本发明实施例涉及互联网诈骗防范应用技术领域,具体涉及一种检测网络诈骗的深度受害用户的方法、装置、电子设备、及存储介质。
背景技术:
为了净化网络环境,要依法严厉打击网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为,切断网络犯罪利益链条,持续形成高压态势,维护人民群众合法权益。
技术实现要素:
有鉴于此,本发明实施例提供一种检测网络诈骗的深度受害用户的方法、装置、电子设备、及存储介质,以实现精确定位深度受害用户。
本发明实施例的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本发明实施例的实践而习得。
在本公开的第一方面,本发明实施例提供了一种检测网络诈骗的深度受害用户的方法,包括:
根据用户的上网流量数据生成话单文件,提取所述话单文件中的域名信息,所述话单文件中至少包括域名信息和用户的msisdn;
采用所述域名信息碰撞域名白名单库以过滤域名信息正常的话单;
将过滤后的话单文件中的域名信息根据实施网络诈骗的网址/app进行规则匹配,根据匹配成功的域名信息所对应的话单文件中的用户的msisdn确定网络诈骗的受害用户集;
对所述受害用户集中任一受害用户在所述实施网络诈骗的网址/app中的访问行为日志进行网络访问行为还原和日志回溯文本分析,以确定该用户被骗过程中的操作行为,将所述操作行为输入至预先训练的诈骗事件分级分类模型,得到所述诈骗事件分级分类模型输出的该用户的受害程度信息;
根据所述受害用户集中各用户的受害程度信息确定深度受害用户。
于一实施例中,在根据所述受害用户集中各用户的受害程度信息确定深度受害用户之后还包括:分别向各深度受害用户发送预警提醒信息。
于一实施例中,所述话单文件还包括上网时间、上报运营商、imsi、imei、url、顶级域名、手机所属省份、手机所属城市、目的ip、目的ip所属国家、目的ip所属省份。
于一实施例中,确定该用户被骗过程中的操作行为包括:确定访用户被骗过程中的输入银行卡号的行为、访问恶意网址/诈骗网站的行为、下载木马程序的行为、以及安装木马程序的行为。
于一实施例中,在确定访用户被骗过程中的输入银行卡号的行为、访问恶意网址/诈骗网站的行为、下载木马程序的行为、以及安装木马程序的行为之前还包括:从已知特征库中输出域名样本,对所述域名样本进行网站家族信息提取、主控信息提取、控制邮箱提取、控制端ip提取、以及控制端手机号的溯源分析,以确定所述恶意网址/诈骗网站和所述木马程序。
于一实施例中,对所述受害用户集中任一受害用户在所述实施网络诈骗的网址/app中的访问行为日志进行网络访问行为还原和日志回溯文本分析包括:针对诈骗事件时间窗口内的网址/app互联网访问行为日志,对所述诈骗事件进行网络访问行为还原和日志回溯文本的分析确定各受害用户被骗过程中的所有操作行为。
于一实施例中,所述诈骗事件分级分类模型通过如下方法训练得到:
获取训练样本集合,其中,训练样本包括用户被骗过程中的操作行为和用于表示该用户的受诈骗程度的标注信息;
确定初始化的诈骗事件分级分类模型,其中所述初始化的诈骗事件分级分类模型包括用于输出用户受害程度的目标层;
利用机器学习的方法,将所述训练样本集合中的训练样本中的用户被骗过程中的操作行为作为初始化的诈骗事件分级分类模型的输入,将与输入的用户被骗过程中的操作行为对应的标注信息作为初始化的诈骗事件分级分类模型的期望输出,训练得到所述诈骗事件分级分类模型。
在本公开的第二方面,本发明实施例还提供了一种检测网络诈骗的深度受害用户的装置,包括:
域名提取单元,用于根据用户的上网流量数据生成话单文件,提取所述话单文件中的域名信息,所述话单文件中至少包括域名信息和用户的msisdn;
白名单过滤单元,用于采用所述域名信息碰撞域名白名单库以过滤域名信息正常的话单;
规则匹配单元,用于将过滤后的话单文件中的域名信息根据实施网络诈骗的网址/app进行规则匹配,根据匹配成功的域名信息所对应的话单文件中的用户的msisdn确定网络诈骗的受害用户集;
受害程度确定单元,用于对所述受害用户集中任一受害用户在所述实施网络诈骗的网址/app中的访问行为日志进行网络访问行为还原和日志回溯文本分析,以确定该用户被骗过程中的操作行为,将所述操作行为输入至预先训练的诈骗事件分级分类模型,得到所述诈骗事件分级分类模型输出的该用户的受害程度信息;
深度受害用户确定单元,用于根据所述受害用户集中各用户的受害程度信息确定深度受害用户。
于一实施例中,所述深度受害用户确定单元还用于,在根据所述受害用户集中各用户的受害程度信息确定深度受害用户之后,分别向各深度受害用户发送预警提醒信息。
于一实施例中,所述话单文件还包括上网时间、上报运营商、imsi、imei、url、顶级域名、手机所属省份、手机所属城市、目的ip、目的ip所属国家、目的ip所属省份。
于一实施例中,所述受害程度确定单元用于确定该用户被骗过程中的操作行为包括:用于确定访用户被骗过程中的输入银行卡号的行为、访问恶意网址/诈骗网站的行为、下载木马程序的行为、以及安装木马程序的行为。
于一实施例中,所述受害程度确定单元还用于,在确定访用户被骗过程中的输入银行卡号的行为、访问恶意网址/诈骗网站的行为、下载木马程序的行为、以及安装木马程序的行为之前:从已知特征库中输出域名样本,对所述域名样本进行网站家族信息提取、主控信息提取、控制邮箱提取、控制端ip提取、以及控制端手机号的溯源分析,以确定所述恶意网址/诈骗网站和所述木马程序。
于一实施例中,所述受害程度确定单元用于对所述受害用户集中任一受害用户在所述实施网络诈骗的网址/app中的访问行为日志进行网络访问行为还原和日志回溯文本分析包括:用于针对诈骗事件时间窗口内的网址/app互联网访问行为日志,对所述诈骗事件进行网络访问行为还原和日志回溯文本的分析确定各受害用户被骗过程中的所有操作行为。
于一实施例中,所述诈骗事件分级分类模型通过如下模块训练得到:
样本获取模块,用于获取训练样本集合,其中,训练样本包括用户被骗过程中的操作行为和用于表示该用户的受诈骗程度的标注信息;
模型确定模块,用于确定初始化的诈骗事件分级分类模型,其中所述初始化的诈骗事件分级分类模型包括用于输出用户受害程度的目标层;
模型训练模块,用于利用机器学习的装置,将所述训练样本集合中的训练样本中的用户被骗过程中的操作行为作为初始化的诈骗事件分级分类模型的输入,将与输入的用户被骗过程中的操作行为对应的标注信息作为初始化的诈骗事件分级分类模型的期望输出,训练得到所述诈骗事件分级分类模型。
在本公开的第三方面,提供了一种电子设备。该电子设备包括:处理器;以及存储器,用于存储可执行指令,所述可执行指令在被所述处理器执行时使得所述电子设备执行第一方面中的方法。
在本公开的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现第一方面中的方法。
本发明实施例提出的技术方案的有益技术效果是:
本发明实施例通过根据用户的上网流量数据生成话单文件,提取所述话单文件中的域名信息;采用所述域名信息碰撞域名白名单库以过滤域名信息正常的话单后再根据实施网络诈骗的网址/app进行规则匹配,根据匹配成功的用户,对其中任一受害用户在所述实施网络诈骗的网址/app中的访问行为日志进行网络访问行为还原和日志回溯文本分析,以确定该用户被骗过程中的操作行为,输入至预先训练的诈骗事件分级分类模型得到受害程度信息;根据各用户的受害程度信息确定深度受害用户,能够精确定位深度受害用户。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对本发明实施例描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明实施例中的一部分实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据本发明实施例的内容和这些附图获得其他的附图。
图1是根据本发明实施例提供的一种检测网络诈骗的深度受害用户的方法的流程示意图;
图1a是根据本发明实施例提供的一种诈骗事件分级分类模型的训练方法的流程示意图;
图2是根据本发明实施例提供的另一种检测网络诈骗的深度受害用户的方法的流程示意图;
图3是根据本发明实施例提供的一种检测网络诈骗的深度受害用户的装置的结构示意图;
图3a是根据本发明实施例提供的一种诈骗事件分级分类模型的训练装置的结构示意图;
图4示出了适于用来实现本发明实施例的电子设备的结构示意图。
具体实施方式
为使本发明实施例解决的技术问题、采用的技术方案和达到的技术效果更加清楚,下面将结合附图对本发明实施例的技术方案作进一步的详细描述,显然,所描述的实施例仅仅是本发明实施例中的一部分实施例,而不是全部的实施例。基于本发明实施例中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明实施例保护的范围。
需要说明的是,本发明实施例中术语“系统”和“网络”在本文中常被可互换使用。本发明实施例中提到的“和/或”是指包括一个或更多个相关所列项目的任何和所有组合。本公开的说明书和权利要求书及附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于限定特定顺序。
还需要说明是,本发明实施例中下述各个实施例可以单独执行,各个实施例之间也可以相互结合执行,本发明实施例对此不作具体限制。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
下面结合附图并通过具体实施方式来进一步说明本发明实施例的技术方案。
图1示出了本发明实施例提供的一种检测网络诈骗的深度受害用户的方法的流程示意图,本实施例可适用于检测网络中被深度诈骗的用户的情况,该方法可以由配置于电子设备中的检测网络诈骗的深度受害用户的装置来执行,如图1所示,本实施例所述的检测网络诈骗的深度受害用户的方法包括:
在步骤s110中,根据用户的上网流量数据生成话单文件,提取所述话单文件中的域名信息,所述话单文件中至少包括域名信息和用户的msisdn。
在获取用户上网流量数据后,可再对上网流量进行解析、清洗、整理、统计,生成统一的话单文件。
例如,所述上网流量数据包括或可生成时间、上报运营商、imsi、imei、url、顶级域名、手机所属省份、手机所属城市、目的ip、目的ip所属国家、目的ip所属省份、手机号等信息。
在步骤s120中,采用所述域名信息碰撞域名白名单库以过滤域名信息正常的话单。
可提取话单文件中的域名信息,将所提取的域名信息碰撞域名白名单库,过滤掉正常域名数据。
在步骤s130中,将过滤后的话单文件中的域名信息根据实施网络诈骗的网址/app进行规则匹配,根据匹配成功的域名信息所对应的话单文件中的用户的msisdn确定网络诈骗的受害用户集。
本步骤用于对于不匹配白名单的域名信息进行网址规则匹配以及app规则匹配,或者仅进行上述其中一种匹配,若匹配成功,则可提取该访问日志中的msisdn。
为了收集更多受骗信息,还可提取该访问日志中的imsi、访问时间、访问次数、url、页面文本内容等访问内容及用户受害程度信息。
在步骤s140中,对所述受害用户集中任一受害用户在所述实施网络诈骗的网址/app中的访问行为日志进行网络访问行为还原和日志回溯文本分析,以确定该用户被骗过程中的操作行为,将所述操作行为输入至预先训练的诈骗事件分级分类模型,得到所述诈骗事件分级分类模型输出的该用户的受害程度信息。
对所述受害用户集中任一受害用户在所述实施网络诈骗的网址/app中的访问行为日志进行网络访问行为还原和日志回溯文本分析可包括多种方法,例如,可针对诈骗事件时间窗口内的网址/app互联网访问行为日志,对所述诈骗事件进行网络访问行为还原和日志回溯文本的分析确定各受害用户被骗过程中的所有操作行为。具体地,可对所述受害用户集中任一受害用户在所述实施网络诈骗的网址/app中的访问行为日志进行网络访问行为还原和日志回溯文本分析可包括:针对诈骗事件时间窗口内的诈骗网站的互联网访问行为日志,对诈骗事件进行网络访问行为还原和日志回溯文本的分析,检索诈骗银行卡号、恶意网址/诈骗网站、木马程序等信息,确定其被骗过程中的所有操作行为,将其按照时间顺序进行整理。
图1a是根据本发明实施例提供的一种诈骗事件分级分类模型的训练方法的流程示意图,如图1a所示,所述诈骗事件分级分类模型通过如下方法训练得到:
在步骤s141中,获取训练样本集合,其中,训练样本包括用户被骗过程中的操作行为和用于表示该用户的受诈骗程度的标注信息。
在步骤s142中,确定初始化的诈骗事件分级分类模型,其中所述初始化的诈骗事件分级分类模型包括用于输出用户受害程度的目标层。
在步骤s143中,利用机器学习的方法,将所述训练样本集合中的训练样本中的用户被骗过程中的操作行为作为初始化的诈骗事件分级分类模型的输入,将与输入的用户被骗过程中的操作行为对应的标注信息作为初始化的诈骗事件分级分类模型的期望输出,训练得到所述诈骗事件分级分类模型。
在步骤s150中,根据所述受害用户集中各用户的受害程度信息确定深度受害用户。
受害程度的确定可根据预定规则确定,例如,对于诈骗网站,用户受害程度由低到高可依次定义为:用户打开了诈骗网站后秒关闭,用户打开了诈骗网站后浏览了一定时间后关闭,用户打开了诈骗网站后输入了非敏感信息后关闭,用户打开了诈骗网站后输入了银行卡号等敏感信息但未输入密码后关闭,用户打开了诈骗网站后输入了银行卡号和密码。
对于诈骗app,用户受害程度由低到高可依次定义为:用户下载了诈骗app安装包但未安装,用户安装了诈骗app但并未使用该app,用户使用了诈骗app但未输入信息,用户使用了诈骗app并输入了非敏感信息,用户使用了诈骗app并输入了银行卡账号等敏感信息,用户使用了诈骗app并输入了银行卡账号、支付密码等敏感信息。
进一步地,还可从已知特征库中输出域名样本,对样本进行网站家族信息、主控信息、控制邮箱、控制端ip、控制端手机号的溯源分析。通过特征指纹分析,如注册/控制邮箱,注册域名的联系邮箱等信息,可以追溯至其注册的其他域名、邮箱等信息,再结合中台原始库获取的其他身份位置信息,可以实现网站访问行为提取还原能力。
在上述基础之上,还可将各类相互独立的数据信息进行关联分析,通过建立诈骗信息识别模型、受诈事件分级分类模型、受害用户画像模型,形成一种互联网诈骗“深度受害用户”的分析方法。
本实施例通过根据用户的上网流量数据生成话单文件,提取所述话单文件中的域名信息;采用所述域名信息碰撞域名白名单库以过滤域名信息正常的话单后再根据实施网络诈骗的网址/app进行规则匹配,根据匹配成功的用户,对其中任一受害用户在所述实施网络诈骗的网址/app中的访问行为日志进行网络访问行为还原和日志回溯文本分析,以确定该用户被骗过程中的操作行为,输入至预先训练的诈骗事件分级分类模型得到受害程度信息;根据各用户的受害程度信息确定深度受害用户,能够精确定位深度受害用户。
图2示出了本发明实施例提供的另一种检测网络诈骗的深度受害用户的方法的流程示意图,本实施例以前述实施例为基础,进行了改进优化。如图2所示,本实施例所述的检测网络诈骗的深度受害用户的方法包括:
在步骤s201中,获取上报数据,执行步骤s202。
在步骤s202中,过滤无效数据,执行步骤s203。
在步骤s203中,提取域名,执行步骤s204。
在步骤s204中,判断域名是否属于域名白名单库,若是则执行步骤s205,否则执行步骤s206。
在步骤s205中,将话单过滤掉。
在步骤s206中,判断域名是否匹配网址规则信息,若是则执行步骤s208,否则执行步骤s207。
在步骤s207中,判断域名是否匹配app规则,若是则执行步骤s208,否则执行步骤s205将话单过滤掉。
在步骤s208中,提取用户深度信息,执行步骤s209。
其中所述深度信息是指用户受害程度信息。
在步骤s209中,匹配用户手机号段,执行步骤s210。
在步骤s210中,将匹配的手机号段存入数据库,执行步骤s211。
在步骤s211中,将存入的手机号段进行平台分析,结束。
在步骤s212中,获取域名和app信息,执行步骤s213。
在步骤s213中,分析整合规则,执行步骤s206和步骤s207。
本实施例通过获取上报数据后提取域名信息,据此碰撞域名白名单库以过滤域名信息正常的话单后再根据实施网络诈骗的网址和app进行规则匹配,根据匹配成功的用户,对其中任一受害用户在所述实施网络诈骗的网址和app中的访问行为日志进行网络访问行为还原和日志回溯文本分析,以确定该用户被骗过程中的操作行为,输入至预先训练的诈骗事件分级分类模型得到受害程度信息;根据各用户的受害程度信息确定深度受害用户,能够精确定位深度受害用户。
作为上述各图所示方法的实现,本申请提供了一种检测网络诈骗的深度受害用户的装置的一个实施例,图3示出了本实施例提供的一种检测网络诈骗的深度受害用户的装置的结构示意图,该装置实施例与图1和图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。如图3所示,本实施例所述的检测网络诈骗的深度受害用户的装置包括域名提取单元310、白名单过滤单元320、规则匹配单元330、受害程度确定单元340和深度受害用户确定单元350。
所述域名提取单元310被配置为,用于根据用户的上网流量数据生成话单文件,提取所述话单文件中的域名信息,所述话单文件中至少包括域名信息和用户的msisdn。
所述白名单过滤单元320被配置为,用于采用所述域名信息碰撞域名白名单库以过滤域名信息正常的话单。
所述规则匹配单元330被配置为,用于将过滤后的话单文件中的域名信息根据实施网络诈骗的网址/app进行规则匹配,根据匹配成功的域名信息所对应的话单文件中的用户的msisdn确定网络诈骗的受害用户集。
所述受害程度确定单元340被配置为,用于对所述受害用户集中任一受害用户在所述实施网络诈骗的网址/app中的访问行为日志进行网络访问行为还原和日志回溯文本分析,以确定该用户被骗过程中的操作行为,将所述操作行为输入至预先训练的诈骗事件分级分类模型,得到所述诈骗事件分级分类模型输出的该用户的受害程度信息。
所述深度受害用户确定单元350被配置为,用于根据所述受害用户集中各用户的受害程度信息确定深度受害用户。
根据本公开的一个或多个实施例,所述深度受害用户确定单元350被配置为,还用于在根据所述受害用户集中各用户的受害程度信息确定深度受害用户之后,分别向各深度受害用户发送预警提醒信息。
根据本公开的一个或多个实施例,所述话单文件还包括上网时间、上报运营商、imsi、imei、url、顶级域名、手机所属省份、手机所属城市、目的ip、目的ip所属国家、目的ip所属省份。
根据本公开的一个或多个实施例,所述受害程度确定单元340被配置为,用于确定该用户被骗过程中的操作行为包括:用于确定访用户被骗过程中的输入银行卡号的行为、访问恶意网址/诈骗网站的行为、下载木马程序的行为、以及安装木马程序的行为。
根据本公开的一个或多个实施例,所述受害程度确定单元340被配置为,还用于在确定访用户被骗过程中的输入银行卡号的行为、访问恶意网址/诈骗网站的行为、下载木马程序的行为、以及安装木马程序的行为之前:
从已知特征库中输出域名样本,对所述域名样本进行网站家族信息提取、主控信息提取、控制邮箱提取、控制端ip提取、以及控制端手机号的溯源分析,以确定所述恶意网址/诈骗网站和所述木马程序。
根据本公开的一个或多个实施例,所述受害程度确定单元340被配置为,还用于对所述受害用户集中任一受害用户在所述实施网络诈骗的网址/app中的访问行为日志进行网络访问行为还原和日志回溯文本分析包括:用于针对诈骗事件时间窗口内的网址/app互联网访问行为日志,对所述诈骗事件进行网络访问行为还原和日志回溯文本的分析确定各受害用户被骗过程中的所有操作行为。
本实施例提供的检测网络诈骗的深度受害用户的装置可执行本公开方法实施例所提供的检测网络诈骗的深度受害用户的方法,具备执行方法相应的功能模块和有益效果。
图3a是根据本发明实施例提供的一种诈骗事件分级分类模型的训练装置的结构示意图,如图3a所示,本实施例所述的诈骗事件分级分类模型的训练装置包括样本获取模块341、模型确定模块342和模型训练模块343。
所述样本获取模块341被配置为,用于获取训练样本集合,其中,训练样本包括用户被骗过程中的操作行为和用于表示该用户的受诈骗程度的标注信息。
所述模型确定模块342被配置为,用于确定初始化的诈骗事件分级分类模型,其中所述初始化的诈骗事件分级分类模型包括用于输出用户受害程度的目标层。
所述模型训练模块343被配置为,用于利用机器学习的方法,将所述训练样本集合中的训练样本中的用户被骗过程中的操作行为作为初始化的诈骗事件分级分类模型的输入,将与输入的用户被骗过程中的操作行为对应的标注信息作为初始化的诈骗事件分级分类模型的期望输出,训练得到所述诈骗事件分级分类模型。
本实施例提供的诈骗事件分级分类模型的训练装置可执行本公开方法实施例所提供的诈骗事件分级分类模型的训练方法,具备执行方法相应的功能模块和有益效果。
下面参考图4,其示出了适于用来实现本发明实施例的电子设备400的结构示意图。本发明实施例中的上述终端设备,例如为移动设备、电脑、或浮动车中内置的车载设备等,或其任意组合。在一些实施例中,移动设备例如可以包括手机、智能家居设备、可穿戴设备、智能移动设备、虚拟现实设备等,或其任意组合。图4示出的电子设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图4所示,电子设备400可以包括处理装置(例如中央处理器、图形处理器等)401,其可以根据存储在只读存储器(rom)402中的程序或者从存储装置408加载到随机访问存储器(ram)403中的程序而执行各种适当的动作和处理。在ram403中,还存储有电子设备400操作所需的各种程序和数据。处理装置401、rom402以及ram403通过总线404彼此相连。输入/输出(i/o)接口405也连接至总线404。
通常,以下装置可以连接至i/o接口405:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置406;包括例如液晶显示器(lcd)、扬声器、振动器等的输出装置407;包括例如磁带、硬盘等的存储装置408;以及通信装置409。通信装置409可以允许电子设备400与其他设备进行无线或有线通信以交换数据。虽然图4示出了具有各种装置的电子设备400,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本发明实施例的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明实施例的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置409从网络上被下载和安装,或者从存储装置408被安装,或者从rom402被安装。在该计算机程序被处理装置401执行时,执行本发明实施例的方法中限定的上述功能。
需要说明的是,本发明实施例上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明实施例中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、rf(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:根据用户的上网流量数据生成话单文件,提取所述话单文件中的域名信息,所述话单文件中至少包括域名信息和用户的msisdn;采用所述域名信息碰撞域名白名单库以过滤域名信息正常的话单;将过滤后的话单文件中的域名信息根据实施网络诈骗的网址/app进行规则匹配,根据匹配成功的域名信息所对应的话单文件中的用户的msisdn确定网络诈骗的受害用户集;对所述受害用户集中任一受害用户在所述实施网络诈骗的网址/app中的访问行为日志进行网络访问行为还原和日志回溯文本分析,以确定该用户被骗过程中的操作行为,将所述操作行为输入至预先训练的诈骗事件分级分类模型,得到所述诈骗事件分级分类模型输出的该用户的受害程度信息;根据所述受害用户集中各用户的受害程度信息确定深度受害用户。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明实施例的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c ,还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络包括局域网(lan)或广域网(wan)连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本发明实施例各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该单元本身的限定,例如,第一获取单元还可以被描述为“获取至少两个网际协议地址的单元”。
以上描述仅为本发明实施例的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本发明实施例中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本发明实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
1.一种检测网络诈骗的深度受害用户的方法,其特征在于,包括:
根据用户的上网流量数据生成话单文件,提取所述话单文件中的域名信息,所述话单文件中至少包括域名信息和用户的msisdn;
采用所述域名信息碰撞域名白名单库以过滤域名信息正常的话单;
将过滤后的话单文件中的域名信息根据实施网络诈骗的网址/app进行规则匹配,根据匹配成功的域名信息所对应的话单文件中的用户的msisdn确定网络诈骗的受害用户集;
对所述受害用户集中任一受害用户在所述实施网络诈骗的网址/app中的访问行为日志进行网络访问行为还原和日志回溯文本分析,以确定该用户被骗过程中的操作行为,将所述操作行为输入至预先训练的诈骗事件分级分类模型,得到所述诈骗事件分级分类模型输出的该用户的受害程度信息;
根据所述受害用户集中各用户的受害程度信息确定深度受害用户。
2.根据权利要求1所述的方法,其特征在于,在根据所述受害用户集中各用户的受害程度信息确定深度受害用户之后还包括:
分别向各深度受害用户发送预警提醒信息。
3.根据权利要求1所述的方法,其特征在于,所述话单文件还包括上网时间、上报运营商、imsi、imei、url、顶级域名、手机所属省份、手机所属城市、目的ip、目的ip所属国家、目的ip所属省份。
4.根据权利要求1所述的方法,其特征在于,确定该用户被骗过程中的操作行为包括:
确定访用户被骗过程中的输入银行卡号的行为、访问恶意网址/诈骗网站的行为、下载木马程序的行为、以及安装木马程序的行为。
5.根据权利要求4所述的方法,其特征在于,在确定访用户被骗过程中的输入银行卡号的行为、访问恶意网址/诈骗网站的行为、下载木马程序的行为、以及安装木马程序的行为之前还包括:
从已知特征库中输出域名样本,对所述域名样本进行网站家族信息提取、主控信息提取、控制邮箱提取、控制端ip提取、以及控制端手机号的溯源分析,以确定所述恶意网址/诈骗网站和所述木马程序。
6.根据权利要求1所述的方法,其特征在于,对所述受害用户集中任一受害用户在所述实施网络诈骗的网址/app中的访问行为日志进行网络访问行为还原和日志回溯文本分析包括:
针对诈骗事件时间窗口内的网址/app互联网访问行为日志,对所述诈骗事件进行网络访问行为还原和日志回溯文本的分析确定各受害用户被骗过程中的所有操作行为。
7.根据权利要求1-6之一所述的方法,其特征在于,所述诈骗事件分级分类模型通过如下方法训练得到:
获取训练样本集合,其中,训练样本包括用户被骗过程中的操作行为和用于表示该用户的受诈骗程度的标注信息;
确定初始化的诈骗事件分级分类模型,其中所述初始化的诈骗事件分级分类模型包括用于输出用户受害程度的目标层;
利用机器学习的方法,将所述训练样本集合中的训练样本中的用户被骗过程中的操作行为作为初始化的诈骗事件分级分类模型的输入,将与输入的用户被骗过程中的操作行为对应的标注信息作为初始化的诈骗事件分级分类模型的期望输出,训练得到所述诈骗事件分级分类模型。
8.一种检测网络诈骗的深度受害用户的装置,其特征在于,
域名提取单元,用于根据用户的上网流量数据生成话单文件,提取所述话单文件中的域名信息,所述话单文件中至少包括域名信息和用户的msisdn;
白名单过滤单元,用于采用所述域名信息碰撞域名白名单库以过滤域名信息正常的话单;
规则匹配单元,用于将过滤后的话单文件中的域名信息根据实施网络诈骗的网址/app进行规则匹配,根据匹配成功的域名信息所对应的话单文件中的用户的msisdn确定网络诈骗的受害用户集;
受害程度确定单元,用于对所述受害用户集中任一受害用户在所述实施网络诈骗的网址/app中的访问行为日志进行网络访问行为还原和日志回溯文本分析,以确定该用户被骗过程中的操作行为,将所述操作行为输入至预先训练的诈骗事件分级分类模型,得到所述诈骗事件分级分类模型输出的该用户的受害程度信息;
深度受害用户确定单元,用于根据所述受害用户集中各用户的受害程度信息确定深度受害用户。
9.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储可执行指令,所述可执行指令在被所述一个或多个处理器执行时,使得所述电子设备执行如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7任一项所述的方法。
技术总结