买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：腾讯科技(深圳)有限公司

摘要：本申请实施例公开了一种恶意账户识别方法、装置及存储介质，其中恶意账户识别方法包括：获取不同时间点下目标账户的账户使用信息和设备使用信息；对账户使用信息和设备使用信息进行特征提取，得到多个账户节点特征和多个设备节点特征；按照时间顺序构建多个账户节点特征和多个设备节点特征之间的节点关联关系；基于节点关联关系，以指定时间点下目标账户的采样得到的账户节点特征为中心进行节点特征采样，得到关联节点特征；根据采样得到的账户节点特征和关联节点特征，识别目标账户是否为恶意账户。本申请方案可利用时间流转带来的时序信息、及采样得到的周围邻居节点特征识别恶意账户，可及时识别出恶意账户，并有效提升恶意账户的识别准确率。

主权项：1.一种恶意账户识别方法，其特征在于，包括：获取不同时间点下目标账户的账户使用信息和设备使用信息，所述账户使用信息至少包括：所述目标账户本身的使用信息，所述设备使用信息至少包括：登录过所述目标账户的设备的使用信息；对所述账户使用信息和设备使用信息进行特征提取，得到多个账户节点特征和多个设备节点特征；按照时间顺序构建所述多个账户节点特征和所述多个设备节点特征之间的节点关联关系；对所述目标账户的账户节点特征进行采样，并基于所述节点关联关系获取关联节点特征，所述关联节点特征包括：与采样得到的账户节点特征关联的设备节点特征和账户节点特征；根据所述采样得到的账户节点特征和所述关联节点特征，识别所述目标账户是否为恶意账户，包括：获取关联账户节点特征的特征参数，所述关联账户节点特征的特征参数至少包括：使用次数、使用时长、及使用行为参数；对所述使用次数、使用时长、及使用行为参数进行归一化处理；基于归一化处理后的所述使用次数、使用时长、及使用行为参数，构建所述关联账户节点特征的第一特征向量；获取关联设备节点特征的特征参数，所述关联设备节点特征的特征参数至少包括：使用次数、使用时长、及登录过账户的数量；对所述使用次数、使用时长、及登录过账户的数量进行归一化处理；基于归一化处理后的所述使用次数、使用时长、及登录过账户的数量，构建所述关联设备节点特征的第二特征向量；将所述第一特征向量和所述第二特征向量转换成相同维度的特征向量；按照预设权重信息，对转换维度后的第一特征向量与转换维度后的第二特征向量进行加权处理后求和，得到融合后的特征向量；根据融合后的特征向量得到第一融合特征；获取对应采样得到的账户节点特征的特征向量；将所述对应采样得到的账户节点特征的特征向量从当前维度转换成所述相同维度；将转换维度后所述对应采样得到的账户节点特征的特征向量，与所述融合后的特征向量进行合并处理，得到合并处理后的特征向量；根据合并处理后的特征向量得到第二融合特征；利用预设概率模型对所述第二融合特征进行概率预测，得到概率预测结果；基于所述概率预测结果确定所述目标账户是否为恶意账户。

全文数据：恶意账户识别方法、装置及存储介质技术领域本申请涉及信息处理技术领域，具体涉及一种恶意账户识别方法、装置及存储介质。背景技术随着互联网的兴起和移动通信网络的发展，电信诈骗日益猖獗。在获得诈骗所得后，诈骗用户通常会将诈骗所得的涉案资金通过金融账户来流转。若能及时识别出用来流转涉案资金的金融账户，并及时将其冻结，就有可能追回受骗用户的损失。相关技术中，往往是受骗用户报案后进行处理。此时诈骗用户已经成功将涉案资金流转，很难为受骗用户挽回财产损失。发明内容本申请实施例提供一种恶意账户识别方法、装置及存储介质，可有效提升恶意账户识别效率。本申请实施例提供了一种恶意账户识别方法，包括：获取不同时间点下目标账户的账户使用信息和设备使用信息，所述账户使用信息至少包括：所述目标账户本身的使用信息，所述设备使用信息至少包括：登录过所述目标账户的设备的使用信息；对所述账户使用信息和设备使用信息进行特征提取，得到多个账户节点特征和多个设备节点特征；按照时间顺序构建所述多个账户节点特征和所述多个设备节点特征之间的节点关联关系；对所述目标账户的账户节点特征进行采样，并基于所述节点关联关系获取关联节点特征，所述关联节点特征包括：与所述采样得到的账户节点特征关联的设备节点特征和或账户节点特征；根据所述采样得到的账户节点特征和所述关联节点特征，识别所述目标账户是否为恶意账户。相应的，本申请实施例还提供了一种恶意账户识别装置，包括：获取单元，用于获取不同时间点下目标账户的账户使用信息和设备使用信息，所述账户使用信息至少包括：所述目标账户本身的使用信息，所述设备使用信息至少包括：登录过所述目标账户的设备的使用信息；提取单元，用于对所述账户使用信息和设备使用信息进行特征提取，得到多个账户节点特征和多个设备节点特征；构建单元，用于按照时间顺序构建所述多个账户节点特征和所述多个设备节点特征之间的节点关联关系；采样单元，用于对所述目标账户的账户节点特征进行采样，并基于所述节点关联关系获取关联节点特征，所述关联节点特征包括：与所述采样得到的账户节点特征关联的设备节点特征和或账户节点特征；识别单元，用于根据所述采样得到的账户节点特征和所述关联节点特征，识别所述目标账户是否为恶意账户。相应的，本申请实施例还提供了一种存储介质，所述存储介质存储有多条指令，所述指令适于处理器进行加载，以执行如上所述恶意账户识别方法中的步骤。本申请方案通过提取目标账户的账户使用信息和设备使用信息中的账户节点特征和设备节点特征，并基于时间顺序构建账户节点特征与设备节点特征之间的节点关联关系，利用时间流转带来的时序信息、及采样得到的周围邻居节点特征识别恶意账户，可及时识别出恶意账户，并有效提升恶意账户的识别准确率。