CN113098870B - 一种网络诈骗检测方法、装置、电子设备及存储介质 - Google Patents

一种网络诈骗检测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN113098870B
CN113098870B CN202110357388.0A CN202110357388A CN113098870B CN 113098870 B CN113098870 B CN 113098870B CN 202110357388 A CN202110357388 A CN 202110357388A CN 113098870 B CN113098870 B CN 113098870B
Authority
CN
China
Prior art keywords
website
suspected
target
phishing
historical
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110357388.0A
Other languages
English (en)
Other versions
CN113098870A (zh
Inventor
柴致海
黄晓青
高华
尚程
傅强
蔡琳
梁彧
田野
王杰
杨满智
金红
陈晓光
全俊斌
胡俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Eversec Beijing Technology Co Ltd
Original Assignee
Eversec Beijing Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Eversec Beijing Technology Co Ltd filed Critical Eversec Beijing Technology Co Ltd
Priority to CN202110357388.0A priority Critical patent/CN113098870B/zh
Publication of CN113098870A publication Critical patent/CN113098870A/zh
Application granted granted Critical
Publication of CN113098870B publication Critical patent/CN113098870B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/18Legal services

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Tourism & Hospitality (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Strategic Management (AREA)
  • Marketing (AREA)
  • General Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Economics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Primary Health Care (AREA)
  • Technology Law (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明实施例公开了一种网络诈骗检测方法、装置、电子设备及存储介质。该方法包括:获取目标网络诈骗案件中,受害人在案件过程中的历史网络交互数据,其中,目标网络诈骗案件为长时、多线上交互类型的诈骗案件;对各目标网络诈骗案件的历史网络交互数据进行特征抽取,形成与至少一个历史诈骗网站匹配的网站特征信息库;获取至少一个监控用户在监控时间区间内的网络访问数据;将网络访问数据与网站特征信息库进行比对,检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户;其中,疑似诈骗网站与历史诈骗网站的网站特征信息满足预设的相似条件。该方法可以预先识别诈骗案件,从而降低诈骗案件发生的概率。

Description

一种网络诈骗检测方法、装置、电子设备及存储介质
技术领域
本发明实施例涉及信息安全技术领域,尤其涉及一种网络诈骗检测方法、装置、电子设备及存储介质。
背景技术
随着互联网和信息技术的发展,诈骗案件的手段从传统电话诈骗逐渐发展为新型互联网诈骗,给互联网用户带来了极大的经济损失。
目前,互联网诈骗案通常是受害者报案后才能依据受害者提供的信息获悉诈骗详情。无法在技术上提前识别诈骗,降低诈骗事件发生的概率,保障互联网用户的财产安全。
发明内容
本发明实施例提供了一种网络诈骗检测方法、装置、电子设备及存储介质,可以预先识别诈骗案件,从而降低诈骗案件发生的概率。
第一方面,本发明实施例提供了一种网络诈骗检测方法,该方法包括:
获取目标网络诈骗案件中,受害人在案件过程中的历史网络交互数据,其中,所述目标网络诈骗案件为长时、多线上交互类型的诈骗案件;
对各所述目标网络诈骗案件的历史网络交互数据进行特征抽取,形成与至少一个历史诈骗网站匹配的网站特征信息库;
获取至少一个监控用户在监控时间区间内的网络访问数据;
