WO2019114344A1 - 一种基于图结构模型的异常账号防控方法、装置以及设备 - Google Patents

Abstract

本说明书实施例公开了一种基于图结构模型的异常账号防控方法、装置以及设备，方案包括：预先根据账号注册和/或认证的相关数据搭建合适的账号关系网络，进行特征整合并定义图结构模型，利用标注样本训练图结构模型，然后，利用训练后的图结构模型计算隐特征空间中节点多次迭代的嵌入向量及其预测概率，并据此对节点进行异常账号防控。

Description

一种基于图结构模型的异常账号防控方法、装置以及设备 技术领域

本说明书涉及计算机软件技术领域，尤其涉及一种基于图结构模型的异常账号防控方法、装置以及设备。

背景技术

随着计算机和互联网技术的迅速发展，很多业务可以在网上进行，用户要使用这些业务，往往需要注册相应的账号，比如电商平台账号、第三方支付平台账号、论坛平台账号等。

一些用户或者组织出于不良目的，会通过机器自动注册账号以及批量进行实名认证，这些异常账号可能给平台带来风险，而且对于平台价值也较低。

在现有技术中，一般通过用户举报的方式，对这些异常账号进行相应的处理，比如冻结、注销等。

基于现有技术，需要有效的异常账号防控方案。

发明内容

本说明书实施例提供一种基于图结构模型的异常账号防控方法、装置以及设备，用以解决如下技术问题：需要有效的异常账号防控方案。

为解决上述技术问题，本说明书实施例是这样实现的：

本说明书实施例提供的一种基于图结构模型的异常账号防控方法，包括：

获取利用标注样本训练过的图结构模型，所述图结构模型根据账号关系网络定义，所述账号关系网络由账号，设备信息、网络信息、位置信息、身份信息中的一种或者多种节点以及所述节点间关系构成；所述图结构模型用于根据所述节点的原始特征，和/或所述节点间关联的边的特征，计算隐特征空间中所述节点多次迭代后的嵌入向量；

利用所述训练过的图结构模型，计算待测样本对应的嵌入向量；

根据所述待测样本对应的嵌入向量，对所述待测样本进行异常账号防控；

其中，所述标注样本被标注了其对应的节点是否为异常节点。

本说明书实施例提供的一种基于图结构模型的异常账号防控装置，包括：

获取模块，获取利用标注样本训练过的图结构模型，所述图结构模型根据账号关系网络定义，所述账号关系网络由账号，设备信息、网络信息、位置信息、身份信息中的一种或者多种节点以及所述节点间关系构成；所述图结构模型用于根据所述节点的原始特征，和/或所述节点间关联的边的特征，计算隐特征空间中所述节点多次迭代后的嵌入向量；

计算模块，利用所述训练过的图结构模型，计算待测样本对应的嵌入向量；

防控模块，根据所述待测样本对应的嵌入向量，对所述待测样本进行异常账号防控；

其中，所述标注样本被标注了其对应的节点是否为异常节点。

本说明书实施例提供的一种基于图结构模型的异常账号防控设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：

获取利用标注样本训练过的图结构模型，所述图结构模型根据账号关系网络定义，所述账号关系网络由账号，设备信息、网络信息、位置信息、身份信息中的一种或者多种节点以及所述节点间关系构成；所述图结构模型用于根据所述节点的原始特征，和/或所述节点间关联的边的特征，计算隐特征空间中所述节点多次迭代后的嵌入向量；

利用所述训练过的图结构模型，计算待测样本对应的嵌入向量；

根据所述待测样本对应的嵌入向量，对所述待测样本进行异常账号防控；

其中，所述标注样本被标注了其对应的节点是否为异常节点。

本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果：能够有效地整合账号关系网络结构特征、节点特征和边特征，计算节点对应的嵌入向量和/或预测概率，进而根据嵌入向量和/或预测概率有效地对节点进行异常账号防控。

附图说明

为了更清楚地说明本说明书实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本说明书的方案在一种实际应用场景下涉及的一种整体架构示意图；

图2为本说明书实施例提供的一种图结构模型训练方法的流程示意图；

图3为本说明书实施例提供的一种基于图结构模型的异常账号防控方法的流程示意图；

图4为本说明书实施例提供的对应于图2的一种图结构模型训练装置的结构示意图；

图5为本说明书实施例提供的对应于图3的一种基于图结构模型的异常账号防控装置的结构示意图。

具体实施方式

本说明书实施例提供图结构模型训练、基于图结构模型的异常账号防控方法、装置以及设备。

为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本说明书实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

大多数公司有自己的账号系统，良好的账号系统是公司业务正常开展的前提。如背景技术中所述，现实世界中存在一些个人和组织，通过机器自动注册账号和批量进行认证。这类异常账号如果不能及时防控，不仅会扰乱平台的账号生态，增加不必要的计算和存储开销，还会给这些账号提供其他作案的可能性。

账号在注册或者认证过程中，通常会依赖某些设备、网络以及身份媒介，比如国际移动设备身份码(IMEI)、国际移动用户识别码(IMSI)、网际协议(IP)地址、媒体访问控制(MAC)地址、手机号、邮箱地址、证件号等，有效地从这些数据中提取有价值 的特征成为解决上述技术问题的关键。本发明提供的方案，能够有效地整合用户注册和/或认证过程中与不同媒介关联的网络特征，基于图结构模型自动学习出比较有效的节点特征和边特征，并据此进行账号异常防控。

图1为本说明书的方案在一种实际应用场景下涉及的一种整体架构示意图。该整体架构中，主要涉及两部分：用户端、平台服务器。平台服务器可以包括一个或者多个设备，平台服务器根据用户端以往进行账号注册和/或认证时的相关数据建立账号关系网络，定义相应的图结构模型并训练，用于异常账号防控。

下面基于图1中的架构，对本说明书的方案进行详细说明。

图2为本说明书实施例提供的一种图结构模型训练方法的流程示意图。图2中的流程包括以下步骤：

S202：根据账号注册和/或认证时的相关数据，建立账号关系网络，所述账号关系网络由账号，设备信息、网络信息、位置信息、身份信息中的一种或者多种节点以及所述节点间关系构成。

在本说明书实施例中，认证可以包括账号的实名认证，也可以包括账号的登录认证等。

设备信息、网络信息、位置信息、身份信息等其他节点是账号注册和/或认证时涉及的数据。比如，账号注册和/或认证时使用的用户设备的IMEI、该用户设备的IP地址、该用户设备的全球定位系统(Global Positioning System，GPS)定位信息、用户填写的身份证号等。该例分别举出了几类节点的一种具体示例，当然，这并不是唯一示例，比如，设备信息具体还可以是IMSI、或者MAC地址、或者设备型号等，网络信息具体还可以是路由器信息、或者WiFi热点信息等，位置信息还可以是基站定位信息等，身份信息具体还可以是手机号、或者邮箱地址、或者银行卡号等。

在本说明书实施例中，账号关系可以包括账号之间的关系，也可以包括账号与上述的其他类型的节点之间的关系。

账号关系网络可以包括一种网络或者多种异构网络的组合，可以适应于实际需求建立。

例如，账号与IMEI的关联关系网络，相应地，网络节点可以表示账号或者IMEI，边可以表示该IMEI是该账号注册和/或认证时所使用设备的IMEI；类似地，还可以有账号与MAC地址的关联关系网络、账号与IP地址的关联关系网络、账号与手机号的关 联关系网络、账号与IMSI的关联关系网络、账号与邮箱地址的关联关系网络、账号与证件号的关联关系网络、账号与银行卡号的关联关系网络、账号与位置信息的关联关系网络等。

在本说明书实施例中，账号关系网络是图数据，其直观而便于利用图算法进行处理，效率较高。

账号关系网络中的节点可以包含其原始特征。原始特征可以包括以下至少一类数据：节点类型、注册账号数、认证账号数、异常账号数、时间相关统计数据等。节点类型以外的几类原始特征主要是针对账号以外的其他类型节点的，节点的原始特征比如包括：一定时间内(比如最近的若干天)，通过该节点对应注册的账号数、该节点有注册行为的天数、注册行为对应时间在24小时内的分布数据、登录的账号数、有登录行为的天数、登录行为对应时间在24小时内的分布数据、关联的异常账号的数量、异常账号通过该节点登录的天数占所有登录天数的比例，等等。

账号关系网络中的边可以包含其所连接的节点之间的关联特征，一般包括以下至少一种：行为发生时间、行为耗时、行为失败次数；所述行为包括注册行为和/或认证行为等。比如，账号注册时间或者登录时间的编码(编码比如表示是在24小时中的第几个小时注册或者登录的)、账号注册行为从开始到结束耗费的总时长、账号注册在每一个跳转行为上停留的时间、账号注册验证失败的次数等。

S204：根据所述账号关系网络，定义图结构模型，所述图结构模型用于根据所述节点的原始特征，和/或所述节点间关联的边的特征，计算隐特征空间中所述节点多次迭代后的嵌入向量。

在本说明书实施例中，可以对账号关系网络中的节点的原始特征和边特征进行整合，定义特征空间。进而根据一个或者多个特征空间、特征空间待定的权重矩阵，以及指定的非线性变换函数，定义图结构模型。

所述权重矩阵用于对特征空间进行线性变换，所述非线性变换函数用于对特征空间进行非线性变化，从而，通过图结构模型能够将节点的原始特征和边特征进行复杂的映射，最终映射至一个更为复杂的隐特征空间，所述嵌入向量即反映对应的节点在该最终的隐特征空间嵌入的特征。

在多次迭代的情况下，还可以根据前一次迭代结果自身定义特征空间，该特征空间相比于根据节点的原始特征或者边特征定义的特征空间，也可以视为一种隐特征空间。

根据上面的分析，隐特征空间中所述节点在每次迭代后的嵌入向量可以是根据以下一种或者多种因素组合计算得到的：所述根据节点的原始特征、所述节点与其他节点关联的边的特征，以及隐特征空间中所述节点在之前一次或者多次迭代后的嵌入向量计算得到的。

S208：利用标注样本，训练所述图结构模型，所述标注样本被标注了其对应的节点是否为异常节点。

在本说明书实施例中，可以预先标注一些已有的样本是否是异常样本，以用于训练图结构模型。任意样本可以对应图结构模型中的一个节点，异常样本对应的节点为异常节点，在异常账号防控场景下，样本一般是被标注的账号；当然，样本也可以指用户在账号注册和/或认证涉及的其他要素，比如，注册或者认证时适使用的用户端的设备信息、或者输入的身份信息等，这些要素也能够作为图结构模型中的节点。

以下各实施例主要以样本是账号为例进行说明。一般可以根据实际的投诉处罚或者人工审核结果进行样本标注，实际业务中可以考虑每天进行一次标注，也可以多天一起标注，等等。

标注时采用的标准可以根据实际需求定义。比如，若确定由某账号暴露出异常认证、刷单、批量登录注册等异常行为，则可以标注该账号及其相关要素为异常样本(在图结构模型中即异常节点)；等等。

在本说明书实施例中，训练图结构模型是为了确定合适的权重矩阵，使得基于训练后的图结构模型计算的嵌入向量能够尽量真实地表达其对应的节点的性质，比如，是否为异常节点等。

通过图2的方法，能够有效地整合异构或者同构账号关系网络结构特征、节点特征和边特征，定义并训练图结构模型，根据图结构模型计算节点在隐特征空间的嵌入向量，用于对节点进行异常账号控制。

基于图2的方法，本说明书实施例还提供了该方法的一些具体实施方案，以及扩展方案，继续进行说明。

在本说明书实施例中，所述图结构模型还用于根据所述嵌入向量，计算所述节点的预测概率。在异常账号防控的场景下，预测概率可以表示节点是异常节点的概率。

在本说明书实施例中，直观地，用一个实例对图结构模型的定义以及训练过程进行说明。假定T表示要迭代的次数，总共有n个节点，y _i表示第i个节点的标注结果(比 如，异常节点标注为1，非异常节点标注为0)，F _i表示第i个节点的原始特征(特征维度为f维)，E _ij表示第i个节点与第j个节点关联的边的特征(特征维度为e维)，N _i表示第i个节点的邻居节点构成的集合，最终需要嵌入的隐特征空间的维度为h维，

表示隐特征空间中第i个节点在第t次迭代的嵌入向量。

假定隐特征空间中所述节点在第t次迭代后的嵌入向量是根据所述节点的原始特征、节点与其他节点关联的边的特征，以及隐特征空间中所述节点在第t-1次迭代后的嵌入向量计算得到的。一种示例性的图结构模型的定义如下所示：

“对W ₁(h*f维)、W ₂(h*e维)、W ₃(h*h维)、W ₄(h*2维)初始化，比如采用标准高斯分布初始化；

for t＝1 to T：//T次迭代执行

for i＝0 to n-1：//n个节点遍历执行

//(公式一)第i个节点第t次迭代的过程

for i＝0 to n-1：//n个节点遍历执行

//(公式二)第i个节点T次迭代后的预测概率

//(公式三)第i个节点T次迭代后的预测概率

其中，σ表示非线性变换函数(比如，Relu、Sigmoid、Tanh等函数)，W ₁、W ₂、W ₃、W ₄表示权重矩阵，α _ij表示针对第i个节点与第j个节点的权重矩阵(比如设置为对角矩阵)，pred _i表示第i个节点经过T次迭代后的预测概率，corss_entrep表示用于计算交叉熵的函数。”

在上例的场景下，对于步骤S206，所述利用标注样本，训练所述图结构模型，具体可以包括：利用反向传播算法和标注的样本，对以下公式进行优化，求得最优的W ₁、W ₂、W ₃、W ₄：

这里的优化目标是基于预测概率与标注结果的交叉熵设置的。需要说明的是，实际上还可以基于交叉熵以外的，其他能够度量预测概率与标注结果的一致性的参数来设置优化目标，优化目标是使得预测概率与标注结果的一致性尽量高。

上面的公式一、公式二、公式三都是示例性的，并非唯一方案。比如，公式一中F _i、E _ij、

分别的所在项可以通过乘法、指数或者对数等运算进行变形，或者还可以合并这两项，或者还可以删除其中一项；再比如，公式二中也可以将softmax函数替换为其他适用的归一化函数；等等。

进一步地，训练图结构模型后，可以利用训练后的图结构模型，通过前向传播，计算已有的样本以及新样本的嵌入向量和/或预测概率。进而可以将计算出的嵌入向量和/或预测概率用于样本相关的业务，比如，将嵌入向量作为其他模型的输入(如集合其他有监督、无监督或者增强学习进行再整合等)，或者直接使用嵌入向量或者预测概率，判定对应样本的性质，以异常账号防控为例，比如，当对某账号的预测概率高于一定阈值时，可以判定该账号为异常账号进而能够防控。

基于同样的思路，本说明书实施例还提供了一种基于图结构模型的异常账号防控方法，图3为该异常账号防控方法的流程示意图。图3中的流程包括以下步骤：

S302：获取利用标注样本训练过的图结构模型，所述图结构模型根据账号关系网络定义，所述账号关系网络由账号，设备信息、网络信息、位置信息、身份信息中的一种或者多种节点以及所述节点间关系构成；所述图结构模型用于根据所述节点的原始特征，和/或所述节点间关联的边的特征，计算隐特征空间中所述节点多次迭代后的嵌入向量。

在本说明书实施例中，图3中的图结构模型即是利用图2的方法训练的，可以参照上面对图2的说明理解图3的方法。

S304：利用所述训练过的图结构模型，计算待测样本对应的嵌入向量。

S306：根据所述待测样本对应的嵌入向量，对所述待测样本进行异常账号防控；其中，所述标注样本被标注了其对应的节点是否为异常节点。

在实际应用中，预测概率能够直观地表现样本所涉及的账号是异常账号的可能性。因此，对于步骤S306，可以根据待测样本对应的嵌入向量，利用训练过的图结构模型， 进一步地计算出待测样本对应的预测概率，再根据待测样本对应的预测概率，对待测样本进行异常账号防控。比如，假定某待测样本为账号，则若计算出的该账号对应的预测概率大于设定阈值，则可以判定该账号为异常账号，进而可以对其进行诸如冻结、注销等处理。

基于同样的思路，本说明书实施例还提供了上述方法的对应装置，如图4、图5所示。

图4为本说明书实施例提供的对应于图2的一种图结构模型训练装置的结构示意图，所述装置包括：

建立模块401，根据账号注册和/或认证时的相关数据，建立账号关系网络，所述账号关系网络由账号，设备信息、网络信息、位置信息、身份信息中的一种或者多种节点以及所述节点间关系构成；

定义模块402，根据所述账号关系网络，定义图结构模型，所述图结构模型用于根据所述节点的原始特征，和/或所述节点间关联的边的特征，计算隐特征空间中所述节点多次迭代后的嵌入向量；

训练模块403，利用标注样本，训练所述图结构模型，所述标注样本被标注了其对应的节点是否为异常节点。

图5为本说明书实施例提供的对应于图3的一种基于图结构模型的异常账号防控装置的结构示意图，所述装置包括：

获取模块501，获取利用标注样本训练过的图结构模型，所述图结构模型根据账号关系网络定义，所述账号关系网络由账号，设备信息、网络信息、位置信息、身份信息中的一种或者多种节点以及所述节点间关系构成；所述图结构模型用于根据所述节点的原始特征，和/或所述节点间关联的边的特征，计算隐特征空间中所述节点多次迭代后的嵌入向量；

计算模块502，利用所述训练过的图结构模型，计算待测样本对应的嵌入向量；

防控模块503，根据所述待测样本对应的嵌入向量，对所述待测样本进行异常账号防控；

其中，所述标注样本被标注了其对应的节点是否为异常节点。

可选地，所述图结构模型还用于根据所述嵌入向量，计算所述节点的预测概率，所 述预测概率表示所述节点是异常节点的概率；

所述防控模块503根据所述待测样本对应的嵌入向量，对所述待测样本进行异常账号防控，具体包括：

所述防控模块503根据所述待测样本对应的嵌入向量，利用所述训练过的图结构模型，计算所述待测样本对应的预测概率；

根据所述待测样本对应的预测概率，对所述待测样本进行异常账号防控。

可选地，所述账号关系网络是根据账号注册和/或认证时的相关数据建立的。

可选地，所述账号关系网络包括以下一种或者多种网络的组合：账号与国际移动设备身份码IMEI的关联关系网络、账号与媒体访问控制MAC地址的关联关系网络、账号与网际协议IP地址的关联关系网络、账号与手机号的关联关系网络、账号与国际移动用户识别码IMSI的关联关系网络、账号与邮箱地址的关联关系网络、账号与证件号的关联关系网络、账号与银行卡号的关联关系网络、账号与位置信息的关联关系网络。

可选地，所述原始特征包括以下至少一类数据：节点类型、注册账号数、认证账号数、异常账号数、时间相关统计数据；

所述边的特征包括所述边连接的节点涉及的以下至少一类数据：行为发生时间、行为耗时、行为失败次数；所述行为包括注册行为和/或认证行为。

可选地，隐特征空间中所述节点在第t次迭代后的嵌入向量是根据所述节点的原始特征、所述节点与其他节点关联的边的特征，以及隐特征空间中所述节点在第t-1次迭代后的嵌入向量计算得到的。

可选地，所述根据节点的原始特征，和所述节点间节点关联的边的特征，计算隐特征空间中所述节点多次迭代后的嵌入向量，具体包括：

所述计算模块502按照如下公式，计算隐特征空间中所述节点多次迭代后的嵌入向量：

其中，

表示隐特征空间中第i个节点在第t次迭代后的嵌入向量，σ表示非线性变换函数，W ₁、W ₂、W ₃表示权重矩阵，F _i表示第i个节点的原始特征，E _ij表示第i个 节点与第j个节点关联的边的特征，N _i表示第i个节点的邻居节点构成的集合，α _ij表示针对第i个节点与第j个节点的权重矩阵。

可选地，所述根据所述嵌入向量，计算所述节点的预测概率，具体包括：

所述计算模块502按照如下公式，计算所述节点的预测概率：

其中，pred _i表示第i个节点经过T次迭代后的预测概率，W ₄表示权重矩阵。

可选地，利用标注样本训练所述图结构模型，具体包括：

利用标注样本，以所述预测概率与其对应的样本标注结果的一致性最大化为训练目标，训练所述图结构模型。

可选地，利用标注样本训练所述图结构模型，具体包括：

利用反向传播算法和标注的样本，对

进行优化，求得最优的W ₁、W ₂、W ₃、W ₄；

其中，corss_entrep表示用于计算交叉熵的函数。

基于同样的思路，本说明书实施例还提供了对应于图2的一种图结构模型训练设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：

