一种识别网络诈骗行为的方法及系统与流程

本发明实施例涉及网络安全技术领域，尤其涉及一种识别网络诈骗行为的方法及系统。

背景技术：

即时通信工具(例如腾讯QQ、微信以及飞信等)因其即时性、直观性、廉价性受到了网民的喜爱。目前中国网民已经达到7.10亿，其中90％以上均使用即时通信工具。即时通信工具给人们的生活带来了很大便利，但同时它也是一把双刃剑，它的开放性特点使其极易成为犯罪活动滋生的温床，通过即时通信工具造谣、入侵、攻击和诈骗等网络犯罪行为日益猖獗，网络已成为一种新型的犯罪工具和犯罪场所，即时通信网络诈骗便是其中的典型，近年来，即时通信网络诈骗案件和诈骗金额均呈逐年上升趋势，给国家和个人都造成了不可估量的损失。

即时通信网络诈骗是诈骗分子在互联网上利用即时通讯工具，冒充受害人的关系人，以虚构的急事借款、交纳学费、财务往来等借口，通过远程、非接触式方式，诈骗公私财物的行为。

为了降低即时通信网络诈骗案件案发率，打击即时通信网络诈骗分子，降低人民财产损失，在网络诈骗行为开始时，及时识别并预警网络诈骗行为显得意义重大。

技术实现要素：

本发明实施例提供了一种识别网络诈骗行为的方法及系统，以实现准确、快速地识别网络诈骗行为。

第一方面，本发明实施例提供了一种识别网络诈骗行为的方法，该方法包括：

通过数据接入层获取目标对象的网上行为信息；

通过数据预处理层识别所述网上行为信息中与诈骗相关的诈骗行为轨迹；

通过诈骗防范资源层对所述诈骗行为轨迹进行积分，得到诈骗行为积分值；

通过业务应用层判断所述积分值是否超过设定阈值，若是，则确定所述目标对象有网络诈骗行为。

进一步地，所述通过诈骗防范资源层对所述诈骗行为轨迹进行积分之前，还包括：

通过诈骗防范资源层基于预设的诈骗行为特征信息对应的权重为所述诈骗行为轨迹分配相应的权重和基本分值。

进一步地，所述通过诈骗防范资源层对所述诈骗行为轨迹进行积分之前，还包括：

通过业务应用层调用诈骗防范资源层中的关联算法对所述诈骗行为轨迹进行关联性分析，得到具有关联性的诈骗行为轨迹的集合。

进一步地，所述通过诈骗防范资源层对所述诈骗行为轨迹进行积分，得到诈骗行为积分值，具体为：

其中，K表示诈骗行为积分值，n、s、m_t是大于1的正整数，i表示诈骗行为轨迹的序号，n表示诈骗行为轨迹的总数量，S_i表示第i个诈骗行为轨迹对应的基本分值，σ_i表示第i个诈骗行为轨迹对应的权重；表示第t个所述集合中第j_t个诈骗行为轨迹对应的基本分值；表示第t个所述集合中第j_t个诈骗行为轨迹对应的权重；t表示所述集合的序号，s表示所述集合的总数量，j_t表示第t个所述集合中诈骗行为轨迹的序号，m_t表示第t个所述集合中诈骗行为轨迹的总数量。

进一步地，所述通过数据预处理层识别所述网上行为信息中与诈骗相关的诈骗行为轨迹，包括：

通过数据预处理层调用诈骗防范资源层中的基础资源库和灰名单库得到预设的诈骗行为特征信息；

通过数据预处理层将所述预设的诈骗行为特征信息与所述网上行为信息进行匹配；

通过数据预处理层将匹配相似度达到设定值的网上行为信息确定为与诈骗相关的诈骗行为轨迹。

进一步地，所述通过数据接入层获取目标对象的网上行为信息之后，还包括：

通过数据预处理层对所述网上行为信息的数据进行预处理，以方便识别所述网上行为信息中与诈骗相关的诈骗行为轨迹；

通过服务支撑层给业务应用层提供服务接口，以实现业务应用层与诈骗防范资源层之间的通信。

第二方面，本发明实施例还提供了一种识别网络诈骗行为的系统，该系统包括：

数据获取模块，配置在数据接入层，用于获取目标对象的网上行为信息；

轨迹识别模块，配置在数据预处理层，用于识别所述网上行为信息中与诈骗相关的诈骗行为轨迹；

积分计算模块，配置在诈骗防范资源层，用于对所述诈骗行为轨迹进行积分，得到诈骗行为积分值；

诈骗行为识别模块，配置在业务应用层，用于判断所述积分值是否超过设定阈值，若是，则确定所述目标对象有网络诈骗行为。

进一步地，所述系统还包括：

预处理模块，配置在预处理层，用于在通过数据接入层获取目标对象的网上行为信息之后，对所述网上行为信息的数据进行预处理，以方便业务应用层识别所述网上行为信息中与诈骗相关的诈骗行为轨迹；

服务接口提供模块，配置在服务支撑层，用于给业务应用层提供服务接口，以实现业务应用层与诈骗防范资源层之间的通信；

诈骗防范资源层，用于预存轨迹识别所需算法库、基础资源库和灰名单库。

进一步地，所述系统还包括：

分配模块，配置在诈骗防范资源层，用于基于预设的诈骗行为特征信息对应的权重为所述诈骗行为轨迹分配相应的权重和基本分值；

关联模块，配置在业务应用层，用于调用诈骗防范资源层中的关联算法对所述诈骗行为轨迹进行关联性分析，得到具有关联性的诈骗行为轨迹的集合；

对应地，所述积分计算模块具体通过如下公式进行积分计算：

其中，K表示诈骗行为积分值，n、s、m_t是大于1的正整数，i表示诈骗行为轨迹的序号，n表示诈骗行为轨迹的总数量，S_i表示第i个诈骗行为轨迹对应的基本分值，σ_i表示第i个诈骗行为轨迹对应的权重；表示第t个所述集合中第j_t个诈骗行为轨迹对应的基本分值；表示第t个所述集合中第j_t个诈骗行为轨迹对应的权重；t表示所述集合的序号，s表示所述集合的总数量，j_t表示第t个所述集合中诈骗行为轨迹的序号，m_t表示第t个所述集合中诈骗行为轨迹的总数量。

进一步地，所述轨迹识别模块包括：

调用单元，用于调用诈骗防范资源层中的基础资源库和灰名单库得到预设的诈骗行为特征信息；

匹配单元，用于将所述预设的诈骗行为特征信息与所述网上行为信息进行匹配；

确定单元，用于将匹配相似度达到设定值的网上行为信息确定为与诈骗相关的诈骗行为轨迹。

本发明实施例提供的一种识别网络诈骗行为的方法，通过数据接入层获取目标对象的网上行为信息，并通过数据预处理层识别所述网上行为信息中与诈骗相关的诈骗行为轨迹，然后通过诈骗防范资源层对所述诈骗行为轨迹进行积分，得到诈骗行为积分值，最后通过业务应用层判断所述积分值是否超过设定阈值，若是，则确定所述目标对象有网络诈骗行为，实现了准确、快速地识别网络诈骗行为，方便公职部门进行网络诈骗预警与防范。

附图说明

图1是本发明实施例一提供的一种识别网络诈骗行为的方法流程示意图；

图2是本发明实施例一提供的一种识别网络诈骗行为的系统架构图；

图3是本发明实施例二提供的一种识别网络诈骗行为的方法流程示意图；

图4是本发明实施例二提供的一种预设的QQ诈骗流程示意图；

图5是本发明实施例三提供的一种识别网络诈骗行为的系统结构示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。

在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项步骤描述成顺序的处理，但是其中的许多步骤可以被并行地、并发地或者同时实施。此外，各项步骤的顺序可以被重新安排。当其步骤完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。

实施例一

图1为本发明实施例一提供的一种识别网络诈骗行为的方法流程图，该方法可适用于公职部门对网络诈骗行为进行侦破与防范的情况，可以由识别网络诈骗行为的系统来执行，该系统可通过硬件和/或软件的方式实现，该系统架构如图2所示，该系统包括5层结构，具体为：数据接入层210，用于对所有通过电信网络交互的数据信息进行采集，主要包含骨干网数据、城域网数据、移动无线网数据、网络爬取数据、第三方系统对接数据等；数据预处理层220，用于对数据接入层210接入的数据进行清洗、提取、关联、比对、标识等预处理操作，其中数据清洗是对数据接入层210接入的原始数据进行垃圾过滤、数据去重、格式清洗，标记为垃圾的数据按照业务的要求进行丢去或者标记；数据提取是指从经过清洗的数据中提取与诈骗相关的数据，如从非结构化数据中提取诈骗关键词、诈骗网站以及含木马病毒的网站域名等；数据关联是指将提取到的与诈骗相关的数据按照即时通信账号、接入账号以及单位等维度进行关联，方便网上数据信息与网下信息关联和网上信息落地；数据比对是根据预设规则，通过高速实时比对，筛选过滤海量数据，对与诈骗相关的数据进行统计分析；数据标识是根据样例和用户规则，确定数据区域、数据民族语言以及数据敏感级别等标识；诈骗防范资源层230，主要有基础资源库、诈骗灰名单库和诈骗防范模型算法库；其中基础资源库是将经过处理的即时通信数据按照账号库、关系库、行为库、内容库进行分类保存；其中账号库存储所有即时通信账号信息；关系库存储即时通信账号间的关系信息；行为库存储即时通信账号登陆、下线、发送文件、添加好友、删除好友以及修改账号备注等行为；内容库存储即时通信账号的基本信息(如备注名、头像等)和能够获取到的聊天内容等；诈骗灰名单库存储涉嫌或已经确认为诈骗的关键信息；诈骗灰名单库可以包括：1)诈骗关键词库：主要内容为嫌疑人在网上通过搜索引擎查找过的关键词和在邮件发送中对病毒、银行卡等词语的称谓，比如：买卖木马病毒、木马制作、木马生成器、黑客网、黑客论坛、黑白网络、病毒、信息买卖、银行卡、手机卡买卖、个人信息买卖、QQ盗号软件、QQ远程控制、QQ聊天记录获取以及QQ密码获取等；2)木马病毒库：主要内容为目前用于电信网络诈骗的木马信息，如木马名称、主要功能、传播途径等，可以通过文件名称、特征值、文件校验值、行为特征、文件类型等大数据比对技术在系统中发现含有木马病毒库中木马的文件，常见的木马病毒如：GOP(Get Oicp Password，窃取Oicp密码)可窃取QQ密码，木马冰河可远程访问和控制，偷窥者可控制和监听等；3)银行账号库，主要内容为重点银行账户信息，主要包括已经确认涉嫌电信网络诈骗的银行账户信息；银行账户关联信息，主要包含与重点银行账户有资金交易的银行账户信息、与重点银行卡账户是同一认证身份的银行账户信息；4)QQ账号库，主要内容为涉嫌电信网络诈骗的QQ账号信息和关联信息，主要包含与重点QQ账号有聊天记录的QQ账号信息、加入的QQ群信息、与重点QQ账号是同时同地申请的QQ账号；5)IMEI(International Mobile Equipment Identity，移动设备国际识别码)库，主要内容为已经确认涉嫌电信网络诈骗的IMEI；6)ADSL(Asymmetric Digital Subscriber Line，非对称数字用户线路)/IP库，主要内容为已经确认涉嫌电信网络诈骗的ADSL或IP地址信息；7)涉骗人员常用通讯工具库，主要内容为已经确认涉嫌电信网络诈骗的通讯工具，如Skype、QQ、微信、各应用协议、QQ盗号软件等；诈骗防范模型算法库存储的是具体的网络诈骗预警积分算法，例如所述算法具体可以是积分算法和关联算法等，当然还可以包括其他的相关算法；服务支撑层240，用于实现业务与数据的解耦，保证业务的一致性、敏捷性和底层架构的灵活性；服务支撑层封装各种数据和基础功能服务，为上层业务应用层250提供统一的服务接口，以使业务应用层250实现与其他各层之间的通信；业务应用层250，用于识别网络诈骗行为和管理诈骗灰名单库；其中，识别网络诈骗行为是对数据接入层210接入的网络数据通过对涉嫌诈骗内容的统计分析，实现识别网络诈骗行为；管理诈骗灰名单库的主要任务是及时更新灰名单库数据，包括数据导入、灰名单库编辑和灰名单库信息统计。

所述识别网络诈骗行为的方法具体包括如下步骤：

步骤110、通过数据接入层获取目标对象的网上行为信息。

其中，所述目标对象具体可以是一个虚拟身份，例如IP地址、硬件特征码等；所述网上行为信息具体可以是搜索关键词信息、浏览的网站信息、访问的论坛信息、即时通信工具的使用信息以及银行账户交易信息等。

步骤120、通过数据预处理层识别所述网上行为信息中与诈骗相关的诈骗行为轨迹。

具体的，通过数据预处理层识别所述网上行为信息中与诈骗相关的诈骗行为轨迹的方式可以是：通过将预设的与诈骗相关的诈骗行为轨迹样本数据A与所述网上行为信息中的数据进行比对，当相似度达到某一设定值时，即判定所述网上行为信息中存在诈骗行为轨迹A。

步骤130、通过诈骗防范资源层对所述诈骗行为轨迹进行积分，得到诈骗行为积分值。

进一步地，所述通过诈骗防范资源层对所述诈骗行为轨迹进行积分之前，还包括：

通过诈骗防范资源层基于预设的诈骗行为特征信息对应的权重为所述诈骗行为轨迹分配相应的权重和基本分值；具体的，所述预设的诈骗行为特征信息为已经确认为涉嫌网络诈骗的行为特征，所述对应的权重表示具有该特征的诈骗行为在整个诈骗活动中的重要程度；同一个诈骗行为特征对应多个诈骗行为轨迹；具体的可以参见表1所示的已经确认的诈骗行为特征信息与对应的诈骗行为轨迹的统计表；例如，诈骗行为特征信息为“诈骗准备阶段”对应的权重值可以根据经验统计分析设置为0.1，此时，“诈骗准备阶段”对应的各诈骗行为轨迹(例如“多次搜索买卖木马”的行为轨迹)对应的权重也相应设置为0.1；所述基本分值统一均设置为1，表示该行为轨迹是诈骗行为轨迹。

表1：诈骗行为特征信息与对应的诈骗行为轨迹的统计表

进一步地，所述通过诈骗防范资源层对所述诈骗行为轨迹进行积分之前，还包括：

通过业务应用层调用诈骗防范资源层中的关联算法对所述诈骗行为轨迹进行关联性分析，得到具有关联性的诈骗行为轨迹的集合；所述关联性分析的目的是找到同时出现的多个诈骗行为轨迹组成的集合，且这几个诈骗行为轨迹同时出现时，表征涉嫌诈骗的可能性更大，例如，某虚拟身份异地登陆QQ，且聊天时只发送链接或文件，并且给好友发送汇款信息，当这三个行为轨迹同时出现时，则认为该虚拟身份涉嫌诈骗的可能性更大，可以给这三个行为轨迹设置一个相对更大的权重。本申请不对所述关联分析采用的关联算法进行限定，只有能够实现本申请关联目的的算法均可以，例如优选可以利用经典的Apriori关联算法。

示例性地，所述通过诈骗防范资源层对所述诈骗行为轨迹进行积分，得到诈骗行为积分值，具体为：

其中，K表示诈骗行为积分值，n、s、m_t是大于1的正整数，i表示诈骗行为轨迹的序号，n表示诈骗行为轨迹的总数量，S_i表示第i个诈骗行为轨迹对应的基本分值，σ_i表示第i个诈骗行为轨迹对应的权重；表示第t个所述集合中第j_t个诈骗行为轨迹对应的基本分值；表示第t个所述集合中第j_t个诈骗行为轨迹对应的权重；t表示所述集合的序号，s表示所述集合的总数量，j_t表示第t个所述集合中诈骗行为轨迹的序号，m_t表示第t个所述集合中诈骗行为轨迹的总数量。

步骤140、通过业务应用层判断所述积分值是否超过设定阈值，若是，则确定所述目标对象有网络诈骗行为。

本实施例提供的一种识别网络诈骗行为的方法，通过数据接入层获取目标对象的网上行为信息，并通过数据预处理层识别所述网上行为信息中与诈骗相关的诈骗行为轨迹，然后通过诈骗防范资源层对所述诈骗行为轨迹进行积分，得到诈骗行为积分值，最后通过业务应用层判断所述积分值是否超过设定阈值，若是，则确定所述目标对象有网络诈骗行为，实现了准确、快速地识别网络诈骗行为，方便公职部门进行网络诈骗预警与防范。

实施例二

图3为本发明实施例二提供的一种识别网络诈骗行为的方法流程示意图，在实施例一的基础上，本实施例进行了进一步优化，优化的好处是可以实现准确识别所述网上行为信息中与诈骗相关的诈骗行为轨迹。具体参见图3所示，该方法具体包括如下：

步骤310、通过数据接入层获取目标对象的网上行为信息。

进一步地，为了提高识别诈骗行为轨迹的准确率，所述通过数据接入层获取目标对象的网上行为信息之后，还可以包括：

通过数据预处理层对所述网上行为信息的数据进行预处理，以方便识别所述网上行为信息中与诈骗相关的诈骗行为轨迹；例如，数据预处理层将所述网上行为信息的数据按照一定的数据格式进行转换，转换成与预设的诈骗行为特征信息的数据格式相同的格式，提高了将预设的诈骗行为特征信息与所述网上行为信息进行匹配的匹配度，进而提高了对诈骗行为轨迹的识别率。

进一步地，所述通过数据接入层获取目标对象的网上行为信息之后，还可以包括：通过服务支撑层给业务应用层提供服务接口，以实现业务应用层与诈骗防范资源层之间的通信；由于诈骗防范资源层存储有大量的与诈骗相关的基础资源库、诈骗灰名单库和诈骗防范模型算法库等，当通过数据预处理层识别所述网上行为信息中与诈骗相关的诈骗行为轨迹时，可以通过直接调用诈骗防范资源层中存储的与诈骗相关的数据资源与所述网上行为信息进行比对，进而得出所述网上行为信息中与诈骗相关的诈骗行为数据。

步骤320、通过数据预处理层调用诈骗防范资源层中的基础资源库和灰名单库得到预设的诈骗行为特征信息。

具体的，所述预设的诈骗行为特征信息可以参考实施例一中表1所示的诈骗行为特征信息，每一个诈骗行为特征信息对应多个诈骗行为轨迹关键词，还可以通过关键词识别的方式识别诈骗行为轨迹。

步骤330、通过数据预处理层将所述预设的诈骗行为特征信息与所述网上行为信息进行匹配。

步骤340、通过数据预处理层将匹配相似度达到设定值的网上行为信息确定为与诈骗相关的诈骗行为轨迹。

步骤350、通过诈骗防范资源层对所述诈骗行为轨迹进行积分，得到诈骗行为积分值。

步骤360、通过业务应用层判断所述积分值是否超过设定阈值，若是，则确定所述目标对象有网络诈骗行为。

本实施例提供的一种识别网络诈骗行为的方法，在实施例一技术方案的基础上，对所述“通过数据预处理层识别所述网上行为信息中与诈骗相关的诈骗行为轨迹”进行了优化，通过数据预处理层调用诈骗防范资源层中的基础资源库和灰名单库得到预设的诈骗行为特征信息，然后将所述预设的诈骗行为特征信息与所述网上行为信息进行匹配，最后将匹配相似度达到设定值的网上行为信息确定为与诈骗相关的诈骗行为轨迹，实现了准确识别所述网上行为信息中与诈骗相关的诈骗行为轨迹，进而实现了准确、快速地识别网络诈骗行为，方便公职部门进行网络诈骗预警与防范。

具体的，图4示出了预设的QQ诈骗流程，对目标对象的QQ诈骗行为进行识别时，可以以图4的流程为样本，对目标对象的网上行为信息进行识别；其中，购买木马401具体指网上购买木马，QQ诈骗分子一般不自己制作木马，而是在网上或者二手加工商处购买木马；选择目标402的具体含义不同以往的广撒网随意选择诈骗对象进行诈骗；诈骗分子选择的目标群体由最早的境外留学人员家属逐渐转为平时就有大量资金来往的公司财务人员；植入木马403：诈骗分子在对诈骗对象植入木马后，可以获取受害人的QQ号码和密码，从而获取相关信息；获取受害人信息404：诈骗分子利用盗取的QQ号和密码查看受害人的聊天记录，研究并模仿财务人员与公司管理者等人聊天的方式语气等；复制冒充对象405：诈骗分子确定冒充该企业法人，利用财务人员QQ号查看老板的QQ空间，将其头像QQ签名等复制下来，制作一个足以以假乱真的盗版QQ号；以假替真406：诈骗分子利用财务人员的QQ号将老板的真实QQ号删除，再将自己复制的造假QQ号加为好友，以冒充老板身份；骗取钱财407：诈骗分子以老板的身份让受害人分批次将钱财转入自己的指定账户，一般先转入小笔钱财，之后询问可支配的资金，再转入可支配资金的一半；准备诈骗视频408：在获得受害人QQ号后，利用其他身份与受害人进行视频聊天以获得受害人的视频影像留存备用；获取受害人信息409：在获得受害人QQ号后，利用其聊天记录、通讯录联系人等全面了解受害人信息以及相关资料；盗取QQ410：诈骗分子利用之前植入受害人手机的木马病毒，将受害人的QQ密码进行更改，成功盗取受害人QQ号；骗取信任411：利用之前录制好的受害人影像或者受害人的相关信息与其好友或老板等进行聊天，骗取其关系人的信任；直接或间接骗取钱财412：诈骗分子以各种借口，如急需用钱、公司转账等进行直接诈骗，或利用信任关系传送木马盗取关系人的个人信息，如银行卡账户密码等进行间接诈骗；雇人分批取款413：雇佣专门的取款人员，分次在ATM机上取现，每次取款后，给取款人100-500元不等的报酬；多次银行卡转账414：利用网上银行多次将钱转到多个银行卡，然后在ATM机上取现，这些转账用的银行卡是诈骗分子专门从网上买的，通过这些银行卡信息根本不能确定诈骗分子的身份；境外赌场洗钱415：通过网上银行，将钱转到国外银行账户上，然后通过国外赌博场所，将钱转回国内银行卡，最后取现；网上购物变现416：通过网上银行，在购物网站购买话费、日用品、热点旅游景点门票、游戏充值卡等，然后诈骗分子可以通过低价将购买的物品挂到网上低价出售，实现销赃变现的目的；移动POS机刷卡417：诈骗分子利用虚假信息注册空壳公司，并大量租用金融部门的移动POS机，最后使用刷卡套现的方式提取赃款。

实施例三

图5为本发明实施例三提供的一种识别网络诈骗行为的系统结构示意图，该系统包括：

数据获取模块510、轨迹识别模块520、积分计算模块530和诈骗行为识别模块540；其中，数据获取模块510，配置在数据接入层，用于获取目标对象的网上行为信息；轨迹识别模块520，配置在数据预处理层，用于识别所述网上行为信息中与诈骗相关的诈骗行为轨迹；积分计算模块530，配置在诈骗防范业务层，用于对所述诈骗行为轨迹进行积分，得到诈骗行为积分值；诈骗行为识别模块540，配置在所述业务应用层，用于判断所述积分值是否超过设定阈值，若是，则确定所述目标对象有网络诈骗行为。

进一步地，所述系统还包括：

预处理模块，配置在预处理层，用于在通过数据接入层获取目标对象的网上行为信息之后，对所述网上行为信息的数据进行预处理，以方便识别所述网上行为信息中与诈骗相关的诈骗行为轨迹；

服务接口提供模块，配置在服务支撑层，用于给业务应用层提供服务接口，以实现业务应用层与诈骗防范资源层之间的通信；

诈骗防范资源层，用于预存轨迹识别所需算法库、基础资源库和灰名单库。

进一步地，所述系统还包括：

分配模块，配置在诈骗防范资源层，用于基于预设的诈骗行为特征信息对应的权重为所述诈骗行为轨迹分配相应的权重和基本分值；

关联模块，配置在业务应用层，用于调用诈骗防范资源层中的关联算法对所述诈骗行为轨迹进行关联性分析，得到具有关联性的诈骗行为轨迹的集合；

对应地，所述积分计算模块具体通过如下公式进行积分计算：

其中，K表示诈骗行为积分值，n、s、m_t是大于1的正整数，i表示诈骗行为轨迹的序号，n表示诈骗行为轨迹的总数量，S_i表示第i个诈骗行为轨迹对应的基本分值，σ_i表示第i个诈骗行为轨迹对应的权重；表示第t个所述集合中第j_t个诈骗行为轨迹对应的基本分值；表示第t个所述集合中第j_t个诈骗行为轨迹对应的权重；t表示所述集合的序号，s表示所述集合的总数量，j_t表示第t个所述集合中诈骗行为轨迹的序号，m_t表示第t个所述集合中诈骗行为轨迹的总数量。

进一步地，轨迹识别模块520包括：

调用单元，用于调用诈骗防范资源层中的基础资源库和灰名单库得到预设的诈骗行为特征信息；

匹配单元，用于将所述预设的诈骗行为特征信息与所述网上行为信息进行匹配；

确定单元，用于将匹配相似度达到设定值的网上行为信息确定为与诈骗相关的诈骗行为轨迹。

本实施例提供的一种识别网络诈骗行为的系统，通过数据接入层获取目标对象的网上行为信息，并通过数据预处理层识别所述网上行为信息中与诈骗相关的诈骗行为轨迹，然后通过诈骗防范资源层对所述诈骗行为轨迹进行积分，得到诈骗行为积分值，最后通过业务应用层判断所述积分值是否超过设定阈值，若是，则确定所述目标对象有网络诈骗行为，实现了准确、快速地识别网络诈骗行为，方便公职部门进行网络诈骗预警与防范；利用本发明的技术方案可有效整合公安各地方部门现有的即时通信网络诈骗案件的部分数据和各种反电信网络诈骗(网络诈骗、电信诈骗)的公益组织或联盟的部分数据资源，实现跨网络、跨地区的快速协同；同时利用本发明的技术方案可开展即时通信网络诈骗防范相关业务应用，提高公安部门管控能力，实现提前预测，降低电信网络诈骗犯罪率，提升诈骗案件侦破速度的目的。

上述产品可执行本发明任意实施例所提供的方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本发明任意实施例所提供的方法。

本领域技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。