[发明专利]自更新黑产特征的黑产识别方法及装置

说明书

本公开涉及数据分析领域，揭露一种自更新黑产特征的黑产识别方法及装置，该自更新黑产特征的黑产识别方法包括：获取已确定属于黑产的黑产行为数据；按照预设的特征项提取出所述黑产行为数据的第一黑产特征；构建以所述黑产行为数据所来源的黑产设备为图节点、以所述第一黑产特征为所述图节点的边的图结构信息；基于设备与账号之间的相互关联，获取与所述图结构信息之间存在设备关联的目标行为数据；按照所述特征项提取出所述目标行为数据的第二黑产特征，并将所述第一黑产特征以及所述第二黑产特征共同作为黑产识别的依据进行黑产识别。本公开可以提高黑产识别的抗变异能力。

技术领域

本公开涉及数据分析领域，尤其涉及一种自更新黑产特征的黑产识别方法及装置。

背景技术

随着互联网产业的迅猛发展，黑产对利益的追求随之无孔不入。为对抗黑产，互联网从业者需要分析海量数据，以从中识别出黑产进行对其进行定位打击，保障企业和用户的经济利益。

现有技术中的黑产识别方法要么易被黑产绕过，覆盖率低；要么只能识别出已有的黑产特征。当黑产通过修改参数进行伪装时，或者当黑产发展出新的黑产行为时，现有技术通常会无法识别出这些发生了变异的黑产，从而导致黑产识别效果不理想。

发明内容

本公开提供一种自更新黑产特征的黑产识别方法、装置及电子设备，其主要目的在于提高黑产识别的抗变异能力。

为实现上述目的，本公开提供的一种自更新黑产特征的黑产识别方法，包括：

获取已确定属于黑产的黑产行为数据；

按照预设的特征项提取出所述黑产行为数据的第一黑产特征；

构建以所述黑产行为数据所来源的黑产设备为图节点、以所述第一黑产特征为所述图节点的边的图结构信息；

基于设备与账号之间的相互关联，获取与所述图结构信息之间存在设备关联的目标行为数据；

按照所述特征项提取出所述目标行为数据的第二黑产特征，并将所述第一黑产特征以及所述第二黑产特征共同作为黑产识别的依据进行黑产识别。

可选地，所述方法还包括：

获取用于描述行为数据的各字段；

获取所述各字段分别对应的字段值空间大小；

将所述字段值空间大小小于预设空间大小阈值的字段进行组合，得到所述字段值空间大小大于等于所述空间大小阈值的字段组合；

将所述字段组合，以及所述字段值空间大小达到所述空间大小阈值的字段，分别作为所述特征项。

可选地，按照预设的特征项提取出所述黑产行为数据的第一黑产特征，包括：

按照所述特征项提取出白名单设备集合的行为数据的每一白名单特征；

按照所述特征项提取出所述黑产行为数据的每一待对比特征；

按照所述特征项将所述待对比特征与对应的所述白名单特征进行对比，确定所述待对比特征与对应的所述白名单特征的差异度；

将所述差异度大于预设阈值的待对比特征确定为所述第一黑产特征。

可选地，构建以所述黑产行为数据所来源的黑产设备为图节点、以所述第一黑产特征为所述图节点的边的图结构信息，包括：

确定在所述黑产设备上所登录的中间账号；

将所述黑产设备以及所述中间账号分别作为图节点，并以所述第一黑产特征表示所述图节点之间的边，得到构建的所述图结构信息。

可选地，基于设备与账号之间的相互关联，获取与所述图结构信息之间存在设备关联的目标行为数据，包括：