账号检测方法、装置、电子设备和存储介质与流程

1.本公开涉及计算机技术领域，尤其涉及一种账号检测方法、装置、电子设备、存储介质和计算机程序产品。


背景技术：

2.目前，随着网络技术的蓬勃发展，人们可使用一个或多个账号登录app(application，应用程序)、网页、电子设备等。比如，在聊天场景中，人们可使用账号登录即时通信类app，同时与多人进行聊天；在文件存储场景中，人们可使用账号登录文件存储类app，将文件分享给别人，或者保存别人分享的文件。然而，可能存在一些异常账号，为了保障用户的正常使用，需要准确对异常账号进行检测。


技术实现要素：

3.本公开提供了一种账号检测方法、装置、电子设备、存储介质和计算机程序产品。
4.根据本公开的一方面，提供了一种账号检测方法，包括：获取账号集中每个账号的行为信息，其中，所述账号集包括待检测的第一账号；根据所述行为信息，建立所述账号集对应的行为关系图，其中，每个所述账号为所述行为关系图的一个节点，所述行为关系图的任一边用于表示所述任一边对应的两个所述节点之间的行为关系；根据所述行为关系图从所述第一账号中确定候选异常账号；获取所述候选异常账号的特征信息，并基于所述特征信息从所述候选异常账号中确定目标异常账号。
5.根据本公开的另一方面，提供了一种账号检测装置，包括：获取模块，用于获取账号集中每个账号的行为信息，其中，所述账号集包括待检测的第一账号；建立模块，用于根据所述行为信息，建立所述账号集对应的行为关系图，其中，每个所述账号为所述行为关系图的一个节点，所述行为关系图的任一边用于表示所述任一边对应的两个所述节点之间的行为关系；第一确定模块，用于根据所述行为关系图从所述第一账号中确定候选异常账号；第二确定模块，用于获取所述候选异常账号的特征信息，并基于所述特征信息从所述候选异常账号中确定目标异常账号。
6.根据本公开的另一方面，提供了一种电子设备，包括：至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行账号检测方法。
7.根据本公开的另一方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，其中，所述计算机指令用于使所述计算机执行账号检测方法。
8.根据本公开的另一方面，提供了一种计算机程序产品，包括计算机程序，所述计算机程序在被处理器执行时实现账号检测方法的步骤。
9.应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
10.附图用于更好地理解本方案，不构成对本公开的限定。其中：
11.图1是根据本公开第一实施例的账号检测方法的流程示意图；
12.图2是根据本公开第二实施例的账号检测方法的流程示意图；
13.图3是根据本公开第三实施例的账号检测方法的流程示意图；
14.图4是根据本公开第四实施例的账号检测方法的流程示意图；
15.图5是根据本公开第五实施例的账号检测方法的流程示意图；
16.图6是根据本公开第一实施例的账号检测装置的框图；
17.图7是用来实现本公开实施例的账号检测方法的电子设备的框图。
具体实施方式
18.以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
19.ai(artificial intelligence，人工智能)是研究、开发用于模拟、延伸和扩展人的智能的理论、方法、技术及应用系统的一门技术科学。目前，ai技术具有自动化程度高、精确度高、成本低的优点，得到了广泛的应用。
20.数据处理(data processing)的基本目的是从大量的、可能是杂乱无章的、难以理解的数据中抽取并推导出对于某些特定的人们来说是有价值、有意义的数据，包括数据的采集、存储、检索、加工、变换和传输等。
21.账号检测的基本目的是从大量账号中检测出异常账号，以便后续对异常账号进行标记、禁用等处理，对账号平台的正常使用至关重要。基本目的还可包括从大量账号中检测出正常账号，以便后续对正常账号进行标记。包括数据采集、数据处理、数据标记等。
22.图1是根据本公开第一实施例的账号检测方法的流程示意图。
23.如图1所示，本公开第一实施例的账号检测方法，包括：
24.s101，获取账号集中每个账号的行为信息，其中，账号集包括待检测的第一账号。
25.需要说明的是，本公开实施例的账号检测方法的执行主体可为具有数据信息处理能力的硬件设备和/或驱动该硬件设备工作所需必要的软件。可选地，执行主体可包括工作站、服务器，计算机、用户终端及其他智能设备。其中，用户终端包括但不限于手机、电脑、智能语音交互设备、智能家电、车载终端等。
26.本公开的实施例中，账号集可根据实际情况进行设置，账号集包括待检测的第一账号。应说明的是，对账号集中账号的数量、类型、来源等均不做过多限定，例如，账号集可包括100个待检测的第一账号，账号包括但不限于游戏类账号、视频类账号、音乐类账号、购物类账号、文件存储类账号、即时通信类账号等，账号可来源于app(application，应用程序)、网页、电子设备等。
27.本公开的实施例中，可获取账号集中每个账号的行为信息。应说明的是，对行为信息的类型不做过多限定，例如，行为信息包括但不限于保存、分享、收藏、点赞、关注、使用次数、使用时长、使用时间段、资源变化信息等。其中，资源包括但不限于消费金额、用于消费
的积分等。
28.在一种实施方式中，可基于任一账号的标识信息，获取任一账号的行为信息。例如，账号为文件存储类app账号时，可获取账号的标识信息，并基于标识信息从文件存储类app对应的服务器中查询该标识信息的行为信息。应说明的是，对账号的标识信息的类型不做过多限定，例如，标识信息包括但不限于文本、数字、符号等。
29.s102，根据行为信息，建立账号集对应的行为关系图，其中，每个账号为行为关系图的一个节点，行为关系图的任一边用于表示任一边对应的两个节点之间的行为关系。
30.本公开的实施例中，可根据行为信息，建立账号集对应的行为关系图，每个账号为行为关系图的一个节点，行为关系图的任一边用于表示任一边对应的两个节点之间的行为关系。应说明的是，对行为关系图的类型不做过多限定，例如，行为关系图包括但不限于无向图、有向图、同构图、异构图等。在一种实施方式中，行为关系图为有向异构图。
31.在一种实施方式中，若任意两个账号之间具有行为关系，则该任意两个账号对应的两个节点之间有边。反之，若任意两个账号之间不具有行为关系，则该任意两个账号对应的两个节点之间无边。应说明的是，对行为关系的类型不做过多限定。例如，若账号a分享了文件给账号b，或者，账号a点赞了账号b，或者，账号a关注了账号b，则账号a和账号b之间具有行为关系，账号a和账号b对应的两个节点之间有边。
32.在一种实施方式中，以账号为文件存储类账号为例，行为信息可包括保存文件、分享文件等。相应的，每个文件可为行为关系图的一个节点。
33.在一种实施方式中，若任一账号和任一文件之间具有行为关系，则该任一账号和任一文件对应的两个节点之间有边。反之，若任一账号和任一文件之间不具有行为关系，则该任一账号和任一文件对应的两个节点之间无边。应说明的是，对行为关系的类型不做过多限定。例如，若账号a分享了文件1给账号b，且账号b保存了文件1，则账号a和文件1之间具有行为关系，账号a和文件1对应的两个节点之间有边，且账号b和文件1之间具有行为关系，账号b和文件1对应的两个节点之间有边。
34.在一种实施方式中，可为每个节点设置属性信息，属性信息用于区分不同节点。应说明的是，对属性信息的类型不做过多限定，例如，属性信息包括但不限于文本、数字、字符等。
35.s103，根据行为关系图从第一账号中确定候选异常账号。
36.在一种实施方式中，账号集还包括标记为异常账号的第二账号。应说明的是，第二账号可根据实际情况进行设置，对第二账号的数量不做过多限定。进一步地，根据行为关系图从第一账号中确定候选异常账号，可包括从行为关系图中获取与第二账号对应的节点之间有边的候选节点，将候选节点对应的第一账号作为候选异常账号。由此，可基于标记为异常账号的第二账号以及行为关系图，从第一账号中确定候选异常账号。
37.在一种实施方式中，根据行为关系图从第一账号中确定候选异常账号，可包括将行为关系图输入至预设的账号检测算法，由账号检测算法基于行为关系图从第一账号中确定候选异常账号。其中，账号检测算法可根据实际情况进行设置，这里不做过多限定。
38.s104，获取候选异常账号的特征信息，并基于特征信息从候选异常账号中确定目标异常账号。
39.需要说明的是，对特征信息的类型不做过多限定，例如，特征信息包括但不限于性
别、年龄、职业等信息。
40.在一种实施方式中，基于特征信息从候选异常账号中确定目标异常账号，可包括基于特征信息，获取任一候选异常账号为目标异常账号的概率，基于概率从候选异常账号中确定目标异常账号。
41.在一种实施方式中，基于特征信息，获取任一候选异常账号为目标异常账号的概率，可包括将任一候选异常账号的特征信息输入至预先训练好的特征模型中，由特征模型基于特征信息获取任一候选异常账号为目标异常账号的概率。应说明的是，对特征模型的类型不做过多限定，例如，特征模型可为fm(factorization machine，因子分解机)模型。
42.在一种实施方式中，基于概率从候选异常账号中确定目标异常账号，可包括以下两种可能的实施方式：
43.方式1、将候选异常账号按照概率从高到低进行排序，将排序前n个的候选异常账号确定为目标异常账号，其中，n为正整数。
44.需要说明的是，n可根据实际情况进行设置，这里不做过多限定，例如，n可设置为100。
45.由此，该方法可将候选异常账号按照概率进行排序，并筛选出概率较大的n个候选异常账号作为目标异常账号，有助于降低获取的目标异常账号的量级，并提高账号检测的准确性。
46.方式2、将概率大于预设概率阈值的候选异常账号确定为目标异常账号。
47.需要说明的是，预设概率阈值可根据实际情况进行设置，这里不做过多限定，例如，预设概率阈值可设置为80％。
48.由此，该方法可筛选出概率大于预设概率阈值的候选异常账号作为目标异常账号，有助于降低获取的目标异常账号的量级，并提高账号检测的准确性。
49.在一种实施方式中，可获取训练样本，训练样本包括标记为异常账号的样本账号，以及样本账号的样本特征信息，可基于训练样本对候选特征模型进行训练，响应于未满足模型训练结束条件，返回采用下一个训练样本继续对候选特征模型进行训练，直至满足模型训练结束条件，则生成特征模型。
50.在一种实施方式中，基于特征信息从候选异常账号中确定目标异常账号之后，还可包括将目标异常账号发送至审核对象；响应于接收到审核对象发送的第一指示消息，第一指示消息用于指示目标异常账号的审核结果为异常账号，则将目标异常账号标记为异常账号；或者，响应于接收到审核对象发送的第二指示消息，第二指示消息用于指示目标异常账号的审核结果为正常账号，将目标异常账号标记为正常账号。
51.需要说明的是，对审核对象的类型不做过多限定，例如，审核对象可为用户、服务器等。
52.由此，该方法可将目标异常账号发送至审核对象进行进行审核，还可根据审核对象发送的指示消息的类型，自动标记目标异常账号为异常账号或者正常账号，有利于提高账号检测的准确性和自动化程度。
53.综上，根据本公开实施例的账号检测方法，可根据账号集中每个账号的行为信息建立账号集对应的行为关系图，根据行为关系图从待检测的第一账号中确定候选异常账号，并根据候选异常账号的特征信息从候选异常账号中确定目标异常账号，即可基于特征
信息对候选异常账号进行进一步筛选，有助于提高账号检测的准确性。
54.图2是根据本公开第二实施例的账号检测方法的流程示意图。
55.如图2所示，本公开第二实施例的账号检测方法，包括：
56.s201，获取账号集中每个账号的行为信息，其中，账号集包括待检测的第一账号。
57.步骤s201的相关内容可参见上述实施例，这里不再赘述。
58.s202，基于任一账号的行为信息，获取与任一账号具有行为关系的关系文件和关系账号，其中，关系文件为任一文件，关系账号与任一账号不同。
59.在一种实施方式中，行为信息包括但不限于保存文件、分享文件等，则可确定文件为与任一账号具有行为关系的关系文件。例如，若账号a分享了文件1给账号b，且账号b保存了文件1，则可确定文件1为与账号a、账号b具有行为关系的关系文件。
60.在一种实施方式中，行为信息包括但不限于任意两个账号之间分享文件、点赞、关注等，则可确定任意两个账号互为关系账号。例如，若账号a分享了文件给账号b，或者，账号a点赞了账号b，或者，账号a关注了账号b，则可确定账号a为与账号b具有行为关系的关系账号，且可确定账号b为与账号a具有行为关系的关系账号。
61.s203，基于关系文件、关系账号对应的行为关系的类型，建立任一账号对应的子行为关系图。
62.本公开的实施例中，行为关系可具有多个类型。
63.例如，若账号a分享了文件1给账号b，且账号b保存了文件1，则可确定文件1为与账号a具有第一类型行为关系的关系文件，并可确定文件1为与账号b具有第二类型行为关系的关系文件。
64.例如，若账号a分享了文件1给账号b，账号b分享了文件2给账号c，则可确定账号a为与账号b具有第三类型行为关系的关系账号，并可确定账号c为与账号b具有第四类型行为关系的关系账号。
65.进一步地，可基于关系文件、关系账号对应的行为关系的类型，建立任一账号对应的子行为关系图。
66.在一种实施方式中，每个文件为行为关系图中的一个节点。例如，若账号a分享了文件1给账号b，且账号b保存了文件1，确定文件1为与账号a具有第一类型行为关系的关系文件，并可确定文件1为与账号b具有第二类型行为关系的关系文件。则可确定账号a和文件1对应的两个节点之间有边，且边的方向为由账号a对应的节点指向文件1对应的节点；还可确定账号b和文件1对应的两个节点之间有边，且边的方向为由文件1对应的节点指向账号b对应的节点。
67.例如，若账号a分享了文件1给账号b，账号b分享了文件2给账号c，则可确定账号a为与账号b具有第三类型行为关系的关系账号，并可确定账号c为与账号b具有第四类型行为关系的关系账号。则可确定账号a和账号b对应的两个节点之间有边，且边的方向为由账号a对应的节点指向账号b对应的节点；还可确定账号b和账号c对应的两个节点之间有边，且边的方向为由账号b对应的节点指向账号c对应的节点。
68.s204，将每个账号对应的子行为关系图进行拼接，生成账号集对应的行为关系图。
69.本公开的实施例中，可建立每个账号对应的子行为关系图，并将每个账号对应的子行为关系图进行拼接，生成账号集对应的行为关系图。
70.可以理解的是，不同账号对应的子行为关系图可能存在重叠区域。则将每个账号对应的子行为关系图进行拼接，生成账号集对应的行为关系图，可包括识别多个候选子行为关系图存在重叠区域，保留其中一个候选子行为关系图中的重叠区域，删除其余候选子行为关系图中的重叠区域，并将删除后的候选子行为关系图和其余子行为关系图进行拼接，生成账号集对应的行为关系图。由此，该方法可避免账号集对应的行为关系图出现重复区域，提高了行为关系图的准确性。
71.s205，根据行为关系图从第一账号中确定候选异常账号。
72.s206，获取候选异常账号的特征信息，并基于特征信息从候选异常账号中确定目标异常账号。
73.步骤s205-s206的相关内容可参见上述实施例，这里不再赘述。
74.综上，根据本公开实施例的账号检测方法，可根据任一账号的行为信息，获取与任一账号具有行为关系的关系文件和关系账号，基于关系文件、关系账号对应的行为关系的类型，建立任一账号对应的子行为关系图，并将每个账号对应的子行为关系图进行拼接，生成账号集对应的行为关系图。
75.图3是根据本公开第三实施例的账号检测方法的流程示意图。
76.如图3所示，本公开第三实施例的账号检测方法，包括：
77.s301，获取账号集中每个账号的行为信息，其中，账号集包括待检测的第一账号和标记为异常账号的第二账号。
78.s302，根据行为信息，建立账号集对应的行为关系图，其中，每个账号为行为关系图的一个节点，行为关系图的任一边用于表示任一边对应的两个节点之间的行为关系。
79.步骤s301-s302的相关内容可参见上述实施例，这里不再赘述。
80.s303，基于行为关系图对账号集进行社区划分，并获取划分后的至少一个社区，每个社区包括至少两个账号。
81.本公开的实施例中，可基于行为关系图对账号集进行社区划分，并获取划分后的至少一个社区，每个社区包括至少两个账号。应说明的是，对划分后的社区的数量不做过多限定，例如，划分后的社区的数量可为10个。
82.在一种实施方式中，基于行为关系图对账号集进行社区划分，可包括以下三种可能的实施方式：
83.方式1、从行为关系图中确定至少一个连通子图，将每个连通子图中的每个账号划分为一个社区。
84.需要说明的是，连通子图是部分行为关系图，且连通子图中任意两个节点之间连通。
85.在一种实施方式中，从行为关系图中确定至少一个连通子图，可包括控制任一节点向邻居节点发送自身的属性信息，控制任一节点接收邻居节点发送的属性信息，控制任一节点获取自身的属性信息与接收到的属性信息的和值，将和值相同的节点划分为一个连通子图。由此，该方法可通过消息传播的方式，从行为关系图中确定至少一个连通子图。
86.由此，该方法可通过连通子图的方式来进行社区划分。
87.方式2、基于行为关系图，以划分后的每个社区的总模块度最大为约束条件，对账号集进行社区划分。
88.本公开的实施例中，可获取划分后的每个社区的模块度，并获取每个社区的模块度的和值，将上述和值作为划分后的每个社区的总模块度。
89.本公开的实施例中，可基于行为关系图，以划分后的每个社区的总模块度最大为约束条件，对账号集进行社区划分。
90.在一种实施方式中，可基于行为关系图对账号集进行多次社区划分，并获取每次划分后的每个社区的总模块度，若划分后的每个社区的总模块度逐渐增大，则继续对账号集进行社区划分，直至划分后的每个社区的总模块度不再增大，则可将最后一次划分后的每个社区作为最终社区划分结果。
91.由此，该方法使得划分后的每个社区的总模块度最大，社区划分效果较好。
92.方式3、基于行为关系图，以行为关系图存在概率最大为约束条件，获取每个账号属于每个候选社区的概率，针对任一账号，将概率大于第二预设阈值的候选社区确定为任一账号属于的目标社区。
93.本公开的实施例中，可基于行为关系图，以行为关系图存在概率最大为约束条件，获取每个账号属于每个候选社区的概率。应说明的是，候选社区的数量可根据实际情况进行设置，这里不做过多限定，例如，候选社区的数量可为10个。
94.进一步地，针对任一账号，可将概率大于第二预设阈值的候选社区确定为任一账号属于的目标社区。应说明的是，第二预设阈值可根据实际情况进行设置，这里不做过多限定，例如第二预设阈值可设置为80％。
95.可以理解的是，任一账号可能属于一个或多个目标社区。
96.由此，该方法可将概率大于第二预设阈值的候选社区确定为任一账号属于的目标社区，进而实现社区划分。
97.s304，获取任一社区中账号的第一数量和第二账号的第二数量，并获取第二数量与第一数量的比值。
98.本公开的实施例中，任一社区中账号的第一数量指的是任一社区包括的所有账号的总数量，第二数量与第一数量的比值的取值范围为0至1。
99.例如，社区1中的账号的第一数量为100个，第二账号的第二数量为10个，获取的第二数量和第一数量的比值为0.1。
100.s305，响应于存在至少一个检测社区对应的比值大于第一预设阈值，将每个检测社区中每个第一账号确定为候选异常账号。
101.本公开的实施例中，可识别任一社区对应的比值是否大于第一预设阈值，并响应于存在至少一个检测社区对应的比值大于第一预设阈值，表明检测社区中标记为异常账号的第二社区的比例较大，则检测社区中第一账号为异常账号的可能性较大，可将每个检测社区中每个第一账号确定为候选异常账号。
102.在一种实施方式中，可响应于每个社区对应的比值小于或者等于第一预设阈值，表明每个社区中标记为异常账号的第二社区的比例较小，则每个社区中第一账号为异常账号的可能性较小，可将每个检测社区中每个第一账号确定为正常账号。
103.需要说明的是，第一预设阈值可根据实际情况进行设置，这里不做过多限定，例如可设置为0.2。
104.s306，获取候选异常账号的特征信息，并基于特征信息从候选异常账号中确定目
标异常账号。
105.步骤s306的相关内容可参见上述实施例，这里不再赘述。
106.综上，根据本公开实施例的账号检测方法，可基于行为关系图对账号集进行社区划分，获取任一社区中第二账号的第二数量与账号的第一数量的比值，并将比值大于第一预设阈值的每个检测社区中每个第一账号确定为候选异常账号。
107.图4是根据本公开第四实施例的账号检测方法的流程示意图。
108.如图4所示，本公开第四实施例的账号检测方法，包括：
109.s401，获取账号集中每个账号的行为信息，其中，账号集包括待检测的第一账号和标记为异常账号的第二账号。
110.s402，根据行为信息，建立账号集对应的行为关系图，其中，每个账号为行为关系图的一个节点，行为关系图的任一边用于表示任一边对应的两个节点之间的行为关系。
111.步骤s401-s402的相关内容可参见上述实施例，这里不再赘述。
112.s403，从行为关系图中提取每个账号的账号向量。
113.本公开的实施例中，可从行为关系图中提取每个账号的账号向量。可以理解的是，不同账号可对应不同的账号向量。
114.在一种实施方式中，可将行为关系图输入至提取模型，由提取模型从行为关系图中提取每个账号的账号向量。应说明的是，对提取模型的类型不做过多限定，例如，提取模型可为词向量模型，其中，词向量模型包括但不限于word2vec(word to vector)模型、node2vec(nodeto vector)模型等。
115.在一种实施方式中，可响应于当前时刻达到目标时刻，重新获取行为信息，并获取从历史行为关系图提取出的每个账号的历史账号向量。进一步地，可根据重新获取的行为信息和历史账号向量，建立目标行为关系图，其中，目标行为关系图中的任一账号的目标账号向量的初始值为对应的历史账号向量，并将目标行为关系图替换历史行为关系图。
116.需要说明的是，目标时刻可根据实际情况进行设置，这里不做过多限定，例如可设置为早上8点。
117.例如，若目标时刻为早上8点，可响应于当前时刻为早上8点，重新获取账号集中每个账号的行为信息，并获取从历史行为关系图提取出的每个账号的历史账号向量，假设提取出的账号a的历史账号向量pa，并可根据重新获取的行为信息和历史账号向量，建立目标行为关系图，则账号a的目标账号向量qa的初始值为账号a的历史账号向量pa。
118.由此，该方法在当前时刻达到目标时刻时，可重新获取行为信息，并根据重新获取的行为信息以及从历史行为关系图提取出的每个账号的历史账号向量，建立目标行为关系图，从而行为关系图可根据历史账号向量和重新获取的行为信息实时更新，行为关系图的时效性和连续性较好。
119.s404，获取任一第一账号的账号向量和任一第二账号的账号向量之间的距离。
120.需要说明的是，对距离类型不做过多限定，例如，距离可包括余弦距离。
121.在一种实施方式中，可获取任一第一账号的账号向量和每个第二账号的账号向量之间的距离。例如，若第二账号的数量为10个，则可获取第一账号a的账号向量和每个第二账号的账号向量之间的距离，即第一账号a可对应10个距离。
122.s405，将距离小于或者等于第三预设阈值的第一账号确定为候选异常账号。
123.可以理解的是，第一账号的账号向量和第二账号的账号向量之间的距离越小，表明第一账号的账号向量和第二账号的账号向量之间的相似度越高，则第一账号为异常账号的可能性越大。
124.需要说明的是，第三预设阈值为采用第二账号来判别第一账号是否为候选异常账号的临界值，可根据实际情况进行设置，这里不做过多限定。
125.本公开的实施例中，可将距离小于或者等于第三预设阈值的第一账号确定为候选异常账号，即可将距离较小的第一账号确定为候选异常账号。
126.在一种实施方式中，针对任一第一账号，可获取任一第一账号的账号向量和每个第二账号的账号向量之间的距离，响应于任一第一账号存在至少一个距离小于或者等于第三预设阈值，则可将任一第一账号确定为候选异常账号。由此，该方法可在第一账号与任一第二账号之间的距离小于或者等于第三预设阈值时，将第一账号确定为候选异常账号。
127.在一种实施方式中，针对任一第一账号，可获取任一第一账号的账号向量和每个第二账号的账号向量之间的平均距离，响应于任一第一账号的平均距离小于或者等于第三预设阈值，则可将任一第一账号确定为候选异常账号。由此，该方法可在第一账号与每个第二账号之间的平均距离小于或者等于第三预设阈值时，将第一账号确定为候选异常账号。
128.s406，获取候选异常账号的特征信息，并基于特征信息从候选异常账号中确定目标异常账号。
129.步骤s406的相关内容可参见上述实施例，这里不再赘述。
130.综上，根据本公开实施例的账号检测方法，可获取第一账号的账号向量和标记为异常账号的第二账号的账号向量之间的距离，将距离小于或者等于第三预设阈值的第一账号确定为候选异常账号，即可根据标记为异常账号的第二账号从第一账号中确定候选异常账号。
131.图5是根据本公开第五实施例的账号检测方法的流程示意图。
132.如图5所示，本公开第五实施例的账号检测方法，包括：
133.s501，获取账号集中每个账号的行为信息，其中，账号集包括待检测的第一账号。
134.s502，根据行为信息，建立账号集对应的行为关系图，其中，每个账号为行为关系图的一个节点，每个文件为行为关系图中的一个节点，文件包括标记为异常文件的第一文件，行为关系图的任一边用于表示任一边对应的两个节点之间的行为关系。
135.在一种实施方式中，文件包括标记为异常文件的第一文件。应说明的是，第一文件可根据实际情况进行设置，对第一文件的数量不做过多限定。
136.步骤s501-s502的相关内容可参见上述实施例，这里不再赘述。
137.s503，从行为关系图中提取每个账号的账号向量，以及提取每个第一文件的文件向量。
138.需要说明的是，从行为关系图中提取每个账号的账号向量的相关内容可参见上述实施例，这里不再赘述。
139.本公开的实施例中，每个文件为行为关系图中的一个节点，文件包括标记为异常文件的第一文件。还可从行为关系图中提取每个第一文件的文件向量。可以理解的是，不同第一文件可对应不同的文件向量。
140.在一种实施方式中，可将行为关系图输入至提取模型，由提取模型从行为关系图
中提取每个第一文件的文件向量。应说明的是，对提取模型的类型不做过多限定，例如，提取模型可为词向量模型，其中，词向量模型包括但不限于word2vec(word to vector)模型、node2vec(nodeto vector)模型等。
141.在一种实施方式中，可响应于当前时刻达到目标时刻，重新获取行为信息，并获取从历史行为关系图提取出的每个账号的历史账号向量和每个文件的历史文件向量。进一步地，可根据重新获取的行为信息、历史账号向量和历史文件向量，建立目标行为关系图，其中，目标行为关系图中的任一账号的目标账号向量的初始值为对应的历史账号向量，目标行为关系图中的任一文件的目标文件向量的初始值为对应的历史文件向量，并将目标行为关系图替换历史行为关系图。
142.由此，该方法在当前时刻达到目标时刻时，可重新获取行为信息，并根据重新获取的行为信息、从历史行为关系图提取出的每个账号的历史账号向量和每个文件的历史文件向量，建立目标行为关系图，从而行为关系图可根据历史账号向量、历史文件向量和重新获取的行为信息实时更新，行为关系图的时效性和连续性较好。
143.s504，获取任一第一账号的账号向量和任一第一文件的文件向量之间的距离。
144.需要说明的是，对距离类型不做过多限定，例如，距离可包括余弦距离。
145.在一种实施方式中，可获取任一第一账号的账号向量和每个第一文件的文件向量之间的距离。例如，若第一文件的数量为10个，则可获取第一账号a的账号向量和每个第一文件的文件向量之间的距离，即第一账号a可对应10个距离。
146.s505，将距离小于或者等于第四预设阈值的第一账号确定为候选异常账号。
147.可以理解的是，第一账号的账号向量和第一文件的文件向量之间的距离越小，表明第一账号的账号向量和第一文件的文件向量之间的相似度越高，则第一账号为异常账号的可能性越大。
148.需要说明的是，第四预设阈值为采用第一文件来判别第一账号是否为候选异常账号的临界值，可根据实际情况进行设置，这里不做过多限定。
149.本公开的实施例中，可将距离小于或者等于第四预设阈值的第一账号确定为候选异常账号，即可将距离较小的第一账号确定为候选异常账号。
150.需要说明的是，将距离小于或者等于第四预设阈值的第一账号确定为候选异常账号的相关内容可参见上述实施例，这里不再赘述。
151.s506，获取候选异常账号的特征信息，并基于特征信息从候选异常账号中确定目标异常账号。
152.步骤s506的相关内容可参见上述实施例，这里不再赘述。
153.综上，根据本公开实施例的账号检测方法，可获取第一账号的账号向量和标记为异常文件的第一文件的文件向量之间的距离，将距离小于或者等于第四预设阈值的第一账号确定为候选异常账号，即可根据标记为异常文件的第一文件从第一账号中确定候选异常账号。
154.图6为根据本公开第一实施例的账号检测装置的框图。
155.如图6所示，本公开实施例的账号检测装置600，包括：获取模块601、建立模块602、第一确定模块603和第二确定模块604。
156.获取模块601用于获取账号集中每个账号的行为信息，其中，所述账号集包括待检
测的第一账号；
157.建立模块602用于根据所述行为信息，建立所述账号集对应的行为关系图，其中，每个所述账号为所述行为关系图的一个节点，所述行为关系图的任一边用于表示所述任一边对应的两个所述节点之间的行为关系；
158.第一确定模块603用于根据所述行为关系图从所述第一账号中确定候选异常账号；
159.第二确定模块604用于获取所述候选异常账号的特征信息，并基于所述特征信息从所述候选异常账号中确定目标异常账号。
160.在本公开的一个实施例中，所述建立模块602还用于：基于任一所述账号的所述行为信息，获取与所述任一所述账号具有行为关系的关系文件和关系账号，其中，所述关系文件为任一文件，所述关系账号与所述任一所述账号不同；基于所述关系文件、所述关系账号对应的所述行为关系的类型，建立所述任一所述账号对应的子行为关系图；将每个所述账号对应的所述子行为关系图进行拼接，生成所述账号集对应的所述行为关系图。
161.在本公开的一个实施例中，所述账号集还包括标记为异常账号的第二账号，所述第一确定模块603包括：划分单元，用于基于所述行为关系图对所述账号集进行社区划分，并获取划分后的至少一个社区，每个所述社区包括至少两个所述账号；获取单元，用于获取任一所述社区中所述账号的第一数量和所述第二账号的第二数量，并获取所述第二数量与所述第一数量的比值；确定单元，用于响应于存在至少一个检测社区对应的所述比值大于第一预设阈值，将每个所述检测社区中每个所述第一账号确定为所述候选异常账号。
162.在本公开的一个实施例中，所述划分单元，还用于：从所述行为关系图中确定至少一个连通子图；将每个所述连通子图中的每个所述账号划分为一个所述社区。
163.在本公开的一个实施例中，所述划分单元，还用于：基于所述行为关系图，以划分后的每个所述社区的总模块度最大为约束条件，对所述账号集进行社区划分。
164.在本公开的一个实施例中，所述划分单元，还用于：基于所述行为关系图，以所述行为关系图存在概率最大为约束条件，获取每个所述账号属于每个候选社区的概率；针对任一所述账号，将所述概率大于第二预设阈值的所述候选社区确定为所述任一所述账号属于的目标社区。
165.在本公开的一个实施例中，所述账号集还包括标记为异常账号的第二账号，所述第一确定模块603还用于：从所述行为关系图中提取每个所述账号的账号向量；获取任一所述第一账号的所述账号向量和任一所述第二账号的所述账号向量之间的距离；将所述距离小于或者等于第三预设阈值的所述第一账号确定为所述候选异常账号。
166.在本公开的一个实施例中，每个文件为所述行为关系图的一个节点，所述文件包括标记为异常文件的第一文件，所述第一确定模块603还用于：从所述行为关系图中提取每个所述账号的账号向量，以及提取每个所述第一文件的文件向量；获取任一所述第一账号的所述账号向量和任一所述第一文件的所述文件向量之间的距离；将所述距离小于或者等于第四预设阈值的所述第一账号确定为所述候选异常账号。
167.在本公开的一个实施例中，所述建立模块602还用于：响应于当前时刻达到目标时刻，重新获取所述行为信息，并获取从历史行为关系图提取出的每个所述账号的历史账号向量和每个所述文件的历史文件向量；根据重新获取的所述行为信息、所述历史账号向量
和所述历史文件向量，建立目标行为关系图，其中，所述目标行为关系图中的任一所述账号的目标账号向量的初始值为对应的所述历史账号向量，所述目标行为关系图中的任一所述文件的目标文件向量的初始值为对应的所述历史文件向量；将所述目标行为关系图替换所述历史行为关系图。
168.综上，本公开实施例的账号检测装置，可根据账号集中每个账号的行为信息建立账号集对应的行为关系图，根据行为关系图从待检测的第一账号中确定候选异常账号，并根据候选异常账号的特征信息从候选异常账号中确定目标异常账号，即可基于特征信息对候选异常账号进行进一步筛选，有助于提高账号检测的准确性。
169.本公开的技术方案中，所涉及的用户个人信息的收集、存储、使用、加工、传输、提供和公开等处理，均符合相关法律法规的规定，且不违背公序良俗。
170.根据本公开的实施例，本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
171.图7示出了可以用来实施本公开的实施例的示例电子设备700的示意性框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本公开的实现。
172.如图7所示，设备700包括计算单元701，其可以根据存储在只读存储器(rom)702中的计算机程序或者从存储单元708加载到随机访问存储器(ram)703中的计算机程序，来执行各种适当的动作和处理。在ram 703中，还可存储设备700操作所需的各种程序和数据。计算单元701、rom 702以及ram 703通过总线704彼此相连。输入/输出(i/o)接口705也连接至总线704。
173.设备700中的多个部件连接至i/o接口705，包括：输入单元706，例如键盘、鼠标等；输出单元707，例如各种类型的显示器、扬声器等；存储单元708，例如磁盘、光盘等；以及通信单元709，例如网卡、调制解调器、无线通信收发机等。通信单元709允许设备700通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
174.计算单元701可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元701的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。计算单元701执行上文所描述的各个方法和处理，例如账号检测方法。例如，在一些实施例中，账号检测方法可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元708。在一些实施例中，计算机程序的部分或者全部可以经由rom 702和/或通信单元709而被载入和/或安装到设备700上。当计算机程序加载到ram 703并由计算单元701执行时，可以执行上文描述的账号检测方法的一个或多个步骤。备选地，在其他实施例中，计算单元701可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行账号检测方法。
175.本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统
的系统(soc)、负载可编程逻辑设备(cpld)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
176.用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
177.在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
178.为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置(例如，crt(阴极射线管)或者lcd(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
179.可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(lan)、广域网(wan)和互联网。
180.计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，也可以为分布式系统的服务器，或者是结合了区块链的服务器。
181.根据本公开的实施例，本公开还提供了一种计算机程序产品，包括计算机程序，其中，所述计算机程序在被处理器执行时实现本公开上述实施例所述的账号检测方法的步骤。
182.应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本公开公开的技术方案所期望的结果，本文在此不进行限制。
183.上述具体实施方式，并不构成对本公开保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等，均应包含在本公开保护范围之内。