附图说明为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本申请实施例提供的恶意账户识别方法的一流程示意图。图2是本申请实施例提供的账户使用行为的示意图。图3是本申请实施例提供的恶意账户识别方法的另一流程示意图。图4是本申请实施例提供的时序异质示意图。图5是本申请实施例提供的采样结果示意图。图6是本申请实施例提供的恶意账户识别方法的应用场景图。图7是本申请实施例提供的恶意账户识别方法的系统架构示意图。图8是本申请实施例提供的恶意账户识别装置的结构示意图。图9是本申请实施例提供的终端的结构示意图。具体实施方式下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。基于上述问题，本申请实施例提供一种恶意账户识别方法、装置及存储介质，可及时识别出恶意账户，并有效提升恶意账户的识别准确率。以下分别进行详细说明。需说明的是，以下实施例的顺序不作为对实施例优选顺序的限定。在一实施例中，将以该第一恶意账户识别装置集成在服务器中的角度进行描述。请参阅图1，图1为本申请实施例提供的恶意账户识别方法的一种流程示意图。该恶意账户识别方法的具体流程可以如下：101、获取不同时间点下目标账户的账户使用信息和设备使用信息，其中，账户使用信息至少包括：目标账户本身的使用信息，设备使用信息至少包括：登录过目标账户的设备的使用信息。其中，该目标账户可用于存放虚拟资源。该目标账户可将本账户中虚拟资源的转移至其他账户，也可接收其他账户转移的虚拟资源。在本申请实施例中，该目标账户可以是金融账户如银行卡账户，可用于资金的存放和转移。在本申请实施例中，时间点具体可以是一个时间段。例如，该时间点可以为一个小时、一天、一周等。以银行卡账户为例，在银行卡开卡后流转过程中，每个环节都会验证银行卡是否可用，并且会留下使用行为记录。因此，银行卡账户使用行为的前后是有密切联系的。有基于此，本申请方案中通过分析银行卡账户的使用行为即上述目标账户的账户使用信息和设备使用信息来确定其是否为恶意账户。其中，使用行为可以包括目标账户在设备上的使用行为，如登录账户、查看余额、资源转移、交易、退出账户等等操作。为了便于记录，本申请实施例中可对不同的操作进行编码，不同的操作对应不同的编号。其中，编号可以是字母、数字或其他具有标识性的字符等。例如，参考图2，假设一系列的使用行为依次为：登录账户、查看余额、资源转移、交易、退出账户，若用“N1”表示登录账户、“N3”表示查看余额、“N4”表示资源转移、“N5”表示交易、“N31”表示退出账户，则可得到使用行为序列为：N1_N3_N4_N5_N31。在本申请实施例中，获取的账户使用行为，可参考下表1：表1时间账户设备使用行为2019-01-0510:08:32账户A设备1行为序列1N1_N312019-01-0510:48:13账户B设备1行为序列2N1_N312019-01-1514:13:22账户A设备2行为序列3N1_N312019-01-1514:23:18账户B设备2行为序列4N1_N312019-01-2010:30:05账户A设备3行为序列5N1_N3_N4_N4_N4_N312019-01-2511:03:48账户B设备4行为序列6N1_N3_N4_N4_N4_N4_N31……………………其中，目标账户本身的使用信息可以包括使用次数、使用时长、最常使用行为等。设备使用信息可以包括使用次数、使用时长、登录过的账户数量等。102、对账户使用信息和设备使用信息进行特征提取，得到多个账户节点特征和多个设备节点特征。具体的，针对账户使用行为数据中的不同类型节点提取相关特征。在一些实施例中，目标账户本身的使用信息至少包括：不同时间点下目标账户登录的设备信息；登录过目标账户的设备的使用信息至少包括：不同时间点下该设备登录过的其他账户信息。参考图3，步骤“对账户使用信息和设备使用信息进行特征提取，得到多个账户节点特征和多个设备节点特征”，可包括以下流程：1021、对不同时间点下目标账户登录的设备信息进行特征提取，得到目标账户的多个账户节点特征和多个设备节点特征；1021、对不同时间点下，设备登录过的其他账户信息进行特征提取，得到其他账户的多个账户节点特征。在本申请实施例中，账户登录的设备信息可从账户的使用行为中提取数据整合得到，参考下表2：表2时间节点使用次数使用时长登录的设备最常用的行为2019-01-05账户A315min设备1登录、退出2019-01-05账户B830min设备1登录、退出2019-01-15账户A720min设备2登录、退出2019-01-15账户B517min设备2登录、退出2019-01-20账户A38150min设备3转账2019-01-25账户B56138min设备4转账………………………………具体的，可基于上述表2所示内容，对不同时间点下目标账户登录的设备信息进行特征提取，从中提取得到目标账户假设为账户A的多个账户节点特征和多个设备节点特征。在本申请实施例中，登录过目标账户的设备登录过的账户信息可从账户的使用行为中提取数据整合得到，参考下表3：表3时间节点使用次数使用时长登录账户数量登录过的账户2019-01-05设备11145min15账户A、账户B2019-01-15设备21237min15账户A、账户B2019-01-20设备338150min2账户A2019-01-25设备456138min1账户B………………………………具体的，可基于上述表3所示内容，对不同时间点下，上述设备登录过的其他账户信息进行特征提取，从中提取得到其他账户如账户B的多个账户节点特征。其中，登录账户数量可以包括重复登录的同一账户。在一些实施例中，为了提升数据的有效性，可在提取特征之前对采集到的数据进行预处理。