用于监控节点变化及辅助识别黑名单的方法、装置及电子设备与流程

本公开涉及计算机技术领域，具体而言，涉及一种用于监控节点变化及辅助识别黑名单的方法、装置及电子设备。

背景技术：

随着互联网金融业务、电子商务、网上交易等的迅速发展，金融诈骗现象也出现了团伙化、组织化的趋势，对风险管控体系保障安全的要求也越来越高。为了能够有效预防欺诈行为，需要提前识别出隐含的黑名单。

现有的常见防欺诈方式，主要分为以下两种：

一、通过一个反欺诈规则引擎的模型来描述欺诈行为特征，从而将欺诈行为从正常操作中区别开来。在反欺诈规则引擎中，这些甄别欺诈行为的规则依赖于从大量历史案例中总结出来的“专家知识”。

二、通过数据挖掘的方法，基于历史数据(即，已知的欺诈申请和正常申请的数据)而建立的分类模型，这里模型的训练往往需要大量数据。

上述两种方式，通过从历史案例中发现金融欺诈时重复出现的个体行为模式，不适用于团伙化、有组织的行为。同时，这两种方式均是事后处理方式，欺诈案件发生后，进行事后的分析、处理，而不能进行事前的预测和事中的警报。

因此，需要一种新的用于监控节点变化及辅助识别黑名单的方法、装置及电子设备。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现要素：

针对现有技术中的部分问题或者全部问题，本公开提供一种用于监控节点变化及辅助识别黑名单的方法、装置及电子设备。

根据本公开的一个方面，提供一种用于监控节点变化的方法，包括：

获取用户数据，所述用户数据包括多个虚拟用户的用户标识；

将所述用户标识作为节点，并连接具有关联关系的节点形成边，根据所述节点和所述边建立基础图；

监控各节点与其他节点之间的关联关系的变化度；

当一节点与其他节点之间的关联关系的变化度超过第一预设阈值时，将所述节点判定为异常节点；或者选择变化度最大的预设数量的节点作为异常节点。

在本公开的一种示例性实施例中，所述获取用户数据包括：通过spark-storm插件实时抽取所述用户数据；和/或离线抽取所述用户数据。

在本公开的一种示例性实施例中，还包括：

获取预定节点与其他节点之间存在预设度数的关联节点。

在本公开的一种示例性实施例中，所述获取预定节点与其他节点之间存在预设度数的关联节点包括：

将所述预定节点的节点标识作为消息、数值1作为距离，封装成第一元组发送到所述预定节点的相邻节点的属性中，获取所述预定节点的一度节点。

在本公开的一种示例性实施例中，所述获取预定节点与其他节点之间存在预设度数的关联节点还包括：

根据所述一度节点和所述边构造第一图，将所述一度节点的属性信息发送到所述一度节点的相邻节点的属性中，并将所述属性中的距离加1，获取所述预定节点的二度节点。

根据本公开的一个方面，提供一种用于监控节点变化的装置，包括：

数据采集模块，用于获取用户数据，所述用户数据包括多个虚拟用户的用户标识；

基础图绘制模块，用于将所述用户标识作为节点，并连接具有关联关系的节点形成边，根据所述节点和所述边建立基础图；

节点监控模块，用于监控各节点与其他节点之间的关联关系的变化度；

异常节点判断模块，用于当一节点与其他节点之间的关联关系的变化度超过第一预设阈值时，将所述节点判定为异常节点；或者选择变化度最大的预设数量的节点作为异常节点。

根据本公开的一个方面，提供一种电子设备，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为执行上述任意所述的用于监控节点变化的方法。

