本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域，特別是涉及一種惡意賬號(hào)對(duì)應(yīng)的模型建立方法和裝置、惡意賬號(hào)識(shí)別的方法和裝置。

背景技術(shù)：

隨著計(jì)算機(jī)技術(shù)的發(fā)展，人們通過(guò)網(wǎng)絡(luò)進(jìn)行工作、學(xué)習(xí)和娛樂(lè)，在使用網(wǎng)絡(luò)的過(guò)程中經(jīng)常需要通過(guò)賬號(hào)進(jìn)行登錄以及獲取與賬號(hào)相應(yīng)的權(quán)限與資源。

惡意賬號(hào)是指通過(guò)機(jī)器模擬人的行為進(jìn)行相應(yīng)的操作的賬號(hào)，可以通過(guò)惡意賬號(hào)進(jìn)行預(yù)設(shè)的操作以獲取相應(yīng)的權(quán)限和利益，如通過(guò)機(jī)器定時(shí)長(zhǎng)期登錄賬號(hào)以增加登錄時(shí)長(zhǎng)，獲取與登錄時(shí)長(zhǎng)對(duì)應(yīng)的權(quán)限，或向多個(gè)其他用戶(hù)快速同時(shí)發(fā)送信息等。實(shí)際應(yīng)用中對(duì)惡意賬號(hào)往往通過(guò)其它客戶(hù)的舉報(bào)進(jìn)行識(shí)別，不能快速有效的識(shí)別惡意賬號(hào)。

技術(shù)實(shí)現(xiàn)要素：

基于此，有必要針對(duì)上述技術(shù)問(wèn)題，提供一種惡意賬號(hào)對(duì)應(yīng)的模型建立方法和裝置、惡意賬號(hào)識(shí)別的方法和裝置，能提高惡意賬號(hào)識(shí)別的效率。

一種惡意賬號(hào)對(duì)應(yīng)的模型建立方法，所述方法包括：

搜集樣本惡意賬號(hào)，獲取樣本惡意賬號(hào)對(duì)應(yīng)的歷史惡意行為信息；

將所述歷史惡意行為信息作為訓(xùn)練數(shù)據(jù)，輸入自回歸移動(dòng)平均訓(xùn)練模型訓(xùn)練，對(duì)候選自回歸階數(shù)、候選移動(dòng)平均階數(shù)的組合進(jìn)行參數(shù)估計(jì)建立候選自回歸移動(dòng)平均模型集；

根據(jù)擬合優(yōu)度算法進(jìn)行定階得到目標(biāo)自回歸階數(shù)、目標(biāo)移動(dòng)平均階數(shù)和對(duì)應(yīng)的目標(biāo)自回歸移動(dòng)平均模型。

一種惡意賬號(hào)對(duì)應(yīng)的模型建立裝置，所述裝置包括：

歷史惡意行為信息獲取模塊，用于搜集樣本惡意賬號(hào)，獲取樣本惡意賬號(hào)對(duì)應(yīng)的歷史惡意行為信息；

訓(xùn)練模塊，用于將所述歷史惡意行為信息作為訓(xùn)練數(shù)據(jù)，輸入自回歸移動(dòng)平均訓(xùn)練模型訓(xùn)練，對(duì)候選自回歸階數(shù)、候選移動(dòng)平均階數(shù)的組合進(jìn)行參數(shù)估計(jì)建立候選自回歸移動(dòng)平均模型集；

自回歸移動(dòng)平均模型確定模塊，用于根據(jù)擬合優(yōu)度算法進(jìn)行定階得到目標(biāo)自回歸階數(shù)、目標(biāo)移動(dòng)平均階數(shù)和對(duì)應(yīng)的目標(biāo)自回歸移動(dòng)平均模型。

上述惡意賬號(hào)對(duì)應(yīng)的模型建立方法和裝置，通過(guò)搜集樣本惡意賬號(hào)，獲取樣本惡意賬號(hào)對(duì)應(yīng)的歷史惡意行為信息，將歷史惡意行為信息作為訓(xùn)練數(shù)據(jù)，輸入自回歸移動(dòng)平均訓(xùn)練模型訓(xùn)練，對(duì)候選自回歸階數(shù)、候選移動(dòng)平均階數(shù)的組合進(jìn)行參數(shù)估計(jì)建立候選自回歸移動(dòng)平均模型集，根據(jù)擬合優(yōu)度算法進(jìn)行定階得到目標(biāo)自回歸階數(shù)、目標(biāo)移動(dòng)平均階數(shù)和對(duì)應(yīng)的目標(biāo)自回歸移動(dòng)平均模型，將樣本惡意賬號(hào)對(duì)應(yīng)的歷史惡意行為信息擬合成自回歸移動(dòng)平均訓(xùn)練模型，并進(jìn)行定階建立樣本惡意賬號(hào)對(duì)應(yīng)最優(yōu)的自回歸移動(dòng)平均模型，從而后續(xù)可根據(jù)自回歸移動(dòng)平均模型根據(jù)其它賬號(hào)的行為信息進(jìn)行賬號(hào)是否為惡意賬號(hào)的預(yù)測(cè)，快速方便的進(jìn)行惡意賬號(hào)的識(shí)別。

一種惡意賬號(hào)識(shí)別的方法，所述方法包括：

獲取由上述任一項(xiàng)實(shí)施例所述的惡意賬號(hào)對(duì)應(yīng)的模型建立方法建立的自回歸移動(dòng)平均模型；

獲取當(dāng)前操作賬號(hào)，根據(jù)所述自回歸移動(dòng)平均模型獲取所述當(dāng)前操作賬號(hào)對(duì)應(yīng)的歷史操作行為信息；

將所述歷史操作行為信息輸入自回歸移動(dòng)平均模型得到對(duì)應(yīng)的擬合惡意賬號(hào)行為預(yù)測(cè)信息；

獲取所述當(dāng)前操作賬號(hào)對(duì)應(yīng)的當(dāng)前行為信息，判斷所述當(dāng)前行為信息是否符合所述擬合惡意賬號(hào)行為預(yù)測(cè)信息，如果符合，則所述當(dāng)前操作賬號(hào)為惡意賬號(hào)，否則，所述當(dāng)前操作賬號(hào)為非惡意賬號(hào)。

