CN115337648A - 外挂检测方法、装置、电子设备及计算机可读存储介质 - Google Patents

外挂检测方法、装置、电子设备及计算机可读存储介质 Download PDF

Info

Publication number
CN115337648A
CN115337648A CN202210774997.0A CN202210774997A CN115337648A CN 115337648 A CN115337648 A CN 115337648A CN 202210774997 A CN202210774997 A CN 202210774997A CN 115337648 A CN115337648 A CN 115337648A
Authority
CN
China
Prior art keywords
plug
behavior data
historical
behavior
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210774997.0A
Other languages
English (en)
Inventor
林建实
浦嘉澍
徐雨虹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Netease Hangzhou Network Co Ltd
Original Assignee
Netease Hangzhou Network Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Netease Hangzhou Network Co Ltd filed Critical Netease Hangzhou Network Co Ltd
Priority to CN202210774997.0A priority Critical patent/CN115337648A/zh
Publication of CN115337648A publication Critical patent/CN115337648A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • AHUMAN NECESSITIES
    • A63SPORTS; GAMES; AMUSEMENTS
    • A63FCARD, BOARD, OR ROULETTE GAMES; INDOOR GAMES USING SMALL MOVING PLAYING BODIES; VIDEO GAMES; GAMES NOT OTHERWISE PROVIDED FOR
    • A63F13/00Video games, i.e. games using an electronically generated display having two or more dimensions
    • A63F13/70Game security or game management aspects
    • A63F13/75Enforcing rules, e.g. detecting foul play or generating lists of cheating players
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • General Business, Economics & Management (AREA)
  • Computational Linguistics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请公开了一种外挂检测方法、装置、电子设备及计算机可读存储介质。方法包括:当到达设定的检测时机时,获取待检测虚拟用户的第一行为数据;从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据,其中,任一所述历史外挂群体中所包含的各个历史外挂用户具有相似的行为数据,所述第二行为数据用于表示所述历史外挂群体整体所对应的行为数据;当查找到所述目标行为数据时,判定所述待检测虚拟用户为外挂用户。采用本申请实施例提供的方案能够减少将正常用户误判为外挂玩家的现象,从而减少对正常用户造成误处理的现象,使得外挂检测的准确率更高,更好地保障了正常用户的游戏体验。

