CN112801837A - 设备聚类方法、装置、存储介质及电子设备 - Google Patents

设备聚类方法、装置、存储介质及电子设备 Download PDF

Info

Publication number
CN112801837A
CN112801837A CN201911108828.8A CN201911108828A CN112801837A CN 112801837 A CN112801837 A CN 112801837A CN 201911108828 A CN201911108828 A CN 201911108828A CN 112801837 A CN112801837 A CN 112801837A
Authority
CN
China
Prior art keywords
black product
black
tool
group
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911108828.8A
Other languages
English (en)
Other versions
CN112801837B (zh
Inventor
张小山
王松旭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201911108828.8A priority Critical patent/CN112801837B/zh
Publication of CN112801837A publication Critical patent/CN112801837A/zh
Application granted granted Critical
Publication of CN112801837B publication Critical patent/CN112801837B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/26Government or public services
    • G06Q50/265Personal security, identity or safety
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/30Computing systems specially adapted for manufacturing

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Tourism & Hospitality (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Evolutionary Biology (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Computer Security & Cryptography (AREA)
  • Artificial Intelligence (AREA)
  • Development Economics (AREA)
  • Educational Administration (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Economics (AREA)
  • General Health & Medical Sciences (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本申请公开了一种设备聚类方法、装置、存储介质及电子设备,该设备聚类方法包括:获取多个目标黑产工具;确定该多个目标黑产工具中每个目标黑产工具对应的至少一个黑产设备,以得到多个黑产设备,其中该至少一个黑产设备为使用过对应目标黑产工具的设备;根据该多个目标黑产工具对该多个黑产设备进行聚类,以得到至少一个黑产设备组,其中该至少一个黑产设备组中的每个黑产设备组属于相同的黑产团伙,且每个该黑产设备组包括至少一个黑产设备,从而能根据作案工具在线识别黑产团伙,无需专业人员参与,使用局限性小。

Description

设备聚类方法、装置、存储介质及电子设备
技术领域
本申请涉及网络安全领域,尤其涉及一种设备聚类方法、装置、存储介质 及电子设备。
背景技术
随着网络的普及,依附于网络的通信工具已然成为人们日常生活中非常重 要的交流工具。
发明内容
本申请实施例提供一种设备聚类方法、装置、存储介质及电子设备,能根 据作案工具在线识别黑产团伙,无需专业人员参与,使用局限性小,实用性强。
本申请实施例提供了一种设备聚类方法,包括:
获取多个目标黑产工具;
确定所述多个目标黑产工具中每个目标黑产工具对应的至少一个黑产设备, 以得到多个黑产设备,其中所述至少一个黑产设备为使用过对应目标黑产工具 的设备;
根据所述多个目标黑产工具对所述多个黑产设备进行聚类,以得到至少一 个黑产设备组,其中所述至少一个黑产设备组中的每个黑产设备组属于相同的 黑产团伙,且每个所述黑产设备组包括至少一个黑产设备。
本申请实施例还提供了一种设备聚类装置,包括:
获取模块,用于获取多个目标黑产工具;
确定模块,用于确定所述多个目标黑产工具中每个目标黑产工具对应的至 少一个黑产设备,以得到多个黑产设备,其中所述至少一个黑产设备为使用过 对应目标黑产工具的设备;
聚类模块,用于根据所述多个目标黑产工具对所述多个黑产设备进行聚类, 以得到至少一个黑产设备组,其中所述至少一个黑产设备组中的每个黑产设备 组属于相同的黑产团伙,且每个所述黑产设备组包括至少一个黑产设备。
其中,所述聚类模块具体包括:
第一确定单元,用于根据所述多个目标黑产工具确定黑产工具集,所述黑 产工具集中包括至少一个黑产工具;
第二确定单元,用于当所述多个黑产设备中任意两个黑产设备使用过所述 黑产工具集中相同的黑产工具时,确定所述相同的黑产工具的工具数量;
聚类单元,用于根据所述工具数量对所述多个黑产设备进行聚类,以得到 至少一个黑产设备组。
其中,所述聚类单元具体用于:
当所述工具数量大于或等于预定阈值时,将对应两个黑产设备合并为同一 黑产设备组;
当所述工具数量小于预定阈值时,将对应两个黑产设备归为不同的黑产设 备组,其中所述预定阈值是大于或等于1的自然数。
其中,所述第二确定单元用于:
将所述多个目标黑产工具添加到黑产工具集中;
当所述多个黑产设备中的任一个黑产设备使用了除所述目标黑产工具之外 的剩余黑产工具时,将所述剩余黑产工具添加到所述黑产工具集中。
其中,所述设备聚类装置还包括查询模块,用于:
在所述聚类模块根据所述工具数量对所述多个黑产设备进行聚类,以得到 至少一个黑产设备组之后,根据所述至少一个黑产设备组和所述黑产工具集创 建查询数据库;
获取团伙查询指令,所述团伙查询指令携带查询参考信息;
根据所述查询参考信息和所述查询数据库进行黑产团伙查询。
其中,所述查询模块具体用于:
确定所述黑产工具集中每个黑产工具所属的风险类型;
获取所述至少一个黑产设备组中每个黑产设备的使用信息,所述使用信息 包括所使用的网络协议地址、工具使用时间、被举报信息、工具使用地点和/ 或预设时长内采集的多个设备位置;
根据所述风险类型、所述使用信息和所述黑产工具集生成所述至少一个黑 产设备组中每个黑产设备组的关联信息;
根据所述关联信息和对应黑产设备组创建查询数据库。
其中,当所述使用信息包括工具使用时间和工具使用地点时,所述查询模 块具体用于:
从同一所述黑产设备组对应的风险类型中,确定对应黑产设备组的重点风 险类型;
根据同一所述黑产设备组对应的工具使用地点,确定对应黑产设备组的重 点使用区域;
根据同一所述黑产设备组对应的工具使用时间,确定对应黑产设备组的重 点使用时段;
根据所述重点风险类型、所述重点使用区域、所述重点使用时段和所述黑 产工具集,生成对应黑产设备组的关联信息。
其中,当所述使用信息包括预设时长内采集的多个设备位置时,所述查询 模块具体用于:
根据所述多个设备位置确定预估移动方向;
根据所述多个设备位置和预设时长确定预估移动速度;
根据所述预估移动方向和预估移动速度确定目标移动位置;
根据所述风险类型、所述目标移动位置和所述黑产工具集生成对应黑产设 备组的关联信息。
其中,所述查询参考信息包括设备组标识、工具标识、网络协议地址或设 备标识,所述查询模块具体用于:
根据所述查询参考信息从所述查询数据库中搜索出对应的黑产设备组,并 获取所述搜索出的黑产设备组对应的关联信息;
根据所述获取的关联信息和所述搜索出的黑产设备组,生成对应黑产团伙 的查询结果界面;
向用户提供所述查询结果界面。
本申请实施例还提供了一种计算机可读存储介质,所述存储介质中存储有 多条指令,所述指令适于由处理器加载以执行上述任一项设备聚类方法。
本申请实施例还提供了一种电子设备,包括处理器和存储器,所述处理器 与所述存储器电性连接,所述存储器用于存储指令和数据,所述处理器用于执 行上述任一项设备聚类方法中的步骤。
本申请提供的设备聚类方法、装置、存储介质及电子设备,通过获取多个 目标黑产工具,并确定每个目标黑产工具对应的至少一个黑产设备,以得到多 个黑产设备,其中该至少一个黑产设备为使用过对应目标黑产工具的设备,之 后根据该多个目标黑产工具对该多个黑产设备进行聚类,以得到至少一个黑产 设备组,其中该至少一个黑产设备组中的每个黑产设备组属于相同的黑产团伙, 且每个该黑产设备组包括至少一个黑产设备,从而根据作案工具在线识别黑产 团伙,无需专业人员参与,使用局限性小,实用性强,可靠性高。
附图说明
下面结合附图,通过对本申请的具体实施方式详细描述,将使本申请的技 术方案及其它有益效果显而易见。
图1为本申请实施例提供的设备查询系统的场景示意图。
图2为本申请实施例提供的设备聚类方法的流程示意图。
图3为本申请实施例提供的搜索界面的展示示意图。
图4为本申请实施例提供的查询结果界面的展示示意图。
图5为本申请实施例提供的犯罪趋势发展界面的展示示意图。
图6为本申请实施例提供的设备聚类方法的另一流程示意图。
图7为本申请实施例提供的黑产团伙信息查询流程的操作示意图。
图8为本申请实施例提供的设备聚类装置的结构示意图。
图9为本申请实施例提供的聚类模块的结构示意图。
图10为本申请实施例提供的设备聚类装置的另一结构示意图。
图11为本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清 楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是 全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳 动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供一种设备聚类方法、装置、存储介质及电子设备。
请参阅图1,图1为设备查询系统的场景示意图,该设备查询系统可以包 括本申请实施例提供的任一种设备聚类装置,该设备聚类装置可以集成在服务 器和/或客户端等电子设备中,该服务器可以是网络犯罪感知系统的后台服务器, 该客户端可以是手机等移动终端。
该电子设备可以获取多个目标黑产工具;确定该多个目标黑产工具中每个 目标黑产工具对应的至少一个黑产设备,以得到多个黑产设备,其中该至少一 个黑产设备为使用过对应目标黑产工具的设备;根据该多个目标黑产工具对该 多个黑产设备进行聚类,以得到至少一个黑产设备组,其中该至少一个黑产设 备组中的每个黑产设备组属于相同的黑产团伙,且每个该黑产设备组包括至少 一个黑产设备。
其中,该黑产工具包括但不限于网络黑产团伙所使用的具有统一名称的文 档如《话术》,各种刷单软件,各种自动注册机,社交账号等等,每个黑产工 具通常具有一个工具标识,该工具标识可以是人为设定的工具名称或者字符编 码,用于唯一识别该黑产工具。单个黑产设备组通常是单个黑产团伙所使用的 作案设备,不同黑产设备组代表不同黑产团伙,每个黑产设备组可以设置一个 设备组标识,用于唯一识别相应黑产团伙。
譬如,请参见图1,用户可以实时记录发现的黑产工具并周期性进行汇总, 将每次汇总的黑产工具作为目标黑产工具,并获取使用过(比如登陆过)每一 黑产工具的设备作为黑产设备,之后对这些黑产设备进行聚类,以得到至少一 个黑产团伙的作案设备(也即黑产设备组),之后可以基于该黑产设备组的组 标识以及目标黑产工具的工具标识创建网络犯罪感知系统的后台数据库(也即 图1中的查询数据库),之后,当用户需要查询某个黑产团伙时,可以进入网 络犯罪感知系统的搜索界面,并在该搜索界面中输入黑产团伙编号(也即设备 组标识)、黑产工具名称(也即工具标识)、IP地址(也即网络协议地址)或 IMEI号(也即设备标识),之后,后台电子设备会根据用户输入的信息在查询 数据库中查找对应的黑产团伙的相关信息,并生成查询结果界面显示给用户。
如图2所示,图2是本申请实施例提供的设备聚类方法的流程示意图,该 设备聚类方法应用于电子设备,具体流程可以如下:
S101.获取多个目标黑产工具。
本实施例中,用户可以每天定时或不定时输入一些黑产工具作为目标黑产 工具,或者,可以实时记录发现的黑产工具并周期性进行汇总,将每次汇总的 黑产工具作为目标黑产工具,其中,该黑产工具包括但不限于网络黑产团伙所 使用的具有统一名称的文档如《话术》,各种刷单软件,各种自动注册机,社 交账号等等,不同的黑产工具通常具有工具标识,该工具标识可以是人为设定 的工具名称或者字符编码,用于唯一识别该黑产工具。
S102.确定该多个目标黑产工具中每个目标黑产工具对应的至少一个黑产 设备,以得到多个黑产设备,其中该至少一个黑产设备为使用过对应目标黑产 工具的设备。
本实施例中,该黑产设备是指使用过(比如登陆过)对应目标黑产工具的 设备,同一目标黑产工具的黑产设备可以为多个,每个黑产设备可以使用多个 目标黑产工具。
S103.根据该多个目标黑产工具对该多个黑产设备进行聚类,以得到至少一 个黑产设备组,其中该至少一个黑产设备组中的每个黑产设备组属于相同的黑 产团伙,且每个该黑产设备组包括至少一个黑产设备。
本实施例中,单个黑产设备组通常是单个黑产团伙所使用的作案设备,也 即可以基于黑产设备组对黑产团伙进行区分,每个黑产设备组可以设置一个设 备组标识,用于唯一识别相应黑产团伙,不同黑产设备组代表不同黑产团伙。
具体的,可以根据目标黑产工具、以及目标黑产工具与黑产设备的对应使 用关系来对黑产设备进行聚类,例如,上述步骤S103具体可以包括:
S1031.根据该多个目标黑产工具确定黑产工具集,该黑产工具集中包括至 少一个黑产工具。
本实施例中,可以直接将多个目标黑产工具作为黑产工具集,也可以检查 当前这些黑产设备是否还使用了其他黑产工具,将这些黑产设备使用的所有黑 产工具作为黑产工具集,也即,上述步骤S1031具体可以包括:
将该多个目标黑产工具添加到黑产工具集中;
当该多个黑产设备中的任一个黑产设备使用了除该目标黑产工具之外的剩 余黑产工具时,将该剩余黑产工具添加到该黑产工具集中。
比如,若目标黑产工具包括a和b,使用过a的黑产设备包括A1和A2, 使用过b的黑产设备包括A1和C1,则黑产工具集可以只包括a和b,或者, 也可以检查黑产设备A1、A2和C1各自是否还使用了其他黑产工具,比如假 设A1还使用了黑产工具c,A2还使用了黑产工具d和c,则黑产工具集可以 包括a、b、c和d。
S1032.当该多个黑产设备中任意两个黑产设备使用过该黑产工具集中相同 的黑产工具时,确定该相同的黑产工具的工具数量。
比如,在黑产设备A1、A2和C1中,可以分别统计A1和A2之间,A1 和C1之间、以及A2和C1之间登陆过几个相同的黑产工具。
S1033.根据该工具数量对该多个黑产设备进行聚类,以得到至少一个黑产 设备组。
例如,上述步骤S1033具体可以包括:
当该工具数量大于或等于预定阈值时,将对应两个黑产设备合并为同一黑 产设备组;
当该工具数量小于预定阈值时,将对应两个黑产设备归为不同的黑产设备 组,其中该预定阈值是大于或等于1的自然数。
本实施例中,该预定阈值可以人为设定,比如1或2,当预定阈值为1时, 可以认为只要使用过同一黑产工具的黑产设备就属于同一黑产团伙,当预定阈 值为2时,可以认为只有使用过两个相同的黑产工具的黑产设备才属于同一黑 产团伙,而未使用过相同的黑产工具,或者只使用过一个相同的黑产工具的黑 产设备,属于不同的黑产团伙。
例如,在上述步骤S1033之后,该设备聚类方法还包括:
根据该至少一个黑产设备组和该黑产工具集创建查询数据库;
获取团伙查询指令,该团伙查询指令携带查询参考信息;
根据该查询参考信息和该查询数据库进行黑产团伙查询。
本实施例中,在创建查询数据库时,可以基于黑产设备组中每个黑产设备 的设备标识、黑产设备组的组标识以及每个黑产工具的工具标识来创建,以便 用户能唯一识别该黑产设备、黑产设备组(或黑产团伙)和黑产工具,其中, 该设备标识可以是IMEI号(International Mobile Equipment Identity,国际移动 设备识别码)等用于识别设备的标识,该组标识可以是人为设定的团伙编号, 比如AJLY…0009。
当查询数据库创建好后,用户可以通过指定搜索界面搜索需要了解的黑产 团伙的信息,该搜索方式很灵活,比如可以通过该黑产团伙中某个已知成员所 使用设备的网络协议地址或设备标识,所使用黑产工具的工具标识,或者黑产 团伙的编号(也即设备组标识)等多种方式来搜索黑产团伙的信息,该搜索界 面可提供的搜索方式主要取决于查询数据库的存储内容。请参见图3,图3为 犯罪感知系统提供的搜索界面,其上设有搜索框,用户可以通过客户端在该搜 索框中输入已知信息(也即查询参考信息),比如IMEI号、IP地址或者团伙 编号(也即设备组标识),以从多个维度对黑产团伙进行查询。当用户点击该 搜索界面上的搜索按钮时,可以生成携带该查询参考信息的查询指令。
其中,上述步骤“根据该至少一个黑产设备组和该黑产工具集创建查询数据 库”,包括:
确定该黑产工具集中每个黑产工具所属的风险类型;
获取该至少一个黑产设备组中每个黑产设备的使用信息,该使用信息包括 所使用的网络协议地址、工具使用时间、被举报信息、工具使用地点和/或预设 时长内采集的多个设备位置;
根据该风险类型、该使用信息和该黑产工具集生成该至少一个黑产设备组 中每个黑产设备组的关联信息;
根据该关联信息和对应黑产设备组创建查询数据库。
本实施例中,该风险类型主要用于限定每个黑产工具所从事的网络犯罪活 动的犯罪类型,其可以包括交易公民信息,交易违规商品、服务,敲诈勒索, 网络传销,诈骗,黄赌毒,贩卖野生物及制品等类型。该预设时长可以人为设 定,比如近一个月。该网络协议地址、工具使用时间、被举报信息、工具使用 地点和预设时长内采集的多个设备位置这些信息中,可以单个作为使用信息, 也可以多个结合作为使用信息,通常,使用信息的内容越丰富,相应生成的关 联信息内容也越丰富。
在该使用信息中,该网络协议地址为IP地址,该工具使用时间主要用于确 定黑产团伙的主要犯罪时间,该工具使用地点主要用于确定黑产团伙的主要犯 罪地点,其可以根据IP地址和网络端口确定,主要表现为区域范围,比如x国 家x省x市x区。该设备位置是每次设备检测或上报的地理位置,并非每次使 用黑产工具时的位置,其主要用于分析黑产团伙的移动情况,从而预判下一移 动地点,该设备位置可以是GPS地址,主要表现为精准地址。该被举报信息可 以包括被举报次数和举报时间。该关联信息主要用于指示每个黑产团伙的IP地 址、主要犯罪类型、主要犯罪地点、主要犯罪时间、下一预估移动地点和/或被 举报总次数、最近一次举报时间等信息,其具体内容取决于使用信息的内容。
需要指出的是,除了设备标识外,该关联信息还可以包括手机号码、与手 机号码绑定的身份证号码等用户标识,从而更利于锁定黑产团伙人员。
例如,当该使用信息包括工具使用时间和工具使用地点时,上述步骤“根据 该风险类型、该使用信息和该黑产工具集生成该至少一个黑产设备组中每个黑 产设备组的关联信息”,具体包括:
从同一该黑产设备组对应的风险类型中,确定对应黑产设备组的重点风险 类型;
根据同一该黑产设备组对应的工具使用地点,确定对应黑产设备组的重点 使用区域;
根据同一该黑产设备组对应的工具使用时间,确定对应黑产设备组的重点 使用时段;
根据该重点风险类型、该重点使用区域、该重点使用时段和该黑产工具集, 生成对应黑产设备组的关联信息。
本实施例中,可以统计同一黑产设备组中涉及最多的风险类型,作为黑产 团伙的重点风险类型,统计同一黑产设备组中涉及最多的工具使用地点,根据 该工具使用地点确定黑产团伙的重点使用区域,统计同一黑产设备组中涉及最 多的工具使用时间,根据该工具使用时间确定黑产团伙的重点使用时段。
例如,当该使用信息包括预设时长内采集的多个设备位置时,上述步骤“根 据该风险类型、该使用信息和该黑产工具集生成该至少一个黑产设备组中每个 黑产设备组的关联信息”,具体包括:
根据该多个设备位置确定预估移动方向;
根据该多个设备位置和预设时长确定预估移动速度;
根据该预估移动方向和预估移动速度确定目标移动位置;
根据该风险类型、该目标移动位置和该黑产工具集生成对应黑产设备组的 关联信息。
本实施例中,当确定出黑产设备组时,可以监控黑产设备组的实时位置, 以预估其移动情况,从而方便后续警方根据移动情况抓捕黑产团伙,其中,可 以按照检测顺序对设备位置进行排序,并根据排序后的设备位置确定大致移动 方向,可以计算相邻两次检测的设备位置之间的距离和所耗时长,根据这些距 离和所耗时长计算预估移动速度,之后,可以在预估移动方向上基于一定时长 和预估移动速度预估设备位置,得到目标移动位置。
例如,该查询参考信息包括设备组标识、工具标识、网络协议地址或设备 标识,此时,上述步骤“根据该查询参考信息和该查询数据库进行黑产团伙查询”, 具体包括:
