异常注册事件的识别特征生成方法、装置、介质及设备与流程

1.本公开的实施方式涉及信息技术领域，更具体地，本公开的实施方式涉及一种异常注册事件的识别特征生成方法、装置、介质及设备。


背景技术：

2.互联网时代，个人或者机构可以在注册成为网络提供方的用户之后，获取相应的网络服务。而对于网络提供方来说，如何有效识别异常注册事件(如黑色产业人员在网络平台上注册)是值得关注的课题。
3.一般而言，可以基于一些用于识别异常注册事件的识别特征，对发生的注册事件进行判断，如果某个注册事件符合异常注册事件的识别特征，则将该注册事件识别为异常注册事件。
4.基于此，需要一种比较有效的异常注册事件的识别特征生成方案。


技术实现要素：

5.在本上下文中，本公开的实施方式期望提供一种异常注册事件的识别特征生成方法、装置、介质及设备，以便生成比较有效的识别特征。
6.在本公开实施方式的第一方面中，提供一种异常注册事件的识别特征生成方法，用于为若干网络服务提供注册风控功能，每个网络服务通过若干注册来源受理注册事件，注册来源包括：注册设备来源和/或注册渠道来源，所述方法包括：
7.获取监测到的注册事件的属性信息，该属性信息包括：受理该注册事件的网络服务所对应的网络服务标识，对应于该注册事件之来源的注册来源标识，该注册事件的事件特征集合；
8.根据匹配于该网络服务标识且匹配于该注册来源标识的若干提取规则，从该事件特征集合中提取对应于每个提取规则的若干事件特征；
9.针对每个提取规则，生成对应于该提取规则的一个键值对；其中，该键值对中的键包含该网络服务标识、该注册来源标识、该提取规则对应的每个事件特征所归属的特征类型标识，该键值对中的值包含该提取规则对应的每个事件特征的值；
10.根据在设定时段内得到的各个键值对之间的相似度，将相似度大于设定相似度的键值对归入同一键值对集合，并且，根据包含的键值对数量超过第一数量的键值对集合，生成用于识别异常注册事件的识别特征。
11.在本公开实施方式的第二方面中，提供一种异常注册事件的识别特征生成装置，用于为若干网络服务提供注册风控功能，每个网络服务通过若干注册来源受理注册事件，注册来源包括：注册设备来源和/或注册渠道来源，所述装置包括：
12.获取模块，获取监测到的注册事件的属性信息，该属性信息包括：受理该注册事件的网络服务所对应的网络服务标识，对应于该注册事件之来源的注册来源标识，该注册事件的事件特征集合；
13.提取模块，根据匹配于该网络服务标识且匹配于该注册来源标识的若干提取规则，从该事件特征集合中提取对应于每个提取规则的若干事件特征；
14.第一生成模块，针对每个提取规则，生成对应于该提取规则的一个键值对；其中，该键值对中的键包含该网络服务标识、该注册来源标识、该提取规则对应的每个事件特征所归属的特征类型标识，该键值对中的值包含该提取规则对应的每个事件特征的值；
15.第二生成模块，根据在设定时段内得到的各个键值对之间的相似度，将相似度大于设定相似度的键值对归入同一键值对集合，并且，根据包含的键值对数量超过第一数量的键值对集合，生成用于识别异常注册事件的识别特征。
16.在本公开实施方式的第三方面中，提供一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现第一方面所述的方法。
17.在本公开实施方式的第四方面中，提供一种计算设备，包括存储器、处理器；所述存储器用于存储可在处理器上运行的计算机指令，所述处理器用于在执行所述计算机指令时实现第一方面所述的方法。
18.通过上述技术方案，由于归属于同一类的不同键值对，往往是相同提取规则作用于不同注册事件而得到的，因此，倘若归属于同一类的键值对数量较多，那么意味着具有共性的注册事件的数量较多，而在注册风控领域，有限时间段内发生的大量具有共性的注册事件往往属于异常注册事件。这样一来，可以基于归属于同一类的足够多的键值对，生成用于识别异常注册事件的识别特征，如此生成的识别特征是比较准确的，可以比较有效地识别出异常注册事件。
19.另外，在上述技术方案中，不需要设计复杂的风控模型来从各个注册事件中提取异常注册事件的识别特征，而是利用相对简洁的预设提取规则从注册事件中提取键值对，对键值对进行聚类统计，如此确定有限时间段内发生的大量具有共性的注册事件所对应的共性特征，作为识别特征。可见，上述技术方案的实现比较简洁，以比较低的技术成本确定出比较有效的异常注册事件的识别特征。
附图说明
20.通过参考附图阅读下文的详细描述，本公开示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中，以示例性而非限制性的方式示出了本公开的若干实施方式，其中：
21.图1示例性提供一种异常注册事件的识别特征生成方法的流程；
22.图2示例性提供一种生成识别特征的流程；
23.图3示例性提供一种注册风控系统处理注册事件流的流程；
24.图4示例性提供一种异常注册事件的识别特征生成装置的结构；
25.图5示例性提供一种计算机可读存储介质；
26.图6示例性提供一种计算设备的结构示意图。
27.在附图中，相同或对应的标号表示相同或对应的部分。附图中的任何元素数量均用于示例而非限制，以及任何命名都仅用于区分，而不具有任何限制含义。
具体实施方式
28.下面将参考若干示例性实施方式来描述本公开的原理和精神。应当理解，给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本公开，而并非以任何方式限制本公开的范围。相反，提供这些实施方式是为了使本公开更加透彻和完整，并且能够将本公开的范围完整地传达给本领域的技术人员。
29.本领域技术人员知道，本公开的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此，本公开可以具体实现为以下形式，即：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)，或者硬件和软件结合的形式。
30.根据本公开的实施方式，提出了一种异常注册事件的识别特征生成方法、装置、介质及设备。
31.在注册风控领域，有限时间段内发生的大量具有共性的注册事件往往属于异常注册事件。注册风控领域属于风控领域的一个分支，其主要针对网络服务的注册事件进行风险控制，具体而言，注册风控旨在对注册事件是否属于异常注册事件进行识别，以便触发针对正在发生(还没有生成网络服务的账号)的异常注册事件的拦截机制，或者触发对已经发生(已经生成网络服务的账号)的异常注册事件的冻结机制。
32.注册风控领域一般关注两个方面的工作，一个方面的工作是确定用于识别异常注册事件的识别特征，另一方面的工作是根据用于识别异常注册事件的识别特征，识别异常注册事件，可以将前一个方面的工作理解为风控准备工作，后一个方面的工作理解为风控执行工作。
33.本公开中所定义的异常注册事件，是相对于正常注册事件而言的。正常注册事件往往具有孤立性，即不同的正常注册事件往往是由彼此不具有关联关系或者彼此不联络的不同普通用户分别独立发起的注册事件。而异常注册事件往往具有批量性，即一批异常注册事件往往是由同一用户或者同一组织在有限时间段内多次发起的注册事件，由于同一批异常注册事件是由同一用户或者同一组织(如黑产团伙)发起的，因此，这一批异常注册事件之间往往具有共性。
34.然而在实践中，异常注册事件的识别难点在于，发起一批异常注册的用户或组织往往会刻意采取一些手段进行异常注册(例如使用差异较大的不同ip地址注册，又如使用差异较大的不同手机号注册)，使得实际上属于同一批的不同异常注册事件看起来像是孤立的普通注册事件，以便规避注册风控方的识别。对于注册风控方而言，很难设计出这样一种识别特征，能够区分实际的普通注册事件与看起来像普通注册事件的异常注册事件。
