CN107835190A - 一种恶意sp订购核查方法 - Google Patents

一种恶意sp订购核查方法 Download PDF

Info

Publication number
CN107835190A
CN107835190A CN201711218108.8A CN201711218108A CN107835190A CN 107835190 A CN107835190 A CN 107835190A CN 201711218108 A CN201711218108 A CN 201711218108A CN 107835190 A CN107835190 A CN 107835190A
Authority
CN
China
Prior art keywords
malice
user
orders
order
check method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201711218108.8A
Other languages
English (en)
Inventor
黄宏昌
刘小坤
吴林辉
陈海建
王汉威
李伟航
陈清
唐谷垚
朱煜家
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GUANGDONG HUATONG JIUFANG TECHNOLOGY CO LTD
Original Assignee
GUANGDONG HUATONG JIUFANG TECHNOLOGY CO LTD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GUANGDONG HUATONG JIUFANG TECHNOLOGY CO LTD filed Critical GUANGDONG HUATONG JIUFANG TECHNOLOGY CO LTD
Priority to CN201711218108.8A priority Critical patent/CN107835190A/zh
Publication of CN107835190A publication Critical patent/CN107835190A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Evolutionary Computation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种恶意SP订购核查方法。包括以下步骤:S1、建立恶意程序特征库,提取恶意主控特征,在网络侧进行数据包抓取,解析该数据包查找涉嫌恶意订购SP用户;S2、采集涉嫌恶意订购SP用户的访问域名或IP,进行恶意订购SP分析,判断是否属于恶意订购用户,若是则执行步骤S3;S3、验证该恶意订购用户的行为日志数据、恶意订购数据和发送SP短信记录,完成恶意订购SP的取证。本发明通过对疑似扣费主控特征进行抓包取证,再经过网络侧获取用户现网订购记录数据,真实还原用户恶意订购SP的情景,同时通过对恶意订购SP进行监控,发现用户订购其它业务时采集其主控特征进行抓包取证,完成闭环流程,具有创新性。

Description

一种恶意SP订购核查方法
技术领域
本发明涉及互联网领域,具体涉及一种恶意SP订购核查方法。
背景技术
当今移动互联网出现大量不知情订购SP对用户进行吸费,对此需要对恶意订购的SP进行核查工作,要查找出造成扣费的SP端口对此,目前运营商通过人工拨测的方式对移动互联网上的应用软件进行核查分析。
发明内容
为了解决以上技术问题,本发明公开了一种恶意SP订购核查方法。本发明为了能够实现自动化核查涉嫌恶意订购的SP,进而确认非法盈利的SP。通过对移动互联网扣费的恶意程序用户挖掘分析和涉嫌扣费特征数据包扫描SP号等维度追查恶意点播订购SP,进而进行相应的恶意SP整治工作。
本发明采用的技术方案是:
一种恶意SP订购核查方法,包括以下步骤:
S1、建立恶意程序特征库,提取恶意主控特征,在网络侧进行数据包抓取,解析该数据包查找涉嫌恶意订购SP用户;
S2、采集涉嫌恶意订购SP用户的访问域名或IP,进行恶意订购SP分析,判断是否属于恶意订购用户,若是则执行步骤S3;
S3、验证该恶意订购用户的行为日志数据、恶意订购数据和发送SP短信记录,完成恶意订购SP的取证。
本发明通过对疑似扣费主控特征进行抓包取证,利用网络侧抓包匹配现网数据,能够实时取证,准确地对恶意订购SP进行核查和分析,再经过网络侧获取用户现网订购记录数据,真实还原用户恶意订购SP的情景。
在所述步骤S1中,在网络侧进行数据包抓取之前,对疑似域名或IP进行采集;通过以下步骤确认疑似域名或IP:将用户访问的域名或IP与恶意程序特征库进行匹配。
在所述步骤S1中,解析该数据包查找涉嫌恶意订购SP用户的过程为:对该数据包进行SP号码扫描,当该数据包包含SP号码,则判定为涉嫌恶意订购SP用户。
在所述步骤S2中,进行恶意订购SP分析的过程为:
自动提取该涉嫌恶意订购SP用户的恶意主控特征(域名或IP),在移动互联网日志中找出访问该恶意主控特征的用户,初步判断用户是否属于恶意订购SP用户。
所述步骤S3的实现过程为:
S31、分析该恶意订购SP用户行为日志数据,统计该恶意订购SP用户访问的恶意订购主控网站的次数;同时分析该恶意订购SP用户的恶意订购数据,统计该用户订购SP号码的次数;
S32、统计分析该恶意订购SP用户明细数据,结合该用户发送SP短信的记录进行匹配。
所述步骤S32的具体实现过程为:该恶意订购SP用户发送的SP短信与SP号码是否匹配,分析出对应访问恶意订购主控网站和真实发送恶意订购SP短信的关联特征进行确证。
核查方法还包括对已确认是恶意订购SP用户进行监控。通过对恶意订购SP进行监控,发现用户订购其它业务时采集其主控特征进行抓包取证,完成闭环流程。
对已确认是恶意订购SP用户进行监控包括:对恶意订购SP用户的订购SP号码进行波动分析,记录恶意订购SP号码的波动趋势。
对已确认是恶意订购SP用户进行监控包括:对恶意订购SP用户的主控特征进行监控分析,记录每日新增恶意订购SP用户的波动趋势。
对恶意订购SP用户进行监控分析,发现新的恶意主控特征进行采集分析。
与现有技术相比,本发明的有益效果在于:
本发明通过对疑似扣费主控特征进行抓包取证,利用网络侧抓包匹配现网数据,能够实时取证,准确地对恶意订购SP进行核查和分析,再经过网络侧获取用户现网订购记录数据,真实还原用户恶意订购SP的情景,同时通过对恶意订购SP进行监控,发现用户订购其它业务时采集其主控特征进行抓包取证,完成闭环流程,具有创新性,恶意订购SP核查流程不需要人工进行参与,能够高效率、精准地发现恶意订购SP。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅表示出了本发明的部分实施例,因此不应看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它相关的附图。
图1是本发明-实施例的方法流程图。
具体实施方式
下面结合实施例和附图对本发明作进一步说明。本发明的实施方式包括但不限于下列实施例。
移动互联网中恶意程序会访问主控服务器,然后根据后台服务器返回的配置文件来对用户的手机进行吸费控制,通过配置文件中的SP号来操控用户的手机去发送,不良SP商家是通过移动互联网恶意程序控制用户手机订购,来非法获取盈利。
实施例
如图1所示,一种恶意SP订购核查方法,包括如下步骤:
一、建立恶意程序特征库,提取恶意主控特征,在网络侧进行数据包抓取,解析该数据包查找涉嫌恶意订购SP用户。
恶意主控特征即恶意程序域名或IP。
其中,在网络侧进行数据包抓取之前,对疑似域名或IP进行采集。通过以下步骤确认疑似域名或IP:将用户访问的域名或IP与恶意程序特征库进行匹配。
解析该数据包查找涉嫌恶意订购SP用户的过程为:对该数据包进行SP号码扫描,当该数据包包含SP号码,则进行步骤二。
二、采集涉嫌恶意订购SP用户的访问域名或IP,通过移动互联网大数据对其进行恶意订购SP分析。
首先,自动提取该涉嫌恶意订购SP用户的恶意主控特征(域名或IP),在移动互联网日志中找出访问该恶意主控特征的用户,初步判断用户是否属于恶意订购SP用户。
三、验证该恶意订购用户的行为日志数据、恶意订购数据和发送SP短信记录,完成恶意订购SP的取证工作,确认恶意订购SP用户。
若初步判断属于恶意订购SP用户,则分析该用户行为日志数据,统计该用户访问的恶意订购主控网站的次数,同时分析该用户的恶意订购数据,统计该用户订购SP号码的次数。
然后,统计分析该恶意订购SP用户明细数据,结合该用户发送SP短信的记录进行匹配,具体是:该用户发送的SP短信与SP号码是否匹配,分析出对应访问恶意订购主控网站和真实发送恶意订购SP短信的关联特征进行确证。
四、对该恶意订购SP用户进行监控。
包括:对确认是恶意订购SP用户的订购SP号码进行波动分析,记录恶意订购SP号码的波动趋势;
对确认是恶意订购SP用户的主控特征进行监控分析,记录每日新增恶意订购SP用户的波动趋势;
对确认是恶意订购SP用户进行监控分析,发现新的恶意主控特征进行采集分析。
按照上述实施例,便可很好地实现本发明。值得说明的是,基于上述设计原理,为解决同样的技术问题,即使在本发明所公开的结构基础上做出的一些无实质性的改动或润色,所采用的技术方案实质仍与本发明一样,故其也应当在本发明的保护范围内。

Claims (10)

1.一种恶意SP订购核查方法,其特征在于,包括以下步骤:
S1、建立恶意程序特征库,提取恶意主控特征,在网络侧进行数据包抓取,解析该数据包查找涉嫌恶意订购SP用户;
S2、采集涉嫌恶意订购SP用户的访问域名或IP,进行恶意订购SP分析,判断是否属于恶意订购用户,若是则执行步骤S3;
S3、验证该恶意订购用户的行为日志数据、恶意订购数据和发送SP短信记录,完成恶意订购SP的取证。
2.根据权利要求1所述的一种恶意SP订购核查方法,其特征在于,在所述步骤S1中,在网络侧进行数据包抓取之前,对疑似域名或IP进行采集;
通过以下步骤确认疑似域名或IP:将用户访问的域名或IP与恶意程序特征库进行匹配。
3.根据权利要求1所述的一种恶意SP订购核查方法,其特征在于,在所述步骤S1中,解析该数据包查找涉嫌恶意订购SP用户的过程为:
对该数据包进行SP号码扫描,当该数据包包含SP号码,则判定为涉嫌恶意订购SP用户。
4.根据权利要求1所述的一种恶意SP订购核查方法,其特征在于,在所述步骤S2中,进行恶意订购SP分析的过程为:
自动提取该涉嫌恶意订购SP用户的恶意主控特征,在移动互联网日志中找出访问该恶意主控特征的用户,初步判断用户是否属于恶意订购SP用户。
5.根据权利要求1所述的一种恶意SP订购核查方法,其特征在于,所述步骤S3的实现过程为:
S31、分析该恶意订购SP用户行为日志数据,统计该恶意订购SP用户访问的恶意订购主控网站的次数;同时分析该恶意订购SP用户的恶意订购数据,统计该用户订购SP号码的次数;
S32、统计分析该恶意订购SP用户明细数据,结合该用户发送SP短信的记录进行匹配。
6.根据权利要求5所述的一种恶意SP订购核查方法,其特征在于,所述步骤S32的具体实现过程为:
该恶意订购SP用户发送的SP短信与SP号码是否匹配,分析出对应访问恶意订购主控网站和真实发送恶意订购SP短信的关联特征进行确证。
7.根据权利要求1-6任意一项所述的一种恶意SP订购核查方法,其特征在于,核查方法还包括对已确认是恶意订购SP用户进行监控。
8.根据权利要求7所述的一种恶意SP订购核查方法,其特征在于,对已确认是恶意订购SP用户进行监控包括:对恶意订购SP用户的订购SP号码进行波动分析,记录恶意订购SP号码的波动趋势。
9.根据权利要求7所述的一种恶意SP订购核查方法,其特征在于,对已确认是恶意订购SP用户进行监控包括:对恶意订购SP用户的主控特征进行监控分析,记录每日新增恶意订购SP用户的波动趋势。
10.根据权利要求7所述的一种恶意SP订购核查方法,其特征在于,对已确认是恶意订购SP用户进行监控包括:对恶意订购SP用户进行监控分析,发现新的恶意主控特征进行采集分析。
CN201711218108.8A 2017-11-28 2017-11-28 一种恶意sp订购核查方法 Pending CN107835190A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711218108.8A CN107835190A (zh) 2017-11-28 2017-11-28 一种恶意sp订购核查方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711218108.8A CN107835190A (zh) 2017-11-28 2017-11-28 一种恶意sp订购核查方法

Publications (1)

Publication Number Publication Date
CN107835190A true CN107835190A (zh) 2018-03-23

Family

ID=61646171

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711218108.8A Pending CN107835190A (zh) 2017-11-28 2017-11-28 一种恶意sp订购核查方法

Country Status (1)

Country Link
CN (1) CN107835190A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112399014A (zh) * 2019-08-12 2021-02-23 中国移动通信集团重庆有限公司 一种彩铃订购的方法、系统、服务器和存储介质
CN112449062A (zh) * 2019-08-12 2021-03-05 中国移动通信集团广东有限公司 一种恶意扣费的识别方法、装置及电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102281540A (zh) * 2011-09-08 2011-12-14 广东华仝九方科技有限公司 手机恶意软件查杀方法及系统
CN102595410A (zh) * 2011-01-14 2012-07-18 西门子公司 检测wap恶意订购的系统和方法
CN106528805A (zh) * 2016-11-15 2017-03-22 广东华仝九方科技有限公司 基于用户的移动互联网恶意程序url智能分析挖掘方法
US20180041530A1 (en) * 2015-04-30 2018-02-08 Iyuntian Co., Ltd. Method and system for detecting malicious web addresses

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102595410A (zh) * 2011-01-14 2012-07-18 西门子公司 检测wap恶意订购的系统和方法
CN102281540A (zh) * 2011-09-08 2011-12-14 广东华仝九方科技有限公司 手机恶意软件查杀方法及系统
US20180041530A1 (en) * 2015-04-30 2018-02-08 Iyuntian Co., Ltd. Method and system for detecting malicious web addresses
CN106528805A (zh) * 2016-11-15 2017-03-22 广东华仝九方科技有限公司 基于用户的移动互联网恶意程序url智能分析挖掘方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
韩克强: "《WAP业务反向订购监测系统的设计与实现》", 《广西通信技术》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112399014A (zh) * 2019-08-12 2021-02-23 中国移动通信集团重庆有限公司 一种彩铃订购的方法、系统、服务器和存储介质
CN112449062A (zh) * 2019-08-12 2021-03-05 中国移动通信集团广东有限公司 一种恶意扣费的识别方法、装置及电子设备
CN112449062B (zh) * 2019-08-12 2021-10-08 中国移动通信集团广东有限公司 恶意扣费的识别方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
CN102075963B (zh) 一种移动业务数据采集分析方法及系统
CN100461745C (zh) 根据移动通信系统的内容生成计费数据的装置和方法
CN106789242B (zh) 一种基于手机客户端软件动态特征库的识别应用智能分析方法
CN109275045B (zh) 基于dfi的移动端加密视频广告流量识别方法
CN102857917B (zh) 一种基于信令分析的手机连接pc上网识别方法
WO2012106861A1 (zh) 终端分布信息获取方法、数据获取装置以及通信系统
CN101500017A (zh) 一种基于流量提供业务的方法及其系统
CN102932775A (zh) 一种利用imei与ua结合进行终端识别的方法及装置
CN101188505B (zh) 内容类型识别的方法和设备
CN102098650A (zh) 一种基于内容计费的流量适配方法及其系统
CN106330584A (zh) 一种业务流的识别方法及识别装置
CN104640138B (zh) 一种定位问题终端的方法及装置
CN101867932B (zh) 一种基于移动互联网的有害信息过滤系统及其方法
CN107547213A (zh) 一种业务规则的识别方法及装置
CN109450733A (zh) 一种基于机器学习的网络终端设备识别方法及系统
Wang et al. A smart automated signature extraction scheme for mobile phone number in human-centered smart home systems
CN110011860A (zh) 基于网络流量分析的安卓应用识别方法
CN106656919A (zh) 一种基于Telnet协议的会话解析方法及系统
CN107835190A (zh) 一种恶意sp订购核查方法
CN102271331B (zh) 一种检测业务提供商sp站点可靠性的方法及系统
CN100401676C (zh) 一种对数据业务进行内容计费的方法
CN108650145A (zh) 一种家庭宽带WiFi下手机号码特征自动提取方法
CN102395117B (zh) 内容类型识别的方法和设备
CN102469450B (zh) 一种手机病毒特征的识别方法及装置
CN109309907A (zh) 用于流量计费的方法、装置及其相关设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20180323