账号识别方法及装置与流程

本发明实施例涉及数据处理技术领域，特别涉及一种账号识别方法及装置。

背景技术：

越来越多的用户通过互联网与其它用户进行金融交易。在这些用户中，不免有一些用户使用交易账号在互联网上进行金融交易来骗取其它用户的钱财。为了避免欺诈现象的发生，需要对每个进行金融交易的交易账号进行识别，禁止恶意交易账号在互联网上与其它用户进行金融交易。恶意交易账号是具有欺诈性质的交易账号。

相关技术提供了一种账号识别方法，该方法包括：服务器获取欺诈交易的交易特征；根据该交易特征建立分析模型；根据分析模型分析目标交易账号当前进行的金融交易具有欺诈性质的概率；当该概率大于预设数值时，确定该目标交易账号为恶意交易账号；当该恶意交易账号登录的用户设备登录有未识别出的交易账号时，将这些交易账号也确定为恶意交易账号。比如：服务器确定出交易账号a、b、c和d都登录过用户设备v1，且通过分析模型分析出恶意交易账号为a、b，那么服务器将交易账号c和d也确定为恶意交易账号。

由于服务器通过分析模型识别出恶意交易账号后，将与该恶意交易账号登录过相同用户设备的所有其它交易账号都确定为恶意交易账号，当这些其它交易账号中存在非恶意交易账号时，就会导致服务器错误地将非恶意交易账号识别为恶意交易账号，识别恶意交易账号的准确性不高的问题。

技术实现要素：

为了解决现有技术由于服务器将与恶意交易账号登录了相同的用户设备的交易账号都确定为恶意交易账号，导致的服务器识别恶意交易账号的准确性不高问题，本发明实施例提供了一种账号识别方法及装置。所述技术方案如下：

第一方面，提供了一种账号识别方法，所述方法包括：

建立登录过同一个交易账号的不同用户设备之间的关联关系；

根据不同用户设备之间的所述关联关系聚类出至少一个设备集合，每个所述设备集合包括至少一个用户设备；

获取第一恶意交易账号；

在所述至少一个设备集合中确定出目标设备集合，所述目标设备集合是所述第一恶意交易账号登录过的用户设备所在的设备集合；

计算在所述目标设备集合中的所述用户设备中登录过的所述交易账号的欺诈风险值；

将所述欺诈风险值大于预设阈值的交易账号识别为第二恶意交易账号。

第二方面，提供了一种账号识别装置，所述装置包括：

关系建立模块，用于建立登录过同一个交易账号的不同用户设备之间的关联关系；

聚类模块，用于根据不同用户设备之间的所述关联关系聚类出至少一个设备集合，每个所述设备集合包括至少一个用户设备；

获取模块，用于获取第一恶意交易账号；

确定模块，用于在所述至少一个设备集合中确定出目标设备集合，所述目标设备集合是所述第一恶意交易账号登录过的用户设备所在的设备集合；

第一计算模块，用于计算在所述目标设备集合中的所述用户设备中登录过的所述交易账号的欺诈风险值；

识别模块，用于将所述欺诈风险值大于预设阈值的交易账号识别为第二恶意交易账号。

本发明实施例提供的技术方案带来的有益效果包括：

通过建立同一个交易账号登录过的不同用户设备之间的关联关系；根据该关联关系聚类出至少一个设备集合；根据第一恶意交易账号登录过的目标设备集合，确定在该目标设备集合中用户设备中登录过的交易账号的欺诈风险值，将欺诈风险值大于预设阈值的交易账号识别为第二恶意交易账号；解决了服务器在确定出第一恶意交易账号后，将与该第一恶意交易账号登录过相同用户设备的其它交易账号均确定为第二恶意交易账号，导致服务器可能将普通交易账号识别为恶意交易账号，识别恶意交易账号的准确性不高的问题；由于目标设备集合是根据用户设备之间的关联关系聚类得到的，因此，该目标设备集合可以反映出具有相同登录习惯的交易账号，服务器通过恶意交易账号登录过的用户设备所在的目标设备集合，可以确定出与该恶意交易账号具有相同登录习惯的交易账号，这些交易账号具有欺诈风险的概率较高，通过将交易账号的欺诈风险值大于预设阈值的交易账号识别为第二恶意交易账号，使得服务器从与该恶意交易账号具有相同登录习惯的交易账号中，确定出欺诈风险较高的第二恶意交易账号，提高了服务器识别恶意交易账号的准确性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1a是本发明一个实施例提供的一种实施环境的示意图；

图1b是本发明一个实施例提供的账号识别方法的流程图；

图2a是本发明一个实施例提供的关联关系构建方法的流程图；

图2b是本发明一个实施例提供的聚类方法的流程图；

图2c是本发明另一个实施例提供的账号识别方法的流程图；

图3是本发明一个实施例提供的关联关系的示意图；

图4是本发明一个实施例提供的设备集合的示意图；

图5是本发明一个实施例提供的账号识别方法的流程图；

图6是本发明一个实施例提供的另一种关联关系的示意图；

图7是本发明一个实施例提供的另一种账号识别方法的流程图；

图8是本发明一个实施例提供的一种的交易账号的欺诈风险值的计算方法的流程图；

图9是本发明另一个实施例提供的一种的交易账号的欺诈风险值的计算方法的流程图；

图10是本发明一个实施例提供的账号识别装置的框图；

图11是本发明一个实施例提供的服务器的结构框架图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

本发明专利申请说明书以及权利要求书中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。同样，“一个”或者“一”等类似词语也不表示数量限制，而是表示存在至少一个。

请参考图1a，其示出了本发明一示例性实施例示出的一种实施环境的示意图，该实施环境中包括：至少两个用户设备110、金融交易服务器120和数据管理服务器130。

用户设备110是诸如手机、平板电脑、便携式计算机和台式计算机之类的终端设备。可选地，用户设备110中可以安装有金融交易类应用程序，比如购物客户端、各大银行的官方客户端、支付客户端或者支持支付功能的社交应用客户端等等。如图1a示例性地示出了3个用户设备110。

用户在用户设备110中的金融交易类应用程序中登录交易账号后，用户可以通过交易账号与其它用户进行金融交易，或者，通过交易账号存取账款。比如，交易账号1向交易账号2转账1000元、交易账号3向银行卡622202*********30中存入5000元等。

金融交易服务器120是为用户设备110提供金融服务的后台服务器，金融交易服务器120可以是一台服务器，也可以是由若干台服务器组成的服务器集群，或者是一个云计算服务中心。金融交易服务器120用于记录每个交易账号登录的用户设备和每个交易账号的交易记录。

可选地，用户设备110可以通过无线网络方式或者有线网络方式与金融交易服务器120建立通信连接。

可选地，上述的无线网络或有线网络使用标准通信技术和/或协议。网络通常为因特网、但也可以是任何网络，包括但不限于局域网(localareanetwork，lan)、城域网(metropolitanareanetwork，man)、广域网(wideareanetwork，wan)、移动、有线或者无线网络、专用网络或者虚拟专用网络的任何组合)。在一些实施例中，使用包括超文本标记语言(hypertextmark-uplanguage，html)、可扩展标记语言(extensiblemarkuplanguage，xml)等的技术和/或格式来代表通过网络交换的数据。此外还可以使用诸如安全套接字层(securesocketlayer，ssl)、传输层安全(trassportlayersecurity，tls)、虚拟专用网络(virtualprivatenetwork，vpn)、网际协议安全(internetprotocolsecurity，ipsec)等常规加密技术来加密所有或者一些链路。在另一些实施例中，还可以使用定制和/或专用数据通信技术取代或者补充上述数据通信技术。

数据管理服务器130是对金融交易服务器120获取到的数据进行数据处理的后台服务器，数据管理服务器130可以是一台服务器，也可以是由若干台服务器组成的服务器集群，或者是一个云计算服务中心。数据管理服务器130用于获取金融交易服务器120存储的每个交易账号登录的用户设备和每个交易账号的交易记录；每个交易账号登录的用户设备和每个交易账号的交易记录，确定出各个交易账号中的恶意交易账号。

在其他示例性实施例中，上述金融交易服务器120和数据管理服务器130可以实现在同一服务器，或者同一服务器集群中，本实施例对此不作限定。

可选地，本发明各个实施例提供的方法，各步骤的执行主体为数据管理服务器130(下文简称服务器)。

请参考图1b，其示出了本发明一个实施例提供的账号识别方法的流程图。该方法可以包括以下几个步骤：

步骤101，建立登录过同一个交易账号的不同用户设备之间的关联关系。

不同用户设备可以是同一类型的不同用户设备，比如两个手机；或者，不同用户设备也可以是不同类型的不同用户设备，比如，手机和平板电脑。

步骤102，根据不同用户设备之间的关联关系聚类出至少一个设备集合，每个设备集合包括至少一个用户设备。

可选地，该聚类过程又称社区发现(communitydetection)过程，该聚类过程能够将具有相同或相似的登录特征的用户设备进行聚类，得到一个个社区。

可选地，每个设备集合中的各个交易账号具有相同的登录特征。

步骤103，获取第一恶意交易账号。

可选地，第一恶意交易账号属于预先已经识别出的欺诈账号名单。

可选地，步骤103可以在步骤101和102之前执行，也可以在步骤101和102之后执行，还可以和步骤101和步骤102同时执行，本实施例对此不作限定。

步骤104，在至少一个设备集合中确定出目标设备集合，目标设备集合是第一恶意交易账号登录过的用户设备所在的设备集合。

可选地，目标设备集合中的各个交易账号与第一恶意交易账号具有相同的登录特征(或者说登录习惯)。

步骤105，计算在目标设备集合中的用户设备中登录过的交易账号的欺诈风险值。

步骤106，将欺诈风险值大于预设阈值的交易账号识别为第二恶意交易账号。

综上所述，本实施例提供的账号识别方法，通过建立同一个交易账号登录过的不同用户设备之间的关联关系；根据该关联关系聚类出至少一个设备集合；根据第一恶意交易账号登录过的目标设备集合，确定在该目标设备集合中用户设备中登录过的交易账号的欺诈风险值，将欺诈风险值大于预设阈值的交易账号识别为第二恶意交易账号；解决了服务器在确定出第一恶意交易账号后，将与该第一恶意交易账号登录过相同用户设备的其它交易账号均确定为第二恶意交易账号，导致服务器可能将普通交易账号识别为恶意交易账号，识别恶意交易账号的准确性不高的问题；由于目标设备集合是根据用户设备之间的关联关系聚类得到的，因此，该目标设备集合可以反映出具有相同登录用户设备的习惯的交易账号，服务器通过恶意交易账号登录过的用户设备所在的目标设备集合，可以确定出与该恶意交易账号具有相同的登录习惯的交易账号，这些交易账号具有欺诈风险的概率较高，通过将交易账号的欺诈风险值大于预设阈值的交易账号识别为第二恶意交易账号，使得服务器从与该恶意交易账号具有相同的登录习惯的交易账号中，确定出欺诈风险较高的第二恶意交易账号，提高了服务器识别恶意交易账号的准确性。

下面对图1b所示的实施例中所涉及的各个步骤进行更详细的介绍。可选地，该账号识别方法包括三个过程：关联关系图构建过程、聚类过程和账号识别过程。这三个过程分别包括以下几个步骤：

第一，请参考图2a，其示出了本发明一个实施例提供的关联关系构建过程的流程图。关联关系图构建过程具体如下步骤201至步骤206所示：

步骤201，获取交易账号和用户设备之间的登录对应关系。

登录对应关系用于表示交易账号登录过用户设备，该登录对应关系的数据格式可以为ud＝(ui，dk)，ui表示交易账号，dk表示用户设备，即交易账号ui在用户设备dk中登录过。

登录对应关系可以是从其它服务器中获取的，比如：由图1a中的数据处理服务器130从金融交易服务器120中获取的；或者，也可以是在交易账号登录用户设备的过程中，由用户设备110主动向数据处理器服务器130发送的，本实施例对此不作限定。

步骤202，根据登录对应关系确定登录过同一个交易账号的第一用户设备和第二用户设备。

其中，第一用户设备的数量可以为至少一个，第二用户设备的数量也可以为至少一个，本实施例对此不作限定。由于本实施例需要建立登录过同一个交易账号的不同用户设备之间的关联关系，因此第一用户设备和第二用户设备的数量的和通常为至少两个。

假设服务器获取到的登录对应关系包括：ud＝(u1，dv1)；ud＝(u1，dv2)；ud＝(u2，dv2)；ud＝(u2，dv3)，则交易账号u1登录过的用户设备为dv1和dv2；交易账号u2登录过的用户设备为dv2和dv3。

步骤203，获取登录过第一用户设备的交易账号构成的第一账号集合，以及登录过第二用户设备的交易账号构成的第二账号集合。

假设对于登录了同一交易账号u1的用户设备为dv1和dv2，其中，登录过dv1的交易账号除了u1之外，还包括u3、u4、u5；登录过dv2的交易账号除了u1之外，还包括u2、u6、u7，服务器获取到的第一账号集合为{u1，u3，u4，u5}；第二账号集合为{u1，u2，u6，u7}。

步骤204，计算属于第一账号集合与第二账号集合的交集的交易账号的第一数量，以及属于第一账号集合与第二账号集合的并集的交易账号的第二数量。

假设第一账号集合为{u1，u3，u4，u5}；第二账号集合为{u1，u2，u6，u7}，那么，第一账号集合与第二账号集合的交集为{u1}，第一数量为1；第一账号集合与第二账号集合的并集为{u1，u2，u3，u4，u5，u6，u7}，第二数量为7。

步骤205，将第一数量与第二数量之间的比值确定为第一用户设备与第二用户设备之间的关联度。

关联度用于指示第一用户设备与第二用户设备之间的关联关系的关联程度。关联关系用于指示登录过同一交易账号的不同的用户设备。比如：用户设备v1和用户设备v2都登录过交易账号u1，那么用户设备v1与用户设备v2之间存在关联关系；用户设备v1与用户设备v2之间的关联度g＝共同登录用户设备v1和用户设备v2的交易账号的第一数量/登录用户设备v1和用户设备v2的所有交易账号的第二数量。

假设第一数量为1，第二数量为7，那么第一用户设备与第二用户设备之间的关联度g＝1/7。其中，关联度可以用分数表示，也可以用小数标识，本实施例对此不作限定。

步骤206，根据第一用户设备、第二用户设备和关联度建立关联关系。

本实施例中，服务器可以将得到的用户设备之间的关联关系通过关联关系图来表示。

在关联关系图中，服务器以每个用户设备作为节点，关联关系作为连接不同节点的边。结合参考图3，由该关联关系图可知，用户设备v1与用户设备v2存在关联关系，且关联关系的关联度为g1；用户设备v1与用户设备v5存在关联关系，且关联关系的关联度为g2；用户设备v2与用户设备v3存在关联关系，且关联关系的关联度为g3；用户设备v2与用户设备v5存在关联关系，且关联关系的关联度为g4；用户设备v5与用户设备v4存在关联关系，且关联关系的关联度为g5；用户设备v4与用户设备v6存在关联关系，且关联关系的关联度为g6。

由于具体实现时的用户设备可能为亿万级，在建立各个用户设备之间的关联关系后，该关联关系图是一个无向图。数据处理服务器会将该关联关系图作为输入数据进行聚类过程(或者说社团发现过程)，以便将具有相同登录特征的各个用户设备聚类成一个个设备集合(或者说社团)。

第二，请参考图2b，其示出了本发明一个实施例提供的聚类过程的流程图。聚类过程具体如下步骤207至步骤212所示：

步骤207，对于每个用户设备，将用户设备的设备标识初始化为用户设备所在的设备集合的设备集合标识。

设备标识可以为设备id(identity，身份号码)，本实施例对此不作限定。

设备集合标识用于表示每个用户设备所在的设备集合。属于同一个设备集合的用户设备具有相同或相似的登录特征。

设备集合用于通过第一恶意交易账号确定登录的除该第一恶意交易账号之外的其它交易账号是否具有欺诈风险。即，设备集合在恶意交易账号识别的过程中起桥梁作用，服务器获取到第一恶意交易账号之后，通过设备集合识别第二恶意交易账号。其中，第一恶意交易账号是服务器预先获取到的。第二恶意交易账号是服务器根据第一恶意交易账号分析得到的。

假设服务器建立的关联关系图如图3所示，则初始化用户设备v1的设备集合标识为v1；初始化用户设备v2的设备集合标识为v2；初始化用户设备v3的设备集合标识为v3；初始化用户设备v4的设备集合标识为v4；初始化用户设备v5的设备集合标识为v5；初始化用户设备v6的设备集合标识为v6。

可选地，服务器也可以为每个用户设备设置其它用户设备的设备标识；或者，为每个用户设备设置的设备集合标识是服务器通过算法生成的其它类型的标识，本实施例对此不作限定。

步骤208，将用户设备与对应的所有第一关联用户设备之间的关联度相加，得到该用户设备对应的第一关联度和。

对于每个用户设备来讲，第一关联用户设备是与该用户设备存在关联关系的其它用户设备。

如图3所示，用户设备v1所在的设备集合的设备集合标识为v1、且该用户设备v1存在两个第一关联用户设备v2和v5，这两个第一关联用户设备所在的设备集合的设备集合标识分别为v2和v5，服务器计算用户设备v1的第一关联度和gv1＝g1+g2。

步骤209，对于用户设备对应的每个第一关联用户设备，将第一关联用户设备与对应的所有第二关联用户设备之间的关联度相加，得到第一关联用户设备对应的第二关联度和。

对于每个第一关联用户设备，第二关联用户设备是与该第一关联用户设备存在关联关系的其它用户设备。

如图3所示，对于用户设备v1对应的第一关联用户设备v2和v5，第一关联用户设备v2对应的第二关联设备为v3和v5，则第一关联用户设备v2对应的第二关联度和gv2＝g1+g3+g4；第二关联用户设备v5对应的第二关联度和gv3＝g2+g4+g5。

步骤210，检测第一关联度和是否大于每个第二关联度和。

当第一关联度和大于每个第二关联度和时，执行步骤211；当第一关联度和小于或等于任一第二关联度和时，执行步骤212。

根据步骤208和步骤209中的实例，服务器检测gv1是否大于gv2和gv3，当gv1大于gv2和gv3时，执行步骤211；当gv1小于等于gv2或gv3时，执行步骤212。

步骤211，保持用户设备所在的设备集合的设备集合标识不变，执行步骤213。

由于用户设备对应的第一关联度和大于各个第二关联度和，说明其它用户设备与该用户设备的关联程度较大，此时，保持该用户设备所在的设备集合的集合标识不变，可以反映出在设备集合中登录过的大多数交易账号的登录习惯。比如：较多的交易账号具有相同的登录用户设备v1和v2的习惯。

步骤212，将用户设备所在的设备集合的设备集合标识，替换为第一最大值对应的第一关联用户设备所在的设备集合的设备集合标识。

其中，第一最大值为各个第二关联度和中的最大值。

假设当gv1大于gv3，且小于gv2，即，gv2是gv2、gv3中的第一最大值，服务器将用户设备所在的设备集合的设备集合标识v1替换为v2。

经过步骤211或步骤212后，服务器得到至少一个聚类后的设备集合。假设服务器得到的至少一个设备集合如图4所示，由图4可知，用户设备v1、v2和v5所在的设备集合的设备集合标识为v2；用户设备v3和v7所在的设备集合的设备集合标识为v3；用户设备v4和v6所在的设备集合的设备集合标识为v4。

第三，请参考图2c，其示出了本发明一个实施例提供的账号识别过程的流程图。账号识别过程具体如下步骤213至步骤216所示。

步骤213，获取第一恶意交易账号。

第一恶意交易账号是指具有欺诈风险的交易账号，服务器获取到的第一恶意交易账号的数据格式可以为u＝(ui)，ui表示已识别出的第一恶意交易账号。

服务器获取到的恶意交易账号可以是用户设备或其它服务器发送的；或者，也可以是根据欺诈交易的交易特征建立分析模型分析得到的，本实施例对服务器获取第一恶意交易账号的方式和第一恶意交易账号的数量不作限定。

可选地，本步骤可以在步骤201至步骤212之前执行；还可以在步骤201至步骤212之后执行；还可以与步骤201至步骤212同时执行，本实施例对此不作限定。

步骤214，在至少一个设备集合中确定出目标设备集合，该目标设备集合是第一恶意交易账号登录过的用户设备所在的设备集合。

由于设备集合是服务器根据关联关系图中的关联度得到的，该设备集合可以反映出多个交易账号具有的相同登录习惯，因此，服务器通过第一恶意交易账号登录的目标设备集合来确定第二恶意交易账号的准确性更高。

比如：存在多个第一恶意交易账号u1登录了目标设备集合中的用户设备v1和v2，说明该目标设备集合中登录用户设备v1和v2的其它用户账号是第二恶意交易账号的概率较大，服务器通过该目标设备集合确定出的第二恶意交易账号的准确性更高。

步骤215，计算在目标设备集合中的用户设备中登录过的交易账号的欺诈风险值。

欺诈风险可以通过交易账号所在的目标设备集合的欺诈风险、交易账号在目标设备集合中的用户设备登录的欺诈风险、交易账号登录过的至少两个目标设备集合的欺诈风险的平均值等方面来评估。此步骤中的交易账号，是指登录过目标设备集合中的用户设备的全部交易账号，或者，除第一恶意交易账号之外的其它交易账号。

本实施例通过计算在目标设备集合中的用户设备中登录过的交易账号的欺诈风险值，使得服务器可以从各个具有欺诈风险的交易账号中确定出达到欺诈风险较高的交易账号，降低了服务器直接将各个具有欺诈风险的交易账号确定为第二恶意交易账号时，误识别第二恶意交易账号的概率。

步骤216，将欺诈风险值大于预设阈值的交易账号识别为第二恶意交易账号。

综上所述，本实施例提供的方法，通过建立同一个交易账号登录过的不同用户设备之间的关联关系；根据该关联关系聚类出至少一个设备集合；根据第一恶意交易账号登录过的目标设备集合，确定在该目标设备集合中用户设备中登录过的交易账号的欺诈风险值，将欺诈风险值大于预设阈值的交易账号识别为第二恶意交易账号；解决了服务器在确定出第一恶意交易账号后，将与该第一恶意交易账号登录过相同用户设备的其它交易账号均确定为第二恶意交易账号，导致服务器可能将普通交易账号识别为恶意交易账号，识别恶意交易账号的准确性不高的问题；由于目标设备集合是根据用户设备之间的关联关系聚类得到的，因此，该目标设备集合可以反映出具有相同登录用户设备的习惯的交易账号，服务器通过恶意交易账号登录过的用户设备所在的目标设备集合，可以确定出与该恶意交易账号具有相同的登录习惯的交易账号，这些交易账号具有欺诈风险的概率较高，通过将交易账号的欺诈风险值大于预设阈值的交易账号识别为第二恶意交易账号，使得服务器从与该恶意交易账号具有相同的登录用户设备的习惯的交易账号中，确定出欺诈风险较高的第二恶意交易账号，提高了服务器识别恶意交易账号的准确性。

另外，服务器可以通过恶意交易账号登录过的设备集合，确定出在该设备集合中与恶意交易账号登录过的用户设备相同的其它交易账号是否具有欺诈风险，这样，即使欺诈团伙中的第一欺诈用户更换了交易账号，服务器也可以通过第二欺诈用户所使用的第一恶意账号登录的不同用户设备，确定出第一欺诈用户更新后的第二恶意账号，实现了识别欺诈团伙更新后的各个第二恶意账号的功能。

可选地，由于本发明在将各个用户设备聚类成至少一个设备集合时，采用的是分布式算法，当一个结点的关联关系发生更新时，服务器得到的设备集合可能对应发生变化，此时，服务器需要根据更新后的关联关系对应的设备集合计算交易账号的欺诈风险值。下面对服务器根据更新后的关联关系对应的设备集合识别账号的方法进行介绍。

基于图2a、图2b和图2c所示的实施例，请参考图5，其示出了本发明另一个实施例提供的账号识别方法的流程图。在步骤211或212之后，还包括：

步骤501，当用户设备的关联关系更新时，将设备集合中的所有用户设备与对应的第一关联用户设备之间的关联度相加，得到设备集合对应的第三关联度和。

由于用户设备的关联关系经常发生改变，比如：关联关系中的权重发生改变，关联关系中的用户设备发生改变，因此，服务器需要基于现有的设备集合，根据更新后的关联关系更新每个用户设备所在的设备集合。

假设现有的设备集合如图4所示，若用户设备v1的关联关系存在更新，且更新后的关联关系变为图6所示的关联关系，那么，服务器需要计算设备集合v2对应的第三关联度gv2＝g1+g2+g3+g4+g5+g8。

步骤502，计算设备集合之外的，且与设备集合中的用户设备对应的每个第二关联用户设备之间的关联度和相加，得到每个第二关联用户设备对应的第四关联度和。

根据图6可知，在设备集合v2之外的第二关联设备为v8、v3和v4，那么服务器需要计算v8对应的第四关联度之和gv8＝g8；v3对应的第四关联度之和gv3＝g3+g7；v4对应的第四关联度之和gv4＝g5+g6。

步骤503，检测第三关联度和是否大于每个第四关联度和；

在第三关联度和大于每个第四关联度和时，执行步骤504；在第三关联度和小于或等于任一第四关联度和时，执行步骤505。

假设gv2大于gv8、gv3、gv4，执行步骤504；假设gv2小于等于gv8、gv3或gv4，执行步骤505。

步骤504，保持用户设备所在的设备集合的设备集合标识不变，执行步骤212。

本步骤的相关描述详见步骤211，本实施例在此不作赘述。

步骤505，将用户设备所在的设备集合的设备集合标识，替换为第二最大值对应的第二关联用户设备所在的设备集合的设备集合标识。

其中，第二最大值是指第四关联度和中的最大值。

本步骤的相关描述详见步骤212，本实施例在此不作赘述。

假设经过步骤504或505的处理后，服务器得到的至少一个聚类后的设备集合如图7所示。由图7可知，用户设备v1、v2、v5和v8所在的设备集合的设备集合标识为v2；用户设备v3和v7所在的设备集合的设备集合标识为v3；用户设备v4和v6所在的设备集合的设备集合标识为v4。

综上所述，本实施例提供的方法，通过在用户设备的关联关系更新时，服务器根据更新后的关联关系重新聚类得到至少一个设备集合，提高了服务器通过该设备集合确定第二恶意交易账号的准确性。

下面对步骤215中服务器计算在目标设备集合中的用户设备中登录过的交易账号的欺诈风险值的作详细介绍。服务器计算交易账号的欺诈风险值的方式包括但不限于以下几种。第一种(参见图8所示的实施例)：服务器从目标设备集合的欺诈风险和交易账号在目标设备集合中的用户设备登录的欺诈风险两个方面计算交易账号的欺诈风险值；第二种(参见图8所示的实施例中步骤801-803)：服务器根据交易账号在目标设备集合中的用户设备登录的欺诈风险来计算交易账号的欺诈风险值；第三种(参见图9所示的实施例)：服务器从目标设备集合的欺诈风险、交易账号在目标设备集合中的用户设备登录的欺诈风险、以及交易账号所在的至少两个目标设备集合的欺诈风险的平均值这三个方面来计算交易账号的欺诈风险值。

下面对上述三种服务器计算交易账号的欺诈风险值的方式分别作介绍。

请参考图8，其示出了本发明一个实施例提供的一种交易账号的欺诈风险值的计算方法的流程图。

步骤801，对于在目标设备集合中的用户设备中登录过的每个交易账号，确定交易账号登录过的n个第三用户设备，n为正整数。

其中，第三用户设备为目标设备集合中的用户设备。

步骤802，对于n个第三用户设备中的第i个第三用户设备，确定在第i个第三用户设备中登录过的第一恶意交易账号的第三数量，以及，在第i个第三用户设备中登录过的所有交易账号的第四数量，i为小于n的正整数。

步骤803，将第三数量与第四数量之间的比值确定为第i个子风险值；根据n个子风险值的平均值，确定交易账号的第一风险值。

步骤801至步骤803所述的第一风险值的计算过程可通过下述公式表示：

其中，drk表示第k个交易账号在目标设备集合中的用户设备中登录的第一风险值；n为第k个交易账号在目标设备集合中登录过的用户设备的数量；i为第k个交易账号在目标设备集合中登录过的第i个用户设备；dmki为在第i个用户设备中登录过的第一恶意交易账号的数量；dnki为在第i个用户设备中登录过的所有交易账号的数量。

假设目标设备集合中的交易账号u1登录过的3个第三用户设备v1、v2和v3，其中，登录第三用户设备v1的第一恶意交易账号的第三数量为1，所有交易账号的第四数量为10，则第三用户设备v1的子风险值＝1/10＝0.1；登录第三用户设备v2的第一恶意交易账号的第三数量为2，所有交易账号的第四数量为8，则第三用户设备v2的子风险值＝2/8＝0.25；登录第三用户设备v3的第一恶意交易账号的第三数量为3，所有交易账号的第四数量为6，则第三用户设备v3的子风险值＝3/6＝0.5，那么交易账号的第一风险值＝(0.1+0.25+0.5)/3＝0.283。其中，第一风险值和子风险值可以用小数表示，也可以用分数表示，本实施例对此不作限定。

步骤804，确定在目标设备集合中的用户设备中登录过的第一恶意交易账号的第五数量，以及，在目标设备集合中的用户设备中登录过的所有交易账号的第六数量；将第五数量与第六数量之间的比值确定为目标设备集合的第二风险值。

本步骤所述的第二风险值的计算过程可通过下述公式表示：

sdrk＝m/n

其中，sdrk表示目标设备集合的第二风险值；k表示第k个目标设备集合；m表示在第k个目标设备集合中的用户设备中登录过的第一恶意账号的数量；n表示在第k个目标设备集合中的用户设备中登录过的所有交易账号的数量。

假设在目标设备集合中的用户设备登录过的第一恶意交易账号的第五数量为10，在目标设备集合中的用户设备中登录过的所有交易账号的第六数量为40，则目标设备集合的第二风险值＝10/40＝0.25。其中，第二风险值可以用小数表示，也可以用分数表示，本实施例对此不作限定。

步骤805，计算第一风险值与第二风险值的加权平均值，得到交易账号的欺诈风险值。

其中，计算第一风险值与第二风险值的加权平均值是指：预先为第一风险值设置对应的第一权值，为第二风险值设置对应的第二权值，其中，第一权值和第二权值的和为1；将第一风险值乘以第一权值得到的积与第二风险值乘以第二权值得到的积求和。本实施例不对第一权值和第二权值的具体取值作限定。

本步骤所述的欺诈风险值的计算过程可通过下述公式表示：

srk＝αsdrk+(1-α)drk

其中，srk表示第k个交易账号的欺诈风险值；drk表示第k个交易账号在目标设备集合中的用户设备中登录的第一风险值；sdrk表示目标设备集合的第二风险值；α为drk对应的第一权值，(1-α)为sdrk对应的第二权值，α的取值范围为[0,1]。

假设第一权值为0.4，第二权值为0.6，第一风险值为0.283，第二风险值为0.25，那么，交易账号的欺诈风险值＝0.4*0.283+0.6*0.25＝0.1783。

可选地，服务器也可以直接将步骤803得到的第一风险值直接作为交易账号的欺诈风险值，本实施例对此不作限定。

可选地，基于图8所示的实施例，在步骤803或步骤805之后，请参考图9，其示出了本发明另一个实施例提供的交易账号的欺诈风险值的计算方法的流程图，该方法还包括如下几个步骤。

步骤901，计算交易账号在m个目标设备集合中的m个欺诈风险值的平均值。

本步骤所述的欺诈风险值的平均值的计算过程可通过下述公式表示：

其中，urj表示交易账号所在的m个目标设备集合对应的欺诈风险值的平均值；sri在m个目标设备集合中的第i个目标设备集合登录时，对应的第i个欺诈风险值；m是交易账号登录过的所有设备集合的数量。

假设交易账号u1登录过设备集合v2中的用户设备v1，还登录过设备集合v4中的用户设备v6，交易账号u1在设备集合v2中的欺诈风险值为0.1783，在设备集合v4中的欺诈风险值为0.7，那么，交易账号u1的欺诈风险值的平均值＝(0.1783+0.7)/2＝0.43915。

步骤902，使用平均值更新欺诈风险值，得到更新后的欺诈风险值。

服务器使用平均值0.43915更新步骤805中得到的欺诈风险值0.1783，得到更新后的欺诈风险值0.43915。

此时，作为步骤216的可替换步骤：

步骤903，将更新后的欺诈风险值大于预设阈值的交易账号识别为第二恶意交易账号。

本实施例中，在交易账号登录过多个设备集合时，通过计算交易账号在各个集合中具有欺诈风险的平均值，将该平均值作为该交易账号的欺诈风险值，提高了服务器在识别账号是否具有欺诈风险时的准确性。

可选地，对于服务器获取到得第一恶意账号，其欺诈风险值始终为最大值1。

为了更清楚地理解本发明，下面对本发明识别第二恶意交易账号的识别场景举一个具体的实例。

若存在一个诈骗集团，服务器识别出该诈骗集团中的交易账号u1、u2、u3、和u4为第一恶意交易账号，并且u1、u2、u3和u4均登录了用户设备v1和v2，服务器对所有的用户设备进行聚类后，将用户设备v1和用户设备v2聚在同一设备集合中。

若诈骗集团中的诈骗用户将交易账号u1更换成新注册的一个交易账号u5，由于交易账号u5登录在用户设备v1或v2中，即便交易账号u5是尚未使用的交易账号，服务器也会根据上述实施例识别出u5是第二恶意交易账号。

下述为本发明装置实施例，可以用于执行本发明方法实施例。对于本发明装置实施例中未披露的细节，请参照本发明方法实施例。

请参考图10，其示出了本发明一个实施例提供的账号识别装置的框图。该装置具有执行上述方法示例的功能，功能可以由硬件实现，也可以由硬件执行相应的软件实现。该装置可以包括：关系建立模块1010、聚类模块1020和获取模块1030、确定模块1040、第一计算模块1050和识别模块1060。

关系建立模块1010，用于执行上述步骤101。

聚类模块1020，用于执行上述步骤102。

获取模块1030，用于执行上述步骤103。

确定模块1040，用于执行上述步骤104。

第一计算模块1050，用于执行上述步骤105。

识别模块1060，用于执行上述步骤106。

可选地，关系建立模块1010，包括：第一获取单元、第一确定单元、第二获取单元、第一计算单元、第二确定单元和关系建立单元。

第一获取单元，用于执行上述步骤201。

第一确定单元，用于执行上述步骤202。

第二获取单元，用于执行上述步骤203。

第一计算单元，用于执行上述步骤204。

第二确定单元，用于执行上述步骤205。

关系建立单元，用于执行上述步骤206。

可选地，聚类模块，包括：初始化单元、第二计算单元、第三计算单元、第一检测单元、第一聚类单元和第二聚类单元。

初始化单元，用于执行上述步骤207。

第二计算单元，用于执行上述步骤208。

第三计算单元，用于执行上述步骤209。

第一检测单元，用于执行上述步骤210。

第一聚类单元，用于执行上述步骤211。

第二聚类单元，用于执行上述步骤212。

可选地，该装置还包括：第二计算模块、第三计算模块、检测模块、第三聚类单元和第四聚类单元。

第二计算模块，用于执行上述步骤501。

第三计算模块，用于执行上述步骤502。

检测模块，用于执行上述步骤503。

第三聚类单元，用于执行上述步骤504。

第四聚类单元，用于执行上述步骤505。

可选地，第一计算模块，包括：第三确定单元、第四确定单元和第五确定单元。

第三确定单元，用于执行上述步骤801。

第四确定单元，用于执行上述步骤802。

第五确定单元，用于执行上述步骤803。

可选地，第一计算模块，包括：第四计算单元、第六确定单元和第五计算单元。

第四计算单元，用于对于在目标设备集合中的用户设备中登录过的每个交易账号，根据交易账号登录过的n个第三用户设备的子风险值，计算交易账号的第一风险值，其中，子风险值是指登录过第三用户设备的第一恶意交易账号的第三数量与登录过第三用户设备的所有交易账号的第四数量之间的比值，n为正整数；

第六确定单元，用于执行上述步骤804。

第五计算单元，用于执行上述步骤805。

可选地，当同一交易账号在m个目标设备集合中登录过时，m为大于1的正整数时，该装置还包括：第四计算模块、更新模块和识别模块。

第四计算模块，用于执行上述步骤901。

更新模块，用于执行上述步骤902；

识别模块，还用于执行上述步骤903。

相关细节可参考图1b、图2a、图2b、图2c、图5、图8和图9所示的方法实施例。

需要说明的是：上述实施例提供的装置在实现其功能时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的装置与方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

请参考图11，其示出了本发明一个实施例提供的服务器的结构框架图。所述服务器1100包括中央处理单元(cpu)1101、包括随机存取存储器(ram)1102和只读存储器(rom)1103的系统存储器1104，以及连接系统存储器1104和中央处理单元1101的系统总线1105。所述服务器1100还包括帮助计算机内的各个器件之间传输信息的基本输入/输出系统(i/o系统)1106，和用于存储操作系统1113、应用程序1114和其他程序模块1118的大容量存储设备1107。

所述基本输入/输出系统1106包括有用于显示信息的显示器1108和用于用户输入信息的诸如鼠标、键盘之类的输入设备1109。其中所述显示器1108和输入设备1109都通过连接到系统总线1105的输入输出控制器1110连接到中央处理单元1101。所述基本输入/输出系统1106还可以包括输入输出控制器1110以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地，输入输出控制器1110还提供输出到显示屏、打印机或其他类型的输出设备。

所述大容量存储设备1107通过连接到系统总线1105的大容量存储控制器(未示出)连接到中央处理单元1101。所述大容量存储设备1107及其相关联的计算机可读介质为服务器1100提供非易失性存储。也就是说，所述大容量存储设备1107可以包括诸如硬盘或者cd-rom驱动器之类的计算机可读介质(未示出)。

不失一般性，所述计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括ram、rom、eprom、eeprom、闪存或其他固态存储其技术，cd-rom、dvd或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然，本领域技术人员可知所述计算机存储介质不局限于上述几种。上述的系统存储器1104和大容量存储设备1107可以统称为存储器。

根据本发明的各种实施例，所述服务器1100还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即服务器1100可以通过连接在所述系统总线1105上的通信组件1111连接到网络1112，或者说，也可以使用通信组件1111来连接到其他类型的网络或远程计算机系统(未示出)。

所述存储器还包括一个或者一个以上的程序，所述一个或者一个以上程序存储于存储器中，所述一个或者一个以上程序包含用于进行本发明实施例提供的账号识别方法中由服务器所执行的指令。

本领域普通技术人员可以理解上述实施例的账号识别方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器(rom，readonlymemory)、随机存取记忆体(ram，randomaccessmemory)、磁盘或光盘等。

应当理解的是，在本文中提及的“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。