本发明涉及计算机,尤其涉及一种新型goip设备的诈骗识别方法及装置。
背景技术:
1、随着网络技术的发展,电信诈骗的方式也在不断更新,犯罪分子通过建立goip诈骗窝点,在goip诈骗窝点中利用goip设备进行电信诈骗,goip设备是一种虚拟拨号设备,能将传统电话信号转换为网络信号,一台goip设备支持多张手机sim卡同时运作,支持远程控制异地的sim卡和goip设备拨打电话、收发短信,从而实现人与sim卡的分离,达到隐藏身份,逃避打击的目的,而新型goip设备是通过音频线将两部手机连接,一台手机装有远程呼叫app,另一台手机装有微信和qq,与传统goip一样进行远程作案,但与传统goip相比,新型goip设备更加简单便捷,是犯罪分子的新宠,如何对新型goip设备进行诈骗识别是目前的重中之重。
2、申请号:202211400110.8,专利名称:基于远程控制应用和通话模式对于诈骗模式识别的方法,公开了根据远程呼叫的特点对其行为进行总结、分析构建合理的诈骗识别模型,从而检测出新型goip设备的诈骗分子,具体地,通过获取使用远程控制危险app个数大于等于两个的号码数据的终端,找出所获取的所有终端的使用过的号码,并获取使用远程控制危险app的号码所使用过的终端并,找出所获取的所有终端的使用过的号码,将其与上一步找出的号码进行合并,对合并后的号码的通话数据进行分析,从而检测出新型goip设备的诈骗分子,但该方法仅针对远程控制应用的检测,未能全面反映使用新型goip设备进行诈骗的用户特征,因此所检测出的新型goip设备的诈骗分子缺乏精准性。
技术实现思路
1、本发明所要解决的技术问题是:本发明提供一种新型goip设备的诈骗识别方法及装置,提高对新型goip设备的诈骗识别的精准性。
2、为了解决上述技术问题,本发明采用的技术方案为:
3、第一方面,本发明提供一种新型goip设备的诈骗识别方法,包括:
4、获取新型goip设备的涉诈用户的历史诈骗行为数据,其中所述历史诈骗行为数据包括历史上网行为数据和历史通话行为数据;
5、分别对所述历史上网行为数据和所述历史通话行为数据进行特征提取,得到诈骗上网特征和诈骗通话特征;
6、通过新型goip设备和模拟仿真技术构建模型诈骗模型,将所述诈骗上网特征和所述诈骗通话特征输入所述模拟诈骗模型,使得所述模拟诈骗模型对所述涉诈用户的历史诈骗过程的操作流程和交互内容进行还原,得到所述历史诈骗过程的模拟诈骗数据;
7、从全量号码数据库中获取每一个号码的行为数据,计算所述行为数据与所述模拟诈骗数据的相似度,将所述相似度超过相似度阈值的号码作为新型诈骗号码。
8、本发明的有益效果在于,将新型goip设备的涉诈用户的历史上网行为数据和历史通话行为数据均考虑在内,并分别对其进行特征提取,得到诈骗上网特征和诈骗通话特征以此通过模拟诈骗模型对涉诈用户的历史诈骗过程的操作流程和交互内容进行还原,从传统对用户的行为数据的监控转换为模拟实际行为操作,进行反向推导,从而获得历史诈骗过程中所产生的所有模拟诈骗数据,保证模拟诈骗数据的完整性与全面性,通过计算该模拟诈骗数据与全量号码数据库中每一个号码的行为数据的相似度,提高相似度计算的准确性,从而提高所识别出的新型诈骗号码的精准性。
9、可选地,所述分别对所述历史上网行为数据和所述历史通话行为数据进行特征提取,得到诈骗上网特征和诈骗通话特征包括:
10、根据所述历史上网行为数据分别统计在第一预设时间内访问不同app的第一次数和登录不同网址的第二次数,当所述第一次数达到第一次数阈值时,生成高频访问app的诈骗上网特征,并将达到第一次数阈值的第一次数对应的app作为高危涉诈app;
11、当所述第二次数达到第二次数阈值时,生成高频登录网址的诈骗上网特征,并将达到第二次数阈值的第二次数对应的网址作为高危涉诈网址;
12、根据所述历史上网行为数据判断是否存在相同的imei码在第二预设时间内切换多个账号登录同一个app,若存在,则生成异常登录行为的的诈骗上网特征;
13、从所述历史通话数据中获取历史通话状态,当所述历史通话状态处于主叫状态时,计算被叫号码为陌生号码的陌生比例,当所述陌生比例超过比例阈值时,生成高比例外呼陌生号码的诈骗通话特征;
14、计算所述历史通话数据在第三预设时间内的通话次数,若所述通话次数超过第三次数阈值,则生成高频通话的诈骗通话特征;
15、计算所述历史通话数据在第四预设时间内的通话时长,若所述通话时长超过时长阈值,则生成长持续通话的诈骗通话特征。
16、根据上述描述可知,诈骗上网特征包括高频访问app、高频登录网址以及异常登录行为,诈骗通话特征包括高比例外呼陌生号码、高频通话以及长持续通话,提高诈骗上网特征与诈骗通话特征的多样性与全面性。
17、可选地,还包括:
18、基于所述高危涉诈app和高危涉诈网址分别建立高危涉诈app库和高危涉诈网址库,并按照更新周期对所述高危涉诈app库和高危涉诈网址库进行更新。
19、根据上述描述可知,在得到诈骗上网特征的过程中会基于高危涉诈app和高危涉诈网址生成高危涉诈app库和高危涉诈网址库,便于了解新型goip设备的诈骗用户的诈骗手段,并对高危涉诈app与高危涉诈网址库进行更新,保证其实效性与全面性。
20、可选地,所述模拟诈骗数据包括通话数据、上网数据、短信发送数据,所述得到所述历史诈骗过程的模拟诈骗数据包括:
21、所述上网数据包括流量数据,通过dpi解析技术对所述流量数据进行解析,得到解析后的流量数据;
22、将解析后的流量数据输入基于stl分层技术构建的url识别引擎进行url识别,得到所述历史诈骗过程的url地址数据。
23、根据上述描述可知,模拟诈骗数据包括通话数据、上网数据和短信发送数据,即模拟诈骗数据具有多样性,且通过对流量数据进行解析与url识别,得到历史诈骗过程的url地址数据,对历史诈骗过程进行反向追溯,从而实现精准抓包监测。
24、可选地,所述得到所述历史诈骗过程的模拟诈骗数据包括:
25、获取历史正常号码的历史正常行为数据和所述历史诈骗行为数据;
26、基于所述历史正常行为数据和所述历史诈骗行为数据通过随机森林算法构建和训练诈骗识别模型,得到达到预期效果的诈骗识别模型;
27、将所述模拟诈骗数据输入所述诈骗识别模型进行诈骗识别,判断所述模拟诈骗数据是否符合诈骗特征,若不符合,则将所述模拟诈骗数据与真实诈骗数据进行比较,得到比较结果,根据所述比较结果对所述模拟诈骗模型进行优化,得到优化后的模拟诈骗模型,通过优化后的模拟诈骗模型重新对所述涉诈用户的历史诈骗过程的操作流程和交互内容进行还原。
28、根据上述描述可知,根据历史正常行为数据与历史诈骗行为数据建立诈骗识别模型,使得所得到的诈骗识别模型具有诈骗识别的能力,从而对模拟诈骗数据进行是否符合诈骗特征的判断,即验证模拟诈骗数据的真实性,若不符合诈骗特征,则会将其与真实诈骗数据进行比较从而反向调整优化模拟诈骗模型重新对涉诈用户的历史诈骗过程的操作流程和交互内容进行还原,提高模拟诈骗模型的准确性即保证所得到的模拟诈骗数据的准确性。
29、可选地,所述基于所述历史正常行为数据和所述历史诈骗行为数据通过随机森林算法构建和训练诈骗识别模型,得到达到预期效果的诈骗识别模型包括:
30、按照预设比例将所述历史正常行为数据和所述历史诈骗行为数据随机划分为训练集和测试集;
31、将所述训练集输入通过随机森林算法构建的诈骗识别模型进行训练,得到训练后的诈骗识别模型;
32、将所述测试集输入训练后的诈骗识别模型进行测试,得到测试结果,根据精确度指标、召回率指标和f-measure指标对所述测试结果进行评估,当所述精确度指标、召回率指标和f-measure指标均达到对应阈值时,则得到所述测试结果达到预期效果的诈骗识别模型。
33、根据上述描述可知,通过精确度指标、召回率指标以及f-measure指标对诈骗识别模型是否达到预期效果进行评估,以此保证所得到的诈骗识别模型的精准性。
34、可选地,所述计算所述行为数据与所述模拟诈骗数据的相似度包括:
35、通过k近邻算法计算所述行为数据与所述模拟诈骗数据的相似度。
36、可选地,还包括:
37、获取所述新型诈骗号码的基站信令数据,通过密度聚类算法对所述基站信令数据的基站进行聚类,得到聚类结果,将所述聚类结果作为新型诈骗窝点。
38、根据上述描述可知,还包括对新型诈骗窝点的识别,以新型诈骗号码的基站的聚类结果作为新型诈骗窝点,便于对新型goip设备的诈骗分子进行打击。
39、可选地,还包括:
40、通过数据分析技术对所述模拟诈骗数据进行分析,得到包含诈骗类型、诈骗特征和诈骗趋势的分析报告。
41、根据上述描述可知,生成包含诈骗类型、诈骗特征以及诈骗趋势的分析报告,便于后续采取相应措施预防和打击违法犯罪。
42、第二方面,本发明提供一种新型goip设备的诈骗识别装置,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现第一方面所述的一种新型goip设备的诈骗识别方法。
43、其中,第二方面所提供的一种新型goip设备的诈骗识别装置所对应的技术效果参照第一方面所提供的一种新型goip设备的诈骗识别方法的相关描述。