游戏恶意行为检测方法、装置、计算机设备和存储介质与流程

1.本技术涉及计算机技术领域，具体涉及一种游戏恶意行为检测方法、装置、计算机设备和存储介质(计算机可读存储介质)。


背景技术：

2.云游戏是以云计算为基础的一种新型的游戏形态。在这种形态下，游戏运行在云端，并将渲染后的游戏画面经过编码，通过网络传输到游戏玩家的终端上。终端不再需要高端的处理器和显卡，而只需要基本的视频编解码能力，即可进行游玩。云游戏平台在云端虚拟了成千上万个客户端。这些客户端在游戏方看来与真实的用户终端并无差别。用户终端即是通过网络操作这些云端的客户端，并接收音视频作为反馈。
3.在这种新型业态下，云游戏可以方便的通过云端控制权切换实现分享和互动，显著提升了应用内的社交活跃度。然而，这种云端控制权切换会导致有恶意用户在获取游戏账号的临时控制权后，故意对其他云游戏用户的游戏账号进行破坏，这在一定程度上影响到了云游戏的推广。


技术实现要素：

4.基于此，有必要针对上述技术问题，提供一种游戏恶意行为检测方法、装置、计算机设备和存储介质，用以解决云游戏场景下恶意玩家故意对其他云游戏用户的游戏账号进行破坏的技术问题。
5.第一方面，本技术提供一种游戏恶意行为检测方法，运行于云游戏平台上，方法包括：
6.获取发送至目标用户终端的游戏画面数据；所述目标用户终端为基于接收的控制权限切换指令从预设的多个用户终端中确定；
7.对所述游戏画面数据进行检测，得到所述游戏画面数据的恶意行为识别结果；
8.根据所述恶意行为识别结果对所述目标用户终端的游戏控制权限进行调整。
9.在本技术一些实施例中，所述多个用户终端包括主用户终端以及至少一个从用户终端；
10.所述对所述游戏画面数据进行检测，得到所述游戏画面数据的恶意行为识别结果之前，所述方法包括：
11.若所述目标用户终端为从用户终端，则执行所述对所述游戏画面数据进行检测，得到所述游戏画面数据的恶意行为识别结果的步骤；
12.若所述目标用户终端为主用户终端，则将所述游戏画面数据传输给所述目标用户终端。
13.在本技术一些实施例中，所述根据所述地形类型对应的噪波信息对所述初始地形网格体中的网格顶点进行位移处理，得到目标地形网格体，包括：
14.获取所述初始地形网格体中各所述网格顶点对应的法线方向；
15.从所述噪波信息中提取得到所述初始地形网格体中各所述网格顶点对应的位移距离；
16.根据所述初始地形网格体中各所述网格顶点对应的位移距离和所述法线方向，对各所述网格顶点进行位移处理，得到目标地形网格体。
17.在本技术一些实施例中，所述对所述游戏画面数据进行检测，得到所述游戏画面数据的恶意行为识别结果，包括：
18.将所述游戏画面数据对应的游戏画面输入至已训练的检测模型进行处理，得到所述游戏画面数据对应的恶意行为概率；
19.获取预先基于所述目标用户终端对应的账号使用特征确定的概率阈值；
20.根据所述恶意行为概率和所述概率阈值的大小关系确定所述游戏画面数据的恶意行为识别结果。
21.在本技术一些实施例中，所述将所述游戏画面数据对应的游戏画面输入至已训练的检测模型进行处理，得到所述游戏画面数据对应的恶意行为概率之前，所述方法包括：
22.获取样本游戏画面以及所述样本游戏画面对应的恶意行为标签；
23.将所述样本游戏画面输入至预设的初始检测模型，得到所述样本游戏画面对应的预测行为识别结果；
24.根据所述恶意行为标签和所述预测行为识别结果的差异对所述初始检测模型进行更新，得到更新后的检测模型；
25.直至将所述样本游戏画面输入至更新后的检测模型得到的更新预测行为识别结果满足预设条件时，将所述更新后的检测模型确定为已训练的检测模型。
26.在本技术一些实施例中，所述根据所述恶意行为识别结果对所述目标用户终端的游戏控制权限进行调整，包括：
27.若所述恶意行为识别结果为存在恶意行为，则关闭所述目标用户终端的游戏控制权限，并启用所述主用户终端的游戏控制权限，以接收所述主用户终端的操作指令。
28.在本技术一些实施例中，所述根据所述恶意行为识别结果对所述目标用户终端的游戏控制权限进行调整，包括：
29.若所述恶意行为识别结果为不存在恶意行为，则将所述游戏画面数据传输给所述目标用户终端；
30.若接收到预设的主用户终端发送的控制权限收回指令，则在预设的时间间隔后关闭所述目标用户终端的游戏控制权限，并启用所述主用户终端的游戏控制权限，以接收所述主用户终端的操作指令。
31.在本技术一些实施例中，所述所述获取发送至目标用户终端的游戏画面数据，包括：
32.获取预设的目标服务端响应于目标用户终端的操作指令的游戏响应数据；
33.对所述游戏响应数据进行渲染，生成游戏画面；
34.对所述游戏画面进行编码，得到发送至所述目标用户终端的游戏画面数据。
35.在本技术一些实施例中，所述获取发送至目标用户终端的游戏画面数据之前，所述方法包括：
36.获取所述目标用户终端上历史运行的账号的时长信息和/或数量信息；
37.根据所述时长信息与预设的时长阈值的大小关系，和/或所述数量信息与预设的数量阈值的大小关系，确定所述目标用户终端对应的恶意行为识别结果；
38.若所述目标用户终端对应的恶意行为识别结果为不存在恶意行为，则执行所述获取发送至目标用户终端的游戏画面数据的步骤。
39.在本技术一些实施例中，所述获取所述目标用户终端上历史运行的账号的时长信息和/或数量信息之前，所述方法包括：
40.获取多个运行账号对应的浏览器指纹；
41.对各所述运行账号对应的浏览器指纹进行聚类，得到多个运行账号集合；
42.从所述运行账号集合中确定所述目标用户终端对应的目标运行账号集合；
43.将所述目标运行账号集合中的运行账号确定为所述目标用户终端上历史运行的账号。
44.第二方面，本技术提供一种游戏恶意行为检测装置，设置于云游戏平台上；装置包括：
45.获取模块，用于获取发送至目标用户终端的游戏画面数据；所述目标用户终端为基于接收的控制权限切换指令从预设的多个用户终端中确定；
46.检测模块，用于对所述游戏画面数据进行检测，得到所述游戏画面数据的恶意行为识别结果；
47.控制模块，用于根据所述恶意行为识别结果对所述目标用户终端的游戏控制权限进行调整。
48.第三方面，本技术还提供一种计算机设备，其特征在于，所述计算机设备包括：
49.一个或多个处理器；
50.存储器；以及
51.一个或多个应用程序，其中所述一个或多个应用程序被存储于所述存储器中，并配置为由所述处理器执行以实现上述任一项提供的游戏恶意行为检测方法。
52.第四方面，本技术还提供一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器进行加载，以执行上述任一项提供的游戏恶意行为检测方法的步骤。
53.第五方面，本技术实施例提供一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述任一项提供的游戏恶意行为检测方法。
54.本技术实施例提供的游戏恶意行为检测方法，运行在云游戏平台的虚拟客户端上，在基于接收的控制权限切换指令确定出当前拥有游戏控制权限的目标终端后，对将要发送至目标用户终端的游戏画面数据进行检测，以判断当前游戏画面中是否存在恶意行为，从而实现了对恶意用户的恶意行为的预警识别，以便于后续对目标用户终端的游戏控制权限进行调整以阻止进一步的恶意行为，降低了云游戏业态下游戏账号被恶意破坏的风险，便于云游戏的推广。
附图说明
55.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使
用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
56.图1为本技术实施例提供的一种游戏恶意行为检测方法的实现场景示意图；
57.图2为本技术实施例提供的一种游戏恶意行为检测方法的步骤流程示意图；
58.图3为本技术实施例提供的一种获取游戏画面数据的步骤流程示意图；
59.图4为本技术实施例提供的一种对游戏画面数据进行检测得到恶意行为识别结果的步骤流程示意图；
60.图5为本技术实施例提供的一种训练得到检测模型的步骤流程示意图；
61.图6为本技术实施例提供的一种游戏恶意行为检测方法的完整实现流程图；
62.图7为本技术实施例提供的一种基于账号使用特征确定用户终端的恶意行为的步骤流程示意图；
63.图8为本技术实施例提供的一种基于浏览器指纹确定用户终端上历史运行的账号信息的步骤流程示意图；
64.图9为本技术实施例提供的一种恶意行为检测装置的结构示意图；
65.图10为本技术实施例提供的一种计算机设备的结构示意图。
具体实施方式
66.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
67.在本技术的描述中，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个所述特征。在本技术的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。
68.在本技术的描述中，“例如”一词用来表示“用作例子、例证或说明”。本技术中被描述为“例如”的任何实施例不一定被解释为比其它实施例更优选或更具优势。为了使本领域任何技术人员能够实现和使用本发明，给出了以下描述。在以下描述中，为了解释的目的而列出了细节。应当明白的是，本领域普通技术人员可以认识到，在不使用这些特定细节的情况下也可以实现本发明。在其它实例中，不会对公知的结构和过程进行详细阐述，以避免不必要的细节使本发明的描述变得晦涩。因此，本发明并非旨在限于所示的实施例，而是与符合本技术所公开的原理和特征的最广范围相一致。
69.为便于理解本技术实施例提供的游戏恶意行为检测方法的实现场景，如图1所示，图1为本技术实施例提供的一种游戏恶意行为检测方法的实现场景示意图，详述如下。
70.具体的，在云游戏场景下，云游戏平台包括有若干虚拟客户端100，其中虚拟客户端100分别与游戏服务端200以及多个用户终端300通讯连接。，用户终端300是通过网络操作虚拟客户端100，即将操作指令发送给虚拟客户端100，然后由虚拟客户端100将操作指令传输给游戏服务端200，游戏服务端200在完成对操作指令的处理之后，将响应结果回传给
虚拟客户端，然后由虚拟客户端完成对响应结果的渲染，并将渲染后的游戏画面编码后发送给用户终端300，这样用户终端300只需要简单的对编码后的游戏画面进行解码即可得到游戏画面，而不再需要高端的处理器和显卡。当然，需要说明的是，本技术实施例提供的实现场景示意图仅仅是以一个虚拟客户端为例进行说明，但这并不构成对本技术实施例实际实现场景的限制，事实上，云游戏平台提供的虚拟客户端100可能包括有多个。
71.在此基础上，云游戏还可以方便的实现对游戏控制权限的切换，具体的，一个虚拟客户端100可以理解为一个“房间”，与虚拟客户端100进行通讯连接的多个用户终端300可以理解为房间的用户，而通过切换拥有云端客户端100的控制权的用户终端，即切换云端客户端100所选择接收的用户终端的操作指令，即可方便实现对游戏控制权限的切换。例如，当原始拥有云端客户端100的控制权的第一用户终端将控制权限移交给第二用户终端时，虚拟客户端100不再接收第一用户终端的操作指令，而是选择接收第二用户终端的操作指令，并将实时的游戏画面回传给第二用户终端，延迟回传给第一用户终端。
72.而在上述场景下，可能存在恶意用户在临时获取游戏控制权限后，对当前控制的游戏账号进行恶意破坏的行为。其中，对游戏账号进行恶意破坏的行为是指游戏内允许进行，但是游戏账号的号主不会主动意愿去执行的操作，例如，丢弃、交易、摧毁、融合游戏账号的一些游戏资产，如武器、装备、金币等等。因此，需要实时对游戏账号进行恶意破坏的行为进行检测，以降低账号被恶意破坏的风险。
