恶意账户识别方法及装置与流程

【技术领域】

本申请涉及互联网技术领域，尤其涉及一种恶意账户识别方法及装置。

背景技术：

随着互联网技术的发展，各种应用系统越来越多，例如电子商务系统。用户作为应用系统的使用者，一般需要注册账户，例如电子邮箱(email)，账户可以作为用户的虚拟身份标识信息，用户通过账户可以登录应用系统，以使用应用系统提供的资源或开展相关活动等。

在实际应用中，一些恶意用户会大批量注册账户，以便于盗取应用系统所提供的资源。以电子商务系统为例，恶意用户可以通过大批量注册的电子邮箱登录电子商务系统，从而多次领取电子商务系统提供的红包。对应用系统来说，需要识别出恶意账户。

现有技术中存在一种对同期注册的大量账户做聚类，根据聚类结果识别恶意账户的方法。对于聚类算法来说，需要设定一些参数，例如类别的数量，距离半径等，针对账户这一特殊对象来说，由于具有太多不可控性，例如无法预知同期会有多少用户注册账户，也无法预知会有多少不同类型的账户产生，因此无法很好的设定聚类算法所需的参数。因此，现有这种方法容易发生误判，识别恶意账户的精度不高。

技术实现要素：

本申请的多个方面提供一种恶意账户识别方法及装置，用以提高识别恶意账户的精度，降低误判率。

本申请的一方面，提供一种恶意账户识别方法，包括：

获取待识别账户；

按照模糊处理指示信息，对所述待识别账户进行模糊化处理，以获得保留所述待识别账户中部分信息的模糊账户；其中，所述模糊处理指示信息用以发现所述待识别账户中具有相同或相似信息的账户；

对所述模糊账户进行恶意账户识别，以确定所述待识别账户中的恶意账户。

本申请的另一方面，提供一种恶意账户识别装置，包括：

获取模块，用于获取待识别账户；

模糊化处理模块，用于按照模糊处理指示信息，对所述待识别账户进行模糊化处理，以获得保留所述待识别账户中部分信息的模糊账户；其中，所述模糊处理指示信息用以发现所述待识别账户中具有相同或相似信息的账户；

识别模块，用于对所述模糊账户进行恶意账户识别，以确定所述待识别账户中的恶意账户。

在本申请中，获取待识别账户，按照模糊处理指示信息，对待识别账户进行模糊化处理，获得保留了待识别账户中部分信息的模糊账户，其中，模糊处理指示信息的作用是发现待识别账户中具有相同或相似信息的账户，因此通过比较模糊账户可以发现具有相同或相似信息的待识别账户，这些账户通常属于恶意账户，进一步基于模糊账户进行恶意账户识别，可以更加准确的发现待识别账户中的恶意账户，降低误判率。

【附图说明】

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请一实施例提供的恶意账户识别方法的流程示意图；

图2为本申请另一实施例提供的恶意账户识别方法的流程示意图；

图3为本申请一实施例提供的恶意账户识别装置的结构示意图。

【具体实施方式】

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

图1为本申请一实施例提供的恶意账户识别方法的流程示意图。如图1所示，该方法包括：

101、获取待识别账户。

102、按照模糊处理指示信息，对待识别账户进行模糊化处理，以获得保留待识别账户中部分信息的模糊账户，该模糊处理指示信息用以发现待识别账户中具有相同或相似信息的账户。

103、对上述模糊账户进行恶意账户识别，以确定待识别账户中的恶意账户。

本实施例提供一种恶意账户识别方法，可由恶意账户识别装置来执行。恶意账户识别装置可以是任何需要进行恶意账户识别的设备，例如可以是应用服务端或应用客户端等。

在进行恶意账户识别时，恶意账户识别装置首先获取待识别账户。待识别账户可以包括尚未被识别为合法账户的已注册账户，还可以包括新注册账户。例如，恶意账户识别装置可以在指定时间，获取指定时间间隔内新注册的至少一个账户作为待识别账户。更为具体的，恶意账户识别装置可以周期性的获取在本周期内新注册的至少一个账户作为待识别账户。所述周期可以是一天、两天、一周或更长时间。

值得说明的是，本实施例中的账户可以是用于登录的各种账户，例如可以是但不限于电子邮箱。本实施例中的账户一般具有前缀和后缀两部分。对电子邮箱来说，电子邮箱的前缀是@之前的部分，其余部分作为电子邮箱的后缀。

考虑到恶意账户一般都有一些明显的规律，例如账户名称有明显的规律性，例如，有固定的前缀和完全一样的后缀；以数字或字母作为序列自增；包括具有表征意义的固定字符，等等。以电子邮箱为例，恶意用户在注册时有可能注册以下一些电子邮箱，luha001@163.com，luha002@163.com，......，luha007@163.com等。由此可见，恶意账户一般具有相同或相近的信息，是比较相近的。因此，可以利用恶意账户之间相似的特点来识别恶意账户。

为了发现待识别账户中具有相同或相似信息的账户，可以预先针对该目的配置模糊处理指示信息，也就是说通过模糊处理指示信息可以发现待识别账户中具有相同或相似信息的账户。模糊处理指示信息主要包括一些用于限定模糊化处理位置、模糊化处理对象以及如何模糊化操作等的信息。

恶意账户识别装置按照模糊处理指示信息，对待识别账户进行模糊化处理，以获得保留了待识别账户中部分信息的模糊账户。简单来说，模糊账户保留了待识别账户中的部分信息，待识别账户中的另一部分信息被模糊掉。所谓模糊实际上是抽象的意思，即将具体的待识别账户抽象成模糊账户。

举例说明，以账户luha3902@163.com和luha244@163.com为例，模糊处理指示信息可以指示将账户中的数字模糊掉，并保留被模糊掉的数字个数，则经过模糊化处理后可以得到模糊账户luha^^^^@163.com和luha^^^@163.com，其中“^”代表被模糊掉的数字，“^”的个数表示被模糊掉的数字个数。这两个模糊账户的后缀是完全相同的，前缀中剩余字符也是相同的，区别在于模糊掉的数字个数不同。这意味着这两个模糊账户对应的待识别账户具有相同的开头字符“luha”和相同的后缀“@163.com”，属于相似账户。

再举例说明，以账户luha3902@163.com和luha3903@163.com为例，模糊处理指示信息可以指示将账户中的数字模糊掉，并保留被模糊掉的数字个数，则经过模糊化处理后可以得到模糊账户luha^^^^@163.com和luha^^^^@163.com，其中“^”代表被模糊掉的数字，“^”的个数表示被模糊掉的数字个数。这两个模糊账户的后缀是完全相同的，前缀中剩余字符也是相同的，被模糊掉的数字个数也相同，即这两个模糊账户是完全相同的。这意味着这两个模糊账户对应的待识别账户具有相同的开头字符“luha”、相同的后缀以及相同个数的数字，属于相近账户。

由上述可以看出，通过对待识别账户进行模糊化处理，将待识别账户中可能不同的信息给模糊掉，从而产生模糊账户。模糊账户更为简单，且保留了待识别账户中相同或相似的信息，因此通过模糊账户可以直接发现待识别账户中具有相同或相似信息的账户，不容易出现误判。因此，恶意账户识别装置可以对模糊账户进行恶意账户识别，以确定待识别账户中的恶意账户。

在一可选实施方式中，恶意账户识别装置可以直接比较模糊账户，发现完全相同的模糊账户，将完全相同的模糊账户对应的待识别账户确定为恶意账户。或者，恶意账户识别装置也可以直接比较模糊账户，发现相似程度符合预设相似度指标的模糊账户，将这些相似程度符合相似度指标的模糊账户对应的待识别账户作为恶意账户。相似度指标可以根据不同应用场景适应性设置，例如相似度指标可以是开头字符相同、后缀相同以及被模糊掉的数字个数相同；或者相似度指标也可以是开头字符相同、后缀相同以及被模糊掉的数字个数相差一个，等等。

在一可选实施方式中，恶意账户识别装置可以对模糊账户进行分组，以将相同或相似的模糊账户分为一组；按照评测参数，对每组内的模糊账户进行评测，获得每组对应的评测结果；之后，确定评测结果满足预设恶意条件的分组所对应的待识别账户作为恶意账户。

其中，评测结果满足预设恶意条件的分组所对应的待识别账户是指评测结果满足预设恶意条件的分组内各模糊账户对应的待识别账户。

可选的，可以预先设定相似度指标，根据相似度指标判断两个模糊账户是否相似，进而将模糊账户分为不同组。

其中，考虑到恶意账户除了具有相同或相近的信息之外，在注册时间、注册数量、信息共享等方面都会呈现较为明显的特征。举例说明：同一批恶意账户的注册时间往往比较集中，例如在同一天内注册。同一批恶意账户的注册时间间隔具有一定规律性，例如前后两个账户的注册时间间隔不超过2小时等。恶意账户的数量一般比较多，例如可能在100个以上。另外，恶意用户在注册恶意账户时一般会使用部分相同的信息，例如恶意账户会共享相同的设备互联网协议ip、mac、umid、tid、身份证号码、电话号码和/或联系地址等。

基于上述，评测参数可以包括但不限于以下至少一个：注册平均时间间隔、注册时间规律、分组内模糊账户的个数、分组的特征、分组的后验概率、静态共享广度指标、动态共享广度指标、静态共享密集度指标和动态共享密集度指标。

其中，注册平均时间间隔是指同一分组内的模糊账户的注册时间的平均间隔。模糊账户的注册时间也就是模糊账户对应的待识别账户的注册时间。对于每个分组，恶意账户识别装置可以根据该分组内的模糊账户的注册时间对模糊账户的注册时间进行排序，形成时间序列，获得前后两个模糊账户的注册时间的时间间隔，进而根据所获得的全部时间间隔和时间间隔的个数获得注册平均时间间隔。

若一个分组对应的注册平均时间间隔越短，说明该分组中的模糊账户被集中注册的可能性较大，也就意味着是恶意账户的风险较大。

其中，注册时间规律是指同一分组内模糊账户的注册时间之间具有的规律性。对于每个分组，恶意账户识别装置可以根据该分组内的模糊账户的注册时间对模糊账户的注册时间进行排序，形成时间序列，进而根据时间序列的标准差，获得时间序列具有的规律。

若一个分组对应的注册时间规律性很强，说明该分组内的模糊账户被恶意注册的可能性较大，也就意味着是恶意账户的可能性较大。

其中，分组内模糊账户的个数是指同一分组内模糊账户的个数。在实际应用中，不同用户注册的账户相同或相近的可能性较小，而同时出现大量相同或相近的账户的可能性就越小，因此若分组内的模糊账户越多，说明是恶意账户的可能性较大。

其中，分组的特征是指同一分组内模糊账户具有的共同特征，也就是该分组具有的特征，例如该分组内的模糊账户的开头字符都是相同的，例如都是luha，和/或，该分组内的模糊账户含有相同的字符数。其中，分组的特征越多，意味着分组内的模糊账户具有的相同特征也就越多，说明该分组内的模糊账户的相似度越高，进而意味着是恶意账户的可能性较大。

其中，分组的后验概率是指同一分组内出现与之前已经确定的恶意账户属于同期注册账户的模糊账户的概率。由于合法用户与恶意用户同期注册账户的概率较低，也就是说实际应用中出现合法用户注册合法账户的同时，出现恶意用户注册恶意账户的概率较低，因此若分组内出现与已经确定的恶意账户属于同期注册账户的模糊账户，说明该组内的这些相同或相似模糊账户是恶意账户的可能性很高。

其中，静态共享广度指标用于表征分组内出现模糊账户之间共享静态信息的情况的多少。这里的静态信息主要是指用户注册账户时使用的一些不易发生变化的信息，例如可以是注册时使用的设备信息，例如设备的ip、mac、umid和/或tid；还可以是注册时的用户信息，例如用户的身份证号码、电话号码、姓名和/或联系地址等；还可以是注册渠道信息，例如注册来源、注册业务来源和/或注册来源网站等信息。

只要两个模糊账户使用了任何一个或多个相同的静态信息，则认为这两个模糊账户之间共享静态信息。对每个分组来说，恶意账户识别装置可以获取该分组内各模糊账户使用的静态信息，通过比较各模糊账户使用的静态信息，可以发现模糊账户之间是否共享静态信息。

由于不同用户注册的账户使用相同静态信息的概率较低，因此若同一分组内出现模糊之间共享静态信息的情况越多，说明该组内的模糊账户属于恶意账户的概率较高。

其中，动态共享广度指标用于表征分组内出现模糊账户之间共享动态信息的情况的多少。这里的动态信息是指与账户有关且会随着时间发生变化的信息，例如可以是注册账户时使用的设备信息的更新，例如更新设备的ip、mac、umid和/或tid；还可以是用户使用账户的行为信息，例如发生的登录事件、交易事件、被ctu稽核事件、修改密码和/或修改其他注册信息等事件；还可以是使用模糊账户进行交易产生的交易信息，例如交易主动方信息、交易被动方信息、交易商品信息(尤其是高危商品信息)、收货地址、收货主动方信息和/或收货被动方信息。

只要两个模糊账户因其使用产生了任何一个或多个相同的动态信息，则认为这两个模糊账户之间共享动态信息。对每个分组来说，恶意账户识别装置可以获取该分组内各模糊账户对应的动态信息，通过比较各模糊账户对应的动态信息，可以发现模糊账户之间是否共享动态信息。

进一步，还可以限定两个模糊账户之间是否在指定时间内共享动态信息，例如在同一天内共享相同动态信息。

由于不同用户使用账户产生相同行为的概率较低，因此若同一分组内出现模糊之间共享动态信息的情况越多，说明该组内的模糊账户属于恶意账户的概率较高。

其中，静态共享密集度指标用于表征分组内出现的共享静态信息的模糊账户之间所共享的静态信息的多少。这里的静态信息和之前的静态信息的定义相同，不再赘述。

其中，共享静态信息的模糊账户所共享的静态信息越多，说明两个模糊账户越相近，属于恶意账户的可能性也就较大。例如，若第一模糊账户与第二模糊账户同时共享设备ip、用户身份证号码、联系地址等信息，但是第一模糊账户与第三模糊账户仅共享了设备ip这一静态信息，则意味着第一模糊账户与第二模糊账户更相近。对于每个分组来说，恶意账户识别装置首先可以获取共享静态信息的模糊账户，进而统计这些模糊账户所共享的静态信息的多少。

其中，动态共享密集度指标用于表征分组内出现的共享动态信息的模糊账户之间所共享的动态信息的多少。这里的动态信息和之前的动态信息的定义相同，不再赘述。

其中，共享动态信息的模糊账户所共享的动态信息越多，说明两个模糊账户越相近，属于恶意账户的可能性也就较大。例如，若第一模糊账户与第二模糊账户在同一天进行了登录、修改了密码、并且均购买了同一高危商品，但是第一模糊账户与第三模糊账户仅在同一天进行了登录，则意味着第一模糊账户与第二模糊账户更相近。对于每个分组来说，恶意账户识别装置首先可以获取共享动态信息的模糊账户，进而统计这些模糊账户所共享的动态信息的多少。

值得说明的是，基于上述评测参数，对每组内的模糊账户进行评测，以获得每组对应的评测结果的方式可以有多种。例如，恶意账户识别装置可以独立使用上述任一评测参数，对每组内的模糊账户进行评测，以获得每组对应的评测结果。又例如，恶意账户识别装置可以同时使用多个评测参数，为每个评测参数分配不同权重，分别使用每个评测参数对分组内的模糊账户进行评测，获得每个评测参数对应的评测值，再根据每个评测参数的评测值和每个评测参数的权重进行数值处理，获得最终评测结果。

举例说明，在经过上述评测处理之后，恶意账户识别装置可以确定注册平均时间间隔较小且注册时间规律性较强的分组对应的待识别账户为恶意账户。或者，经过上述评测处理之后，恶意账户识别装置可以确定注册平均时间间隔较小、注册时间规律性较强以及分组内模糊账户个数较多的分组对应的待识别账户为恶意账户。或者，经过上述评测处理之后，恶意账户识别装置可以确定注册平均时间间隔较小、注册时间规律性较强、分组内模糊账户个数较多、静态共享广度指标较高以及动态共享广度指标较高等的分组对应的待识别账户为恶意账户。

综上所述，在本实施例中，获取待识别账户，按照模糊处理指示信息，对待识别账户进行模糊化处理，获得保留了待识别账户中部分信息的模糊账户，其中，模糊处理指示信息的作用是发现待识别账户中具有相同或相似信息的账户，因此通过比较模糊账户可以发现具有相同或相似信息的待识别账户，这些账户通常属于恶意账户，进一步基于模糊账户进行恶意账户识别，可以更加准确的发现待识别账户中的恶意账户，降低误判率。

图2为本申请另一实施例提供的恶意账户识别方法的流程示意图。如图2所示，该方法包括：

201、获取待识别账户。

202、按照模糊处理指示信息包括的至少一种模糊粒度的模糊化参数，对待识别账户进行模糊化处理，以获得每种模糊粒度下保留了待识别账户中部分信息的模糊账户。

203、根据业务场景，从至少一种模糊粒度中确定目标粒度。

204、从所有模糊账户中，选出目标粒度下的模糊账户。

205、对目标粒度下的模糊账户进行分组，以将相同或相近的模糊账户分为一组。

206、按照评测参数，对每组内的模糊账户进行评测，以获得每组对应的评测结果。

207、确定评测结果满足预设恶意条件的分组所对应的待识别账户为恶意账户。

在本实施例中，模糊处理指示信息包括至少一种模糊粒度的模糊化参数。不同的模糊粒度意味着待识别账户中被模糊掉的信息不同。举例说明，至少一种模糊粒度的模糊化参数可以包括但不限于：第一模糊粒度的模糊化参数、第二模糊粒度的模糊化参数、第三模糊粒度的模糊化参数、第四模糊粒度的模糊化参数和第五模糊粒度的模糊化参数。

其中，第一模糊粒度的模糊化参数用于指示：模糊掉账户前缀中的所有数字，并保留被模糊掉的数字个数。

第二模糊粒度的模糊化参数用于指示：模糊掉账户前缀中的所有数字，忽略被模糊掉的数字个数，需标识模糊掉的部分是数字。

第三模糊粒度的模糊化参数用于指示：模糊掉账户前缀中的所有数字，忽略被模糊掉的数字个数，并模糊掉账户前缀中非数字字符中除指定位置处的非数字字符之外的其他非数字字符，并保留被模糊掉的非数字字符的个数。

第四模糊粒度的模糊化参数用于指示：模糊掉账户前缀中的所有数字，忽略被模糊掉的数字个数，模糊掉账户前缀中非数字字符中除指定位置处的非数字字符之外的其他非数字字符，并忽略被模糊掉的非数字字符的个数。

第五模糊粒度的模糊化参数用于指示：模糊掉账户前缀中所有字符组合，所述字符组合是指除起分割作用的分割字符之外的其他任意字符的组合，并忽略被模糊掉的字符组合中的字符个数。

获取待识别账户后，可以针对每种模糊粒度，分别对待识别账户进行模糊化处理，这样就会获得每种模糊粒度下的模糊账户。由于不同业务场景所需要的模糊粒度并不相同，所以可以根据业务场景，从所有模糊粒度中确定所需的目标粒度，进而从所有模糊账户中选择目标粒度下的模糊账户。值得说明的是，目标粒度可以是一种或多种模糊粒度。

之后，针对每个目标粒度下的模糊账户进行恶意账户识别。该识别过程可参见上述实施例的描述，在此不再赘述。关于评测参数的描述也可以参见上述实施例，在此不再赘述。

以账户luha3902@163.com和luh244@163.com为例，根据第一模糊粒度的模糊化参数进行模糊化处理后得到模糊账户为：luha^^^^@163.com和luh^^^@163.com；根据第二模糊粒度的模糊化参数进行模糊化处理后得到模糊账户为：luha^@163.com和luh^@163.com；经过第三模糊粒度的模糊化参数进行模糊化处理后得到模糊账户为：lucc^@163.com和luc^@163.com，其中指定位置处的非数字字符是指开头2个非数字字符；经过第四模糊粒度的模糊化参数进行模糊化处理后得到模糊账户为：luc^@163.com和luc^@163.com；经过第五模糊粒度的模糊化参数进行模糊化处理后得到模糊账户为：x@163.com和x@163.com。其中，上述模糊账户中的“^”、“c”和“x”属于模糊化处理后用于替代原字符的标识符。

例如，对于注册电子邮箱的业务场景，可以选择第一模糊粒度为目标粒度，则该目标粒度下的模糊账户为luha^^^^@163.com和luh^^^@163.com，进一步对这两个模糊账户进行恶意账户识别。具体的，恶意账户识别装置可以对这两个模糊账户进行分组，假设这两个模糊账户分为一组，之后利用评测参数对该组内的模糊账户进行评测处理，获得评测结果。例如，以注册时间平均间隔和静态共享广度指标为评测参数，则首先可以获得这两个模糊账户的注册时间间隔，根据该注册时间间隔给这两个模糊账户所在分组打一分值；进一步判断这两个模糊账户之间是否共享静态信息，根据判断结果为这两个模糊账户所在分组再打一分值，根据这两个分值，获得该分组的最终得分，即评测结果。之后，恶意账户识别装置将该分组的最终得分与预设的恶意条件中的分值门限进行比较，若大于该门限，确定该分组对应的待识别账户，即账户luha3902@163.com和luh244@163.com属于恶意账户；否则，不属于恶意账户。

在本实施例中，利用不同的模糊粒度对待识别账户进行模糊处理，获得不同模糊粒度下的模糊账户；再根据业务场景挑选所需粒度的模糊账户，对这些模糊账户进行分组，之后利用评测参数，针对每个分组进行评测，并最终根据评测结果确定恶意账户，可以更加准确的发现待识别账户中的恶意账户，降低误判率。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

图3为本申请一实施例提供的恶意账户识别装置的结构示意图。如图3所示，该装置包括：获取模块31、模糊化处理模块32和识别模块33。

获取模块31，用于获取待识别账户。

模糊化处理模块32，与获取模块31连接，用于按照模糊处理指示信息，对获取模块31获取的待识别账户进行模糊化处理，以获得保留待识别账户中部分信息的模糊账户；其中，模糊处理指示信息用以发现待识别账户中具有相同或相似信息的账户。

识别模块33，与模糊化处理模块32连接，用于对模糊化处理模块32获得的模糊账户进行恶意账户识别，以确定待识别账户中的恶意账户。

在一可选实施方式中，识别模块33具体可用于：对模糊账户进行分组，以将相同或相似的模糊账户分为一组；按照评测参数，对每组内的模糊账户进行评测，以获得每组对应的评测结果；确定评测结果满足预设恶意条件的分组所对应的待识别账户为恶意账户。

在一可选实施方式中，模糊处理指示信息包括至少一种模糊粒度的模糊化参数。基于此，模糊化处理模块32具体可用于：根据至少一种模糊粒度中每种模糊粒度的模糊化参数，分别对待识别账户进行模糊化处理，以获得每种模糊粒度下保留待识别账户中部分信息的模糊账户。

可选的，本实施例的待识别账户可以包括：账户前缀和账户后缀。

则至少一种模糊粒度的模糊化参数包括：

第一模糊粒度的模糊化参数用于指示：模糊掉账户前缀中的所有数字，并保留被模糊掉的数字个数；

第二模糊粒度的模糊化参数用于指示：模糊掉账户前缀中的所有数字，忽略被模糊掉的数字个数，需标识模糊掉的部分是数字；

第三模糊粒度的模糊化参数用于指示：模糊掉账户前缀中的所有数字，忽略被模糊掉的数字个数，并模糊掉账户前缀中非数字字符中除指定位置处的非数字字符之外的其他非数字字符，并保留被模糊掉的非数字字符的个数；

第四模糊粒度的模糊化参数用于指示：模糊掉账户前缀中的所有数字，忽略被模糊掉的数字个数，模糊掉账户前缀中非数字字符中除指定位置处的非数字字符之外的其他非数字字符，并忽略被模糊掉的非数字字符的个数；和

第五模糊粒度的模糊化参数用于指示：模糊掉账户前缀中所有字符组合，字符组合是指除起分割作用的分割字符之外的其他任意字符的组合，并忽略被模糊掉的字符组合中的字符个数。

基于上述至少一种模糊粒度的模糊化参数，则识别模块33用于对模糊账户进行分组，以将相同或相似的模糊账户分为一组，具体可以是：

根据业务场景，从至少一种模糊粒度中确定目标粒度；

从所有模糊账户中，选出目标粒度下的模糊账户；

对目标粒度下的模糊账户进行分组，以将相同或相似的模糊账户分为一组。

可选的，上述评测参数可以包括以下至少一个：注册平均时间间隔、注册时间规律、分组内模糊账户的个数、分组的特征、分组的后验概率、静态共享广度指标、动态共享广度指标、静态共享密集度指标和动态共享密集度指标。

其中，静态共享广度指标用于表征分组内出现模糊账户之间共享静态信息的情况的多少；

动态共享广度指标用于表征分组内出现模糊账户之间共享动态信息的情况的多少；

静态共享密集度指标用于表征分组内出现的共享静态信息的模糊账户之间所共享的静态信息的多少；

动态共享密集度指标用于表征分组内出现的共享动态信息的模糊账户之间所共享的动态信息的多少。

本实施例提供的恶意账户识别装置，获取待识别账户，按照模糊处理指示信息，对待识别账户进行模糊化处理，获得保留了待识别账户中部分信息的模糊账户，其中，模糊处理指示信息的作用是发现待识别账户中具有相同或相似信息的账户，因此通过比较模糊账户可以发现具有相同或相似信息的待识别账户，这些账户通常属于恶意账户，进一步基于模糊账户进行恶意账户识别，可以更加准确的发现待识别账户中的恶意账户，降低误判率。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。