数据处理方法及数据处理装置与流程

本发明属于数据处理领域，尤其涉及一种数据处理方法及数据处理装置。

背景技术

黑客的上游产业链，通常通过撞库、木马、钓鱼、或病毒等渠道获取用户在网站或应用程序中所使用的账号密码，再打包成账号密码集合，出售给黑客的下游产业链。黑客的下游产业链通过自动机对所述账号密码集合中的账号密码进行一一验证，并挑选出针对某一网站或应用程序的正确的账号密码，进而进行盗取。账号密码被盗取，不仅威胁到用户的虚拟财产(如q币)和线下财产(如通过微信向亲友借钱)，影响个人名誉(转发内容不当的微博)，甚至还可能影响到虚拟社交的生态规则(如操纵大量被盗账号作为水军进行产品宣传)，为用户个人或企业带来困扰。

传统的盗号检测，包括：基于前端病毒、木马的检测；基于客户端登录版本恶意跳变的识别方法等。

传统的盗号检测主要在集中在上游产业链，因而需要对客户端进行全面覆盖，不仅覆盖率低、且浪费客户端的系统资源。

技术实现要素：

本发明的目的在于提供一种数据处理方法及数据处理装置，旨在对传统的盗号检测进行补充，可以避免浪费客户端的系统资源，提高检测的准确率和覆盖率。

为解决上述技术问题，本发明实施例提供以下技术方案：

一种数据处理方法，包括：

获取原始数据，所述原始数据包括网络协议地址、账号、登录城市、和登录是否成功的历史记录，其中登录城市是指网络协议地址对应的城市；

对所述原始数据进行重构以生成重构数据，所述重构数据包括：用户城市、和城市距离，其中，所述用户城市是指从所述历史记录中，统计出登录次数最多或在线时间最长的登录城市，所述城市距离是所述用户城市与登录城市之间的距离；

根据网络协议地址对所述重构数据进行分组，统计出每个网络协议地址对应的特征值，所述特征值包括：登录的账号的个数、城市距离的平均值、和登录成功率；以及

当所述特征值满足预设规则时，判断为盗号操作。

为解决上述技术问题，本发明实施例还提供以下技术方案：

一种数据处理装置，包括：

获取模块，用于获取原始数据，所述原始数据包括账号、网络协议地址、登录城市、和登录是否成功的历史记录，其中登录城市是指网络协议地址对应的城市；

重构模块，用于对所述原始数据进行重构以生成重构数据，所述重构数据包括：用户城市、和城市距离，其中，所述用户城市是指从所述历史记录中，统计出登录次数最多或在线时间最长的登录城市，所述城市距离是所述用户城市与登录城市之间的距离；

统计模块，用于根据网络协议地址对所述重构数据进行分组，统计出每个网络协议地址对应的特征值，所述特征值包括：登录的账号的个数、城市距离的平均值、和登录成功率；以及

规则模块，用于当所述特征值满足预设规则时，判断为盗号操作。

本发明实施例提供的数据处理方法及数据处理装置，首先从终端设备中获取原始数据，并对所述原始数据进行重构以生成重构数据；然后根据网络协议地址对所述重构数据进行分组，统计出每个网络协议地址对应的特征值；最后当所述特征值满足预设规则时，判断为盗号操作。本发明通过在黑客产业链的行为汇集环节进行检测，有效规避登录协议在客户端处被破解，提高了检测的准确率与覆盖率。

附图说明

下面结合附图，通过对本发明的具体实施方式详细描述，将使本发明的技术方案及其它有益效果显而易见。

图1是本发明实施例提供的数据处理方法及数据处理装置的应用场景示意图；

图2是本发明实施例提供的数据处理方法的流程示意图；

图3是本发明实施例提供的数据的结构示意图；

图4为本发明实施例提供的数据处理方法的另一流程示意图；

图5是本发明实施例提供的数据处理装置的结构示意图；

图6是本发明实施例提供的数据处理装置的另一结构示意图；

图7是本发明实施例提供的数据处理方法及数据处理装置的具体应用示例图；

图8是本发明实施例提供的服务器的结构示意图。

具体实施方式

请参照图式，其中相同的组件符号代表相同的组件，本发明的原理是以实施在一适当的运算环境中来举例说明。以下的说明是基于所例示的本发明具体实施例，其不应被视为限制本发明未在此详述的其它具体实施例。

在以下的说明中，本发明的具体实施例将参考由一部或多部计算机所执行的步骤及符号来说明，除非另有述明。因此，这些步骤及操作将有数次提到由计算机执行，本文所指的计算机执行包括了由代表了以一结构化型式中的数据的电子信号的计算机处理单元的操作。此操作转换该数据或将其维持在该计算机的内存系统中的位置处，其可重新配置或另外以本领域技术人员所熟知的方式来改变该计算机的运作。该数据所维持的数据结构为该内存的实体位置，其具有由该数据格式所定义的特定特性。但是，本发明原理以上述文字来说明，其并不代表为一种限制，本领域技术人员将可了解到以下所述的多种步骤及操作亦可实施在硬件当中。

本文所使用的术语「模块」、「单元」可看做为在该运算系统上执行的软件对象。本文所述的不同组件、模块、引擎及服务可看做为在该运算系统上的实施对象。而本文所述的装置及方法优选的以软件的方式进行实施，当然也可在硬件上进行实施，均在本发明保护范围之内。

参见图1，图1为本发明实施例所提供的数据处理方法及数据处理装置的应用场景示意图。

所述应用场景中包括：客户端11、应用服务器12、分析服务器13、网络协议地址库14、和用户15。

其中，客户端11包括但不限于：电脑、手机等具有处理器和存储器的电子设备。在所述客户端11上运行至少一个应用程序。用户15通过应用程序输入对应的账号和密码。客户端11将其转发至应用服务器12进行账号和密码的验证，并接收所述应用服务器12的验证结果。在客户端11中，若验证通过，则在登录的历史记录上标注1，若验证失败，则在登录的历史记录上标注0。客户端11在连接应用服务器12时，会被分配唯一的网络协议(internetprotocol，ip)地址。进一步的，客户端11可以从网络协议地址库14中获取到当前网络协议地址所对应的城市，即登录城市。

应用服务器12，首先从客户端11获取原始数据。所述原始数据包括但不限于账号、网络协议地址、登录城市、和登录是否成功的历史记录；然后对所述原始数据进行重构以生成重构数据，所述重构数据包括：用户城市、和所述用户城市与所述登录城市之间的城市距离。

此外，应用服务器还用于对客户端11的发送的账号和密码进行验证，并反馈验证结果。

分析服务器13，连接于所述应用服务器12，首先根据网络协议地址对所述重构数据进行分组，统计出每个网络协议地址对应的特征值，所述特征值包括：登录的账号的个数、城市距离的平均值、和登录成功率；然后对特征值进行判断，当所述特征值满足预设规则时，判断为盗号操作。

其中，可以理解的是，所述应用服务器12、分析服务器13、和网络协议地址库14可以为如图所示的分布式计算机处理系统，也可以是集成于同一大数据分析平台。图中的分别示意不应视为对计算机硬件环境的限制。

本发明的如下实施例，主要以集成于同一大数据分析平台为例进行描述，来展示防盗号的数据处理方法及数据处理装置。其中，所述防盗号所针对的账号，包括但不限于：手机号、即时通讯软件的号码(如qq号码、微信号码等)、电子邮箱号、视频网站的注册号等。

请参阅图2，图2是本发明实施例提供的数据处理方法的流程示意图。所述数据处理方法可以包括：

在步骤s201中，从客户端获取原始数据，所述原始数据包括但不限于：账号、网络协议地址、登录城市、和登录是否成功的历史记录。

可以理解的是，所述原始数据是通过所述客户端进行多次登录的历史数据，所述多次登录包括但不限于本次登录。

请同时参阅图3，所示是本发明实施例提供的数据的结构示意图。其中，表1为原始数据的数据结构示意图。在表1中，原始数据包括多个维度，如：账号(uin)、网络协议地址(ip)、登录城市(city)、和登录是否成功的历史记录(succ)。具体而言，账号，一般指在应用服务器中进行注册、和登录的账号，可以理解为：与服务器对应的同一应用的账号。比如：对于社交类应用服务器而言，所述账号是指社交软件账号；对于视频类服务器而言，所述账号时指视频网站登录账号，等等；网络协议地址，一般是指客户端被分配的ip地址；所述登录城市是指用户每次登录时，所分配的网络协议地址所对应的城市，比如：以3次登录记录为例，第1、3次登录的城市是北京市、第2次登录的城市是深圳市；登录是否成功的历史记录，通过可以用0、1，是、否，y、n等方式对登录成功或登录失败进行区分。上述原始数据可以从客户端中直接获取。

其中，所述获取原始数据，可具体执行为：获取多个网络协议地址；获取每个网络协议地址所对应的账号；查询所述账号在所述网络协议地址进行登录、以及登录成功的次数；将所述网络协议地址、账号、登录城市、和登录是否成功，生成为历史记录。

在步骤s202中，对所述原始数据进行重构以生成重构数据，所述重构数据包括但不限于：用户城市、和城市距离。

可以理解的是，原始数据并不能直接用于对盗号的判断，还需要进行一定的处理，以生成基于原始数据的重构数据，重构过程包括：

首先，进行准备工作，即：统计用户城市，以生成用户城市数据库。其中，所述用户城市是指从所述历史记录中，统计出登录次数最多或在线时间最长的登录城市。将每一账号与其对应的登录城市作为一行数据，并将所述客户端所登录过的账号作为一列数据，以生成用户城市数据库。

然后，将当前登录的账号发送至所述用户城市数据库进行查询，以生成账号的用户城市。

再将从客户端获取的登录城市和从用户城市数据库获取的户口城市，转换成经纬度。

最后，根据经纬度计算本次登录城市与用户户口城市之间的距离，作为城市距离。所述距离包括但不限于直接距离、或交通路线的距离等。

原始数据通过上述修饰步骤，形成了一些新的维度。如图3中表2所示的重构数据的数据结构示意图。在表2中，重构数据在原始数据的基础上形成了多个新的维度，如用户城市(home)、用户城市的经度(home_lat)、用户城市的纬度(home_lng)、登录城市的经度(city_lat)、登录城市的纬度(city_lng)、和所述用户城市与所述登录城市之间的城市距离(dist)。

在步骤s203中，根据网络协议地址对所述重构数据进行分组，统计出每个网络协议地址对应的特征值，所述特征值包括但不限于：登录的账号的个数、城市距离的平均值、和登录成功率。

如图3的表1和表2构成了判断所需的基础数据，按固定时间间隔获取基础数据的数据流，并将数据流按照网络协议地址进行分组，以得到每个网络协议地址对应的特征值。

请参阅图3中表3所示为特征值的数据结构，所述特征值包括：登录的账号的个数(uin_num)、城市距离的平均值(dist_avg)、登录次数(login_cnt)、登录成功次数(login_succ_cnt)、和登录成功率(login_succ_rate)。具体而言，所述登录的账号个数，是指同一网络协议地址登录的同一应用的账号的数量，比如，某一社交软件的账号的登录个数。可以理解的是，重复登录同一账号，只记录1个。城市距离的平均值的计算过程如下：先计算每一账号的本次登录城市与用户城市的城市距离之差的绝对值，再将多个账号的所述绝对值之和相加，最后除以账号个数。其中，本次登录城市与用户城市的城市距离的具体计算过程可参考文森特(vincenty)距离算法。登录成功率＝登录成功次数/登录次数。

从图3中可以看出，统计所述特征值时，数据类型由整数型、布尔类型、和浮点数等统一为32位浮点数。

在步骤s204中，当所述特征值满足预设规则时，判断为当前客户端通过对应的网络协议地址执行盗号操作。

可以理解的是，所述预设规则包括但不限于：判断所述登录的账号的个数是否大于登录阈值，所述城市距离的平均值是否大于距离阈值；以及所述登录成功率是否小于登录成功阈值；当以上三个判断全部满足时，视为满足预设规则。比如：uin_num>5且dist_avg>250千米且login_succ_rate<0.7。

本发明实施例提供的数据处理方法，通过在黑客产业链的行为汇集环节进行检测，有效规避登录协议在客户端处被破解，提高了检测的准确率与覆盖率。

请参阅图4，图4是本发明实施例提供的数据处理方法的另一流程示意图。所述数据处理方法可以包括：

在步骤s401中，服务器从客户端获取原始数据，所述原始数据包括但不限于：账号、网络协议地址、登录城市、和登录是否成功的历史记录。

请同时参阅图3中的表1，所示为原始数据的数据结构示意图。在表1中，所述原始数据包括多个维度，如账号(uin)、网络协议地址(ip)、登录城市(city)、和登录是否成功的历史记录(succ)等，上述原始数据可以从客户端中直接获取。其中，登录城市是指网络协议地址对应的城市。

在步骤s402中，服务器对所述原始数据进行重构以生成重构数据，所述重构数据包括但不限于：用户城市、和城市距离。

可以理解的是，原始数据并不能直接用于对盗号的判断，还需要进行一定的处理，以生成基于原始数据的重构数据，重构过程包括：

(1)根据频率或在线时长对原始数据进行重构，并选择在预设时间内登录次数最多或在线时间最长的登录城市，作为用户城市。

首先，进行准备工作，即：统计用户城市，以生成用户城市数据库。比如：每天对活跃用户(近30天登录过的用户)做全量统计，计算每个活跃用户对应的登录城市的频次。取频次最高的一个登录城市作为用户城市，存入用户城市数据库。然后，将当前登录的账号发送至所述用户城市数据库进行查询，以生成账号的用户城市。

(2)获取登录城市的经纬度坐标，和用户城市的经纬度坐标。

(3)对比所述登录城市的经纬度坐标和所述用户城市的经纬度坐标，以生成城市距离。

可以理解的是，原始数据通过上述修饰步骤，形成了一些新的维度。请同时参阅图3中的表2，所示的重构数据的数据结构示意图。在表2中，重构数据在原始数据的基础上形成了多个新的维度，如用户城市(home)、用户城市的经度(home_lat)、用户城市的纬度(home_lng)、登录城市的经度(city_lat)、登录城市的纬度(city_lng)、和所述用户城市与所述登录城市之间的城市距离(dist)。

在步骤s403中，服务器根据网络协议地址对所述重构数据进行分组，并统计出每个网络协议地址对应的特征值，所述特征值包括但不限于：登录的账号的个数、城市距离的平均值、和登录成功率。

具体而言，本步骤包括：

(1)根据网络协议地址对所述重构数据和对应的原始数据进行分组。

如图3的表1和表2构成了判断所需的基础数据，按固定时间间隔获取基础数据的数据流，并将同一网络协议地址对应的数据流分成一组，以得到每组对应的特征值。

(2)统计每个网络协议地址所登录的账号，进行去重，并生成登录的账号个数。

(3)统计每个网络协议地址所登录的各账号所对应的城市距离，以生成城市距离的平均值。

(4)根据所述登录是否成功的历史记录，统计每个网络协议地址上的登录成功次数与登录次数的比值，以生成登录成功率。

请参阅图3中的表3，所示为特征值的数据结构。所述特征值包括：登录的账号的个数(uin_num)、城市距离的平均值(dist_avg)、登录次数(login_cnt)、登录成功次数(login_succ_cnt)、和登录成功率(login_succ_rate)。

从图3中可以看出，统计所述特征值时，数据类型由整数型、布尔类型、和浮点数等统一为32位浮点数。

在步骤s404中，服务器判断所述特征值是否满足预设规则。

当所述特征值满足预设规则时，判断为盗号操作，并执行步骤s405；若不满足预设规则，则判断为常规操作，并执行步骤s406。

可以理解的是，所述预设规则包括但不限于：判断所述登录的账号的个数是否大于登录阈值，所述城市距离的平均值是否大于距离阈值；以及所述登录成功率是否小于登录成功阈值；当以上三个判断全部满足时，视为满足预设规则。

表达为：uin_num>x且dist_avg>y且login_succ_rate<z；

其中x是整数，y和z为实数，可以根据业务需要进行调整，例如x、y、z分别取5、250千米、0.7。

在步骤s405中，服务器执行对账号的保护操作。

所述保护操作包括但不限于：禁用对应的网络协议地址；和/或保护对应的账号。

在步骤s406中，服务器执行对账号的常规操作。

所述常规操作包括但不限于：密码修改、或上传/下载文件等。

本发明实施例提供的数据处理方法，通过同一网络协议地址的登录个数检测、登录城市与户口城市距离对比、登录成功率对比等方式，在黑客产业链的行为汇集环节进行检测，并当出现异常时，对账号进行保护操作，有效规避登录协议在客户端处被破解，提高了检测的准确率与覆盖率。

请参阅图5，所示为本发明实施例提供的数据处理装置的结构示意图。本发明所述数据处理装置500包括：获取模块51、重构模块52、统计模块53、和规则模块54。

所述获取模块51，用于从客户端获取原始数据，所述原始数据包括账号、网络协议地址、登录城市、和登录是否成功的历史记录。

请同时参阅图3，所示是本发明实施例提供的数据的结构示意图。其中，表1为原始数据的数据结构示意图。在表1中，原始数据包括多个维度，如账号(uin)、网络协议地址(ip)、登录城市(city)、和登录是否成功的历史记录(succ)，上述原始数据可以从客户端中直接获取。其中，所述登录城市是指网络协议地址对应的城市。

所述重构模块52，连接于获取模块51，用于对所述原始数据进行重构以生成重构数据，所述重构数据包括：用户城市、和城市距离。

可以理解的是，原始数据并不能直接用于对盗号的判断，还需要进行一定的处理，以生成基于原始数据的重构数据，所述重构模块52包括：首先，根据用户登录的频次对登录地进行统计，以生成用户城市，进而形成用户城市数据库。然后，将当前登录的账号发送至所述用户城市数据库进行查询，以生成账号的用户城市。再将从客户端获取的登录城市和从用户城市数据库获取的户口城市，转换成经纬度。最后，根据经纬度计算登录城市与用户户口城市的距离。所述距离包括但不限于直接距离、或交通路线的距离等。

原始数据通过上述修饰后形成了一些新的维度。如图3中表2所示的重构数据的数据结构示意图。在表2中，重构数据在原始数据的基础上形成了多个新的维度，如用户城市(home)、用户城市的经度(home_lat)、用户城市的纬度(home_lng)、登录城市的经度(city_lat)、登录城市的纬度(city_lng)、和所述用户城市与所述登录城市之间的城市距离(dist)。

所述统计模块53，连接于重构模块52，用于根据网络协议地址对所述重构数据进行分组，统计出每个网络协议地址对应的特征值，所述特征值包括：登录的账号的个数、城市距离的平均值、和登录成功率。

如图3的表1和表2构成了判断所需的基础数据，按固定时间间隔获取基础数据的数据流，并将数据流按照网络协议地址进行分组，以得到每个网络协议地址对应的特征值。

请参阅图3中表3所示为特征值的数据结构，所述特征值包括：登录的账号的个数(uin_num)、城市距离的平均值(dist_avg)、登录次数(login_cnt)、登录成功次数(login_succ_cnt)、和登录成功率(login_succ_rate)。

从图中可以看出，统计所述特征值时，数据类型由整数型、布尔类型、和浮点数等统一为32位浮点数。

所述规则模块54，连接于统计模块53，用于当所述特征值满足预设规则时，判断为盗号操作。

可以理解的是，所述预设规则包括但不限于：判断所述登录的账号的个数是否大于登录阈值，所述城市距离的平均值是否大于距离阈值；以及所述登录成功率是否小于登录成功阈值。

当以上三个判断全部满足时，视为满足预设规则。

比如：uin_num>5且dist_avg>250千米且login_succ_rate<0.7。

本发明实施例提供的数据处理装置，本发明通过在黑客产业链的行为汇集环节进行检测，有效规避登录协议在客户端处被破解，提高检测的准确率与覆盖率。

请参阅图6，图6是本发明实施例提供的数据处理装置的另一结构示意图。所述数据处理装置600包括：获取模块61、重构模块62、统计模块63、判断模块64、规则模块65、和执行模块66。

获取模块61，用于从客户端获取原始数据，所述原始数据包括但不限于：账号、网络协议地址、登录城市、和登录是否成功的历史记录。

请同时参阅图3中的表1，所示为原始数据的数据结构示意图。在表1中，所述原始数据包括多个维度，如账号(uin)、网络协议地址(ip)、登录城市(city)、和登录是否成功的历史记录(succ)等，上述原始数据可以从客户端中直接获取。其中，所述登录城市是指网络协议地址对应的城市。

重构模块62，连接于获取模块61，用于对所述原始数据进行重构以生成重构数据，所述重构数据包括但不限于：用户城市、和城市距离。

可以理解的是，原始数据并不能直接用于对盗号的判断，还需要进行一定的处理，以生成基于原始数据的重构数据。其中，所述重构模块62包括：频率单元621、经纬单元622、和距离单元623。

具体而言，频率单元621，用于根据频率或在线时长对原始数据进行重构，并选择在预设时间内登录次数最多或在线时间最长的登录城市，作为用户城市。

首先，进行准备工作，即：统计用户城市，以生成用户城市数据库。比如：每天对活跃用户(近30天登录过的用户)做全量统计，计算每个活跃用户对应的登录城市的频次。取频次最高的一个登录城市作为用户城市，存入用户城市数据库。然后，将当前登录的账号发送至所述用户城市数据库进行查询，以生成账号的用户城市。

经纬单元622，用于获取登录城市的经纬度坐标，和用户城市的经纬度坐标。

距离单元623，用于将所述登录城市的经纬度坐标和所述用户城市的经纬度坐标进行对比，以生成城市距离。

可以理解的是，原始数据通过上述修饰，形成了一些新的维度。请同时参阅图3中的表2，所示的重构数据的数据结构示意图。在表2中，重构数据在原始数据的基础上形成了多个新的维度，如用户城市(home)、用户城市的经度(home_lat)、用户城市的纬度(home_lng)、登录城市的经度(city_lat)、登录城市的纬度(city_lng)、和所述用户城市与所述登录城市之间的城市距离(dist)。

统计模块63，连接于重构模块62，用于根据网络协议地址对所述重构数据进行分组，统计出每个网络协议地址对应的特征值，所述特征值包括但不限于：登录的账号的个数、城市距离的平均值、和登录成功率。

其中，所述统计模块63包括：分组单元631、统计单元632、距离单元633、和比率单元634。

具体而言，分组单元631，用于根据网络协议地址对所述重构数据和对应的原始数据进行分组。

如图3的表1和表2构成了判断所需的基础数据，按固定时间间隔获取基础数据的数据流，并将数据流按照网络协议地址进行分组，以得到每个网络协议地址对应的特征值。

统计单元632，用于统计每个网络协议地址所登录的账号，进行去重，并生成登录的账号个数。

距离单元633，用于统计每个网络协议地址所登录的各账号所对应的城市距离，以生成城市距离的平均值。

比率单元634，用于根据所述登录是否成功的历史记录，统计每个网络协议地址上的登录成功次数与登录次数的比值，以生成登录成功率。

请参阅图3中的表3，所示为特征值的数据结构。所述特征值包括：登录的账号的个数(uin_num)、城市距离的平均值(dist_avg)、登录次数(login_cnt)、登录成功次数(login_succ_cnt)、和登录成功率(login_succ_rate)。

从图3中可以看出，统计所述特征值时，数据类型由整数型、布尔类型、和浮点数等统一为32位浮点数。

判断模块64，连接于统计模块63，用于判断所述特征值是否满足预设规则。

可以理解的是，所述预设规则包括但不限于：判断所述登录的账号的个数是否大于于登录阈值，所述城市距离的平均值是否大于距离阈值；以及所述登录成功率是否小于登录成功阈值。

其中，当以上三个判断全部满足时，视为满足预设规则。此外表达为：

uin_num>x且dist_avg>y且login_succ_rate<z，

其中x是整数，y和z为实数，可以根据业务需要进行调整，例如x、y、z分别取5、250千米、0.7。

规则模块65，连接于判断模块64，用于当所述特征值满足预设规则时，判断为盗号操作。

可以理解的是，当判断为盗号操作时，应在判断对应的数据列中添加一标志位，并对所述数据列进行对应的处理。

执行模块66，连接于规则模块65，用于执行对账号的保护操作。所述保护操作包括但不限于：禁用对应的网络协议地址；和/或保护对应的账号。

此外，所述执行模块66还用于执行对账号的常规操作。所述常规操作包括但不限于：密码修改、或上传/下载文件等。

具体实施时，以上各个模块和/或单元可以作为独立的实体来实现，也可以进行任意组合，作为同一或若干个实体来实现，以上各个单元的具体实施可参见前面的方法实施例，在此不再赘述。

本发明实施例提供的数据处理装置，通过同一网络协议地址的登录个数检测、登录城市与户口城市距离对比、登录成功率对比等方式，在黑客产业链的行为汇集环节进行检测，并当出现异常时，对账号进行保护操作，有效规避登录协议在客户端处被破解，提高了检测的准确率与覆盖率。

根据上述实施例所描述的数据处理方法和数据处理装置，以下将举例作进一步详细说明。

请参阅图7，所示为本发明实施例提供的数据处理方法及数据处理装置的具体应用示例图。

上游产业链的黑客711，通常通过木马、钓鱼、或病毒等攻击渠道从客户端72获取普通用户712在网站或应用程序中所使用的账号密码，或通过撞库等方式从安全性能低的第三方服务器73获取账号集合。

上游产业链的黑客711，将获取的账号和账号集合打包，形成包括海量数据的账号集合(也称为id信封)，并出售给下游产业链的黑客713。

下游产业链的黑客713，通常通过客户端712(用于批量验证账号的设备、程序、或系统，也称为自动机)将所述账号密码集合中的账号密码发送至应用服务器77进行验证，并根据验证结果挑选出针对某一网站或应用程序的正确的账号密码，进行晒号74，进而进行密码修改等盗取操作75。

在上述网络环境中，客户端72可能的实际用户可能是普通用户712也可能是黑客713。所述客户端72包括但不限于：电脑、手机等具有处理器和存储器的电子设备。在所述客户端72上运行至少一个应用程序，客户端72获取所述应用程序对应的账号和密码，并发送至应用服务器77进行账号和密码的验证。客户端72接收并记录来自所述应用服务器77的验证结果，比如：若验证通过，则在登录的历史记录上标注1；若验证失败，则在登录的历史记录上标注0。客户端72在连接应用服务器77时，会被分配唯一的网络协议(internetprotocol，ip)地址。进一步的，客户端72可以从网络协议地址库76中获取到当前网络协议地址所对应的城市，即登录城市。

应用服务器77，首先从客户端72获取原始数据。所述原始数据包括但不限于账号、网络协议地址、登录城市、和登录是否成功的历史记录；然后对所述原始数据进行重构以生成重构数据，所述重构数据包括：用户城市、和所述用户城市与所述登录城市之间的城市距离。

此外，应用服务器77还用于对客户端72的发送的账号和密码进行验证，并反馈验证结果。

分析服务器78，连接于所述应用服务器77，首先根据网络协议地址对所述重构数据进行分组，统计出每个网络协议地址对应的特征值，所述特征值包括：登录的账号的个数、城市距离的平均值、和登录成功率；然后对特征值进行判断；其中当所述特征值满足预设规则时，判断为盗号操作，并对客户端72中的账号进行保护操作，所述保护操作如禁用对应的网络协议地址、或保护对应的账号等。当所述特征值不满足预设规则时，判断为常规操作，并对客户端72中的常规操作予以执行。所述常规操作如密码修改、或上传/下载文件等。

可以理解的是，通过上述保护操作，截断了下游黑客的晒号环节。也就是说，当黑客购买了大量账号时，无法对其准确度(应用程序-账号-密码的匹配度)进行验证，进而提高了账号密码的安全性能，且操作截断皆在服务器中进行，可以避免浪费客户端的系统资源，提高检测的准确率，同时不会对网站的运营产生误判及误操作的影响。

此外，可以理解的是，所述应用服务器77、分析服务器78、和网络协议地址库76可以为如图所示的分布式计算机处理系统，也可以是集成于同一大数据分析平台。图中的分别示意不应视为对计算机硬件环境的限制。

本发明实施例提供的数据处理方法及数据处理装置，通过同一网络协议地址的登录个数检测、登录城市与户口城市距离对比、登录成功率对比等方式，在黑客产业链的行为汇集环节进行检测，并当出现异常时，对账号进行保护操作，有效规避登录协议在客户端处被破解，提高了检测的准确率与覆盖率。

相应的，本发明实施例还提供一种服务器，如图8所示，所述数据处理方法及数据处理装置，应用于服务器800中。所述服务器800包括：一个或者一个以上处理核心的处理器801、一个或一个以上计算机可读存储介质的存储器802、射频(radiofrequency，rf)电路803、短距离无线传输(wifi)模块804、电源805、输入单元806、以及显示单元807等部件。

本领域技术人员可以理解，上述结构并不构成对服务器800的限定，可以包括比上述更多或更少的部件、组合某些部件、或不同的部件布置。其中：

具体在本实施例中，在服务器800中，处理器801会按照如下的指令，将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器802中，并由处理器801来运行存储在存储器802中的应用程序，从而实现各种功能，如下：获取原始数据，所述原始数据包括账号、网络协议地址、登录城市、和登录是否成功的历史记录，其中所述登录城市是指网络协议地址对应的城市；对所述原始数据进行重构以生成重构数据，所述重构数据包括：用户城市、和城市距离，其中所述用户城市是指从所述历史记录中，统计出登录次数最多或在线时间最长的登录城市，所述城市距离是所述用户城市与登录城市之间的距离；根据网络协议地址对所述重构数据进行分组，统计出每个网络协议地址对应的特征值，所述特征值包括：登录的账号的个数、城市距离的平均值、和登录成功率；当所述特征值满足预设规则时，判断为盗号操作。

优选的，所述处理器801还可以用于：获取多个网络协议地址；获取每个网络协议地址所对应的账号；查询所述账号在所述网络协议地址进行登录、以及登录成功的次数；将获取的预设时间段内所述网络协议地址、账号、登录城市、和登录是否成功，生成为历史记录。

优选的，所述处理器801还可以用于：根据频率或在线时长对原始数据进行重构，并选择在预设时间内登录次数最多或在线时间最长的登录城市，作为用户城市；获取登录城市的经纬度坐标，和用户城市的经纬度坐标；将所述登录城市的经纬度坐标和所述用户城市的经纬度坐标进行对比，以生成城市距离。

优选的，所述处理器801还可以用于：判断所述登录的账号的个数是否大于登录阈值，所述城市距离的平均值是否大于距离阈值；以及所述登录成功率是否小于登录成功阈值；当以上三个判断全部满足时，判断为盗号操作。

优选的，所述处理器801还可以用于：禁用对应的网络协议地址；和/或保护对应的账号。

本发明实施例提供的服务器，通过同一网络协议地址的登录个数检测、登录城市与户口城市距离对比、登录成功率对比等方式，在黑客产业链的行为汇集环节进行检测，并当出现异常时，对账号进行保护操作，有效规避登录协议在客户端处被破解，提高了检测的准确率与覆盖率。

本发明实施例提供的所述服务器，与上文实施例中的数据处理方法、数据处理装置属于同一构思。

需要说明的是，对本发明所述数据处理方法而言，本领域普通技术人员可以理解实现本发明实施例中的全部或部分流程，是可以通过计算机程序来控制相关的硬件来完成，所述计算机程序可存储于一计算机可读取存储介质中，如存储在服务器的存储器中，并被该服务器内的至少一个处理器执行，在执行过程中可包括如所述信息分享方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储器(rom，readonlymemory)、随机存取记忆体(ram，randomaccessmemory)等。

对本发明实施例的所述数据处理装置而言，其各功能模块可以集成在一个处理芯片中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中，所述存储介质譬如为只读存储器，磁盘或光盘等。

以上对本发明实施例所提供的一种数据处理方法、数据处理装置及服务器进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。