根据该查询参考信息从该查询数据库中搜索出对应的黑产设备组,并获取 该搜索出的黑产设备组对应的关联信息;
根据该获取的关联信息和该搜索出的黑产设备组,生成对应黑产团伙的查 询结果界面;
向用户提供该查询结果界面。
本实施例中,该查询结果界面上可以包括关联信息、以及与黑产设备组有 关的其他信息,比如请参见图4,图4为专门设计的一个网络犯罪感知系统的 查询结果界面,界面左侧可以显示黑产团伙的基本信息,包括黑产团伙的编号 (也即设备组标识)、团伙登陆地总数(也即工具使用地总数)、重要风险类 型、重点使用区域、最新举报时间、举报人数以及团伙作案设备数(也即目标 黑产设备组中设备数量)等,界面右侧可以显示一个地图,地图上示意出所有 的工具使用地点(也即作案地点),从而方便用户可以更直观的了解黑产团伙。
需要说明的是,该查询数据库除了可以为用户提供黑产团伙信息的查询功 能,还可以根据自身存储数据对网络犯罪的发展趋势进行分析,生成一个犯罪 变化趋势界面,该趋势发展界面上可以展示近期所有网络犯罪类型的变化趋势, 比如,请参见图5,图5展示了2018/07-2018/11之间,网络诈骗、交易诈骗、 低价利诱诈骗、兼职诈骗以及黄赌毒这5种犯罪类型的变化趋势,其中,该犯 罪辩护趋势界面上包括全国网络犯罪风险指数变化趋势图、全国网络犯罪风险 类型分布图、全国网络犯罪风险类型变化趋势图以及全国网络黑产团伙数量变 化趋势图等信息。
由上述可知,本申请提供的设备聚类方法,通过获取多个目标黑产工具, 并确定每个目标黑产工具对应的至少一个黑产设备,以得到多个黑产设备,其 中该至少一个黑产设备为使用过对应目标黑产工具的设备,之后根据该多个目 标黑产工具对该多个黑产设备进行聚类,以得到至少一个黑产设备组,其中该 至少一个黑产设备组中的每个黑产设备组属于相同的黑产团伙,且每个该黑产 设备组包括至少一个黑产设备,从而根据作案工具在线识别黑产团伙,无需专 业人员参与,使用局限性小,实用性强,可靠性高。
根据上述实施例所描述的方法,以下将以该设备聚类方法应用于电子设备 中为例进行详细说明。
请参见图6,图6为本申请实施例提供的设备聚类方法的流程示意图,包 括以下步骤:
S201.获取多个目标黑产工具,并确定该多个目标黑产工具中每个目标黑产 工具对应的至少一个黑产设备,以得到多个黑产设备,其中该至少一个黑产设 备为使用过对应目标黑产工具的设备。
譬如,用户可以每天定时或不定时输入一些黑产工具作为目标黑产工具, 或者,可以实时记录发现的黑产工具并周期性进行汇总,将每次汇总的黑产工 具作为目标黑产工具,该黑产设备是指使用过(比如登陆过)该目标黑产工具 的设备。
S202.将该多个目标黑产工具添加到黑产工具集中;当该多个黑产设备中 的任一个黑产设备使用了除该目标黑产工具之外的剩余黑产工具时,将该剩余 黑产工具添加到该黑产工具集中。
譬如,若目标黑产工具包括a和b,使用过a的黑产设备包括A1和A2, 使用过b的黑产设备包括A1和C1,此时,可以检查黑产设备A1、A2和C1 各自是否还使用了其他黑产工具,比如假设A1还使用了黑产工具c,A2还使 用了黑产工具d和c,则黑产工具集可以包括a、b、c和d。
S203.当该多个黑产设备中任意两个黑产设备使用过该黑产工具集中相同 的黑产工具时,确定该相同的黑产工具的工具数量。
S204.当该工具数量大于或等于预定阈值时,将对应两个黑产设备合并为 同一黑产设备组;当该工具数量小于预定阈值时,将对应两个黑产设备归为不 同的黑产设备组,其中该预定阈值是大于或等于1的自然数。
譬如,在黑产设备A1、A2和C1中,可以分别统计A1和A2之间,A1 和C1之间、以及A2和C1之间登陆过几个相同的黑产工具,若预定阈值为2, 则可以认为只有使用过至少两个相同的黑产工具的黑产设备才属于同一黑产团 伙,才将它们分到同一黑产设备组,否则分到不同的黑产设备组,从而实现对 这些黑产设备的聚类。
S205.确定该黑产工具集中每个黑产工具所属的风险类型,并获取该至少 一个黑产设备组中每个黑产设备的使用信息,该使用信息包括所使用的网络协 议地址、工具使用时间、被举报信息、工具使用地点和/或预设时长内采集的多 个设备位置。
S206.根据该风险类型、该使用信息和该黑产工具集生成该至少一个黑产 设备组中每个黑产设备组的关联信息,并根据该关联信息和对应黑产设备组创 建查询数据库。
譬如,可以根据使用信息确定每个黑产团伙对于黑产工具的重点使用时段、 重点使用区域、所使用的IP地址、涉及的重点风险类型、举报总人数、作案设 备数、使用地点数、最近举报时间以及预估移动位置等信息,并建立这些信息 与黑产团伙的团伙编号(也即黑产设备组的组标识)之间的关联,除此之外, 该查询数据库也可以建立每个黑产设备的设备标识与使用信息之间的关联,将 这些关联关系存储在查询数据库中,以创建查询数据库。
S207.获取团伙查询指令,该团伙查询指令携带查询参考信息,该查询参 考信息包括设备组标识、工具标识、网络协议地址或设备标识。
S208.根据该查询参考信息从该查询数据库中搜索出对应的黑产设备组, 并获取该搜索出的黑产设备组对应的关联信息。
譬如,请参见图7,当用户想查询某个黑产团伙的信息时,可以进入网络 犯罪感知系统的搜索界面,在该搜索界面上的输入框中输入已知的查询参考信 息,比如黑产团伙中某个已知成员所使用设备的网络协议地址或设备标识,所 使用黑产工具的工具标识,或者黑产团伙的编号等,当用户点击搜索按钮时, 可以生成团伙查询指令,以根据该团伙查询指令中携带的查询参考信息在查询 数据库中查询相应黑产团伙的关联信息。
S209.根据该获取的关联信息和该搜索出的黑产设备组,生成对应黑产团 伙的查询结果界面,并向用户提供该查询结果界面。
譬如,在图7中,用户点击搜索按钮后,电子设备在查询数据库进行查询 操作后,会返回一个查询结果界面,该查询结果界面的左侧可以显示黑产团伙 的基本信息,包括黑产团伙的编号(也即设备组标识)、团伙登陆地、重要风 险类型、最新举报时间、举报人数、团伙作案设备数(也即目标黑产设备组中 设备数量)、以及工具使用地点数量等,界面右侧可以显示一个地图,该地图 上示意出所有的工具使用地点(也即作案地点),从而方便用户可以更直观的 了解黑产团伙。
根据上述实施例所描述的方法,本实施例将从设备聚类装置的角度进一步 进行描述,该设备聚类装置具体可以作为独立的实体来实现,也可以集成在电 子设备中。
请参阅图8,图8具体描述了本申请实施例提供的设备聚类装置,应用于 电子设备,该设备聚类装置可以包括:获取模块10、确定模块20和聚类模块 30,其中:
(1)获取模块10
获取模块10,用于获取多个目标黑产工具。
本实施例中,用户可以每天定时或不定时输入一些黑产工具作为目标黑产 工具,或者,可以实时记录发现的黑产工具并周期性进行汇总,将每次汇总的 黑产工具作为目标黑产工具,其中,该黑产工具包括但不限于网络黑产团伙所 使用的具有统一名称的文档如《话术》,各种刷单软件,各种自动注册机,社 交账号等等,不同的黑产工具通常具有工具标识,该工具标识可以是人为设定 的工具名称或者字符编码,用于唯一识别该黑产工具。
(2)确定模块20
确定模块20,用于确定该多个目标黑产工具中每个目标黑产工具对应的至 少一个黑产设备,以得到多个黑产设备,其中该至少一个黑产设备为使用过对 应目标黑产工具的设备。
本实施例中,该黑产设备是指使用过(比如登陆过)对应目标黑产工具的 设备,同一目标黑产工具的黑产设备可以为多个,每个黑产设备可以使用多个 目标黑产工具。
(3)聚类模块30
聚类模块30,用于根据该多个目标黑产工具对该多个黑产设备进行聚类, 以得到至少一个黑产设备组,其中该至少一个黑产设备组中的每个黑产设备组 属于相同的黑产团伙,且每个该黑产设备组包括至少一个黑产设备。
本实施例中,单个黑产设备组通常是单个黑产团伙所使用的作案设备,也 即可以基于黑产设备组对黑产团伙进行区分,每个黑产设备组可以设置一个设 备组标识,用于唯一识别相应黑产团伙,不同黑产设备组代表不同黑产团伙。
具体的,可以根据目标黑产工具、以及目标黑产工具与黑产设备的对应使 用关系来对黑产设备进行聚类,例如,请参见图9,该聚类模块30具体包括:
第一确定单元31,用于根据该多个目标黑产工具确定黑产工具集,该黑产 工具集中包括至少一个黑产工具。
本实施例中,可以直接将多个目标黑产工具作为黑产工具集,也可以检查 当前这些黑产设备是否还使用了其他黑产工具,将这些黑产设备使用的所有黑 产工具作为黑产工具集,也即,该第一确定单元用于:
将该多个目标黑产工具添加到黑产工具集中;
当该多个黑产设备中的任一个黑产设备使用了除该目标黑产工具之外的剩 余黑产工具时,将该剩余黑产工具添加到该黑产工具集中。
比如,若目标黑产工具包括a和b,使用过a的黑产设备包括A1和A2, 使用过b的黑产设备包括A1和C1,则黑产工具集可以只包括a和b,或者, 也可以检查黑产设备A1、A2和C1各自是否还使用了其他黑产工具,比如假 设A1还使用了黑产工具c,A2还使用了黑产工具d和c,则黑产工具集可以 包括a、b、c和d。
第二确定单元32,用于当该多个黑产设备中任意两个黑产设备使用过该黑 产工具集中相同的黑产工具时,确定该相同的黑产工具的工具数量。
比如,在黑产设备A1、A2和C1中,可以分别统计A1和A2之间,A1 和C1之间、以及A2和C1之间登陆过几个相同的黑产工具。
聚类单元33,用于根据该工具数量对该多个黑产设备进行聚类,以得到至 少一个黑产设备组。
例如,该聚类单元33具体用于:
当该工具数量大于或等于预定阈值时,将对应两个黑产设备合并为同一黑 产设备组;
当该工具数量小于预定阈值时,将对应两个黑产设备归为不同的黑产设备 组,其中该预定阈值是大于或等于1的自然数。
本实施例中,该预定阈值可以人为设定,比如1或2,当预定阈值为1时, 可以认为只要使用过同一黑产工具的黑产设备就属于同一黑产团伙,当预定阈 值为2时,可以认为只有使用过两个相同的黑产工具的黑产设备才属于同一黑 产团伙,而未使用过相同的黑产工具,或者只使用过一个相同的黑产工具的黑 产设备,属于不同的黑产团伙。
此外,请参见图10,该设备聚类装置还包括查询模块40,用于:
在该聚类模块30根据该工具数量对该多个黑产设备进行聚类,以得到至少 一个黑产设备组之后,根据该至少一个黑产设备组和该黑产工具集创建查询数 据库;
获取团伙查询指令,该团伙查询指令携带查询参考信息;
根据该查询参考信息和该查询数据库进行黑产团伙查询。
本实施例中,在创建查询数据库时,可以基于黑产设备组中每个黑产设备 的设备标识、黑产设备组的组标识以及每个黑产工具的工具标识来创建,以便 用户能唯一识别该黑产设备、黑产设备组(或黑产团伙)和黑产工具,其中, 该设备标识可以是IMEI号(International Mobile Equipment Identity,国际移动 设备识别码)等用于识别设备的标识,该组标识可以是人为设定的团伙编号, 比如AJLY…0009。
当查询数据库创建好后,用户可以通过指定搜索界面搜索需要了解的黑产 团伙的信息,该搜索方式很灵活,比如可以通过该黑产团伙中某个已知成员所 使用设备的网络协议地址或设备标识,所使用黑产工具的工具标识,或者黑产 团伙的编号(也即设备组标识)等多种方式来搜索黑产团伙的信息,该搜索界 面可提供的搜索方式主要取决于查询数据库的存储内容。请参见图3,图3为 犯罪感知系统提供的搜索界面,其上设有搜索框,用户可以通过客户端在该搜 索框中输入已知信息(也即查询参考信息),比如IMEI号、IP地址或者团伙 编号(也即设备组标识),以从多个维度对黑产团伙进行查询。当用户点击该 搜索界面上的搜索按钮时,可以生成携带该查询参考信息的查询指令.
其中,在创建查询数据库时,该查询模块40具体用于:
确定该黑产工具集中每个黑产工具所属的风险类型;
获取该至少一个黑产设备组中每个黑产设备的使用信息,该使用信息包括 所使用的网络协议地址、工具使用时间、被举报信息、工具使用地点和/或预设 时长内采集的多个设备位置;
根据该风险类型、该使用信息和该黑产工具集生成该至少一个黑产设备组 中每个黑产设备组的关联信息;
根据该关联信息和对应黑产设备组创建查询数据库。
本实施例中,该风险类型主要用于限定每个黑产工具所从事的网络犯罪活 动的犯罪类型,其可以包括交易公民信息,交易违规商品、服务,敲诈勒索, 网络传销,诈骗,黄赌毒,贩卖野生物及制品等类型。该预设时长可以人为设 定,比如近一个月。该网络协议地址、工具使用时间、被举报信息、工具使用 地点和预设时长内采集的多个设备位置这些信息中,可以单个作为使用信息, 也可以多个结合作为使用信息,通常,使用信息的内容越丰富,相应生成的关 联信息内容也越丰富。
在该使用信息中,该网络协议地址为IP地址,该工具使用时间主要用于确 定黑产团伙的主要犯罪时间,该工具使用地点主要用于确定黑产团伙的主要犯 罪地点,其可以根据IP地址和网络端口确定,主要表现为区域范围,比如x国 家x省x市x区。该设备位置是每次设备检测或上报的地理位置,并非每次使 用黑产工具时的位置,其主要用于分析黑产团伙的移动情况,从而预判下一移 动地点,该设备位置可以是GPS地址,主要表现为精准地址。该被举报信息可 以包括被举报次数和举报时间。该关联信息主要用于指示每个黑产团伙的IP地 址、主要犯罪类型、主要犯罪地点、主要犯罪时间、下一预估移动地点和/或被 举报总次数、最近一次举报时间等信息,其具体内容取决于使用信息的内容。
需要指出的是,除了设备标识外,该关联信息还可以包括手机号码、与手 机号码绑定的身份证号码等用户标识,从而更利于锁定黑产团伙人员。
例如,当该使用信息包括工具使用时间和工具使用地点时,该查询模块40 具体用于:
从同一该黑产设备组对应的风险类型中,确定对应黑产设备组的重点风险 类型;
根据同一该黑产设备组对应的工具使用地点,确定对应黑产设备组的重点 使用区域;
根据同一该黑产设备组对应的工具使用时间,确定对应黑产设备组的重点 使用时段;
根据该重点风险类型、该重点使用区域、该重点使用时段和该黑产工具集, 生成对应黑产设备组的关联信息。
本实施例中,可以统计同一黑产设备组中涉及最多的风险类型,作为黑产 团伙的重点风险类型,统计同一黑产设备组中涉及最多的工具使用地点,根据 该工具使用地点确定黑产团伙的重点使用区域,统计同一黑产设备组中涉及最 多的工具使用时间,根据该工具使用时间确定黑产团伙的重点使用时段。
例如,当该使用信息包括预设时长内采集的多个设备位置时,该查询模块 40具体用于:
根据该多个设备位置确定预估移动方向;
根据该多个设备位置和预设时长确定预估移动速度;
根据该预估移动方向和预估移动速度确定目标移动位置;
根据该风险类型、该目标移动位置和该黑产工具集生成对应黑产设备组的 关联信息。
本实施例中,当确定出黑产设备组时,可以监控黑产设备组的实时位置, 以预估其移动情况,从而方便后续警方根据移动情况抓捕黑产团伙,其中,可 以按照检测顺序对设备位置进行排序,并根据排序后的设备位置确定大致移动 方向,可以计算相邻两次检测的设备位置之间的距离和所耗时长,根据这些距 离和所耗时长计算预估移动速度,之后,可以在预估移动方向上基于一定时长 和预估移动速度预估设备位置,得到目标移动位置。
例如,该查询参考信息包括设备组标识、工具标识、网络协议地址或设备 标识,此时,该查询模块40具体用于:
根据该查询参考信息从该查询数据库中搜索出对应的黑产设备组,并获取 该搜索出的黑产设备组对应的关联信息;
根据该获取的关联信息和该搜索出的黑产设备组,生成对应黑产团伙的查 询结果界面;
向用户提供该查询结果界面。
本实施例中,该查询结果界面上可以包括关联信息、以及与黑产设备组有 关的其他信息,比如请参见图4,图4为专门设计的一个网络犯罪感知系统的 查询结果界面,界面左侧可以显示黑产团伙的基本信息,包括黑产团伙的编号 (也即设备组标识)、团伙登陆地总数(也即工具使用地总数)、重要风险类 型、重点使用区域、最新举报时间、举报人数以及团伙作案设备数(也即目标 黑产设备组中设备数量)等,界面右侧可以显示一个地图,地图上示意出所有 的工具使用地点(也即作案地点),从而方便用户可以更直观的了解黑产团伙。
需要说明的是,该查询数据库除了可以为用户提供黑产团伙信息的查询功 能,还可以根据自身存储数据对网络犯罪的发展趋势进行分析,生成一个犯罪 变化趋势界面,该趋势发展界面上可以展示近期所有网络犯罪类型的变化趋势, 比如,请参见图5,图5展示了2018/07-2018/11之间,网络诈骗、交易诈骗、 低价利诱诈骗、兼职诈骗以及黄赌毒这5种犯罪类型的变化趋势,其中,该犯 罪辩护趋势界面上包括全国网络犯罪风险指数变化趋势图、全国网络犯罪风险 类型分布图、全国网络犯罪风险类型变化趋势图以及全国网络黑产团伙数量变 化趋势图等信息。
具体实施时,以上各个单元可以作为独立的实体来实现,也可以进行任意 组合,作为同一或若干个实体来实现,以上各个单元的具体实施可参见前面的 方法实施例,在此不再赘述。
由上述可知,本实施例提供的设备聚类装置,通过获取模块10获取多个目 标黑产工具,确定模块20确定每个目标黑产工具对应的至少一个黑产设备,以 得到多个黑产设备,其中该至少一个黑产设备为使用过对应目标黑产工具的设 备,之后聚类模块30根据该多个目标黑产工具对该多个黑产设备进行聚类,以 得到至少一个黑产设备组,其中该至少一个黑产设备组中的每个黑产设备组属 于相同的黑产团伙,且每个该黑产设备组包括至少一个黑产设备,从而根据作 案工具在线识别黑产团伙,无需专业人员参与,使用局限性小,实用性强,可 靠性高。
相应的,本发明实施例还提供一种设备查询系统,包括本发明实施例所提 供的任一种设备聚类装置,该设备聚类装置可以集成在电子设备中。