一種惡意賬號(hào)識(shí)別的裝置，所述裝置包括：

模型獲取模塊，用于獲取由上述任一項(xiàng)實(shí)施例所述的惡意賬號(hào)對(duì)應(yīng)的模型建立裝置建立的自回歸移動(dòng)平均模型；

歷史操作行為信息獲取模塊，用于獲取當(dāng)前操作賬號(hào)，根據(jù)所述自回歸移動(dòng)平均模型獲取所述當(dāng)前操作賬號(hào)對(duì)應(yīng)的歷史操作行為信息；

行為信息預(yù)測(cè)模塊，用于將所述歷史操作行為信息輸入自回歸移動(dòng)平均模型得到對(duì)應(yīng)的擬合惡意賬號(hào)行為預(yù)測(cè)信息；

識(shí)別模塊，用于獲取所述當(dāng)前操作賬號(hào)對(duì)應(yīng)的當(dāng)前行為信息，判斷所述當(dāng)前行為信息是否符合所述擬合惡意賬號(hào)行為預(yù)測(cè)信息，如果符合，則所述當(dāng)前操作賬號(hào)為惡意賬號(hào)，否則，所述當(dāng)前操作賬號(hào)為非惡意賬號(hào)。

上述惡意賬號(hào)識(shí)別的方法和裝置，通過(guò)獲取上述任一實(shí)施例的惡意賬號(hào)對(duì)應(yīng)的模型建立方法建立的自回歸移動(dòng)平均模型，獲取當(dāng)前操作賬號(hào)，根據(jù)自回歸移動(dòng)平均模型獲取當(dāng)前操作賬號(hào)對(duì)應(yīng)的歷史操作行為信息，將歷史操作行為信息輸入自回歸移動(dòng)平均模型得到對(duì)應(yīng)的擬合惡意賬號(hào)行為預(yù)測(cè)信息，獲取當(dāng)前操作賬號(hào)對(duì)應(yīng)的當(dāng)前行為信息，判斷當(dāng)前行為信息是否符合擬合惡意賬號(hào)行為預(yù)測(cè)信息，如果符合，則當(dāng)前操作賬號(hào)為惡意賬號(hào)，否則，當(dāng)前操作賬號(hào)為非惡意賬號(hào)，可根據(jù)自回歸移動(dòng)平均模型根據(jù)當(dāng)前操作賬號(hào)的行為信息進(jìn)行賬號(hào)是否為惡意賬號(hào)的預(yù)測(cè)，快速方便的進(jìn)行惡意賬號(hào)的識(shí)別。

附圖說(shuō)明

圖1為一個(gè)實(shí)施例中惡意賬號(hào)對(duì)應(yīng)的模型建立方法、惡意賬號(hào)識(shí)別的方法的應(yīng)用環(huán)境圖；

圖2為一個(gè)實(shí)施例中圖1中服務(wù)器120的內(nèi)部結(jié)構(gòu)圖；

圖3為一個(gè)實(shí)施例中圖1中終端110的內(nèi)部結(jié)構(gòu)圖；

圖4為一個(gè)實(shí)施例中惡意賬號(hào)對(duì)應(yīng)的模型建立方法的流程圖；

圖5為一個(gè)實(shí)施例中惡意賬號(hào)識(shí)別的方法的流程圖；

圖6為一個(gè)實(shí)施例中獲取當(dāng)前操作賬號(hào)對(duì)應(yīng)的歷史操作行為信息的流程圖；

圖7為一個(gè)實(shí)施例中惡意賬號(hào)對(duì)應(yīng)的模型建立裝置的結(jié)構(gòu)框圖；

圖8為一個(gè)實(shí)施例中惡意賬號(hào)識(shí)別的裝置的結(jié)構(gòu)框圖；

圖9為另一個(gè)實(shí)施例中惡意賬號(hào)識(shí)別的裝置的結(jié)構(gòu)框圖。

具體實(shí)施方式

圖1為一個(gè)實(shí)施例中惡意賬號(hào)對(duì)應(yīng)的模型建立方法、惡意賬號(hào)識(shí)別的方法運(yùn)行的應(yīng)用環(huán)境圖。如圖1所示，該應(yīng)用環(huán)境包括終端110和服務(wù)器120。終端110和服務(wù)器120可以通過(guò)網(wǎng)絡(luò)進(jìn)行通信。

終端110可為智能手機(jī)、平板電腦、筆記本電腦、臺(tái)式計(jì)算機(jī)等，但并不局限于此。終端110可以向服務(wù)器120發(fā)送賬號(hào)操作請(qǐng)求，服務(wù)器120可以向終端110發(fā)送樣本惡意賬號(hào)對(duì)應(yīng)的歷史惡意行為信息等。惡意賬號(hào)對(duì)應(yīng)的模型可以在終端或服務(wù)器上建立，對(duì)惡意賬號(hào)的識(shí)別可以在終端或服務(wù)器上。

在一個(gè)實(shí)施例中，圖1中的服務(wù)器120的內(nèi)部結(jié)構(gòu)如圖3所示，該服務(wù)器120包括通過(guò)系統(tǒng)總線連接的處理器、存儲(chǔ)介質(zhì)、內(nèi)存和網(wǎng)絡(luò)接口。其中，該服務(wù)器120的存儲(chǔ)介質(zhì)存儲(chǔ)有操作系統(tǒng)、數(shù)據(jù)庫(kù)和惡意賬號(hào)對(duì)應(yīng)的模型建立裝置、惡意賬號(hào)識(shí)別的裝置，數(shù)據(jù)庫(kù)用于存儲(chǔ)數(shù)據(jù)，惡意賬號(hào)對(duì)應(yīng)的模型建立裝置用于實(shí)現(xiàn)一種適用于服務(wù)器120的惡意賬號(hào)對(duì)應(yīng)的模型建立方法，惡意賬號(hào)識(shí)別的裝置用于實(shí)現(xiàn)一種適用于服務(wù)器120的惡意賬號(hào)識(shí)別的方法。該服務(wù)器120的處理器用于提供計(jì)算和控制能力，支撐整個(gè)服務(wù)器120的運(yùn)行。該服務(wù)器120的內(nèi)存為存儲(chǔ)介質(zhì)中的惡意賬號(hào)對(duì)應(yīng)的模型建立裝置、惡意賬號(hào)識(shí)別的裝置的運(yùn)行提供環(huán)境。該服務(wù)器120的網(wǎng)絡(luò)接口用于與外部的終端110通過(guò)網(wǎng)絡(luò)連接通信，比如接收終端110發(fā)送的賬號(hào)操作請(qǐng)求以及向終端110返回?cái)?shù)據(jù)等。

