异常行为的识别方法及装置与流程

本发明涉及通信领域，更为具体而言，涉及异常行为的识别方法及装置。

背景技术：

刷单，一般是由买家提供购买费用，帮指定的网店卖家购买商品提高销量和信用度。通过这种方式，网店可以获得较好的搜索排名，比如，在平台搜索时“按销量”搜索，该店铺因为销量大(即便是虚假的)会更容易被买家找到。为解决由刷单行为所造成的网络购物信息不对称的问题，需要识别这种行为。

在目前的现有技术中，通常采用阈值限制法识别刷单操作，具体而言，通过用户的唯一身份信息(例如用户的账号、联系电话、使用的客户端的设备号)，来识别该用户在一段时间内(例如一天)发生某种行为(比如下单)的次数，若行为次数超过了阈值，则识别该用户进行刷单操作。

然而，由于用户的唯一身份信息易攻破，比如通过买卖账号、买卖虚拟手机号、篡改设备号等方式，就可以产生新的唯一性用户，从而使得其刷单操作不被识别出来。因此，现有技术中的阈值限制法存在可靠性低的问题。

技术实现要素：

经过长期的研究和观察，发明人发现对于现阶段执行刷单操作的客户端而言，其在加速度向量、无线接入点名称、设备名称、以及通信记录(短信记录或者通话记录)等方面与正常客户端存在显著区别，从这些方面中的至少一种入手，就能够直接地识别当前客户端是否为执行刷单操作的异常客户端。由此，即使在刷单用户攻破了账号、联系电话以及设备号的唯一性的情况下，也能够有效和可靠地对刷单操作进行识别。

此外，发明人还发现相对于现有技术中的唯一身份信息(账号、联系电话、或者设备号)而言，支付账号的唯一性攻破成本较高，因此即使在刷单用户攻破了账号、联系电话以及设备号的唯一性的情况下，基于支付账号也能够有效和可靠地对刷单操作进行识别。

基于上述分析，本发明提供一种异常行为的识别方法及装置。

一方面，所述方法包括：

获取客户端的验证信息；

根据所述验证信息识别刷单行为；

其中，所述验证信息包括至少两个加速度向量、无线接入点名称、设备名称、通信记录集、以及支付账号中的一种或多种。

在本发明的一些实施方式中，所述验证信息包括至少两个加速度向量，其中，所述根据所述验证信息识别刷单行为包括：

根据所述至少两个加速度向量识别所述客户端是否为模拟器；

若所述客户端为模拟器，则确定所述客户端执行刷单行为。

其中，所述根据所述至少两个加速度向量识别所述客户端是否为模拟器包括：

识别所述至少两个加速度向量是否相同；

若所述至少两个加速度向量相同，则确定所述客户端为模拟器。

由此利用了正常的客户端设备由于设置有陀螺仪，因此其加速度向量通常是在一定的范围内变化的，而现阶段模拟器的加速度向量是固定设置的特点，来有效和可靠地识别所述客户端是否为模拟器。

在本发明的一些实施方式中，所述验证信息包括无线接入点名称，其中，所述根据所述验证信息识别刷单行为包括：

识别所述无线接入点名称是否为随机字符串；

若所述无线接入点名称为随机字符串，则确定所述客户端执行刷单行为。

其中，所述识别所述无线接入点名称是否为随机字符串包括：

识别所述无线接入点名称是否包含除字母和数字以外的其他字符；

若所述无线接入点名称不包含所述其他字符，则计算出所述无线接入点名称的出现概率；

将所述出现概率与阈值进行比较；

若所述出现概率小于阈值，则确定所述无线接入点名称为随机字符串。

由此利用随机字符串通常由字母和数字构成且出现概率小于一定阈值的特点，来有效和可靠地识别无线接入点名称是否为随机字符串。

在本发明的一些实施方式中，所述验证信息包括设备名称，其中，所述根据所述验证信息识别刷单行为包括：

识别所述设备名称是否为随机字符串；

若所述设备名称为随机字符串，则确定所述客户端执行刷单行为。

其中，所述识别所述设备名称是否为随机字符串包括：

识别所述设备名称是否包含除字母和数字以外的其他字符；

若所述设备名称不包含所述其他字符，则计算出所述设备名称的出现概率；

将所述出现概率与阈值进行比较；

若所述出现概率小于阈值，则确定所述客户端的设备名称为随机字符串。

由此利用随机字符串通常由字母和数字构成且出现概率小于一定阈值的特点，来有效和可靠地识别设备名称是否为随机字符串。

在本发明的一些实施方式中，所述验证信息包括通信记录集，其中，所述根据所述验证信息识别刷单行为包括：

识别所述通信记录集是否具有与所述客户端提交的正确的验证码对应的通信记录(短信记录或者通话记录)；

若所述通信记录集不具有所述通信记录，则确定所述客户端执行刷单行为。

在本发明的一些实施方式中，所述验证信息包括支付账号，其中，所述根据所述验证信息识别刷单行为包括：

将所述支付账号的累计出现次数与阈值进行比较；

若所述累计出现次数大阈值，则确定所述客户端执行刷单行为。

另一方面，所述装置包括：

获取模块，用于获取客户端的验证信息；

识别模块，用于根据所述验证信息识别刷单行为；

其中，所述验证信息包括至少两个加速度向量、无线接入点名称、设备名称、通信记录集、以及支付账号中的一种或多种。

在本发明的一些实施方式中，所述验证信息包括至少两个加速度向量，其中，所述识别模块包括：

模拟器识别单元，用于根据所述至少两个加速度向量识别所述客户端是否为模拟器；

确定单元，用于在所述客户端为模拟器的情形下，确定所述客户端执行刷单行为。

其中，所述模拟器识别单元包括：

识别组件，用于识别所述至少两个加速度向量是否相同；

确定组件，用于在所述至少两个加速度向量相同的情形下，确定所述客户端为模拟器。

由此利用了正常的客户端设备由于设置有陀螺仪，因此其加速度向量通常是在一定的范围内变化的，而现阶段模拟器的加速度向量是固定设置的特点，来有效和可靠地识别所述客户端是否为模拟器。

