CN112533209A - 黑产识别方法及黑产识别装置 - Google Patents

Abstract

本申请提供了黑产识别方法和黑产识别装置。本申请提供的技术方案中，利用运营商独有的3A日志数据中手机账户和宽带账户及其关联信息(在线时间、秒变次数等)生成更精准的黑产账户库，并基于该黑产账户库来识别黑产，可以提高黑产的识别精准度。本申请的技术方案中，可以通过宽带账户的登录时刻的精准匹配来提高黑产的识别精准度。此外，本申请的技术方案还可以通过手机号码的模糊识别来提高识别速度。

Description

黑产识别方法及黑产识别装置

技术领域

本申请涉及信息技术领域，尤其涉及一种黑产识别方法及黑产识别装置。

背景技术

网络黑产(以下简称“黑产”)指以互联网为媒介，以网络技术为主要手段，为计算机信息***安全和网络空间管理秩序等带来潜在威胁(重大安全隐患)的非法行为。

例如，企业通常会提供一些商品激励或优惠政策，当人们利用这种信息赚钱的时候就形成“薅羊毛”事件和“羊毛党”，当“薅羊毛”的行为形成一定规模的时候，就形成了“薅羊毛”的群体，这些群体往往采用机器人去薅羊毛来最大化利益，而这个机器人就称为黑产，一般这个***包括机器人注册、撞库冒用身份，薅羊毛等行为。

为防范黑产，在相关技术中，由黑产攻击的业务***识别黑产。现有黑产识别方法常常会出现错误识别等识别不精准的现象。

例如，黑产账户验证***根据某个网际互连协议(internet protocol，IP)地址在一定时间长登录的次数超过预设次数，将该IP地址识别为黑产IP地址之后，会将所有账户通过IP地址进行登录行为均识别为黑产。

发明内容

本申请实施例提供了黑产识别方法和黑产识别装置，实现了可以通过宽带账户的登录时刻的精准匹配来提高黑产的识别精准度，还可以通过手机号码的模糊识别来提高识别速度，从而整体提高了黑产的识别精准度。

第一方面，本申请提供一种黑产识别方法，该方法包括：接收黑产识别请求消息，所述黑产识别请求消息中携带待识别手机号、所述待识别手机号的登录时间和所述待识别手机号在所述登录时间所使用的互联网协议IP地址；将所述待识别手机号在所述登录时间使用所述IP地址时所关联的宽带账户确定为待识别宽带账户；根据所述待识别宽带账户与黑产账户库中的黑产宽带账户之间的距离以及所述登录时间与所述黑产宽带账户的黑产时间之间的距离，判断所述待识别手机号在所述登录时间使用所述IP地址的行为是否为黑产；发送时刻精准黑产识别结果，所述时刻精准黑产识别结果包括：用于指示所述待识别手机号在所述登录时间使用所述IP地址的行为识别是否为黑产的信息。

本方法中，基于手机号对应的账户的登录时间以及在该登录时间的IP地址来进行黑产识别，可以精确到登录行为的时间，而不再仅仅基于IP地址来进行黑产识别，从而可以避免误识别，进而可以提高黑产识别的准确率。

结合第一方面，在第一种可能的实现方式中，所述根据所述待识别宽带账户与黑产账户库中的黑产宽带账户之间的距离以及所述登录时间与所述黑产宽带账户的黑产时间之间的距离，判断所述待识别手机号在所述登录时间使用所述IP地址的行为是否为黑产，包括：根据如下公式计算所述待识别宽带账户与所述黑产账户库中每个黑产宽带账户之间的时刻精准匹配距离：

x＝1,2,3,…,C

其中，C为所述黑产账户库中的黑产宽带账号的数量；

为

的转置；μ为调整系数；L为自主调整时刻范围；

为所述登录时间；

为所述黑产时刻，

为所述待识别宽带帐户，

为所述黑产账户库中的第x个黑产宽带账号，d_x为所述待识别宽带账户与所述第x个黑产宽带帐户之间的时刻精准匹配距离；

在所述计算得到的C个时刻精准匹配距离中的最小时刻精准匹配距离小于或等于时刻精准匹配距离阈值时，确定所述待识别手机号在所述登录时间使用所述IP地址的行为是黑产。

本实现方式中，详细的描述了对宽带账户精准匹配的方法，来识别其是否为黑产账户，可以提高黑产的识别精准度。

结合第一种可能的实现方式，在第二种可能的实现方式中，所述根据所述待识别宽带账户与黑产账户库中的黑产宽带账户之间的距离以及所述登录时间与所述黑产宽带账户的黑产时间之间的距离，判断所述待识别手机号在所述登录时间使用所述IP地址的行为是否为黑产之前，所述方法还包括：根据所述待识别手机号与所述黑产账户库中的黑产手机号之间的距离，判断所述待识别手机号在所述登录时间使用所述IP地址的行为是否为黑产；发送模糊黑产识别结果，所述模糊黑产识别结果包括：用于指示所述待识别手机号在所述登录时间使用所述IP地址的行为是黑产的信息。

本实现方式中，在提供精准黑产识别结果之前，可以进行快速进行模糊黑产识别，提供模糊黑产识别结果参考。

结合第二种可能的实现方式，在第三种可能的实现方式中，所述根据所述待识别手机号与所述黑产账户库中的黑产手机号之间的距离，判断所述待识别手机号在所述登录时间使用所述IP地址的行为是否为黑产，包括：根据如下公式计算所述待识别手机号与所述黑产账户库中每个黑产手机号之间的模糊匹配距离：

k＝1,2,3,…,Ω

其中，Ω为所述黑产账户库中的黑产手机号数量；i、j和t分别为所述待识别手机号的立体存储空间点的三维坐标，S_mi为所述待识别手机号的后10位，

为所述黑产账户库中第k个黑产手机号的后10位，D_k(i,j,t)为所述待识别手机号与所述第k个黑产手机号之间的模糊匹配距离，“mod”表示求余操作；

在所述计算得到的Ω个模糊匹配距离中的最小模糊匹配距离小于或等于模糊匹配距离阈值时，确定所述待识别手机号在所述登录时间使用所述IP地址的行为是黑产。

本实现方式中，具体介绍了对手机号模糊匹配的方法，来识别其是否为黑产账户，可以提高黑产的识别速度和提供模糊黑产识别结果参考。

结合第三种可能的实现方式，在第四种可能的实现方式中，所述黑产识别请求消息中还携带识别需求指示信息，所述识别需求指示信息用于指示是否请求模糊黑产识别；

相应地，所述根据所述待识别手机号与所述黑产账户库中的黑产手机号之间的距离，判断所述待识别手机号在所述登录时间使用所述IP地址的行为是否为黑产，包括：所述识别需求指示信息指示请求模糊黑产识别时，根据所述待识别手机号与所述黑产账户库中的黑产手机号之间的距离，判断所述待识别手机号在所述登录时间使用所述IP地址的行为是否为黑产。

在本实现方式中，在有模糊黑产识别的需求的情况下，才进行模糊黑产识别，可以避免浪费资源，提高精准黑产识别的效率。

结合第一方面或上述任意一种可能的实现方式，在第五种可能的实现方式中，所述黑产账户库是基于运营商的3A日志数据库生成的，该数据库包含的信息更多，可以生成更精准的黑产账户库，从而可以提高黑产识别精准率，也有助于进行黑产行为的事前识别。

结合第一方面或上述任意一种可能的实现方式，在第六种可能的实现方式中，所述时刻精准黑产识别结果包括：所述待识别手机号、所述待识别宽带账户、所述登录时间和所述IP地址。

第二方面，本申请提供一种黑产识别装置，该装置包括：接收模块，接收黑产识别请求消息，所述黑产识别请求消息中携带待识别手机号、所述待识别手机号的登录时间和所述待识别手机号在所述登录时间所使用的互联网协议IP地址；确定模块，该模块将所述待识别手机号在所述登录时间使用所述IP地址时所关联的宽带账户确定为待识别宽带账户；判断模块，根据所述待识别宽带账户与黑产账户库中的黑产宽带账户之间的距离以及所述登录时间与所述黑产宽带账户的黑产时间之间的距离，判断所述待识别手机号在所述登录时间使用所述IP地址的行为是否为黑产；发送模块，发送时刻精准黑产识别结果，所述时刻精准黑产识别结果包括：用于指示所述待识别手机号在所述登录时间使用所述IP地址的行为识别是否为黑产的信息。

