异常用户识别方法、装置、电子设备及可读存储介质与流程

1.本发明涉及数据处理领域，尤其涉及一种异常用户识别方法、装置、电子设备及可读存储介质。


背景技术：

2.随着互联网技术的发展，网络黑产(例如，有套现、虚假贷款等网络非法行为的异常用户)逐渐出现，为企业带来安全隐患，如何准确识别异常用户成为当前的关注要点。
3.当前通常通过预先设置的规则识别异常用户，然而，随着网络黑产逐渐向团伙模式发展，采用规则识别方式无法准确识别出团伙中的异常用户。因此，亟需一种异常用户识别方法，以提高异常用户识别准确度。


技术实现要素：

4.鉴于以上内容，有必要提供一种异常用户识别方法，旨在提高异常用户识别准确度。
5.本发明提供的异常用户识别方法，包括：
6.获取第一时间段内登录目标应用程序的用户的第一历史操作数据，基于所述第一历史操作数据建立用户关联图；
7.对所述用户关联图进行社团划分，得到多个社团，确定所述多个社团中每个社团的风险等级；
8.接收某一指定用户对所述目标应用程序的操作请求，判断所述指定用户是否为预先确定的黑名单中的用户，当判断所述指定用户不是所述黑名单中的用户时，确定所述指定用户对应的目标社团，基于所述目标社团的风险等级确定所述指定用户对应的第一风险分值；
9.获取所述指定用户的目标操作数据，将所述目标操作数据输入风险识别模型，得到所述指定用户对应的第二风险分值；
10.基于所述第一风险分值及所述第二风险分值计算所述指定用户对应的目标风险分值，当所述目标风险分值大于第一阈值时，确定所述指定用户为异常用户，拒绝所述操作请求。
11.可选的，所述第一历史操作数据包括用户账号、设备标识、设备的gps坐标及通信基站坐标，所述基于所述第一历史操作数据建立用户关联图包括：
12.以每个所述设备标识作为一个节点，将具有连通关系的所述节点进行连接，得到用户关联图，其中，所述连通关系包括共享所述用户账号的设备之间、根据所述gps坐标得到的gps距离小于第二阈值的设备之间、以及根据所述通信基站坐标得到的通信基站距离小于第三阈值的设备之间的连接关系。
13.可选的，所述对所述用户关联图进行社团划分，包括：
14.将所述用户关联图中的每个节点作为一个社团，选择一个节点，判断与选择的节
点连通的邻居社团是否有多个；
15.若判断与所述选择的节点连通的邻居社团有多个，计算所述选择的节点加入到每个邻居社团时，每个邻居社团的紧密度变化值；
16.将所述选择的节点加入至紧密度变化值最大的邻居社团；
17.当所述用户关联图中每个节点对应的社团不再发生变化时，完成社团划分。
18.可选的，所述确定所述多个社团中每个社团的风险等级，包括：
19.基于所述第一历史操作数据计算各个社团中每个节点的第一活跃度，基于所述第一活跃度计算各个社团的第二活跃度；
20.基于每个社团中节点的数量及所述第二活跃度计算每个社团的第三风险分值，基于所述第三风险分值确定每个社团的风险等级。
21.可选的，在所述确定所述多个社团中每个社团的风险等级之后，所述方法还包括：
22.每隔第二时间段，根据风险等级与抽样比例之间的映射关系从每个社团中抽取对应抽样比例的节点放入待识别节点集中；
23.将所述待识别节点集中每个节点在所述第二时间段内的第二历史操作数据输入所述风险识别模型，得到所述待识别节点集中每个节点对应的第四风险分值；
24.将所述待识别节点集中第四风险分值大于第四阈值的节点对应的用户作为异常用户，并增加至所述黑名单中。
25.可选的，在所述将所述待识别节点集中第四风险分值大于第四阈值的节点对应的用户作为异常用户之后，所述方法还包括：
26.将所述待识别节点集中第四风险分值大于第四阈值的节点所属的社团放入待识别社团集，对所述待识别社团集中各个社团的每个节点进行风险识别，将识别得到的异常用户增加至所述黑名单中。
27.可选的，在所述确定所述多个社团中每个社团的风险等级之后，所述方法还包括：
28.每隔第三时间段，获取各个社团中每个节点的第三活跃度，将各个社团中第三活跃度小于第五阈值的节点删除，得到更新后的社团。
29.为了解决上述问题，本发明还提供一种异常用户识别装置，所述装置包括：
30.建立模块，用于获取第一时间段内登录目标应用程序的用户的第一历史操作数据，基于所述第一历史操作数据建立用户关联图；
31.划分模块，用于对所述用户关联图进行社团划分，得到多个社团，确定所述多个社团中每个社团的风险等级；