Description

外挂检测方法、装置、电子设备及计算机可读存储介质
技术领域
本申请涉及计算机技术领域,具体涉及一种外挂检测方法、装置、电子设备及计算机可读存储介质。
背景技术
游戏外挂是指玩家使用自动的脚本程序进入系统,在无需休息的情况下持续执行艰难或乏味的任务,如批量挂机、自动执行任务等。因此,外挂玩家很容易击败正常玩家,对游戏公平造成极大的负面影响,影响正常玩家的游戏体验。
相关技术中,可以利用模型检测法对外挂玩家进行检测。然而,模型检测法的检测准确率依赖于所训练的模型的准确率,当所训练的模型的准确率不够高时,容易将正常玩家误判为外挂玩家,从而容易对正常玩家造成误处理(例如封号、禁赛等),影响了正常玩家的游戏体验。
发明内容
本申请提供了一种外挂检测方法、装置、电子设备及计算机可读存储介质,能够减少将正常用户误判为外挂玩家的现象,从而减少对正常用户造成误处理的现象,使得外挂检测的准确率更高,更好地保障了正常用户的游戏体验。具体方案如下。
第一方面,本申请实施例提供了一种外挂检测方法,所述方法包括:
当到达设定的检测时机时,获取待检测虚拟用户的第一行为数据;
从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据,其中,任一所述历史外挂群体中所包含的各个历史外挂用户具有相似的行为数据,所述第二行为数据用于表示所述历史外挂群体整体所对应的行为数据;
当查找到所述目标行为数据时,判定所述待检测虚拟用户为外挂用户。
可选地,在所述从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据之前,所述方法还包括:
通过训练好的行为表征模型将所述第一行为数据转换为第一行为表征向量;
所述从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据,包括:
从所存储的多个历史外挂群体分别对应的多个第二行为表征向量中,查找与所述第一行为表征向量相似的目标行为表征向量。
可选地,所述历史外挂群体对应的所述第二行为表征向量通过以下方式得出:
获取所述历史外挂群体所包含的各历史外挂用户分别对应的各第三行为数据;
通过所述行为表征模型将各所述第三行为数据转换为各第三行为表征向量;
根据各所述第三行为表征向量确定所述历史外挂群体对应的所述第二行为表征向量。
可选地,所述根据各所述第三行为表征向量确定所述历史外挂群体对应的所述第二行为表征向量,包括:
将各所述第三行为表征向量的平均向量确定为所述历史外挂群体对应的所述第二行为表征向量。
可选地,所述从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据,包括:
获取所存储的多个历史外挂群体分别对应的各更新时间,所述更新时间为所述历史外挂群体所包含的各历史外挂用户的外挂检测时间中最晚的时间;
从所述多个历史外挂群体中筛选出目标外挂群体,所述目标外挂群体对应的所述更新时间距离当前时刻的时长短于设定时长;
从各所述目标外挂群体分别对应的各第二行为数据中,查找与所述第一行为数据相似的目标行为数据。
可选地,所述方法还包括:
获取所存储的多个历史外挂群体分别对应的各更新时间,所述更新时间为所述历史外挂群体所包含的各历史外挂用户的外挂检测时间中最晚的时间;
从所存储的多个历史外挂群体分别对应的多个第二行为数据中删除第一外挂群体对应的第二行为数据,所述第一外挂群体对应的更新时间距离当前时刻的时长等于或长于设定时长。
可选地,所述方法还包括:
根据所述第一行为数据更新所述相似外挂群体对应的第二行为数据,所述相似外挂群体为所述目标行为数据对应的历史外挂群体。
可选地,所述方法还包括:
将所述待检测虚拟用户的检测时间更新为所述相似外挂群体对应的更新时间。
可选地,所述方法还包括:
当未查找到所述目标行为数据时,从当前时刻开始向后的第一时间段内监测是否存在相似行为数据,所述相似行为数据为:在所述第一时间段内获取的各待测虚拟用户的行为数据中与所述第一行为数据相似的行为数据;
当在所述第一时间段内监测到存在所述相似行为数据,或者,当在所述第一时间段内监测到存在多个所述相似行为数据,将所述待检测虚拟用户确定为外挂用户。
可选地,在所述从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据之前,所述方法还包括:
通过设定的预检测方式对所述第一行为数据进行预检测,得到所述待检测虚拟用户是否为疑似外挂的预检测结果;
所述从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据,包括:
当所述预检测结果为是疑似外挂时,从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据。
可选地,所述方法还包括:
当未查找到所述目标行为数据时,为所述待检测虚拟用户创建一个历史外挂群体,并将所述第一行为数据确定为创建的所述历史外挂群体对应的第二行为数据。
可选地,所述第二行为数据为以下任意一项:
所述历史外挂群体中各个历史外挂用户对应的各行为数据的平均数据;
所述历史外挂群体中各个历史外挂用户对应的各行为数据按检测时间排列的中位数数据;
所述历史外挂群体中各个历史外挂用户对应的各行为数据中检测时间最晚的行为数据。
可选地,所述检测时机包括以下至少一项:
待检测虚拟用户进行登录时;
待检测虚拟用户进行虚拟资产交易完成之前;
待检测虚拟用户等级提升之前。
可选地,所述方法还包括:
实时获取各虚拟用户的行为数据,并将各虚拟用户的行为数据存储在存储数据库中;
所述获取待检测虚拟用户的第一行为数据,包括:
从所述存储数据库中获取待检测虚拟用户的第一行为数据。
可选地,所述第一行为数据为第一行为序列,所述第一行为序列中包含所述待检测虚拟用户所进行的各行为事件。
可选地,所述通过设定的预检测方式对所述第一行为数据进行预检测,得到所述待检测虚拟用户是否为疑似外挂的预检测结果,包括:
将所述第一行为数据输入训练好的外挂检测模型中,得到所述待检测虚拟用户是否为疑似外挂的预检测结果;
或者,将所述第一行为数据与预设的外挂特征进行比对,得到所述待检测虚拟用户是否为疑似外挂的预检测结果。
第二方面,本申请实施例还提供了一种外挂检测装置,所述装置包括:
获取单元,用于当到达设定的检测时机时,获取待检测虚拟用户的第一行为数据;
查找单元,用于从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据,其中,任一所述历史外挂群体中所包含的各个历史外挂用户具有相似的行为数据,所述第二行为数据用于表示所述历史外挂群体整体所对应的行为数据;
判定单元,用于当查找到所述目标行为数据时,判定所述待检测虚拟用户为外挂用户。
可选地,所述装置还包括:
转换单元,用于通过训练好的行为表征模型将所述第一行为数据转换为第一行为表征向量;
所述查找单元,具体用于:从所存储的多个历史外挂群体分别对应的多个第二行为表征向量中,查找与所述第一行为表征向量相似的目标行为表征向量。
可选地,所述转换单元还用于:获取所述历史外挂群体所包含的各历史外挂用户分别对应的各第三行为数据;通过所述行为表征模型将各所述第三行为数据转换为各第三行为表征向量;根据各所述第三行为表征向量确定所述历史外挂群体对应的所述第二行为表征向量。
可选地,所述转换单元,具体用于:
将各所述第三行为表征向量的平均向量确定为所述历史外挂群体对应的所述第二行为表征向量。
可选地,所述查找单元具体用于:获取所存储的多个历史外挂群体分别对应的各更新时间,所述更新时间为所述历史外挂群体所包含的各历史外挂用户的外挂检测时间中最晚的时间;从所述多个历史外挂群体中筛选出目标外挂群体,所述目标外挂群体对应的所述更新时间距离当前时刻的时长短于设定时长;从各所述目标外挂群体分别对应的各第二行为数据中,查找与所述第一行为数据相似的目标行为数据。
可选地,所述装置还包括:
删除单元,用于获取所存储的多个历史外挂群体分别对应的各更新时间,所述更新时间为所述历史外挂群体所包含的各历史外挂用户的外挂检测时间中最晚的时间;从所存储的多个历史外挂群体分别对应的多个第二行为数据中删除第一外挂群体对应的第二行为数据,所述第一外挂群体对应的更新时间距离当前时刻的时长等于或长于设定时长。
可选地,所述装置还包括:
更新单元,用于根据所述第一行为数据更新所述相似外挂群体对应的第二行为数据,所述相似外挂群体为所述目标行为数据对应的历史外挂群体。
可选地,所述更新单元还用于:将所述待检测虚拟用户的检测时间更新为所述相似外挂群体对应的更新时间。
可选地,所述装置还包括:
监测单元,用于当未查找到所述目标行为数据时,从当前时刻开始向后的第一时间段内监测是否存在相似行为数据,所述相似行为数据为:在所述第一时间段内获取的各待测虚拟用户的行为数据中与所述第一行为数据相似的行为数据;
所述判定单元还用于当在所述第一时间段内监测到存在所述相似行为数据,或者,当在所述第一时间段内监测到存在多个所述相似行为数据,将所述待检测虚拟用户确定为外挂用户。
