一种黑产用户识别方法及装置

技术领域

本申请涉及信息安全技术领域，尤其涉及一种黑产用户识别方法及装置。

背景技术

网络黑产即网络黑色产业链，是以互联网为媒介，以网络技术为主要手段，从事非法活动以谋取利益的行为，包括不限于网络攻击、窃取信息、网络欺诈等，以及为这些行为提供工具、资源、平台等准备和非法获利变现的渠道与环节。

为防范黑产带来的损害，现有的黑产识别方式主要依据受黑产攻击的业务系统，根据IP地址在一定时间长登录的次数是否超过预设次数的方式来识别黑产，若该IP地址被识别为黑产IP地址之后，会将所有账户通过IP地址进行登录行为均识别为黑产。然而现有黑产识别方法常常会出现错误识别等识别不精准的现象，存在识别准确度低的技术问题。

发明内容

本申请提供了一种黑产用户识别方法及装置，用于解决现有的黑产识别方法常常会出现错误识别等识别不精准的现象，存在识别准确度低的技术问题。

为解决上述技术问题，本申请第一方面提供了一种黑产用户识别方法，包括：

根据IP秒拨实现机制，识别并锁定秒拨用户的宽带账号；

根据所述宽带账号绑定的网关设备，确定所述网关设备关联的下挂设备；

获取所述网关设备与各个所述下挂设备的身份标识变化记录，根据所述下挂设备的数量以及所述身份标识变化记录，得到所述宽带账号对应的黑产用户识别结果。

优选地，获取所述网关设备与各个所述下挂设备的身份标识变化记录，根据所述下挂设备的数量以及所述身份标识变化记录，得到所述宽带账号对应的黑产用户识别结果具体包括：

获取所述网关设备与所述下挂设备的身份标识变化记录；

根据所述身份标识变化记录，确定所述网关设备与所述下挂设备的身份标识变化频率；

根据所述下挂设备的数量以及所述身份标识变化频率，计算所述宽带账号的综合评分值，以便基于所述综合评分值确定所述宽带账号对应的黑产用户识别结果。

优选地，根据所述身份标识变化频率，结合预设的黑产用户判断条件，确定所述宽带账号对应的黑产用户识别结果具体包括：

根据所述网关设备的身份标识变化频率，结合预设的网关设备身份标识变化频率与黑产评分值的对应关系，确定第一评分值，其中，所述第一评分值为所述网关设备的黑产评分值；

根据所述下挂设备的身份标识变化频率，结合预设的下挂设备身份标识变化频率与黑产评分值的对应关系，确定第二评分值，其中，所述第二评分值为所述下挂设备的黑产评分值；

根据所述网关设备关联的下挂设备数量，结合预设的下挂设备数量与黑产评分值的对应关系，确定第三评分值；

根据所述第一评分值、所述第二评分值与所述第三评分值，计算所述宽带账号的综合评分值，以便基于所述综合评分值确定所述宽带账号对应的黑产用户识别结果。

优选地，所述根据所述第一评分值、所述第二评分值与所述第三评分值，计算所述宽带账号的综合评分值具体包括：

根据所述第一评分值、所述第二评分值与所述第三评分值，结合各个评分值对应的评分系数，对各个评分值与评分系数之积进行求和运算，得到所述宽带账号的综合评分值。

优选地，所述网关设备与所述下挂设备的身份标识包括：IP与OAID。

本申请第二方面提供了一种黑产用户识别装置，包括：

账号锁定单元，用于根据IP秒拨实现机制，识别并锁定秒拨用户的宽带账号；

设备确定单元，用于根据所述宽带账号绑定的网关设备，确定所述网关设备关联的下挂设备；

黑产识别单元，用于获取所述网关设备与各个所述下挂设备的身份标识变化记录，根据所述下挂设备的数量以及所述身份标识变化记录，得到所述宽带账号对应的黑产用户识别结果。

优选地，所述黑产识别单元具体包括：

身份标识变化记录获取子单元，用于获取所述网关设备与所述下挂设备的身份标识变化记录；

变化频率确定子单元，用于根据所述身份标识变化记录，确定所述网关设备与所述下挂设备的身份标识变化频率；

综合评分计算子单元，用于根据所述下挂设备的数量以及所述身份标识变化频率，计算所述宽带账号的综合评分值，以便基于所述综合评分值确定所述宽带账号对应的黑产用户识别结果。

