非法用途资源的识别方法和装置与流程

本申请涉及网络通信技术领域，尤其涉及一种非法用途资源的识别方法和装置。

背景技术：

在互联网商务和互联网金融蓬勃发展的同时，借助于互联网进行的作弊、欺诈等非法活动也渐趋多样化。例如，商家在电子商务中以低于成本的价格做营销活动时，通常对购买数量有所限制，欺诈分子通过注册新用户等手段，批量骗取商家的营销商品，再以市场价格专卖来获取利益。再如，对可以通过网上申请的信用贷款或信用卡，一些中介机构专门以帮助申请人伪造信息骗取贷款或信用卡来获利，而发放贷款或信用卡的金融机构则要承担不可预知的风险。

一种可以用来防范上述非法活动的方法是对欺诈分子使用的IP(Internet Protocol，互联网协议)地址进行识别。现有技术中，对这些从事非法用户的IP地址的识别主要通过IP地址自身的属性来进行。例如，通过IP地址的号段或采用地理定位来判断某个IP是否为境外IP、通过检测80端口是否开放来判断某个IP是否为IDC类的IP、通过解析报文结构来判断某个IP是否为代理IP，如果是境外IP、IDC类的IP或代理IP，则认为该IP地址具有相当大的欺诈风险。

为了规避这种识别方式，有的欺诈分子掌握一定数量的普通IP地址(即与常规合法用户使用的IP地址在号段、报文结构、开放端口等方面无差异的IP地址)，并利用这些普通IP地址从事非法活动。而现有的识别方式对这种采用普通IP地址的非法活动难以防范。

技术实现要素：

有鉴于此，本申请提供一种非法用途资源的识别方法，包括：

通过用户发起的业务请求获取用户使用的资源标识；

基于预定时间段内使用所述资源标识的所有用户，统计所述资源标识的用户特征；

在用户特征满足预设判定条件时，将所述资源标识作为非法用途资源标识。

本申请还提供了一种非法用途资源的识别装置，包括：

资源标识获取单元，用于通过用户发起的业务请求获取用户使用的资源标识；

用户特征统计单元，用于基于预定时间段内使用所述资源标识的所有用户，统计所述资源标识的用户特征；

非法用途判定单元，用于在用户特征满足预设判定条件时，将所述资源标识作为非法用途资源标识。

由以上技术方案可见，本申请的实施例中，以预定时间段内使用某个资源标识的所有用户为基础，统计出该资源标识的用户特征，并依据用户特征来对该资源是否用于非法用途进行判定，从而能够根据用户对资源的动态使用情况、非法使用资源的用户特点来识别用于非法用途的资源，在应用于非法IP地址识别时无需利用IP地址的静态属性，能够防范利用普通IP地址进行的非法活动。

附图说明

图1是本申请实施例中一种非法用途资源的识别方法的流程图；

图2是本申请应用示例中服务器对用户发起的业务请求的处理流程图；

图3是应用本申请实施例的设备的一种硬件结构图；

图4是本申请实施例中一种非法用途资源的识别装置的逻辑结构图。

具体实施方式

所有的互联网业务活动都需要基于物理或逻辑的互联网资源来进行，例如，终端设备、网络地址等。当某个资源用于非法用途时，使用该资源进行互联网业务的用户通常会具备一定的特点，例如，在较短时间内常常有很多不同的用户使用该资源；再如，使用该资源的用户中往往很少是经常使用该资源的用户。利用互联网业务活动中传递给服务端的资源标识，可以对使用该资源标识的用户的一个到多个特点进行统计，当统计结果符合非法用途资源所具备的特点时，可以认为该资源用于非法用途。

因此，本申请的实施例提出一种新的非法用途资源的识别方法，从终端侧发起的业务请求获取提取资源标识，对预定时间段内使用该资源标识的用户特征进行统计，并利用统计出的用户特征来识别该资源是否用于非法用途，从而实现了利用使用资源的用户行为特点、而不是资源本身属性的特点来识别资源的非法用途，以解决现有技术存在的问题。

本申请的实施例可以应用在任何具有计算和存储能力的设备上，例如可以是手机、平板电脑、PC(Personal Computer，个人电脑)、笔记本、服务器、虚拟机等物理设备或逻辑设备；也可以由两个或两个以上分担不同职责的物理或逻辑设备、相互协同来实现本申请实施例中的各项功能。

本申请的实施例中，非法用途资源的识别方法的流程如图1所示。

步骤110，通过用户发起的业务请求获取用户使用的资源标识。

基于互联网的各种面向用户的业务通常采用B/S(Browser/Server，浏览器/服务器)模式或C/S(Client/Server，客户端/服务器)模式。这些模式下，当用户希望利用某项在网络上进行的业务服务时，通过其使用的设备向服务端发起业务请求。在用户设备与服务端建立通信、和/或发起业务请求的过程中，服务端可以得到用户所使用的资源标识。

本申请的实施例中，资源标识可以是任何一种用户在进行网络业务时要使用的物理资源或逻辑资源的唯一标识。举例而言，资源是用户设备时，可以将设备标识作为其资源标识，对移动终端可以是IMEI(International Mobile Equipment Identity，国际移动设备标识)或MAC(Media Access Control，媒介接入控制)地址；资源是用户占用的网络地址时，可以将IP地址作为其资源标识。可以根据实际应用场景中可获得的用户使用的资源标识、采用何种资源标识易于控制业务流程等因素，来选择要识别非法用途的资源标识，本申请的实施例不做限定。

服务端基于业务请求获取用户使用的资源标识的具体方式与资源的类型和业务的运行模式有关，本领域技术人员可以参考现有技术选择适合的一种获取方式。例如，对C/S模式中以IMEI或MAC作为资源标识的场景，当客户端启动运行时，会与服务端建立长连接，在建立长连接的过程中，客户端通常会向服务端发送其用户设备的相关信息，包括IMEI和MAC；在客户端基于已建立的长连接向服务端发送业务请求后，服务端可以由长连接得到对应的IMEI和MAC。再如，对C/S模式或B/S模式中以IP地址作为资源标识的场景，在用户设备与服务端的通信过程中，根据通信协议其交互的报文中将带有用户所使用的IP地址，服务端可以从业务请求中得到资源标识。

步骤120，基于预定时间段内使用该资源标识的所有用户，统计该资源标识的用户特征。

步骤130，在统计出的用户特征满足预设判定条件时，将该资源标识作为非法用途资源标识。

在收到用户发起的业务请求，以该业务请求为基础得到用户使用的资源标识。服务端提取预定时间段内所有使用该资源标识的用户，统计这些用户的用户特征，来作为该资源标识的用户特征。

如前所述，当某个资源标识(即具有该标识的资源)用于非法用途时，使用该资源标识的用户通常会具备一定的特点，具体的特点与资源类型、业务的特性等因素相关。可以根据资源类型、业务特性等因素，提炼实际应用场景中使用非法用途的资源标识的用户所具有的特点、和这些特点在满足怎么样的条件时可以认定用于非法用途，将与这些特点相匹配的统计项目作为用户特征，将这些特点要满足的条件作为预设判定条件，从而根据统计出的用户特征是否满足预设判定条件来判定其合法或非法用途。本申请的实施例对用户特征和预设判定条件的选取不做限定。

在大多数应用场景中，由于不法分子通常会在所掌握的资源上采用很多个用户账户的方式实施恶意的业务行为，因此在非法用途的资源标识往往在短时间内会聚集很多的用户。聚集的用户总数量越多，该资源标识被用作非法用途的可能性越高。可以将预定时间段内使用该资源标识的用户总数量作为用户特征，将用户总数量超过预设的用户数特征阈值作为预设判定条件，当预定时间段内使用该资源标识的用户数量超过用户数特征阈值时，将该资源标识作为非法用途资源标识。

在一些应用场景中，服务端维护有各个用户的常用资源标识，常用资源标识是用户对某个资源标识的历史使用特征符合预设常用资源条件的资源标识，使用常用资源标识的用户称为可信用户。现有技术中，很多业务服务提供方都在服务端保存有常用资源标识库，通过记录和统计用户在与服务端的业务交互过程中使用的设备标识、网络资源标识或其他资源标识，将满足一定条件的资源标识保存为某个用户的常用资源标识；此外，有的应用场景中也将用户绑定的设备标识作为该用户的常用设备标识。对某个用户而言，某个资源标识是否为常用资源标识的判定方法可以参照现有技术实现，不再赘述。

在这些应用场景中，如果某个资源标识用作非法用途，使用该资源标识的大多数用户通常不是该资源标识的可信用户，使用该资源标识的可信用户越少，该资源标识被用作非法用途的可能性越高。因此，可以将在预定时间段内使用某个资源标识的可信用户数量、与使用该资源标识的用户总数量的比值作为用户特征，将可信用户数量与用户总数量的比值小于行为特征阈值作为预设判定条件，当预定时间段内在该资源标识上的可信用户相对于用户总数量的占比不到行为特征阈值时，将该资源标识作为非法用途资源标识。

需要说明的是，服务端维护的用户常用资源标识可能包括两种或两种以上的资源标识，可以根据实际应用场景的业务需要，将能够通过业务请求获取的资源标识中一种到多种资源标识为常用资源标识的用户作为可信用户。例如，服务端根据用户对某个设备标识的历史使用记录生成该设备标识的历史使用特征，当该设备标识的历史使用特征符合第一常用资源条件时，服务端将该设备标识作为该用户的常用设备标识保存在常用资源标识库中；类似的，服务端根据用户对某个IP地址的历史使用记录生成IP地址的历史使用特征，当该IP地址的历史使用特征符合第二常用资源条件时，服务端将该IP地址作为该用户的常用IP地址保存在常用资源标识库中；在这个例子中，假设可以通过用户发起的业务请求获取到用户使用的设备标识和用户使用的IP地址，则既可以在所获取的设备标识是常用资源标识库中该用户的常用设备标识、并且所获取的IP地址是常用资源标识库中该用户的常用IP地址时，将该用户作为可信用户；也可以在所获取的设备标识是常用资源标识库中该用户的常用设备标识、或所获取的IP地址是常用资源标识库中该用户的常用IP地址时，将该用户作为可信用户。

另外，在上述应用场景中，可以将预定时间段内使用某个资源标识的用户总数量、和预定时间段内使用该资源标识的可信用户数量与用户总数量的比值，一并作为用户特征；并将同时满足用户总数量超过用户数特征阈值、并且可信用户数量与用户总数量的比值小于行为特征阈值作为预设判定条件。由于同时考虑了资源标识上聚集的用户数量和可信用户占比，这种方式具有更高的可靠性，能够更为准确的定位用作非法用途的资源标识。

当通过一个业务请求获取的资源标识被判定为非法用途资源标识后，可以在该业务请求中添加可疑业务标记，以便将该业务请求被判定为非法业务请求的事实通知负责进行后续业务处理的功能模块，供其按照可疑业务的业务逻辑进行处理。

当一个资源标识被判定为非法用途资源标识后，后续服务端往往仍会在较短时间内收到基于该资源标识发起的业务请求。为了避免对该非法用途资源标识做多次判定并加快对非法业务请求的处理过程，可以在服务端维护非法用途资源库，用来保存已经被判定为非法用途资源标识的资源标识。具体而言，可以在将某个资源标识作为非法用途资源标识后，将该资源标识添加在非法用途资源库中；在通过用户发起的业务请求获取用户使用的资源标识后，在非法用途资源库中查找所获取的资源标识；如果找到该资源标识，则直接将该业务请求作为非法业务请求处理；如果未找到该资源标识，再执行步骤120，基于预定时间段内使用该资源标识的所有用户，统计该资源标识的用户特征。

可见，本申请的实施例中，从用户发起的业务请求得到用户使用的资源标识，以预定时间段内使用某个资源标识的所有用户为基础，统计出该资源标识的用户特征，并利用统计出的用户特征来识别该资源是否用于非法用途，从而实现了利用使用资源的用户行为特点、而不是资源本身属性的特点来识别资源的非法用途，在应用于非法IP地址识别时能够防范利用普通IP地址进行的非法活动。

在本申请的一个应用示例中，金融机构的信用贷款服务器在服务端维护有非法IP地址库(非法用途资源库)，其中保存有被判定或被证实曾经用于贷款欺诈的IP地址。另外，服务端还维护有用户常用资源标识库，其中保存有根据历史使用记录被认为是用户常用资源标识的常用MAC地址和常用IP地址。

当用户发起的贷款业务请求到达服务器后，服务器的处理流程如图2所示。

步骤201，接收用户通过其使用的设备发起的贷款业务请求。

步骤202，服务器从接收的贷款业务请求中提取用户使用的IP地址，在非法IP地址库中查找是否有用户使用的IP地址，如果有，转步骤210；如果没有，执行步骤203；

步骤203，服务器根据贷款业务请求获取用户使用设备的MAC地址。根据服务端与客户端的业务流程，可以从贷款业务请求中提取、通过客户端应用程序的内置接口获取、或者从客户端与服务器建立连接时上传的设备信息中提取并保存。

步骤204，在服务端的常用资源标识库中查找该用户的常用IP地址和常用MAC地址；如果用户使用的IP地址是常用IP地址、或者用户使用设备的MAC地址是常用MAC地址，则执行步骤205；否则将本次贷款业务请求标记为使用非常用资源。

步骤205，将本次贷款业务请求标记为使用常用资源，转步骤207。

步骤206，将本次贷款业务请求标记为使用非常用资源。

步骤207，统计预定时间段内(如从收到本次贷款业务请求时的之前3小时内、或以当前时间截止的过去1天内)，使用该IP地址发起的所有贷款业务请求中被标记为使用常用资源的用户的数量n₁、和被标记为使用非常用资源的用户的数量n₂。计算预定时间段内使用该IP地址发起贷款业务请求的用户总数量Total＝n₁+n₂、和使用常用资源的用户占比Ratio＝n₁/(n₁+n₂)。

步骤208，判断是否满足Total>N_s并且Ratio<N_r，其中，为。如果否，该贷款业务请求中的IP地址没有欺诈嫌疑，转步骤210，将该贷款业务请求输出到负责执行业务逻辑的下一个功能模块，否则执行步骤209。其中，N_s为用户数特征阈值，N_r为行为特征阈值，可以根据贷款业务的类型、所面向的用户群等情况来确定；例如在一种贷款业务中，可以取N_s为20，N_r为0.2。

步骤209，将该贷款业务请求中的IP地址添加到非法IP地址库中。

步骤210，在该贷款业务请求中添加可疑业务标记后，将该贷款业务请求输出到执行业务逻辑的下一个功能模块。

执行业务逻辑的下一个功能模块将按照常规的业务逻辑处理不带有可疑业务标记的贷款业务请求，而按照对疑似欺诈申请的业务逻辑来处理带有可疑业务标记的贷款业务请求。

与上述流程实现对应，本申请的实施例还提供了一种非法用途资源的识别装置，该装置可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为逻辑意义上的装置，是通过所在设备的CPU(Central Process Unit，中央处理器)将对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，除了图3所示的CPU、内存以及非易失性存储器之外，非法用途资源的识别装置所在的设备通常还包括用于进行无线信号收发的芯片等其他硬件，和/或用于实现网络通信功能的板卡等其他硬件。

图4所示为本申请实施例提供的一种非法用途资源的识别装置，包括资源标识获取单元、用户特征统计单元和非法用途判定单元，其中：资源标识获取单元用于通过用户发起的业务请求获取用户使用的资源标识；用户特征统计单元用于基于预定时间段内使用所述资源标识的所有用户，统计所述资源标识的用户特征；非法用途判定单元用于在用户特征满足预设判定条件时，将所述资源标识作为非法用途资源标识。

可选的，所述用户特征包括：预定时间段内使用所述资源标识的用户总数量；所述预设判定条件包括：所述用户总数量超过用户数特征阈值。

一个例子中，所述用户特征包括：预定时间段内使用所述资源标识的用户总数量、和预定时间段内使用所述资源标识的可信用户数量与用户总数量的比值；所述可信用户为通过业务请求获取的至少一种资源标识的历史使用特征符合预设常用资源条件的用户；所述预设判定条件包括：所述用户总数量超过用户数特征阈值，并且所述可信用户数量与用户总数量的比值小于行为特征阈值。

上述例子中，所述通过用户发起的业务请求所获取的用户使用的资源标识包括：用户使用的设备标识和用户使用的IP地址；所述可信用户包括对设备标识的历史使用特征符合第一常用资源条件的用户、或对IP地址的历史使用特征符合第二常用资源条件的用户。

可选的，所述装置还包括非法资源标识库查询单元，用于在通过用户发起的业务请求获取用户使用的资源标识后，在非法用途资源库中查找所述资源标识；所述用户特征统计单元具体用于：当非法用途资源库中不包括所述资源标识时，基于预定时间段内使用所述资源标识的所有用户，统计所述资源标识的用户特征；所述装置还包括非法资源标识库更新单元，用于在将所述资源标识作为非法用途资源标识后，将所述资源标识添加在非法用途资源库中。

可选的，所述装置还包括可疑业务标记添加单元，用于在用户使用的资源标识为非法用途资源标识的业务请求中添加可疑业务标记，供后续业务流程中根据可疑业务标记进行业务处理。

可选的，所述资源标识为：用户使用的设备标识、或用户使用的IP地址。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。