CN113722197B - 移动终端异常识别方法、系统 - Google Patents

Abstract

本发明公开移动终端异常识别方法，本发明利用移动终端自身硬件属性及传感器的关联性，识别待测移动终端是否异常，从根本上识别黑灰产攻击难识别，规避了黑灰产对于传统风控的阈值规则绕过风险。并对于企业可以积累设备属性库对于设备进行识别设备是否是正常设备。

Description

移动终端异常识别方法、系统

技术领域

本发明涉及互联网电商行业，具体来说是一种移动终端异常识别方法、系统。

背景技术

随着互联网的发展，越来越多的企业为了吸引用户安装注册品牌的APP，会对新用户发放新客礼物，由于新客礼的优惠都是实实在在的优惠，很多用户想享受新人礼，但是又已经没有号码注册，会从“闲鱼”，“转转”等交易平台购买这些新人礼，随着购买的用户越来越多，已经逐渐形成较为成熟的产业链。

黑灰产机构使用较为复杂的技术对品牌方进行批量注册攻击，即便是品牌方已经有风控平台，但是随着技术的发展，黑灰产机构的技术也在快速更迭，包括使用群控移动终端墙进行批量操作，使用电脑安卓模拟器进行批量操作等，甚至人工智能都可以被用来生成复杂的信息，而这些虚假信息机器无法检测出来。

现有技术中，大部分的风控平台是基于累加类的规则引擎，通过专家经验整理规则，设定相关的阈值，并对用户行为进行判断是否存在异常,超过阈值则认定该用户行为异常。或通过属性、IP、useragent等风控属性采集的黑名单进行拦截。由于黑灰产的技术逐渐提升，黑产不仅可以使用模拟器、移动终端墙或特殊软件绕过风控引擎，而且对于移动终端传感器的合理值也很难通过阈值进行异常的判断。

如公开号为CN112488226A公开的一种基于机器学习算法的终端异常行为识别方法，该方法采用实时对样本集内的样本进行分类，增加聚类模型的样本数，在大量样本的支持下，训练得到识别能力和准确性高的聚类模型，从而可以识别终端行为是否异常。但是该方法依赖大量样本，当样本有限或样本出现问题时，直接影响识别精度。

发明内容

本发明所要解决的技术问题在于根据移动终端自己身硬件特性及关联性提供一种移动终端异常识别方法。

本发明通过以下技术手段实现解决上述技术问题的：

一种移动终端异常识别方法，包括以下步骤：

S01，获取用户安全系数，从用户安全系数大于预设阈值的用户中获取其移动终端的设备信息；

S02，根据所述设备信息，构建移动终端的第一属性库；所述第一属性库包括移动终端的静态属性；

S03，获取待识别的移动终端的设备信息，并构建待识别的移动终端的第二属性库；

S04，将所述第二属性库和第一属性库进行比较，根据比较结果确定待识别的移动终端是否异常，若否，则执行步骤S05；

S05，获取待识别的移动终端的传感器信息，判断多个传感器的数据是否符合联动关系，若不符合，则认定该移动终端为异常移动终端，否则，跳转步骤S06；

S06，对不同型号的待识别的移动终端中应用软件的安装时间进行比较，如果应用软件的安装时间一致，则认为该移动终端为异常；或，对相同型号的待识别的移动终端进行应用软件相似度计算，如果安装的应用软件相似度大于相似度阈值，则认为移动终端该移动终端为异常。

本发明利用移动终端自身硬件静态属性、传感器的关联性、自行安装软件的时间特性三个层面识别待测移动终端是否异常，从根本上避免黑灰产的攻击难识别及传统风控的阈值规则易被绕过的风险；同时还可以积累设备属性库，以识别设备是否为正常设备。

进一步的，所述第一属性库中的静态属性至少包括硬件属性和原生应用软件属性，所述硬件属性包括：各种传感器的性能特征及供应商、电池型号、电压、屏幕大小、分辨率、移动终端CPU；所述原生应用软件属性包括：原生应用软件名称、应用版本、安装包大小。

进一步的，所述步骤S04的异常识别步骤包括：

步骤S041，获取移动终端中静态属性参数数值；

步骤S042，根据所述属性参数数值，按照相同设备型号计算各个属性的概率分布；

步骤S043，根据所述概率分布判断各个型号的移动终端中各个硬件和原生应用软件的属性参数数值属于离散型还是连续型；

步骤S044，根据相同设备型号的硬件和原生应用软件属性离散数据概率值大小判断是否存在单个属性异常，如存在，则对异常属性的离散数据概率值进行评估，超出正常范围的则判定为异常；

步骤S045，根据相同设备型号的硬件属性连续数据概率值大小判断是否存在单个属性异常，如存在，则对异常属性的连续数据概率值进行评估，超出正常范围的则判定为异常；

步骤S046，根据步骤S044、步骤S045统计的异常数据生成疑似存在异常的设备清单，并告警。

进一步的，所述步骤S05的具体方法为：

采集待识别的移动终端每个传感器的某时间点坐标值An(x,y,z)，其中，A表示传感器，n表示传感器数量；利用传感器A1(x,y,z)、A2(x,y,z)……An(x,y)预测An(z)，若An(z)与实际值相符，则继续利用传感器A1(x,y,z)、A2(x,y,z)……An(x,z)预测An(y)；以此类推，当出现预测值与实际值不符，则认定该待识别的移动终端为异常，否则为正常。

与上述方法对应的，本发明还提供一种移动终端异常识别系统，包括：

样本数据采集模块，用以获取用户安全系数，从用户安全系数大于预设阈值的用户中获取其移动终端的设备信息；

第一属性库构建模块，用以根据所述设备信息，构建移动终端的第一属性库；所述第一属性库包括移动终端的静态属性；

第二属性库构建模块，用以获取待识别的移动终端的设备信息，并构建待识别的移动终端的第二属性库；

第一判断模块，用以将所述第二属性库和第一属性库进行比较，根据比较结果确定待识别移动终端是否异常，若否，则执行第二判断模块；

第二判断模块，获取待识别的移动终端的传感器信息，判断多个传感器的数据是否符合联动关系，若不符合，则认定该移动终端为异常移动终端，否则，则执行第三判断模块；

第三判断模块，对不同型号的待识别的移动终端中应用软件的安装时间进行比较，如果应用软件的安装时间一致，则认为该移动终端为异常；或，对相同型号的待识别的移动终端进行应用软件相似度计算，如果安装的应用软件相似度大于相似度阈值，则认为移动终端该移动终端为异常。

进一步的，所述第一属性库构建模块中的静态属性至少包括硬件属性和原生应用软件属性，所述硬件属性包括：各种传感器的性能特征及供应商、电池型号、电压、屏幕大小、分辨率、移动终端CPU；所述原生应用软件属性包括：原生应用软件名称、应用版本、安装包大小。

进一步的，所述第一判断模块中异常识别步骤包括：

步骤S041，获取移动终端中静态属性参数数值；

步骤S042，根据所述属性参数数值，按照相同设备型号计算各个属性的概率分布；

步骤S043，根据所述概率分布判断各个型号的移动终端中各个硬件和原生应用软件的属性参数数值属于离散型还是连续型；

步骤S044，根据相同设备型号的硬件和原生应用软件属性离散数据概率值大小判断是否存在单个属性异常，如存在，则对异常属性的离散数据概率值进行评估，超出正常范围的则判定为异常；

步骤S045，根据相同设备型号的硬件属性连续数据概率值大小判断是否存在单个属性异常，如存在，则对异常属性的连续数据概率值进行评估，超出正常范围的则判定为异常；

步骤S046，根据步骤S044、步骤S045统计的异常数据生成疑似存在异常的设备清单，并告警。

进一步的，所述第二判断模块的具体方法为：

采集待识别的移动终端每个传感器的某时间点坐标值An(x,y,z)，其中，A表示传感器，n表示传感器数量；利用传感器A1(x,y,z)、A2(x,y,z)……An(x,y)预测An(z)，若An(z)与实际值相符，则继续利用传感器A1(x,y,z)、A2(x,y,z)……An(x,z)预测An(y)；以此类推，当出现预测值与实际值不符，则认定该待识别的移动终端为异常，否则为正常。

本发明的优点在于：

本发明利用移动终端自身硬件静态属性、传感器的关联性、自行安装软件的时间特性三个层面识别待测移动终端是否异常，从根本上避免黑灰产的攻击难识别及传统风控的阈值规则易被绕过的风险；同时还可以积累设备属性库，以识别设备是否为正常设备。

附图说明

图1为本发明实施例1中一种移动终端异常识别方法的流程框图；

图2为本发明实施例1中一种移动终端异常识别方法判断流程框图；

图3为本发明实施例2中一种移动终端异常识别系统框图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

如图1所示，本实施例公开一种移动终端异常识别方法，包括以下步骤：

步骤S01，获取用户安全系数，从用户安全系数大于预设阈值的用户中获取其移动终端的设备信息，所述设备信息包括：移动终端传感器信息，硬件信息，应用软件信息；

同品牌同型号的移动终端存在静态信息基本一致的特性，如传感器制作的供应商分布存在较为集中的几家供应商、电池、屏幕、cpu的静态信息基本一致等等，基于上述分析，步骤S01中各个数据具体为：

1、硬件信息包括：移动终端的充电装填，电池信息，电压，屏幕大小，分辨率，移动终端CPU等属性信息；

2、传感器信息包括：加速度传感器、磁场传感器、方向传感器、陀螺仪传感器、重力传感器、线性加速度传感器、温度传感器、光线传感器、距离传感器、压力传感器、计步传感器等；用户的触摸行为包括在使用屏幕时的时间，以及屏幕触摸力度、屏幕触摸的坐标位置等信息；

3、应用软件信息包括：原生应用软件名称、应用版本、安装包大小等。

步骤S02，根据所述设备信息，构建移动终端的第一属性库；所述第一属性库包括移动终端的静态属性；本实施例中静态属性至少包括各种传感器的性能特征及供应商、电池型号、电压、屏幕大小、分辨率、移动终端CPU、原生应用软件名称、应用版本、安装包大小。

步骤S03，获取待识别的移动终端的设备信息，并构建待识别的移动终端的第二属性库；本实施例中，第二属性库与第一属性库结构相同。

步骤S04，将所述第二属性库和第一属性库进行比较，根据比较结果确定待识别移动终端是否异常，若否，则执行步骤S05；

步骤S04的异常识别步骤包括：

步骤S041，获取移动终端中静态属性参数数值；

步骤S042，根据所述属性参数数值，按照相同设备型号计算各个属性的概率分布；硬件属性有的值是连续的，比如电量状态，有些是离散的，比如屏幕分辨率。软件只有离散型。

步骤S043，根据所述概率分布判断各个型号的移动终端中各个硬件和原生应用软件的属性参数数值属于离散型还是连续型；

步骤S044，根据相同设备型号的硬件和原生应用软件属性离散数据概率值大小判断是否存在单个属性异常，如存在，则对异常属性的离散数据概率值进行评估，超出正常范围的则判定为异常；

步骤S045，根据相同设备型号的硬件属性连续数据概率值大小判断是否存在单个属性异常，如存在，则对异常属性的连续数据概率值进行评估，超出正常范围的则判定为异常；

步骤S046，根据步骤S044、步骤S045统计的异常数据生成疑似存在异常的设备清单，并告警。

比如，现有市场的手机原生应用软件一般较难直接卸载，所以同型号手机的原生应用软件一般是一致的，当出现相似度较低的手机设备为异常终端。具体方法可以为对同品牌、同型号的设备原生应用进行one-hot编码，生成应用矩阵，如果存在较小概率出现的系统安装应用，则判断设备伪造系统应用异常。

比如，手机型号MI 10的手机屏幕分辨率为2340×1080像素，如果出现分辨率为1280*720像素的手机，则认定该手机为异常。

步骤S05，获取待识别的移动终端的传感器信息，判断多个传感器的数据是否符合联动关系，若不符合，则认定该移动终端为异常移动终端，否则，跳转步骤S06；

本步骤的原理为，当手机发生位移时，手机内的多个传感器均会发生数值变化，也就是说多个传感器之间存在联动情况。如当用户拿起手机时，手机的加速度，陀螺仪，光感传感器都会同时发生变化。但是如果是异常终端，比如模拟器由于设计的时候很难模拟这样的连贯操作，会有一些传感器的数值静止，或者缺失。

所以本步骤采用第一属性库中传感器属性训练分类模型，向训练好的分类模型中输入待评价手机其中一种传感器数据，输出其它预测传感器的数值，如果实际值和预测值存在偏差则对该设备其他坐标值继续预测,如果多组数据都存在异常则认定该待识别的移动终端为异常。本实施例的分类模型可以使用XGboost，随机森林，lightbgm等，使用AUC，F1score等衡量标准进行模型调参，并将模型进行保留，以便对新增待判断的设备进行预测。如果预测值与实际传输的数值存在加大差异则判断为异常终端。

假设某手机中有3个传感器，分别为A1、A2、A3,首先采集待每个传感器的某时间点坐标值A1(x,y,z)、A2(x,y,z)、A3(x,y,z)，先利用传感器A1(x,y,z)、A2(x,y,z)、A3(x,y)预测A3(z)，若A3(z)与实际值相符，则继续利用传感器A1(x,y,z)、A2(x,y,z)、A3(x,z)预测A3(y)；以此类推，当出现预测值与实际值不符，则认定该待识别的移动终端异常，否则为正常。

本实施例中，用以训练分类模型的样本数据为计算不同传感器的最大值，最小值，标准差，对数值进行归一化特征值，如下表。

类别	描述	属性	阈值_min	阈值_max	单位
						gravimeter	重力仪	x	-1	1	m/s2
gravimeter	重力仪	y	-1	1	m/s2
						gravimeter	重力仪	z	-1	1	m/s2
gyroscope	陀螺仪	x	-8.93	8.84	rad/s
						gyroscope	陀螺仪	y	-12.23	11.59	rad/s
gyroscope	陀螺仪	z	-9.01	9.33	rad/s
						accelerometer	加速度计	x	-1.86	3.08	m/s2
accelerometer	加速度计	y	-2.08	1.97	m/s2
						accelerometer	加速度计	z	-4.67	2.18	m/s2

步骤S06，对不同型号的待识别的移动终端中应用软件的安装时间进行比较，如果应用软件的安装时间一致，则认为该移动终端为异常；或，对相同型号的待识别的移动终端进行应用软件相似度计算，如果安装的应用软件相似度大于相似度阈值，则认为移动终端该移动终端为异常。

手机的用户列表记录当前手机的安装应用情况，包括应用的安装时间，应用版本，安装包的大小等信息，对于不同的用户安装的信息都是存在千差万别的，而对于黑产更关注应用内的接口的调用，常常会忽略应用列表等信息，所以在复制镜像的时候会完整复制应用清单。还有部分是使用真实手机进行或手机中的非原装APP会出现批量集中安装的时间。

对用户手机应用清单列表区分手机原生应用软件和用户自行安装的APP，并将手机应用按照应用转换成词向量，每个用户生成两条文本向量，使用杰卡德相似度来做文本相似度比较，杰卡德相似度一般被用来度量两个集合之间的差异大小。假设我们有两个集合A和B，那么二者的杰卡德相似度为：

对于用户自行安装的应用也会存在较大差异，虽然有部分会存在重复，例如市面上的正常手机里面都会安装微信，支付宝等应用，但是还是会有些用户自己特定需求的APP，并且在安装时间上也会存在较大的差异，对用户安装的APP进行向量转换，相同型号的手机进行APP相似度计算，如果安装应用相似度较高，且安装时间较为集中或不同手机之间的安装时间一致则认为异常终端。

本实施例提供的方法，利用手机自身硬件静态属性、传感器的关联性、自行安装软件的时间特性三个层面识别待测手机是否异常，从根本上避免黑灰产的攻击难识别及传统风控的阈值规则易被绕过的风险；同时还可以积累设备属性库，以识别设备是否为正常设备。

实施例2

与上述方法对应的，本实施例公开一种移动终端异常识别系统，如图3所示，包括：

样本数据采集模块，获取用户安全系数，从用户安全系数大于预设阈值的用户中获取其移动终端的设备信息，所述设备信息包括：移动终端传感器信息，硬件信息，应用软件信息；

同品牌同型号的移动终端存在静态信息基本一致的特性，如传感器制作的供应商分布存在较为集中的几家供应商、电池、屏幕、cpu的静态信息基本一致等等，基于上述分析，步骤S01中各个数据具体为：1、硬件信息包括：移动终端的充电装填，电池信息，电压，屏幕大小，分辨率，移动终端CPU等属性信息；

2、传感器信息包括：加速度传感器、磁场传感器、方向传感器、陀螺仪传感器、重力传感器、线性加速度传感器、温度传感器、光线传感器、距离传感器、压力传感器、计步传感器等；用户的触摸行为包括在使用屏幕时的时间，以及屏幕触摸力度、屏幕触摸的坐标位置等信息；

3、应用软件信息包括：原生应用软件名称、应用版本、安装包大小等

第一属性库构建模块，用以根据所述设备信息，构建移动终端的第一属性库；所述第一属性库包括移动终端的静态属性；本实施例中静态属性至少包括各种传感器的性能特征及供应商、电池型号、电压、屏幕大小、分辨率、移动终端CPU、原生应用软件名称、应用版本、安装包大小。

第二属性库构建模块，用以获取待识别的移动终端的设备信息，并构建待识别的移动终端的第二属性库；本实施例中，第二属性库与第一属性库的结构相同。

第一判断模块，用以将所述第二属性库和第一属性库进行比较，根据比较结果确定待识别移动终端是否异常，若否，则执行步骤S05；

步骤S04的异常识别步骤包括：

步骤S041，获取移动终端中静态属性参数数值；

步骤S042，根据所述属性参数数值，按照相同设备型号计算各个属性的概率分布；

步骤S043，根据所述概率分布判断各个型号的移动终端中各个硬件和原生应用软件的属性参数数值属于离散型还是连续型；硬件属性有的值是连续的，比如电量状态，有些是离散的，比如屏幕分辨率。软件只有离散型。

步骤S044，根据相同设备型号的硬件和原生应用软件属性离散数据概率值大小判断是否存在单个属性异常，如存在，则对异常属性的离散数据概率值进行评估，超出正常范围的则判定为异常；

步骤S045，根据相同设备型号的硬件属性连续数据概率值大小判断是否存在单个属性异常，如存在，则对异常属性的连续数据概率值进行评估，超出正常范围的则判定为异常；

步骤S046，根据步骤S044、步骤S045统计的异常数据生成疑似存在异常的设备清单，并告警。

比如，现有市场的手机原生应用软件一般较难直接卸载，所以同型号手机的原生应用软件一般是一致的，当出现相似度较低的手机设备为异常终端。具体方法可以为对同品牌、同型号的设备原生应用进行one-hot编码，生成应用矩阵，如果存在较小概率出现的系统安装应用，则判断设备伪造系统应用异常。

比如，手机型号MI 10的手机屏幕分辨率为2340×1080像素，如果出现分辨率为1280*720像素的手机，则认定该手机为异常。

第二判断模块，获取待识别的移动终端的传感器信息，判断多个传感器的数据是否符合联动关系，若不符合，则认定该移动终端为异常移动终端，否则，跳转步骤S06；

本步骤的原理为，当手机发生位移时，手机内的多个传感器均会发生数值变化，也就是说多个传感器之间存在联动情况。如当用户拿起手机时，手机的加速度，陀螺仪，光感传感器都会同时发生变化。但是如果是异常终端，比如模拟器由于设计的时候很难模拟这样的连贯操作，会有一些传感器的数值静止，或者缺失。

所以本步骤采用第一属性库中传感器属性训练分类模型，向训练好的分类模型中输入移动终端待识别的移动终端其中一种传感器数据，输出其它预测传感器的数值，如果实际值和预测值存在偏差则对该设备其他坐标值继续预测,如果多组数据都存在异常则认定该移动终端待识别的移动终端为异常。本实施例的分类模型可以使用XGboost，随机森林，lightbgm等，使用AUC，F1score等衡量标准进行模型调参，并将模型进行保留，以便对新增待判断的设备进行预测。如果预测值与实际传输的数值存在加大差异则判断为异常终端。

假设某手机中有3个传感器，分别为A1、A2、A3,首先采集待每个传感器的某时间点坐标值A1(x,y,z)、A2(x,y,z)、A3(x,y,z)，先利用传感器A1(x,y,z)、A2(x,y,z)、A3(x,y)预测A3(z)，若A3(z)与实际值相符，则继续利用传感器A1(x,y,z)、A2(x,y,z)、A3(x,z)预测A3(y)；以此类推，当出现预测值与实际值不符，则认定该待识别的移动终端异常，否则为正常。

本实施例中，用以训练分类模型的样本数据为计算不同传感器的最大值，最小值，标准差，对数值进行归一化特征值，如下表。

类别	描述	属性	阈值_min	阈值_max	单位
						gravimeter	重力仪	x	-1	1	m/s2
gravimeter	重力仪	y	-1	1	m/s2
						gravimeter	重力仪	z	-1	1	m/s2
gyroscope	陀螺仪	x	-8.93	8.84	rad/s
						gyroscope	陀螺仪	y	-12.23	11.59	rad/s
gyroscope	陀螺仪	z	-9.01	9.33	rad/s
						accelerometer	加速度计	x	-1.86	3.08	m/s2
accelerometer	加速度计	y	-2.08	1.97	m/s2
						accelerometer	加速度计	z	-4.67	2.18	m/s2

第三判断模块，对不同型号的待识别的移动终端中应用软件的安装时间进行比较，如果应用软件的安装时间一致，则认为该移动终端为异常；或，对相同型号的待识别的移动终端进行应用软件相似度计算，如果安装的应用软件相似度大于相似度阈值，则认为移动终端该移动终端为异常。

移动终端的用户列表记录当前移动终端的安装应用情况，包括应用的安装时间，应用版本，安装包的大小等信息，对于不同的用户安装的信息都是存在千差万别的，而对于黑产更关注应用内的接口的调用，常常会忽略应用列表等信息，所以在复制镜像的时候会完整复制应用清单。还有部分是使用真实移动终端进行或移动终端中的非原装APP会出现批量集中安装的时间。

对用户移动终端应用清单列表区分移动终端原生应用软件和用户自行安装的APP，并将移动终端应用按照应用转换成词向量，每个用户生成两条文本向量，使用杰卡德相似度来做文本相似度比较，杰卡德相似度一般被用来度量两个集合之间的差异大小。假设我们有两个集合A和B，那么二者的杰卡德相似度为：

对于用户自行安装的应用也会存在较大差异，虽然有部分会存在重复，例如市面上的正常移动终端里面都会安装微信，支付宝等应用，但是还是会有些用户自己特定需求的APP，并且在安装时间上也会存在较大的差异，对用户安装的APP进行向量转换，相同型号的移动终端进行APP相似度计算，如果安装应用相似度较高，且安装时间较为集中或不同移动终端之间的安装时间一致则认为异常终端。

以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (2)

1.一种移动终端异常识别方法，其特征在于，包括以下步骤：

S01，获取用户安全系数，从用户安全系数大于预设阈值的用户中获取其移动终端的设备信息；

S02，根据所述设备信息，构建移动终端的第一属性库；所述第一属性库包括移动终端的静态属性；所述第一属性库中的静态属性至少包括硬件属性和原生应用软件属性，所述硬件属性包括：各种传感器的性能特征及供应商、电池型号、电压、屏幕大小、分辨率、移动终端CPU；所述原生应用软件属性包括：原生应用软件名称、应用版本、安装包大小；

S03，获取待识别的移动终端的设备信息，并构建待识别的移动终端的第二属性库；所述第一属性库与第二属性库相同；

S04，将所述第二属性库和第一属性库进行比较，根据比较结果确定待识别的移动终端是否异常，若否，则执行步骤S05；

步骤S041，获取移动终端中静态属性参数数值；

步骤S042，根据所述属性参数数值，按照相同设备型号计算各个属性的概率分布；

步骤S043，根据所述概率分布判断各个型号的移动终端中各个硬件和原生应用软件的属性参数数值属于离散型还是连续型；

步骤S044，根据相同设备型号的硬件和原生应用软件属性离散数据概率值大小判断是否存在单个属性异常，如存在，则对异常属性的离散数据概率值进行评估，超出正常范围的则判定为异常；

步骤S045，根据相同设备型号的硬件属性连续数据概率值大小判断是否存在单个属性异常，如存在，则对异常属性的连续数据概率值进行评估，超出正常范围的则判定为异常；

步骤S046，根据步骤S044、步骤S045统计的异常数据生成疑似存在异常的设备清单，并告警；

S05，获取待识别的移动终端的传感器信息，判断多个传感器的数据是否符合联动关系，若不符合，则认定该移动终端为异常移动终端，否则，跳转步骤S06；

采集待识别的移动终端每个传感器的某时间点坐标值An(x,y,z)，其中，A表示传感器，n表示传感器数量；利用传感器A1(x,y,z)、A2(x,y,z)……An(x,y)预测An(z)，若An(z)与实际值相符，则继续利用传感器A1(x,y,z)、A2(x,y,z)……An(x,z)预测An(y)；以此类推，当出现预测值与实际值不符，则认定该待识别的移动终端为异常，否则为正常；

S06，对不同型号的待识别的移动终端中应用软件的安装时间进行比较，如果应用软件的安装时间一致，则认为该移动终端为异常；或，对相同型号的待识别的移动终端进行应用软件相似度计算，如果安装的应用软件相似度大于相似度阈值，则认为移动终端该移动终端为异常。

2.一种移动终端异常识别系统，其特征在于，包括：

样本数据采集模块，用以获取用户安全系数，从用户安全系数大于预设阈值的用户中获取其移动终端的设备信息；

第一属性库构建模块，用以根据所述设备信息，构建移动终端的第一属性库；所述第一属性库包括移动终端的静态属性；

第二属性库构建模块，用以获取待识别的移动终端的设备信息，并构建待识别的移动终端的第二属性库；所述第一属性库与第二属性库相同；

第一判断模块，用以将所述第二属性库和第一属性库进行比较，根据比较结果确定待识别移动终端是否异常，若否，则执行第二判断模块；

第二判断模块，获取待识别的移动终端的传感器信息，判断多个传感器的数据是否符合联动关系，若不符合，则认定该移动终端为异常移动终端，否则，则执行第三判断模块；

第三判断模块，对不同型号的待识别的移动终端中应用软件的安装时间进行比较，如果应用软件的安装时间一致，则认为该移动终端为异常；或，对相同型号的待识别的移动终端进行应用软件相似度计算，如果安装的应用软件相似度大于相似度阈值，则认为移动终端该移动终端为异常；

所述第一属性库构建模块中的静态属性至少包括硬件属性和原生应用软件属性，所述硬件属性包括：各种传感器的性能特征及供应商、电池型号、电压、屏幕大小、分辨率、移动终端CPU；所述原生应用软件属性包括：原生应用软件名称、应用版本、安装包大小；

所述第一判断模块中异常识别步骤包括：

步骤S041，获取移动终端中静态属性参数数值；

步骤S042，根据所述属性参数数值，按照相同设备型号计算各个属性的概率分布；

步骤S043，根据所述概率分布判断各个型号的移动终端中各个硬件和原生应用软件的属性参数数值属于离散型还是连续型；

步骤S044，根据相同设备型号的硬件和原生应用软件属性离散数据概率值大小判断是否存在单个属性异常，如存在，则对异常属性的离散数据概率值进行评估，超出正常范围的则判定为异常；

步骤S045，根据相同设备型号的硬件属性连续数据概率值大小判断是否存在单个属性异常，如存在，则对异常属性的连续数据概率值进行评估，超出正常范围的则判定为异常；

步骤S046，根据步骤S044、步骤S045统计的异常数据生成疑似存在异常的设备清单，并告警；

所述第二判断模块的具体方法为：

采集待识别的移动终端每个传感器的某时间点坐标值An(x,y,z)，其中，A表示传感器，n表示传感器数量；利用传感器A1(x,y,z)、A2(x,y,z)……An(x,y)预测An(z)，若An(z)与实际值相符，则继续利用传感器A1(x,y,z)、A2(x,y,z)……An(x,z)预测An(y)；以此类推，当出现预测值与实际值不符，则认定该待识别的移动终端为异常，否则为正常。