CN110290522B - 用于移动设备的风险识别方法、装置和计算机系统 - Google Patents
用于移动设备的风险识别方法、装置和计算机系统 Download PDFInfo
- Publication number
- CN110290522B CN110290522B CN201910648240.5A CN201910648240A CN110290522B CN 110290522 B CN110290522 B CN 110290522B CN 201910648240 A CN201910648240 A CN 201910648240A CN 110290522 B CN110290522 B CN 110290522B
- Authority
- CN
- China
- Prior art keywords
- data
- risk
- tested
- fingerprint
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
Abstract
本公开提供了一种用于移动设备的风险识别方法,包括:获取待测试移动设备的设备数据;基于所述设备数据确定设备指纹标识;将所述设备指纹标识与设备黑名单进行第一匹配以得到第一匹配结果;如果第一匹配结果为成功,则确定所述待测试移动设备存在风险;以及,如果第一匹配结果为失败,则利用设备风险评价模型处理所述设备数据,以便确定所述待测试移动设备是否存在风险。本公开还提供了一种用于移动设备的风险识别装置和计算机系统。
Description
技术领域
本公开涉及计算机技术领域,更具体地,涉及一种用于移动设备的风险识别方法、装置和计算机系统。
背景技术
随着信息技术与网络的快速发展,信息安全问题日益凸显,随之而来的网络安全威胁也与日俱增。
目前金融企业威胁感知及风险防控多以账户维度和交易维度为主,当攻击行为或外部威胁产生后才能对其进行发现和识别,通常已造成数据、信息、以及经济的损失。
发明内容
本公开的一个方面提供了一种用于移动设备的风险识别方法,包括:首先获取待测试移动设备的设备数据,再基于该设备数据确定设备指纹标识。然后将该设备指纹标识与设备黑名单进行第一匹配以得到第一匹配结果。如果第一匹配结果为成功,则确定待测试移动设备存在风险,如果第一匹配结果为失败,则利用设备风险评价模型处理该设备数据,以便确定待测试移动设备是否存在风险。
可选地,上述基于设备数据确定设备指纹标识包括:从该设备数据中提取设备指纹数据,设备指纹数据包括如下至少一项:设备唯一识别码、屏幕数据、主板数据、CPU数据、操作系统数据和设备型号。然后将设备指纹数据转换为第一向量,并利用哈希算法对第一向量进行处理,得到第一标识。接着将第一标识与历史设备指纹标识进行第二匹配以得到第二匹配结果。如果第二匹配结果为成功,将第一标识作为所述设备指纹标识。
可选地,上述基于设备数据确定设备指纹标识还包括:如果第二匹配结果为失败,则利用聚类算法度量设备指纹数据与历史设备指纹数据之间的相似度。当相似度符合预定阈值时,确定与待测试移动设备对应的设备簇的第二标识,并将第二标识作为设备指纹标识。当相似度不符合预定阈值时,将第一标识作为设备指纹标识。
可选地,上述确定与所述待测试移动设备对应的设备簇的第二标识包括:将第一标识作为第二标识,或者,基于所述设备指纹数据以及与所述待测试移动设备对应的设备簇中的历史设备指纹数据,确定所述第二标识。可选地,上述利用聚类算法度量所述设备指纹数据与历史设备指纹数据之间的相似度包括:利用杰卡德相似度或余弦相似度计算设备指纹数据与历史设备指纹数据之间的相似度。
可选地,上述利用设备风险评价模型处理设备数据,以便确定待测试移动设备是否存在风险包括:从设备数据中提取设备风险数据,设备风险数据包括如下至少一项:驱动信息、应用列表、模拟器数据、网络代理数据和端口占用信息。然后将设备风险数据转换为第二向量。接着将第二向量输入至设备风险评价模型,并基于设备风险评价模型的输出确定待测试移动设备是否存在风险。当待测试移动设备存在风险时,将设备数据和设备指纹标识对应存储至设备黑名单中。
可选地,上述方法还包括:获取设备黑名单中的历史设备风险数据,并利用历史设备风险数据建立并优化决策树模型或孤立森林模型,以获得设备风险评价模型。
可选地,上述将所述设备指纹数据转换为第一向量包括:利用词袋模型将所述设备指纹数据转换为所述第一向量。备选地或附加地,上述将设备风险数据转换为第二向量包括:利用词袋模型将设备风险数据转换为第二向量。
可选地,上述方法还包括:在确定待测试移动设备存在风险后,向与待测试移动设备进行交易的其他设备推送表征待测试移动设备存在风险的测试报告,并且/或者,中断待测试移动设备的交易行为。
本公开的另一方面提供了一种用于移动设备的风险识别装置,包括:数据采集模块、指纹识别模块和风险识别模块。其中,数据采集模块用于获取待测试移动设备的设备数据。指纹识别模块用于基于所述设备数据确定设备指纹标识。风险识别模块用于将所述设备指纹标识与设备黑名单进行第一匹配以得到第一匹配结果,如果第一匹配结果为成功,则确定所述待测试移动设备存在风险,如果第一匹配结果为失败,则利用设备风险评价模型处理所述设备数据,以便确定所述待测试移动设备是否存在风险。
