CN113141611A - 一种基于多元异常行为特征检测云手机号码账户的方法 - Google Patents

Abstract

本发明涉及一种基于多元异常行为特征检测云手机号码账户的方法，其解决了现有国内云手机号码的使用广泛但多数平台未能采取有效检测手段的技术问题，其根据用户使用电脑或移动设备注册、登录和操作应用平台的在线账户时，会在平台的网站或app的后台产生网络特征，通过分析和提取应用平台的账户信息，从云手机号码账户自身特性以及与其关联的IP、地理位置、登陆设备维度抽象出云手机号码账户具有的异常行为特征，依据各项特征的检测有效性与检测成本比值，在用户注册、用户登陆和/或账户数据库轮询检测场景下，对云手机号码注册账户的异常行为特征进行检测。本发明可广泛应用于云手机号码账号的检测。

Description

一种基于多元异常行为特征检测云手机号码账户的方法

技术领域

本发明涉及数据处理领域，特别是涉及一种基于多元异常行为特征检测云手机号码账户的方法。

背景技术

近年来，随着互联网技术的发展，网页应用与移动端应用程序呈现爆发式的增长。为了使快捷的登陆与注册方式提升用户体验，许多应用平台为用户提供了短信验证码的方式进行登陆与注册，但云手机号码的出现与使用却给这种注册和登陆方式带来了巨大的风险与隐患。

云手机号码是由号码发布者以各种网络形式提供给使用者的手机号码，号码的使用具有公共性且只能接收短信，主要被用于接收各类短信验证码，且号码的号段多位于虚拟运营商号段，其发布形式包括以下三种:

(1)网页形式，发布者定期将一定数量的手机号码发布到网页上供使用者使用，并实时显示这些手机号码所收到的短信内容，短信内容具有公开性，对所有网页浏览者均可见。

(2)客户端和小程序形式，发布者定期将一定数量的手机号码发布到客户端或小程序上供使用者使用，并反馈给使用者接收到的短信内容，短信内容具有一定不透明性，使用者往往无法看到其它短信内容。

(3)其它不透明的方式，发布者以微博、朋友圈、贴吧等公开形式发布云手机号码，使用者需要与发布者单独沟通获取短信内容，其短信内容对其他人完全不可见，具有极强的不透明性。

出于隐私安全或不想接收推送消息等因素的考虑，许多用户不想使用自己真实的手机号码进行注册与登陆而使用云手机号码。但云手机号码在一定程度满足了使用者的需求的同时也带来了巨大的安全隐患，使用者账户信息及个人隐私可能因其他使用者而被泄露；一些不法分子利用云手机号码在某些应用平台大量注册账户，并进行发布虚假信息、评论等行为；另有一些个人或团队利用云手机号码大量注册僵尸账号、批量获取应用平台的优惠与福利并发展出了一条基于云手机号码的黑灰产业链。

云手机号码的使用风险巨大，但其使用者却难以追踪，国内的大多数应用平台并未对云手机号码注册的账户进行有效的检测与防护，国内网络监管部门也未对其指定明确的法律法规，而本文将通过发掘并提取云手机号码多个维度的特征，提出了一种基于多元异常行为特征检测云手机号码账户的方法。

发明内容

本发明为了解决现有国内云手机号码的使用广泛但多数平台未能采取有效检测手段的技术问题，提供一种基于多元异常行为特征检测云手机号码账户的方法。

本发明提供一种基于多元异常行为特征检测云手机号码账户的方法，步骤一、通过分析和提取应用平台的账户信息，从云手机号码账户自身特性以及与其关联的IP、地理位置、登陆设备维度抽象出云手机号码账户具有的异常行为特征；步骤二、依据异常行为特征的检测有效性与检测成本比值，在用户注册、用户登陆和/或账户数据库轮询检测场景下，对云手机号码注册账户的一个或一个以上的异常行为特征进行检测。

