一种应用程序的反作弊方法和相关系统的制作方法

一种应用程序的反作弊方法和相关系统的制作方法
【专利摘要】本发明实施例公开了一种应用程序的反作弊方法和相关系统，用于对抗作弊者针对应用程序的作弊行为，误判的风险小。本发明实施例方法包括：获取在预置时间段内多个用户分别操作应用程序的操作数据；根据各个用户的操作数据提取各个用户与预置的反作弊分析维度相适配的属性信息；根据各个用户的属性信息将所述多个用户划分为恶意用户、非恶意用户；根据被划分为恶意用户的数量对所述应用程序进行数据清理。
【专利说明】一种应用程序的反作弊方法和相关系统

【技术领域】
[0001]本发明涉及计算机【技术领域】，尤其涉及一种应用程序的反作弊方法和相关系统。

【背景技术】
[0002]目前手机终端上安装的应用程序诸如即时聊天软件、游戏软件、视频通话软件越来越多，而各种安装排行榜、热门应用排行榜就开始对各种类型的应用程序进行排名以方便用户的下载，用户该下载哪款应用程序通常会参考各种应用程序的排行榜。有些应用厂商为了增加某应用程序的下载，会使用某些恶意工具对应用程序进行作弊，例如应用程序刷票，通过利用大量虚假账户安装应用程序或者提高评分从而达到提高在排行榜中的排名。另外如果有些用户遭受网络攻击也会对应用程序刷票。
[0003]为了对应用程序刷票，现有技术中存在两种针对应用程序的反作弊方法:
[0004]第一种是调整排名算法，即监控排行榜的排名，若应用程序在短时间内排名提升很快，判定应用程序作弊后，会取消应用程序的某些排名因子，以改变应用程序的排名方法。
[0005]第二种是监控用户来源的网络互连地址(IP, Internet Protocol)和应用程序的评分变化，即如果有大量用户来自同一个IP地址且短时间内出现大量安装操作、较高评分等行为，就判定应用程序作弊，对该应用程序进行惩罚。
[0006]但是本发明的发明人在实现本发明的过程中发现:现有的第一种调整排名算法，算法调整难度很大，需要折中考虑公平性和有效性，并且某些排名因子难以避免(例如评定一款应用程序的热门程度，安装量和用户评分都是重要的维度)，调整排名算法不具有可行性；而且调整排名算法的调整将会影响到排行榜中所有的应用程序，可能会带来部分开发者的质疑甚至强烈反对。现有的第二种监控IP和评分变化的方法，若作弊者调整评分的频率，甚至加入部分中评差评，则这种监控评分变化的方法就会失效；另外这种监控IP和评分变化的方法存在误判的风险比较大，例如:学生、公司职员多数情况下会使用企业内部的公共网络来安装应用程序和对应用程序进行评分，可能使用公用无线网络(Wifi，wirelessfidelity),而目前普遍使用NAT (Network Address Translat1n,网络地址转换)技术,所以用户在公共wifi环境中的对外IP是一样的，而这些IP的安装量、评分次数若偏高，易被监控判为应用程序作弊；又如对于热门应用程序，或者应用程序在其它渠道进行了推广，该应用程序可能在短时间内出现安装量暴涨、大量好评等现象，这也会被监控判为应用程序作弊。此外，现有的监控IP和评分变化的方法无法解决来自竞争对手的攻击行为，例如应用A的竞争对手B使用恶意工具，对应用A发起攻击，把A的安装量刷高，这时监控就会对A进行处罚，而这会引起该开发者的强烈抗议。


【发明内容】

[0007]本发明实施例提供了一种应用程序的反作弊方法和相关系统，用于对抗作弊者针对应用程序的作弊行为，误判的风险小。
[0008]为解决上述技术问题，本发明实施例提供以下技术方案:
[0009]第一方面，本发明实施例提供一种移动设备的帧率探测方法，包括:
[0010]获取在预置时间段内多个用户分别操作应用程序的操作数据；
[0011]根据各个用户的操作数据提取各个用户与预置的反作弊分析维度相适配的属性信息；
[0012]根据各个用户的属性信息将所述多个用户划分为恶意用户、非恶意用户；
[0013]根据被划分为恶意用户的数量对所述应用程序进行数据清理。
[0014]第二方面，本发明实施例还提供一种应用程序的反作弊系统，包括:
[0015]获取模块，用于获取在预置时间段内多个用户分别操作应用程序的操作数据；
[0016]属性提取模块，用于根据各个用户的操作数据提取各个用户与预置的反作弊分析维度相适配的属性信息；
[0017]用户划分模块，用于根据各个用户的属性信息将所述多个用户划分为恶意用户、非恶意用户；
[0018]清理模块，用于根据被划分为恶意用户的数量对所述应用程序进行数据清理。
[0019]从以上技术方案可以看出，本发明实施例具有以下优点:
[0020]在本发明实施例中，应用程序的反作弊系统首先获取到针对一个应用程序的多个用户实施的操作数据，然后基于预置的反作弊分析维度，根据获取到的各个用户的操作数据提取出用户的属性信息，然后根据各个用户的属性信息将多个用户划分为恶意用户和非恶意用户，根据被划分为恶意用户的数量对所述应用程序进行数据清理。本发明实施例中被提取出的用户属性与反作弊分析维度相适配，通过反作弊分析维度的设定根据用户的属性信息将用户划分为恶意用户和非恶意用户，并且可以针对恶意用户对应用程序进行数据清理。本发明实施例从作弊者针对应用程序的作弊行为本身入手，找出其存在的恶意用户，可以有效对抗作弊者的作弊行为，误判的风险小，使应用程序中的恶意用户数量得到有效清理。

【专利附图】

【附图说明】
[0021]为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的技术人员来讲，还可以根据这些附图获得其他的附图。
[0022]图1为本发明实施例提供的一种应用程序的反作弊方法的流程方框示意图；
[0023]图2为本发明实施例中应用程序的反作弊系统的实现框架说明示意图；
[0024]图3_a为本发明实施例提供的一种应用程序的反作弊系统的组成结构示意图；
[0025]图3_b为本发明实施例提供的一种属性提取模块的组成结构示意图；
[0026]图3-c为本发明实施例提供的一种用户划分模块的组成结构示意图；
[0027]图3-d为本发明实施例提供的另一种用户划分模块的组成结构示意图；
[0028]图3_e为本发明实施例提供的另一种用户划分模块的组成结构示意图；
[0029]图3_f为本发明实施例提供的另一种属性提取模块的组成结构示意图；
[0030]图3_g为本发明实施例提供的另一种用户划分模块的组成结构示意图；
[0031]图3_h为本发明实施例提供的另一种应用程序的反作弊系统的组成结构示意图。

【具体实施方式】
[0032]本发明实施例提供了一种应用程序的反作弊方法和相关系统，用于对抗作弊者针对应用程序的作弊行为，误判的风险小。
[0033]为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部实施例。基于本发明中的实施例，本领域的技术人员所获得的所有其他实施例，都属于本发明保护的范围。
[0034]本发明的说明书和权利要求书术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，以便包含一系列单元的过程、方法、系统、产品或设备不必限于那些单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。
[0035]以下分别进行详细说明。
[0036]本发明应用程序的反作弊方法的一个实施例，可以包括:获取在预置时间段内多个用户分别操作应用程序的操作数据；根据各个用户的操作数据提取各个用户与预置的反作弊分析维度相适配的属性信息；根据各个用户的属性信息将上述多个用户划分为恶意用户、非恶意用户；根据被划分为恶意用户的数量对上述应用程序进行数据清理。
[0037]请参阅图1所示，本发明一个实施例提供的应用程序的反作弊方法，可以包括如下步骤:
[0038]101、获取在预置时间段内多个用户分别操作应用程序的操作数据。
[0039]在本发明实施例中，应用程序的反作弊系统(以下可简称为“反作弊系统”)用于监测应用程序的安装排行榜和人们应用排行榜，侦测出排行榜中作弊者对应用程序的作弊行为，然后自动进行数据清理，以有效保护平台的公平性。
[0040]本发明实施例中，反作弊系统可以同时监测在排行榜排名的多个应用程序，接下来以反作弊系统对其中某一款应用程序进行反作弊为例进行说明，当需要同时监测多个应用程序时同样可以按照本发明实施例中描述的反作弊方法同时针对各个应用程序执行即可。首先反作弊系统预先设定一个时间段，然后获取这个时间段内所有用户对应用程序的操作数据，其中，操作数据指的是用户在操作应用程序时该用户在该应用程序中留下的操作记录。
[0041]对操作数据的举例说明如下:操作数据具体可以包括:操作应用程序的操作时间、应用程序的身份识别码(ID，Identity)、操作应用程序的操作平台、操作应用程序的用户ID、操作应用程序的用户网络互连(IP, Internet Protocol)地址、操作应用程序的操作类型、操作应用程序的操作来源。其中，操作时间指的是用户何时操作了该应用程序，可以以年月日时间点的方式来表示，例如2013年5月I日下午2:30用户登录了应用程序就可以记录下这个时间作为操作时间；应用程序的ID是多个应用程序之间为了相互区分用ID号的形式来表示某一个特指的应用程序，例如，某一款聊天工具用ID为27592表示，某一款游戏软件用28764表示；操作平台指的是以什么形式来操作应用程序，具体可以指的是通过QQ空间、微博、邮件等，通过对多个用户使用的操作平台的监控可以从一定程度上反映出某一些用户是否具有恶意行为；用户ID可以唯一的标识一个用户对应的账户，例如用户ID可以是用户的QQ号码、邮件地址、手机号码等；操作类型指的是用户怎样使用应用程序，比如安装应用程序，登录应用程序、对应用程序发起邀请、对应用程序进行评价等等；操作应用程序的操作来源指的是操作应用程序时的来源方，具体可以指的是网页、电脑软件、手机软件等等。
[0042]需要说明的是，在本发明实施例中，反作弊系统获取在预置时间段内多个用户分别操作应用程序的操作数据可以有多种实现方式，例如:每个用户在操作应用程序时主动向反作弊系统上报操作数据，可以是实时的上报，也可以由业务侧实时监控应用程序上有无操作数据，如有将操作数据上报给反作弊系统，还可以由反作弊系统自己监控业务侧的实时数据流，例如业务侧产生的流水日志中分流抓取操作数据。
[0043]102、根据各个用户的操作数据提取各个用户与预置的反作弊分析维度相适配的属性信息。
[0044]在本发明实施例中，反作弊系统获取到针对某一个应用程序的操作数据之后，根据预先设置的反作弊分析维度，提取出与反作弊分析维度相适配的属性信息。其中，反作弊分析维度中包括反作弊系统预先配置的多种对用户是否具有恶意行为进行分析的方法，反作弊分析维度指明了需要分析用户哪些方面行为以判断是否其具有恶意，并且反作弊分析维度的设定与需要提取用户自身的属性信息是相适配的，即反作弊分析维度包括哪方面的分析内容，那就应该提取与这些分析内容所要求的用户属性信息。举例说明，反作弊分析维度包括对用户的信用评级进行逻辑分析，那么就需要提取的用户属性信息就是用户的信用评级。也就是说，反作弊分析维度设置的是哪些方面的分析维度，反作弊系统就需要提取用户的哪些方面属性信息，以便于后续步骤中对用户进行划分。
[0045]在本发明的一些实施例中，反作弊分析维度具体可以包括:核心分析维度，且核心分析维度包括以下各个子维度中的至少一种:
[0046](I)、用户对应的账户被盗号的等级、
[0047](2)、用户对应的账户在其IP地址登录的天数、
[0048](3)、用户对应的账户进行恶意行为被记录的次数。
[0049]接下来进行举例说明:
[0050]对核心分析维度包括的第(I)个子维度，可以设置一个盗号记录系统，当每个用户对应的账户被盗号时，就存储这样的被盗记录到盗号记录系统中，并且后续需要实时对盗号记录系统进行维护，以保证盗号记录系统的实时性，为核心分析维度的分析提供可供查询的依据。用户对应的账号被盗取的等级可以由盗号记录系统来灵活设定，可以数字或字母以及其他的形式表示该账号被盗取的级别。
[0051]对核心分析维度包括的第(2)个子维度，可以设置一个IP记录系统，实时记录每个用户操作应用程序时所使用的IP地址以及使用该IP地址登录应用程序的时间长度(简称时长)，具体可以用天数来表示，例如用户a使用192.168.1.126登录QQ软件共计有6天，用户b使用192.168.1.135登录QQ软件共计有I天。IP记录系统针对用户使用应用软件的IP地址以及活跃时间进行记录，需要不断的进行后续更新，以保证IP记录系统中记录数据的实时性，为核心分析维度的分析提供可供查询的依据。
[0052]对核心分析维度包括的第(3)个子维度，可以设置一个恶意信息记录系统，实时记录用户所使用其用户ID时进行的恶意行为，例如某一个用户在QQ空间中发表了一个恶意消息，恶意信息记录系统就可以记录一次该用户对应的用户ID所做的恶意行为，若该用户在QQ空间中又发表恶意消息，则恶意信息记录系统就可以再记录一次该用户对应的用户ID所做的恶意行为，这样在恶意信息记录系统中同一个用户ID被记录有恶意行为的次数越多，就可以从一定程度上说明该用户在使用应用程序时仍有可能实施恶意行为，从而为核心分析维度的分析提供可供查询的依据。
[0053]在本发明的一些实施例中，基于对核心分析维度所包括的多个子维度的说明，步骤102根据各个用户的操作数据提取各个用户与预置的反作弊分析维度相适配的属性信息，具体可以包括如下步骤:
[0054]Al、从盗号记录系统中查询各个用户对应的账户被盗取的等级；或，
[0055]A2、从IP记录系统中查询各个用户对应的账户使用各自的IP地址登录的天数；或，
[0056]A3、从恶意信息记录系统查询各个用户对应的账户进行恶意行为被记录的次数。
[0057]此处需要说明的是，若核心分析维度包括2个子维度，步骤102中也需要具体执行与这2个子维度相应的步骤，以获得与这2个子维度相适配的用户属性信息。若核心分析维度包括3个子维度，步骤Al、A2、A3都需要执行，另外在执行步骤Al、A2、A3时没有逻辑上的先后顺序之分，可以同时执行，也可以其中一个到两个步骤先执行，这并不影响反作弊系统对用户的属性信息的提取。
[0058]在本发明的一些实施例中，反作弊分析维度除了包括核心分析维度之后，反作弊分析维度还可以包括:协同分析维度，且协同分析维度可以包括以下各个子维度中的至少一种:
[0059](I)、用户对应的账户使用恶意IP地址的聚集程度、
[0060](2)、用户对应的账户使用代理IP地址的聚集程度、
[0061](3)、用户对应的账户使用IP地址短期跳变的程度、
[0062](4)、用户对应的账户使用操作平台对应用程序的操作次数。
[0063]接下来进行举例说明:
[0064]对协同分析维度包括的第(I)个子维度，恶意IP地址指的是所使用的IP地址操作所述应用程序的操作次数超过操作次数阈值，或所使用的IP地址中恶意用户占总用户数的比值超过恶意占比门限，即有大量的用户都使用某一个IP地址操作应用程序时将这个IP地址判定为恶意IP地址或使用某一个IP地址操作应用程序的总用户数中恶意用户相当多时也可以将这个IP地址判定为恶意IP地址，需要说明的是，此处描述的虽然是恶意IP地址的聚集，可以理解的是，排除了恶意IP地址的聚集之后可以认为其余的都是非恶意IP地址的聚集。
[0065]对协同分析维度包括的第(2)个子维度，需要对用户所使用的IP地址是否为代理IP地址进行判断，通过对常用的代理服务器的IP地址的收集就可以判断出哪些IP地址为代理IP地址，哪些为用户自己的IP地址。
[0066]对协同分析维度包括的第(3)个子维度，监控一个用户使用IP地址的变化规律，若某一个用户使用IP地址短期内存在多次变化，对变化的次数做一个数值统计。
[0067]对协同分析维度包括的第(4)个子维度，监控用户在操作应用程序时所使用的操作平台，例如监控发现某一个用户在短期内使用了多种操作平台，或者使用某一种操作平台对应用程序操作的操作次数很多。
[0068]需要说明的是，前述协同分析维度包括的4种子维度用于指明应该提取用户的哪些方面信息，例如如果子维度为使用代理IP地址的聚集程度，那么就需要提取出用户使用的IP地址，因为通过该IP地址可以判定出该用户使用了代理服务器。
[0069]在本发明的另一些实施例中，步骤102根据各个用户的操作数据提取各个用户与预置的反作弊分析维度相适配的属性信息，还可以包括:
[0070]A4、统计各个用户对应的账户是否使用恶意IP地址；或，
[0071]A5、统计对各个用户对应的账户是否使用代理IP地址；或，
[0072]A6、统计对各个用户对应的账户使用的IP地址跳变的次数；或，
[0073]A7、统计对各个用户对应的账户使用操作平台对上述应用程序的操作次数。
[0074]此处需要说明的是，若协同分析维度包括2个子维度，步骤102中也需要具体执行与这2个子维度相应的步骤，以获得与这2个子维度相适配的用户属性信息。若协同分析维度包括4个子维度，步骤A4、A5、A6、A7都需要执行，另外在执行步骤A4、A5、A6、A7时没有逻辑上的先后顺序之分，可以同时执行，也可以其中一个到两个步骤先执行，这并不影响反作弊系统对用户的属性信息的提取。
[0075]103、根据各个用户的属性信息将上述多个用户划分为恶意用户、非恶意用户。
[0076]在本发明实施例中，由于各个用户的属性信息的提取是与反作弊分析维度的设定相一致的，那么在提取到用户的属性信息之后，依据用户自身的属性判断该用户为恶意用户还是非恶意用户，就有很强的可行性，并且误判的风险小。而且本发明实施例中将操作应用程序的多个用户划分为恶意用户和非恶意用户，也是从作弊者针对应用程序进行作恶的行为本身出发，将根据用户自身的属性信息将用户区分为恶意用户和非恶意用户，从而有针对性的对恶意用户进行惩罚，以达到维护排行榜公平效率的目的。
[0077]需要说明的是，本发明实施例中，恶意用户指的是依据反作弊分析维度判断出极有可能(例如100%)会作恶的用户，而非恶意用户指的是不是恶意用户的用户。在本发明的一些实施例中，仍然可以设置更具体的反作弊分析维度对用户进行划分，例如将非恶意用户在进行划分，划分为可疑用户和非可疑用户，其中，可疑用户指的是不一定会作恶但是其自身属性表示其有作恶嫌疑的用户，非可疑用户指的是不是可疑用户的用户。
[0078]在本发明的一些实施例中，对于核心分析维度包括的第(I)子维度，步骤103根据各个用户的属性信息将多个用户划分为恶意用户、非恶意用户，具体可以包括如下步骤:
[0079]B1、为上述核心分析维度中包括的子维度设置盗号等级门限；
[0080]B2、判断上述各个用户对应的账户被盗取的等级是否大于上述盗号等级门限，将大于或等于上述盗号等级门限的用户划分为恶意用户，将小于上述盗号等级门限的用户划分为非恶意用户。
[0081]对于核心分析维度包括的第(2)子维度，步骤103根据各个用户的属性信息将多个用户划分为恶意用户、非恶意用户，具体可以包括如下步骤:
[0082]B3、为上述核心分析维度中包括的子维度设置IP登录天数门限；
[0083]B4、判断上述各个用户对应的账户使用各自的IP地址登录的天数是否小于上述IP登录天数门限，将小于上述IP登录天数门限的用户划分为恶意用户，将大于或等于上述IP登录天数门限的用户划分为非恶意用户。
[0084]对于核心分析维度包括的第(3)子维度，步骤103根据各个用户的属性信息将多个用户划分为恶意用户、非恶意用户，具体可以包括如下步骤:
[0085]B5、为上述核心分析维度中包括的子维度设置恶意行为门限；
[0086]B6、判断上述各个用户对应的账户进行恶意行为被记录的次数是否大于上述恶意行为门限，将大于上述恶意行为门限的用户划分为恶意用户，将小于或等于上述恶意行为门限的用户划分为非恶意用户。
[0087]对于核心分析维度包括的第(I)子维度和第(2)子维度，步骤103根据各个用户的属性信息将多个用户划分为恶意用户、非恶意用户，具体可以包括如下步骤:
[0088]B7、为上述核心分析维度中包括的子维度设置盗号等级门限和IP登录天数门限；
[0089]B8、判断上述各个用户对应的账户被盗取的等级是否大于上述盗号等级门限，以及判断上述各个用户对应的账户使用各自的IP地址登录的天数是否小于上述IP登录天数门限，将大于或等于上述盗号等级门限同时小于上述IP登录天数门限的用户划分为恶意用户，将小于上述盗号等级门限，和/或大于或等于上述IP登录天数门限的用户划分为非恶意用户。
[0090]对于核心分析维度包括的第(I)子维度和第(3)子维度，步骤103根据各个用户的属性信息将多个用户划分为恶意用户、非恶意用户，具体可以包括如下步骤:
[0091]B9、为上述核心分析维度中包括的子维度设置盗号等级门限和恶意行为门限；
[0092]B10、判断上述各个用户对应的账户被盗取的等级是否大于上述盗号等级门限，以及判断上述各个用户对应的账户进行恶意行为被记录的次数是否大于上述恶意行为门限，将大于或等于上述盗号等级门限同时大于上述恶意行为门限的用户划分为恶意用户，将小于上述盗号等级门限，和/或小于或等于上述恶意行为门限的用户划分为非恶意用户。
[0093]对于核心分析维度包括的第(2)子维度和第(3)子维度，步骤103根据各个用户的属性信息将多个用户划分为恶意用户、非恶意用户，具体可以包括如下步骤:
[0094]B11、为上述核心分析维度中包括的子维度设置IP登录天数门限和恶意行为门限；
[0095]B12、判断上述各个用户对应的账户使用各自的IP地址登录的天数是否小于上述IP登录天数门限，以及判断上述各个用户对应的账户进行恶意行为被记录的次数是否大于上述恶意行为门限，将小于上述IP登录天数门限同时大于上述恶意行为门限的用户划分为恶意用户，将大于或等于上述IP登录天数门限，和/或小于或等于上述恶意行为门限的用户划分为非恶意用户。
[0096]对于核心分析维度包括的第(I)子维度、第(2)子维度和第(3)子维度，步骤103根据各个用户的属性信息将多个用户划分为恶意用户、非恶意用户，具体可以包括如下步骤:
[0097]B13、为上述核心分析维度中包括的子维度设置盗号等级门限、IP登录天数门限和恶意行为门限；
[0098]B14、判断上述各个用户对应的账户被盗取的等级是否大于上述盗号等级门限，和判断上述各个用户对应的账户使用各自的IP地址登录的天数是否小于上述IP登录天数门限，以及判断上述各个用户对应的账户进行恶意行为被记录的次数是否大于上述恶意行为门限，将大于或等于上述盗号等级门限同时小于上述IP登录天数门限同时大于上述恶意行为门限的用户划分为恶意用户，将小于上述盗号等级门限，和/或大于或等于上述IP登录天数门限，和/或小于或等于上述恶意行为门限的用户划分为非恶意用户。
[0099]需要说明的是，本发明实施例中，步骤B1、B3、B5、B7、B9、BlU B13中描述的是对核心分析维度包括的各个子维度分别预先设置一个门限值，每个子维度对应的门限值可以通过仿真实验获取其实际的数值大小，还可以通过对排行榜中的应用程序进行长期监控，通过多次实践分析来获取到经验值作为其实际的数值大小。步骤B2、B4、B6、B8、B1、B12、B14是否执行完全依赖于核心分析维度具体包括哪几个子维度，例如，核心分析维度只包括第(I)子维度，则只需要执行步骤BI和步骤B2，若核心分析维度只包括第(I)子维度和第
(2)子维度，则只需要执行步骤B7和B8，若核心分析维度包括了 3个子维度，则可以执行步骤B13和B14。另外需要说明的是，步骤B8可以认为是步骤B2和步骤B4的组合，那么只有在同时满足核心分析维度的第(I)子维度和第(2)子维度时才会将用户划分恶意用户，否则划分为非恶意用户；步骤BlO可以认为是步骤B2和步骤B6的组合，那么只有在同时满足核心分析维度的第(I)子维度和第(3)子维度时才会将用户划分恶意用户，否则划分为非恶意用户；步骤B12可以认为是步骤B4和步骤B6的组合，那么只有在同时满足核心分析维度的第(2)子维度和第(3)子维度时才会将用户划分恶意用户，否则划分为非恶意用户；步骤B14可以认为是步骤B2、B4、B6的组合，那么只有在同时满足核心分析维度的第(I)子维度、第(2)子维度和第(3)子维度时才会将用户划分恶意用户，否则划分为非恶意用户。
[0100]在本发明的另一些实施例中，上述非恶意用户包括:可疑用户和非可疑用户，则步骤103根据各个用户的属性信息将上述多个用户划分为恶意用户、非恶意用户之后还包括如下步骤:
[0101]B15、为上述协同分析维度中包括的第(3)个子维度设置IP地址跳变门限，为上述协同分析维度中包括的第(4)个子维度设置操作次数门限；
[0102]B16、以各个用户对应的账户是否使用恶意IP地址、代理IP地址和上述协同分析维度包括的各个子维度是否超过其设置的对应门限为依据对各个用户的属性信息进行评分，或，以各个用户对应的账户是否使用恶意IP地址、代理IP地址和上述核心分析维度和上述协同分析维度分别包括的各个子维度是否超过其设置的对应门限为依据对各个用户的属性信息进行评分；
[0103]B17、将对各个用户的各项评分求和，得到各个用户的总评分，将对各个用户的总评分与预置的评分阈值进行比较，将大于或等于上述评分阈值的用户划分为可疑用户，将小于上述评分阈值的用户划分为非可疑用户；
[0104]B18、根据被划分为可疑用户的数量对上述应用程序进行数据清理。
[0105]需要说明的是，在本发明实施例中，步骤B15中描述的是对协同分析维度包括的第(3)、(4)子维度分别预先设置一个门限值，每个子维度对应的门限值可以通过仿真实验获取其实际的数值大小，还可以通过对不同类多款的应用程序进行长期监控，通过多次实践分析来设置一个经验值作为其门限值的取值，对于协同分析维度包括的第(I)、(2)子维度需要判断各个用户对应的账户是否使用恶意IP地址、代理IP地址，若某一个用户使用了恶意IP地址就被计上该子维度对应的分值，若某一个用户使用了代理IP地址就被计上该子维度对应的分值，若没有使用，则不计分数。步骤B16包括了两种实现方式:一种是以协同分析维度作为评判标准，依据协同分析维度的各个子维度将用户的各个方面的属性信息划分为多个级别，每个级别分别赋予不同的分数值，可以按照十分制来划分，也可以按照百分制来划分，也可以用ABCD等字母来表示各个级别，每个字母分别代表的是不同的分数，其中十分制的划分举例如下:依据协同分析维度的第(I)个子维度，若用户在恶意IP地址上操作应用程序，则计上该子维度对应的分数，依据协同分析维度的第(3)个子维度，用户使用的IP地址跳变的次数，假如IP地址跳变门限为236，将每超过236的用户记一分，若没有超过则记O分，而用户使用的IP地址的跳变次数为944，可知944除以236等于4，也就是说，依据协同分析维度的第(3)维度，用户得到了 4分，则按照这样的评分方式依据协同分析维度的其它各个子维度分别进行评分，将一个用户的各个方面的属性得分求和，就可以得到一个用户的总评分，然后将一个用户的总评分与设置的评分阈值进行数值大小判断，则将一个用户判定为可疑用户或者非可疑用户。
[0106]从非恶意用户中挑选出可疑用户之后，步骤B18就可以根据可疑用户的数量对应用程序进行数据清理，例如，可疑用户的数量超过可疑用户门限，则对应用程序进行数据清理，又如，可疑用户的占比情况超过可疑用户占比门限，则对应用程序进行数据清理。并且步骤B18的执行可以结合步骤104共同执行，以实现对应用程序更有效的清理，惩治作恶者的恶意行为，保护排行榜的公平竞争环境。
[0107]需要说明的是，步骤103根据各个用户的属性信息将多个用户划分为恶意用户、非恶意用户之后，本发明实施例中除了在步骤103执行之后执行步骤104之外，还可以包括如下步骤:
[0108]Cl、实时统计对上述应用程序操作的总用户数和对上述应用程序进行操作的所有用户中恶意用户的个数；
[0109]C2、计算上述应用程序中恶意用户占总用户数的占比，将上述占比与预置的占比阈值进行比较；
[0110]C3、若超过上述占比阈值，将从计算上述占比之后的一段时间内对上述应用程序的操作请求发送到实时限制系统，若对上述应用程序的操作请求由恶意用户进行，触发上述实时限制系统对恶意用户的操作请求进行限制。
[0111]在上述步骤Cl至C3中，在划分出恶意用户和非恶意用户之后，可以实时的对每个用户的操作数据进行分析确定其为恶意用户或非恶意用户，然后实时统计恶意用户占操作应用程序的总用户数的比例，计算出占比之后与预置的占比阈值进行比较，在超过占比阈值的情况下，将从计算出占比开始在之后的一段时间内将每个操作请求都发送实时限制系统，对于由恶意用户发起的操作请求，触发实时限制系统对恶意用户的操作请求进行限制。其中对操作请求进行限制指的是实时限制系统限制恶意用户对应用程序的安装、登录、发起邀请或评价，例如禁止该操作请求自动生效，或让用户输入验证码以验证其身份，或直接将该操作请求忽略掉不做任何响应。通过实时限制系统可以实现对作弊者的作弊行为的实时对抗，以便于及时发现恶意行为对其进行惩治，以保护排行榜的公平竞争环境。
[0112]104、根据被划分为恶意用户的数量对上述应用程序进行数据清理。
[0113]在本发明实施例中，步骤103在将操作应用程序的用户划分为恶意用户和非恶意用户之后，根据被划分为恶意用户的数量对应用程序进行数据清理可以包括多种实现方式，例如:清理应用程序中恶意用户的操作记录；或，清理应用程序中恶意用户和可疑用户的操作记录；或，判断恶意用户的数量是否大于预置的恶意用户阈值，若大于恶意用户阈值，清理应用程序中所有用户的操作记录；或，判断上述恶意用户所占总用户数的占比是否大于预置的恶意用户占比阈值，若大于上述恶意用户占比阈值，清理上述应用程序中所有用户的操作记录。即在对应用程序进行数据清理时可以清理恶意用户的操作记录，以免其对排行榜中该应用程序的用户数、安装量、评价等造成不良影响，也可以清理恶意用户和可疑用户的操作记录，甚至还是清理该应用程序中所有用户的操作记录，这取决于被划分为恶意用户的数量多少或所占总用户数的占比，若被划分为恶意用户的数量很少可以只清理恶意用户，若被划分为恶意用户的数量较多，说明作弊者可能盯上这款应用程序，可以清理恶意用户和可疑用户，若被划分为恶意用户的数量很多，说明作弊者已经对该应用程序进行了恶意攻击，作为对该应用程序的惩罚，可以清理该应用程序的所有用户。具体该如何对应用程序进行数据清理，可以结合具体的应用场景，此处不做限定。需要说明的是，步骤104的执行可以结合步骤B18共同执行，以实现对应用程序更有效的清理，惩治作恶者的恶意行为，保护排行榜的公平竞争环境。
[0114]在本发明实施例中，应用程序的反作弊系统首先获取到针对一个应用程序的多个用户实施的操作数据，然后基于预置的反作弊分析维度，根据获取到的各个用户的操作数据提取出用户的属性信息，然后根据各个用户的属性信息将多个用户划分为恶意用户和非恶意用户，根据被划分为恶意用户的数量对所述应用程序进行数据清理。本发明实施例中被提取出的用户属性与反作弊分析维度相适配，通过反作弊分析维度的设定根据用户的属性信息将用户划分为恶意用户和非恶意用户，并且可以针对恶意用户对应用程序进行数据清理。本发明实施例从作弊者针对应用程序的作弊行为本身入手，找出其存在的恶意用户，可以有效对抗作弊者的作弊行为，误判的风险小，使应用程序中的恶意用户数量得到有效清理。
[0115]为便于更好的理解和实施本发明实施例的上述方案，下面举例相应的应用场景来进行具体说明。
[0116]接下来为本发明实施例中应用程序的反作弊方法进行举例说明，请参阅如下说明:
[0117]本发明实施例中应用程序的反作弊系统具体可以指的是云平台反作弊系统，主要用于对抗作恶者通过批量模拟用户操作(如空间/微博加粉丝，安装应用，发起邀请)，以达到提高其运营产品的知名度，创造公平竞争的良好环境，从而获取更多平台资源。请参阅如图2所示，为本发明实施例中应用程序的反作弊系统的实现框架说明示意图。
[0118]反作弊系统执行的反作弊方法具体可以包括如下内容:
[0119]SO 1、操作数据的实时获取
[0120]业务上报模块需要实时地将多个用户对应用程序的操作数据上报给反作弊系统的离线数据存储模块，或者由反作弊系统从业务侧的其他实时数据流(如操作的流水日志)中分流获取。其中上报的操作数据包括操作日期、时间、应用程序的ID号、操作平台、用户的QQ号码、用户所在的IP地址、操作类型、操作来源等。
[0121]需要说明的是，若业务上报模块接收到实时分析逻辑模块反馈的打击应答，则在向离线数据存储模块上报的时候自动隔离被打击用户的操作数据，详见后续说明。
[0122]S02、数据分析以及用户属性的划分
[0123]对于每个用户，需要判断其属于恶意用户、可疑用户、非可疑用户(除了恶意、可疑用户之外的用户)。接下来给出恶意、可疑用户的判断标准即反作弊分析维度，与现有技术方案的区别在于它充分利用了用户自身的属性进行判断。恶意用户是被认为有100%可能性在作恶的用户，直接通过核心分析维度进行组合判断；可疑用户则不一定在作恶但有作恶嫌疑的用户，通过综合核心分析维度和协同分析维度进行计分评估。下面是关于核心分析维度和协同分析维度的详细描述。
[0124]S02.1核心分析维度
[0125]S02.1.1用户被盗号等级
[0126]盗号记录系统通过多个不同的渠道记录了某一个QQ号码(也称为一个用户)的异常行为，并且通过朴素贝叶斯对各种行为进行整合，计算出该号码的被盗概率并分为4个等级，其中可以认为4级和3级分别代表号码被盗的可能性在99%和85%以上。
[0127]S02.1.2用户的常用登录IP地址
[0128]IP记录系统中实时记录用户使用的IP地址在C段的IP，例如记录了一个用户90天内在该IP地址上登录的天数。
[0129]S02.1.3QQ空间恶意信息记录
[0130]恶意信息记录系统，根据一个用户90天内在QQ空间中的各种恶意消息行为(如发表恶意说说、日志等)的次数，从而判断其作恶的程度。
[0131]S02.3恶意用户的判断
[0132]离线分析模块从离线数据存储模块拉取出离线数据，并查询恶意数据查询系统，结合本地数据存储模块，可以获知用户的各个属性信息，然后通过核心分析维度的不同门限组合，例如分别设置盗号等级门限、IP登录天数门限、恶意行为门限，将核心分析维度的各个子维度与对应的门限进行比较，例如将盗号等级4&&来源IP活跃I天以下的用户为恶意用户，通过这样的方式将应用程序的多个用户划分为恶意用户和非恶意用户，然后将恶意用户的数据存储到离线恶意数据存储模块。
[0133]S02.2协同分析维度
[0134]S02.2.1恶意IP聚集程度
[0135]统计单个IP的访问量及其恶意用户占比。若访问量或者恶意用户占比超过阈值时，则将该IP判定为恶意IP地址。若一个用户在该恶意IP地址上有发起了操作请求，那么会增加其被判为可疑用户的概率。
[0136]S02.2.2代理IP聚集程度
[0137]如果一个用户的来源IP是代理服务器的IP，那么该用户是可疑用户的可能性较闻。
[0138]S02.2.3IP 跳变程度
[0139]如果一个用户在一个小时内登录的IP地址存在多次变化，那么该用户存在是可疑用户的嫌疑。
[0140]S02.2.4 操作次数
[0141]如果一个用户在一个小时内使用一个操作平台的操作次数超过操作次数门限，则认为该用户是可疑用户的可能性较大。
[0142]S02.4可疑用户判断
[0143]可疑用户是有作恶嫌疑的用户。当一个用户被判定为恶意用户时，认为其100%是恶意；判定为可疑用户时，认为其为可疑的概率是70%。
[0144]离线分析模块从离线数据存储模块拉取出离线数据，并查询恶意数据查询系统，结合本地数据存储模块，采用评分制对可疑用户进行，即通过判定每个子维度(指的是核心分析维度和协同分析维度包括的各个子维度)的每个等级给定一个分值，然后对用户每一个命中的子维度的分值进行累加。如果总分超过评分阈值之时，则将其判定为可疑用户。
[0145]S02.5实时限制系统对抗作弊行为
[0146]实时分析逻辑模块对每一条操作请求(即某时某个用户在某个IP操作某款应用程序的动作)进行分析，统计每个应用程序在5分钟内的恶意用户和可疑用户占比，若其中一项占比超过给定阈值，则判定这个应用程序目前处于作恶阶段，并触发实时限制系统对该应用程序下发打击请求。在此后的一段时间内，该应用程序的所有请求都会发送到实时限制系统，根据配置确定打击范围，其中打击范围可疑是恶意用户，也可以是恶意用户和可疑用户，如果该用户属于被打击的类型(例如是恶意用户或者可疑用户)，那么对这个操作请求进行限制。
[0147]S02.6对应用程序的离线数据清理
[0148]离线分析逻辑模块每个小时收集一次上个小时的操作数据，并计算该小时内的操作请求中的恶意用户的数量和可疑用户的数量，并根据应用程序的恶意用户数量及可疑用户数量占比来决定清理应用程序上个小时的恶意用户、可疑用户还是全部的用户，最后在清理掉恶意用户和可疑用户之后，排行榜数据显示模块就可以在排行榜中显示最新的应用程序排名，作为其他用户使用各个应用程序的参考。
[0149]在本发明实施例中，应用程序的反作弊系统首先获取到针对一个应用程序的多个用户实施的操作数据，然后基于预置的反作弊分析维度，根据获取到的各个用户的操作数据提取出用户的属性信息，然后根据各个用户的属性信息将多个用户划分为恶意用户和非恶意用户，根据被划分为恶意用户的数量对所述应用程序进行数据清理。本发明实施例中被提取出的用户属性与反作弊分析维度相适配，通过反作弊分析维度的设定根据用户的属性信息将用户划分为恶意用户和非恶意用户，并且可以针对恶意用户对应用程序进行数据清理。本发明实施例从作弊者针对应用程序的作弊行为本身入手，找出其存在的恶意用户，可以有效对抗作弊者的作弊行为，误判的风险小，使应用程序中的恶意用户数量得到有效清理。
[0150]需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。
[0151]为便于更好的实施本发明实施例的上述方案，下面还提供用于实施上述方案的相关装置。
[0152]请参阅图3-a所示，本发明实施例提供的一种应用程序的反作弊系统300，可以包括:获取模块301、属性提取模块302、用户划分模块303和清理模块304，其中，
[0153]获取模块301，用于获取在预置时间段内多个用户分别操作应用程序的操作数据；
[0154]属性提取模块302，用于根据各个用户的操作数据提取各个用户与预置的反作弊分析维度相适配的属性信息；
[0155]用户划分模块303，用于根据各个用户的属性信息将所述多个用户划分为恶意用户、非恶意用户；
[0156]清理模块304，用于根据被划分为恶意用户的数量对所述应用程序进行数据清理。
[0157]在本发明的一些实施例中，操作数据包括:操作所述应用程序的操作时间、所述应用程序的身份识别码ID、操作所述应用程序的操作平台、操作所述应用程序的用户ID、操作所述应用程序的用户网络互连IP地址、操作所述应用程序的操作类型、操作所述应用程序的操作来源。
[0158]具体的，所述操作所述应用程序的操作类型包括以下步骤中的至少一个:
[0159]安装所述应用程序，登录所述应用程序、对所述应用程序发起邀请、对所述应用程序进行评价。
[0160]在本发明的一些实施例中，所述获取模块，具体用于接收所述多个用户在操作所述应用程序时分别上报的操作数据；或，从业务侧的实时数据流中分流抓取所述多个用户在操作所述应用程序时生成的操作数据。
[0161]请参阅如图3_b所示，在本发明的一些实施例中，所述反作弊分析维度包括:核心分析维度；
[0162]所述核心分析维度包括以下各个子维度中的至少一种:用户对应的账户被盗号的等级、用户对应的账户在其IP地址登录的天数、用户对应的账户进行恶意行为被记录的次数；
[0163]属性提取模块302，包括:盗号分析子模块3021、或IP登录分析子模块3022、或恶意记录分析子模块3023,其中，
[0164]盗号分析子模块3021，用于从盗号记录系统中查询各个用户对应的账户被盗取的等级；或，
[0165]IP登录分析子模块3022,用于从IP记录系统中查询各个用户对应的账户使用各自的IP地址登录的天数；或，
[0166]恶意记录分析子模块3023，用于从恶意信息记录系统查询各个用户对应的账户进行恶意行为被记录的次数。
[0167]请参阅如图3-c所示，在本发明的一些实施例中，用户划分模块303，具体可以包括:第一门限设置子模块3031和第一划分子模块3032,其中，
[0168]第一门限设置子模块3031，用于为所述核心分析维度中包括的子维度设置盗号等级门限；
[0169]第一划分子模块3032，用于判断所述各个用户对应的账户被盗取的等级是否大于所述盗号等级门限，将大于或等于所述盗号等级门限的用户划分为恶意用户，将小于所述盗号等级门限的用户划分为非恶意用户。
[0170]请参阅如图3-d所示，在本发明的另一些实施例中，用户划分模块303，具体可以包括:第二门限设置子模块3033和第二划分子模块3034,其中，
[0171]第二门限设置子模块3033，用于为所述核心分析维度中包括的子维度设置IP登录天数门限；
[0172]第二划分子模块3034，用于判断所述各个用户对应的账户使用一个IP地址登录的天数是否小于所述IP登录天数门限，将小于所述IP登录天数门限的用户划分为恶意用户，将大于或等于所述IP登录天数门限的用户划分为非恶意用户。
[0173]请参阅如图3-e所示，在本发明的另一些实施例中，用户划分模块303，具体可以包括:第三门限设置子模块3035和第三划分子模块3036,其中，
[0174]第三门限设置子模块3035，用于为所述核心分析维度中包括的子维度设置恶意行为门限；
[0175]第三划分子模块3036，用于判断所述各个用户对应的账户进行恶意行为被记录的次数是否大于所述恶意行为门限，将大于所述恶意行为门限的用户划分为恶意用户，将小于或等于所述恶意行为门限的用户划分为非恶意用户。
[0176]请参阅如图3_f所示，在本发明的一些实施例中，所述反作弊分析维度还包括:协同分析维度；
[0177]所述协同分析维度包括以下各个子维度中的至少一种:用户对应的账户使用恶意IP地址的聚集程度、用户对应的账户使用代理IP地址的聚集程度、用户对应的账户使用IP地址短期跳变的程度、用户对应的账户使用操作平台对所述应用程序的操作次数；
[0178]属性提取模块302，包括:第一统计子模块3024，或第二统计子模块3025，或第三统计子模块3026，或第四统计子模块3027，其中，
[0179]第一统计子模块3024，用于统计各个用户对应的账户是否使用恶意IP地址，所述恶意IP地址指的是所使用的IP地址操作所述应用程序的操作次数超过操作次数阈值，或所使用的IP地址中恶意用户占总用户数的比值超过恶意占比门限；或，
[0180]第二统计子模块3025，用于统计对各个用户对应的账户是否使用代理IP地址；或，
[0181]第三统计子模块3026，用于统计对各个用户对应的账户使用的IP地址跳变的次数；或，
[0182]第四统计子模块3027，用于统计对各个用户对应的账户使用操作平台对所述应用程序的操作次数。
[0183]请参阅如图3_g所示，在本发明的一些实施例中，所述非恶意用户包括:可疑用户和非可疑用户，所述用户划分模块303包括:第四门限设置子模块3037、评分子模块3038、第四划分子模块3039，其中，
[0184]第四门限设置子模块3037，用于为用户对应的账户使用IP地址短期跳变的程度设置IP地址跳变门限，为用户对应的账户使用操作平台对所述应用程序的操作次数设置操作次数门限；
[0185]评分子模块3038，用于以各个用户对应的账户是否使用恶意IP地址、代理IP地址和所述协同分析维度包括的各个子维度是否超过其设置的对应门限为依据对各个用户的属性信息进行评分，或，以各个用户对应的账户是否使用恶意IP地址、代理IP地址和所述核心分析维度和所述协同分析维度分别包括的各个子维度是否超过其设置的对应门限为依据对各个用户的属性信息进行评分；
[0186]第四划分子模块3039，用于将对各个用户的各项评分求和，得到各个用户的总评分，将对各个用户的总评分与预置的评分阈值进行比较，将大于或等于所述评分阈值的用户划分为可疑用户，将小于所述评分阈值的用户划分为非可疑用户。
[0187]所述清理模块304，还用于根据被划分为可疑用户的数量对所述应用程序进行数据清理。
[0188]请参阅如图3_h所示，在本发明的一些实施例中，应用程序的反作弊系统300还包括:
[0189]用户数统计模块305，用于实时统计对所述应用程序操作的总用户数和对所述应用程序进行操作的所有用户中恶意用户的个数；
[0190]比例分析模块306，用于计算所述应用程序中恶意用户占总用户数的占比，将所述占比与预置的占比阈值进行比较；
[0191]限制模块307，用于若超过所述占比阈值，将从计算所述占比之后的一段时间内对所述应用程序的操作请求发送到实时限制系统，若对所述应用程序的操作请求由恶意用户进行，触发所述实时限制系统对恶意用户的操作请求进行限制。
[0192]在本发明的一些实施例中，清理模块304，具体用于清理所述应用程序中恶意用户的操作记录；或，清理所述应用程序中恶意用户和可疑用户的操作记录；或，判断所述恶意用户的数量是否大于预置的恶意用户阈值，若大于所述恶意用户阈值，清理所述应用程序中所有用户的操作记录；或，判断所述恶意用户所占总用户数的占比是否大于预置的恶意用户占比阈值，若大于所述恶意用户占比阈值，清理所述应用程序中所有用户的操作记录。
[0193]需要说明的是，上述装置各模块/单元之间的信息交互、执行过程等内容，由于与本发明方法实施例基于同一构思，其带来的技术效果与本发明方法实施例相同，具体内容可参见本发明前述所示的方法实施例中的叙述，此处不再赘述。
[0194]结合以上本发明实施例，应用程序的反作弊系统首先获取到针对一个应用程序的多个用户实施的操作数据，然后基于预置的反作弊分析维度，根据获取到的各个用户的操作数据提取出用户的属性信息，然后根据各个用户的属性信息将多个用户划分为恶意用户和非恶意用户，根据被划分为恶意用户的数量对所述应用程序进行数据清理。本发明实施例中被提取出的用户属性与反作弊分析维度相适配，通过反作弊分析维度的设定根据用户的属性信息将用户划分为恶意用户和非恶意用户，并且可以针对恶意用户对应用程序进行数据清理。本发明实施例从作弊者针对应用程序的作弊行为本身入手，找出其存在的恶意用户，可以有效对抗作弊者的作弊行为，误判的风险小，使应用程序中的恶意用户数量得到有效清理。
[0195]本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括:只读存储器(ROM)、随机存取存储器(RAM)、磁盘或光盘等。
[0196]以上对本发明所提供的一种应用程序的反作弊方法和相关系统进行了详细介绍，对于本领域的一般技术人员，依据本发明实施例的思想，在【具体实施方式】及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。
【权利要求】
1.一种应用程序的反作弊方法，其特征在于，包括: 获取在预置时间段内多个用户分别操作应用程序的操作数据； 根据各个用户的操作数据提取各个用户与预置的反作弊分析维度相适配的属性信息； 根据各个用户的属性信息将所述多个用户划分为恶意用户、非恶意用户； 根据被划分为恶意用户的数量对所述应用程序进行数据清理。
2.根据权利要求1所述的方法，其特征在于，所述操作数据包括:操作所述应用程序的操作时间、所述应用程序的身份识别码ID、操作所述应用程序的操作平台、操作所述应用程序的用户ID、操作所述应用程序的用户网络互连IP地址、操作所述应用程序的操作类型、操作所述应用程序的操作来源。
3.根据权利要求2所述的方法，其特征在于，所述操作所述应用程序的操作类型包括以下步骤中的至少一个: 安装所述应用程序，登录所述应用程序、对所述应用程序发起邀请、对所述应用程序进行评价。
4.根据权利要求1所述的方法，其特征在于，所述获取在预置时间段内多个用户分别操作应用程序的操作数据，包括: 接收所述多个用户在操作所述应用程序时分别上报的操作数据；或， 从业务侧的实时数据流中分流抓取所述多个用户在操作所述应用程序时生成的操作数据。
5.根据权利要求1所述的方法，其特征在于，所述反作弊分析维度包括:核心分析维度； 所述核心分析维度包括以下各个子维度中的至少一种:用户对应的账户被盗号的等级、用户对应的账户在其IP地址登录的天数、用户对应的账户进行恶意行为被记录的次数。
6.根据权利要求5所述的方法，其特征在于，所述根据各个用户的操作数据提取各个用户与预置的反作弊分析维度相适配的属性信息，包括: 从盗号记录系统中查询各个用户对应的账户被盗取的等级；或， 从IP记录系统中查询各个用户对应的账户使用各自的IP地址登录的天数；或， 从恶意信息记录系统查询各个用户对应的账户进行恶意行为被记录的次数。
7.根据权利要求6所述的方法，其特征在于，所述根据各个用户的属性信息将所述多个用户划分为恶意用户、非恶意用户，包括: 为所述核心分析维度中包括的子维度设置盗号等级门限； 判断所述各个用户对应的账户被盗取的等级是否大于所述盗号等级门限，将大于或等于所述盗号等级门限的用户划分为恶意用户，将小于所述盗号等级门限的用户划分为非恶意用户。
8.根据权利要求6所述的方法，其特征在于，所述根据各个用户的属性信息将所述多个用户划分为恶意用户、非恶意用户，包括: 为所述核心分析维度中包括的子维度设置IP登录天数门限； 判断所述各个用户对应的账户使用各自的IP地址登录的天数是否小于所述IP登录天数门限，将小于所述IP登录天数门限的用户划分为恶意用户，将大于或等于所述IP登录天数门限的用户划分为非恶意用户。
9.根据权利要求6所述的方法，其特征在于，所述根据各个用户的属性信息将所述多个用户划分为恶意用户、非恶意用户，包括: 为所述核心分析维度中包括的子维度设置恶意行为门限； 判断所述各个用户对应的账户进行恶意行为被记录的次数是否大于所述恶意行为门限，将大于所述恶意行为门限的用户划分为恶意用户，将小于或等于所述恶意行为门限的用户划分为非恶意用户。
10.根据权利要求5至9中任一项所述的方法，其特征在于，所述反作弊分析维度还包括:协同分析维度； 所述协同分析维度包括以下各个子维度中的至少一种:用户对应的账户使用恶意IP地址的聚集程度、用户对应的账户使用代理IP地址的聚集程度、用户对应的账户使用IP地址短期跳变的程度、用户对应的账户使用操作平台对所述应用程序的操作次数。
11.根据权利要求10所述的方法，其特征在于，所述根据各个用户的操作数据提取各个用户与预置的反作弊分析维度相适配的属性信息，包括: 统计各个用户对应的账户是否使用恶意IP地址，所述恶意IP地址指的是所使用的IP地址操作所述应用程序的操作次数超过操作次数阈值，或所使用的IP地址中恶意用户占总用户数的比值超过恶意占比门限；或， 统计对各个用户对应的账户是否使用代理IP地址；或， 统计对各个用户对应的账户使用的IP地址跳变的次数；或， 统计对各个用户对应的账户使用操作平台对所述应用程序的操作次数。
12.根据权利要求11所述的方法，其特征在于，所述非恶意用户包括:可疑用户和非可疑用户， 所述根据各个用户的属性信息将所述多个用户划分为恶意用户、非恶意用户之后还包括: 为用户对应的账户使用IP地址短期跳变的程度设置IP地址跳变门限，为用户对应的账户使用操作平台对所述应用程序的操作次数设置操作次数门限； 以各个用户对应的账户是否使用恶意IP地址、代理IP地址和所述协同分析维度包括的子维度是否超过其设置的对应门限为依据对各个用户的属性信息进行评分，或，以各个用户对应的账户是否使用恶意IP地址、代理IP地址和所述核心分析维度和所述协同分析维度分别包括的各个子维度是否超过其设置的对应门限为依据对各个用户的属性信息进行评分； 将对各个用户的各项评分求和，得到各个用户的总评分，将对各个用户的总评分与预置的评分阈值进行比较，将大于或等于所述评分阈值的用户划分为可疑用户，将小于所述评分阈值的用户划分为非可疑用户； 根据被划分为可疑用户的数量对所述应用程序进行数据清理。
13.根据权利要求1所述的方法，其特征在于，所述根据各个用户的属性信息将所述多个用户划分为恶意用户、非恶意用户之后还包括: 实时统计对所述应用程序操作的总用户数和对所述应用程序进行操作的所有用户中恶意用户的个数； 计算所述应用程序中恶意用户占总用户数的占比，将所述占比与预置的占比阈值进行比较； 若超过所述占比阈值，将从计算所述占比之后的一段时间内对所述应用程序的操作请求发送到实时限制系统，若对所述应用程序的操作请求由恶意用户进行，触发所述实时限制系统对恶意用户的操作请求进行限制。
14.根据权利要求1或12所述的方法，其特征在于，所述根据被划分为恶意用户的数量对所述应用程序进行数据清理，包括: 清理所述应用程序中恶意用户的操作记录；或， 清理所述应用程序中恶意用户和可疑用户的操作记录；或， 判断所述恶意用户的数量是否大于预置的恶意用户阈值，若大于所述恶意用户阈值，清理所述应用程序中所有用户的操作记录；或， 判断所述恶意用户所占总用户数的占比是否大于预置的恶意用户占比阈值，若大于所述恶意用户占比阈值，清理所述应用程序中所有用户的操作记录。
15.一种应用程序的反作弊系统，其特征在于，包括: 获取模块，用于获取在预置时间段内多个用户分别操作应用程序的操作数据； 属性提取模块，用于根据各个用户的操作数据提取各个用户与预置的反作弊分析维度相适配的属性信息； 用户划分模块，用于根据各个用户的属性信息将所述多个用户划分为恶意用户、非恶意用户； 清理模块，用于根据被划分为恶意用户的数量对所述应用程序进行数据清理。
16.根据权利要求15所述的系统，其特征在于，所述操作数据包括:操作所述应用程序的操作时间、所述应用程序的身份识别码ID、操作所述应用程序的操作平台、操作所述应用程序的用户ID、操作所述应用程序的用户网络互连IP地址、操作所述应用程序的操作类型、操作所述应用程序的操作来源。
17.根据权利要求16所述的系统，其特征在于，所述操作所述应用程序的操作类型包括以下步骤中的至少一个: 安装所述应用程序，登录所述应用程序、对所述应用程序发起邀请、对所述应用程序进行评价。
18.根据权利要求15所述的系统，其特征在于，所述获取模块，具体用于接收所述多个用户在操作所述应用程序时分别上报的操作数据；或，从业务侧的实时数据流中分流抓取所述多个用户在操作所述应用程序时生成的操作数据。
19.根据权利要求15所述的系统，其特征在于，所述反作弊分析维度包括:核心分析维度； 所述核心分析维度包括以下各个子维度中的至少一种:用户对应的账户被盗号的等级、用户对应的账户在其IP地址登录的天数、用户对应的账户进行恶意行为被记录的次数。
20.根据权利要求19所述的系统，其特征在于，所述属性提取模块，包括: 盗号分析子模块，用于从盗号记录系统中查询各个用户对应的账户被盗取的等级；或， IP登录分析子模块，用于从IP记录系统中查询各个用户对应的账户使用各自的IP地址登录的天数；或， 恶意记录分析子模块，用于从恶意信息记录系统查询各个用户对应的账户进行恶意行为被记录的次数。
21.根据权利要求20所述的系统，其特征在于，所述用户划分模块，包括:第一门限设置子模块和第一划分子模块，其中， 第一门限设置子模块，用于为所述核心分析维度中包括的子维度设置盗号等级门限； 第一划分子模块，用于判断所述各个用户对应的账户被盗取的等级是否大于所述盗号等级门限，将大于或等于所述盗号等级门限的用户划分为恶意用户，将小于所述盗号等级门限的用户划分为非恶意用户。
22.根据权利要求20所述的系统，其特征在于，所述用户划分模块，包括:第二门限设置子模块和第二划分子模块，其中， 第二门限设置子模块，用于为所述核心分析维度中包括的子维度设置IP登录天数门限； 第二划分子模块，用于判断所述各个用户对应的账户使用各自的IP地址登录的天数是否小于所述IP登录天数门限，将小于所述IP登录天数门限的用户划分为恶意用户，将大于或等于所述IP登录天数门限的用户划分为非恶意用户。
23.根据权利要求20所述的系统，其特征在于，所述用户划分模块，包括:第三门限设置子模块和第三划分子模块，其中， 第三门限设置子模块，用于为所述核心分析维度中包括的子维度设置恶意行为门限； 第三划分子模块，用于判断所述各个用户对应的账户进行恶意行为被记录的次数是否大于所述恶意行为门限，将大于所述恶意行为门限的用户划分为恶意用户，将小于或等于所述恶意行为门限的用户划分为非恶意用户。
24.根据权利要求19至23中任一项所述的系统，其特征在于，所述反作弊分析维度还包括:协同分析维度； 所述协同分析维度包括以下各个子维度中的至少一种:用户对应的账户使用恶意IP地址的聚集程度、用户对应的账户使用代理IP地址的聚集程度、用户对应的账户使用IP地址短期跳变的程度、用户对应的账户使用操作平台对所述应用程序的操作次数。
25.根据权利要求24所述的系统，其特征在于，所述属性提取模块，包括:第一统计子模块，或第二统计子模块，或第三统计子模块，或第四统计子模块，其中， 第一统计子模块，用于统计各个用户对应的账户是否使用恶意IP地址，所述恶意IP地址指的是所使用的IP地址操作所述应用程序的操作次数超过操作次数阈值，或所使用的IP地址中恶意用户占总用户数的比值超过恶意占比门限；或， 第二统计子模块，用于统计对各个用户对应的账户是否使用代理IP地址；或， 第三统计子模块，用于统计对各个用户对应的账户使用的IP地址跳变的次数；或， 第四统计子模块，用于统计对各个用户对应的账户使用操作平台对所述应用程序的操作次数。
26.根据权利要求25所述的系统，其特征在于，所述非恶意用户包括:可疑用户和非可疑用户， 所述用户划分模块还包括:第四门限设置子模块、评分子模块、第四划分子模块，其中，第四门限设置子模块，用于为用户对应的账户使用IP地址短期跳变的程度设置IP地址跳变门限，为用户对应的账户使用操作平台对所述应用程序的操作次数设置操作次数门限； 评分子模块，用于以各个用户对应的账户是否使用恶意IP地址、代理IP地址和所述协同分析维度包括的子维度是否超过其设置的对应门限为依据对各个用户的属性信息进行评分，或，以各个用户对应的账户是否使用恶意IP地址、代理IP地址和所述核心分析维度和所述协同分析维度分别包括的各个子维度是否超过其设置的对应门限为依据对各个用户的属性信息进行评分； 第四划分子模块，用于将对各个用户的各项评分求和，得到各个用户的总评分，将对各个用户的总评分与预置的评分阈值进行比较，将大于或等于所述评分阈值的用户划分为可疑用户，将小于所述评分阈值的用户划分为非可疑用户； 所述清理模块，还用于根据被划分为可疑用户的数量对所述应用程序进行数据清理。
27.根据权利要求15所述的系统，其特征在于，所述应用程序的反作弊系统还包括: 用户数统计模块，用于实时统计对所述应用程序操作的总用户数和对所述应用程序进行操作的所有用户中恶意用户的个数； 比例分析模块，用于计算所述应用程序中恶意用户占总用户数的占比，将所述占比与预置的占比阈值进行比较； 限制模块，用于若超过所述占比阈值，将从计算所述占比之后的一段时间内对所述应用程序的操作请求发送到实时限制系统，若对所述应用程序的操作请求由恶意用户进行，触发所述实时限制系统对恶意用户的操作请求进行限制。
28.根据权利要求15或26所述的装置，其特征在于，所述清理模块，具体用于清理所述应用程序中恶意用户的操作记录；或，清理所述应用程序中恶意用户和可疑用户的操作记录；或，判断所述恶意用户的数量是否大于预置的恶意用户阈值，若大于所述恶意用户阈值，清理所述应用程序中所有用户的操作记录；或，判断所述恶意用户所占总用户数的占比是否大于预置的恶意用户占比阈值，若大于所述恶意用户占比阈值，清理所述应用程序中所有用户的操作记录。
【文档编号】G06F21/55GK104424433SQ201310370271
【公开日】2015年3月18日 申请日期:2013年8月22日 优先权日:2013年8月22日
【发明者】钱淑钗, 徐东山, 王翔 申请人:腾讯科技（深圳）有限公司