搜索流量作弊行为识别方法及装置的制造方法

搜索流量作弊行为识别方法及装置的制造方法
【专利摘要】一种搜索流量作弊行为识别方法，包括：获取用户终端定期上报的用户使用的第一应用程序的程序信息与各该第一应用程序各自的使用时间信息；定期根据该第一应用程序的程序信息与各该第一应用程序各自的使用时间信息，统计设定时长内该第一应用程序的使用数量与各该第一应用程序各自的累计运行时长；应用刷量用户模型对该第一应用程序的程序信息、该设定时长内该第一应用程序的使用数量与各该第一应用程序各自的累计运行时长进行匹配，并根据匹配结果，识别该用户是否具有搜索流量作弊行为。此外，本发明还提供一种搜索流量作弊行为识别装置。上述搜索流量作弊行为识别方法及装置可有效识别搜索流量作弊行为。
【专利说明】
搜索流量作弊行为识别方法及装置
技术领域
[0001] 本发明设及计算机技术领域，尤其设及一种捜索流量作弊行为识别方法及装置。
【背景技术】
[0002] 捜索流量作弊，也叫刷量，是指通过手动或利用刷量程序模仿正常用户针对特定 查询目标（query)进行持续大量的捜索运一作弊手段，不断刷新（伪造）该查询目标的捜 索流量数据，W达到人为提高该查询目标的捜索排名的目的，从而借机牟取不法利益。
[0003] 现有的捜索流量作弊行为识别方法一般是通过统计用户对单个query的捜索次 数或者用户总捜索次数，然后将统计结果与阔值进行比较，并根据比较结果来判定该用户 是否具有捜索流量作弊行为。
[0004] 然而，随着刷量的商业化，刷量手段越发地灵活多样，用户可W通过使用多个用户 终端给单个query刷量，使得每个用户终端的检索次数减少，从而避免其捜索流量作弊行 为被识别，因而现有的捜索流量作弊行为识别方法已无法满足防刷量的要求。

【发明内容】
阳0化]有鉴于此，本发明提供一种捜索流量作弊行为识别方法及装置，可有效识别捜索 流量作弊行为。
[0006] 本发明实施例提供的一种捜索流量作弊行为识别方法，包括：
[0007] 获取用户终端定期上报的用户使用的第一应用程序的程序信息与各所述第一应 用程序各自的使用时间信息；
[0008] 定期根据所述第一应用程序的程序信息与各所述第一应用程序各自的使用时间 信息，统计设定时长内所述第一应用程序的使用数量与各所述第一应用程序各自的累计运 行时长；
[0009] 应用刷量用户模型对所述第一应用程序的程序信息、所述设定时长内所述第一应 用程序的使用数量与各所述第一应用程序各自的累计运行时长进行匹配，并根据匹配结 果，识别所述用户是否具有捜索流量作弊行为。
[0010] 本发明实施例提供的一种捜索流量作弊行为识别装置，包括：
[0011] 获取模块，用于获取用户终端定期上报的用户使用的第一应用程序的程序信息与 各所述第一应用程序各自的使用时间信息；
[0012] 统计模块，用于定期根据所述获取模块获取的所述第一应用程序的程序信息与所 述各所述第一应用程序各自的使用时间信息，统计设定时长内所述第一应用程序的使用数 量与各所述第一应用程序各自的累计运行时长；
[0013] 识别模块，用于应用刷量用户模型对所述获取模块获取的所述第一应用程序的程 序信息、所述设定时长内所述统计模块统计的所述第一应用程序的使用数量与各所述第一 应用程序各自的累计运行时长进行匹配，并根据匹配结果，识别所述用户是否具有捜索流 量作弊行为。
[0014] 本发明实施例提供的捜索流量作弊行为识别方法及装置，通过应用基于刷量用户 的特定行为特性建立的刷量用户模型，定期根据第一应用程序的程序信息W及统计得到的 设定时长内用户使用的该第一应用程序的使用数量与各该第一应用程序各自的累计运行 时长对捜索流量作弊行为进行识别，可有效解决刷量用户通过使用多个用户终端给单个查 询目标刷量的方式避免其捜索流量作弊行为被识别的问题，提高捜索流量作弊行为的识别 率。
[0015] 为让本发明的上述和其他目的、特征和优点能更明显易懂，下文特举较佳实施例， 并配合所附图式，作详细说明如下。
【附图说明】
[0016] 图1为本发明提供的一种捜索流量作弊行为识别方法及装置的应用环境示意图；
[0017] 图2示出了一种服务器的结构框图；
[0018] 图3为本发明第一实施例提供的捜索流量作弊行为识别方法的流程图；
[0019] 图4为本发明第二实施例提供的捜索流量作弊行为识别方法的流程图；
[0020] 图5为本发明第Ξ实施例提供的捜索流量作弊行为识别方法的流程图；
[0021] 图6为本发明第四实施例提供的捜索流量作弊行为识别装置的结构示意图；
[0022] 图7为本发明第五实施例提供的捜索流量作弊行为识别装置的结构示意图。
【具体实施方式】
[0023] 为更进一步阐述本发明为实现预定发明目的所采取的技术手段及功效，W下结合 附图及较佳实施例，对依据本发明的【具体实施方式】、结构、特征及其功效，详细说明如后。
[0024] 图1为本发明提供的一种捜索流量作弊行为识别方法及装置的应用环境示意图。 如图1所示，用户终端100与服务器200位于无线网络或有线网络中，通过该无线网络或有 线网络进行数据交互。
[00对用户终端100可W包括：具有网络功能的智能手机、平板电脑、电子书阅读器、MP3 播放器（Moving Pierre Experts Group Audio Layer III，动态影像专家压缩标准音频层 面 3)、MP4 (Moving Pic1:ure Experts Group Audio Layer IV，动态影像专家压缩标准音频 层面4)播放器、膝上型便携计算机、台式机计算机、车载电脑、一体机等等。
[00%] 服务器200获取用户终端100定期上报的用户使用的第一应用程序的程序信息与 各该第一应用程序各自的使用时间信息；定期根据该第一应用程序的程序信息与各该第一 应用程序各自的使用时间信息，统计设定时长内该第一应用程序的使用数量与各该第一应 用程序各自的累计运行时长；应用刷量用户模型对该第一应用程序的程序信息、该设定时 长内该第一应用程序的使用数量与各该第一应用程序各自的累计运行时长进行匹配，并根 据匹配结果，识别该用户是否具有捜索流量作弊行为。
[0027] 图2示出了一种服务器的结构框图。如图2所示，服务器200包括：存储器201、 处理器202 W及网络模块203。
[0028] 可W理解，图2所示的结构仅为示意，服务器200还可包括比图2中所示更多或者 更少的组件，或者具有与图2所示不同的配置。图2中所示的各组件可W采用硬件、软件或 其组合实现。另外，本发明实施例中的服务器还可W包括多个具体不同功能的服务器。
[0029] 存储器201可用于存储软件程序W及模块，如本发明实施例中的捜索流量作弊行 为识别方法及装置对应的程序指令/模块，处理器202通过运行存储在存储器201内的软 件程序W及模块，从而执行各种功能应用W及数据处理，即实现本发明实施例中的捜索流 量作弊行为识别方法。存储器201可包括高速随机存储器，还可包括非易失性存储器，如一 个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器201 可进一步包括相对于处理器202远程设置的存储器，运些远程存储器可W通过网络连接至 服务器200。进一步地，上述软件程序W及模块还可包括：服务模块221 W及操作系统222。 其中操作系统222,例如可为LINUX、UNIX、WINDOWS，其可包括各种用于管理系统任务（例如 内存管理、存储设备控制、电源管理等）的软件组件和/或驱动，并可与各种硬件或软件组 件相互通讯，从而提供其他软件组件的运行环境。服务模块221运行在操作系统222的基础 上，并通过操作系统222的网络服务监听来自网络的请求，根据请求完成相应的数据处理， 并返回处理结果给客户端。也就是说，服务模块221用于向客户端提供网络服务。
[0030] 网络模块203用于接收W及发送网络信号。上述网络信号可包括无线信号或者有 线信号。在一个实例中，上述网络信号为有线网络信号。此时，网络模块203可包括处理器、 随机存储器、转换器、晶体振荡器等元件。
[0031] 第一实施例
[0032] 图3为本发明第一实施例提供的捜索流量作弊行为识别方法的流程图。该方法可 通过图1所示的服务器200,实现捜索流量作弊行为识别。如图3所示，该方法包括：
[0033] 步骤S11，获取用户终端定期上报的用户使用的第一应用程序的程序信息与各该 第一应用程序各自的使用时间信息；
[0034] 用户终端100中运行有用于收集用户终端100中运行的各类应用程序的程序信息 与各该应用程序各自的使用时间信息的客户端程序。第一应用程序为用户通过用户终端 100使用（用户终端100中运行）的各类应用程序。用户终端100通过该客户端程序实时收 集该第一应用程序的程序信息与各该第一应用程序各自的使用时间信息，并定期上报服务 器200。其中，该第一应用程序的程序信息可W但不限于包括：该第一应用程序的标识信息 与版本号信息。该第一应用程序的使用时间包括：该第一应用程序每一次开始运行的时间 与结束运行的时间。可W理解地，上述使用时间不包括应用程序在后台运行的时间，例如： 当检测到应用程序进入后台运行时，用户终端100可获取该应用程序进入后台运行的时间 并记录为该应用程序结束运行的时间，当检测到该应用程序由后台转为前台运行时，用户 终端100可获取该应用程序由后台转为前台运行的时间并记录为该应用程序新一次开始 运行的时间。
[0035] 于本实施例中，用户终端100定期上报的上述信息的数据格式可如下表1所示：
[0036] 表 1
[0037]

[0038] 步骤S12,定期根据该第一应用程序的程序信息与各该第一应用程序各自的使用 时间信息，统计设定时长内该第一应用程序的使用数量与各该第一应用程序各自的累计运 行时长；
[0039] 服务器200定期汇聚获取到的所有用户使用的第一应用程序的程序信息与各该 第一应用程序各自的使用时间信息的相关数据，按照开始运行时间的先后顺序对该第一应 用程序进行排序，W确定各该第一应用程序的使用顺序及使用时间段，并统计各个用户使 用的该第一应用程序的数量W及各该第一应用程序的运行时长（将设定时长内第一应用 程序每一次结束运行的时间与开始运行的时间的差值进行累加后获得的数值）。由于数据 量巨大，服务器200优选地通过分布式计算平台化adoop)执行上述汇聚及信息统计操作， W提高数据处理效率。
[0040] 步骤S13,应用刷量用户模型对该第一应用程序的程序信息、该设定时长内该第 一应用程序的使用数量与各该第一应用程序各自的累计运行时长进行匹配，并根据匹配结 果，识别该用户是否具有捜索流量作弊行为。
[0041] 刷量用户模型可根据样本用户使用的第二应用程序的程序信息和各该第二应用 程序各自的使用时间信息建立。具体地，服务器200获取设定时长（如1天）内样本用户 使用的第二应用程序的程序信息和各该第二应用程序的使用时间信息；根据该第二应用程 序的程序信息和各该第二应用程序的使用时间信息，建立该刷量用户模型。该刷量用户模 型例如可包括：当用户在设定时长内使用指定程序的累计时长大于预设的第一数值（例如 5小时/天）时，判定该用户为具有捜索流量作弊行为的刷量用户；或者，当该设定时长内 该用户使用的该第一应用程序的使用数量小于预设的第二数值（例如5/天），且该用户使 用指定程序的累计时长大于预设的第Ξ数值时（例如2小时/天），判定该用户为具有捜索 流量作弊行为的刷量用户。其中该指定程序可W但不限于包括：可提供排行榜、点击量等数 据流量统计业务的业务程序（如：应用宝等应用市场客户端程序）W及已知的专口用于刷 量的刷量程序。上述模型基于刷量用户通常会较长时间地使用某个业务程序或刷量程序进 行捜索流量作弊的运一特定行为特性建立。
[0042] 具体地，服务器200根据该刷量用户模型，判断该第一应用程序是否包括指定程 序，且该设定时长内该指定程序的累计运行时长是否大于预设的第一数值；若该第一应用 程序包括该指定程序，且该设定时长内该指定程序的累计运行时长大于该第一数值，则判 定该用户为具有捜索流量作弊行为的刷量用户。
[0043] 或者，根据该刷量用户模型，判断该设定时长内该第一应用程序的使用数量是否 小于预设的第二数值；若该设定时长内该第一应用程序的使用数量小于该第二数值，则判 断该第一应用程序是否包括指定程序，且该指定程序的累计运行时长是否大于预设的第Ξ 数值；若该第一应用程序包括该指定程序，且该指定程序的累计运行时长大于该第Ξ数值， 则判定该用户为具有捜索流量作弊行为的刷量用户。
[0044] 本发明实施例提供的捜索流量作弊行为识别方法，通过应用基于刷量用户的特定 行为特性建立的刷量用户模型，定期根据第一应用程序的程序信息W及统计得到的设定时 长内用户使用的该第一应用程序的使用数量与各该第一应用程序各自的累计运行时长对 捜索流量作弊行为进行识别，可有效解决刷量用户通过使用多个用户终端给单个查询目标 刷量的方式避免其捜索流量作弊行为被识别的问题，提高捜索流量作弊行为的识别率。
[0045] 第二实施例
[0046] 图4为本发明第二实施例提供的捜索流量作弊行为识别方法的流程图。该方法可 通过图1所示的服务器200,实现捜索流量作弊行为识别。如图4所示，该方法包括：
[0047] 步骤S201，接收用户终端发送的设备标识信息，根据该设备标识信息为该用户终 端分配对应的身份标识； W48] 用户终端100中运行有客户端程序，用户终端100在根据用户触发的控制指令，通 过该客户端程序向服务器200请求预置的业务时，将用户终端100的设备标识信息一并发 送给服务器200。服务器200根据该设备标识信息为用户终端100分配用于识别用户终端 100的身份标识，W便用户终端100根据该身份标识上报与用户行为信息有关的数据，例如 用户使用的第一应用程序的程序信息与各该第一应用程序各自的使用时间信息等。
[0049] 步骤S202,获取样本用户使用的第二应用程序的程序信息和各该第二应用程序各 自的使用时间信息；
[0050] 服务器200获取用户终端100通过该客户端程序上报的样本用户使用的第二应用 程序的程序信息和各该第二应用程序各自的使用时间信息。其中第二应用程序为样本用户 通过用户终端100使用的各类应用程序，该第二应用程序的程序信息可W但不限于包括： 该第二应用程序的标识信息与版本号信息。各该第二应用程序各自的使用时间信息包括该 第二应用程序开始运行的时间与结束运行的时间。可W理解地，上述使用时间不包括应用 程序在后台运行的时间。服务器200可W抽取使用过该客户端程序的所有用户中符合预置 条件的预置数量的用户作为样本用户，例如：所有用户中5000名使用iphoneS的用户，所有 用户中使用该客户端程序时间最长的10000名用户，该客户端程序的所有使用者或所有注 册用户等等。
[0051] 步骤S203,根据该第二应用程序的程序信息和各该第二应用程序各自的使用时间 信息，建立刷量用户模型；
[0052] 服务器200根据之前分配给各用户终端的身份标识汇聚设定时长内（如：24小时 或1周）获取的所有样本用户使用的第二应用程序的程序信息与各该第二应用程序各自的 使用时间信息的相关数据，并按照预置的统计规则进行分析，然后根据分析结果建立刷量 用户模型。例如：统计得到设定时长内各该第二应用程序的平均运行时长（所有样本用户 使用同一个第二应用程序的总时长除W样本用户的数量）与样本用户使用第二应用程序 的平均数量（所有样本用户使用的所有第二应用程序的总数量除W样本用户的数量），根 据统计得到的上述结果数据建立该刷量用户模型，确定当用户在设定时长内使用指定程序 的累计时长大于预设的第一数值（例如5小时/天）时，判定该用户为具有捜索流量作弊 行为的刷量用户。
[0053] 可W理解地，构成刷量用户模型的数据不仅仅包括使用指定程序的时间、使用第 一应用程序的数量，还可W包括符合刷量用户的行为特性的其他数据，例如：使用指定程序 或第一应用程序的次数等等。