结合第二方面，在第一种可能的实现方式中，所述判断模块具体用于：根据如下公式计算所述待识别宽带账户与所述黑产账户库中每个黑产宽带账户之间的时刻精准匹配距离：

x＝1,2,3,…,C

其中，C为所述黑产账户库中的黑产宽带账号的数量；

为

的转置；μ为调整系数；L为自主调整时刻范围；

为所述登录时间；

为所述黑产时刻，

为所述待识别宽带帐户，

为所述黑产账户库中的第x个黑产宽带账号，d_x为所述待识别宽带账户与所述第x个黑产宽带帐户之间的时刻精准匹配距离；

在所述计算得到的C个时刻精准匹配距离中的最小时刻精准匹配距离小于或等于时刻精准匹配距离阈值时，确定所述待识别手机号在所述登录时间使用所述IP地址的行为是黑产。

结合第一种可能的实现方式，在第二种可能的实现方式中，所述判断模块还用于：根据所述待识别手机号与所述黑产账户库中的黑产手机号之间的距离，判断所述待识别手机号在所述登录时间使用所述IP地址的行为是否为黑产；所述发送模块还用于发送模糊黑产识别结果，所述模糊黑产识别结果包括：用于指示所述待识别手机号在所述登录时间使用所述IP地址的行为是黑产的信息。

结合第二种可能的实现方式，在第三种可能的实现方式中，所述判断模块具体用于：根据如下公式计算所述待识别手机号与所述黑产账户库中每个黑产手机号之间的模糊匹配距离：

k＝1,2,3,…,Ω

其中，Ω为所述黑产账户库中的黑产手机号数量；i、j和t分别为所述待识别手机号的立体存储空间点的三维坐标，S_mi为所述待识别手机号的后10位，

为所述黑产账户库中第k个黑产手机号的后10位，D_k(i,j,t)为所述待识别手机号与所述第k个黑产手机号之间的模糊匹配距离，“mod”表示求余操作；

在所述计算得到的Ω个模糊匹配距离中的最小模糊匹配距离小于或等于模糊匹配距离阈值时，确定所述待识别手机号在所述登录时间使用所述IP地址的行为是黑产。

结合第三种可能的实现方式，在第四种可能的实现方式中，所述黑产识别请求消息中还携带识别需求指示信息，所述识别需求指示信息用于指示是否请求模糊黑产识别；

相应地，所述判断模块具体用于：所述识别需求指示信息指示请求模糊黑产识别时，根据所述待识别手机号与所述黑产账户库中的黑产手机号之间的距离，判断所述待识别手机号在所述登录时间使用所述IP地址的行为是否为黑产。

结合第二方面或上述任意一种可能的实现方式，在第五种可能的实现方式中，所述黑产账户库是基于运营商的3A日志数据库生成的，该数据库包含的信息更多，可以生成更精准的黑产账户库，从而可以提高黑产识别精准率，也有助于进行黑产行为的事前识别。

结合第二方面或上述任意一种可能的实现方式，在第六种可能的实现方式中，所述时刻精准黑产识别结果包括：所述待识别手机号、所述待识别宽带账户、所述登录时间和所述IP地址。

第三方面，本申请提供一种黑产识别装置，包括：存储器和处理器；所述存储器用于存储程序指令；所述处理器用于调用所述存储器中的程序指令执行如第一方面或其中任意一种可能的实现方式所述的方法。

该装置为计算设备时，在一些实现方式中，该装置还可以包括收发器或通信接口，用于与其他设备通信。

该装置为用于计算设备的芯片时，在一些实现方式中，该装置还可以包括通信接口，用于与计算设备中的其他装置通信，例如用于与计算设备的收发器进行通信。

第四方面，本申请提供一种计算机可读介质，所述计算机可读介质存储用于计算机执行的程序代码，该程序代码包括用于执行如第一方面或其中任意一种可能的实现方式所述的方法的指令。

第五方面，本申请提供一种包含指令的计算机程序产品，当该计算机程序产品在处理器上运行时，使得该处理器实现第一方面或其中任意一种实现方式中的方法。

第六方面，本申请提供一种黑产识别***，包括第二方面或第三方面中的黑产识别装置。

附图说明

图1为本申请一个实施例的黑产识别***的结构示意图；

图2为本申请一个实施例的黑产识别方法的流程示意图；

图3为本申请一个实施例的黑产识别装置的结构示意图；

图4为本申请另一个实施例的黑产识别装置的结构示意图。

具体实施方式

图1为本申请一个实施例的黑产识别***的结构示例图。如图1所示，本实施例的黑产识别***中可以包括运营商的3A日志数据库、数据转换设备、终端设备、黑产账户验证***和黑产账户库。

3A日志是运营商所独有的原始数据信息，这些信息包括宽带账户、与宽带账户关联的手机号、宽带账户每次接入网络时的登录时间、IP地址和每次接入网络后的在线时长、以及宽带账户接入网络后使用了多少流量等。登录时间的一种示例为某年某月某日某分某秒。

数据转换设备基于3A日志数据生成黑产账户库。例如，数据转换设备根据3A日志数据中一个时间段中一个宽带账户关联的IP地址的变换次数来判断该宽带账户是否为黑产账户。又如，数据转换设备根据3A日志数据中一个时间段内一个手机号关联的IP地址的变换此处来判断该手机账户是否为黑产账户。再如，数据转换设备根据3A日志中宽带用户关联的每个IP地址的平均在线时长判断该宽带账户是否为黑产账户。

黑产账户库中包括被识别为黑产账户的宽带账户。此外，黑产宽带账户关联的手机号账户也被识别为黑产账户。黑产账户库中还可以记录每个黑产宽带账户的黑产行为发生时间。

终端设备可以通过应用程序(application，App)或者网站访问黑产账户识别***。例如终端设备需要识别某个手机号码是否为黑产账户时，可以基于该终端设备上的黑产识别App或者黑产识别网站向黑产账户识别***发送该手机号码，以请求黑产账户识别***进行识别。终端设备的一种示例为手机。

黑产账户识别***接收到终端设备发送的手机号码之后，可以读取黑产账户库中的信息，并根据读取到的信息识别终端设备请求识别的手机号码是否为黑产账户，以及向终端设备发送识别结果。

图2为本申请一个实施例的黑产识别方法的流程图。如图2所示，该方法可以包括S201、S202、S203、S204、S205和S206。

S201、终端设备向黑产账户验证***发送黑产识别请求消息，所述黑产识别请求消息中携带待识别手机号、所述待识别手机号的登录时间和所述待识别手机号在所述登录时间所使用的IP地址。相应地，黑产账户验证***接收所述黑产识别请求消息。

该黑产识别请求消息用于请求黑产账户验证***验证该待识别手机号是否为黑产手机号，或者说用于请求黑产账户验证***验证该待识别手机号在所述登录时间使用所述IP地址进行登录的行为是否为黑产。

终端设备可以是手机或者电脑等。终端设备可以通过APP或者网站将黑产识别请求消息发送给黑产账户验证***。本实施例中的待识别手机号也可称为需要验证的手机号。

本实施例中，所述待识别手机号的登录时间可以理解为所述待识别手机号所关联的用户账户访问或者登录业务***的时间，所述待识别手机号在所述登录时间使用的IP地址可以理解为所述待识别手机号所关联的用户账号在所述登录时间访问或者登录业务***所使用的IP地址。

本实施例中的业务***可以是任意能够为用户提供服务的***，例如可以是购物网站或评分网站等。

本实施例中，IP地址可以是IPV4地址或者IPV6地址，该IP地址可以是电信接入网为使用该手机号登录业务***时所使用的设备(例如手机)分配的地址。电信接入网为使用该手机号登录业务***时所使用的设备(例如手机)分配的地址会随着该手机号账户的上线和下线而不断发生变化。

S202、根据所述待识别手机号与黑产账户库中的黑产手机号之间的距离，判断所述待识别手机号在所述登录时间使用所述IP地址的行为是否为黑产。

本步骤可以称为对待识别手机号进行模糊匹配黑产识别，识别得到的结果称为模糊黑产识别结果。

黑产账户库中可以包括发起过黑产行为的手机号，发起过黑产行为的手机号可以称为黑产手机号。

黑产账户验证***对待识别手机号进行模糊匹配的一种示例性中，可以使用下面的公式计算待识别手机号与黑产账户库中每个黑产手机号之间的模糊匹配距离：

k＝1,2,3,…,Ω

上述公式中，Ω为黑产账户库中的黑产手机号数量；i、j和t分别为所述待识别手机号的立体存储空间点的三维座标，S_mi为所述待识别手机号的后10位，

为黑产账户库中第k个黑产手机号的后10位，D_k(i,j,t)为所述待识别手机号与黑产账户库中第k个黑产手机号之间的模糊匹配距离，“mod”表示求余操作。

黑产账户验证***计算得到待识别手机号与黑产账户库中每个黑产手机号之间的模糊匹配距离之后，可以选出最小模糊匹配距离，并在该最小模糊匹配距离小于或等于预设的模糊匹配距离阈值的情况下，将所述待识别手机号在所述登录时间基于所述IP地址的登录行为识别为黑产。这种情况下，模糊黑产识别结果可以包括：用于指示所述待识别手机号在所述登录时间基于所述IP地址的登录行为识别为黑产的信息。

可以理解的是，上述计算模糊匹配距离的公式仅是一种示例，本实施例也可以使用其他计算距离的公式来计算待识别手机号与黑产手机号之间的模糊匹配距离，例如可以计算待识别手机号模糊后的手机号与黑产手机号模糊后的手机号之间曼哈顿距离或余弦距离来作为模糊匹配距离。

S203、黑产账户验证***向终端设备发送模糊黑产识别结果。相应地，终端设备接收黑产账户验证***发送的模糊黑产识别结果。

S204、黑产账户验证***根据所述黑产识别请求消息中携带的信息，将所述待识别手机号在所述登录时间使用所述IP地址时所关联的宽带账户确定为待识别宽带账户。

本实施例中，所述待识别宽带账户也可以称为所述待识别手机号在所述登录时间使用所述IP地址时所关联的宽带账户。

例如，黑产账户验证***可以基于运营商的3A日志数据库确定所述待识别手机号在所述登录时间使用所述IP地址时所关联的宽带账户。

S205、黑产账户验证***根据所述待识别宽带账户与黑产账户库中的黑产宽带账户之间的距离以及所述登录时间与所述黑产宽带账户的黑产时间之间的距离，判断所述待识别手机号在所述登录时间使用所述IP地址的行为是否为黑产。

黑产账户库中还可以包括发生过黑产的宽带账户，发生过黑产的宽带账户可以称为黑产宽带账户。进一步地，黑产账户库中记录每个黑产宽带账户发生黑产行为的时间，黑产宽带账户发生黑产行为的时间可以称为黑产宽带账户的黑产时间。

本步骤可以理解为：黑产账户验证***将所述待识别宽带账户与黑产账户库中每个黑产宽带账户进行年月日时分秒粒度的精准验证。

例如，黑产账户验证***根据下面的公式计算接收到的手机号所关联的宽带账户与黑产账户库中每个宽带账户之间的时刻精准匹配距离：

x＝1,2,3,…,C

上述公式中，C为黑产账户库中的黑带宽带账号的数量；

为

的转置；μ为调整系数；L为自主调整时刻范围；

为所述待识别手机号基于所述IP地址的登录时刻；

为所述黑产账户库中的第x个宽带账户的黑产时间，

为所述待识别宽带帐户，

为所述黑产账户库中的第x个黑产宽带账号，d_x为所述待识别宽带账户与所述第x个黑产宽带帐户之间的时刻精准匹配距离。其中，μ和L都是根据经验设置的。

计算得到待识别宽带帐户与黑产账户库中每个黑产宽带账户之间的时刻精准匹配距离之后，找出最小时刻精准匹配距离，并判断该最小时刻精准匹配距离是否小于或等于精准匹配距离阈值。若该最小时刻精准匹配距离小于或等于精准匹配距离阈值，则可以精准认为待识别手机号在所述登录时间基于所述IP地址的登录行为是黑产。这种情况下，进行进准黑产识别的得到的精准黑产识别结果可以包括：用于指示所述待识别手机号在所述登录时间基于所述IP地址的登录行为识别是黑产的信息。

可选地，精准黑产识别结果中还可以包括所述待识别手机号、所述登录时间和所述IP地址，以便于终端设备获知该黑产对应的手机号、登录时间和IP地址。进一步地，该精准黑产识别结果中还可以包括所述待识别手机号所关联的宽带账户。

可以理解的是，上述计算时刻精准匹配距离的公式仅是一种示例，本实施例也可以使用其他计算距离的公式来计算待识别宽带账户与黑产带宽账户之间的时刻精准匹配距离，例如可以分别计算待识别宽带与黑产宽带账户之间曼哈顿距离，以及计算登录时刻与黑产时刻的曼哈顿距离，并根据这两种曼哈顿距离来计算时刻精准匹配距离。

S206、黑产账户验证***向终端设备发送精准黑产识别结果。相应地，所述终端设备接收所述精准黑产识别结果。

本实施例中，黑产识别请求消息中可以进一步携带识别需求指示信息，该识别需求指示信息用于指示是否请求黑产账户验证***提供模糊黑产识别结果。

若该识别需求指示信息指示请求黑产账户验证***提供模糊黑产识别结果，则黑产账户验证***可以先执行S202和S203，以向终端设备提供模糊黑产识别结果，然后再执行S204至S206，以向终端设备提供精准黑产识别结果。

若该识别需求指示信息指示不请求黑产账户验证***提供模糊黑产识别结果，则黑产账户验证***可以不执行S202和S203。

若黑产识别请求消息中没有携带识别需求指示信息，或者识别需求请求信息没有指示是否请求黑产账户验证***提供模糊黑产识别结果，则黑产账户验证***可以按照默认的设置来确定是否执行S202和S203。该默认设置可以是默认执行S202和S203，也可以是默认不执行S202和S203。

图3为本申请一个实施例提供的黑产识别装置的结构示意图。图3所示的装置可以用于执行前述任意一个实施例所述的方法。如图3所示，本实施例的装置300可以包括：接收模块301，确定模块302、判断模块303和发送模块304。

在一种示例中，装置300可以用于执行图2所述的方法。例如，接收模块301可以用于执行S201，确定模块302可以用于执行S204，判断模块303可以用于执行S202和S205，发送模块304可以用于执行S203和S206。

图4为本申请另一个实施例提供的黑产识别装置的结构示意图。图4所示的装置可以用于执行前述任意一个实施例所述的方法。

如图4所示，本实施例的装置400包括：存储器401、处理器402、通信接口403以及总线404。其中，存储器401、处理器402、通信接口403通过总线404实现彼此之间的通信连接。

存储器401可以是只读存储器(read only memory，ROM)，静态存储设备，动态存储设备或者随机存取存储器(random access memory，RAM)。存储器401可以存储程序，当存储器401中存储的程序被处理器402执行时，处理器402用于执行图2所示的方法的各个步骤。

处理器402可以采用通用的中央处理器(central processing unit，CPU)，微处理器，应用专用集成电路(application specific integrated circuit，ASIC)，或者一个或多个集成电路，用于执行相关程序，以实现本申请各个实施例中的方法。

处理器402还可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，本申请各个实施例的方法的各个步骤可以通过处理器402中的硬件的集成逻辑电路或者软件形式的指令完成。

上述处理器402还可以是通用处理器、数字信号处理器(digital signalprocessing，DSP)、专用集成电路(ASIC)、现成可编程门阵列(field programmable gatearray，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器401，处理器402读取存储器401中的信息，结合其硬件完成本申请的装置包括的单元所需执行的功能，例如，可以执行图2所示实施例的各个步骤/功能。

通信接口403可以使用但不限于收发器一类的收发装置，来实现装置400与其他设备或通信网络之间的通信。

总线404可以包括在装置400各个部件(例如，存储器401、处理器402、通信接口403)之间传送信息的通路。

应理解，本申请实施例所示的装置400可以是计算设备，或者，也可以是配置于计算设备中的芯片。

还应理解，本申请实施例中的存储器可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM，PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory，RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的随机存取存储器(random accessmemory，RAM)可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

上述实施例，可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时，上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质。半导体介质可以是固态硬盘。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A,B可以是单数或者复数。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系，但也可能表示的是一种“和/或”的关系，具体可参考前后文进行理解。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a,b,或c中的至少一项(个)，可以表示：a,b,c,a-b,a-c,b-c,或a-b-c，其中a,b,c可以是单个，也可以是多个。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的***、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的***、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种黑产识别方法，其特征在于，包括：

接收黑产识别请求消息，所述黑产识别请求消息中携带待识别手机号、所述待识别手机号的登录时间和所述待识别手机号在所述登录时间所使用的互联网协议IP地址；

将所述待识别手机号在所述登录时间使用所述IP地址时所关联的宽带账户确定为待识别宽带账户；

根据所述待识别宽带账户与黑产账户库中的黑产宽带账户之间的距离以及所述登录时间与所述黑产宽带账户的黑产时间之间的距离，判断所述待识别手机号在所述登录时间使用所述IP地址的行为是否为黑产；

发送时刻精准黑产识别结果，所述时刻精准黑产识别结果包括：用于指示所述待识别手机号在所述登录时间使用所述IP地址的行为识别是否为黑产的信息。

2.根据权利要求1所述的方法，其特征在于，所述根据所述待识别宽带账户与黑产账户库中的黑产宽带账户之间的距离以及所述登录时间与所述黑产宽带账户的黑产时间之间的距离，判断所述待识别手机号在所述登录时间使用所述IP地址的行为是否为黑产，包括：

根据如下公式计算所述待识别宽带账户与所述黑产账户库中每个黑产宽带账户之间的时刻精准匹配距离：

其中，C为所述黑产账户库中的黑产宽带账号的数量；

为

的转置；μ为调整系数；L为自主调整时刻范围；

为所述登录时间；

为所述黑产时刻，

为所述待识别宽带帐户，

为所述黑产账户库中的第x个黑产宽带账号，d_x为所述待识别宽带账户与所述第x个黑产宽带帐户之间的时刻精准匹配距离；

在所述计算得到的C个时刻精准匹配距离中的最小时刻精准匹配距离小于或等于时刻精准匹配距离阈值时，确定所述待识别手机号在所述登录时间使用所述IP地址的行为是黑产。

3.根据权利2所述的方法，其特征在于，所述根据所述待识别宽带账户与黑产账户库中的黑产宽带账户之间的距离以及所述登录时间与所述黑产宽带账户的黑产时间之间的距离，判断所述待识别手机号在所述登录时间使用所述IP地址的行为是否为黑产之前，所述方法还包括：

根据所述待识别手机号与所述黑产账户库中的黑产手机号之间的距离，判断所述待识别手机号在所述登录时间使用所述IP地址的行为是否为黑产；

发送模糊黑产识别结果，所述模糊黑产识别结果包括：用于指示所述待识别手机号在所述登录时间使用所述IP地址的行为是黑产的信息。

4.根据权利要求3所述的方法，其特征在于，所述根据所述待识别手机号与所述黑产账户库中的黑产手机号之间的距离，判断所述待识别手机号在所述登录时间使用所述IP地址的行为是否为黑产，包括：

根据如下公式计算所述待识别手机号与所述黑产账户库中每个黑产手机号之间的模糊匹配距离：

其中，Ω为所述黑产账户库中的黑产手机号数量；i、j和t分别为所述待识别手机号的立体存储空间点的三维坐标，S_mi为所述待识别手机号的后10位，

为所述黑产账户库中第k个黑产手机号的后10位，D_k(i,j,t)为所述待识别手机号与所述第k个黑产手机号之间的模糊匹配距离，“mod”表示求余操作；

在所述计算得到的Ω个模糊匹配距离中的最小模糊匹配距离小于或等于模糊匹配距离阈值时，确定所述待识别手机号在所述登录时间使用所述IP地址的行为是黑产。

5.根据权利要求4所述的方法，其特征在于，所述黑产识别请求消息中还携带识别需求指示信息，所述识别需求指示信息用于指示是否请求模糊黑产识别；

相应地，所述根据所述待识别手机号与所述黑产账户库中的黑产手机号之间的距离，判断所述待识别手机号在所述登录时间使用所述IP地址的行为是否为黑产，包括：

所述识别需求指示信息指示请求模糊黑产识别时，根据所述待识别手机号与所述黑产账户库中的黑产手机号之间的距离，判断所述待识别手机号在所述登录时间使用所述IP地址的行为是否为黑产。

6.根据权利要求1至5中任一项所述的方法，其特征在于，所述黑产账户库是基于运营商的3A日志数据库生成的。

7.根据权利要求1至5中任一项所述的方法，其特征在于，所述时刻精准黑产识别结果包括：所述待识别手机号、所述待识别宽带账户、所述登录时间和所述IP地址。

8.一种黑产识别装置，其特征在于，包括用于实现权利要求1至7中任一项所述的方法所需的各个功能模块。

9.一种黑产识别装置，其特征在于，包括：存储器和处理器；

所述存储器用于存储程序指令；

所述处理器用于调用所述存储器中的程序指令，执行如权利要求1至7中任一项所述的方法。

10.一种计算机可读介质，其特征在于，所述计算机可读介质存储用于计算机执行的程序代码，该程序代码包括用于执行如权利要求1至7中任一项所述的方法的指令。

Images