自更新黑产特征的黑产识别方法及装置

技术领域

本公开涉及数据分析领域，尤其涉及一种自更新黑产特征的黑产识别方法及装置。

背景技术

随着互联网产业的迅猛发展，黑产对利益的追求随之无孔不入。为对抗黑产，互联网从业者需要分析海量数据，以从中识别出黑产进行对其进行定位打击，保障企业和用户的经济利益。

现有技术中的黑产识别方法要么易被黑产绕过，覆盖率低；要么只能识别出已有的黑产特征。当黑产通过修改参数进行伪装时，或者当黑产发展出新的黑产行为时，现有技术通常会无法识别出这些发生了变异的黑产，从而导致黑产识别效果不理想。

发明内容

本公开提供一种自更新黑产特征的黑产识别方法、装置及电子设备，其主要目的在于提高黑产识别的抗变异能力。

为实现上述目的，本公开提供的一种自更新黑产特征的黑产识别方法，包括：

获取已确定属于黑产的黑产行为数据；

按照预设的特征项提取出所述黑产行为数据的第一黑产特征；

构建以所述黑产行为数据所来源的黑产设备为图节点、以所述第一黑产特征为所述图节点的边的图结构信息；

基于设备与账号之间的相互关联，获取与所述图结构信息之间存在设备关联的目标行为数据；

按照所述特征项提取出所述目标行为数据的第二黑产特征，并将所述第一黑产特征以及所述第二黑产特征共同作为黑产识别的依据进行黑产识别。

可选地，所述方法还包括：

获取用于描述行为数据的各字段；

获取所述各字段分别对应的字段值空间大小；

将所述字段值空间大小小于预设空间大小阈值的字段进行组合，得到所述字段值空间大小大于等于所述空间大小阈值的字段组合；

将所述字段组合，以及所述字段值空间大小达到所述空间大小阈值的字段，分别作为所述特征项。

可选地，按照预设的特征项提取出所述黑产行为数据的第一黑产特征，包括：

按照所述特征项提取出白名单设备集合的行为数据的每一白名单特征；

按照所述特征项提取出所述黑产行为数据的每一待对比特征；

按照所述特征项将所述待对比特征与对应的所述白名单特征进行对比，确定所述待对比特征与对应的所述白名单特征的差异度；

将所述差异度大于预设阈值的待对比特征确定为所述第一黑产特征。

可选地，构建以所述黑产行为数据所来源的黑产设备为图节点、以所述第一黑产特征为所述图节点的边的图结构信息，包括：

确定在所述黑产设备上所登录的中间账号；

将所述黑产设备以及所述中间账号分别作为图节点，并以所述第一黑产特征表示所述图节点之间的边，得到构建的所述图结构信息。

可选地，基于设备与账号之间的相互关联，获取与所述图结构信息之间存在设备关联的目标行为数据，包括：

确定在所述黑产设备上所登录的中间账号；

确定所述中间账号所登录的除所述黑产设备之外的目标设备；

将来源于所述目标设备的行为数据确定为所述目标行为数据。

可选地，按照所述特征项提取出所述目标行为数据的第二黑产特征，包括：

按照所述特征项提取出所述目标行为数据的第二特征；

按照所述特征项将所述第一黑产特征与对应的所述第二特征进行对比，确定所述第一黑产特征与对应的所述第二特征的第一差异度；

将所述第一差异度小于预设第一阈值的第二特征确定为所述第二黑产特征。

可选地，按照所述特征项对所述黑产行为数据进行提取得到所述第一黑产特征以及不属于黑产的第一白产特征，所述方法还包括：

按照所述特征项将所述第一白产特征与对应的所述第二特征进行对比，确定所述第一白产特征与对应的所述第二特征的第二差异度；

将所述第二差异度大于预设第二阈值的第二特征确定为所述第二黑产特征。

为了解决上述问题，本公开还提供一种自更新黑产特征的黑产识别装置，所述装置包括：

第一获取模块，配置为获取已确定属于黑产的黑产行为数据；

第一提取模块，配置为按照预设的特征项提取出所述黑产行为数据的第一黑产特征；