[0054] 由于数据量巨大，服务器200优选地通过分布式计算平台化adoop)执行上述汇聚 及信息统计操作，W提高数据处理效率。 阳化5] 步骤S204,获取该用户终端定期上报的用户使用的第一应用程序的程序信息与各 该第一应用程序各自的使用时间信息；
[0056] 可W理解地，用户终端100上报用户使用的第一应用程序的程序信息与各该第一 应用程序各自的使用时间信息的同时，将之前被分配的身份标识信息一并上报给服务器 200, W便服务器200根据该身份标识信息汇聚来自不同用户终端的第一应用程序的程序 信息与各该第一应用程序各自的使用时间信息。
[0057] 该第一应用程序为用户通过用户终端100使用（用户终端100中运行）的各类应 用程序。用户终端100通过该客户端程序实时收集该第一应用程序的程序信息与各该第一 应用程序各自的使用时间信息，并定期上报服务器200。其中，该第一应用程序的程序信息 可W但不限于包括：该第一应用程序的标识信息与版本号信息。该第一应用程序的使用时 间包括：该第一应用程序开始运行的时间与结束运行的时间。可W理解地，上述使用时间不 包括应用程序在后台运行的时间。
[0058] 步骤S205,定期根据该第一应用程序的程序信息与各该第一应用程序各自的使用 时间信息，统计设定时长内该第一应用程序的使用数量与各该第一应用程序各自的累计运 行时长；
[0059] 服务器200定期汇聚获取到的所有用户使用的第一应用程序的程序信息与各该 第一应用程序各自的使用时间信息的相关数据，按照开始运行时间的先后顺序对该第一 应用程序进行排序，W确定各该第一应用程序的使用顺序及使用时间段，并统计各个用户 使用的该第一应用程序的数量、各该第一应用程序被使用的次数，W及各该第一应用程序 的运行时长（将设定时长内第一应用程序每一次结束运行的时间与开始运行的时间的差 值进行累加后获得的数值）。由于数据量巨大，服务器200优选地通过分布式计算平台 化adoop)执行上述汇聚及信息统计操作，W提高数据处理效率。
[0060] 步骤S206,根据该刷量用户模型，判断该第一应用程序是否包括指定程序，且该设 定时长内该指定程序的累计运行时长是否大于预设的第一数值；
[0061] 本步骤即判断设定时长内用户使用指定程序的累计时间是否大于预设的第一数 值。
[0062] 步骤S207,若该第一应用程序包括该指定程序，且该设定时长内该指定程序的累 计运行时长大于该第一数值，则判定该用户为具有捜索流量作弊行为的刷量用户；
[0063] 设定时长内，若用户使用指定程序的累计时间大于预设的第一数值，则识别该用 户为具有捜索流量作弊行为的刷量用户；若该用户使用该指定程序的累计时间小于或等于 该第一数值，则判定该用户不为刷量用户。
[0064] 步骤S208,获取该刷量用户对应的用户终端的身份标识信息，将该身份标识信息 存储于刷量用户数据库；
[0065] 刷量用户数据库用于存储被识别为刷量用户的用户的身份标识信息并向外提供 刷量用户的身份标识信息查询接口。可W理解地，识别刷量用户的依据是可提供不同业务 的多个不同客户端程序上报的第一应用程序的程序信息与该各该第一应用程序各自的使 用时间信息。像运样，通过多业务共用一个刷量用户数据库，可W避免重复工作，提高识别 出的刷量用户数据的利用率。
[0066] 当用户被识别为具有捜索流量作弊行为的刷量用户时，服务器200获取之前分配 给该用户对应的用户终端的身份标识信息，并将该身份标识信息存储于该刷量用户数据 库。
[0067] 步骤S209,根据该刷量用户数据库，定期随机获取并分析抽样用户的业务操作日 志，根据分析结果验证该刷量用户模型的准确性，并根据验证结果及预置的调整规则调整 该刷量用户模型，其中该抽样用户不包括该刷量用户，该业务操作日志中记录有该抽样用 户通过该指定程序执行查询操作时使用的查询目标的信息。
[0068] 服务器200定期通过该客户端程序从所有用户中随机抽取预置数量的用户作为 抽样用户，获取该抽样用户的业务操作日志，并通过查询刷量用户数据库，过滤获取的该抽 样用户的业务操作日志中的刷量用户的业务操作日志，对过滤后剩下的其他抽样用户的业 务操作日志进行分析，W验证该刷量用户模型的准确性，并根据验证结果及预置的调整规 则调整该刷量用户模型。例如：根据该业务操作日志，分析其他抽样用户通过该指定程序执 行查询操作时使用的查询目标（query,也即，查询关键字）是否为热口查询目标，该query 的点击率（ctr)是否小于预置的阔值，W及该query是否为可疑查询目标。如果该query为 热口查询目标，且非可疑查询目标，但该query的点击率小于预置的阔值，则确定该query 为可疑查询目标，该刷量用户模型的准确性有问题，需要调整。于是，根据预置的调整规则， 提高该刷量用户模型中的第一数值，如：将原来的当设定时长内用户使用指定程序的累计 时长大于5小时时，判定该用户为具有捜索流量作弊行为的刷量用户，调整为当设定时长 内用户使用指定程序的累计时长大于6小时时，判定该用户为具有捜索流量作弊行为的刷 量用户。像运样，通过分析不包含刷量用户在内的其他抽样用户的业务操作日志，并根据分 析结果与预置的调整规则动态调整刷量用户模型，可W进一步提高刷量用户识别准确性。
[0069] 为进一步说明本实施例，举例来说，假定服务器通过应用宝客户端程序采集24小 时内1000(A1、A2……A1000)个样本用户在各自的用户终端上所使用的第二应用程序的程 序信息和各该第二应用程序各自的使用时间信息，通过根据之前分配给各用户终端的身份 标识汇聚上述信息并进行分析，得到样本用户使用应用宝客户端程序的平均时长为5小时 /天，因此确定刷量用户模型为当用户一天内使用应用宝客户端程序大于5小时时，识别该 用户为刷量用户。在刷量用户模型建立后，服务器定期根据各用户终端上报的第一应用程 序的程序信息与该各该第一应用程序各自的使用时间信息，统计设定时长（24小时）内该 第一应用程序的使用数量与各该第一应用程序各自的累计运行时长，并应用该刷量用户模 型，对统计获得数据进行匹配，假设经过统计有用户A1在24小时内累计使用应用宝客户端 程序的时间为10小时，则识别用户A为刷量用户，并将用户A对应的用户终端的身份标识 信息存储在刷量用户数据库中。此外，服务器定期根据刷量用户数据库中记录的数据随机 抽取除样本用户A1 W外的500个用户作为抽样用户，获取该500个抽样用户各自对应的用 户终端中运行的应用宝客户端程序的业务操作日志并进行分析，W验证该刷量用户模型的 准确性，然后当验证出该刷量用户模型的准确性存在问题时，根据预置的调整规则动态调 整该刷量用户模型。
[0070] 本发明实施例提供的捜索流量作弊行为识别方法，通过应用基于刷量用户的特定 行为特性建立的刷量用户模型，定期根据第一应用程序的程序信息W及统计得到的设定时 长内用户使用的该第一应用程序的使用数量与各该第一应用程序各自的累计运行时长对 捜索流量作弊行为进行识别，可有效解决刷量用户通过使用多个用户终端给单个查询目标 刷量的方式避免其捜索流量作弊行为被识别的问题，提高捜索流量作弊行为的识别率。
[0071] 第Ξ实施例
[0072] 图5为本发明第Ξ实施例提供的捜索流量作弊行为识别方法的流程图。该方法可 通过图1所示的服务器200,实现捜索流量作弊行为识别。如图5所示，该方法包括：
[0073] 步骤S301，接收用户终端发送的设备标识信息，根据该设备标识信息为该用户终 端分配对应的身份标识；
[0074] 步骤S302,获取样本用户使用的第二应用程序的程序信息和各该第二应用程序各 自的使用时间信息；
[00巧]步骤S301与步骤S302具体可参考第二实施例的相关内容，此处不再寶述。
[0076] 步骤S303,根据该第二应用程序的程序信息和各该第二应用程序各自的使用时间 信息，建立刷量用户模型；
[0077] 服务器200根据之前分配给各用户终端的身份标识汇聚设定时长内（如：24小时 或1周）获取的所有样本用户使用的第二应用程序的程序信息与各该第二应用程序各自的 使用时间信息的相关数据，并按照预置的统计规则进行分析，然后根据分析结果建立刷量 用户模型。例如：统计得到设定时长内各该第二应用程序的平均运行时长（所有样本用户 使用同一种第二应用程序的总时长除W样本用户的数量）与样本用户使用第二应用程序 的平均数量（所有样本用户使用的所有第二应用程序的总数量除W样本用户的数量），根 据统计得到的上述结果数据建立该刷量用户模型，确定设定时长内当用户使用的该第一应 用程序的使用数量小于预设的第二数值（例如5/天），且该用户使用指定程序的累计时长 大于预设的第Ξ数值时（例如2小时/天），判定该用户为具有捜索流量作弊行为的刷量用 户。其中该指定程序可W但不限于包括：可提供排行榜、点击量等数据流量统计业务的业务 程序（如：应用宝等应用市场客户端程序）化及已知的专口用于刷量的刷量程序。
[0078] 可W理解地，构成刷量用户模型的数据不仅仅包括使用指定程序的时间、使用第 一应用程序的数量，还可W包括符合刷量用户的行为特性的其他数据，例如：使用指定程序 或第一应用程序的次数等等。
[0079] 步骤S304,获取该用户终端定期上报的用户使用的第一应用程序的程序信息与各 该第一应用程序各自的使用时间信息；
[0080] 步骤S305,定期根据该第一应用程序的程序信息与该各该第一应用程序各自的使 用时间信息，统计该设定时长内该第一应用程序的使用数量与各该第一应用程序各自的累 计运行时长；
[0081] 步骤S304与步骤S305具体可参考第二实施例的相关内容，此处不再寶述。
[0082] 步骤S306,根据该刷量用户模型，判断该设定时长内该第一应用程序的使用数量 是否小于预设的第二数值；
[0083] 步骤S307,若该设定时长内该第一应用程序的使用数量小于该第二数值，则判断 该第一应用程序是否包括指定程序，且该设定时长内该指定程序的累计运行时长是否大于 预设的第Ξ数值；
[0084] 步骤S306至步骤S307即判断设定时长内用户使用的第一应用程序的数量是否小 于预设的第二数值，且该用户累计使用该指定程序的时间是否大于预设的第Ξ数值。
[0085] 步骤S308,若该第一应用程序包括该指定程序，且该设定时长内该指定程序的累 计运行时长大于该第Ξ数值，则判定该用户为具有捜索流量作弊行为的刷量用户；
[0086] 当设定时长内用户使用第一应用程序的数量小于预设的第二数值，且该用户累计 使用指定程序的时间大于预设的第Ξ数值时，识别该用户为具有捜索流量作弊行为的刷量 用户；否则，判定该用户不为该刷量用户。
[0087] 步骤S309,获取该刷量用户对应的用户终端的身份标识信息，将该身份标识信息 存储于刷量用户数据库；
[0088] 步骤S310,根据该刷量用户数据库，定期随机获取并分析抽样用户的业务操作日 志，根据分析结果验证该刷量用户模型的准确性，并根据验证结果及预置的调整规则调整 该刷量用户模型，其中该抽样用户不包括该刷量用户，该业务操作日志中记录有该抽样用 户通过该指定程序执行查询操作时使用的查询目标的信息。
[0089] 步骤S309与步骤S310具体可参考第二实施例的相关内容，此处不再寶述。
[0090] 本发明实施例提供的捜索流量作弊行为识别方法，通过应用基于刷量用户的特定 行为特性建立的刷量用户模型，定期根据第一应用程序的程序信息w及统计得到的设定时 长内用户使用的该第一应用程序的使用数量与各该第一应用程序各自的累计运行时长对 捜索流量作弊行为进行识别，可有效解决刷量用户通过使用多个用户终端给单个查询目标 刷量的方式避免其捜索流量作弊行为被识别的问题，提高捜索流量作弊行为的识别率。 阳0川第四实施例
[0092] 图6为本发明第四实施例提供的捜索流量作弊行为识别装置的结构示意图。本实 施例提供的捜索流量作弊行为识别装置可W运行于图1所示的服务器200中，用于实现上 述实施例中的捜索流量作弊行为识别方法。如图6所示，捜索流量作弊行为识别装置40包 括：
[0093] 获取模块41，用于获取用户终端定期上报的用户使用的第一应用程序的程序信息 与各该第一应用程序各自的使用时间信息；
[0094] 统计模块42,用于定期根据获取模块41获取的该第一应用程序的程序信息与该 各该第一应用程序各自的使用时间信息，统计设定时长内该第一应用程序的使用数量与各 该第一应用程序各自的累计运行时长；
[0095] 识别模块43,用于应用刷量用户模型对获取模块41获取的该第一应用程序的程 序信息、统计模块42统计的该预置时长内该第一应用程序的使用数量与各该第一应用程 序各自的累计运行时长进行匹配，并根据匹配结果，识别该用户是否具有捜索流量作弊行 为。
[0096] 本实施例对捜索流量作弊行为识别装置40的各功能模块实现各自功能的具体过 程，请参见上述图1至图5所示实施例中描述的具体内容，此处不再寶述。
[0097] 本发明第四实施例提供的捜索流量作弊行为识别装置，通过应用基于刷量用户的 特定行为特性建立的刷量用户模型，定期根据第一应用程序的程序信息W及统计得到的设 定时长内用户使用的该第一应用程序的使用数量与各该第一应用程序各自的累计运行时 长对捜索流量作弊行为进行识别，可有效解决刷量用户通过使用多个用户终端给单个查询 目标刷量的方式避免其捜索流量作弊行为被识别的问题，提高捜索流量作弊行为的识别 率。
[0098] 第五实施例
[0099] 图7为本发明第五实施例提供的捜索流量作弊行为识别装置的结构示意图。本实 施例提供的捜索流量作弊行为识别装置可W运行于图1所示的服务器200中，用于实现上 述实施例中的捜索流量作弊行为识别方法。如图7所示，捜索流量作弊行为识别装置50包 括： 阳100] 获取模块41，用于获取用户终端定期上报的用户使用的第一应用程序的程序信息 与各该第一应用程序各自的使用时间信息； 阳101] 统计模块42,用于定期根据获取模块41获取的该第一应用程序的程序信息与该 各该第一应用程序各自的使用时间信息，统计设定时长内该第一应用程序的使用数量与各 该第一应用程序各自的累计运行时长； 阳102] 识别模块43,用于应用刷量用户模型对获取模块41获取的该第一应用程序的程 序信息、统计模块42统计的该预置时长内该第一应用程序的使用数量与各该第一应用程 序各自的累计运行时长进行匹配，并根据匹配结果，识别该用户是否具有捜索流量作弊行 为。 阳103] 进一步地，捜索流量作弊行为识别装置50还包括：
[0104] 分配模块51，用于接收该用户终端发送的设备标识信息，根据该设备标识信息为 该用户终端分配对应的身份标识。
[01化]进一步地，获取模块41，还用于获取样本用户使用的第二应用程序的程序信息和 各该第二应用程序各自的使用时间信息； 阳106] 捜索流量作弊行为识别装置50还包括： 阳107] 建立模块52,用于根据该第二应用程序的程序信息和各该第二应用程序各自的使 用时间信息，建立该刷量用户模型。
[0108] 进一步地，识别模块43包括：
[0109] 判断单元431，用于根据该刷量用户模型，判断该第一应用程序是否包括指定程 序，且该设定时长内该指定程序的累计运行时长是否大于预设的第一数值；
[0110] 识别单元432,用于若该第一应用程序包括该指定程序，且该设定时长内该指定程 序的运行时长大于该第一数值，则判定该用户为具有捜索流量作弊行为的刷量用户； 阳111] 判断单元431，还用于根据该刷量用户模型，判断该设定时长内该第一应用程序的 使用数量是否小于预设的第二数值；
[0112] 判断单元431，还用于若该设定时长内该第一应用程序的使用数量小于该第二数 值，则判断该第一应用程序是否包括指定程序，且该设定时长内该指定程序的累计运行时 长是否大于预设的第Ξ数值；
[0113] 识别单元432,还用于若该第一应用程序包括该指定程序，且该设定时长内该指定 程序的运行时长大于该第Ξ数值，则判定该用户为具有捜索流量作弊行为的刷量用户。
[0114] 进一步地，捜索流量作弊行为识别装置50还包括：
[0115] 存储模块53,用于获取该刷量用户对应的用户终端的身份标识信息，将该身份标 识信息存储于刷量用户数据库。
[0116] 进一步地，获取模块41，还用于根据该刷量用户数据库，定期随机获取抽样用户的 业务操作日志，其中该抽样用户不包括该刷量用户，该业务操作日志中记录有该抽样用户 通过该指定程序执行查询操作时使用的查询目标的信息；
[0117] 捜索流量作弊行为识别装置50还包括：
[0118] 验证模块54,用于分析获取模块41获取的该抽样用户的业务操作日志，并根据分 析结果验证该刷量用户模型的准确性；
[0119] 调整模块55,用于根据验证模块54的验证结果及预置的调整规则调整该刷量用 户模型。
[0120] 进一步地，该第一应用程序的程序信息包括：该第一应用程序的程序信息包括： 该第一应用程序的标识信息与版本号信息，该第二应用程序的程序信息包括：该第二应用 程序的标识信息与版本号信息。 阳121] 本实施例对捜索流量作弊行为识别装置50的各功能模块实现各自功能的具体过 程，请参见上述图1至图5所示实施例中描述的具体内容，此处不再寶述。
[0122] 本发明第五实施例提供的捜索流量作弊行为识别装置，通过应用基于刷量用户的 特定行为特性建立的刷量用户模型，定期根据第一应用程序的程序信息W及统计得到的设 定时长内用户使用的该第一应用程序的使用数量与各该第一应用程序各自的累计运行时 长对捜索流量作弊行为进行识别，可有效解决刷量用户通过使用多个用户终端给单个查询 目标刷量的方式避免其捜索流量作弊行为被识别的问题，提高捜索流量作弊行为的识别 率。
[0123] 需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重 点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。 对于装置类实施例而言，由于其与方法实施例基本相似，所W描述的比较简单，相关之处参 见方法实施例的部分说明即可。
[0124] 需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实 体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示运些实体或操作之间存 在任何运种实际的关系或者顺序。而且，术语"包括"、"包含"或者其任何其他变体意在涵 盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要 素，而且还包括没有明确列出的其他要素，或者是还包括为运种过程、方法、物品或者装置 所固有的要素。在没有更多限制的情况下，由语句"包括一个……"限定的要素，并不排除 在包括要素的过程、方法、物品或者装置中还存在另外的相同要素。
[01巧]本领域普通技术人员可W理解实现上述实施例的全部或部分步骤可W通过硬件 来完成，也可W通过程序来指令相关的硬件完成，的程序可W存储于一种计算机可读存储 介质中，上述提到的存储介质可W是只读存储器，磁盘或光盘等。
[01%] W上，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，虽然本 发明已W较佳实施例掲露如上，然而并非用W限定本发明，任何熟悉本专业的技术人员，在 不脱离本发明技术方案范围内，当可利用上述掲示的技术内容做出些许更动或修饰为等同 变化的等效实施例，但凡是未脱离本发明技术方案内容，依据本发明的技术实质对W上实 施例所作的任何简单修改、等同变化与修饰，均仍属于本发明技术方案的范围内。
【主权项】
1. 一种搜索流量作弊行为识别方法，其特征在于，所述方法包括： 获取用户终端定期上报的用户使用的第一应用程序的程序信息与各所述第一应用程 序各自的使用时间信息； 定期根据所述第一应用程序的程序信息与各所述第一应用程序各自的使用时间信息， 统计设定时长内所述第一应用程序的使用数量与各所述第一应用程序各自的累计运行时 长； 应用刷量用户模型对所述第一应用程序的程序信息、所述设定时长内所述第一应用程 序的使用数量与各所述第一应用程序各自的累计运行时长进行匹配，并根据匹配结果，识 别所述用户是否具有搜索流量作弊行为。2. 根据权利要求1所述的方法，其特征在于，所述获取用户终端定期上报的用户使用 的第一应用程序的程序信息与各所述第一应用程序各自的使用时间信息之前，包括： 接收所述用户终端发送的设备标识信息，根据所述设备标识信息为所述用户终端分配 对应的身份标识。3. 根据权利要求2所述的方法，其特征在于，所述获取用户终端定期上报的用户使用 的第一应用程序的程序信息与各所述第一应用程序各自的使用时间信息之前，包括： 获取样本用户使用的第二应用程序的程序信息和各所述第二应用程序各自的使用时 间信息； 根据所述第二应用程序的程序信息和各所述第二应用程序各自的使用时间信息，建立 所述刷量用户模型。4. 根据权利要求2所述的方法，其特征在于，所述应用刷量用户模型对所述第一应用 程序的程序信息、所述设定时长内所述第一应用程序的使用数量与各所述第一应用程序各 自的累计运行时长进行匹配，并根据匹配结果，识别所述用户是否具有搜索流量作弊行为， 包括： 根据所述刷量用户模型，判断所述第一应用程序是否包括指定程序，且所述设定时长 内所述指定程序的累计运行时长是否大于预设的第一数值； 若所述第一应用程序包括所述指定程序，且所述设定时长内所述指定程序的运行时长 大于所述第一数值，则判定所述用户为具有搜索流量作弊行为的刷量用户。5. 根据权利要求2所述的方法，其特征在于，所述应用刷量用户模型对所述第一应用 程序的程序信息、所述设定时长内所述第一应用程序的使用数量与各所述第一应用程序各 自的累计运行时长进行匹配，并根据匹配结果，识别所述用户是否具有搜索流量作弊行为， 还包括： 根据所述刷量用户模型，判断所述设定时长内所述第一应用程序的使用数量是否小于 预设的第二数值； 若所述设定时长内所述第一应用程序的使用数量小于所述第二数值，则判断所述第一 应用程序是否包括指定程序，且所述设定时长内所述指定程序的累计运行时长是否大于预 设的第三数值； 若所述第一应用程序包括所述指定程序，且所述设定时长内所述指定程序的运行时长 大于所述第三数值，则判定所述用户为具有搜索流量作弊行为的刷量用户。6. 根据权利要求3至5的任一项所述的方法，其特征在于，所述根据匹配结果，识别所 述用户是否具有搜索流量作弊行为之后，包括： 获取所述刷量用户对应的用户终端的身份标识信息，将所述身份标识信息存储于刷量 用户数据库。7. 根据权利要求6所述的方法，其特征在于，所述方法还包括： 根据所述刷量用户数据库，定期随机获取并分析抽样用户的业务操作日志，其中所述 抽样用户不包括所述刷量用户，所述业务操作日志中记录有所述抽样用户通过所述指定程 序执行查询操作时使用的查询目标的信息； 根据分析结果验证所述刷量用户模型的准确性，并根据验证结果及预置的调整规则调 整所述刷量用户模型。8. 根据权利要求7所述的方法，其特征在于，所述第一应用程序的程序信息包括：所述 第一应用程序的标识信息与版本号信息，所述第二应用程序的程序信息包括：所述第二应 用程序的标识信息与版本号信息。9. 一种搜索流量作弊行为识别装置，其特征在于，所述装置包括： 获取模块，用于获取用户终端定期上报的用户使用的第一应用程序的程序信息与各所 述第一应用程序各自的使用时间信息； 统计模块，用于定期根据所述获取模块获取的所述第一应用程序的程序信息与所述各 所述第一应用程序各自的使用时间信息，统计设定时长内所述第一应用程序的使用数量与 各所述第一应用程序各自的累计运行时长； 识别模块，用于应用刷量用户模型对所述获取模块获取的所述第一应用程序的程序信 息、所述设定时长内所述统计模块统计的所述第一应用程序的使用数量与各所述第一应用 程序各自的累计运行时长进行匹配，并根据匹配结果，识别所述用户是否具有搜索流量作 弊行为。10. 根据权利要求9所述的装置，其特征在于，所述装置还包括： 分配模块，用于接收所述用户终端发送的设备标识信息，根据所述设备标识信息为所 述用户终端分配对应的身份标识。11. 根据权利要求10所述的装置，其特征在于， 所述获取模块，还用于获取样本用户使用的第二应用程序的程序信息和各所述第二应 用程序各自的使用时间信息； 所述装置还包括： 建立模块，用于根据所述第二应用程序的程序信息和各所述第二应用程序各自的使用 时间信息，建立所述刷量用户模型。12. 根据权利要求10所述的装置，其特征在于，所述识别模块包括： 判断单元，用于根据所述刷量用户模型，判断所述第一应用程序是否包括指定程序，且 所述设定时长内所述指定程序的累计运行时长是否大于预设的第一数值； 识别单元，用于若所述第一应用程序包括所述指定程序，且所述设定时长内所述指定 程序的运行时长大于所述第一数值，则判定所述用户为具有搜索流量作弊行为的刷量用 户； 所述判断单元，还用于根据所述刷量用户模型，判断所述设定时长内所述第一应用程 序的使用数量是否小于预设的第二数值； 所述判断单元，还用于若所述设定时长内所述第一应用程序的使用数量小于所述第二 数值，则判断所述第一应用程序是否包括指定程序，且所述设定时长内所述指定程序的累 计运行时长是否大于预设的第三数值； 所述识别单元，还用于若所述第一应用程序包括所述指定程序，且所述设定时长内所 述指定程序的运行时长大于所述第三数值，则判定所述用户为具有搜索流量作弊行为的刷 量用户。13. 根据权利要求12所述的装置，其特征在于，所述装置还包括： 存储模块，用于获取所述刷量用户对应的用户终端的身份标识信息，将所述身份标识 信息存储于刷量用户数据库。14. 根据权利要求13所述的装置，其特征在于， 所述获取模块，还用于根据所述刷量用户数据库，定期随机获取抽样用户的业务操作 日志，其中所述抽样用户不包括所述刷量用户，所述业务操作日志中记录有所述抽样用户 通过所述指定程序执行查询操作时使用的查询目标的信息； 所述装置还包括： 验证模块，用于分析所述获取模块获取的所述抽样用户的业务操作日志，并根据分析 结果验证所述刷量用户模型的准确性； 调整模块，用于根据所述验证模块的验证结果及预置的调整规则调整所述刷量用户模 型。15. 根据权利要求9至14的任一项所述的装置，其特征在于，所述第一应用程序的程序 信息包括：所述第一应用程序的标识信息与版本号信息，所述第二应用程序的程序信息包 括：所述第二应用程序的标识信息与版本号信息。
【文档编号】G06F17/30GK105824834SQ201510006158
【公开日】2016年8月3日
【申请日】2015年1月6日
【发明人】刘杰
【申请人】腾讯科技（深圳）有限公司