一种用户刷单行为检测方法和装置的制造方法

一种用户刷单行为检测方法和装置的制造方法
【专利摘要】本发明公开了一种用户刷单行为检测方法，包括：步骤1)获取用户的原始DNS日志和原始Radius日志；其中，DNS日志中包括：源IP、源端口、目的IP、目的端口、ID、域名、请求类型、解析结果、解析时间、状态码、请求；Radius日志中包括：用户账户、上线时间、下线时间、外网IP、内网IP、外网起始端口、外网结束端口；其中，DNS日志中的源IP地址和Radius日志中的外网IP地址相对应；步骤2)统计用户每天访问各种APP的访问行为，包括：进入APP、浏览APP内容、下单、支付行为，其中，每个APP中不同的访问行为会对应相应的DNS域名；步骤3)根据以上统计绘制用户每天的APP访问曲线；步骤4)基于APP访问曲线，使用傅立叶级数逼近算法统计出规律性访问、下单、支付的用户，以此发现具有刷单嫌疑的用户。
【专利说明】
-种用户刷单行为检测方法和装置
技术领域
[0001] 本发明属于移动互联网领域，属于一种用户刷单行为检测方法和装置。
【背景技术】
[0002] 随着互联网技术的迅猛发展，越来越多的用户开始接入并频繁的使用互联网，互 联网厂商，尤其是APP厂商在推广APP的时候推出大量的用户补贴方式，导致越来越多的刷 单行为，APP厂商开始大力的打击运种刷单行为，但是由于运些刷单使用的是真实的账户、 手机，导致APP厂商定位运些刷单用户越来越艰难。
[0003] 当刷单用户使用真实的手机号W及网上的实名账户进行认证后，当前的算法失去 了相应的作用。

【发明内容】

[0004] 本发明所要解决的技术问题是提供一种用户刷单行为检测方法和装置，用于克服 现有技术中当刷单用户采用真实账户上网而无法检测的缺点。
[0005] 本发明解决上述技术问题所采取的技术方案如下：
[0006] -种用户刷单行为检测方法，其特征在于，包括：
[0007] 步骤1)获取用户的原始DNS日志和原始Radius日志；
[000引其中，DNS日志中包括:源IP、源端口、目的IP、目的端口、ID、域名、请求类型、解析 结果、解析时间、状态码、请求；
[0009] Radius日志中包括：用户账户、上线时间、下线时间、外网IP、内网IP、外网起始端 口、外网结束端口；其中，DNS日志中的源IP地址和Radius日志中的外网IP地址相对应；
[0010] 步骤2)统计用户每天访问各种APP的访问行为，包括:进入APP、浏览APP内容、下 单、支付行为，其中，每个APP中不同的访问行为会对应相应的DNS域名；
[0011] 步骤3)根据W上统计绘制用户每天的APP访问曲线；
[0012] 步骤4)基于APP访问曲线，使用傅立叶级数逼近算法统计出规律性访问、下单、支 付的用户，W此发现具有刷单嫌疑的用户。
[0013] 优选的是，步骤2)中，进一步包括：
[0014] 通过对用户1天24小时内每个小时对APP的访问行为统计，得出单个用户一天内对 于APP的所有访问记录，绘制访问曲线，横坐标是时间，纵坐标是访问次数。
[001引优选的是，所述步骤1)中原始数据使用的是3天共72小时的原始DSN日志。
[0016] 优选的是，使用傅立叶级数逼近算法统计出规律性访问、下单、支付的用户，包括： T是总时间段，N是一个足够大的数，f(t)是访问流量的曲线，假设整段时间T被分成了 N段，
[0017]
[001引是其中N个点的数据；
[0019]利用傅立叶级数逼近函数f (t)，
[0020]
[0021] 运里 1取值0，1，2,…N-1.
[0022] 对不同的巧计算cost function
[0023]
[0024] 可W设定lmax，W及一个足够小的数e，如果存在某个l<lmax，Cl<e，可w此时的 辟(句是一个原函数f(t)的一个近似，并且是一些正弦，余弦函数的叠加，最短的周期是
[0025] 其中，当前24项正弦余弦数值之和几乎等于所有追踪点正弦余弦之和，数值越接 近，说明规律越强，也就是越接近机器人。
[0026] -种用户刷单行为检测装置，包括：
[0027] 日志获取单元，用于获取用户的原始DNS日志和原始Radius日志；
[002引其中，DNS日志中包括:源IP、源端口、目的IP、目的端口、ID、域名、请求类型、解析 结果、解析时间、状态码、请求；
[0029] Radius日志中包括：用户账户、上线时间、下线时间、外网IP、内网IP、外网起始端 口、外网结束端口；其中，DNS日志中的源IP地址和Radius日志中的外网IP地址相对应；
[0030] 统计单元，用于统计用户每天访问各种APP的访问行为，包括:进入APP、浏览APP内 容、下单、支付行为，其中，每个APP中不同的访问行为会对应相应的DNS域名；
[0031] 用户分析单元，用于根据W上统计绘制用户每天的APP访问曲线；
[0032] 基于APP访问曲线，使用傅立叶级数逼近算法统计出规律性访问、下单、支付的用 户，W此发现具有刷单嫌疑的用户。
[0033] 优选的是，所述用户分析单元，进一步用于：
[0034] 通过对用户1天24小时内每个小时对APP的访问行为统计，得出单个用户一天内对 于APP的所有访问记录，绘制访问曲线，横坐标是时间，纵坐标是访问次数。
[0035] 优选的是，所述步骤1)中原始数据使用的是3天共72小时的原始DSN日志。
[0036] 优选的是，所述用户分析单元，使用傅立叶级数逼近算法统计出规律性访问、下 单、支付的用户，具体包括：
[0037] T是总时间段，N是一个足够大的数，f(t)是访问流量的曲线，假设整段时间T被分 成了 N段，
[00；3 引
[0039] 是其中N个点的数据；
[0040] 利用傅立叶级数逼近函数f (t)，
[0041]
[0042] 运里 1取值0，1，2,…N-1.
[0043] 对不同的 ,计算cost function
[0044]
[0045] 可W设定lmax，W及一个足够小的数e，如果存在某个l<lmax，Cl<e，可w此时的 巧(片是一个原函数f(t)的一个近似，并且是一些正弦，余弦函数的叠加，最短的周期是
[0046] 其中，当前24项正弦余弦数值之和几乎等于所有追踪点正弦余弦之和，数值越接 近，说明规律越强，也就是越接近机器人。
[0047] 本发明采取了上述方案W后，其通过大数据存储、计算平台抽象、分析用户行为， 使用傅立叶级数逼近算法，计算、分析出规律性访问的用户，针对此类用户，结合GPS数据， 发现是否属于刷单用户。
[0048] 本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变 得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明 书、权利要求书、W及附图中所特别指出的结构来实现和获得。
【附图说明】
[0049] 下面结合附图对本发明进行详细的描述，W使得本发明的上述优点更加明确。其 中，
[0050] 图1是本发明用户刷单行为检测方法的流程示意图；
[0051] 图2是本发明用户刷单行为检测方法的一个实施例的绘制曲线示意图；
[0052] 图3是本发明用户刷单行为检测装置的结构示意图。
【具体实施方式】
[0053] W下将结合附图及实施例来详细说明本发明的实施方式，借此对本发明如何应用 技术手段来解决技术问题，并达成技术效果的实现过程能充分理解并据W实施。需要说明 的是，只要不构成冲突，本发明中的各个实施例W及各实施例中的各个特征可W相互结合， 所形成的技术方案均在本发明的保护范围之内。
[0054] 另外，在附图的流程图示出的步骤可W在诸如一组计算机可执行指令的计算机系 统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可不同于此处 的顺序执行所示出或描述的步骤。
[005引实施例一：
[0056]如图1所示，一种用户刷单行为检测方法，包括:步骤1)获取用户的原始DNS日志和 原始Radius日志；
[0化7] 其中，DNS日志中包括:源IP、源端口、目的IP、目的端口、ID、域名、请求类型、解析 结果、解析时间、状态码、请求；
[005引 Radius日志中包括：用户账户、上线时间、下线时间、外网IP、内网IP、外网起始端 口、外网结束端口；其中，DNS日志中的源IP地址和Radius日志中的外网IP地址相对应；
[0059] 步骤2)统计用户每天访问各种APP的访问行为，包括:进入APP、浏览APP内容、下 单、支付行为，其中，每个APP中不同的访问行为会对应相应的DNS域名；
[0060] 步骤3)根据W上统计绘制用户每天的APP访问曲线；
[0061] 步骤4)基于APP访问曲线，使用傅立叶级数逼近算法统计出规律性访问、下单、支 付的用户，W此发现具有刷单嫌疑的用户。
[0062] 也就是说，本发明依托于化doop大数据存储、分析平台，依赖原始DNS日志、原始 Radius日志，首先计算用户每天对于APP的访问行为，包括进入APP、浏览APP内容、下单、支 付等行为(每个APP中不同的行为会对应相应的DNS域名），由此，根据计算结果，绘制用户每 天的APP访问曲线，基于用户每天的访问曲线，使用傅立叶级数逼近算法统计出规律性访 问、下单、支付的用户。
[0063] 实施例二：
[0064] 进一步地对实施例一进行说明，其中，具体来说：
[0065] 当用户通过域名(WWW. baidu. com)访问网站时，由于W太网传输过程中是根据IP 地址来寻址的，所WDNS客户端首先会像DNS服务器查询域名对应的IP地址，相应的，DNS服 务器会生成一条请求日志(请求日志中的解析结果字段为空，解析时间字段对应的其实是 请求时间），如下：
[0066] 源IP I源端口 I目的IP I目的端口 I ID I域名愼求类型I解析结果I解析时间I状态码 请求
[0067] 19.141.159.146I11764I219.141.159.146I53I17141|www.baidu.com|A 20151028010000.002|0|q
[006引 19.141.159.146l 11764|219.141.159.146|53| 11616|ww.waimai.com|A| 20151028080000.176|0|q
[0069] 另外，当用户的终端接入互联网时，运营商处的Radius服务器会认证客户端的 Radius信息，如下：
[0070] 用户账户I上线时间I下线时间I外网IP I内网IP I外网起始端口 I外网结束端口
[0071] 0001C4B26E沈FCC8巧6C9C6CI1456154029I1456156799I1883308431I1681934738 3072I5119
[0072] 0001C952沈6530432791邸35I1456139252I1456156799I1883243167I1681961474 21504123551
[0073] 通过DNS的源IP地址与Radius的外网IP地址关联，可W将DNS中的IP地址转换为对 应的账户信息，下述是DNS日志片段，通过域名对应的网址，该片段的用户行为可W描述为： 用户"19.141.159.14护依次访问百度、百度外卖APP、浏览、下单、支付。
[0074] 源IPI源端口 I目的IPI目的端口 I IDI域名愼求类型I解析结果I解析时间I状态码 请求
[007引 19.141.159.146 I 11764 I 219.141.159.146 I 53 I 17141 I www.baidu.comlA| 20151028010000.002|0|q
[0076] 19.141.159.146 I 11764 I 219.141.159.146 I 53 I 11616 I WWW.waimai.com I A 20151028080000.176|〇|q
[0077] 19.141.159.146|11764|219.141.159.146|53|11736|www. order. com|A 20151028090000.321|〇|q
[007引 19.141.159.146 I 11764 I 219.141.159.146 I 53 I 13211 I www.pay.comlA| 20151028100000.390|0|q
[0079] 通过对用户一天内APP的访问行为统计，可W得出单个用户一天内对于APP的所有 访问记录，从而可^绘制访问曲线，对于用户1136'4、1136巧、1136祐在连续^天72小时内对于 某网站的访问次数，其中Wuse巧比较特殊，24小时中每个小时都有一次访问记录。
[0080] 其中，本发明主要基于傅里叶级数逼近进行统计，具体来说，该方法的步骤包括：
[0081] T是总时间段，N是一个足够大的数，f(t)是访问流量的曲线，假设整段时间T被分 成了 N段，
[0082]
[0083] 是其中N个点的数据；
[0084] 利用傅立叶级数逼近函数f (t)，
[0085]
[0086] 运里 1取值0，1，2,…N-1.
[0087] 对不同的巧4 ,计算cost function
[008引
[0089] 可W设定lmax，W及一个足够小的数e，如果存在某个l<lmax，Cl<e，可W此时的 皆(句是一个原函数f(t)的一个近似，并且是一些正弦，余弦函数的叠加，最短的周期是
[0090] 如图2所示，对上述用户userA、userB、use;rC进行傅立叶级数遍近，并绘制访问曲 线。其中，原始数据使用的是3天共72小时，分析用户的规律性行为W天为单位最佳，运里我 们使用24小时，当一个用户每天的行为是有规律的，也就是说通过24小时可W观察出该用 户的行为，用傅里叶技术逼近来表达的话，就是前24项正弦余弦数值之和几乎等于所有追 踪点正弦余弦之和，数值越接近，说明规律越强，也就是越接近机器人。
[0091 ] 从图2来看，userA、use;rB、use;rC中，use;rB前24项正弦余弦之和与userB的前72项 正弦余弦之和等于1，也就是无限接近，说明use巧是机器人。
[0092] 通过上面的描述可W看出，运种方案带来的好处有下面几点：
[0093] 通过DNS、Radius实现用户APP行为的分析、计算。通过对用户访问APP行为使用傅 立叶级数逼近，寻找规律性访问、下单、支付的用户。通过大数据存储、计算平台W及傅立叶 级数逼近算法，结合原始DNS、Radius数据，实现刷单用户的定位。
[0094] 实施例
[00%]与W上方法实施例相对应，本发明还提供了一种用户刷单行为检测装置，如图3所 示，其具体包括：
[0096] 日志获取单元，用于获取用户的原始DNS日志和原始Radius日志；
[0097] 其中，DNS日志中包括:源IP、源端口、目的IP、目的端口、ID、域名、请求类型、解析 结果、解析时间、状态码、请求；
[0098] Radius日志中包括：用户账户、上线时间、下线时间、外网IP、内网IP、外网起始端 口、外网结束端口；其中，DNS日志中的源IP地址和Radius日志中的外网IP地址相对应；
[0099] 统计单元，用于统计用户每天访问各种APP的访问行为，包括:进入APP、浏览APP内 容、下单、支付行为，其中，每个APP中不同的访问行为会对应相应的DNS域名；
[0100] 用户分析单元，用于根据W上统计绘制用户每天的APP访问曲线；
[0101] 基于APP访问曲线，使用傅立叶级数逼近算法统计出规律性访问、下单、支付的用 户，W此发现具有刷单嫌疑的用户。
[0102] 优选的是，所述用户分析单元，进一步用于：
[0103] 通过对用户1天24小时内每个小时对APP的访问行为统计，得出单个用户一天内对 于APP的所有访问记录，绘制访问曲线，横坐标是时间，纵坐标是访问次数。
[0104] 优选的是，所述步骤1)中原始数据使用的是3天共72小时的原始DSN日志。
[0105] 优选的是，所述用户分析单元，使用傅立叶级数逼近算法统计出规律性访问、下 单、支付的用户，具体包括：
[0106] T是总时间段，N是一个足够大的数，f(t)是访问流量的曲线，假设整段时间T被分 成了 N段，
[0107]
[0108] 是其中N个点的数据；
[0109] 利用傅立叶级数逼近函数f (t)，
[0110]
[0111] 运里 1取值0，1，2,…N-1.
[0112] 对不同的巧-^ ,计算cost function
[0113]
[0114] 可W设定lmax，W及一个足够小的数e，如果存在某个l<lmax，Cl<e，可w此时的 巧*(X)是一个原函数f(t)的一个近似，并且是一些正弦，余弦函数的叠加，最短的周期是
[0115] 其中，当前24项正弦余弦数值之和几乎等于所有追踪点正弦余弦之和，数值越接 近，说明规律越强，也就是越接近机器人。
[0116] 本发明采取了上述方案W后，其通过大数据存储、计算平台抽象、分析用户行为， 使用傅立叶级数逼近算法，计算、分析出规律性访问的用户，针对此类用户，结合GPS数据， 发现是否属于刷单用户。
[0117] 需要说明的是，对于上述方法实施例而言，为了简单描述，故将其都表述为一系列 的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为 依据本申请，某些步骤可W采用其他顺序或者同时进行。其次，本领域技术人员也应该知 悉，说明书中所描述的实施例均属于优选实施例，所设及的动作和模块并不一定是本申请 所必须的。
[0118] 本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序 产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实 施例的形式。
[0119] 而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用 存储介质（包括但不限于磁盘存储器、CD-ROM、光学存储器等）上实施的计算机程序产品的 形式。
[0120] 最后应说明的是：W上所述仅为本发明的优选实施例而已，并不用于限制本发明， 尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可 W对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。 凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的 保护范围之内。
【主权项】
1. 一种用户刷单行为检测方法，其特征在于，包括： 步骤1)获取用户的原始DNS日志和原始Radius日志； 其中，DNS日志中包括:源IP、源端口、目的IP、目的端口、ID、域名、请求类型、解析结果、 解析时间、状态码、请求； Radius日志中包括：用户账户、上线时间、下线时间、外网IP、内网IP、外网起始端口、外 网结束端口；其中，DNS日志中的源IP地址和Radius日志中的外网IP地址相对应； 步骤2)统计用户每天访问各种APP的访问行为，包括:进入APP、浏览APP内容、下单、支 付行为，其中，每个APP中不同的访问行为会对应相应的DNS域名； 步骤3)根据以上统计绘制用户每天的APP访问曲线； 步骤4)基于APP访问曲线，使用傅立叶级数逼近算法统计出规律性访问、下单、支付的 用户，以此发现具有刷单嫌疑的用户。2. 根据权利要求1所述的用户刷单行为检测方法，其特征在于，步骤2)中，进一步包括： 通过对用户1天24小时内每个小时对APP的访问行为统计，得出单个用户一天内对于 APP的所有访问记录，绘制访问曲线，横坐标是时间，纵坐标是访问次数。3. 根据权利要求1所述的用户刷单行为检测方法，其特征在于，所述步骤1)中原始数据 使用的是3天共72小时的原始DSN日志。4. 根据权利要求1所述的用户刷单行为检测方法，其特征在于，使用傅立叶级数逼近算 法统计出规律性访问、下单、支付的用户，包括： T是总时间段，N是一个足够大的数，f(t)是访问流量的曲线，假设整段时间T被分成了 N 段，是其中N个点的数据； 利用傅立叶级数逼近函数f (t)，这里1取值〇，1，2,…N-l. 对不同的fy4，计算cost function可以设定kax，以及一个足够小的数e，如果存在某个1 < lmax，Q<e，可以此时的是 一个原函数f(t)的一个近似，并且是一些正弦，余弦函数的叠加，最短的周期是^ 其中，当前24项正弦余弦数值之和几乎等于所有追踪点正弦余弦之和，数值越接近，说 明规律越强，也就是越接近机器人。5. -种用户刷单行为检测装置，其特征在于，包括： 日志获取单元，用于获取用户的原始DNS日志和原始Radius日志； 其中，DNS日志中包括:源IP、源端口、目的IP、目的端口、ID、域名、请求类型、解析结果、 解析时间、状态码、请求； Radius日志中包括：用户账户、上线时间、下线时间、外网IP、内网IP、外网起始端口、外 网结束端口；其中，DNS日志中的源IP地址和Radius日志中的外网IP地址相对应； 统计单元，用于统计用户每天访问各种APP的访问行为，包括:进入APP、测览APP内容、 下单、支付行为，其中，每个APP中不同的访问行为会对应相应的DNS域名； 用户分析单元，用于根据以上统计绘制用户每天的APP访问曲线； 基于APP访问曲线，使用傅立叶级数逼近算法统计出规律性访问、下单、支付的用户，以 此发现具有刷单嫌疑的用户。6. 根据权利要求5所述的用户刷单行为检测装置，其特征在于，所述用户分析单元，进 一步用于： 通过对用户1天24小时内每个小时对APP的访问行为统计，得出单个用户一天内对于 APP的所有访问记录，绘制访问曲线，横坐标是时间，纵坐标是访问次数。7. 根据权利要求5所述的用户刷单行为检测装置，其特征在于，所述步骤1)中原始数 据使用的是3天共72小时的原始DSN日志。8. 根据权利要求5所述的用户刷单行为检测装置，其特征在于，所述用户分析单元，使 用傅立叶级数逼近算法统计出规律性访问、下单、支付的用户，具体包括： T是总时间段，N是一个足够大的数，f(t)是访问流量的曲线，假设整段时间T被分成了 N 段， 是其中N个点的数据；利用傅立叶级数逼近函数f (t)，这里1取值〇，1，2,…N-l. 对不同的F/4 ,计算cost function可以设定lmax，以及一个足够小的数e，如果存在某个1 < lmax，& < e，可以此时的是 一个原函数f(t)的一个近似，并且是一些正弦，余弦函数的叠加，最短的周期是^ 其中，当前24项正弦余弦数值之和几乎等于所有追踪点正弦余弦之和，数值越接近，说 明规律越强，也就是越接近机器人。
【文档编号】H04L12/26GK106059847SQ201610213826
【公开日】2016年10月26日
【申请日】2016年4月8日 公开号201610213826.5, CN 106059847 A, CN 106059847A, CN 201610213826, CN-A-106059847, CN106059847 A, CN106059847A, CN201610213826, CN201610213826.5
【发明人】丁文涛, 尹嘉路
【申请人】久远谦长（北京）技术服务有限公司