(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210921200.5 (22)申请日 2022.08.02 (71)申请人 北京奇艺世纪科技有限公司 地址 100080 北京市海淀区北一 街2号鸿城 拓展大厦10、 1 1层 (72)发明人 邢玮　 (74)专利代理 机构 北京润泽恒知识产权代理有 限公司 1 1319 专利代理师 吕俊秀 (51)Int.Cl. G06F 16/9535(2019.01) G06F 16/9536(2019.01) G06K 9/62(2022.01) G06N 20/00(2019.01) G06Q 50/00(2012.01) (54)发明名称 识别用户账户的恶意分享行为的方法、 装 置、 设备和介质 (57)摘要 本发明提供了一种识别用户账户的恶意分 享行为的方法、 装置、 设备和介质， 该方法为： 首 先， 获取用户账户的当前时间段内的使用行为日 志以及历史时间段内的使用行为日志； 然后， 通 过评估模型对当前时间段内的使用行为日志进 行评估， 得到评估结果； 该评估模型是 以携带标 记的样本用户账户的使用行为日志为训练样本 训练得到的； 此外， 根据历史时间段内的使用行 为日志， 确定用户账户是否满足后置规则； 最后， 根据评估结果和用户账户是否满足后置规则， 确 定该用户账户是否存在恶意分享行为。 本发明通 过评估模型对用户账户的行为日志进行分析， 将 模型的评估 结果与后置规则相结合， 从而精准判 断该用户账户是否存在恶意分享行为。 权利要求书3页 说明书18页 附图2页 CN 115357784 A 2022.11.18 CN 115357784 A 1.一种识别用户账户的恶意分享行为的方法， 其特 征在于， 包括： 获取用户账户的当前时间段内的使用行为日志， 以及， 所述用户账户的历史时间段内 的使用行为日志， 所述历史时间段至少包 含所述当前时间段； 通过预先训练 的评估模型对所述当前时间段内的使用行为日志进行评估， 得到评估结 果， 所述评估模型以携带标记的样本用户账户的使用行为日志为训练样本， 对预设模型进 行训练得到， 所述标记 表征所述样本用户账户是否存在恶意分享行为； 根据所述用户账户的历史时间段内的使用行为日志， 确定所述用户账户在所述历史时 间段内是否满足后置规则， 所述后置规则用于确定所述用户账户在所述历史时间段内是否 存在恶意分享行为； 根据所述评估结果和所述用户账户是否满足后置规则， 确定所述用户账户在所述当前 时间段内是否存在恶意分享行为。 2.根据权利要求1所述的方法， 其特征在于， 所述后置规则为： 所述用户账户在单位时 间段内使用的设备总数超过第一预设数量和/或所述用户账户在单位时间段内使用的设备 所在城市的总数超过第二预设数量。 3.根据权利要求1所述的方法， 其特征在于， 所述评估结果为评估分值， 根据所述评估 结果和所述用户账户是否满足后置规则， 确定所述用户账户在所述当前时间段内是否存在 恶意分享行为， 包括： 在所述评估分值低于预设分数阈值 时， 确定所述用户账户在所述当前时间段内不存在 恶意分享行为； 在所述评估分值不低于所述预设分数阈值， 且所述用户账户在所述历史时间段内不满 足所述后置规则时， 确定所述用户账户在所述当前时间段内不存在恶意分享行为； 在所述评估分值不低于所述预设分数阈值， 且所述用户账户在所述历史时间段内满足 所述后置规则时， 确定所述用户账户在所述当前时间段内存在恶意分享行为； 其中， 所述预设分数阈值根据 所述评估模型的训练样本集中正样本的数量与负样本的 数量的比例， 在所述评估 模型的训练过程中多次调整后得到 。 4.根据权利要求1所述方法， 其特征在于， 在确定所述用户账户在所述当前时间段内存 在恶意分享行为后， 所述方法还 包括： 对所述用户账户持续封停所述评估结果对应的封停时长； 其中， 所述评估结果表征的 恶意程度越高， 对应的封停时长越长 。 5.根据权利要求1所述的方法， 其特征在于， 通过预先训练 的评估模型对所述当前时间 段内的使用行为日志进行评估， 得到 评估结果， 包括： 通过所述预先训练的评估模型从所述当前时间段内的使用行为日志中提取N个维度的 评估特征； 其中， 所述N个维度的评估特征包括以下至少一者： 登录行为特征、 注册行为特 征、 支付行为特 征、 播放行为特 征、 改密行为特 征以及历史封停 记录特征； 通过所述预先训练的评估模型对所述N个维度的评估特征进行评估， 输出所述评估结 果。 6.根据权利要求5所述的方法， 其特征在于， 通过所述预先训练 的评估模型对所述评估 特征进行评估， 输出 所述评估结果， 包括： 针对每个维度的评估特征， 根据该维度的评估特征所处的目标阈值范围， 确定所述目权　利　要　求　书 1/3 页 2 CN 115357784 A 2标阈值范围对应的目标编码值； 将所述N个维度的评估特征各自对应的目标编码值输入所述评估模型， 得到所述评估 结果。 7.根据权利要求6所述的方法， 其特征在于， 所述评估模型的N个模型参数表征所述N个 维度的评估特征对所述评估结果的影响程度并与所述N个维度的评估特征一一对应； 将所 述N个维度的评估特征各自对应的目标编码值输入所述评估模型， 得到所述评估结果， 包 括： 根据所述N个维度的评估特征各自对应的目标编码值和各自对应的模型参数， 确定该 维度的评估特 征对应的子 评估结果； 根据所述 N个维度的评估特 征各自对应的子 评估结果， 确定并输出 所述评估结果。 8.根据权利要求6所述的方法， 其特征在于， 针对每个维度的评估特征， 按照如下步骤 确定该维度的评估特 征的多个阈值范围： 在该维度的评估特 征为0‑1型特征的情况 下， 该维度的评估特 征的阈值范围是0或1； 在该维度的评估特征为非0 ‑1型特征的情况下， 对训练样本集中该维度的评估特征的 分布情况进行分析， 确定该维度的评估特征 的切分阈值， 根据该维度的评估特征 的切分阈 值， 得到该维度的评估特 征的多个阈值范围。 9.根据权利要求6 ‑8任一所述的方法， 其特征在于， 针对每个维度的评估特征， 按照如 下步骤确定该维度的评估特 征的每个阈值范围对应的编码值： 根据所述评估模型的训练样本集中正样本和负样本各自的数量、 处于该阈值范围的该 维度的评估特征的正样本和负样本各自的数量， 确定处于该阈值范围的该维度的评估特征 的对应的编码值， 所述正样本为存在恶意分享行为的样本， 所述负样本为不存在恶意分享 行为的样本 。 10.根据权利要求1所述的方法， 其特征在于， 在存在多个待识别的用户账户时， 获取用 户账户的当前时间段内的使用行为日志， 以及， 所述用户账户的历史时间段内的使用行为 日志， 包括： 获取所述多个待识别的用户账户各自在当前时间段内产生的当前使用行为日志， 以 及， 获取所述多个待识别的用户账户各自在历史时间段内产生的历史使用行为日志， 所述 历史时间段包括所述当前时间段， 以确定所述多个待识别的用户账户各自在所述当前时间 段内是否存在恶意分享行为； 其中， 所述多个待识别的用户账户是按照以下步骤确定的： 根据多个候选账户各自的账户活跃度， 确定活跃度高于预设阈值的多个用户账户； 和/ 或 根据多个候选账户各自的账户等级， 按照各个账户等级的账户数量比例， 从所述多个 候选账户中提取多个用户账户。 11.一种识别用户账户的恶意分享行为的装置， 其特 征在于， 包括： 获取模块， 用于获取用户账户的当前时间段内的使用行为日志， 以及， 所述用户账户的 历史时间段内的使用行为日志， 所述历史时间段至少包 含所述当前时间段； 评估模块， 用于通过预先训练 的评估模型对所述当前时间段内的使用行为日志进行评 估， 得到评估结果， 所述评估模 型以携带标记的样本用户账户的使用行为日志 为训练样 本，权　利　要　求　书 2/3 页 3 CN 115357784 A 3