即，在对账户使用信息和设备使用信息进行特征提取之前，还可以对所述账户使用信息和设备使用信息进行数据清洗，去除无效数据。例如，去除存在数据缺失、值异常的数据，参考下表4：表4时间账户登录设备使用行为序列异常原因0000-00-0000:00:0062177****1234设备1N1_N3_N4_N31值异常2019-02-1012:32:1262177****8653数值缺失103、按照时间顺序构建多个账户节点特征和多个设备节点特征之间的节点关联关系。具体的，可按照时间的先后顺序构建多个账户节点特征和多个设备节点特征之间的节点关联关系。继续参考图3，步骤“按照时间顺序构建多个账户节点特征和多个设备节点特征之间的节点关联关系”，可以包括以下流程：1031、按照时间顺序构建目标账户的多个账户节点特征与所述多个设备节点特征之间的第一关联关系；1032、按照时间顺序构建多个设备节点特征与其他账户的多个账户节点特征的第二关联关系；1033、至少根据第一关联关系和第二关联关系得到节点关联关系。在一些实施例中，可基于该节点关联关系构建如图4所示的时序异质图。如图4所示，目标账户的多个账户节点特征包括：“2019-01-05账户A的节点特征”、“2019-01-15账户A的节点特征”、“2019-01-20账户A的节点特征”；多个设备节点特征包括：“2019-01-05设备1的节点特征”、“2019-01-15设备2的节点特征”、“2019-01-20设备3的节点特征”、“2019-01-25设备4的节点特征”；其他账户的多个账户节点特征包括：“2019-01-05账户B的节点特征”、“2019-01-15账户B的节点特征”、2019-01-20账户B的节点特征”。具体实施时，可按照账户的使用行为数据构建该时序异质图。104、对目标账户的账户节点特征进行采样，并基于节点关联关系获取关联节点特征，关联节点特征包括：与采样得到的账户节点特征关联的设备节点特征和或账户节点特征。其中，指定时间点可以由本领域技术人员或工作人员进行指定，也可由程序来自动配置及动态调整。该指定时间点可以为一个时间点、也可以是多个时间点。实际应用中，该指定时间点可以是用户认为该目标账户为恶意账户的时间点，例如“2019-10-15”。在一些实施例中，为了保证采样的全面性，可以对所有目标账户进行节点特征采样，以提升识别结果的准确性。在一些实施例中，步骤“对目标账户的账户节点特征进行采样，并基于节点关联关系获取关联节点特征”，可以包括以下流程：按照预设采样数量，从目标账户的账户节点特征中选取预设采样数量的账户节点特征；基于节点关联关系，按照预设采样深度和预设采样数量从多个账户节点特征和多个设备节点特征中，筛选出与采样得到的账户节点特征关联的关联节点特征。具体的，基于节点关联关系，按照预设采样深度从多个账户节点特征中筛选出与采样得到的账户节点特征关联的候选账户节点特征，再从候选账户节点特征中选取预设采样数量的账户节点特征；以及基于节点关联关系，按照预设采样深度从多个账户节点特征中，筛选出与采样得到的账户节点特征关联的所候选设备节点特征，再从候选设备节点特征中选取预设采样数量的设备节点特征。例如，以图4中的时序异质图为例，并以预设采样数量为2、预设采样深度为1，以“2019-01-15账户A的节点特征”为中心对节点进行采样。则按照采样深度为1，获取到的候选的关联账户节点特征包括：直接与“2019-01-15账户A的节点特征”“2019-01-05账户A的节点特征”、“2019-01-20账户A的节点特征”；筛选出候选的关联设备节点特征包括：“2019-01-15设备2的节点特征”。在按照采样数量进行不同类型的节点进行采样时，可重复采样。参考图5，按照采样数量为2，对以2019-01-15账户A的节点特征为中心进行节点特征采样时，可采样“2019-01-05账户A的节点特征”和“2019-01-20账户A的节点特征”，在对设备节点进行采样时，可重复采样两次“2019-01-15设备2的节点特征”，从而得到采样结果。105、根据采样得到的账户节点特征和关联节点特征，识别目标账户是否为恶意账户。在本申请施例中，关联节点特征包括不同维度即不同类型的节点特征。例如，关联节点特征包括：与采样得到的账户节点特征关联的关联账户节点特征和关联设备节点特征。则，继续参考图3，步骤“根据采样得到的账户节点特征和关联节点特征，识别目标账户是否为恶意账户”，可以包括以下流程：1051、将关联账户节点特征与关联设备节点特征融合，得到第一融合特征；1052、将第一融合特征与对应采样得到的账户节点特征融合，得到第二融合特征；1053、根据第二融合特征确定目标账户是否为恶意账户。具体的，在识别目标账户是否为恶意账户时，融合不同维度的邻居节点特征，可提升识别结果的准确性。在本申请实施例中，将节点特征进行融合的方式可以有多种。在一些实施例中，步骤“将关联账户节点特征与关联设备节点特征融合，得到第一融合特征”，可以包括以下流程：获取关联账户节点特征的第一特征向量、及获取关联设备节点特征的第二特征向量；将第一特征向量和第二特征向量转换成相同维度的特征向量；按照预设权重信息，对转换维度后的第一特征向量与转换维度后的第二特征向量进行加权处理后求和，得到融合后的特征向量；根据融合后的特征向量得到第一融合特征。具体的，可利用矩阵变换的方式，将第一特征向量和第二特征向量转换成相同维度的特征向量。例如，可对第一特征向量和第二特征向量分别乘以不同类型的矩阵，使得节点特征映射到相同的维度。其中，预设权重信息可以由本领域技术人员或工作人员进行设定。例如，可以设定第一特征向量与第二特征向量的权重分别为0.2和0.8，也可以设定第一特征向量与第二特征向量的权重分别为0.5和0.5，或其他权重配比等。在一些实施例中，步骤“获取关联账户节点特征的第一特征向量”，可以包括以下流程：获取所述关联账户节点特征的特征参数，所述关联账户节点特征的特征参数至少包括：使用次数、使用时长、及使用行为参数；对所述使用次数、使用时长、及使用行为参数进行归一化处理；基于归一化处理后的所述使用次数、使用时长、及使用行为参数，构建所述关联账户节点特征的第一特征向量。在一些实施例中，步骤“获取关联设备节点特征的第二特征向量”，可以包括以下流程：获取关联设备节点特征的特征参数，其中，关联设备节点特征的特征参数至少包括：使用次数、使用时长、及登录过账户的数量；对使用次数、使用时长、及登录过账户的数量进行归一化处理；基于归一化处理后的使用次数、使用时长、及登录过账户的数量，构建关联设备节点特征的第二特征向量。仍以上述表1至3的数据为例，则归一化处理后的关联账户节点特征的特征参数可参考下表5：表5时间节点使用次数使用时长最常用的行为……2019-01-05账户A0.07890.110000...001……2019-01-15账户A0.18420.133310000...001……2019-01-20账户A1100010...000……………………………………归一化处理后的关联设备节点特征的特征参数则可参考下表6：表6时间节点使用次数使用时长使用卡的数量……2019-01-05设备10.28950.31……2019-01-15设备20.31580.24671……2019-01-20设备3110.1333……………………………………参考图6，具体实施时，对采样到的2019-01-05账户A和2019-01-20账户A的特征向量求均值得到矩阵A1*a[0.539,0.55,...]，其中a代表账户节点的特征维度。对采样到的2019-01-15设备2的特征向量求均值其为重复采样得到D1*d[0.3158,0.2467,...]，其中d代表设备节点的特征维度。然后，对得到的矩阵A1*a和D1*d，分别乘以不同类型的矩阵和已经过模型训练，使得特征映射到新的维度，得到矩阵和若设定第一特征向量与第二特征向量的权重分别为0.5和0.5，则按照该权重信息，将新得到的不同类型节点的矩阵和进行加权处理后求和，得到新的矩阵M1*O[0.76,0.59,...]，以将第一特征向量与第二特征向量融合。在一些实施例中，步骤“将第一融合特征与对应采样得到的账户节点特征融合，得到第二融合特征”，可以包括以下步骤：获取对应采样得到的账户节点特征的特征向量；将对应采样得到的账户节点特征的特征向量从当前维度转换成该相同维度；将转换维度后对应采样得到的账户节点特征的特征向量，与融合后的特征向量进行合并处理，得到合并处理后的特征向量；根据合并处理后的特征向量得到第二融合特征。其中，该采样得到的账户节点特征的特征向量获取方式，可参考上述关联账户节点特征的获取方式，对此不再赘述。具体的，在将采样得到的账户节点特征的特征向量从当前维度转换成该相同维度时，可按照上述关联账户节点特征的特征向量对应乘以的矩阵，与该采样得到的账户节点的特征向量做乘积处理，以将2019-01-15账户A的特征矩阵A′1*a[0.184,0.13,...]乘以之后，映射到新的维度，得到M′1*O[0.337,0.25,...]。将新的2019-01-15账户A的特征M′1*O[0.337,0.25,...]同邻居汇聚来的特征M1*O[0.76,0.59,...]拼接在一起，得到矩阵M1*2O[0.337,0.25,...,0.76,0.59,...]。在一些实施例中，在根据第二融合特征确定目标账户是否为恶意账户时，具体可以利用预设概率模型对第二融合特征进行概率预测，得到概率预测结果，并基于概率预测结果确定目标账户是否为恶意账户。例如，继续参考图6，将上述第二融合特征的特征向量即合并处理后的特征向量作为输入，利用训练好的预设概率模型进行概率预测。并可基于预测到的概率与预设概率阈值进行比较，基于比较结果来确定目标账户是否为恶意账户。其中，预设概率阈值可由本领域技术人员进行设定，其取值范围可为0至1之间的任意实数。例如，假设预设概率阈值为0.5，若最终得到的2019-01-15是恶意账户的概率为0.9，其大于预设概率阈值0.5，因此判定2019-01-15账户A为恶意账户。本实施例提供的恶意账户识别方法，通过通过提取目标账户的账户使用信息和设备使用信息中的账户节点特征和设备节点特征，并基于时间顺序构建账户节点特征与设备节点特征之间的节点关联关系，利用时间流转带来的时序信息、及采样得到的周围邻居节点特征识别恶意账户，可及时识别出恶意账户，并有效提升恶意账户的识别准确率。参考图7，图7为本申请实施例提供的恶意账户识别方法的系统架构图。如图7所示，该系统包含两个子系统，在线识别子系统和离线训练子系统。在线识别子系统是根据各金融机构的数据，对其进行数据预处理、数据清洗后，提取相关统计特征，随后再根据时间先后关系，将数据中涉及到的节点例如账户、设备、使用行为等，根据相关关系连接起来构成时序异质图。随后，利用预训练好的异质图神经网络模型判断某账户是否为恶意账户。再根据目前是否已经流转到恶意用户手中，推送到开户机构处置系统进行冻结。如果冻结有误，则将该结果反馈到离线训练子系统，对模型进行调整。离线训练子系统是利用账户的历史使用行为数据以及在线系统中反馈的结果，抽取相关统计特征和对使用行为按时间先后进行序列化编码。并依据时间先后关系，将各种类型的节点根据相应的关系连接起来，构成时序异质图，随后对上述模型进行训练和调整，并同步更新到在线识别子系统的恶意账户识别模块。在线识别子系统是基于账户使用行为来进行恶意账户分析的对外接口。用户通过该接口，导入相应的账户使用行为数据，就可以找出相应的恶意账户。在线识别子系统主要包括三个模块：数据采集模块，恶意账户识别模块，开户机构处置系统模块。其中：11数据采集模块，主要负责采集各大金融机构的账户使用行为数据，并进行相应的预处理，例如统一格式，统一命名等，随后导入数据库中。主要包含的数据有使用时间、账户、使用的设备标识，以及使用行为序列等。12恶意账户识别模块，其对采集到的账户使用行为数据进行清洗，去除无效数据。然后提取相关特征，并构建时序异质图。随后使用已经训练好的模型对时序异质图进行分析，识别出恶意账户。恶意账户识别模块又可以分成三个部分：数据清洗、特征提取和时序异质图构建、以及恶意账户识别。数据清洗，主要就是去除账户使用行为中的无效数据，例如存在数据缺失，值异常等。特征提取和时序异质图构建，主要就是针对账户使用行为数据中的不同类型节点统计相关特征，分别得到账户节点特征和设备节点特征，随后对节点特征进行归一化操作，再根据时间顺序将账户使用行为数据构建时序异质图。恶意账户识别，将账户节点特征、设备节点特征和时序异质图都输入到异质图神经网络模型中，由已经训练好的异质图神经网络模型进行概率预测。并基于最终判定的结果，将其推送到开户机构处置系统中进行处理。13开户机构处置系统，恶意账户识别模块将识别的账户推送到开户机构的处置系统中，如果判断为恶意账户，则予以冻结。另外如果有误冻的情况，则将结果反馈到离线训练子系统。离线训练子系统，是当发现开户机构处置系统反馈的模型错误率高于设定的阈值时，离线训练子系统会提取出相关的账户使用行为记录，根据反馈结果，重新训练调整异质图神经网络模型。离线训练子系统主要可以分三个部分，具体为：21提取历史账户使用行为记录，尤其是开户机构处置系统反馈是错误的账户使用行为记录。22分析反馈是错误的账户使用行为记录，添加更加适合的统计特征，并构建时序异质图。23将上述获取的特征和时序异质图，重新训练异质图神经网络，并将训练好的模型更新到在线识别子系统。如此，在线识别子系统和离线训练子系统，就形成了一个完整的闭环，系统会根据开户机构处置系统反馈的错误率来决定是否重新训练模型。在本申请实施例中，异质图神经网络是恶意账户识别模块的核心部分，它不仅可以从图数据中提取节点相关信息，还可以从图数据中获取丰富的结构信息，因此具有很强的恶意账户识别能力。本申请中，将金融账户的使用行为信息构建成时序异质图，并利用网络模型进行分析，不仅可以发现已经在使用当中的恶意账户，还可以及时发现尚未流转到恶意用户手中的候选恶意账户。并可将结果推送给相关金融机构进行账户冻结，为打击电信诈骗提供技术支持。为便于更好的实施本申请实施例提供的恶意账户识别方法，本申请实施例还提供一种基于上述恶意账户识别方法的装置。其中名词的含义与上述恶意账户识别方法中相同，具体实现细节可以参考方法实施例中的说明。请参阅图8，图8为本申请实施例提供的一种恶意账户识别装置的结构示意图。其中，该恶意账户识别装置400可以集成在服务器中。该恶意账户识别装置400可以包括指令获取单元401、提取单元402、构建单元403、采样单元404404及识别单元405，具体可以如下：获取单元401，用于获取不同时间点下目标账户的账户使用信息和设备使用信息，所述账户使用信息至少包括：所述目标账户本身的使用信息，所述设备使用信息至少包括：登录过所述目标账户的设备的使用信息；提取单元402，用于对所述账户使用信息和设备使用信息进行特征提取，得到多个账户节点特征和多个设备节点特征；构建单元403，用于按照时间顺序构建所述多个账户节点特征和所述多个设备节点特征之间的节点关联关系；采样单元404，用于对所述目标账户的账户节点特征进行采样，并基于所述节点关联关系获取关联节点特征，所述关联节点特征包括：与所述采样得到的账户节点特征关联的设备节点特征和或账户节点特征；识别单元405，用于根据所述采样得到的账户节点特征和所述关联节点特征，识别所述目标账户是否为恶意账户。在一些实施例中，目标账户本身的使用信息至少包括：不同时间点下目标账户登录的设备信息；登录过所述目标账户的设备的使用信息至少包括：不同时间点下该设备登录过的其他账户信息。提取单元402可以用于：对不同时间点下目标账户登录的设备信息进行特征提取，得到目标账户的多个账户节点特征和多个设备节点特征；对所述不同时间点下，该设备登录过的其他账户信息进行特征提取，得到其他账户的多个账户节点特征。在一些实施例中，构建单元403可以用于：按照时间顺序构建所述目标账户的多个账户节点特征与所述多个设备节点特征之间的第一关联关系；按照时间顺序构建所述多个设备节点特征与所述其他账户的多个账户节点特征的第二关联关系；至少根据所述第一关联关系和所述第二关联关系得到所述节点关联关系。在一些实施例中，关联节点特征包括：与采样得到的账户节点特征关联的关联账户节点特征和关联设备节点特征；识别单元405可以用于：将关联账户节点特征与关联设备节点特征融合，得到第一融合特征；将第一融合特征与采样得到的账户节点特征融合，得到第二融合特征；根据第二融合特征确定目标账户是否为恶意账户。在一些实施例中，在将关联账户节点特征与关联设备节点特征融合时，识别单元405具体可以用于：获取关联账户节点特征的第一特征向量、及获取关联设备节点特征的第二特征向量；将第一特征向量和第二特征向量转换成相同维度的特征向量；按照预设权重信息，对转换维度后的第一特征向量与转换维度后的第二特征向量进行加权处理后求和，得到融合后的特征向量；根据融合后的特征向量得到第一融合特征。在一些实施例中，在获取关联账户节点特征的第一特征向量时，识别单元405进一步可以用于：获取关联账户节点特征的特征参数，关联账户节点特征的特征参数至少包括：使用次数、使用时长、及使用行为参数；对使用次数、使用时长、及使用行为参数进行归一化处理；基于归一化处理后的使用次数、使用时长、及使用行为参数，构建所述关联账户节点特征的第一特征向量。