CN107045613A - 一种信息监控的控制方法及装置 - Google Patents

Abstract

本发明提供一种信息监控的控制方法，其用于识别数据包发送终端的操作系统和/或版本，其特征在于，包括：a.从服务器端获取发送所述数据包的终端的特征参数集W；b.基于所述特征参数集W中一个或多个元素计算特征概率C；c.基于所述特征概率C判断所述终端的操作系统和/或版本。还提供相应的控制装置。本发明通过获取数据包中的特征参数计算特征概率C从而确定终端的实际操作系统和/或版本，整合网络通讯协议各层级的特征参数信息进行综合判断，实现对终端身份信息的精准、有效判断，能够有效识别篡改ID、克隆账号等现象，有利于信息监控方对公众财产、隐私安全的监管及保护。

Description

一种信息监控的控制方法及装置

技术领域

本发明涉及信息监控领域，尤其是操作系统识别系统，具体地涉及通过分析往来数据包中特定参数的出现概率来识别对方终端实际操作系统的控制方法及装置。

背景技术

随着互联网技术的高速发展，越来越多的用户习惯在网上购物、上网冲浪、游玩大型网络游戏等，这些都需要用户预先在相应网站或服务器上注册账号；另一方面，由于网上银行的日益普及，人们通过互联网进行电子交易的行为越来越频繁，例如，游戏玩家在玩游戏的过程中可直接通过在线充值为自己的账号购买道具，相应地，如何杜绝盗号、恶意欺诈等情况也就成为了互联网安全的一个重大课题，例如，有些违法分子获取用户手机信息后可以通过计算机模拟一台甚至多台手机IP进行在线交易，这些用户往往在不经意间“被消费”甚至恶意透支。在很多时候，信息监控方基于用户账号监控用户的网上交易行为，并通过一定手段筛选克隆账号、木马病毒、恶意欺诈现象，以确保用户的日常交易安全。

目前，市场上普遍采用的病毒查杀及操作系统指纹相接合的方式进行信息监控，例如，通过监控数据发布终端的应用层IP地址来判断此终端是否为虚拟终端，基于IP头中的TTL字段判断该终端的操作系统是否与其声称的相符。这虽然能在一定程度上有效发现冒牌终端，但有些操作系统的TTL字段标准值相同，例如，Windows和Linux的TTL的初始值都设置成了64，则上述通过TTL字段判断终端操作系统的方法不具有唯一性。相应地，有现有技术在上述方法基础上结合IP头中多个字段进行判断，例如，同时获取数据包IP头中的TTL字段及window size字段判断终端的实际操作系统，但由于各厂商在编写操作系统网络传输协议时都会在大框架不变的前提下进行一些自适应修改，这种简单对照得出的判断结果具有一定偶然性，无法满足信息监控方精确识别终端操作系统的技术要求。很多时候，用户需要一个公式从概率论角度精确衡量终端的操作系统，例如，通过获取数据包中几个特征参数的出现频率来计算总概率，并与终端声明的标准概率数值相比较得出结论，若计算概率与标准概率相同或相近则认可终端声明的操作系统，若两者数值相差大于一定范围则确认该终端为假冒终端，例如用windows操作系统冒充安卓操作系统等。另一方面，目前信息监控方大量采用的监控行为都是基于系统应用层来实现的，从数据来源角度来讲这种监控方法太过狭隘同样会影响判断准确率。

在现阶段，没有一个非常好的方法解决上述提到的问题。大多数时候，信息监控方只能在系统应用层监控数据包IP头中的几个特征参数来判断该数据发送终端是否为恶意终端，没有提供一种有效的信息监控方法，能整合系统各层级的特征参数信息进行综合判断确定数据发送终端的操作系统。

发明内容

针对现有技术中，在信息监控中对终端操作系统的判断结果具有不唯一性、偶然性的缺陷，本发明提供一种信息监控的控制方法及系统，从概率论的角度，整合系统各层级的特征参数信息进行综合判断确定数据发送终端的操作系统。

根据本发明的一个方面，提供一种信息监控的控制方法，其用于识别数据包发送终端的操作系统和/或版本，包括如下步骤：

a.从服务器端获取发送所述数据包的终端的特征参数集W；

b.基于所述特征参数集W中一个或多个元素计算特征概率C；

c.基于所述特征概率C判断所述终端的操作系统和/或版本。

优选地，所述步骤a包括如下步骤：

a1.基于DPI技术在所述终端遵守的网络通讯协议第n层挂钩，其中1≤n≤7；

a2.接收所述终端第n层发送的反馈信息，所述反馈信息包括所述特征参数集W。

优选地，所述步骤b包括如下步骤：

b1.基于如下公式计算特征概率C：

AX＝C

其中，所述X为特征值向量，其用于表示所述特征参数集W中的一个或多个元素与一标准终端对应元素的匹配度；所述A为参数向量，其用于对计算结果进行调整；

相应地，所述步骤c包括：

c1.基于所述特征概率C在一标准对照表中查找对应的系统和/或版本。

优选地，所述步骤b1中所述特征值向量X基于如下公式表示：

X＝[x₁，...，x_n]

其中，所述n为所述特征参数集W中参与计算的元素数量；所述x_n为所述终端与一标准终端基于第n元素的匹配度；

相应地，所述参数向量A基于如下公式表示：

A＝[a₁，...，a_m]

其中，所述m为所述特征参数集W中参与计算的元素数量；所述a_m第m元素对应的调整参数，其用于对所述特征值向量X进行调节。

优选地，所述步骤b1中所述参数向量A还基于如下公式表示：

其中，所述m为所述特征参数集W中参与计算的元素数量；所述a_m为第m元素对应的调整参数；所述y_m为第m元素对应的标准参数；

相应地，所述特征值向量X基于如下公式表示：

其中，所述n为所述特征参数集W中参与计算的元素数量；所述b_n为第n元素对应的调整参数；所述x_n为所述终端与一标准终端基于第n元素的匹配度。

优选地，所述标准对照表包括k个系统及与所述系统相对应的标准概率C’，其中k≥1。

优选地，所述步骤c1包括如下步骤：

c11.基于公式计算特征概率C与标准概率C’的差值θ：

θ＝|C-C′|

其中，所述C为特征概率；所述C’为标准概率。

c12.判断所述差值θ是否小于第一阈值E；

c13.若θ＜E，则确认所述标准对照表中标准概率C’对应的系统为所述终端的操作系统。

优选地，所述标准概率C’为一区间范围C’＝[e1，e2]，相应地，所述步骤c1还包括如下步骤：

c11’.判断所述特征概率C是否落在所述标准概率C’的区间范围内；

c12’.若e1≤C≤e2，则确认所述标准对照表中标准概率C’对应的系统为所述终端的操作系统。

优选地，所述标准对照表中一个系统还对应s个版本，每个版本对应一标准概率C’，其中s≥1。

根据本发明的另一个方面，还提供一种信息监控的控制装置，其用于识别数据包发送终端的操作系统和/或版本，包括：

第一获取装置，其用于从服务器端获取发送所述数据包的终端的特征参数集W；

第一处理装置，其用于基于所述特征参数集W中一个或多个元素计算特征概率C；

第一判断装置，其用于基于所述特征概率C判断所述终端的操作系统和/或版本。

优选地，所述第一获取装置包括：

第二处理装置，其用于基于DPI技术在所述终端遵守的网络通讯协议第n层挂钩，其中1≤n≤7；

第一接收装置，其用于接收所述终端第n层发送的反馈信息，所述反馈信息包括所述特征参数集W。

优选地，所述第一处理装置包括：

第三处理装置，其用于基于如下公式计算特征概率C：

AX＝C

其中，所述A为参数向量；所述X为特征值向量；

相应地，所述第一判断装置包括：

第一查找装置，其用于基于所述特征概率C在一标准对照表中查找对应的系统和/或版本。

优选地，所述第一查找装置包括：

第四处理装置，其用于基于公式计算特征概率C与标准概率C’的差值θ：

θ＝|C-C′|

其中，所述C为特征概率；所述C’为标准概率。

第二判断装置，其用于判断所述差值θ是否小于第一阈值E；

第一确定装置，其用于若θ＜E，则确认所述标准对照表中标准概率C’对应的系统为所述终端的操作系统。

优选地，所述标准概率C’为一区间范围C’＝[e1，e2]，相应地，所述第一查找装置还包括：

第三判断装置，其用于判断所述特征概率C是否落在所述标准概率C’的区间范围内；

第二确定装置，其用于若e1≤C≤e2，则确认所述标准对照表中标准概率C’对应的系统为所述终端的操作系统。

本发明基于所述终端发送的数据包中的一个或多个特征参数计算所述终端为一标准终端的特征概率C，通过将所述特征概率C在一标准对照表中查找确定所述终端的实际系统和/或版本，允许信息监控方整合系统各层级的特征参数信息综合判断进而确定数据发送终端的操作系统，极大地提高了对终端身份信息的识别准确度，能够有效识别终端克隆账号、假冒终端身份信息等不法行为，提高了信息监控方对用户财产、隐私安全的保护力度。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其他特征、目的和优点将会变得更明显：

图1示出根据本发明的第一实施例的，一种信息监控的控制方法的流程图；

图2示出根据本发明的第二实施例的，一种信息监控的控制方法的流程图；

图3示出根据本发明的第三实施例的，一种信息监控的控制方法的流程图；

图4示出根据本发明的第四实施例的，一种信息监控的控制方法的流程图；

图5示出根据本发明的一个具体实施方式的，判断特征概率C是否与标准概率C’相符的控制方法的流程图；

图6示出根据本发明的又一具体实施方式的，基于特征概率C判断终端操作系统和/或版本的控制方法的流程图；

图7示出根据本发明的第五实施例的，一种信息监控的控制装置的结构图；以及

图8示出根据本发明的一个典型应用场景的结构示意图。

具体实施方式

为了更好的使本发明的技术方案清晰的表示出来，下面结合附图对本发明作进一步说明。

本领域技术人员理解，为了解决现有技术中在进行信息监控时无法唯一、准确地对终端操作系统进行判断识别的技术问题，本发明的技术方案在于提供一种信息监控的控制方法及系统。根据本发明提供的技术方案，通过获取发送所述数据包的终端的特征参数集，基于所述特征参数集中一个或多个元素计算特征概率C从而判断获得所述终端的操作系统和/或版本。具体地，在本发明的优选实施例中，基于DPI技术从所述终端发送的数据包中获得所述特征参数集，再根据所述特征参数集计算出计算特征概率C，最后基于所述特征概率C与一标准终端的标准概率C’之间的误差值大小判断确定所述终端的操作系统和/或版本。该技术方案从概率论角度，整合系统各层级的特征参数信息进行综合判断，从而精准、有效地多所述终端的操作系统和/或版本进行判断。

图1示出根据本发明的第一实施例的，一种信息监控的控制方法的流程图，其用于识别数据包发送终端(以下简称终端)的操作系统和/或版本。具体地，在本实施例中，首先执行步骤S101，从服务器端获取发送所述数据包的终端的特征参数集W。该步骤的目的在于获取能反映所述终端的操作系统和/或版本的特征参数的集合。更为具体地，所述特征参数集W基于所述终端的不同网络层次的反馈信息获得。优选地，所述特征参数集W包括但不限于如下元素中的任一种或任多种：数据包生存时间a’，其用于表示所述数据包被路由器丢弃之前允许通过的最大网段数；数据包中的空指令b’，其用于字节填充对其、精确延时和计时等；数据包被发出时的时间戳c’，其用于唯一标识所述数据包的发出时间；数据包接收终端初始接收窗口大小d’，其用于表示所述数据包接收终端一次能接收的数据最大值。优选地，所述特征参数集W基于所述数据包的IP头中包括的一个或多个参数组成。在一个优选例中，所述服务器端与所述终端均基于TCP/IP协议进行信息交互，则所述服务器端接收到所述终端向其发送的一数据包后，即可从所述数据包的IP头部分提取到后续计算所述终端特征概率C所需的一个或多个特征参数组成所述特征参数集W。

然后进入步骤S102执行，基于所述特征参数集W中一个或多个元素计算特征概率C。该步骤的目的在于计算出特征概率C，从概率论角度判断所述终端的操作系统和/或版本。具体地，所述特征概率C用于表示所述终端与一标准终端在一个或多个特征参数上的相似程度。更为具体地，所述数据包为TCP/IP协议通信传输中的数据单位，数据包主要由“目的IP地址”、“源IP地址”、“净载数据”等部分构成，使用基于TCP/IP协议的网络时，终端之间实现通讯就是依靠传递数据包，不同系统的终端发送的数据包有所不同，正是基于此特点，我们才能从所述数据包中提供特征参数集。优选地，本发明所述技术方案基于所述特征参数集W中某一个优选元素计算所述特征概率C。在一个优选例中，所述特征参数集W包括所述终端的数据包生存时间a’，通过将所述数据包生存时间a’的具体数值与一标准终端(如基于windows操作系统的终端)所发送数据包的标准生存时间进行相似度比较，若两者相似度越大则所述终端实质为基于windows操作系统的终端的可能性就越高，在结果上体现为所述终端基于所述数据包生存时间a’对应所述windows操作系统的标准情况的特征概率C就越大。

最后执行步骤S103，基于所述特征概率C判断所述终端的操作系统和/或版本。具体地，所述特征概率C用于表示所述终端与一标准终端操作系统的相似程度。更为具体地，所述终端的操作系统包括管理和控制硬件与软件资源的程序，是直接运行在“裸机”上的最基本的系统软件，任何其他软件都必须在操作系统的支持下才能运行，例如PC的windows操作系统，MAC的MAC OS X操作系统，手机中的安卓操作系统等。在一个优选例中，首先选定基于某一操作系统的标准终端与所述终端进行比较，基于从所述终端发送的数据包中提取的所述特征参数集W中与所述标准终端有关特征参数相比较计算获得的特征概率C判断确定所述终端是否与所述标准终端属于同一操作系统。

本领域技术人员理解，这是现有技术所不采用的技术方案，基于所述终端发送和/或接收的数据包中IP数据头中提取获得的特征参数集W获得所述特征概率C，通过所述特征概率C判断确定所述终端所属操作系统是否为其向所述服务器端“汇报”的操作系统数据一致，例如，若一终端实际操作系统为windows系统，其首先以windows系统状态在一基金网站上成功注册账号后又伪装成linux操作系统重复在该基金网站上申请账号以进行不法活动，则通过本发明所述技术方案可以在该终端进行第二次申请时即有效发现该终端的高风险行为，从而针对该终端采取一系列防范措施，以保证该基金网站的正常运作，帮助服务端有效识别克隆账号、木马病毒、恶意欺诈现象，能够在较早期识别制止黑客对网站或用户个人账号的恶意攻击，增强了信息监管方对用户信息安全的监控力度，保证了广大用户隐私、财产等的安全。

本领域技术人员理解，所述步骤S102中所述特征参数集W中优选元素与所述终端的实际操作系统和/或用于与之对比的所述标准终端的操作系统相对应，例如，对于windows操作系统的终端可将所述数据包生存时间a’作为所述优选元素，而对于linux操作系统的终端则将所述数据包接收终端初始接收窗口大小d’作为所述优选元素，不同的操作系统其优选特征参数可能不同，因而需要针对不同的操作系统进行区分，以获得更精确的特征概率C，例如，设置一对比数据库，包括一个或多个操作系统及优选特征参数，其中每个操作系统分别对应一个或多个优选特征参数，当选定所述对比数据库中的某一个操作系统对应终端作为当前用于与所述终端进行对比的标准终端后，即将所述对比数据库中与所述操作系统相对应的优选特征参数作为优选需要从所述特征参数集W中提取的元素计算所述特征概率C。

在本实施例的一个变化例中，所述步骤S102中还基于所述特征参数集W中两个或以上元素计算所述特征概率C，例如，同时基于数据包生存时间a’，数据包中的空指令b’，数据包被发出时的时间戳c’，数据包接收终端初始接收窗口大小d’共同计算所述特征概率C，此方式可以综合考虑多维度的因素来获取所述特征概率C，从而对所述终端的操作系统和/或版本的判断更精确，更有可信度，尤其在需要将所述终端精确到一操作系统的某一特定版本时，通过多个元素计算获得的所述特征概率C能够更加有效地排除其他可能性，使判断结果更具唯一性。

在本实施例的又一个变化例中，所述步骤S103中所述特征概率C还用于表征基于同一操作系统下的所述终端与一标准终端对应操作系统版本的相似程度，例如，所述终端被判断为安卓系统，将该终端的所述特征概率C与安装安卓4.0的一标准终端对应的特征概率C’进行比较，判断所述终端的具体版本。具体地，每个所述操作系统还对应一个或多个版本，其分别代表同一个操作系统经过优化、修改以适应技术的发展或满足用户新的需求而衍生出的多个版本。例如，Linux操作系统的TTL初始值为64，而Windows的TTL初始值为128。优选地，基于同一操作系统的多个版本之间既有共同点，又有区别，它们在通讯时，发送的数据包中的一个或多个特征参数在具体数值上有一定区别，例如，同样是Windows操作系统，其中WindowsXP的TCP Window Size为65535，而Windows 7的TCP Window Size为8192。本领域技术人员理解，若基于同一操作系统的多个版本之间在一个或多个特征参数上有所区别，则通过将所述特征参数作为所述优选元素，可以基于计算获得的所述特征概率C将所述终端精确定位到某一操作系统的某一特定版本上，有利于信息监控方更加精确的判断确定所述终端的实际身份信息，提高大众信息安全的保护力度。

图2示出根据本发明的第二实施例的，一种信息监控的控制方法的流程图，其用于识别数据包发送终端的操作系统和/或版本。具体地，首先执行步骤S201，基于DPI技术在所述终端遵守的网络通讯协议第n层挂钩，其中1≤n≤7。该步骤是为了取得目标终端的网络通讯协议各个层级建立通讯，为获取反馈信息做准备。更为具体地，所述DPI技术为深度包检测技术，其用于基于网络通讯协议中的应用层等层级实现流量检测及控制技术。更进一步地，所述网络通讯协议基于开放式系统互联模型(OSI)构建，所述OSI模型由7层架构组成，从低到高分别为物理层、数据链路层、网络层(IP协议)、传输层(TCP协议)、会话层、表示层和应用层。优选地，基于所述DPI技术在所述OSI七层模型中的第3层和/或以上各层挂钩以进行流量数据监测。优选地，在所述网络层和/或传输层分别对应的TCP/IP协议中挂钩以获取所述特征参数集W。在一个优选例中，当所述数据包发送终端与所述服务器在基于TCP/IP协议进行数据传输的过程中，两者相互发送的IP数据包、TCP或UDP数据流通过基于所述DPI技术的带宽管理系统时，所述系统通过深入读取所述IP包载荷的内容来对所述OSI七层协议中的各层信息尤其是应用层信息进行重组，并基于所述系统定义的管理策略对所述流量进行整形操作，获得其中能够表征所述数据包发送终端身份信息的特征参数集W。

然后进入步骤S202执行，接收所述终端第n层发送的反馈信息，所述反馈信息包括所述特征参数集W。具体地，所述反馈信息包括各OSI层级中所述终端在通信时体现不同操作系统和/或版本特征的关键信息，例如，网络层中IP协议中的TTL字段，其用于表示所述数据包被路由器丢弃之前允许通过的最大网段数，不同系统对所述TTL字段初始值的设置可能不一样，比如Android系统设置的初始值为64，Windows系统设置的初始值为128，则所述TTL字段即可作为所述特征参数集W的元素之一用于识别所述终端的操作系统。优选地，所述特征参数集W从获得的全部所述反馈信息中提取、整合获得。在一个优选例中，根据从网络层获取的反馈信息中提取特征元素w1、w2，从传输层获取的反馈信息中提取特征元素w₃，从应用层获取的反馈信息中提取特征元素w₄、w₅，则可获取特征参数集W＝{w₁，w₂，w₃，w₄，w₅}。

接下来执行步骤S203，基于所述特征参数集W中一个或多个元素计算特征概率C。具体地，所述特征概率C用于表示所述终端与一标准终端在一个或多个特征参数上的相似程度。更为具体地，本领域技术人员可以参考上述图1所示实施例中所述步骤S102，在此不予赘述。

最后进入步骤S204执行，基于所述特征概率C判断所述终端的操作系统和/或版本。具体地，所述特征概率C用于表示所述终端与一标准终端操作系统的相似程度。更为具体地，本领域技术人员可以参考上述图1所示实施例中所述步骤S103，在此不予赘述。

本领域技术人员理解，本实施例所述步骤S201以及所述步骤S202可以视为上述图1所示实施例中所述步骤S101的一个具体实施方式，其优选地基于DPI技术挂钩到所述终端的应用层中，以获取所述终端向外发送或向内接收到的数据包信息，进而从中提取中计算所述特征概率C所需的一个或多个元素组成所述特征参数集W，这是现有技术所不采用的技术方案，使得信息监控方对终端的监管不再局限于系统应用程序，而是可以基于需要对所述终端网络架构中的任一层或任多层进行有选择性的监控，提高了对终端操作系统的监管力度，特别对于那些在应用层进行过伪装的“非法终端”也能进行有效识别。

图3示出根据本发明的第三实施例的，一种信息监控的控制方法的流程图。本领域技术人员可以将本实施例理解为上述图1所示的第二实施例中所述步骤S102的一个具体实施方式。具体地，首先执行步骤S301，基于DPI技术在所述终端遵守的网络通讯协议第n层挂钩，其中1≤n≤7。更为具体地，所述DPI技术为深度包检测技术，其用于基于网络通讯协议中的应用层等层级实现流量检测及控制技术。更进一步地，本领域技术人员可以参考上述图2所示实施例中所述步骤S201，在此不予赘述。

然后进入步骤S302执行，接收所述终端第n层发送的反馈信息，所述反馈信息包括所述特征参数集W。具体地，所述反馈信息包括基于OSI七层模型进行通讯时所述终端所体现出的针对不同操作系统和/或版本特征的关键信息。更为具体地，本领域技术人员可以参考上述图2所示实施例中所述步骤S202，在此不予赘述。

接下来执行步骤S303，基于如下公式计算特征概率C：

AX＝C

其中，所述A为参数向量；所述X为特征值向量。具体地，所述特征概率C为所述参数向量A和所述特征值向量的数量积，例如，若所述参数向量A＝[15，8，3]，所述特征值向量X＝[1，1，0]，则所述特征概率C＝AX＝[15，8，3]*[1，1，0]＝23。更为具体地，所述特征值向量X用于表示所述特征参数集W中一个或多个元素与所述标准终端相应元素的匹配度。更进一步地，所述参数向量A为调整系数，其用于对所述特征值向量X的计算结果进行加权优化。优选地，所述特征值向量X基于公式X＝[x₁，...，x_n]表示，其中，所述n为所述特征参数集W中参与计算的元素数量；所述xn为所述终端与一标准终端基于第n元素的匹配度，例如，x₁用于表示两个待匹配设备IP是否匹配；x₂用于表示两个待匹配设备的机型是否匹配；x₃用于表示两个待匹配设备的浏览器是否匹配等。优选地，所述参数向量A基于公式A＝[a₁，...，a_m]表示，其中，所述m为所述特征参数集W中参与计算的元素数量；所述a_m为第m元素对应的调整参数，其用于对所述特征值向量X中的对应元素进行调节。

在一个优选例中，所述匹配度由所述特征参数集W中的元素与一标准终端的相应元素比较获得，若所述终端的第n元素与一标准终端的对应元素相匹配，则所述x_n＝1，否则则所述x_n＝0，例如，基于图2所示实施例中所述步骤S202获取所述终端特征参数集W＝{w₁，w₂，w₃，w₄，w₅}，用于比较的所述标准终端的特征参数集W’＝{w₁’，w₂’，w₃’，w₄’，w₅’}，经比较获得w₁与w₁’匹配，则x₁＝1；w₂与w₂’不匹配，则x₂＝0；w₃与w₃’匹配，则x₃＝1；w₄与w₄’不匹配，则x₄＝0，；w₅与w₅匹配’，则x₅＝1，从而获得所述特征值向量X＝[1，0，1，0，1]。

进一步地，由于所述特征值向量X中各个元素在对所述终端的系统和/或版本的判断中所占的权重并不相同，所以通过所述调整参数A来调整所述特征值向量X中各个元素匹配度对所述特征概率C的计算结果的影响，以得到更加精确的结果，例如，所述终端的特征值向量为X＝[x₁，x₂，x₃，x₄，x₅]，对应的参数向量A＝[a₁，a₂，a₃，a₄，a₅]，其中a₁是为x₁的调整系数，a₂是为x₂的调整系数，a₃是为x₃的调整系数，a₄是为x₄的调整系数，a₅是为x₅的调整系数。

然后进入步骤S304执行，基于所述特征概率C在一标准对照表中查找对应的系统和/或版本。该步骤是为了通过与标准对照表的对比来确定与特征概率C对应的系统和/或版本。具体地，所述标准对照表包含k个系统及与所述系统相对应的标准概率C’，其中k≥1。更为具体地，所述标准概率C’基于对安装有对应正版系统的终端发送或接受的数据包中特征参数的计算获得。优选地，所述标准对照表存储在所述服务器中。在一个优选例中，基于所述步骤S303计算获得所述终端相对于一标准终端A的特征概率C后，优选地从所述标准对照表中获取所述标准终端A的标准概率C’，若C＞C’则确定所述标准终端A的操作系统即为所述终端的实际操作系统；若C≤C’则确定所述标准终端A的操作系统与所述终端的实际操作系统不相符，则基于所述标准对照表中除所述标准终端A外的任一标准终端A’计算所述终端的特征概率C，重复比较本次计算获得的所述标准概率C与所述标准终端A’对应标准概率C’的数值大小，直至出现C＞C’的情况此时用于比较的标准终端的操作系统即为所述终端的实际操作系统。

在本实施例的一个变化例中，所述步骤S303中所述特征值向量X还基于如下公式表示：

其中，所述n为所述特征参数集W中参与计算的元素数量；所述b_n为第n元素对应的调整参数；所述x_n为所述终端与一标准终端基于第n元素的匹配度。更为具体地，所述特征值向量X为行向量[b₁，...，b_n]与列向量[x₁，...，x_n]^t的向量积。相应地，所述参数向量A还基于如下公式表示：

其中，所述m为所述特征参数集W中参与计算的元素数量；所述a_m为第m元素对应的调整参数；所述y_m为第m元素对应的标准参数。具体地，所述参数向量A为行向量[a₁，...，a_m]与列向量[y₁，...，y_m]的向量积。

本领域技术人员理解，与本实施例所述步骤S303中所述特征值向量公式X＝[x₁，...，x_n]以及所述参数向量A＝[a₁，...，a_m]相比，本变化例所述技术方案优选地在计算所述特征值向量X以及所述参数向量A时就引入了调整参数概念，使每个参与计算的特征值向量和/或所述参数向量能够获得不同的权重值，基于每个参与计算元素的重要程度进行权重分配，使得最终获得的各元素的匹配度数值不仅仅是定性的“匹配”(1)或“不匹配”(0)，而且会有定量上的分化，判断的结果也因此更加精准，这是现有技术所不采用的技术方案，使得所述信息监控放对终端操作系统的判断更加精确，从根本上杜绝假冒ID、克隆账号等现象的发生。

在本实施例的又一个变化例中，所述步骤S304中所述标准对照表中一个系统还对应s个版本，每个版本对应一标准概率C’，其中s≥1。具体地，所述标准概率C’基于对安装有对应正版系统某一特定版本的终端发送或接受的数据包中特征参数的计算获得。例如，基于上述步骤S303计算获得所述终端相对于一标准终端A的A₁版本的特征概率C后，优选地从所述标准对照表中获取所述标准终端A的A₁版本的标准概率C’，若C＞C’则确定所述A₁版本即为所述终端的实际版本；若C≤C’则确定所述A₁版本与所述终端的实际版本不相符，则基于所述标准对照表所述标准终端A对应除所述A₁版本外的任一版本A₁’计算所述终端的特征概率C，重复比较本次计算获得的所述标准概率C与所述A₁’版本对应标准概率C’的数值大小，直至出现C＞C’的情况此时用于比较的标准终端的版本即为所述终端的实际版本，若所述标准终端A操作系统中s个版本均与所述终端的实际版本不符，则再基于所述标准对照表中除所述标准终端A外的任一标准终端A’计算所述终端的特征概率C，直至获得与所述终端实际操作系统相符的标准终端。

本领域技术人员理解，本实施例所述步骤S303可以理解为上述图1所示实施例中所述步骤S102或者上述图2所示实施例中所述步骤S203的一个具体实施方式，相应地，本实施例所述步骤S304可以理解为上述图1所示实施例中所述步骤S103或者上述图2所示实施例中所述步骤S204的一个具体实施方式，通过对所述终端与所述标准终端对应特征参数的向量计算获得所述特征概率C，基于所述特征概率C与所述标准终端对应标准概率C’数值大小的判断结果确定所述终端与所述标准终端的操作系统和/或版本是否相符，较之现有技术能够更精确的识别终端的实际操作系统和/或版本，有利于信息监控方对恶意终端的及时识别。

图4示出根据本发明的第四实施例的，一种信息监控的控制方法的流程图，其用于识别数据包发送终端的操作系统和/或版本。具体地，首先执行步骤S401，基于DPI技术在所述终端遵守的网络通讯协议第n层挂钩，其中1≤n≤7。更为具体地，所述DPI技术为深度包检测技术，其用于基于网络通讯协议中的应用层等层级实现流量检测及控制技术。更进一步地，本领域技术人员可以参考上述图2所示实施例中所述步骤S201，在此不予赘述。

接下来进入步骤S402执行，接收所述终端第n层发送的反馈信息，所述反馈信息包括所述特征参数集W。具体地，所述反馈信息包括各OSI层级中所述终端在通信时体现不同操作系统和/或版本特征的关键信息。更为具体地，本领域技术人员可以参考上述图2所示实施例中所述步骤S202，在此不予赘述。

然后执行步骤S403，基于如下公式计算特征概率C：

AX＝C

其中，所述A为参数向量；所述X为特征值向量。具体地，所述特征概率C为所述参数向量A和所述特征值向量的数量积。更为具体地，本领域技术人员可以参考上述图3所示实施例中所述步骤S303，在此不予赘述。

然后进入步骤S404执行，基于如下公式计算特征概率C与标准概率C’的差值θ：

θ＝|C-C′|

其中，所述C为特征概率；所述C’为标准概率，所述差值θ为所述特征概率C与所述标准概率C’的差值绝对值。具体地，所述差值θ用于表征所述特征概率C与所述标准概率C’的离散程度，以判断所述数据包发送终端是否与所述标准概率C’对应的标准终端的操作系统和/或版本相一致。更为具体地，所述特征概率C与所述标准概率C’的计算及获得方法已在上述图3所示实施例中进行详细阐述，本领域技术人员可以参照上述图3所示实施例中所述步骤S303以及步骤S304，在此不予赘述。

然后执行步骤S405，判断所述差值θ是否小于第一阈值E。具体地，所述第一阈值E是预先设定的所述差值θ的临界值。更为具体地，所述第一阈值E预置在所述标准对照表中。优选地，所述第一阈值E以唯一形式预存在所述标准对照表中，即所述标准对照表中的k个系统和/或每个系统所对应的s个版本均基于同一第一阈值E进行判断。在一个优选例中，首先判断所述差值θ与所述第一阈值E的数值大小，若θ＜E，则所述步骤S405的判断结果是肯定的；否则，则所述步骤S405的判断结果是否定的。进一步地，若所述步骤S405的判断结果是肯定的，则执行步骤S406；若所述步骤S405的判断结果是否定的，即θ≥E，则执行步骤S407。

具体地，在所述步骤S406中，确认所述标准对照表中标准概率C’对应的系统为所述终端的操作系统。更为具体地，所述标准对照表中一个系统还对应s个版本，每个版本对应一标准概率C’，其中s≥1。更进一步地，根据对应的标准概率C’还可以确定所述终端的具体版本。

具体地，在步骤S407中，确认所述标准对照表中标准概率C’对应的系统非所述终端的操作系统。本领域技术人员理解，由于所述特征概率C与标准概率C’的差值超过了阈值，说明特征概率C与标准概率C并不相符合，所以所述终端的操作系统并非所述标准对照表中标准概率C’对应的系统。

在本实施例的一个变化例中，所述步骤S403以及所述步骤S404之间还增加一步骤“判断所述特征概率C是否大于所述标准概率C”’，本领域技术人员理解，本实施例所述步骤S404、所述步骤S405以及所述步骤S406可以理解为上述图3所示实施例中所述步骤S304的一个具体实施方式，只有当C＞C’时才进入所述步骤S404执行，进一步判断所述特征概率C与所述标准概率C’的差值θ，只有当θ＞E时才确定所述标准概率C’对应标准终端操作系统和/或版本即为所述数据包发送终端的实际操作系统和/或版本。进一步地，若C≤C’，则直接进入步骤S407执行，确定所述标准对照表中所述标准概率C’对应操作系统和/或版本并非所述数据包发送终端的实际操作系统和/或版本。本领域技术人员理解，本变化例所述技术方案通过双重判断标准进一步提高了对所述终端实际身份信息的判断精度，是现有技术所不采用的技术方案，有利于信息监控方对终端身份信息的有效核实。

在本实施例的又一个变化例中，所述步骤S405中所述第一阈值E与所述标准对照表中任一个或任多个系统和/或版本相对应，例如，所述标准对照表中存储有不止一个第一阈值E，本领域技术人员理解，与上述步骤S405中所述第一阈值E唯一的技术方案相比，本变化例所述技术方案优选地针对不同的操作系统和/或版本有针对性的设置不同的第一阈值E，所述标准对照表中可能存在每个系统和/或版本分别对应一第一阈值E，或者几个系统和/或版本共同对应一第一阈值E的情形，这种设置模式能够更高的突出不同操作系统和/或版本因特定特征参数获得的计算结果的差异性，有利于信息监控方对终端实际操作系统和/或版本的精确识别。

图5示出根据本发明的一个具体实施方式的，判断特征概率C是否与标准概率C’相符的控制方法的流程图。具体地，首先执行步骤S4051，判断所述特征概率C是否落在所述标准概率C’的区间范围内。更为具体地，所述标准概率C’的取值为一区间范围C’＝[e1，e2]。更进一步地，所述标准概率C’的取值范围基于对安装有对应正版系统和/或版本的终端发送或接收的数据包中某一个或某多个特征参数的计算获得。优选地，所述e1为所述标准终端的最低标准概率，其基于数据包中能用于表征所述标准终端特征的最少元素计算获得；所述e2为所述标准终端的最高标准概率，其基于数据包中能用于表征所述标准终端特征的最多元素计算获得。优选地，所述特征概率C基于从所述终端发送或接收的数据包中的一个或多个特征参数组成的特征参数集W中的n个元素计算获得，本领域技术人员可以参考上述图4所示实施例中所述步骤S403，在此不予赘述。在一个优选例中，首先判断所述特征概率C是否满足e1≤C≤e2，若C∈[e1，e2]，则所述步骤S4051的判断结果是肯定的；否则，则所述步骤S4051的判断结果是否定的，进一步地，若所述步骤S4051的判断结果是肯定的，则执行步骤S4052；若所述步骤S4051的判断结果是否定的，即则执行步骤S4053。

具体地，在所述步骤S4052中，确认所述标准对照表中标准概率C’对应的系统为所述终端的操作系统。更为具体地，所述标准对照表中一个或多个系统分别对应s个版本，其中s≥1。在一个优选例中，若所述步骤S4051的判断结果是肯定的，即所述特征概率C∈[e1，e2]，则确定所述标准对照表中标准概率C’对应的系统为所述终端的操作系统；进一步地，若所述标准概率C’对应一标准终端某操作系统下一特定版本，则确定所述标准对照表中标准概率C’对应的系统版本为所述终端的实际系统版本。进一步地，本领域技术人员可以参考上述图4所示实施例中所述步骤S406，在此不予赘述。

具体地，在所述步骤S4053中，确认所述标准对照表中标准概率C’对应的系统非所述终端的操作系统。更为具体地，所述标准对照表中一个或多个系统分别对应s个版本，其中s≥1。在一个优选例中，若所述步骤S4051的判断结果是否定的，即所述特征概率则确定所述标准对照表中标准概率C’对应的系统非所述终端的操作系统；进一步地，若所述标准概率C’对应一标准终端某操作系统下一特定版本，则确定所述标准对照表中标准概率C’对应的系统版本非所述终端的实际系统版本，优选地，在所述标准对照表中选取本次标准终端对应操作系统的特定版本之外其他版本，或者除本次标准终端之外的其他标准终端的操作系统和/或版本，基于新选定的标准概率C’与所述特征概率C相比较，直至确定所述数据包发送终端的实际操作系统和/或版本。进一步地，本领域技术人员可以参考上述图4所示实施例中所述步骤S407，在此不予赘述。

本领域技术人员理解，本实施例所述步骤S4051可以理解为上述图4所示实施例中所述步骤S405的一个变化例，与上述图4所示实施例中所述技术方案相比，本实施例所述技术方案通过将所述第一阈值E替换为一个区间范围[e1，e2]以排除计算误差判断结果可能造成的影响，是现有技术所不采用的技术方案，能够有效提高对数据包发送终端实际操作系统和/或版本的识别准确度，有利于信息监控方对用户隐私、财产安全等的全方位保护。

图6示出根据本发明的又一个具体实施方式的，基于特征概率C判断终端操作系统和/或版本的控制方法的流程图。具体地，首先执行步骤S4041，基于公式计算特征概率C与标准概率C’的差值θ：θ＝|C-C′|。更为具体地，所述差值θ用于表征所述特征概率C与所述标准概率C’的离散程度。更进一步地，本领域技术人员可以参考上述图4所示实施例中所述步骤S404，在此不予赘述。本领域技术人员理解，本步骤所述标准概率C’为泛指，其用于指代所述标准对照表中任一标准终端所对应的标准概率，相应地，所述差值θ也为泛指，其用于指代所述特征概率C与所述标准对照表中当前用于比较的某一标准概率C’的差值绝对值。

然后进入步骤S4042执行，判断所述差值θ是否小于第一阈值E。具体地，所述第一阈值E是预先设定的所述差值θ的临界值。更为具体地，所述第一阈值E预置在所述标准对照表中。更进一步地，本领域技术人员可以参考上述图4所示实施例中所述步骤S405，在此不予赘述。在一个优选例中，若θ＜E，则所述步骤S4042的判断结果是肯定的；否则，则所述步骤S4042的判断结果是否定的，进一步地，若所述步骤S4042的判断结果是肯定的，则执行步骤S4043；若所述步骤S4042的判断结果是否定的，即θ≥E，则进入步骤S4044执行。

具体地，在所述步骤S4043中，确认所述标准对照表中标准概率C’对应的系统为所述终端的操作系统。更为具体地，所述标准对照表中一个系统还对应s个版本，每个版本对应一标准概率C’，其中s≥1。更进一步地，本领域技术人员可以参考上述图4所示实施例中所述步骤S406，在此不予赘述。

具体地，在步骤S4044中，确认所述标准对照表中标准概率C’对应的系统非所述终端的操作系统。本领域技术人员理解，由于所述特征概率C与标准概率C’的差值超过了阈值，说明特征概率C与标准概率C并不相符合，所以所述终端的操作系统并非所述标准对照表中标准概率C’对应的系统。更进一步地，本领域技术人员可以参考上述图4所示实施例中所述步骤S407，在此不予赘述。

然后执行步骤S4045，判断是否穷尽标准对照表中所有标准概率。具体地，所述标准对照表包括k个系统及与所述系统相对应的标准概率C’，其中K≥1。更为具体地，所述标准对照表中一个系统还对应s个版本，每个版本对应一标准概率C’，其中s≥1。在一个优选例中，首先从所述标准对照表中选取任一系统和/或版本的标准概率C’与所述数据发发送终端的特征概率C进行比较，若经过所述步骤S4041、所述步骤S4042判断确定当前所述系统和/或版本非所述终端的实际操作系统和/或版本，则判断是否已穷尽所述标准对照表中所有的标准概率C’，若所述标准对照表中所有系统和/或版本的标准概率C’均已与所述数据包发送终端的特征概率C进行过比较且未能找到与所述特征概率C相适应的标准终端，则所述步骤S4045的判断结果是肯定的；否则，则所述步骤S4045的判断结果是否定的，进一步地，若所述步骤S4045的判断结果是肯定的，则结束本实施例；若所述步骤S4045的判断结果是否定的，及所述标准对照表中还有一个或多个系统和/或版本的标准概率C’未与所述数据包发送终端的特征概率C进行比较，则进入步骤S4046执行。

具体地，在所述步骤S4046中，选取标准对照表中下一个系统和/或版本的标准概率作为所述标准概率C’。优选地，将所述标准对照表中与所述特征概率C最接近的一系统和/或版本的标准概率作为所述标准概率C’。在一个优选例中，基于计算获得的所述数据包发送终端的特征概率C在所述标准对照表中进行查找，确定并选取与所述特征概率C数值最接近的系统和/或版本的标准概率作为接下来步骤中所要依据的标准概率C’。

然后重新进入步骤S4041执行，基于公式计算特征概率C与标准概率C’的差值θ：θ＝|C-C′|。本领域技术人员理解，本步骤所述技术方案优选地将所述步骤S4046确定的新标准概率C’作为判断标准进行差值θ的计算，并基于计算结果重新进入所述步骤S4042，判断本次计算得到的差值θ与所述第一阈值E的大小关系，并基于判断结果进入所述步骤S4043或所述步骤S4044执行，若本次所述步骤S4042的判断结果仍是否定的，则重复执行所述步骤S4045，判断经过一次循环后是否已穷尽比较了所述标准对照表中的所有系统和/或版本的标准概率，若所述步骤S4045的判断结果仍是否定的，则再次执行所述步骤S4046选取新的标准概率C’后重新回到所述步骤S4041开始执行，直至确定所述数据包发送终端的实际操作系统和/或版本，或者穷尽比较了所述标准对照表中所有系统和/或版本的标准概率C’后仍无法确定所述数据包发送终端的实际操作系统和/或版本，流程结束。

在本实施例的一个变化例中，所述步骤S4046中在选取所述标准对照表中下一个系统和/或版本的标准概率作为所述标准概率C’的同时还获取与所述下一个系统和/或版本相对应的第一阈值E，相应地，当所述流程重复执行到所述步骤S4042时，将新获取的所述第一阈值E与所述差值θ进行比较，获取判断结果，本领域技术人员理解，本变化例所述技术方案优选地适用于所述标准对照表中的一个或多个系统和/或版本分别对应一第一阈值E的情形，则为了使得所述步骤S4042的判断结果更准确，当所述流程执行到所述步骤S4046时除了获取所述下一个系统和/或版本的标准概率C’外还要获取与之相对应的第一阈值E，将这两个数值一并作为反馈信息发送给所述步骤S4041以及所述步骤S4042进行比较。

在本实施例的又一个变化例中，所述步骤S4041以及所述步骤S4042可以被替换为上述图5所示实施例中所述步骤S4051，例如，若所述标准对照表中的系统和/或版本对应的标准概率是以区间范围表示的，则不再比较所述标准概率C’与所述特征概率C的差值与所述第一阈值的大小关系，而是基于判断所述特征概率C是否落在所述标准概率C’的区间范围内来确定当前用于比较的所述标准概率C’对应的系统和/或版本是否为所述数据包发送终端的实际操作系统和/或版本。

本领域技术人员理解，本实施例所述步骤S4045以及所述步骤S4046可以理解为上述图4所示实施例中所述步骤S407、上述图5所示实施例中所述步骤S4053的一个补充实施方式，与上述图4以及上述图5所示实施例中所述技术方案相比，若通过判断确定所述标准对照表中当前用于比较的标准终端的操作系统和/或版本并非所述数据包发送终端的实际操作系统和/或版本，则优选地从所述标准对照表中选取剩余未进行过比较的系统和/或版本的标准概率C’重复比较过程，直至确定所述数据包发送终端的实际操作系统和/或版本，本变化例所述技术方案在上述图4所示实施例所述技术方案的基础上加入循环判断流程，可以自动的在整个标准对照表范围内循环地进行对照判断，直到所述终端的操作系统系统和/或版本得到确认，或者穷尽整个标准对照表中所有标准概率后确定没有与所述数据包发送终端相适应的操作系统和/或版本。这是现有技术所不采用的技术方案，极大地优化了信息监控方在判断数据包发送终端操作系统和/或版本时需要进行的操作流程，基于判断结果自动循环的操作模式在当前市场运作中更为合理化，有利于提高用户接受度，优化用户体验。

图7示出根据本发明的第五实施例的，一种信息监控的控制装置的结构图，其用于识别数据包发送终端的操作系统和/或版本。具体地，在本实施例中，所述控制装置4包括第一获取装置41，其用于从服务器端获取发送所述数据包的终端的特征参数集W；第一处理装置42，其用于基于所述特征参数集W中一个或多个元素计算特征概率C；第一判断装置43，其用于基于所述特征概率C判断所述终端的操作系统和/或版本。更为具体地，所述特征参数集W基于所述数据包发送终端发送或接收的所述数据包IP头中包括的一个或多个参数组成。更进一步地，所述特征概率C用于表示所述终端与一标准终端在一个或多个特征参数上的相似程度。在一个优选例中，所述控制装置4监控或接收到所述数据包发送终端的发送或接收数据包的活动后，调用所述第一获取装置41获取所述数据包IP头中的元素组成所述特征参数集W，所述第一处理装置42基于所述特征参数集W中的一个或多个元素计算所述终端的特征概率C并发送给所述第一判断装置43，所述第一判断装置43基于所述特征概率C确定所述数据包发送终端的实际操作系统和/或版本。

优选地，所述第一获取装置41包括第二处理装置411，其用于基于DPI技术在所述终端遵守的网络通讯协议第n层挂钩，其中1≤n≤7；以及第一接收装置412，其用于接收所述终端第n层发送的反馈信息，所述反馈信息包括所述特征参数集W。具体地，所述网络通讯协议基于开放式系统互联模型(OSI七层模型)构建。更为具体地，所述反馈信息包括各OSI层级中所述终端在通信时体现不同操作系统和/或版本特征的关键信息。优选地，基于所述网络通讯协议中的TCP/IP层获取所述特征参数集W。优选地，所述DPI技术为深度包检测技术，其用于基于网络通讯协议中的应用层等层级实现流量检测及控制技术。在一个优选例中，所述第二处理装置411基于所述DPI技术在所述OSI七层模型中的第3层和/或以上各层挂钩以进行流量数据监测，并优选地在所述网络层和/或传输层分别对应的TCP/IP协议中挂钩以获取所述特征参数集W，所述第一接收装置412基于所述第二处理装置对所述数据包发送终端以及所述服务器进行交互时产生的流量监测结果获取包括所述特征参数集W的反馈信息。

优选地，所述第一处理装置42包括第三处理装置421，其用于基于如下公式计算特征概率C：

AX＝C

其中，所述X为特征值向量，其用于表示所述特征参数集W中的一个或多个元素与一标准终端对应元素的匹配度；所述A为参数向量，其用于对计算结果进行调整。具体地，所述特征概率C为所述参数向量A和所述特征值向量的数量积。优选地，所述匹配度由所述特征参数集W中的元素与一标准终端的相应元素比较获得。在一个优选例中，所述特征值向量X基于公式X＝[x₁，...，x_n]表示，其中，所述n为所述特征参数集W中参与计算的元素数量；所述xn为所述终端与一标准终端基于第n元素的匹配度；相应地，所述参数向量A基于公式A＝[a₁，...，a_m]表示，其中，所述m为所述特征参数集W中参与计算的元素数量；所述am为第m元素对应的调整参数，其用于对所述特征值向量X中的对应元素进行调节。

优选地，所述第一判断装置43包括第一查找装置431，其用于基于所述特征概率C在一标准对照表中查找对应的系统和/或版本。具体地，所述标准对照表包含k个系统及与所述系统相对应的标准概率C’，其中k≥1。更为具体地，所述标准对照表中一个系统还包括s个版本，每个版本对应一标准概率C’，其中s≥1。在一个优选例中，基于所述第三处理装置421计算获得的所述数据包发送终端相对于一标准终端A的特征概率C后，所述控制装置4即调用所述第一查找装置431从所述标准对照表中获取所述标准终端A的标准概率C’，若C＞C’则确定所述标准终端A的操作系统即为所述终端的实际操作系统；若C≤C’则确定所述标准终端A的操作系统与所述终端的实际操作系统不相符，则选取所述标准对照表中除所述标准终端A外的任一标准终端A’重新基于所述第三处理装置421计算所述终端的特征概率C，然后所述第一查找装置431重新比较本次计算获得的所述标准概率C与所述标准终端A’对应标准概率C’的数值大小，直至出现C＞C’的情况此时用于比较的标准终端的操作系统即为所述终端的实际操作系统。

优选地，所述第一查找装置431包括第四处理装置4311，其用于基于公式计算特征概率C与标准概率C’的差值θ：θ＝|C-C′|，其中，所述C为特征概率；所述C’为标准概率；第二判断装置4312，其用于判断所述差值θ是否小于第一阈值E；以及第一确定装置4313，其用于若θ＜E，则确认所述标准对照表中标准概率C’对应的系统为所述终端的操作系统。具体地，所述差值θ用于表征所述特征概率C与所述标准概率C’的离散程度，以判断所述数据包发送终端是否与所述标准概率C’对应的标准终端的操作系统和/或版本相一致。更为具体地，所述第一阈值E预置在所述标准对照表中。优选地，所述第一阈值E以唯一形式预存在所述标准对照表中，即所述标准对照表中的k个系统和/或每个系统所对应的s个版本均基于同一第一阈值E进行判断。在一个优选例中，所述控制装置4基于所述第三处理装置421获取所述特征概率C后，即调用所述第四处理装置4311获取所述特征概率与所述标准对照表中一系统和/或版本对应标准概率C’的绝对差值θ并发送给所述第二判断装置4312进行判断，若所述第二判断装置4312确定所述差值θ小于预置的第一阈值E，则所述第一确定装置4313即确认所述标准概率C’对应的系统和/或版本即为所述数据包发送终端的实际系统和/或版本。

在本实施例的一个变化例中，所述第三处理装置421中所述特征值向量X还基于如下公式表示：

其中，所述n为所述特征参数集W中参与计算的元素数量；所述b_n为第n元素对应的调整参数；所述x_n为所述终端与一标准终端基于第n元素的匹配度。更为具体地，所述特征值向量X为行向量[b₁，...，b_n]与列向量[x₁，...，x_n]^t的向量积。相应地，所述参数向量A还基于如下公式表示：

其中，所述m为所述特征参数集W中参与计算的元素数量；所述a_m为第m元素对应的调整参数；所述y_m为第m元素对应的标准参数。具体地，所述参数向量A为行向量[a₁，...，a_m]与列向量[y₁，...，y_m]的向量积。本领域技术人员理解，本变化例所述技术方案优选地在所述第三处理装置421计算所述特征值向量X以及所述参数向量A时就引入了调整参数概念，使每个参与计算的特征值向量和/或所述参数向量能够获得不同的权重值，基于每个参与计算元素的重要程度进行权重分配，实现对最终获得的各元素的匹配度的定量分析。

在本实施例的另一个变化例中，所述第四处理装置4311、所述第二判断装置4312以及所述第一确定装置4313可以被替换为第三判断装置4314，其用于判断所述特征概率C是否落在所述标准概率C’的区间范围内；以及第二确定装置4315，其用于若e1≤C≤e2，则确认所述标准对照表中标准概率C’对应的系统为所述终端的操作系统，例如，若所述标准对照表中的标准概率C’取值为一区间范围C’＝[e1，e2]，则所述第三处理装置421计算获得所述数据包发送终端的特征概率C后，并不计算其与所述标准对照表中任一系统和/或版本对应标准概率C’的具体差值，而是调用所述第三判断装置4314直观判断所述特征概率是否落在所述标准概率C’的数值区间范围内，若C∈[e1，e2]，则所述第二确定装置4315即确认所述标准概率C’对应系统和/或版本为所述数据包发送终端的实际操作系统和/或版本。

在本实施例的又一个变化例中，所述控制装置4还包括第一循环装置44，其用于若本次用于比较的标准概率C’对应系统和/或版本非所述数据包发送终端的实际操作系统和/或版本，则获取所述标准对照表中出本次用于比较的标准概率C’外的其他标准概率，并重复调用所述第四处理装置4311或者所述第三判断装置4314进行处理，直至所述标准对照表中所有标准概率C’均被比较完毕，若仍无法确定所述数据包发送终端的系统和/或版本，则所述控制装置4结束操作并向所述信息监控方发送提示信息。

图8示出根据本发明的一个典型应用场景的结构示意图，其中所述控制系统与上述图7所示实施例中所述控制装置相通讯。具体地，在本实施例中，所述控制系统包括数据包发送终端(以下简称终端)、第一服务器以及第二服务器，所述第一服务器分别于所述终端以及所述第二服务器双向通讯。更为具体地，所述第一服务器用于接收所述终端发送的数据包信息；所述第二服务器用于存储所述标准对照表并且接收所述第一服务器发送的请求信息并向其发送反馈信息。通过本发明的技术内容能够有效识别所述终端的实际系统和/或版本，避免了非法终端篡改ID、克隆账号等现象的发生。

在一个优选地应用场景中，所述第一服务器接收到所述终端发送的连接请求信息后，从中提取特征元素组成所述特征参数集W，基于所述特征参数集W中的一个或多个元素计算获得所述特征概率C后将所述特征概率C发送给所述第二服务器，所述第二服务器接收到所述终端的特征概率C后即在预先存储的标准对照表中进行比较从而确定所述终端的实际操作系统，例如，一用户基于手机在一银行官网上申请信用卡，则所述银行官网对应后台服务器即为所述第一服务器，其基于用户手机发送的申请请求信息获取所述手机操作系统的特征参数集W，若所述手机在其发送的申请请求信息中表明其身份为安卓操作系统，则所述第一服务器基于所述安卓操作系统的特征元素从所述特征参数集W中提取相应的一个或多个元素进行计算获得所述特征概率C并发送给所述第二服务器进行进一步判断，若所述第二服务器在其内存标准对照表中查找发现所述特征概率C的数值小于标准安卓系统的标准概率C’，则确定所述手机为一假冒安卓系统的非法终端，在拒绝所述手机发送的申请请求信息的同时向所述银行的监管部门发送提示信息，以保障银行其他合法用户的财产、隐私安全。

在另一个应用场景中，所述第一服务器主动向所述终端发送验证信息，并基于所述终端返回的反馈信息提取需要的元素组成所述特征参数集W，本领域技术人员理解，有些非法终端在伪装时可能存在刻意隐藏会暴露其实际身份的关键信息，若所述第一服务器无法从所述终端发送的信息中获取计算特征概率C所需的部分或全部信息，则优选地主动向所述终端发送一验证信息，只有所述终端验证通过才被允许后续操作，从而强制所述终端提交所述第一服务器需要的全部信息，以实现对处于监控状态的各类终端的无差异化管理，提高对非法终端的识别率。

本领域技术人员理解，为了方便表述，本实施例将所述第一服务器以及所述第二服务器分开表示，实际上他们只是一个逻辑的概念，在实际应用中，所述第一服务器以及所述第二服务器也可以是结合在一起，即位于同一个服务器中，或两两结合，或者各自单独存在，相应地，所述第一服务器与所述数据包发送终端也是可以结合在一起的，则所述第一服务器预置在所述终端内，实时或定期监控所述终端的各类活动，若发现所述终端的实际系统和/或版本与其对外表示的信息不一致，则向所述终端用户和/或信息监控方发送提示信息，以保障用户及社会大众的财产、隐私安全。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变形或修改，这并不影响本发明的实质内容。

Claims (14)

1.一种信息监控的控制方法，其用于识别数据包发送终端的操作系统和/或版本，其特征在于，包括如下步骤：

a.从服务器端获取发送所述数据包的终端的特征参数集W；

b.基于所述特征参数集W中一个或多个元素计算特征概率C；

c.基于所述特征概率C判断所述终端的操作系统和/或版本。

2.根据权利要求1所述的控制方法，其特征在于，所述步骤a包括如下步骤：

a1.基于DPI技术在所述终端遵守的网络通讯协议第n层挂钩，其中1≤n≤7；

a2.接收所述终端第n层发送的反馈信息，所述反馈信息包括所述特征参数集W。

3.根据权利要求1或2所述的控制方法，其特征在于，所述步骤b包括如下步骤：

b1.基于如下公式计算特征概率C：

AX＝C

其中，所述X为特征值向量，其用于表示所述特征参数集W中的一个或多个元素与一标准终端对应元素的匹配度；所述A为参数向量，其用于对计算结果进行调整；

相应地，所述步骤c包括如下步骤：

c1.基于所述特征概率C在一标准对照表中查找对应的系统和/或版本。

4.根据权利要求3所述的控制方法，其特征在于，所述步骤b1中所述特征值向量X基于如下公式表示：

X＝[x₁，...，x_n]

其中，所述n为所述特征参数集W中参与计算的元素数量；所述x_n为所述终端与一标准终端基于第n元素的匹配度；

相应地，所述参数向量A基于如下公式表示：

A＝[a₁，...，a_m]

其中，所述m为所述特征参数集W中参与计算的元素数量；所述a_m为第m元素对应的调整参数，其用于对所述特征值向量X进行调节。

5.根据权利要求3所述的控制方法，其特征在于，所述步骤b1中所述参数向量A还基于如下公式表示：

其中，所述m为所述特征参数集W中参与计算的元素数量；所述a_m为第m元素对应的调整参数；所述y_m为第m元素对应的标准参数；

相应地，所述特征值向量X基于如下公式表示：

其中，所述n为所述特征参数集W中参与计算的元素数量；所述b_n为第n元素对应的调整参数；所述x_n为所述终端与一标准终端基于第n元素的匹配度。

6.根据权利要求3至5中任一项所述的控制方法，其特征在于，所述标准对照表包括k个系统及与所述系统相对应的标准概率C’，其中k≥1。

7.根据权利要求6所述的控制方法，其特征在于，所述步骤c1包括如下步骤：

c11.基于公式计算特征概率C与标准概率C’的差值θ：

θ＝|C-C′|

其中，所述C为特征概率；所述C’为标准概率。

c12.判断所述差值θ是否小于第一阈值E；

c13.若θ＜E，则确认所述标准对照表中标准概率C’对应的系统为所述终端的操作系统。

8.根据权利要求6所述的控制方法，其特征在于，所述标准概率C’为一区间范围C’＝[e1，e2]，相应地，所述步骤c还包括如下步骤：

c11’.判断所述特征概率C是否落在所述标准概率C’的区间范围内；

c12’.若e1≤C≤e2，则确认所述标准对照表中标准概率C’对应的系统为所述终端的操作系统。

9.根据权利要求3至7中任一项所述的控制方法，其特征在于，所述标准对照表中一个系统还对应s个版本，每个版本对应一标准概率C’，其中s≥1。

10.一种信息监控的控制装置，其用于识别数据包发送终端的操作系统和/或版本，其特征在于，包括：

第一获取装置，其用于从服务器端获取发送所述数据包的终端的特征参数集W；

第一处理装置，其用于基于所述特征参数集W中一个或多个元素计算特征概率C；

第一判断装置，其用于基于所述特征概率C判断所述终端的操作系统和/或版本。

11.根据权利要求10所述的控制装置，其特征在于，所述第一获取装置包括：

第二处理装置，其用于基于DPI技术在所述终端遵守的网络通讯协议第n层挂钩，其中1≤n≤7；

第一接收装置，其用于接收所述终端第n层发送的反馈信息，所述反馈信息包括所述特征参数集W。

12.根据权利要求10或11所述的控制装置，其特征在于，所述第一处理装置包括：

第三处理装置，其用于基于如下公式计算特征概率C：

AX＝C

其中，所述X为特征值向量，其用于表示所述特征参数集W中的一个或多个元素与一标准终端对应元素的匹配度；所述A为参数向量，其用于对计算结果进行调整；

相应地，所述第一判断装置包括：

第一查找装置，其用于基于所述特征概率C在一标准对照表中查找对应的系统和/或版本。

13.根据权利要求12所述的控制装置，其特征在于，所述第一查找装置包括：

第四处理装置，其用于基于公式计算特征概率C与标准概率C’的差值θ：

θ＝|C-C′|

其中，所述C为特征概率；所述C’为标准概率。

第二判断装置，其用于判断所述差值θ是否小于第一阈值E；

第一确定装置，其用于若θ＜E，则确认所述标准对照表中标准概率C’对应的系统为所述终端的操作系统。

14.根据权利要求12所述的控制装置，其特征在于，所述标准概率C’为一区间范围C’＝[e1，e2]，相应地，所述第一查找装置还包括：

第三判断装置，其用于判断所述特征概率C是否落在所述标准概率C’的区间范围内；

第二确定装置，其用于若e1≤C≤e2，则确认所述标准对照表中标准概率C’对应的系统为所述终端的操作系统。