在一個(gè)實(shí)施例中，圖1中的終端110的內(nèi)部結(jié)構(gòu)如圖2所示，該終端110包括通過(guò)系統(tǒng)總線連接的處理器、圖形處理單元、存儲(chǔ)介質(zhì)、內(nèi)存、網(wǎng)絡(luò)接口、顯示屏幕和輸入設(shè)備。其中，終端110的存儲(chǔ)介質(zhì)存儲(chǔ)有操作系統(tǒng)，還包括惡意賬號(hào)對(duì)應(yīng)的模型建立裝置、惡意賬號(hào)識(shí)別的裝置，惡意賬號(hào)對(duì)應(yīng)的模型建立裝置用于實(shí)現(xiàn)一種適用于終端的惡意賬號(hào)對(duì)應(yīng)的模型建立方法，惡意賬號(hào)識(shí)別的裝置用于實(shí)現(xiàn)一種適用于終端的惡意賬號(hào)識(shí)別的方法。該處理器用于提供計(jì)算和控制能力，支撐整個(gè)終端110的運(yùn)行。終端110中的圖形處理單元用于至少提供顯示界面的繪制能力，內(nèi)存為存儲(chǔ)介質(zhì)中的惡意賬號(hào)對(duì)應(yīng)的模型建立裝置、惡意賬號(hào)識(shí)別的裝置的運(yùn)行提供環(huán)境，網(wǎng)絡(luò)接口用于與服務(wù)器120進(jìn)行網(wǎng)絡(luò)通信，如發(fā)送賬號(hào)操作請(qǐng)求至服務(wù)器120，接收服務(wù)器120返回的數(shù)據(jù)等。顯示屏幕用于顯示應(yīng)用界面等，輸入設(shè)備用于接收用戶(hù)輸入的命令或數(shù)據(jù)等。對(duì)于帶觸摸屏的終端110，顯示屏幕和輸入設(shè)備可為觸摸屏。

如圖4所示，在一個(gè)實(shí)施例中，提供了一種惡意賬號(hào)對(duì)應(yīng)的模型建立方法，以應(yīng)用于上述應(yīng)用環(huán)境中的終端或服務(wù)器來(lái)舉例說(shuō)明，包括如下步驟：

步驟s210，搜集樣本惡意賬號(hào)，獲取樣本惡意賬號(hào)對(duì)應(yīng)的歷史惡意行為信息。

具體的，樣本惡意賬號(hào)可通過(guò)條件篩選和檢測(cè)的方式進(jìn)行搜集，如將具有用戶(hù)舉報(bào)記錄、電話(huà)訪問(wèn)用戶(hù)提供的具有惡意行為的號(hào)碼歸為樣本惡意賬號(hào)。還可通過(guò)惡意聚集的邏輯檢測(cè)得到樣本惡意賬號(hào)，如同一個(gè)ip上，預(yù)設(shè)時(shí)間段的訪問(wèn)量超過(guò)預(yù)設(shè)閾值，如1分鐘的訪問(wèn)量超過(guò)1w，則此ip對(duì)應(yīng)的賬號(hào)歸為樣本惡意賬號(hào)。歷史惡意行為信息為樣本惡意賬號(hào)在歷史操作的過(guò)程中依賴(lài)于時(shí)間t的可量化的行為信息，如與登錄操作相關(guān)的信息，如上線時(shí)間、下線時(shí)間、登錄時(shí)長(zhǎng)、登錄頻率中的一種或多種信息，與信息發(fā)送操作相關(guān)的信息，如單位時(shí)間內(nèi)發(fā)送的信息量，發(fā)送的用戶(hù)數(shù)量等。如果在終端建立惡意賬號(hào)對(duì)應(yīng)的自回歸移動(dòng)平均模型，可由服務(wù)器搜集樣本惡意賬號(hào)，獲取樣本惡意賬號(hào)對(duì)應(yīng)的歷史惡意行為信息后，將歷史惡意行為信息發(fā)送至終端，服務(wù)器服務(wù)于多個(gè)終端賬號(hào)，可快速搜集樣本惡意賬號(hào)，且服務(wù)器硬件性能好，更適合于大數(shù)據(jù)的樣本數(shù)據(jù)收集。

歷史惡意行為信息可以是不同行為類(lèi)型的操作行為對(duì)應(yīng)的信息，也可以對(duì)應(yīng)于不同的業(yè)務(wù)，其中行為類(lèi)型是以具體操作行為內(nèi)容進(jìn)行劃分，如上線和下線為兩種不同行為類(lèi)型的操作行為?？梢蕴崛颖緪阂赓~號(hào)預(yù)設(shè)歷史時(shí)間段，如半年內(nèi)各個(gè)業(yè)務(wù)上的行為信息，為了提高歷史惡意行為信息的準(zhǔn)確性，對(duì)于同一樣本惡意賬號(hào)不同業(yè)務(wù)上相同種類(lèi)的行為信息，可分開(kāi)存儲(chǔ)，以建立各個(gè)業(yè)務(wù)對(duì)應(yīng)的歷史惡意行為信息，對(duì)同一賬號(hào)在不同業(yè)務(wù)上可分別進(jìn)行判斷是否為惡意賬號(hào)，提高惡意賬號(hào)識(shí)別的精細(xì)粒度。如同一賬號(hào)同時(shí)可以登錄第一應(yīng)用和第二應(yīng)用，對(duì)于第一應(yīng)用和第二應(yīng)用，此賬號(hào)可以存在不同的惡意賬號(hào)識(shí)別結(jié)果?？梢詫v史惡意行為信息進(jìn)行統(tǒng)一處理，并按照預(yù)設(shè)的格式形成序列。

步驟s220，將歷史惡意行為信息作為訓(xùn)練數(shù)據(jù)，輸入自回歸移動(dòng)平均訓(xùn)練模型訓(xùn)練，對(duì)候選自回歸階數(shù)、候選移動(dòng)平均階數(shù)的組合進(jìn)行參數(shù)估計(jì)建立候選自回歸移動(dòng)平均模型集。

具體的，惡意賬號(hào)的操作行為大都具有批量性，一般不會(huì)動(dòng)態(tài)的變化，具有一定的規(guī)律，從而歷史惡意行為信息形成的序列是依賴(lài)于時(shí)間的一組隨機(jī)變量，雖然構(gòu)成該序列的單個(gè)序列值具有不確定性，但整個(gè)序列的變化卻有一定的規(guī)律性，可以建立相應(yīng)的數(shù)學(xué)模型近似描述，且可根據(jù)建立的數(shù)學(xué)模型對(duì)其它序列進(jìn)行預(yù)測(cè)得到有效的預(yù)測(cè)結(jié)果。能夠利用已經(jīng)收集的樣本觀測(cè)值的歷史信息去預(yù)測(cè)變量的未來(lái)值，這種依賴(lài)的簡(jiǎn)單例子就是自回歸過(guò)程，定義如下：

yt＝ayt-1+ut為一種自回歸模型，其中ut為白噪聲。

因?yàn)椴粩嘤行碌呐繍阂赓~號(hào)導(dǎo)致新的惡意行為事件進(jìn)入，可以用一個(gè)移動(dòng)平均白噪聲的過(guò)程模擬調(diào)整線性擬合函數(shù)，因此這個(gè)過(guò)程整體可以用自回歸移動(dòng)平均的方式模擬批量惡意號(hào)碼的進(jìn)入過(guò)程，擬合成自回歸移動(dòng)平均訓(xùn)練模型，表達(dá)式為：

yt＝a1yt-1+a2yt-2+...+apyt-p+ut-b1ut-1-...-bqut-q，可簡(jiǎn)寫(xiě)為arma(p,q)，其中p代表自回歸階數(shù)，q代表移動(dòng)平均階數(shù)，ai，bj為待確定的模型參數(shù)，其中i和j為整數(shù)索引，且0＜i≤p，0＜j≤q。

候選自回歸階數(shù)、候選移動(dòng)平均階數(shù)的范圍可根據(jù)樣本數(shù)據(jù)的數(shù)量進(jìn)行確定，如候選自回歸階數(shù)、候選移動(dòng)平均階數(shù)的取值范圍中的最大值與當(dāng)樣本數(shù)據(jù)的數(shù)量成正比。在一個(gè)實(shí)施例中候選自回歸階數(shù)的范圍為1至3，候選移動(dòng)平均階數(shù)的范圍為1至3。分別任意選取自回歸階數(shù)p和移動(dòng)平均階數(shù)q的一種組合，結(jié)合歷史惡意行為信息組成的序列q，采用參數(shù)估計(jì)算法，如樣本矩估計(jì)法、最小二乘估計(jì)法或極大似然估計(jì)法進(jìn)行擬合得到不同p和q組合時(shí)對(duì)應(yīng)的候選arma模型，各個(gè)不同的候選arma模型組成候選自回歸移動(dòng)平均模型集。

步驟s230，根據(jù)擬合優(yōu)度算法進(jìn)行定階得到目標(biāo)自回歸階數(shù)、目標(biāo)移動(dòng)平均階數(shù)和對(duì)應(yīng)的目標(biāo)自回歸移動(dòng)平均模型。

具體的，擬合優(yōu)度算法為從候選自回歸移動(dòng)平均模型集計(jì)算選擇得到與歷史惡意行為信息形成的真實(shí)曲線軌跡最匹配的目標(biāo)自回歸移動(dòng)平均模型算法，如可采用aic準(zhǔn)則和bic準(zhǔn)則進(jìn)行定階。在一個(gè)實(shí)施例中，采用aic準(zhǔn)則進(jìn)行定階，在規(guī)定范圍內(nèi)使候選自回歸階數(shù)、候選移動(dòng)平均階數(shù)從低到高進(jìn)行組合，分別計(jì)算aic值，最后確定使其值最小的自回歸階數(shù)、移動(dòng)平均階數(shù)的組合是模型的合適階數(shù)。如采用最小二乘估計(jì)時(shí)，aic＝nlogσ²+(p+q+1)logn其中n為歷史惡意行為信息對(duì)應(yīng)的樣本數(shù)，σ²為擬合殘差平方和，其中擬合殘差平方和為樣本真實(shí)值與采用自回歸移動(dòng)平均模型計(jì)算得到的擬合值之間殘差的平方和。目標(biāo)自回歸階數(shù)、目標(biāo)移動(dòng)平均階數(shù)確定后就可得到對(duì)應(yīng)的目標(biāo)自回歸移動(dòng)平均模型。目標(biāo)自回歸移動(dòng)平均模型可以根據(jù)樣本惡意賬號(hào)的改變不斷擬合新增和調(diào)整，從而提高自回歸移動(dòng)平均模型的時(shí)間適應(yīng)性和準(zhǔn)確率。

本實(shí)施例中，通過(guò)搜集樣本惡意賬號(hào)，獲取樣本惡意賬號(hào)對(duì)應(yīng)的歷史惡意行為信息，將歷史惡意行為信息作為訓(xùn)練數(shù)據(jù)，輸入自回歸移動(dòng)平均訓(xùn)練模型訓(xùn)練，對(duì)候選自回歸階數(shù)、候選移動(dòng)平均階數(shù)的組合進(jìn)行參數(shù)估計(jì)建立候選自回歸移動(dòng)平均模型集，根據(jù)擬合優(yōu)度算法進(jìn)行定階得到目標(biāo)自回歸階數(shù)、目標(biāo)移動(dòng)平均階數(shù)和對(duì)應(yīng)的目標(biāo)自回歸移動(dòng)平均模型，將樣本惡意賬號(hào)對(duì)應(yīng)的歷史惡意行為信息擬合成自回歸移動(dòng)平均訓(xùn)練模型，并進(jìn)行定階建立樣本惡意賬號(hào)對(duì)應(yīng)最優(yōu)的自回歸移動(dòng)平均模型，從而后續(xù)可根據(jù)自回歸移動(dòng)平均模型根據(jù)其它賬號(hào)的行為信息進(jìn)行賬號(hào)是否為惡意賬號(hào)的預(yù)測(cè)，快速方便的進(jìn)行惡意賬號(hào)的識(shí)別。

