账号分类方法、装置、设备及存储介质与流程

1.本技术涉及计算机技术领域，特别涉及一种账号分类方法、装置、设备及存储介质。


背景技术：

2.随着计算机技术的快速发展和互联网的广泛普及，互联网的用户规模也越来越大。但是互联网中除了正常用户之外，还出现了很多异常用户，这些异常用户可能会通过互联网传播虚假信息，严重影响了网络环境，因此，如何区分正常用户和异常用户成为亟需解决的问题。
3.相关技术中，通过预先设置多种违规操作，检测到用户是否执行了违规操作来判定该用户是否为异常用户。但是通过该方法进行判定经常出现误判的问题，不能较好地区分正常用户和异常用户。


技术实现要素：

4.本技术实施例提供了一种账号分类方法、装置、设备及存储介质，能够提高账号分类的准确率。所述技术方案如下：
5.一方面，提供了一种账号分类方法，所述方法包括：
6.基于与多个第一账号对应的系统硬件日志和业务内容日志，获取与所述多个第一账号对应的用户特征，所述用户特征用于表示账号在所登录设备上所发生的行为以及对应的业务内容；
7.基于与所述多个第一账号对应的系统硬件日志，获取与多个设备标识对应的设备特征，所述多个设备标识为与所述多个第一账号对应的系统硬件日志中的设备标识，所述设备特征用于表示设备上所发生的行为；
8.基于与所述多个第一账号对应的用户特征、与所述多个设备标识对应的设备特征，生成图结构，所述图结构中的一个节点对应一个账号或一个设备，两个节点之间的边用于表示所述两个节点所对应的账号和设备对应于同一日志；
9.基于所述图结构进行分类，得到与所述多个第一账号对应的所属类别。
10.在一种可能实现方式中，调用所述至少一个邻居聚合层，对所述图结构中的各个节点进行聚合处理，得到处理后的图结构，包括：
11.调用任一邻居聚合层，对输入的图结构中的各个节点进行聚合处理，得到处理后的图结构，将所述处理后的图结构输入至下一层。
12.另一方面，提供了一种账号分类装置，所述装置包括：
13.第一获取模块，用于基于与多个第一账号对应的系统硬件日志和业务内容日志，获取与所述多个第一账号对应的用户特征，所述用户特征用于表示账号在所登录设备上所发生的行为以及对应的业务内容；
14.第二获取模块，用于基于与所述多个第一账号对应的系统硬件日志，获取与多个
设备标识对应的设备特征，所述多个设备标识为与所述多个第一账号对应的系统硬件日志中的设备标识，所述设备特征用于表示设备上所发生的行为；
15.生成模块，用于基于与所述多个第一账号对应的用户特征、与所述多个设备标识对应的设备特征，生成图结构，所述图结构中的一个节点对应一个账号或一个设备，两个节点之间的边用于表示所述两个节点所对应的账号和设备对应于同一日志；
16.分类模块，用于基于所述图结构进行分类，得到与所述多个第一账号对应的所属类别。
17.在一种可能实现方式中，所述生成模块，包括：
18.节点生成单元，用于基于所述多个第一账号和所述多个设备标识，生成所述图结构中的节点；
19.边添加单元，用于基于所述系统硬件日志所指示的账号和设备之间的关系，在所述图结构中的节点之间添加边；
20.关联单元，用于将与所述多个第一账号对应的用户特征关联至所述图结构中的对应节点；
21.所述关联单元，还用于将与所述多个设备标识对应的设备特征关联至所述图结构中对应的节点。
22.在一种可能实现方式中，所述第一获取模块，包括：
23.第一特征获取单元，用于基于与所述多个第一账号对应的系统硬件日志，获取与所述多个第一账号对应的设备行为特征，所述设备行为特征用于表示账号在所登录设备上发生的行为；
24.第二特征获取单元，用于基于与所述多个第一账号对应的业务内容日志，获取与所述多个第一账号对应的业务内容特征，所述业务内容特征用于表示账号所执行的业务内容；
25.拼接单元，用于将与所述多个第一账号对应的设备行为特征和业务内容特征进行拼接，得到所述多个第一账号的用户特征。
26.在一种可能实现方式中，所述第一特征获取单元，用于从任一第一账号的系统硬件日志中，获取包含同一设备标识的目标系统硬件日志；调用记忆模型对所述目标系统硬件日志进行特征提取，得到所述任一第一账号在设备上的行为特征；将所述任一第一账号在多个设备上的行为特征进行融合，得到所述任一第一账号的设备行为特征。
27.在一种可能实现方式中，所述分类模块，用于调用第一账号分类模型，对所述图结构进行分类，得到与所述多个第一账号对应的所属类别。
28.在一种可能实现方式中，所述第一账号分类模型包括至少一个邻居聚合层和预测层，所述分类模块，包括：
29.聚合单元，用于调用所述至少一个邻居聚合层，对所述图结构中的各个节点进行聚合处理，得到处理后的图结构；
30.预测单元，用于调用所述预测层，对所述处理后的图结构进行分类，得到与所述多个第一账号对应的所属类别。
31.在一种可能实现方式中，所述聚合单元，用于调用任一邻居聚合层，对输入的图结构中的各个节点进行聚合处理，得到处理后的图结构，将所述处理后的图结构输入至下一
层。
32.在一种可能实现方式中，所述第一账号分类模型包括至少一个第一邻居聚合层和至少一个第二邻居聚合层，所述装置还包括：
33.样本获取模块，用于获取样本数据，所述样本数据包括与多个第二账号对应的系统硬件日志、业务内容日志、第一样本类别以及第二样本类别，所述第一样本类别通过对与所述多个第二账号对应的系统硬件日志进行分类得到，所述第一样本类别包括异常账号或正常账号，所述第二样本类别通过对所述多个第二账号对应的业务内容日志进行分类得到，所述第二样本类别包括正常账号或者可疑账号；
34.所述分类模块，用于基于所述样本数据，通过所述第一账号分类模型进行分类，得到与所述多个第二账号对应的预测类别；
35.第一训练模块，用于根据与所述多个第二账号对应的预测类别和第二样本类别，训练所述至少一个第一邻居聚合层；
36.第二训练模块，用于根据与所述多个第二账号对应的预测类别和第一样本类别，训练所述至少一个第二邻居聚合层和预测层。
37.另一方面，提供了一种计算机设备，所述计算机设备包括处理器和存储器，所述存储器中存储有至少一条程序代码，所述至少一条程序代码由所述处理器加载并执行上述方面所述的账号分类方法中所执行的操作。
38.另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一条程序代码，所述至少一条程序代码由处理器加载并执行以实现如上述方面所述的账号分类方法中所执行的操作。
39.再一方面，提供了一种计算机程序产品或计算机程序，所述计算机程序产品或计算机程序包括计算机程序代码，所述计算机程序代码存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机程序代码，处理器执行该计算机程序代码，使得该计算机设备实现如上述方面所述的账号分类方法中所执行的操作。
40.本技术实施例提供的技术方案带来的有益效果至少包括：
41.本技术实施例提供的账号分类方法、装置、设备及存储介质，通过从系统硬件日志和业务内容日志中，提取与多个账号对应的用户特征，使得该用户特征既能表示账号在所登录设备上所发生的行为，也能够表示账号所执行的业务内容，丰富了用户特征所涵盖的信息，并基于用户特征和设备特征生成图结构，进而丰富了图结构中的信息，在基于图结构进行分类时，能够结合用户在终端设备上所发生的行为以及对应的业务内容，从多个方面进行分类，得到的所属类别更加准确。
附图说明
42.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
43.图1是本技术实施例提供的一种实施环境的示意图；
44.图2是本技术实施例提供的一种账号分类方法的流程图；
45.图3是本技术实施例提供的一种账号分类方法的流程图；
46.图4是本技术实施例提供的一种记忆模型进行特征提取的流程图；
47.图5是本技术实施例提供的一种图结构的结构示意图；
48.图6是本技术实施例提供的一种第一账号分类模型训练方法的流程图；
49.图7是本技术实施例提供的一种第一账号分类模型训练方法的流程图；
50.图8是本技术实施例提供的一种账号分类装置的结构示意图；
51.图9是本技术实施例提供的另一种账号分类装置的结构示意图；
52.图10是本技术实施例提供的一种终端的结构框图；
53.图11是本技术实施例提供的一种服务器的结构示意图。
具体实施方式
54.为使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术实施方式作进一步地详细描述。
55.可以理解，本技术所使用的术语“第一”、“第二”等可在本文中用于描述各种概念，但除非特别说明，这些概念不受这些术语限制。这些术语仅用于将一个概念与另一个概念区分。举例来说，在不脱离本技术的范围的情况下，能够将第一账号称为第二账号，且类似地，可将第二账号称为第一账号。
56.本技术所使用的术语“至少一个”、“多个”、“每个”、“任一”，至少一个包括一个、两个或者两个以上，多个包括两个或者两个以上，而每个是指对应的多个中的每一个，任一是指多个中的任意一个，举例来说，多个账号包括3个账号，而每个是指这3个账号中的每一个账号，任一是指这3个账号中的任意一个，为第一个，或者为第二个，或者为第三个。
57.随着人工智能技术研究和进步，人工智能技术在多个领域展开研究和应用，例如智能家居、智能穿戴设备、虚拟助理、智能音箱、智能营销、无人驾驶、自动驾驶、无人机、机器人、智能医疗、智能客服等，相信随着技术的发展，人工智能技术将在更多的领域得到应用，并发挥越来越重要的价值。
58.其中，人工智能(artificial intelligence,ai)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能，感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。换句话说，人工智能是计算机科学的一个综合技术，它企图了解智能的实质，并生产出一种新的能以人类智能相似的方式做出反应的智能机器。人工智能也就是研究各种智能机器的设计原理与实现方法，使机器具有感知、推理与决策的功能。
59.人工智能技术是一门综合学科，涉及领域广泛，既有硬件层面的技术也有软件层面的技术。人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
60.自然语言处理(nature language processing,nlp)是计算机科学领域与人工智能领域中的一个重要方向。它研究能实现人与计算机之间用自然语言进行有效通信的各种理论和方法。自然语言处理是一门融语言学、计算机科学、数学于一体的科学。因此，这一领域的研究将涉及自然语言，即人们日常使用的语言，所以它与语言学的研究有着密切的联系。自然语言处理技术通常包括文本处理、语义理解、机器翻译、机器人问答、知识图谱等技
术。
61.本技术实施例提供的方案涉及人工智能的自然语言处理技术，来对系统硬件日志和业务内容日志进行处理，通过如下实施例对本技术的账号分类方法进行详细说明：
62.本技术实施例提供的账号分类方法应用于计算机设备，在一种可能实现方式中，该计算机设备为智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等终端设备；在另一种可能实现方式中，该计算机设备为服务器，例如，服务器是独立的物理服务器；或者，服务器是多个物理服务器构成的服务器集群或者分布式系统；或者，服务器是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、cdn(content delivery network，内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。
63.在另一种可能实现方式中，该计算机设备包括终端和服务器。图1是本技术实施例提供的一种实施环境的示意图，参见图1，该实施环境包括：多个终端101和服务器102，多个终端101与服务器102分别能够通过有线或无线通信方式进行直接或间接地连接，本技术在此不做限制。
64.可选地，终端101安装有任一应用客户端，该应用客户端为即时通信客户端，或者为信息分享客户端，或者为购物客户端等，本技术实施例对应用客户端的类型不做限定。该服务器102为用于为任一应用客户端提供服务的服务器。用户在终端101上基于账号登录该任一应用客户端，在该任一应用客户端中执行业务，终端101根据用户的行为生成与该账号对应的系统硬件日志和业务内容日志，将该系统硬件日志和业务内容日志上传至服务器102中，服务器102根据多个终端101上传的多个账号的系统硬件日志和业务内容日志进行分类处理，得到每个账号的所属类别。
65.本技术实施例提供的方法，能够应用于对账号进行分类的场景中。
66.例如，在异常账号识别场景下，管理员想要区分多个账号分别为正常账号还是异常账号，采用本技术实施例所提供的账号分类方法，可以基于与多个账号对应的系统硬件日志和业务内容日志，得到与多个账号对应的所属类别，该所属类别包括正常账号或者异常账号。
67.由于本技术实施例所提供的账号分类方法，是基于账号的系统硬件日志和业务内容日志进行分类处理的，考虑了账号的硬件层面信息和业务层面信息，考虑的信息更加全面，因此，得到的结果也更加准确。
68.本技术实施例提供的方法还可以应用于其他任一对账号进行分类的场景，本技术实施例在此不做限定。
69.图2是本技术实施例提供的一种账号分类方法的流程图，本技术实施例以执行主体是服务器为例进行说明，参见图2，该方法包括：
70.201、基于与多个第一账号对应的系统硬件日志和业务内容日志，获取与多个第一账号对应的用户特征。
71.其中，系统硬件日志用于记录账号所登录设备的设备信息，业务内容日志用于记录账号所执行的业务内容，也即是，系统硬件日志用于记录硬件层面的信息，业务内容日志用于记录业务内容层面的信息。
72.与多个第一账号对应的系统硬件日志和业务内容日志是指：与多个第一账号对应
的系统硬件日志以及与多个第一账号对应的业务内容日志。
73.与多个第一账号对应的系统硬件日志是指：多个第一账号中每个第一账号的系统硬件日志，与多个第一账号对应的业务内容日志是指：多个第一账号中每个第一账号的业务内容日志。
74.用户特征用于表示账号在所登录设备上所发生的行为以及对应的业务内容，也即是该用户特征即能表示硬件层面的特征，也能够表示业务内容层面的特征。
75.202、基于与该多个第一账号对应的系统硬件日志，获取与多个设备标识对应的设备特征，该多个设备标识为与多个第一账号对应的系统硬件日志中的设备标识。
76.其中，设备特征用于表示设备上所发生的行为。
77.203、基于与该多个第一账号对应的用户特征、与该多个设备标识对应的设备特征，生成图结构，该图结构中的一个节点对应一个账号或一个设备，两个节点之间的边用于表示该两个节点所对应的账号和设备对应于同一个日志。
78.其中，基于与多个第一账号对应的用户特征、该多个设备标识的设备特征，生成图结构，即是生成每个第一账号和设备标识对应的节点，若两个节点所对应的账号和设备对应于同一个日志，则将两个节点连接，之后，将多个第一账号的用户特征和多个设备标识的设备特征添加至对应的节点中，以使该图结构包括更加全面的信息。
79.204、基于图结构进行分类，得到与多个第一账号对应的所属类别。
80.其中，与多个第一账号对应的所属类别包括正常账号、异常账号或者可疑账号等，本技术实施例对此不做限定。
81.本技术实施例提供的账号分类方法，通过从系统硬件日志和业务内容日志中，提取与多个账号对应的用户特征，使得该用户特征既能表示账号在所登录设备上所发生的行为，也能够表示账号所执行的业务内容，丰富了用户特征所涵盖的信息，并基于用户特征和设备特征生成图结构，进而丰富了图结构中的信息，在基于图结构进行分类时，能够结合用户在终端设备上所发生的行为以及对应的业务内容，从多个方面进行分类，得到的所属类别更加准确。
82.图3是本技术实施例提供的一种账号分类方法的流程图，本技术实施例以执行主体是服务器为例进行说明，参见图3，该方法包括：
83.301、获取与多个第一账号对应的系统硬件日志和业务内容日志。
84.其中，终端安装有应用客户端，用户能够基于账号登录该应用客户端，在该应用客户端中执行业务，以生成该账号的系统硬件日志和业务内容日志。
85.账号为某一在应用客户端中注册的账号，该账号用于确定唯一对应的用户，能够代表该用户的身份，可选地，该账号为用户昵称，或者为用户身份证号，或者为用户手机号等。
86.其中，该系统硬件日志用于记录账号所登录设备的设备信息，例如，用户基于账号a登录终端b时，终端b生成对应的系统硬件日志为：(账号：a，时间：2020年8月1日12:00，ip地址：125.11.250.250，业务：登录)，其中，ip地址：125.11.250.250为终端b的ip地址。
87.第一账号的系统硬件日志中包括根据第一账号所执行业务而记录下的多条日志，可选地，系统硬件日志中包括账号和设备标识，该账号用于确定唯一对应的用户，例如，该账号为qimei(一种移动用户标识码)。设备标识为用于确定唯一对应的设备，例如，该设备
标识为ip(internet protocol，国际协议)地址，或者mac(media access control，媒体访问控制)地址，或者imsi(international mobile subscriber identification number，国际移动用户识别码)，或者imei(international mobile equipment identity，国际移动设备标识)等。
88.其中，该业务内容日志用于记录账号所执行业务的业务内容。例如，用户基于账号a在终端b上执行评论业务，评论内容为“这条裙子真好看”，终端b生成对应的业务内容日志为：(账号：a，时间：2020年8月1日13:00，业务：评论，业务内容：这条裙子真好看)；可选地，终端b还能够根据该评论业务生成系统硬件日志，该系统硬件日志为：(账号：a，时间：2020年8月1日13:00，ip地址：125.11.250.250，业务：评论)，也即是，终端能够根据用户的一个操作生成对应的系统硬件日志和业务内容日志。
89.第一账号的业务内容日志中包括根据第一账号所执行业务而记录下的多条日志。可选地，业务内容日志包括业务类型以及业务内容，其中，业务类型为登录，或者点赞，或者评论，或者观看等任一种能够在终端上执行的业务，业务内容包括点赞的对象，或者评论的对象，或者发表的评论信息，或者所观看视频的视频标识，或者观看视频的时长等。
90.可选地，系统硬件日志和业务内容日志为终端根据用户的业务操作生成的，终端每隔一定时长会将该时间段内生成的系统硬件日志和业务内容日志上传至服务器中，或者，终端每生成一定数量的系统硬件日志或者业务内容日志后，将生成的该系统硬件日志和业务内容日志上传至服务器中。
91.可选地，系统硬件日志和业务内容日志为服务器生成的，用户在终端上执行业务时，会向服务器发送业务请求，该业务请求携带账号、设备标识和业务类型，服务器根据该业务请求，生成对应的系统硬件日志和业务内容日志，其中，系统硬件日志包括账号、设备标识和业务类型；业务内容日志包括业务类型和业务内容。例如，用户在终端上登录应用客户端，终端向服务器发送登录请求，该登录请求携带终端的设备标识和账号，服务器接收该登录请求后，根据该登录请求，生成系统硬件日志和业务内容日志，其中，系统硬件日志中包括登录、账号和设备标识；业务内容日志中包括登录和登录时长。
92.可选地，在终端或者服务器生成日志时，是按照日志对应的格式生成的，例如，系统硬件日志的格式为：用户 时间 设备标识 业务类型；业务内容日志的格式为：用户 时间 业务类型 业务内容。但是在一些情况下，生成的日志并未完全符合日志的格式，例如，系统硬件日志中不包括用户、时间、设备标识或者业务类型中的至少一项，由于无法从信息不完整的日志中较好提取用户特征，可选地，获取与多个第一账号对应的系统硬件日志和业务内容日志，包括：按照日志对应的格式，对与多个第一账号对应的原始系统硬件日志和原始业务内容日志进行筛选，得到多个第一账号的系统硬件日志和业务内容日志。
93.其中，按照日志对应的格式，对与多个第一账号对应的原始系统硬件日志和原始业务内容日志进行筛选是指：按照日志对应的格式，将原始系统硬件日志和业务内容日志中不完整的日志筛选出去，完成数据清洗。
94.由于用户可能每天都在终端上执行多次业务，因此，根据用户所执行业务所生成的日志也较多，鉴于与当前时间距离较长的日志对分类的帮助较小，在一种可能实现方式中，获取与多个第一账号对应的系统硬件日志和业务内容日志，包括：获取目标时间段内生成的、与多个第一账号对应的系统硬件日志和业务内容日志。
95.可选地，目标时间段为距离当前时间预设时长的时间段，通过获取目标时间段内的日志，在保证分类结果准确的基础上，减少了需要处理的日志的数量，也即是减少了数据处理量，提高了分类效率。
96.其中，系统硬件日志和业务内容日志中包括时间，该时间表示用户执行业务的时间，若系统硬件日志中包括的时间属于目标时间段，则保留该系统硬件日志，若系统硬件日志中包括的时间不属于目标时间段，则丢弃该系统硬件日志；若业务内容日志中包括的时间属于目标时间段，则保留该业务内容日志，若业务内容日志中包括的时间不属于目标时间段，则丢弃该业务内容日志。
97.302、基于与该多个第一账号对应的系统硬件日志，获取与该多个第一账号对应的设备行为特征。
98.其中，设备行为特征用于表示账号在所登录设备上发生的行为。如果存在一些用户组织在应用客户端中存在异常操作，通常情况下，该组织中会由组织领导者带领组织成员执行异常操作，这样会导致组织成员执行的操作一致，例如，组织领导者在2020年7月1日15：33发出任务，在应用客户端提供的某一视频中进行评论，以提高该视频的人气，多个组织成员会在2020年7月1日15：35前后执行在该视频中评论的业务；组织领导者在2020年7月1日15：43发出任务，观看应用客户端提供的另一视频，以提高该视频的人气，多个组织成员会在2020年7月1日15：45前后执行观看该视频的任务。
99.由此可知，多个组织成员在各自所登录设备上发生的行为几乎一致，通过获取用户的设备行为特征，后续能够根据相同的设备行为特征，发掘出执行异常操作的用户组织。
100.可选地，由于第一账号的系统硬件日志中包括至少一种类型的设备标识，设备行为特征用于表示账号在所登录的至少一种类型的设备上发生的行为。可选地，设备行为特征采用向量的方式表示。
101.由于账号在所登录设备上发生的行为是按照时间顺序发生的，可选地，在获取设备行为特征时，采用记忆模型对按照时间顺序排列的系统硬件日志进行处理，以得到账号在所登录设备上按照时序发生的行为。
102.在一种可能实现方式中，基于与该多个第一账号对应的系统硬件日志，获取与多个第一账号对应的设备行为特征，包括以下步骤(a)至步骤(c)。
103.(a)从任一第一账号的系统硬件日志中，获取包含同一设备标识的目标系统硬件日志。
104.(b)调用记忆模型对该目标系统硬件日志进行特征提取，得到该任一第一账号在设备上的行为特征。
105.其中，记忆模型为在提取行为特征时，能够提取到时序特征的模型，例如，rnn(recurrent neural network,循环神经网络)模型，或者为lstm(long short-term memory networks，长短期记忆网络)模型，或者为gru rnn(gated recurrent units recurrent neural network，门控循环神经网络)模型、cw rnn(clockwork recurrent neural network，递归神经网络)模型等。
106.由于记忆模型在提取行为特征时，能够提取到时序特征，可选地，在调用记忆模型对目标系统硬件日志进行特征提取时，先将目标系统硬件日志按照时间顺序排列。
107.例如，设备类型为ip地址，某用户a在2019年11月15日当天登录的ip地址日志有以
下三条：
108.(1)用户：a，时间：2019年10月15日12:00，ip地址：125.11.250.250
109.(2)用户：a，时间：2019年10月15日13:00，ip地址：10.11.250.51
110.(3)用户：a，时间：2019年10月15日15:00，ip地址：115.11.25.25
111.则该用户a的ip行为序列为：(用户：a，ip行为序列：125.11.250.250,10.11.250.51,115.11.25.25)，调用记忆模型对该用户a的ip行为序列进行特征提取，以得到该用户a的ip行为特征。
112.可选地，调用记忆模型对该目标系统硬件日志进行特征提取，得到该任一第一账号在设备上的行为特征，包括：将目标系统硬件日志输入至该记忆模型中，该目标系统硬件日志包括t条按照时间顺序排列的日志，其中，t为大于等于1的任一整数；调用该记忆模型，依次对该目标系统硬件日志中的每条日志执行以下操作：根据该记忆模型上一时刻输出的第一特征h
t-1
，以及当前处理输入的日志x
t
确定遗忘门f
t
、输入门i
t
、输出门o
t
以及记忆单元的候选状态根据该第一特征、该遗忘门f
t
、该输入门i
t
和该候选状态更新该记忆单元的状态c
t
，根据该记忆单元更新后的状态和该输出门o
t
，确定该日志对应的特征h
t
；将该记忆模型输出的最后一个特征，作为该任一第一用户在该设备上的行为特征。
113.其中，遗忘门f
t
用于确定上一时刻记忆单元的单元状态c
t-1
有多少保留到当前时刻记忆单元的单元状态c
t
；输入门i
t
用于确定当前时刻网络的输入的日志的特征有多少保存到记忆单元的单元状态c
t
；输出门用于确定记忆单元的单元状态c
t
有多少输出到特征h
t
中。通过该记忆模型，可以根据用户的行为序列建立较长的时序依赖关系，最终输出的特征即为表达时序行为的行为特征。
114.可选地，如图4所示，记忆模型中包括循环单元401，该循环单元401用于根据该记忆模型上一时刻输出的第一特征h
t-1
，以及当前处理输入的日志x
t
确定遗忘门f
t
、输入门i
t
、输出门o
t
以及记忆单元的候选状态根据该第一特征、该遗忘门f
t
、该输入门i
t
和该候选状态更新该记忆单元的状态c
t
，根据该记忆单元更新后的状态和该输出门o
t
，确定该日志对应的特征h
t
。
115.其中，f
t
＝σ(wf·
[h
t-1
，x
t
] bf)；
[0116]it
＝σ(wi·
[h
t-1
，x
t
] bi)；
[0117]ot
＝σ(wo·
[h
t-1
，x
t
] bo)；
[0118][0119]
wf是遗忘门f
t
的权重矩阵，bf是遗忘门f
t
的偏置项，wi是输入门i
t
的权重矩阵，bi是输入门i
t
的偏置项，wo是输出门o
t
的权重矩阵，bo是输出门o
t
的偏置项，[h
t-1
，x
t
]表示将特征h
t-1
和特征x
t
连接，σ是sigmoid(激活)函数，wc是候选状态的权重矩阵，bc是候选状态的偏置项，tanh是一种激活函数。
[0120]
(c)将该任一第一账号在多个设备上的行为特征进行融合，得到该任一第一账号的设备行为特征。
[0121]
可选地，将该任一第一账号在多个设备上的行为特征进行融合，得到该任一第一账号的设备行为特征，包括：将该任一第一账号在多个设备上的行为特征进行叠加，得到该任一第一账号的设备行为特征；或者，对任一第一账号在多个设备上的行为特征进行特征
提取，得到该任一第一账号的设备行为特征。
[0122]
303、基于与该多个第一账号对应的业务内容日志，获取与该多个第一账号对应的业务内容特征。
[0123]
其中，该业务内容特征用于表示账号执行业务的业务内容，可选地，该业务内容特征采用向量的方式来表示。根据该业务内容日志中的业务内容能够得知账号是否存在异常行为，因此，根据业务内容日志获取的业务内容特征也能够表示账号是否存在异常行为。
[0124]
例如，第一账号的业务内容日志中包括第一账号所观看的多个视频的播放时长，该播放时长为每个视频各自的播放时长，如果存在大量视频的播放时长均小于预设阈值，则表示该第一账号存在刷视频的嫌疑。
[0125]
其中，任一第一账号的业务内容日志可能包括多条日志，可选地，基于与该多个第一账号对应的业务内容日志，获取与多个第一账号对应的业务内容特征，包括：对于任一第一账号，对该任一第一账号的多条业务内容日志进行特征提取，得到该多条业务内容日志对应的业务内容特征，将该多条业务内容日志对应的业务内容特征进行融合，得到该任一第一账号的业务内容特征。通过对多个第一账号执行上述获取业务内容特征的操作，得到与多个第一账号对应的业务内容特征。
[0126]
或者，基于与该多个第一账号对应的业务内容日志，获取与多个第一账号对应的业务内容特征，包括：对于任一第一账号，对该任一第一账号的多条业务内容日志进行聚合处理，得到目标业务内容，对该目标业务内容进行特征，得到该任一第一账号的业务内容特征。通过先对业务内容日志进行聚合处理，减少了特征处理步骤的处理量，提高了处理速度。
[0127]
其中，对任一第一账号的多条业务内容日志进行聚合处理，得到目标业务内容，包括：选取包括同一业务类型的目标业务日志，将该目标业务日志中的至少一条日志进行聚合处理，得到第一业务内容，通过将多种业务类型对应的第一业务内容进行融合处理，得到目标业务内容。
[0128]
例如，用户a播放视频的日志有5条，该5条业务内容日志分别为：
[0129]
(1)用户a；2020年1月8日11:00；观看视频；视频标识a；播放时长6分钟；视频a总时长6分钟；
[0130]
(2)用户a；2020年1月8日11:06；观看视频；视频标识b；播放时长3分钟；视频b总时长8分钟；
[0131]
(3)用户a；2020年1月8日11:09；观看视频；视频标识c；播放时长3分钟；视频c总时长3分钟；
[0132]
(4)用户a；2020年1月8日11:12；观看视频；视频标识d；播放时长10秒；视频d总时长5分钟；
[0133]
(5)用户a；2020年1月8日11:12；观看视频；视频标识e；播放时长6分钟；视频b总时长6分钟。
[0134]
对上述5条业务内容日志进行聚合处理能够得到用户a在2020年1月8日11:00至2020年1月8日11:18的时间段内，观看了5条视频，5条视频分别为视频a、视频b、视频c、视频d和视频e，5条视频的平均播放时长为3分钟38秒。
[0135]
可选地，目标业务内容包括多媒体数据播放时长，或者评论数量，或者评论内容
等，本技术实施例对目标业务内容不做限定。
[0136]
304、将与该多个第一账号对应的设备行为特征和业务内容特征进行拼接，得到与该多个第一账号对应的用户特征。
[0137]
其中，用户特征用于表示账号在所登录设备上所发生的行为以及对应的业务内容。
[0138]
例如，第一账号的设备行为特征为(1，2，5，0，4)，第一账号的业务内容特征为(3，7，6，1，0)，对该设备行为特征和业务内容特征进行拼接，得到的用户特征为(1，2，5，0，4，3，7，6，1，0)。
[0139]
305、基于该与多个第一账号对应的系统硬件日志，获取与多个设备标识对应的设备特征，该多个设备标识为与该多个第一账号对应的系统硬件日志中的设备标识，该设备特征用于表示设备上所发生的行为。
[0140]
可选地，系统硬件日志中包括至少一种类型的设备标识，例如，ip地址，或者mac地址，或者imsi，或者imei等，因此，一个用户节点可能连接有多个设备节点，如图5所示。
[0141]
可选地，获取任一设备标识的设备特征包括：从与多个第一账号对应的系统硬件日志中获取包含该任一设备标识的第一系统硬件日志，对该第一系统硬件日志进行特征提取，得到该任一设备标识的设备特征。
[0142]
可选地，对该第一系统硬件日志进行特征提取，得到该任一设备标识的设备特征，包括：根据该第一系统硬件日志，获取任一设备标识对应的设备所执行业务的业务类型，根据该设备所执行业务的业务类型进行特征提取，得到该设备的设备特征。例如，设备为电脑等终端，业务为拨打电话，如果该设备执行了拨打电话的业务，则该设备上可能安装了一些违规软件，用户基于该违规软件执行违规操作。
[0143]
可选地，对该第一系统硬件日志进行特征提取，得到该任一设备标识的设备特征，包括：根据该第一系统硬件日志，获取任一设备标识对应的设备执行目标类型业务的次数，根据该设备执行目标类型业务的次数进行特征提取，得到该任一设备标识的设备特征。可选地，目标类型业务为该设备标识对应设备所不能执行的业务。例如，设备为电脑等终端，业务为拨打电话，如果该设备多次执行了拨打电话的业务，则该设备上可能安装了一些违规软件，用户基于该违规软件执行违规操作。通过违规操作的次数来进行特征提取，避免了由于日志生成错误，或者用户仅是尝试而无恶意的情况下，后续将用户识别为异常用户、或者作弊用户等。
[0144]
306、基于与该多个第一账号对应的用户特征、该多个设备标识的设备特征，生成图结构，该图结构中的一个节点对应一个账号或一个设备，两个节点之间的边用于表示该两个节点所对应的账号和设备对应于同一日志。
[0145]
其中，图结构是由多个节点和多个节点中两个节点之间的边组成的结构。
[0146]
可选地，基于与该多个第一账号对应的用户特征、该多个设备标识的设备特征，生成图结构，包括：基于该多个第一账号和该多个设备标识，生成该图结构中的节点；基于该系统硬件日志所指示的账号和设备之间的关系，在该图结构中的节点之间添加边；将与该多个第一账号对应的用户特征关联至该图结构中的对应节点；将与该多个设备标识对应的设备特征关联至该图结构中对应的节点。
[0147]
这样，就可以将多个第一账号在硬件层面的特征和业务层面的特征融合到图结构
中，后续在根据图结构进行分类时，能够考虑更加全面的信息，得到更加准确的结果。
[0148]
如图5所示，图结构501中包括多个用户节点和多个设备节点，每个用户节点与多个设备节点连接。
[0149]
可选地，基于该系统硬件日志所指示的账号和设备之间的关系，在该图结构中的节点之间添加边，包括：若账号和设备的设备标识存在于同一条系统硬件日志中，在该账号和设备标识对应的两个节点之间添加边。
[0150]
需要说明的是，在得到图结构后，服务器能够基于该图结构进行分类，得到与多个第一账号对应的所属类别。在一种可能实现方式中，服务器基于该图结构进行分类，得到与多个第一账号对应的所属类别，包括：调用第一账号分类模型，对该图结构进行分类，得到与多个第一账号对应的所属类别。可选地，调用第一账号分类模型，对该图结构进行分类，得到与多个第一账号对应的所属类别能够通过如下步骤307至步骤309实现。
[0151]
307、调用第一账号分类模型的至少一个邻居聚合层，对该图结构中的各个节点进行聚合处理，得到处理后的图结构，将处理后的图结构输入至预测层。
[0152]
其中，第一账号分类模型包括至少一个邻居聚合层和预测层，其中，邻居聚合层用于将图结构中各个节点分别与对应的邻居节点进行聚合，以使每个节点具有更加丰富的特征；因此，邻居聚合层越多，每个节点融合到的特征也越多，越能够发觉用户与设备、用户与用户之间的关系，得到的分类结果也越准确。预测层用于根据图结构中各个用户节点的特征，对各个用户节点进行分类处理，得到各个用户的所属类别。
[0153]
其中，调用至少一个邻居聚合层，对图结构中的各个节点进行聚合处理，得到处理后的图结构，包括：调用任一邻居聚合层，对输入的图结构中的各个节点进行聚合处理，得到处理后的图结构，将处理后的图结构输入至下一层。
[0154]
可选地，任一邻居聚合层，对输入的图结构中的各个节点进行聚合处理，得到处理后的图结构，均可通过如下步骤实现：调用该任一邻居聚合层，对输入的图结构中的各个节点执行以下操作：
[0155]
确定该节点的至少一个邻居节点，获取该至少一个邻居节点的节点特征，将该节点的节点特征与该至少一个邻居节点的节点特征进行融合处理，得到该节点的第一特征；将每个节点的节点特征更新为对应的第一特征，得到处理后的图结构。通过将每个节点与邻居节点进行聚合处理，使得每个节点包括的特征更加丰富。
[0156]
其中，如果节点为用户节点，则该节点的节点特征为用户节点的用户特征；如果节点为设备节点，则该节点的节点特征为设备节点的设备特征。
[0157]
例如，任一用户节点存在3个邻居节点，该3个邻居节点均为设备节点，该3个设备节点中有一个设备节点的特征指示该设备执行过违规操作，而用户节点对应的用户也在该设备上执行过操作，则该用户节点对应的用户存在违规的嫌疑应该上升，通过将该任一用户节点与3个设备节点的特征进行融合，后续在对该用户节点对应的账号进行分类处理时，能够参考到违规设备的特征，从而更加准确地对用户节点对应的账号进行分类。
[0158]
同理，设备节点的邻居节点为用户节点，在将设备节点的节点特征与邻居节点进行融合处理时，该设备节点的违规嫌疑也会受到邻居节点的影响。
[0159]
可选地，确定该节点的至少一个邻居节点，包括：确定该节点的全部邻居节点；或者，从该节点的邻居节点中进行采样，得到该节点的至少一个邻居节点。其中，从该节点的
邻居节点中进行采样时，服务器随机选取目标数量的邻居节点，作为后续聚合处理的邻居节点；或者，服务器按照邻居节点的类型，对节点的邻居节点进行选取。
[0160]
在一种可能实现方式中，确定该节点的至少一个邻居节点，包括：从该节点的每种类型的邻居节点中，选取目标数量的节点。其中，目标数量为1、2、3等任一数量；该目标数量为系统默认的数值，或者由监管人员设置的数值。
[0161]
可选地，系统硬件日志中包括至少一种设备标识，该至少一种设备标识包括ip地址、mac地址、imsi或者imsi中的至少一项，在生成图结构时，服务器可以执行以下至少一项操作：在ip地址对应的节点中添加第一类型标识；在mac地址对应的节点中添加第二类型标识；在imsi对应的节点中添加第三类型标识；在imsi对应的节点中添加第四类型标识。可选地，服务器在账号对应的节点中添加第五类型标识。
[0162]
可选地，将该节点的节点特征与该至少一个邻居节点的节点特征进行融合处理，得到该节点的第一特征，包括：对该节点的节点特征和该至少一个邻居节点的节点特征进行特征提取，得到该节点的第一特征。由于第一特征是基于节点的节点特征和至少一个邻居节点的节点特征进行提取的，因此，该第一特征中包括节点的节点特征和至少一个邻居节点的节点特征。
[0163]
或者，将该节点的节点特征与该至少一个邻居节点的节点特征进行融合处理，得到该节点的第一特征，包括：将该节点的节点特征和该至少一个邻居节点的节点特征进行叠加，对叠加后的特征进行特征提取，得到该节点的第一特征。
[0164]
308、调用预测层，对处理后的图结构进行分类，得到与该多个第一账号对应的所属类别。
[0165]
将处理后的图结构输入至预测层中，预测层能够对该处理后的图结构进行分类处理，得到与多个第一账号对应的所属类别。
[0166]
可选地，调用预测层，对处理后的图结构进行分类，得到与该多个第一账号对应的所属类别，包括：调用预测层，对处理后的图结构中每个用户节点的特征进行分类处理，得到每个第一账号的所属类别。
[0167]
其中，第一账号分类模型用于将账号分为两个类别，可选地，该两个类别为正常账号和异常账号，或者为正常账号和可疑账号，本技术实施例对这两个类别不做限定。
[0168]
需要说明的是，本技术实施例仅是以调用第一账号分类模型为例对图结构的分类处理进行说明，而在另一些实施例中，无需调用第一账号分类模型，直接对图结构进行处理，在一种可能实现方式中，基于该图结构进行分类，得到与多个第一账号对应的所属类别，包括：对该图结构中的各个节点进行至少一次聚合处理，得到处理后的图结构，对处理后的图结构中的各个用户节点的特征进行分类处理，得到与多个第一账号对应的所属类别。
[0169]
需要说明是，本技术实施例提供的账号分类方法，能够应用于稽核反作弊服务，使用该服务的产品，能够选择接入灯塔sdk(software development kit，软件开发工具包)或者提供包含必要字段的日志，稽核就会根据sdk上报的日志或终端提供的日志，提取相应的设备行为特征和业务内容特征，构造图结构，基于图结构进行分类处理，得到与多个账号对应的所属类别。
[0170]
本技术实施例提供的账号分类模型，通过从系统硬件日志和业务内容日志中，提
取多个账号的用户特征，使得该用户特征既能表示账号在所登录设备上所发生的行为，也能够表示账号所执行的业务内容，丰富了用户特征所涵盖的信息，并基于用户特征和设备特征生成图结构，进而丰富了图结构中的信息，在基于图结构进行分类时，能够结合用户在终端设备上所发生的行为以及对应的业务内容，从多个方面进行分类，得到的与多个第一账号对应的所属类别更加准确。
[0171]
另外，通过记忆模型来提取任一账号在设备上的行为特征，能够提取到用户在按照时间顺序执行的多个行为的特征，由于作弊团伙中会存在多个作弊成员，在多个相同时间段内执行相同的操作，因此，该行为特征有助于挖掘作弊团伙，能够更加准确地对账号进行分类。
[0172]
另外，本技术通过将图结构进行两次聚合处理，使得用户节点不仅能够聚合具有连接关系的设备节点的设备特征，还能够聚合具有间接连接关系的用户节点的用户特征，也即是，不仅考虑了用户与设备之间的关系，还考虑了用户与用户之间的关系，从而能够更加准确地对账号进行分类。
[0173]
需要说明的是，上述步骤305至步骤307以通过训练后的第一账号分类模型进行分类处理为例，对第一账号分类模型进行说明，在上述步骤305至步骤307之前，还会对第一账号分类模型进行训练，以使第一账号分类模型输出准确的分类结果，以下对第一账号分类模型的训练过程进行说明：
[0174]
图6是本技术实施例提供的一种第一账号分类模型训练方法的流程图，本技术实施例的执行主体为服务器，参见图6，该方法包括：
[0175]
601、获取与多个第二账号对应的系统硬件日志和业务内容日志。
[0176]
其中，获取与多个第二账号对应的系统硬件日志和业务内容日志的方式，与步骤301中获取与多个第一账号对应的系统硬件日志和业务内容日志的方式类似，在此不在一一赘述。
[0177]
该第二账号为样本账号，可选地，第二账号与第一账号为不同的账号，或者第二账号与第一账号为相同的账号。
[0178]
602、通过对与该多个第二账号对应的系统硬件日志进行分类处理，得到每个第二账号的第一样本类别，该第一样本类别包括异常账号或正常账号。
[0179]
上述步骤602即是仅根据与多个第二账号对应的系统硬件日志，将多个第二账号分为异常账号或者正常账号。
[0180]
可选地，上述步骤602能够通过调用第二账号分类模型完成，例如，通过对与该多个第二账号对应的系统硬件日志进行分类处理，得到每个第二账号的第一样本类别，包括：调用第二账号分类模型，对与该多个第二账号对应的系统硬件日志进行分类处理，得到每个第二账号的第一样本类别。该第二账号分类模型用于将账号划分为正常账号或者异常账号，例如，正常账号为1，异常账号为0；或者，正常账号为0，异常账号为1。其中，该第二账号分类模型为经过训练的，输出结果较为准确的模型。
[0181]
可选地，该第二账号分类模型为稽核模型。本技术实施例对第二账号分类模型不做限定。
[0182]
603、通过对与该多个第二账号对应的业务内容日志进行分类处理，得到每个第二账号的第二样本类别，该第二样本类别包括正常账号或者可疑账号。
[0183]
上述步骤602即是仅根据与多个第二账号对应的业务内容日志，将多个第二账号分为正常账号或者可疑账号。
[0184]
可选地，上述步骤602能够通过调用第三账号分类模型完成，例如，通过对与多个第二账号对应的业务内容日志进行分类处理，得到每个第二账号的第二样本类别，包括：调用第三账号分类模型，对与多个第二账号对应的业务内容日志进行分类处理，得到每个第二账号的第二样本类别。该第三账号分类模型用于将账号划分为正常账号或者可疑账号，例如，正常账号为1，可疑账号为0；或者，正常账号为0，可疑账号为1。其中，该第二账号分类模型为经过训练的，输出结果较为准确的模型。
[0185]
604、基于与多个第二账号对应的系统硬件日志、业务内容日志、第一样本类别和第二样本类别，通过该第一账号分类模型进行分类，得到与该多个第二账号对应的预测类别。
[0186]
可选地，基于与多个第二账号对应的系统硬件日志、业务内容日志、第一样本类别和第二样本类别，通过该第一账号分类模型进行分类处理，得到该多个第二账号对应的预测类别，包括：基于与多个第二账号对应的系统硬件日志和业务内容日志，获取与多个第二账号对应的用户特征；基于与多个第二账号对应的系统硬件日志，获取多个设备标识的设备特征，该多个设备标识为与多个第一账号对应的系统日志中的设备标识；基于与多个第二账号对应的系统硬件日志和用户特征、多个设备标识的设备特征、对应的第一样本类别和对应的第二样本类别，生成样本图结构；基于该样本图结构，调用第一账号分类模型进行分类，得到与该多个第二账号对应的预测类别。
[0187]
其中，基于与多个第二账号对应的系统硬件日志和业务内容日志，获取与多个第二账号对应的用户特征与步骤302至步骤304中基于与多个第一账号对应的系统硬件日志和业务内容日志，获取与多个第一账号对应的用户特征类似，在此不再一一赘述。
[0188]
其中，基于与多个第二账号对应的系统硬件日志，获取与多个设备标识对应的设备特征与步骤305中基于与多个第一账号对应的系统硬件日志，获取与多个设备标识对应的设备特征类似，在此不再一一赘述。
[0189]
另外，基于与多个第二账号对应的系统硬件日志、用户特征、对应的第一样本类别、对应的第二样本类别以及多个设备标识的设备特征，生成样本图结构与步骤306类似，在此不在一一赘述，区别仅在于该步骤604中，将与多个第二账号对应的第一样本类别和第二样本类别关联至样本图结构中对应的用户节点。
[0190]
其中，基于该样本图结构，调用第一账号分类模型进行分类，得到该多个第二账号的预测类别与步骤307类似，在此不在一一赘述。
[0191]
605、根据与多个第二账号对应的预测类别和第二样本类别，训练至少一个第一邻居聚合层。
[0192]
其中，第一邻居聚合层用于对样本图结构中的各个节点进行聚合处理，更新每个节点的节点，若根据与多个第二账号对应的预测类别和第二样本类别，训练第一邻居聚合层，会使得第一邻居聚合层更加关注用户是否为可疑用户的特征，也即是更加关注第三账号分类模型所关注的特征。
[0193]
在一种可能实现方式中，根据与多个第二账号对应的预测类别和第二样本类别，训练至少一个第一邻居聚合层，包括：根据与多个第二账号对应的预测类别与对应的第二
样本类别之间的误差，调整该至少一个第一邻居聚合层的模型参数，以使基于训练后的第一账号分类模型输出的预测类别与第二样本类别之间的误差收敛。
[0194]
另外，在训练第一邻居聚合层时，还考虑到多个第二账号的第一样本类别，可选地，根据与多个第二账号对应的预测类别和第二样本类别，训练至少一个第一邻居聚合层，包括：根据与多个第二账号对应的预测类别、第二样本类别和第一样本类别，训练至少一个第一邻居聚合层，会使得第一邻居聚合层既关注用户是否为可疑用户的特征，也关注用户是否为异常用户的特征，也即是关注第二账号分类模型和第三账号分类模型所关注的特征。
[0195]
另外，在进行训练时，还能够为第一样本类别和第二样本类别分配不同的权重，以使第一邻居聚合层能够更加关注第三账号分类模型所关注的特征，或者更加关注第二账号分类模型所关注的特征。
[0196]
可选地，本技术实施例以第二账号分类模型的分类任务为主，以第三账号分类模型的分类任务为辅，因此为第一样本类别分配较高的权重，为第二样本类别分配较低的权重。
[0197]
606、根据与多个第二账号对应的预测类别和第一样本类别，训练至少一个第二邻居聚合层和预测层。
[0198]
通过根据与多个第二账号对应的预测类别和第一样本类别，训练至少一个第二邻居聚合层，以使至少一个第二邻居聚合层和预测层更加关注用户是否为异常用户的特征，能够更加准确地进行分类。
[0199]
在一种可能实现方式中，根据与多个第二账号对应的预测类别和第一样本类别，训练至少一个第二邻居聚合层和预测层：根据与多个第二账号对应的预测类别与第一样本类别之间的误差，调整该至少一个第二邻居聚合层和预测层的模型参数，以使基于训练后的第一账号分类模型输出的预测类别与第一样本类别之间的误差收敛。
[0200]
如图7所示，第一账号分类模型的输入包括第一图结构701，该第一图结构701包括多个用户节点和设备节点、多个用户节点和多个设备节点的连接关系、多个用户节点的用户特征以及多个设备节点的设备特征。第一账号分类模型的第一邻居聚合层702对该第一图结构701进行邻居聚合处理，得到第二图结构703，该图7的第一邻居聚合层702中示出了对其中一个用户节点的邻居聚合处理，如第一邻居聚合层702中的箭头所示，节点5、节点2以及节点4的特征会聚合到节点1中。将第二图结构703输入至第二邻居聚合层704进行邻居聚合处理，得到第三图结构，将第三图结构输入至预测层705中，得到多个账号的所属类别，该类别包括a或者b。
[0201]
相关技术中，通过第二账号分类模型基于系统硬件日志，进行异常检测的覆盖度有一定的局限性，本技术实施例将第二账号分类模型与第三账号分类模型进行联合，共同训练第一账号分类模型，打破了数据孤岛，相互辅助以提升第一账号分类模型的可泛化性，提高异常检测的覆盖度。
[0202]
需要说明的是，本技术实施例仅是以通过第二账号分类模型获取第一样本类别，通过第三账号分类模型获取第二样本类别为例，对第一样本类别和第二样本类别的获取过程进行示例性说明，而在另一些实施例中，由标注人员基于与多个第二账号对应的系统硬件日志，对该多个第二账号进行标注处理，得到与多个第二账号对应的第一样本类别，该第
一样本类别为正常账号或者为异常账号；在另一些实施例中，由标注人员基于与多个第二账号对应的业务内容日志，对该多个第二账号进行标注处理，得到与多个第二账号对应的第二样本类别，该第二样本类别包括正常账号或者可疑账号。
[0203]
图8是本技术实施例提供的一种账号分类装置的结构示意图，参见图8，该装置包括：第一获取模块801、第二获取模块802、生成模块803和分类模块804。
[0204]
第一获取模块801，用于基于与多个第一账号对应的系统硬件日志和业务内容日志，获取与该多个第一账号对应的用户特征，该用户特征用于表示账号在所登录设备上所发生的行为以及对应的业务内容；
[0205]
第二获取模块802，用于基于与该多个第一账号对应的系统硬件日志，获取与多个设备标识对应的设备特征，该多个设备标识为与该多个第一账号对应的系统硬件日志中的设备标识，该设备特征用于表示设备上所发生的行为；
[0206]
生成模块803，用于基于与该多个第一账号对应的用户特征、与该多个设备标识对应的设备特征，生成图结构，该图结构中的一个节点对应一个账号或一个设备，两个节点之间的边用于表示该两个节点所对应的账号和设备对应于同一日志；
[0207]
分类模块804，用于基于该图结构进行分类，得到与该多个第一账号对应的所属类别。
[0208]
如图9所示，可选地，该生成模块803，包括：
[0209]
节点生成单元8031，用于基于该多个第一账号和该多个设备标识，生成该图结构中的节点；
[0210]
边添加单元8032，用于基于该系统硬件日志所指示的账号和设备之间的关系，在该图结构中的节点之间添加边；
[0211]
关联单元8033，用于将与该多个第一账号对应的用户特征关联至该图结构中的对应节点；
[0212]
该关联单元8033，还用于将与该多个设备标识对应的设备特征关联至该图结构中对应的节点。
[0213]
可选地，该第一获取模块801，包括：
[0214]
第一特征获取单元8011，用于基于与该多个第一账号对应的系统硬件日志，获取与该多个第一账号对应的设备行为特征，该设备行为特征用于表示账号在所登录设备上发生的行为；
[0215]
第二特征获取单元8012，用于基于与该多个第一账号对应的业务内容日志，获取与该多个第一账号对应的业务内容特征，该业务内容特征用于表示账号所执行的业务内容；
[0216]
拼接单元8013，用于将与该多个第一账号对应的设备行为特征和业务内容特征进行拼接，得到该多个第一账号的用户特征。
[0217]
可选地，该第一特征获取单元8011，用于从任一第一账号的系统硬件日志中，获取包含同一设备标识的目标系统硬件日志；调用记忆模型对该目标系统硬件日志进行特征提取，得到该任一第一账号在设备上的行为特征；将该任一第一账号在多个设备上的行为特征进行融合，得到该任一第一账号的设备行为特征。
[0218]
可选地，该分类模块804，用于调用第一账号分类模型，对该图结构进行分类，得到
与该多个第一账号对应的所属类别。
[0219]
可选地，该第一账号分类模型包括至少一个邻居聚合层和预测层，该分类模块804，包括：
[0220]
聚合单元8041，用于调用该至少一个邻居聚合层，对该图结构中的各个节点进行聚合处理，得到处理后的图结构；
[0221]
预测单元8042，用于调用该预测层，对该处理后的图结构进行分类，得到与该多个第一账号对应的所属类别。
[0222]
可选地，聚合单元8041，用于调用任一邻居聚合层，对输入的图结构中的各个节点进行聚合处理，得到处理后的图结构，将该处理后的图结构输入至下一层。
[0223]
可选地，该第一账号分类模型包括至少一个第一邻居聚合层和至少一个第二邻居聚合层，该装置还包括：
[0224]
样本获取模块805，用于获取样本数据，该样本数据包括与多个第二账号对应的系统硬件日志、业务内容日志、第一样本类别以及第二样本类别，该第一样本类别通过对与该多个第二账号对应的系统硬件日志进行分类得到，该第一样本类别包括异常账号或正常账号，该第二样本类别通过对该多个第二账号对应的业务内容日志进行分类得到，该第二样本类别包括正常账号或者可疑账号；
[0225]
该分类模块804，用于基于该样本数据，通过该第一账号分类模型进行分类，得到与该多个第二账号对应的预测类别；
[0226]
第一训练模块806，用于根据与该多个第二账号对应的预测类别和第二样本类别，训练该至少一个第一邻居聚合层；
[0227]
第二训练模块807，用于根据与该多个第二账号对应的预测类别和第一样本类别，训练该至少一个第二邻居聚合层和预测层。
[0228]
需要说明的是：上述实施例提供的账号分类装置在对账号进行分类时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的账号分类装置与账号分类方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
[0229]
图10是本技术实施例提供的一种终端的结构框图。该终端1000用于执行上述实施例中终端执行的步骤，可以是便携式移动终端，比如：智能手机、平板电脑、mp3播放器(moving picture experts group audio layer iii，动态影像专家压缩标准音频层面3)、mp4(moving picture experts group audio layer iv，动态影像专家压缩标准音频层面4)播放器、笔记本电脑或台式电脑。终端1000还可能被称为用户设备、便携式终端、膝上型终端、台式终端等其他名称。
[0230]
通常，终端1000包括有：处理器1001和存储器1002。
[0231]
处理器1001可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器1001可以采用dsp(digital signal processing，数字信号处理)、fpga(field－programmable gate array，现场可编程门阵列)、pla
[0232]
(programmable logic array，可编程逻辑阵列)中的至少一种硬件形式来实现。处理器1001也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行
处理的处理器，也称cpu(central processing unit，中央处理器)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器1001可以集成有gpu(graphics processing unit，图像处理器)，gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器1001还可以包括ai(artificial intelligence，人工智能)处理器，该ai处理器用于处理有关机器学习的计算操作。
[0233]
存储器1002可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器1002还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中，存储器1002中的非暂态的计算机可读存储介质用于存储至少一个程序代码，该至少一个程序代码用于被处理器1001所执行以实现本技术中方法实施例提供的账号分类方法。
[0234]
在一些实施例中，终端1000还可选包括有：外围设备接口1003和至少一个外围设备。处理器1001、存储器1002和外围设备接口1003之间可以通过总线或信号线相连。各个外围设备可以通过总线、信号线或电路板与外围设备接口1003相连。具体地，外围设备包括：射频电路1004、显示屏1005、摄像头组件1006、音频电路1007、定位组件1008和电源1009中的至少一种。
[0235]
外围设备接口1003可被用于将i/o(input/output，输入/输出)相关的至少一个外围设备连接到处理器1001和存储器1002。在一些实施例中，处理器1001、存储器1002和外围设备接口1003被集成在同一芯片或电路板上；在一些其他实施例中，处理器1001、存储器1002和外围设备接口1003中的任意一个或两个可以在单独的芯片或电路板上实现，本技术实施例对此不加以限定。
[0236]
射频电路1004用于接收和发射rf(radio frequency，射频)信号，也称电磁信号。射频电路1004通过电磁信号与通信网络以及其他通信设备进行通信。射频电路1004将电信号转换为电磁信号进行发送，或者，将接收到的电磁信号转换为电信号。可选地，射频电路1004包括：天线系统、rf收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路1004可以通过至少一种无线通信协议来与其它终端进行通信。该无线通信协议包括但不限于：万维网、城域网、内联网、各代移动通信网络(2g、3g、4g及5g)、无线局域网和/或wifi(wireless fidelity，无线保真)网络。在一些实施例中，射频电路1004还可以包括nfc(near field communication，近距离无线通信)有关的电路，本技术对此不加以限定。
[0237]
显示屏1005用于显示ui(user interface，用户界面)。该ui可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏1005是触摸显示屏时，显示屏1005还具有采集在显示屏1005的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器1001进行处理。此时，显示屏1005还可以用于提供虚拟按钮和/或虚拟键盘，也称软按钮和/或软键盘。在一些实施例中，显示屏1005可以为一个，设置终端1000的前面板；在另一些实施例中，显示屏1005可以为至少两个，分别设置在终端1000的不同表面或呈折叠设计；在另一些实施例中，显示屏1005可以是柔性显示屏，设置在终端1000的弯曲表面上或折叠面上。甚至，显示屏1005还可以设置成非矩形的不规则图形，也即异形屏。显示屏1005可以采用lcd(liquid crystal display，液晶显示屏)、oled(organic light-emitting diode,有机发光二极管)等材质制备。
[0238]
摄像头组件1006用于采集图像或视频。可选地，摄像头组件1006包括前置摄像头和后置摄像头。通常，前置摄像头设置在终端的前面板，后置摄像头设置在终端的背面。在一些实施例中，后置摄像头为至少两个，分别为主摄像头、景深摄像头、广角摄像头、长焦摄像头中的任意一种，以实现主摄像头和景深摄像头融合实现背景虚化功能、主摄像头和广角摄像头融合实现全景拍摄以及vr(virtual reality，虚拟现实)拍摄功能或者其它融合拍摄功能。在一些实施例中，摄像头组件1006还可以包括闪光灯。闪光灯可以是单色温闪光灯，也可以是双色温闪光灯。双色温闪光灯是指暖光闪光灯和冷光闪光灯的组合，可以用于不同色温下的光线补偿。
[0239]
音频电路1007可以包括麦克风和扬声器。麦克风用于采集用户及环境的声波，并将声波转换为电信号输入至处理器1001进行处理，或者输入至射频电路1004以实现语音通信。出于立体声采集或降噪的目的，麦克风可以为多个，分别设置在终端1000的不同部位。麦克风还可以是阵列麦克风或全向采集型麦克风。扬声器则用于将来自处理器1001或射频电路1004的电信号转换为声波。扬声器可以是传统的薄膜扬声器，也可以是压电陶瓷扬声器。当扬声器是压电陶瓷扬声器时，不仅可以将电信号转换为人类可听见的声波，也可以将电信号转换为人类听不见的声波以进行测距等用途。在一些实施例中，音频电路1007还可以包括耳机插孔。
[0240]
定位组件1008用于定位终端1000的当前地理位置，以实现导航或lbs(location based service，基于位置的服务)。定位组件1008可以是基于美国的gps(global positioning system，全球定位系统)、中国的北斗系统或俄罗斯的格雷纳斯系统或欧盟的伽利略系统的定位组件。
[0241]
电源1009用于为终端1000中的各个组件进行供电。电源1009可以是交流电、直流电、一次性电池或可充电电池。当电源1009包括可充电电池时，该可充电电池可以支持有线充电或无线充电。该可充电电池还可以用于支持快充技术。
[0242]
在一些实施例中，终端1000还包括有一个或多个传感器1010。该一个或多个传感器1010包括但不限于：加速度传感器1011、陀螺仪传感器1012、压力传感器1013、指纹传感器1014、光学传感器1015以及接近传感器1016。
[0243]
加速度传感器1011可以检测以终端1000建立的坐标系的三个坐标轴上的加速度大小。比如，加速度传感器1011可以用于检测重力加速度在三个坐标轴上的分量。处理器1001可以根据加速度传感器1011采集的重力加速度信号，控制显示屏1005以横向视图或纵向视图进行用户界面的显示。加速度传感器1011还可以用于游戏或者用户的运动数据的采集。
[0244]
陀螺仪传感器1012可以检测终端1000的机体方向及转动角度，陀螺仪传感器1012可以与加速度传感器1011协同采集用户对终端1000的3d动作。处理器1001根据陀螺仪传感器1012采集的数据，可以实现如下功能：动作感应(比如根据用户的倾斜操作来改变ui)、拍摄时的图像稳定、游戏控制以及惯性导航。
[0245]
压力传感器1013可以设置在终端1000的侧边框和/或显示屏1005的下层。当压力传感器1013设置在终端1000的侧边框时，可以检测用户对终端1000的握持信号，由处理器1001根据压力传感器1013采集的握持信号进行左右手识别或快捷操作。当压力传感器1013设置在显示屏1005的下层时，由处理器1001根据用户对显示屏1005的压力操作，实现对ui
界面上的可操作性控件进行控制。可操作性控件包括按钮控件、滚动条控件、图标控件、菜单控件中的至少一种。
[0246]
指纹传感器1014用于采集用户的指纹，由处理器1001根据指纹传感器1014采集到的指纹识别用户的身份，或者，由指纹传感器1014根据采集到的指纹识别用户的身份。在识别出用户的身份为可信身份时，由处理器1001授权该用户执行相关的敏感操作，该敏感操作包括解锁屏幕、查看加密信息、下载软件、支付及更改设置等。指纹传感器1014可以被设置终端1000的正面、背面或侧面。当终端1000上设置有物理按键或厂商logo时，指纹传感器1014可以与物理按键或厂商标志集成在一起。
[0247]
光学传感器1015用于采集环境光强度。在一个实施例中，处理器1001可以根据光学传感器1015采集的环境光强度，控制显示屏1005的显示亮度。具体地，当环境光强度较高时，调高显示屏1005的显示亮度；当环境光强度较低时，调低显示屏1005的显示亮度。在另一个实施例中，处理器1001还可以根据光学传感器1015采集的环境光强度，动态调整摄像头组件1006的拍摄参数。
[0248]
接近传感器1016，也称距离传感器，通常设置在终端1000的前面板。接近传感器1016用于采集用户与终端1000的正面之间的距离。在一个实施例中，当接近传感器1016检测到用户与终端1000的正面之间的距离逐渐变小时，由处理器1001控制显示屏1005从亮屏状态切换为息屏状态；当接近传感器1016检测到用户与终端1000的正面之间的距离逐渐变大时，由处理器1001控制显示屏1005从息屏状态切换为亮屏状态。
[0249]
本领域技术人员可以理解，图10中示出的结构并不构成对终端1000的限定，可以包括比图示更多或更少的组件，或者组合某些组件，或者采用不同的组件布置。
[0250]
图11是本技术实施例提供的一种服务器的结构示意图，该服务器1100可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(central processing units，cpu)1101和一个或一个以上的存储器1102，其中，存储器1102中存储有至少一条程序代码，至少一条程序代码由处理器1101加载并执行以实现上述各个方法实施例提供的方法。当然，该服务器还可以具有有线或无线网络接口、键盘以及输入输出接口等部件，以便进行输入输出，该服务器还可以包括其他用于实现设备功能的部件，在此不做赘述。
[0251]
服务器1100可以用于执行上述账号分类方法中服务器所执行的步骤。
[0252]
本技术实施例还提供了一种计算机设备，该计算机设备包括处理器和存储器，该存储器中存储有至少一条程序代码，该至少一条程序代码由该处理器加载并执行上述实施例的账号分类方法中所执行的操作。
[0253]
本技术实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有至少一条程序代码，该至少一条程序代码由处理器加载并执行以实现上述实施例的账号分类方法中所执行的操作。
[0254]
本技术实施例还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机程序代码，该计算机程序代码存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机程序代码，处理器执行该计算机程序代码，使得该计算机设备执行如上述实施例的账号分类方法中所执行的操作。
[0255]
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来程序代码相关的硬件完成，所述的程序可以存储于一种计算机
可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
[0256]
以上所述仅为本技术的可选实施例，并不用以限制本技术，凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。