73.然而，由于云游戏本身的游戏形态不同于常规的游戏场景，现有技术中一些常规的恶意行为检测方法还存在着明显不足。例如，比较常见的恶意行为检测方法有游戏服务端在接收到操作指令后，若判断该指令为对游戏账号进行破坏的操作指令，则会确定当前登录该游戏账号的设备是否为常用设备，若为否，表明该游戏账号存在盗号可能，则游戏服务端会阻止该指令的运行。但是在云游戏场景下，由于游戏服务端是与云游戏平台中的虚拟客户端进行通讯，并且提供游戏服务端的厂商和提供云游戏平台的厂商往往为不同厂商，因此，游戏服务端通常情况下是无法知晓云游戏平台中的虚拟客户端的实际控制权限发生了改变，即虚拟客户端的实际控制权限由第一用户终端切换为第二用户终端时，第二用户终端所发起的对游戏账号进行恶意破坏的行为的操作指令在游戏服务端看来仍为第一用户终端所发起的正常操作指令，游戏服务端不会阻止该指令的运行。而虚拟客户端通常情况下由于只执行对操作指令的传输以及对游戏服务端回传的响应数据的画面渲染和编码，无法直接判断出某个操作指令是否为对游戏账号进行破坏的恶意操作指令，因此，常规的恶意行为检测方法难以直接运用在云游戏场景下。
74.为了解决上述问题，本技术实施例提供了一种游戏恶意行为检测方法，通过云游戏平台上额外设置游戏恶意行为检测装置400，以执行本技术实施例提供的游戏恶意行为检测方法，该方法通过在云游戏平台中的虚拟客户端100将游戏数据回传给用户终端之前，拉取所回传的游戏数据，并进行恶意行为的识别检测，能够有效阻止对云游戏场景下由于虚拟客户端权限控制切换而产生的对账号进行恶意破坏的行为，提高了云游戏的可实施性，便于云游戏的推广。其中，游戏恶意行为检测装置400可以是集成设置于云游戏平台的服务器中，也可以是运行于独立的服务器中，并通过与云平台的数据传输来实现对数据的采集。
75.具体的，如图2所示，图2为本技术实施例提供的一种游戏恶意行为检测方法的步
骤流程示意图，该方法主要应用于云游戏平台的游戏恶意行为检测装置400上，主要包括步骤s210～230，具体如下：
76.s210，获取发送至目标用户终端的游戏画面数据。
77.本技术实施例中，结合前述图1示出的游戏恶意行为检测方法的实现场景示意图可知，目标用户终端是指与基于虚拟客户端100接收的控制权限切换指令，从与虚拟客户端100进行通讯的多个用户终端300中确定出来的当前具有具有虚拟客户端100的控制权限的终端。
78.进一步的，基于前述提供的云游戏场景的实现流程可知，发送给目标用户终端的游戏画面数据是由虚拟客户端100对游戏服务器200回传的响应数据进行渲染、编码处理得到，而游戏服务器200回传的响应数据是游戏服务器200针对于目标用户终端发送到操作指令处理得到。为便于理解，下述图3示出了一种在获取发送至目标用户终端的游戏画面数据之前，由虚拟客户端100处理得到游戏画面数据的步骤流程示意图。
79.具体的，图3为本技术实施例提供的一种获取游戏画面数据的步骤流程示意图，主要包括步骤s310～330，具体如下：
80.s310，获取预设的目标服务端响应于目标用户终端的操作指令的游戏响应数据。
81.本技术实施例中，预设的目标服务端通常是指前述图1中所示出的游戏服务端200。具体的，目标用户终端上的操作指令会通过网络传输给游戏服务端，以使游戏服务端响应于操作指令，并按照游戏逻辑处理得到游戏响应数据，以回传给虚拟客户端。
82.s320，对所述游戏响应数据进行渲染，生成游戏画面。
83.本技术实施例中，虚拟客户端100在接收到目标服务端回传的游戏响应数据后，会在虚拟客户端上完成对响应数据的渲染处理，生成响应的游戏画面，以替换在用户终端上通过显卡执行的渲染处理动作。
84.s330，对所述游戏画面进行编码，得到发送至所述目标用户终端的游戏画面数据。
85.本技术实施例中，进一步的，虚拟客户端100在渲染生成游戏画面后，通过对游戏画面进行编码处理，即可得到发送至目标用户终端的游戏画面数据，而目标用户终端在接收到该游戏画面数据后，只需要对数据解码，即可还原得到原始游戏画面，而无需通过显卡进行渲染处理得到游戏画面。
86.在此基础上，结合前述的相关描述可知，由于发送至目标用户终端的游戏画面数据为虚拟客户端100通过对目标服务端回传的游戏响应数据进行渲染处理得到，因此，对虚拟客户端100而言，该数据可以直接通过从视频流中提取得到，并且目标服务端回传的游戏响应数据是基于对目标用户终端发送的操作指令得到，因此，该游戏画面数据在一定程度上能够反映出目标用户终端所发送的操作指令，从而后续能够基于该游戏画面数据的检测结果，确定目标用户终端所发送的操作指令是否为对账号进行恶意破坏的指令。
87.当然，需要说明的是，事实上，在实际游戏共享的场景下，虚拟客户端除了会将游戏画面数据传输给目标用户终端外，同时也会将音频数据回传给目标用户终端，本技术在此不再赘述。
88.s220，对所述游戏画面数据进行检测，得到所述游戏画面数据的恶意行为识别结果。
89.本技术实施例中，虚拟客户端在从视频流中提取得到游戏画面数据后，会对该游
戏画面数据，也可以理解为对游戏画面进行检测，从而识别出游戏画面中是否存在恶意行为，例如，对游戏账号的游戏资产，如武器、装备、金币的丢弃、交易、摧毁、融合等等操作，从而得到游戏画面数据的恶意行为识别结果。具体的，作为本技术的一种可行实施例，游戏画面数据的恶意行为识别结果可以包含是否存在恶意行为，以及所存在的恶意行为的类型，以便于后续针对性的调整目标用户终端的游戏控制权限，但为简化说明，本技术仅仅以恶意行为识别结果包括存在恶意行为和不存在恶意行为两种为例进行说明。
90.进一步的，考虑到本技术实施例中主要是针对虚拟客户端的实际控制权限发生了改变的情形下，对非账号实际拥有者的用户终端的游戏恶意行为的检测。因此，在目标用户终端本身即为账号实际拥有者的情形下，不会执行本技术实施例提供的游戏恶意行为检测方法，以降低虚拟客户端的计算资源消耗。因此，为判断当前拥有虚拟客户端的实际控制权限的用户终端是否为账号实际拥有者，本技术实施例提出了一种对不同的用户终端进行标识的实现方案。
91.具体的，与虚拟客户端进行通讯的多个用户终端包括一个主用户终端，以及若干从用户终端。其中，为便于理解，以将虚拟客户端视为“房间”来理解，则主用户终端可以视为该“房间”的房主，即建立该“房间”，也就是首个与该虚拟客户端进行通讯的用户终端，而从用户终端则是在建立该“房间”后，后续与该虚拟客户端进行通讯的用户终端。主用户终端通过虚拟客户端登录自己的游戏账号后，其他从用户终端可以延迟观看到主用户终端的游戏画面，同时也可以请求共享游戏该游戏账号，主用户终端可以通过发送控制权限切换指令，以将虚拟客户端的控制权限移交给从用户终端，从而便于其他用户通过从用户终端直接游戏自己的游戏账号。当然，通过其他方式来确定游戏账号拥有者的主用户终端也是可行的。
92.在上述方案的基础上，本技术实施例提供了一种在对游戏画面数据进行检测前，根据目标用户终端为从用户终端或是主用户终端判断是否进行游戏恶意行为检测的实现方案。详述如下。
93.具体的，在本技术实施例中，若目标用户终端为从用户终端，也就是其虚拟客户端的控制权限，是由主用户终端将虚拟客户端的控制权限移交得到，则此时，虚拟客户端会对游戏画面数据进行检测，得到游戏画面数据的恶意行为识别结果，以判断从用户终端是否存在对账号进行恶意破坏的行为，反之，若目标用户终端本身即为主用户终端，也就是账号拥有者，则虚拟客户端会直接将游戏画面数据传输给主用户终端，而不会对游戏画面数据进行检测。
94.此外，本技术实施例中提供的虚拟客户端对游戏画面数据进行检测的步骤，可以是通过虚拟客户端中预先基于机器学习所训练得到的神经网络模型来实现。其中，这里所使用的模型可以采用比较常见的卷积神经网络模型，当然采用其他架构的神经网络模型也是可行的，本技术在此对具体使用的神经网络模型不做限制。
95.进一步的，通常情况下，将游戏画面数据输入至训练好的检测模型中进行处理，检测模型会输出该游戏画面中存在恶意行为的概率，概率越高，表明该游戏画面中越可能存在恶意行为，因此，可以将检测模型输出的概率数值和设定好的概率阈值进行比对，若概率数值超过概率阈值，则表明该游戏画面有较高的概率存在恶意行为，反之，若概率数值低于预设的概率阈值，则表明该游戏画面更有可能不存在恶意行为。其中，这里概率阈值通常为
预先设定好的定值，例如，比较常见的，概率阈值可以预设为80％。
96.但为进一步提高游戏画面数据的恶意行为识别结果的准确性，作为本赛区的一种可行实施例，提出了一种融合目标用户终端在历史记录中所使用的账号使用特征来综合确定游戏画面数据的恶意行为识别结果的实现方案，具体的，在确定恶意行为识别结果中所使用的概率阈值不再是设定好的定值，而是会基于目标用户终端对应的账号使用特征确定。具体的，为便于理解，如图4所示，图4为本技术实施例提供的一种对游戏画面数据进行检测得到恶意行为识别结果的步骤流程示意图，包括步骤s410～430：
97.s410，将所述游戏画面数据对应的游戏画面输入至已训练的检测模型进行处理，得到所述游戏画面数据对应的恶意行为概率。
98.本技术实施例中，结合前述相关的描述可知，游戏画面数据是通过对虚拟客户端渲染得到的游戏画面进行编码得到，因此游戏画面数据对应的游戏画面本质上可以理解为虚拟客户端渲染所得到的游戏画面。
99.本技术实施例中，同样的，结合前述相关描述可知，这里的已训练的检测模型是预先基于机器学习的方式所训练得到的神经网络模型。其中，通过收集存在恶意行为的游戏画面和不存在恶意行为的游戏画面，并在有了足够多的游戏画面样本之后，采用算法提取游戏画面特征，然后使用机器学习的思想，即可在有监督的情形下训练得出可以用于实现恶意行为检测的检测模型。具体的，为便于理解，如图5所示，图5为本技术实施例提供的一种训练得到检测模型的步骤流程示意图，具体的，包括步骤s510～540：
100.s510，获取样本游戏画面以及所述样本游戏画面对应的恶意行为标签。
101.本技术实施例中，样本游戏画面是指预先收集得到的一些游戏画面截图，其中有的包含有恶意行为，例如贵重物品的交易截图、贵重物品的摧毁截图等等，而有的不包含有恶意行为，为正常游戏行为截图，恶意行为标签则为预先对这些游戏画面截图批注好的是否存在恶意行为的标签结果。
102.s520，将所述样本游戏画面输入至预设的初始检测模型，得到所述样本游戏画面对应的预测行为识别结果。
103.本技术实施例中，将对应不同恶意行为标签的样本游戏画面输入至初始检测模型中，可以得到样本游戏画面对应的预测行为识别结果，其中预测行为识别结果和恶意行为标签的差异可以反映出初始检测模型对游戏画面数据的检测效果，预测行为识别结果和恶意行为标签之间的差异越小，则表明检测模型对游戏画面数据的检测效果更加接近真实情况，检测模型的检测效果越高，而基于机器学习的思想对检测模型则正是利用大量有标注的样本数据对模型进行有监督的训练，使检测模型的结果接近于真实值。
104.s530，根据所述恶意行为标签和所述预测行为识别结果的差异对所述初始检测模型进行更新，得到更新后的检测模型。
105.本技术实施例中，结合前述描述可知，恶意行为标签和预测行为识别结果的差异可以反映出检测模型对游戏画面数据的检测效果，因此，基于反向传播的思想，并利用恶意行为标签和所述预测行为识别结果的差异对初始检测模型中的参数进行执行，所得到的更新后的检测模型在处理样本游戏画面所得到更新后的预测行为识别结果会比更新前的检测模型得到的预测行为识别结果更接近于恶意行为标签。
106.s540，直至将所述样本游戏画面输入至更新后的检测模型得到的更新预测行为识
别结果满足预设条件时，将所述更新后的检测模型确定为已训练的检测模型。
107.本技术实施例中，在经过对检测模型若干次迭代计算后，直至将样本游戏画面输入至更新后的检测模型得到的更新预测行为识别结果与恶意行为标签之间的差异连续若干次小于预设阈值时，则表明当前的检测模型已经训练完成，将更新后的检测模型确定为已训练的检测模型，以便于后续利用该已训练的检测模型完成对游戏画面数据的检测，并输出游戏画面数据对应的恶意行为概率。
108.s420，获取预先基于所述目标用户终端对应的账号使用特征确定的概率阈值。
109.本技术实施例中，目标用户终端对应的账号使用特征是指目标用户终端上所运行的游戏账号的特征，例如，比较常见的，若目标用户终端运行的游戏账号数量多、且运行时长较短时，则表明该目标用户终端的用户有较高的可能性存在恶意行为，因此，可以适当设定更小的概率阈值，反之，若目标用户终端对应的账号使用特征表明该用户有较低的可能性存在恶意行为时，可以设定更大的概率阈值。具体的，账号使用特征和概率阈值的关联关系可以是预先基于实际情况由用户设定并存储在数据库中。
110.当然，除了在云游戏的共享场景下，可以利用目标用户终端对应的账号使用特征来完成对游戏画面数据的恶意行为检测外，事实上，在完整的云游戏场景下，还可以基于用户终端的账号使用特征来对用户终端可能存在的恶意行为进行检测，其中，用户终端可能存在的恶意行为有刷号、脚本代练等等，具体的，这部分实现内容将在后续图7给出具体的实施例说明。
111.s430，根据所述恶意行为概率和所述概率阈值的大小关系确定所述游戏画面数据的恶意行为识别结果。
112.本技术实施例中，若恶意行为概率大于概率阈值，则表明该游戏画面有较高的可能性存在恶意行为，此时可以确定游戏画面数据的恶意行为识别结果为存在恶意行为，反之，若恶意行为概率小于或等于概率阈值，则表明该游戏画面有较低的可能性存在恶意行为，此时可以确定游戏画面数据的恶意行为识别结果为不存在恶意行为。
113.s230，根据所述恶意行为识别结果对所述目标用户终端的游戏控制权限进行调整。
114.本技术实施例中，在根据前述提供的方案得到游戏画面数据的恶意行为识别结果，虚拟客户端会进一步基于恶意行为识别结果对目标用户终端的游戏控制权限进行调整。例如，最常见的，若游戏画面数据的恶意行为识别结果为存在恶意行为，则虚拟客户端会中止目标用户终端的游戏控制权限，并启用主用户终端的游戏控制权限，从而阻止目标用户终端继续对账号的恶意破坏。反之，若游戏画面数据的恶意行为识别结果为不存在恶意行为，即为正常游戏画面，则虚拟客户端会正常将游戏画面数据传输给目标用户终端。
115.当然，考虑到主用户终端可以收回控制权限，这同样可能会导致主用户终端对从用户终端的账号破坏，例如，从用户终端获得虚拟客户端的控制权限后，登录自己的游戏账号，若被主用户终端恶意收回虚拟客户端的控制权限，则主用户终端可能会对从用户终端的游戏账号进行破坏。因此，在虚拟客户端对游戏画面数据进行检测得到的恶意行为识别结果为不存在恶意行为时，若接收到主用户终端发送的控制权限收回指令，则虚拟客户端会在预设的时间间隔后关闭目标用户终端的游戏控制权限，并启用主用户终端的游戏控制权限，以接收主用户终端的操作指令。
116.本技术实施例提供的游戏恶意行为检测方法，运行在云游戏平台的虚拟客户端上，在基于接收的控制权限切换指令确定出当前拥有游戏控制权限的目标终端后，对将要发送至目标用户终端的游戏画面数据进行检测，以判断当前游戏画面中是否存在恶意行为，从而实现了对恶意用户的恶意行为的预警识别，以便于后续对目标用户终端的游戏控制权限进行调整以阻止进一步的恶意行为，降低了云游戏业态下游戏账号被恶意破坏的风险，便于云游戏的推广。
117.进一步的，为便于理解本技术实施例提供的游戏恶意行为检测方法的完整实现流程，下述将结合前述图1～图5提供的内容，给出一种在云游戏场景下实现共享游戏的完整方案。具体的，如图6所示，图6为本技术实施例提供的一种游戏恶意行为检测方法的完整实现流程图，详述如下。
118.在本技术实施例中，基于虚拟客户端具备的不同功能，会将虚拟客户端划分为不同的功能模块组件，包括调度服务(模块)、媒体服务(模块)、云端容器以及在线模型，而用户终端这边则分别房主(客户端)和房客(客户端)，分别代表着用户终端中的主用户终端和从用户终端，此时，共享游戏的完整方案如下：
119.1、房主(客户端)与虚拟客户端通讯，以创建房间，房客(客户端)和虚拟客户端通讯，以加入房间。在房间内，房主(客户端)和房客(客户端)可以通过语音开黑、文字互动，也可以共享游玩游戏。
120.2、房主(客户端)通过远程操作虚拟客户端登录游戏，即建立虚拟客户端和游戏服务端的通讯连接，并将操作指令通过虚拟客户端传输给游戏服务端，以使游戏服务端回传游戏响应数据(图中未示出)。
121.3、云端容器负责根据接收的游戏响应数据渲染出游戏画面，并在编码后，经过媒体服务器，将音视频流数据发送给房主(客户端)，同时也会延迟推送给房客(客户端)，即房客(客户端)可以作为观众观看到房主(客户端)的游戏画面；
122.4、房客(客户端)申请对游戏的操作权，并获得房主(客户端)的许可，则房客(客户端)实际上拥有了操作房主账号的权限，此时虚拟客户端会转为接收房客(客户端)的操作指令；
123.5、调度服务会切换媒体服务的音视频流的推送对象，此时房客(客户端)可以实时接收到游戏画面，而房主(客户端)作为观众，收到的画面略有延迟；
124.6、调度服务开启高危操作检测服务，通知虚拟客户端上预先基于机器学习训练所得的在线模型进行高危操作检测，以对房主(客户端)的账号进行保护；
125.7、在线模型从云端容器拉取视频流，从而得到游戏画面；
126.8、在线模型计算游戏画面是高危操作的概率；
127.9、如果高危操作的概率大于配置的阈值，则在线模型会通知调度服务。这里的阈值配置可以是预设定值，也可以是基于房客(客户端)的账号使用特征来设定；
128.10、调度服务立即下发阻断指令到房客(客户端)，房客(客户端)收到阻断指令后，除了返回房间主界面等安全操作后，其他操作都被禁止；
129.11、调度服务将高危操作通知到房主(客户端)；
130.12、房主(客户端)通知调度服务收回房客(客户端)的控制权；
131.13、调度服务收回房客(客户端)的控制权，并改变媒体服务的音视频流的推送对
象。
132.14、媒体服务将音视频流实时推送给房主(客户端)，房客(客户端)作为观众，收到的画面略有延迟。
133.15、调度服务通知在线模型关闭高危操作检测任务。
134.当然，在云游戏场景下，除了前述提供的对共享游戏过程中用户的恶意行为进行检测的方案外，虚拟客户端还可以进一步通过用户终端的使用特征对用户终端的恶意行为进行检测，以实现对云游戏场景下恶意行为的全面防御。具体的，如图7所示，图7为本技术实施例提供的一种基于账号使用特征确定用户终端的恶意行为的步骤流程示意图，具体的，包括步骤s710～730：
135.s710，获取所述目标用户终端上历史运行的账号的时长信息和/或数量信息。
136.本技术实施例中，考虑在云游戏业态下，恶意用户可能通过云游戏平台的账号，利用云平台的虚拟能力，批量注册游戏账号，从而获得非法收益，又或者通过恶意注册，试图通过撞库获取正常用户账号，这些行为不仅会导致正常用户的账号丢失，也会使得云游戏平台成为刷号的工具，影响云游戏平台的正常运营。在此基础上，为识别出用户的恶意行为，可以根据各个用户终端上历史运行的账号的时长信息和/或数量信息来确定，其中用户终端上历史运行的账号是指用户终端通过虚拟客户端所登录过的账号，具体可以是通过用户终端的ip地址和/或useragent(用户代理)等相关信息确定，即将对应同一ip地址或是具有相同useragent(用户代理)的账号确定为同一用户终端关联的账号。
137.进一步的，考虑到实际过程中，恶意用户可能会在请求中更换ip和useragent，因此提出了一种基于底层的浏览器特性，以更好地实现防御的实现方案。具体的，如图8所示，图8为本技术实施例提供的一种基于浏览器指纹确定用户终端上历史运行的账号信息的步骤流程示意图，具体的，包括步骤s810～840：
138.s810，获取多个运行账号对应的浏览器指纹。
139.本技术实施例中，浏览器指纹是指通过浏览器的各种信息，如系统字体、屏幕分辨率、浏览器插件，就能近乎绝对定位一个用户的技术，例如，比较常用的有canvas指纹，具体的，canvas指纹是通过在前端页面创建《canvas》元素，并绘制一个固定内容和样式且不可见的矩形区域，然后用canvas api计算出该区域的data url，再由url生成md5，所得到的结果即为浏览器指纹。
140.s820，对各所述运行账号对应的浏览器指纹进行聚类，得到多个运行账号集合。
141.本技术实施例中，由于不同终端设备、不同操作系统、不同浏览器，其生成的浏览器指纹都会有所不同。因此，正常用户的指纹理论上应具有分散性，如果某些数据的浏览器指纹呈现出聚集的特征，则可以判断出这些数据是关联相同的用户终端，因此，对各运行账号对应的浏览器指纹进行聚类，可以得到多个运行账号集合，其中每一运行账号集合中的运行账号可以认为是关联同一用户终端。
142.s830，从所述运行账号集合中确定所述目标用户终端对应的目标运行账号集合。
143.本技术实施例中，针对每一运行账号集合，通过分析这些运行账号集合中的ip地址和/或其他内核属性，如useragent、平台platform、插件plugins，可以确定出每一个运行账号集合对应的用户终端，进一步的，就可以从运行账号集合中确定目标用户终端对应的目标运行账号集合。
144.s840，将所述目标运行账号集合中的运行账号确定为所述目标用户终端上历史运行的账号。
145.本技术实施例中，即使恶意用户通过修改ip和useragent，最终所得到的目标运行账号集合中的运行账号都可以认为是目标用户终端上历史运行的账号。
146.本技术实施例提供了一种基于底层浏览器特性筛选出目标用户终端上历史运行的账号的实现方案，能够能加隐蔽的阻止恶意用户通过篡改ip和useragent来达到规避恶意行为检测的效果，能够更全面的实现防御。
147.s720，根据所述时长信息与预设的时长阈值的大小关系，和/或所述数量信息与预设的数量阈值的大小关系，确定所述目标用户终端对应的恶意行为识别结果。
148.本技术实施例中，若某个用户终端历史运行的账号的数量超过预设数量阈值，则表明该用户终端有较高的可能性存在批量建号的恶意行为，同样的，若用户终端历史运行的账号的游玩时长小于预设的时长阈值，则表明该用户终端有较高的可能性存在刷号的恶意行为，此时，表明目标用户终端存在恶意行为，反之，则表明目标用户终端不存在恶意行为。
149.进一步的，结合前述步骤s420的相关说明，将时长信息和/或数量信息视为目标用户终端对应的账号使用特征，即可以用于后续共享游戏过程中实现对游戏内恶意行为，如摧毁、交易、融合游戏贵重物品等行为的检测，也可以用于实现对目标用户终端的恶意行为，如刷号、批量建号等行为的检测。
150.s730，若所述目标用户终端对应的恶意行为识别结果为不存在恶意行为，则获取发送至目标用户终端的游戏画面数据。
151.本技术实施例中，若目标用户终端不存在恶意行为，则该目标用户终端可以正常加入到其他房间中，以请求游玩其他玩家的账号。反之，若目标用户终端对应的恶意行为识别结果为存在恶意行为，则可以通过黑名单、验证码登录的方式，在目标用户终端登录云游戏平台时就对目标用户终端加以管控与防御，以有效阻止目标用户终端恶意破坏其他玩家账号的风险。
152.为了更好实施本技术实施例提供的恶意行为检测方法，在本技术实施例所提供的恶意行为检测方法的基础之上，本技术实施例中还提供一种恶意行为检测装置，如图9所示，恶意行为检测装置900包括：
153.获取模块910，用于获取发送至目标用户终端的游戏画面数据；所述目标用户终端为基于接收的控制权限切换指令从预设的多个用户终端中确定；
154.检测模块920，用于对所述游戏画面数据进行检测，得到所述游戏画面数据的恶意行为识别结果；
155.控制模块930，用于根据所述恶意行为识别结果对所述目标用户终端的游戏控制权限进行调整。
156.在本技术一些实施例中，所述多个用户终端包括主用户终端以及至少一个从用户终端；所述检测模块，用于若所述目标用户终端为从用户终端，则对所述游戏画面数据进行检测，得到所述游戏画面数据的恶意行为识别结果；若所述目标用户终端为主用户终端，则将所述游戏画面数据传输给所述目标用户终端。
157.在本技术一些实施例中，所述检测模块，用于将所述游戏画面数据对应的游戏画
面输入至已训练的检测模型进行处理，得到所述游戏画面数据对应的恶意行为概率；获取预先基于所述目标用户终端对应的账号使用特征确定的概率阈值；根据所述恶意行为概率和所述概率阈值的大小关系确定所述游戏画面数据的恶意行为识别结果。
158.在本技术一些实施例中，所述检测模块，在将所述游戏画面数据对应的游戏画面输入至已训练的检测模型进行处理，得到所述游戏画面数据对应的恶意行为概率之前，还用于获取样本游戏画面以及所述样本游戏画面对应的恶意行为标签；将所述样本游戏画面输入至预设的初始检测模型，得到所述样本游戏画面对应的预测行为识别结果；根据所述恶意行为标签和所述预测行为识别结果的差异对所述初始检测模型进行更新，得到更新后的检测模型；直至将所述样本游戏画面输入至更新后的检测模型得到的更新预测行为识别结果满足预设条件时，将所述更新后的检测模型确定为已训练的检测模型。
159.在本技术一些实施例中，所述控制模块，用于若所述恶意行为识别结果为存在恶意行为，则关闭所述目标用户终端的游戏控制权限，并启用所述主用户终端的游戏控制权限，以接收所述主用户终端的操作指令。
160.在本技术一些实施例中，所述控制模块，用于若所述恶意行为识别结果为不存在恶意行为，则将所述游戏画面数据传输给所述目标用户终端；若接收到预设的主用户终端发送的控制权限收回指令，则在预设的时间间隔后关闭所述目标用户终端的游戏控制权限，并启用所述主用户终端的游戏控制权限，以接收所述主用户终端的操作指令。
161.在本技术一些实施例中，所述获取模块，用于获取预设的目标服务端响应于目标用户终端的操作指令的游戏响应数据；对所述游戏响应数据进行渲染，生成游戏画面；对所述游戏画面进行编码，得到发送至所述目标用户终端的游戏画面数据。
162.在本技术一些实施例中，所述获取模块，在获取发送至目标用户终端的游戏画面数据之前，还用于获取所述目标用户终端上历史运行的账号的时长信息和/或数量信息；根据所述时长信息与预设的时长阈值的大小关系，和/或所述数量信息与预设的数量阈值的大小关系，确定所述目标用户终端对应的恶意行为识别结果；若所述目标用户终端对应的恶意行为识别结果为不存在恶意行为，则执获取发送至目标用户终端的游戏画面数据。
163.在本技术一些实施例中，所述获取模块，还用于获取多个运行账号对应的浏览器指纹；对各所述运行账号对应的浏览器指纹进行聚类，得到多个运行账号集合；从所述运行账号集合中确定所述目标用户终端对应的目标运行账号集合；将所述目标运行账号集合中的运行账号确定为所述目标用户终端上历史运行的账号。
164.关于恶意行为检测装置的具体限定可以参见上文中对于恶意行为检测方法的限定，在此不再赘述。上述恶意行为检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
165.在本技术一些实施例中，恶意行为检测装置900可以实现为一种计算机程序的形式，计算机程序可在如图10所示的计算机设备上运行。计算机设备的存储器中可存储组成该恶意行为检测装置900的各个程序模块，比如，图9所示的获取模块910、检测模块920和控制模块930。各个程序模块构成的计算机程序使得处理器执行本说明书中描述的本技术各个实施例的恶意行为检测方法中的步骤。
166.例如，图10所示的计算机设备可以通过如图9所示的恶意行为检测装置900中的获取模块910执行步骤s210。计算机设备可通过检测模块920执行步骤s220。计算机设备可通过控制模块930执行步骤s230。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的计算机设备通过网络连接通信。该计算机程序被处理器执行时以实现一种恶意行为检测方法。
167.本领域技术人员可以理解，图10中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
168.在本技术一些实施例中，提供了一种计算机设备，包括一个或多个处理器；存储器；以及一个或多个应用程序，其中一个或多个应用程序被存储于存储器中，并配置为由处理器执行以实现以下步骤：
169.获取发送至目标用户终端的游戏画面数据；所述目标用户终端为基于接收的控制权限切换指令从预设的多个用户终端中确定；
170.对所述游戏画面数据进行检测，得到所述游戏画面数据的恶意行为识别结果；
171.根据所述恶意行为识别结果对所述目标用户终端的游戏控制权限进行调整。
172.在本技术一些实施例中，处理器执行计算机程序时还实现以下步骤：若所述目标用户终端为从用户终端，则对所述游戏画面数据进行检测，得到所述游戏画面数据的恶意行为识别结果；若所述目标用户终端为主用户终端，则将所述游戏画面数据传输给所述目标用户终端。
173.在本技术一些实施例中，处理器执行计算机程序时还实现以下步骤：将所述游戏画面数据对应的游戏画面输入至已训练的检测模型进行处理，得到所述游戏画面数据对应的恶意行为概率；获取预先基于所述目标用户终端对应的账号使用特征确定的概率阈值；根据所述恶意行为概率和所述概率阈值的大小关系确定所述游戏画面数据的恶意行为识别结果。
174.在本技术一些实施例中，处理器执行计算机程序时还实现以下步骤：获取样本游戏画面以及所述样本游戏画面对应的恶意行为标签；将所述样本游戏画面输入至预设的初始检测模型，得到所述样本游戏画面对应的预测行为识别结果；根据所述恶意行为标签和所述预测行为识别结果的差异对所述初始检测模型进行更新，得到更新后的检测模型；直至将所述样本游戏画面输入至更新后的检测模型得到的更新预测行为识别结果满足预设条件时，将所述更新后的检测模型确定为已训练的检测模型。
175.在本技术一些实施例中，处理器执行计算机程序时还实现以下步骤：若所述恶意行为识别结果为存在恶意行为，则关闭所述目标用户终端的游戏控制权限，并启用所述主用户终端的游戏控制权限，以接收所述主用户终端的操作指令。
176.在本技术一些实施例中，处理器执行计算机程序时还实现以下步骤：若所述恶意行为识别结果为不存在恶意行为，则将所述游戏画面数据传输给所述目标用户终端；若接收到预设的主用户终端发送的控制权限收回指令，则在预设的时间间隔后关闭所述目标用
户终端的游戏控制权限，并启用所述主用户终端的游戏控制权限，以接收所述主用户终端的操作指令。
177.在本技术一些实施例中，处理器执行计算机程序时还实现以下步骤：获取预设的目标服务端响应于目标用户终端的操作指令的游戏响应数据；对所述游戏响应数据进行渲染，生成游戏画面；对所述游戏画面进行编码，得到发送至所述目标用户终端的游戏画面数据。
178.在本技术一些实施例中，处理器执行计算机程序时还实现以下步骤：获取所述目标用户终端上历史运行的账号的时长信息和/或数量信息；根据所述时长信息与预设的时长阈值的大小关系，和/或所述数量信息与预设的数量阈值的大小关系，确定所述目标用户终端对应的恶意行为识别结果；若所述目标用户终端对应的恶意行为识别结果为不存在恶意行为，则执获取发送至目标用户终端的游戏画面数据。
179.在本技术一些实施例中，处理器执行计算机程序时还实现以下步骤：获取多个运行账号对应的浏览器指纹；对各所述运行账号对应的浏览器指纹进行聚类，得到多个运行账号集合；从所述运行账号集合中确定所述目标用户终端对应的目标运行账号集合；将所述目标运行账号集合中的运行账号确定为所述目标用户终端上历史运行的账号。
180.在本技术一些实施例中，提供了一种计算机可读存储介质，存储有计算机程序，计算机程序被处理器进行加载，使得处理器执行以下步骤：
181.获取发送至目标用户终端的游戏画面数据；所述目标用户终端为基于接收的控制权限切换指令从预设的多个用户终端中确定；
182.对所述游戏画面数据进行检测，得到所述游戏画面数据的恶意行为识别结果；
183.根据所述恶意行为识别结果对所述目标用户终端的游戏控制权限进行调整。
184.在本技术一些实施例中，处理器执行计算机程序时还实现以下步骤：若所述目标用户终端为从用户终端，则对所述游戏画面数据进行检测，得到所述游戏画面数据的恶意行为识别结果；若所述目标用户终端为主用户终端，则将所述游戏画面数据传输给所述目标用户终端。
185.在本技术一些实施例中，处理器执行计算机程序时还实现以下步骤：将所述游戏画面数据对应的游戏画面输入至已训练的检测模型进行处理，得到所述游戏画面数据对应的恶意行为概率；获取预先基于所述目标用户终端对应的账号使用特征确定的概率阈值；根据所述恶意行为概率和所述概率阈值的大小关系确定所述游戏画面数据的恶意行为识别结果。
186.在本技术一些实施例中，处理器执行计算机程序时还实现以下步骤：获取样本游戏画面以及所述样本游戏画面对应的恶意行为标签；将所述样本游戏画面输入至预设的初始检测模型，得到所述样本游戏画面对应的预测行为识别结果；根据所述恶意行为标签和所述预测行为识别结果的差异对所述初始检测模型进行更新，得到更新后的检测模型；直至将所述样本游戏画面输入至更新后的检测模型得到的更新预测行为识别结果满足预设条件时，将所述更新后的检测模型确定为已训练的检测模型。
187.在本技术一些实施例中，处理器执行计算机程序时还实现以下步骤：若所述恶意行为识别结果为存在恶意行为，则关闭所述目标用户终端的游戏控制权限，并启用所述主用户终端的游戏控制权限，以接收所述主用户终端的操作指令。
188.在本技术一些实施例中，处理器执行计算机程序时还实现以下步骤：若所述恶意行为识别结果为不存在恶意行为，则将所述游戏画面数据传输给所述目标用户终端；若接收到预设的主用户终端发送的控制权限收回指令，则在预设的时间间隔后关闭所述目标用户终端的游戏控制权限，并启用所述主用户终端的游戏控制权限，以接收所述主用户终端的操作指令。
189.在本技术一些实施例中，处理器执行计算机程序时还实现以下步骤：获取预设的目标服务端响应于目标用户终端的操作指令的游戏响应数据；对所述游戏响应数据进行渲染，生成游戏画面；对所述游戏画面进行编码，得到发送至所述目标用户终端的游戏画面数据。
190.在本技术一些实施例中，处理器执行计算机程序时还实现以下步骤：获取所述目标用户终端上历史运行的账号的时长信息和/或数量信息；根据所述时长信息与预设的时长阈值的大小关系，和/或所述数量信息与预设的数量阈值的大小关系，确定所述目标用户终端对应的恶意行为识别结果；若所述目标用户终端对应的恶意行为识别结果为不存在恶意行为，则执获取发送至目标用户终端的游戏画面数据。
191.在本技术一些实施例中，处理器执行计算机程序时还实现以下步骤：获取多个运行账号对应的浏览器指纹；对各所述运行账号对应的浏览器指纹进行聚类，得到多个运行账号集合；从所述运行账号集合中确定所述目标用户终端对应的目标运行账号集合；将所述目标运行账号集合中的运行账号确定为所述目标用户终端上历史运行的账号。
192.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read-only memory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器。作为说明而非局限，ram可以是多种形式，如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。
193.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
194.以上对本技术实施例所提供的一种恶意行为检测方法、装置、计算机设备和存储介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。