32.判断模块，用于接收某一指定用户对所述目标应用程序的操作请求，判断所述指定用户是否为预先确定的黑名单中的用户，当判断所述指定用户不是所述黑名单中的用户时，确定所述指定用户对应的目标社团，基于所述目标社团的风险等级确定所述指定用户对应的第一风险分值；
33.输入模块，用于获取所述指定用户的目标操作数据，将所述目标操作数据输入风险识别模型，得到所述指定用户对应的第二风险分值；
34.确定模块，用于基于所述第一风险分值及所述第二风险分值计算所述指定用户对应的目标风险分值，当所述目标风险分值大于第一阈值时，确定所述指定用户为异常用户，拒绝所述操作请求。
35.为了解决上述问题，本发明还提供一种电子设备，所述电子设备包括：
36.至少一个处理器；以及，
37.与所述至少一个处理器通信连接的存储器；其中，
38.所述存储器存储有可被所述至少一个处理器执行的异常用户识别程序，所述异常用户识别程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述异常用户识别方法。
39.为了解决上述问题，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有异常用户识别程序，所述异常用户识别程序可被一个或者多个处理器执行，以实现上述异常用户识别方法。
40.相较现有技术，本发明首先建立用户关联图，对用户关联图进行社团划分，得到多个社团，确定每个社团的风险等级；接着，当判断指定用户不是黑名单中的用户时，确定指定用户对应的目标社团，基于目标社团的风险等级确定第一风险分值；然后，将指定用户的目标操作数据输入风险识别模型，得到第二风险分值；最后，计算指定用户对应的目标风险分值，当目标风险分值大于第一阈值时，确定指定用户为异常用户。本发明同时考虑了指定用户所属社团的风险等级和其本身的目标操作数据，使得计算得到的目标风险分值更加准确，从而异常识别结果准确度更高。因此，本发明提高了异常用户识别准确度。
附图说明
41.图1为本发明一实施例提供的异常用户识别方法的流程示意图；
42.图2为本发明一实施例提供的异常用户识别装置的模块示意图；
43.图3为本发明一实施例提供的实现异常用户识别方法的电子设备的结构示意图；
44.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
45.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
46.需要说明的是，在本发明中涉及“第一”、“第二”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外，各个实施例之间的技术方案可以相互结合，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在，也不在本发明要求的保护范围之内。
47.本发明提供一种异常用户识别方法。参照图1所示，为本发明一实施例提供的异常用户识别方法的流程示意图。该方法可以由一个电子设备执行，该电子设备可以由软件和/或硬件实现。
48.本实施例中，异常用户识别方法包括：
49.s1、获取第一时间段内登录目标应用程序的用户的第一历史操作数据，基于所述
第一历史操作数据建立用户关联图。
50.本实施例用于识别登录目标应用程序的异常用户，所述目标应用程序可以是购物类应用程序，也可以是贷款类应用程序，所述第一时间段可以是最近三个月。
51.所述第一历史操作数据包括用户账号、设备标识、设备的gps坐标、通信基站坐标及操作类型标识，以目标应用程序为一贷款应用程序为例，所述操作类型包括登录、搜索、浏览、贷款、修改密码等类型，所述第一历史操作数据是由登录目标应用程序的设备自动上报的。
52.本实施例中，通过分析各用户的第一历史操作数据，确定各用户之间是否存在关联关系，通过关联关系建立用户关联图。
53.所述基于所述第一历史操作数据建立用户关联图包括：
54.以每个所述设备标识作为一个节点，将具有连通关系的所述节点进行连接，得到用户关联图，其中，所述连通关系包括共享所述用户账号的设备之间、根据所述gps坐标得到的gps距离小于第二阈值的设备之间、以及根据所述通信基站坐标得到的通信基站距离小于第三阈值的设备之间的连接关系。