在一個(gè)實(shí)施例中，歷史惡意行為信息為賬號(hào)登錄行為信息。

具體的，賬號(hào)登錄行為信息可為一種或多種，如上線時(shí)間、下線時(shí)間、登錄時(shí)長(zhǎng)、登錄頻率都是與賬號(hào)登錄行為相關(guān)的信息，采用登錄行為信息可在惡意賬號(hào)只登錄了情況下，就可建立相應(yīng)的自回歸移動(dòng)平均模型，從而后續(xù)即使惡意賬號(hào)只是登錄，還沒(méi)有進(jìn)行具體的惡意行為，也可以根據(jù)自回歸移動(dòng)平均模型進(jìn)行識(shí)別，進(jìn)一步提高了惡意賬號(hào)識(shí)別的及時(shí)性。對(duì)于時(shí)間點(diǎn)類(lèi)型的歷史惡意行為信息，可將具體的時(shí)間轉(zhuǎn)化成從1970年1月1日開(kāi)始，系統(tǒng)默認(rèn)的時(shí)間戳形式，相當(dāng)于從那個(gè)時(shí)間點(diǎn)開(kāi)始的數(shù)值，從而構(gòu)建統(tǒng)一格式的歷史惡意行為信息對(duì)應(yīng)的序列，方便后續(xù)建模。

在一個(gè)實(shí)施例中，歷史惡意行為信息包括多種類(lèi)型，自回歸移動(dòng)平均模型為根據(jù)多種類(lèi)型的歷史惡意行為信息組成的向量訓(xùn)練得到的自回歸移動(dòng)平均模型集。

具體的，當(dāng)歷史惡意行為信息包括多種類(lèi)型時(shí)，可將多種類(lèi)型的歷史惡意行為信息依次排列組成對(duì)應(yīng)的向量，并將此向量作為訓(xùn)練數(shù)訓(xùn)練得到對(duì)應(yīng)的自回歸移動(dòng)平均模型集，其中自回歸移動(dòng)平均模型集中包括每個(gè)類(lèi)型的歷史惡意行為信息對(duì)應(yīng)的不同的自回歸移動(dòng)平均模型。通過(guò)向量的形式可一次性建立多個(gè)不同歷史惡意行為信息對(duì)應(yīng)的多個(gè)不同的自回歸移動(dòng)平均模型。從而可從多維的角度對(duì)其它賬號(hào)進(jìn)行識(shí)別，只要待識(shí)別賬號(hào)其中一個(gè)維度的當(dāng)前行為信息符合惡意賬號(hào)行為預(yù)測(cè)信息，則此賬號(hào)識(shí)別為惡意賬號(hào)，提高了惡意賬號(hào)識(shí)別的精確度。

在一個(gè)實(shí)施例中，如圖5所示，提供了一種惡意賬號(hào)識(shí)別的方法，可應(yīng)用于服務(wù)器或終端，包括：

步驟s310，獲取由上述任一實(shí)施例中的惡意賬號(hào)對(duì)應(yīng)的模型建立方法建立的自回歸移動(dòng)平均模型。

具體的，惡意賬號(hào)對(duì)應(yīng)的自回歸移動(dòng)平均模型體現(xiàn)了惡意賬號(hào)的操作行為習(xí)慣，可用于檢測(cè)一個(gè)賬號(hào)的操作行為習(xí)慣，從而識(shí)別惡意賬號(hào)。惡意賬號(hào)對(duì)應(yīng)的自回歸移動(dòng)平均模型可以從服務(wù)器或終端獲取。

步驟s320，獲取當(dāng)前操作賬號(hào)，根據(jù)自回歸移動(dòng)平均模型獲取當(dāng)前操作賬號(hào)對(duì)應(yīng)的歷史操作行為信息。

具體的，如果應(yīng)用于服務(wù)器，可從終端發(fā)送的賬號(hào)操作請(qǐng)求中獲取當(dāng)前操作賬號(hào)，賬號(hào)操作請(qǐng)求中可攜帶賬號(hào)標(biāo)識(shí)。如果是終端，則接收輸入的當(dāng)前操作賬號(hào)，如果是登陸狀態(tài)，則獲取當(dāng)前登陸的賬號(hào)作為當(dāng)前操作賬號(hào)。歷史操作行為信息可以是不同類(lèi)型的操作行為對(duì)應(yīng)的信息，也可以對(duì)應(yīng)于不同的業(yè)務(wù)，其中類(lèi)型是以具體操作行為內(nèi)容進(jìn)行劃分，如上線和下線為兩種不同類(lèi)型的操作行為。由于終端可包括不同的業(yè)務(wù)，當(dāng)前操作賬號(hào)根據(jù)業(yè)務(wù)的不同，應(yīng)用的不同可包括多個(gè)。對(duì)于同一賬號(hào)不同業(yè)務(wù)上相同類(lèi)型的歷史操作行為信息，可分開(kāi)存儲(chǔ)，可獲取各個(gè)業(yè)務(wù)對(duì)應(yīng)的自回歸移動(dòng)平均模型，對(duì)同一賬號(hào)在不同業(yè)務(wù)上可分別進(jìn)行判斷是否為惡意賬號(hào)，提高惡意賬號(hào)識(shí)別的精細(xì)粒度?？蓮漠?dāng)前操作賬號(hào)對(duì)應(yīng)的日志記錄中獲取對(duì)應(yīng)的歷史操作行為信息，并根據(jù)自回歸移動(dòng)平均模型的類(lèi)型和自回歸階數(shù)篩選有用的歷史操作行為信息。

步驟s330，將歷史操作行為信息輸入自回歸移動(dòng)平均模型得到對(duì)應(yīng)的擬合惡意賬號(hào)行為預(yù)測(cè)信息。

具體的，如自回歸移動(dòng)平均模型是上線時(shí)間類(lèi)型的，則歷史操作行為信息也為上線時(shí)間信息，自回歸階數(shù)p＝m，移動(dòng)平均階數(shù)q＝n，自回歸移動(dòng)平均模型表達(dá)式為yt＝a1yt-1+a2yt-2+...+amyt-m+ut-b1ut-1-...-bnut-n，將歷史操作行為信息即當(dāng)前操作賬號(hào)之前m次的上線時(shí)間信息輸入自回歸移動(dòng)平均模型，得到擬合惡意賬號(hào)行為預(yù)測(cè)信息即惡意賬號(hào)當(dāng)前預(yù)測(cè)上線時(shí)間。如果自回歸移動(dòng)平均模型為多個(gè)，每個(gè)對(duì)應(yīng)了不同的類(lèi)型，如上線時(shí)間、下線時(shí)間等，則分別將對(duì)應(yīng)類(lèi)型的歷史操作行為信息輸入類(lèi)型一致的自回歸移動(dòng)平均模型，得到不同類(lèi)型的操作行為對(duì)應(yīng)的擬合惡意賬號(hào)行為預(yù)測(cè)信息。

步驟s340，獲取當(dāng)前操作賬號(hào)對(duì)應(yīng)的當(dāng)前行為信息，判斷當(dāng)前行為信息是否符合擬合惡意賬號(hào)行為預(yù)測(cè)信息，如果符合，則當(dāng)前操作賬號(hào)為惡意賬號(hào)，否則，當(dāng)前操作賬號(hào)為非惡意賬號(hào)。

具體的，當(dāng)前行為信息的類(lèi)型與自回歸移動(dòng)平均模型的類(lèi)型一致，如自回歸移動(dòng)平均模型是上線時(shí)間類(lèi)型的，則獲取的當(dāng)前行為信息也是當(dāng)前操作賬號(hào)的上線時(shí)間?？勺远x判斷當(dāng)前行為信息是否符合擬合惡意賬號(hào)行為預(yù)測(cè)信息的符合標(biāo)準(zhǔn)規(guī)則，在一個(gè)實(shí)施例中，如果當(dāng)前行為信息與擬合惡意賬號(hào)行為預(yù)測(cè)信息的差距小于預(yù)設(shè)閾值，則當(dāng)前行為信息符合擬合惡意賬號(hào)行為預(yù)測(cè)信息，說(shuō)明當(dāng)前賬號(hào)的行為與惡意賬號(hào)的預(yù)測(cè)行為相一致，當(dāng)前賬號(hào)是惡意賬號(hào)。如果當(dāng)前行為信息不符合擬合惡意賬號(hào)行為預(yù)測(cè)信息，則說(shuō)明當(dāng)前賬號(hào)的行為與惡意賬號(hào)的預(yù)測(cè)行為不一致，當(dāng)前賬號(hào)不是惡意賬號(hào)。在一個(gè)實(shí)施例中，如果當(dāng)前行為信息對(duì)應(yīng)的數(shù)值為y，擬合惡意賬號(hào)行為預(yù)測(cè)信息對(duì)應(yīng)的數(shù)值為values,如果|y-values|>0.05就認(rèn)為當(dāng)前行為信息不符合擬合惡意賬號(hào)行為預(yù)測(cè)信息，當(dāng)前操作賬號(hào)對(duì)應(yīng)的用戶(hù)為一個(gè)真實(shí)的用戶(hù)，否則就認(rèn)為當(dāng)前操作賬號(hào)是上述自回歸移動(dòng)平均模型訓(xùn)練出來(lái)的機(jī)器賬號(hào)，是惡意賬號(hào)。

可以理解的是，上述步驟可以在終端也可以在服務(wù)器進(jìn)行，如果在終端進(jìn)行，則在當(dāng)前操作賬號(hào)發(fā)送操作請(qǐng)求至服務(wù)器時(shí)，就可識(shí)別出當(dāng)前操作賬號(hào)是否為惡意賬號(hào)，如果是惡意賬號(hào)，可拒絕當(dāng)前操作賬號(hào)向外發(fā)送操作請(qǐng)求。如終端被安裝了惡意軟件使得當(dāng)前操作賬號(hào)成為惡意賬號(hào)，可快速識(shí)別出惡意賬號(hào)，避免惡意賬號(hào)獲取用戶(hù)賬號(hào)對(duì)應(yīng)的資源和權(quán)限。如果在服務(wù)器進(jìn)行，由于服務(wù)器服務(wù)于多個(gè)終端請(qǐng)求，不管惡意軟件安裝在哪個(gè)終端，都可以通過(guò)服務(wù)器上的惡意賬號(hào)識(shí)別方法進(jìn)行識(shí)別，可快速批量的識(shí)別惡意賬號(hào)。

本實(shí)施例中，通過(guò)獲取上述任一實(shí)施例的惡意賬號(hào)對(duì)應(yīng)的模型建立方法建立的自回歸移動(dòng)平均模型，獲取當(dāng)前操作賬號(hào)，根據(jù)自回歸移動(dòng)平均模型獲取當(dāng)前操作賬號(hào)對(duì)應(yīng)的歷史操作行為信息，將歷史操作行為信息輸入自回歸移動(dòng)平均模型得到對(duì)應(yīng)的擬合惡意賬號(hào)行為預(yù)測(cè)信息，獲取當(dāng)前操作賬號(hào)對(duì)應(yīng)的當(dāng)前行為信息，判斷當(dāng)前行為信息是否符合擬合惡意賬號(hào)行為預(yù)測(cè)信息，如果符合，則當(dāng)前操作賬號(hào)為惡意賬號(hào)，否則，當(dāng)前操作賬號(hào)為非惡意賬號(hào)，可根據(jù)自回歸移動(dòng)平均模型根據(jù)當(dāng)前操作賬號(hào)的行為信息進(jìn)行賬號(hào)是否為惡意賬號(hào)的預(yù)測(cè)，快速方便的進(jìn)行惡意賬號(hào)的識(shí)別。

