WO2017028031A1

WO2017028031A1 - 一种移动网络安全的处理方法、警示方法及用户终端

Info

Publication number: WO2017028031A1
Application number: PCT/CN2015/087033
Authority: WO
Inventors: 黄征; 郝勇钢; 龙宇; 来学嘉; 陈璟
Original assignee: 华为技术有限公司
Priority date: 2015-08-14
Filing date: 2015-08-14
Publication date: 2017-02-23
Also published as: CN106664309B; CN106664309A

Abstract

一种移动网络安全的处理方法、警示方法及用户终端。用户终端接收攻击事件的事件信息（301），用户终端根据攻击事件的事件信息在通信状况表中确定目标通信事件（302），用户终端根据目标通信事件的事件发生时刻在通信切换表中确定目标切换事件（303），用户终端根据目标切换事件确定与目标切换事件对应的目标网络（304），用户终端将目标网络标记为可疑网络（305）。通过本移动网络安全的处理方法、警示方法及用户终端能够针对攻击事件进行追溯，从而找到产生攻击事件时的网络，从而能够将该网络标记为可疑网络，并且在以后的网络重选中也不会重选到该网络，从而能够提高移动网络安全性。

Description

一种移动网络安全的处理方法、警示方法及用户终端

技术领域

本发明涉及移动网络安全领域，尤其涉及的是一种移动网络安全的处理方法、警示方法及用户终端。

背景技术

保障移动网络的安全性一直是移动通信面临的重要问题。随着移动用户终端的广泛应用，对于其安全性的需求也越来越高，特别如即时通信、移动支付等应用有着强安全性需求。

现有技术方案中，为了方便用户实时查看其当前所处的网络，会在移动用户终端的屏幕上使用提示字符表征各类网络状况，如显示字符G时，表示所处网络为GPRS网络，显示字符为E时，表示所处网络为EDGE网络，这两类均为2G网络，也有直接显示字符2G作为网络标字符，当显示字符为3G、H或H+时，分别表示处于3G网络、HSPA网络或HSPA+网络，用户通过这些标识符可以了解当前的网络状况。

然而这类标字符仅能表示用户所处的是何种网络，即用户通过这些标识符了解所处的网络状况但对于所处网络的安全性无法了解，从而使用户可能会在不安全的网络下进行通信；另外，由于用户无法获知移动用户终端与基站之间的通信情况，在发生针对用户的攻击事件后，无法通过该事件追溯产生该事件的可能原因。

发明内容

本发明提供了一种移动网络安全的处理方法、警示方法及用户终端，能够解决由于用户无法获知移动用户终端与基站之间的通信情况，使用户可能会在不安全的网络下进行通信，从而造成的网络安全性差的问题，并且在发生针对用户的攻击事件后，无法通过该事件追溯产生该事件的可能原因。

本发明实施例第一方面提供了一种移动网络安全的处理方法，可包括：

用户终端接收攻击事件的事件信息，事件信息中包括攻击事件的事件类型和攻击事件的事件发生时刻；

用户终端根据攻击事件的事件信息在通信状况表中确定目标通信事件，攻击事件的事件类型与目标通信事件的事件类型相同，目标通信事件的事件发生时刻与攻击事件的事件发生时刻相对应，通信状况表中记录有目标通信事件的事件类型和目标通信事件的事件发生时刻；

用户终端根据目标通信事件的事件发生时刻在通信切换表中确定目标切换事件，目标通信事件的事件发生时刻与目标切换事件的网络切换时刻相对应，通信切换表中存储有目标切换事件和目标切换事件的网络切换时刻；

用户终端根据目标切换事件确定与目标切换事件对应的目标网络；

用户终端将目标网络标记为可疑网络。

结合第一方面，在第一方面的第一种可能的实现方式中，用户终端接收攻击事件的事件信息具体为：

用户终端接收通过外部输入设备或设于用户终端内的输入设备输入的包括事件信息的攻击事件。

结合第一方面或第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，攻击事件的事件类型可包括：

短信事件、电话事件和应用程序访问网络事件中的至少一种。

结合第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，当攻击事件的事件类型为短信事件或电话事件时，

用户终端根据攻击事件的事件信息在通信状况表中确定目标通信事件具体为：

用户终端根据攻击事件的事件类型和攻击事件的事件发生时刻在通信状况表中确定目标通信事件，目标通信事件与攻击事件具有相同的事件类型和事件发生时刻。

结合第一方面、第一方面的第一种可能的实现方式、第一方面的第二种可能的实现方式和第一方面的第三种可能的实现方式之中的任一种，在第一方面的第四种可能的实现方式中，用户终端根据目标通信事件的事件发生时刻在通信切换表中确定目标切换事件可包括：

用户终端根据目标通信事件的事件发生时刻在通信切换表中确定时间上相邻的两个网络切换时刻，目标通信事件的事件发生时刻位于相邻的两个网络切换时刻之间；

用户终端确定时间上相邻的两个网络切换时刻之中的前一个网络切换时刻为与目标通信事件的事件发生时刻对应的网络切换时刻；

用户终端根据与目标通信事件的事件发生时刻对应的网络切换时刻在通信状况表中确定对应的目标切换事件。

结合第一方面、第一方面的第一种可能的实现方式、第一方面的第二种可能的实现方式、第一方面的第三种可能的实现方式和第一方面的第四种可能的实现方式之中的任一种，在第一方面的第五种可能的实现方式中，目标切换事件可包括：

切换前网络的网络信息和切换后网络的网络信息，网络信息中携带有网络的网络参数。

结合第一方面的第五种可能的实现方式，在第一方面的第六种可能的实现方式中，用户终端根据目标切换事件确定与目标切换事件对应的目标网络可包括：

用户终端根据目标切换事件确定切换后网络的网络参数；

用户终端判断切换后网络的网络参数是否超出预设阈值：

当超出预设阈值时，用户终端确定切换后网络为目标网络。

本发明第二方面还提供一种移动网络安全的警示方法，可包括：

用户终端接收网络扫描请求；

用户终端扫描通信切换表中的网络切换事件，通信切换表中记录有网络切换事件和网络切换事件对应的网络切换时刻；

当用户终端确定对应网络切换事件对应的网络为可疑网络时，用户终端确定可疑网络对应的网络切换事件对应的网络切换时刻为目标网络时刻；

用户终端根据目标网络时刻在通信状况表中确定通信事件，通信事件中具有与目标网络时刻相对应的事件发生时刻，通信状况表中记录有通信事件和通信事件的事件发生时刻；

用户终端将通信事件作为可疑事件进行提示。

结合第二方面，在第二方面的第一种可能的实现方式中，通信事件包括：

短信事件、电话事件和应用程序访问网络事件之中至少一种。

结合第二方面或第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，网络切换事件包括：

结合第二方面的第二种可能的实现方式，在第二方面的第三种可能的实现方式中，方法还可包括：

用户终端根据目标切换事件确定切换后网络的网络参数；

用户终端判断切换后网络的网络参数是否超出预设阈值：

当超出预设阈值时，用户终端确定切换后网络为可疑网络。

本发明实施例第三方面还提供一种移动终端，可包括：

第一接收模块，用于接收攻击事件的事件信息，事件信息中包括攻击事件的事件类型和攻击事件的事件发生时刻；

第一通信事件确定模块，根据攻击事件的事件信息在通信状况表中确定目标通信事件，攻击事件的事件类型与目标通信事件的事件类型相同，目标通信事件的事件发生时刻与攻击事件的事件发生时刻相对应，通信状况表中记录有目标通信事件的事件类型和目标通信事件的事件发生时刻；

切换事件确定模块，根据目标通信事件的事件发生时刻在通信切换表中确定目标切换事件，目标通信事件的事件发生时刻与目标切换事件的网络切换时刻相对应，通信切换表中存储有目标切换事件和目标切换事件的网络切换时刻；

目标网络确定模块，根据目标切换事件确定与目标切换事件对应的目标网络；

标记模块，将目标网络确定模块确定的目标网络标记为可疑网络。

结合第三方面，在第三方面的第一种可能的实现方式中，第一接收模块具体用于：

接收通过外部输入设备或设于用户终端内的输入设备输入的包括事件信息的攻击事件。

结合第三方面或第三方面的第一种可能的实现方式，在第三方面的第二种可能的实现方式中，攻击事件的事件类型包括：

结合第三方面的第二种可能的实现方式，在第三方面的第三种可能的实现方式中，当攻击事件的事件类型为短信事件或电话事件时，

第一通信事件确定模块具体用于：

根据攻击事件的事件类型和攻击事件的事件发生时刻在通信状况表中确定目标通信事件，目标通信事件与攻击事件具有相同的事件类型和事件发生时刻。

结合第三方面、第三方面的第一种可能的实现方式、第三方面的第二种可能的实现方式和第三方面的第三种可能的实现方式之中的任一种可能的实现方式，在第三方面的第四种可能的实现方式中，切换事件确定模块包括：

第一确定单元，用于根据目标通信事件的事件发生时刻在通信切换表中确定时间上相邻的两个网络切换时刻，目标通信事件的事件发生时刻位于相邻的两个网络切换时刻之间；

第二确定单元，用于确定时间上相邻的两个网络切换时刻之中的前一个网络切换时刻为与目标通信事件的事件发生时刻对应的网络切换时刻；

切换事件确定单元，用于根据与目标通信事件的事件发生时刻对应的网络切换时刻在通信状况表中确定对应的目标切换事件。

结合第三方面、第三方面的第一种可能的实现方式、第三方面的第二种可能的实现方式、第三方面的第三种可能的实现方式和第三方面的第四种可能的实现方式之中的任一种可能的实现方式，在第三方面的第五种可能的实现方式中，目标切换事件包括：

切换前网络的网络信息和切换后网络的网络信息，网络信息中携带有网络的网络参数；

目标网络确定模块包括：

网络参数确定单元，用于根据目标切换事件确定切换后网络的网络参数；

第一判断单元，用于判断切换后网络的网络参数是否超出预设阈值：

目标网络确定单元，用于当第一判断单元确定超出预设阈值时，确定切换后网络为目标网络。

本发明实施例第四方面还提供一种用户终端，可包括：

第二接收模块，用于接收网络扫描请求；

扫描模块，用于描通信切换表中的网络切换事件，通信切换表中记录有网络切换事件和网络切换事件对应的网络切换时刻；

判断模块，用于判断网络切换事件对应的网络是否为可疑网络；

网络时刻确定模块，用于当确定对应网络切换事件对应的网络为可疑网络时，确定可疑网络对应的网络切换事件对应的网络切换时刻为目标网络时刻；

第二通信事件确定模块，用于根据目标网络时刻在通信状况表中确定通信事件，通信事件中具有与目标网络时刻相对应的事件发生时刻，通信状况表中记录有通信事件和通信事件的事件发生时刻；

提示模块，用于将通信事件作为可疑事件进行提示。

结合第四方面，在第四方面的第一种可能的实现方式中，网络切换事件包括：

判断模块包括：

网络参数查询单元，用于根据网络切换事件确定切换后网络的网络参数；

第二判断单元，判断切换后网络的网络参数是否超出预设阈值：

可疑网络确定单元，用于当第二判断单元确定超出预设阈值时，确定切换后网络为可疑网络。

从以上技术方案可以看出，本发明实施例具有以下优点：本发明实施例中建立了通信状况表和网络切换表，在通过用户终端接收攻击事件的事件信息后，根据该事件信息中的事件类型在通信状况表中确定相具有相同的事件类型的目标通信事件，并根据目标通信事件的事件发生时刻在通信切换表中确定目标切换事件，而后通过该目标切换事件的确定目标切换事件，并根据目标切换事件确定目标通信事件发生时所处的网络，并根据目标切换事件确定该网络为目标网络，并将该目标网络标记为可疑网络。通过上述方式能够针对攻击事件进行追溯，从而找到产生攻击事件时的网络，从而能够将该网络标记为可疑网络，并且在以后的网络重选中也不会重选到该网络，从而能够提高移动网络安全性。

附图说明

图1是移动网络的网络结构图；

图2是伪基站发送垃圾短信的信令流程图；

图3为本发明实施例中处理方法的一个实施例图；

图4是本发明实施例中处理方法的另一个实施例图；

图5是本发明实施例中处理方法的另一个实施例图；

图6是本发明实施例中警示方法的一个实施例图；

图7是本发明实施例中警示方法的另一个实施例图；

图8是本发明实施例中用户终端的一个实施例图；

图9是本发明实施例中用户终端的另一个实施例图；

图10是本发明实施例中用户终端的一个实施例图；

图11是本发明实施例的用户终端的一个实施例图。

具体实施方式

本发明实施例提供了一种一种移动网络安全的处理方法、警示方法及用户终端，能够根据针对攻击事件进行追溯，从而找到产生攻击事件时的网络，从而能够将该网络标记为可疑网络，并且在以后的网络重选中也不会重选到该网络，从而能够提高移动网络安全性。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。

以下分别进行详细说明。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块。

本发明实施例可应用在如图1所示场景中，图1是移动网络的网络结构图，移动网络主要包括移动台(MS Mobile Station)，与MS通过无线通信的基站子系统(BSS BaseStationSubsystem)，与BSS相连接的网络子系统(NSS Network Sub-System)，与NSS相连接的操作支持子系统(OSS Operation-Support System)，以及与OSS相连接的公用电话交换网(PSTN Public Switched Telephone Network)、公共数据网(PDN Public Data Network)或综合业务数字网(ISDN Integrated Services Digital Network)。

其中BSS中包含至少一个与MS通信的基站收发信台(BTS Base Transceiver Station)以及控制BTS的基站控制器(BSC Base Station Controller)；NSS包括与BSC相连接的移动交换中心(MSC Mobile Switching Center)，分别与MSC相连接的设备识别寄存器(EIR Equipment Identify Register)、访问位置寄存器(VLR Visiting Location Register)和归属位置寄存器(HLR Home Location Register)，还可包括与MSC相连接的鉴权中心(AUC Authentication Center)。

其中，MS是移动通信网络中的用户(以下简称移动用户)的设备，BSS通过无线方式与MS通信，具体通过BTS收发信息，由BSC控制BTS，一个BSC可以控制多个BTS；

NSS处理外部网络和移动用户呼叫的交换，并对一些相关的移动用户数据库进行管理和操作，MSC是整个移动通信网络的核心，它控制所有BSC的业务，提供交换功能及和NSS系统内的其它功能的连接，并可将移动用户与PTSN、PDN和ISDN连接起来，MSC从NSS系统内的HLR、EIR、VLR和AUC中获取用户位置等级和呼叫请求所需的全部数据，另外MSC也可更新NSS系统内的数据，对于较大的网络，一个NSS可以包含若干个MSC、HLR和VLR。

其中，VLR服务于其控制区域内的移动用户，其内存储有进入其控制区域已登记的漫游移动用户的相关信息，VLR可从该移动用户的HLR中获取并存储必要的数据；HLR是移动通信网络的中央数据库，存储着HLR控制的所有注册登记的移动用户的相关数据；AUC中存储着鉴权信息和加密秘钥，用来防止无权用户接入系统并保证通过无线接口进行通信的移动用户的通信安全；EIR中存储着移动用户的设备的国际移动设备识别码(IMEI International Mobile Equipment Identity)；OSS主要完成移动用户管理、移动设备管理、网络才做和维护等功能。

在现有的移动网络中，在不安全的移动网络中，伪基站的危害较大，伪基站通常在人员密集区域部署，通过假冒运营商网号等方式，迫使覆盖区域的手机用户从正常的运营商网络切换到伪基站网络,然后通过模拟网络信令，伪造短信并下发给用户。以某运营商网络为例，现有2G/3G移动网络采用单向鉴权认证，即手机不鉴权网络的合法性，仅在网络侧对手机进行鉴权，导致手机无法有效辨别基站的真伪。伪基站设置某运营商网号，使用该运营商GSM频段,并设置更优的小区重选参数；当手机进入伪基站覆盖区域时，很容易通过位置更新切换到伪基站小区。下面对伪基站发送垃圾短信原理进行说明，如图2所示，图2是伪基站发送垃圾短信的信令流程图，包括：

201、用户终端进入伪基站区域，自动重选接入伪基站小区；

202、用户终端向伪基站发起位置更新请求；

203、伪基站接收该位置更新请求，并下发位置更新成功消息；

在此过程中，伪基站获取到移动用户的IMSI和IMEI。

204、伪基站按照短信被叫流程，向用户终端下发短信；

205、伪基站主动变更位置区码(LAC Location Area Code)，并通过广播消息告知已接入的用户终端，触发用户终端再次位置更新；

206、用户终端向伪基站发起位置更新请求；

207、伪基站拒绝用户终端的位置更新请求，下发位置更新失败消息；

208、用户终端位置更新失败，重选至正常基站小区；

209、用户终端向正常基站发起位置更新请求；

210、正常基站接收此位置更新请求，并下发位置更新成功消息；

211、用户终端接收位置更新成功消息并切换回运营商网络。

由上可见，伪基站通过较高的重选参数使得进入伪基站区域的用户终端自动重选至该伪基站，而一般情况下，伪基站为了降低被发现的机率，只会向用户终端发送一条短信，并且伪基站在接收用户终端的位置请求时会获取用户的IMSI和IMEI，会产生针对用户的安全隐患，图2所示的为垃圾短信攻击的流程，当然还可以为其他攻击方式，如骚扰电话，推送垃圾消息等。

本发明实施例为了应对这些攻击事件，采取对这些攻击事件进行追溯的方式，从而查找到攻击事件产生时用户终端所处的网络，并推定出该网络为伪基站的网络，并将该网络标识为可疑网络，从而在再进入该网络区域时不会自动连接至该网络，请参阅图3，图3为本发明实施例中处理方法的一个实施例图，如图3所示，本发明实施例提供一种移动网络安全的处理方法，可包括以下内容：

301、用户终端接收攻击事件的事件信息。

其中，该事件信息中包括攻击事件的事件类型和攻击事件的事件发生时刻；即用户终端接收到该攻击事件的事件信息后即可获知该攻击事件具有的事件类型以及攻击事件的事件发生时刻。

302、用户终端根据攻击事件的事件信息在通信状况表中确定目标通信事件。

其中，攻击事件的事件类型与目标通信事件的事件类型相同，目标通信事件的事件发生时刻与攻击事件的事件发生时刻相对应，通信状况表中记录有目标通信事件的事件类型和目标通信事件的事件发生时刻。

由于在通信状况表中也存储了目标通信事件的事件类型和目标通信事件的事件发生时刻，用户终端可根据攻击事件的事件信息与这两种信息与进行匹配，若能匹配上，即可确定出目标通信事件，具体匹配的方式可以是先进行时间匹配，即先找到能与攻击事件的事件发生时刻对应的目标通信事件的事件发生时刻，然后再进行事件类型匹配，即只有事件类型与攻击事件的事件类型相同的才被确定为目标通信事件，当然也可以先进行事件类型匹配，而后再进行事件发生时刻的匹配。

303、用户终端根据目标通信事件的事件发生时刻在通信切换表中确定目标切换事件。

其中，目标通信事件的事件发生时刻与目标切换事件的网络切换时刻相对应，通信切换表中存储有目标切换事件和目标切换事件的网络切换时刻；

304、用户终端根据目标切换事件确定与目标切换事件对应的目标网络。

其中，在确定了目标切换事件后，查找并确定与目标切换事件对应的目标网络。

305、用户终端将目标网络标记为可疑网络。

其中，在找到该目标网络后，用户终端将该目标网络标记为可疑网络。

由此可见，本发明实施例中由于建立了通信状况表和网络切换表，在通过用户终端接收攻击事件的事件信息后，根据该事件信息中的事件类型在通信状况表中确定相具有相同的事件类型的目标通信事件，并根据目标通信事件的事件发生时刻在通信切换表中确定目标切换事件，并根据目标切换事件确定目标通信事件发生时所处的网络，并根据目标切换事件确定该网络为目标网络，并将该目标网络标记为可疑网络。通过上述方式能够针对攻击事件进行追溯，从而找到产生攻击事件时的网络，从而能够将该网络标记为可疑网络，并且在以后的网络重选中也不会重选到该网络，从而能够提高移动网络安全性。

其中，作为可选的，用户终端接收攻击事件的事件信息可以是，用户终端接收通过外部输入设备或设于用户终端内的输入设备输入的包括事件信息的攻击事件。

需要说明的是，除了通过外部输入设备或设于用户终端内的输入设备输入之外，还可通过直接上用户设备传输的方式使用户终端接收到具有时间信息的攻击事件，具体可采用有线方式，即连接到另一台用户终端接收，也可以采用无线方式进行接收，如移动2G网络、3G网络或4G网络，再或者是WIFI、蓝牙等无线网络均可，具体视实际使用状况而定。

作为可选的，本发明实施例中的攻击事件的事件类型包括短信事件、电话事件和应用程序访问网络事件中的至少一种。

其中，需要说明的是，目标通信事件的事件发生时刻与攻击事件的事件发生时刻相对应，在不同的事件类型具有以下两种情况：

一、一个攻击事件的事件发生时刻对应一个目标通信事件的事件发生时刻，即一个攻击事件对应一个目标通信事件。

二、一个攻击事件的事件发生时刻对应一个以上目标通信事件的事件发生时刻，即一个攻击事件可对应一个以上的目标通信事件。

下面以攻击事件的事件类型为短信事件或电话事件为例，结合情况一即一个攻击事件对应一个目标通信事件对本发明实施例中攻击事件的追溯过程进行描述，请参阅图4，图4是本发明实施例中处理方法的另一个实施例图，如图4所示，本发明实施例提供一种移动网络安全的处理方法，在该方法中事件信息还包括攻击事件的事件发生时刻，该方法中步骤402与步骤302不同，其余步骤基本相似，不在赘述，其中，

402、用户终端根据攻击事件的事件类型和攻击事件的事件发生时刻在通信状况表中确定目标通信事件。

其中，目标通信事件与攻击事件具有相同的事件类型和事件发生时刻。

可以理解的是，对于短信事件和电话事件两种攻击事件来说，其特点在于，实际给用户产生困扰(如接收到垃圾短信、接收到推销电话等)的时刻与该攻击事件的事件发生时刻是相同的，即这两种攻击事件只要一发生就立即会对用户产生困扰，从而攻击事件的事件发生时刻对于电话事件来说，是来电发生的具体时刻，对于短信事件来说，是用户终端接收到短信的具体时刻，对于这两类攻击事件，直接通过发生的具体时刻，即事件发生时刻在通信切换表中查找对应的网络切换时刻，即可进行后续的步骤。

作为可选的，在本实施例中，图3所示实施例中的步骤303可被替换为如下步骤：

403、用户终端根据目标通信事件的事件发生时刻在通信切换表中确定时间上相邻的两个网络切换时刻。

其中，目标通信事件的事件发生时刻位于相邻的两个网络切换时刻之间，在步骤402中确定出目标通信事件后，通过目标通信事件的事件发生时刻在通信切换表中查找时间上相邻的两个网络切换时刻，而目标通信事件的事件发生时刻位于这两个相邻的网络切换时刻之间。

404、用户终端确定时间上相邻的两个网络切换时刻之中的前一个网络切换时刻为与目标通信事件的事件发生时刻对应的网络切换时刻。

其中，确定时间上相邻的两个网络切换时刻之中的前一个网络切换时刻，并将其作为与目标通信事件的事件发生时刻相对应的网络切换时刻。

405、用户终端根据与目标通信事件的事件发生时刻对应的网络切换时刻在通信状况表中确定对应的目标切换事件。

其中，在找到与目标通信事件的事件发生时刻相对应的网络切换时刻后，通过这个网络切换时刻在通信切换表中查找并确定其对应的目标切换事件，通信切换表中存储有目标切换事件和目标切换事件的网络切换时刻。

可以理解的是，通过在通信切换表中首先根据目标通信事件的事件发生时刻确定出时间上相邻的网络切换时刻，并将前一个确定为所需的网络切换时刻，并通过这个网络切换时刻确定对应的目标切换事件，由于目标通信事件的事件发生时刻相对于网络切换时刻来说是滞后的，即先完成了网络切换，然后才在切换后的网络中发生目标通信事件，因此，目标通信事件的事件发生时刻对应的是时间上相邻的网络切换时刻中的前一个，采用这种确定方式能够快速在通信切换表中确定出对应的目标切换事件，提高方案的适应性。

需要说明的是，本发明实施例中的通信状况表可采用如下表1方式记录信息：

表1

序号	事件类型	内容	时间
序号	事件类型	内容	时间	21	短信	接收短信	2014_11_20 11:12:57
22	电话	拨打电话	2014_11_20 11:15:20	21	短信	接收短信	2014_11_20 11:12:57
22	电话	拨打电话	2014_11_20 11:15:20	23	网络	应用连网	2014_11_20 11:25:43
……	……	……	……	23	网络	应用连网	2014_11_20 11:25:43

可见，可采用按照时间的顺序进行排列，便于在查找对应时间时进行遍历，当然，也可不按照时间的顺序排列，也能在存储后实现确定目标通信事件的效果。

需要说明的是，若攻击事件的事件类型为网络事件，请参阅图5，图5是本发明实施例中处理方法的另一个实施例图，区别于图4所示的实施例中的步骤402，一个攻击事件可对应一个以上的目标通信事件，在此情况下，步骤402被如下步骤替换：

502、用户终端根据攻击事件的事件类型和攻击事件的事件发生时刻在通信状况表中确定一个以上的目标通信事件，该目标通信事件均与攻击事件具有相同的事件类型和相对应的事件发生时刻。

其中，由于网络事件具有的特点是其实际对用户产生困扰的时刻与攻击事件的事件发生时刻往往是不相同的，对用户产生困扰的时刻是相对滞后的，比如用户在一个时刻运行了一个网络应用，伪基站通过该网络应用获取到用户的一些私人信息，比如用户的账户信息，再收集到这些信息后，并不会马上产生一个针对用户的攻击事件，而可能是在收集到信息后的一天或是一周以后等时间，因此实际对用户产生困扰的时刻实际上是无法对应上攻击事件的事件发生时刻，从而确定出的可疑网络并不是盗取用户信息时用户所在的网络，因此，针对这种情况，其中一种方式是，对相对应的事件发生时刻可根据设定一个时间范围，以实际对用户产生困扰的时刻为截止时间，在此截止时间之前的预先设定的时间范围内发生的相同类型的网络事件均可作为目标通信事件。

举例来说，如将该时间范围设置为一周，即将所有在攻击事件的事件发生时刻前一周内的具有与攻击事件相同事件类型的均为目标通信事件，这些目标通信事件的事件发生时刻在攻击事件的事件发生时刻的前一周内。

作为可选的，目标切换事件包括切换前网络的网络信息和切换后网络的网络信息，网络信息中携带有网络的网络参数。

可以理解的是，目标切换事件中包括切换前网络的网络信息和切换后网络的网络信息，使得在确定了目标切换事件后，即可快速确定该目标切换时间所对应的切换后网络为目标网络。

其中，每一行代表一个目标切换事件，包括切换前网络的网络信息和切换后网络的网络信息，以及对应的切换时间，另外存储的网络信息中可包含以下信息中的至少一种：

公共陆地移动网络(PLMN Public Land Mobile Network)ID；

如移动为46000，联通为46001。

位置区识别码(LAI Location Area Identity)，用于移动用户的位置更新；

其结构如下：

LAI＝MCC+MNC+LAC

MCC为移动国家号，与IMSI中的MCC一样具有3个数字，用于识别一个国家，中国为460。

MNC为移动网号，识别国内GSM网，与IMSI中的MNC的值是一样的。

LAC为位置区号码，识别一个GSM网中的位置区，LAC最大长度为16Bit，理论上可以在一个GSM/VLR内定义65536个位置区。

路由区域识别(RAI Routing Area Identification)，用于移动用户的路由区域选择；

其格式如下：

RAI＝MCC+MNC+LAC+RAC

MCC＝移动国家号，与IMSI中的MCC一样具有3个数字，用于识别一个国家，中国为460。

MNC＝移动网号，识别国内GSM网，与IMSI中的MNC的值是一样的。

LAC＝位置区号码，识别一个GSM网中的位置区。

RAC＝路由区域号码，识别一个GSM网中的路由区域。

跟踪区域码(TAC Tracking area code of cell servedby neighbor Enb)，定义了小区所属的跟踪区域码，一个跟踪区域可以涵盖一个或多个小区；

以及网络的信号强度。

作为可选的，步骤509与步骤407类似，区别于图4所示实施例中步骤406，在图5所示实施例中的该步骤406可被如下步骤所替代，：

506、用户终端根据目标切换事件确定切换后网络的网络参数。

其中，由于目标切换事件中包含有切换前网络的网络信息，而该网络信息中包含了对应的网络参数，因此在确定目标切换事件后，能够快速获取到该网络参数。

507、用户终端判断切换后网络的网络参数是否超出预设阈值。

其中，对获取的切换后网络的网络参数进行判断，判断的基准为预设的阈值，如该参数为LAI，则预设阈值可设为60000以上的高数值，如设为65534。

508、用户终端确定切换后网络为目标网络。

其中，在判断出超出预设阈值后，即可确定该切换后网络为目标网络。

由此可见，采用网络参数对判断具有该网络参数的网络是否为目标网络，具体判断网络参数是否超出预设阈值，当超出预设阈值时，则判定为目标网络，通过此方法，由于只需要进行一次对比，能够快速的确定出目标网络，能提高本发明实施例的适用性。

作为可选的，在图3至图5所示的实施例中，还可在用户终端中设置可疑网络列表，该可疑网络列表中存储有所有被扫描出的可疑网络，以及该可疑网络的网络信息，当用户终端进入可疑网络列表中任何可疑网络的区域时，都不会重选至该网络，可疑网络列表可自行对其中的可疑网络进行编辑，如可通过输入设备添加可疑网络至该可疑网络列表中，当然还可通过其他网络方式，如为了完善该可疑网络列表，还可设置用于维护可疑网络列表的服务器，用户终端将可疑网络列表上传至该服务器，在该服务器中对用户终端上传的可疑网络列表进行整合，以供用户终端通过该服务器对存储于本地的可疑网络列表进行更新，当然服务器还可对上传的可疑网络列表进行分析，如按区域整合成多张可疑网络列表，当用户终端在对应的区域更新可疑网络列表时，会自动更新对应的可疑网络列表，还可根据可疑网络列表中可疑网络出现频率的高低对可疑网络进行排序，并截取出现频率高的部分作为必更新的可疑网络列表，将出现频率低的作为可选更新的可疑网络列表。

上面介绍了本发明实施例中的处理方法，下面对本发明实施例中的警示方法予以说明，请参阅图6，图6是本发明实施例中警示方法的一个实施例图，如图6所示，本发明实施例提供一种移动网络安全的警示方法，可包括：

601、用户终端接收网络扫描请求；

其中，在接收到网络扫描请求后会触发进行网络扫描。

需要说明的是，网络扫描请求可由外部输入设备或设于用户终端内的输入设备输入之外，还可通过直接上用户设备传输的方式使用户终端接收到具有时间信息的攻击事件，具体可采用有线方式，即连接到另一台用户终端接收，也可以采用无线方式进行接收，如移动2G网络、3G网络或4G网络，再或者是WIFI、蓝牙等无线网络均可，具体视实际使用状况而定。

602、用户终端扫描通信切换表中的网络切换事件。

其中，通信切换表中记录有网络切换事件和网络切换事件对应的网络切换时刻，用户终端会对通信切换表中存储的网络切换事件进行扫描，并判断网络切换事件对应的网络中是否具有可疑网络。

603、用户终端确定可疑网络对应的网络切换事件对应的网络切换时刻为目标网络时刻。

其中，当用户终端确定对应网络切换事件对应的网络为可疑网络时，会将该可疑网络对应的网络切换事件所对应的网络切换时刻确定为目标网络时刻。

604、用户终端根据目标网络时刻在通信状况表中确定通信事件。

其中，通信事件中具有与目标网络时刻相对应的事件发生时刻，通信状况表中记录有通信事件和通信事件的事件发生时刻，用户终端根据目标网络时刻在通信状况表查找并确定具有对应的事件发生时刻的通信事件。

605、用户终端将通信事件作为可疑事件进行提示。

其中，在查找到对应的通信事件后，用户终端会将该通信事件作为可疑事件进行提示。

由此可见，本发明实施例中首先通过接收到网络扫描请求后会触发进行网络扫描，然后会对通信切换表中存储的网络切换事件进行扫描，并判断网络切换事件对应的网络中是否具有可疑网络，当用户终端确定对应网络切换事件对应的网络为可疑网络时，会将该可疑网络对应的网络切换事件所对应的网络切换时刻确定为目标网络时刻，再根据目标网络时刻在通信状况表中确定通信事件，而后将通信事件作为可疑事件进行提示，通过这种方式，能使得用户能够对自己进入的可疑网络了如指掌，并且通过可疑事件提示能够提醒用户在可疑网络下做了哪些操作，从而使用户能够及时进行补救操作，能够大大提高移动网络的安全性。

需要说明的是，在图6所示实施例的基础上，本发明实施例中还具有针对可疑网络的确定的方式，作为可选的，在本发明实施例中的攻击事件的事件类型包括短信事件、电话事件和应用程序访问网络事件中的至少一种。

作为可选的，目标切换事件包括切换前网络的网络信息和切换后网络的网络信息，网络信息中携带有网络的网络参数。可以理解的是，目标切换事件中包括切换前网络的网络信息和切换后网络的网络信息，使得在确定了目标切换事件后，即可快速确定该目标切换时间所对应的切换后网络为目标网络。

如图7所示，图7是本发明实施例中警示方法的另一个实施例图，如图7所示，本发明实施例提供一种移动网络安全的预警方法，该方法中步骤701和702与步骤601和步骤602类似，步骤706至步骤708与步骤603至步骤605类似，不在赘述，其中，

703、用户终端根据网络切换事件确定切换后网络的网络参数。

704、用户终端判断切换后网络的网络参数是否超出预设阈值。

705、当超出预设阈值时，用户终端确定切换后网络为可疑网络。

作为可选的，在图6至图7所示的实施例中，还可在用户终端中设置可疑网络列表，该可疑网络列表中存储有所有被扫描出的可疑网络，以及该可疑网络的网络信息，当用户终端进入可疑网络列表中任何可疑网络的区域时，都不会重选至该网络，可疑网络列表可自行对其中的可疑网络进行编辑，如可通过输入设备添加可疑网络至该可疑网络列表中，当然还可通过其他网络方式，如为了完善该可疑网络列表，还可设置用于维护可疑网络列表的服务器，用户终端将可疑网络列表上传至该服务器，在该服务器中对用户终端上传的可疑网络列表进行整合，以供用户终端通过该服务器对存储于本地的可疑网络列表进行更新，当然服务器还可对上传的可疑网络列表进行分析，如按区域整合成多张可疑网络列表，当用户终端在对应的区域更新可疑网络列表时，会自动更新对应的可疑网络列表，还可根据可疑网络列表中可疑网络出现频率的高低对可疑网络进行排序，并截取出现频率高的部分作为必更新的可疑网络列表，将出现频率低的作为可选更新的可疑网络列表。

上面对本发明实施例中移动网络安全的处理方法和警示方法进行了描述，下面本发明实施例中用户终端进行描述，请参阅图8，图8是本发明实施例的用户终端的一个实施例图，如图8所示，本发明实施例提供一种用户终端，可包括：

第一接收模块801，用于接收攻击事件的事件信息，事件信息中包括攻击事件的事件类型和攻击事件的事件发生时刻；

第一通信事件确定模块802，根据攻击事件的事件信息在通信状况表中确定目标通信事件，攻击事件的事件类型与目标通信事件的事件类型相同，目标通信事件的事件发生时刻与攻击事件的事件发生时刻相对应，通信状况表中记录有目标通信事件的事件类型和目标通信事件的事件发生时刻；

切换事件确定模块803，根据目标通信事件的事件发生时刻在通信切换表中确定目标切换事件，目标通信事件的事件发生时刻与目标切换事件的网络切换时刻相对应，通信切换表中存储有目标切换事件和目标切换事件的网络切换时刻；

目标网络确定模块804，根据目标切换事件确定与目标切换事件对应的目标网络；

标记模块805，将目标网络确定模块确定的目标网络标记为可疑网络。

由此可见，本发明实施例中由于建立了通信状况表和网络切换表，在通过第一接收模块801接收攻击事件的事件信息后，第一通信事件确定模块802根据该事件信息中的事件类型在通信状况表中确定相具有相同的事件类型的目标通信事件，并由切换事件确定模块803根据目标通信事件的事件发生时刻在通信切换表中确定目标切换事件，而后目标网络确定模块804根据目标切换事件确定目标通信事件发生时所处的网络，并根据目标切换事件确定该网络为目标网络，并由标记模块805将该目标网络标记为可疑网络。通过上述方式能够针对攻击事件进行追溯，从而找到产生攻击事件时的网络，从而能够将该网络标记为可疑网络，并且在以后的网络重选中也不会重选到该网络，从而能够提高移动网络安全性。

作为可选的，第一接收模块801具体用于：

由此可知，包含事件信息的攻击事件可由输入设备输入，从而被第一接收模块801，且该输入设备可为用户终端内部的输入设备或是外部的输入设备，具体可采用有线方式，即连接到另一台用户终端接收，也可以采用无线方式进行接收，如移动2G网络、3G网络或4G网络，再或者是WIFI、蓝牙等无线网络均可，具体视实际使用状况而定。

需要说明的是，攻击事件的事件类型包括短信事件、电话事件和应用程序访问网络事件中的至少一种，且目标通信事件的事件发生时刻与攻击事件的事件发生时刻相对应，在不同的事件类型具有以下两种情况：

下面以攻击事件的事件类型为短信事件或电话事件为例，结合情况一即一个攻击事件对应一个目标通信事件对本发明实施例中攻击事件的追溯过程进行描述，请参阅图9，图9是本发明实施例中用户终端的另一个实施例图，如图9所示，区别于图8所示的实施例中的用户终端，在图9所示实施例的用户终端中第一通信事件确定模块902具体用于：

可以理解的是，对于短信事件和电话事件两种攻击事件来说，其特点在于，实际给用户产生困扰(如接收到垃圾短信、接收到推销电话等)的时刻与该攻击事件的事件发生时刻是相同的，即这两种攻击事件只要一发生就立即会对用户产生困扰，从而攻击事件的事件发生时刻对于电话事件来说，是来电发生的具体时刻，对于短信事件来说，是用户终端接收到短信的具体时刻，对于这两类攻击事件，可直接通过攻击事件发生的具体时刻，即事件发生时刻在通信切换表中查找对应的网络切换时刻。

需要说明的是，若攻击事件的事件类型为网络事件，即为第二种情况时，则第一通信事件确定模块902具体用于：

根据攻击事件的事件类型和攻击事件的事件发生时刻在通信状况表中确定一个以上的目标通信事件，该目标通信事件均与攻击事件具有相同的事件类型和相对应的事件发生时刻。

需要说明的是：在确定目标通信事件后，会由切换事件确定模块903确定出目标切换事件，具体可采用如下方式：

作为可选的，用户终端中的切换事件确定模块903可包括：

第一确定单元9031，用于根据目标通信事件的事件发生时刻在通信切换表中确定时间上相邻的两个网络切换时刻，目标通信事件的事件发生时刻位于相邻的两个网络切换时刻之间；

第二确定单元9032，用于确定时间上相邻的两个网络切换时刻之中的前一个网络切换时刻为与目标通信事件的事件发生时刻对应的网络切换时刻；

切换事件确定单元9033，用于根据与目标通信事件的事件发生时刻对应的网络切换时刻在通信状况表中确定对应的目标切换事件。

其中，目标通信事件的事件发生时刻位于相邻的两个网络切换时刻之间，在由第一通信事件确定模块902确定出目标通信事件后，第一确定单元9031通过目标通信事件的事件发生时刻在通信切换表中查找时间上相邻的两个网络切换时刻，而目标通信事件的事件发生时刻位于这两个相邻的网络切换时刻之间，之后再通过第二确定单元9032确定时间上相邻的两个网络切换时刻之中的前一个网络切换时刻为与目标通信事件的事件发生时刻对应的网络切换时刻，在找到与目标通信事件的事件发生时刻相对应的网络切换时刻后，可由切换事件确定单元9033通过这个网络切换时刻在通信切换表中查找并确定其对应的目标切换事件。

由此可见，采用上述确定方式能够快速在通信切换表中确定出对应的目标切换事件，提高方案的适应性。

需要说明的是，目标网络确定模块904可采用以下方式确定与目标切换事件对应的目标网络，其中，目标切换事件包括切换前网络的网络信息和切换后网络的网络信息，网络信息中携带有网络的网络参数。

作为可选的，目标网络确定模块904包括：

网络参数确定单元9041，用于根据目标切换事件确定切换后网络的网络参数；

第一判断单元9042，用于判断切换后网络的网络参数是否超出预设阈值：

目标网络确定单元9043，用于当第一判断单元9042确定超出预设阈值时，确定切换后网络为目标网络。

其中，首先由网络参数确定单元9041根据目标切换事件确定切换后网络的网络参数，而后由第一判断单元9042判断切换后网络的网络参数是否超出预设阈值，当超出预设阈值时，则由目标网络确定单元9043判定为目标网络。

由此可见，通过采用此方法，只需要进行一次对比，就能快速的确定出目标网络，能提高查找目标网络的效率，且能提高本发明实施例的适用性。

除上述图8和图9所示实施例中的用户终端之外，本发明实施例还提供一种用户终端，请参阅图10，图10是本发明实施例中用户终端的一个实施例图，如图10所示，本发明实施例提供一种用户终端，可包括：

第二接收模块1001，用于接收网络扫描请求；

扫描模块1002，用于描通信切换表中的网络切换事件，通信切换表中记录有网络切换事件和网络切换事件对应的网络切换时刻；

判断模块1003，用于判断网络切换事件对应的网络是否为可疑网络；

网络时刻确定模块1004，用于当确定对应网络切换事件对应的网络为可疑网络时，确定可疑网络对应的网络切换事件对应的网络切换时刻为目标网络时刻；

第二通信事件确定模块1005，用于根据目标网络时刻在通信状况表中确定通信事件，通信事件中具有与目标网络时刻相对应的事件发生时刻，通信状况表中记录有通信事件和通信事件的事件发生时刻；

提示模块1006，用于将通信事件作为可疑事件进行提示。

其中，在本发明实施例中首先通过第二接收模块1001接收到网络扫描请求后会触发进行网络扫描，然后会由扫描模块1002对通信切换表中存储的网络切换事件进行扫描，并通过判断模块1003判断网络切换事件对应的网络中是否具有可疑网络，当用户终端确定对应网络切换事件对应的网络为可疑网络时，会通过网络时刻确定模块1004将该可疑网络对应的网络切换事件所对应的网络切换时刻确定为目标网络时刻，接着由第二通信事件确定模块1005根据目标网络时刻在通信状况表中确定通信事件，并最终由提示模块1006将通信事件作为可疑事件进行提示。

由此可见，通过这种方式，能使得用户能够对自己进入的可疑网络了如指掌，并且通过可疑事件提示能够提醒用户在可疑网络下做了哪些操作，从而使用户能够及时进行补救操作，能够大大提高移动网络的安全性。

需要说明的是，目标网络确定模块1004可采用以下方式确定与目标切换事件对应的目标网络，其中，目标切换事件包括切换前网络的网络信息和切换后网络的网络信息，网络信息中携带有网络的网络参数。

作为可选的，判断模块1003可包括：

网络参数查询单元10031，用于根据网络切换事件确定切换后网络的网络参数；

第二判断单元10032，判断切换后网络的网络参数是否超出预设阈值：

可疑网络确定单元10033，用于当第二判断单元确定超出预设阈值时，确定切换后网络为可疑网络。

其中，首先由网络参数查询单元10031根据目标切换事件确定切换后网络的网络参数，而后由第二判断单元10032判断切换后网络的网络参数是否超出预设阈值，当超出预设阈值时，则由可疑网络确定单元10033判定为目标网络。由此可见，通过采用此方法，只需要进行一次对比，就能快速的确定出可疑网络，能提高查找目标网络的效率，且能提高本发明实施例的适用性。

下面对本发明实施例中用户终端的结构进行描述，请参阅图11，图11是本发明实施例的用户终端的一个实施例图，其中，用户设备11可包括均与总线相连接的至少一个处理器1101、至少一个接收器1102和至少一个发送器1103，本发明实施例涉及的基站可以具有比图11所示出的更多或更少的部件，可以组合两个或更多个部件，或者可以具有不同的部件配置或设置，各个部件可以在包括一个或多个信号处理和/或专用集成电路在内的硬件、软件或硬件和软件的组合实现。

具体的，对于图8所示的实施例来说，该处理器1101能实现图8所示实施例中的第一通信事件确定模块802、切换事件确定模块803、目标网络确定模块804以及标记模块805的功能，该接收器1102能实现图8所示实施例中的第一接收模块801的功能；

对于图9来说，该处理器1101能实现图9所示实施例中的第一通信事件确定模块902、切换事件确定模块903、目标网络确定模块904以及标记模块905的功能，该接收器1102能实现图9所示实施例中的第一接收模块901的功能；

对于图10来说，该处理器1101能实现图10所示实施例中的扫描模块 1002、判断模块1003、网络时刻确定模块1004、第二通信事件确定模块1005以及提示模块1006的功能，该接收器1102能实现图10所示实施例中的第二接收模块1001的功能。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

一种移动网络安全的处理方法，其特征在于，包括：

用户终端接收攻击事件的事件信息，所述事件信息中包括所述攻击事件的事件类型和所述攻击事件的事件发生时刻；

所述用户终端根据所述攻击事件的事件信息在通信状况表中确定目标通信事件，所述攻击事件的事件类型与所述目标通信事件的事件类型相同，所述目标通信事件的事件发生时刻与所述攻击事件的事件发生时刻相对应，所述通信状况表中记录有所述目标通信事件的事件类型和所述目标通信事件的事件发生时刻；

所述用户终端根据所述目标通信事件的事件发生时刻在通信切换表中确定目标切换事件，所述目标通信事件的事件发生时刻与所述目标切换事件的网络切换时刻相对应，所述通信切换表中存储有所述目标切换事件和所述目标切换事件的网络切换时刻；

所述用户终端根据所述目标切换事件确定与所述目标切换事件对应的目标网络；

所述用户终端将所述目标网络标记为可疑网络。
根据权利要求1所述的移动网络安全的处理方法，其特征在于，所述用户终端接收攻击事件的事件信息具体为：

所述用户终端接收通过外部输入设备或设于所述用户终端内的输入设备输入的包括事件信息的攻击事件。
根据权利要求1或2所述的移动网络安全的处理方法，其特征在于，所述攻击事件的事件类型包括：

短信事件、电话事件和应用程序访问网络事件中的至少一种。
根据权利要求3所述的移动网络安全的处理方法，其特征在于，当所述攻击事件的事件类型为短信事件或电话事件时，

所述用户终端根据所述攻击事件的事件信息在通信状况表中确定目标通信事件具体为：

所述用户终端根据所述攻击事件的事件类型和所述攻击事件的事件发生时刻在通信状况表中确定目标通信事件，所述目标通信事件与所述攻击事件具有相同的事件类型和事件发生时刻。
根据权利要求1至4中任一项所述所述的移动网络安全的处理方法，其特征在于，所述用户终端根据所述目标通信事件的事件发生时刻在通信切换表中确定目标切换事件包括：

所述用户终端根据目标通信事件的事件发生时刻在通信切换表中确定时间上相邻的两个网络切换时刻，所述目标通信事件的事件发生时刻位于所述相邻的两个网络切换时刻之间；

所述用户终端确定所述时间上相邻的两个网络切换时刻之中的前一个网络切换时刻为与所述目标通信事件的事件发生时刻对应的网络切换时刻；

所述用户终端根据与所述目标通信事件的事件发生时刻对应的网络切换时刻在所述通信状况表中确定对应的目标切换事件。
根据权利要求1至5中任一项所述所述的移动网络安全的处理方法，其特征在于，所述目标切换事件包括：

切换前网络的网络信息和切换后网络的网络信息，所述网络信息中携带有网络的网络参数。
根据权利要求6所述的移动网络安全的处理方法，其特征在于，所述用户终端根据所述目标切换事件确定与所述目标切换事件对应的目标网络包括：

所述用户终端根据所述目标切换事件确定切换后网络的网络参数；

所述用户终端判断所述切换后网络的网络参数是否超出预设阈值：

当超出预设阈值时，所述用户终端确定所述切换后网络为所述目标网络。
一种移动网络安全的警示方法，其特征在于，包括：

用户终端接收网络扫描请求；

所述用户终端扫描通信切换表中的网络切换事件，所述通信切换表中记录有所述网络切换事件和所述网络切换事件对应的网络切换时刻；

所述用户终端判断所述网络切换事件对应的网络是否为可疑网络；

当所述用户终端确定对应所述网络切换事件对应的网络为可疑网络时，所述用户终端确定所述可疑网络对应的网络切换事件对应的网络切换时刻为目标网络时刻；

用户终端根据所述目标网络时刻在通信状况表中确定通信事件，所述通信事件中具有与所述目标网络时刻相对应的事件发生时刻，所述通信状况表中记录有所述通信事件和所述通信事件的事件发生时刻；

用户终端将所述通信事件作为可疑事件进行提示。
根据权利要求8所述的移动网络安全的警示方法，其特征在于：所述通信事件包括：

短信事件、电话事件和应用程序访问网络事件之中至少一种。
根据权利要求8或9所述所述的移动网络安全的预警方法，其特征在于，所述网络切换事件包括：

切换前网络的网络信息和切换后网络的网络信息，所述网络信息中携带有网络的网络参数。
根据权利要求10所述的移动网络安全的预警方法，其特征在于，所述方法还包括：

所述用户终端根据所述网络切换事件确定切换后网络的网络参数；

所述用户终端判断所述切换后网络的网络参数是否超出预设阈值：

当超出预设阈值时，所述用户终端确定所述切换后网络为可疑网络。
一种用户终端，其特征在于，包括：

第一接收模块，用于接收攻击事件的事件信息，所述事件信息中包括所述攻击事件的事件类型和所述攻击事件的事件发生时刻；

第一通信事件确定模块，根据所述攻击事件的事件信息在通信状况表中确定目标通信事件，所述攻击事件的事件类型与所述目标通信事件的事件类型相同，所述目标通信事件的事件发生时刻与所述攻击事件的事件发生时刻相对应，所述通信状况表中记录有所述目标通信事件的事件类型和所述目标通信事件的事件发生时刻；

切换事件确定模块，根据所述目标通信事件的事件发生时刻在通信切换表中确定目标切换事件，所述目标通信事件的事件发生时刻与所述目标切换事件的网络切换时刻相对应，所述通信切换表中存储有所述目标切换事件和所述目标切换事件的网络切换时刻；

目标网络确定模块，根据所述目标切换事件确定与所述目标切换事件对应的目标网络；

标记模块，将所述目标网络确定模块确定的目标网络标记为可疑网络。
根据权利要求12所述的用户终端，其特征在于，所述第一接收模块具体用于：

接收通过外部输入设备或设于所述用户终端内的输入设备输入的包括事件信息的攻击事件。
根据权利要求12或13所述的用户终端，其特征在于，所述攻击事件的事件类型包括：

短信事件、电话事件和应用程序访问网络事件中的至少一种。
根据权利要求14所述的用户终端，其特征在于，当所述攻击事件的事件类型为短信事件或电话事件时，

所述第一通信事件确定模块具体用于：

根据所述攻击事件的事件类型和所述攻击事件的事件发生时刻在通信状况表中确定目标通信事件，所述目标通信事件与所述攻击事件具有相同的事件类型和事件发生时刻。
根据权利要求12至15中任一项所述的用户终端，其特征在于，所述切换事件确定模块包括：

第一确定单元，用于根据目标通信事件的事件发生时刻在通信切换表中确定时间上相邻的两个网络切换时刻，所述目标通信事件的事件发生时刻位于所述相邻的两个网络切换时刻之间；

第二确定单元，用于确定所述时间上相邻的两个网络切换时刻之中的前一个网络切换时刻为与所述目标通信事件的事件发生时刻对应的网络切换时刻；

切换事件确定单元，用于根据与所述目标通信事件的事件发生时刻对应的网络切换时刻在所述通信状况表中确定对应的目标切换事件。
根据权利要求12至16中任一项所述的用户终端，其特征在于，所述目标切换事件包括：

切换前网络的网络信息和切换后网络的网络信息，所述网络信息中携带有网络的网络参数；

所述目标网络确定模块包括：

网络参数确定单元，用于根据所述目标切换事件确定切换后网络的网络参数；

第一判断单元，用于判断所述切换后网络的网络参数是否超出预设阈值：

目标网络确定单元，用于当所述第一判断单元确定超出预设阈值时，确定所述切换后网络为所述目标网络。
一种用户终端，其特征在于，包括：

第二接收模块，用于接收网络扫描请求；

扫描模块，用于描通信切换表中的网络切换事件，所述通信切换表中记录有所述网络切换事件和所述网络切换事件对应的网络切换时刻；

判断模块，用于判断所述网络切换事件对应的网络是否为可疑网络；

网络时刻确定模块，用于当确定对应所述网络切换事件对应的网络为可疑网络时，确定所述可疑网络对应的网络切换事件对应的网络切换时刻为目标网络时刻；

第二通信事件确定模块，用于根据所述目标网络时刻在通信状况表中确定通信事件，所述通信事件中具有与所述目标网络时刻相对应的事件发生时刻，所述通信状况表中记录有所述通信事件和所述通信事件的事件发生时刻；

提示模块，用于将所述通信事件作为可疑事件进行提示。
根据权利要求18所述的用户终端，其特征在于，所述网络切换事件包括：

切换前网络的网络信息和切换后网络的网络信息，所述网络信息中携带有网络的网络参数。

所述判断模块包括：

网络参数查询单元，用于根据所述网络切换事件确定切换后网络的网络参数；

第二判断单元，判断所述切换后网络的网络参数是否超出预设阈值：

可疑网络确定单元，用于当所述第二判断单元确定超出预设阈值时，确定所述切换后网络为可疑网络。