更好地服务于当前业务场景。
[0038]
本公开实施例针对在线登录场景，采用团伙挖掘的方法自动识别潜在的风险ip地址和风险设备团伙，进而获得风险账号集合。针对风险ip地址和风险设备下的受攻击用户或账号，可以进行安全信息通知或提示，同时可以限制风险ip地址和风险设备的登录访问。
[0039]
本公开实施例的技术方案，不需要人工标注样例，同时结果具有明显的团伙关联性，所以结果具有较好的精确率和业务可解释性。
[0040]
应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。
附图说明
[0041]
此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：
[0042]
图1示意性示出了根据本公开一种实施例的风险账号的识别方法的流程图；
[0043]
图2示意性示出了根据本公开另一种实施例的风险账号的识别方法的流程图；
[0044]
图3示意性示出了根据本公开又一种实施例的风险账号的识别方法的流程图；
[0045]
图4示意性示出了根据本公开一种实施例的风险账号的识别装置的方框图；
[0046]
图5示意性示出了适于用来实现本公开实施例的电子设备的计算机系统的结构图。
具体实施方式
[0047]
现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。
[0048]
此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本公开的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而没有特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。
[0049]
附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
[0050]
附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合
并或部分合并，因此实际执行的顺序有可能根据实际情况改变。
[0051]
相关技术中，识别风险账号登录风险的方法均存在错误识别和漏召回的情况。
[0052]
为解决上述问题，本公开实施例提供一种风险账号的识别方法，以提高识别风险账号的能力。
[0053]
图1示意性示出了本公开的示例性实施方式的一种风险账号的识别方法。本公开实施例提供的方法可以由任意具备计算机处理能力的电子设备执行，例如终端设备和/或服务器。参考图1，本公开实施例提供的风险账号的识别方法可以包括以下步骤：
[0054]
如图1所示，本公开实施例的风险账号的识别方法包括：
[0055]
步骤s102，基于登录流水数据确定候选风险ip地址和候选风险设备，根据登录流水数据、候选风险ip地址和候选风险设备构建关联边数据。
[0056]
步骤s104，根据关联边数据进行团伙关联计算，得到若干连通子图。
[0057]
步骤s106，对各个连通子图进行异常评分，得到异常分数。
[0058]
步骤s108，选取异常分数大于等于设定阈值的连通子图作为风险团伙，其中，风险团伙中的候选风险ip地址和候选风险设备对应的非本人登录的账号为风险账号。
[0059]
本公开实施例的技术方案中，根据初步风险筛选得到的候选风险ip地址和候选风险设备，基于图计算的方法进行社区划分，最后对结果社区进行排序、选取并输出高风险的团伙，以给出相关的风险账号集合，实现了基于团伙挖掘发现风险ip地址和风险设备进而获得风险账号集合，因而具有更高的识别精确率和更好的业务可解释性。
[0060]
相对于基于规则的方法，本方法进行了候选风险ip地址和风险设备的选取、风险团伙的排序和选取，增加了结果的精确率。
[0061]
相对于有监督机器学习的方法，避免了对风险账号样例的依赖，同时结果风险子图具有更好的业务可解释性。
[0062]
相对于基于风险ip地址库或风险设备库的风险账号识别方案，本公开基于具体的业务场景数据动态统计所有账号的历史登录行为，不依赖其他外部风险数据，获得的风险ip地址和风险设备集合时效性较强并且可以更好地服务于当前业务场景。
[0063]
本公开实施例针对在线登录场景，采用团伙挖掘的方法自动识别潜在的风险ip地址和风险设备团伙，进而获得风险账号集合。针对风险ip地址和风险设备下的受攻击用户或账号，可以进行安全信息通知或提示，同时可以限制风险ip地址和风险设备的登录访问。
[0064]
本公开实施例的技术方案，不需要人工标注样例，同时结果具有明显的团伙关联性，所以结果具有较好的精确率和业务可解释性。
[0065]
在步骤s102之前，需要获得账号历史登录行为数据和账号当前登录行为数据，并进行候选风险ip地址和候选风险设备的初步筛选。
[0066]
在进行候选风险ip地址和候选风险设备的初步筛选时，需要计算ip地址和设备的基础风险指标，并根据ip地址和设备的基础风险指标筛选获得初选的候选ip地址和候选风险设备。
[0067]