35.为此，本公开提供的技术方案为，获取设定时间段内发生的注册事件的一些属性(包括受理该注册事件的网络服务所对应的网络服务标识，对应于该注册事件之来源的注册来源标识，该注册事件的事件特征集合)，根据注册事件对应的网络服务标识与注册来源标识来匹配的提取规则，根据匹配的提取规则提取注册事件的若干事件特征，以便基于该匹配的提取规则生成相应的一个键值对。在该键值对中，键包含该网络服务标识、该注册来源标识、该提取规则对应的每个事件特征所归属的特征类型标识，值包含该提取规则对应的每个事件特征的值。对得到的各个键值对进行聚类统计，即将归属于同一类的键值对归入同一键值对集合，并且，根据包含的键值对数量比较多的键值对集合生成用于识别异常注册事件的识别特征。
36.通过上述技术方案，由于归属于同一类的不同键值对，往往是相同提取规则作用于不同注册事件而得到的，因此，倘若归属于同一类的键值对数量较多，那么意味着具有共性的注册事件的数量较多，而在注册风控领域，有限时间段内发生的大量具有共性的注册事件往往属于异常注册事件。这样一来，可以基于归属于同一类的足够多的键值对，生成用于识别异常注册事件的识别特征，如此生成的识别特征是比较准确的，可以比较有效地识别出异常注册事件。
37.下面参考本公开的若干代表性实施方式，详细阐释本公开的原理和精神。
38.图1示例性提供一种异常注册事件的识别特征生成方法的流程，包括以下步骤：
39.s100：获取发生于设定时间段内的监测到的注册事件的属性信息。
40.图1所示的方法流程用于为若干网络服务提供注册风控功能。本公开中所定义的网络服务，可以泛指任何能够通过网络途径获取的服务，例如，移动操作系统(如ios)中安装的应用app可以是一种网络服务形式，浏览器可以访问的网站可以是一种网络服务形式，个人计算机操作系统(如windows)中安装的桌面客户端可以是一种网络服务形式，用户可以通过网络获取上述任一种形式的网络服务，并且通常在获取网络服务之前，需要在网络服务上进行注册，获得该网络服务的账号。
41.图1所示方法可以应用于独立于各个网络服务的注册风控系统，注册风控系统对接不同的网络服务，从不同的网络服务接收注册事件进行风控，将风控结果返回给相应的网络服务。
42.此外，图1所示的方法流程可以应用于某个网络服务对应的服务器上，该服务器不仅可以为自身对应的网络服务提供注册风控功能，还可以为其他网络服务提供注册风控功能。
43.为了描述的方便，后文将注册风控系统作为图1所示方法流程的执行主体。
44.在一些实施例中，可以在不同网络服务对应的服务器上安装注册风控系统的监测组件，使得注册风控系统可以直接监测到每个网络服务受理的注册事件的属性信息。
45.在另一些实施例中，网络服务可以监测自身受理的注册事件，将注册事件的属性信息发送注册风控系统。
46.需要说明的是，每个网络服务通常通过若干注册来源受理注册事件，注册来源可以包括注册设备来源和/或注册渠道来源。
47.其中，注册设备来源可以理解为用户在哪种设备类型的设备上进行操作以发起注册事件，设备类型一般包括移动端、pc端、浏览器端等等，例如，网络服务可以是游戏，该游戏支持手游形式(即用户在移动端游玩)、端游形式(即用户在pc端游玩)与页游形式(即用户在浏览器网页中游玩)，因此，该网络服务器可以通过移动端、pc端、浏览器端等注册设备来源来受理注册事件。
48.注册渠道来源可以理解为从哪种营销途径引流来注册事件。常见的注册渠道来源例如可以是线下广告、线上广告、好友推荐、友商app等等。
49.在本公开的实施例中，将属性信息定位为包括受理该注册事件的网络服务所对应的网络服务标识，对应于该注册事件之来源的注册来源标识，该注册事件的事件特征集合。
50.其中，注册事件的事件特征可以理解为在网络服务受理该注册事件时，网络服务对应的服务器或者注册风控系统通过网络方式能够获取到的一些信息，这些信息可以反映
注册事件的特点。
51.此处示例性的给出一些注册事件的事件特征，这并不构成对本公开中事件特征范畴的限制。事件特征可以包括以下至少一种：
52.该注册事件的发生时间；
53.该注册事件对应的账号名；
54.该注册事件对应的密码；
55.该注册事件对应的手机号；
56.发起该注册事件的ip地址；
57.发起该注册事件的ip地址所属地区；
58.发起注册事件的操作环境的一个或多个操作环境参数。
59.此处需要说明，注册事件对应的操作环境可以包括软件操作环境与硬件操作环境。软件操作环境例如可以是发起该注册事件的浏览器，浏览器的操作环境参数可以是cookie、useragent、ip等。硬件操作环境例如可以是主机设备、键盘设备、鼠标设备、显示设备，硬件操作环境的操作环境参数可以是设备信息(如设备类型、设备的唯一标识码等)、鼠标操作轨迹信息、键盘操作轨迹信息等。
60.此处还需要说明，通常来说，不同注册事件对应的账号名是不同的，即便是对于在设定时间段内集中发生的一批异常注册事件，这些异常注册事件对应的账号名也往往是不同的。但是，一批异常注册事件对应的账号名可能遵循了相同的命名模板。因此，为了不同注册事件产生的键值对可以包含账号名之间的相似性表征，可以对注册事件的事件特征进行扩展，确定对应于该注册事件的账号名以及该账号名所归属的命名模板；将所述命名模板作为事件特征加入到该注册事件所对应的事件特征集合；其中，所述账号名与所述命名模板之间遵循预设的模糊匹配规则。
61.例如，可以预设模糊匹配规则为：
62.对于账号名中包含的拼音，将拼音映射成pn1，p代表账号名中包含的拼音，n1是拼音中连续的音节的数量；
63.对于账号名中包含的数字串，将数字串映射成dn2，d代表账号名中包含的数字串，n2是数字串中连续的数字的数量；
64.对于账号名中包含的非拼音的英文字母串，将英文字母串映射成en3，e代表账号名中包含的英文字母串，n3是英文字母串中连续的英文字母的数量；
65.对于账号名中包含的特殊字符串，将特殊字符串映射成on4，o代表账号名中包含的特殊字符串，n4是特殊字符串中连续的特殊字符的数量。
66.假设某个账号名为liuzhujie-33szs，其中liuzhujie是拼音，包含3个音节，因此映射成p3；-为特殊字符串，包含1个特殊字符，映射成o1；33为数字串，包含2个数字，映射为d2，szs为英文字母串，包含3个英文字母，映射为e3。因此，账号名1可以映射成的命名模板为p3o1d2e3。
67.假设另一个账号名为shenyahui*56syh，则也可以映射成命名模板p3o1d2e3。
68.由于属于同一批的不同异常注册事件对应的账号名虽然存在差别，但是这些异常注册事件对应的账号名往往具有某种共性，这种共性可以被抽象为账号名所归属的相同命名模板，因此，将注册事件对应的账号名所归属的命名模板也作为注册事件的事件特征，利
用提取规则将命名模板作为事件特征提取到注册事件产生的键值对中，可以有助于将账号名具有共性的注册事件所产生的键值对进行聚类，进而有助于得到能够识别出对应的账号名存在共性的同一批异常注册事件的识别特征。
69.s102：根据匹配于该网络服务标识且匹配于该注册来源标识的若干提取规则，从该事件特征集合中提取对应于每个提取规则的若干事件特征。
70.s104：针对每个提取规则，生成对应于该提取规则的一个键值对。
71.在本公开的实施例中，可以预先设置若干提取规则。提取规则可以包括若干字段，其中一些字段是用于匹配注册事件的字段，一些字段是用于从注册事件的事件特征集合中提取事件特征的值的字段。
72.提取规则中用于匹配注册事件的字段通常规定了所要匹配的注册事件的如下属性信息：受理该注册事件的网络服务所对应的网络服务标识，对应于该注册事件之来源的注册来源标识。
73.而提取规则中用于提取事件特征的值的字段，规定了需要从匹配于该提取规则的注册事件的事件特征中提取的全部或部分事件特征所归属的特征类型标识。