构建模块，配置为构建以所述黑产行为数据所来源的黑产设备为图节点、以所述第一黑产特征为所述图节点的边的图结构信息；

第二获取模块，配置为基于设备与账号之间的相互关联，获取与所述图结构信息之间存在设备关联的目标行为数据；

第二提取模块，配置为按照所述特征项提取出所述目标行为数据的第二黑产特征，并将所述第一黑产特征以及所述第二黑产特征共同作为黑产识别的依据进行黑产识别。

为了解决上述问题，本公开还提供一种电子设备，所述电子设备包括：

存储器，存储至少一个指令；及

处理器，执行所述存储器中存储的指令以实现上述所述的自更新黑产特征的黑产识别方法。

为了解决上述问题，本公开还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一个指令，所述至少一个指令被电子设备中的处理器执行以实现上述所述的自更新黑产特征的黑产识别方法。

本公开实施例中，将已确定属于黑产的黑产行为数据作为种子，进而以设备资源为内在关联，寻找出与该种子同根源但可能存在一定变异的枝杈，即，寻找出目标行为数据。由于目标行为数据与黑产行为数据在设备资源上相关联，因此目标行为数据很有可能也属于黑产。若目标行为数据是黑产发生变异后得到的行为数据，则从目标行为数据中可以自动提取出发生变异的黑产特征。由此可见，本公开能够跟随发生变异的黑产，自动提取出发生变异的黑产特征，从而以发生变异的黑产特征为依据对黑产进行识别，提高了黑产识别的抗变异能力。

附图说明

图1为本公开一实施例提供的自更新黑产特征的黑产识别方法的流程示意图。

图2为本公开一实施例提供的自更新黑产特征的黑产识别装置的模块示意图。

图3为本公开一实施例提供的实现自更新黑产特征的黑产识别方法的电子设备的内部结构示意图。

本公开目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本公开，并不用于限定本公开。

本公开提供一种自更新黑产特征的黑产识别方法。参照图1所示，为本公开一实施例提供的自更新黑产特征的黑产识别方法的流程示意图。该方法可以由一个装置执行，该装置可以由软件和/或硬件实现。

在本实施例中，自更新黑产特征的黑产识别方法包括：

步骤S1、获取已确定属于黑产的黑产行为数据；

步骤S2、按照预设的特征项提取出所述黑产行为数据的第一黑产特征；

步骤S3、构建以所述黑产行为数据所来源的黑产设备为图节点、以所述第一黑产特征为所述图节点的边的图结构信息；

步骤S4、基于设备与账号之间的相互关联，获取与所述图结构信息之间存在设备关联的目标行为数据；

步骤S5、按照所述特征项提取出所述目标行为数据的第二黑产特征，并将所述第一黑产特征以及所述第二黑产特征共同作为黑产识别的依据进行黑产识别。

本公开实施例中，将已确定属于黑产的黑产行为数据作为种子，进而以设备资源为内在关联，寻找出与该种子同根源但可能存在一定变异的枝杈，即，寻找出目标行为数据。由于目标行为数据与黑产行为数据在设备资源上相关联，因此目标行为数据很有可能也属于黑产。若目标行为数据是黑产发生变异后得到的行为数据，则从目标行为数据中可以自动提取出发生变异的黑产特征。由此可见，本公开能够跟随发生变异的黑产，自动提取出发生变异的黑产特征，从而以发生变异的黑产特征为依据对黑产进行识别，提高了黑产识别的抗变异能力。

本公开实施例中，黑产行为数据指的是已确定属于黑产的黑产设备的行为数据。需要说明的是，一般的，黑产行为数据并不全部都属于黑产。例如：黑产设备所进行的黑产行为是“大量领取优惠券”，该黑产设备的其他行为均是正常的。则黑产行为数据中与“账号登录”行为相关的特征是正常的，不属于黑产；与“领取优惠券”行为相关的特征则属于黑产。

本公开实施例中，获取已确定属于黑产的黑产行为数据。具体的，可以通过人工识别的方式预先手动挑选出确定属于黑产的黑产行为数据；也可以通过专家规则筛选出确定属于黑产的黑产行为数据。

本公开实施例中，按照预设的特征项提取出该黑产行为数据的第一黑产特征。其中，特征项主要为字段或者字段组合，从而可以按照特征项所描述的字段或者字段组合，将黑产行为数据中对应的字段值或者对应的字段值组合提取出，所得到的字段值或者字段值组合即为第一黑产特征。

在一实施例中，该方法还包括：

获取用于描述行为数据的各字段；

获取该各字段分别对应的字段值空间大小；

将该字段值空间大小小于预设空间大小阈值的字段进行组合，得到该字段值空间大小大于等于该空间大小阈值的字段组合；

将该字段组合，以及该字段值空间大小大于等于该空间大小阈值的字段，分别作为该特征项。

该实施例中，根据字段值空间大小进行字段的组合，进而进行特征项的预设。

其中，字段值空间大小指的是对应字段所能具有的字段值个数。例如：“系统”字段，其具有的字段值只有“安卓”和“IOS”这两个，则，“系统”字段的字段值空间大小为2；“开机时间”字段，其具有的字段值取决于开机时间的具体划分情况，若将一天24小时划分为24个时间区间则“开机时间”字段的字段值空间大小为24。

将字段值空间大小小于预设空间大小阈值的字段进行组合，得到字段值空间大小大于等于该空间大小阈值的字段组合，再将每一字段组合以及每一字段值空间大小大于等于该空间大小阈值的字段分别作为特征项。例如：空间大小阈值为6。A字段的字段值空间大小为2，B字段的字段值空间大小为3，C字段的字段值空间大小为7。则将A字段与B字段进行组合，得到的AB字段组合的字段值空间大小为2×3＝6。则将AB字段组合作为一个特征项，将C字段作为一个特征项。

该实施例的优点在于，通过先将字段值空间大小小于空间大小阈值的字段进行组合，再将得到的字段组合作为用于提取黑产特征的特征项，降低了特征提取时特征项之间相互组合的计算量。同时，将字段进行组合提高了抗黑产伪装的能力。具体的，将A字段、B字段以及C字段进行组合得到ABC字段后，将ABC字段作为一用于特征提取的特征项，即使A字段被黑产修改，本公开实施例仍可以从B字段与C字段之间的紧密关联提取出与正确的黑产特征足够相似的特征，从而仍旧能够正确将根据ABC字段所提取出的特征确定为黑产特征。

在一实施例中，按照预设的特征项提取出该黑产行为数据的第一黑产特征，包括：

按照该特征项提取出白名单设备集合的行为数据的每一白名单特征；

按照该特征项提取出该黑产行为数据的每一待对比特征；

按照该特征项将该待对比特征与对应的该白名单特征进行对比，确定该待对比特征与对应的该白名单特征的差异度；

将该差异度大于预设阈值的待对比特征确定为该第一黑产特征。

该实施例中，通过与白名单特征进行对比的方式提取出黑产行为数据的第一黑产特征。

具体的，按照预设的每一特征项对白名单设备集合的行为数据进行提取，得到每一特征项对应的白名单特征。其中，白名单设备指的是被判定为一切行为正常的设备；白名单设备集合指的是多个白名单设备的组合；白名单特征指的是正常的特征。

同样的，按照预设的每一特征项对黑产行为数据进行提取，得到每一特征项对应的待对比特征。得到的待对比特征中，有与黑产行为无关的正常特征，也有与黑产行为有关的第一黑产特征。

按照特征项，将同一特征项下的待对比特征与对应的白名单特征进行对比，确定该待对比特征与对应的白名单特征的差异度。其中，差异度的确定方法与特征项的具体类型相关。例如：若特征项a下的特征描述的是对应行为的频率，则可以根据频率之间的比值确定特征项a下的差异度；若特征项b下的特征描述的是对应行为的发生时间跨度，则可以根据时间跨度之间的重叠度确定特征项b下的差异度；若特征项c下的特征描述的是对应行为的发生地点，则可以根据地点位置之间的远近确定特征项c下的差异度。

若一待对比特征与对应的白名单特征的差异度大于预设阈值，则将该待对比特征确定为属于第一黑产特征。

本公开实施例中，构建以该黑产行为数据所来源的黑产设备为图节点、以该第一黑产特征为边的图结构信息。其中，图结构信息是以图节点和边的图结构存储起的信息。具体的，本公开实施例中，将用于描述黑产设备的信息(例如：黑产设备的唯一标识)存储为图节点，将黑产设备的黑产行为数据的第一黑产特征存储为该图节点的边。

在一实施例中，构建以该黑产行为数据所来源的黑产设备为图节点、以该第一黑产特征为该图节点的边的图结构信息，包括：

确定在该黑产设备上所登录的中间账号；

将该黑产设备以及该中间账号分别作为图节点，并以该第一黑产特征表示该图节点之间的边，得到构建的该图结构信息。

该实施例中，将黑产设备作为图节点，并将在该黑产设备上所登录的中间账号也作为图节点，并以该第一黑产特征为边将该黑产设备与该中间账号相连，构建得到便于基于设备与账号之间的相互关联进行搜索的图结构信息。

该实施例的优点在于，通过以图结构信息的形式保存黑产设备信息以及第一黑产特征，便于对黑产设备以及黑产特征进行搜索，同时也便于后续过程中将筛选出的新的黑产设备以及新的黑产特征扩充进来。

本公开实施例中，基于设备与账号之间的相互关联，获取与该图结构信息之间存在设备关联的目标行为数据。构建得到图结构信息后，基于设备与账号之间的相互关联，寻找出与该图结构信息在设备资源层面上存在关联的目标行为数据。

具体的，可以是采取设备关联账号再由账号关联设备的方法，寻找出与该图结构信息在设备资源层面上存在关联的目标行为数据。例如：通过设备关联账号，确定黑产设备1上登录有账号A；再通过账号关联设备，确定账号A还曾登录于设备2上，则将设备2的行为数据作为与该图结构信息在设备资源层面上存在关联的目标行为数据。

也可以是采取设备关联账号再由账号关联账号再由账号关联设备的方法，寻找出与该图结构信息在设备资源层面上存在关联的目标行为数据。例如：通过设备关联账号，确定黑产设备1上登录有账号A；再通过账号关联账号，确定账号A与账号B的通信来往频次超出预设频次阈值，则确定账号A与账号B相互为亲密账号；再通过账号关联设备，确定账号B曾登录于设备3上，则将设备3的行为数据作为与该图结构信息在设备资源层面上存在关联的目标行为数据。

在一实施例中，基于设备与账号之间的相互关联，获取与该图结构信息之间存在设备关联的目标行为数据，包括：

确定在该黑产设备上所登录的中间账号；

确定该中间账号所登录的除该黑产设备之外的目标设备；

将来源于该目标设备的行为数据确定为该目标行为数据。

该实施例中，通过设备关联账号再用户账号关联设备的方式，找到与黑产设备存在关联的目标设备，进而将目标设备的行为数据确定为待提取出新的第二黑产特征的目标行为数据。

具体的，确定在黑产设备上所登录的中间账号，中间账号指的是在一定时间内曾登录过的账号；再将该中间账号所登录过的其他设备作为目标设备，由此可见，目标设备与图结构信息中作为图节点的黑产设备存在关联；进而将目标设备的行为数据确定为待提取出新的第二黑产特征的目标行为数据。

由于黑产在作弊时，通常是一批黑产设备使用大量账号聚集性地进行操作。一个黑产设备上会登录多个账号进行操作，同一个账号也可能会在多个设备上分别登录进行操作。因此，在确定黑产设备后，确定在该黑产设备曾登录过的各个中间账号，再将每个中间账号所登录过的其他设备作为目标设备。可以得知，通过这种方法找出的目标设备存在为黑产的很大嫌疑。

需要说明的是，该实施例只是示例性的说明，不应对本公开的功能和使用范围造成限制。可以理解的，除了可以将中间账号所登录的设备作为目标设备外，还可以将与中间账号来往频次超过一定程度的亲密账号所登录的设备作为目标设备。

在进行黑产识别时，一般将待识别的行为数据的特征与黑产特征进行对比，若待识别的行为数据的特征与黑产特征之间的近似度大于等于预设近似度阈值，则确定该待识别的行为数据属于黑产，从而可以对该待识别的行为数据所来源的设备或者账号进行打击。

本公开实施例中，得到目标行为数据后，按照特征项提取出该目标行为数据的第二黑产特征，并将第一黑产特征以及第二黑产特征共同作为黑产识别的依据进行黑产识别。若该目标行为数据是发生变异后的黑产的行为数据，则该第二黑产特征包含有不同于第一黑产特征的新的黑产特征，且该新的黑产特征正对应于黑产的变异部分。从而根据第一黑产特征以及包含有新的黑产特征的第二黑产特征所进行的黑产识别，既能够识别出对应于第一黑产特征的黑产，也能够识别出对应于第二黑产特征的变异的黑产。

在一实施例中，按照该特征项提取出该目标行为数据的第二黑产特征，包括：

按照该特征项提取出该目标行为数据的第二特征；

按照该特征项将该第一黑产特征与对应的该第二特征进行对比，确定该第一黑产特征与对应的该第二特征的第一差异度；

将该第一差异度小于预设第一阈值的第二特征确定为该第二黑产特征。

该实施例中，按照特征项对目标行为数据进行提取得到第二特征。按照特征项，将同一特征项下的第一黑产特征与对应的第二特征进行对比，确定该第一黑产特征与对应的第二特征的第一差异度。若一第一黑产特征与对应的第二特征的第一差异值大于预设第一阈值，则将该第二特征确定为属于第二黑产特征。

黑产对所进行的黑产行为进行伪装后，会使得相关的黑产特征发生一定程度的改变，即，会使得第一黑产特征与对应的第二特征存在较小程度的差异。若差异较小，则说明该对应的第二特征仍然属于黑产，故将该对应的第二特征确定为属于第二黑产特征。例如：黑产在黑产设备甲上从事“大量领取优惠券”的黑产行为，则从黑产设备甲的行为数据中提取出的与“领取优惠券”行为相关的特征a属于黑产；黑产迁移到黑产设备乙后在伪装下继续从事“大量领取优惠券”的黑产行为，则从黑产设备乙的行为数据中提取出的与“领取优惠券”行为相关的特征b仍属于黑产。区别在于，在伪装的作用下，特征b与特征a会存在一定差异，但一般的，该差异较小。

在一实施例中，按照该特征项对该黑产行为数据进行提取得到该第一黑产特征以及不属于黑产的第一白产特征，该方法还包括：

按照该特征项将该第一白产特征与对应的该第二特征进行对比，确定该第一白产特征与对应的该第二特征的第二差异度；

将该第二差异度大于预设第二阈值的第二特征确定为该第二黑产特征。

该实施例中，按照特征项，将同一特征项下的第一白产特征与对应的第二特征进行对比，确定该第一白产特征与对应的第二特征的第二差异度。若一第一白产特征与对应的第二特征的第二差异值大于预设第二阈值，则将该第二特征确定为属于第二黑产特征。其中，第一白产特征指的是按照特征项对黑产行为数据进行提取后，所得到的不属于黑产的特征。

黑产进行新的黑产行为后，会使得原本正常行为对应的第一白产特征与对应的第二特征存在较大程度的差异。若差异较大，则说明该对应的第二特征属于白产的对立面，即，属于黑产，故将该对应的第二特征确定为属于第二黑产特征。例如：黑产在黑产设备甲上仅从事“大量领取优惠券”的黑产行为，则从黑产设备甲的行为数据中提取出的与“注册”行为相关的特征a属于白产；黑产迁移到黑产设备乙后开始从事“批量注册”的黑产行为，则从黑产设备乙的行为数据中提取出的与注册”行为相关的特征b属于黑产，且特征b相比于特征a会存在较大的差异。

在一实施例中，该方法还包括：通过将该目标行为数据所来源的目标设备作为新的图节点，并将该第二黑产特征为该新的图节点的边的方式扩充该图结构信息。

该实施例中，将寻找到的目标设备作为图结构信息中新的图节点，并将相应提取出的第二黑产特征作为该新的图节点的边。通过这种方式扩充图结构信息，丰富图结构信息对黑产的描述能力，进而提高了在图结构信息的基础上对黑产的识别能力。

在一实施例中，通过将预写的shell脚本嵌入行为数据库执行该方法，其中，该行为数据库用于存储采集到的行为数据。

该实施例中，通过将本公开提供的黑产识别方法写为shell脚本，并将该shell脚本嵌入行为数据库以执行该黑产识别方法。

具体的，行为数据库是用于存储采集到的行为数据的数据库，采集到的行为数据既包括黑产行为数据，也包括非黑产数据。将该shell脚本嵌入该行为数据库中，该shell脚本可以在该行为数据库中搜索、采集行为数据。将作为种子的已确定属于黑产的黑产行为数据输入并启动该shell脚本后，该shell脚本即可根据本方案提出的黑产识别方法，以该输入的黑产行为数据为起点在该行为数据库中进行发散，从而识别出更多的黑产特征。

该实施例的优点在于，通过shell脚本能够便捷地将本公开提供的黑产识别方法部署到各个需要进行黑产识别的场景中，提高了黑产识别的抗变异能力的同时，实现了黑产识别的轻量化。

如图2所示，是本公开自更新黑产特征的黑产识别装置的功能模块图。

本公开的自更新黑产特征的黑产识别装置100可以安装于电子设备中。根据实现的功能，自更新黑产特征的黑产识别装置可以包括第一获取模块101、第一提取模块102、构建模块103、第二获取模块104、第二提取模块105。本公开的模块也可以称之为单元，是指一种能够被电子设备处理器所执行，并且能够完成固定功能的一系列计算机程序段，其存储在电子设备的存储器中。

在本实施例中，关于各模块/单元的功能如下：

第一获取模块101配置为获取已确定属于黑产的黑产行为数据；

第一提取模块102配置为按照预设的特征项提取出所述黑产行为数据的第一黑产特征；

构建模块103配置为构建以所述黑产行为数据所来源的黑产设备为图节点、以所述第一黑产特征为所述图节点的边的图结构信息；

第二获取模块104配置为基于设备与账号之间的相互关联，获取与所述图结构信息之间存在设备关联的目标行为数据；

第二提取模块105配置为按照所述特征项提取出所述目标行为数据的第二黑产特征，并将所述第一黑产特征以及所述第二黑产特征共同作为黑产识别的依据进行黑产识别。

具体地，所述自更新黑产特征的黑产识别装置100的功能模板具体所实现的功能可参考图1对应实施例中相关步骤的描述，在此不赘述。

如图3所示，是本公开实现自更新黑产特征的黑产识别方法的电子设备的结构示意图。

所述电子设备1可以包括处理器10、存储器11和总线，还可以包括存储在所述存储器11中并可在所述处理器10上运行的计算机程序，如自更新黑产特征的黑产识别程序12。

其中，所述存储器11至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如：SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备1的内部存储单元，例如该电子设备1的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备1的外部存储设备，例如电子设备1上配备的插接式移动硬盘、智能存储卡(Smart Media Card，SMC)、安全数字(SecureDigital，SD)卡、闪存卡(Flash Card)等。进一步地，所述存储器11还可以既包括电子设备1的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备1的应用软件及各类数据，例如自更新黑产特征的黑产识别程序的代码等，还可以用于暂时地存储已经输出或者将要输出的数据。

所述处理器10在一些实施例中可以由集成电路组成，例如可以由单个封装的集成电路所组成，也可以是由多个相同功能或不同功能封装的集成电路所组成，包括一个或者多个中央处理器(Central Processing unit，CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器10是所述电子设备的控制核心(Control Unit)，利用各种接口和线路连接整个电子设备的各个部件，通过运行或执行存储在所述存储器11内的程序或者模块(例如自更新黑产特征的黑产识别程序等)，以及调用存储在所述存储器11内的数据，以执行电子设备1的各种功能和处理数据。

所述总线可以是外设部件互连标准(peripheral component interconnect，简称PCI)总线或扩展工业标准结构(extended industry standard architecture，简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器11以及至少一个处理器10等之间的连接通信。

图3仅示出了具有部件的电子设备，本领域技术人员可以理解的是，图2示出的结构并不构成对所述电子设备1的限定，可以包括比图示更少或者更多的部件，或者组合某些部件，或者不同的部件布置。

例如，尽管未示出，所述电子设备1还可以包括给各个部件供电的电源(比如电池)，优选地，电源可以通过电源管理装置与所述至少一个处理器10逻辑相连，从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备1还可以包括多种传感器、蓝牙模块、Wi-Fi模块等，在此不再赘述。

进一步地，所述电子设备1还可以包括网络接口，可选地，所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等)，通常用于在该电子设备1与其他电子设备之间建立通信连接。

可选地，该电子设备1还可以包括用户接口，用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard))，可选地，用户接口还可以是标准的有线接口、无线接口。可选地，在一些实施例中，显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode，有机发光二极管)触摸器等。其中，显示器也可以适当的称为显示屏或显示单元，用于显示在电子设备1中处理的信息以及用于显示可视化的用户界面。

应该了解，所述实施例仅为说明之用，在专利申请范围上并不受此结构的限制。

所述电子设备1中的所述存储器11存储的自更新黑产特征的黑产识别程序12是多个指令的组合，在所述处理器10中运行时，可以实现：

获取已确定属于黑产的黑产行为数据；

按照预设的特征项提取出所述黑产行为数据的第一黑产特征；

构建以所述黑产行为数据所来源的黑产设备为图节点、以所述第一黑产特征为所述图节点的边的图结构信息；

基于设备与账号之间的相互关联，获取与所述图结构信息之间存在设备关联的目标行为数据；

按照所述特征项提取出所述目标行为数据的第二黑产特征，并将所述第一黑产特征以及所述第二黑产特征共同作为黑产识别的依据进行黑产识别。

具体地，所述处理器10对上述指令的具体实现方法可参考图1对应实施例中相关步骤的描述，在此不赘述。

进一步地，所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)。

在本公开所提供的几个实施例中，应该理解到，所揭露的设备，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本公开各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。

对于本领域技术人员而言，显然本公开不限于上述示范性实施例的细节，而且在不背离本公开的精神或基本特征的情况下，能够以其他的具体形式实现本公开。

因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本公开的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本公开内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。

此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称，而并不表示任何特定的顺序。

最后应说明的是，以上实施例仅用以说明本公开的技术方案而非限制，尽管参照较佳实施例对本公开进行了详细说明，本领域的普通技术人员应当理解，可以对本公开的技术方案进行修改或等同替换，而不脱离本公开技术方案的精神和范围。