如图2所示，初步筛选候选风险ip地址和候选风险设备的过程可以包括以下步骤：
[0068]
步骤s1012，基于账号历史登录行为数据和账号当前登录行为数据获取登录流水数据。
[0069]
步骤s1014，根据登录流水数据计算所有ip地址和设备的风险指标。
[0070]
步骤s1016，根据风险指标、登录流水数据筛选出候选风险ip地址和候选风险设备。
[0071]
在步骤s1012中，基于账号历史登录行为数据和账号当前登录行为数据生成登录流水数据时，可以基于所有账号的登录日志统计获得所有账号在过去n天的账号历史登录行为数据。这里，n为自然数，n可以取值30或60，且不局限于此。
[0072]
这里，基于所有账号的登录日志即源数据由多天的登录日志产生，源数据的主要属性包括：登录账号、登录时间、ip地址、设备、登录地区、本次登录是否成功等。
[0073]
其中，多天的登录日志如下表1所示。
[0074]
表1多天的登录日志
[0075]
登录流水账号时间ip地址设备地区是否成功登录流水01账号01时间01ip地址01设备01地区01状态01登录流水02账号02时间02ip地址02设备02地区02状态02登录流水03账号03时间03ip地址03设备03地区03状态03
…………………
[0076]
过去n天的账号历史登录行为数据如表2所示。
[0077]
表2过去n天的账号历史登录行为数据表
[0078][0079]
基于该账号历史登录行为数据，可以计算每个账号在n天内登录成功的总次数、登录成功的设备、使用该设备登录成功的次数以及登录成功的地区、在该地区登录成功的次数；根据该登录成功的总次数、设备、使用该设备登录成功的次数、地区、在该地区登录成功的次数确定本人登录设备和本人登录地区。这里，本人登录设备即为账号在历史登录中的常用设备，本人登录地区即为账号在历史登录中的常用地区。
[0080]
例如，可以根据账号使用某设备登录成功的次数与登录成功的总次数的比例确定该设备是否本人登录设备；可以根据账号在某地区登录成功的次数与登录成功的总次数的比例确定该地区是否本人登录地区。此外，还可以在账号使用某设备登录成功的次数大于等于1时即确定该设备为本人登录设备，在账号在某地区登录成功的次数大于等于1时即确定该地区为本人登录地区。
[0081]
在确定账号在历史登录中的常用设备时，可以使用设备id唯一标记不同的访问终端即访问设备，例如，在web访问时一般使用cookie，在app访问场景下一般使用手机的imei/idfa(identifier for advertising，广告标识符)等字段，专业的反欺诈公司会提供设备指纹产品来唯一标记一个访问设备。
[0082]
地区一般表示为国家、省份或者地级市，登录账号所在的地区一般通过查询ip地址和地区的对照数据表获得。
[0083]
在确定本人登录设备和本人登录地区后，根据账号历史登录行为数据、账号当前登录行为数据、本人登录设备和本人登录地区确定账号当前登录行为数据中，登录行为是否使用本人登录设备登录、是否使用本人登录地区登录，从而在原始的登录日志的基础上，增加是否使用本人登录设备登录、是否在本人登录地区登录两个属性并生成新的登录流水数据。
[0084]
针对当前天每条登录流水记录，检索账号历史行为记录数据表，计算本次登录使用的设备是否在该账号过去成功登录使用的设备集合中、本次登录使用的地区是否是在该账号过去成功登录的地区集合中，从而生成包含有是否本人登录设备和是否本人登录地区字段的新的当前天流水记录数据表。
[0085]
新的当前天流水记录如下表3所示。
[0086]
表3新的当前天流水记录表
[0087][0088]
步骤s1014中，基于上述新的当前天流水记录数据，计算获得所有ip地址和设备的风险指标。该风险指标至少包括以下任一种：总账号数量、账号登录失败比例、非本人登录账号的数量、使用本人登录设备登录和在本人登录地区登录的比例。
[0089]
ip地址的风险指标和设备的风险指标数据如下表4和表5所示。
[0090]
表4 ip地址的风险指标数据表
[0091][0092]
表5设备风险指标数据表
[0093][0094]
在步骤s1016中，根据风险指标、登录流水数据筛选出候选风险ip地址和候选风险设备时，如果当前ip地址的登录失败比例大等于阈值m1并且当前ip地址的本人登录设备和本人登录地区比例小等于阈值m2并且当前ip地址的登录账号数量大等于阈值m3，则当前ip地址为风险ip地址；如果当前设备的登录失败比例大等于阈值k1并且当前设备的本人登录设备和本人登录地区比例小等于阈值k2并且当前设备的登录账号数量大等于阈值k3，则当前设备为风险设备。
[0095]
在步骤s102中，该模块基于ip地址和设备的风险指标数据、登录流水数据，构建风险ip地址和风险设备之间的关系对，生成关联边数据表。
[0096]
在根据登录流水数据、候选风险ip地址和候选风险设备构建关联边数据时，如果两个ip地址属于同一个ip地址段，则这两个ip地址存在一条关联边；如果两个ip地址当天访问过同一个账号，则这两个ip地址存在一条关联边；如果两个设备当天访问过同一个账号，则这两个设备存在一条关联边；如果一个ip地址和一个设备同时出现在当天一个账号的登录流水记录中，则这一个ip地址和一个设备存在一条关联边。
[0097]
本公开实施例生成的关联边数据如下表6所示。
[0098]
表6关联边数据表
[0099]
节点id节点类型节点id节点类型节点01类型01节点01类型01节点02类型02节点02类型02节点03类型01节点03类型02
…………
[0100]
在表6中，节点类型01代表ip地址，节点类型02代表设备。
[0101]
在本公开实施例中，在由关联边形成的连通图中，由于一个图中每条边都是无方向的，则称为无向图。
[0102]
无向图g的极大连通子图称为g的连通分量(connected component)。任何连通图的连通分量只有一个，即是其自身，非连通的无向图有多个连通分量。
[0103]
基于关联边数据表，通过graphx进行计算，可以获得连通子图以及连通结果数据表。连通结果数据表中包含每个节点及其所属的连通子图id。针对已生成的关联边数据，本方案采用连通分量进行团伙关联计算，使用graphx进行连通分量的连通计算并获得连通子图集合。
[0104]
本公开实施例中的连通结果数据如下表7所示。
[0105]
表7连通结果数据表
[0106]
节点id子图id
节点01子图01节点02子图02节点03子图03
……
[0107]
针对上表中的子图id进行组groupby分操作，可以获得每个子图id及对应的节点列表信息，即结果子图数据表。
[0108]
结果子图数据表如下表8所示。
[0109]
表8结果子图数据表
[0110][0111]
在步骤s106中，针对结果子图数据表，统计获得每个结果子图的主要指标并根据指定的打分公式进行异常评分，计算当前结果子图即风险团伙的异常分数。针对结果子图，我们会做子图的异常评分及排序处理，打分主要考虑子图中不同风险ip地址的数量、不同风险设备的数量、总的非本人登录账号数量等因素，即根据连通子图中的不同风险ip地址的数量、不同风险设备的数量以及非本人登录账号的数量进行异常分数score计算。典型的异常分数score计算方法举例如下：
[0112]
方法1：score＝max(不同的风险ip地址数量，不同的风险设备数量)*非本人登录账号数量。
[0113]
方法2：score＝不同的风险ip地址数量+不同的风险设备数量。
[0114]
方法3：score＝max(不同的风险ip地址数量，不同的风险设备数量)。
[0115]
通过对结果子图进行异常评分及排序，可以选取输出score大等于一定阈值的子图即风险子图作为结果的风险团伙。
[0116]
本公开实施例的风险子图数据如下表9所示：
[0117]
表9风险子图数据表
[0118]
子图id不同的ip地址数量不同的设备数量非本人账号数量异常分数子图01ip地址数量01设备数量01账号数量01分数01子图02ip地址数量02设备数量02账号数量02分数02子图03ip地址数量03设备数量03账号数量03分数03
……………
[0119]
在步骤s108之后，还需要获取风险团伙中的风险ip地址和风险设备对应的非本人登录的账号登录记录，得到风险账号集合结果。
[0120]
风险账号集合结果如下表10所示。
[0121]
表10风险账号集合结果
[0122][0123]
风险账号集合可以为风险团伙中风险ip地址和风险设备对应的非本人登录的流水记录，即非本人登录地区且非否本人登录设备的登录账号的登录流水记录。
[0124]
在得到风险账号集合结果后，可以针对风险账号集合中的受攻击账号进行安全信息通知或提示。
[0125]
如图3所示，本公开一种实施例提供的风险账号的识别方法包括以下步骤：
[0126]
步骤s301，获取多天的登录日志。
[0127]
步骤s302，根据多天的登录日志获取过去n天的账号历史登录行为数据表。
[0128]
步骤s303，获取账号当前登录行为数据表。
[0129]
步骤s304，根据账号历史登录行为数据表和账号当前登录行为数据表获取新的登录流水记录表。
[0130]
步骤s305，基于上述新的登录流水数据表，获得当前天的所有ip地址和设备的风险指标。
[0131]
步骤s306，根据所有ip地址和设备的风险指标生成关联边数据。
[0132]
步骤s307，基于关联边数据通过关联计算获取连通子图以及结果子图数据表。
[0133]
步骤s308，根据结果子图数据表获取连通子图的异常评分。
[0134]
步骤s309，根据异常评分的排序结果输出风险子图作为风险团伙。
[0135]
本公开实施例的风险账号的识别方法中，通过使用对连通子图进行排序和选取的方式来进行团伙挖掘，从而根据初步风险筛选得到的风险ip地址和风险设备得到风险团伙即风险账号集合，具有更高的识别精确率和更好的业务可解释性。
[0136]
以下介绍本公开的装置实施例，可以用于执行本公开上述的风险账号的识别方法。如图4所示，根据本公开实施例提供的一种风险账号的识别装置400可以包括：
[0137]
关联边构建单元402，用于基于登录流水数据确定候选风险ip地址和候选风险设备，根据登录流水数据、候选风险ip地址和候选风险设备构建关联边数据。
[0138]
团伙关联单元404，用于根据关联边数据进行团伙关联计算，得到若干连通子图。
[0139]
评分单元406，用于对各个连通子图进行异常评分，得到异常分数。
[0140]
选取单元408，用于选取异常分数大于等于设定阈值的连通子图作为风险团伙，其中，风险团伙中的候选风险ip地址和候选风险设备对应的非本人登录的账号为风险账号。
[0141]
具体地，关联边构建单元402还用于基于账号历史登录行为数据和账号当前登录行为数据获取登录流水数据；根据登录流水数据计算所有ip地址和设备的风险指标；根据风险指标、登录流水数据筛选出候选风险ip地址和候选风险设备。
[0142]
评分单元406还用于，根据连通子图中的不同风险ip地址的数量、不同风险设备的数量以及非本人登录账号的数量进行异常分数score计算。
[0143]
选取单元408还用于，获取所述风险团伙中的风险ip地址和风险设备对应的非本人登录的账号登录记录。
[0144]
由于本公开的示例实施例的风险账号的识别装置的各个功能模块与上述风险账号的识别方法的示例实施例的步骤对应，因此对于本公开装置实施例中未披露的细节，请参照本公开上述的风险账号的识别方法的实施例。
[0145]
本公开实施例的风险账号的识别装置中，通过使用对连通子图进行排序和选取的方式来进行团伙挖掘，从而根据初步风险筛选得到的风险ip地址和风险设备得到风险团伙即风险账号集合，具有更高的识别精确率和更好的业务可解释性。
[0146]
下面参考图5，其示出了适于用来实现本公开实施例的电子设备的计算机系统500的结构示意图。图5示出的电子设备的计算机系统500仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。
[0147]
如图5所示，计算机系统500包括中央处理单元(cpu)501，其可以根据存储在只读存储器(rom)502中的程序或者从存储部分505加载到随机访问存储器(ram)503中的程序而执行各种适当的动作和处理。在ram 503中，还存储有系统操作所需的各种程序和数据。cpu 501、rom 502以及ram 503通过总线504彼此相连。输入/输出(i/o)接口505也连接至总线504。
[0148]
以下部件连接至i/o接口505：包括键盘、鼠标等的输入部分506；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分507；包括硬盘等的存储部分508；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至i/o接口505。可拆卸介质511，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器510上，以便于从其上读出的计算机程序根据需要被安装入存储部分508。
[0149]
特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读存储介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分509从网络上被下载和安装，和/或从可拆卸介质511被安装。在该计算机程序被中央处理单元(cpu)501执行时，执行本申请的系统中限定的上述功能。
[0150]
需要说明的是，本公开所示的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信
号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质，该计算机可读存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。
[0151]
附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
[0152]
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。
[0153]
作为另一方面，本申请还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被一个该电子设备执行时，使得该电子设备实现如上述实施例中所述的风险账号的识别方法。
[0154]
例如，所述的电子设备可以实现如图1中所示的各个步骤。
[0155]
又如，所述的电子设备可以实现如图2和图3所示的各个步骤。
[0156]
应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
[0157]
通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本公开实施方式的方法。
[0158]
本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的
权利要求指出。
[0159]
应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。