74.将提取规则作用于注册事件，可以生成对应于该提取规则的一个键值对，其中，该键值对中的键包含该网络服务标识、该注册来源标识、该提取规则对应的每个事件特征所归属的特征类型标识，该键值对中的值包含该提取规则对应的每个事件特征的值。
75.此外，可以预先设置多个提取规则，针对每个注册事件，将这多个提取规则都作用于该注册事件，得到多个键值对(一个提取规则对应一个键值对)。也就是说，该注册事件可以产生多个键值对。
76.下表1示例性提供一种提取规则。
77.网络服务标识注册来源标识特征类型标识pro1source1phonepro1source1phone、ippro1source1phone、ip地区
78.表1
79.假设注册事件的属性信息中，受理该注册事件的网络服务所对应网络服务标识为pro1，该注册事件的注册来源标识为source1，该注册事件的注册事件特征中，手机号(phone)为136****690，ip为115.236.191.0，ip地区为中国北京。
80.通过上表1中的三条提取规则分别作用于该注册事件，得到三个键值对，如下：
81.第一个键值对为，键：pro1-source1-phone；值：136****690。
82.第二个键值对为，键：pro1-source1-phone-ip；值：136****690-115.236.191.0。
83.第三个键值对为，键：pro1-source1-phone-ip地区；值：136****690-中国北京。
84.在一些实施例中，还可以设置一条提取规则，该提取规则所需要匹配的注册来源标识可以是同一网络服务对应的全部注册来源标识。
85.参见下表2：
86.网络服务标识注册来源标识特征类型标识pro1source1phonepro1source1phone、ip
pro1source1phone、ip地区pro1alltime
87.表2
88.可见，表2相比于表1，多出第四条提取规则，第四条提取规则中注册来源标识为all，表明对于同一网络服务pro1所提供的注册事件而言，该注册事件的注册来源不论是哪个，都可以匹配至该提取规则，该提取规则从该注册事件的事件特征集合中提取注册事件的发生时间(time)作为键值对的值。
89.此外需要说明，发起注册事件的操作环境的操作环境参数往往有很多个，以下列出部分：
90.语言、时区、操作系统、插件、是否支持java、是否支持cookie、是否打开控制台、存储路径、分辨率、canvas、字体个数、字体md5、cpu型号、cpu核心数、鼠标键盘按键次数等。
91.考虑到如果将每个操作环境参数都作为一个独立的事件特征，则普通注册事件的事件特征集合中与异常注册事件的事件特征集合中相同的事件特征所占的比例过大，这容易导致将普通注册事件产生的键值对与异常注册事件产生的键值对归于同一类，不能有效区分正常注册事件产生的键值对与异常注册事件产生的键值对，降低了生成的识别特征的准确性。
92.为此，在一些实施例中，可以不将每个操作环境参数都作为一个事件特征，而是将诸多操作环境参数形成少数若干个操作环境指纹，每个操作环境指纹作为一个事件特征。例如，可以将发起注册事件的操作环境中的一个或多个环境参数形成两个操作环境指纹，如下：
93.操作环境指纹1：基于语言、时区、操作系统、插件、是否支持java、是否支持cookie、是否打开控制台、存储路径，计算(如哈希计算)得到操作环境指纹1。
94.操作环境指纹2：基于分辨率、canvas、字体个数、字体md5、cpu型号、cpu核心数、鼠标键盘按键次数，计算得到操作环境指纹2。
95.上文仅描述了对于将一个或多个提取规则作用于一个注册事件得到一个或多个键值对。容易理解，对于每个注册事件，都可以如此处理，得到每个注册事件对应的一个或多个键值对。
96.s106：根据得到的各个键值对之间的相似度，将相似度大于设定相似度的键值对归入同一键值对集合。
97.在注册风控领域，有限时间段内发生的大量具有共性的注册事件更可能属于异常注册事件，因此，在步骤s100中，需要获取发生在设定时间段内(即有限时间段内)的注册事件，并且，对这些注册事件产生的键值对进行聚类，如果不是获取有限时间段内集中发生的注册事件进行键值对聚类，而是不限定时间段，对长期发生的注册事件所产生的键值对进行累积，则这样累积出的键值对即便数量再多，也不能符合认定异常注册事件的标准(即有限时间段内集中发生的、具有共性的、大量注册事件)，这样做是没有意义的。
98.此外需要说明，如果在比较长的有限时间段内(如1天、1个月等)进行聚类，则即便同一类的键值对的数量再多，这些键值对是基于同一批异常注册事件所产生的概率也不是很大。因此，进一步地，可以通常将设定时间段所对应的时长设定的比较短，例如可以将设定时间段所对应的时长设定为10分钟至30分钟范围内的某个时长(如10分钟、20分钟、30分
钟)，在较短的有限时间段内发生的大量的具有共性的注册事件是异常注册事件的概率比较大。
99.在预设的提取规则中，有些提取规则用于从匹配于该提取规则的注册事件的事件特征集合中提取部分事件特征(而不是全部事件特征)，这样的提取规则作用于不同的注册事件所得到的键值对可能相同，这说明产生这些键值对的不同注册事件之间具有明显的共性。可以将键值对的聚类标准设置为，只有相同的键值对才被归入一类，即可以根据得到的各个键值对，将相同的键值对归入同一键值对集合。
100.此外，同一提取规则作用于不同的注册事件所得到的键值对也可能相似，如果键值对之间足够相似，也能说明产生这些键值对的不同注册事件之间具有比较明显的共性，因此，也可以将足够相似的键值对归于同一类，即归入同一类的键值对之间不必相同。在一些实施例中，键值对之间的相似性具体可以是指键相同的不同键值对的值之间的相似性，也就是说，对于键不同的键值对，可以认定为不相似。
101.在一些实施例中，在一个键值对中，键所包含的各个特征类型标识的排列顺序，可以与值所包含的分别对应于各个特征类型标识的事件特征的排列顺序相同。如此一来，注册风控系统在读取键值对时，可以更容易明确键中的特征类型标识与值中的事件特征值之间的一一对应关系。
102.另外在一些实施例中，可以将相似度大于设定相似度、且数量超过的一定数量的键值对归入同一键值对集合。也就是说，如果一些键值对彼此足够相似，但是这些键值对的数量过少，也没有必要对这些键值对聚类为一个键值对集合。
103.s108：根据包含的键值对数量超过第一数量的键值对集合，生成用于识别异常注册事件的识别特征。
104.将在设定时间段内发生的注册事件所产生键值对进行聚类，如果归属于同一类的键值对的数量足够多，则说明产生这些键值对的注册事件是足够多且具有足够共性的一批注册事件，这些注册事件大概率属于异常注册事件。因此，可以基于这些键值对，生成用于识别异常注册事件的识别特征。
105.在一些实施例中，对于归属于同一类的足够多的键值对，可以将这些键值对包含的网络服务标识、注册来源标识、事件特征(事件特征类型标识与事件特征的值)组成识别特征，用于识别异常注册事件。注册风控系统可以基于该识别特征对后续获取到的注册事件的属性信息进行识别，如果注册事件的属性信息包含该识别特征，则确定该注册事件命中该识别特征，该注册事件属于异常注册事件。
106.在一些实施例中，可以将包含的键值对数量超过第一数量的键值对集合提供给管理员进行审核，以便管理员决定是否根据该键值对集合生成用于识别异常注册事件的识别特征。可以根据包含的键值对数量超过第二数量的键值对集合，自动生成用于识别异常注册事件的识别特征；其中，第二数量大于第一数量。
107.也就是说，如果归属于同一类的键值对的数量大于第一阈值但是小于第二阈值(其中第二阈值大于第一阈值)，则说明归属于同一类的键值对的数量比较多，则可以将相应的键值对集合认定为可能异常，将可能异常的键值对集合提供给管理员进行人工判断，如果管理员认为该键值对集合对应的多个注册事件符合“有限时间段中集中发生的、大量的、具有共性的注册事件”的标准，那么，可以人工根据该键值对集合生成用于识别异常注