本公开的另一方面提供了一种计算机系统,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时用于实现如上所述的方法。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
本公开的另一方面提供了一种计算机程序,所述计算机程序包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
根据本公开的实施例,基于待测试移动设备的多维度设备数据,先确定待测试移动设备的设备指纹标识,利用设备指纹标识与历史已确认存在风险的移动设备的设备指纹标识进行匹配,在匹配成功时直接确定待测试移动设备存在风险,在匹配失败时进一步利用大数据机器学习技术基于多维度设备数据识别待测试移动设备是否存在风险。与现有技术中通常从账户角度或交易行为角度进行风险识别的方案相比,根据本公开实施例的用于移动设备的风险识别方法从设备角度入手进行风险识别,对设备进行画像并评价,具有较高的准确性和覆盖度,进一步扩展丰富现有的风险防控机制。
附图说明
为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中:
图1示意性示出了根据本公开实施例的应用用于移动设备的风险识别方法和装置的示例性系统架构;
图2示意性示出了根据本公开实施例的用于移动设备的风险识别方法的流程图;
图3示意性示出了根据本公开另一实施例的用于移动设备的风险识别方法的流程图;
图4示意性示出了根据本公开实施例的用于移动设备的风险识别装置的框图;以及
图5示意性示出了根据本公开实施例的适于实现用于移动设备的风险识别方法的计算机系统的框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
本公开的实施例提供了一种用于移动设备的风险识别方法、装置以及计算机系统。该方法包括数据采集过程、指纹识别过程和风险识别过程。在数据采集过程,获取待测试移动设备的设备数据。然后进行指纹识别过程,基于所获取的设备数据确定设备指纹标识,以唯一性地标识该待测试移动设备的特征。接着进行风险识别过程,将所确定的设备指纹标识与设备黑名单进行第一匹配以得到第一匹配结果。如果第一匹配结果为成功,则确定待测试移动设备存在风险。如果第一匹配结果为失败,则需进一步利用设备风险评价模型处理待测试移动设备的设备数据,以便确定待测试移动设备是否存在风险。
图1示意性示出了根据本公开实施例的可以应用用于移动设备的风险识别方法和装置的示例性系统架构100。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,根据该实施例的系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
终端设备101、102、103上可以安装有各种客户端应用,例如银行类应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。终端设备101、102、103可以通过以上各种客户端应用与服务器105进行交互,以向服务器105发送各种请求或接收服务器105返回的结果。
终端设备101、102、103可以是各种移动设备,包括但不限于智能手机、平板电脑、笔记本电脑、智能手表、智能眼镜等等。
服务器105可以是提供各种服务支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
需要说明的是,本公开实施例所提供的用于移动设备的风险识别方法一般可以由服务器105执行。相应地,本公开实施例所提供的用于移动设备的风险识别装置一般可以设置于服务器105中。本公开实施例所提供的用于移动设备的风险识别方法也可以由不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的用于移动设备的风险识别装置也可以设置于不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实际需要,可以具有任意数目的终端设备、网络和服务器。
图2示意性示出了根据本公开实施例的用于移动设备的风险识别方法的流程图。
如图2所示,该方法可以包括以下操作S201~S205。
在操作S201,获取待测试移动设备的设备数据。
其中,设备数据可以包括与待测试移动设备相关的各种维度的数据,例如包含软件、硬件、驱动、文件、应用、网络、配置、位置等维度的数据,以从的多个维度全面、立体地反映待测试移动设备的特征和状态。
在操作S202,基于设备数据确定设备指纹标识。
其中,设备指纹标识能够唯一性地标识待测试移动设备所具有的特征。本操作S202基于上述操作S201获取到的多维度的设备数据确定设备指纹标识,以便能够辨别出待测试移动设备与其它测试移动设备相比的特有的特征、相似的特征和共有的特征等。
在操作S203,将设备指纹标识与设备黑名单进行第一匹配以得到第一匹配结果。
其中,设备黑名单中存储有历史已确认存在风险的一个或多个移动设备的设备指纹标识,本操作S203将待测试移动设备的设备指纹标识与设备黑名单中的设备指纹标识进行匹配,以得到第一匹配结果。
在操作S204,如果第一匹配结果为成功,则确定待测试移动设备存在风险。
本操作S204中,如果待测试移动设备的设备指纹标识与设备黑名单中的任一设备指纹标识A相匹配,则确定第一匹配结果为成功,表明待测试移动设备实质上为设备黑名单中已记录的与设备指纹标识A对应的移动设备A’。因此可以直接确定待测试移动设备存在风险。
在操作S205,如果第一匹配结果为失败,则利用设备风险评价模型处理设备数据,以便确定待测试移动设备是否存在风险。
本操作S205中,与操作S204的第一匹配结果相反,如果待测试移动设备的设备指纹标识与设备黑名单中的任一设备指纹标识均不相匹配,则确定第一匹配结果为失败,表明待测试设备不是设备黑名单中已记录的存在风险的移动设备,即简单与设备黑名单匹配的过程已不能识别出待测试移动设备的风险性,需要进一步使用设备风险评价模型处理待测试移动设备的设备数据,以确定待测试移动设备是否存在风险。其中,设备风险评价模型是预先训练好的、能够基于各种维度的设备数据预测出待测试移动设备是否存在风险的机器学习模型,例如可以是二分类模型。
本领域技术人员可以理解,图2所示的方法基于待测试移动设备的多维度设备数据,先确定待测试移动设备的设备指纹标识,利用设备指纹标识与历史已确认存在风险的移动设备的设备指纹标识进行匹配,在匹配成功时直接确定待测试移动设备存在风险,在匹配失败时进一步利用大数据机器学习技术基于多维度设备数据识别待测试移动设备是否存在风险。与现有技术中通常从账户角度或交易行为角度进行风险识别的方案相比,根据本公开实施例的用于移动设备的风险识别方法从设备角度入手进行风险识别,对设备进行画像并评价,具有较高的准确性和覆盖度,进一步扩展丰富现有的风险防控机制。
在数据采集过程获取到待测试移动设备的多维度设备数据后,可以执行指纹识别过程。在本公开的一个实施例中,上述基于待测试设备的设备数据确定设备指纹标识的过程可以按照如下方式进行:首先,从待测试移动设备的设备数据中提取设备指纹数据,设备指纹数据可以包括如下至少一项:设备唯一识别码、屏幕数据、主板数据、CPU数据、操作系统数据和设备型号。然后,基于提取出的设备指纹数据得到第一标识。接着,将该第一标识与历史设备指纹标识进行第二匹配以得到第二匹配结果,如果第二匹配结果为成功,将所述第一标识作为所述设备指纹标识。其中,历史设备指纹标识包括历史已记录的一个或多个移动设备的设备指纹标识。当第一标识与一个历史设备指纹标识相匹配时,表明待测试移动设备实质上是与该历史设备指纹标识对应的移动设备,可以将第一标识作为待测试移动设备的设备指纹标识。
示例性地,上述基于提取出的设备指纹数据得到第一标识的过程可以是:利用词袋(Bag ofWords,BoW)模型将提取出的设备指纹数据转换为第一向量,并利用哈希(Hash)算法对该第一向量进行处理,得到第一标识。
进一步地,如果第一标识与任一历史设备指纹标识均不相匹配,确定第二匹配结果为失败,表明待测试移动设备是历史未记录过的移动设备。进一步地,需要利用聚类算法度量待测试移动设备的设备指纹数据与历史设备指纹数据之间的相似度。当相似度符合预定阈值时,确定与待测试移动设备对应的设备簇的第二标识,并将所述第二标识作为所述设备指纹标识,当相似度不符合预定阈值时,将第一标识作为待测试移动设备的设备指纹标识。其中,在度量得到相似度符合预定阈值时,例如可以直接将第一标识与待测试移动设备对应的设备簇的第二标识,或者,为了进一步考虑到待测试移动设备与同一设备簇中的其他设备的关联关系,也可以基于待测试移动设备的设备指纹数据以及待测试移动设备所属的设备簇中的历史设备指纹数据,确定第二标识。此种情况下,可以将待测试移动设备的设备指纹标识存入历史设备指纹标识,将待测试移动设备的设备指纹数据存入历史设备指纹数据,其中,还存储历史设备指纹标识和历史设备指纹数据之间的关联关系。
示例性地,上述度量所述设备指纹数据与历史设备指纹数据之间的相似度的过程可以是:利用杰卡德(Jaccard)相似度或余弦相似度计算待测试移动设备的设备指纹数据与任一历史设备指纹数据之间的相似度。
依据本实施例,本领域技术人员可以理解,在指纹识别过程中存在以下两种情况:(1)当一个待测试移动设备的特征与其它任意移动设备的特征之间存在实质性差别时,为该待测试移动设备设置专属于该待测试移动设备的设备指纹标识。(2)当一个待测试移动设备的特征与其它移动设备A的特征之间不存在实质性差别,即该待测试移动设备与移动设备A的特征类似时,将该待测试移动设备与移动设备A划分至同一设备簇,令该待测试移动设备与移动设备A共用其所属的设备簇的设备指纹标识。这样设置的好处是可以节省历史设备指纹标识的存储空间。因此在第二匹配结果为失败时,需要进一步计算待测试移动设备的设备指纹数据与历史设备指纹数据之间的相似度。如果待测试移动设备的设备指纹数据与一个或多个历史设备指纹数据之间的相似度符合预定阈值(如大于预定阈值),表明存在与待测试移动设备特征相似的其他移动设备。故可以将待测试移动设备的设备指纹数据与历史设备指纹数据一同进行聚类处理,以划分出待测试移动设备所属的设备簇,进而确定相应的设备指纹标识。如果待测试移动设备的设备指纹数据与任一历史设备指纹数据之间的相似度均不符合预定阈值(如均小于预定阈值),表明尚不存在与待测试移动设备特征相似的其他移动设备,将第一标识设置为目前该待测试移动设备的设备指纹标识。其他实施例中,也可以将移动设备与设备指纹标识一一对应,如果这样设置则无需进行上述相似度度量的过程,但历史设备指纹标识将占有较大的存储空间,可以根据需要进行选择。
