被盗账户检测方法、装置、电子设备与流程

1.本技术涉及计算机技术领域，特别是涉及被盗账户检测方法、装置、电子设备及计算机可读存储介质。


背景技术：

2.二次放号是指老用户永久停用电话号码后，号码由运营商收回、空置一段时间后重新分配给新用户。面对不断增长的号码需求，二次放号作为一种有效利用有限号码资源的策略，已经在多个国家被采用。在缓解号码资源压力的同时，二次放号也会对用户造成不利影响，例如：电话骚扰等。如果用户停用电话号后没有将其与电商等应用的账户解绑，使用该电话号码的新用户便可能通过电话号码要素登录账户，这构成了一种特殊的盗账户行为，本技术实施例中称之为“由二次放号导致的盗账户”。与一般盗账户相同，二次放号导致的盗账户也可能引发后续的盗刷账户、盗用身份信息等活动，对电话号码原主人造成严重损失。
3.为此，提供一种能够识别由二次放号导致的被盗账户的方法，对保护网络平台用户账户的信息安全非常重要。


技术实现要素：

4.本技术实施例提供一种被盗账户检测方法，有助于加强网络平台用户账户的信息和财产安全保护。
5.第一方面，本技术实施例提供了一种被盗账户检测方法，包括：
6.根据针对目标账户的至少一种第一账户操作行为的行为序列数据，获取用于表征所述第一账户操作行为的时序特征向量表示，其中，所述时序特征向量表示用于表征针对所述目标账户的所述第一账户操作行为的操作环境随时间的变化和/或使用习惯随时间的变化，所述第一账户操作行为包括：登陆行为和/或支付行为；
7.根据针对所述目标账户的至少一种第二账户操作行为的统计数据，获取用于表征针对所述目标账户的异常行为特征向量表示；
8.通过对所述时序特征向量表示和所述异常行为特征向量表示，进行加权融合，得到融合向量表示；
9.对所述融合向量表示进行分类映射，并根据所述进行分类映射得到的结果检测所述目标账户是否为被盗账户。
10.第二方面，本技术实施例提供了一种被盗账户检测装置，包括：
11.时序特征向量表示获取模块，用于根据针对目标账户的至少一种第一账户操作行为的行为序列数据，获取用于表征所述第一账户操作行为的时序特征向量表示，其中，所述时序特征向量表示用于表征针对所述目标账户的所述第一账户操作行为的操作环境随时间的变化和/或使用习惯随时间的变化；
12.异常行为特征向量表示获取模块，用于根据针对所述目标账户的至少一种第二账
户操作行为的统计数据，获取用于表征针对所述目标账户的异常行为特征向量表示；
13.向量融合模块，用于通过对所述时序特征向量表示和所述异常行为特征向量表示，进行加权融合，得到融合向量表示；
14.分类模块，用于对所述融合向量表示进行分类映射，并根据所述进行分类映射得到的结果检测所述目标账户是否为被盗账户。
15.第三方面，本技术实施例还公开了一种电子设备，包括存储器、处理器及存储在所述存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现本技术实施例所述的被盗账户检测方法。
16.第四方面，本技术实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时本技术实施例公开的被盗账户检测方法的步骤。
17.本技术实施例公开的被盗账户检测方法，通过根据针对目标账户的至少一种第一账户操作行为的行为序列数据，获取用于表征所述第一账户操作行为的时序特征向量表示，其中，所述时序特征向量表示用于表征针对所述目标账户的所述第一账户操作行为的操作环境随时间的变化和/或使用习惯随时间的变化；以及，根据针对所述目标账户的至少一种第二账户操作行为的统计数据，获取用于表征针对所述目标账户的异常行为特征向量表示；之后，通过对所述时序特征向量表示和所述异常行为特征向量表示，进行加权融合，得到融合向量表示；并进一步对所述融合向量表示进行分类映射，然后，根据所述进行分类映射得到的结果检测所述目标账户是否为被盗账户，加强了网络平台用户账户的信息和财产安全保护。
18.上述说明仅是本技术技术方案的概述，为了能够更清楚了解本技术的技术手段，而可依照说明书的内容予以实施，并且为了让本技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本技术的具体实施方式。
附图说明
19.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
20.图1是本技术实施例一的被盗账户检测方法流程图；
21.图2是本技术实施例一的账户检测模型结构示意图之一；
22.图3是本技术实施例一的账户检测模型结构示意图之二；
23.图4是本技术实施例一的账户检测模型结构示意图之三；
24.图5是本技术实施例二的被盗账户检测装置结构示意图之一；
25.图6是本技术实施例二的被盗账户检测装置结构示意图之二；
26.图7示意性地示出了用于执行根据本技术的方法的电子设备的框图；以及
27.图8示意性地示出了用于保持或者携带实现根据本技术的方法的程序代码的存储单元。
具体实施方式
28.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
29.实施例一
30.本技术实施例公开的一种被盗账户检测方法，如图1所示，所述方法包括：步骤110至步骤140。
31.本技术实施中所述的被盗账户检测方法，基于预先训练的账户检测模型执行。如图2所示，所述账户检测模型包括：基于循环神经网络模型构建的序列编码网络210，基于梯度提升决策树模型构建的异常编码网络220，以及基于注意力机制模型构建的融合分类网络230。
32.本技术的一些实施例中，所述序列编码网络210包括至少一个基于循环神经网络模型构建的子网络。例如，所述序列编码网络210包括如图3中所示的子网络2101和子网络2102。其中，每个子网络采用基于时间感知的循环神经网络模型构建。所述序列编码网络210用于对输入至序列编码网络210的行为特征序列进行编码映射，输出第一预设空间维度的向量。
33.本技术的一些实施例中，如图3所示，所述异常编码网络220包括级联的梯度提升决策树模型2201和单层全连接神经网络2202。其中，所述梯度提升决策树模型2201用于对输入至所述梯度提升决策树模型2201的向量，按照预设分类逻辑进行分类编码；所述单层全连接神经网络2202用于对所述梯度提升决策树模型2201输出的分类编码映射为第二预设空间维度的向量。
34.本技术的一些实施例中，如图3所示，所述融合分类网络230包括级联的注意力子网络2301和分类映射子网络2302。其中，所述注意力子网络2301基于注意例机制模型构建，用于对预设输入向量进行加权融合；所述分类映射子网络2302可以基于全连接层和激活函数(如softmax分类器)构建，用于对所述注意力子网络2301输出的向量进行分类映射。
35.下面结合所述账户检测模型的结构，举例说明本技术实施例公开的被盗账户检测方法各步骤的具体实施方式。
36.步骤110，根据针对目标账户的至少一种第一账户操作行为的行为序列数据，获取用于表征所述第一账户操作行为的时序特征向量表示。
37.其中，所述时序特征向量表示用于表征针对所述目标账户的所述第一账户操作行为的操作环境随时间的变化和/或使用习惯随时间的变化，所述第一账户操作行为包括：登陆行为和/或支付行为。
38.本技术实施例中所述的目标账户指待检测账户。所述第一账户操作行为包括但不限于登陆行为、支付行为中的一种或两种用户行为。其中，所述登录行为指登录目标账户的行为，支付行为指以目标账户作为支出或收入账户的行为。所述行为的发起者可以为用户，也可以为机器。
39.本技术的一些实施例中，为了保障用户的账户安全，在征得用户允许的情况下，电子商务平台针对平台账户的账户操作，会存储操作记录。例如，当目标账户被登录时，平台
会存储一条登录数据，记录该登录操作发生的时间、ip地址、所属城市、登录事件类型、登录事件标识、登录账户标识等信息。再例如，当平台接收到目标账户作为支出账户或收入账户的请求后，执行相应的账户操作之后，平台会存储相应的交易数据，记录该支付操作发生的时间、ip地址、所属城市、支付事件类型、支付事件标识、账户标识等信息。
40.本技术的一些实施例中，通过对平台在一段时间内存储的针对目标账户的每个第一账户操作行为相关的记录数据进行分析，并提取每条记录数据中的预设维度的信息作为用户行为特征，之后，按照记录数据的存储时间顺序对从每条记录数据中提取的用户行为特征依序排列，就可以得到针对目标账户的行为序列特征。进一步的，通过对所述行为序列特征采用预先训练的基于时间感知的循环神经网络进行特征映射，可以获取到用于表征所述第一账户操作行为的时序特征向量表示。
41.本技术的一些实施例中，从每条记录数据中的预设维度的信息可以包括：账户标识、第一账户操作行为发生的时间、所属城市、ip地址、账户标识、行为类型等信息。可见，目标账户的行为序列特征中包括了不同时间下目标账户的操作环境(如时间、所属城市、ip地址等)、不同时间下对目标账户的行为习惯(如登陆时间等)，以及，不同时间下目标账户的用户行为的变化(如在夜间被登录，然后发生支付行为等)。因此，根据上述第一账户操作行为序列数据生成的所述时序特征向量表示，可以用于表征针对一指定账户的第一账户操作行为(如登录行为、支付行为)的操作环境随时间的变化和/或使用习惯随时间的变化。
42.本技术的一些实施例中，所述根据针对目标账户的至少一种第一账户操作行为的行为序列数据，获取用于表征所述第一账户操作行为的时序特征向量表示，包括：分别获取每种所述行为序列数据对应的原始输入向量；通过预先训练的账户检测模型中的序列编码网络，分别对每种所述行为序列数据对应的所述原始输入向量进行编码映射，获得用于表征相应所述第一账户操作行为的操作环境随时间的变化和/或使用习惯随时间的变化的时序特征向量表示。其中，所述序列编码网络基于循环神经网络模型构建。
43.本技术的发明人通过对海量账户操作信息进行分析，并结合普通用户正常使用账户的操作环境和行为习惯，得出可以用于识别被盗账户和正常使用账户的多种行为，以及，每种行为用于区分被盗账户和正常使用账户的若干信息维度。其中，可以用于识别被盗账户和正常使用账户的多种行为主要包括：登陆行为、支付行为、找回密码行为、修改密码行为等账户操作行为。对于不同的行为，可以进一步根据其操作行为的操作环境、操作行为发生的顺序、频率等行为习惯、操作行为发生的时间、地点等行为习惯，进一步确定了用于区分被盗账户和正常使用账户的若干信息维度。
44.例如，对于登陆行为，用于区分被盗账户和正常使用账户的若干信息维度可以包括：登陆时间、ip地址、ip地址所属城市、登录事件类型、登录事件标识、登录账户标识等信息。对于支付行为，用于区分被盗账户和正常使用账户的若干信息维度可以包括：支付时间、ip地址、ip地址所属城市、支付事件类型、支付事件标识、账户标识等维度的信息。
45.本技术的一些实施例中，把用于区分被盗账户和正常使用账户的账户操作行为划分为：第一账户操作行为和第二账户操作行为，其中，所述第一账户操作行为通常包括发生频率较高的账户基本操作，如登陆行为、支付行为；所述第二账户操作行为可以包括部分或全部第一账户操作行为，还可以包括前述其他账户操作行为。例如，所述第二账户操作行为包括：登陆行为、支付行为、找回密码行为。
46.在检测某一账户是否被盗的过程中，平台首先获取指定时间段(如最近3个月，或最近一年)内，目标账户发生上述第一账户操作行为的行为序列对应的账户操作数据，本技术实施例中称为“行为序列数据”。所述行为序列数据用于描述账户被依次执行哪些账户操作(如前述第一账户操作行为)，以及，每次账户操作行为关联的预设维度(如前述用于识别账户是否为被盗账户的信息维度)信息。本技术的一些实施例中，所述行为序列数据包括：对目标账户依序执行的第一账户操作行为，以及，每次执行相应第一账户操作行为的预设维度信息。
47.本技术的一些实施例中，可以在平台存储的账户操作记录中搜索目标账户的第一账户操作行为的记录数据，并整理为目标账户的行为序列数据。
48.本技术的一些实施例中，可以将获取到的目标账户的行为序列数据输入至如图2所示账户检测模型的序列编码网络210，通过所述序列编码网络210对输入的所述行为序列数据进行编码映射，得到所述序列编码网络210各个隐层的输出，以及最终输出的时序特征向量表示。
49.本技术的一些实施例中，用于识别账户是否被盗的第一账户操作行为可以包括一种或多种，根据账户检测系统的性能确定。相应的，所述序列编码网络210中设置有与所述第一账户操作行为类别数量匹配的序列编码子网络，用于分别对相应的第一账户操作行为的行为序列数据进行编码。本实施例中，以第一账户操作行为包括登陆行为和支付行为为例，相应的，如图3所示，所述序列编码网络210包括与登陆行为对应的子网络2101和与支付行为对应的子网络2102。其中，子网络2101用于对输入至所述序列编码网络210的登陆行为序列数据进行编码，子网络2102用于对输入至所述序列编码网络210的支付行为序列数据进行编码。
50.本技术实施例中所述的序列编码网络210基于循环神经网络模型构建，例如，子网络2101和子网络2102为基于时间感知的长短记忆循环神经网络(time-aware lstm，t-lstm)构建。t-lstm是lstm的一个变体，它可以处理序列中相邻元素间不规则的时间间隔。t-lstm的公式是：
51.f
t
＝σ(wfx
t
ufh
t-1
bf)
ꢀꢀꢀꢀꢀ
(公式1)
52.i
t
＝σ(wix
t
u
iht-1
bi)
ꢀꢀꢀꢀꢀ
(公式2)
53.o
t
＝σ(wox
t
u
oht-1
bo)
ꢀꢀꢀꢀꢀ
(公式3)
[0054][0055][0056][0057]ht-1
＝o*tanh(c
t
)
ꢀꢀꢀ
(公式7)
[0058]
其中，公式1表示遗忘门f
t
的数学原理，公式2表示输入门i
t
的数学原理，公式3表示输出门o
t
的数学原理，公式4、5、6标识记忆单元的实现原理。上述公式中，t为当前时间步，x
t
代表当前长短记忆循环神经网络的输入向量，h
t
和h
t-1
为隐状态(hidden state)，c
t
和c
t-1
分别为当前时间步和之前的记忆单元状态。(wf,uf,bf)、(wi,ui,bi)、(wo,uo,bo)、(wc,uc,bc)和(wd,bd)是长短记忆循环神经网络的参数，其取值通过预先训练得到。在公式4中，长短记忆循环神经网络使用一个用tanh(非线性激活函数)的全连接层将之前的记忆单元状态投影
到子空间来表示短期记忆，并用一个关于时间间隔δ
t
的非递增函数g(
·
)让短期记忆随着时间间隔的增加而衰减。
[0059]
由上述长短记忆循环神经网络的工作原理可知，长短记忆循环神经网络的当前时间步通过保留前一时间步的部分信息并融合当前时间步的输入信息，充分学习到了不同时间步输入的信息之间的依赖关系，将前述的长短记忆循环神经网络应用于构建序列编码网络210中的子网络，用于分别对不同账户操作行为的行为序列数据进行编码时，子网络输出的编码向量，可以体现账户操作行为的依赖关系，即子网络输出的编码向量可以用于表示第一账户操作行为的时序特征。
[0060]
本技术的一些实施例中，以子网络2101用于对输入至所述序列编码网络210的登陆行为序列数据进行编码，子网络2102用于对输入至所述序列编码网络210的支付行为序列数据进行编码为例，子网络2101输出的编码向量可以用于表示在指定时间段内针对目标账户的登陆行为的时序特征，子网络2102输出的编码向量可以用于表示在指定时间段内针对目标账户的支付行为的时序特征。
[0061]
本技术的一些实施例中，可以将第一用户行为序列数据(如登陆行为记录序列)的预设维度信息的取值序列，直接作为第一用户行为序列数据对应的原始输入向量。本技术的另一些实施例中，可以采用现有技术中的编码模块对第一用户行为序列数据中预设维度的信息首先按照预设规则进行编码(如按照每种维度各自的编码规则)，得到第一用户行为序列数据对应的原始输入向量。
[0062]
将不同类别账户操作行为的第一用户行为序列数据对应的原始输入向量，分别输入至所述序列编码网络210中相应的子网络之后，所述子网络将学习到针对目标账户的相应类别账户操作行为的时序特征。
[0063]
本技术的一些实施例中，可以通过对上述长短记忆循环神经网络的每个时间步的所有隐状态求和，得到每个子网络输出的相应账户操作行为的时序特征向量表示。例如，可以采用公式计算每个子网络输出的时序特征向量表示，其中，j为子网络标识，表示子网络j的第t个时间步的隐层输出，lj表示子网络j的隐层数量，wj表示归一化参数，wj的取值通过网络训练得到。具体举例而言，所述序列编码网络210包括子网络2101输出的登陆行为的时序特征向量表示可以记为h
l
，通过公式计算得到，其中，表示子网络2101的第t个时间步的隐层输出；所述序列编码网络210包括子网络2102输出的支付行为的时序特征向量表示可以记为h
p
，通过公式计算得到，其中，表示子网络2102的第t个时间步的隐层输出。
[0064]
本技术的一些实施例中，为了提升被盗账户识别的准确性，使用交叉注意力机制学习支付行为序列和登录行为序列间的时序关系，并应用于账户检测中。如图4所示，所述序列编码网络210还包括：第一融合网络2103，所述第一融合网络2103基于注意力机制模型构建，用于对每种所述行为序列数据中提取的行为序列特征进行加权融合处理，并输出融合向量。
[0065]
相应的，所述分别获取每种所述行为序列数据对应的原始输入向量之后，还包括：
基于支付行为的所述行为序列数据和登陆行为的所述行为序列数据各自对应的原始输入向量，学习每次支付行为和不同登陆行为之间的关系，得到用于表征针对所述目标账户的支付行为和登陆行为之间关联的时序特征向量表示。例如，本技术的一些实施例中采用如scaled dot-product注意力机制计算每次支付行为和不同的登录事件之间的关系，并将它表示为不同登录事件的加权和。例如，通过公式：表示为不同登录事件的加权和。例如，通过公式：计算表示支付行为和登陆行为之间关联的时序特征向量表示q
′
。其中，dk是q和k中向量的维数，dv是v中向量的维数，dv的取值根据支付行为的时序特征向量维数确定。其中，q,k,v是注意力机制中的三个感知单元，用于计算输入至注意力机制模型的输入之间的关系。
[0066]
基于注意力机制模型学习不同输入向量之间的关系的具体实施方式，参见现有技术，本技术实施例中不再赘述。
[0067]
本技术的一些实施例中，还可以采用additive attention注意力机制或其他注意力机制学习支付行为和登陆行为之间关联，本技术实施例中不再一一例举。
[0068]
步骤120，根据针对所述目标账户的至少一种第二账户操作行为的统计数据，获取用于表征针对所述目标账户的异常行为特征向量表示。
[0069]
本技术的一些实施例中，所述根据针对所述目标账户的至少一种第二账户操作行为的统计数据，获取用于表征针对所述目标账户的异常行为特征向量表示，包括：根据针对所述目标账户的至少一种第二账户操作行为的统计数据，获取每种所述第二账户操作行为的统计特征；通过预先训练的账户检测模型中的异常编码网络对所述统计特征进行分类编码，得到针对所述目标账户的异常行为特征向量表示；其中，所述第二账户操作行为包括以下一种或两种：支付、登陆。
[0070]
在检测被盗账户的过程中，可以首先从平台存储的账户操作记录数据中搜索针对目标账户的第二账户操作行为的操作记录数据，之后，通过对操作记录数据进行分析，得到针对目标账户的统计特征。本技术实施例中选取的统计特征主要来源于被盗账户的异常行为，涉及支付、登录、绑卡等多种账户操作。因此，统计特征通常以下账户操作行为有关：账户的绑卡次数、绑卡频率、支付频率、账户的最大沉默期、近三个月内该账户绑卡失败次数等。
[0071]
基于目标账户的账户操作行为记录数据获取上述各种统计特征取值的方法可以参照现有技术，本技术实施例中不再赘述。
[0072]
在获取到针对目标账户的上述第二账户操作行为的统计特征之后，进一步对所述统计特征进行编码，得到编码向量。由于统计特征来源于可以用于识别被盗账户的相关账户操作行为，因此，基于统计特征得到的编码向量可以反映目标账户是否为被盗账户。即对所述统计特征进行编码，得到编码向量(本技术实施例中记做“异常行为特征向量表示”)可以作为异常行为的特征表达。
[0073]
本技术的一些实施例中，所述通过预先训练的账户检测模型中的异常编码网络对所述统计特征进行分类编码，得到针对所述目标账户的异常行为特征向量表示，包括：通过所述梯度提升决策树模型对所述统计特征进行分类处理；将所述梯度提升决策树模型中包括的每个决策树的叶子节点的索引进行组合，得到所述梯度提升决策树模型的树叶编码；
通过所述单层全连接神经网络对所述树叶编码进行映射处理，得到针对所述目标账户的异常行为特征向量表示。
[0074]
本技术的一些实施例中，所述异常编码网络220为分类模型，如图3和图4所示，所述异常编码网络220包括级联的梯度提升决策树模型2201和单层全连接神经网络2202。其中，所述梯度提升决策树模型2201用于对统计特征，按照预设分类逻辑进行分类编码；所述单层全连接神经网络2202用于对所述梯度提升决策树模型2201输出的分类编码映射为第二预设空间维度的向量，即异常行为特征向量。
[0075]
例如，梯度提升决策树模型2201对输入的统计特征按照预设的分类策略进行分类处理，得到多棵决策树。其中，决策树的叶子节点是根据上述统计特征对目标账户进行分类的结果。本技术的一些实施例中，直接采用叶子节点的在树中的索引作为每个叶子节点的表示，之后，根据所有决策树中叶子节点的表示组合起来，作为所述梯度提升决策树模型2201输出的树叶编码。然后，通过单层全连接神经网络2202将梯度提升决策树模型2201输出的树叶编码投影到预设维度空间中，得出目标账户的异常行为特征向量。
[0076]
以梯度提升决策树模型2201包括n棵决策树为例，梯度提升决策树模型2201中输出的树叶编码可以表示为d＝[l1,l2,
···
,ln]，其中，l1,l2,
···
,ln分别为每个决策树的叶子节点的索引表示的叶子节点。异常编码网络230输出的异常行为特征向量表示h
abnormal
通过如下公式计算：h
abnormal
＝tanh(wad ba)，其中，ba为单层全连接神经网络2202的偏置项，wa为归一化参数，的取值通过模型训练确定。单层全连接神经网络2202通过一个用tanh(非线性激活函数)的全连接层将树叶编码异常行为特征向量表示h
abnormal
投影到预设维度的子空间。
[0077]
步骤130，通过对所述时序特征向量表示和所述异常行为特征向量表示，进行加权融合，得到融合向量表示。
[0078]
在得到表征第一账户操作行为序列的时序特征向量表示，以及，表征第二账户操作行为的异常行为特征向量表示之后，进一步对所述时序特征向量表示和所述异常行为特征向量表示进行融合，以根据融合后得到的融合向量进行账户检测。
[0079]
本技术的一些实施例中，采用加权和的方式对所述时序特征向量表示和所述异常行为特征向量表示。例如，通过对所述时序特征向量表示和所述异常行为特征向量表示，进行加权融合，得到融合向量表示，包括：通过预先训练的账户检测模型中的融合分类网络，对所述时序特征向量表示和所述异常行为特征向量表示，进行加权融合，得到融合向量表示。本技术的一些实施例中，可以通过如图3或图4中所示的注意力子网络2301对所述序列编码网络210输出的所述时序特征向量表示(如前述针对目标账户的支付行为序列对应的时序特征特征向量表示h
p
，针对目标账户的登陆行为序列对应的时序特征特征向量表示h
l
,以及，针对所述目标账户的支付行为和登陆行为之间关联的时序特征向量表示q
′
)和所述异常编码网络220输出的所述异常行为特征向量表示(如前述异常行为特征向量表示h
abnormal
)，进行加权融合，得到融合向量表示。
[0080]
本技术的一些实施例中，所述融合分类网络可以基于加权求和模型构建。例如，所述加权求和模型可以表示为：h
all
＝t1*h
l
t2*h
p
t3*q
′
t4*h
abnormal
，其中，t1至t4为权重矩阵。
[0081]
本技术的另一些实施例中，所述融合分类网络基于注意力机制模型构建。例如，所
述融合分类网络基于scale dot-product子注意力模型构建。所述融合分类网络将上述登录行为的向量表示h
p
、支付行为的向量表示h
l
、登陆行为和支付行为之间相互关系的向量表示q
′
和异常行为特征向量表示按行组合为一个矩阵，并通过线性投影得到scale dot-product子注意力模型的query、key和value矩阵。然后，经过所述融合分类网络中的注意力模块根据query、key和value矩阵进行计算，输出表示query、key和value矩阵中像素关系的融合矩阵。最后，将融合矩阵的每行相加，得到针对目标账户的第一账户操作行为和第二账户操作行为的最终向量表示
[0082]
本技术的一些实施例中，还可以采用如additive attention注意力机制或其他注意力机制对所述时序特征向量表示和所述异常行为特征向量表示进行融合，本技术实施例中不再一一例举。
[0083]
步骤140，对所述融合向量表示进行分类映射，并根据所述进行分类映射得到的结果检测所述目标账户是否为被盗账户。
[0084]
本技术的一些实施例中，可以通过如图3或图4中所示的分类映射子网络2302对所述注意力子网络2301输出的所述融合向量表示进行分类映射。然后，根据分类映射得到的结果确定所述目标账户是否为被盗账户。所述分类映射子网络2302可以采用一个全连接层和一个softmax层(激活函数)作为分类器。
[0085]
本技术的一些实施例中，进行分类映射得到的结果可以为目标账户对应被盗账户的真实值。例如，如果进行分类映射得到的结果为1，则认为所述目标账户为被盗账户；如果进行分类映射得到的结果为0，则认为所述目标账户为正常账户。
[0086]
本技术的一些实施例中，所述账户检测模型需要预先训练。
[0087]
在所述根据针对目标账户的至少一种第一账户操作行为的行为序列数据，获取用于表征所述第一账户操作行为的时序特征向量表示的步骤和所述根据针对所述目标账户的至少一种第二账户操作行为的统计数据，获取用于表征针对所述目标账户的异常行为特征向量表示之前，所述方法还包括：基于根据正常账户和被盗账户的历史操作数据分别构建的训练样本，训练账户检测模型；其中，所述训练样本的样本标签用于标识相应账户为正常账户或被盗账户，所述训练样本的样本数据包括：根据指定账户的所述至少一种第一账户操作行为的行为序列数据，获取的行为序列特征；以及，根据针对所述指定账户的所述至少一种第二账户操作行为的统计数据，获取的统计特征；所述账户检测模型包括：基于循环神经网络模型构建的序列编码网络，基于梯度提升决策树模型构建的异常编码网络，以及基于注意力机制模型构建的融合分类网络。
[0088]
本技术的一些实施例中，可以根据被盗账户的第一账户行为数据和第二账户行为数据构建正样本，根据正常账户的第一账户行为数据和第二账户行为数据构建负样本，训练上述账户检测模型。其中，样本数据包括针对某一账户的第一账户操作行为序列的行为序列特征(如针对某一账户的支付行为序列特征和登陆行为序列特征)，以及，异常行为特征。所述样本数据中的行为序列特征和异常行为特征的获取方式参见前文中获取针对目标账户的行为序列特征和异常行为特征的获取方式，此处不再赘述。
[0089]
按照上述方法构建若干被盗账户对应的若干正样本，以及若干正常账户对应的若干负样本之后，即可将训练样本的样本数据作为账户检测模型的输入，并将训练样本的样
本标签作为所述账户检测模型的分类目标，通过训练所述账户检测模型，使得所述账户检测模型学习针对账户的第一账户操作行为序列的行为序列特征和异常行为特征，与账户分类结果之间的映射关系。
[0090]
本技术的一些实施例中，所述基于根据正常账户和被盗账户的历史操作数据分别构建的训练样本，训练账户检测模型，包括：对于每个所述训练样本，通过所述序列编码网络获取样本数据中所述行为序列特征对应的时序特征向量表示；以及，通过所述异常编码网络获取样本数据中统计特征对应的异常行为特征向量表示；对于每个所述训练样本，通过所述融合分类网络对根据所述训练样本的样本数据获得的所述时序特征向量表示和所述异常行为特征向量表示，进行加权融合，得到融合向量表示，之后，对所述融合向量表示进行分类映射，得到所述训练样本的账户检测结果预估值；根据所有训练样本的所述账户检测结果预估值和样本标签之间的误差，计算所述账户检测模型的损失值，并以优化所述损失值为目标，迭代训练所述账户检测模型。
[0091]
通过所述序列编码网络获取样本数据中所述行为序列特征对应的时序特征向量表示的具体实施方式，参见前文中所述序列编码网络获取目标账户的行为序列特征，以及对所述行为序列特征进行编码的具体实施方式，此处不再赘述。
[0092]
通过所述异常编码网络获取样本数据中统计特征对应的异常行为特征向量表示的具体实施方式，参见前文中所述异常编码网络获取目标账户的异常行为特征，以及对所述异常行为特征进行编码的具体实施方式，此处不再赘述。
[0093]
通过所述融合分类网络对根据所述训练样本的样本数据获得的所述时序特征向量表示和所述异常行为特征向量表示，进行加权融合的具体实施方式参见前文中对所述时序特征向量表示和所述异常行为特征向量表示进行加权融合的具体实施方式，此处不再赘述。
[0094]
对所述融合向量表示进行分类映射，得到所述训练样本的账户检测结果预估值的具体实施方式，参见前文中对账户检测阶段的相应描述，此处不再赘述。
[0095]
本技术的一些实施例中，采用有监督训练方法训练所述账户检测模型。在账户检测模型的训练阶段，通过计算所述账户检测模型对训练样本的预测值域训练样本的真实值(即样本标签)之间的误差，计算所述账户检测模型的检测误差，并以所述检测误差最小为目标，迭代优化所述账户检测模型的参数，指示检测误差收敛到满足预设迭代终止条件。
[0096]
本技术实施例公开的被盗账户检测方法，通过根据针对目标账户的至少一种第一账户操作行为的行为序列数据，获取用于表征所述第一账户操作行为的时序特征向量表示，其中，所述时序特征向量表示用于表征针对所述目标账户的所述第一账户操作行为的操作环境随时间的变化和/或使用习惯随时间的变化；以及，根据针对所述目标账户的至少一种第二账户操作行为的统计数据，获取用于表征针对所述目标账户的异常行为特征向量表示；之后，通过对所述时序特征向量表示和所述异常行为特征向量表示，进行加权融合，得到融合向量表示；并进一步对所述融合向量表示进行分类映射，然后，根据所述进行分类映射得到的结果检测所述目标账户是否为被盗账户，加强了了网络平台用户账户的信息和财产安全。
[0097]
现有技术中，一般是通过付费查询外部信息来确认账户绑定的手机号码的状态，例如调用移动运营商的号码数据库查询接口，从而判断与该手机号码绑定的账户是否被盗
用。对于大规模电子商务平台来说，现有技术中查询账户是否被盗成本较高，且有将用户手机号码信息透露给外部的安全性问题。通过本技术实施例公开的被盗账户检测方法，基于账户的操作行为环境和操作行为习惯，采用神经网络模型对账户的操作环境和操作习惯进行学习和识别，不依赖外部数据库信息，仅通过账户本身在平台内部的信息来判断账户状态问题，一方面节省了大量查询开销，另一方面，也避免了泄漏用户手机号码信息给第三方的风险。通过本技术实施例公开的被盗账户检测方法，可以及时检测到账户的状态，有效避免了由于二次放号导致的被盗账户信息外泄，以及账户资源的损失，加强了账户的信息和财产安全保护。
[0098]
实施例二
[0099]
本技术实施例公开的一种被盗账户检测装置，如图5所示，所述装置包括：
[0100]
时序特征向量表示获取模块510，用于根据针对目标账户的至少一种第一账户操作行为的行为序列数据，获取用于表征所述第一账户操作行为的时序特征向量表示，其中，所述时序特征向量表示用于表征针对所述目标账户的所述第一账户操作行为的操作环境随时间的变化和/或使用习惯随时间的变化；
[0101]
异常行为特征向量表示获取模块520，用于根据针对所述目标账户的至少一种第二账户操作行为的统计数据，获取用于表征针对所述目标账户的异常行为特征向量表示；
[0102]
向量融合模块530，用于通过对所述时序特征向量表示和所述异常行为特征向量表示，进行加权融合，得到融合向量表示；
[0103]
分类模块540，用于对所述融合向量表示进行分类映射，并根据所述进行分类映射得到的结果检测所述目标账户是否为被盗账户。
[0104]
本技术的一些实施例中，所述时序特征向量表示获取模块510，进一步用于：
[0105]
分别获取每种所述行为序列数据对应的原始输入向量；
[0106]
通过预先训练的账户检测模型中的序列编码网络，分别对每种所述行为序列数据对应的所述原始输入向量进行编码映射，获得用于表征相应所述第一账户操作行为的操作环境随时间的变化和/或使用习惯随时间的变化的时序特征向量表示；其中，所述序列编码网络基于循环神经网络模型构建。
[0107]
本技术的一些实施例中，所述第一账户操作行为包括：登陆行为和支付行为，所述分别获取每种所述行为序列数据对应的原始输入向量之后，还包括：
[0108]
基于支付行为的所述行为序列数据和登陆行为的所述行为序列数据各自对应的原始输入向量，学习每次支付行为和不同登陆行为之间的关系，得到用于表征针对所述目标账户的支付行为和登陆行为之间关联的时序特征向量表示。
[0109]
本技术的一些实施例中，所述异常行为特征向量表示获取模块520，进一步用于：
[0110]
根据针对所述目标账户的至少一种第二账户操作行为的统计数据，获取每种所述第二账户操作行为的统计特征；
[0111]
通过预先训练的账户检测模型中的异常编码网络对所述统计特征进行分类编码，得到针对所述目标账户的异常行为特征向量表示；其中，所述第二账户操作行为包括以下一种或两种：支付、登陆。
[0112]
本技术的一些实施例中，所述异常编码网络包括级联的梯度提升决策树模型和单层全连接神经网络，所述通过预先训练的账户检测模型中的异常编码网络对所述统计特征
进行分类编码，得到针对所述目标账户的异常行为特征向量表示，包括：
[0113]
通过所述梯度提升决策树模型对所述统计特征进行分类处理；
[0114]
将所述梯度提升决策树模型中包括的每个决策树的叶子节点的索引进行组合，得到所述梯度提升决策树模型的树叶编码；
[0115]
通过所述单层全连接神经网络对所述树叶编码进行映射处理，得到针对所述目标账户的异常行为特征向量表示。
[0116]
本技术的一些实施例中，所述向量融合模块530，进一步用于：
[0117]
通过预先训练的账户检测模型中的融合分类网络，对所述时序特征向量表示和所述异常行为特征向量表示，进行加权融合，得到融合向量表示。
[0118]
本技术的一些实施例中，如图6所示，所述装置还包括：
[0119]
账户检测模型训练模块550，用于基于根据正常账户和被盗账户的历史操作数据分别构建的训练样本，训练账户检测模型；其中，
[0120]
所述训练样本的样本标签用于标识相应账户为正常账户或被盗账户，所述训练样本的样本数据包括：根据指定账户的所述至少一种第一账户操作行为的行为序列数据，获取的行为序列特征；以及，根据针对所述指定账户的所述至少一种第二账户操作行为的统计数据，获取的统计特征；
[0121]
所述账户检测模型包括：基于循环神经网络模型构建的序列编码网络，基于梯度提升决策树模型构建的异常编码网络，以及基于注意力机制模型构建的融合分类网络。
[0122]
本技术的一些实施例中，所述基于根据正常账户和被盗账户的历史操作数据分别构建的训练样本，训练账户检测模型，包括：对于每个所述训练样本，通过所述序列编码网络获取样本数据中所述行为序列特征对应的时序特征向量表示；以及，通过所述异常编码网络获取样本数据中统计特征对应的异常行为特征向量表示；对于每个所述训练样本，通过所述融合分类网络对根据所述训练样本的样本数据获得的所述时序特征向量表示和所述异常行为特征向量表示，进行加权融合，得到融合向量表示，之后，对所述融合向量表示进行分类映射，得到所述训练样本的账户检测结果预估值；根据所有训练样本的所述账户检测结果预估值和样本标签之间的误差，计算所述账户检测模型的损失值，并以优化所述损失值为目标，迭代训练所述账户检测模型。
[0123]
本技术实施例公开的被盗账户检测装置，用于实现本技术实施例一中所述的被盗账户检测方法，装置的各模块的具体实施方式不再赘述，可参见方法实施例相应步骤的具体实施方式。
[0124]
本技术实施例公开的被盗账户检测装置，通过根据针对目标账户的至少一种第一账户操作行为的行为序列数据，获取用于表征所述第一账户操作行为的时序特征向量表示，其中，所述时序特征向量表示用于表征针对所述目标账户的所述第一账户操作行为的操作环境随时间的变化和/或使用习惯随时间的变化；以及，根据针对所述目标账户的至少一种第二账户操作行为的统计数据，获取用于表征针对所述目标账户的异常行为特征向量表示；之后，通过对所述时序特征向量表示和所述异常行为特征向量表示，进行加权融合，得到融合向量表示；并进一步对所述融合向量表示进行分类映射，然后，根据所述进行分类映射得到的结果检测所述目标账户是否为被盗账户，加强了账户的信息和财产安全保护。
[0125]
现有技术中，一般是通过付费查询外部信息来确认账户绑定的手机号码的状态，
例如调用移动运营商的号码数据库查询接口，从而判断与该手机号码绑定的账户是否被盗用。对于大规模电子商务平台来说，现有技术中查询账户是否被盗成本较高，且有将用户手机号码信息透露给外部的安全性问题。通过本技术实施例公开的被盗账户检测装置，基于账户的操作行为环境和操作行为习惯，采用神经网络模型对账户的操作环境和操作习惯进行学习和识别，不依赖外部数据库信息，仅通过账户本身在平台内部的信息来判断账户状态问题，一方面节省了大量查询开销，另一方面，也避免了泄漏用户手机号码信息给第三方的风险。通过本技术实施例公开的被盗账户检测方法，可以及时检测到账户的状态，有效避免了由于二次放号导致的被盗账户信息外泄，以及账户资源的损失，提升了账户的安全性。
[0126]
本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0127]
以上对本技术提供的一种被盗账户检测方法及装置进行了详细介绍，本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其一种核心思想；同时，对于本领域的一般技术人员，依据本技术的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本技术的限制。
[0128]
以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
[0129]
本技术的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本技术实施例的电子设备中的一些或者全部部件的一些或者全部功能。本技术还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本技术的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。
[0130]
例如，图7示出了可以实现根据本技术的方法的电子设备。所述电子设备可以为pc机、移动终端、个人数字助理、平板电脑等。该电子设备传统上包括处理器710和存储器720及存储在所述存储器720上并可在处理器710上运行的程序代码730，所述处理器710执行所述程序代码730时实现上述实施例中所述的方法。所述存储器720可以为计算机程序产品或者计算机可读介质。存储器720可以是诸如闪存、eeprom(电可擦除可编程只读存储器)、eprom、硬盘或者rom之类的电子存储器。存储器720具有用于执行上述方法中的任何方法步骤的计算机程序的程序代码730的存储空间7201。例如，用于程序代码730的存储空间7201可以包括分别用于实现上面的方法中的各种步骤的各个计算机程序。所述程序代码730为计算机可读代码。这些计算机程序可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘，紧致盘(cd)、存储
卡或者软盘之类的程序代码载体。所述计算机程序包括计算机可读代码，当所述计算机可读代码在电子设备上运行时，导致所述电子设备执行根据上述实施例的方法。
[0131]
本技术实施例还公开了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本技术实施例一所述的被盗账户检测方法的步骤。
[0132]
这样的计算机程序产品可以为计算机可读存储介质，该计算机可读存储介质可以具有与图7所示的电子设备中的存储器720类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩存储在所述计算机可读存储介质中。所述计算机可读存储介质通常为如参考图8所述的便携式或者固定存储单元。通常，存储单元包括计算机可读代码730’，所述计算机可读代码730’为由处理器读取的代码，这些代码被处理器执行时，实现上面所描述的方法中的各个步骤。
[0133]
本文中所称的“一个实施例”、“实施例”或者“一个或者多个实施例”意味着，结合实施例描述的特定特征、结构或者特性包括在本技术的至少一个实施例中。此外，请注意，这里“在一个实施例中”的词语例子不一定全指同一个实施例。
[0134]
在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本技术的实施例可以在没有这些具体细节的情况下被实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
[0135]
在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本技术可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
[0136]
最后应说明的是：以上实施例仅用以说明本技术的技术方案，而非对其限制；尽管参照前述实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的精神和范围。