一种物联网卡异常行为检测方法、装置、设备及存储介质
技术领域
本发明涉及物联网卡异常检测技术领域,尤其涉及一种物联网卡异常行为检测方法、装置、设备及存储介质。
背景技术
物联网卡为运营商应用在物联网业务中的SIM卡。目前有大量物联网卡被应用于物联网业务,面向电力、金融、交通等行业。
不同的物联网业务对短信、话音、数据等基础功能需求存在差异,物联网卡在资费方面存在流量池计费、无漫游、资费较优惠等特点,这些卡在销售给客户后存在被违规使用的风险。
为保证物联网卡的规范使用,对物联网卡的异常行为检测变得尤为重要。现有技术对物联网卡进行异常行为检测的方案一般包括以下几种:
1、短信内容监测:该方法主要依靠垃圾短信监测平台的输出结果。通过对信令侧短信内容的过滤找出有发送垃圾短信行为的卡,再从这些卡中找出属于物联网卡的卡号。该方法存在的问题是,如果存在违规行为的物联网卡没有发送短信的行为,则无法进行检测,因此检测能力有限。并且,很多被用来发送垃圾短信的卡不是物联网卡,导致该方法的检测结果中干扰数据较多,需要大量的人力来进行筛选。导致该方法检测的准确率和效率都较低。
2、钓鱼执法:很多物联网卡在被违规使用之前会在地下黑市进行售卖。目前通过在黑市钓鱼执法的方式发现了很多被违规使用的物联网卡。但是该方法能够发现的场景有限,而且随着黑市越来越隐蔽,钓鱼执法的难度也越来越大。因此,该方法的检测能力也十分有限。
因此,现有的物联网卡异常行为检测的准确率和效率较低,并且人力资源耗费较大。
发明内容
本发明实施例提供了一种物联网卡异常行为检测方法、装置、设备及存储介质,用以解决现有技术的物联网卡异常行为检测的准确率和效率较低,并且人力资源耗费较大的问题。
本发明实施例提供了一种物联网卡异常行为检测方法,所述方法包括:
获取待检测的物联网卡的标识信息及访问地址信息;
判断预先保存的标识信息黑名单中是否存在所述物联网卡的标识信息,或判断预先保存的访问地址黑名单中是否存在所述物联网卡的访问地址信息;
如果上述任一判断结果为是,确定所述物联网卡存在异常行为。
进一步地,所述确定物联网卡存在异常行为之后,所述方法还包括:
若所述物联网卡的访问地址信息为预先保存的访问地址黑名单中的恶意地址信息,确定所述物联网卡存在高危网络异常行为;
若所述物联网卡的访问地址信息为预先保存的访问地址黑名单中的非物联网行业的地址信息,或所述物联网卡的标识信息为预先保存的标识信息黑名单中的恶意标识信息,确定所述物联网卡存在高危滥用异常行为。
进一步地,所述物联网卡的标识信息包括:物联网卡的号码信息、国际移动设备身份码IMEI信息和国际移动用户识别码IMSI信息。
进一步地,所述方法还包括:
获取预设的第一时间段内所述物联网卡的号码信息所对应的被叫号码的数量;
判断所述被叫号码的数量是否达到预设的数量阈值,如果是,确定所述物联网卡存在高危滥用异常行为。
进一步地,所述方法还包括:
获取预设的第二时间段内所述物联网卡的IMEI信息变更次数及IMSI信息变更次数;
判断所述IMEI信息变更次数或IMSI信息变更次数是否达到预设的次数阈值,如果是,确定所述物联网卡存在低危机卡分离异常行为或者低危换卡异常行为。
进一步地,所述物联网卡的访问地址信息包括:物联网卡的访问的互联网协议IP地址信息、操作系统OS信息、用户代理USER_AGENT信息,统一资源定位系统URL信息、域名host信息。
进一步地,所述方法还包括:
获取预设的第三时间段内所述物联网卡访问的第一OS信息及第一USER_AGENT信息,以及第四时间段内所述物联网卡访问的第二OS信息及第二USER_AGENT信息;
判断所述第一OS信息和所述第二OS信息是否一致,或判断所述第一USER_AGENT信息和所述第二USER_AGENT信息是否一致;
如果任一判断结果为否,确定所述物联网卡存在低危挪用异常行为。
进一步地,所述方法还包括:
获取预设的第五时间段内所述物联网卡发送短信的第一最大长度信息,以及第六时间段内所述物联网卡发送短信的第二最大长度信息;
判断所述第一最大长度信息和第二最大长度信息的差值的绝对值是否大于预设的第一数值,如果是,确定所述物联网卡存在低危挪用异常行为。
进一步地,所述方法还包括:
获取预设的第七时间段内所述物联网卡产生的上行流量占总流量的第一比率,以及第八时间段内所述物联网卡产生的上行流量占总流量的第二比率;
判断所述第一比率和第二比率的差值的绝对值是否大于预设的第二数值,如果是,确定所述物联网卡存在低危挪用异常行为。
另一方面,本发明实施例提供了一种物联网卡异常行为检测装置,所述装置包括:
获取模块,用于获取待检测的物联网卡的标识信息及访问地址信息;
判断模块,用于判断预先保存的标识信息黑名单中是否存在所述物联网卡的标识信息,或判断预先保存的访问地址黑名单中是否存在所述物联网卡的访问地址信息;如果任一判断结果为是,触发确定模块;
确定模块,用于确定所述物联网卡存在异常行为。
进一步地,所述确定模块,还用于若所述物联网卡的访问地址信息为预先保存的访问地址黑名单中的恶意地址信息,确定所述物联网卡存在高危网络异常行为;若所述物联网卡的访问地址信息为预先保存的访问地址黑名单中的非物联网行业的地址信息,或所述物联网卡的标识信息为预先保存的标识信息黑名单中的恶意标识信息,确定所述物联网卡存在高危滥用异常行为。
进一步地,所述物联网卡的标识信息包括:物联网卡的号码信息、IMEI信息和IMSI信息。
进一步地,所述获取模块,还用于获取预设的第一时间段内所述物联网卡的号码信息所对应的被叫号码的数量;
所述判断模块,还用于判断所述被叫号码的数量是否达到预设的数量阈值,如果是,触发所述确定模块;
所述确定模块,还用于确定所述物联网卡存在高危滥用异常行为。
进一步地,所述获取模块,还用于获取预设的第二时间段内所述物联网卡的IMEI信息变更次数及IMSI信息变更次数;
所述判断模块,还用于判断所述IMEI信息变更次数或IMSI信息变更次数是否达到预设的次数阈值,如果是,触发所述确定模块;
所述确定模块,还用于确定所述物联网卡存在低危机卡分离异常行为或者低危换卡异常行为。
进一步地,所述物联网卡的访问地址信息包括:物联网卡的访问的IP地址信息、OS信息、USER_AGENT信息,URL信息、host信息。
进一步地,所述获取模块,还用于获取预设的第三时间段内所述物联网卡访问的第一OS信息及第一USER_AGENT信息,以及第四时间段内所述物联网卡访问的第二OS信息及第二USER_AGENT信息;
所述判断模块,还用于判断所述第一OS信息和所述第二OS信息是否一致,或判断所述第一USER_AGENT信息和所述第二USER_AGENT信息是否一致;如果任一判断结果为否,触发所述确定模块;
所述确定模块,还用于确定所述物联网卡存在低危挪用异常行为。
进一步地,所述获取模块,还用于获取预设的第五时间段内所述物联网卡发送短信的第一最大长度信息,以及第六时间段内所述物联网卡发送短信的第二最大长度信息;
所述判断模块,还用于判断所述第一最大长度信息和第二最大长度信息的差值的绝对值是否大于预设的第一数值,如果是,触发所述确定模块;
所述确定模块,还用于确定所述物联网卡存在低危挪用异常行为。
进一步地,所述获取模块,还用于获取预设的第七时间段内所述物联网卡产生的上行流量占总流量的第一比率,以及第八时间段内所述物联网卡产生的上行流量占总流量的第二比率;
所述判断模块,还用于判断所述第一比率和第二比率的差值的绝对值是否大于预设的第二数值,如果是,触发所述确定模块;
所述确定模块,还用于确定所述物联网卡存在低危挪用异常行为。
另一方面,本发明实施例提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一项所述的方法步骤。
另一方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法步骤。
本发明实施例提供了一种物联网卡异常行为检测方法、装置、设备及存储介质,所述方法包括:获取待检测的物联网卡的标识信息及访问地址信息;判断预先保存的标识信息黑名单中是否存在所述物联网卡的标识信息,或判断预先保存的访问地址黑名单中是否存在所述物联网卡的访问地址信息;如果上述任一判断结果为是,确定所述物联网卡存在异常行为。
由于在本发明实施例中,检测设备中预先保存有物联网卡的标识信息黑名单和访问地址黑名单,针对待检测的物联网卡,判断该物联网卡的标识信息是否存在于标识信息黑名单中,或者该物联网卡的访问地址信息是否存在于访问地址黑名单中,如果任一判断结果为是,则确定该物联网卡存在异常行为。本发明实施例提供的检测方法不受场景的限制,无需投入大量的人力资源,基于预先保存的物联网卡黑名单进行检测,因此物联网卡异常行为检测的准确率和效率较高,并且人力资源耗费较小。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的物联网卡异常行为检测过程示意图;
图2为本发明实施例提供的确定物联网卡存在高危网络异常行为和高危滥用异常行为的示意图;
图3为本发明实施例提供的确定物联网卡存在低危挪用异常行为及低危机卡分离异常行为或者低危换卡异常行为的示意图;
图4为本发明实施例提供的物联网卡异常行为检测装置结构示意图;
图5为本发明实施例提供的电子设备结构示意图。
具体实施方式
下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例1:
图1为本发明实施例提供的物联网卡异常行为检测过程示意图,该过程包括以下步骤:
S101:获取待检测的物联网卡的标识信息及访问地址信息。
本发明实施例提供的物联网卡异常行为检测方法应用于电子设备,该电子设备可以是网络安全设备。
针对待检测的物联网卡,电子设备可以获取该物联网卡的标识信息,该物联网卡的标识信息可以是该物联网卡的号码信息、IMEI信息和IMSI信息。其中,电子设备可以获取一段时长内的语音话单信息,或者流量话单信息,例如获取最近一个月内的语音话单信息,或者流量话单信息,从语音话单信息,或者流量话单信息中可以采集到该物联网卡的号码信息、IMEI信息和IMSI信息。
另外,电子设备可以获取该物联网卡的访问地址信息,该物联网卡的访问地址信息可以是该物联网卡的访问的IP地址信息、OS信息、USER_AGENT信息,URL信息、host信息。其中,电子设备可以获取一段时长内的DPI日志信息,从DPI日志信息中可以采集到该物联网卡的访问的IP地址信息、OS信息、USER_AGENT信息,URL信息、host信息。
S102:判断预先保存的标识信息黑名单中是否存在所述物联网卡的标识信息,或判断预先保存的访问地址黑名单中是否存在所述物联网卡的访问地址信息;如果上述任一判断结果为是,确定所述物联网卡存在异常行为。
电子设备中预先保存有标识信息黑名单和访问地址黑名单,获取到待检测的物联网卡的标识信息及访问地址信息之后,判断标识信息黑名单中是否存在待检测的物联网卡的标识信息,如果存在,则确定物联网卡存在异常行为;或者判断访问地址黑名单中是否存在待检测的物联网卡的访问地址信息,如果存在,也确定物联网卡存在异常行为。
由于在本发明实施例中,检测设备中预先保存有物联网卡的标识信息黑名单和访问地址黑名单,针对待检测的物联网卡,判断该物联网卡的标识信息是否存在于标识信息黑名单中,或者该物联网卡的访问地址信息是否存在于访问地址黑名单中,如果任一判断结果为是,则确定该物联网卡存在异常行为。本发明实施例提供的检测方法不受场景的限制,无需投入大量的人力资源,基于预先保存的物联网卡黑名单进行检测,因此物联网卡异常行为检测的准确率和效率较高,并且人力资源耗费较小。
实施例2:
物联网卡的异常行为类型较多,为了便于管理员对存在异常行为的物联网卡进行处理,在上述实施例的基础上,在本发明实施例中,所述确定物联网卡存在异常行为之后,所述方法还包括:
若所述物联网卡的访问地址信息为预先保存的访问地址黑名单中的恶意地址信息,确定所述物联网卡存在高危网络异常行为;
若所述物联网卡的访问地址信息为预先保存的访问地址黑名单中的非物联网行业的地址信息,或所述物联网卡的标识信息为预先保存的标识信息黑名单中的恶意标识信息,确定所述物联网卡存在高危滥用异常行为。
电子设备在保存访问地址黑名单时,分为两类进行保存,一类是黑名单中的恶意地址信息,另一类是非物联网行业的地址信息。确定物联网卡存在异常行为之后,判断黑名单中的恶意地址信息中是否存在物联网卡的访问地址信息,如果存在,则确定物联网卡访问了恶意的地址信息,则与物联网卡相对应的物联网设备很有可能感染木马等病毒,此时确定物联网卡存在高危网络异常行为。
确定物联网卡存在异常行为之后,判断黑名单中的非物联网行业的地址信息中是否存在物联网卡的访问地址信息,如果存在,则确定物联网卡访问了非物联网行业的地址信息,例如个人手机中,此时确定物联网卡存在高危滥用异常行为。本发明实施例中的物联网卡的访问地址信息包括物联网卡的访问的IP地址信息、URL信息、host信息。
另外,电子设备保存有标识信息黑名单,该标识信息黑名单中包括恶意标识信息,本发明实施例中的物联网卡的标识信息包括物联网卡的号码信息、IMEI信息和IMSI信息。确定物联网卡存在异常行为之后,判断黑名单中的恶意标识信息中是否存在物联网卡的标识信息,如果存在,则确定物联网卡有可能被用来进行电信诈骗等行为,此时确定物联网卡存在高危滥用异常行为。
由于在本发明实施例中,电子设备根据预先保存的标识信息黑名单和访问地址黑名单确定出物联网卡存在异常行为之后,进一步的根据预先保存的访问地址黑名单中的恶意地址信息、非物联网行业的地址信息和预先保存的标识信息黑名单中的恶意标识信息,确定物联网卡存在高危网络异常行为还是高危滥用异常行为,从而便于管理员对存在不同异常行为的物联网卡进行相应处理。
实施例3:
物联网卡在正常使用过程中,一般其对应的被叫号码的数量是在一定的范围内的,当一段时间内,物联网卡对应的被叫号码的数量过多时,有可能物联网卡也存在不规范的行为。因此,为了进一步保证确定物联网卡异常行为的准确性,在上述各实施例的基础上,在本发明实施例中,所述方法还包括:
获取预设的第一时间段内所述物联网卡的号码信息所对应的被叫号码的数量;
判断所述被叫号码的数量是否达到预设的数量阈值,如果是,确定所述物联网卡存在高危滥用异常行为。
在本发明实施例中,电子设备通过获取物联网卡在第一时间段内的语音话单或者短信话单,都可以查找到物联网卡对应的被叫号码,其中,第一时间段可以是最近一周的时间或者一个月的时间等。查找到第一时间段内物联网卡对应的被叫号码后,统计被叫号码的数量,例如,一个月的时间内物联网卡和3000个不同的被叫号码进行过联系,则确定第一时间段内物联网卡的号码信息所对应的被叫号码的数量为3000。
电子设备中可以保存预设的数量阈值,该数量阈值用于表征物联网卡正常使用过程中对应的最大的被叫号码数量。电子设备确定第一时间段内物联网卡的号码信息所对应的被叫号码的数量后,判断被叫号码的数量是否达到预设的数量阈值,如果是,则确定物联网卡存在高危滥用异常行为。
由于在本发明实施例中,电子设备获取预设的第一时间段内物联网卡的号码信息所对应的被叫号码的数量;当被叫号码的数量达到预设的数量阈值,确定物联网卡存在高危滥用异常行为。因此,使得确定物联网卡的异常行为更加准确。
实施例4:
为了进一步使得确定物联网卡的异常行为更加准确,在上述各实施例的基础上,在本发明实施例中,所述方法还包括:
获取预设的第二时间段内所述物联网卡的IMEI信息变更次数及IMSI信息变更次数;
判断所述IMEI信息变更次数或IMSI信息变更次数是否达到预设的次数阈值,如果是,确定所述物联网卡存在低危机卡分离异常行为或者低危换卡异常行为。
电子设备通过获取预设的第二时间段内物联网卡的语音话单或者流量话单,可以查找预设的第二时间段内物联网卡的IMEI信息及IMSI信息,其中,预设的第二时间段和第一时间段可以相同也可以不同。
电子设备获取第二时间段内物联网卡的IMEI信息及IMSI信息后,统计物联网卡的IMEI信息变更次数及IMSI信息变更次数,例如,在第二时间段内,统计发现,物联网卡的IMEI信息由IMEI信息a1变为IMEI信息a2,又由IMEI信息a2变为IMEI信息a3,则确定物联网卡的IMEI信息变更次数为两次。
电子设备中可以保存预设的次数阈值,获取第二时间段内物联网卡的IMEI信息及IMSI信息,并统计物联网卡的IMEI信息变更次数及IMSI信息变更次数之后,判断IMEI信息变更次数或IMSI信息变更次数是否达到预设的次数阈值,如果是,则说明物联网卡较频繁的发生了机卡分离或者换卡的情况,此时确定物联网卡存在低危机卡分离异常行为或者低危换卡异常行为。
由于在本发明实施例中,电子设备获取预设的第二时间段内所述物联网卡的IMEI信息变更次数及IMSI信息变更次数;当IMEI信息变更次数或IMSI信息变更次数达到预设的次数阈值时,确定物联网卡存在低危机卡分离异常行为或者低危换卡异常行为。因此,使得确定物联网卡的异常行为更加准确。
实施例5:
为了进一步使得确定物联网卡的异常行为更加准确,在上述各实施例的基础上,在本发明实施例中,所述方法还包括:
获取预设的第三时间段内所述物联网卡访问的第一OS信息及第一USER_AGENT信息,以及第四时间段内所述物联网卡访问的第二OS信息及第二USER_AGENT信息;
判断所述第一OS信息和所述第二OS信息是否一致,或判断所述第一USER_AGENT信息和所述第二USER_AGENT信息是否一致;
如果任一判断结果为否,确定所述物联网卡存在低危挪用异常行为。
在本发明实施例中,电子设备通过获取预设的第三时间段内的DPI日志数据和第四时间段内的DPI日志数据,来获取预设的第三时间段内所述物联网卡访问的第一OS信息及第一USER_AGENT信息,以及第四时间段内所述物联网卡访问的第二OS信息及第二USER_AGENT信息。其中,预设的第三时间段和预设的第四时间段为不同的时间段,预设的第三时间段例如是3月1日至3月20日,预设的第四时间段例如是4月1日至4月20日。
电子设备判断第一OS信息和所述第二OS信息是否一致,如果不一致,则说明物联网卡发生了挪用,此时确定物联网卡存在低危挪用异常行为。或者判断第一USER_AGENT信息和第二USER_AGENT信息是否一致,如果不一致,也说明物联网卡发生了挪用,此时确定物联网卡存在低危挪用异常行为。
由于在本发明实施例中,电子设备获取预设的第三时间段内物联网卡访问的第一OS信息及第一USER_AGENT信息,以及第四时间段内物联网卡访问的第二OS信息及第二USER_AGENT信息;当判断第一OS信息和第二OS信息不一致,或判断第一USER_AGENT信息和第二USER_AGENT信息不一致时;确定物联网卡存在低危挪用异常行为。因此,使得确定物联网卡的异常行为更加准确。
实施例6:
为了进一步使得确定物联网卡的异常行为更加准确,在上述各实施例的基础上,在本发明实施例中,所述方法还包括:
获取预设的第五时间段内所述物联网卡发送短信的第一最大长度信息,以及第六时间段内所述物联网卡发送短信的第二最大长度信息;
判断所述第一最大长度信息和第二最大长度信息的差值的绝对值是否大于预设的第一数值,如果是,确定所述物联网卡存在低危挪用异常行为。
电子设备可以通过获取预设的第五时间段内的短信话单,通过短信话单来确定第五时间段内发送的每条短信的短信长度,其中,短信长度可以是短信内容包含的字节数。然后在第五时间段内发送的每条短信的短信长度中识别出最大的短信长度作为发送短信的第一最大长度信息。同理,电子设备可以通过获取预设的第六时间段内的短信话单,确定第六时间段内物联网卡发送短信的第二最大长度信息。
其中,预设的第五时间段和预设的第六时间段为不同的时间段,预设的第五时间段和预设的第三时间段可以相同或不同,预设的第六时间段和预设的第四时间段可以相同或不同。
由于物联网卡在正常使用过程中,其发送短信的最大长度一般在一定的长度范围内,如果在两个时间段内物联网卡发送短信的最大长度的差值较大,则说明物联网卡被挪为他用。因此,为了检测物联网卡是否存在挪用异常,在本发明实施例中,电子设备获取预设的第五时间段内物联网卡发送短信的第一最大长度信息,以及第六时间段内物联网卡发送短信的第二最大长度信息之后,判断第一最大长度信息和第二最大长度信息的差值的绝对值是否大于预设的第一数值,如果是,确定物联网卡存在低危挪用异常行为。
由于在本发明实施例中,电子设备根据物联网卡在两个不同时间段内的发送短信的最大长度信息的差值,可以进一步检测物联网卡是否存在挪用异常行为,因此,使得确定物联网卡的异常行为更加准确。
实施例7:
为了进一步使得确定物联网卡的异常行为更加准确,在上述各实施例的基础上,在本发明实施例中,所述方法还包括:
获取预设的第七时间段内所述物联网卡产生的上行流量占总流量的第一比率,以及第八时间段内所述物联网卡产生的上行流量占总流量的第二比率;
判断所述第一比率和第二比率的差值的绝对值是否大于预设的第二数值,如果是,确定所述物联网卡存在低危挪用异常行为。
电子设备可以通过获取预设的第七时间段内的流量话单,通过流量话单来确定第七时间段内物联网卡产生的上行流量以及总流量,然后计算上行流量占总流量的第一比率。同理,电子设备可以通过获取预设的第八时间段内的流量话单,确定第八时间段内物联网卡产生的上行流量占总流量的第二比率。
其中,预设的第七时间段和预设的第八时间段为不同的时间段,预设的第七时间段和预设的第三时间段可以相同或不同,预设的第八时间段和预设的第四时间段可以相同或不同。
由于物联网卡在正常使用过程中,其产生的上行流量占总流量的比率一般在一定的长度范围内,如果在两个时间段内物联网卡产生的上行流量占总流量的比率的差值较大,则说明物联网卡被挪为他用。因此,为了检测物联网卡是否存在挪用异常,在本发明实施例中,电子设备获取预设的第七时间段内物联网卡产生的上行流量占总流量的第一比率,以及第八时间段内所述物联网卡产生的上行流量占总流量的第二比率之后,判断所述第一比率和第二比率的差值的绝对值是否大于预设的第二数值,如果是,确定所述物联网卡存在低危挪用异常行为。
由于在本发明实施例中,电子设备根据物联网卡在两个不同时间段内产生的上行流量占总流量的比率的差值,可以进一步检测物联网卡是否存在挪用异常行为,因此,使得确定物联网卡的异常行为更加准确。
图2为本发明实施例提供的确定物联网卡存在高危网络异常行为和高危滥用异常行为的示意图,如图2所示,电子设备根据话单和DPI日志数据发现,若物联网卡访问了恶意的IP地址信息、URL信息或者host信息,则确定物联网卡存在高危网络异常行为。若物联网卡访问了非物联网行业的IP地址信息、URL信息或者host信息,则确定物联网卡存在高危滥用异常行为。若物联网卡被使用在恶意设备上,也就是物联网卡的IMEI为恶意IMEI,则确定物联网卡存在高危滥用异常行为。若物联网卡的号码信息为恶意号码信息,则确定物联网卡存在高危滥用异常行为。若预设的时间段内物联网卡的号码信息所对应的被叫号码的数量达到预设的数量阈值,则确定物联网卡存在高危滥用异常行为。
图3为本发明实施例提供的确定物联网卡存在低危挪用异常行为及低危机卡分离异常行为或者低危换卡异常行为的示意图,如图3所示,电子设备根据话单和DPI日志数据发现,若预设的时间段内物联网卡的IMEI信息变更次数或IMSI信息变更次数达到预设的次数阈值,确定物联网卡存在低危机卡分离异常行为或者低危换卡异常行为。若预设的第三时间段内所述物联网卡访问的第一OS信息和第四时间段内所述物联网卡访问的第二OS信息不一致,或者预设的第三时间段内所述物联网卡访问的第一USER_AGENT信息和第四时间段内所述物联网卡访问的第二USER_AGENT信息不一致,确定物联网卡存在低危挪用异常行为。若预设的第五时间段内所述物联网卡发送短信的第一最大长度信息,与第六时间段内所述物联网卡发送短信的第二最大长度信息的差值的绝对值大于预设的第一数值,确定物联网卡存在低危挪用异常行为。若预设的第七时间段内物联网卡产生的上行流量占总流量的第一比率,与第八时间段内所述物联网卡产生的上行流量占总流量的第二比率的差值的绝对值大于预设的第二数值,确定所述物联网卡存在低危挪用异常行为。
本发明实施例提供的物联网卡异常行为检测方法不但可以检测出物联网卡是否存在异常行为,还可以具体检测出存在哪种异常行为,并且对高危异常行为和低危异常行为进行了划分,以便管理人员对不同的异常行为进行管理。并且本发明实施例提供的物联网卡异常行为检测方法适应的场景更多,同时分析的效率更高。并且不依赖于行业信息,而引入了黑名单库数据,使得检测的准确率更高。
实施例8:
图4为本发明实施例提供的物联网卡异常行为检测装置结构示意图,该装置包括:
获取模块41,用于获取待检测的物联网卡的标识信息及访问地址信息;
判断模块42,用于判断预先保存的标识信息黑名单中是否存在所述物联网卡的标识信息,或判断预先保存的访问地址黑名单中是否存在所述物联网卡的访问地址信息;如果任一判断结果为是,触发确定模块43;
确定模块43,用于确定所述物联网卡存在异常行为。
所述确定模块43,还用于若所述物联网卡的访问地址信息为预先保存的访问地址黑名单中的恶意地址信息,确定所述物联网卡存在高危网络异常行为;若所述物联网卡的访问地址信息为预先保存的访问地址黑名单中的非物联网行业的地址信息,或所述物联网卡的标识信息为预先保存的标识信息黑名单中的恶意标识信息,确定所述物联网卡存在高危滥用异常行为。
所述物联网卡的标识信息包括:物联网卡的号码信息、IMEI信息和IMSI信息。
所述获取模块41,还用于获取预设的第一时间段内所述物联网卡的号码信息所对应的被叫号码的数量;
所述判断模块42,还用于判断所述被叫号码的数量是否达到预设的数量阈值,如果是,触发所述确定模块;
所述确定模块43,还用于确定所述物联网卡存在高危滥用异常行为。
所述获取模块41,还用于获取预设的第二时间段内所述物联网卡的IMEI信息变更次数及IMSI信息变更次数;
所述判断模块42,还用于判断所述IMEI信息变更次数或IMSI信息变更次数是否达到预设的次数阈值,如果是,触发所述确定模块;
所述确定模块43,还用于确定所述物联网卡存在低危机卡分离异常行为或者低危换卡异常行为。
所述物联网卡的访问地址信息包括:物联网卡的访问的IP地址信息、OS信息、USER_AGENT信息,URL信息、host信息。
所述获取模块41,还用于获取预设的第三时间段内所述物联网卡访问的第一OS信息及第一USER_AGENT信息,以及第四时间段内所述物联网卡访问的第二OS信息及第二USER_AGENT信息;
所述判断模块42,还用于判断所述第一OS信息和所述第二OS信息是否一致,或判断所述第一USER_AGENT信息和所述第二USER_AGENT信息是否一致;如果任一判断结果为否,触发所述确定模块;
所述确定模块43,还用于确定所述物联网卡存在低危挪用异常行为。
所述获取模块41,还用于获取预设的第五时间段内所述物联网卡发送短信的第一最大长度信息,以及第六时间段内所述物联网卡发送短信的第二最大长度信息;
所述判断模块42,还用于判断所述第一最大长度信息和第二最大长度信息的差值的绝对值是否大于预设的第一数值,如果是,触发所述确定模块;
所述确定模块43,还用于确定所述物联网卡存在低危挪用异常行为。
所述获取模块41,还用于获取预设的第七时间段内所述物联网卡产生的上行流量占总流量的第一比率,以及第八时间段内所述物联网卡产生的上行流量占总流量的第二比率;
所述判断模块42,还用于判断所述第一比率和第二比率的差值的绝对值是否大于预设的第二数值,如果是,触发所述确定模块;
所述确定模块43,还用于确定所述物联网卡存在低危挪用异常行为。
实施例9:
在上述各实施例的基础上,本发明实施例中还提供了一种电子设备,如图5所示,包括:处理器301、通信接口302、存储器303和通信总线304,其中,处理器301,通信接口302,存储器303通过通信总线304完成相互间的通信;
所述存储器303中存储有计算机程序,当所述程序被所述处理器301执行时,使得所述处理器301执行如下步骤:
获取待检测的物联网卡的标识信息及访问地址信息;
判断预先保存的标识信息黑名单中是否存在所述物联网卡的标识信息,或判断预先保存的访问地址黑名单中是否存在所述物联网卡的访问地址信息;
如果上述任一判断结果为是,确定所述物联网卡存在异常行为。
基于同一发明构思,本发明实施例中还提供了一种电子设备,由于上述电子设备解决问题的原理与物联网卡异常行为检测方法相似,因此上述电子设备的实施可以参见方法的实施,重复之处不再赘述。
本发明实施例提供的电子设备具体可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(Personal Digital Assistant,PDA)、网络侧设备等。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口302用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括中央处理器、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
在本发明实施例中处理器执行存储器上所存放的程序时,实现获取待检测的物联网卡的标识信息及访问地址信息;判断预先保存的标识信息黑名单中是否存在所述物联网卡的标识信息,或判断预先保存的访问地址黑名单中是否存在所述物联网卡的访问地址信息;如果上述任一判断结果为是,确定所述物联网卡存在异常行为。由于在本发明实施例中,检测设备中预先保存有物联网卡的标识信息黑名单和访问地址黑名单,针对待检测的物联网卡,判断该物联网卡的标识信息是否存在于标识信息黑名单中,或者该物联网卡的访问地址信息是否存在于访问地址黑名单中,如果任一判断结果为是,则确定该物联网卡存在异常行为。本发明实施例提供的检测方法不受场景的限制,无需投入大量的人力资源,基于预先保存的物联网卡黑名单进行检测,因此物联网卡异常行为检测的准确率和效率较高,并且人力资源耗费较小。
实施例10:
在上述各实施例的基础上,本发明实施例还提供了一种计算机存储可读存储介质,所述计算机可读存储介质内存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行时实现如下步骤:
获取待检测的物联网卡的标识信息及访问地址信息;
判断预先保存的标识信息黑名单中是否存在所述物联网卡的标识信息,或判断预先保存的访问地址黑名单中是否存在所述物联网卡的访问地址信息;
如果上述任一判断结果为是,确定所述物联网卡存在异常行为。
基于同一发明构思,本发明实施例中还提供了一种计算机可读存储介质,由于处理器在执行上述计算机可读存储介质上存储的计算机程序时解决问题的原理与物联网卡异常行为检测方法相似,因此处理器在执行上述计算机可读存储介质存储的计算机程序的实施可以参见方法的实施,重复之处不再赘述。
上述计算机可读存储介质可以是电子设备中的处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器如软盘、硬盘、磁带、磁光盘(MO)等、光学存储器如CD、DVD、BD、HVD等、以及半导体存储器如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD)等。
在本发明实施例中提供的计算机可读存储介质内存储计算机程序,计算机程序被处理器执行时实现获取待检测的物联网卡的标识信息及访问地址信息;判断预先保存的标识信息黑名单中是否存在所述物联网卡的标识信息,或判断预先保存的访问地址黑名单中是否存在所述物联网卡的访问地址信息;如果上述任一判断结果为是,确定所述物联网卡存在异常行为。
由于在本发明实施例中,检测设备中预先保存有物联网卡的标识信息黑名单和访问地址黑名单,针对待检测的物联网卡,判断该物联网卡的标识信息是否存在于标识信息黑名单中,或者该物联网卡的访问地址信息是否存在于访问地址黑名单中,如果任一判断结果为是,则确定该物联网卡存在异常行为。本发明实施例提供的检测方法不受场景的限制,无需投入大量的人力资源,基于预先保存的物联网卡黑名单进行检测,因此物联网卡异常行为检测的准确率和效率较高,并且人力资源耗费较小。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。