优选地，异常行为特征包括：

A.号码有连续性；

B.运营商类型多为虚拟运营商；

C.绑定账户数量至上限；

D.连续注册账户频繁；

E.IP注册过多个账户；

F.登陆冲突频繁；

G.登陆设备变动频繁；

H.IP在多个账户登陆；

I.地理位置变更频繁、跨域大；

J.登陆IP变更频繁；

K.账户注册信息完善度极低；

L.具有多个违规操作记录。

优选地，步骤二还加入第三方云手机号码名单查询模块。

优选地，用户注册场景对云手机号码注册账户的异常行为特征进行检测步骤包括：

步骤1、进入信息获取模块，获取用户访问平台时携带的各类信息；

步骤2、初始化检测结果码为000000；

步骤3、注册号码预检测模块对要进行账户注册的号码进行预检测，具体检测内容如下：

(1)检测号码连续性，在账户数据库中查询t1时间内注册的账户，按照除了四位尾号不同其余位均相同的方式，对账户对应的号码进行聚类，若本次注册的号码与某一类号码存在连续且连续个数≥n1，则将检测结果码中第1位记为1；

(2)检测运营商类型，检测号码是否位于1700、174、1704等虚拟运营商号段，若为虚拟运营商号码，则将检测结果码中第2位记为1；

(3)检测绑定账户数量，若本平台允许一个号码绑定多个账户且存在绑定上限，则从账户数据库中查询该号码对应的账户，若账户数量达到绑定上限，则将检测结果码中第3位记为1；

若此时检测结果码前三位为111，则将此号码标记为云手机号码，转到步骤6，否则转到下一步骤；

步骤4、多注册行为检测模块检测号码及对应IP的多注册行为，检测具体内容如下：

(1)检测该号码连续注册账户次数，查询账户数据库此号码对应的注册操作记录，若注册次数超过n2次，则将检测结果码中第4位记为1；

(2)检测IP的多账户注册数量，查询账户数据库中t2时间内该IP注册过的账户，若账户数量超过n3个，则将检测结果码中第5位记为1；

若此时检测结果码为1xx010、xxx1x0、xx1010中之一，则将此号码标记为云手机号码，转到步骤6，否则转到下一步骤；

步骤5、进入第三方云手机号码名单查询模块，查询从其它平台获得的第三方云手机号码名单，若此注册号码位于名单中，则将检测结果码中第6位记为1，若此时前5位不都为0且第6位为1，则将号码标记为云手机号码，否则标记为非云手机号码，转到下一步；

步骤6、结果处理模块负责处理检测结果，具体处理情况如下：

(1)号码被标记为非云手机号码，将检测结果和数据获取模块获取的信息存入账户数据库，若平台允许一个号码绑定多个账户，则绑定数量加1；

(2)号码被标记为云手机号码，则将检测结果存入账户数据库，并将此号码加入号码黑名单中。

优选地，用户登陆场景对云手机号码注册账户的异常行为特征进行检测步骤包括：

步骤1、信息获取模块获取用户访问平台时携带的各类信息；

步骤2、查询号码黑白名单，若号码位于号码黑名单中，则直接转到步骤9，若号码位于号码白名单中，则进行正常登陆程序后转到步骤9，否则转下一步骤；

步骤3、初始化检测结果码为00000000；

步骤4、进入登陆冲突检测模块，具体检测内容如下：

(1)检测登陆冲突次数，从账户数据库中查询该号码t3时间内由于登陆冲突导致的异常下线记录，若冲突次数≥n4，则将检测结果码中第1位记为1；

(2)检测号码连续性，在账户数据库中查询t4时间登陆的账户，按照除了四位尾号不同其余位均相同的方式，对账户对应的号码进行聚类，若本次登陆的号码与某一类号码存在连续且连续个数≥n5，则将检测结果码中第2位记为1；

(3)检测登陆设备变动，在账户数据库中查询t5时间该账户的登陆设备信息，若登陆设备种类≥n6，则将检测结果码中第3位记为1；

若此时检测结果码为11100000、11000000、10100000、01100000中之一，则将此号码标记为云手机号码，转到步骤9，否则转到下一步骤；

步骤5、检测IP登陆多个账户的记录，提取该账户本次登陆的IP，在账户数据库中查询t6时间内该IP登陆的账户记录，若登陆账户的个数≥n7，则将检测结果码中第4位记为1；

若此时检测结果码为10010000、01010000、00110000中之一，则将此号码标记为云手机号码，转到步骤9，否则转到下一步骤；

步骤6、进入跨域登陆检测模块，具体检测内容如下：

(1)检测地理位置变更，在账户数据库内查询该账户t7时间内地理位置变更的记录次数，若市级地域变更次数≥n8或省级地域变更次数≥n9，则将检测结果码中第5位记为1；

(2)检测登陆IP变更，在账户数据库内查询该账户t8时间内登陆IP的变更次数，若变更次数≥n10，则将检测结果码中第6位记为1；

若此时检测结果码为xxxx1x00、1xxxx100中之一，则将此号码标记为云手机号码，转到步骤9，否则转到下一步骤；

步骤7、进入账户注册信息完善度检测模块，查询账户数据库内该账户的关键账户信息完善程度，若该账户的账户关键信息完善度高于k％，则转到下一步，低于k％则分以下情况处理：

(1)完善账户信息提醒次数<n11，则提醒用户完善账户关键信息，提醒次数加1；

(2)完善账户信息提醒次数＝n11，则将检测结果码中第7位记为1；

若此时检测结果码第7位为1且前6位不都为0，则将此号码标记为云手机号码，转到步骤9，否则转到下一步骤；

步骤8、进入违规记录检测模块，检测账户的历史违规行为记录，在账户数据库内查询该账户t9时间的因违反平台规定而被警告或惩罚的次数，若次数≥n12，则将检测结果码中第8位记为1；

若此时检测结果码第8位为1且前7位不都为0，则将此号码标记为云手机号码，否则标记为非云手机号码，转到下一步骤；

步骤9、结果处理模块负责处理检测结果，具体处理情况如下：

(1)号码为黑名单号码，则直接由平台进行实施后续的云手机号码账户防护措施；

(2)号码是白名单号码或非云手机号码，将检测结果和数据获取模块获取的信息存入账户数据库；

(3)号码被标记为云手机号码，则将检测结果存入账户数据库，并将此号码加入号码黑名单中。

优选地，账户数据库的轮询检测的轮询时间T由应用平台根据自身的受攻击状况和每次轮询检测成本设置，账户数据库轮询检测场景对云手机号码注册账户的异常行为特征进行检测具体步骤为：

步骤1、读取账户信息，从账户数据库中读取一个账户的所有信息；

步骤2、初始化检测结果码为0000；

步骤3、检测登陆冲突次数，从账户数据库中查询该号码T时间内由于登陆冲突导致的异常下线记录，若冲突次数≥N1，则将检测结果码中第1位记为1；

步骤4、检测登陆设备变动，在账户数据库中查询T时间内该账户的登陆设备信息，若登陆设备种类≥N2，则将检测结果码中第2位记为1；

步骤5、检测地理位置变更，在账户数据库内查询该账户T时间内内地理位置变更的记录次数，若市级地域变更次数≥N3或省级地域变更次数≥N4，则将检测结果码中第3位记为1；

步骤6、进入第三方云手机号码名单查询模块，查询从其它平台获得的第三方云手机号码名单，若此注册号码位于名单中，则将检测结果码中第4位记为1；

若此时检测结果码为xx1x、1100、0101、1101、1001中之一，则将此账户标记为云手机号码账户；若检测结果码为0000，则将此账户标记为非云手机号码账户，转到下一步骤；

步骤7、结果处理，若账户被标记为云手机号码账户，则将此号码加入号码黑名单，若标记为非云手机号码账户，则将此号码加入号码白名单中，否则不做处理。

本发明的有益效果是：

本发明可用于各类黑灰产防范与检测，特别的针对云手机号码注册的异常账户的检测，应用平台可根据自身的运营方式和受攻击状况调整各个检测项的判定值，从而对云手机号码账户进行有效识别以作为后续防范与处理的依据。不同于其它被动的孤立的检测方法和需要大量样本支撑的机器学习方法，本发明依据检测有效性与检测成本比值制定检测流程，既能基于各个关联特征保证较高精度的识别云手机号码账户，又在成本上符合平台实际的检测系统部署方式。更进一步，其使用性可延伸至黑灰产检测与防护的其它领域，从而保护了应用平台账户的隐私安全和网络空间安全。

附图说明

图1是本发明基于云手机号码注册的异常账户的检测系统示意图；

图2是本发明中轮询检测模块的详细示意图。

具体实施方式

下面结合附图和实施例对本发明做进一步说明，以使本发明所属技术领域的技术人员能够容易实施本发明。

实施例1：如图1和图2所示，分别是整体查询系统示意图和轮询检测模块的详细示意图。本发明分析并抽象出云手机号码的多元异常行为特征，用户使用电脑或移动设备注册、登录和操作应用平台的在线账户时，会在平台的网站或app的后台产生各类网络特征，通过分析和提取应用平台的账户信息，从云手机号码账户自身特性以及与其关联的IP、地理位置、登陆设备等维度抽象出云手机号码账户具有的以下异常行为特征：

A.号码有连续性；

B.运营商类型多为虚拟运营商；

C.绑定账户数量至上限；

D.连续注册账户频繁；

E.IP注册过多个账户；

F.登陆冲突频繁；

G.登陆设备变动频繁；

H.IP在多个账户登陆；

I.地理位置变更频繁、跨域大；

J.登陆IP变更频繁；

K.账户注册信息完善度极低；

L.具有多个违规操作记录。

下面对以上的云手机号码账户的每一个异常行为特征做进一步说明：

(A).号码有连续性，由于云手机号码发布平台发布的号码往往成批次更新且号码尾号多连续，所以某个发布平台号码更新后，会立即被用于应用平台的注册和登陆，即账户对应的号码出现其余号码位相同且尾号连续的特征。

(B).运营商类型多为虚拟运营商，由于虚拟运营商号码获取的渠道广泛及其它方面原因，95％以上的云手机号码都位于1700、174、1704等虚拟运营商号段。

(C).绑定账户数量至上限，若平台允许一个号码绑定多个账户，则云手机号码由于其公共使用性，其绑定账户数量绝大多数会达到绑定上限值。

(D).连续注册账户频繁，由于云手机号码的公共使用性，许多用户往往不知道该号码已经在应用平台注册了账户而再次进行注册。

(E).IP注册过多个账户，云手机号码使用者群体具有一定的固定性，尤其是利用其运营黑灰色产业的用户或群体，他们往往会在同一IP使用多个云手机号码。这导致了使用云手机号码注册或登陆的账户的IP在短时间如24h内注册过多个账户。

(F).登陆冲突频繁，由于云手机号码的公共使用性，当前使用者并不知道该号码已被用于账户登陆，导致云手机号码注册账户产生登陆冲突而频繁的上下线。

(G).登陆设备变动频繁，由于云手机号码的公共使用性，同一个云手机号码注册的账户的使用群体使用的登陆设备会有不同，如不同的设备厂家和型号、操作系统和浏览器类别，从而导致账户的登陆设备变动频繁。

(H).IP在多个账户登陆，原理同(E)。

(I).地理位置变更频繁、跨域大，由于云手机号码的公共使用性，不同使用者往往位于不同地域，从而造成短时间如24h内账户登陆的位置信息变动频繁和跨域较大如不同省份登陆。

(J).登陆IP变更频繁，由于云手机号码的公共使用性，不同使用者往往使用不同IP登陆造成短时间如24h内账户登陆的IP变动频繁。

(K).账户注册信息完善度极低，由于云手机号码账户使用者多在账户内进行单一目的性操作而未像正常账户进行经营，且多数使用者不想泄露个人隐私信息，导致账户的注册信息极不完善，例如生日、邮箱、手机号码、地址、实名认证等基本注册信息有缺失或虚假的情况。

(L).具有多个违规操作记录，由于云手机号码的公共使用性及其使用者中包含恶意使用者等原因，其账户往往多次因违反平台规定的行为而被惩罚或警告，如发布虚假、色情、赌博等信息或进行虚假评论、虚假交易等违规行为。

依据各项特征的检测有效性与检测成本比值，在用户注册、用户登陆、账户数据库轮询检测三个场景下，对云手机号码注册的账户的各个异常特征进行检测，并加入第三方云手机号码名单查询模块增强查询稳定性。实施例中涉及的比较数值与时间数值在实际部署时，需根据应用平台实际业务类型与业务流量设置。