可选地,所述装置还包括:
预检测单元,用于通过设定的预检测方式对所述第一行为数据进行预检测,得到所述待检测虚拟用户是否为疑似外挂的预检测结果;
所述查找单元,具体用于:当所述预检测结果为是疑似外挂时,从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据。
可选地,所述装置还包括:
创建单元,用于当未查找到所述目标行为数据时,为所述待检测虚拟用户创建一个历史外挂群体,并将所述第一行为数据确定为创建的所述历史外挂群体对应的第二行为数据。
可选地,所述第二行为数据为以下任意一项:
所述历史外挂群体中各个历史外挂用户对应的各行为数据的平均数据;
所述历史外挂群体中各个历史外挂用户对应的各行为数据按检测时间排列的中位数数据;
所述历史外挂群体中各个历史外挂用户对应的各行为数据中检测时间最晚的行为数据。
可选地,所述检测时机包括以下至少一项:
待检测虚拟用户进行登录时;
待检测虚拟用户进行虚拟资产交易完成之前;
待检测虚拟用户等级提升之前。
可选地,所述装置还包括:
存储单元,用于实时获取各虚拟用户的行为数据,并将各虚拟用户的行为数据存储在存储数据库中;
所述获取单元,具体用于:从所述存储数据库中获取待检测虚拟用户的第一行为数据。
可选地,所述第一行为数据为第一行为序列,所述第一行为序列中包含所述待检测虚拟用户所进行的各行为事件。
可选地,所述预检测单元,具体用于:将所述第一行为数据输入训练好的外挂检测模型中,得到所述待检测虚拟用户是否为疑似外挂的预检测结果;或者,将所述第一行为数据与预设的外挂特征进行比对,得到所述待检测虚拟用户是否为疑似外挂的预检测结果。
第三方面,本申请还提供了一种电子设备,包括:
处理器;以及
存储器,用于存储数据处理程序,该电子设备通电并通过所述处理器运行该程序后,执行如第一方面任一项所述的方法。
第四方面,本申请实施例还提供了一种计算机可读存储介质,存储有数据处理程序,该程序被处理器运行,执行如第一方面任一项所述的方法。
与现有技术相比,本申请具有以下优点:
本申请提供的外挂检测方法,当到达设定的检测时机时,获取待检测虚拟用户的第一行为数据,从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与第一行为数据相似的目标行为数据,当第一行为数据与目标行为数据相似时,说明待检测虚拟用户与目标行为数据对应的历史外挂群体中的各个历史外挂虚拟用户具有相似的行为数据,由于历史外挂群体中的各个历史外挂用户是已经被检测出的外挂用户,待检测虚拟用户与已经被检测出的各个外挂用户具有相似的行为数据,说明该待检测虚拟用户具有群体性的外挂特性,从而能够判定待检测虚拟用户为外挂用户。
本申请实施例中,当待检测虚拟用户的行为数据与某一历史外挂群体对应的第二行为数据相似时,说明待检测虚拟用户属于该历史外挂群体,即待检测虚拟用户与该历史外挂群体中的各个外挂用户使用的是相同的外挂手段(例如,相同外挂插件、相同外挂软件等),从而能够说明待检测虚拟用户为属于该历史外挂群体的外挂用户。
由于群体性是外挂用户的一个普遍性特点,群体性是指多个虚拟用户使用一个外挂手段启动大量虚拟用户进行游戏(或其他操作)的行为特性,使用同一外挂手段的各个虚拟用户通常会具有相似的行为数据。本申请实施例中,当待检测虚拟用户的行为数据与一个历史外挂群体的行为数据相似时,即待检测虚拟用户具有群体性的外挂特性时,基本上能够说明该待检测虚拟用户属于这个历史外挂群体,说明该待检测虚拟用户是通过该历史外挂群体对应的外挂手段进行游戏等操作行为的,所以,能够很准确地判定出该待检测虚拟用户是属于该历史外挂群体的外挂用户。可见,通过本申请提供的方案所判定的外挂用户被误判的概率很小,从而可以减少将正常用户误判为外挂用户的现象,减少了对正常用户造成误处理的现象,使得外挂检测的准确率更高,更好地保障了正常用户的游戏体验。
附图说明
图1是本申请实施例提供的外挂检测方法的一例的流程图;
图2是本申请实施例提供的外挂检测系统的检测流程图;
图3是本申请实施例中行为表征模型的训练及推理过程示意图;
图4是本申请实施例提供的外挂检测装置的一例的结构框图;
图5是本申请实施例提供的电子设备的一例的结构框图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本申请。但是本申请能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本申请内涵的情况下做类似推广,因此本申请不受下面公开的具体实施的限制。
游戏外挂检测是游戏出版商最急需解决的问题之一。相关技术中,可以通过模型检测法识别外挂玩家,具体的,可以将玩家的游戏数据输入AI模型中,从而输出该玩家是否是外挂玩家的预测结果。或者,也可以利用人工总结的外挂特征对玩家的游戏行为进行分析,当玩家的游戏行为与人工总结的外挂特性一致时,判定该玩家为外挂玩家。
然而,由于外挂特征检测法或者模型检测法的检测准确率依赖于所总结的外挂特征或者所训练的模型的准确率,当所总结的外挂特征或所训练的模型的准确率不够高时,容易将正常玩家误判为外挂玩家,从而容易对正常玩家造成误处理(例如封号、禁赛等),影响了正常玩家的游戏体验。
基于上述原因,为了减少将正常用户误判为外挂玩家的现象,从而减少对正常用户造成误处理的现象,提高实时检测的效率,更及时预防后置损失,从而使得外挂检测的准确率更高,更好地保障了正常用户的游戏体验,本申请第一实施例提供了一种外挂检测方法,该方法应用于电子设备,该电子设备可以是服务器、台式电脑、笔记本电脑、手机、平板电脑、服务器、终端设备等,也可以是其他能够进行数据处理的电子设备,本申请实施例不具体限定。
本申请实施例所提供的外挂检测方法可以用于对虚拟游戏中的外挂用户进行检测,也可以用于对其他应用程序中的外挂进行检测,本申请不具体限定。
如图1所示,本申请提供的外挂检测方法包括以下步骤S110~步骤S130。
步骤S110:当到达设定的检测时机时,获取待检测虚拟用户的第一行为数据。
上述设定的检测时机可以是以下至少一项:待检测虚拟用户进行登录时、待检测虚拟用户进行虚拟资产交易完成之前、待检测虚拟用户等级提升之前。
上述待检测虚拟用户进行登录时,可以是电子设备接收到待检测虚拟用户对应的客户端发送的登录请求时,也可以是待检测虚拟用户完成登录时。待检测虚拟用户登录指的是待检测虚拟用户登录应用程序对应的服务器。这样,当待检测虚拟用户为外挂用户时,可以在其登录之前及时发现其是外挂用户,从而可以对其进行限制登录、验证码登录等登录限制,保证了检测的及时性和实时性,从而避免了后置损失。
上述待检测虚拟用户进行虚拟资产交易完成之前,可以是电子设备接收到待检测虚拟用户发起的虚拟资产交易请求时,也可以是电子设备在监测到虚拟资产交易的最后一个步骤被触发时,但不限于此。这样,可以避免外挂用户将虚拟资产进行交易,从而也可以减少后置损失,以保障正常用户的利益。
上述待检测虚拟用户等级提升之前,可以是待检测虚拟用户到达等级提升的条件、但还未进行等级提升时,也可以是待检测虚拟用户等级提升之前的其他时刻。这样,也可以避免外挂用户通过外挂手段进行升级,保证了正常用户的利益。
上述设定的检测时机也可以按照预设的时间间隔所到达的时刻,例如,若预设的时间间隔为1小时,则设定的检测时机可以是每隔一小时所对应的时刻。上述设定的检测时机也可以是预设的时间,例如,设定的检测时机可以是每天的8点、每周一的9点等。
本领域技术人员可以根据实际的场景需求确定检测时机的具体时机,本申请不具体限定。
步骤S110中,电子设备可以从待检测虚拟用户的行为日志中获取第一行为数据。
虚拟用户在进行了某一行为事件后,会为该虚拟用户生成相对应的行为数据,该行为数据可以记录在虚拟用户对应的行为日志中。例如,虚拟用户在某一时刻击败了一个虚拟怪兽,则会为该虚拟用户生成在某一时刻击败了一个虚拟怪兽的行为数据,这样,电子设备可以很容易地获取到各虚拟用户的行为数据,例如从虚拟用户的日志中获取到该行为数据,从而也可以很容易地获取到待检测虚拟用户的第一行为数据。
步骤S110中,可以获取待检测虚拟用户在设定时间段内所完成的行为事件对应的第一行为数据,例如,可以获取待检测虚拟用户在当前时刻之前的一个星期内或者三天内所完成的各行为事件对应的各第一行为数据,也可以获取待检测虚拟用户在当前时刻之前的其他时间段内完成的行为事件的第一行为数据,具体可以根据实际应用场景确定,本申请不限定获取的第一行为数据的时间阶段。
上述第一行为数据可以为第一行为序列,第一行为序列中包含待检测虚拟用户所进行的各行为事件。具体的,第一行为序列中的各个行为事件可以按事件发生时间排列。例如,第一行为序列可以为:2022.5.1.16:10在希尔米耶湖拾取5个虚拟装备-2022.5.1.18:10交易虚拟物品--2022.5.1.19:20购买虚拟皮肤。
如图2所示,本申请实施例提供的外挂检测方法可以应用于外挂检测系统,该外挂检测系统可以包括在线触发模块、行为数据存储和查询模块、统一通用行为表征模块、流数据聚类模块、历史疑似库存储模块、结果输出模块。步骤S110的执行过程可以通过图2中的在线触发模块执行。