在本发明的一些实施方式中，所述验证信息包括无线接入点名称，其中，所述识别模块包括：

无线接入点名称识别单元，用于识别所述无线接入点名称是否为随机字符串；

确定单元，用于在所述无线接入点名称为随机字符串的情形下，确定所述客户端执行刷单行为。

其中，所述无线接入点名称识别单元包括：

识别组件，用于识别所述无线接入点名称是否包含除字母和数字以外的其他字符；

计算组件，用于在所述无线接入点名称不包含所述其他字符的情形下，计算出所述无线接入点名称的出现概率；

比较组件，用于将所述出现概率与阈值进行比较。

确定组件，用于在所述出现概率小于阈值的情形下，确定所述无线接入点名称为随机字符串。

由此利用随机字符串通常由字符和数字构成且出现概率小于一定阈值的特点，来有效和可靠地识别无线接入点名称是否为随机字符串。

在本发明的一些实施方式中，所述验证信息包括设备名称，其中，所述识别模块包括：

设备名称识别单元，用于识别所述设备名称是否为随机字符串；

确定单元，用于在所述设备名称为随机字符串的情形下，确定所述客户端执行刷单行为。

其中，所述设备名称识别单元包括：

识别组件，用于识别所述设备名称是否包含除字母和数字以外的其他字符；

计算组件，用于在所述设备名称不包含所述其他字符的情形下，计算出所述设备名称的出现概率；

比较组件，用于将所述出现概率与阈值进行比较。

确定组件，用于在所述出现概率小于阈值的情形下，确定所述设备名称为随机字符串。

由此利用随机字符串通常由字母和数字构成且出现概率小于一定阈值的特点，来有效和可靠地识别设备名称是否为随机字符串。

在本发明的一些实施方式中，所述验证信息包括通信记录集，其中，所述识别模块包括：

通信记录集识别单元，用于识别所述通信记录集是否具有与所述客户端提交的正确的验证码对应的通信记录；

确定单元，用于在所述通信记录集不具有所述通信记录的情形下，确定所述客户端执行刷单行为。

在本发明的一些实施方式中，所述验证信息包括支付账号，其中，所述识别模块包括：

比较单元，用于将所述支付账号的累计出现次数与阈值进行比较；

确定单元，用于在所述累计出现次数大于阈值的情形下，确定所述客户端执行刷单行为。

附图说明

图1是根据本发明的一种异常行为的识别方法的流程图；

图2根据本发明的方法实施方式1示出图1所示的处理s200的一种实施方式；

图3示出了图2所示的处理s201的一种实施方式；

图4根据本发明的方法实施方式2示出了图1所示的处理s200的一种实施方式；

图5示出了图4所示的处理s204的一种实施方式；

图6根据本发明的方法实施方式3示出了图1所示的处理s200的一种实施方式；

图7示出了图6所示的处理s207的一种实施方式；

图8根据本发明的方法实施方式4示出了图1所示的处理s200的一种实施方式；

图9根据本发明的方法实施方式5示出了图1所示的处理s200的一种实施方式；

图10根据本发明的方法实施方式6示出了图1所示的处理s200的一种实施方式；

图11是根据本发明的一种识别异常行为的装置的结构示意图；

图12根据本发明的装置实施方式1示出了图11所示的识别模块200的一种实施方式；

图13示出了图12所示的模拟器识别单元201的一种实施方式；

图14根据本发明的装置实施方式2示出了图11所示的识别模块200的一种实施方式；

图15示出了图14所示的模拟器识别单元203的一种实施方式；

图16根据本发明的装置实施方式3示出了图11所示的识别模块200的一种实施方式；

图17示出了图16所示的模拟器识别单元205的一种实施方式；

图18根据本发明的装置实施方式4示出了图11所示的识别模块200的一种实施方式；

图19根据本发明的装置实施方式5示出了图11所示的识别模块200的一种实施方式。

具体实施方式

下面以异常行为为刷单行为为例，结合附图和具体实施方式对本发明所提供的异常行为的识别方法的各个方面进行详细阐述。其中，众所周知的模块、单元及其相互之间的连接、链接、通信或操作没有示出或未作详细说明。并且，所描述的特征、架构或功能可在一个或一个以上实施方式中以任何方式组合。本领域技术人员应当理解，下述的各种实施方式只用于举例说明，而非用于限制本发明的保护范围。还可以容易理解，本文所述和附图所示的各实施方式中的模块或单元或步骤可以按各种不同配置进行组合和设计。

图1是根据本发明实施方式的一种异常行为的识别方法的流程图。参见图1，所述方法包括：

s100：获取客户端的验证信息。

客户端的验证信息例如包括至少两个加速度向量(其中，加速度向量包括x、y、z三个方向上的加速度)、无线接入点(例如蓝牙接入点或者wi-fi(wireless-fidelity，无线保真)接入点)名称、设备名称、通信记录集(包括短信记录集和通话记录集)以及支付账号中的一种或多种。若验证信息由多个子信息构成，则可以一次性获取所有子信息，也可以在不同阶段分别获取不同的子信息。

s200：根据获取的验证信息识别刷单行为。

以上，对本发明提供的一种异常行为的识别方法的整体流程进行了说明，下面结合具体的实施方式对本发明的方法的详细流程进行说明。

【方法实施方式1】

本实施方式所提供的方法包括图1所示的处理s100和处理s200，在此不再赘述。其中，在本实施方式中，所述验证信息包括至少两个加速度向量。相应地，如图2所示，在本实施方式中，处理s200包括：