其中,电子设备可以获取多个目标黑产工具;确定该多个目标黑产工具中 每个目标黑产工具对应的至少一个黑产设备,以得到多个黑产设备,其中该至 少一个黑产设备为使用过对应目标黑产工具的设备;根据该多个目标黑产工具 对该多个黑产设备进行聚类,以得到至少一个黑产设备组,其中该至少一个黑 产设备组中的每个黑产设备组属于相同的黑产团伙,且每个该黑产设备组包括 至少一个黑产设备。
以上各个设备的具体实施可参见前面的实施例,在此不再赘述。
由于该设备查询系统可以包括本发明实施例所提供的任一种设备聚类装置, 因此,可以实现本发明实施例所提供的任一种设备聚类装置所能实现的有益效 果,详见前面的实施例,在此不再赘述。
相应的,本发明实施例还提供一种电子设备,如图11所示,其示出了本发 明实施例所涉及的电子设备的结构示意图,具体来讲:
该电子设备可以包括一个或者一个以上处理核心的处理器401、一个或一 个以上计算机可读存储介质的存储器402、射频(Radio Frequency,RF)电路 403、电源404、输入单元405、以及显示单元406等部件。本领域技术人员可 以理解,图11中示出的电子设备结构并不构成对电子设备的限定,可以包括比 图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器401是该电子设备的控制中心,利用各种接口和线路连接整个电子 设备的各个部分,通过运行或执行存储在存储器402内的软件程序和/或模块, 以及调用存储在存储器402内的数据,执行电子设备的各种功能和处理数据, 从而对电子设备进行整体监控。可选的,处理器401可包括一个或多个处理核 心;优选的,处理器401可集成应用处理器和调制解调处理器,其中,应用处 理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无 线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器401中。
存储器402可用于存储软件程序以及模块,处理器401通过运行存储在存 储器402的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器 402可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、 至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存 储数据区可存储根据电子设备的使用所创建的数据等。此外,存储器402可以 包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存 储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器402还可以 包括存储器控制器,以提供处理器401对存储器402的访问。
RF电路403可用于收发信息过程中,信号的接收和发送,特别地,将基站 的下行信息接收后,交由一个或者一个以上处理器401处理;另外,将涉及上 行的数据发送给基站。通常,RF电路403包括但不限于天线、至少一个放大器、 调谐器、一个或多个振荡器、用户身份模块(SIM)卡、收发信机、耦合器、 低噪声放大器(LNA,Low Noise Amplifier)、双工器等。此外,RF电路403 还可以通过无线通信与网络和其他设备通信。该无线通信可以使用任一通信标 准或协议,包括但不限于全球移动通讯系统(GSM,Global System of Mobilecommunication)、通用分组无线服务(GPRS,General Packet Radio Service)、 码分多址(CDMA,Code Division Multiple Access)、宽带码分多址(WCDMA, Wideband CodeDivision Multiple Access)、长期演进(LTE,Long Term Evolution)、 电子邮件、短消息服务(SMS,Short Messaging Service)等。
电子设备还包括给各个部件供电的电源404(比如电池),优选的,电源 404可以通过电源管理系统与处理器401逻辑相连,从而通过电源管理系统实 现管理充电、放电、以及功耗管理等功能。电源404还可以包括一个或一个以 上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变 器、电源状态指示器等任意组件。
该电子设备还可包括输入单元405,该输入单元405可用于接收输入的数 字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、 光学或者轨迹球信号输入。具体地,在一个具体的实施例中,输入单元405可 包括触敏表面以及其他输入设备。触敏表面,也称为触摸显示屏或者触控板, 可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的 物体或附件在触敏表面上或在触敏表面附近的操作),并根据预先设定的程式 驱动相应的连接装置。可选的,触敏表面可包括触摸检测装置和触摸控制器两 个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息, 并将它转换成触点坐标,再送给处理器401,并能接收处理器401发来的命令 并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类 型实现触敏表面。除了触敏表面,输入单元405还可以包括其他输入设备。具 体地,其他输入设备可以包括但不限于物理键盘、功能键(比如音量控制按键、 开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
该电子设备还可包括显示单元406,该显示单元406可用于显示由用户输 入的信息或提供给用户的信息以及电子设备的各种图形用户接口,这些图形用 户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元406可 包括显示面板,可选的,可以采用液晶显示器(LCD,Liquid Crystal Display)、 有机发光二极管(OLED,Organic Light-Emitting Diode)等形式来配置显示面 板。进一步的,触敏表面可覆盖显示面板,当触敏表面检测到在其上或附近的 触摸操作后,传送给处理器401以确定触摸事件的类型,随后处理器401根据 触摸事件的类型在显示面板上提供相应的视觉输出。虽然在图11中,触敏表面 与显示面板是作为两个独立的部件来实现输入和输入功能,但是在某些实施例 中,可以将触敏表面与显示面板集成而实现输入和输出功能。
尽管未示出,电子设备还可以包括摄像头、蓝牙模块等,在此不再赘述。 具体在本实施例中,电子设备中的处理器401会按照如下的指令,将一个或一 个以上的应用程序的进程对应的可执行文件加载到存储器402中,并由处理器 401来运行存储在存储器402中的应用程序,从而实现各种功能,如下:
获取多个目标黑产工具;
确定该多个目标黑产工具中每个目标黑产工具对应的至少一个黑产设备, 以得到多个黑产设备,其中该至少一个黑产设备为使用过对应目标黑产工具的 设备;
根据该多个目标黑产工具对该多个黑产设备进行聚类,以得到至少一个黑 产设备组,其中该至少一个黑产设备组中的每个黑产设备组属于相同的黑产团 伙,且每个该黑产设备组包括至少一个黑产设备。
该电子设备可以实现本发明实施例所提供的任一种设备聚类装置所能实现 的有效效果,详见前面的实施例,在此不再赘述。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤 是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存 储介质中,存储介质可以包括:只读存储器(ROM,Read Only Memory)、随 机存取记忆体(RAM,RandomAccess Memory)、磁盘或光盘等。
以上对本发明实施例所提供的一种设备聚类方法、装置、存储介质和电子 设备进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行 了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同 时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围 上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (15)

1.一种设备聚类方法,其特征在于,包括:
获取多个目标黑产工具;
确定所述多个目标黑产工具中每个目标黑产工具对应的至少一个黑产设备,以得到多个黑产设备,其中所述至少一个黑产设备为使用过对应目标黑产工具的设备;
根据所述多个目标黑产工具对所述多个黑产设备进行聚类,以得到至少一个黑产设备组,其中所述至少一个黑产设备组中的每个黑产设备组属于相同的黑产团伙,且每个所述黑产设备组包括至少一个黑产设备。
2.根据权利要求1所述的设备聚类方法,其特征在于,所述根据所述多个目标黑产工具对所述多个黑产设备进行聚类,以得到至少一个黑产设备组,包括:
根据所述多个目标黑产工具确定黑产工具集,所述黑产工具集中包括至少一个黑产工具;
当所述多个黑产设备中任意两个黑产设备使用过所述黑产工具集中相同的黑产工具时,确定所述相同的黑产工具的工具数量;
根据所述工具数量对所述多个黑产设备进行聚类,以得到至少一个黑产设备组。
3.根据权利要求2所述的设备聚类方法,其特征在于,所述根据所述工具数量对所述多个黑产设备进行聚类,包括:
当所述工具数量大于或等于预定阈值时,将对应两个黑产设备合并为同一黑产设备组;
当所述工具数量小于预定阈值时,将对应两个黑产设备归为不同的黑产设备组,其中所述预定阈值是大于或等于1的自然数。
4.根据权利要求2所述的设备聚类方法,其特征在于,所述根据所述多个目标黑产工具确定黑产工具集,包括:
将所述多个目标黑产工具添加到黑产工具集中;
当所述多个黑产设备中的任一个黑产设备使用了除所述目标黑产工具之外的剩余黑产工具时,将所述剩余黑产工具添加到所述黑产工具集中。
5.根据权利要求2-4中任一项所述的设备聚类方法,其特征在于,在根据所述工具数量对所述多个黑产设备进行聚类,以得到至少一个黑产设备组之后,还包括:
根据所述至少一个黑产设备组和所述黑产工具集创建查询数据库;
获取团伙查询指令,所述团伙查询指令携带查询参考信息;
根据所述查询参考信息和所述查询数据库进行黑产团伙查询。
6.根据权利要求5所述的设备聚类方法,其特征在于,所述根据所述至少一个黑产设备组和所述黑产工具集创建查询数据库,包括:
确定所述黑产工具集中每个黑产工具所属的风险类型;
获取所述至少一个黑产设备组中每个黑产设备的使用信息,所述使用信息包括所使用的网络协议地址、工具使用时间、被举报信息、工具使用地点和/或预设时长内采集的多个设备位置;
根据所述风险类型、所述使用信息和所述黑产工具集生成所述至少一个黑产设备组中每个黑产设备组的关联信息;
根据所述关联信息和对应黑产设备组创建查询数据库。
7.根据权利要求6所述的设备聚类方法,其特征在于,当所述使用信息包括工具使用时间和工具使用地点时,所述根据所述风险类型、所述使用信息和所述黑产工具集生成所述至少一个黑产设备组中每个黑产设备组的关联信息,包括:
从同一所述黑产设备组对应的风险类型中,确定对应黑产设备组的重点风险类型;
根据同一所述黑产设备组对应的工具使用地点,确定对应黑产设备组的重点使用区域;
根据同一所述黑产设备组对应的工具使用时间,确定对应黑产设备组的重点使用时段;
根据所述重点风险类型、所述重点使用区域、所述重点使用时段和所述黑产工具集,生成对应黑产设备组的关联信息。
8.根据权利要求6所述的设备聚类方法,其特征在于,当所述使用信息包括预设时长内采集的多个设备位置时,所述根据所述风险类型、所述使用信息和所述黑产工具集生成所述至少一个黑产设备组中每个黑产设备组的关联信息,包括:
根据所述多个设备位置确定预估移动方向;
根据所述多个设备位置和预设时长确定预估移动速度;
根据所述预估移动方向和预估移动速度确定目标移动位置;
根据所述风险类型、所述目标移动位置和所述黑产工具集生成对应黑产设备组的关联信息。
9.根据权利要求6所述的设备聚类方法,其特征在于,所述查询参考信息包括设备组标识、工具标识、网络协议地址或设备标识,所述根据所述查询参考信息和所述查询数据库进行黑产团伙查询,包括:
根据所述查询参考信息从所述查询数据库中搜索出对应的黑产设备组,并获取所述搜索出的黑产设备组对应的关联信息;
根据所述获取的关联信息和所述搜索出的黑产设备组,生成对应黑产团伙的查询结果界面;
向用户提供所述查询结果界面。
10.一种设备聚类装置,其特征在于,包括:
获取模块,用于获取多个目标黑产工具;
确定模块,用于确定所述多个目标黑产工具中每个目标黑产工具对应的至少一个黑产设备,以得到多个黑产设备,其中所述至少一个黑产设备为使用过对应目标黑产工具的设备;
聚类模块,用于根据所述多个目标黑产工具对所述多个黑产设备进行聚类,以得到至少一个黑产设备组,其中所述至少一个黑产设备组中的每个黑产设备组属于相同的黑产团伙,且每个所述黑产设备组包括至少一个黑产设备。
11.根据权利要求10所述的设备聚类装置,其特征在于,所述聚类模块具体包括:
第一确定单元,用于根据所述多个目标黑产工具确定黑产工具集,所述黑产工具集中包括至少一个黑产工具;
第二确定单元,用于当所述多个黑产设备中任意两个黑产设备使用过所述黑产工具集中相同的黑产工具时,确定所述相同的黑产工具的工具数量;
聚类单元,用于根据所述工具数量对所述多个黑产设备进行聚类,以得到至少一个黑产设备组。
12.根据权利要求11所述的设备聚类装置,其特征在于,所述聚类单元具体用于:
当所述工具数量大于或等于预定阈值时,将对应两个黑产设备合并为同一黑产设备组;
当所述工具数量小于预定阈值时,将对应两个黑产设备归为不同的黑产设备组,其中所述预定阈值是大于或等于1的自然数。
13.根据权利要求11所述的设备聚类装置,其特征在于,所述第二确定单元用于:
将所述多个目标黑产工具添加到黑产工具集中;
当所述多个黑产设备中的任一个黑产设备使用了除所述目标黑产工具之外的剩余黑产工具时,将所述剩余黑产工具添加到所述黑产工具集中。
14.一种计算机可读存储介质,其特征在于,所述存储介质中存储有多条指令,所述指令适于由处理器加载以执行权利要求1至9任一项所述的设备聚类方法。
15.一种电子设备,其特征在于,包括处理器和存储器,所述处理器与所述存储器电性连接,所述存储器用于存储指令和数据,所述处理器用于执行权利要求1至9任一项所述的设备聚类方法中的步骤。
CN201911108828.8A 2019-11-13 2019-11-13 设备聚类方法、装置、存储介质及电子设备 Active CN112801837B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911108828.8A CN112801837B (zh) 2019-11-13 2019-11-13 设备聚类方法、装置、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911108828.8A CN112801837B (zh) 2019-11-13 2019-11-13 设备聚类方法、装置、存储介质及电子设备

Publications (2)

Publication Number Publication Date
CN112801837A true CN112801837A (zh) 2021-05-14
CN112801837B CN112801837B (zh) 2023-12-29

Family

ID=75803348

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911108828.8A Active CN112801837B (zh) 2019-11-13 2019-11-13 设备聚类方法、装置、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN112801837B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113515612A (zh) * 2021-06-23 2021-10-19 中国联合网络通信集团有限公司 一种黑产手机号识别方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180097828A1 (en) * 2016-09-30 2018-04-05 Yahoo! Inc. Computerized system and method for automatically determining malicious ip clusters using network activity data
CN109525595A (zh) * 2018-12-25 2019-03-26 广州华多网络科技有限公司 一种基于时间流特征的黑产账号识别方法及设备
CN110335032A (zh) * 2019-05-08 2019-10-15 北京芯盾时代科技有限公司 业务处理方法及装置
CN110413707A (zh) * 2019-07-22 2019-11-05 百融云创科技股份有限公司 互联网中欺诈团伙关系的挖掘与排查方法及其系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180097828A1 (en) * 2016-09-30 2018-04-05 Yahoo! Inc. Computerized system and method for automatically determining malicious ip clusters using network activity data
CN109525595A (zh) * 2018-12-25 2019-03-26 广州华多网络科技有限公司 一种基于时间流特征的黑产账号识别方法及设备
CN110335032A (zh) * 2019-05-08 2019-10-15 北京芯盾时代科技有限公司 业务处理方法及装置
CN110413707A (zh) * 2019-07-22 2019-11-05 百融云创科技股份有限公司 互联网中欺诈团伙关系的挖掘与排查方法及其系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113515612A (zh) * 2021-06-23 2021-10-19 中国联合网络通信集团有限公司 一种黑产手机号识别方法及装置
CN113515612B (zh) * 2021-06-23 2023-06-02 中国联合网络通信集团有限公司 一种黑产手机号识别方法及装置

Also Published As

Publication number Publication date
CN112801837B (zh) 2023-12-29

Similar Documents

Publication Publication Date Title
CN108429721B (zh) 一种网络爬虫的识别方法及装置
CN104426844B (zh) 一种安全认证方法、服务器以及安全认证系统
US11240777B2 (en) Device positioning method and apparatus
CN108280115A (zh) 识别用户关系的方法及装置
CN103959745A (zh) 监视应用程序资源消耗
CN110363076A (zh) 人员信息关联方法、装置及终端设备
CN110019626B (zh) 一种人口分布信息的确定方法及相关装置
CN112311612B (zh) 一种信息构建方法、装置及存储介质
CN102831662A (zh) 一种考勤方法
CN111125523A (zh) 搜索方法、装置、终端设备及存储介质
CN108809805B (zh) 一种信息交互方法、系统及公众账号客户端
CN113537685A (zh) 一种数据处理方法和装置
CN111190950B (zh) 一种资产检索方法和装置
US10674473B2 (en) Determining high value geographic locations
CN112801837B (zh) 设备聚类方法、装置、存储介质及电子设备
CN111314177B (zh) 一种基于无线信号的作息时段识别方法以及相关装置
CN104967648B (zh) 一种网际协议地址的调度方法、装置和系统
CN110191097A (zh) 登录页面安全性的检测方法、系统、设备及存储介质
CN106777019A (zh) 一种HBase系统的监控方法及监控服务器
CN115984643A (zh) 模型训练方法、相关设备及存储介质
CN112261595A (zh) 事件提醒方法、装置、存储介质及移动终端
CN106357481B (zh) 一种用电安全管理方法及系统
CN107016598B (zh) 一种虚拟物品的续费方法及装置
CN106156246A (zh) 一种公众号的查询方法、装置和系统
CN115062197A (zh) 考勤数据检测方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40048352

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant