虚拟资产保护方法、系统、设备及存储介质与流程

本发明涉及网络安全技术领域，尤其涉及一种对虚拟资产发放进行后置判断的虚拟资产保护方法、系统、设备及存储介质。

背景技术：

业务方进行各种营销手段，其中包括积分赠送、优惠券赠送等。例如，用户每日登录赠送一定积分，新用户注册赠送一定积分，参加特定的活动而获得指定优惠券，对订单进行评价获取积分等等。然而，随着公司业务的增长，各种营销活动向外无安全保护推出，会导致公司资产大量损失。例如，可能会有用户注册多个账号，骗取积分和优惠券。由于企业在初期的积分赠送环节中均没有安全的保护，实时拦截积分的盗刷行为十分难以实现。

如果采用前置的方式对积分等虚拟资产发放进行拦截，即先判断用户申请积分的行为是否正常，再做积分赠送，对业务的侵入太大。

技术实现要素：

针对现有技术中的问题，本发明的目的在于提供一种虚拟资产保护方法、系统、设备及存储介质，对虚拟资产发放进行后置判断，不侵入现有的业务逻辑，实时追回非正当手段获取的虚拟资产，降低业务资产损失。

本发明实施例提供一种虚拟资产保护方法，所述方法包括如下步骤：

获取预先设定的数据标记规则集，所述数据标记规则集包括多种数据维度分别对应的异常标签标记条件；

实时采集虚拟资产发放至用户账户的通知事件，所述通知事件包括虚拟资产发放事件的各个维度的数据；

针对每条通知事件分析所述虚拟资产发放事件中的各个维度，根据所述数据标记规则集对各个维度的数据进行标记；

将标记有异常标签的数据所对应的虚拟资产从用户账户中扣除。

可选地，采用消息中间件实时采集虚拟资产发放至用户账户的通知事件。

可选地，采用storm集群对采集到的通知事件进行流处理，实时分析每条通知事件中的数据。

可选地，获取预先设定的数据标记规则集，包括如下步骤：

获取预先设定的数据标记规则集编译成的可执行文件，将所述可执行文件加载到所述storm集群中服务器的内存。

可选地，还包括如下步骤：

采集历史虚拟资产发放事件的数据并分别对各个维度的数据进行离线统计；

根据所述数据标记规则集对各个维度的数据进行标记。

可选地，采集预定统计时间内的虚拟资产发放事件的数据并分别对各个维度的数据进行统计，包括如下步骤：

采集历史虚拟资产发放事件的数据构建hive表；

根据所述hive表对各个维度的数据进行统计。

可选地，所述数据标记规则集包括如下规则中的一种或多种：

预定时间内，一维度的同一数据出现的次数大于预设次数阈值时，将该维度的数据加贴异常标签；

预定时间内，一维度的同一数据出现的时长大于预设时长阈值时，将该维度的数据加贴异常标签；

一维度的同一数据对应的另一维度的数据的个数大于预设个数阈值时，将该同一数据加贴异常标签。

可选地，所述维度包括用户的用户名、设备信息、用户身份证明信息、浏览器信息、生物识别信息、ip地址和联系方式中的至少一种。

可选地，还包括如下步骤：

获取规则引擎发布的场景文件包，所述场景文件包包括各个预设场景下的至少一个数据标记规则集。

可选地，针对每条通知事件分析所述虚拟资产发放事件的场景；

从所述场景文件包中查找与该事件的场景所对应的数据标记规则集；

根据所对应的数据标记规则集对该事件的数据进行标记。

可选地，所述场景文件包还包括各个预设场景的分流策略和执行策略，所述分流策略包括所对应场景中多个数据标记规则集的查找策略，所述执行策略包括各个所述数据标记规则集中多个规则的执行策略。

可选地，还包括如下步骤：

所述规则引擎获取用户上传的分流策略插件和执行策略插件；

所述规则引擎获取用户在预设场景下配置的数据标记规则集数据；

所述规则引擎生成待发布的场景文件包；

所述规则引擎将待发布的场景文件包编译成可执行的class文件。

可选地，所述预设场景包括登录场景、退出场景、注册场景、营销活动场景和评价场景中的至少一种。

可选地，所述虚拟资产包括积分、优惠券。

本发明实施例还提供一种虚拟资产保护系统，用于实现所述的虚拟资产保护方法，所述系统包括：

规则获取模块，用于获取预先设定的数据标记规则集，所述数据标记规则集包括多种数据维度分别对应的异常标签标记条件；

通知事件获取模块，用于实时采集虚拟资产发放至用户账户的通知事件，所述通知事件包括虚拟资产发放事件的各个维度的数据；

数据标记模块，用于针对每条通知事件分析所述虚拟资产发放事件中的各个维度，根据所述数据标记规则集对各个维度的数据进行标记；

资产处理模块，用于将标记有异常标签的数据所对应的虚拟资产从用户账户中扣除。

本发明实施例还提供一种虚拟资产保护设备，包括：

处理器；

存储器，其中存储有所述处理器的可执行指令；

其中，所述处理器配置为经由执行所述可执行指令来执行所述的虚拟资产保护方法的步骤。

本发明实施例还提供一种计算机可读存储介质，用于存储程序，所述程序被执行时实现所述的虚拟资产保护方法的步骤。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

本发明所提供的虚拟资产保护方法、系统、设备及存储介质具有下列优点：

本发明对虚拟资产发放行为进行后置判断，通过调用业务安全风控api，进行实时的风险计算，根据风险结果，以安全的名义实时对当前非法获取的积分进行追回；以规则引擎为中心，针对不同的业务，可实时配置不同的策略进行安全防护，按照不同的场景可做到各种不同的数据统计；对各个业务点零侵入，并且能更好地进行公司资产保护。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显。

图1是本发明一实施例的虚拟资产保护方法的流程图；

图2是本发明一实施例的分场景进行数据标记的流程图；

图3是本发明一实施例的规则引擎建立规则集的流程图；

图4是本发明一实施例的虚拟资产保护系统的结构示意图；

图5是本发明一实施例的虚拟资产保护设备的结构示意图；

图6是本发明一实施例的计算机可读存储介质的结构示意图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。

此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

如图1所示，为了解决上述技术问题，本发明实施例提供一种虚拟资产保护方法，包括如下步骤：

s100：获取预先设定的数据标记规则集，数据标记规则集包括多种数据维度分别对应的异常标签标记条件；

s200：实时采集虚拟资产发放至用户账户的通知事件，通知事件包括虚拟资产发放事件的各个维度的数据；

s300：针对每条通知事件分析虚拟资产发放事件中的各个维度，根据数据标记规则集对各个维度的数据进行标记，即首先查找各个维度所对应的异常标签标记条件，对其中满足对应的异常标签标记条件的数据加贴异常标签；

s400：将标记有异常标签的数据所对应的虚拟资产从用户账户中扣除。具体可以将虚拟资产扣除信息通过应用程序编程接口发送至现有的积分管理系统，以安全的名义扣除非正常获取的积分。

因此，本发明通过对虚拟资产发放进行后置判断，根据预设的数据标记规则集对各个维度的数据进行风险标记，不侵入现有的业务逻辑，实时追回非正当手段获取的虚拟资产，可以大大降低业务资产损失。

本发明中虚拟资产指的是积分、优惠券等发放到用户账户中的虚拟资产。在下方的实施例中，将以积分为例进行介绍，但本发明的保护范围不限于此。

在该实施例中，采用消息中间件实时采集虚拟资产发放至用户账户的通知事件，具体地，可以通过消费积分赠送的异步消息系统hermes采集通知事件，通过调用业务安全风控api(应用程序编程接口)，进行实时的风险计算。从而可以实现不侵入任何现有的业务逻辑，即可以获取实时的积分发放数据。

进一步地，该实施例中采用storm集群对采集到的通知事件进行流处理，实时分析每条通知事件中的数据。storm是一个免费开源、分布式、高容错的实时计算系统。storm令持续不断的流计算变得容易，弥补了hadoop批处理所不能满足的实时要求。因此，storm是分布式实时计算，强调实时性。可以对每条通知事件中的数据进行处理，实现实时处理积分发放事件，及时追回非法获取的积分。storm集群中的任务成为topology，该实施例通过topology组件对采集的通知事件进行流处理。

另外，由于storm集群一般是处理当前的实时数据，对于采用本发明的方法之前的历史积分发放事件数据则无法进行处理。考虑到只处理当前的实时数据来判断数据的合法性和非法性具有一定的片面性，不能全面反映企业积分发放的现状。因此，在该实施例中，进一步增加了对虚拟资产发放事件的数据的历史数据清洗的步骤。该虚拟资产保护方法还包括如下步骤：

采集历史虚拟资产发放事件的数据并分别对各个维度的数据进行离线统计；然后根据数据标记规则集对各个维度的数据进行标记。

具体地，在该实施例中，基于hive等离线的方式，进行历史数据清洗，例如首先根据采集到的历史虚拟资产发放事件的数据构建hive表；然后根据hive表对各个维度的数据进行统计。hive是基于hadoop的一个数据仓库工具，可以将结构化的数据文件映射为一张数据库表，并提供简单的sql查询功能。

对于积分发放来说，可以将应用本发明的虚拟资产保护方法之前的积分发放数据进行统计，分析历史数据中是否存在非法数据，将该数据进行标记；在实时分析积分发放事件时，如果有与加贴异常标签的数据出现，则将该数据对应的积分追回。例如，在分析历史数据时，发现有一个ip地址在过去2小时内登录次数超过100次，则可以认为该ip地址对应恶意用户，将该ip地址加贴异常标签。当检测到新的积分发放事件中有发放至该ip地址对应的用户账户时，可以将新发放的积分追回。

在该实施例中，将storm集群和规则引擎进行结合，进行各种维度数据的计算。各种维度可以是预设的不同维度，例如包括用户的用户名、设备信息、用户身份证明信息、浏览器信息、生物识别信息、ip地址和联系方式中的至少一种，但不限于此。设备信息可以是电脑的mac地址、显卡编号等等信息，用户身份证明信息可以是身份证号、工作证号、学生证号等等，生物识别信息可以是指纹、语音等等，联系方式可以是注册时填写的手机号码、家庭住址等等。

数据标记规则集可以包括如下规则中的一种或多种：

预定时间内，一维度的同一数据出现的次数大于预设次数阈值时，将该维度的数据加贴异常标签；例如，在1小时内，同一ip地址登录次数超过100次，说明可能有一个用户掌握多个非正常账号，轮流登录换取积分的情况；在10分钟内，同一用户设备注册新账号次数超过50次等等，说明可能有同一用户在短时间内注册多个非正常账号的情况；

预定时间内，一维度的同一数据出现的时长大于预设时长阈值时，将该维度的数据加贴异常标签；例如，在1小时内，同一ip地址登录累计时长超过1小时，说明该ip地址对应多个账号同时在挂机，如果超过的倍数过多，说明挂机的账号很多，可能是通过多个账号挂机来骗取积分；

一维度的同一数据对应的另一维度的数据的个数大于预设个数阈值时，将该同一数据加贴异常标签；例如，在统计过程中发现，同一个ip地址对应有50个用户名，或同一台登录设备对应有100个用户名等等，可以判断为同一用户采用多个账号进行骗取积分的情况。

进一步地，也可以根据其他几个维度来判断同一用户注册多个账号的情况。例如每两个用户之间维度和所对应的维度值均相同的维度个数，如果相同的维度个数大于或等于一个预设阈值，则对应的两个用户归并为同一用户，否则对应的两个用户确定为两个不同的用户。例如两个用户的设备信息、ip信息、浏览器信息、账号信息和生物识别信息五个维度中有至少三个维度是一致的，即可以认为该两个用户为同一个用户。如果在一个集中时间段内相同的用户很多，则可以判断存在异常情况。

进一步地，在该实施例中，采用规则引擎可以做到实时的规则发布，并且可以按照不同的场景进行不同的数据统计，能更好地进行公司资产保护。

如图2所示，所述获取预先设定的数据标记规则集，包括如下步骤：

s110：获取规则引擎发布的场景文件包，获取的场景文件包为规则引擎编辑的可执行文件，例如class文件，场景文件包包括各个预设场景下的至少一个数据标记规则集；

s120：将可执行文件加载到storm集群中服务器的内存。

在基于场景文件包进行数据标记时，包括如下步骤：

s310：针对每条通知事件分析虚拟资产发放事件的场景；

s320：从场景文件包中查找与该事件的场景所对应的数据标记规则集；

s330：根据所对应的数据标记规则集对该事件的数据进行标记。

预设场景可以包括登录场景、退出场景、注册场景、营销活动场景和评价场景中的至少一种。例如，当一个积分发放事件是用户每日第一次登录奖励积分，则对应登录场景，在登录场景下查找到的数据标记规则集包括的维度有ip地址、用户名、设备号和mac地址，则分别对该积分发放事件的对应维度的数据进行统计。如果该积分发放事件中ip地址之前已经出现过，则将其出现次数加1，如果增加后的ip地址出现次数大于预设阈值，则将该ip地址标记为异常数据，加贴异常标签。

进一步地，由于场景文件包中可能包括多个规则集，每个规则集中包括多个规则，为了决定规则集和规则的执行顺序，因此场景文件包还可以进一步包括各个预设场景的分流策略和执行策略，分流策略包括所对应场景中多个数据标记规则集的查找策略，执行策略包括各个数据标记规则集中多个规则的执行策略。

如图3所示，该实施例中，虚拟资产保护方法还可以包括如下步骤：

s510：规则引擎获取用户上传的分流策略插件和执行策略插件；

s520：规则引擎获取用户在预设场景下配置的数据标记规则集数据；

s530：规则引擎生成待发布的场景文件包，该场景文件包即包括分流策略、执行策略以及数据标记规则集数据；

s540：规则引擎将待发布的场景文件包编译成可执行的class文件。

因此，采用该规则引擎，可以实现规则的自行配置。同时可以收集各业务单元的行为及业务逻辑数据，进行各种规则、模型的训练，形成各维度的规则集。对每种活动或者每种优惠可以通过规则引擎灵活配置规则，进行不同的风险防护。风险数据可以来自于所有风险点的数据计算，比如login,register,爬虫等非法账号都可以作为积分防护的底层数据源。由于该规则引擎生成可执行的class文件，可以直接将规则下发至storm集群，实时生效，无需服务启动。并且可以动态添加各种分流策略和执行策略，降低运维人员的风险规则维护成本；按照不同的业务需求和不同的场景，可以做到实时的数据统计，做到更好地安全保障。

在采用该规则引擎时，当发起新的优惠信息时，可以随时新增新的规则集。例如，企业新开展了一个优惠活动，当日首笔消费满20送1000积分。如果不设置新的规则，则可能有用户一个人注册很多个账户，分别消费满20即可以获取1000积分，从而削弱了该优惠活动的推广力度，并且也造成了企业资源的不当流失。因此，可以增加设置一个该优惠活动所对应的场景文件包，该场景下增加数据标记规则集，在发放积分后，根据多个维度判断是否存在同一用户盗刷的现象并将异常积分追回。

分场景设置规则集的意义还在于，不同场景下的对于同一维度的异常判断条件可以设置为不同。例如，对于当日首日登录送100积分的场景，同一ip地址登录次数超过100次，则将该ip地址加贴异常标签。而对于当日消费满20送1000积分的场景，同一ip地址登录次数超过50次，即将该ip地址加贴异常标签。因为后者赠送的积分更多，盗刷现象对于企业资产的流失造成的影响更严重。

如图4所示，本发明实施例还提供一种虚拟资产保护系统，用于实现所述的虚拟资产保护方法，所述系统包括规则获取模块100、通知事件获取模块200、数据标记模块300和资产处理模块400，其中：

所述规则获取模块100获取预先设定的数据标记规则集，所述数据标记规则集包括多种数据维度分别对应的异常标签标记条件；

所述通知事件获取模块200实时采集虚拟资产发放至用户账户的通知事件，所述通知事件包括虚拟资产发放事件的各个维度的数据；

所述数据标记模块300针对每条通知事件分析所述虚拟资产发放事件中的各个维度，根据所述数据标记规则集对各个维度的数据进行标记；

所述资产处理模块400将标记有异常标签的数据所对应的虚拟资产从用户账户中扣除。

进一步地，为了实现规则的设定和增加，还可以增加规则引擎模块，获取用户上传的分流策略插件和执行策略插件；获取用户在预设场景下配置的数据标记规则集数据；生成待发布的场景文件包；将待发布的场景文件包编译成可执行文件。该实施例在企业全行为及业务埋点，通过storm集群和规则引擎进行各种维度数据计算，可做到实时的规则发布，按照不同的场景进行不同的数据统计，并且对各业务点零侵入，又能更好地进行公司资产保护。

本发明实施例还提供一种虚拟资产保护设备，包括处理器；存储器，其中存储有所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行所述的虚拟资产保护方法的步骤。

所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“平台”。

下面参照图5来描述根据本发明的这种实施方式的电子设备600。图5显示的电子设备600仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图5所示，电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于：至少一个处理单元610、至少一个存储单元620、连接不同平台组件(包括存储单元620和处理单元610)的总线630、显示单元640等。

其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元610执行，使得所述处理单元610执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。例如，所述处理单元610可以执行如图1中所示的步骤。

所述存储单元620可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(ram)6201和/或高速缓存存储单元6202，还可以进一步包括只读存储单元(rom)6203。

所述存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204，这样的程序模块6205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线630可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备600交互的设备通信，和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口650进行。并且，电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备600使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储平台等。

本发明实施例还提供一种计算机可读存储介质，用于存储程序，所述程序被执行时实现所述的虚拟资产保护方法的步骤。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。

参考图6所示，描述了根据本发明的实施方式的用于实现上述方法的程序产品800，其可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。

所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

本发明所提供的虚拟资产保护方法、系统、设备及存储介质具有下列优点：

本发明对虚拟资产发放行为进行后置判断，通过调用业务安全风控api，进行实时的风险计算，根据风险结果，以安全的名义实时对当前非法获取的积分进行追回；以规则引擎为中心，针对不同的业务，可实时配置不同的策略进行安全防护，按照不同的场景可做到各种不同的数据统计；对各个业务点零侵入，并且能更好地进行公司资产保护。

以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。