监测物联网卡被盗用的方法和系统与流程

本发明涉及物联网领域，尤其涉及一种监测物联网卡被盗用的方法和系统。

背景技术：

安装在物联网终端中的物联网卡，能够实现物联网终端的无线数据通信网络接入，以及实现与业务平台或者运营管理平台之间的数据通信。但是这种在无人值守的物联网终端中使用的物联网卡很容易被人非法取出，用来上网、订购sp业务等，从而导致终端无法正常上传数据并给物联网用户带来额外的数据费用。

技术实现要素：

本发明要解决的一个技术问题是提供一种监测物联网卡被盗用的方法和系统能够及时发现物联网终端的异常情况，从而及早制止物联网网卡被盗用的情况。

根据本发明一方面，提出一种监测物联网卡被盗用的方法，包括：获取物联网终端的关键行为数据；判断物联网终端的关键行为数据是否超过物联网终端的异常行为阈值；若关键行为数据超过异常行为阈值，则确定物联网终端的网卡被盗用。

进一步地，该方法还包括：构建物联网终端的上网标准行为库，确定物联网终端的异常行为阈值。

进一步地，构建物联网终端的上网标准行为库包括：获取移动数据网络中的深度数据包检测dpi数据和/或话单数据；对dpi数据和/或话单数据进行聚类分析构建物联网终端的上网标准行为库。

进一步地，对dpi数据和/或话单数据进行聚类分析构建物联网终端的上网标准行为库包括：对dpi数据和/或话单数据中的关键字段数据进行抽取和转换，获取预定时间内物联网终端的上网时间、上网频次、上网位置、上网流量大小和/或流量方向的行为数据；对行为数据进行聚类分析，构建物联网终端的上网标准行为库。

进一步地，确定物联网终端的异常行为阈值包括：根据历史数据和认知计算的角度，确定物联网终端上网标准行为库的异常行为阈值。

进一步地，该方法还包括：若物联网终端的网卡被盗用，则向物联网终端的拥有者告警。

根据本发明的另一方面，还提出一种监测物联网卡被盗用的系统，包括：终端行为数据获取单元，用于获取物联网终端的关键行为数据；终端行为数据判断单元，用于判断物联网终端的关键行为数据是否超过物联网终端的异常行为阈值；网卡被盗用确定单元，用于若关键行为数据超过异常行为阈值，则确定物联网终端的网卡被盗用。

进一步地，还包括标准行为库构建单元和异常行为阈值确定单元；标准行为库构建单元用于构建物联网终端的上网标准行为库；异常行为阈值确定单元用于确定物联网终端的异常行为阈值。

进一步地，终端行为数据获取单元还用于获取移动数据网络中的深度数据包检测dpi数据和/或话单数据；标准行为库构建单元用于对dpi数据和/或话单数据进行聚类分析构建物联网终端的上网标准行为库。

进一步地，终端行为数据获取单元还用于对dpi数据和/或话单数据中的关键字段数据进行抽取和转换，获取预定时间内物联网终端的上网时间、上网频次、上网位置、上网流量大小和/或流量方向的行为数据；标准行为库构建单元用于对行为数据进行聚类分析，构建物联网终端的上网标准行为库。

进一步地，异常行为阈值确定单元用于根据历史数据和认知计算的角度，确定物联网终端上网标准行为库的异常行为阈值。

进一步地，该系统还包括告警单元；告警单元用于若物联网终端的网卡被盗用，则向物联网终端的拥有者告警。

与现有技术相比，本发明通过监控物联网终端的关键行为数据，若物联网终端的关键行为数据超过物联网终端的异常行为阈值，则确定物联网终端的网卡被盗用，该实施例能够及时发现物联网终端的异常情况，从而及早制止物联网网卡被盗用的情况。

通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得清楚。

附图说明

构成说明书的一部分的附图描述了本发明的实施例，并且连同说明书一起用于解释本发明的原理。

参照附图，根据下面的详细描述，可以更加清楚地理解本发明，其中：

图1为本发明监测物联网卡被盗用的方法的一个实施例的流程示意图。

图2为本发明监测物联网卡被盗用的方法的另一个实施例的流程示意图。

图3为本发明监测物联网卡被盗用的方法的再一个实施例的流程示意图。

图4为本发明监测物联网卡被盗用的系统的一个实施例的结构示意图。

图5为本发明监测物联网卡被盗用的系统的另一个实施例的结构示意图。

图6为本发明监测物联网卡被盗用的系统的再一个实施例的结构示意图。

具体实施方式

现在将参照附图来详细描述本发明的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。

以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。

在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明进一步详细说明。

图1为本发明监测物联网卡被盗用的方法的一个实施例的流程示意图。该方法包括以下步骤：

在步骤110，获取物联网终端的关键行为数据。例如，采集移动数据网络中的dpi((deeppacketinspection，深度数据包检测)数据和cdr(calldetailrecord，呼叫详细记录)话单数据，对关键字段数据进行抽取和转换，提取物联网终端上网时间、上网频次、上网位置、上网流量大小及方向等物联网终端行为特征。

在步骤120，判断物联网终端的关键行为数据是否超过物联网终端的异常行为阈值，若超过则执行步骤130，否则执行步骤140。其中，可以先构建物联网终端的上网标准行为库，确定物联网终端的异常行为阈值。例如，对一段时间内物联网终端上网时间、上网频次、上网位置、上网流量大小及方向等物联网终端行为特征进行统计，并根据这些信息，对物联网终端进行聚类分析，建立物联网终端上网标准行为库；根据聚类分析结果，构建物联网终端上网行为的模型和出现异常行为的阈值。

在步骤130，确定物联网终端的网卡被盗用。如果物联网终端的关键行为特征与不符合模型要求和阈值范围时，则认定该物联网终端中的物联网网卡被盗用。

在步骤140，确定物联网终端的网卡未被盗用。

在该实施例中，通过监控物联网终端的关键行为数据，若物联网终端的关键行为数据超过物联网终端的异常行为阈值，则确定物联网终端的网卡被盗用，该实施例能够及时发现物联网终端的异常情况，从而及早制止物联网网卡被盗用的情况。

图2为本发明监测物联网卡被盗用的方法的另一个实施例的流程示意图。该方法包括以下步骤：

在步骤210，采集移动数据网络中的dpi数据和cdr话单数据。

在步骤220，对dpi数据和cdr话单数据进行抽取和转换，获取预定时间内物联网终端的行为特征数据。例如，可以利用成熟的etl(extract-transform-load，数据抽取、转换和状态)技术组件实现对关键字段的抽取、转换，从而完成对dpi数据和cdr话单数据的清洗和加载，获取预定时间内物联网终端的上网时间、上网频次、上网位置、上网流量大小及方向等行为特征数据。

在步骤230，对预定时间内物联网终端的行为特征数据进行聚类分析，建立物联网终端上网标准行为库。例如获取预定时间内物联网终端的上网时间、上网频次、上网位置、上网流量大小及方向等字段进行用户上网行为特征细分聚类分析，不同的行业用户有不同的上网特征，会有不同的分类，因此可以构建出物联网终端上网标准行为库。

在步骤240，根据聚类分析结果，构建物联网终端上网行为的模型和出现异常行为的阈值。对物联网终端异常行为设定阈值是进行物联网网卡被盗用判断的关键，因此可以根据历史数据和认知计算的角度，确定物联网终端上网标准行为库的异常行为阈值。其中，物联网终端上网行为聚类分析模型中，每个类别的关键特征通常是一个具体范围，阈值就是一个区间范围，如：电表传感器每月只有一次传递数据、数据量较小；而视频监控终端每天都会上传数据、数据量较大。不同物联网终端上网时段、数据量的范围根据行业特征决定各不相同，即这些数据的阈值范围不同。在数据分析模型中，会根据终端用户的行业属性，为这些终端用户定义不同的上网行为阈值范围。

在该实施例中，针对物联网终端行为特点，构建物联网终端上网行为的分析模型，按照物联网终端上网时间、上网频次、上网位置、上网流量大小及方向等关键字段信息进行聚类分析，建立物联网终端上网标准行为分析模型库以及出现异常行为的阈值，为后续判断物联网网卡是否被盗用提供依据。

图3为本发明监测物联网卡被盗用的方法的再一个实施例的流程示意图，该方法还包括以下步骤：

在步骤250，对物联网终端的关键行为特征进行实时监控，即实时获取物联网终端的上网时间、上网频次、上网位置、上网流量大小及方向等行为特征。

在步骤260，将物联网终端的关键行为特征与物联网终端上网标准行为库进行比较，根据模型要求和阈值范围，判断物联网卡是否被盗用，若被盗用则执行步骤270，否则可以结束流程。

在步骤270，将被盗用的物联网终端的网卡存入被盗用的物联网卡库中进行审核。如果发现不同寻常的变化时，就认定该物联网终端中的网卡可能被盗用，则将其存入被盗用的物联网卡库中进行数据审核。其中审核的目的是要确认这些被发现的物联网终端的网卡异常上网行为，是否是业务允许的行为；如果不是，就确定这些物联网卡是被盗用了，属于非法的终端上网行为。

在步骤280，对被盗用的物联网卡库中的数据审核后，向用户发送短信或邮件进行告警。

在该实施例中，针对物联网终端行为特点，构建物联网终端上网行为的分析模型以及出现异常行为的阈值，通过对物联网终端的关键行为特征进行实时监控，若物联网终端的关键行为特征超过物联网终端的异常行为阈值，则确定物联网终端的网卡被盗用，并可以通过短信或邮件方式向用户进行告警，因此可以及时发现物联网终端的异常情况，从而及早地制止物联网网卡盗用的行为，保证物联网终端的正常上网业务流量，避免造成物联网终端无法上传数据及产生额外的费用。

图4为本发明监测物联网卡被盗用的系统的一个实施例的结构示意图。该系统包括终端行为数据获取单元410、终端行为数据判断单元420和网卡被盗用确定单元430，其中：

终端行为数据获取单元用于获取物联网终端的关键行为数据。例如，采集移动数据网络中的dpi数据和cdr话单数据，对关键字段数据进行抽取和转换，提取物联网终端上网时间、上网频次、上网位置、上网流量大小及方向等物联网终端行为特征。

终端行为数据判断单元420用于判断物联网终端的关键行为数据是否超过物联网终端的异常行为阈值。其中，可以先构建物联网终端的上网标准行为库，确定物联网终端的异常行为阈值。例如，对一段时间内物联网终端上网时间、上网频次、上网位置、上网流量大小及方向等物联网终端行为特征进行统计，并根据这些信息，对物联网终端进行聚类分析，建立物联网终端上网标准行为库；根据聚类分析结果，构建物联网终端上网行为的模型和出现异常行为的阈值。

网卡被盗用确定单元430用于若关键行为数据超过异常行为阈值，则确定物联网终端的网卡被盗用。即物联网终端的关键行为特征与不符合模型要求和阈值范围时，则认定该物联网终端中的物联网网卡被盗用。

在该实施例中，通过监控物联网终端的关键行为数据，若物联网终端的关键行为数据超过物联网终端的异常行为阈值，则确定物联网终端的网卡被盗用，该实施例能够及时发现物联网终端的异常情况，从而及早制止物联网网卡被盗用的情况。

图5为本发明监测物联网卡被盗用的系统的另一个实施例的结构示意图。该系统包括终端行为数据获取单元510、标准行为库构建单元520和异常行为阈值确定单元530，其中：

终端行为数据获取单元510用于采集移动数据网络中的dpi数据和cdr话单数据，并对dpi数据和cdr话单数据进行抽取和转换，获取预定时间内物联网终端的行为特征数据。例如，可以利用成熟的etl技术组件实现对关键字段的抽取、转换，从而完成对dpi数据和cdr话单数据的清洗和加载，获取预定时间内物联网终端的上网时间、上网频次、上网位置、上网流量大小及方向等行为特征数据。

标准行为库构建单元520用于对预定时间内物联网终端的行为特征数据进行聚类分析，建立物联网终端上网标准行为库。例如获取预定时间内物联网终端的上网时间、上网频次、上网位置、上网流量大小及方向等字段进行用户上网行为特征细分聚类分析，不同的行业用户有不同的上网特征，会有不同的分类，因此可以构建出物联网终端上网标准行为库。

异常行为阈值确定单元530用于根据聚类分析结果，构建物联网终端上网行为的模型和出现异常行为的阈值。对物联网终端异常行为设定阈值是进行物联网网卡被盗用判断的关键，因此可以根据历史数据和认知计算的角度，确定物联网终端上网标准行为库的异常行为阈值。

在该实施例中，针对物联网终端行为特点，构建物联网终端上网行为的分析模型，按照物联网终端上网时间、上网频次、上网位置、上网流量大小及方向等关键字段信息进行聚类分析，建立物联网终端上网标准行为分析模型库以及出现异常行为的阈值，为后续判断物联网网卡是否被盗用提供依据。

图6为本发明监测物联网卡被盗用的系统的再一个实施例的结构示意图。该系统包括终端行为数据获取单元610、标准行为库构建单元620、异常行为阈值确定单元630、终端行为数据判断单元640和网卡被盗用确定单元650，其中：

终端行为数据获取单元610用于采集移动数据网络中的dpi数据和cdr话单数据，并对dpi数据和cdr话单数据进行抽取和转换，获取预定时间内物联网终端的行为特征数据，以及对物联网终端的关键行为特征进行实时监控。标准行为库构建单元620用于对预定时间内物联网终端的行为特征数据进行聚类分析，建立物联网终端上网标准行为库。异常行为阈值确定单元630用于根据聚类分析结果，构建物联网终端上网行为的模型和出现异常行为的阈值。终端行为数据判断单元640用于将物联网终端的关键行为特征与物联网终端上网标准行为库进行比较，根据模型要求和阈值范围，判断物联网卡是否被盗用。网卡被盗用确定单元650用于如果物联网终端的关键行为特征与不符合模型要求和阈值范围时，则认定该物联网终端中的物联网网卡可能被盗用，还可以将被盗用的物联网终端的网卡存入被盗用的物联网卡库中进行审核，若物联网终端的网卡异常上网行为不是被业务允许的行为，则认为该物联网网卡是被盗用了，属于非法的终端上网行为。

该实施例中还可以包括告警单元660，告警单元660用于对被盗用的物联网卡库中的数据审核后，向用户发送短信或邮件进行告警。

在该实施例中，针对物联网终端行为特点，构建物联网终端上网行为的分析模型以及出现异常行为的阈值，通过对物联网终端的关键行为特征进行实时监控，若物联网终端的关键行为特征超过物联网终端的异常行为阈值，则确定物联网终端的网卡被盗用，并可以通过短信或邮件方式向用户进行告警，因此可以及时发现物联网终端的异常情况，从而及早地制止物联网网卡盗用的行为，保证物联网终端的正常上网业务流量，避免造成物联网终端无法上传数据及产生额外的费用。

本发明适用于物联网业务运营分析系统中，实现对物联网终端上网行为实时监测的场景。

至此，已经详细描述了本发明。为了避免遮蔽本发明的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。

可能以许多方式来实现本发明的方法以及装置。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法以及装置。用于所述方法的步骤的上述顺序仅是为了进行说明，本发明的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本发明实施为记录在记录介质中的程序，这些程序包括用于实现根据本发明的方法的机器可读指令。因而，本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。

虽然已经通过示例对本发明的一些特定实施例进行了详细说明，但是本领域的技术人员应该理解，以上示例仅是为了进行说明，而不是为了限制本发明的范围。本领域的技术人员应该理解，可在不脱离本发明的范围和精神的情况下，对以上实施例进行修改。本发明的范围由所附权利要求来限定。