一种恶意扣费的识别方法、装置及电子设备与流程

[0001]
本发明涉及智能识别技术领域，尤其涉及一种恶意扣费的识别方法、装置及电子设备。


背景技术：

[0002]
目前，随着移动通信技术的快速发展，移动终端(如智能手机等)已成为人们日常生活中必不可少的电子消费品，随着智能手机越来越普及化，各种手机应用软件快速发展的同时，手机网络上的手机病毒传播呈高发趋势，越来越多的黑客通过在网络上快速传播恶意扣费病毒，在用户不知情情况下对大量手机用户进行恶意扣费，从而达到非法盈利的目的。
[0003]
目前对被恶意扣费用户的识别通常采用业务侧恶意扣费的识别方法。通过接入业务侧计费系统订购数据、客服系统投诉数据进行关联，识别出真实被扣费的行为特征后，通过人工对该行为特征进行追查，以确定该用户是否被恶意扣费。但是采用这种方法在对用户订购数据进行恶意扣费追查的过程中，需要与用户进行大量沟通，且需要大量的人力和物力参与，整个过程耗时长，从而使得对恶意扣费的识别效率低下，且造成大量的资源浪费。


技术实现要素：

[0004]
本发明实施例的目的是提供一种恶意扣费的识别方法、装置及电子设备，以解决现有技术中对被恶意扣费用户的识别方法存在耗时长、效率低的问题。
[0005]
为了解决上述技术问题，本发明实施例是这样实现的：
[0006]
第一方面，本发明实施例提供了一种恶意扣费的识别方法，包括：
[0007]
获取疑似被恶意扣费的用户的网络信令数据，以及发送所述网络信令数据的用户订购的业务的信息；
[0008]
基于疑似被恶意扣费的用户的网络信令数据和发送所述网络信令数据的用户订购的业务的信息，生成疑似恶意扣费数据流；
[0009]
对所述疑似恶意扣费数据流进行恶意扣费分析，确定所述疑似恶意扣费数据流中存在被恶意扣费的用户的信息。
[0010]
第二方面，本发明实施例提供了一种恶意扣费的识别装置，包括：
[0011]
数据获取模块，用于获取疑似被恶意扣费的用户的网络信令数据，以及发送所述网络信令数据的用户订购的业务的信息；
[0012]
疑似数据生成模块，用于基于疑似被恶意扣费的用户的网络信令数据和发送所述网络信令数据的用户订购的业务的信息，生成疑似恶意扣费数据流；
[0013]
扣费信息确定模块，用于对所述疑似恶意扣费数据流进行恶意扣费分析，确定所述疑似恶意扣费数据流中存在被恶意扣费的用户的信息。
[0014]
第三方面，本发明实施例提供了一种电子设备，包括处理器、通信接口、存储器和
通信总线；其中，所述处理器、所述通信接口以及所述存储器通过总线完成相互间的通信；所述存储器，用于存放计算机程序；所述处理器，用于执行所述存储器上所存放的程序，实现如第一方面所述的恶意扣费的识别方法步骤。
[0015]
第四方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时，实现如第一方面所述的恶意扣费的识别方法步骤。
[0016]
由以上本说明书实施例提供的技术方案可见，本说明书实施例通过获取疑似被恶意扣费的用户的网络信令数据，以及发送网络信令数据的用户订购的业务的信息，然后，基于疑似被恶意扣费的用户的网络信令数据和发送网络信令数据的用户订购的业务的信息，生成疑似恶意扣费数据流，并对疑似恶意扣费数据流进行恶意扣费分析，从而确定疑似恶意扣费数据流中存在被恶意扣费的用户的信息。这样，通过将获取的网络侧疑似恶意扣费用户的信息，以及发送该网络信令数据的用户订购的业务信息，生成疑似恶意扣费数据流，并对该疑似恶意扣费数据流进行分析，从而确定出被恶意扣费用户信息的方法，避免了当发生恶意扣费时，需要通过人工对该恶意扣费行为进行追查，以及后续需要再对该移动终端进行人工核查研判，进而找出是否匹配恶意扣费病毒的行为特征等一系列复杂过程，有效缩短了识别被恶意扣费用户信息的时间，从而提高了恶意扣费识别过程的处理效率。
附图说明
[0017]
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0018]
图1为本发明实施例提供的恶意扣费的识别方法的第一种流程示意图；
[0019]
图2为本发明实施例提供的恶意扣费的识别方法的第二种流程示意图；
[0020]
图3为本发明实施例提供的恶意扣费的识别方法的第三种流程示意图；
[0021]
图4为本发明实施例提供的恶意扣费的识别方法的第四种流程示意图；
[0022]
图5为本发明实施例提供的恶意扣费的识别方法的第五种流程示意图；
[0023]
图6为本发明实施例提供的恶意扣费的识别装置的第一种模块组成示意图；
[0024]
图7为本发明实施例提供的恶意扣费的识别装置的第二种模块组成示意图；
[0025]
图8为本发明实施例提供的恶意扣费的识别装置的第三种模块组成示意图；
[0026]
图9为本发明实施例提供的电子设备的结构示意图。
具体实施方式
[0027]
为了使本技术领域的人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
[0028]
如图1所示，本发明实施例提供一种恶意扣费的识别方法，该方法的执行主体可以
为服务器，其中，该服务器可以是独立的服务器，也可以是由多个服务器组成的服务器集群。该方法可以用于识别被恶意扣费用户的信息。
[0029]
图1为本发明实施例提供的恶意扣费的识别方法的第一种流程示意图，如图1所示，该方法至少包括以下步骤：
[0030]
s101，获取疑似被恶意扣费的用户的网络信令数据，以及发送网络信令数据的用户订购的业务的信息。
[0031]
其中，疑似被恶意扣费的用户可以是可能存在的被恶意扣费的用户，即该用户存在一定的可能性被恶意扣费。网络信令数据中可以包括多种不同的信息，例如，网络信令数据中可以包括如感染恶意扣费病毒的用户的通讯号码(如手机号码等)、感染恶意扣费病毒的日期、用户访问的存在恶意扣费病毒特征的主控链接、访问该主控链接的访问时间(该时间可以精准到秒)、访问该主控链接的次数、恶意扣费病毒的名称、用户所使用的终端的ua(user-agent，用户代理商)型号等。
[0032]
用户订购的业务可以是用户通过预定的渠道购买的某一项或多项服务对应的业务，该业务可以包括多种，例如游戏业务或阅读业务等，不同的业务提供者可以提供不同的业务服务。用户订购的业务的信息中可以包括如用户订购某一个或多个业务的日期、订购某一个或多个业务的用户的通讯号码、所订购的业务的标识(如业务代码等)、订购某一个或多个业务所需要的金额、用户所订购的业务的时间(可以精准到秒)、某一个或多个业务被订购的次数，以及所订购的业务的类别等。
[0033]
在实施中，通过接入网络信令数据，服务器可以通过预先设定的检测规则对网络信令数据进行检测，以确定该网络信令数据中是否包含恶意扣费的相关信息，例如，可以预先设定：若某网络信令数据中包含某关键字段或关键字符则确定该网络信令数据中包含恶意扣费的相关信息，或者，当检测到用户网络信令数据中携带有恶意扣费病毒的特征时，确定该网络信令数据中包含恶意扣费的相关信息，可以将该用户发生业务行为所产生的该网络信令数据确定为疑似被恶意扣费的网络信令数据，从而可以得到该疑似被恶意扣费的用户的网络信令数据。
[0034]
由于恶意扣费病毒往往是受控于后台服务器，触发扣费的处理是需要后台控制进行的，因此，通常情况下，即使用户访问或下载了恶意扣费病毒，使得用户所发生的业务行为所对应的网络信令数据中携带有恶意扣费病毒的特征，然而该恶意扣费病毒不一定会控制后台服务器进行恶意扣费，所以仅仅通过检测网络信令数据中是否包含恶意扣费的相关信息，无法准确识别出用户是否被恶意扣费。基于此，在获取疑似被恶意扣费的用户的网络信令数据的同时，还需要获取发送该网络信令数据的用户所订购的业务的信息，这样可以结合用户的网络信令数据和该用户所订购的业务的信息，综合判断该用户是否被恶意扣费。
[0035]
s102，基于疑似被恶意扣费的用户的网络信令数据和发送网络信令数据的用户订购的业务的信息，生成疑似恶意扣费数据流。
[0036]
其中，疑似恶意扣费数据流中可以包括：通讯号码、用户终端的ua型号、感染恶意扣费病毒的日期、恶意扣费病毒的标识(如名称)、恶意扣费病毒的访问链接、恶意扣费病毒链接的访问时间、恶意扣费病毒的访问次数、订购的一个或多个业务的业务标识(如业务代码等)、一个或多个业务的订购时间、一个或多个业务的订购日期、一个或多个业务的订购
费用、订购的业务所属的类别等。
[0037]
具体的，当检测到某用户的网络信令数据中携带有恶意扣费病毒特征时，则可以确认该用户访问了恶意扣费病毒链接，如果还可以确定该用户存在订购某一项或多个业务的行为，则可以基于该疑似被恶意扣费的用户的网络信令数据和该用户订购的业务的信息，生成疑似恶意扣费数据流。当检测到某用户的网络信令数据中携带有恶意扣费病毒特征时，未检测出该用户存在订购某一项或多个业务的行为，则说明该用户虽然访问了恶意扣费病毒链接，但并未订购某业务，此时，可以不需要生成疑似恶意扣费数据流。
[0038]
s103，对疑似恶意扣费数据流进行恶意扣费分析，确定疑似恶意扣费数据流中存在被恶意扣费的用户的信息。
[0039]
其中，被恶意扣费的用户的信息可以包括：通讯号码、感染恶意扣费病毒的日期、恶意扣费病毒的标识(如名称)、恶意扣费病毒的访问链接、恶意扣费病毒链接的访问时间、恶意扣费病毒的访问次数、订购的一个或多个业务的业务标识(如业务代码等)、一个或多个业务的订购时间、一个或多个业务的订购日期、一个或多个业务的订购费用、订购的业务所属的类别等。
[0040]
具体的，对疑似恶意扣费数据流进行恶意扣费分析的过程可为：预先设置恶意扣费规则，例如：该恶意扣费规则可以为当检测到疑似恶意扣费数据流中某用户订购的某业务的费用大于上一季度订购该业务的总费用，且该用户访问恶意扣费链接与发生业务订购之间的时间间隔小于预设时间间隔时，可以确定该用户信息为疑似恶意扣费数据流中存在的被恶意扣费的用户的信息。
[0041]
或者，上述对疑似恶意扣费数据流进行恶意扣费分析的过程还可以为：对疑似恶意扣费数据流中的扣费过程进行分析，判断是否是恶意扣费病毒模拟用户行为触发订购业务的后台服务器进行扣费，若判断结果为是，则可以确定该用户信息为疑似恶意扣费数据流中存在的被恶意扣费的用户信息。
[0042]
本发明实施例中，通过将获取的网络侧疑似恶意扣费用户的信息，以及发送该网络信令数据的用户订购的业务信息，生成疑似恶意扣费数据流，并对该疑似恶意扣费数据流进行分析，从而确定出被恶意扣费用户信息的方法，避免了当发生恶意扣费时，需要通过人工对该恶意扣费行为进行追查，以及后续需要再对该移动终端进行人工核查研判，进而找出是否匹配恶意扣费病毒的行为特征等一系列复杂过程，有效缩短了识别被恶意扣费用户信息的时间，从而提高了恶意扣费识别过程的处理效率。
[0043]
其中，如图2所示，上述s103的具体处理方式可以多种多样，以下再提供一种可选的处理方式，具体可以参见下述s1031-s1032的处理。
[0044]
s1031，基于预设异常扣费指标，对生成的疑似恶意扣费数据流进行分析，确定疑似恶意扣费数据流中包含的异常扣费数据流。
[0045]
其中，预设异常扣费指标可以是用于判定存在异常扣费的条件或规则，不同的业务类别，可以预先设定不同的异常扣费指标。针对某一个或多个业务类别的预设异常扣费指标具体可以是：各业务的类别所对应的订购费用大于预设费用阈值、各业务的类别所对应的订购次数大于预设订购次数阈值、各业务的类别所对应的业务订购时间与访问恶意扣费链接之间的时间差小于预设时间阈值、访问恶意扣费链接次数大于预设访问次数阈值和各业务的类别被一种或多种预定病毒感染的通讯号码数量大于预设数量阈值中的一种或
多种，其中，预定病毒可以为鳄鱼扣费病毒、扣费黑手病毒、私密扣费病毒等。其中，业务类别可以包括：手机阅读、手机游戏、梦网短信中的一种或多种。
[0046]
具体的，例如：预设异常扣费指标可以为各业务的类别所对应的订购费用大于100万、各业务的类别所对应的订购次数比昨日增长300％、各业务的类别所对应的业务订购时间与访问恶意扣费链接之间的时间差小于15秒、访问恶意扣费链接次数大于150万和各业务的类别被一种或多种预定病毒感染的通讯号码数量大于50万中的一种或多种。
[0047]
针对手机阅读，基于上述预设异常扣费指标的判断如下：例如：可以判断当日订购费用是否大于100万，此外，还可以判断订购次数是否比昨日增长300％，还可以判断订购时间与访问恶意扣费链接之间的时间差是否小于15秒，还可以判断访问恶意扣费链接次数是否大于150万，还可以判断被一种或多种预定病毒感染的通讯号码数量是否大于50万等。
[0048]
若以上判断结果中，订购费用、订购次数、访问恶意扣费链接次数、以及被一种或多种预定病毒感染的通讯号码数量中的任意一种或多种满足上述预设异常扣费指标，则可确定疑似恶意扣费数据流中手机阅读的数据流为异常扣费数据流。若以上判断结果中，存在400个疑似恶意扣费数据流，且该疑似恶意扣费数据流中的订购时间与访问恶意扣费链接之间的时间差小于15秒，则可以确定上述400个疑似恶意扣费数据流为异常扣费数据流。
[0049]
在实施中，若上述生成的疑似恶意扣费数据流中，存在至少一个业务类别满足上述预设异常扣费指标中的一种或多种，则确定上述疑似恶意扣费数据流中包含异常扣费数据流。例如，基于上述预设异常扣费指标的示例，若手机阅读中满足上述预设异常扣费指标中的订购费用大于100万，以及订购次数比昨日增长300％，另外，手机游戏中满足上述预设异常扣费指标中的访问恶意扣费链接次数大于150万，而梦网短信中没有满足上述预设异常扣费指标中的任何一个异常扣费指标，则可确定上述疑似恶意扣费数据流中存在手机阅读和手机游戏的数据流为异常扣费数据流。若上述生成的某疑似恶意扣费数据流中存在手机阅读和梦网短信两个订购业务，由于手机阅读满足上述预设异常扣费指标，因此，确定该疑似恶意扣费数据流为异常扣费数据流。
[0050]
s1032，将异常扣费数据流输入至预设业务分析模型中，确定异常扣费数据流中存在被恶意扣费的用户的信息，其中，确定的用户的信息中包括被恶意扣费的业务的类别。
[0051]
其中，预设业务分析模型可以是针对某一个或多个业务类别而设置的业务分析模型，例如，若业务类别包括：手机阅读、手机游戏、梦网短信，则预设业务分析模型可以为手机阅读分析模型、手机游戏分析模型、梦网短信分析模型。
[0052]
具体的，可以将异常扣费数据流按照业务类别进行分类，得到不同业务类别的异常扣费数据流，然后，可以按照某种分析顺序，分别将不同业务类别的异常扣费数据流输入至对应的预设业务分析模型中，从而确定出异常扣费数据流中存在的被恶意扣费的用户的信息，其中，上述分析顺序可以为按照各业务类别所对应的当日订购总费用从大到小的顺序，或者按照某病毒名称所对应的中毒号码数量从大到小的顺序。上述确定的用户的信息中包括被恶意扣费的业务的类别和通讯号码。之后，可以根据通讯号码，将确定出的异常扣费数据流中存在的被恶意扣费的用户的业务类别进行归类，最终得到存在被恶意扣费用户的通讯号码及该通讯号码所对应的被恶意扣费的业务的类别。
[0053]
其中，如图3所示，在上述s1031基于预设异常扣费指标，对生成的疑似恶意扣费数据流进行分析，确定疑似恶意扣费数据流中包含的异常扣费数据流之后，还可以执行下述
s1033和s1034的处理：
[0054]
s1033，统计异常扣费数据流中满足各业务的类别所对应的异常扣费指标的个数。
[0055]
具体的，基于上述s1031中预设异常扣费指标的示例，针对手机阅读，若存在60万异常扣费数据流，当检测出订购费用大于100万、订购次数比昨日增长300％，以及存在3万个异常扣费数据流中的订购时间与访问恶意扣费链接之间的时间差小于15秒，则确定手机阅读所对应的异常扣费指标个数为123万(60万+60万+3万)。针对手机游戏，若存在70万异常扣费数据流，当检测出订购费用大于100万、访问恶意扣费链接次数大于150万，则确定手机游戏所对应的异常扣费指标个数为140万(70万+70万)。
[0056]
s1034，根据满足不同业务的类别所对应的异常扣费指标的个数，确定异常扣费数据流中各业务的类别的优先级；
[0057]
具体的，将异常扣费指标与异常扣费数据流进行关联匹配；对匹配成功的异常扣费数据流中的业务类别进行标记；针对各业务的类别，更新并统计异常扣费数据流中满足各业务的类别所对应的异常扣费指标的个数；根据各业务的类别所对应的匹配成功的异常扣费指标的个数，可以按照匹配成功的异常扣费指标个数从大到小的顺序或者按照匹配成功的异常扣费指标个数从小到大的顺序，建立索引表，如表1所示；根据该索引表确定异常扣费数据流中各业务类别的优先级。
[0058]
表1
[0059]
索引id满足异常扣费指标个数业务类别1140万手机游戏2123万手机阅读
[0060]
上述s1032的具体处理方式可以多种多样，以下再提供一种可选的处理方式，具体可以参见下述s10321的处理。
[0061]
s10321，根据异常扣费数据流中各业务的类别的优先级，依次将每个业务的类别对应的异常扣费数据流输入至相应的业务分析模型中，确定每个业务的类别对应的异常扣费数据流中存在被恶意扣费的用户的信息，其中，上述优先级也可以根据实际需要进行动态调整。
[0062]
其中，上述s102的具体处理方式可以多种多样，以下再提供一种可选的处理方式，具体可以参见下述步骤一至步骤二的处理。
[0063]
步骤一，从网络信令数据中提取第一预设关键字段数据，以及从用户订购的业务的信息中提取第二预设关键字段数据。
[0064]
步骤二，基于第一预设关键字段数据以及第二预设关键字段数据，生成疑似恶意扣费数据流。
[0065]
其中，如表2所示，网络信令数据中包括的字段如下：中毒号码(感染恶意扣费病毒的用户的通讯号码)、中毒日期(感染恶意扣费病毒的日期)、访问url，访问url时间、访问url次数、用户终端的ua型号，以及恶意扣费病毒的标识(如名称)，其中，url为恶意扣费病毒的主控链接。第一预设关键字段数据可以为中毒号码、中毒日期和中毒时间。如表3所示，用户订购的业务的信息中包括的字段如下：订购日期、订购号码(订购业务的用户通讯号码)、业务代码、订购费用、订购时间、订购次数、业务类别，其中，第二预设关键字段数据可以为订购号码、订购日期和订购时间。
[0066]
具体的，将从网络信令数据中提取出的第一预设关键字段数据：中毒号码、中毒日期和中毒时间，与从用户订购的业务的信息中提取的第二预设关键字段数据：订购号码、订购日期和业务订购时间相匹配，生成疑似恶意扣费数据流，其中，该疑似恶意扣费数据流中包括通讯号码、中毒日期、病毒名称、访问url、访问url时间、访问url次数、业务代码、业务订购时间、订购日期、订购费用以及业务类型等字段。生成的疑似恶意扣费数据流可如表4所示。
[0067]
表2
[0068][0069]
表3
[0070][0071][0072]
表4
[0073][0074]
其中，如图4所示，在上述s1031基于预设异常扣费指标，对生成的疑似恶意扣费数据流进行分析，确定疑似恶意扣费数据流中包含的异常扣费数据流之后，还可以执行下述s1035的处理：
[0075]
s1035，根据每个业务的基准订购操作数据，建立与每个业务的类别相对应的预设业务分析模型，其中，基准订购操作数据可以包括执行该订购业务的基准操作步骤数据，基准操作步骤数据中各操作步骤之间的时间间隔小于预设时间间隔中的一种或多种。
[0076]
具体的，例如：根据手机游戏业务的基准订购操作数据，建立手机游戏分析模型，其中，基准订购操作数据可以包括执行该手机游戏订购业务的基准操作步骤数据，以及各基准操作步骤之间的最小时间间隔小于预定时长(如0.1秒等)。其中，执行该订购业务的基准操作步骤可以包括：第一步：访问游戏主页，第二步：访问游戏频道，第三步：访问目标游戏业务进行订购。
[0077]
上述s1032的具体处理方式可以多种多样，以下再提供一种可选的处理方式，具体可以参见下述s10322-s10324的处理。
[0078]
s10322，将异常扣费数据流输入至预设业务分析模型中，以判断异常扣费数据流中的业务订购操作数据是否与预设业务分析模型中的基准订购操作数据相匹配。
[0079]
若判断结果为是，则执行s10323，若判断结果为否，则执行s10324。
[0080]
s10323，若判断结果为是，则确定该业务订购操作符合基准订购操作，从异常扣费数据流中删除业务订购操作数据与基准订购操作数据相匹配的数据流。
[0081]
s10324，若判断结果为否，则从业务订购操作数据与基准订购操作数据不匹配的异常扣费数据流中确定存在被恶意扣费的用户的信息。
[0082]
具体的，基于上述s1035中预设异常扣费指标的示例，当将包含手机游戏的异常扣费数据流输入至手机游戏分析模型中时，若检测出某异常扣费数据流中的订购操作数据与基准订购操作步骤数据不匹配(例如：异常扣费数据流中的订购操作数据中包含基准订购操作步骤中的第一步和第二步的操作数据)，以及各订购操作步骤之间的最小时间间隔小
于预定时长(如0.1秒等)，则确定该异常扣费数据流中存在被恶意扣费的用户的信息。
[0083]
若手机游戏分析模型检测出某异常扣费数据流中的订购操作数据与基准订购操作步骤数据相匹配，以及各订购操作步骤之间的最小时间间隔均大于预定时长，则说明该异常扣费数据流虽然携带恶意扣费病毒特征，但并不是受恶意扣费病毒影响而订购手机游戏，而是该订购操作是用户真实发起的订购操作，即该订购操作操作不属于被恶意扣费操作，因此，当手机游戏分析模型检测出该订购操作符合基准订购操作时，将删除业务订购操作数据与基准订购操作数据相匹配的异常扣费数据流。
[0084]
此外，上述预设订购业务分析模型还可以通过对疑似恶意扣费数据流中记录的各用户的终端ua型号，与发起订购业务的终端ua型号是否相同来对异常扣费数据流中是否存在被恶意扣费的用户的信息做出判断。若预设业务分析模型检测出发起订购业务的终端ua型号与疑似恶意扣费数据流中记录的用户终端ua型号相同，则可确定该业务订购操作符合基准订购操作，此时，可以删除业务订购操作数据与基准订购操作数据相匹配的异常扣费数据流。若预设业务分析模型检测出发起订购业务的终端ua型号与疑似恶意扣费数据流中记录的用户终端ua型号不相同，则确定该业务订购操作为恶意扣费操作，此时，可以将该订购操作所对应的异常扣费数据流中的用户信息确定为被恶意扣费的用户的信息。
[0085]
其中，如图5所示，在s101获取疑似被恶意扣费的用户的网络信令数据之前，还可以执行下述s104和s105的处理：
[0086]
s104，根据预设的恶意扣费特征，对接入网络侧用户的网络信令数据进行识别。
[0087]
在实施中，可以根据实际情况，预先设定恶意扣费特征，当获取到接入网络侧用户的网络信令数据时，可以对该网络信令数据进行特征提取，并可以将提取出的特征与上述恶意扣费特征进行匹配，如果提取出的某特征与上述恶意扣费特征相匹配，则可以确定该网络信令数据中携带有恶意扣费特征，此时可以执行下述s105的处理，如果提取出的特征与上述恶意扣费特征均不匹配，则可以确定该网络信令数据中未携带有恶意扣费特征。
[0088]
s105，将识别出的携带有恶意扣费特征的网络信令数据确定为疑似被恶意扣费的用户的网络信令数据。
[0089]
本发明实施例中的恶意扣费的识别方法，包括：获取疑似被恶意扣费的用户的网络信令数据，以及发送网络信令数据的用户订购的业务的信息，然后，基于疑似被恶意扣费的用户的网络信令数据和发送网络信令数据的用户订购的业务的信息，生成疑似恶意扣费数据流，可以对该疑似恶意扣费数据流进行恶意扣费分析，从而确定疑似恶意扣费数据流中存在被恶意扣费的用户的信息。通过将获取的网络侧疑似恶意扣费用户的信息，以及发送该网络信令数据的用户订购的业务信息，生成疑似恶意扣费数据流，并对该疑似恶意扣费数据流进行分析，从而确定出被恶意扣费用户信息的方法，避免了当发生恶意扣费时，需要通过人工对该恶意扣费行为进行追查，以及后续需要再对该移动终端进行人工核查研判，进而找出是否匹配恶意扣费病毒的行为特征等一系列复杂过程，有效缩短了识别被恶意扣费用户信息的时间，从而提高了恶意扣费识别过程的处理效率。
[0090]
对应上述实施例提供的恶意扣费的识别方法，基于相同的技术构思，本发明实施例还提供了一种恶意扣费的识别装置，图6为本发明实施例提供的恶意扣费的识别装置的第一种模块组成示意图，该恶意扣费的识别装置用于执行图1至图5描述的恶意扣费的识别方法，如图6所示，该恶意扣费的识别装置包括：
[0091]
数据获取模块601，用于获取疑似被恶意扣费的用户的网络信令数据，以及发送所述网络信令数据的用户订购的业务的信息；
[0092]
疑似数据生成模块602，用于基于疑似被恶意扣费的用户的网络信令数据和发送所述网络信令数据的用户订购的业务的信息，生成疑似恶意扣费数据流；
[0093]
扣费信息确定模块603，用于对所述疑似恶意扣费数据流进行恶意扣费分析，确定所述疑似恶意扣费数据流中存在被恶意扣费的用户的信息。
[0094]
本发明实施例中提供了一种恶意扣费的识别装置，通过将获取的网络侧疑似恶意扣费用户的信息，以及发送该网络信令数据的用户订购的业务信息，生成疑似恶意扣费数据流，并对该疑似恶意扣费数据流进行分析，从而确定出被恶意扣费用户信息的方法，避免了当发生恶意扣费时，需要通过人工对该恶意扣费行为进行追查，以及后续需要再对该移动终端进行人工核查研判，进而找出是否匹配恶意扣费病毒的行为特征等一系列复杂过程，有效缩短了识别被恶意扣费用户信息的时间，从而提高了恶意扣费识别过程的处理效率。
[0095]
可选地，上述扣费信息确定模块603，用于：
[0096]
基于预设异常扣费指标，对生成的所述疑似恶意扣费数据流进行分析，确定所述疑似恶意扣费数据流中包含的异常扣费数据流；
[0097]
将所述异常扣费数据流输入至预设业务分析模型中，确定所述异常扣费数据流中存在被恶意扣费的用户的信息，其中，确定的用户的信息中包括被恶意扣费的业务的类别。
[0098]
可选地，所述预设异常扣费指标包括：
[0099]
各业务的类别所对应的订购费用大于预设费用阈值、各业务的类别所对应的订购次数大于预设订购次数阈值、各业务的类别所对应的业务订购时间与访问恶意扣费链接之间的时间差小于预设时间阈值、访问恶意扣费链接次数大于预设访问次数阈值和各业务的类别被一种或多种预定病毒感染的通讯号码数量大于预设数量阈值中的一种或多种。
[0100]
可选地，如图7所示，上述装置还包括：
[0101]
优先级确定模块604，用于：统计异常扣费数据流中满足各业务的类别所对应的异常扣费指标的个数；
[0102]
根据满足不同业务的类别所对应的所述异常扣费指标的个数，确定所述异常扣费数据流中各业务的类别的优先级；
[0103]
所述扣费信息确定模块603，用于：
[0104]
根据所述异常扣费数据流中各业务的类别的优先级，依次将每个业务的类别对应的所述异常扣费数据流输入至相应的业务分析模型中，确定每个业务的类别对应的所述异常扣费数据流中存在被恶意扣费的用户的信息。
[0105]
可选地，上述疑似数据生成模块602，用于：
[0106]
从所述网络信令数据中提取第一预设关键字段数据，以及从所述用户订购的业务的信息中提取第二预设关键字段数据；
[0107]
基于所述第一预设关键字段数据以及所述第二预设关键字段数据，生成疑似恶意扣费数据流。
[0108]
可选地，如图8所示，上述装置还包括：
[0109]
分析模型建立模块605，用于根据每个业务的基准订购操作数据，建立与每个所述
业务的类别相对应的预设业务分析模型；
[0110]
所述扣费信息确定模块603，用于：
[0111]
将所述异常扣费数据流输入至预设业务分析模型中，以判断所述异常扣费数据流中的业务订购操作数据是否与
[0112]
所述预设业务分析模型中的基准订购操作数据相匹配；
[0113]
若否，则从业务订购操作数据与基准订购操作数据不匹配的异常扣费数据流中确定存在被恶意扣费的用户的信息。
[0114]
可选地，上述装置还包括：
[0115]
网络数据确定模块，用于根据预设的恶意扣费特征，对接入网络侧用户的网络信令数据进行识别；
[0116]
将识别出的携带有恶意扣费特征的所述网络信令数据确定为疑似被恶意扣费的用户的网络信令数据。
[0117]
本发明实施例中的恶意扣费的识别装置，获取疑似被恶意扣费的用户的网络信令数据，以及发送网络信令数据的用户订购的业务的信息，然后，基于疑似被恶意扣费的用户的网络信令数据和发送网络信令数据的用户订购的业务的信息，生成疑似恶意扣费数据流，可以对该疑似恶意扣费数据流进行恶意扣费分析，从而确定疑似恶意扣费数据流中存在被恶意扣费的用户的信息。通过将获取的网络侧疑似恶意扣费用户的信息，以及发送该网络信令数据的用户订购的业务信息，生成疑似恶意扣费数据流，并对该疑似恶意扣费数据流进行分析，从而确定出被恶意扣费用户信息的方法，避免了当发生恶意扣费时，需要通过人工对该恶意扣费行为进行追查，以及后续需要再对该移动终端进行人工核查研判，进而找出是否匹配恶意扣费病毒的行为特征等一系列复杂过程，有效缩短了识别被恶意扣费用户信息的时间，从而提高了恶意扣费识别过程的处理效率。
[0118]
本发明实施例提供的恶意扣费的识别装置能够实现上述网络质量异常的定位方法对应的实施例中的各个过程，为避免重复，这里不再赘述。
[0119]
需要说明的是，本发明实施例提供的网络质量异常的定位装置与本发明实施例提供的网络质量异常的定位方法基于同一发明构思，因此该实施例的具体实施可以参见前述网络质量异常的定位方法的实施，重复之处不再赘述。
[0120]
对应上述实施例提供的恶意扣费的识别方法，基于相同的技术构思，本发明实施例还提供了一种电子设备，该电子设备用于执行上述的恶意扣费的识别方法，图9为实现本发明各个实施例的一种电子设备的结构示意图，如图9所示。电子设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上的处理器901和存储器902，存储器902中可以存储有一个或一个以上存储应用程序或数据。其中，存储器902可以是短暂存储或持久存储。存储在存储器902的应用程序可以包括一个或一个以上模块(图示未示出)，每个模块可以包括对电子设备中的一系列计算机可执行指令。更进一步地，处理器901可以设置为与存储器902通信，在电子设备上执行存储器902中的一系列计算机可执行指令。电子设备还可以包括一个或一个以上电源903，一个或一个以上有线或无线网络接口904，一个或一个以上输入输出接口905，一个或一个以上键盘906。
[0121]
具体在本实施例中，电子设备包括有处理器、通信接口、存储器和通信总线；其中，所述处理器、所述通信接口以及所述存储器通过总线完成相互间的通信；所述存储器，用于
存放计算机程序；所述处理器，用于执行所述存储器上所存放的程序，实现以下方法步骤：
[0122]
获取疑似被恶意扣费的用户的网络信令数据，以及发送所述网络信令数据的用户订购的业务的信息；
[0123]
基于疑似被恶意扣费的用户的网络信令数据和发送所述网络信令数据的用户订购的业务的信息，生成疑似恶意扣费数据流；
[0124]
对所述疑似恶意扣费数据流进行恶意扣费分析，确定所述疑似恶意扣费数据流中存在被恶意扣费的用户的信息。
[0125]
本申请实施例还提供一种计算机可读存储介质，所述存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现以下方法步骤：
[0126]
获取疑似被恶意扣费的用户的网络信令数据，以及发送所述网络信令数据的用户订购的业务的信息；
[0127]
基于疑似被恶意扣费的用户的网络信令数据和发送所述网络信令数据的用户订购的业务的信息，生成疑似恶意扣费数据流；
[0128]
对所述疑似恶意扣费数据流进行恶意扣费分析，确定所述疑似恶意扣费数据流中存在被恶意扣费的用户的信息。
[0129]
本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0130]
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0131]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0132]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0133]
在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
[0134]
内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。内存是计算机可读介质的示例。
[0135]
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类别的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
[0136]
还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
[0137]
本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0138]
以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。