IDENTIFYING COORDINATED MALICIOUS ACTIVITIES USING SEQUENCES OF REQUESTS

Embodiments of the disclosed technologies create a term frequency-inverse document frequency (tf-idf) model of interactions of user accounts with an online system, and, using the tf-idf model, identify a subset of the user accounts as being involved in a malicious use of the online system. The tf-idf model is created by, for a user account, storing a sequence of requests received by the online system from the user account over a time interval as a document, where a request includes a digital communication from the user account to the online system, and generating a feature embedding for the sequence of requests, where the feature embedding is based on a relationship between a frequency of occurrence of a request in the document and a number of documents that include the request. Des modes de réalisation des technologies décrites créent un modèle de fréquence de terme-fréquence inverse de document (tf-idf) d'interactions de comptes d'utilisateur avec un système en ligne, et, à l'aide du modèle de tf-idf, identifient qu'un sous-ensemble des comptes d'utilisateur est impliqué dans une utilisation malveillante du système en ligne. Le modèle de tf-idf est créé en stockant, pour un compte d'utilisateur, une séquence de demandes reçues par le système en ligne à partir du compte d'utilisateur sur un intervalle de temps en tant que document, une demande comprenant une communication numérique du compte d'utilisateur au système en ligne, et la génération d'un plongement de caractéristiques pour la séquence de demandes, le plongement de caractéristiques étant basé sur une relation entre une fréquence d'occurrence d'une demande dans le document et un nombre de documents qui comprennent la demande.