在一個(gè)實(shí)施例中，如圖6所示，步驟s320包括：

步驟s321，獲取自回歸移動(dòng)平均模型對(duì)應(yīng)的行為類(lèi)型和自回歸階數(shù)。

具體的，自回歸移動(dòng)平均模型對(duì)應(yīng)的行為類(lèi)型與自回歸移動(dòng)平均模型建立時(shí)的樣本數(shù)據(jù)類(lèi)型一致，如自回歸移動(dòng)平均模型是根據(jù)樣本惡意賬號(hào)的上線時(shí)間信息建立，則自回歸移動(dòng)平均模型對(duì)應(yīng)的行為類(lèi)型為上線時(shí)間。自回歸階數(shù)的大小用于確定需要當(dāng)前操作賬號(hào)的歷史操作行為信息的數(shù)據(jù)量大小，如自回歸階數(shù)為m，則需要當(dāng)前操作賬號(hào)的歷史m次操作行為對(duì)應(yīng)的信息。

步驟s322，獲取當(dāng)前操作賬號(hào)對(duì)應(yīng)的自回歸階數(shù)次數(shù)的歷史操作行為對(duì)應(yīng)的信息，歷史操作行為的行為類(lèi)型與自回歸移動(dòng)平均模型對(duì)應(yīng)的行為類(lèi)型一致。

具體的，如自回歸移動(dòng)平均模型對(duì)應(yīng)的行為類(lèi)型為上線時(shí)間，則獲取的當(dāng)前操作賬號(hào)的歷史操作行為對(duì)應(yīng)的信息也為上線時(shí)間。自回歸階數(shù)為m，則需要獲取之前m次的上線時(shí)間，將各個(gè)上線時(shí)間組成時(shí)間序列。本實(shí)施例中，根據(jù)自回歸移動(dòng)平均模型對(duì)應(yīng)的行為類(lèi)型和自回歸階數(shù)有針對(duì)性的獲取當(dāng)前操作賬號(hào)對(duì)應(yīng)的歷史操作行為信息，提高了數(shù)據(jù)獲取的效率。

在一個(gè)實(shí)施例中，當(dāng)歷史惡意行為信息包括多種類(lèi)型，自回歸移動(dòng)平均模型為根據(jù)多種類(lèi)型的歷史惡意行為信息組成的向量訓(xùn)練得到的自回歸移動(dòng)平均模型集時(shí)，歷史操作行為信息為根據(jù)類(lèi)型獲取的歷史操作行為信息向量，擬合惡意賬號(hào)行為預(yù)測(cè)信息為根據(jù)歷史操作行為信息向量得到的擬合惡意賬號(hào)行為預(yù)測(cè)信息向量。

步驟s340包括：獲取當(dāng)前操作賬號(hào)對(duì)應(yīng)的各個(gè)類(lèi)型的當(dāng)前行為信息，分別判斷各個(gè)類(lèi)型的當(dāng)前行為信息是否符合擬合惡意行為預(yù)測(cè)信息向量中對(duì)應(yīng)類(lèi)型的擬合惡意行為預(yù)測(cè)信息，當(dāng)至少有一種類(lèi)型符合時(shí)，當(dāng)前操作賬號(hào)為惡意賬號(hào)。

具體的，當(dāng)歷史惡意行為信息包括多種類(lèi)型時(shí)，自回歸移動(dòng)平均模型為根據(jù)多種類(lèi)型的歷史惡意行為信息組成的向量訓(xùn)練得到的自回歸移動(dòng)平均模型集時(shí)，將根據(jù)類(lèi)型獲取的歷史操作行為信息向量分別輸入自回歸移動(dòng)平均模型集中對(duì)應(yīng)類(lèi)型的自回歸移動(dòng)平均模型，得到不同類(lèi)型的對(duì)應(yīng)的擬合惡意賬號(hào)行為預(yù)測(cè)信息，組成擬合惡意賬號(hào)行為預(yù)測(cè)信息向量。通過(guò)各個(gè)類(lèi)型的當(dāng)前行為信息與擬合惡意行為預(yù)測(cè)信息向量中對(duì)應(yīng)類(lèi)型的擬合惡意行為預(yù)測(cè)信息進(jìn)行比較，可從多維的角度對(duì)當(dāng)前操作賬號(hào)進(jìn)行識(shí)別，只要當(dāng)前操作賬號(hào)其中一個(gè)維度的當(dāng)前行為信息符合惡意賬號(hào)行為預(yù)測(cè)信息，則此賬號(hào)識(shí)別為惡意賬號(hào)，提高了惡意賬號(hào)識(shí)別的精確度。

在一個(gè)實(shí)施例中，方法還包括：根據(jù)當(dāng)前操作賬號(hào)是否為惡意賬號(hào)，為當(dāng)前操作賬號(hào)分配對(duì)應(yīng)的操作權(quán)限。

具體的，針對(duì)惡意賬號(hào)對(duì)應(yīng)的操作權(quán)限可根據(jù)需要自定義，如嚴(yán)格限制惡意賬號(hào)，使其沒(méi)有任何操作權(quán)限，或限制惡意賬號(hào)操作權(quán)限的范圍。如果在終端，當(dāng)前操作賬號(hào)為惡意賬號(hào)，則可直接拒絕其向服務(wù)器發(fā)送操作請(qǐng)求，或拒絕其向服務(wù)器發(fā)送限制范圍業(yè)務(wù)的請(qǐng)求。如果在服務(wù)器，則可拒絕向惡意賬號(hào)對(duì)應(yīng)的終端返回?cái)?shù)據(jù)。操作權(quán)限包括登錄權(quán)限、資源獲取權(quán)限、信息發(fā)送權(quán)限、添加好友權(quán)限等。如在互聯(lián)網(wǎng)征信領(lǐng)域，可以限制惡意賬號(hào)的授信額度，甚至取消惡意號(hào)碼的優(yōu)惠權(quán)利等。