s201：根据所述至少两个加速度向量识别所述客户端是否为模拟器。若是，则执行s202，若否，则执行s203。

s202：确定所述客户端执行刷单行为。

s203：确定所述客户端未执行刷单行为。

其中，如图3所示，处理s201包括：

s2011：识别所述至少两个加速度向量是否相同。若是，则执行s2012，若否，则执行s2013。

s2012：确定所述客户端为模拟器。

s2013：确定所述客户端不为模拟器。

【方法实施方式2】

本实施方式所提供的方法包括图1所示的处理s100和处理s200，在此不再赘述。其中，在本实施方式中，所述验证信息包括无线接入点名称。相应地，如图4所示，在本实施方式中，处理s200包括：

s204：识别所述无线接入点名称是否为随机字符串。若是，则执行s205，若否，则执行s206。

s205：确定所述客户端执行刷单行为。

s206：确定所述客户端未执行刷单行为。

其中，如图5所示，处理s204包括：

s2041：识别所述无线接入点名称是否包含除字母和数字以外的其他字符。若否，则执行s2042，若是，则执行s2045。

s2042：计算出所述无线接入点名称的出现概率。

例如，若无线接入点名称为“xabc”，并且，预先统计出x后面出现a的概率为p1，a后面出现b的概率为p2，b后面出现c的概率为p3，由此计算出“xabc”出现的概率为p1*p2*p3。

对于统计一个字符出现在其他字符后面的概率，可以通过下述方式实现：

(1)采集已有的无线接入点名称；

(2)清洗采集的无线接入点名称(例如去除除字母和数字以外的其他字

符(例如中文字符等))；

(3)根据清洗后得到的字符串，统计每个字符后面出现其他字符的概率

(每个字符后面出现一个字符的次数除以该字符后面出现其他字符的总

次数)。

s2043：将计算出的出现概率与阈值进行比较，若所述出现概率小于阈值，则执行s2044，若所述出现概率大于或者等于阈值，则执行s2045。

s2044：确定所述无线接入点名称为随机字符串。

s2045：确定所述无线接入点名称不为随机字符串。

【方法实施方式3】

本实施方式所提供的方法包括图1所示的处理s100和处理s200，在此不再赘述。其中，在本实施方式中，所述验证信息包括设备名称。相应地，如图6所示，在本实施方式中，处理s200包括：

s207：识别所述设备名称是否为随机字符串。若是，则执行s208，若否，则执行s209。

s208：确定所述客户端执行刷单行为。

s209：确定所述客户端未执行刷单行为。

其中，如图7所示，处理s207包括：

s2071：识别所述设备名称是否包含除字母和数字以外的其他字符。若否，则执行s2072，若是，则执行s2075。

s2072：计算出所述设备名称的出现概率。

具体的计算规则同处理s2042中所采用的计算规则，在此不再赘述。

s2073：将计算出的设备名称的出现概率与阈值进行比较。若所述设备名称的出现概率小于阈值，则执行s2074，若所述设备名称的出现概率大于或者等于阈值，则执行s2075。

s2074：确定所述设备名称为随机字符串。

s2075：确定所述设备名称不为随机字符串。

【方法实施方式4】

本实施方式所提供的方法包括图1所示的处理s100和处理s200，在此不再赘述。其中，在本实施方式中，所述验证信息包括通信记录集。相应地，如图8所示，在本实施方式中，处理s200包括：

s2010：识别所述通信记录集是否具有与所述客户端提交的正确的验证码对应的通信记录。若是，则执行s2011，若否，则执行s2012。

s2011：确定所述客户端未执行刷单行为。

s2012：确定所述客户端执行刷单行为。

【方法实施方式5】

本实施方式所提供的方法包括图1所示的处理s100和处理s200，在此不再赘述。其中，在本实施方式中，所述验证信息包括支付账号。相应地，如图9所示，在本实施方式中，处理s200包括：

s2013：将所述支付账号的累计出现次数与阈值进行比较。若所述累计出现次数大于阈值，则执行s2014，若所述累计出现次数小于或者等于阈值，则执行s2015。

其中，所述累计出现次数在预设时段(例如为一天)内进行统计，当然本领域的技术人员可以根据实际需要对所述预设时段进行其他合理设置。

s2014：确定所述客户端执行刷单行为。

s2015：确定所述客户端未执行刷单行为。

【方法实施方式6】

本实施方式所提供的方法包括图1所示的处理s100和处理s200，在此不再赘述。其中，在本实施方式中，所述验证信息包括至少两个加速度向量、无线接入点名称、设备名称、通信记录集、以及支付账号。相应地，如图10所示，在本实施方式中，处理s200包括：

s2016：根据所述至少两个加速度向量识别所述客户端是否为模拟器。若是，则执行s2021，若否，则执行s2017。

s2017：识别所述无线接入点名称是否为随机字符串。若是，则执行s2021，若否，则执行s2018。

s2018：识别所述设备名称是否为随机字符串。若是，则执行s2021，若否，则执行s2019。

s2019：识别所述通信记录集是否具有与所述客户端提交的正确的验证码对应的通信记录。若是，则执行s2020，若否，则执行s2021。

s2020：将所述支付账号的累计出现次数与阈值进行比较。若累计出现次数大于阈值，则执行s2021，若累计次数小于或等于阈值，则执行s2022。

s2021：确定所述客户端执行刷单行为。

s2022：确定所述客户端未执行刷单行为。

当然本发明不限于此，本领域的技术人员可以根据实际需要对处理s2016至s2022的执行顺序进行任意调整。

下面对本发明所提供的异常行为的识别及处理方法进行具体描述。

步骤1：收集客户端数据。

其中，客户端数据例如包括至少两个加速度向量(其中，加速度向量包括x、y、z三个方向上的加速度)、wi-fi名称、设备名称、定位地址、账号、联系电话号、设备号、历史验证信息等信息。用户在下单之前会执行登录、浏览商品、选择商品、填写联系方式等操作行为，在执行这些操作行为的过程中，上述客户端数据会通过客户端传送给服务端。

步骤2：从收集的客户端数据中解析出账号、联系电话号、以及设备号。

步骤3：分别统计解析出的账号、联系电话号、以及设备号在预定时段内的累计出现次数。

其中，所述预定时段例如为一天，当然本领域的技术人员可以根据实际需要对所述预定时段进行其他合理设置。

步骤4：识别是否解析出的账号、联系电话号、以及设备号中的一者或多者的累计出现次数大于相应的阈值。若是，则执行步骤28，若否，则执行步骤5。

步骤5：从收集的客户端数据中解析出至少两个加速度向量。

步骤6：识别解析出的至少两个加速度向量是否相同。若是，则执行步骤28，若否，则执行步骤7。

步骤7：从收集的客户端数据中解析出wi-fi名称。

步骤8：识别解析出的wi-fi名称是否包含除字母和数字以外的其他字符。若否，则执行步骤9，若是，则执行步骤11。

步骤9：根据预定的计算规则计算出所述wi-fi名称的出现概率。

例如，若wi-fi名称为“xabc”，并且，预先统计出x后面出现a的概率为p1，a后面出现b的概率为p2，b后面出现c的概率为p3，由此计算出“xabc”出现的概率为p1*p2*p3。

对于统计一个字符出现在其他字符后面的概率，可以通过下述方式实现：

(1)采集已有的wi-fi名称；

(2)清洗采集的wi-fi名称(例如去除除字母和数字以外的其他字符(例

如中文字符等))；

(3)根据清洗后得到的字符串，统计每个字符后面出现其他字符的概率

(每个字符后面出现一个字符的次数除以该字符后面出现其他字符的总

次数)。

步骤10：将所述wi-fi名称的出现概率与阈值进行比较，若所述wi-fi名称的出现概率小于阈值，则执行步骤28，若所述wi-fi名称的出现概率大于或者等于阈值，则执行步骤11。

步骤11：从收集的客户端数据中解析出设备名称。

步骤12：识别解析出的设备名称是否包含除字母和数字以外的其他字符。若否，则执行步骤13，若是，则执行步骤15。

步骤13：根据预定的计算规则计算出所述设备名称的出现概率。

具体的计算规则同步骤9中所采用的计算规则，在此不再赘述。

步骤14：将所述设备名称的出现概率与阈值进行比较。若所述设备名称的出现概率小于阈值，则执行步骤28，若所述设备名称的出现概率大于或者等于阈值，则执行步骤15。

步骤15：从收集的客户端数据中解析出定位地址。

步骤16：识别解析出的定位地址是否在配送范围内。若是，则执行步骤18，若否，则执行步骤17。

步骤17：根据历史验证信息识别所述客户端是否为异常客户端。若是，则执行步骤28，若否，则执行步骤18。

考虑性能体验等问题，对于不便于在线分析的内容进行离线分析。例如可以基于历史数据(例如客户端在一段时间范围内(例如一个月)的订单、下单时的操作行为、异常订单等多维度的数据，每个维度的数据所占的权重不完全相同)对下单的用户进行打分，并将客户端所得的分数与阈值进行比较，来判断客户端是否有过刷单操作；也可以通过机器学习的方式，基于上述历史数据进行特征提取，根据提取的特征建立模型，进而判断客户端是否有过刷单操作；还可以通过分析账号注册时间是否相同来离线分析账号问题。通过离线分析得到的分析结果作为上述历史验证信息。若识别出客户端有过刷单操作或者存在账号问题等，则认为该客户端为异常客户端。

步骤18：获取所述客户端的通信记录集(包括短信记录集以及通话记录集)。

其中，所述通信记录集是在用户同意的前提下进行获取的，此外，本领域的技术人员应当理解，所述通信记录集可以由所述客户端的全部通信记录构成，也可以仅由部分的通信记录构成，比如截止到当前时间点的预设时段内的通信记录。

步骤19：识别所述通信记录集是否具有与所述客户端提交的正确的验证码对应的通信记录。若是，则执行步骤20，若否，则执行步骤28。

用户在有的环节(例如执行登录操作等)中需要输入短信或者语音验证码，对于用户输入的验证码需要进行验证。对此，步骤19通过识别通信记录集中是否具有与客户端提交的正确的验证码(即通过验证的验证码)对应的通信记录(短信记录或者通话记录)，来判断客户端是否为执行刷单操作的异常设备。

步骤20：接收客户端提交的订单。

步骤21：响应于客户端提交的订单，向客户端发送支付页面。

步骤22：接收客户端发送的支付请求。

步骤23：从接收的支付请求中解析出支付账号。

步骤24：统计解析出的支付账号在预定时段内的累计出现次数。

其中，所述预定时段例如为一天，当然本领域的技术人员可以根据实际需要对所述预定时段进行其他合理设置。

步骤25：将所述支付账号的累计出现次数与阈值进行比较。若累计出现次数大于阈值，则执行步骤28，若累计出现次数小于或等于阈值，则执行步骤26。

步骤26：从收集的客户端数据中解析出联系电话号。

步骤27：识别解析出的联系电话号是否为与所述客户端提交的订单对应的商户的联系电话号。若是，则执行步骤28，若否，则执行步骤29。

步骤28：对所述客户端进行行为限制。

步骤29：结束。

其中，步骤28具体可以通过下述方式实现：

i、识别所述客户端命中的所述步骤28的触发条件；

ii、对所述客户端执行与命中的触发条件相对应的行为限制处理。具体地：

(1)若命中“账号、联系电话号、以及设备号中的一者或多者的累计出现次数大于相应的阈值”这一触发条件(支付前的唯一性校验规则)，则限制客户端不能享有平台的优惠服务；

(2)若命中“所述至少两个加速度向量相同”这一触发条件(模拟器校验规则)，则限制客户端不能享有平台的优惠服务；

(3)若命中“wi-fi名称的出现概率小于阈值”这一触发条件(wi-fi名称校验规则)，则限制客户端不能享有平台的优惠服务；

(4)若命中“设备名称的出现概率小于阈值”这一触发条件(设备名称校验规则)，则限制客户端不能享有平台的优惠服务；

(5)若命中“通信记录集不具有与所述客户端提交的验证码对应的通信记录”这一触发条件(通话、短信校验规则)，则限制客户端不能享有平台的优惠服务；

(6)若命中“联系电话号为与提交的订单对应的商户的联系电话”这一触发条件(异常群体校验规则)，则直接取消订单；

(7)若命中“支付账号的累计出现次数大于阈值”这一触发条件(支付后的唯一性校验规则)，则提示客户端继续完成剩余的下单流程，但要求客户端按照优惠前的价格进行支付；

(8)若命中“根据历史验证信息识别所述客户端为异常客户端”这一触发条件(历史校验规则)，则限制客户端不能享有平台的优惠服务。

当然，本领域的技术人员可以根据实际需要，对上述各步骤的执行顺序进行任意调整和组合。

图11是根据本发明实施方式的一种识别异常行为的装置的结构示意图。参见图11，所述装置1000包括：获取模块100以及识别模块200，具体地：

获取模块100用于获取客户端的验证信息。

识别模块200用于根据获取模块100获取的验证信息识别刷单行为。

其中，所述验证信息包括至少两个加速度向量、无线接入点名称、设备名称、通信记录集、以及支付账号中的一种或多种。

以上，对本发明提供的一种识别异常行为的装置的整体结构进行了说明，下面结合具体的实施方式对本发明的装置的详细结构进行说明。

【装置实施方式1】

本实施方式所提供的装置包括图10所示的获取模块100和识别模块200，在此不再赘述。其中，在本实施方式中，所述验证信息包括至少两个加速度向量。相应地，如图12所示，在本实施方式中，识别模块200包括模拟器识别单元201以及确定单元202，具体地：

模拟器识别单元201用于根据所述至少两个加速度向量识别所述客户端是否为模拟器。

确定单元202用于在模拟器识别单元201识别出所述客户端为模拟器的情形下，确定所述客户端执行行刷单行为。

其中，如图13所示，模拟器识别单元201包括识别组件2011、确定组件2012，具体地：

识别组件2011用于识别所述至少两个加速度向量是否相同。

确定组件2012用于在识别组件2011识别出所述至少两个加速度向量相同的情形下，确定所述客户端为模拟器。

【装置实施方式2】

本实施方式所提供的装置包括了图11所示的获取模块100以及识别模块200，在此不再赘述。其中，在本实施方式中，所述验证信息包括无线接入点名称。相应地，如图14所示，在本实施方式中，识别模块200包括无线接入点名称识别单元203以及确定单元204，具体地：

无线接入点名称识别单元203用于识别所述无线接入点名称是否为随机字符串。

确定单元204用于在无线接入点名称识别单元203识别出所述无线接入点名称为随机字符串的情形下，确定所述客户端执行刷单行为。

其中，如图15所示，无线接入点名称识别单元203包括识别组件2031、计算组件2032、比较组件2033、确定组件2034，具体地：

识别组件2031用于识别所述无线接入点名称是否包含除字母和数字以外的其他字符。

计算组件2032用于在识别组件2031识别出所述无线接入点名称不包含所述其他字符的情形下，计算出所述无线接入点名称的出现概率。

比较组件2033用于将计算组件2032计算出的出现概率与阈值进行比较。

确定组件2034用于在比较组件2033比较出出现概率小于阈值的情形下，确定所述无线接入点名称为随机字符串。

【装置实施方式3】

本实施方式所提供的装置包括了图11所示的获取模块100以及识别模块200，在此不再赘述。其中，在本实施方式中，所述验证信息包括设备名称。相应地，如图16所示，在本实施方式中，识别模块200包括设备名称识别单元205以及确定单元206，具体地：

设备名称识别单元205用于识别所述设备名称是否为随机字符串。

确定单元206用于在设备名称识别单元205识别出所述设备名称为随机字符串的情形下，确定所述客户端执行刷单行为。

其中，如图17所示，设备名称识别单元205包括识别组件2051、计算组件2052、比较组件2053、以及确定组件2054：

识别组件2051用于识别所述设备名称是否包含除字母和数字以外的其他字符。

计算组件2052用于在识别组件2051识别出设备名称不包含所述其他字符的情形下，计算出所述设备名称的出现概率。

比较组件2053用于将计算组件2052计算出的出现概率与阈值进行比较。

确定组件2054用于在比较组件2053比较出出现概率小于阈值的情形下，则确定所述设备名称为随机字符串。

【装置实施方式4】

本实施方式所提供的装置包括了图11所示的获取模块100和识别模块200，在此不再赘述。其中，在本实施方式中，所述验证信息包括通信记录集。相应地，如图18所示，在本实施方式中，识别模块200包括通信记录集识别单元207以及确定单元208：

通信记录集识别单元207用于识别所述通信记录集是否具有与所述客户端提交的正确的验证码对应的通信记录。

确定单元208用于在通信记录集识别单元207识别出所述通信记录集不具有所述通信记录的情形下，确定所述客户端执行刷单行为。

【装置实施方式5】

本实施方式所提供的装置包括了图11所示的获取模块100和识别模块200，在此不再赘述。其中，在本实施方式中，所述验证信息包括支付账号。相应地，如图19所示，在本实施方式中，识别模块200包括比较单元209以及确定单元210，具体地：

比较单元209用于将所述支付账号的累计出现次数与阈值进行比较。

确定单元210用于在比较单元209比较出累计出现次数大于阈值的情形下，确定所述客户端执行刷单行为。

【装置实施方式6】

本实施方式所提供的装置包括图11所示的获取模块100和识别模块200，在此不再赘述。其中，在本实施方式中，所述验证信息包括至少两个加速度向量、无线接入点名称、设备名称、通信记录集、以及支付账号。相应地，在本实施方式中，识别模块200包括：模拟器识别单元、无线接入点名称识别单元、设备名称识别单元、通信记录集识别单元、比较单元、以及确定单元，具体地：

模拟器识别单元用于根据所述至少两个加速度向量识别所述客户端是否为模拟器。

无线接入点名称识别单元用于识别所述无线接入点名称是否为随机字符串。

设备名称识别单元用于识别所述设备名称是否为随机字符串。

通信记录集识别单元用于识别所述通信记录集是否具有与所述客户端提交的正确的验证码对应的通信记录。

比较单元用于将所述支付账号的累计出现次数与阈值进行比较。

确定单元用于在下述情形下确定所述客户端执行刷单行为：

(1)所述客户端为模拟器；

(2)所述无线接入点名称为随机字符串；

(3)所述设备名称为随机字符串；

(4)所述通信记录集不具有与所述客户端提交的正确的验证码对应的通信记录；或者

(5)所述支付账号的累计出现次数大于阈值。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件结合硬件平台的方式来实现。基于这样的理解，本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，智能手机或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本发明说明书中使用的术语和措辞仅仅为了举例说明，并不意味构成限定。本领域技术人员应当理解，在不脱离所公开的实施方式的基本原理的前提下，对上述实施方式中的各细节可进行各种变化。因此，本发明的范围只由权利要求确定，在权利要求中，除非另有说明，所有的术语应按最宽泛合理的意思进行理解。