优选地，所述综合评分计算子单元具体用于：

根据所述网关设备的身份标识变化频率，结合预设的网关设备身份标识变化频率与黑产评分值的对应关系，确定第一评分值，其中，所述第一评分值为所述网关设备的黑产评分值；

根据所述下挂设备的身份标识变化频率，结合预设的下挂设备身份标识变化频率与黑产评分值的对应关系，确定第二评分值，其中，所述第二评分值为所述下挂设备的黑产评分值；

根据所述网关设备关联的下挂设备数量，结合预设的下挂设备数量与黑产评分值的对应关系，确定第三评分值；

根据所述第一评分值、所述第二评分值与所述第三评分值，计算所述宽带账号的综合评分值，以便基于所述综合评分值确定所述宽带账号对应的黑产用户识别结果。

优选地，所述根据所述第一评分值、所述第二评分值与所述第三评分值，计算所述宽带账号的综合评分值具体包括：

根据所述第一评分值、所述第二评分值与所述第三评分值，结合各个评分值对应的评分系数，对各个评分值与评分系数之积进行求和运算，得到所述宽带账号的综合评分值。

优选地，所述网关设备与所述下挂设备的身份标识包括：IP与OAID。

从以上技术方案可以看出，本申请实施例具有以下优点：

本申请提供的方案基于黑产用户的行为特性，通过根据IP秒拨实现机制，识别并锁定秒拨用户的宽带账号，然后根据该宽带账号确定该宽带账号绑定的网关设备与该网关设备关联的下挂设备，再通过获取网关设备与各个下挂设备的身份标识变化记录，以根据身份标识变化记录以及下挂设备的数量，判断该宽带账号是否属于黑产用户，解决了现有根据IP地址在一定时间长登录次数的黑产识别方法存在的识别准确度低的技术问题。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1为本申请提供的一种黑产用户识别方法的一个实施例的流程示意图。

图2为本申请提供的一种黑产用户识别方法的另一个实施例的流程示意图。

图3为本申请提供的一种黑产用户识别装置的一个实施例的结构示意图。

具体实施方式

现有的黑产识别方式主要依据受黑产攻击的业务系统，根据IP地址在一定时间长登录的次数是否超过预设次数的方式来识别黑产，若该IP地址被识别为黑产IP地址之后，会将所有账户通过IP地址进行登录行为均识别为黑产。然而现有黑产识别方法常常会出现错误识别等识别不精准的现象，存在识别准确度低的技术问题。

为解决现有技术存在的技术问题，申请人通过对网络黑产用户行为特性进行研究，发现了黑产用户需要频繁变更IP信息等身份标识，操控大量智能终端，创造多重身份，伪造点击率、访问量，因此，通过研究可知黑产用户的设备身份标识变更频率以及下挂的设备数量都远高于正常的用户，可以利用这个特点对网络黑产用户进行更精准的识别。

有鉴于此，本申请实施例提供了一种黑产用户识别方法及装置，用于解决现有的黑产识别方法常常会出现错误识别等识别不精准的现象，存在识别准确度低的技术问题。

为使得本申请的发明目的、特征、优点能够更加的明显和易懂，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本申请一部分实施例，而非全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

请参阅图1，本申请第一个实施例提供了一种黑产用户识别方法，包括：

步骤101、根据IP秒拨实现机制，识别并锁定秒拨用户的宽带账号；

步骤102、根据宽带账号绑定的网关设备，确定网关设备关联的下挂设备；

步骤103、获取网关设备与各个下挂设备的身份标识变化记录，根据下挂设备的数量以及身份标识变化记录，得到宽带账号对应的黑产用户识别结果。

需要说明的是，由于目前多数家庭网关48小时会重启一次，重启时会更换IP地址首先根据IP秒拨实现机制，识别并锁定秒拨用户的宽带账号，每一宽带账号可以认为是一个家庭用户，根据该宽带账号确定该宽带账号绑定的网关设备，再基于该网关设备确定该网关设备的下挂设备，再接着获取该网关设备以及该网关设备下各个下挂设备的身份标识变化记录，以根据该网关设备及其下挂设备的身份标识变化情况以及网关设备下挂的设备数量，判断该宽带账号是否符合黑产用户的特征，若符合，则可以将该宽带账号及其关联设备标记为黑产用户及黑产设备，然后还可以将识别结果同步到黑产用户数据库中，以对黑产用户数据进行更新，其中上述网关设备与下挂设备的身份标识包括但不限于IP与OAID。

本实施例提供的方案基于黑产用户需要频繁变更IP信息等身份标识，操控大量智能终端，创造多重身份，伪造点击率、访问量的行为特性，通过根据IP秒拨实现机制，识别并锁定秒拨用户的宽带账号，然后根据该宽带账号确定该宽带账号绑定的网关设备与该网关设备关联的下挂设备，再通过获取网关设备与各个下挂设备的身份标识变化记录，以根据身份标识变化记录以及下挂设备的数量，判断该宽带账号是否属于黑产用户，解决了现有根据IP地址在一定时间长登录次数的黑产识别方法存在的识别准确度低的技术问题。

以上内容便是本申请提供的一种黑产用户识别方法的基础实施例的详细说明，下面为本申请提供的一种黑产用户识别方法的一个更具体的实施例的详细说明。

请参阅图2，本实施例在上一实施例的基础上，提供了一种更具体的黑产用户识别方法，包括：

进一步地，上一实施例中步骤103提及的获取网关设备与各个下挂设备的身份标识变化记录，根据下挂设备的数量以及身份标识变化记录，得到宽带账号对应的黑产用户识别结果，其步骤过程具体细分为：

步骤1031、获取网关设备与下挂设备的身份标识变化记录；

步骤1032、根据身份标识变化记录，确定网关设备与下挂设备的身份标识变化频率；

步骤1033、根据下挂设备的数量以及身份标识变化频率，计算宽带账号的综合评分值，以便基于综合评分值确定宽带账号对应的黑产用户识别结果。

进一步地，步骤1033中的根据下挂设备的数量以及身份标识变化频率，计算宽带账号的综合评分值，以便基于综合评分值确定宽带账号对应的黑产用户识别结果，其步骤过程具体细分为：

根据网关设备的身份标识变化频率，结合预设的网关设备身份标识变化频率与黑产评分值的对应关系，确定第一评分值，其中，第一评分值为网关设备的黑产评分值。

需要说明的是，上述的第一评分值为是根据网关设备的身份标识变化频率维度得出的黑产评分值，通常情况下，该评分值越高，说明该账号用户是黑产用户的可能性越高。而且对于网关设备，其用于黑产识别的身份标识优选为IP信息，具体做法可以通过记录全网电信固网路由模式网关IP地址及IP变化时间，统计网关在预设的时间周期内变化IP次数进行评分，例如，在一周内，IP变化0-14次的评分为0；IP变化15-20次的评分为1；IP变化20-30次的评分为2；IP变化30次以上评分为3。

此外若由于桥接模式网关无法实时上报IP变化情况，也可以通过广告落地页传参(IP+port+时间戳)至服务平台查询其宽带账号。

根据下挂设备的身份标识变化频率，结合预设的下挂设备身份标识变化频率与黑产评分值的对应关系，确定第二评分值，其中，第二评分值为下挂设备的黑产评分值；

需要说明的是，上述的第二评分值为是根据前述网关设备相关的下挂设备的身份标识变化频率维度得出的黑产评分值，通常情况下，该评分值越高，说明该账号用户是黑产用户的可能性越高。由于黑灰产用户需要通过篡改设备OAID标识，模拟多用户身份点击广告页面，虚假增加广告点击量，而正常用户一般没有修改OAID信息的需求，因此对于下挂设备，其用于黑产识别的身份标识可以优选为OAID信息。具体做法可以根据网关采集信息(网关mac、下挂设备mac、下挂设备对应OAID)，统计下挂设备在预设时间周期内的OAID变化情况进行评分，例如，该下挂设备一周内出现1-5个OAID，评分为0；出现5-20个OAID，评分为1；出现20个以上，评分为2。

其中，采集的下挂设备OAID变化记录可以参照表1所示的形式。

表1下挂设备OAID变化记录示例表

根据网关设备关联的下挂设备数量，结合预设的下挂设备数量与黑产评分值的对应关系，确定第三评分值；

需要说明的是，黑产用户会在网关下接入多设备进行人工广告点击，或猫池同时控制多设备通过平台进行统一管控。根据此场景的黑产行为，因此可以记录网关下挂设备数量，并进行评分，例如，该网关设备下挂有0—30台设备，评分为0；30-70台设备，评分为1；70台以上设备，评分为2。

根据第一评分值、第二评分值与第三评分值，计算宽带账号的综合评分值，以便基于综合评分值确定宽带账号对应的黑产用户识别结果。

更具体地，上述提及的根据第一评分值、第二评分值与第三评分值，计算宽带账号的综合评分值，其步骤过程具体可包括：

根据第一评分值、第二评分值与第三评分值，结合各个评分值对应的评分系数，对各个评分值与评分系数之积进行求和运算，得到宽带账号的综合评分值。即，Z＝X

式中，Z代表的是综合评分值，X

以上内容便是本申请提供的一种黑产用户识别方法的具体实施例的详细说明，下面为本申请提供的一种黑产用户识别装置的一个实施例的详细说明。

请参阅图3，本申请第二方面提供了一种黑产用户识别装置，包括：

账号锁定单元201，用于根据IP秒拨实现机制，识别并锁定秒拨用户的宽带账号；

设备确定单元202，用于根据宽带账号绑定的网关设备，确定网关设备关联的下挂设备；

黑产识别单元203，用于获取网关设备与各个下挂设备的身份标识变化记录，根据下挂设备的数量以及身份标识变化记录，得到宽带账号对应的黑产用户识别结果。

进一步地，黑产识别单元203具体包括：

身份标识变化记录获取子单元2031，用于获取网关设备与下挂设备的身份标识变化记录；

变化频率确定子单元2032，用于根据身份标识变化记录，确定网关设备与下挂设备的身份标识变化频率；

综合评分计算子单元2033，用于根据下挂设备的数量以及身份标识变化频率，计算宽带账号的综合评分值，以便基于综合评分值确定宽带账号对应的黑产用户识别结果。

进一步地，综合评分计算子单元具体用于：

根据网关设备的身份标识变化频率，结合预设的网关设备身份标识变化频率与黑产评分值的对应关系，确定第一评分值，其中，第一评分值为网关设备的黑产评分值；

根据下挂设备的身份标识变化频率，结合预设的下挂设备身份标识变化频率与黑产评分值的对应关系，确定第二评分值，其中，第二评分值为下挂设备的黑产评分值；

根据网关设备关联的下挂设备数量，结合预设的下挂设备数量与黑产评分值的对应关系，确定第三评分值；

根据第一评分值、第二评分值与第三评分值，计算宽带账号的综合评分值，以便基于综合评分值确定宽带账号对应的黑产用户识别结果。

进一步地，根据第一评分值、第二评分值与第三评分值，计算宽带账号的综合评分值具体包括：

根据第一评分值、第二评分值与第三评分值，结合各个评分值对应的评分系数，对各个评分值与评分系数之积进行求和运算，得到宽带账号的综合评分值。

进一步地，网关设备与下挂设备的身份标识包括：IP与OAID。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的终端，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的终端，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例，例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。