实施例2：在用户注册场景下，对云手机号码注册的账户的异常特征进行检测。其具体步骤为：

步骤1、进入信息获取模块，获取用户访问平台时携带的各类信息，表1为获取到的信息及获取方式：

表1

步骤3、注册号码预检测模块对要进行账户注册的号码进行预检测，具体检测内容如下：

(1)检测号码连续性，在账户数据库中查询24小时内注册的账户，按照除了四位尾号不同其余位均相同的方式，对账户对应的号码进行聚类，若本次注册的号码与某一类号码存在连续且连续个数≥4，则将检测结果码中第1位记为1；

(2)检测运营商类型，检测号码是否位于1700、174、1704等虚拟运营商号段，若为虚拟运营商号码，则将检测结果码中第2位记为1；

(3)检测绑定账户数量，若本平台允许一个号码绑定多个账户且存在绑定上限，则从账户数据库中查询该号码对应的账户，若账户数量达到绑定上限，则将检测结果码中第3位记为1。

若此时检测结果码前三位为111，则将此号码标记为云手机号码，转到步骤6，否则转到下一步骤；

步骤4、多注册行为检测模块检测号码及对应IP的多注册行为，检测具体内容如下：

(1)检测该号码连续注册账户次数，查询账户数据库此号码对应的注册操作记录，若注册次数超过5次，则将检测结果码中第4位记为1；

(2)检测IP的多账户注册数量，查询账户数据库中24小时内该IP注册过的账户，若账户数量超过10个，则将检测结果码中第5位记为1。

若此时检测结果码为1xx010、xxx1x0、xx1010中之一，则将此号码标记为云手机号码，转到步骤6，否则转到下一步骤；

步骤5、进入第三方云手机号码名单查询模块，查询从其它平台获得的第三方云手机号码名单，若此注册号码位于名单中，则将检测结果码中第6位记为1，若此时前5位不都为0且第6位为1，则将号码标记为云手机号码，否则标记为非云手机号码，转到下一步；

步骤6、结果处理模块负责处理检测结果，具体处理情况如下：

(1)号码被标记为非云手机号码，将检测结果和数据获取模块获取的信息存入账户数据库，若平台允许一个号码绑定多个账户，则绑定数量加1；

(2)号码被标记为云手机号码，则将检测结果存入账户数据库，并将此号码加入号码黑名单中。

实施例3：在用户登陆场景下，对云手机号码注册的账户的异常特征进行检测。其具体步骤为：

步骤1、信息获取模块获取用户访问平台时携带的各类信息，表1为获取到的信息；

步骤2、查询号码黑白名单，若号码位于号码黑名单中，则直接转到步骤9，若号码位于号码白名单中，则进行正常登陆程序后转到步骤9，否则转下一步骤；

步骤3、初始化检测结果码为00000000；

步骤4、进入登陆冲突检测模块，具体检测内容如下：

(1)检测登陆冲突次数，从账户数据库中查询该号码24h内由于登陆冲突导致的异常下线记录，若冲突次数≥5，则将检测结果码中第1位记为1；

(2)检测号码连续性，在账户数据库中查询24小时内登陆的账户，按照除了四位尾号不同其余位均相同的方式，对账户对应的号码进行聚类，若本次登陆的号码与某一类号码存在连续且连续个数≥6，则将检测结果码中第2位记为1；

(3)检测登陆设备变动，在账户数据库中查询24小时该账户的登陆设备信息，若登陆设备种类≥3，则将检测结果码中第3位记为1。

若此时检测结果码为11100000、11000000、10100000、01100000中之一，则将此号码标记为云手机号码，转到步骤9，否则转到下一步骤；

步骤5、检测IP登陆多个账户的记录，提取该账户本次登陆的IP，在账户数据库中查询24h内该IP登陆的账户记录，若登陆账户的个数≥10，则将检测结果码中第4位记为1。

若此时检测结果码为10010000、01010000、00110000中之一，则将此号码标记为云手机号码，转到步骤9，否则转到下一步骤；

步骤6、进入跨域登陆检测模块，具体检测内容如下：

(1)检测地理位置变更，在账户数据库内查询该账户24h内地理位置变更的记录次数，若市级地域变更次数≥10或省级地域变更次数≥5，

则将检测结果码中第5位记为1；

(2)检测登陆IP变更，在账户数据库内查询该账户24h内登陆IP的变更次数，若变更次数≥10，则将检测结果码中第6位记为1。

若此时检测结果码为xxxx1x00、1xxxx100中之一，则将此号码标记为云手机号码，转到步骤9，否则转到下一步骤；

步骤7、进入账户注册信息完善度检测模块，查询账户数据库内该账户的关键账户信息完善程度，若该账户的账户关键信息完善度高于30％，则转到下一步，低于30％则分以下情况处理：

(1)完善账户信息提醒次数<10，则提醒用户完善账户关键信息，提醒次数加1；

(2)完善账户信息提醒次数＝10，则将检测结果码中第7位记为1。

若此时检测结果码第7位为1且前6位不都为0，则将此号码标记为云手机号码，转到步骤9，否则转到下一步骤；

步骤8、进入违规记录检测模块，检测账户的历史违规行为记录，在账户数据库内查询该账户24h内的因违反平台规定而被警告或惩罚的次数，若次数≥10，则将检测结果码中第8位记为1。

若此时检测结果码第8位为1且前7位不都为0，则将此号码标记为云手机号码，否则标记为非云手机号码，转到下一步骤；

步骤9、结果处理模块负责处理检测结果，具体处理情况如下：

(1)号码为黑名单号码，则直接由平台进行实施后续的云手机号码账户防护措施；

(2)号码是白名单号码或非云手机号码，将检测结果和数据获取模块获取的信息存入账户数据库；

(3)号码被标记为云手机号码，则将检测结果存入账户数据库，并将此号码加入号码黑名单中。

实施例4：在账户数据库轮询检测场景下，对云手机号码注册的账户的异常特征进行检测。账户数据库的轮询检测的轮询时间有应用平台根据自身的受攻击状况和每次轮询检测成本设置，这里给出建议轮询周期是24h。其具体步骤为：

步骤1、读取账户信息，从账户数据库中读取一个账户的所有信息；

步骤2、初始化检测结果码为0000；

步骤3、检测登陆冲突次数，从账户数据库中查询该号码24h内由于登陆冲突导致的异常下线记录，若冲突次数≥5，则将检测结果码中第1位记为1；

步骤4、检测登陆设备变动，在账户数据库中查询24小时该账户的登陆设备信息，若登陆设备种类≥3，则将检测结果码中第2位记为1；

步骤5、检测地理位置变更，在账户数据库内查询该账户24h内地理位置变更的记录次数，若市级地域变更次数≥10或省级地域变更次数≥5，则将检测结果码中第3位记为1；

步骤6、进入第三方云手机号码名单查询模块，查询从其它平台获得的第三方云手机号码名单，若此注册号码位于名单中，则将检测结果码中第4位记为1。

若此时检测结果码为xx1x、1100、0101、1101、1001中之一，则将此账户标记为云手机号码账户。若检测结果码为0000，则将此账户标记为非云手机号码账户，转到下一步骤；

步骤7、结果处理，若账户被标记为云手机号码账户，则将此号码加入号码黑名单，若标记为非云手机号码账户，则将此号码加入号码白名单中，否则不做处理。

以上所述仅对本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡是在本发明的权利要求限定范围内，所做的任何修改、等同替换、改进等，均应在本发明的保护范围之内。

Claims (6)

1.一种基于多元异常行为特征检测云手机号码账户的方法，其特征是，步骤一、通过分析和提取应用平台的账户信息，从云手机号码账户自身特性以及与其关联的IP、地理位置、登陆设备维度抽象出云手机号码账户具有的异常行为特征；步骤二、依据异常行为特征的检测有效性与检测成本比值，在用户注册、用户登陆和/或账户数据库轮询检测场景下，对云手机号码注册账户的一个或一个以上的异常行为特征进行检测。

2.根据权利要求1所述基于多元异常行为特征检测云手机号码账户的方法，其特征在于，所述异常行为特征包括：

A.号码有连续性；

B.运营商类型多为虚拟运营商；

C.绑定账户数量至上限；

D.连续注册账户频繁；

E.IP注册过多个账户；

F.登陆冲突频繁；

G.登陆设备变动频繁；

H.IP在多个账户登陆；

I.地理位置变更频繁、跨域大；

J.登陆IP变更频繁；

K.账户注册信息完善度极低；

L.具有多个违规操作记录。

3.根据权利要求1所述基于多元异常行为特征检测云手机号码账户的方法，其特征在于，所述步骤二还加入第三方云手机号码名单查询模块。

4.根据权利要求3所述基于多元异常行为特征检测云手机号码账户的方法，其特征在于，所述用户注册场景对云手机号码注册账户的异常行为特征进行检测步骤包括：

步骤1、进入信息获取模块，获取用户访问平台时携带的各类信息；

步骤2、初始化检测结果码为000000；

步骤3、注册号码预检测模块对要进行账户注册的号码进行预检测，具体检测内容如下：

(1)检测号码连续性，在账户数据库中查询t1时间内注册的账户，按照除了四位尾号不同其余位均相同的方式，对账户对应的号码进行聚类，若本次注册的号码与某一类号码存在连续且连续个数≥n1，则将检测结果码中第1位记为1；

(2)检测运营商类型，检测号码是否位于1700、174、1704等虚拟运营商号段，若为虚拟运营商号码，则将检测结果码中第2位记为1；

(3)检测绑定账户数量，若本平台允许一个号码绑定多个账户且存在绑定上限，则从账户数据库中查询该号码对应的账户，若账户数量达到绑定上限，则将检测结果码中第3位记为1；

若此时检测结果码前三位为111，则将此号码标记为云手机号码，转到步骤6，否则转到下一步骤；

步骤4、多注册行为检测模块检测号码及对应IP的多注册行为，检测具体内容如下：

(1)检测该号码连续注册账户次数，查询账户数据库此号码对应的注册操作记录，若注册次数超过n2次，则将检测结果码中第4位记为1；

(2)检测IP的多账户注册数量，查询账户数据库中t2时间内该IP注册过的账户，若账户数量超过n3个，则将检测结果码中第5位记为1；

若此时检测结果码为1xx010、xxx1x0、xx1010中之一，则将此号码标记为云手机号码，转到步骤6，否则转到下一步骤；

步骤5、进入第三方云手机号码名单查询模块，查询从其它平台获得的第三方云手机号码名单，若此注册号码位于名单中，则将检测结果码中第6位记为1，若此时前5位不都为0且第6位为1，则将号码标记为云手机号码，否则标记为非云手机号码，转到下一步；

步骤6、结果处理模块负责处理检测结果，具体处理情况如下：

(1)号码被标记为非云手机号码，将检测结果和数据获取模块获取的信息存入账户数据库，若平台允许一个号码绑定多个账户，则绑定数量加1；

(2)号码被标记为云手机号码，则将检测结果存入账户数据库，并将此号码加入号码黑名单中。

5.根据权利要求3所述基于多元异常行为特征检测云手机号码账户的方法，其特征在于，所述用户登陆场景对云手机号码注册账户的异常行为特征进行检测步骤包括：

步骤1、信息获取模块获取用户访问平台时携带的各类信息；

步骤2、查询号码黑白名单，若号码位于号码黑名单中，则直接转到步骤9，若号码位于号码白名单中，则进行正常登陆程序后转到步骤9，否则转下一步骤；

步骤3、初始化检测结果码为00000000；

步骤4、进入登陆冲突检测模块，具体检测内容如下：

(1)检测登陆冲突次数，从账户数据库中查询该号码t3时间内由于登陆冲突导致的异常下线记录，若冲突次数≥n4，则将检测结果码中第1位记为1；

(2)检测号码连续性，在账户数据库中查询t4时间登陆的账户，按照除了四位尾号不同其余位均相同的方式，对账户对应的号码进行聚类，若本次登陆的号码与某一类号码存在连续且连续个数≥n5，则将检测结果码中第2位记为1；

(3)检测登陆设备变动，在账户数据库中查询t5时间该账户的登陆设备信息，若登陆设备种类≥n6，则将检测结果码中第3位记为1；

若此时检测结果码为11100000、11000000、10100000、01100000中之一，则将此号码标记为云手机号码，转到步骤9，否则转到下一步骤；

步骤5、检测IP登陆多个账户的记录，提取该账户本次登陆的IP，在账户数据库中查询t6时间内该IP登陆的账户记录，若登陆账户的个数≥n7，则将检测结果码中第4位记为1；

若此时检测结果码为10010000、01010000、00110000中之一，则将此号码标记为云手机号码，转到步骤9，否则转到下一步骤；

步骤6、进入跨域登陆检测模块，具体检测内容如下：

(1)检测地理位置变更，在账户数据库内查询该账户t7时间内地理位置变更的记录次数，若市级地域变更次数≥n8或省级地域变更次数≥n9，则将检测结果码中第5位记为1；

(2)检测登陆IP变更，在账户数据库内查询该账户t8时间内登陆IP的变更次数，若变更次数≥n10，则将检测结果码中第6位记为1；

若此时检测结果码为xxxx1x00、1xxxx100中之一，则将此号码标记为云手机号码，转到步骤9，否则转到下一步骤；

步骤7、进入账户注册信息完善度检测模块，查询账户数据库内该账户的关键账户信息完善程度，若该账户的账户关键信息完善度高于k％，则转到下一步，低于k％则分以下情况处理：

(1)完善账户信息提醒次数<n11，则提醒用户完善账户关键信息，提醒次数加1；

(2)完善账户信息提醒次数＝n11，则将检测结果码中第7位记为1；

若此时检测结果码第7位为1且前6位不都为0，则将此号码标记为云手机号码，转到步骤9，否则转到下一步骤；

步骤8、进入违规记录检测模块，检测账户的历史违规行为记录，在账户数据库内查询该账户t9时间的因违反平台规定而被警告或惩罚的次数，若次数≥n12，则将检测结果码中第8位记为1；

若此时检测结果码第8位为1且前7位不都为0，则将此号码标记为云手机号码，否则标记为非云手机号码，转到下一步骤；

步骤9、结果处理模块负责处理检测结果，具体处理情况如下：

(1)号码为黑名单号码，则直接由平台进行实施后续的云手机号码账户防护措施；

(2)号码是白名单号码或非云手机号码，将检测结果和数据获取模块获取的信息存入账户数据库；

(3)号码被标记为云手机号码，则将检测结果存入账户数据库，并将此号码加入号码黑名单中。

6.根据权利要求3所述基于多元异常行为特征检测云手机号码账户的方法，其特征在于，所述账户数据库的轮询检测的轮询时间T由应用平台根据自身的受攻击状况和每次轮询检测成本设置，所述账户数据库轮询检测场景对云手机号码注册账户的异常行为特征进行检测具体步骤为：

步骤1、读取账户信息，从账户数据库中读取一个账户的所有信息；

步骤2、初始化检测结果码为0000；

步骤3、检测登陆冲突次数，从账户数据库中查询该号码T时间内由于登陆冲突导致的异常下线记录，若冲突次数≥N1，则将检测结果码中第1位记为1；

步骤4、检测登陆设备变动，在账户数据库中查询T时间内该账户的登陆设备信息，若登陆设备种类≥N2，则将检测结果码中第2位记为1；

步骤5、检测地理位置变更，在账户数据库内查询该账户T时间内内地理位置变更的记录次数，若市级地域变更次数≥N3或省级地域变更次数≥N4，则将检测结果码中第3位记为1；

步骤6、进入第三方云手机号码名单查询模块，查询从其它平台获得的第三方云手机号码名单，若此注册号码位于名单中，则将检测结果码中第4位记为1；

若此时检测结果码为xx1x、1100、0101、1101、1001中之一，则将此账户标记为云手机号码账户；若检测结果码为0000，则将此账户标记为非云手机号码账户，转到下一步骤；

步骤7、结果处理，若账户被标记为云手机号码账户，则将此号码加入号码黑名单，若标记为非云手机号码账户，则将此号码加入号码白名单中，否则不做处理。

Images