在指纹识别过程最终获得待测试移动设备的设备指纹标识后,可以进行风险识别过程,风险识别过程可分为第一匹配过程和基于机器学习的识别过程。第一匹配过程在上文中已有说明,现示例性地针对上述基于机器学习的识别过程进行说明。在本公开的一个实施例中,上述利用设备风险评价模型处理待测试移动设备的设备数据,以便确定待测试移动设备是否存在风险的过程可以按照如下方式进行:首先,从待测试移动设备的设备数据中提取设备风险数据,设备风险数据可以包括如下至少一项:驱动信息、应用列表、模拟器数据、网络代理数据和端口占用信息。然后,将所述设备风险数据转换为第二向量。接着,将该第二向量输入至设备风险评价模型,并基于该设备风险评价模型的输出确定待测试移动设备是否存在风险。为了不断更新和补充设备黑名单,当待测试移动设备存在风险时,将待测试移动设备的设备数据、设备风险数据、设备指纹数据和设备指纹标识对应存储至设备黑名单中。
示例性地,在进行上述基于机器学习的识别过程之前,需要先进行机器学习模型的构建和优化,例如,获取所述设备黑名单中的历史设备风险数据,并利用历史设备风险数据建立并优化决策树(DicisionTree)模型或孤立森林(Isolation Forest)模型,在损失函数达到收敛时,得到上述设备风险评价模型。此外,示例性地,上述将设备风险数据转换为第二向量的过程可以是:利用词袋模型将待测试移动设备的设备风险数据转换为第二向量。
进一步地,在本公开的一个实施例中,根据本公开实施例的用于移动设备的风险识别方法,还可以包括:在确定待测试移动设备存在风险后,向与待测试移动设备进行交易的其他设备推送表征该待测试移动设备存在风险的测试报告。备选地或附件地,强制性地中断该待测试移动设备的交易行为。
下面参考图3,结合具体例子对根据本公开实施例的用于移动设备的风险识别方法进行示例性说明。本例中,通过采集设备数据,运用大数据手段生成设备指纹标识和恶意设备特征(上文中通过第二向量表征该设备特征),形成识别互联网风险设备攻击行为的有效方案,建立移动设备威胁感知机制,以提升数据风控能力,为应对互联网攻击行为提供数据支撑和技术方法。
图3示意性示出了根据本公开另一实施例的用于移动设备的风险识别方法的流程图。
如图3所示,该方法可以包括以下操作S301~S314。
在操作S301,采集设备数据。
本操作S301可以与移动设备客户端进行联动,例如可以在移动设备客户端需嵌入用于执行本操作S301的模块,该模块即可选取符合标准的信息数据,不影响移动设备客户端自身功能。示例性地,先从待测试移动设备获取检测数据,在对检测数据进行格式标准化,得到设备数据,以便于后续风险分析过程。本例中,设备数据的具体数据格式见表1。
表1
其中,检测序列编号根据目前待测试移动设备的数量顺序生成的编号,检测序列编号与待测试移动设备一一对应。例如可以按照风险识别请求的时间从先至后的顺序针对待测试移动设备依次生成检测序列编号,并根据先进先出机制保证风险识别过程的有序性。设备数据来源字段需写入风险识别请求的数据来源标识,便于后续阻断指令下发至与该数据来源标识对应的设备。设备数据内容为待测试移动数据的具体内容,包含设备软件、硬件、驱动、文件、应用、网络、配置、位置等维度的设备相关数据。接收时间可以记录为接收到风险识别请求的时间戳。设备指纹ID在当前是未知的,为预留字段,需要在指纹识别过程确定待测试移动设备的设备指纹标识后再将相应数据回填。相应地,设备风险也为预留字段,需要在确定待测试移动设备是否存在风险后将相应数据回填。
在操作S302,进行数据清洗,提取设备指纹数据。
本操作S302中,可以先对操作S301采集的设备数据进行数据清理,提取出设备指纹数据。如设备唯一识别码UDID、屏幕数据、主板数据、CPU数据、操作系统数据、设备型号等数据。
在操作S303,利用特征工程,确定设备指纹ID。
本操作S303中,将设备指纹数据处理为后续指纹识别过程所需要的结构化数据。例如,对设备指纹数据建立特征工程,使用词袋模型将设备指纹数据转化为算法可以处理的空间稠密向量(即上文中的第一向量)。然后利用哈希算法处理该第一向量,生成相应的设备指纹ID。
在操作S304,确定设备指纹ID是否匹配设备指纹库,如果是,则执行操作S308,如果否,则执行操作S305。
本操作S304中,利用设备指纹ID遍历设备指纹库中的历史设备指纹ID,若存在相同的历史设备指纹ID,则说明该设备指纹ID是待测试移动设备的设备指纹标识,该设备指纹ID可以直接进行后续风险识别过程,即更新上文中表1的设备指纹ID字段,然后执行操作S308。若设备指纹ID未匹配到相同的历史设备指纹ID,则进一步执行操作S305。
在操作S305,度量是否存在相似设备,如果是,则执行操作S307,如果否,则执行操作S306。
在操作S306,将设备指纹ID加入设备指纹库。
在操作S307,更新设备指纹ID。
根据上述操作S305-S307,将使用设备指纹模型度量待测试移动设备与历史已记录的其它设备间的相似性,即利用杰卡德系数和余弦相似度将待测试移动设备的设备指纹数据与设备指纹数据库中包含的历史设备指纹数据进行度量,再通过聚类算法完成设备的聚类。若设备指纹模型判定待测试移动设备与其它设备之间的相似度不满足模型相似度阈值,则待测试移动设备自身构成一个新的设备簇,将待测试移动设备的设备指纹ID作为该设备簇的设备指纹标识,也确定待测试移动设备的设备指纹标识为该设备指纹ID。若设备指纹模型判定待测试移动设备与其它设备之间的相似度满足模型相似度阈值,则将待测试移动设备并入与其相似度最高的设备所属的设备簇中,并延用该设备簇的设备指纹标识。设备指纹模型判别完毕后,将所确定的待测试移动设备的设备指纹标识填入表1中的设备指纹ID(预留)字段,以便进行后续风险识别过程,并同步更新设备指纹库。
在操作S308,进行数据清洗,提取设备风险数据。
在操作S309,利用特征工程,建立设备风险特征向量。
根据上述操作S308-S309,先从设备数据中提取出设备风险数据,并将设备风险数据处理为后续风险识别过程所需要的结构化数据。例如,对设备风险数据建立特征工程,使用ROOT检测、模拟器检测、闪退检测、代理检测、恶意程序检测、攻击框架检测、注入攻击检测、程序外挂检测、远程劫持检测、位置欺诈检测、设备复用检测、设备伪造检测等检测功能,得到表征设备风险的特征向量(即上文中的第二向量。
在操作S310,确定设备黑名单库中是否存在设备指纹ID,如果是,则执行操作S313,如果否,则执行操作S311。
本操作S310中,将上文更新的设备指纹ID与设备黑名单库中的设备指纹ID进行匹配,若设备黑名单库中包含待测试移动设备的设备指纹ID,则可以直接确定待测试移动设备存在风险,回填表1中的设备风险字段,执行操作S313。若与设备黑名单库匹配失败,则根据操作S309得到的设备风险特征向量,选取决策树模型和孤立森林模型进行识别,从而对设备风险进行预测,并根据预测结果回填表1中的设备风险字段。在其他实施例中,操作S304在判断结果为是时,可以直接执行本操作S310。
在操作S311,利用设备风险评价模型预测待测试移动设备是否存在风险,如果是,执行操作S313,如果否,执行操作S312。
在操作S312,确定待测试移动设备正常,允许正常访问业务。
在操作S313,确定待测试移动设备异常,提示设备风险并阻断业务运行,然后执行操作S314。
在操作S314,更新设备黑名单库。
根据操作S311-S314,可以根据操作S312或操作S313的风险识别结果行程格式标准化的测试报告,如表2所示,包括检测序列编号、设备数据来源、设备数据内容、接收时间、设备指纹ID及设备风险字段,实质上,表2为经回填更新后的表1,各字段的含义在此不再赘述。该测试报告可以发送至发出风险识别请求的设备。
表2
基于上述实施例,根据本公开实施例的用于移动设备的风险识别方法引入设备维度风险监控,使用设备指纹标签和设备风险特征向量串联分析设备特征,智能识别设备唯一性以及设备风险性,强化对已知攻击和未知攻击的检测分析能力,丰富现有风险防控机制,具有如下效果和优点:(1)增强风险防控。针对被测试设备数据提供风险的提示和阻断,可减少攻击者通过移动设备发起攻击的概率,即为企业提升安全防护能力,又可为正常客户提供安全保障。该方案使用二层树形叠加式结构,第一层通过设备指纹数据向量的相似度度量判别设备的唯一性,生成设备指纹ID,确保可唯一性地标识进行风险识别的设备,为设备维度的阻断和拦截提供依据。第二层为通过模型判别设备是否存在攻击风险。结合二层树形结构,该方案可对设备风险进行识别,遏制不法分子的攻击行为。(2)提升识别效率.整体检测逻辑中第一步先使用黑名单机制进行精确匹配,可大幅提高设备检出效率,并留存历史检测数据为优化模型、排查风险提供数据依据。
图4示意性示出了根据本公开实施例的用于移动设备的风险识别装置的框图。
如图4所示,该用于移动设备的风险识别装置400包括:数据采集模块410、指纹识别模块420和风险识别模块430。
数据采集模块410用于获取待测试移动设备的设备数据。
指纹识别模块420用于基于所述设备数据确定设备指纹标识。
风险识别模块430用于将所述设备指纹标识与设备黑名单进行第一匹配以得到第一匹配结果。如果第一匹配结果为成功,则确定所述待测试移动设备存在风险,如果第一匹配结果为失败,则利用设备风险评价模型处理所述设备数据,以便确定所述待测试移动设备是否存在风险。
需要说明的是,装置部分实施例中各模块/单元/子单元等的实施方式、解决的技术问题、实现的功能、以及达到的技术效果分别与方法部分实施例中各对应的步骤的实施方式、解决的技术问题、实现的功能、以及达到的技术效果相同或类似,在此不再赘述。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,数据采集模块410、指纹识别模块420和风险识别模块430中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,数据采集模块410、指纹识别模块420和风险识别模块430中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,数据采集模块410、指纹识别模块420和风险识别模块430中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图5示意性示出了根据本公开实施例的适于实现上文描述的方法的计算机系统的框图。图5示出的计算机系统仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图5所示,根据本公开实施例的计算机系统500包括处理器501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。处理器501例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器501还可以包括用于缓存用途的板载存储器。处理器501可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 503中,存储有系统500操作所需的各种程序和数据。处理器501、ROM 502以及RAM 503通过总线504彼此相连。处理器501通过执行ROM 502和/或RAM 503中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 502和RAM 503以外的一个或多个存储器中。处理器501也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,系统500还可以包括输入/输出(I/O)接口505,输入/输出(I/O)接口505也连接至总线504。系统500还可以包括连接至I/O接口505的以下部件中的一项或多项:包括键盘、鼠标等的输入部分506;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分509经由诸如因特网的网络执行通信处理。驱动器510也根据需要连接至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机程序根据需要被安装入存储部分508。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质511被安装。在该计算机程序被处理器501执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,尽管已经参照本公开的特定示例性实施例示出并描述了本公开,但是本领域技术人员应该理解,在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。
Claims (9)
1.一种用于移动设备的风险识别方法,包括:
获取待测试移动设备的设备数据;
基于所述设备数据确定设备指纹标识;
将所述设备指纹标识与设备黑名单进行第一匹配以得到第一匹配结果;
如果第一匹配结果为成功,则确定所述待测试移动设备存在风险;以及
如果第一匹配结果为失败,则利用设备风险评价模型处理所述设备数据,以便确定所述待测试移动设备是否存在风险;
其中,所述利用设备风险评价模型处理所述设备数据,以便确定所述待测试移动设备是否存在风险包括:
从所述设备数据中提取设备风险数据,所述设备风险数据包括如下至少一项:驱动信息、应用列表、模拟器数据、网络代理数据和端口占用信息;
将所述设备风险数据转换为第二向量;
将所述第二向量输入至所述设备风险评价模型,并基于所述设备风险评价模型的输出确定所述待测试移动设备是否存在风险;以及
当所述待测试移动设备存在风险时,将所述设备数据和所述设备指纹标识对应存储至所述设备黑名单中;
所述方法还包括:
获取所述设备黑名单中的历史设备风险数据;以及
利用所述历史设备风险数据建立并优化决策树模型或孤立森林模型,以获得所述设备风险评价模型。
2.根据权利要求1所述的方法,其中,所述基于所述设备数据确定设备指纹标识包括:
从所述设备数据中提取设备指纹数据,所述设备指纹数据包括如下至少一项:设备唯一识别码、屏幕数据、主板数据、CPU数据、操作系统数据和设备型号;
将所述设备指纹数据转换为第一向量;
利用哈希算法对所述第一向量进行处理,得到第一标识;
将所述第一标识与历史设备指纹标识进行第二匹配以得到第二匹配结果;以及
如果第二匹配结果为成功,将所述第一标识作为所述设备指纹标识。
3.根据权利要求2所述的方法,其中,所述基于所述设备数据确定设备指纹标识还包括:
如果第二匹配结果为失败,则利用聚类算法度量所述设备指纹数据与历史设备指纹数据之间的相似度;
当所述相似度大于预定阈值时,确定与所述待测试移动设备对应的设备簇的第二标识,并将所述第二标识作为所述设备指纹标识;以及
当所述相似度小于预定阈值时,将所述第一标识作为所述设备指纹标识。
4.根据权利要求3所述的方法,其中,所述确定与所述待测试移动设备对应的设备簇的第二标识包括:
将所述第一标识作为所述第二标识;或者
基于所述设备指纹数据以及与所述待测试移动设备对应的设备簇中的历史设备指纹数据,确定所述第二标识。
5.根据权利要求3所述的方法,其中,所述利用聚类算法度量所述设备指纹数据与历史设备指纹数据之间的相似度包括:
利用杰卡德相似度或余弦相似度计算所述设备指纹数据与历史设备指纹数据之间的相似度。
6.根据权利要求2所述的方法,其中,
所述将所述设备指纹数据转换为第一向量包括:利用词袋模型将所述设备指纹数据转换为所述第一向量;并且/或者
所述将所述设备风险数据转换为第二向量包括:利用词袋模型将所述设备风险数据转换为所述第二向量。
7.根据权利要求1所述的方法,还包括:
在确定所述待测试移动设备存在风险后,向与所述待测试移动设备进行交易的其他设备推送表征所述待测试移动设备存在风险的测试报告,并且/或者,中断所述待测试移动设备的交易行为。
8.一种用于移动设备的风险识别装置,包括:
数据采集模块,用于获取待测试移动设备的设备数据;
指纹识别模块,用于基于所述设备数据确定设备指纹标识;以及
风险识别模块,用于将所述设备指纹标识与设备黑名单进行第一匹配以得到第一匹配结果,如果第一匹配结果为成功,则确定所述待测试移动设备存在风险,以及,如果第一匹配结果为失败,则利用设备风险评价模型处理所述设备数据,以便确定所述待测试移动设备是否存在风险;
其中,所述利用设备风险评价模型处理所述设备数据,以便确定所述待测试移动设备是否存在风险包括:
从所述设备数据中提取设备风险数据,所述设备风险数据包括如下至少一项:驱动信息、应用列表、模拟器数据、网络代理数据和端口占用信息;
将所述设备风险数据转换为第二向量;
将所述第二向量输入至所述设备风险评价模型,并基于所述设备风险评价模型的输出确定所述待测试移动设备是否存在风险;以及
当所述待测试移动设备存在风险时,将所述设备数据和所述设备指纹标识对应存储至所述设备黑名单中;
所述装置还用于:
获取所述设备黑名单中的历史设备风险数据;以及
利用所述历史设备风险数据建立并优化决策树模型或孤立森林模型,以获得所述设备风险评价模型。
9.一种计算机系统,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时用于实现如权利要求1~7任一项所述的用于移动设备的风险识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910648240.5A CN110290522B (zh) | 2019-07-17 | 2019-07-17 | 用于移动设备的风险识别方法、装置和计算机系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910648240.5A CN110290522B (zh) | 2019-07-17 | 2019-07-17 | 用于移动设备的风险识别方法、装置和计算机系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110290522A CN110290522A (zh) | 2019-09-27 |
| CN110290522B true CN110290522B (zh) | 2023-02-21 |
Family
ID=68023329
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910648240.5A Active CN110290522B (zh) | 2019-07-17 | 2019-07-17 | 用于移动设备的风险识别方法、装置和计算机系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110290522B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111010302B (zh) * | 2019-12-19 | 2021-02-09 | 北京国舜科技股份有限公司 | 移动终端的安全监控方法、装置、电子设备及存储介质 |
| CN111666596B (zh) * | 2020-07-10 | 2023-05-05 | 腾讯科技(深圳)有限公司 | 一种数据处理方法、设备及介质 |
| CN111783073A (zh) * | 2020-07-23 | 2020-10-16 | 北京斗米优聘科技发展有限公司 | 黑产识别方法、装置及可读存储介质 |
| CN112118551B (zh) * | 2020-10-16 | 2022-09-09 | 同盾控股有限公司 | 设备风险识别方法及相关设备 |
| CN113556748B (zh) * | 2021-06-23 | 2023-06-16 | 中国联合网络通信集团有限公司 | 信令溯源识别方法、装置和系统 |
| CN113626494B (zh) * | 2021-07-28 | 2024-03-29 | 上海齐网网络科技有限公司 | 基于自适应控制的数据多维维度分析的方法及系统 |
| CN113612781A (zh) * | 2021-08-06 | 2021-11-05 | 公安部第三研究所 | 基于设备指纹的银行业网络攻击预警方法、系统及相关产品 |
| CN114757599A (zh) * | 2022-06-15 | 2022-07-15 | 武汉极意网络科技有限公司 | 一种基于额外成本的流量质量的度量方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107908666A (zh) * | 2017-10-23 | 2018-04-13 | 北京京东尚科信息技术有限公司 | 一种识别设备标识的方法和装置 |
| CN108600162A (zh) * | 2018-03-13 | 2018-09-28 | 江苏通付盾科技有限公司 | 用户认证方法及装置、计算设备及计算机存储介质 |
| CN108875688A (zh) * | 2018-06-28 | 2018-11-23 | 北京旷视科技有限公司 | 一种活体检测方法、装置、系统及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105590156B (zh) * | 2014-11-25 | 2022-02-15 | 中国银联股份有限公司 | 高风险银行卡的检测方法以及数据处理装置 |
| CN109242499A (zh) * | 2018-09-19 | 2019-01-18 | 中国银行股份有限公司 | 一种交易风险预测的处理方法、装置及系统 |
| CN109829628A (zh) * | 2019-01-07 | 2019-05-31 | 平安科技(深圳)有限公司 | 基于大数据的风险预警方法、装置和计算机设备 |
-
2019
- 2019-07-17 CN CN201910648240.5A patent/CN110290522B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107908666A (zh) * | 2017-10-23 | 2018-04-13 | 北京京东尚科信息技术有限公司 | 一种识别设备标识的方法和装置 |
| CN108600162A (zh) * | 2018-03-13 | 2018-09-28 | 江苏通付盾科技有限公司 | 用户认证方法及装置、计算设备及计算机存储介质 |
| CN108875688A (zh) * | 2018-06-28 | 2018-11-23 | 北京旷视科技有限公司 | 一种活体检测方法、装置、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110290522A (zh) | 2019-09-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110290522B (zh) | 用于移动设备的风险识别方法、装置和计算机系统 | |
| US20200389495A1 (en) | Secure policy-controlled processing and auditing on regulated data sets | |
| CN109558748B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| US10073916B2 (en) | Method and system for facilitating terminal identifiers | |
| JP6609047B2 (ja) | アプリケーション情報リスクマネジメントのための方法及びデバイス | |
| CN111163182B (zh) | 基于区块链的设备注册方法、装置、电子设备和存储介质 | |
| US10356101B2 (en) | Utilizing transport layer security (TLS) fingerprints to determine agents and operating systems | |
| CN109561085A (zh) | 一种基于设备识别码的身份验证方法、服务器及介质 | |
| US20230418943A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
| CN104021324A (zh) | 字迹安全校验的方法及装置 | |
| CN114780932B (zh) | 管理三化平台的跨区块链数据交互验证方法、系统及设备 | |
| CN111311179A (zh) | 对象处理方法、装置、电子设备及计算机可读存储介质 | |
| EP4102772A1 (en) | Method and apparatus of processing security information, device and storage medium | |
| CN116028917A (zh) | 权限检测方法及装置、存储介质及电子设备 | |
| WO2020228564A1 (zh) | 一种应用服务方法与装置 | |
| CN114301713A (zh) | 风险访问检测模型的训练方法、风险访问检测方法及装置 | |
| CN113709136A (zh) | 一种访问请求验证方法和装置 | |
| CN107846391B (zh) | 应用的登录认证方法及装置、系统 | |
| CN115809466B (zh) | 基于stride模型的安全需求生成方法、装置、电子设备及介质 | |
| KR102541888B1 (ko) | 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템 | |
| CN111242770B (zh) | 风险设备识别方法、装置、电子设备及可读存储介质 | |
| CN117349867B (zh) | 智能合约部署方法、系统、设备及介质 | |
| US20240089270A1 (en) | Detecting malicious behavior from handshake protocols using machine learning | |
| CN116956306A (zh) | 作弊应用安装包的获取方法、装置、设备和存储介质 | |
| CN115879166A (zh) | 数据识别方法、装置、电子设备以及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |