技术特征:
1.一种应用客户端非法用户检测方法,其中包括:检测安装于用户终端的目标应用是否运行;响应于目标应用运行,按照检测策略对所述用户终端进行检测以获得应用客户端检测结果,其中,所述的检测策略中包括多种检测项;以及分析所述应用客户端检测结果以确定当前用户是否为非法用户。2.根据权利要求1所述的方法,其中在所述检测策略中对所述用户终端设置的检测包括:检测当前用户终端设备及目标应用的运行环境;以及检测用户针对目标应用的操作行为。3.根据权利要求2所述的方法,其中检测当前用户终端设备及目标应用的运行环境时进一步包括以下检测项:检测用户终端设备中是否安装有xposed框架、检测用户终端设备系统是否被root、检测目标应用是否运行于模拟器中、检测目标应用是否处于调试状态、检测目标应用是否处于多开状态、虚拟定位状态。4.根据权利要求2所述的方法,其中检测当前针对目标应用的操作行为时进一步包括以下检测项:检测用户终端设备是否使用无障碍模式和检测目标应用是否发生模拟点击事件。5.根据权利要求3或4所述的方法,其中根据检测任务每个检测项包括多个检测子项及对应的重要权重,进一步包括:在对一个检测项进行检测时,按照重要权重从大到小的顺序对多个检测子项进行检测。6.根据权利要求3或4所述的方法,其中在每个检测项检测完成时或者全部检测项检测完成时提供对应的结果回调接口。7.根据权利要求5所述的方法,其中分析所述应用客户端检测结果的步骤包括:根据检测子项的检测结果或检测结果及其重要权重计算每个检测子项的非法分数;计算每个检测项的全部检测子项非法分数的总和作为所述检测项的非法分数;基于检测项的非法分数或基于检测项的非法用户权重和非法分数计算所述用户的非法用户得分;对比所述用户的非法用户得分与第一阈值;以及响应于所述用户的非法用户得分大于或等于所述第一阈值,确定所述用户为非法用户。8.根据权利要求7所述的方法,其中检测项的非法用户权重与目标应用相匹配。9.根据权利要求7所述的方法,其中在计算所述用户的非法用户得分时,在基于检测项的非法分数或基于检测项的非法用户权重和非法分数计算得到所述用户的第一非法用户得分后,获取所述用户在一个或多个第二应用的第二非法用户得分,计算第一非法用户得分和多个第二非法用户得分得到当前的非法用户得分。10.根据权利要求7所述的方法,其中在得到每个检测项的非法分数后进一步包括:对比每个检测项的非法分数和对应所述检测项的第二阈值;以及响应于检测项的非法分数大于或等于第二阈值确定所述用户对应检测项内容的用户类别为非法用户;响应于检测项的非法分数小于第二阈值确定所述用户对应检测项内容的用户类别为正常用户。
11.根据权利要求5所述的方法,其中分析所述应用客户端检测结果的步骤包括:将检测子项的检测结果处理为特征数据;将每项检测项的检测子项对应的特征数据组合为第一预测样本;以及将每项检测项的第一预测样本输入给对应检测项的机器学习模型,所述检测项的机器学习模型预测所述用户对应检测项内容的用户类别为非法用户或正常用户。12.根据权利要求10或11所述的方法,其中,分析所述应用客户端检测结果的步骤进一步包括:以用户对应每项检测项的用户类别作为特征数据,将一个用户的全部检测项组合在一起构成第二预测样本;将所述第二预测样本输入给机器学习模型;以及所述机器学习模型基于预测样本确定所述用户的用户类别为非法用户或正常用户。13.一种应用客户端非法用户检测系统,其中包括:客户端检测模块,其位于用户终端,经配置在目标应用运行过程中按照检测策略对所述用户终端进行检测以获得应用客户端检测结果,并将检测结果发送给服务端,其中,所述的检测策略中包括多种检测项;分析模块,其位于服务端,经配置以接收所述客户端检测模块发送的应用客户端检测结果,分析所述应用客户端检测结果以确定当前用户是否为非法用户;以及通信模块,其与所述客户端检测模块和分析模块相连接,经配置以在所述客户端检测模块和分析模块之间传递数据/消息。14.根据权利要求13所述的系统,其中,所述客户端检测模块包括:多个检测单元,经配置以基于检测通知分别完成对应的检测项;检测触发单元,经配置以监测触发条件,在满足触发条件时,发出检测触发通知;以及检测协调单元,其与所述检测触发单元和多个检测单元相连接,经配置以基于来自检测触发单元的检测触发通知,根据检测策略确定的顺序分别向对应的检测单元发送检测通知。15.根据权利要求14所述的系统,其中所述多个检测单元分别用于完成以下检测项:检测用户终端设备中是否安装有xposed框架、检测用户终端设备系统是否被root、检测目标应用是否运行于模拟器中、检测目标应用是否处于调试状态、检测目标应用是否处于多开状态、检测目标应用是否处于虚拟定位状态、检测用户终端设备是否使用无障碍模式和检测目标应用是否发生模拟点击事件。16.根据权利要求14所述的系统,所述检测单元包括多个用于完成对应检测子项的检测子单元。17.根据权利要求14所述的系统,其中还进一步包括一个或多个结果回调接口,其与所述多个检测单元相连接。18.根据权利要求16所述的系统,其中所述分析模块包括:检测项分析单元,经配置以基于构成所述检测项的检测子项的检测结果确定所述用户是否为对应检测项内容的非法用户;以及用户分析单元,其与所述检测项分析单元相连接,经配置以基于每个检测项的分析结果,确定所述用户是否为非法用户。
19.根据权利要求18所述的系统,其中所述检测项分析单元包括:第一分数计算单元,经配置以根据检测子项的检测结果或检测结果及其重要权重计算每个检测子项的非法分数;以及第二分数计算单元,其与所述第一分数计算单元相连接,经配置以计算每个检测项的全部检测子项非法分数的总和作为所述检测项的非法分数。20.根据权利要求19所述的系统,其中所述用户分析单元包括:第三分数计算单元,经配置以基于检测项的非法分数或基于检测项的非法用户权重和非法分数计算所述用户的非法用户得分;第一结果确认单元,其与所述第三分数计算单元相连接,经配置以对比所述用户的非法用户得分与第一阈值;响应于所述用户的非法用户得分是否大于或等于所述第一阈值,确定所述用户是否为非法用户。21.根据权利要求19所述的系统,所述检测项分析单元还包括第二结果确认单元,其与所述第二分数计算单元相连接,经配置以对比每个检测项的非法分数和对应所述检测项的第二阈值;响应于检测项的非法分数大于或等于第二阈值确定所述用户对应检测项内容的用户类别为非法用户,响应于检测项的非法分数小于第二阈值确定所述用户对应检测项内容的用户类别为正常用户。22.根据权利要求18所述的系统,其中所述检测项分析单元包括:第一特征值计算单元,经配置以根据检测子项的检测结果确定所述检测子项的特征数据;第一预测样本生成单元,其与第一特征值计算单元相连接,经配置以将每项检测项的检测子项对应的特征数据组合为第一预测样本;以及第一预测单元,其与所述第一预测样本生成单元相连接,经配置将每项检测项的预测样本输入给对应检测项的机器学习模型,由所述检测项的机器学习模型确定所述用户对应检测项内容的用户类别为非法用户或正常用户。23.根据权利要求21或22所述的系统,其中所述用户分析单元包括:第二特征值计算单元,经配置以用户对应每项检测项的用户类别作为特征数据;第二预测样本生成单元,其与第二特征值计算单元相连接,经配置以将每个用户的所有检测项对应的特征数据组合为第二预测样本;以及第二预测单元,其与所述第二预测样本生成单元相连接,经配置将每个用户的第二预测样本输入给机器学习模型,由所述机器学习模型预测得到的每个用户的用户类别为非法用户或正常用户。
技术总结
本发明涉及一种应用客户端非法用户检测方法和系统,其中所述方法包括:检测安装于用户终端的目标应用是否运行;响应于目标应用运行,按照检测策略对所述用户终端进行检测以获得应用客户端检测结果,其中,所述的检测策略中包括多种检测项;以及分析所述应用客户端检测结果以确定当前用户是否为非法用户。所述系统包括客户端检测模块、分析模块和通信模块。本发明通过全面地检测和分析提高非法用户识别的准确度。别的准确度。别的准确度。
技术研发人员:宋润强
受保护的技术使用者:山东赤子城网络技术有限公司
技术研发日:2022.02.28
技术公布日:2022/7/1