根据账号注册和/或认证时的相关数据，建立账号关系网络，所述账号关系网络由账号，设备信息、网络信息、位置信息、身份信息中的一种或者多种节点以及所述节点间关系构成；

根据所述账号关系网络，定义图结构模型，所述图结构模型用于根据所述节点的原始特征，和/或所述节点间关联的边的特征，计算隐特征空间中所述节点多次迭代后的嵌入向量；

利用标注样本，训练所述图结构模型，所述标注样本被标注了其对应的节点是 否为异常节点。

基于同样的思路，本说明书实施例还提供了对应于图3的一种基于图结构模型的异常账号防控设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：

获取利用标注样本训练过的图结构模型，所述图结构模型根据账号关系网络定义，所述账号关系网络由账号，设备信息、网络信息、位置信息、身份信息中的一种或者多种节点以及所述节点间关系构成；所述图结构模型用于根据所述节点的原始特征，和/或所述节点间关联的边的特征，计算隐特征空间中所述节点多次迭代后的嵌入向量；

利用所述训练过的图结构模型，计算待测样本对应的嵌入向量；

根据所述待测样本对应的嵌入向量，对所述待测样本进行异常账号防控；

其中，所述标注样本被标注了其对应的节点是否为异常节点。

基于同样的思路，本说明书实施例还提供了对应于图2的一种非易失性计算机存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为：

根据账号注册和/或认证时的相关数据，建立账号关系网络，所述账号关系网络由账号，设备信息、网络信息、位置信息、身份信息中的一种或者多种节点以及所述节点间关系构成；

根据所述账号关系网络，定义图结构模型，所述图结构模型用于根据所述节点的原始特征，和/或所述节点间关联的边的特征，计算隐特征空间中所述节点多次迭代后的嵌入向量；

利用标注样本，训练所述图结构模型，所述标注样本被标注了其对应的节点是否为异常节点。

基于同样的思路，本说明书实施例还提供了对应于图3的一种非易失性计算机存储介质，存储有计算机可执行指令，所述计算机可执行指令设置为：

获取利用标注样本训练过的图结构模型，所述图结构模型根据账号关系网络定 义，所述账号关系网络由账号，设备信息、网络信息、位置信息、身份信息中的一种或者多种节点以及所述节点间关系构成；所述图结构模型用于根据所述节点的原始特征，和/或所述节点间关联的边的特征，计算隐特征空间中所述节点多次迭代后的嵌入向量；

利用所述训练过的图结构模型，计算待测样本对应的嵌入向量；

根据所述待测样本对应的嵌入向量，对所述待测样本进行异常账号防控；

其中，所述标注样本被标注了其对应的节点是否为异常节点。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、设备、非易失性计算机存储介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本说明书实施例提供的装置、设备、非易失性计算机存储介质与方法是对应的，因此，装置、设备、非易失性计算机存储介质也具有与对应方法类似的有益技术效果，由于上面已经对方法的有益技术效果进行了详细说明，因此，这里不再赘述对应装置、设备、非易失性计算机存储介质的有益技术效果。

在20世纪90年代，对于一个技术的改进可以很明显地区分是硬件上的改进(例如，对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而，随着技术的发展，当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此，不能说一个方法流程的改进就不能用硬件实体模块来实现。例如，可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable Gate Array，FPGA))就是这样一种集成电路，其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上，而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且，如今，取代手工地制作集成电路芯片，这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现，它与程序开 发撰写时所用的软件编译器相类似，而要编译之前的原始代码也得用特定的编程语言来撰写，此称之为硬件描述语言(Hardware Description Language，HDL)，而HDL也并非仅有一种，而是有许多种，如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware Description Language)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(Ruby Hardware Description Language)等，目前最普遍使用的是VHDL(Very-High-Speed Integrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚，只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中，就可以很容易得到实现该逻辑方法流程的硬件电路。

控制器可以按任何适当的方式实现，例如，控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit，ASIC)、可编程逻辑控制器和嵌入微控制器的形式，控制器的例子包括但不限于以下微控制器：ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320，存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本说明书时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本说明书实施例可提供为方法、系统、或计算机程序产品。因此，本说明书实施例可采用完全硬件实施例、完全软件实施例、或结合软 件和硬件方面的实施例的形式。而且，本说明书实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本说明书是参照根据本说明书实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带， 磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本说明书实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。

Claims (21)

1. 一种基于图结构模型的异常账号防控方法，包括：

   获取利用标注样本训练过的图结构模型，所述图结构模型根据账号关系网络定义，所述账号关系网络由账号，设备信息、网络信息、位置信息、身份信息中的一种或者多种节点以及所述节点间关系构成；所述图结构模型用于根据所述节点的原始特征，和/或所述节点间关联的边的特征，计算隐特征空间中所述节点多次迭代后的嵌入向量；

   利用所述训练过的图结构模型，计算待测样本对应的嵌入向量；

   根据所述待测样本对应的嵌入向量，对所述待测样本进行异常账号防控；

   其中，所述标注样本被标注了其对应的节点是否为异常节点。
2. 如权利要求1所述的方法，所述图结构模型还用于根据所述嵌入向量，计算所述节点的预测概率，所述预测概率表示所述节点是异常节点的概率；

   所述根据所述待测样本对应的嵌入向量，对所述待测样本进行异常账号防控，具体包括：

   根据所述待测样本对应的嵌入向量，利用所述训练过的图结构模型，计算所述待测样本对应的预测概率；

   根据所述待测样本对应的预测概率，对所述待测样本进行异常账号防控。
3. 如权利要求1所述的方法，所述账号关系网络是根据账号注册和/或认证时的相关数据建立的。
4. 如权利要求1所述的方法，所述账号关系网络包括以下一种或者多种网络的组合：账号与国际移动设备身份码IMEI的关联关系网络、账号与媒体访问控制MAC地址的关联关系网络、账号与网际协议IP地址的关联关系网络、账号与手机号的关联关系网络、账号与国际移动用户识别码IMSI的关联关系网络、账号与邮箱地址的关联关系网络、账号与证件号的关联关系网络、账号与银行卡号的关联关系网络、账号与位置信息的关联关系网络。
5. 如权利要求1所述的方法，所述原始特征包括以下至少一类数据：节点类型、注册账号数、认证账号数、异常账号数、时间相关统计数据；

   所述边的特征包括所述边连接的节点涉及的以下至少一类数据：行为发生时间、行为耗时、行为失败次数；所述行为包括注册行为和/或认证行为。
6. 如权利要求1所述的方法，隐特征空间中所述节点在第t次迭代后的嵌入向量是根据所述节点的原始特征、所述节点与其他节点关联的边的特征，以及隐特征空间中所述节点在第t-1次迭代后的嵌入向量计算得到的。
7. 如权利要求2所述的方法，所述根据节点的原始特征，和所述节点间节点关联的边的特征，计算隐特征空间中所述节点多次迭代后的嵌入向量，具体包括：

   按照如下公式，计算隐特征空间中所述节点多次迭代后的嵌入向量：

   

   其中，

   

   表示隐特征空间中第i个节点在第t次迭代后的嵌入向量，σ表示非线性变换函数，W ₁、W ₂、W ₃表示权重矩阵，F _i表示第i个节点的原始特征，E _ij表示第i个节点与第j个节点关联的边的特征，N _i表示第i个节点的邻居节点构成的集合，α _ij表示针对第i个节点与第j个节点的权重矩阵。
8. 如权利要求7所述的方法，所述根据所述嵌入向量，计算所述节点的预测概率，具体包括：

   按照如下公式，计算所述节点的预测概率：

   

   其中，pred _i表示第i个节点经过T次迭代后的预测概率，W ₄表示权重矩阵。
9. 如权利要求2所述的方法，利用标注样本训练所述图结构模型，具体包括：

   利用标注样本，以所述预测概率与其对应的样本标注结果的一致性最大化为训练目标，训练所述图结构模型。
10. 如权利要求8所述的方法，利用标注样本训练所述图结构模型，具体包括：

    利用反向传播算法和标注的样本，对

    

    进行优化，求得最优的W ₁、W ₂、W ₃、W ₄；

    其中，corss_entrep表示用于计算交叉熵的函数。
11. 一种基于图结构模型的异常账号防控装置，包括：

    获取模块，获取利用标注样本训练过的图结构模型，所述图结构模型根据账号关系网络定义，所述账号关系网络由账号，设备信息、网络信息、位置信息、身份信息中的一种或者多种节点以及所述节点间关系构成；所述图结构模型用于根据所述节点的原始特征，和/或所述节点间关联的边的特征，计算隐特征空间中所述节点多次迭代后的嵌入向量；

    计算模块，利用所述训练过的图结构模型，计算待测样本对应的嵌入向量；

    防控模块，根据所述待测样本对应的嵌入向量，对所述待测样本进行异常账号防控；

    其中，所述标注样本被标注了其对应的节点是否为异常节点。
12. 如权利要求11所述的装置，所述图结构模型还用于根据所述嵌入向量，计算所述节点的预测概率，所述预测概率表示所述节点是异常节点的概率；

    所述防控模块根据所述待测样本对应的嵌入向量，对所述待测样本进行异常账号防控，具体包括：

    所述防控模块根据所述待测样本对应的嵌入向量，利用所述训练过的图结构模型，计算所述待测样本对应的预测概率；

    根据所述待测样本对应的预测概率，对所述待测样本进行异常账号防控。
13. 如权利要求11所述的装置，所述账号关系网络是根据账号注册和/或认证时的相关数据建立的。
14. 如权利要求11所述的装置，所述账号关系网络包括以下一种或者多种网络的组合：账号与国际移动设备身份码IMEI的关联关系网络、账号与媒体访问控制MAC地址的关联关系网络、账号与网际协议IP地址的关联关系网络、账号与手机号的关联关系网络、账号与国际移动用户识别码IMSI的关联关系网络、账号与邮箱地址的关联关系网络、账号与证件号的关联关系网络、账号与银行卡号的关联关系网络、账号与位置信息的关联关系网络。
15. 如权利要求11所述的装置，所述原始特征包括以下至少一类数据：节点类型、注册账号数、认证账号数、异常账号数、时间相关统计数据；

    所述边的特征包括所述边连接的节点涉及的以下至少一类数据：行为发生时间、行为耗时、行为失败次数；所述行为包括注册行为和/或认证行为。
16. 如权利要求11所述的装置，隐特征空间中所述节点在第t次迭代后的嵌入向量是根据所述节点的原始特征、所述节点与其他节点关联的边的特征，以及隐特征空间中所述节点在第t-1次迭代后的嵌入向量计算得到的。
17. 如权利要求12所述的装置，所述根据节点的原始特征，和所述节点间节点关联的边的特征，计算隐特征空间中所述节点多次迭代后的嵌入向量，具体包括：

    所述计算模块按照如下公式，计算隐特征空间中所述节点多次迭代后的嵌入向量：

    

    其中，

    

    表示隐特征空间中第i个节点在第t次迭代后的嵌入向量，σ表示非线性变换函数，W ₁、W ₂、W ₃表示权重矩阵，F _i表示第i个节点的原始特征，E _ij表示第i个 节点与第j个节点关联的边的特征，N _i表示第i个节点的邻居节点构成的集合，α _ij表示针对第i个节点与第j个节点的权重矩阵。
18. 如权利要求17所述的装置，所述根据所述嵌入向量，计算所述节点的预测概率，具体包括：

    所述计算模块按照如下公式，计算所述节点的预测概率：

    

    其中，pred _i表示第i个节点经过T次迭代后的预测概率，W ₄表示权重矩阵。
19. 如权利要求12所述的装置，利用标注样本训练所述图结构模型，具体包括：

    利用标注样本，以所述预测概率与其对应的样本标注结果的一致性最大化为训练目标，训练所述图结构模型。
20. 如权利要求18所述的装置，利用标注样本训练所述图结构模型，具体包括：

    利用反向传播算法和标注的样本，对

    

    进行优化，求得最优的W ₁、W ₂、W ₃、W ₄；

    其中，corss_entrep表示用于计算交叉熵的函数。
21. 一种基于图结构模型的异常账号防控设备，包括：

    至少一个处理器；以及，

    与所述至少一个处理器通信连接的存储器；其中，

    所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够：

    获取利用标注样本训练过的图结构模型，所述图结构模型根据账号关系网络定义，所述账号关系网络由账号，设备信息、网络信息、位置信息、身份信息中的一种或者多种节点以及所述节点间关系构成；所述图结构模型用于根据所述节点的原始特征，和/或所述节点间关联的边的特征，计算隐特征空间中所述节点多次迭代后的嵌入向量；

    利用所述训练过的图结构模型，计算待测样本对应的嵌入向量；

    根据所述待测样本对应的嵌入向量，对所述待测样本进行异常账号防控；

    其中，所述标注样本被标注了其对应的节点是否为异常节点。

Images