在一些实施例中，在获取关联设备节点特征的第二特征向量时，识别单元405进一步可以用于：获取关联设备节点特征的特征参数，关联设备节点特征的特征参数至少包括：使用次数、使用时长、及登录过账户的数量；对使用次数、使用时长、及登录过账户的数量进行归一化处理；基于归一化处理后的使用次数、使用时长、及登录过账户的数量，构建关联设备节点特征的第二特征向量。在一些实施例中，在将第一融合特征与采样得到的账户节点特征融合，得到第二融合特征时，识别单元405进一步可以用于：获取采样得到的账户节点特征的特征向量；将采样得到的账户节点特征的特征向量从当前维度转换成相同维度；将转换维度后采样得到的账户节点特征的特征向量，与所述融合后的特征向量进行合并处理，得到合并处理后的特征向量；根据合并处理后的特征向量得到第二融合特征。在一些实施例中，在根据第二融合特征确定目标账户是否为恶意账户时，识别单元405具体可以用于：利用预设概率模型对第二融合特征进行概率预测，得到概率预测结果；基于概率预测结果确定目标账户是否为恶意账户。在一些实施例中，采样单元404可以用于：从目标账户的账户节点特征中选取指定数量的账户节点特征，作为采样得到的账户节点特征；基于节点关联关系，按照预设采样深度和预设采样数量从多个账户节点特征和多个设备节点特征中，筛选出与采样得到的账户节点特征关联的关联节点特征。本申请实施例提供的恶意账户识别装置，通过提取目标账户的账户使用信息和设备使用信息中的账户节点特征和设备节点特征，并基于时间顺序构建账户节点特征与设备节点特征之间的节点关联关系，利用时间流转带来的时序信息、及采样得到的周围邻居节点特征识别恶意账户，可及时识别出恶意账户，并有效提升恶意账户的识别准确率。本申请实施例还提供一种服务器。如图9所示，该服务器可以包括射频RF，RadioFrequency电路601、包括有一个或一个以上计算机可读存储介质的存储器602、输入单元603、显示单元604、传感器605、音频电路606、无线保真WiFi，WirelessFidelity模块607、包括有一个或者一个以上处理核心的处理器608、以及电源609等部件。本领域技术人员可以理解，图9中示出的终端结构并不构成对终端的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。其中：RF电路601可用于收发信息过程中，信号的接收和发送，特别地，将基站的下行信息接收后，交由一个或者一个以上处理器608处理；另外，将涉及上行的数据发送给基站。通常，RF电路601包括但不限于天线、至少一个放大器、调谐器、一个或多个振荡器、用户身份模块SIM，SubscriberIdentityModule卡、收发信机、耦合器、低噪声放大器LNA，LowNoiseAmplifier、双工器等。此外，RF电路601还可以通过无线通信与网络和其他设备通信。存储器602可用于存储软件程序以及模块，处理器608通过运行存储在存储器602的软件程序以及模块，从而执行各种功能应用以及数据处理。存储器602可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序比如声音播放功能、图像播放功能等等。此外，存储器602可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地，存储器602还可以包括存储器控制器，以提供处理器608和输入单元603对存储器602的访问。输入单元603可用于接收输入的数字或字符信息，以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。具体地，在一个具体的实施例中，输入单元603可包括触敏表面以及其他输入设备。触敏表面，也称为触摸显示屏或者触控板，可收集用户在其上或附近的触摸操作比如用户使用手指、触笔等任何适合的物体或附件在触敏表面上或在触敏表面附近的操作，并根据预先设定的程式驱动相应的连接装置。除了触敏表面，输入单元603还可以包括其他输入设备。具体地，其他输入设备可以包括但不限于物理键盘、功能键比如音量控制按键、开关按键等、轨迹球、鼠标、操作杆等中的一种或多种。显示单元604可用于显示由用户输入的信息或提供给用户的信息以及服务器的各种图形用户接口，这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元604可包括显示面板，可选的，可以采用液晶显示器LCD，LiquidCrystalDisplay、有机发光二极管OLED，OrganicLight-EmittingDiode等形式来配置显示面板。进一步的，触敏表面可覆盖显示面板，当触敏表面检测到在其上或附近的触摸操作后，传送给处理器608以确定触摸事件的类型，随后处理器608根据触摸事件的类型在显示面板上提供相应的视觉输出。虽然在图9中，触敏表面与显示面板是作为两个独立的部件来实现输入和输入功能，但是在某些实施例中，可以将触敏表面与显示面板集成而实现输入和输出功能。服务器还可包括至少一种传感器605，比如光传感器、运动传感器以及其他传感器。具体地，光传感器可包括环境光传感器及接近传感器，其中，环境光传感器可根据环境光线的明暗来调节显示面板的亮度，接近传感器可在服务器移动到耳边时，关闭显示面板和或或背光。音频电路606、扬声器，传声器可提供用户与服务器之间的音频接口。音频电路606可将接收到的音频数据转换后的电信号，传输到扬声器，由扬声器转换为声音信号输出；另一方面，传声器将收集的声音信号转换为电信号，由音频电路606接收后转换为音频数据，再将音频数据输出处理器608处理后，经RF电路601以发送给比如终端，或者将音频数据输出至存储器602以便进一步处理。音频电路606还可能包括耳塞插孔，以提供外设耳机与服务器的通信。WiFi属于短距离无线传输技术，终端通过WiFi模块607可以帮助用户收发电子邮件、浏览网页和访问流式媒体等，它为用户提供了无线的宽带互联网访问。虽然图9示出了WiFi模块607，但是可以理解的是，其并不属于终端的必须构成，完全可以根据需要在不改变发明的本质的范围内而省略。处理器608是终端的控制中心，利用各种接口和线路连接整个手机的各个部分，通过运行或执行存储在存储器602内的软件程序和或或模块，以及调用存储在存储器602内的数据，执行服务器的各种功能和处理数据，从而对手机进行整体监控。可选的，处理器608可包括一个或多个处理核心；优选的，处理器608可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器608中。服务器还包括给各个部件供电的电源609比如电池，优选的，电源可以通过电源管理系统与处理器608逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源609还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。具体在本实施例中，服务器中的处理器608会按照如下的指令，将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器602中，并由处理器608来运行存储在存储器602中的应用程序，从而实现各种功能：获取不同时间点下目标账户的账户使用信息和设备使用信息，账户使用信息至少包括：目标账户本身的使用信息，设备使用信息至少包括：登录过目标账户的设备的使用信息；对账户使用信息和设备使用信息进行特征提取，得到多个账户节点特征和多个设备节点特征；按照时间顺序构建多个账户节点特征和多个设备节点特征之间的节点关联关系；对目标账户的账户节点特征进行采样，并基于节点关联关系获取关联节点特征，关联节点特征包括：与采样得到的账户节点特征关联的设备节点特征和或账户节点特征；根据采样得到的账户节点特征和关联节点特征，识别目标账户是否为恶意账户。本申请方案通过提取目标账户的账户使用信息和设备使用信息中的账户节点特征和设备节点特征，并基于时间顺序构建账户节点特征与设备节点特征之间的节点关联关系，利用时间流转带来的时序信息、及采样得到的周围邻居节点特征识别恶意账户，可及时识别出恶意账户，并有效提升恶意账户的识别准确率。本领域普通技术人员可以理解，上述实施例的各种方法中的全部或部分步骤可以通过指令来完成，或通过指令控制相关的硬件来完成，该指令可以存储于一计算机可读存储介质中，并由处理器进行加载和执行。为此，本申请实施例提供一种存储介质，其中存储有多条指令，该指令能够被处理器进行加载，以执行本申请实施例所提供的任一种恶意账户识别方法中的步骤。例如，该指令可以执行如下步骤：获取不同时间点下目标账户的账户使用信息和设备使用信息，账户使用信息至少包括：目标账户本身的使用信息，设备使用信息至少包括：登录过目标账户的设备的使用信息；对账户使用信息和设备使用信息进行特征提取，得到多个账户节点特征和多个设备节点特征；按照时间顺序构建多个账户节点特征和多个设备节点特征之间的节点关联关系；对目标账户的账户节点特征进行采样，并基于节点关联关系获取关联节点特征，关联节点特征包括：与采样得到的账户节点特征关联的设备节点特征和或账户节点特征；根据采样得到的账户节点特征和关联节点特征，识别目标账户是否为恶意账户。以上各个操作的具体实施可参见前面的实施例，在此不再赘述。其中，该存储介质可以包括：只读存储器ROM，ReadOnlyMemory、随机存取记忆体RAM，RandomAccessMemory、磁盘或光盘等。由于该存储介质中所存储的指令，可以执行本申请实施例所提供的任一种恶意账户识别方法中的步骤，因此，可以实现本申请实施例所提供的任一种恶意账户识别方法所能实现的有益效果，详见前面的实施例，在此不再赘述。以上对本申请实施例所提供的恶意账户识别方法、装置及存储介质进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

权利要求：1.一种恶意账户识别方法，其特征在于，包括：获取不同时间点下目标账户的账户使用信息和设备使用信息，所述账户使用信息至少包括：所述目标账户本身的使用信息，所述设备使用信息至少包括：登录过所述目标账户的设备的使用信息；对所述账户使用信息和设备使用信息进行特征提取，得到多个账户节点特征和多个设备节点特征；按照时间顺序构建所述多个账户节点特征和所述多个设备节点特征之间的节点关联关系；对所述目标账户的账户节点特征进行采样，并基于所述节点关联关系获取关联节点特征，所述关联节点特征包括：与所述采样得到的账户节点特征关联的设备节点特征和或账户节点特征；根据所述采样得到的账户节点特征和所述关联节点特征，识别所述目标账户是否为恶意账户。2.根据权利要求1所述的恶意账户识别方法，其特征在于，所述目标账户本身的使用信息至少包括：不同时间点下所述目标账户登录的设备信息，所述登录过所述目标账户的设备的使用信息至少包括：所述不同时间点下所述设备登录过的其他账户信息；所述对所述账户使用信息和设备使用信息进行特征提取，得到多个账户节点特征和多个设备节点特征，包括：对不同时间点下所述目标账户登录的设备信息进行特征提取，得到所述目标账户的多个账户节点特征和多个设备节点特征；对所述不同时间点下，所述设备登录过的其他账户信息进行特征提取，得到所述其他账户的多个账户节点特征。3.