册事件的识别特征。如果归属于同一类的键值对的数量大于第二阈值，则说明归属于同一类的键值对的数量非常多，则可以无需经过人工判断，而是直接将相应的键值对集合认定为确认异常，根据确认异常的键值对集合自动生成用于识别异常注册事件的识别特征。参见图2，图2示例性提供一种生成识别特征的流程，包括以下步骤：
108.s201：从设定时间段内发生的注册事件流中过滤确认正常、确认异常的注册事件，保留识别为未知、疑似的注册事件。
109.s202：确定保留的每个注册事件所匹配的一个或多个提取规则。
110.s203：将匹配的每个提取规则分别作用于该注册事件，得到每个提取规则对应的键值对。
111.s204：将相似度大于设定相似度的键值对归于同一键值对集合，累计每个键值对集合中键值对的数量。
112.s205：将键值对数量大于第一数量、小于第二数量的键值对集合输出给管理员，由管理员判断是否生成识别特征。
113.s206：将键值对数量大于第二数量的键值对集合输出，直接生成识别特征。
114.s207：将生成的识别特征应用于注册风控。
115.需要说明的是，前文所述的注册事件可以是指第一类注册事件，第一类注册事件是正在注册中且注册尚未完成的注册事件。为了描述的方便，将第一类注册事件所发生的设定时间段称为第一类设定时间段。由于第一类注册事件是实时发生的，因此，在第一类设定时间段内执行图1所示方法流程，即在设定时间段内获取实时发生的多个第一类注册事件，产生键值对并进行聚类，如果某个键值对集合中的键值对数量比较多，则说明产生该键值对集合中每个键值对的第一类注册事件所形成的集合，是集中发生在设定时间段内、数量较多、具有共性的一批第一类注册事件，大概率属于在设定时间段内正在实时发生的一批异常注册事件，因此，基于该键值对集合得到的识别特征，可以及时配置给注册风控系统，使得注册风控系统能够响应于第一类设定时间段的结束，基于该识别特征进行风控，从而及时地识别出与上述的这一批异常注册事件属于同一批次的、后续发生的其他异常注册事件。
116.相应的，可以利用根据第一类设定时间段内正在发生的若干第一类注册事件所生成识别特征，对第一类设定时间段结束之后正在发生的更多第一类注册事件进行监测，以识别出其中的异常注册事件；触发针对于该异常注册事件的拦截机制，使得该异常注册事件的注册失败。触发针对于该异常注册事件的拦截机制的方式例如可以是通知受理该异常注册事件的网络服务方进行注册拦截。
117.此外在一些实施例中，可以获取发生在设定时间段内的第二类注册事件的事件属性信息；第二类注册事件是已完成注册的注册事件。为了描述的方便，将第二类注册事件所发生的设定时间段称为第二类设定时间段。由于第二类注册事件是已经完成的注册事件，这意味着，第二类注册事件发生的第二类时间段与执行图1所示方法流程的时间段不是同一时间段，这是基于第二类注册事件生成识别特征的实施例与基于第一类注册事件生成识别特征的实施例之间的显著区别。
118.换言之，在执行图1所示方法时的当前有限时间段，对于发生在当前有限时间段内的多个第一类注册事件进行聚类是有意义的，可以实时生成识别特征；而在执行图1所示方
法时的当前有限时间段，对于发生在当前有限事件段之前的历史有限时间段内的多个第二类注册事件所产生的键值对进行聚类才是有意义的，可以延后生成识别特征，根据生成的识别特征对于一些历史上已经通过第一次风控(但实际上存在风险)并产生账号的第二类注册事件进行补救性风控。
119.相应的，可以利用识别特征(即根据第二类设定时间段内已经发生的若干第二类注册事件所生成的识别特征)，对第二类设定时间段之外已经发生的第二类注册事件进行监测，以识别出其中的异常注册事件；触发针对于该异常注册事件的账号冻结机制，使得该异常注册事件所注册成功的账号暂时不可使用。触发针对于该异常注册事件的账号冻结机制的方式例如可以是通知受理该异常注册事件的网络服务方进行账号冻结。
120.还可以响应于所监测到的注册事件为所述第二类注册事件，基于当前的用于识别异常注册事件的识别特征，确定该第二类注册事件的风险标签，并将所确定的风险标签作为事件特征加入该第二类注册事件所对应的事件特征集合；其中，所述风险标签用于表征该第二类注册事件属于异常注册事件的风险。风险标签可以包括若干风险等级，例如良好、未知、疑似、危险。
121.此处需要说明，考虑到注册事件的事件特征集合中可能包含注册风控系统赋予该注册事件的风险标签，这可以视为是一种特殊的事件特征，因此，在预先设置提取规则时，可以设置有的提取规则中用于提取事件特征的字段包含一种特殊的特征类型标识，代表需要从事件特征集合中提取注册风控系统赋予该注册事件的风险标签。
122.此处举一个具体的示例。参见下表3：
123.网络服务标识注册来源标识特征类型标识pro1source1phone、xpro1source1phone、ippro1source1phone、ip地区
124.表3
125.预设的提取规则中可以包含一条能够从注册事件的事件特征集合中提取风险标签的提取规则，如表3中的第一条规则，该提取规则的特征类型标识字段中包含一种特殊的特征类型标识，即x，代表需要从注册事件的事件特征集合中提取风险标签，并将该风险标签写入该提取规则生成的键值对的值中。
126.假设注册事件的属性信息中，受理该注册事件的网络服务所对应网络服务标识为pro1，该注册事件的注册来源标识为source1，该注册事件的注册事件特征中，手机号(phone)为136****690，ip为115.236.191.0，ip地区为中国北京。注册风控系统可以基于既有的用于识别异常注册事件的识别特征，给出对该注册事件的识别结果(良好、未知、疑似、危险中的一种)，作为风险标签(例如是疑似)。
127.将表3中的第一条提取规则作用于该注册事件之上，得到相应的键值对为，键：pro1-source1-phone-x；值：136****690-疑似。
128.图3示例性提供一种注册风控系统处理注册事件流的流程。注册事件流可以理解为设定时间段内连续发生的一批的注册事件。在一些实施例中，设定时间段可以是注册风控系统当前正在工作的某个时间段(可以称为第一类设定时间段)，注册事件流可以是在第一类设定时间段内正在发生的一批注册事件，即实时发生的第一类注册事件流。在另一些
实施例中，设定时间段可以是注册风控系统历史上工作过的某个时间段(可以称为第二类设定时间段)，注册事件流可以是历史上在第二类设定时间段内已经发生过的一批注册事件，即已经发生过的第二类注册时间流。
129.注册风控系统可以包括聚类模块301、识别特征自动生成模块302、识别特征人工生成模块303、风控执行模块304。注册事件流进入注册风控系统之后，一方面进入聚类模块来生成识别特征，另一方面进入风控执行模块进行异常注册事件识别，容易理解，此时风控执行模块是基于既有的识别特征集合从注册事件流中识别异常注册事件。
130.聚类模块针对注册事件流中的每个注册事件，将预设的若干提取规则分别作用于该注册事件，得到若干键值对。然后，聚类模块对每个发生于设定时间段内的注册事件所产生的若干键值对进行聚类统计，将相似度大于设定相似度的键值对归入同一键值对集合，并且，将包含的键值对数量超过第一数量的键值对集合推送给识别特征人工生成模块，将包含的键值对数量超过第二数量(大于第一数量)的键值对集合推送给识别特征自动生成模块。
131.识别特征人工生成模块将接收到的键值对集合展示给管理员进行人工判断，管理员可以选择基于该键值对集合是否生成识别特征，如果管理员基于该键值对集合生成识别特征，则识别特征人工生成模块将该识别特征推送给风控执行模块，相当于将该识别特征配置给风控执行模块。识别特征自动生成模块会直接基于接收到的键值对集合生成识别特征，并推送给风控执行模块，相当于将该识别特征配置给风控执行模块。
132.风控执行模块可以在配置了识别特征的时间点之后(识别特征集合发生更新之后)，对在该时间点之后接收到的注册事件流进行识别，以发现其中的异常注册事件。
133.此外，继续参见图2，在一些实施例中，风控执行模块对注册事件的识别结果可以包括4个等级，依次为良好、未知、疑似、危险。在注册事件流进入聚类模块之前，注册风控系统的风控执行模块可以先对注册事件流进行识别，将识别结果为良好或危险的注册事件进行过滤，仅保留识别结果为未知或疑似的注册事件，将过滤后的注册事件流输入聚类模块进行处理。
134.如此一来，对于已经确定异常(即危险)或者确定正常(即良好)的注册事件，可以不进行键值对提取与键值对聚类统计，即不作为生成识别特征的依据。原因在于，既然风控执行模块可以基于既有的识别特征集合将一些注册事件认定为正常或异常，那么说明既有的识别特征集合已经有能力对这些注册事件进行准确识别了；而既然风控执行模块基于既有的识别特征集合将另一些注册事件认定为未知或疑似，则说明既有的识别特征集合缺乏能力对另一些注册事件进行准确识别，因此需要生成新的识别特征补充至风控执行模块的识别特征集合中，以完善风控执行模块的识别能力。
135.在一些实施例中，所生成的用于识别异常注册事件的识别特征可以具有有效期。可以响应于在所述有效期之内，基于所述识别特征所识别出的异常注册事件的数量大于第三数量，则对所述有效期进行延展。也就是说，对于某时间段内正在发生的异常注册事件，如果某个或某些识别特征的识别效果较好(即在该时间段内能够准确识别出大量的异常注册事件)，则说明相应的识别特征与该批次的异常注册事件具有很好的对应性，并且考虑到该批次的异常注册事件可能在之后的一段时间内仍然会不断地涌现，因此，为了继续应对之后发生的、与该批次的异常注册事件相类似的其他异常注册事件，可以延展该识别特征
的有效期，从而基于识别特征的识别效果动态配置相应识别特征的有效期，最大限度地发挥识别特征的效力。
136.此外，本公开提供一种将相似度大于设定相似度的键值对归入同一键值对集合的具体实施方式。
137.可以先将得到的各个键值对中相同的键值对(可以认为相似度无限大)归入同一键值对集合。然后，确定各个键值对中满足相似条件的键值对，其中，两个键值对满足相似条件，包括：这两个键值对的键相同，值所包含的归属于至少一个特征类型标识的事件特征不同。接着，对于满足相似条件的键值对两两计算相似度，包括：确定这两个键值对的值所包含的归属于同一特征类型标识的不同事件特征，对归属于同一特征类型标识的不同事件特征计算相似度，基于若干特征类型标识分别对应的相似度计算平均相似度，并将该平均相似度作为这两个键值对之间的相似度。然后，将相似度大于设定相似度的键值对归入同一键值对集合。
138.考虑到同一用户或者组织发起批量的异常注册事件时，对于不同注册事件所使用的手机号、密码、useragent、cookie等事件特征往往差异比较大(这也是该用户或组织刻意采用的手段以规避注册风控)，但是对于不同注册事件所使用的账号名往往具有一定的相似性。此外，该用户或者组织所处的地理位置往往局限在一定区域，因此，对于不同注册事件所使用的ip地址也往往比较接近。
139.在一些实施例中，将这两个键值对的值所包含的归属于同一特征类型标识的不同事件特征之间的计算相似度的步骤可以包括：若该同一特征类型标识为账号名类型标识，则计算这两个键值对所包含的不同账号名之间的相似度。例如，可以通过比较不同账号名的编辑距离的方式，计算不同账号名之间的相似度。
140.进一步地，可以基于同一键值对集合中不同键值对所包含的相似的账号名，确定用于匹配这些相似的账号名的正则表达式。例如，相似的账号名syh1、syh2、syh3所匹配的正则表达式为syh\d。
141.若该同一键值对集合中的键值对数量大于第一数量，则将该键值对集合中各个键值对所包含的相同的事件特征与所述正则表达式，组成用于识别异常注册事件的识别特征。也就是说，后续基于该识别特征进行注册事件识别时，需要判断该注册事件对应的账号名是否匹配该正则表达式，如果不匹配，则可以确定该注册事件未命中该识别特征。
142.在一些实施例中，对归属于同一特征类型标识的不同事件特征计算相似度的步骤可以包括：若该同一特征类型标识为ip地址类型标识，则计算这两个键值对所包含的不同ip地址之间的相似度。例如，可以通过比较不同ip地址之间的geohash编码来确定不同ip地址之间的相似度。
143.进一步地，还可以基于同一键值对集合中不同键值对所包含的相似的ip地址，确定这些相似的ip地址的共同geohash编码前缀。若该同一键值对集合中的键值对数量大于第一数量，则将该键值对集合中各个键值对所包含的相同的事件特征与所述共同geohash编码前缀，组成用于识别异常注册事件的识别特征。
144.另外，注册风控系统还可以从独立于注册风控系统的辅助风控系统获取异常标签，辅助注册风控系统进行异常注册事件的识别，或者辅助注册风控系统生成用于识别异常注册事件的识别特征。
145.上述的异常标签用于标记辅助风控系统认定的异常注册事件的事件特征。由于辅助风控系统独立于注册风控系统，因此，辅助风控系统可能拥有一些注册风控系统所不具备的风控能力，这导致一些在注册风控系统看来属于正常注册事件的事件特征，在辅助风控系统看来可能属于异常注册事件的事件特征。
146.注册风控系统若监测到的注册事件的事件特征集合中包括该异常标签所标记的事件特征，则可以将该异常标签作为一个事件特征加入到该事件特征集合；或者，基于该异常标签生成用于识别异常注册事件的识别特征。
147.注册风控系统在将异常标签作为一个事件特征加入到该事件特征集合之后，可以基于更新后的该事件特征集合，复核已被所述注册风控系统认定为正常注册事件的属性信息。
148.另外，如果更新后的事件特征集合对应的注册事件之前被所述注册风控系统认定为正常注册事件，则重新将各个提取规则作用于该注册事件，重新生成该注册事件对应的各个键值对。之后，对键值对进行重新聚类，重新生成识别特征。
149.此处需要说明，考虑到注册事件的事件特征集合中可能包含辅助风控系统发送给注册风控系统的异常标签，该异常标签可以用于标记某个具体的事件特征是否属于异常事件的事件特征，该异常标签本身也可以视为是一种特殊的事件特征，因此，在预先设置提取规则时，可以设置有的提取规则中用于提取事件特征的字段包含一种特殊的特征类型标识，代表需要从事件特征集合中提取异常标签。
150.此处举一个具体的示例。参见下表4：
151.网络服务标识注册来源标识特征类型标识pro1source1phone、ypro1source1phone、ip、ypro1source1phone、ip地区
152.表4
153.预设的提取规则中可以包含一条能够从注册事件的事件特征集合中提取异常标签的提取规则，如表4中的第一条规则和第二条规则，该提取规则的特征类型标识字段中包含一种特殊的特征类型标识，即y，代表需要从注册事件的事件特征集合中提取异常标签，并将该异常标签写入该提取规则生成的键值对的值中。
154.假设注册事件的属性信息中，受理该注册事件的网络服务所对应网络服务标识为pro1，该注册事件的注册来源标识为source1，该注册事件的注册事件特征中，手机号(phone)为136****690，ip为115.236.191.0，ip地区为中国北京。辅助风控系统刚好对于上述的手机号136****690，认定其属于黑产使用的手机号，因此，辅助风控系统可以生成用于表明手机号属于异常的异常标签，该异常标签可以记为：“手机号异常”。将该异常标签发送给注册风控系统，由注册风控系统将该异常标签添加至包含该手机号的注册事件(例如上述的注册事件)的注册事件特征集合中。
155.将表4中的第一条提取规则作用于该注册事件之上，得到相应的键值对为，键：pro1-source1-phone-y；值：136****690-手机号异常。将表4中的第二条提取规则作用于该注册事件之上，得到相应的键值对为，键：pro1-source1-phone-ip-y；值：136****690-115.236.191.0-手机号异常。
156.此处对辅助风控系统获得异常标签的几种途径进行介绍。
157.在一些实施例中，注册风控系统可以将监测到的注册事件的属性信息发送给所述辅助风控系统，以使得所述辅助风控系统执行以下步骤：
158.将一个或多个该注册事件的事件特征展示给风控人员，以便于风控人员自定义若干异常标签并将之输入给所述辅助风控系统。
159.在一些实施例中，注册风控系统可以将监测到的注册事件的属性信息发送给所述辅助风控系统，以使得所述辅助风控系统执行以下步骤：
160.将该注册事件的一个或多个事件特征发送给黑产信息标记平台；接收所述黑产信息标记平台针对该一个或多个事件特征是否属于黑产信息的标记结果；将表征属于黑产信息的标记结果作为异常标签发送给所述注册风控系统。
161.在一些实施例中，注册风控系统可以将监测到的注册事件的属性信息发送给所述辅助风控系统，以使得所述辅助风控系统执行以下步骤：
162.基于不同注册事件的属性信息，统计匹配于同一异常标签的不同注册事件的数量，其中，匹配于该异常标签的注册事件具有对应于该异常标签的事件特征；将对应的统计数量大于第四数量的异常标签发送给所述注册风控系统。
163.也就是说，在此实施例中，辅助风控系统可以直接跨不同注册事件统计匹配于同一异常标签的注册事件的数量。作为区别，注册风控系统通常不具有直接跨不同注册事件统计的功能，注册风控系统通常是针对每个注册事件提取若干键值对，然后对键值对进行聚类，基于数量足够多的相似键值对生成识别特征。
164.在一些实施例中，注册风控系统可以将监测到的注册事件的属性信息发送给所述辅助风控系统，以使得所述辅助风控系统执行以下步骤：
165.选取该注册事件的一个或多个事件特征发送给若干网络服务的提供方，以便于每个网络服务的提供方基于该网络服务的运行情况对该事件特征是否属于异常事件特征进行标记；获取每个网络服务的提供方返回的标记结果，将表征属于异常事件特征的标记结果作为异常标签发送给所述注册风控系统。
166.也就是说，在此实施例中，网络服务的服务方可以将自身在运营过程中发现的异常账号对应的特征作为异常事件特征，将对该异常事件特征的标记作为异常标签提供给辅助风控系统，进而由辅助风控系统将异常标签提供给注册风控系统。
167.进一步地，每个网络服务的提供方可以对注册风控系统认定的正常注册事件所对应账号的行为数据进行检测，该正常注册事件是该网络服务受理的注册事件，若确定检测到的账号行为异常，则确定该正常注册事件实际为异常注册事件(即发生了漏判)，并将该异常注册事件的属性信息反馈给所述辅助风控系统。如此，辅助风控系统执行的步骤还包括：
168.针对每个网络服务，将该网络服务的提供方所反馈的异常注册事件的属性信息，进一步反馈给其他网络服务的提供方作为参考；
169.和/或
170.针对每个网络服务，将该网络服务的提供方所反馈的异常注册事件的属性信息，反馈给所述注册风控系统，以便所述注册风控系统调整用于识别异常注册事件的识别特征。
171.此处需要说明，网络服务的提供方是在取得账号对应的用户的授权情况下，才会对账号的行为数据进行检测。
172.进一步地，每个网络服务的提供方可以对所述注册风控系统认定的异常注册事件所对应账号的行为数据进行检测，该异常注册事件是由对应的网络服务的提供方所受理的，若确定检测到的账号行为正常，则确定该异常注册事件实际为正常注册事件(则发生了误判)，并将该正常注册事件的属性信息反馈给所述辅助风控系统；
173.所述辅助风控系统执行的步骤还包括：
174.针对每个网络服务，将该网络服务的提供方所反馈的正常注册事件的属性信息，转发给其他网络服务的提供方；
175.和/或
176.针对每个网络服务，将该网络服务的提供方所反馈的正常注册事件的属性信息，转发给所述注册风控系统，以便所述注册风控系统调整用于识别异常注册事件的识别特征。
177.此处给出一个具体的示例。
178.假设某个注册事件的属性信息中，受理该注册事件的网络服务所对应网络服务标识为pro1，该注册事件的注册来源标识为source1，该注册事件的注册事件特征集合包括以下注册事件特征：
179.手机号(phone)为136****690；
180.ip为115.236.191.0；
181.ip地区为中国北京；
182.账号名为shenyahui*56syh；
183.若干操作环境参数，分别为语言(中文)、时区(东八区)、cookie、分辨率(1080p)、cpu型号(i5-4800u)、cpu核心数(8核)。
184.将该注册事件的中一些注册事件特征可以进一步转换，例如，账号名shenyahui*56syh可以转换成其所归属的命名模板p3o1d2e3(转换方法参见前文说明)，同时，原本的账号名依然作为事件特征予以保留。又如，若干操作环境操作可以转换成两个操作环境指纹，即将语言(中文)、时区(东八区)、cookie计算哈希值，得到操作环境指纹1(假设操作环境指纹1对应的哈希值为abcf)；将分辨率(1080p)、cpu型号(i5-4800u)、cpu核心数(8核)计算哈希值，得到操作环境指纹2(假设操作环境指纹2对应的哈希值为cdee)，同时，原本的若干操作环境参数不再作为事件特征进行保留。
185.于是，该注册事件的事件特征集合被更新为包括如下事件特征：
186.手机号(phone)为136****690；
187.ip为115.236.191.0；
188.ip地区为中国北京；
189.账号名为shenyahui*56syh；
190.命名模板为p3o1d2e3；
191.操作环境指纹1；
192.操作环境指纹2。
193.此外，还可以向事件特征集合中进一步加入事件特征，对事件特征集合进行更新。
可以将注册风控系统基于既有的识别特征对该注册事件的识别结果作为风险标签，加入到该事件特征集合中。例如，风险标签为疑似。
194.也可以将辅助风控系统提供给注册风控系统的异常标签也加入到该事件特征集合中。例如，异常标签为手机号异常。
195.假设预设的提取规则如下表5所示：
[0196][0197]
表5
[0198]
x代表的特征类型为风险标签，y代表的特征类型为异常标签。
[0199]
那么，表5所示的三条提取规则由于都包含了pro1-source1，与上述的注册事件是匹配的，因此，可以将这三条提取规则都作用于该注册事件，得到以下三个键值对：
[0200]
键值对1，键：pro1-source1-phone-操作环境指纹1-账号名-x；值：136****690-abcf-shenyahui*56syh-疑似；
[0201]
键值对2，键：pro1-source1-phone-ip-命名模板-y；值：136****690-115.236.191.0-p3o1d2e3-手机号异常；
[0202]
键值对3，键：pro1-source1-phone-操作环境指纹2-账号名-ip-ip地区；值：136****690-cdee-shenyahui*56syh-115.236.191.0-中国北京。
[0203]
以下基于上述示例，详细说明如何比较两个键值对之间的相似性。
[0204]
假设键值对4，键：pro1-source1-phone-操作环境指纹1-账号名-x；值：136****690-abcf-shenyahui*66syh-疑似；
[0205]
可以发现，键值对1和键值对4的主要区别在于账号名不同。可以计算这两个账号名之间的编辑距离，作为相似度。假设键值对1和键值对4各自包含的账号名是足够相似的，那么，键值对1和键值对4可以被归位同一键值对集合中。此外，可以将这两个不同的账号名的共性抽象成正则表达式，后续如果需要基于键值对1、键值对4生成识别特征，则使用该正则表达式代替键值对1、键值对4中具体的账号名。
[0206]
假设键值对5，键：pro1-source1-phone-ip-命名模板-y；值：136****690-115.236.191.1-p3o1d2e3-手机号异常。
[0207]
可以发现，键值对2和键值对5的主要区别在于ip地址不同。因此，可以将两个ip地址分别转换成geohash编码，然后比较两个geohash编码，相同的编码前缀越多，则这两个geohash编码之间的相似度越高，如此可以得到这两个ip地址之间的相似度，作为键值对2和键值对5的相似度。假设这两个ip地址足够相似，那么，可以将键值对2和键值对5归属于同一键值对集合。此外，可以将这两个ip地址的共同编码前缀提取出来，后续如果需要基于键值对2、键值对5生成识别特征，则可以使用该共同编码前缀代替具体的ip地址。
[0208]
假设键值对6，键：pro1-source1-phone-操作环境指纹2-账号名-ip-ip地区；值：136****690-cdee-shenyahui*66syh-115.236.191.1-中国北京。
[0209]
可以发现，键值对3和键值对6之间的主要区别在于账号名不同、ip地址不同。那
么，可以分别对两个ip地址计算相似度、对两个账号名计算相似度，然后计算ip地址相似度与账号名相似度的平均值，作为这两个键值对之间的相似度。假设这两个键值对足够相似，则可以将键值对3和键值对6归入同一键值对集合。
[0210]
此处对基于某个键值对集合中的键值对生成识别特征，进行详细说明。
[0211]
假设设定数量为3，即键值对集合包含的键值对数量超过3，就可以将该键值对集合输出用于生成识别特征。某个键值对包含4个键值对，如下：
[0212]
键：pro1-source1-phone-操作环境指纹1-账号名-ip-x；值：136****690-abcf-syh1-115.236.191.1-疑似；
[0213]
键：pro1-source1-phone-操作环境指纹1-账号名-ip-x；值：136****690-abcf-syh2-115.236.191.1-疑似；
[0214]
键：pro1-source1-phone-操作环境指纹1-账号名-ip-x；值：136****690-abcf-syh3-115.236.191.1-疑似；
[0215]
键：pro1-source1-phone-操作环境指纹1-账号名-ip-x；值：136****690-abcf-syh4-115.236.191.1-疑似；
[0216]
那么，基于此键值对集合生成识别特征时，将这些键值对进行合并，即将相同的键保留，将相同的值的保留，将不同但相似的值代替成共性表征(例如ip地址的共同编码前缀、账号名的正则表达式)，具体得到的识别特征可以依然是一个键值对，包括：
[0217]
键：pro1-source1-phone-操作环境指纹1-账号名-ip-x；值：136****690-abcf-syh\d-共同编码前缀-疑似。
[0218]
注册风控系统在利用上述识别特征进行注册事件识别时，先判断待识别的注册事件是否对应pro1、source1，如果对应，则进一步从注册事件的事件特征集合中提取phone、操作环境指纹1、账号名、ip、x等类型的事件特征，然后判断是否与识别特征包含的值匹配，如果完全匹配，则认定该注册事件属于异常注册事件，如果不完全匹配，则根据该注册事件对应的事件特征与识别特征包含的事件特征的重合程度，认定该注册事件属于未知、疑似还是良好，其中，重合程度越高，该注册事件越可能属于异常注册事件。
[0219]
图4示例性提供一种异常注册事件的识别特征生成装置的结构，其包括：
[0220]
获取模块401，获取监测到的注册事件的属性信息，该属性信息包括：受理该注册事件的网络服务所对应的网络服务标识，对应于该注册事件之来源的注册来源标识，该注册事件的事件特征集合；
[0221]
提取模块402，根据匹配于该网络服务标识且匹配于该注册来源标识的若干提取规则，从该事件特征集合中提取对应于每个提取规则的若干事件特征；
[0222]
第一生成模块403，针对每个提取规则，生成对应于该提取规则的一个键值对；其中，该键值对中的键包含该网络服务标识、该注册来源标识、该提取规则对应的每个事件特征所归属的特征类型标识，该键值对中的值包含该提取规则对应的每个事件特征的值；
[0223]
第二生成模块404，根据在设定时段内得到的各个键值对之间的相似度，将相似度大于设定相似度的键值对归入同一键值对集合，并且，根据包含的键值对数量超过第一数量的键值对集合，生成用于识别异常注册事件的识别特征。
[0224]
在一些实施例中，所述获取模块401，获取在第一类设定时间段内监测到的第一类注册事件的事件属性信息；第一类注册事件是正在注册中且注册尚未完成的注册事件。
[0225]
在一些实施例中，还包括：
[0226]
识别模块405，基于所生成的用于识别异常注册事件的识别特征，对第一类设定时间段之后发生的第一类注册事件进行监测，以识别出其中的异常注册事件；触发针对于该异常注册事件的拦截机制。
[0227]
在一些实施例中，所述获取模块401，获取发生于第二类设定时间段内的第二类注册事件的事件属性信息；第二类注册事件是已完成注册的注册事件。
[0228]
在一些实施例中，还包括：
[0229]
识别模块405，基于所生成的用于识别异常注册事件的识别特征，对第二类设定时间段之外发生的第二类注册事件进行监测，以识别出其中的异常注册事件；触发针对于该异常注册事件的账号冻结机制。
[0230]
在一些实施例中，所述装置还包括：
[0231]
特征加入模块406，响应于所监测到的注册事件为所述第二类注册事件，则基于当前的用于识别异常注册事件的识别特征，确定该第二类注册事件的风险标签，并将所确定的风险标签作为事件特征加入该第二类注册事件所对应的事件特征集合；其中，所述风险标签用于表征该第二类注册事件属于异常注册事件的风险。
[0232]
在一些实施例中，该注册事件的事件特征集合包括以下至少一个事件特征：
[0233]
该注册事件的发生时间；
[0234]
该注册事件对应的账号名；
[0235]
该注册事件对应的密码；
[0236]
该注册事件对应的手机号；
[0237]
发起该注册事件的ip地址；
[0238]
发起该注册事件的ip地址所属地区；
[0239]
发起该注册事件的浏览器的一个或多个操作环境参数。
[0240]
在一些实施例中，所述特征加入模块406，确定对应于该注册事件的账号名以及该账号名所归属的命名模板；将所述命名模板作为事件特征加入到该注册事件所对应的事件特征集合；其中，所述账号名与所述命名模板之间遵循预设的模糊匹配规则。
[0241]
在一些实施例中，所述特征加入模块406，根据发起该注册事件的浏览器的一个或多个操作环境参数，确定至少一个浏览器指纹，将每个浏览器指纹作为一个事件特征加入到该注册事件的事件特征集合。
[0242]
在一些实施例中，在一个键值对中，键所包含的各个特征类型标识的排列顺序，与值所包含的分别对应于各个特征类型标识的事件特征的排列顺序相同。
[0243]
在一些实施例中，所述第二生成模块404，根据得到的各个键值对，将相同的键值对归入同一键值对集合。
[0244]
在一些实施例中，所述第二生成模块404，将得到的各个键值对中相同的键值对归入同一键值对集合；确定各个键值对中满足相似条件的键值对；其中，两个键值对满足相似条件，包括：这两个键值对的键相同，值所包含的归属于至少一个特征类型标识的事件特征不同；对于满足相似条件的键值对两两计算相似度，包括：确定这两个键值对的值所包含的归属于同一特征类型标识的不同事件特征，对归属于同一特征类型标识的不同事件特征计算相似度，基于若干特征类型标识分别对应的相似度计算平均相似度，并将该平均相似度
作为这两个键值对之间的相似度；将相似度大于设定相似度的键值对归入同一键值对集合。
[0245]
在一些实施例中，所述第二生成模块404，若该同一特征类型标识为账号名类型标识，则计算这两个键值对所包含的不同账号名之间的相似度。
[0246]
在一些实施例中，所述第二生成模块404，基于同一键值对集合中不同键值对所包含的相似的账号名，确定用于匹配这些相似的账号名的正则表达式；若该同一键值对集合中的键值对数量大于第一数量，则将该键值对集合中各个键值对所包含的相同的事件特征与所述正则表达式，组成用于识别异常注册事件的识别特征。
[0247]
在一些实施例中，所述第二生成模块404，若该同一特征类型标识为ip地址类型标识，则计算这两个键值对所包含的不同ip地址之间的相似度。
[0248]
在一些实施例中，所述第二生成模块404，基于同一键值对集合中不同键值对所包含的相似的ip地址，确定这些相似的ip地址的共同geohash编码前缀；若该同一键值对集合中的键值对数量大于第一数量，则将该键值对集合中各个键值对所包含的相同的事件特征与所述共同geohash编码前缀，组成用于识别异常注册事件的识别特征。
[0249]
在一些实施例中，所述第二生成模块404，将包含的键值对数量超过第一数量的键值对集合提供给管理员进行审核，以便管理员决定是否根据该键值对集合生成用于识别异常注册事件的识别特征；根据包含的键值对数量超过第二数量的键值对集合，自动生成用于识别异常注册事件的识别特征；其中，第二数量大于第一数量。
[0250]
在一些实施例中，所生成的用于识别异常注册事件的识别特征具有有效期，所述装置还包括：
[0251]
有效期延展模块407，响应于在所述有效期之内，基于所述识别特征所识别出的异常注册事件的数量大于第三数量，则对所述有效期进行延展。
[0252]
在一些实施例中，应用于注册风控系统，所述装置还包括：
[0253]
交互模块408，获取辅助风控系统所提供的异常标签，其中，所述辅助风控系统独立于所述注册风控系统，异常标签用于标记辅助风控系统认定的异常注册事件的事件特征；若监测到的注册事件的事件特征集合中包括该异常标签所标记的事件特征，则将该异常标签作为一个事件特征加入到该事件特征集合；或者，基于该异常标签生成用于识别异常注册事件的识别特征。
[0254]
在一些实施例中，所述交互模块408，将监测到的注册事件的属性信息发送给所述辅助风控系统，以使得所述辅助风控系统执行以下步骤：
[0255]
将一个或多个该注册事件的事件特征展示给风控人员，以便于风控人员自定义若干异常标签并将之输入给所述辅助风控系统。
[0256]
在一些实施例中，所述交互模块408，将监测到的注册事件的属性信息发送给所述辅助风控系统，以使得所述辅助风控系统执行以下步骤：
[0257]
将该注册事件的一个或多个事件特征发送给黑产信息标记平台；
[0258]
接收所述黑产信息标记平台针对该一个或多个事件特征是否属于黑产信息的标记结果；
[0259]
将表征属于黑产信息的标记结果作为异常标签发送给所述注册风控系统。
[0260]
在一些实施例中，所述交互模块408，将监测到的注册事件的属性信息发送给所述
辅助风控系统，以使得所述辅助风控系统执行以下步骤：
[0261]
基于不同注册事件的属性信息，统计匹配于同一异常标签的不同注册事件的数量，其中，匹配于该异常标签的注册事件具有对应于该异常标签的事件特征；
[0262]
将对应的统计数量大于第四数量的异常标签发送给所述注册风控系统。
[0263]
在一些实施例中，所述交互模块408，将监测到的注册事件的属性信息发送给所述辅助风控系统，以使得所述辅助风控系统执行以下步骤：
[0264]
选取该注册事件的一个或多个事件特征发送给若干网络服务的提供方，以便于每个网络服务的提供方基于该网络服务的运行情况对该事件特征是否属于异常事件特征进行标记；
[0265]
获取每个网络服务的提供方返回的标记结果，将表征属于异常事件特征的标记结果作为异常标签发送给所述注册风控系统。
[0266]
在一些实施例中，其中，每个网络服务的提供方对所述注册风控系统认定的正常注册事件所对应账号的行为数据进行检测，该正常注册事件是该网络服务受理的注册事件，若确定检测到的账号行为异常，则确定该正常注册事件实际为异常注册事件，并将该异常注册事件的属性信息反馈给所述辅助风控系统；
[0267]
所述辅助风控系统执行的步骤还包括：
[0268]
针对每个网络服务，将该网络服务的提供方所反馈的异常注册事件的属性信息，进一步反馈给其他网络服务的提供方作为参考；
[0269]
和/或
[0270]
针对每个网络服务，将该网络服务的提供方所反馈的异常注册事件的属性信息，反馈给所述注册风控系统，以便所述注册风控系统调整用于识别异常注册事件的识别特征。
[0271]
在一些实施例中，其中，每个网络服务的提供方对所述注册风控系统认定的异常注册事件所对应账号的行为数据进行检测，该异常注册事件是由对应的网络服务的提供方所受理的，若确定检测到的账号行为正常，则确定该异常注册事件实际为正常注册事件，并将该正常注册事件的属性信息反馈给所述辅助风控系统；
[0272]
所述辅助风控系统执行的步骤还包括：
[0273]
针对每个网络服务，将该网络服务的提供方所反馈的正常注册事件的属性信息，转发给其他网络服务的提供方；
[0274]
和/或
[0275]
针对每个网络服务，将该网络服务的提供方所反馈的正常注册事件的属性信息，转发给所述注册风控系统，以便所述注册风控系统调整用于识别异常注册事件的识别特征。
[0276]
在一些实施例中，还包括：
[0277]
复核模块409，在将该异常标签作为一个事件特征加入到该事件特征集合之后，基于更新后的该事件特征集合，复核已被所述注册风控系统认定为正常注册事件的属性信息。
[0278]
图5是本公开提供的一种计算机可读存储介质的示意图，该介质140上存储有计算机程序，所述程序被处理器执行时实现本公开任一实施例的方法。
[0279]
本公开还提供了一种计算设备，包括存储器、处理器；所述存储器用于存储可在处理器上运行的计算机指令，所述处理器用于在执行所述计算机指令时实现本公开任一实施例的方法。
[0280]
图6是本公开提供的一种计算设备的结构示意图，该计算设备15可以包括但不限于：处理器151、存储器152、连接不同系统组件(包括存储器152和处理器151)的总线153。
[0281]
其中，存储器152存储有计算机指令，该计算机指令可以被处理器151执行，使得处理器151能够执行本公开任一实施例的方法。存储器152可以包括随机存取存储单元ram1521、高速缓存存储单元1522和/或只读存储单元rom1523。该存储器152还可以包括：具有一组程序模块1524的程序工具1525，该程序模块1524包括但不限于：操作系统、一个或多个应用程序、其他程序模块和程序数据，这些程序模块一种或多种组合可以包含网络环境的实现。
[0282]
总线153例如可以包括数据总线、地址总线和控制总线等。该计算设备15还可以通过i/o接口154与外部设备155通信，该外部设备155例如可以是键盘、蓝牙设备等。该计算设备150还可以通过网络适配器156与一个或多个网络通信，例如，该网络可以是局域网、广域网、公共网络等。如图所示，该网络适配器156还可以通过总线153与计算设备15的其他模块进行通信。
[0283]
此外，尽管在附图中以特定顺序描述了本公开方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
[0284]
虽然已经参考若干具体实施方式描述了本公开的精神和原理，但是应该理解，本公开并不限于所公开的具体实施方式，对各方面的划分也不意味着这些方面中的特征不能组合以进行受益，这种划分仅是为了表述的方便。本公开旨在涵盖所附权利要求的精神和范围内所包括的各种修改和等同布置。