异常对象监控方法、装置、介质及电子设备与流程

本公开涉及网络监控技术领域，特别涉及一种异常对象监控方法、装置、介质及电子设备。

背景技术：

随着互联网特别是移动互联网的发展，网络安全成为日益重要的问题。异常流量、垃圾邮件等危害网络安全、影响网络健康运行的因素层出不穷，对网络监控提出了很高的要求。

在现有技术的实现中，如果要针对影响网络安全的某一特定因素进行监控，通常是将该特定因素作为一类对象来看待，为了对这一类对象进行监控，都会设置一系列的规则，将各种粗细粒度的规则叠加起来，综合进行判断，而各种规则都是根据专家经验总结出来的并且一旦建立好规则就一成不变地用下去。

现有技术的缺陷在于，根据专家经验总结出的粗细粒度的规则叠加使用较为复杂，层次不够分明；同时，由于非法对象的行为特征可能是不断变化的，导致了规则需要不断更新，但依据专家经验设定的规则很少改变，即使改变规则，也会由于各规则的层次不够分明导致了新规则的总结变得非常困难，改变规则的效率低下，一旦不法分子的行为改变，就不能及时通过改变规则来防范。

技术实现要素：

在网络监控技术领域，为了解决上述技术问题，本公开的目的在于提供一种异常对象监控方法、装置、介质及电子设备。

根据本申请的一方面，提供了一种异常对象监控方法，所述方法包括：

每隔第一时间段，获取在第二时间段内产生的对象数据满足第一预定条件的对象，其中，所述对象数据与对象对应，所述第一时间段小于第二时间段；

每隔第三时间段，获取在第四时间段内产生的对象数据满足所述第一预定条件的对象，其中，所述第三时间段小于或等于第四时间段，所述第三时间段和第四时间段都大于第二时间段；

每隔第三时间段，从在第四时间段内产生的对象数据满足所述第一预定条件的对象中获取在第四时间段内产生的对象数据满足第二预定条件的对象；

从在第七时间段内产生的对象数据满足所述第二预定条件的对象中获取在第七时间段内产生的对象数据满足第三预定条件的对象，作为异常对象；

利用预定规则对所述异常对象的权限进行限制。

根据本申请的另一方面，提供了一种异常对象监控装置，所述装置包括：

第一获取模块，被配置为每隔第一时间段，获取在第二时间段内产生的对象数据满足第一预定条件的对象，其中，所述对象数据与对象对应，所述第一时间段小于第二时间段；

第二获取模块，被配置为每隔第三时间段，获取在第四时间段内产生的对象数据满足所述第一预定条件的对象，其中，所述第三时间段小于或等于第四时间段，所述第三时间段和第四时间段都大于第二时间段；

第三获取模块，被配置为每隔第三时间段，从在第四时间段内产生的对象数据满足所述第一预定条件的对象中获取在第四时间段内产生的对象数据满足第二预定条件的对象；

异常对象获取模块，被配置为从在第七时间段内产生的对象数据满足所述第二预定条件的对象中获取在第七时间段内产生的对象数据满足第三预定条件的对象，作为异常对象；

权限限制模块，被配置为利用预定规则对所述异常对象的权限进行限制。

根据本申请的另一方面，提供了一种计算机可读程序介质，其存储有计算机程序指令，当所述计算机程序指令被计算机执行时，使计算机执行如前所述的方法。

根据本申请的另一方面，提供了一种电子设备，所述电子设备包括：

处理器；

存储器，所述存储器上存储有计算机可读指令，所述计算机可读指令被所述处理器执行时，实现如前所述的方法。

本发明的实施例提供的技术方案可以包括以下有益效果：

本发明所提供的异常对象监控方法包括如下步骤：

每隔第一时间段，获取在第二时间段内产生的对象数据满足第一预定条件的对象，其中，所述对象数据与对象对应，所述第一时间段小于第二时间段；每隔第三时间段，获取在第四时间段内产生的对象数据满足所述第一预定条件的对象，其中，所述第三时间段小于或等于第四时间段，所述第三时间段和第四时间段都大于第二时间段；每隔第三时间段，从在第四时间段内产生的对象数据满足所述第一预定条件的对象中获取在第四时间段内产生的对象数据满足第二预定条件的对象；从在第七时间段内产生的对象数据满足所述第二预定条件的对象中获取在第七时间段内产生的对象数据满足第三预定条件的对象，作为异常对象；利用预定规则对所述异常对象的权限进行限制。

此方法下，通过使用粗细粒度层面上的层次化规则来筛选出疑似异常对象的数据，兼顾了监控异常对象的全面性和及时性，同时层次化规则的设定提高了新规则归纳总结的效率，进而会提高监控异常对象的效率。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本发明。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。

图1是根据一示例性实施例示出的一种异常对象监控方法在垃圾邮件识别场景下的系统构架图；

图2是根据一示例性实施例示出的一种异常对象监控方法在利用红包转移资金欺诈行为监控的场景下的系统构架图；

图3是根据一示例性实施例示出的一种异常对象监控方法的监控原理示意图；

图4是根据一示例性实施例示出的一种异常对象监控方法的流程图；

图5是根据图4对应实施例示出的一实施例的步骤420之后步骤和步骤440之后步骤的流程图；

图6是根据图4对应实施例示出的一实施例的步骤470的细节流程图；

图7是根据一示例性实施例示出的一种异常对象监控装置的框图；

图8是根据一示例性实施例示出的一种实现上述异常对象监控方法的电子设备示例框图；

图9是根据一示例性实施例示出的一种实现上述异常对象监控方法的计算机可读存储介质。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。

本公开首先提供了一种异常对象监控方法。对象是在运行或者发生动作时能够产生数据的任何形式的实体，也是任何可以对其施加一定作用的事物。此处的对象特指涉及网络安全领域的对象，比如可以是访问方的ip地址、邮件发送方的邮箱地址、或者能够进行资金转移的账户等。异常对象是指运行时产生的数据满足一定的规则或者条件并被视为不正常的对象。对异常对象的监控是指识别出可能的异常对象，还可能对异常对象进行进一步的限制或控制。本公开的实施终端可以是任何具有计算和处理功能的设备，该设备可与外部设备相连，用于接收或者发出信息，可以是便携移动设备，例如智能手机、平板电脑、笔记本电脑、pda(personaldigitalassistant)等，也可以是固定式设备，例如，计算机设备、现场终端、台式电脑、服务器、工作站等，还可以是多个设备的集合，比如云计算的物理基础设施。

优选地，本公开的实施环终端可以为服务器或者云计算的物理基础设施。

图1是根据一示例性实施例示出的一种异常对象监控方法在垃圾邮件识别场景下的系统构架图。如图1所示，包括：多个用户终端110以及邮箱服务器120，用户终端110之间可以使用邮箱利用web方式或者客户端进行收发邮件的活动，其中，每次收发邮件都要经过邮箱服务器120才能进行。经常有一些不法分子使用一个或多个用户终端向其他用户终端发送垃圾邮件，可能产生网络拥塞、广告传播等破坏网络环境的现象。所以有必要对这些发送垃圾邮件的邮箱进行监控，从而净化网络环境，维护网络安全。

图2是根据一示例性实施例示出的一种异常对象监控方法在利用红包转移资金欺诈行为监控的场景下的系统构架图。如图2所示，包括服务器210，智能手机220和群聊界面230，服务器210与多个智能手机220通过通信链路相连，两两用户之间可以使用其各自的智能手机220经由服务器210以及通信链路来进行数据传递，其中，每一用户要与其他用户进行数据传递，都需要在其智能手机220上安装应用程序，群聊界面230就是该应用程序的界面之一。每一用户在使用这个应用程序时都要在服务器210注册账号，通过应用程序的某个代码模块的功能可以通过向服务器210提交请求，而将多个用户的账号关联到一起，服务器210即将关联的多个用户账号存储，从智能手机220的角度，这些关联的多个用户账号即为一个群聊。每当一个用户在智能手机220上的应用程序的群聊界面230中的输入框输入信息或者发送红包，产生的数据都会发送到服务器210，服务器210通过用户产生数据对应的群聊，以及该群聊中与该用户账号关联的其他账号，确定要将这些数据发送到的账号并对应发送。在现实场景下，这些群聊可以为qq群、微信群、支付宝群等等。然而，如果一些群聊作为应用程序中一项附属功能，其作用不大，或者群成员对群聊的关注较少，而群聊大都关联了金融账户、银行卡账户等，如果用户账号被盗取，那用户关联的这些账户中的资金就有可能被不法分子通过在群内发红包的方式转移盗取。因此需要对这些非法的红包转移资金欺诈行为进行监控，保证网络安全和金融安全。值得一提的是，图2仅是本公开的一个实施例，虽然在图2的实施例中，本公开的实施终端为服务器，用户终端为手机，但本公开的实施终端以及用户终端还可以是其他具有通信和处理功能的终端设备，本公开对此不作限定，本公开的保护范围也不应因此而受到任何限制。

图3是根据一示例性实施例示出的一种异常对象监控方法的监控原理示意图。如图3所示，随着时间的推移，各个对象产生大量的对象数据，每一对象数据属于一个对象，对象产生对象数据，对象与对象数据对应，对象产生的对象数据会随着时间而累积，同一对象在不同时间段产生的数据，不同对象在同一或不同对象产生的对象数据往往是不同的，对象产生的对象数据可能会有不同的特征，能满足不同的条件，中间每一矩形框内的圆柱体代表一个对象产生的对象数据，对象数据所在的位置代表了对象数据的产生时间，而矩形中的标识代表了对象数据满足了相应的条件。比如对象数据330就满足第二条件。可以看出，每一对象数据可能符合一个或多个条件，也可能不符合任何一个条件，而条件则是将对象数据对应对象取出的标准。通过能将正常对象产生的数据和异常对象产生的数据区分开来的规则，可以将异常对象识别出来。310为第一获取方式，即在每隔一定时间获取特定时间段内的符合一定条件的对象数据对应的对象，320为第二获取方式，其与第一获取方式310的区别在于，对象获取的时间间隔不同，对象获取的时间段也不同，获取条件也可能不同。

本公开的技术原理为：通过使用基于层次化规则的对象数据获取方式并利用多维度的对象数据获取条件，得到对象数据对应的对象，实现对异常对象全方位、多层次、高效率的监控；兼顾了监控异常对象的全面性和及时性，同时层次化规则的设定提高了新规则归纳总结的效率，进而会提高监控异常对象的效率。

图4是根据一示例性实施例示出的一种异常对象监控方法的流程图。如图4所示，包括以下步骤：

步骤410，每隔第一时间段，获取在第二时间段内产生的对象数据满足第一预定条件的对象。

对象数据与对象对应，第一时间段小于第二时间段。

对于垃圾邮件识别这一应用场景，对象数据为邮箱的邮件发送行为产生的数据，对象为电子邮件地址，应当理解的是，无论是对垃圾邮件识别还是对发送垃圾邮件的电子邮件地址进行识别，最终目的都是为了阻挡垃圾邮件，所以对发送垃圾邮件的电子邮件地址进行识别，也能帮助识别垃圾邮件，对发送垃圾邮件的电子邮件地址进行识别是本公开提供的方法在垃圾邮件识别场景下的直接目的，而对垃圾邮件识别是本公开提供的方法在垃圾邮件识别场景下的根本目的，因此对发送垃圾邮件的电子邮件地址进行识别这一过程也可以理解为对垃圾邮件进行识别；而对于监控红包转移资金欺诈行为这一应用场景，对象数据为红包关联数据，即群内的收发红包行为产生的数据，对应的对象则是红包关联账号，即与红包收发行为有关的账号。

第一时间段和第二时间段可以是当前时间之前的任意的时间段，只要满足第一时间段小于第二时间段且第一时间段在第二时间段之后结束，即获取对应的对象数据满足第一预定条件的对象在第二时间段结束之后进行。

比如第一时间段为2小时，第二时间段为4小时；再比如，第一时间段为三天，第二时间段为两天。

对象只要在第二时间段内运行或者发生过特定的动作，就会在该第二时间段内产生对象数据。比如，对于垃圾邮件识别这一应用场景，邮箱如果在第二时间段内发送过邮件就可以产生对象数据，而对于监控红包转移资金欺诈行为的应用场景，只要一个账号在第二时间段内收过红包或者发过红包，这个账号就会在第二时间段内有对应至少一条对象数据，即红包关联数据。在一个实施例中，第一时间段为1小时，第二时间段为2小时，上次获取在第二时间段内对应的对象数据满足第一预定条件的对象的时间为15:30分，则本次要获取在第二时间段内对应的对象数据满足第一预定条件的对象的时间为16:30分，获取对象的时间范围为[14:30,16:30]，而上次获取对象的时间范围为[13:30,15:30]，可以看出的是，如果在15:00有对象数据满足第一预定条件的对象，则在上述的两个时间范围的获取方式中，该对象都会被获取到，每次的获取范围都与上次获取范围存在重叠。所以本实施例的技术方案的好处在于，使部分或全部对象被获取不止一次，提高了监控异常对象的准确率。

对于垃圾邮件识别这一应用场景，在一个实施例中，对象数据包括邮件发送次数，第一预定条件为：邮件发送次数超过预定邮件发送次数阈值。对于监控红包转移资金欺诈行为的应用场景，在一个实施例中，对象数据为红包关联数据，包括：红包关联账号的红包收款频数和红包收款金额，第一预定条件为：对应的红包关联数据中红包关联账号的红包收款频数超过红包收款频数阈值或红包收款金额超过红包收款金额阈值。

在一个实施例中，红包关联数据包括红包关联账号每次收红包的金额，红包收款金额是当要判断对应的红包关联数据是否满足第一预定条件时，针对每一红包关联账号，获取该红包关联账号在第二时间段内所有收红包的金额之和，作为红包收款金额，然后进行是否满足第一预定条件的判断。

在一个实施例中，当每一红包收款账号每次收到红包，本公开的实施终端都会计算红包收款金额，获取本次收到的红包金额与已获得的红包收款金额之和作为新的红包收款金额。这样做的好处在于，当在判断红包关联数据是否满足第一预定条件时，降低了判断过程的时间复杂度，提高了判断效率。

在一个实施例中，第一预定条件为：对应的红包关联数据中红包关联账号的红包收款频数超过红包收款频数阈值或红包收款金额超过红包收款金额阈值。而红包关联数据仅包括每一收过红包的红包关联账号的红包收款金额和每一收过红包的红包关联账号的红包收款记录，则在判断对应的红包关联数据是否满足第一预定条件，先确定第一预定条件中的红包收款金额超过红包收款金额阈值，再进行红包收款频数超过红包收款频数阈值的判断。由于当满足第一预定条件中的红包收款金额超过红包收款金额阈值时，就满足第一预定条件，无需再进行红包收款频数超过红包收款频数阈值的判断，而因为红包收款频数不是已知的，如果先判断红包收款频数是否超过红包收款频数阈值会导致判断对应的红包关联数据是否满足第一预定条件的整个过程的计算量变大，降低了判断效率，因此这样做的好处在于降低了判断过程的时间复杂度，提高了判断效率。

对象数据可以是由对象的活动行为直接生成的数据，也可以是在由对象的活动行为直接生成的数据的基础上统计或者间接得出的数据，还可以是表示对象行为的多个对象的共同特征的数据。

比如，对于监控红包转移资金欺诈行为的应用场景，对象数据，即红包收款数据可以包括红包关联账号的红包收款频数，还可以包括红包关联账号的红包收款记录，红包收款数据可以仅包括红包收款记录和红包收款频数中的一项，当红包收款数据包括红包收款记录而不包括红包收款频数时，本发明的实施终端可以通过对红包收款记录进行分析处理得到红包收款记录的数目得到红包收款频数；同理，对于垃圾邮件识别这一应用场景，对象数据可以包括邮件发送次数，还可以包括邮件发送记录，本发明的实施终端在邮件发送记录的基础上进行统计，得到邮件发送次数。

步骤420，每隔第三时间段，获取在第四时间段内产生的对象数据满足所述第一预定条件的对象。

第三时间段小于或等于第四时间段，所述第三时间段和第四时间段都大于第二时间段。

第一至第四时间段的大小关系为：

第四时间段≥第三时间段>第二时间段>第一时间段，比如第一时间段为1小时，第二时间段为2小时，第三时间段为1天，第四时间段为1天。

由此可以看出，本步骤的技术方案相对于步骤410来说，作用在于，一方面通过第二次对对象数据对应的对象进行分析监控，保证了对异常对象进行的监控的精度，大大降低了漏网之鱼存在的可能性；另一方面，通过一次性获取更长时间段内的更多的可能满足第一预定条件的疑似异常的对象，可以对异常对象活动行为的整体发展态势进行更全面的把控。

步骤440，每隔第三时间段，从在第四时间段内产生的对象数据满足所述第一预定条件的对象中获取在第四时间段内产生的对象数据满足第二预定条件的对象。

与每一对象对应的对象数据在任何时间段都可能产生，对象数据是与对象的行为特征的相关的数据，当一项对象数据异常，就可以认为与该对象数据对应的对象是异常的。对象数据可以有多项特征即多个子数据，对应多项维度，因此可能有多项特征被用于识别过滤对象，因此可以通过在第一预定条件的基础上增加第二条件的判断，使得获取的对象是异常对象的可能性大大提高。

在一个实施例中，对于监控红包转移资金欺诈行为的应用场景，对象数据为红包关联数据，包括：发红包账号绑定的银行卡号和收红包账号绑定的银行卡号，所述第二预定条件为：同一红包对应的发红包账号绑定的银行卡号和收红包账号绑定的银行卡号不一致。使用一银行卡发红包再收红包基本不可能为红包转移资金欺诈行为，虽然大部分对应的发红包账号绑定的银行卡号和收红包账号绑定的银行卡号不一致，但使用本条件也可以在一定程度上过滤出一些疑似从事红包转移资金欺诈行为的红包关联账号。如果仅用本条件作为用于确定红包关联数据对应的红包关联账号是否异常当然是误伤率特别高，但第二预定条件是附加在第一预定条件上的，这样就大大降低了误伤率，提高了监控红包转移资金欺诈行为的精度。

在一个实施例中，对于垃圾邮件识别这一应用场景，对象数据包括：同一ip地址发送邮件的次数，所述第二预定条件为：同一ip地址发送邮件的次数超过预定同ip邮件发送次数阈值。

步骤460，从在第七时间段内产生的对象数据满足所述第二预定条件的对象中获取在第七时间段内产生的对象数据满足第三预定条件的对象，作为异常对象。

第七时间段是在开始判断产生的对象数据是否满足第二预定条件之后的任意一个时间段，第七时间段与第一至第四时间段中任意一个时间段的长度相比，可以相同，也可以不同。

由于使用第一预定条件和第二预定条件筛选出的对象是异常对象的可能性很低，通常通过第一预定条件和第二预定条件得到的对象很多，因此为了对异常对象进行真正意义上的监控，需要使用进一步的限定性的条件来筛选过滤。

在一个实施例中，对于垃圾邮件识别这一应用场景，对象数据包括：邮件正文的文本，所述第三预定条件为：邮件正文文本中包含特定的关键词。

比如，第三预定条件中用于过滤垃圾邮件的关键词可以包括但不限于：信用卡、优惠、免费、贷款、额度。这些关键词是垃圾邮件中较常出现的关键词，通过对包含这些关键词的邮件进行过滤，可以在更大程度上识别出垃圾邮件。

在一个实施例中，对于监控红包转移资金欺诈行为的应用场景，对象数据为红包关联数据，包括：发红包账号绑定的银行卡账户转入与发红包账号对应的中间账户的次数，发红包账号对应的中间账户接收到的所有转账的次数、发红包账号绑定的银行卡账户接收到的所有来自与所述发红包账号对应的中间账户的转账的次数、发红包账号对应的中间账户发出的所有转账的次数、发红包账号绑定的银行卡账户转入与发红包账号对应的中间账户的金额之和、与发红包账号对应的中间账户接收到的所有转账的金额之和、发红包账号所在群内单个红包发送金额。相应地，所述第三预定条件包括：发红包账号绑定的银行卡账户转入与发红包账号对应的中间账户的次数和发红包账号对应的中间账户接收到的所有转账的次数之比大于或等于第一预定比值阈值，并且发红包账号绑定的银行卡账户接收到的所有来自与所述发红包账号对应的中间账户的转账的次数与发红包账号对应的中间账户发出的所有转账的次数大于或等于第二预定比值阈值，并且发红包账号绑定的银行卡账户转入与发红包账号对应的中间账户的金额之和和与发红包账号对应的中间账户接收到的所有转账的金额之和大于或等于第三预定比值阈值，并且发红包账号绑定的银行卡账户转入与发红包账号对应的中间账户的金额之和等于发红包账号所在群内单个红包发送金额。上述的每一个子条件都是红包转移资金欺诈行为可能满足的条件。

下面以第三预定条件——发红包账号绑定的银行卡账户转入与发红包账号对应的中间账户的次数和发红包账号对应的中间账户接收到的所有转账的次数之比大于或等于第一预定比值阈值为例说明红包关联数据与第三预定条件的关系。

在一个实施例中，可以用来判断该第三预定条件的对应的红包关联数据是发红包账号绑定的银行卡账户转入与发红包账号对应的中间账户的次数和发红包账号对应的中间账户接收到的所有转账的次数之比。

在一个实施例中，可以用来判断该第三预定条件的对应的红包关联数据是发红包账号绑定的银行卡账户转入与发红包账号对应的中间账户的次数和发红包账号对应的中间账户接收到的所有转账的记录，当要判断红包关联数据是否满足第三预定条件时，首先获取发红包账号对应的中间账户接收到的所有转账的记录的数目，得到发红包账号对应的中间账户接收到的所有转账的次数，然后使用发红包账号对应的中间账户接收到的所有转账的次数和发红包账号绑定的银行卡账户转入与发红包账号对应的中间账户的次数获取两者的比值并与第一预定比值阈值进行比较。

在一个实施例中，可以用来判断该第三预定条件的对应的红包关联数据是发红包账号绑定的银行卡账户转入与发红包账号对应的中间账户的记录和发红包账号对应的中间账户接收到的所有转账的记录，当要判断红包关联数据是否满足第三预定条件时，首先获取上述两个记录中每一记录的数目，然后将获取的两个数目分别作为发红包账号绑定的银行卡账户转入与发红包账号对应的中间账户的次数和发红包账号对应的中间账户接收到的所有转账的次数，然后就可以通过计算两个次数的比值确定对应的红包关联数据是否满足第三预定条件。

因此，应当理解的是，红包关联数据可以是多种多样的，第三预定条件也可以是多种多样的，本公开对此不作限定，本公开的保护范围也不应因此而受到任何限制。

在一个实施例中，在步骤460之前，所述方法还包括：

在产生的对象数据满足第二预定条件的对象中确定出产生的对象数据满足第四预定条件的对象；每隔第八时间段，对确定出的对象进行合法性校验；

步骤460具体包括：从在第七时间段内产生的对象数据满足所述第二预定条件的对象中获取在第七时间段内产生的对象数据同时满足第三预定条件和第四预定条件并且未通过合法性校验的对象，作为异常对象。

本步骤可以在获取到对应的对象数据满足第二预定条件的对象之后的任何时间执行，例如可以是在获取到一个对象就执行，可以是获取到一段时间段内的对象就执行，本公开对此不作任何限制。

第四预定条件是同第一至第三预定条件类似的可以用来过滤或筛选出可能的异常对象的条件。

本实施例的好处在于，通过使用合法性校验并增加第四预定条件作为附加的用来监控异常对象的手段，提高了识别异常对象的准确率。

在一个实施例中，对于监控红包转移资金欺诈行为的应用场景，对象数据，即红包关联数据包括：发红包账号对应的手机号的归属地，收红包账号对应的手机号的归属地，发红包账号注册的手机号个数，发红包账号对应的身份证号所属省份，收红包账号对应的身份证号所属省份，发红包账号对应的银行卡号的个数，发红包账号对应的设备，收红包账号对应的设备，红包收款频数，发红包账号发红包时手机所在ip地址对应的城市，收红包账号收红包时手机所在ip地址对应的城市，发红包账号注册手机号时所在ip地址对应的城市，收红包账号注册手机号时所在ip地址对应的城市，发红包账号绑定手机号时所在ip地址对应的城市，收红包账号绑定手机号时所在ip地址对应的城市，所述第四预定条件包括：

发红包账号对应的手机号的归属地与对应的收红包账号对应的手机号的归属地不相同的数目和发红包账号注册的手机号个数之比大于0或发红包账号对应的身份证号所属省份与对应的收红包账号对应的身份证号所属省份不相同的数目和发红包账号对应的银行卡号的个数之比大于0并且

发红包账号对应的设备和对应的收红包账号对应的设备相同的次数与红包收款频数之比大于0或发红包账号发红包时手机所在ip地址对应的城市与对应的收红包账号收红包时手机所在ip地址对应的城市相同的次数与红包收款频数之比大于0或发红包账号注册手机号时所在ip地址对应的城市和对应的收红包账号注册手机号时所在ip地址对应的城市相同的次数与发红包账号注册的手机号个数之比大于0或发红包账号绑定手机号时所在ip地址对应的城市和对应的收红包账号绑定手机号时所在ip地址对应的城市相同的次数与发红包账号注册的手机号个数之比大于0并且

发红包账号对应的银行卡号的个数与发红包账号注册的手机号个数相等。

在一个实施例中，对于监控红包转移资金欺诈行为的应用场景，用户使用账号登录手机上的app(application，简称应用程序)进行红包收发行为会产生红包关联数据，其中，账号为手机号或者与手机号唯一对应的账号，动态口令密码为语音验证码，通过语音验证码对确定出的红包收款账号进行验证。比如通过限制用户登录，让用户提交语音验证请求获得一次性语音验证码，只有账号没被盗取的合法用户才能通过验证，因为手机号还是在用户本人手中，即使账号被盗取，不法分子也无法获得语音验证码，就无法完成验证。

在一个实施例中，对于垃圾邮件识别这一应用场景，通过向涉嫌发送垃圾邮件的电子邮件地址发送包含验证码的验证邮件，确定该电子邮件地址是否为机器人操作，实现对电子邮件地址的合法性校验。

步骤470，利用预定规则对所述异常对象的权限进行限制。

预定规则是对所述异常对象的权限进行限制的方式。

比如，对于垃圾邮件识别这一应用场景，用于对涉嫌发送垃圾邮件的异常对象进行权限限制的预定规则可以包括：禁止发电子邮件、禁止向没向其发过电子邮件的地址新发送电子邮件、禁止在指定时间段发送电子邮件、每天向外发送电子邮件的数目不能超过预定数目阈值等。

在一个实施例中，对于监控红包转移资金欺诈行为的应用场景，得到的异常对象为红包关联账号，预定规则可以包括：将红包关联账号冻结、关闭红包关联账号的收发红包功能、为每天收发红包的金额设置上限等。

综上，通过图4所示出的实施例提供的技术方案，实现了对异常对象的全方位、多层次、高效率的监控，同时，层次化规则的设定提高了新规则归纳总结的效率，为及时打击具有新型特征的异常对象提供了保障，提高了监控异常对象的效率。

图5是根据图4对应实施例示出的一实施例的步骤420之后步骤和步骤440之后步骤的流程图。如图5所示，包括以下步骤：步骤430，每隔第五时间段，获取在第六时间段内产生的对象数据满足所述第一预定条件的对象。

所述第五时间段小于第六时间段，所述第五时间段大于或等于第四时间段。

步骤450，每隔第五时间段，从在第六时间段内产生的对象数据满足所述第一预定条件的对象中获取在第六时间段内产生的对象数据满足所述第二预定条件的对象。

有关对象数据与对象、时间段的关系已在前述的实施例中指出，此处不再赘述。

图5所示出的实施例通过在每隔更长时间段分别使用第一预定条件和第二预定条件来对更长时间段内有对象数据的对象进行筛选，可以获得针对异常对象的运行情况的更长远的发展态势。

图6是根据图4对应实施例示出的一实施例的步骤470的细节流程图。在图6示出的实施例中，所述预定规则包括多个预定子规则，所述第三预定条件包括至少一个可选子条件组，所述可选子条件组包括多个可选子条件，当所述可选子条件组中至少一个可选子条件被满足时，确定所述第三预定条件内整个该可选子条件组所限定的条件被满足。如图6所示，步骤470具体包括以下步骤：

步骤471，获取所述异常对象对第三预定条件的可选子条件组的满足度。

满足度是用于衡量所述异常对象对第三预定条件的可选子条件组的满足程度的指标。

在一个实施例中，所述获取所述异常对象对第三预定条件的可选子条件组的满足度，包括：在第三预定条件的各可选子条件组中获取所述异常对象满足的可选子条件的数目；基于所述数目获取所述异常对象对第三预定条件的各可选子条件组的满足度。

在一个实施例中，基于所述数目获取所述异常对象对第三预定条件的各可选子条件组的满足度，包括：

将所述数目作为所述异常对象对第三预定条件的各可选子条件组的满足度。

在一个实施例中，预先设有子条件数目区间与满足度对应关系表，所述基于所述数目获取所述异常对象对第三预定条件的各可选子条件组的满足度，包括：确定所述数目所属的子条件数目区间；在子条件数目区间与满足度对应关系表获取与确定出的所述子条件数目区间对应的满足度，作为所述异常对象对第三预定条件的各可选子条件组的满足度。

在一个实施例中，所述基于所述数目获取所述异常对象对第三预定条件的各可选子条件组的满足度，包括：基于所述数目利用如下公式获取所述异常对象对第三预定条件的各可选子条件组的满足度：

其中，x是所述数目，y是所述异常对象对第三预定条件的各可选子条件组的满足度。

上述公式很好地反映了所述异常对象满足的可选子条件的数目与获取的所述异常对象对第三预定条件的各可选子条件组的满足度的关系，所述异常对象满足的可选子条件的数目与获取的满足度呈正相关的关系，但满足度随着所述数目的增长，增速会逐渐减小。

在一个实施例中，预先为每一可选子条件组设置了权重，步骤471具体包括：针对第三预定条件包括的每一可选子条件组，在该可选子条件组中确定所述异常对象满足的可选子条件的数目；利用为每一可选子条件组设置的权重和确定出的所述异常对象满足的可选子条件的数目，获取所述异常对象在各可选子条件组中满足的可选子条件的数目的加权和，作为所述异常对象对第三预定条件的可选子条件组的满足度。

在一个实施例中，预先为每一可选子条件组设置了权重，步骤471具体包括：针对第三预定条件包括的每一可选子条件组，在该可选子条件组中确定所述异常对象满足的可选子条件的数目；利用为每一可选子条件组设置的权重和确定出的所述异常对象满足的可选子条件的数目，获取所述异常对象在各可选子条件组中满足的可选子条件的数目的加权和，作为所述异常对象对第三预定条件的可选子条件组的满足度。

本实施例的好处在于，综合考虑了满足的可选子条件的数目以及满足的可选子条件的重要程度两方面因素来获取满足度，提高了获取的满足度的准确性。

步骤472，根据所述异常对象对可选子条件组的满足度，确定用于对所述异常对象的权限进行限制的预定子规则。

在一个实施例中，预设有满足度区间与预定子规则对应关系表，通过根据所述满足度查询该表，获取用于对所述异常对象的权限进行限制的预定子规则。

步骤473，利用确定出的所述预定子规则对所述异常对象的权限进行限制。

本公开还提供了一种异常对象监控装置，以下是本公开的装置实施例。

图7是根据一示例性实施例示出的一种异常对象监控装置的框图。如图7所示，装置700包括：

第一获取模块710，被配置为每隔第一时间段，获取在第二时间段内产生的对象数据满足第一预定条件的对象，其中，所述对象数据与对象对应，所述第一时间段小于第二时间段。

第二获取模块720，被配置为每隔第三时间段，获取在第四时间段内产生的对象数据满足所述第一预定条件的对象，其中，所述第三时间段小于或等于第四时间段，所述第三时间段和第四时间段都大于第二时间段。

第三获取模块730，被配置为每隔第三时间段，从在第四时间段内产生的对象数据满足所述第一预定条件的对象中获取在第四时间段内产生的对象数据满足第二预定条件的对象。

异常对象获取模块740，被配置为从在第七时间段内产生的对象数据满足所述第二预定条件的对象中获取在第七时间段内产生的对象数据满足第三预定条件的对象，作为异常对象。

权限限制模块750，被配置为利用预定规则对所述异常对象的权限进行限制。

据本公开的第三方面，还提供了一种能够实现上述方法的电子设备。

所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

下面参照图8来描述根据本发明的这种实施方式的电子设备800。图8显示的电子设备800仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图8所示，电子设备800以通用计算设备的形式表现。电子设备800的组件可以包括但不限于：上述至少一个处理单元810、上述至少一个存储单元820、连接不同系统组件(包括存储单元820和处理单元810)的总线830。

其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元810执行，使得所述处理单元810执行本说明书上述“实施例方法”部分中描述的根据本发明各种示例性实施方式的步骤。

存储单元820可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(ram)821和/或高速缓存存储单元822，还可以进一步包括只读存储单元(rom)823。

存储单元820还可以包括具有一组(至少一个)程序模块825的程序/实用工具824，这样的程序模块825包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线830可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备800也可以与一个或多个外部设备1000(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备800交互的设备通信，和/或与使得该电子设备800能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口850进行。并且，电子设备800还可以通过网络适配器860与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器860通过总线830与电子设备800的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备800使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。

根据本公开的第四方面，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。

参考图9所示，描述了根据本发明的实施方式的用于实现上述方法的程序产品900，其可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。

计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

此外，上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围执行各种修改和改变。本发明的范围仅由所附的权利要求来限制。