侦测与预警伪冒账号的方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术涉及一种侦测与预警伪冒账号的方法、装置、电子设备及存储介质。侦测与预警伪冒账号方法包括步骤：S1、获取与用户账号相关的特征信息；S2、生成用户正常访问网站或应用的白名单；S3、DPI深度包检测用户行为流量提取，通过使用DPI技术分别提取访问黑名单和白名单中域名的用户行为日志，其中，符合用户账号特征信息的用户行为生成风险行为记录和可信行为记录；S4、余弦相似度算法分析，使用余弦相似度算法计算两个向量的夹角余弦值，并为夹角余弦值设定伪冒账号风险阈值；S5、风险预警，根据风险预警表的信息实施预警。依据本发明专利技术的侦测与预警伪冒账号方法，能够从整个互联网范围主动地发起针对性更强更有效的侦测伪冒用户账号行为。号行为。号行为。

【技术实现步骤摘要】
侦测与预警伪冒账号的方法、装置、电子设备及存储介质


[0001]本专利技术涉及通信领域，具体而言，涉及一种实现反诈场景下侦测与预警伪冒账号的方法、装置、电子设备及存储介质。

技术介绍

[0002]通信的用户账号是公民身份信息的直接外在标志。由于互联网/移动互联网中信息的高度不对称，即用户很难主动察觉其账号已被伪冒(用户在明处)，而犯罪分子正利用了用户的不知情以实施伪冒行为(犯罪分子在暗处)。相关反诈机构和被害人对于这种正在进行中的犯罪预备动作的打击，却由于伪冒用户账号的行为难于侦测而缺乏有效的反制手段，难于防患于未然。故急需专利技术一种针对伪冒用户账号的有效的侦测与预警方法。
[0003]目前，用户账号被冒用有两种类型，我们可以从用户账号是否由用户本人自行创建加以区分。即类型一：用户账号是由用户自行创建，这是用户账号首先被盗用后再被冒名使用；类型二：用户账号非用户自行创建，这是用户账号首先被伪造后再被冒名使用。
[0004]防范账号被冒用的方法也相应大致是从“反盗用”和“防伪造”两条路径入手：
[0005]一、“反盗用”，即对前述类型一(账号由用户自行创建)，侦测的重点放在：用户自行创建账号的密码是否已遭泄露？因为如账号密码已泄露，则被冒用的风险显然增加。
[0006]中国专利CN113411315B：《一种账号密码泄露的检测方法及账号密码管理器》。该方法的特征是通过分析用户本地账号对应的域名，与掌握已知密码泄露的黑名单域名列表进行比对，从而达到提示用户账号密码泄露风险的目的。显然，这种方法仅局限于账号冒用的类型一，即账号由用户自行创建的情形，适用于用户对自己控制范围内的账号进行检测有否泄密。它无法侦测是否有人伪造该用户的账号，即类型二。换言之，账号被不法分子冒用有两大可能性，其一是因密码泄密而导致的冒用；其二是犯罪分子恶意伪造并冒用用户的账号。对于后者，该方法完全不适用。
[0007]二、“防伪造”，即对前述类型二(账号非用户自行创建)，侦测的重点放在：账号注册环节，根据已存在的用户自行创建的账号判断新注册的账号是否是伪造冒用？根据已存在账户的登录行为判断账户是否属于被伪造冒用。
[0008]中国专利CN105897727A：《防止账号信息被盗用的方法和装置》。这个方法的特征是在账号新注册环节，通过账号所关联的如身份证号，电话号码等信息进行不同账号的相似度比对，对于发现重复的则判定为信息泄露并拒绝第二账号使用第一账号的信息，并提示第一账号。这个方法是对类型二，即账号非用户自行创建的冒用的反制。但显然，该方法仅适用于同一个网站内用户账号被伪造的情形，而且其用以判别用户注册信息相似度的比较范围有限，仅覆盖同一网站内用户注册信息的比较。而且这个方法只适用于以某网站主体进行检测，对于用户账号在不同网站和应用间被伪造冒用的情况就无法侦测。从用户角度，无法通过这种方式在整个互联网更大的范围内主动探测伪冒行为的发生，存在局限性。
[0009]中国专利CN109922032B：《用于确定登录账户的风险的方法、装置、设备及存储介质》。这种方法是针对特定网站的用户账号的反欺诈登录，原理是基于被盗用账号的登录行
为模型来判断账号登录时属于欺诈行为的风险。同样的，这个方法仅适用于同一网站内对用户账号的登录行为的风险控制，能够达到一定的侦测伪造冒用账号的行为。但是类似专利二，无法通过这种方式在整个互联网更大的范围内主动探测伪冒行为的发生，存在同样的局限性。
[0010]综上可知，当前对用户账户被伪冒风险的常用侦测方法，主要是在用户本身账号范围内，侦测账号泄露风险；或者从网站等管理账号的主体出发，在网站本身账号范围内，侦测伪冒账号风险。这些方法适用的范围局限于整个伪冒用户账号的链条中的某个局部。在反诈场景下，亟需有一种能够从整个互联网范围内主动地发起针对性更强更有效的侦测伪冒用户账号行为的方法。

技术实现思路

[0011]本专利技术要解决的技术问题是当前侦测伪冒账号风险的方法适用范围局限于整个伪冒用户账号的链条中的某个局部，如主要是在用户本身账号范围内侦测账号泄露风险，或者从网站等管理账号的主体出发在网站本身账号范围内，不能从整个互联网范围内主动地发起针对性更强更有效的侦测伪冒用户账号行为。
[0012]为解决上述技术问题，根据本专利技术的一个方面，提供一种侦测与预警伪冒账号的方法，其包括如下步骤：S1、获取与用户账号相关的特征信息，特征信息包括：用户编码、电话号码、身份证号、银行卡号、邮箱、社交账号或姓名，特征信息由用户自行输入或由反诈机构根据案件线索输入；S2、生成用户正常访问网站或应用的白名单，通过获取用户正常访问的网站或应用的白名单，以在后续对伪冒行为分析时，用于将用户真实的访问行为与伪冒行为相区分；S3、DPI(Deep Packet Inspection，深度包检测)用户行为流量提取，在运营商骨干网络上镜像手机用户上网流量，并将其导入DPI设备进行分析，通过使用DPI技术分别提取访问黑名单和白名单中域名的用户行为日志，其中，符合用户账号特征信息的用户行为生成风险行为记录和可信行为记录；S4、余弦相似度算法分析，使用余弦相似度算法计算两个向量的夹角余弦值，并为夹角余弦值设定伪冒账号风险阈值；S5、风险预警，如果余弦相似度计算的余弦值超过风险阈值则输出风险预警表，根据风险预警表的信息实施预警，向反诈机构监控平台或用户发送预警信息。
[0013]根据本专利技术的实施例，步骤S2中，获取用户正常访问的网站或应用的白名单的方法可包括以下一个或多个方式：基于通信运营商数据获取用户正常访问网站或应用白名单，通过电话号码(手机)捆绑的固网宽带、或者手机号长时间停留的基站位置为可信位置，通过深度报文检测(DPI)，查找在可信位置上特定网站或者APP应用的流量，建立“电话号码”与以上网站或APP应用域名的关联关系，并将相应网站或应用的域名列入白名单；通过与网站数据合作获取用户正常访问网站或应用白名单，通过反诈机构与网站或应用的数据合作，获取已注册、且活跃的手机号及账号，建立手机号与网站或应用的关联关系并认定为用户正常访问的网站或应用的白名单；用户自行输入其正常访问网站或应用白名单，用户输入的用户正常访问网站或应用白名单包括：网站/应用域名、用户账号、上网账号、地理位置。
[0014]根据本专利技术的实施例，步骤S3可包括如下步骤：S31、读取诈骗高发网站黑名单，从相关机构获取诈骗高发网站的域名数据库清单，形成对流量重点侦测的黑名单；S32、流量
提取，提取访问黑名单域名相关手机用户上网的http流量进行DPI分析，提取分析其DPI数据日志信息，日志信息包括用户账号、URL、COOKIE、UA、时间戳；提取访问黑名单中域名的用户行为日志中所列账号特征信息的记录，作为风险行为记录，风险行为记录经清洗后供侦测平台进行进一步分析。
[0015]根据本专利技术的实施例，步骤S4中可包括如下步骤：S41、对风险行为记录的特征编码形成疑似伪冒行为特征向量；S42、对可信行为记录的特征编码形成可信行本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种侦测与预警伪冒账号的方法，包括如下步骤：S1、获取与用户账号相关的特征信息，所述特征信息包括：用户编码、电话号码、身份证号、银行卡号、邮箱、社交账号或姓名，所述特征信息由用户自行输入或由反诈机构根据案件线索输入；S2、生成用户正常访问网站或应用的白名单，通过获取用户正常访问的网站或应用的白名单，以在后续对伪冒行为分析时，用于将用户真实的访问行为与伪冒行为相区分；S3、通过DPI用户行为流量提取，在运营商骨干网络上镜像手机用户上网流量，并将其导入DPI设备进行分析，通过使用DPI技术分别提取访问黑名单和白名单中域名的用户行为日志，其中，符合用户账号特征信息的用户行为生成风险行为记录和可信行为记录；S4、余弦相似度算法分析，使用余弦相似度算法计算两个向量的夹角余弦值，并为夹角余弦值设定伪冒账号风险阈值；S5、风险预警，如果余弦相似度计算的余弦值超过风险阈值则输出风险预警表，根据所述风险预警表的信息实施预警，向反诈机构监控平台或用户发送预警信息。2.如权利要求1所述的方法，其中，步骤S2中，获取用户正常访问的网站或应用的白名单的方法包括以下一个或多个方式：基于通信运营商数据获取用户正常访问网站或应用白名单，通过电话号码捆绑的固网宽带、或者手机号长时间停留的基站位置为可信位置，通过深度报文检测DPI，查找在可信位置上特定网站或者APP应用的流量，建立“电话号码”与以上网站或APP应用域名的关联关系，并将相应网站或应用的域名列入白名单；通过与网站数据合作获取用户正常访问网站或应用白名单，通过反诈机构与网站或应用的数据合作，获取已注册、且活跃的手机号及账号，建立手机号与网站或应用的关联关系并认定为用户正常访问的网站或应用的白名单；用户自行输入其正常访问网站或应用白名单，用户输入的用户正常访问网站或应用白名单包括：网站/应用域名、用户账号、上网账号、地理位置。3.如权利要求1所述的方法，其中，步骤S3包括如下步骤：S31、读取诈骗高发网站黑名单，从相关机构获取诈骗高发网站的域名数据库清单，形成对流量重点侦测的黑名单；S32、流量提取，提取访问黑名单域名相关手机用户上网的http流量进行DPI分析，提取分析其DPI数据日志信息，所述日志信息包括用户账号、URL、COOKIE、UA、时间戳；提取访问黑名单中域名的用户行为日志中所列账号特征信息的记录，作为风险行为记录，所述风险行为记录经清洗后供侦测平台进行进一步分析。4.如权利要求3所述的方法，其中，步骤S4中包括如下步骤：S41、对所述风险行为记录的特征编码形成疑似伪冒行为特征向量；S42、对所述可信行为记录的特征编码形成可信行为基准特征向量；S43、余弦相似度比较，当可信行为基准特征向量和疑似伪冒特征向量主键相同时，通过给定的疑似伪冒行为特征向量和可信行为基准特征向量之间夹角的余弦值来判定相似度，两个向量之间的夹角越接近0，则两个向量的余弦值越接近1，两个向量方向越相似、两个向量越相似；由两个向量夹角余弦值设定风险阈值，两个向量夹角余弦值小于所述风险阈值时，即可认为差异较大，认为已存在伪冒账号的风险；
S44、伪冒账号行为风险值计算，对于超过阈值的特征值进一步分析，疑似伪冒账号的具体行为并提取对应实施伪冒行为的用户的相关信息，所述相关信息包括用户的标识、访问时间段、频次、地理位置，以便反诈机构进一步追踪其风险...

【专利技术属性】
技术研发人员：倪俊峰，邹剑鸣，马钰璐，张剑峰，
申请(专利权)人：号百信息服务有限公司，
类型：发明
国别省市：