在一個(gè)實(shí)施例中，如圖7所示，提供了一種惡意賬號(hào)對(duì)應(yīng)的模型建立裝置，包括：

歷史惡意行為信息獲取模塊410，用于搜集樣本惡意賬號(hào)，獲取樣本惡意賬號(hào)對(duì)應(yīng)的歷史惡意行為信息。

訓(xùn)練模塊420，用于將歷史惡意行為信息作為訓(xùn)練數(shù)據(jù)，輸入自回歸移動(dòng)平均訓(xùn)練模型訓(xùn)練，對(duì)候選自回歸階數(shù)、候選移動(dòng)平均階數(shù)的組合進(jìn)行參數(shù)估計(jì)建立候選自回歸移動(dòng)平均模型集。

自回歸移動(dòng)平均模型確定模塊430，用于根據(jù)擬合優(yōu)度算法進(jìn)行定階得到目標(biāo)自回歸階數(shù)、目標(biāo)移動(dòng)平均階數(shù)和對(duì)應(yīng)的目標(biāo)自回歸移動(dòng)平均模型。

在一個(gè)實(shí)施例中，歷史惡意行為信息為賬號(hào)登錄行為信息。

在一個(gè)實(shí)施例中，歷史惡意行為信息包括多種類(lèi)型，自回歸移動(dòng)平均模型為根據(jù)多種類(lèi)型的歷史惡意行為信息組成的向量訓(xùn)練得到的自回歸移動(dòng)平均模型集。

在一個(gè)實(shí)施例中，如圖8所示，提供了一種惡意賬號(hào)識(shí)別的裝置，包括：

模型獲取模塊510，用于獲取由上述任一實(shí)施例的惡意賬號(hào)對(duì)應(yīng)的模型建立裝置建立的自回歸移動(dòng)平均模型。

歷史操作行為信息獲取模塊520，用于獲取當(dāng)前操作賬號(hào)，根據(jù)自回歸移動(dòng)平均模型獲取當(dāng)前操作賬號(hào)對(duì)應(yīng)的歷史操作行為信息。

行為信息預(yù)測(cè)模塊530，用于將歷史操作行為信息輸入自回歸移動(dòng)平均模型得到對(duì)應(yīng)的擬合惡意賬號(hào)行為預(yù)測(cè)信息。

識(shí)別模塊540，用于獲取當(dāng)前操作賬號(hào)對(duì)應(yīng)的當(dāng)前行為信息，判斷當(dāng)前行為信息是否符合擬合惡意賬號(hào)行為預(yù)測(cè)信息，如果符合，則當(dāng)前操作賬號(hào)為惡意賬號(hào)，否則，當(dāng)前操作賬號(hào)為非惡意賬號(hào)。

在一個(gè)實(shí)施例中，歷史操作行為信息獲取模塊還用于獲取自回歸移動(dòng)平均模型對(duì)應(yīng)的行為類(lèi)型和自回歸階數(shù)，獲取當(dāng)前操作賬號(hào)對(duì)應(yīng)的自回歸階數(shù)次數(shù)的歷史操作行為對(duì)應(yīng)的信息，歷史操作行為的行為類(lèi)型與自回歸移動(dòng)平均模型對(duì)應(yīng)的行為類(lèi)型一致。

在一個(gè)實(shí)施例中，當(dāng)歷史惡意行為信息包括多種類(lèi)型，自回歸移動(dòng)平均模型為根據(jù)多種類(lèi)型的歷史惡意行為信息組成的向量訓(xùn)練得到的自回歸移動(dòng)平均模型集時(shí)，歷史操作行為信息為根據(jù)類(lèi)型獲取的歷史操作行為信息向量，擬合惡意賬號(hào)行為預(yù)測(cè)信息為根據(jù)歷史操作行為信息向量得到的擬合惡意賬號(hào)行為預(yù)測(cè)信息向量；

識(shí)別模塊540還用于獲取當(dāng)前操作賬號(hào)對(duì)應(yīng)的各個(gè)類(lèi)型的當(dāng)前行為信息，分別判斷各個(gè)類(lèi)型的當(dāng)前行為信息是否符合擬合惡意行為預(yù)測(cè)信息向量中對(duì)應(yīng)類(lèi)型的擬合惡意行為預(yù)測(cè)信息，當(dāng)至少有一種類(lèi)型符合時(shí)，當(dāng)前操作賬號(hào)為惡意賬號(hào)。

在一個(gè)實(shí)施例中，如圖9所示，裝置還包括：

權(quán)限分配模塊550，用于根據(jù)所述當(dāng)前操作賬號(hào)是否為惡意賬號(hào)，為所述當(dāng)前操作賬號(hào)分配對(duì)應(yīng)的操作權(quán)限。

本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程，是可以通過(guò)計(jì)算機(jī)程序來(lái)指令相關(guān)的硬件來(lái)完成，所述程序可存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中，如本發(fā)明實(shí)施例中，該程序可存儲(chǔ)于計(jì)算機(jī)系統(tǒng)的存儲(chǔ)介質(zhì)中，并被該計(jì)算機(jī)系統(tǒng)中的至少一個(gè)處理器執(zhí)行，以實(shí)現(xiàn)包括如上述各方法的實(shí)施例的流程。其中，所述存儲(chǔ)介質(zhì)可為磁碟、光盤(pán)、只讀存儲(chǔ)記憶體(read-onlymemory，rom)或隨機(jī)存儲(chǔ)記憶體(randomaccessmemory，ram)等。

以上所述實(shí)施例的各技術(shù)特征可以進(jìn)行任意的組合，為使描述簡(jiǎn)潔，未對(duì)上述實(shí)施例中的各個(gè)技術(shù)特征所有可能的組合都進(jìn)行描述，然而，只要這些技術(shù)特征的組合不存在矛盾，都應(yīng)當(dāng)認(rèn)為是本說(shuō)明書(shū)記載的范圍。

以上所述實(shí)施例僅表達(dá)了本發(fā)明的幾種實(shí)施方式，其描述較為具體和詳細(xì)，但并不能因此而理解為對(duì)發(fā)明專(zhuān)利范圍的限制。應(yīng)當(dāng)指出的是，對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)，在不脫離本發(fā)明構(gòu)思的前提下，還可以做出若干變形和改進(jìn)，這些都屬于本發(fā)明的保護(hù)范圍。因此，本發(fā)明專(zhuān)利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。