55.例如，设备标识1、设备标识2、
……
、设备标识n分别对应节点1、节点2、
……
、节点n，若第一时间段内用户1分别在设备标识1、设备标识3登录过目标应用程序，则节点1与节点3为具有连通关系的邻居节点；若设备标识3与设备标识4的gps距离小于第三阈值(例如800米)，则节点3与节点4也是具有连通关系的邻居节点。
56.s2、对所述用户关联图进行社团划分，得到多个社团，确定所述多个社团中每个社团的风险等级。
57.本实施例通过聚类的方式对用户关联图中的节点进行社团划分，得到多个社团，通过计算每个社团的活跃度及规模度确定每个社团的风险等级。
58.所述对所述用户关联图进行社团划分，包括：
59.a11、将所述用户关联图中的每个节点作为一个社团，选择一个节点，判断与选择的节点连通的邻居社团是否有多个；
60.初始划分时，将用户关联图中的每个节点作为一个社团，后续逐一进行合并，可得到多个社团。
61.若节点1与社团2、社团3及社团4具有连通关系，则节点1的邻居社团有3个。
62.a12、若判断与所述选择的节点连通的邻居社团有多个，计算所述选择的节点加入到每个邻居社团时，每个邻居社团的紧密度变化值；
63.本实施例中，所述紧密度变化值的计算公式为：
[0064][0065]
其中，q
ij
表示用户关联图中第i个节点加入第j个邻居社团时，第j个邻居社团的紧密度变化值，k
ij
表示第j个邻居社团中与第i个节点具有连通关系的节点的数量，q
j
表示第j个邻居社团中节点的数量及与第j个邻居社团具有连通关系的节点的数量之和，k
i
表示与第i个节点具有连通关系的节点的数量，m表示用户关联图中节点的总数量。
[0066]
a13、将所述选择的节点加入至紧密度变化值最大的邻居社团；
[0067]
若节点1对应的邻居社团中，社团3的紧密度变化值最大，则将节点1加入至社团3。
[0068]
a14、当所述用户关联图中每个节点对应的社团不再发生变化时，完成社团划分。
[0069]
重复执行上述a11
‑
a13步骤，直至用户关联图中每个节点对应的社团不再发生变化，表示社团划分完成。
[0070]
在判断与选择的节点连通的邻居社团是否有多个之后，所述方法还包括：
[0071]
若判断没有与所述选择的节点连通的邻居社团，则将所述选择的节点单独作为一个社团。
[0072]
若没有与选择的节点具有连通关系的邻居社团，说明所述选择的节点为孤立节点。
[0073]
在判断与选择的节点连通的邻居社团是否有多个之后，所述方法还包括：
[0074]
若判断与所述选择的节点连通的邻居社团有一个，则将所述选择的节点加入所述邻居社团。
[0075]
若选择的节点有且仅有一个具有连通关系的邻居社团，则将所述选择的节点加入到该邻居社团。
[0076]
所述确定所述多个社团中每个社团的风险等级，包括：
[0077]
b11、基于所述第一历史操作数据计算各个社团中每个节点的第一活跃度，基于所述第一活跃度计算各个社团的第二活跃度；
[0078]
本实施例中，根据用户的登录次数确定各个社团中每个节点的第一活跃度，例如，若第一历史操作数据中设备标识1共登录目标应用程序30次，则设备标识1对应的节点的第一活跃度为30，将各个社团中节点的第一活跃度的平均值作为各个社团的第二活跃度。
[0079]
b12、基于每个社团中节点的数量及所述第二活跃度计算每个社团的第三风险分值，基于所述第三风险分值确定每个社团的风险等级。
[0080]
本实施例中，预先设置了节点数量及第二活跃度分别对应的权重，通过加权求和得到每个社团的第三风险分值，基于第三风险分值与风险等级的映射关系可确定每个社团的风险等级。
[0081]
s3、接收某一指定用户对所述目标应用程序的操作请求，判断所述指定用户是否为预先确定的黑名单中的用户，当判断所述指定用户不是所述黑名单中的用户时，确定所述指定用户对应的目标社团，基于所述目标社团的风险等级确定所述指定用户对应的第一风险分值。
[0082]
本实施例中，所述操作请求包括登录请求、修改密码请求、搜索请求等各种操作类型的请求，预设数据库中预先存储有多个应用程序对应的有异常操作行为的用户列表(即黑名单)。
[0083]
当判断指定用户不是黑名单中的用户时，确定指定用户对应的目标社团的目标风险等级，包括以下两种情况：
[0084]
1)指定用户为用户关联图中的一个节点：此时可直接获取指定用户所属社团的风险等级作为目标风险等级；
[0085]
2)指定用户为新节点：此时需根据连通关系确定指定用户对应的目标社团，若没有与指定用户具有连通关系的社团，则将指定用户作为一个新社团，新社团的风险等级为默认等级(例如，第10等级)；若有且仅有一个与指定用户具有连通关系的社团，则将该社团的风险等级作为目标风险等级；若该指定用户与多个社团具有连通关系，则将紧密度变化
值最大的社团的风险等级作为目标风险等级。
[0086]
本实施例中，预先设置了风险等级与第一风险分值的映射关系，根据该映射关系可确定指定用户对应的第一风险分值。
[0087]
在判断所述指定用户是否为预先确定的黑名单中的用户之后，所述方法还包括：
[0088]
若判断所述指定用户是所述黑名单中的用户，则拒绝所述操作请求。
[0089]
若指定用户是黑名单中的用户，可直接拒绝该指定用户的操作请求，并拦截所述指定用户及与其具有连通关系的设备标识发出的所有请求。
[0090]
s4、获取所述指定用户的目标操作数据，将所述目标操作数据输入风险识别模型，得到所述指定用户对应的第二风险分值。
[0091]
本实施例中，所述风险识别模型为神经网络模型，从指定用户的目标操作数据中获取多个特征因子对应的特征值，将特征值输入风险识别模型，得到指定用户对应的第二风险分值。
[0092]
所述特征因子包括第一预设时间段内同一设备标识所登录的用户账号的数量、第二预设时间段内同一用户账号使用过的设备标识的数量、第三预设时间段内同一设备标识或同一用户账号对应的密码错误次数、第四预设时间段内设备的gps坐标变化大于距离阈值的次数。
[0093]
s5、基于所述第一风险分值及所述第二风险分值计算所述指定用户对应的目标风险分值，当所述目标风险分值大于第一阈值时，确定所述指定用户为异常用户，拒绝所述操作请求。
[0094]
本实施例预先设置了第一风险分值及第二风险分值分别对应的权重，通过加权求和计算得到指定用户对应的目标风险分值，若目标风险分值大于第一阈值，则指定用户为异常用户，拒绝该指定用户的请求，并将其用户账号及设备标识加入黑名单。
[0095]
在所述确定所述多个社团中每个社团的风险等级之后，所述方法还包括：
[0096]
c11、每隔第二时间段，根据风险等级与抽样比例之间的映射关系从每个社团中抽取对应抽样比例的节点放入待识别节点集中；
[0097]
本实施例中，所述第二时间段可以是一天，所述风险等级与抽样比例的映射关系可以是：
[0098]
第一风险等级：15％；
[0099]
第二风险等级：12％；
[0100]
第三风险等级：8％；
[0101]
……
[0102]
其中，第一风险等级代表风险最高的等级，第一风险等级的社团是黑产社团的可能性最大，其对应的抽样比例也最高。
[0103]
c12、将所述待识别节点集中每个节点在所述第二时间段内的第二历史操作数据输入所述风险识别模型，得到所述待识别节点集中每个节点对应的第四风险分值；
[0104]
将抽取到的每个节点的第二历史操作数据输入风险识别模型，得到每个抽取到的节点的第四风险分值。
[0105]
c13、将所述待识别节点集中第四风险分值大于第四阈值的节点对应的用户作为异常用户，并增加至所述黑名单中。
[0106]
本实施例中，所述第四阈值可以与第一阈值相同，也可以不同，在此不做限制。
[0107]
通过步骤c11
‑
c13的节点抽取、风险识别处理，实现了对目标应用程序的日常监测，有效预防了异常用户的侵入。
[0108]
在所述将所述待识别节点集中第四风险分值大于第四阈值的节点对应的用户作为异常用户之后，所述方法还包括：
[0109]
将所述待识别节点集中第四风险分值大于第四阈值的节点所属的社团放入待识别社团集，对所述待识别社团集中各个社团的每个节点进行风险识别，将识别得到的异常用户增加至所述黑名单中。
[0110]
当一个社团中有一个节点对应的用户被识别为异常用户，则整个社团为黑产团伙的概率较高，此时需要对这个社团中的每个节点进行风险识别，本实施例通过风险识别模型进行风险识别。
[0111]
在所述确定所述多个社团中每个社团的风险等级之后，所述方法还包括：
[0112]
每隔第三时间段，获取各个社团中每个节点的第三活跃度，将各个社团中第三活跃度小于第五阈值的节点删除，得到更新后的社团。
[0113]
本实施例中，所述第三时间段可以是一个月，所述第五阈值可以是2，当一个节点在一个月内登录目标应用程序0次或1次时，认为该节点风险低，将该节点从对应的社团中删除，后续无需跟踪处理。
[0114]
在确定所述多个社团中每个社团的风险等级之后，所述方法还包括：
[0115]
每隔第四时间段，获取所述用户关联图中每个节点的第三历史操作数据，基于所述第三历史操作数据对所述用户关联图重新进行社团划分，得到更新后的多个社团。
[0116]
本实施例中，所述第四时间段可以是一周，根据这一周内的第三历史操作数据，可对用户关联图中的节点重新进行社团划分，得到更新后的多个社团。
[0117]
由上述实施例可知，本发明提出的异常用户识别方法，首先，建立用户关联图，对用户关联图进行社团划分，得到多个社团，确定每个社团的风险等级；接着，当判断指定用户不是黑名单中的用户时，确定指定用户对应的目标社团，基于目标社团的风险等级确定第一风险分值；然后，将指定用户的目标操作数据输入风险识别模型，得到第二风险分值；最后，计算指定用户对应的目标风险分值，当目标风险分值大于第一阈值时，确定指定用户为异常用户。本发明同时考虑了指定用户所属社团的风险等级和其本身的目标操作数据，使得计算得到的目标风险分值更加准确，从而异常识别结果准确度更高。因此，本发明提高了异常用户识别准确度。
[0118]
如图2所示，为本发明一实施例提供的异常用户识别装置的模块示意图。
[0119]
本发明所述异常用户识别装置100可以安装于电子设备中。根据实现的功能，所述异常用户识别装置100可以包括建立模块110、划分模块120、判断模块130、输入模块140及确定模块150。本发明所述模块也可以称之为单元，是指一种能够被电子设备处理器所执行，并且能够完成固定功能的一系列计算机程序段，其存储在电子设备的存储器中。
[0120]
在本实施例中，关于各模块/单元的功能如下：
[0121]
建立模块110，用于获取第一时间段内登录目标应用程序的用户的第一历史操作数据，基于所述第一历史操作数据建立用户关联图。
[0122]
所述第一历史操作数据包括用户账号、设备标识、设备的gps坐标、通信基站坐标
及操作类型标识，所述基于所述第一历史操作数据建立用户关联图包括：
[0123]
以每个所述设备标识作为一个节点，将具有连通关系的所述节点进行连接，得到用户关联图，其中，所述连通关系包括共享所述用户账号的设备之间、根据所述gps坐标得到的gps距离小于第二阈值的设备之间、以及根据所述通信基站坐标得到的通信基站距离小于第三阈值的设备之间的连接关系。
[0124]
划分模块120，用于对所述用户关联图进行社团划分，得到多个社团，确定所述多个社团中每个社团的风险等级。
[0125]
所述对所述用户关联图进行社团划分，包括：
[0126]
a21、将所述用户关联图中的每个节点作为一个社团，选择一个节点，判断与选择的节点连通的邻居社团是否有多个；
[0127]
a22、若判断与所述选择的节点连通的邻居社团有多个，计算所述选择的节点加入到每个邻居社团时，每个邻居社团的紧密度变化值；
[0128]
所述紧密度变化值的计算公式为：
[0129][0130]
其中，q
ij
表示用户关联图中第i个节点加入第j个邻居社团时，第j个邻居社团的紧密度变化值，k
ij
表示第j个邻居社团中与第i个节点具有连通关系的节点的数量，q
j
表示第j个邻居社团中节点的数量及与第j个邻居社团具有连通关系的节点的数量之和，k
i
表示与第i个节点具有连通关系的节点的数量，m表示用户关联图中节点的总数量。
[0131]
a23、将所述选择的节点加入至紧密度变化值最大的邻居社团；
[0132]
a24、当所述用户关联图中每个节点对应的社团不再发生变化时，完成社团划分。
[0133]
在判断与选择的节点连通的邻居社团是否有多个之后，所述划分模块120还用于：
[0134]
若判断没有与所述选择的节点连通的邻居社团，则将所述选择的节点单独作为一个社团。
[0135]
在判断与选择的节点连通的邻居社团是否有多个之后，所述划分模块120还用于：
[0136]
若判断与所述选择的节点连通的邻居社团有一个，则将所述选择的节点加入所述邻居社团。
[0137]
所述确定所述多个社团中每个社团的风险等级，包括：
[0138]
b21、基于所述第一历史操作数据计算各个社团中每个节点的第一活跃度，基于所述第一活跃度计算各个社团的第二活跃度；
[0139]
b22、基于每个社团中节点的数量及所述第二活跃度计算每个社团的第三风险分值，基于所述第三风险分值确定每个社团的风险等级。
[0140]
判断模块130，用于接收某一指定用户对所述目标应用程序的操作请求，判断所述指定用户是否为预先确定的黑名单中的用户，当判断所述指定用户不是所述黑名单中的用户时，确定所述指定用户对应的目标社团，基于所述目标社团的风险等级确定所述指定用户对应的第一风险分值。
[0141]
在判断所述指定用户是否为预先确定的黑名单中的用户之后，所述判断模块130还用于：
[0142]
若判断所述指定用户是所述黑名单中的用户，则拒绝所述操作请求。
[0143]
输入模块140，用于获取所述指定用户的目标操作数据，将所述目标操作数据输入风险识别模型，得到所述指定用户对应的第二风险分值。
[0144]
确定模块150，用于基于所述第一风险分值及所述第二风险分值计算所述指定用户对应的目标风险分值，当所述目标风险分值大于第一阈值时，确定所述指定用户为异常用户，拒绝所述操作请求。
[0145]
在所述确定所述多个社团中每个社团的风险等级之后，所述划分模块120还用于：
[0146]
c21、每隔第二时间段，根据风险等级与抽样比例之间的映射关系从每个社团中抽取对应抽样比例的节点放入待识别节点集中；
[0147]
c22、将所述待识别节点集中每个节点在所述第二时间段内的第二历史操作数据输入所述风险识别模型，得到所述待识别节点集中每个节点对应的第四风险分值；
[0148]
c23、将所述待识别节点集中第四风险分值大于第四阈值的节点对应的用户作为异常用户，并增加至所述黑名单中。
[0149]
在所述将所述待识别节点集中第四风险分值大于第四阈值的节点对应的用户作为异常用户之后，所述划分模块120还用于：
[0150]
将所述待识别节点集中第四风险分值大于第四阈值的节点所属的社团放入待识别社团集，对所述待识别社团集中各个社团的每个节点进行风险识别，将识别得到的异常用户增加至所述黑名单中。
[0151]
在所述确定所述多个社团中每个社团的风险等级之后，所述划分模块120还用于：
[0152]
每隔第三时间段，获取各个社团中每个节点的第三活跃度，将各个社团中第三活跃度小于第五阈值的节点删除，得到更新后的社团。
[0153]
在确定所述多个社团中每个社团的风险等级之后，所述划分模块120还用于：
[0154]
每隔第四时间段，获取所述用户关联图中每个节点的第三历史操作数据，基于所述第三历史操作数据对所述用户关联图重新进行社团划分，得到更新后的多个社团。
[0155]
如图3所示，为本发明一实施例提供的实现异常用户识别方法的电子设备的结构示意图。
[0156]
所述电子设备1是一种能够按照事先设定或者存储的指令，自动进行数值计算和/或信息处理的设备。所述电子设备1可以是计算机、也可以是单个网络服务器、多个网络服务器组成的服务器组或者基于云计算的由大量主机或者网络服务器构成的云，其中云计算是分布式计算的一种，由一群松散耦合的计算机集组成的一个超级虚拟计算机。
[0157]
在本实施例中，电子设备1包括，但不仅限于，可通过系统总线相互通信连接的存储器11、处理器12、网络接口13，该存储器11中存储有异常用户识别程序10，所述异常用户识别程序10可被所述处理器12执行。图3仅示出了具有组件11
‑
13以及异常用户识别程序10的电子设备1，本领域技术人员可以理解的是，图3示出的结构并不构成对电子设备1的限定，可以包括比图示更少或者更多的部件，或者组合某些部件，或者不同的部件布置。
[0158]
其中，存储器11包括内存及至少一种类型的可读存储介质。内存为电子设备1的运行提供缓存；可读存储介质可为如闪存、硬盘、多媒体卡、卡型存储器(例如，sd或dx存储器等)、随机访问存储器(ram)、静态随机访问存储器(sram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、可编程只读存储器(prom)、磁性存储器、磁盘、光盘等的非易失性存储介质。在一些实施例中，可读存储介质可以是电子设备1的内部存储单元，例如该电子
设备1的硬盘；在另一些实施例中，该非易失性存储介质也可以是电子设备1的外部存储设备，例如电子设备1上配备的插接式硬盘，智能存储卡(smart media card,smc)，安全数字(secure digital,sd)卡，闪存卡(flash card)等。本实施例中，存储器11的可读存储介质通常用于存储安装于电子设备1的操作系统和各类应用软件，例如存储本发明一实施例中的异常用户识别程序10的代码等。此外，存储器11还可以用于暂时地存储已经输出或者将要输出的各类数据。
[0159]
处理器12在一些实施例中可以是中央处理器(central processing unit，cpu)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器12通常用于控制所述电子设备1的总体操作，例如执行与其他设备进行数据交互或者通信相关的控制和处理等。本实施例中，所述处理器12用于运行所述存储器11中存储的程序代码或者处理数据，例如运行异常用户识别程序10等。
[0160]
网络接口13可包括无线网络接口或有线网络接口，该网络接口13用于在所述电子设备1与客户端(图中未画出)之间建立通信连接。
[0161]
可选的，所述电子设备1还可以包括用户接口，用户接口可以包括显示器(display)、输入单元比如键盘(keyboard)，可选的用户接口还可以包括标准的有线接口、无线接口。可选的，在一些实施例中，显示器可以是led显示器、液晶显示器、触控式液晶显示器以及oled(organic light
‑
emitting diode，有机发光二极管)触摸器等。其中，显示器也可以适当的称为显示屏或显示单元，用于显示在电子设备1中处理的信息以及用于显示可视化的用户界面。
[0162]
应该了解，所述实施例仅为说明之用，在专利申请范围上并不受此结构的限制。
[0163]
所述电子设备1中的所述存储器11存储的异常用户识别程序10是多个指令的组合，在所述处理器12中运行时，可以实现上述异常用户识别方法。
[0164]
具体地，所述处理器12对上述异常用户识别程序10的具体实现方法可参考图1对应实施例中相关步骤的描述，在此不赘述。
[0165]
进一步地，所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。所述计算机可读介质可以是非易失性的，也可以是非易失性的。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read
‑
only memory)。
[0166]
所述计算机可读存储介质上存储有异常用户识别程序10，所述异常用户识别程序10可被一个或者多个处理器执行，以实现上述异常用户识别方法。
[0167]
在本发明所提供的几个实施例中，应该理解到，所揭露的设备，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。
[0168]
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
[0169]
另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以
是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。
[0170]
对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。
[0171]
因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
[0172]
本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(blockchain)，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
[0173]
此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称，而并不表示任何特定的顺序。
[0174]
最后应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或等同替换，而不脱离本发明技术方案的精神和范围。