根据本公开的一个方面，提供用于辅助识别黑名单的方法，包括：

获取用户数据，所述用户数据包括多个虚拟用户的用户标识；

将所述用户标识作为节点，并连接具有关联关系的节点形成边，根据所述节点和所述边建立基础图；

采用群体分类方式将所述基础图分为多个子图。

在本公开的一种示例性实施例中，所述群体分类方式包括：聚类分析、支持向量机、逻辑回归中的任意一种。

在本公开的一种示例性实施例中，还包括：

计算各个子图中的黑名单的占比比率；

当子图中的黑名单的占比比率超过第二预设阈值时，将所述子图中的除黑名单以外的其他节点加入至一灰名单。

根据本公开的一个方面，提供一种用于辅助识别黑名单的装置，包括：

数据采集模块，用于获取用户数据，所述用户数据包括多个虚拟用户的用户标识；

基础图绘制模块，用于将所述用户标识作为节点，并连接具有关联关系的节点形成边，根据所述节点和所述边建立基础图；

子图划分模块，用于采用群体分类方式将所述基础图分为多个子图。

在本公开的一种示例性实施例中，还包括：

黑名单比率计算模块，用于计算各个子图中的黑名单的占比比率；

灰名单形成单元，用于当子图中的黑名单的占比比率超过第二预设阈值时，将所述子图中的除黑名单以外的其他节点加入至一灰名单。

根据本公开的一个方面，提供一种电子设备，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为执行上述任意所述的用于辅助识别黑名单的方法。

一方面，本公开的一种实施例中的用于监控节点变化的方法、装置及电子设备，根据已经构建好的图数据，可以监控各个节点关系的变化情况，并根据变化度可以监控异常变动节点。

另一方面，本公开的一种实施例中的用于辅助识别黑名单的方法、装置及电子设备，可以实现根据群体分类方式将构建好的基础图划分为多个子图，研究对象不以每个用户为维度，而是将所有用户的所有基础属性降维，各基础属性对应一个节点，使得数据结构具有普适性，数据结构简洁已操作。

在一些实施例中，可以利用关系网络的方式通过现有黑名单进行节点关联，提高效率，有效发现隐藏的黑名单，丰富黑名单库，能够做到事前预防。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示意性示出本示例实施方式中一种用于监控节点变化的方法的流程图。

图2示意性示出本公开示例性实施例中一种用于监控节点变化的装置的方框图。

图3示意性示出本公开示例性实施例中一种用于辅助识别黑名单的方法的流程图。

图4示意性示出本公开示例性实施例中一种用于辅助识别黑名单的装置的方框图。

图5示意性示出本公开示例性实施例中一种电子设备的方框图。

图6示意性示出本公开示例性实施例中一种用于辅助识别黑名单的装置的方框图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中，提供许多具体细节从而给出对本公开的实施方式的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而省略所述特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。

此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

图1示意性示出本示例实施方式中一种用于监控节点变化的方法的流程图。

如图1所示，在步骤S110中，获取用户数据，所述用户数据包括多个虚拟用户的用户标识。

随着互联网的发展，越来越多的人通过网络进行沟通和交流，网络已经成为众多用户的一个信息交流平台。在网络中，每一个用户都是一个虚拟用户。

其中，获取所述用户数据的数据源按照来源可以包括：内部数据与外部数据，内部数据主要是系统自己生产的数据，例如从业务系统采集的会员信息、订单信息、登录信息等，虚拟用户在利用账号登录网站时，服务器通常会记录一些反映用户基本信息的用户标识，如，IP地址、Agent、cookie、用户ID(如，用户的邮箱或手机号)或MAC(Medium Media Access Control，介质访问控制)地址等。即使虚拟用户在同一个网站上注册了多个账号，但所有账号很有可能会关联同一个用户标识，如，当虚拟用户利用同一台电脑在网站上注册多个账号时，所有的账号都会关联同一个IP地址。外部数据主要是指从其他厂商处收集或购买的数据。但本公开不限定于。

在示例性实施例中，所述获取用户数据包括：通过spark-storm插件实时抽取所述用户数据；和/或离线抽取所述用户数据。

抽取所述用户数据的过程可以根据对数据的实时性要求，分为实时抽取与离线抽取(例如，T+1抽取，即抽取前一天的数据)方式。其中，实时数据抽取是一种流式处理，例如可以通过spark-storm插件，每隔十分钟抽取业务数据库中的数据，进行加工、计算，实时返回抽取数据结果。其中，离线抽取以T+1抽取方式为例，一般为经过处理后的汇总数据，然后放入数据库中作对比。实时抽取主要是为了获取实时交易的数据，适用于对时效性要求比较高的场景、数据属性等。离线抽取，主要可对应于用户的固有属性，如相关用户的电话、邮箱等，对时效性要求不高，可以使用离线抽取方式。

需要说明的是，数据抽取的方式不限于上述例举的方式，且其中抽取的天数、抽取间隔时间均为举例说明，并不用于限定本发明。例如，还可以定期从业务数据库中获取某一段时间内(如，最近3个月内)保存的用户数据。

在步骤S120中，将所述用户标识作为节点，并连接具有关联关系的节点形成边，根据所述节点和所述边建立基础图。

本发明实施例中的所述用户标识是对所述用户数据进行最小粒度化，从订单信息、会员信息、登录信息等中获取的，并将所述用户标识作为节点。例如，一条订单信息可以包含用户账号、用户手机号、收货地址、购买的商品种类、某一种商品种类的数量、订单金额、支付账号等等，其中用户账号、用户手机号、收货地址、购买的商品种类、某一种商品种类的数量、订单金额、支付账号可以分别作为一个节点。

在示例性实施例中，可以进一步的将上述获得的多个虚拟用户的多个节点划分为不同的节点类型，节点类型例如可以分为：账户、电话、邮箱、地址、证件、姓名、银行卡、设备等(这些节点中有的是根据所述黑名单已知的黑名单节点)。本公开不限定于上述例举的节点类型，可以根据具体的应用场合选择不同的节点类型。

在示例性实施例中，可以将同一节点类型中相同的节点合并为同一个节点。例如，虚拟用户A可以包括用户账号A、用户手机号A、收货地址A、身份证A、姓名A、设备A等，虚拟用户B可以包括用户账号B、用户手机号B、收货地址B、身份证B、姓名B、设备B等，虽然，用户账号A和用户账号B不同，分别对应两个虚拟用户A和B，但其中用户手机号A和用户手机号B相同，则在电话这个节点类型中，将用户手机号A和用户手机号B合并为同一个手机号。再例如，虚拟用户A和虚拟用户B的其他节点信息均不相同，但身份证A和身份证B相同，可以在证件这个节点类型中，将身份证A和身份证B合并为同一个身份证。其他情况可以以此类推。其中，可以是多个(大于等于2)虚拟用户的其中某一节点信息相同，也可以是多个(大于等于2)虚拟用户的其中某些节点信息相同。

在示例性实施例中，根据所述用户数据中不同节点之间的关联关系，用连线连接具有关联关系的节点形成边，作为边信息进行存储。例如，根据一条包含用户账号、用户手机号、收货地址等节点的订单信息，可以将该用户账号对应的节点与该用户手机号对应的节点连接形成一条边，还可以将该用户账号对应的节点与该收获地址对应的节点连接形成另一条边，将该用户手机号对应的节点与该收货地址对应的节点连接形成再一条边。再例如，根据第一条包含用户账号A、用户手机号A、收货地址A等节点的订单信息，以及根据第二条包含用户账号B、用户手机号B、收货地址B等节点的订单信息，假设收货地址A和收货地址B相同，则在地址这一节点类型中，收货地址A和收货地址B合并为同一个地址，此时用户账号A、用户手机号A、用户账号B、用户手机号B均与该同一收货地址之间分别具有一条边。其他情况以此类推。在不同的实施例中，可以为多个虚拟用户的一个或者多个节点由于关联关系与某一节点类型中的一个或者多个节点具有一条或者多条边。

在示例性实施例中，根据上述节点类型，可以将边分为例如以下类型：账户与电话之间的关联关系形成的边、账户与邮箱之间的关联关系形成的边、账户与地址之间的关联关系形成的边、账户与证件之间的关联关系形成的边、电话与邮箱之间的关联关系形成的边、电话与地址之间的关联关系形成的边等等。

在示例性实施例中，根据上述节点信息和边信息构造Graph(图)对象，生成所述基础图。

在步骤S130中，监控各节点与其他节点之间的关联关系的变化度。

在步骤S140中，当一节点与其他节点之间的关联关系的变化度超过第一预设阈值时，将所述节点判定为异常节点；或者选择变化度最大的预设数量的节点作为异常节点。

其中所述第一预设阈值的取值可以根据具体应用场合进行设置，本公开对此不作限定。

根据上述已经构建好的图(基础图)数据，实时抽取数据，并监控每个节点类型中节点关系的变化情况。例如：某个电话与其他节点的关系，发生剧烈的变化，急速变多或者变小的情况，按照一定的阈值(一般是通过数据平均的变化度来进行设置的)，如变化比率达到50％，或者增加边数到500，或者取变化度最大的前n(例如n＝30)个节点，判断是否这些异常点是否有问题。比如，一个电话平时只关联某一商品种类中的一个商品，突然有一天这个电话关联了500个该同一种商品种类中的商品，则此时可以认为这个电话出现异常，该电话对应的账号可能被盗号，将该电话对应的节点判定为一异常节点，并可以将该异常节点加入至一灰名单中。然后可以通过人工判别方式或是自动判别方式来判断该灰名单中的信息是否应该加入黑名单。

在示例性实施例中，用于监控节点变化的方法还可以包括：

获取预定节点与其他节点之间存在预设度数的关联节点。

例如，所述预定节点可以为黑名单节点，但本公开对此不作限定。其中，与已知的黑名单节点之间存在一条边的节点称为该已知的黑名单节点的一度节点，与已知的黑名单节点之间存在二条边的节点称为该已知的黑名单节点的二度节点，与已知的黑名单节点之间存在三条边的节点称为该已知的黑名单节点的三度节点，与已知的黑名单节点之间存在四条边的节点称为该已知的黑名单节点的四度节点，与已知的黑名单节点之间存在五条边的节点称为该已知的黑名单节点的五度节点，其他预设度数的关联节点的定义可以此类推。

各类网站通常都拥有大量的网站用户(虚拟用户)，在这些虚拟用户中，有些虚拟用户在登录网站后会凭借网站这个平台对其它的虚拟用户实施某种欺诈行为。例如，一些卖家在网站上发布虚假商品信息，并且只收钱不发货，诈骗买家的钱财。对于网站系统而言，这些实施欺诈行为的虚拟用户就属于危险的虚拟用户。为了防控危险的虚拟用户的欺诈行为，必须要先从海量的虚拟用户中准确地识别出哪些为危险的虚拟用户。通常，虚拟用户是通过账号来登录网站的，不同的虚拟用户绑定的账号也不同，因此，可以直接利用账号来识别一个虚拟用户。并且，通过判断某个账号是否发生欺诈事实，进一步确定与该账号绑定的虚拟用户是否属于危险的虚拟用户。对于那些被确定为危险的虚拟用户，服务器可以进一步采取一些防控措施，例如将其加入至黑名单。有时候，这些危险的虚拟用户往往会通过各种手段在同一个网站上注册多个账号。

其中，获取所述黑名单的数据源按照来源可以包括：内部数据与外部数据，内部数据主要是系统自己生产的数据，例如从业务系统采集的会员信息、订单信息、登录信息等，虚拟用户在利用账号登录网站时，服务器通常会记录一些反映用户基本信息的用户标识，如，IP地址、Agent、cookie、用户ID(如，用户的邮箱或手机号)或MAC(Medium Media Access Control，介质访问控制)地址等。即使虚拟用户在同一个网站上注册了多个账号，但所有账号很有可能会关联同一个用户标识，如，当虚拟用户利用同一台电脑在网站上注册多个账号时，所有的账号都会关联同一个IP地址。外部数据主要是指从其他厂商处收集或购买的数据，例如，从第三方厂商购买的风险用户数据作为已知的黑名单。但本公开不限定于。

在示例性实施例中，所述获取预定节点与其他节点之间存在预设度数的关联节点可以包括：

将所述预定节点的节点标识作为消息、数值1作为距离，封装成第一元组发送到所述预定节点的相邻节点的属性中，获取所述预定节点的一度节点。

例如，可以使用图计算(通过上面建立的基础图结构)的函数，将顶点(例如，黑名单节点)ID当做消息，数值1作为距离，封装成元组(VertexId，1)发送到相邻节点的属性中，图中点的结构就是点ID，属性为邻接点ID和距离。

在示例性实施例中，所述获取预定节点与其他节点之间存在预设度数的关联节点还可以包括：

根据所述一度节点和所述边构造第一图，将所述一度节点的属性信息发送到所述一度节点的相邻节点的属性中，并将所述属性中的距离加1，获取所述预定节点的二度节点。

例如，根据一度节点和边构造新的图，将点的属性信息发送到相邻节点，并且将属性中的距离+1，得到二度节点的信息。此时，图中每个点的属性信息为二度节点的信息。

在示例性实施例中，所述获取预定节点与其他节点之间存在预设度数的关联节点还可以包括：

根据所述二度节点和所述边构造第二图，将所述二度节点的属性信息发送到所述二度节点的相邻节点的属性中，并将所述属性中的距离加1，获取所述预定节点的三度节点。

在示例性实施例中，所述获取预定节点与其他节点之间存在预设度数的关联节点还可以包括：

根据所述三度节点和所述边构造第三图，将所述三度节点的属性信息发送到所述三度节点的相邻节点的属性中，并将所述属性中的距离加1，获取所述预定节点的四度节点。

在示例性实施例中，所述获取预定节点与其他节点之间存在预设度数的关联节点还可以包括：

根据所述四度节点和所述边构造第四图，将所述四度节点的属性信息发送到所述四度节点的相邻节点的属性中，并将所述属性中的距离加1，获取所述预定节点的五度节点。

同理计算三度、四度、五度节点，通过计算这些信息，可以得到每个节点之间的关系。其中随着节点度数的增大，图数据量相应的增大。虽然这里只计算到五度节点信息，但实际上可以根据系统需求、计算处理量、处理速度等选择更大或更小度数的节点。

在示例性实施例中，还可以包括：将与所述黑名单节点之间存在预设度数的关联节点加入至灰名单。

在示例性实施例中，根据所述基础图和已知的黑名单节点，计算出与已知的黑名单节点关联的一度、二度、三度、四度、五度节点信息，这些与已知的黑名单节点之间有关联的节点称之为(或者与这些节点对应的账户)灰名单。

在示例性实施例中，可以通过人工审核的方式来判断这些灰名单是否应该归属到黑名单中。

本实施方式提供的用于监控节点变化的方法，以用户最小粒度的属性作为一个节点，如：一个电话、一个ip、一个证件、一个地址等，以用户属性之间的关系作为一条边，通过点和边组成一个基础图，并通过关联节点之间的变化度来监控异常节点。

图2示意性示出本公开示例性实施例中一种用于监控节点变化的装置的方框图。

如图2所示，用于监控节点变化的装置100包括数据采集模块110、基础图绘制模块120、节点监控模块130以及异常节点判断模块140。

其中数据采集模块110可以用于获取用户数据，所述用户数据包括多个虚拟用户的用户标识。

基础图绘制模块120可以用于将所述用户标识作为节点，并连接具有关联关系的节点形成边，根据所述节点和所述边建立基础图。

节点监控模块130可以用于监控各节点与其他节点之间的关联关系的变化度。

异常节点判断模块140可以用于当一节点与其他节点之间的关联关系的变化度超过第一预设阈值时，将所述节点判定为异常节点；或者选择变化度最大的预设数量的节点作为异常节点。

在示例性实施例中，用于监控节点变化的装置100还可以包括：关联节点获取模块，其可以用于获取预定节点与其他节点之间存在预设度数的关联节点。

在示例性实施例中，所述关联节点获取模块可以包括：一度节点计算单元，可以用于将所述预定节点的节点标识作为消息、数值1作为距离，封装成第一元组发送到所述预定节点的相邻节点的属性中，获取所述预定节点的一度节点。

在示例性实施例中，所述关联节点获取模块还可以包括：二度节点计算单元，可以用于根据所述一度节点和所述边构造第一图，将所述一度节点的属性信息发送到所述一度节点的相邻节点的属性中，并将所述属性中的距离加1，获取所述预定节点的二度节点。

本发明实施例中的用于监控节点变化的装置中的模块和/或单元对应上述用于监控节点变化的方法的实施例中的具体内容，可以参照上述方法实施例，在此不再赘述。

进一步的，本示例实施方式中，还提供了一种电子设备。所述电子设备包括：处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为执行上述实施例所述的用于监控节点变化的方法。

图3示意性示出本公开示例性实施例中一种用于辅助识别黑名单的方法的流程图。

如图3所示，该用于辅助识别黑名单的方法可以包括以下步骤：

在步骤S210中，获取用户数据，所述用户数据包括多个虚拟用户的用户标识。

在步骤S220中，将所述用户标识作为节点，并连接具有关联关系的节点形成边，根据所述节点和所述边建立基础图。

上述步骤S210和S220可以参考上述用于监控节点变化的方法的实施例中的步骤S110和S120，在此不再赘述。

在步骤S230中，采用群体分类方式将所述基础图分为多个子图。

在示例性实施例中，所述群体分类方式包括：聚类分析、支持向量机、逻辑回归中的任意一种。

在示例性实施例中，以一个节点为中心，通过各个维度的属性，向周边进行辐射，比如：与某个电话有关的一度内的地址、用户账号、银行卡等信息，称之为以该电话为中心的一度群体，二度内的为二度群体，以此类推。可以利用聚类分析、支持向量机、逻辑回归等对上述基础图进行分类，划分为多个子图。

聚类分析是将相同的用户群体进行聚类，将所有用户分为几种不同的类别，是一种无监督算法。支持向量机、逻辑回归这两种算法是根据已知用户的属性信息(例如购买频次、关联的属性个数)和用户的标签信息(例如二次元爱好者的群体类别)来对用户进行分类，是一种有监督算法。

在示例性实施例中，该用于辅助识别黑名单的方法还可以包括以下步骤：计算各个子图中的黑名单的占比比率。

在示例性实施例中，利用深度学习的算法进行预测，对数据进行分层，每一层的输出结果就是下一层的输入，通过神经网络预测群体中的黑名单情况。

在示例性实施例中，该用于辅助识别黑名单的方法还可以包括以下步骤：当子图中的黑名单的占比比率超过第二预设阈值时，将所述子图中的除黑名单以外的其他节点加入至一灰名单。

本发明实施例中，所述用户数据和黑名单的获取过程及数据来源均可参照上述用于监控节点变化的方法的实施例。

在已经分类后的群体(一个子图对应一个群体)中，已知有黑名单的节点，通过该已知的黑名单节点在该群体内占比以及变化情况，可以预测该群体的变化情况。其中，可以利用时间序列，给数据加入时间属性，随着时间的变化，一个群体内黑名单节点持续变多，可以对该群体内不是黑名单的节点进行预测，例如，当一个群体内黑名单节点占比超过50％时，则可以认为该群体内所有其他节点都为灰名单。

在示例性实施例中，还可以黑名单进行分级处理，根据预测算法的结果，优先处理可能性最高的黑名单用户，人性化处理黑名单用户。例如，可以设置当一个群体内黑名单节点占比超过90％时，该群体对应的优先级最高，优先判断该群体内的其他节点是否灰名单；当一个群体内黑名单节点占比超过80％小于90％时，该群体对应的优先级次之，以此类推。

在示例性实施例中，由于用户数据中的用户属性可能发生变化，因此，上述构造的图不是固定不变的，图中的属性会发生变化，比如用户修改手机号信息。当用户标识发生变化时，会对图的数据信息进行修改，重新计算相关的信息。

在示例性实施例中，图3所述的用于辅助识别黑名单的方法，可以应用于催收系统、风控系统、交易系统、反欺诈系统等中。例如，在催收系统中，可以提供催收对象的关联人的信息，家人的手机、地址等，从而提高催收率，减低公司信贷业务损失。在风控系统中，可以通过检查多个交易对象是否在同一个网络中，进行团队反欺诈，防止欺诈交易的产生。

本实施方式提供的用于辅助识别黑名单的方法，利用关系网络的方式通过现有黑信息进行用户关联，提高效率，有效发现隐藏的黑用户，丰富黑名单库，做到事前预防。一方面，通过在一个群体中，节点黑化的程度与速度，预测对整个群体的影响。另一方面，研究对象不以每个用户为维度，而是以关系网络中的子图为研究对象，研究这个子图中可能出现的黑名单。还通过大数据实时分析，提高黑名单的准确度，灵活应对盗号问题。

图4示意性示出本公开示例性实施例中一种用于辅助识别黑名单的装置的方框图。

如图4所示，用于辅助识别黑名单的装置200可以包括数据采集模块210、基础图绘制模块220以及子图划分模块230。

其中数据采集模块210可用于获取用户数据，所述用户数据包括多个虚拟用户的用户标识。

基础图绘制模块220可用于将所述用户标识作为节点，并连接具有关联关系的节点形成边，根据所述节点和所述边建立基础图。

子图划分模块230可用于采用群体分类方式将所述基础图分为多个子图。

在示例性实施例中，用于辅助识别黑名单的装置200还可包括：黑名单比率计算模块，用于计算各个子图中的黑名单的占比比率；灰名单形成单元，用于当子图中的黑名单的占比比率超过第二预设阈值时，将所述子图中的除黑名单以外的其他节点加入至一灰名单。

本发明实施例中的用于辅助识别黑名单的装置中的模块对应上述用于辅助识别黑名单的方法的实施例中的具体内容，可以参照上述方法实施例，在此不再赘述。

进一步的，本发明实施方式还提供了一种电子设备，包括：处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为执行上述所述的用于辅助识别黑名单的方法。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

此外，尽管在附图中以特定顺序描述了本公开中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。

进一步的，本示例实施方式中，还提供了一种电子设备。图5示出根据本公开示例实施方式中一种电子设备的示意图。例如，电子设备300可以是移动电话，计算机，数字广播终端，消息收发设备，智能电视，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

参照图5，电子设备300可以包括以下一个或多个组件：处理组件302，存储器304，电源组件306，多媒体组件308，音频组件310，输入/输出(I/O)的接口312，传感器组件314，以及通信组件316。

处理组件302通常控制电子设备300的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件302可以包括一个或多个处理器320来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件302可以包括一个或多个模块，便于处理组件302和其他组件之间的交互。例如，处理组件302可以包括多媒体模块，以方便多媒体组件304和处理组件302之间的交互。

存储器304被配置为存储各种类型的数据以支持在设备300的操作。这些数据的示例包括用于在电子设备300上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器304可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电力组件306为电子设备300的各种组件提供电力。电力组件306可以包括电源管理系统，一个或多个电源，及其他与为电子设备300生成、管理和分配电力相关联的组件。

多媒体组件308包括在所述电子设备300和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件308包括一个前置摄像头和/或后置摄像头。当设备300处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件310被配置为输出和/或输入音频信号。例如，音频组件310包括一个麦克风(MIC)，当电子设备300处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器304或经由通信组件316发送。在一些实施例中，音频组件310还包括一个扬声器，用于输出音频信号。

I/O接口312为处理组件302和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件314包括一个或多个传感器，用于为电子设备300提供各个方面的状态评估。例如，传感器组件314可以检测到设备300的打开/关闭状态，组件的相对定位，例如所述组件为电子设备300的显示器和小键盘，传感器组件314还可以检测电子设备300或电子设备300一个组件的位置改变，用户与电子设备300接触的存在或不存在，电子设备300方位或加速/减速和电子设备300的温度变化。传感器组件314可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件314还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件314还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件316被配置为便于电子设备300和其他设备之间有线或无线方式的通信。电子设备300可以接入基于通信标准的无线网络，如WiFi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件316经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件316还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，电子设备300可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器304，上述指令可由电子设备300的处理器320执行以完成上述方法。例如，所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

图6是根据一示例性实施例示出的一种用于辅助识别黑名单的装置500的框图。例如，装置500可以被提供为一服务器。参照图6，装置500包括处理组件522，其进一步包括一个或多个处理器，以及由存储器532所代表的存储器资源，用于存储可由处理组件522的执行的指令，例如应用程序。存储器532中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件522被配置为执行指令，以执行上述方法……

装置500还可以包括一个电源组件526被配置为执行装置500的电源管理，一个有线或无线网络接口550被配置为将装置500连接到网络，和一个输入输出(I/O)接口558。装置500可以操作基于存储在存储器532的操作系统，例如Windows ServerTM，Mac OS XTM，UnixTM,LinuxTM，FreeBSDTM或类似。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。