步骤S120:从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据。
其中,任一历史外挂群体中所包含的各个历史外挂用户具有相似的行为数据,第二行为数据用于表示历史外挂群体整体所对应的行为数据。
可以理解的是,一个历史外挂群体中包含的各历史外挂用户对应的各行为数据是相似的,说明一个历史外挂群体中所包含的各个历史外挂用户进行的行为事件是相似的,也说明一个历史外挂群体表示了具有相似外挂特征的一群外挂用户。
第二行为数据可以是历史外挂群体中各个历史外挂用户对应的各行为数据的平均数据,也可以是历史外挂群体中各个历史外挂用户对应的各行为数据按检测时间排列后的中位数数据,也可以是历史外挂群体中各个历史外挂用户对应的各行为数据中检测时间最晚的行为数据,或者也可以是其他能够对历史外挂群体进行整体上的表示的行为数据。上述检测时间可以理解为是行为数据对应的虚拟用户被检测为外挂用户的时间。
多个历史外挂群体分别对应的多个第二行为数据可以存储在电子设备上所创建的数据库中,也可以存储在电子设备以外的其他存储设备上。
本申请实施例中,历史外挂群体中的各个历史外挂用户可以是在以往进行外挂检测后所检测出的各个外挂用户,当检测出各个外挂用户后,再通过各个外挂用户的行为数据的相似性对各个外挂用户进行群体划分,从而得到各个历史外挂群体。具体的,如图2所示,可以通过历史疑似库存储模块获取历史外挂群体以及历史外挂群体中的各历史外挂用户的行为数据。
步骤S120中,可以根据文本相似度算法从多个第二行为数据中查找与第一行为数据相似的目标行为数据,也可以根据其他相似度计算方式查找上述目标行为数据。
步骤S120中,历史外挂群体对应的第二行为数据可以为历史外挂群体对应的第二行为序列。第二行为序列的具体形式可以参考第一行为序列,此处不再赘述。
如图2所示,步骤S120的执行过程即图2中流数据聚类模块进行的相似度搜索的过程。
步骤S130:当查找到上述目标行为数据时,判定上述待检测虚拟用户为外挂用户。
当能够查找到目标行为数据时,说明待检测虚拟用户与目标行为数据对应的历史外挂群体的行为操作是相似的,也能够很大程度上说明待检测虚拟用户与目标行为数据对应的历史外挂群体中的各个历史外挂用户是通过同一个外挂手段进行外挂操作的,所以,能够判定待检测虚拟用户为外挂用户。
本申请提供的外挂检测方法,当到达设定的检测时机时,获取待检测虚拟用户的第一行为数据,从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与第一行为数据相似的目标行为数据,当第一行为数据与目标行为数据相似时,说明待检测虚拟用户与目标行为数据对应的历史外挂群体中的各个历史外挂虚拟用户具有相似的行为数据,由于历史外挂群体中的各个历史外挂用户是已经被检测出的外挂用户,待检测虚拟用户与已经被检测出的各个外挂用户具有相似的行为数据,说明该待检测虚拟用户具有群体性的外挂特性,从而能够判定待检测虚拟用户为外挂用户。
本申请实施例中,当待检测虚拟用户的行为数据与某一历史外挂群体对应的第二行为数据相似时,说明待检测虚拟用户属于该历史外挂群体,即待检测虚拟用户与该历史外挂群体中的各个外挂用户使用的是相同的外挂手段(例如,相同外挂插件、相同外挂软件等),从而能够说明待检测虚拟用户为属于该历史外挂群体的外挂用户。
由于群体性是外挂用户的一个普遍性特点,群体性是指多个虚拟用户使用一个外挂手段启动大量虚拟用户进行游戏(或其他操作)的行为特性,使用同一外挂手段的各个虚拟用户通常会具有相似的行为数据。本申请实施例中,当待检测虚拟用户的行为数据与一个历史外挂群体的行为数据相似时,即待检测虚拟用户具有群体性的外挂特性时,基本上能够说明该待检测虚拟用户属于这个历史外挂群体,说明该待检测虚拟用户是通过该历史外挂群体对应的外挂手段进行游戏等操作行为的,所以,能够很准确地判定出该待检测虚拟用户是属于该历史外挂群体的外挂用户。可见,通过本申请提供的方案所判定的外挂用户被误判的概率很小,从而可以减少将正常用户误判为外挂用户的现象,减少了对正常用户造成误处理的现象,使得外挂检测的准确率更高,更好地保障了正常用户的游戏体验。
在一种实施方式中,在步骤S120之前,上述外挂检测方法还可以包括以下步骤S140。
步骤S140:通过设定的预检测方式对上述第一行为数据进行预检测,得到待检测虚拟用户是否为疑似外挂的预检测结果。
上述设定的预检测方式可以是模型检测法、外挂特征检测法、外挂进程检测法等,但不限于此。
具体的,当上述设定的预检测方式为模型检测法时,步骤S140可以按以下步骤实现:将上述第一行为数据输入训练好的外挂检测模型中,得到待检测虚拟用户是否为疑似外挂的预检测结果。
当上述设定的预检测方式为特征检测法时,步骤S140可以按以下步骤实现:将上述第一行为数据与预设的外挂特征进行比对,得到待检测虚拟用户是否为疑似外挂的预检测结果。具体的,当第一行为数据与预设的外挂特征相一致时,确定待检测虚拟用户为疑似外挂。
当上述设定的预检测方式为外挂进行检测法时,步骤S140可以按以下步骤实现:当检测到待检测虚拟用户对应的客户端上运行有预设外挂进程时,确定待检测虚拟用户为疑似外挂。
上述步骤S140可以通过图2中的在线触发模块执行。
步骤S120可以按以下步骤S121实现。
步骤S121:当上述预检测结果为是疑似外挂时,从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据。
本实施方式在进行外挂检测时,先通过设定的预检测方式对待检测虚拟用户的第一行为数据进行了预检测,能够快速、高效地确定出待检测虚拟用户是否为疑似外挂,当确定了待检测虚拟用户是疑似外挂时,再从多个历史外挂群体分别对应的多个第二行为数据中,查找与第一行为数据相似的目标行为数据,以进一步确定待检测虚拟用户是否是外挂用户,这样,通过预检测的方式能够减少需要从历史外挂群体中进行查找的待检测虚拟用户的数量。由于预检测能够比较宽泛地检测出疑似外挂即可,因此,预检测方式可以是比较简单的检测方式,这样,预检测在检测过程中对系统的性能消耗也比较低,检测速度很快,从而可以减少外挂检测对电子设备的系统性能的消耗,提高外挂检测的效率。
在一种实施方式中,在步骤S120之前,上述外挂检测方法还可以包括以下步骤S150。
步骤S150:通过训练好的行为表征模型将第一行为数据转换为第一行为表征向量。
上述行为表征向量能够通过向量的形式表征行为数据。
上述训练好的行为表征模型可以通过以下方式进行训练:获取待训练模型及训练样本,将训练样本数据输入到待训练模型中进行训练,得到训练好的行为表征模型。
参考图3,图3上面一行为行为表征向量模型的训练过程。如图3所示,训练样本可以从行为序列仓库中获取,上述待训练模型可以为BERT模型、GameBERT模型、长短期记忆模型(Long-Short Term Memory,简称LSTM)等,也可以是其他机器学习算法模型。上述训练样本可以为各个虚拟用户的行为数据(例如行为序列)。
示例性地,在训练过程中,可以每日从行为序列仓库中获取多条(例如30万条)行为序列数据作为待训练模型的输入,增量地训练GameBERT模型,训练完成后保存训练好的行为表征模型,以供行为向量转换阶段作为序列编码器(Sequence Encoder)使用。
行为表征模型的训练过程可以参考BERT模型的相关训练过程,此处不再赘述。
步骤S150中,可以将第一行为数据输入到训练好的行为表征模型中,得到第一行为表征向量。
图3下面一行为行为表征向量模型的推理过程。
步骤S120可以按以下步骤S121实现。
步骤S121:从所存储的多个历史外挂群体分别对应的多个第二行为表征向量中,查找与第一行为表征向量相似的目标行为表征向量。
步骤S121中,第二行为数据即为第二行为表征向量,第一行为数据即为第一行为表征向量。历史外挂群体对应的第二行为表征向量可以通过以下步骤S121a~步骤S121c得出。
步骤S121a:获取历史外挂群体所包含的各历史外挂用户分别对应的各第三行为数据。
步骤S121b:通过上述训练好的行为表征模型将各第三行为数据转换为各第三行为表征向量。
步骤S121b中的行为表征模型与步骤S150中的行为表征模型可以是相同的模型,这样,能够更好地保证所得到的各个第三行为表征向量与第一行为表征向量位于同一向量空间,这样,根据第三行为表征向量得到的第二行为表征向量与第一行为表征向量能够具有更好地可比性。
步骤S121c:根据各第三行为表征向量确定历史外挂群体对应的第二行为表征向量。
步骤S121c中,可以将各第三行为表征向量的平均向量确定为历史外挂群体对应的第二行为表征向量,也可以将各第三行为表征向量中按检测时间排列的中位数向量确定为历史外挂群体对应的第二行为表征向量,或者也可以将各第三行为表征向量中中检测时间最晚的向量确定为历史外挂群体对应的第二行为表征向量。
步骤S121a~步骤S121c中,可以基于流数据聚类算法确定历史外挂群体对应的第二行为表征向量。具体的,可以将每一个历史外挂群体作为一个群体簇,历史外挂群体中各个历史外挂用户对应的各第三行为表征向量为群体簇中的各个簇向量,这样,可以将群体簇的簇心向量确定为历史外挂群体对应的第二行为表征向量。
本申请实施例中,群体簇中的每一历史外挂用户对应的第三行为向量可以通过<用户标识,时间戳,群体标识>作为索引,以便于后续有需要的时候对历史外挂用户进行检索查找。
步骤S121中,具体可以按以下步骤实现:从所存储的多个历史外挂群体分别对应的多个第二行为表征向量中,查找与第一行为表征向量之间的欧氏距离小于预设阈值的目标行为表征向量。当两个向量之间的欧氏距离比较小时,说明这两个向量之间的相似度较高,通过欧氏距离计算可以很方便地确定出相似向量。步骤S121中,也可以通过计算第一行为表征向量和第二行为表征向量之间的皮尔逊相关系数、cosine相似度、曼哈顿距离等确定两个向量之间的相似度,本申请不具体限定。
本实施方式将第一行为数据、第二行为数据通过行为表征向量的形式进行表示,得到的第一行为表征向量、第二行为表征向量更便于进行相似性的比较,相似性比较的结果也更准确,从而使得外挂检测的过程更方便、更准确。
步骤S150、步骤S121即图2中的统一通用行为表征模块对表征向量库、行为表征向量的确定过程。
在一个具体实施例中,步骤S120可以按以下步骤S122~步骤S124实现。
步骤S122:获取所存储的多个历史外挂群体分别对应的各更新时间。
上述更新时间为历史外挂群体所包含的各历史外挂用户的外挂检测时间中最晚的时间。
例如,若历史外挂群体包含外挂用户一、外挂用户二、外挂用户三这三个历史外挂用户,三个用户分别对应的检测时间为2022年5月1日、2022年5月4日、2022年5月5日,则该历史外挂群体对应的更新时间为2022年5月5日。
步骤S123:从多个历史外挂群体中筛选出目标外挂群体。
目标外挂群体对应的更新时间距离当前时刻的时长短于设定时长。
上述设定时长的范围可以是10天~3个月,例如设定时长可以是3个月、2个月、1个月、10天等。设定时长也可以是其他更长或更短的时长,本申请不具体限定。
步骤S124:从各目标外挂群体分别对应的各第二行为数据中,查找与第一行为数据相似的目标行为数据。
本实施例中,历史外挂群体对应的更新时间距离当前时刻的时长若长于设定时长,说明历史外挂群体所包含的各历史外挂用户中最晚的检测时间距离当前也已经有了很长时间了,这样,能够说明已经有很长一段时间没有与该历史外挂群体相似的外挂用户了,也说明了该历史外挂群体对应的外挂手段很长一段时间没有被使用了,这种情况下,说明该外挂手段可能已经被外挂玩家淘汰或弃用了,因此,该历史外挂群体对应的行为数据的参考价值已经不大了,本实施例将这些很久不用的外挂手段对应的历史外挂群体筛除掉而得到目标外挂群体,通过筛选得到的目标外挂群体对应的各第二行为数据可以更快速、高效地查找到目标行为数据,从而使得外挂检测的效率更高。
在另一个具体实施例中,上述外挂检测方法还可以包括以下步骤S160~步骤S170。
步骤S160:获取所存储的多个历史外挂群体分别对应的各更新时间。
上述更新时间为历史外挂群体所包含的各历史外挂用户的外挂检测时间中最晚的时间。步骤S160的实现过程可以参考步骤S122,此处不再赘述。
步骤S170:从所存储的多个历史外挂群体分别对应的多个第二行为数据中删除第一外挂群体对应的第二行为数据。
上述第一外挂群体对应的更新时间距离当前时刻的时长等于或长于设定时长,该设定时长的具体值可以参考步骤S123中的设定时长,此处不再赘述。
本实施例将第一外挂群体对应的第二行为数据删除,即将很久不用的外挂手段对应的历史外挂群体的行为数据删除掉,删除掉的数据与上一实施例相似,也是参考不大,这样,在后续进行外挂检测时,基于的是未被删除的、近段时间被使用过的外挂手段对应的外挂群体的行为数据,这样,既可以节省设备的存储空间,也可以使得外挂检测的效率更高。
在一个具体实施例中,上述外挂检测方法还可以包括以下步骤S180。
步骤S180:根据第一行为数据更新相似外挂群体对应的第二行为数据。
上述相似外挂群体为目标行为数据对应的历史外挂群体。
具体的,当第一行为数据、第二行为数据为上述第一行为表征向量、第二行为表征向量时,步骤S180中,可以将第一行为向量以及相似外挂群体中各个历史外挂用户分别对应的各个第三行为向量的平均向量,确定为更新后的相似外挂群体对应的第二行为数据。或者,也可以将第一行为数据确定为相似外挂群体对应的第二行为数据。
可选地,步骤S180中,还可以将待检测虚拟用户对应的第一行为数据加入到相似外挂群体中。
当第一行为数据与目标行为数据相似时,说明待检测虚拟用户属于相似外挂群体,待检测虚拟用户与相似外挂群体中的各个历史外挂用户属于同一外挂群体,使用的是同一外挂手段,因此,根据第一行为数据更新相似外挂群体对应的第二行为数据后,可以使得相似外挂群体对应的第二行为数据得到更新,也使得第二行为数据能够更准确地体现出相似外挂群体的行为特征,使得后续进行外挂检测的准确率更高。
在一个具体实施例中,上述外挂检测方法还可以包括以下步骤S190。
步骤S190:将待检测虚拟用户的检测时间更新为相似外挂群体对应的更新时间。
步骤S190中,由于电子设备对待检测虚拟用户进行外挂检测的速度是很快的,通常在秒级单位即可完成检测,因此,待检测虚拟用户的检测时间通常就是当前时刻。
本实施例将待检测虚拟用户的检测时间更新为相似外挂群体对应的更新时间后,说明相似外挂群体对应的外挂手段在当前时刻又被使用而进行了外挂操作,也说明该外挂手段还在被持续活跃地使用,这种情况下,说明相似外挂群体的行为数据的参考价值依然比较大,该相似外挂群体后续能够被用来检测外挂用户,便于后续进行历史外挂群体的筛选或删除。
在一个具体实施例中,上述外挂检测方法还可以包括以下步骤S1100~步骤S1110。
步骤S1100:当未查找到上述目标行为数据时,从当前时刻开始向后的第一时间段内监测是否存在相似行为数据。
上述相似行为数据为:在上述第一时间段内获取的各待测虚拟用户的行为数据中与所述第一行为数据相似的行为数据。
上述第一时间段的范围可以是3小时~2天,例如,第一时间段可以是3小时、1天、2天等。第一时间段也可以是其他更长或更段的时间段,本申请不具体限定。
步骤S1100即监测从当前时刻开始向后的第一时间段内所获取的各个待测虚拟用户中,是否存在对应的行为数据与第一行为数据相似的待测虚拟用户。待测虚拟用户就是待检测的虚拟用户。
步骤S1110:当在上述第一时间段内监测到存在相似行为数据,将待检测虚拟用户确定为外挂用户。
本实施例中,当在第一时间段内监测到存在相似行为数据,说明从当前时刻开始向后的第一时间段内,又有其他虚拟用户使用与待检测虚拟用户相同的外挂手段进行了外挂行为,这说明待检测虚拟用户很大程度上也具有群体性的外挂特性,之所以在历史外挂群体中未查找到相似的外挂群体,说明待检测虚拟用户很可能是使用了新的外挂手段进行了新的外挂行为,由于在进行目标行为数据查询之前通过预检测的方式确定了待检测虚拟用户为疑似外挂,所以,结合待检测虚拟用户具有群体性的特性,说明待检测虚拟用户为外挂的概率很大,因此,可以很准确地将待检测虚拟用户确定为外挂用户。
可选地,步骤S1120也可以替换为以下步骤S1130。
步骤S1130:当在上述第一时间段内监测到存在多个相似行为数据,将待检测虚拟用户确定为外挂用户。
上述存在多个相似行为数据指的是存在多个待测虚拟用户分别对应的多个相似行为数据。多个相似行为数据的数量可以是10~100个,也可以是其他更多或更少的多个,本申请不具体限定。
本实施例中,当在第一时间段内存储对个相似行为数据时,能够更大程度地确定待检测虚拟用户具有群体性的特性,从而能够更大概率地说明待检测虚拟用户为外挂用户,使得外挂检测的准确率更高。
在一个具体实施例中,上述外挂检测方法还可以包括以下步骤S1140。
步骤S1140:当未查找到上述目标行为数据时,为待检测虚拟用户创建一个历史外挂群体,并将第一行为数据确定为创建的历史外挂群体对应的第二行为数据。
步骤S1140中,由于待检测虚拟用户对应的第一行为数据已经进行了预检测,说明待检测虚拟用户有外挂嫌疑,当将待检测虚拟用户创建为一个历史外挂群体后,后续进行检测的虚拟用户就能够很方便地与所创建的历史外挂群体进行比对查询,以确定是否是采用新的外挂手段的外挂用户群体,提高了外挂检出率。
上述步骤S170~步骤S190、步骤S1140的执行过程即图2中流数据聚类模块执行的簇更新、合并、删除、新增等的操作。
可选地,将第一行为数据确定为创建的历史外挂群体对应的第二行为数据,还可以将待检测虚拟用户的检测时间确定为创建的历史外挂群体对应的更新时间,这样,所创建的历史外挂群体也可以通过步骤S170~步骤S180进行删除。
在一种实施方式中,上述外挂检测方法还可以包括以下步骤S1150。
步骤S1150:实时获取各虚拟用户的行为数据,并将各虚拟用户的行为数据存储在存储数据库中。
上述存储数据库可以为Hbase数据库、Redis数据库等Key-Value数据库,但不限于此。
步骤S1150中,存储数据库中的各虚拟用户对应的行为数据可以以<用户标识,时间戳>作为索引进行存储。用户标识可以是用户的唯一通用识别码(Universally UniqueIdentifier,简称UUID)。上述时间戳指的是虚拟用户的行为发生的时间或者时间段。
步骤S1150中可以通过图2中的行为数据存储和查询模块执行。
步骤S110中可以按以下步骤S111获取待检测虚拟用户的第一行为数据。
步骤S111:从存储数据库中获取待检测虚拟用户的第一行为数据。
本实施方式中,由于对各虚拟用户的行为数据进行了实时获取并存储在了存储数据库中,所以,当需要对待检测虚拟用户进行外挂检测时,可以快速地获取到待检测虚拟用户的行为数据,从而可以及时、快速地检测出待检测虚拟用户是否为外挂用户,为后续对外挂用户的处理提供了及时有效的保障,能够更好地实现在外挂用户造成损失之前检测出外挂用户,从而保障了正常用户的游戏体验。
上述存储数据库即图2中流数据聚类模块构建的疑似群体库。
可选地,为便于统一离线查验和批量封禁,可以按照预设的时间周期对本周期内所检测出的各外挂用户的数据进行打包存储,还可以将打包的数据上传至文件传输协议(File TransferProtocol,FTP)系统上,以便于相关人员查看。
可选地,可以将待检测虚拟用户的检测结果实时展示到用户画像平台上,并显示外挂统计结果,游戏运营方等可以通过用户画像平台上的统计指标观察近期游戏环境的变化。通过可视化的结果显示更便于举报申诉时的快速验证,同时当游戏运营方发现误判或漏判时,也可以通过手工标注来帮助改进外挂检测方案。具体的,可以通过图2中的结果输出模块将检测结果输出并显示。
本申请第一实施例提供的外挂检测方法相对应的,本申请第二实施例还提供了一种外挂检测装置。如图4所示,本申请实施例提供的外挂检测装置包括:
获取单元410,用于当到达设定的检测时机时,获取待检测虚拟用户的第一行为数据;
查找单元420,用于从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据,其中,任一所述历史外挂群体中所包含的各个历史外挂用户具有相似的行为数据,所述第二行为数据用于表示所述历史外挂群体整体所对应的行为数据;
判定单元430,用于当查找到所述目标行为数据时,判定所述待检测虚拟用户为外挂用户。
可选地,所述装置还包括:
转换单元,用于通过训练好的行为表征模型将所述第一行为数据转换为第一行为表征向量;
所述查找单元420,具体用于:从所存储的多个历史外挂群体分别对应的多个第二行为表征向量中,查找与所述第一行为表征向量相似的目标行为表征向量。
可选地,所述转换单元还用于:获取所述历史外挂群体所包含的各历史外挂用户分别对应的各第三行为数据;通过所述行为表征模型将各所述第三行为数据转换为各第三行为表征向量;根据各所述第三行为表征向量确定所述历史外挂群体对应的所述第二行为表征向量。
可选地,所述转换单元,具体用于:
将各所述第三行为表征向量的平均向量确定为所述历史外挂群体对应的所述第二行为表征向量。
可选地,所述查找单元420具体用于:获取所存储的多个历史外挂群体分别对应的各更新时间,所述更新时间为所述历史外挂群体所包含的各历史外挂用户的外挂检测时间中最晚的时间;从所述多个历史外挂群体中筛选出目标外挂群体,所述目标外挂群体对应的所述更新时间距离当前时刻的时长短于设定时长;从各所述目标外挂群体分别对应的各第二行为数据中,查找与所述第一行为数据相似的目标行为数据。
可选地,所述装置还包括:
删除单元,用于获取所存储的多个历史外挂群体分别对应的各更新时间,所述更新时间为所述历史外挂群体所包含的各历史外挂用户的外挂检测时间中最晚的时间;从所存储的多个历史外挂群体分别对应的多个第二行为数据中删除第一外挂群体对应的第二行为数据,所述第一外挂群体对应的更新时间距离当前时刻的时长等于或长于设定时长。
可选地,所述装置还包括:
更新单元,用于根据所述第一行为数据更新所述相似外挂群体对应的第二行为数据,所述相似外挂群体为所述目标行为数据对应的历史外挂群体。
可选地,所述更新单元还用于:将所述待检测虚拟用户的检测时间更新为所述相似外挂群体对应的更新时间。
可选地,所述装置还包括:
监测单元,用于当未查找到所述目标行为数据时,从当前时刻开始向后的第一时间段内监测是否存在相似行为数据,所述相似行为数据为:在所述第一时间段内获取的各待测虚拟用户的行为数据中与所述第一行为数据相似的行为数据;
所述判定单元430还用于当在所述第一时间段内监测到存在所述相似行为数据,或者,当在所述第一时间段内监测到存在多个所述相似行为数据,将所述待检测虚拟用户确定为外挂用户。
可选地,所述装置还包括:
预检测单元,用于通过设定的预检测方式对所述第一行为数据进行预检测,得到所述待检测虚拟用户是否为疑似外挂的预检测结果;
所述查找单元420,具体用于:当所述预检测结果为是疑似外挂时,从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据。
可选地,所述装置还包括:
创建单元,用于当未查找到所述目标行为数据时,为所述待检测虚拟用户创建一个历史外挂群体,并将所述第一行为数据确定为创建的所述历史外挂群体对应的第二行为数据。
可选地,所述第二行为数据为以下任意一项:
所述历史外挂群体中各个历史外挂用户对应的各行为数据的平均数据;
所述历史外挂群体中各个历史外挂用户对应的各行为数据按检测时间排列的中位数数据;
所述历史外挂群体中各个历史外挂用户对应的各行为数据中检测时间最晚的行为数据。
可选地,所述检测时机包括以下至少一项:
待检测虚拟用户进行登录时;
待检测虚拟用户进行虚拟资产交易完成之前;
待检测虚拟用户等级提升之前。
可选地,所述装置还包括:
存储单元,用于实时获取各虚拟用户的行为数据,并将各虚拟用户的行为数据存储在存储数据库中;
所述获取单元,具体用于:从所述存储数据库中获取待检测虚拟用户的第一行为数据。
可选地,所述第一行为数据为第一行为序列,所述第一行为序列中包含所述待检测虚拟用户所进行的各行为事件。
可选地,所述预检测单元,具体用于:将所述第一行为数据输入训练好的外挂检测模型中,得到所述待检测虚拟用户是否为疑似外挂的预检测结果;或者,将所述第一行为数据与预设的外挂特征进行比对,得到所述待检测虚拟用户是否为疑似外挂的预检测结果。
与本申请第一实施例提供的外挂检测方法相对应的,本申请第三实施例还提供了一种用于外挂检测的电子设备。如图5所示,所述电子设备包括:处理器501;以及存储器502,用于存储外挂检测方法的程序,该设备通电并通过所述处理器运行该外挂检测方法的程序后,执行如下步骤:
当到达设定的检测时机时,获取待检测虚拟用户的第一行为数据;
从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据,其中,任一所述历史外挂群体中所包含的各个历史外挂用户具有相似的行为数据,所述第二行为数据用于表示所述历史外挂群体整体所对应的行为数据;
当查找到所述目标行为数据时,判定所述待检测虚拟用户为外挂用户。
与本申请第一实施例提供的外挂检测方法相对应的,本申请第四实施例提供一种计算机可读存储介质,存储有外挂检测方法的程序,该程序被处理器运行,执行下述步骤:
当到达设定的检测时机时,获取待检测虚拟用户的第一行为数据;
从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据,其中,任一所述历史外挂群体中所包含的各个历史外挂用户具有相似的行为数据,所述第二行为数据用于表示所述历史外挂群体整体所对应的行为数据;
当查找到所述目标行为数据时,判定所述待检测虚拟用户为外挂用户。
需要说明的是,对于本申请第二实施例至第四实施例提供的装置、电子设备及计算机可读存储介质的详细描述可以参考对本申请第一实施例的相关描述,这里不再赘述。
本申请虽然以较佳实施例公开如上,但其并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此本申请的保护范围应当以本申请权利要求所界定的范围为准。
在一个典型的配置中,区块链中的节点设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
1、计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他属性的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储介质或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
2、本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请虽然以较佳实施例公开如上,但其并不是用来限定本申请,任何本领域技术人员在不脱离本申请的精神和范围内,都可以做出可能的变动和修改,因此本申请的保护范围应当以本申请权利要求所界定的范围为准。

Claims (19)

1.一种外挂检测方法,其特征在于,所述方法包括:
当到达设定的检测时机时,获取待检测虚拟用户的第一行为数据;
从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据,其中,任一所述历史外挂群体中所包含的各个历史外挂用户具有相似的行为数据,所述第二行为数据用于表示所述历史外挂群体整体所对应的行为数据;
当查找到所述目标行为数据时,判定所述待检测虚拟用户为外挂用户。
2.根据权利要求1所述的方法,其特征在于,在所述从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据之前,所述方法还包括:
通过训练好的行为表征模型将所述第一行为数据转换为第一行为表征向量;
所述从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据,包括:
从所存储的多个历史外挂群体分别对应的多个第二行为表征向量中,查找与所述第一行为表征向量相似的目标行为表征向量。
3.根据权利要求2所述的方法,其特征在于,所述历史外挂群体对应的所述第二行为表征向量通过以下方式得出:
获取所述历史外挂群体所包含的各历史外挂用户分别对应的各第三行为数据;
通过所述行为表征模型将各所述第三行为数据转换为各第三行为表征向量;
根据各所述第三行为表征向量确定所述历史外挂群体对应的所述第二行为表征向量。
4.根据权利要求3所述的方法,其特征在于,所述根据各所述第三行为表征向量确定所述历史外挂群体对应的所述第二行为表征向量,包括:
将各所述第三行为表征向量的平均向量确定为所述历史外挂群体对应的所述第二行为表征向量。
5.根据权利要求1所述的方法,其特征在于,所述从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据,包括:
获取所存储的多个历史外挂群体分别对应的各更新时间,所述更新时间为所述历史外挂群体所包含的各历史外挂用户的外挂检测时间中最晚的时间;
从所述多个历史外挂群体中筛选出目标外挂群体,所述目标外挂群体对应的所述更新时间距离当前时刻的时长短于设定时长;
从各所述目标外挂群体分别对应的各第二行为数据中,查找与所述第一行为数据相似的目标行为数据。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取所存储的多个历史外挂群体分别对应的各更新时间,所述更新时间为所述历史外挂群体所包含的各历史外挂用户的外挂检测时间中最晚的时间;
从所存储的多个历史外挂群体分别对应的多个第二行为数据中删除第一外挂群体对应的第二行为数据,所述第一外挂群体对应的更新时间距离当前时刻的时长等于或长于设定时长。
7.根据权利要求5或6所述的方法,其特征在于,所述方法还包括:
根据所述第一行为数据更新所述相似外挂群体对应的第二行为数据,所述相似外挂群体为所述目标行为数据对应的历史外挂群体。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
将所述待检测虚拟用户的检测时间更新为所述相似外挂群体对应的更新时间。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当未查找到所述目标行为数据时,从当前时刻开始向后的第一时间段内监测是否存在相似行为数据,所述相似行为数据为:在所述第一时间段内获取的各待测虚拟用户的行为数据中与所述第一行为数据相似的行为数据;
当在所述第一时间段内监测到存在所述相似行为数据,或者,当在所述第一时间段内监测到存在多个所述相似行为数据,将所述待检测虚拟用户确定为外挂用户。
10.根据权利要求1所述的方法,其特征在于,在所述从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据之前,所述方法还包括:
通过设定的预检测方式对所述第一行为数据进行预检测,得到所述待检测虚拟用户是否为疑似外挂的预检测结果;
所述从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据,包括:
当所述预检测结果为是疑似外挂时,从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
当未查找到所述目标行为数据时,为所述待检测虚拟用户创建一个历史外挂群体,并将所述第一行为数据确定为创建的所述历史外挂群体对应的第二行为数据。
12.根据权利要求1至6中任一项所述的方法,其特征在于,所述第二行为数据为以下任意一项:
所述历史外挂群体中各个历史外挂用户对应的各行为数据的平均数据;
所述历史外挂群体中各个历史外挂用户对应的各行为数据按检测时间排列的中位数数据;
所述历史外挂群体中各个历史外挂用户对应的各行为数据中检测时间最晚的行为数据。
13.根据权利要求1至6中任一项所述的方法,其特征在于,所述检测时机包括以下至少一项:
待检测虚拟用户进行登录时;
待检测虚拟用户进行虚拟资产交易完成之前;
待检测虚拟用户等级提升之前。
14.根据权利要求1至6中任一项所述的方法,其特征在于,所述方法还包括:
实时获取各虚拟用户的行为数据,并将各虚拟用户的行为数据存储在存储数据库中;
所述获取待检测虚拟用户的第一行为数据,包括:
从所述存储数据库中获取待检测虚拟用户的第一行为数据。
15.根据权利要求1至6中任一项所述的方法,其特征在于,所述第一行为数据为第一行为序列,所述第一行为序列中包含所述待检测虚拟用户所进行的各行为事件。
16.根据权利要求10或11所述的方法,其特征在于,所述通过设定的预检测方式对所述第一行为数据进行预检测,得到所述待检测虚拟用户是否为疑似外挂的预检测结果,包括:
将所述第一行为数据输入训练好的外挂检测模型中,得到所述待检测虚拟用户是否为疑似外挂的预检测结果;
或者,将所述第一行为数据与预设的外挂特征进行比对,得到所述待检测虚拟用户是否为疑似外挂的预检测结果。
17.一种外挂检测装置,其特征在于,所述装置包括:
获取单元,用于当到达设定的检测时机时,获取待检测虚拟用户的第一行为数据;
查找单元,用于从所存储的多个历史外挂群体分别对应的多个第二行为数据中,查找与所述第一行为数据相似的目标行为数据,其中,任一所述历史外挂群体中所包含的各个历史外挂用户具有相似的行为数据,所述第二行为数据用于表示所述历史外挂群体整体所对应的行为数据;
判定单元,用于当查找到所述目标行为数据时,判定所述待检测虚拟用户为外挂用户。
18.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储数据处理程序,该电子设备通电并通过所述处理器运行该程序后,执行如权利要求1-16中任一项所述的方法。
19.一种计算机可读存储介质,其特征在于,存储有数据处理程序,该程序被处理器运行,执行如权利要求1-16中任一项所述的方法。
CN202210774997.0A 2022-07-01 2022-07-01 外挂检测方法、装置、电子设备及计算机可读存储介质 Pending CN115337648A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210774997.0A CN115337648A (zh) 2022-07-01 2022-07-01 外挂检测方法、装置、电子设备及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210774997.0A CN115337648A (zh) 2022-07-01 2022-07-01 外挂检测方法、装置、电子设备及计算机可读存储介质

Publications (1)

Publication Number Publication Date
CN115337648A true CN115337648A (zh) 2022-11-15

Family

ID=83948127

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210774997.0A Pending CN115337648A (zh) 2022-07-01 2022-07-01 外挂检测方法、装置、电子设备及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN115337648A (zh)

Similar Documents

Publication Publication Date Title
EP2695378B1 (en) Video signature
US10997184B2 (en) System and method for ranking search results
CN111126495B (zh) 模型训练方法、信息预测方法、装置、存储介质及设备
CN111258593B (zh) 应用程序预测模型的建立方法、装置、存储介质及终端
CN111479129B (zh) 直播封面的确定方法、装置、服务器、介质及系统
CN111125658B (zh) 识别欺诈用户的方法、装置、服务器和存储介质
US20210073669A1 (en) Generating training data for machine-learning models
CN114840853B (zh) 基于大数据的数字化业务分析方法及云服务器
CN112596964B (zh) 磁盘故障的预测方法及装置
CN108509634A (zh) 抖动故障监测方法、监测装置及计算机可读存储介质
US20160314484A1 (en) Method and system for mining churn factor causing user churn for network application
CN111435369B (zh) 音乐推荐方法、装置、终端及存储介质
CN106301979B (zh) 检测异常渠道的方法和系统
CN110866249A (zh) 一种动态检测恶意代码的方法、装置及电子设备
CN110929285B (zh) 一种隐私数据的处理方法及装置
CN117312825A (zh) 一种目标行为检测方法、装置、电子设备及存储介质
CN110580265B (zh) Etl任务的处理方法、装置、设备及存储介质
CN111309706A (zh) 模型训练方法、装置、可读存储介质及电子设备
CN115337648A (zh) 外挂检测方法、装置、电子设备及计算机可读存储介质
CN111127057B (zh) 一种多维用户画像恢复方法
CN113468365B (zh) 图像类别识别模型的训练方法、图像检索方法及装置
CN114915485A (zh) 基于ueba的异常行为分析方法及装置
CN113157788B (zh) 大数据挖掘方法及系统
CN112632357A (zh) 一种基于云平台的海量数据关联管理方法及装置
US20190266548A1 (en) Project Progress Prediction Device and Project Progress Prediction System

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination