异常对象识别方法及装置与流程

1.本说明书实施例涉及计算机技术领域，特别涉及一种异常对象方法。


背景技术：

2.网络黑灰产是危害互联网生态安全的重大问题之一，黑灰产团队中，往往会出现某些共有特征(例如设备和账号不匹配)或者共有资源(如采用同一个设备)，然而这些特征和这些资源的聚集性情况可能存在于正常用户，也可能存在于异常用户，如果采用这些共有特征或者共有资源做异常判断，会导致极大的误报。
3.因此，如何在提高异常用户识别的同时降低误报率，是需要解决的技术问题。


技术实现要素：

4.有鉴于此，本说明书实施例提供了一种异常对象识别方法。本说明书一个或者多个实施例同时涉及一种异常对象识别装置，一种计算设备，一种计算机可读存储介质以及一种计算机程序，以解决现有技术中存在的技术缺陷。
5.根据本说明书实施例的第一方面，提供了一种异常对象识别方法，包括：
6.获取对象样本，其中，所述对象样本中包括样本对象以及、所述样本对象对应的异常对象特征；
7.根据所述样本对象以及所述异常对象特征，确定第一验证函数以及所述第一验证函数满足预设条件的样本频率；
8.确定待识别对象对应的识别关联对象，根据所述识别关联对象、所述样本频率，确定所述待识别对象的实际频率以及临界频率；
9.根据所述实际频率以及所述临界频率，对所述待识别对象进行异常识别。
10.根据本说明书实施例的第二方面，提供了一种异常对象识别装置，包括：
11.获取模块，被配置为获取对象样本，其中，所述对象样本中包括样本对象以及、所述样本对象对应的异常对象特征；
12.第一频率计算模块，被配置为根据所述样本对象以及所述异常对象特征，确定第一验证函数以及所述第一验证函数满足预设条件的样本频率；
13.第二频率计算模块，被配置为确定待识别对象对应的识别关联对象，根据所述识别关联对象、所述样本频率，确定所述待识别对象的实际频率以及临界频率；
14.异常识别模块，被配置为根据所述实际频率以及所述临界频率，对所述待识别对象进行异常识别。
15.根据本说明书实施例的第三方面，提供了一种计算设备，包括：
16.存储器和处理器；
17.所述存储器用于存储计算机可执行指令，所述处理器用于执行所述计算机可执行指令，该计算机可执行指令被处理器执行时实现上述异常对象识别方法的步骤。
18.根据本说明书实施例的第四方面，提供了一种计算机可读存储介质，其存储有计
算机可执行指令，该指令被处理器执行时实现上述异常对象识别方法的步骤。
19.根据本说明书实施例的第五方面，提供了一种计算机程序，其中，当所述计算机程序在计算机中执行时，令计算机执行上述异常对象识别方法的步骤。
20.本说明书一个实施例实现了一种异常对象识别方法及装置，其中，所述方法包括获取对象样本，其中，所述对象样本中包括样本对象以及、所述样本对象对应的异常对象特征；根据所述样本对象以及所述异常对象特征，确定第一验证函数以及所述第一验证函数满足预设条件的样本频率；确定待识别对象对应的识别关联对象，根据所述识别关联对象、所述样本频率，确定所述待识别对象的实际频率以及临界频率；根据所述实际频率以及所述临界频率，对所述待识别对象进行异常识别。
21.具体的，所述异常对象识别方法通过对同一个待识别对象下，出现异常对象特征的频率进行统计分析来对待识别对象进行异常识别，以实现在提升异常对象命中率的同时降低了误报率。
附图说明
22.图1是本说明书一个实施例提供的一种异常对象识别方法的流程图；
23.图2是本说明书一个实施例提供的一种异常对象识别方法的处理过程流程图；
24.图3是本说明书一个实施例提供的一种异常对象识别装置的结构示意图；
25.图4是本说明书一个实施例提供的一种计算设备的结构框图。
具体实施方式
26.在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本说明书内涵的情况下做类似推广，因此本说明书不受下面公开的具体实施的限制。
27.在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本说明书一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
28.应当理解，尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书一个或多个实施例范围的情况下，第一也可以被称为第二，类似地，第二也可以被称为第一。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
29.首先，对本说明书一个或多个实施例涉及的名词术语进行解释。
30.条件概率：是指事件a＝a1在另外一个事件b＝b1已经发生条件下的发生概率。
31.独立随机变量：相互独立是设a，b是两事件，如果满足等式p(ab)＝p(a)p(b)，则称事件a，b相互独立。
32.映射函数：将随机变量a映射为f(a)的映射，将随机变量b映射为f(b)的映射，将随机变量a,b映射为f(a,b)的映射。
33.条件分布：条件概率是指随机变量a在另外一个事件b＝b1已经发生条件下的分布。
34.在本说明书中，提供了一种异常对象识别方法，本说明书同时涉及一种异常对象识别装置，一种计算设备，以及一种计算机可读存储介质，在下面的实施例中逐一进行详细说明。
35.参见图1，图1示出了根据本说明书一个实施例提供的一种异常对象识别方法的流程图，具体包括以下步骤。
36.步骤102：获取对象样本，其中，所述对象样本中包括样本对象以及、所述样本对象对应的异常对象特征。
37.具体的，本说明书实施例提供的异常对象识别方法的具体应用场景不同，样本对象、样本对象对应的异常对象特征也不同，其中，样本对象对应的异常对象特征，可以理解为样本对象与其样本关联对象的异常特征；实际应用中，可以先确定样本对象，再确定与样本对象对应的样本关联对象，然后根据样本对象与其对应的样本关联对象之间的关联关系，确定其对应的异常对象特征。
38.例如，本说明书实施例提供的异常对象识别方法应用于中心机房的异常识别场景中时，样本对象可以理解为中心机房，样本对象对应的异常对象特征可以理解为，该中心机房与其对应的边缘节点的异常特征，如中心机房a与边缘节点b为异地、中心机房a与边缘节点b1为本地等的异常特征。
39.而实际应用中，本说明书实施例提供的异常对象识别方法，不仅可以应用于中心机房的异常识别场景中，也可以应用于网络黑灰产团队的识别场景中；为了便于理解，本说明书实施例中均以异常对象识别方法应用于中心机房的异常识别场景中为例进行详细介绍。
40.具体实施时，获取对象样本，可以理解为获取多个包括样本对象、以及每个样本对象对应的异常对象特征的对象样本。
41.仍以样本对象为中心机房、样本对象对应的异常对象特征为该中心机房与其对应的边缘节点的异常特征为例，获取的对象样本如表1所示：
42.表1
43.样本对象样本关联对象异常对象特征中心机房a边缘节点b异地中心机房a边缘节点b1本地中心机房a1边缘节点b2异地中心机房a1边缘节点b3异地中心机房a2边缘节点b4本地
44.步骤104：根据所述样本对象以及所述异常对象特征，确定第一验证函数以及所述第一验证函数满足预设条件的样本频率。
45.实际应用中，由于异常对象特征可能为string类型(字符串类型)变量，后续对对象样本进行频率分析时，字符串类型可能会导致无法进行正常统计分析；因此，需要获得每个异常对象特征对应的验证函数(即映射函数)，并为每个验证函数赋予对应的布尔值，以实现支持后续的正常统计分析。具体实现方式如下所述：
46.所述根据所述样本对象以及所述异常对象特征，确定第一验证函数以及所述第一验证函数满足预设条件的样本频率，包括：
47.确定所述样本对象对应的异常对象特征；
48.对所述异常对象特征进行分析，确定与所述样本对象对应的样本关联对象；
49.根据所述样本对象以及所述样本对象对应的样本关联对象，确定第一验证函数以及所述第一验证函数的函数值；
50.根据所述第一验证函数的函数值，确定所述第一验证函数满足预设条件的样本频率。
51.其中，第一验证函数可以理解为异常对象特征对应的映射函数，而映射函数可以选取布尔函数，通过该映射函数可以确定样本对象与其对应的样本关联对象的关联关系；且第一验证函数的函数值为布尔值，如{0,1}，其中，0表示假，1表示真。
52.仍沿用上例，若样本对象对应的异常对象特征为:中心机房a与边缘节点b为异地；通过对该异常对象特征进行分析，可以确定与该样本对象：中心机房a，对应的样本关联对象为边缘节点b；根据该样本对象：中心机房a，以及该样本关联对象：边缘节点b，确定该异常对象特征的第一验证函数为：f(a,b)，并且根据实际情况，为第一验证函数设置对应的函数值，例如f(a,b)的值域为{0,1}，此时该第一验证函数的函数值则可以为0或1。
53.以此类推，计算出对象样本中，所有样本对象对应的异常对象特征的第一验证函数以及第一验证函数的函数值；再根据所有的第一验证函数的函数值，确定第一验证函数满足预设条件的样本频率。其中，预设条件可以根据实际应用进行设置，本说明书实施例对此不作任何限定，例如预设条件可以理解为第一验证函数的函数值为0，或者第一验证函数的函数值为1等。
54.本说明书实施例提供的异常对象识别方法，通过将每个样本对象对应的、字符串型的异常对象特征，转换为数值型的映射函数，使得后续对对象样本进行频率分析时，可以实现准确的正常统计分析。
55.那么在获得每个样本对象对应的异常对象特征对应的第一验证函数的函数值的情况下，即可以计算全局对象样本中，第一验证函数的函数值为假的概率，或者可以计算全局对象样本中，第一验证函数的函数值为真的概率。
56.实际应用中，可以以全局对象样本中，第一验证函数的函数值为假的概率作为后续判断条件概率是否正常的条件，也可以以全局对象样本中，第一验证函数的函数值为真的概率作为后续判断条件概率是否正常的条件，具体根据实际应用情况进行选择即可，本说明书实施例中，均以全局对象样本中，第一验证函数的函数值为假的概率作为后续判断条件概率是否正常的条件为例，进行详细介绍。具体实现方式如下所述：
57.所述根据所述第一验证函数的函数值，确定所述第一验证函数满足预设条件的样本频率，包括：
58.根据所述第一验证函数的函数值，确定所述第一验证函数为真或假；
59.根据所述对象样本中的样本数量，计算所述第一验证函数为假的条件下的样本频率。
60.其中，对象样本中的样本数量，可以理解为对象样本中所有异常对象特征的数量，例如对象样本中的样本数量为100。
61.具体的，首先根据第一验证函数的函数值，确定第一验证函数为真或者为假；再根据对象样本中的样本数量，计算第一验证函数为假的条件下的样本频率。
62.例如，对象样本中所有异常对象特征对应的第一验证函数为100个，其中，有60个第一验证函数为假，有40个第一验证函数为真。
63.那么根据对象样本中的样本数量100，计算第一验证函数为假的条件下的样本频率则为60。
64.实际应用中，为了快速且准确的确定第一验证函数的真、假，可以通过为第一验证函数设置不同的函数值实现，例如将第一验证函数为真时，第一验证函数的函数值为1，第一验证函数为假时，第一验证函数的函数值为0。具体实现方式如下所述：
65.所述根据所述第一验证函数的函数值，确定所述第一验证函数为真或假，包括：
66.在确定所述第一验证函数的函数值为第一预设函数值的情况下，确定所述第一验证函数为真；
67.在确定所述第一验证函数的函数值为第二预设函数值的情况下，确定所述第一验证函数为假。
68.其中，第一预设函数值、第二预设函数值的具体数值，可以根据实际应用进行设置，例如第一预设函数值为1，第二预设函数值为0。
69.那么，在确定第一验证函数的函数值为1的情况下，则可以快速的确认该第一验证函数为真；在确定第一验证函数的函数值为0的情况下，则可以快速的确认该第一验证函数为假；而具体实施时，第一预设函数值、第二预设函数值也可以为其他可快速辨别的数值，本说明书实施例对此不作任何限定。
70.步骤106：确定待识别对象对应的识别关联对象，根据所述识别关联对象、所述样本频率，确定所述待识别对象的实际频率以及临界频率。
71.其中，待识别对象可以理解为等待被进行异常识别的对象，例如除样本对象之外的其他中心机房，如中心机房a3；待识别对象对应的识别关联对象，则可以理解为与该待识别对象存在关联关系的对象，例如与中心机房a3存在关联关系的一个或多个边缘节点。
72.且待识别对象的实际频率，可以理解为待识别对象与其对应的识别关联对象为异地是真或假的真实频率；临界频率，可以理解为待识别对象与其对应的识别关联对象为异地是真或假的临界频率。
73.具体的，由于后续进行待识别对象的实际频率以及临界频率计算时，会采用待识别对象与其对应的识别关联对象的对象特征，那么该对象特征也可能为string类型，那么为了保证对待识别对象与其对应的识别关联对象的对象特征进行频率分析时，可以正常统计分析，也需要获得待识别对象与其对应的识别关联对象的对象特征对应的验证函数，并为每个验证函数赋予对应的布尔值，以实现支持后续的正常统计分析。具体实现方式如下所述：
74.所述确定待识别对象对应的识别关联对象，根据所述识别关联对象、所述样本频率，确定所述待识别对象的实际频率以及临界频率，包括：
75.确定待识别对象的目标对象值，根据所述目标对象值确定与所述待识别对象对应的识别关联对象；
76.根据所述待识别对象以及所述识别关联对象，确定第二验证函数；
77.根据所述识别关联对象、所述样本频率、所述第二验证函数，确定在所述待识别对象为所述目标对象值的情况下，所述第二验证函数为假的实际频率以及临界频率。
78.其中，在待识别对象为中心机房a3的情况下，待识别对象的目标对象值，可以理解为中心机房a3的编号，如1111。
79.那么在待识别对象的目标对象值为1111的情况下，与待识别对象对应的识别关联对象，则可以理解为，与目标对象值1111存在关联关系(如通讯关系或者连接关系等)的所有的边缘节点。
80.而在确定待识别对象、以及与该待识别对象关联的所有识别关联对象的情况下，确定每个待识别对象与其对应的识别关联对象的对象特征，并确定每个对象特征的第二验证函数。
81.沿用上例，若待识别对象为中心机房a3，与该待识别对象关联的所有识别关联对象为边缘节点b5、边缘节点b6,那么根据中心机房a3与边缘节点b5的对象特征，确定第二验证函数f(a3，b5)；根据中心机房a3与边缘节点b6的对象特征，确定第二验证函数f(a3，b6)。
82.最后，在获得第二验证函数之后，根据识别关联对象、样本频率、第二验证函数，确定在待识别对象为目标对象值的情况下，第二验证函数为假的实际频率以及临界频率。
83.具体实施时，所述根据所述识别关联对象、所述样本频率、所述第二验证函数，确定在所述待识别对象为所述目标对象值的情况下，所述第二验证函数为假的实际频率以及临界频率，包括：
84.根据所述第二验证函数的函数值，确定所述第二验证函数为真或假；
85.根据所述识别关联对象的对象数量，确定在所述待识别对象为所述目标对象值的情况下，所述第二验证函数为假的实际频率；
86.根据所述识别关联对象的对象数量、所述样本频率，确定在所述待识别对象为所述目标对象值的情况下，所述第二验证函数为假的临界频率。
87.其中，第二验证函数的函数值，可以参见上述第一验证函数的函数值的具体解释；那么，根据第二验证函数的函数值，确定第二验证函数为真或假的具体方式，也可以参见上述实施例中，根据第一验证函数的函数值，确定第一验证函数为真或假的具体实现过程，在此不再赘述。
88.并且，识别关联对象的对象数量，可以理解为待识别对象为目标对象值时的样本量，如中心机房a3＝1111时的样本量。
89.以识别关联对象的对象数量为100为例，若存在60个第二验证函数为假，存在40个第二验证函数为真；根据所述识别关联对象的对象数量，确定在所述待识别对象为所述目标对象值的情况下，所述第二验证函数为假的实际频率，则可以理解为，根据识别关联对象的对象数量：100，确定中心机房a3＝1111时，第二验证函数为假的实际频率为60。
90.实际应用中，为了充分利用共同特征以及共有资源这两个异常特征，可以采用二项分布的方式，基于全局对象样本的对象频率对待识别对象的异常特征进行统计分析。具体实现方式如下所述：
91.所述根据所述识别关联对象的对象数量、所述样本频率，确定在所述待识别对象为所述目标对象值的情况下，所述第二验证函数为假的临界频率，包括：
92.根据所述识别关联对象的对象数量、所述样本频率，通过二项分布确定在所述待
识别对象为所述目标对象值的情况下，所述第二验证函数为假的临界频率。
93.那么，根据所述识别关联对象的对象数量、所述样本频率，确定在所述待识别对象为所述目标对象值的情况下，所述第二验证函数为假的临界频率；则可以理解为根据所述识别关联对象的对象数量、所述样本频率，采用二项分布通过双边校验的方式，确定在所述待识别对象为所述目标对象值的情况下，所述第二验证函数为假的临界频率。
94.仍沿用上例，若识别关联对象的对象数量：100，中心机房a3＝1111，样本频率为60，方差为根号24的正态分布。
95.通过二项分布，可以确定中心机房a3＝1111时，中心机房与边缘节点为异地是假(即0)的频率应当服从二项分布，即服从样本频率为60；此时，采用双边校验，校验水准为0.003，那么根据样本频率计算获得的第二验证函数为假的临界频率则为45-75。
96.而实际应用中，也可以采用单边校验的方式，根据样本频率计算获得第二验证函数为假的临界频率。具体的计算方法，可以根据实际应用进行设置，本说明书实施例对此不作任何限定。
97.本说明书实施例提供的异常对象识别方法，通过全局对象样本计算获得的样本频率，对待识别对象的第二验证函数为假的临界频率进行计算，后续可以根据该临界频率与实际频率的比对，快速且准确的对待识别对象进行异常判断，提高其异常识别准确性。
98.步骤108：根据所述实际频率以及所述临界频率，对所述待识别对象进行异常识别。
99.具体的，在获取实际频率以及临界频率之后，则可以根据实际频率以及临界频率，对待识别对象进行异常识别。
100.实际应用中，在临界频率为通过双边校验计算获得，属于一个临界范围的情况下，当实际视频属于该临界频率的频率范围内时，可以确定该待识别对象不是异常对象；而当实际视频不属于该临界频率的频率范围内时，可以确定该待识别对象是异常对象。具体实现方式如下所述：
101.所述根据所述实际频率以及所述临界频率，对所述待识别对象进行异常识别，包括：
102.在所述临界频率为频率范围的情况下，判断所述实际频率是否在所述临界频率的频率范围内，
103.若是，则确定所述待识别对象非异常，
104.若否，则确定所述待识别对象异常。
105.仍沿用上例，若临界频率为45-65，实际频率为60，那么则可以确定该待识别对象非异常对象；反之，若不在该临界频率内的话，则可以确定该待识别对象为异常对象。
106.而在临界频率为通过单边校验计算获得，属于一个单一频率值的情况下，当实际视频大于等于该临界频率时，可以确定该待识别对象是异常对象；而当实际视频小于该临界频率时，可以确定该待识别对象非异常对象。具体实现方式如下所述：
107.所述根据所述实际频率以及所述临界频率，对所述待识别对象进行异常识别，包括：
108.在所述临界频率为单一频率值的情况下，判断所述实际频率是否大于等于所述临界频率，
109.若是，则确定所述待识别对象异常，
110.若否，则确定所述待识别对象非异常。
111.若临界频率为60，实际频率为60，那么则可以确定实际频率等于临界频率，则可以确定该待识别对象为异常对象。
112.本说明书实施例提供的异常对象识别方法，通过根据样本频率获得的临界频率，与实际频率进行比对，可以快速且准确的对待识别对象进行异常识别。具体的，所述异常对象识别方法通过对同一个待识别对象下，出现异常对象特征的频率进行统计分析来对待识别对象进行异常识别，以实现在提升异常对象命中率的同时降低了误报率。
113.此外，本说明书实施例中，映射函数选取成为布尔函数，并使得条件分布成为二项分布。但是实际应用中，映射函数也可以选择为更复杂的函数，例如如f(a,b)＝a-b,f(a,b)＝a+b，等，得到其他的条件分布。对于条件分布的检验，也可以采用t检验等方法。
114.参见图2，图2示出了本说明书一个实施例提供的一种异常对象识别方法的处理过程流程图，具体包括以下步骤。
115.步骤202：获取多个相互独立的聚集性条件a和每个聚集性条件a对应的异常特征b。
116.其中，聚集性条件a则可以理解为上述实施例中的样本对象，异常特征b则可以理解为上述实施例中，与样本对象对应的异常对象特征，此时，这里的b可以理解为与聚集性条件a对应的关联样本对象。
117.步骤204：根据聚集性条件a和每个聚集性条件a对应的异常特征b，确定映射函数f(a，b)。
118.步骤206：计算映射函数f(a，b)＝0的全局频率。
119.步骤208：选取一个未被检验的聚集性条件a。
120.其中，未被检验的聚集性条件a可以理解为上述实施例的待识别对象。
121.步骤210：根据全局频率计算f(a，b)|(a＝a1)＝0的临界条件频率。
122.其中，a1可以理解为a的值，如上述中心机房a3的值1111；f(a，b)|(a＝a1)＝0，可以理解为a＝a1时，f(a，b)＝0的临界条件频率(临界频率)。
123.步骤212：计算f(a，b)|(a＝a1)＝0的实际条件频率。
124.其中，f(a，b)|(a＝a1)＝0，可以理解为a＝a1时，f(a，b)＝0的实际条件频率(实际频率)。
125.步骤214：判断实际条件频率是否大于临界条件频率，若是，则执行步骤216，若否，则执行步骤218。
126.步骤216：输出a＝a1为异常用户。
127.步骤218：输出a＝a1为正常用户。
128.步骤220：判断是否存在未被检验的聚集性条件a，若是，则继续执行步骤208，若否，则结束。
129.本说明书实施例提供的异常对象识别方法，基于聚集性条件对异常特征进行统计，聚集性条件与异常特征理论上应当相互独立，所以在同一个聚集性条件下，可以计算出异常特征出现的频率，如果频率过高，则可认为异常用户；这样即可避免误命中的问题，又可提高异常识别的准确率；实际应用中，本方法进行条件频率(即临界条件频率和实际条件
频率)分析，利用全局频率判断条件频率是否正常；并且还可以利用映射函数，解决异常特征为字符串类型导致的无法进行统计分析的问题。
130.与上述方法实施例相对应，本说明书还提供了异常对象识别装置实施例，图3示出了本说明书一个实施例提供的一种异常对象识别装置的结构示意图。如图3所示，该装置包括：
131.获取模块302，被配置为获取对象样本，其中，所述对象样本中包括样本对象以及、所述样本对象对应的异常对象特征；
132.第一频率计算模块304，被配置为根据所述样本对象以及所述异常对象特征，确定第一验证函数以及所述第一验证函数满足预设条件的样本频率；
133.第二频率计算模块306，被配置为确定待识别对象对应的识别关联对象，根据所述识别关联对象、所述样本频率，确定所述待识别对象的实际频率以及临界频率；
134.异常识别模块308，被配置为根据所述实际频率以及所述临界频率，对所述待识别对象进行异常识别。
135.可选地，所述第一频率计算模块304，进一步被配置为：
136.确定所述样本对象对应的异常对象特征；
137.对所述异常对象特征进行分析，确定与所述样本对象对应的样本关联对象；
138.根据所述样本对象以及所述样本对象对应的样本关联对象，确定所述样本对象的第一验证函数以及所述第一验证函数的函数值；
139.根据所述第一验证函数的函数值，确定所述第一验证函数满足预设条件的样本频率。
140.可选地，所述第一频率计算模块304，进一步被配置为：
141.根据所述第一验证函数的函数值，确定所述第一验证函数为真或假；
142.根据所述对象样本中的样本数量，计算所述第一验证函数为假的条件下的样本频率。
143.可选地，所述第一频率计算模块304，进一步被配置为：
144.在确定所述第一验证函数的函数值为第一预设函数值的情况下，确定所述第一验证函数为真；
145.在确定所述第一验证函数的函数值为第二预设函数值的情况下，确定所述第一验证函数为假。
146.可选地，所述第二频率计算模块306，进一步被配置为：
147.确定待识别对象的目标对象值，根据所述目标对象值确定与所述待识别对象对应的识别关联对象；
148.根据所述待识别对象以及所述识别关联对象，确定第二验证函数；
149.根据所述识别关联对象、所述样本频率、所述第二验证函数，确定在所述待识别对象为所述目标对象值的情况下，所述第二验证函数为假的实际频率以及临界频率。
150.可选地，所述第二频率计算模块306，进一步被配置为：
151.根据所述第二验证函数的函数值，确定所述第二验证函数为真或假；
152.根据所述识别关联对象的对象数量，确定在所述待识别对象为所述目标对象值的情况下，所述第二验证函数为假的实际频率；
153.根据所述识别关联对象的对象数量、所述样本频率，确定在所述待识别对象为所述目标对象值的情况下，所述第二验证函数为假的临界频率。
154.可选地，所述第二频率计算模块306，进一步被配置为：
155.根据所述识别关联对象的对象数量、所述样本频率，通过二项分布确定在所述待识别对象为所述目标对象值的情况下，所述第二验证函数为假的临界频率。
156.可选地，所述异常识别模块308，进一步被配置为：
157.在所述临界频率为频率范围的情况下，判断所述实际频率是否在所述临界频率的频率范围内，
158.若是，则确定所述待识别对象非异常，
159.若否，则确定所述待识别对象异常。
160.可选地，所述异常识别模块308，进一步被配置为：
161.在所述临界频率为单一频率值的情况下，判断所述实际频率是否大于等于所述临界频率，
162.若是，则确定所述待识别对象异常，
163.若否，则确定所述待识别对象非异常。
164.本说明书实施例提供的异常对象识别装置，通过对同一个待识别对象下，出现异常对象特征的频率进行统计分析来对待识别对象进行异常识别，以实现在提升异常对象命中率的同时降低了误报率。
165.上述为本实施例的一种异常对象识别装置的示意性方案。需要说明的是，该异常对象识别装置的技术方案与上述的异常对象识别方法的技术方案属于同一构思，异常对象识别装置的技术方案未详细描述的细节内容，均可以参见上述异常对象识别方法的技术方案的描述。
166.图4示出了根据本说明书一个实施例提供的一种计算设备400的结构框图。该计算设备400的部件包括但不限于存储器410和处理器420。处理器420与存储器410通过总线430相连接，数据库450用于保存数据。
167.计算设备400还包括接入设备440，接入设备440使得计算设备400能够经由一个或多个网络460通信。这些网络的示例包括公用交换电话网(pstn)、局域网(lan)、广域网(wan)、个域网(pan)或诸如因特网的通信网络的组合。接入设备440可以包括有线或无线的任何类型的网络接口(例如，网络接口卡(nic))中的一个或多个，诸如ieee802.11无线局域网(wlan)无线接口、全球微波互联接入(wi-max)接口、以太网接口、通用串行总线(usb)接口、蜂窝网络接口、蓝牙接口、近场通信(nfc)接口，等等。
168.在本说明书的一个实施例中，计算设备400的上述部件以及图4中未示出的其他部件也可以彼此相连接，例如通过总线。应当理解，图4所示的计算设备结构框图仅仅是出于示例的目的，而不是对本说明书范围的限制。本领域技术人员可以根据需要，增添或替换其他部件。
169.计算设备400可以是任何类型的静止或移动计算设备，包括移动计算机或移动计算设备(例如，平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动电话(例如，智能手机)、可佩戴的计算设备(例如，智能手表、智能眼镜等)或其他类型的移动设备，或者诸如台式计算机或pc的静止计算设备。计算设备400还可以是移动式或静止式
的服务器。
170.其中，处理器420用于执行如下计算机可执行指令，该计算机可执行指令被处理器执行时实现上述异常对象识别方法的步骤。
171.上述为本实施例的一种计算设备的示意性方案。需要说明的是，该计算设备的技术方案与上述的异常对象识别方法的技术方案属于同一构思，计算设备的技术方案未详细描述的细节内容，均可以参见上述异常对象识别方法的技术方案的描述。
172.本说明书一实施例还提供一种计算机可读存储介质，其存储有计算机可执行指令，该计算机可执行指令被处理器执行时实现上述异常对象识别方法的步骤。
173.上述为本实施例的一种计算机可读存储介质的示意性方案。需要说明的是，该存储介质的技术方案与上述的异常对象识别方法的技术方案属于同一构思，存储介质的技术方案未详细描述的细节内容，均可以参见上述异常对象识别方法的技术方案的描述。
174.本说明书一实施例还提供一种计算机程序，其中，当所述计算机程序在计算机中执行时，令计算机执行上述异常对象识别方法的步骤。
175.上述为本实施例的一种计算机程序的示意性方案。需要说明的是，该计算机程序的技术方案与上述的异常对象识别方法的技术方案属于同一构思，计算机程序的技术方案未详细描述的细节内容，均可以参见上述异常对象识别方法的技术方案的描述。
176.上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
177.所述计算机指令包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。
178.需要说明的是，对于前述的各方法实施例，为了简便描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本说明书实施例并不受所描述的动作顺序的限制，因为依据本说明书实施例，某些步骤可以采用其它顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定都是本说明书实施例所必须的。
179.在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。
180.以上公开的本说明书优选实施例只是用于帮助阐述本说明书。可选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书实施例的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本说明书实施例的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用
本说明书。本说明书仅受权利要求书及其全部范围和等效物的限制。