根据权利要求2所述的恶意账户识别方法，其特征在于，所述按照时间顺序构建所述多个账户节点特征和所述多个设备节点特征之间的节点关联关系，包括：按照时间顺序构建所述目标账户的多个账户节点特征与所述多个设备节点特征之间的第一关联关系；按照时间顺序构建所述多个设备节点特征与所述其他账户的多个账户节点特征的第二关联关系；至少根据所述第一关联关系和所述第二关联关系得到所述节点关联关系。4.根据权利要求1-3任一项所述的恶意账户识别方法，其特征在于，所述关联节点特征包括：与所述采样得到的账户节点特征关联的关联账户节点特征和关联设备节点特征；所述根据所述采样得到的账户节点特征和所述关联节点特征，识别所述目标账户是否为恶意账户，包括：将所述关联账户节点特征与所述关联设备节点特征融合，得到第一融合特征；将所述第一融合特征与对应采样得到的账户节点特征融合，得到第二融合特征；根据所述第二融合特征确定所述目标账户是否为恶意账户。5.根据权利要求4所述的恶意账户识别方法，其特征在于，所述将所述关联账户节点特征与所述关联设备节点特征融合，得到第一融合特征，包括：获取所述关联账户节点特征的第一特征向量、及获取所述关联设备节点特征的第二特征向量；将所述第一特征向量和所述第二特征向量转换成相同维度的特征向量；按照预设权重信息，对转换维度后的第一特征向量与转换维度后的第二特征向量进行加权处理后求和，得到融合后的特征向量；根据融合后的特征向量得到第一融合特征。6.根据权利要求5所述的恶意账户识别方法，其特征在于，所述获取所述关联账户节点特征的第一特征向量，包括：获取所述关联账户节点特征的特征参数，所述关联账户节点特征的特征参数至少包括：使用次数、使用时长、及使用行为参数；对所述使用次数、使用时长、及使用行为参数进行归一化处理；基于归一化处理后的所述使用次数、使用时长、及使用行为参数，构建所述关联账户节点特征的第一特征向量。7.根据权利要求5所述的恶意账户识别方法，其特征在于，所述获取关联设备节点特征的第二特征向量，包括：获取所述关联设备节点特征的特征参数，所述关联设备节点特征的特征参数至少包括：使用次数、使用时长、及登录过账户的数量；对所述使用次数、使用时长、及登录过账户的数量进行归一化处理；基于归一化处理后的所述使用次数、使用时长、及登录过账户的数量，构建所述关联设备节点特征的第二特征向量。8.根据权利要求5所述的恶意账户识别方法，其特征在于，所述将所述第一融合特征与对应采样得到的账户节点特征融合，得到第二融合特征，包括：获取所述对应采样得到的账户节点特征的特征向量；将所述对应采样得到的账户节点特征的特征向量从当前维度转换成所述相同维度；将转换维度后所述对应采样得到的账户节点特征的特征向量，与所述融合后的特征向量进行合并处理，得到合并处理后的特征向量；根据合并处理后的特征向量得到第二融合特征。9.根据权利要求4所述的恶意账户识别方法，其特征在于，所述根据所述第二融合特征确定所述目标账户是否为恶意账户，包括：利用预设概率模型对所述第二融合特征进行概率预测，得到概率预测结果；基于所述概率预测结果确定所述目标账户是否为恶意账户。10.根据权利要求1所述的恶意账户识别方法，其特征在于，所述对所述目标账户的账户节点特征进行采样，并基于所述节点关联关系获取关联节点特征，包括：从所述目标账户的账户节点特征中选取指定数量的账户节点特征，作为采样得到的账户节点特征；基于所述节点关联关系，按照预设采样深度和预设采样数量从多个账户节点特征和多个设备节点特征中，筛选出与所述采样得到的账户节点特征关联的关联节点特征。11.一种恶意账户识别装置，其特征在于，包括：获取单元，用于获取不同时间点下目标账户的账户使用信息和设备使用信息，所述账户使用信息至少包括：所述目标账户本身的使用信息，所述设备使用信息至少包括：登录过所述目标账户的设备的使用信息；提取单元，用于对所述账户使用信息和设备使用信息进行特征提取，得到多个账户节点特征和多个设备节点特征；构建单元，用于按照时间顺序构建所述多个账户节点特征和所述多个设备节点特征之间的节点关联关系；采样单元，用于对所述目标账户的账户节点特征进行采样，并基于所述节点关联关系获取关联节点特征，所述关联节点特征包括：与所述采样得到的账户节点特征关联的设备节点特征和或账户节点特征；识别单元，用于根据所述采样得到的账户节点特征和所述关联节点特征，识别所述目标账户是否为恶意账户。12.根据权利要求11所述的恶意账户识别装置，其特征在于，所述目标账户本身的使用信息至少包括：不同时间点下所述目标账户登录的设备信息，所述登录过所述目标账户的设备的使用信息至少包括：所述不同时间点下所述设备登录过的其他账户信息；所述提取单元，用于：对不同时间点下所述目标账户登录的设备信息进行特征提取，得到所述目标账户的多个账户节点特征和多个设备节点特征；对所述不同时间点下，所述设备登录过的其他账户信息进行特征提取，得到所述其他账户的多个账户节点特征。13.根据权利要求12所述的恶意账户识别装置，其特征在于，所述构建单元，用于：按照时间顺序构建所述目标账户的多个账户节点特征与所述多个设备节点特征之间的第一关联关系；按照时间顺序构建所述多个设备节点特征与所述其他账户的多个账户节点特征的第二关联关系；至少根据所述第一关联关系和所述第二关联关系得到所述节点关联关系。14.根据权利要求11-13任一项所述的恶意账户识别装置，其特征在于，所述识别单元，用于：将所述采样账户节点特征与所述采样设备节点特征融合，得到第一融合特征；将所述第一融合特征与所述采样得到的账户节点特征融合，得到第二融合特征；根据所述第二融合特征确定所述目标账户是否为恶意账户。15.一种存储介质，其特征在于，所述存储介质存储有多条指令，所述指令适于处理器进行加载，以执行权利要求1-10任一项所述的恶意账户识别方法的步骤。

百度查询： 腾讯科技(深圳)有限公司 恶意账户识别方法、装置及存储介质