将所述网络访问数据与所述网站特征信息库进行比对,检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户;
其中,所述疑似诈骗网站与所述历史诈骗网站的网站特征信息满足预设的相似条件。
第二方面,本发明实施例还提供了一种网络诈骗检测装置,该装置包括:
历史网络交互数据获取模块,用于获取目标网络诈骗案件中,受害人在案件过程中的历史网络交互数据,其中,所述目标网络诈骗案件为长时、多线上交互类型的诈骗案件;
网站特征信息库形成模块,用于对各所述目标网络诈骗案件的历史网络交互数据进行特征抽取,形成与至少一个历史诈骗网站匹配的网站特征信息库;
网络访问数据获取模块,用于获取至少一个监控用户在监控时间区间内的网络访问数据;
疑似受害用户检测模块,用于将所述网络访问数据与所述网站特征信息库进行比对,检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户;
其中,所述疑似诈骗网站与所述历史诈骗网站的网站特征信息满足预设的相似条件。
第三方面,本发明实施例还提供了一种电子设备,该设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明任意实施例所述的一种网络诈骗检测方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明任意实施例所述的一种网络诈骗检测方法。
本发明实施例的技术方案,通过获取目标网络诈骗案件中,受害人在案件过程中的历史网络交互数据;对各目标网络诈骗案件的历史网络交互数据进行特征抽取,形成与至少一个历史诈骗网站匹配的网站特征信息库;获取至少一个监控用户在监控时间区间内的网络访问数据;将网络访问数据与网站特征信息库进行比对,检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户,解决了诈骗案件的技术识别问题,实现了预先识别诈骗案件,从而降低诈骗案件发生的概率的效果。
附图说明
图1a是本发明实施例一提供的一种网络诈骗检测方法的流程图;
图1b是本发明实施例一提供的一种基于网络流量监测数据检测疑似受害用户的流程图;
图1c是本发明实施例一提供的一种基于上网日志话单检测疑似受害用户的流程图;
图2a是本发明实施例二提供的一种网络诈骗检测方法的流程图;
图2b是本发明实施例二提供的一种基于网络流量监测数据检测疑似受害用户的检测线程图;
图3是本发明实施例三提供的一种网络诈骗检测装置的结构示意图;
图4是本发明实施例四提供的一种电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1a是本发明实施例一提供的一种网络诈骗检测方法的流程图,本实施例可适用于预先识别网络诈骗的情况,尤其是通过长时间的感情培养取得用户信任后再进行诈骗的案件识别,该方法可以由网络诈骗检测装置来执行,该装置可以通过软件,和/或硬件的方式实现,装置可以集成在电子设备如计算机或服务器中,如图1a所示,该方法具体包括:
步骤110、获取目标网络诈骗案件中,受害人在案件过程中的历史网络交互数据。
其中,目标网络诈骗案件为长时、多线上交互类型的诈骗案件。目标网络诈骗案件可以是区别与“短平快”类型的诈骗,可以是放长线钓大鱼形式的新型网络骗局。例如,目标网络诈骗案件可以是通过包装为某个吸引人的身份与受害人邂逅,通过网络在线陪聊、倾诉、培养感情,在得到受害人充分信任时再实施诈骗。实施诈骗的方式可以是多样的。例如,编造需要用钱的场景进行直接的钱财索取;或者,通过诱惑带受害人尝试网络博彩游戏,让受害人尝到甜头后开始加大筹码,通过后台操作致使受害人赔光后卷款撤离;或者,伪装为投资专家怂恿受害人进行小额度投资,当受害人参与时,通过修改后台系统让受害人赚取不菲收益,在受害人逐步加大投入时,卷款撤离。
历史网络交互数据可以包括受害人被诈骗的网站相关信息如域名、统一资源定位符(Uniform Resource Locator,URL)、应用程序(Application,APP)名称以及核心代码等。历史网络交互数据的获取方式可以是多样的。例如历史网络交互数据可以是在受害人被骗后主动提供的线索,对相关的网站信息进行记录后获取的。又如,历史网络交互数据可以是通过本发明实施例提供的网络诈骗检测方法检测疑似受害用户后,提取疑似诈骗网站的信息获取的。提取网站信息的方式可以是多样的。例如,可以是通过爬虫技术实现,或者,可以是通过图片识别技术实现;或者,可以是通过光学字符识别(Optical CharacterRecognition,OCR)技术实现的;或者,可以通过上述技术的任意结合实现。
步骤120、对各目标网络诈骗案件的历史网络交互数据进行特征抽取,形成与至少一个历史诈骗网站匹配的网站特征信息库。
其中,特征抽取可以是在历史网络交互数据抽取部分与网络诈骗检测息息相关的信息。例如,可以抽取网页的URL、核心代码、网页显示的内容或者通信协议中的各中字段、证书信息等。或者,当诈骗网站为APP类型时,可以抽取APP的服务器地址、核心代码或者应用名称等。
网站特征信息库可以是具有多个诈骗网站的特征信息的数据库。网站特征信息库中可以包括与网页相关的诈骗网站的特征信息,也可以包括与APP相关的诈骗网站的特征信息。
在本发明实施例的一个实施方式中,可选的,对各目标网络诈骗案件的历史网络交互数据进行特征抽取,形成与至少一个历史诈骗网站匹配的网站特征信息库,包括:获取各目标网络诈骗案件的历史网络交互数据中的至少一项网站描述信息;以网站为单位,将各网站描述信息进行分类,形成与至少一个历史诈骗网站匹配的网站特征信息库。
其中,网站描述信息包括下述至少一项:网址、网页开发者、服务器地址、通联地址、通联地址归属地、网页名称、邮箱以及网页代码。
将各网站描述信息进行分类,可以是将具体的网络描述信息与网站描述信息的类别属性进行匹配。示例性的,网站特征信息库可以是列表形式的,可以通过键值对形式记录各网站的各类别属性下的网络描述信息。
此外,在实际应用中,可以针对网站特征信息库中的类别属性下部分或者全部网站的网络描述信息,进行类别属性的共性提取,确定诈骗网站的某一类别属性具有的共性特征,更易识别诈骗网站。
步骤130、获取至少一个监控用户在监控时间区间内的网络访问数据。
其中,监控用户可以是网络的访问者。监控时间区间可以是针对诈骗案件的前期获取受害人信任的时间以及受害人建立信任至被骗的时间确定的,例如可以是一个月、三个月、六个月或者一年等。
网络访问数据可以是对监控用户访问网站的网页或者APP等获取的数据。网络访问数据可以是多种形式的数据,例如,可以是网络流量监测数据或者上网日志话单等。网络访问数据的获取可以是通过不同的后台监控系统获取的。例如,网络访问数据的获取可以是通过获取互联网流量监控系统记录的网络流量监测数据实现的;或者,可以是通过获取上网日志留存系统的记录的上网日志话单实现的。
网络流量监测数据可以是电信运营商通过可靠有效的网络业务流量监测系统进行及时、准确的流量和流向分析时产生的数据。例如,网络流量监测数据可以包括网络内部用户对外部网络的访问情况、用户使用的运营商、网络状况以及外部网络的基本信息等。
上网日志话单可以是电信运营商维护的用户业务通信的记录单,可以包括用户上网的多种信息。例如,上网日志话单可以包括用户访问的外部网络情况、访问情况、用户使用的运营商、以及用户的基本信息等。
步骤140、将网络访问数据与网站特征信息库进行比对,检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户。
其中,疑似诈骗网站与历史诈骗网站的网站特征信息满足预设的相似条件。将网络访问数据与网站特征信息库进行比对,可以是分析网络访问数据中的数据是否具有网站特征信息库中的特征;或者,可以是分析网络访问数据中的数据是否与网站特征信息库中的特征具有一定的相似性。
如果网络访问数据与网站特征信息库进行比对的结果满足预设条件(存在特征或具有相似性等),可以确定与网络访问数据对应的网站为疑似诈骗网站。设定门限阈值可以是根据诈骗案件受害人建立信任至被骗访问同一网站的次数确定的。例如,设定门限阈值可以是10次,20次或者50次等。
在本发明实施例的一个实施方式中,可选的,网络访问数据为网络流量监测数据;将网络访问数据与网站特征信息库进行比对,检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户,包括:当根据网络流量监测数据确定监控用户在监控时间区间内访问第一目标网站次数超过设定门限阈值时,在网络流量监测数据中获取与第一目标网站对应的目标网络流量监测数据;将目标网络流量监测数据与网站特征信息库进行比对,检测监控用户是否为疑似受害用户。
其中,电子设备可以确定针对同一监控用户的网络流量监测数据中对于同一URL、网址名称、或者APP名称对应的网站的访问次数,并将访问次数与设定门限阈值进行比较。如果访问次数超过设定门限阈值可以将对应的网站作为第一目标网站。
图1b是本发明实施例一提供的一种基于网络流量监测数据检测疑似受害用户的流程图。如图1b所示,当获取到用户频繁访问或者高频次访问的第一目标网站时,可以基于用户的互联网流量获取与第一目标网站对应的目标网络流量监测数据。将目标网络流量监测数据与网站特征信息库进行比对,例如,可以是确定第一目标网站所具有的网站描述信息是否与网站特征信息库中的特征相同或者具有相似性。示例性的,可以确定网站的网址、开发者、服务器地址、通联地址、通联地址归属地或邮箱是否相同,或者网站的网址、网页名称或网页代码是否相似等。如果目标网络流量监测数据与网站特征信息库存在相同或者相似的特征,可以确定监控用户为疑似受害用户。如果目标网络流量监测数据与网站特征信息库不存在相同或者相似的特征,可以确定监控用户不为疑似受害用户。
通过网络流量监测数据对疑似受害用户的检测可以实现在网络中直接对各用户进行检测。
在本发明实施例的又一个实施方式中,可选的,网络访问数据为上网日志话单;将网络访问数据与网站特征信息库进行比对,检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户,包括:当根据上网日志话单确定在监控时间区间内第二目标网站被访问次数超过设定门限阈值时,在上网日志话单中获取第二目标网站的网址日志,并生成网址日志数据库;基于网站特征信息库与网址日志数据库进行碰撞匹配,在网址日志数据库中确定与网站特征信息库中特征匹配的疑似诈骗网址;将访问疑似诈骗网址的用户确定为疑似受害用户。
其中,第二目标网站可以是根据上网日志话单确定的一个或者多个监控用户访问超过设定门限阈值的网站。在上网日志话单中获取第二目标网站的网址日志,可以是对上网日志话单进行数据清洗如降低数据的维度和数量等,获取包括网址在内的网址日志。网址日志数据库中可以包括一个或者多个网站的网络描述信息。
图1c是本发明实施例一提供的一种基于上网日志话单检测疑似受害用户的流程图。如图1c所示,基于网站特征信息库与网址日志数据库进行碰撞匹配可以是多样的,例如可以是基于域名的碰撞。疑似诈骗网址可以是网站特征信息库具有相似或者相同特征的网址。例如,疑似诈骗网址可以是网站特征信息库中的网址;或者,可以是与网站特征信息库中网址的类似网址,示例性的,同一开发者开发的网址,或者具有相同核心代码的网址等。
通过上网日志话单检测疑似受害用户的方式,可以确定访问疑似诈骗网址的一个或者多个用户为疑似受害用户,可以更高效更快速的检测识别诈骗案件。甚至在诈骗案件初期即可通过该方式预先发现更多的疑似受害用户。
本实施例的技术方案,通过获取目标网络诈骗案件中,受害人在案件过程中的历史网络交互数据;对各目标网络诈骗案件的历史网络交互数据进行特征抽取,形成与至少一个历史诈骗网站匹配的网站特征信息库;获取至少一个监控用户在监控时间区间内的网络访问数据;将网络访问数据与网站特征信息库进行比对,检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户,解决了诈骗案件的技术识别问题,实现了预先识别诈骗案件,从而降低诈骗案件发生的概率的效果。
实施例二
图2a是本发明实施例二提供的一种网络诈骗检测方法的流程图。本实施例是对上述技术方案的进一步细化,本实施例中的技术方案可以与上述一个或者多个实施例中的各个可选方案结合。如图2a所示,该方法包括:
步骤210、获取目标网络诈骗案件中,受害人在案件过程中的历史网络交互数据。
其中,目标网络诈骗案件为长时、多线上交互类型的诈骗案件。
步骤220、对各目标网络诈骗案件的历史网络交互数据进行特征抽取,形成与至少一个历史诈骗网站匹配的网站特征信息库。
可选的,对各目标网络诈骗案件的历史网络交互数据进行特征抽取,形成与至少一个历史诈骗网站匹配的网站特征信息库,包括:获取各目标网络诈骗案件的历史网络交互数据中的至少一项网站描述信息;以网站为单位,将各网站描述信息进行分类,形成与至少一个历史诈骗网站匹配的网站特征信息库;其中,网站描述信息包括下述至少一项:网址、网页开发者、服务器地址、通联地址、通联地址归属地、网页名称、邮箱以及网页代码。
步骤230、获取至少一个监控用户在监控时间区间内的网络访问数据。
可选的,获取至少一个监控用户在监控时间区间内的网络流量监测数据。或者,获取至少一个监控用户在监控时间区间内的上网日志话单。
在本发明实施例的一个可选实施方式中,获取至少一个监控用户在监控时间区间内的网络访问数据,包括:获取至少一个监控用户在监控时间区间内的网络报文,并对网络报文进行协议识别以及解码,获取监控用户的网络流量监测信息。
其中,网络报文可以是监控用户在网络进行数据传输时生成的监控数据报文。例如,网络报文可以是超文本传输协议(HyperText Transfer Protocol,HTTP)报文。对网络报文的处理可以是先确定其遵循的协议,再根据协议进行对应的解码,从而获取报文中的网络流量监测信息。
步骤240、将网络访问数据与网站特征信息库进行比对,检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户。
其中,疑似诈骗网站与历史诈骗网站的网站特征信息满足预设的相似条件。
可选的,将网络访问数据与网站特征信息库进行比对,检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户,包括:当根据网络流量监测数据确定监控用户在监控时间区间内访问第一目标网站次数超过设定门限阈值时,在网络流量监测数据中获取与第一目标网站对应的目标网络流量监测数据;将目标网络流量监测数据与网站特征信息库进行比对,检测监控用户是否为疑似受害用户。
图2b是本发明实施例二提供的一种基于网络流量监测数据检测疑似受害用户的检测线程图。如图2b所示,基于网络流量监测数据的检测可以是多线程执行的。例如,可以包括主线程和多个子线程。示例性的,主线程可以负责管理网络流量监测的配置功能。主线程可以先进行初始化,加载检测规则(如本发明实施例提供的网络诈骗检测方法),启动各个子线程、脚本程序以及显示界面等。如果在显示界面获取到操作者的退出命令,可以退出脚本程序并关闭主线程和子线程。如果在显示界面获取到操作者的重载命令,可以重新加载检测规则,进行检测规则的更新,并启动各个子线程、脚本程序以及显示界面等。
其中,子线程可以包括至少一个监测子线程、事件记录子线程以及守护线程等。监测子线程可以负责获取网络报文。事件记录子线程可以对网络报文进行协议识别以及解码。守护线程可以用于将目标网络流量监测数据与网站特征信息库进行比对,检测监控用户是否为疑似受害用户。守护线程还可以用于对疑似受害用户进行提示。
可选的,将网络访问数据与网站特征信息库进行比对,检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户,包括:当根据上网日志话单确定在监控时间区间内第二目标网站被访问次数超过设定门限阈值时,在上网日志话单中获取第二目标网站的网址日志,并生成网址日志数据库;基于网站特征信息库与网址日志数据库进行碰撞匹配,在网址日志数据库中确定与网站特征信息库中特征匹配的疑似诈骗网址;将访问疑似诈骗网址的用户确定为疑似受害用户。
步骤250、如果检测监控用户为疑似受害用户,则对疑似受害用户进行预警提示。
预警提示的方式可以是多种。例如,可以是网页弹窗,或者也可以是电话、短信等多种方式的提醒。用户的基本信息可以是网络访问数据中的一部分。通常,在网络流量监测数据或者上网日志话单中会具有用户的基本信息,例如用户访问的运营商基站、用户的手机号或者用户端的识别码等。
在上述实施方式的基础上,可选的,该方法,还包括:获取对目标网络诈骗案件的历史网络交互数据进行特征抽取形成的目标历史特征;根据目标历史特征对目标网络诈骗案件进行网络溯源,确定关联疑似诈骗网址;针对关联疑似诈骗网址进行特征抽取,并根据特征抽取结果更新网站特征信息库。
其中,目标历史特征可以是网址、网页开发者、服务器地址、通联地址、通联地址归属地、网页名称、邮箱以及网页代码中的一项或者多项。溯源可以是根据目标历史特征进行特征比对确定疑似诈骗网站的过程。具体溯源方式可以是爬虫、图像识别、OCR技术获取网站信息进行特征比对,例如核心代码相似性较高。
示例性的,溯源确定关联疑似诈骗网址的过程可以是:根据目标网络诈骗案件中的域名或者URL等网站信息反查网站的备案信息(如核心代码、开发者、服务器地址或者通联地址等),根据备案信息进行分析挖掘,发现与网站的关联网址。然后,通过爬虫、图像识别、OCR技术获取关联网址的网站信息进行特征比对,如果比对结果为相似,则确定关联网址为关联疑似诈骗网址。可以通过溯源分析的方式拓展网站特征信息库,及时更新网站信息实现对疑似受害用户的及时提醒与劝阻,避免损失。
本发明实施例的技术方案,通过获取目标网络诈骗案件中,受害人在案件过程中的历史网络交互数据;对各目标网络诈骗案件的历史网络交互数据进行特征抽取,形成与至少一个历史诈骗网站匹配的网站特征信息库;获取至少一个监控用户在监控时间区间内的网络访问数据;将网络访问数据与网站特征信息库进行比对,检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户;如果检测监控用户为疑似受害用户,则对疑似受害用户进行预警提示,解决了诈骗案件的技术识别与提示问题,实现了预先识别诈骗案件,并对用户进行及时提示,从而避免用户上当受骗,降低诈骗案件发生概率的效果。
实施例三
图3是本发明实施例三提供的一种网络诈骗检测装置的结构示意图。结合图3,该装置包括:历史网络交互数据获取模块310,网站特征信息库形成模块320,网络访问数据获取模块330和疑似受害用户检测模块340。其中:
历史网络交互数据获取模块310,用于获取目标网络诈骗案件中,受害人在案件过程中的历史网络交互数据,其中,目标网络诈骗案件为长时、多线上交互类型的诈骗案件;
网站特征信息库形成模块320,用于对各目标网络诈骗案件的历史网络交互数据进行特征抽取,形成与至少一个历史诈骗网站匹配的网站特征信息库;
网络访问数据获取模块330,用于获取至少一个监控用户在监控时间区间内的网络访问数据;
疑似受害用户检测模块340,用于将网络访问数据与网站特征信息库进行比对,检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户;
其中,疑似诈骗网站与历史诈骗网站的网站特征信息满足预设的相似条件。
可选的,网络访问数据为网络流量监测数据;
疑似受害用户检测模块340,包括:
目标网络流量监测数据获取单元,用于当根据网络流量监测数据确定监控用户在监控时间区间内访问第一目标网站次数超过设定门限阈值时,在网络流量监测数据中获取与第一目标网站对应的目标网络流量监测数据;
疑似受害用户检测单元,用于将目标网络流量监测数据与网站特征信息库进行比对,检测监控用户是否为疑似受害用户。
可选的,网络访问数据为上网日志话单;
疑似受害用户检测模块340,包括:
网址日志数据库生成单元,用于当根据上网日志话单确定在监控时间区间内第二目标网站被访问次数超过设定门限阈值时,在上网日志话单中获取第二目标网站的网址日志,并生成网址日志数据库;
疑似诈骗网址确定单元,用于基于网站特征信息库与网址日志数据库进行碰撞匹配,在网址日志数据库中确定与网站特征信息库中特征匹配的疑似诈骗网址;
疑似受害用户确定单元,用于将访问疑似诈骗网址的用户确定为疑似受害用户。
可选的,网络访问数据获取模块330,包括:
网络流量监测信息获取单元,用于获取至少一个监控用户在监控时间区间内的网络报文,并对网络报文进行协议识别以及解码,获取监控用户的网络流量监测信息。
可选的,该装置,还包括:
目标历史特征获取模块,用于获取对目标网络诈骗案件的历史网络交互数据进行特征抽取形成的目标历史特征;
关联疑似诈骗网址确定模块,用于根据目标历史特征对目标网络诈骗案件进行网络溯源,确定关联疑似诈骗网址;
网站特征信息库更新模块,用于针对关联疑似诈骗网址进行特征抽取,并根据特征抽取结果更新网站特征信息库。
可选的,网站特征信息库形成模块320,包括:
网站描述信息获取单元,用于获取各目标网络诈骗案件的历史网络交互数据中的至少一项网站描述信息;
网站特征信息库形成单元,用于以网站为单位,将各网站描述信息进行分类,形成与至少一个历史诈骗网站匹配的网站特征信息库;
其中,网站描述信息包括下述至少一项:网址、网页开发者、服务器地址、通联地址、通联地址归属地、网页名称、邮箱以及网页代码。
可选的,该装置,还包括:
预警提示模块,用于在检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户之后,如果检测监控用户为疑似受害用户,则对疑似受害用户进行预警提示。
本发明实施例所提供的网络诈骗检测装置可执行本发明任意实施例所提供的网络诈骗检测方法,具备执行方法相应的功能模块和有益效果。
实施例四
图4是本发明实施例四提供的一种电子设备的结构示意图,如图4所示,该设备包括:
一个或多个处理器410,图4中以一个处理器410为例;
存储器420;
所述设备还可以包括:输入装置430和输出装置440。
所述设备中的处理器410、存储器420、输入装置430和输出装置440可以通过总线或者其他方式连接,图4中以通过总线连接为例。
存储器420作为一种非暂态计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的一种网络诈骗检测方法对应的程序指令/模块(例如,附图3所示的历史网络交互数据获取模块310,网站特征信息库形成模块320,网络访问数据获取模块330和疑似受害用户检测模块340)。处理器410通过运行存储在存储器420中的软件程序、指令以及模块,从而执行计算机设备的各种功能应用以及数据处理,即实现上述方法实施例的一种网络诈骗检测方法,即:
获取目标网络诈骗案件中,受害人在案件过程中的历史网络交互数据,其中,所述目标网络诈骗案件为长时、多线上交互类型的诈骗案件;
对各所述目标网络诈骗案件的历史网络交互数据进行特征抽取,形成与至少一个历史诈骗网站匹配的网站特征信息库;
获取至少一个监控用户在监控时间区间内的网络访问数据;
将所述网络访问数据与所述网站特征信息库进行比对,检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户;
其中,所述疑似诈骗网站与所述历史诈骗网站的网站特征信息满足预设的相似条件。
存储器420可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据计算机设备的使用所创建的数据等。此外,存储器420可以包括高速随机存取存储器,还可以包括非暂态性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态性固态存储器件。在一些实施例中,存储器420可选包括相对于处理器410远程设置的存储器,这些远程存储器可以通过网络连接至终端设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置430可用于接收输入的数字或字符信息,以及产生与计算机设备的用户设置以及功能控制有关的键信号输入。输出装置440可包括显示屏等显示设备。
实施例五
本发明实施例五提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明实施例提供的一种网络诈骗检测方法:
获取目标网络诈骗案件中,受害人在案件过程中的历史网络交互数据,其中,所述目标网络诈骗案件为长时、多线上交互类型的诈骗案件;
对各所述目标网络诈骗案件的历史网络交互数据进行特征抽取,形成与至少一个历史诈骗网站匹配的网站特征信息库;
获取至少一个监控用户在监控时间区间内的网络访问数据;
将所述网络访问数据与所述网站特征信息库进行比对,检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户;
其中,所述疑似诈骗网站与所述历史诈骗网站的网站特征信息满足预设的相似条件。
可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。

Claims (9)

1.一种网络诈骗检测方法,其特征在于,包括:
获取目标网络诈骗案件中,受害人在案件过程中的历史网络交互数据,其中,所述目标网络诈骗案件为长时、多线上交互类型的诈骗案件;
对各所述目标网络诈骗案件的历史网络交互数据进行特征抽取,形成与至少一个历史诈骗网站匹配的网站特征信息库;
获取至少一个监控用户在监控时间区间内的网络访问数据;
将所述网络访问数据与所述网站特征信息库进行比对,检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户;
其中,所述疑似诈骗网站与所述历史诈骗网站的网站特征信息满足预设的相似条件;
所述网络访问数据为上网日志话单;
将所述网络访问数据与所述网站特征信息库进行比对,检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户,包括:
当根据所述上网日志话单确定在监控时间区间内第二目标网站被访问次数超过设定门限阈值时,在所述上网日志话单中获取所述第二目标网站的网址日志,并生成网址日志数据库;
基于所述网站特征信息库与所述网址日志数据库进行碰撞匹配,在所述网址日志数据库中确定与所述网站特征信息库中特征匹配的疑似诈骗网址;
将访问所述疑似诈骗网址的用户确定为疑似受害用户。
2.根据权利要求1所述的方法,其特征在于,所述网络访问数据为网络流量监测数据;
将所述网络访问数据与所述网站特征信息库进行比对,检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户,包括:
当根据所述网络流量监测数据确定所述监控用户在监控时间区间内访问第一目标网站次数超过设定门限阈值时,在所述网络流量监测数据中获取与所述第一目标网站对应的目标网络流量监测数据;
将所述目标网络流量监测数据与网站特征信息库进行比对,检测所述监控用户是否为疑似受害用户。
3.根据权利要求2所述的方法,其特征在于,获取至少一个监控用户在监控时间区间内的网络访问数据,包括:
获取至少一个监控用户在监控时间区间内的网络报文,并对所述网络报文进行协议识别以及解码,获取所述监控用户的网络流量监测信息。
4.根据权利要求1-3任一项所述的方法,其特征在于,还包括:
获取对所述目标网络诈骗案件的历史网络交互数据进行特征抽取形成的目标历史特征;
根据所述目标历史特征对所述目标网络诈骗案件进行网络溯源,确定关联疑似诈骗网址;
针对所述关联疑似诈骗网址进行特征抽取,并根据特征抽取结果更新所述网站特征信息库。
5.根据权利要求1所述的方法,其特征在于,对各所述目标网络诈骗案件的历史网络交互数据进行特征抽取,形成与至少一个历史诈骗网站匹配的网站特征信息库,包括:
获取各所述目标网络诈骗案件的历史网络交互数据中的至少一项网站描述信息;
以网站为单位,将各所述网站描述信息进行分类,形成与至少一个历史诈骗网站匹配的网站特征信息库;
其中,所述网站描述信息包括下述至少一项:网址、网页开发者、服务器地址、通联地址、通联地址归属地、网页名称、邮箱以及网页代码。
6.根据权利要求1所述的方法,其特征在于,在检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户之后,还包括:
如果检测所述监控用户为疑似受害用户,则对所述疑似受害用户进行预警提示。
7.一种网络诈骗检测装置,其特征在于,包括:
历史网络交互数据获取模块,用于获取目标网络诈骗案件中,受害人在案件过程中的历史网络交互数据,其中,所述目标网络诈骗案件为长时、多线上交互类型的诈骗案件;
网站特征信息库形成模块,用于对各所述目标网络诈骗案件的历史网络交互数据进行特征抽取,形成与至少一个历史诈骗网站匹配的网站特征信息库;
网络访问数据获取模块,用于获取至少一个监控用户在监控时间区间内的网络访问数据;
疑似受害用户检测模块,用于将所述网络访问数据与所述网站特征信息库进行比对,检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户;
其中,所述疑似诈骗网站与所述历史诈骗网站的网站特征信息满足预设的相似条件;
网络访问数据为上网日志话单;
疑似受害用户检测模块,包括:
网址日志数据库生成单元,用于当根据上网日志话单确定在监控时间区间内第二目标网站被访问次数超过设定门限阈值时,在上网日志话单中获取第二目标网站的网址日志,并生成网址日志数据库;
疑似诈骗网址确定单元,用于基于网站特征信息库与网址日志数据库进行碰撞匹配,在网址日志数据库中确定与网站特征信息库中特征匹配的疑似诈骗网址;
疑似受害用户确定单元,用于将访问疑似诈骗网址的用户确定为疑似受害用户。
8.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-6任一项所述的方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-6任一项所述的方法。
CN202110357388.0A 2021-04-01 2021-04-01 一种网络诈骗检测方法、装置、电子设备及存储介质 Active CN113098870B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110357388.0A CN113098870B (zh) 2021-04-01 2021-04-01 一种网络诈骗检测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110357388.0A CN113098870B (zh) 2021-04-01 2021-04-01 一种网络诈骗检测方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN113098870A CN113098870A (zh) 2021-07-09
CN113098870B true CN113098870B (zh) 2022-12-02

Family

ID=76672726

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110357388.0A Active CN113098870B (zh) 2021-04-01 2021-04-01 一种网络诈骗检测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN113098870B (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113779481B (zh) * 2021-09-26 2024-04-09 恒安嘉新(北京)科技股份公司 诈骗网站的识别方法、装置、设备及存储介质
CN113923011B (zh) * 2021-09-30 2023-10-17 北京恒安嘉新安全技术有限公司 一种网络诈骗的预警方法、装置、计算机设备及存储介质
CN114205111A (zh) * 2021-11-02 2022-03-18 恒安嘉新(北京)科技股份公司 涉诈网站自动处理的方法、装置、设备及介质
CN114020985B (zh) * 2021-11-10 2022-10-14 深圳安巽科技有限公司 一种诈骗反制拦截方法、系统及存储介质
CN113923669B (zh) * 2021-11-10 2024-05-17 恒安嘉新(北京)科技股份公司 多源跨平台融合的反诈预警方法、装置、设备和介质
CN114222301B (zh) * 2021-12-13 2024-04-12 奇安盘古(上海)信息技术有限公司 诈骗站点处理方法、装置及存储介质
CN114501348B (zh) * 2021-12-21 2024-04-23 恒安嘉新(北京)科技股份公司 受诈用户的联合监测方法、装置、设备及存储介质
CN114499966A (zh) * 2021-12-27 2022-05-13 奇安盘古(上海)信息技术有限公司 诈骗流量聚合分析方法、装置、电子设备及存储介质
CN114363039A (zh) * 2021-12-30 2022-04-15 恒安嘉新(北京)科技股份公司 一种诈骗网站的识别方法、装置、设备及存储介质
CN114363839B (zh) * 2021-12-31 2023-06-27 恒安嘉新(北京)科技股份公司 一种诈骗数据的预警方法、装置、设备及存储介质
CN114049508B (zh) * 2022-01-12 2022-04-01 成都无糖信息技术有限公司 一种基于图片聚类和人工研判的诈骗网站识别方法及系统
CN114629942B (zh) * 2022-05-17 2022-08-09 杭州安恒信息技术股份有限公司 一种诈骗预警任务生成方法、装置、设备及介质
CN115460059B (zh) * 2022-07-28 2024-03-08 浪潮通信信息系统有限公司 风险预警方法及装置
CN117614743B (zh) * 2024-01-22 2024-04-12 北京中科网芯科技有限公司 网络诈骗的预警方法及其系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1770195A (zh) * 2004-11-01 2006-05-10 邮盾亚洲有限公司 地区性防止网络诈骗的方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8145562B2 (en) * 2009-03-09 2012-03-27 Moshe Wasserblat Apparatus and method for fraud prevention
CN108449319A (zh) * 2018-02-09 2018-08-24 秦玉海 一种识别诈骗网站及远程木马取证的方法及装置
CN110535806B (zh) * 2018-05-24 2022-04-01 中国移动通信集团重庆有限公司 监测异常网站的方法、装置、设备和计算机存储介质
CN110209841A (zh) * 2019-06-17 2019-09-06 深圳市安络科技有限公司 一种基于诈骗案件案情的诈骗分析方法及装置
CN111371749A (zh) * 2020-02-21 2020-07-03 苏州浪潮智能科技有限公司 一种电信诈骗检测的方法、系统、设备及可读存储介质

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1770195A (zh) * 2004-11-01 2006-05-10 邮盾亚洲有限公司 地区性防止网络诈骗的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于大数据的电信诈骗治理技术研究;王志刚等;《电信工程技术与标准化》;20170415;全文 *

Also Published As

Publication number Publication date
CN113098870A (zh) 2021-07-09

Similar Documents

Publication Publication Date Title
CN113098870B (zh) 一种网络诈骗检测方法、装置、电子设备及存储介质
CN104766014B (zh) 用于检测恶意网址的方法和系统
CN103888490B (zh) 一种全自动的web客户端人机识别的方法
CN110413908B (zh) 基于网站内容对统一资源定位符进行分类的方法和装置
KR102071160B1 (ko) 애플리케이션 정보 위험 관리를 위한 방법 및 장치
KR101743269B1 (ko) 행위 정보 분석 및 사용자 행위 패턴 모델링을 통한 이상행위 탐지 방법과 그를 위한 장치
CN106713579B (zh) 一种电话号码识别方法及装置
CN111404937B (zh) 一种服务器漏洞的检测方法和装置
CN102710770A (zh) 一种上网设备识别方法及其实现系统
CN111143654B (zh) 辅助识别爬虫的、爬虫识别方法、装置及电子设备
CN109547426B (zh) 业务响应方法及服务器
CN111711617A (zh) 网络爬虫的检测方法、装置、电子设备及存储介质
CN107403108A (zh) 一种数据处理的方法及系统
CN111586005B (zh) 扫描器扫描行为识别方法及装置
CN107800686A (zh) 一种钓鱼网站识别方法和装置
CN109688130A (zh) 网页劫持检测方法、装置及计算机存储介质
CN114528457A (zh) Web指纹检测方法及相关设备
CN114157568B (zh) 一种浏览器安全访问方法、装置、设备及存储介质
CN112307464A (zh) 诈骗识别方法、装置及电子设备
CN116319089B (zh) 一种动态弱密码检测方法、装置、计算机设备及介质
US9904662B2 (en) Real-time agreement analysis
CN112685255A (zh) 一种接口监控方法、装置、电子设备及存储介质
CN116318974A (zh) 站点风险识别方法、装置、计算机可读介质及电子设备
CN113904828B (zh) 接口的敏感信息检测方法、装置、设备、介质和程序产品
CN111954013B (zh) 直播互动方法、装置、终端设备、服务器及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant