本发明涉及一种通信技术领域,特别是涉及一种伪基站短信的识别和分析方法、装置及系统。
背景技术:
伪基站即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,利用2g移动通信的缺陷,通过伪装成运营商的基站,其冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信。例如,在银行、商场等人流密集的地方,以各种汇款名义向一定范围内的手机发送诈骗短信息;或者筛选出“尾数较好”的手机号,以这个号码的名义发送短信,在其亲朋好友、同事等熟人中实施定向诈骗。
目前,可以通过云端服务器在线判别用户接收到的短信是否为伪基站短信,具体的,客户端在监听到用户终端接收到短信后,将该短信内容上传给云端服务器,由云端服务器识别该短信内容中是否包含虚假网址等虚假内容,进而实现伪基站短信的识别。
然而,伪基站在发送垃圾短信时已将用户手机强制脱网,用户手机信号被强制连接到伪基站的相关设备上,无法连接到公用电信网络,因此采用上述在云端服务器侧在线进行伪基站短信识别的方式,无法及时判别短信的发送方是否为伪基站,进而会导致对于伪基站发送的短信,现有用户手机无法及时进行拦截。
技术实现要素:
有鉴于此,本发明提供了一种伪基站短信的识别和分析方法、装置及系统,主要目的在于可以解决目前通过云端服务器侧在线进行伪基站短信识别的方式,会造成无法及时判别短信的发送方是否为伪基站,进而会导致对于伪基站发送的短信,现有用户手机无法及时进行拦截的问题。
依据本发明一个方面,提供了一种伪基站短信的识别方法,应用于客户端,该方法包括:
当监听到终端设备接收到短信时,获取所述短信的短信特征信息;
根据所述短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别,所述预设伪基站短信识别规则库中保存有伪基站短信的短信特征信息;
根据识别结果确定所述短信是否为伪基站短信。
依据本发明另一个方面,提供了一种伪基站短信的分析方法,应用于云端服务器,该方法包括:
收集不同客户端发送的伪基站短信的短信特征信息;
根据所述短信特征信息,确定伪基站对应的基站位置信息;
根据所述基站位置信息,确定伪基站的分布情况以及历史轨迹。
依据本发明又一个方面,提供了一种客户端,该客户端包括:
获取单元,用于当监听到终端设备接收到短信时,获取所述短信的短信特征信息;
识别单元,用于根据所述获取单元获取的短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别,所述预设伪基站短信识别规则库中保存有伪基站短信的短信特征信息;
确定单元,用于根据识别结果确定所述短信是否为伪基站短信。
依据本发明再一个方面,提供了一种云端服务器,该云端服务器包括:
收集单元,用于收集不同客户端发送的伪基站短信的短信特征信息;
确定单元,用于根据所述收集单元收集到的短信特征信息,确定伪基站对应的基站位置信息;
所述确定单元,还用于根据所述基站位置信息,确定伪基站的分布情况以及历史轨迹。
依据本发明再一个方面,提供了一种伪基站短信的分析系统,该系统包括:客户端和云端服务器;
所述客户端,用于当监听到终端设备接收到短信时,获取所述短信的短信特征信息;然后根据所述短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别,所述预设伪基站短信识别规则库中保存有伪基站短信的短信特征信息;在根据识别结果确定所述短信为伪基站短信之后,当网络恢复正常时,将所述伪基站短信的短信特征信息发送给所述云端服务器;
所述服务器,用于收集不同客户端发送的伪基站短信的短信特征信息;然后根据所述短信特征信息,确定伪基站对应的基站位置信息;最后根据所述基站位置信息,确定伪基站的分布情况以及历史轨迹。
依据本发明再一个方面,提供了一种存储设备,其上存储有计算机程序,该程序被处理器执行时实现以下步骤:
当监听到终端设备接收到短信时,获取所述短信的短信特征信息;
根据所述短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别,所述预设伪基站短信识别规则库中保存有伪基站短信的短信特征信息;
根据识别结果确定所述短信是否为伪基站短信。
依据本发明再一个方面,提供了一种终端设备,包括存储设备、处理器及存储在存储设备上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以下步骤:
当监听到终端设备接收到短信时,获取所述短信的短信特征信息;
根据所述短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别,所述预设伪基站短信识别规则库中保存有伪基站短信的短信特征信息;
根据识别结果确定所述短信是否为伪基站短信。
依据本发明再一个方面,提供了另一种存储设备,其上存储有计算机程序,该程序被处理器执行时实现以下步骤:
收集不同客户端发送的伪基站短信的短信特征信息;
根据所述短信特征信息,确定伪基站对应的基站位置信息;
根据所述基站位置信息,确定伪基站的分布情况以及历史轨迹。
依据本发明再一个方面,提供了一种云端服务器,包括存储设备、处理器及存储在存储设备上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以下步骤:
收集不同客户端发送的伪基站短信的短信特征信息;
根据所述短信特征信息,确定伪基站对应的基站位置信息;
根据所述基站位置信息,确定伪基站的分布情况以及历史轨迹。
借由上述技术方案,本发明提供的一种伪基站短信的识别和分析方法、装置及系统,与目前通过云端服务器侧在线进行伪基站短信识别的方式相比,本发明可以预先将用于伪基站短信识别的规则库保存在客户端侧,当客户端监听到终端设备接收到短信时,根据该短信的短信特征信息,利用本地保存的伪基站短信识别规则库快速进行伪基站短信的识别,进而可以在断网情况下进行伪基站短信的及时识别,提高了伪基站短信的识别效率,从而可以有效帮助用户对接收到的伪基站短信进行及时拦截,提升了用户的短信安全性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种伪基站短信的识别方法流程示意图;
图2示出了本发明实施例提供的另一种伪基站短信的识别方法流程示意图;
图3示出了本发明实施例提供的一种短信识别结构实例示意图;
图4示出了本发明实施例提供的一种伪基站短信的分析方法流程示意图;
图5示出了本发明实施例提供的一种伪基站短信的分析实例示意图;
图6示出了本发明实施例提供的一种客户端的结构示意图;
图7示出了本发明实施例提供的另一种客户端的结构示意图;
图8示出了本发明实施例提供的一种终端设备的实体装置结构示意图;
图9示出了本发明实施例提供的一种云端服务器的结构示意图;
图10示出了本发明实施例提供的另一种云端服务器的结构示意图;
图11示出了本发明实施例提供的一种云端服务器的实体装置结构示意图;
图12示出了本发明实施例提供的一种伪基站短信的分析系统的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
如背景技术所述,伪基站在发送垃圾短信时已将用户手机强制脱网,用户手机信号被强制连接到伪基站的相关设备上,无法连接到公用电信网络,例如手机用户一般会暂时脱网8~12秒后恢复正常,部分手机则必须开关机才能重新入网。因此目前通过云端服务器侧在线进行伪基站短信识别的方式,会造成无法及时判别短信的发送方是否为伪基站,进而会导致对于伪基站发送的短信,现有用户手机无法及时进行拦截的问题。
为了解决上述问题,本发明实施例提供了一种伪基站短信的识别方法,可以应用于客户端侧,可以在断网情况下进行伪基站短信的及时识别,进而提高了伪基站短信的识别效率,如图1所示,该方法包括:
101、当客户端监听到终端设备接收到短信时,获取短信的短信特征信息。
其中,短信特征信息可以包含短信的短信中心号码信息、短信包含的网址信息、短信关键字信息、短信接收时接入基站的基站信息等。
为了实现在断网情况下进行伪基站短信的及时识别,可以预先将用于伪基站短信识别的规则库保存在客户端侧,即终端设备侧,而对于本发明实施例这一侧的执行主体可以为终端设备上安装的用于伪基站短信识别的客户端或特定装置,在客户端监听到终端设备接收到短信时,可以结合该短信的短信特征信息与预先配置的伪基站短信识别规则库进行伪基站识别,具体可以执行步骤102至步骤103所述的过程。
102、根据获取到的短信特征信息,利用预设伪基站短信识别规则库,对短信进行识别。
其中,预设伪基站短信识别规则库中保存有伪基站短信的短信特征信息。
对于本发明实施例,可以将监听到短信的短信特征信息与预设伪基站短信识别规则库中保存的伪基站短信的短信特征信息进行匹配,并依据匹配结果对该监听到短信进行识别,在本发明实施例中,从监听到的短信中提取哪些短信特征信息进行匹配具体可以根据实际情况而设定,需要说明的是,提取的特征信息越全面,最后识别得到的结果越更加准确。
103、根据识别结果确定短信是否为伪基站短信。
例如,当客户端监听到终端设备接收到短信a时,获取短信a的短信特征信息,具体可以获取短信a的短信中心号码或特服号码、短信a中包含的统一资源定位符(uniformresourcelocator,url)地址、短信关键字、以及短信a接收时接入的基站的基站信息等。在确定终端设备最近时刻存在2g网络切换操作时,通过伪基站短信识别规则库对短信a进行识别,如果检测出短信a的短信中心号码或特服号码与白名单号码都不匹配、且短信a中包含诈骗网站的url地址、且还包含诈骗等相关内容的关键字、且短信a接收时接入基站的基站位置区码(locationareacode,lac)为非法位置区码,进而可以确定短信a为伪基站短信,从而可以在断网情况下对短信a及时进行识别,并可以对伪基站短信及时进行安全处理。
本发明实施例提供的一种伪基站短信的识别方法,可以应用于客户端侧,与目前通过云端服务器侧在线进行伪基站短信识别的方式相比,本发明实施例可以预先将用于伪基站短信识别的规则库保存在客户端侧,当客户端监听到终端设备接收到短信时,根据该短信的短信特征信息,利用本地保存的伪基站短信识别规则库快速进行伪基站短信的识别,进而可以在断网情况下进行伪基站短信的及时识别,提高了伪基站短信的识别效率,从而可以有效帮助用户对接收到的伪基站短信进行及时拦截,提升了用户的短信安全性。
进一步的,为了更好的说明上述处理方法的过程,作为对上述实施例的细化和扩展,本发明实施例提供了另一种伪基站短信的识别方法,可以应用于客户端侧,如图2所示,该方法包括:
201、当客户端监听到终端设备接收到短信时,确定短信所处的上下文环境。
例如,在监听到终端设备接收到短信b时,确定短信b的上一条短信内容以及下一条短信内容。
202、检测短信所处的上下文环境与该短信之间存在的逻辑关系。
例如,如果短信b的内容与上一条短信内容相关,是上一条短信内容的延续内容,确定短信b所处的上下文环境与短信b之间存在逻辑关系。
203、根据逻辑关系检测结果以及该短信的短信特征信息,利用预设伪基站短信识别规则库,对该短信进行识别。
例如,若短信b中的内容是上一条短信内容的延续内容,且上一条短信a已经识别出为伪基站短信,则确定短信b同样为伪基站短信;若短信a未判别出是否伪基站短信,可以获取短信a与短信b的短信特征信息,将短信a与短信b中的内容进行结合,利用预设伪基站短信识别规则库,对短信a与短信b进行综合识别,进而可以提高伪基站短信识别的准确性,减少出现误识别的情况。
对于本发明实施例,可以预先将用于伪基站短信识别的规则库保存在客户端侧,进一步地,为了保证预设伪基站短信识别规则库的及时更新,以便提高伪基站短信识别的准确性,还可以包括:客户端接收云端服务器发送的预设伪基站短信识别规则库的更新信息,该更新信息是云端服务器根据收集到的不同伪基站短信特征信息确定得到的;客户端根据该更新信息对预设伪基站短信识别规则库进行更新。
在本发明实施例中,通过伪基站短信特征与伪基站连接特征进行交叉安全运营,基于大数据的前提下,能够以较少的人力开销进行新型伪基站的识别运营,并将新的伪基站短信特征以在线升级更新的形式对客户端本地保存的伪基站短信识别规则库进行更新升级,以便根据最新的伪基站短信特征进行伪基站短信识别,提高了伪基站短信识别的准确性。
短信特征信息具体可以包含短信的短信中心号码或特服号码信息、和/或该短信包含的网址信息、和/或该短信包含的短信关键字信息、和/或该短信接收时接入基站的基站信息。
例如,客户端可以读取目标短信中pdu格式的编码信息,通过对pdu格式的编码信息进行解析,识别出目标短信的短信中心号码;对于短信特服号码的获取,客户端可以读取发送方号码,若该发送方号码的位数符合特服号码位数规则,则将该发送方号码确定为短信的特服号码;对于基站信息的获取,客户端可以通过telephonymanager类中的getcelllocation函数等方式获取基站信息;对于ios操作系统的用户终端,可以通过串口发送at指令等方式获取基站信息,其中,基站信息可以包括基站编号、基站位置、基站切换时间、基站制式等信息;
基站的位置信息包括基站发送目标短信时所在的位置区码信息lac和小区信息cell(简称ci,是指手机在某个移动基站的某个小区下面),基站的lac和cell-id可以通过通信终端调用电话管理函数获得。例如:android系统提供了telephonymanager类,该类中包括一系列用于访问与手机通信相关的状态和信息的获取方法,当基站产生切换事件时,会采用语句调用其中的回调函数,在该回调函数中包含基站的位置信息,如phonestatelistener.listen_cell_location.oncelllocationchanged,因此可以从该回调函数中得到基站的位置信息。
为了具体说明对短信进行识别的过程,在本发明的一个可选实施例中,根据短信的短信特征信息,利用预设伪基站短信识别规则库,对该短信进行识别的步骤,具体可以包括:在确定终端设备存在2g网络切换操作和/或基站位置信息切换操作时,检测该短信的短信中心号码或特服号码信息是否与预设伪基站短信识别规则库中的白名单号码信息匹配;和/或检测该短信包含的网址信息是否与预设伪基站短信识别规则库中的白名单网址信息匹配;和/或检测该短信包含的短信关键字信息是否与预设伪基站短信识别规则库中的黑名单短信关键字信息匹配;和/或检测该短信对应的基站信息是否与预设伪基站短信识别规则库中的白名单基站信息匹配。
其中,白名单号码信息中可以包含正规的短信中心号码、特服号码等;白名单网址信息中可以包含合法的网址信息等;黑名单短信关键字信息中可以包含诈骗、推销等相关内容的关键字信息;白名单基站信息中可以包含合法的基站信息等。
例如,在出现伪基站连接特征,如终端设备存在2g网络切换操作和/或基站位置信息切换操作时,对接收到的短信b的短信中心号码或特服号码、相应的基站信息以及短信包含的网址、关键字等进行本地非白即黑判断,进而通过对大量的短信数据运营,在不符合收录白特征的情况下,进行伪基站短信的识别。
目前伪基站会冒用其他真实基站的基站信息向用户终端发送短信,进而造成伪基站短信识别困难的问题,为了解决该问题,在本可选实施例中,上述检测该短信对应的基站信息是否与预设伪基站短信识别规则库中的白名单基站信息匹配的步骤,具体可以包括:获取终端设备的终端位置信息;根据终端位置信息和预设伪基站短信识别规则库中的白名单基站信息,确定终端设备对应的真实基站的基站信息,其中,该终端设备处于该真实基站的覆盖范围内;检测该短信接收时接入基站的基站信息是否与真实基站的基站信息匹配;若都不匹配,则确定所述短信接收时接入基站的基站信息与预设伪基站短信识别规则库中的白名单基站信息都不匹配。
例如,可以通过终端设备的全球定位系统(globalpositioningsystem,gps)定位器获取终端设备的终端位置,然后根据该终端位置可以在预设伪基站短信识别规则库中进行查询,找到能够覆盖到这个终端位置的真实基站的基站信息,具体可以结合真实基站所处的位置、基站切换时间、真实基站的制式等信息进行确定,然后检测该终端设备接收短信b时接入基站的基站信息是否与查询到的真实基站的基站信息匹配,若都不匹配,则确定短信b接收时接入基站的基站信息与预设伪基站短信识别规则库中的白名单基站信息都不匹配。
为了进一步提高伪基站短信识别的准确性,还可以获取短信的其他短信特征进行匹配,包括该短信中存在的代表数字含义的信息、和/或该短信的接收方号码信息、和/或该短信的发送时间信息、和/或该短信的发送地域信息、和/或该短信的发送频次信息等。
相应的,在本发明的另一个可选实施例中,除了包含上述识别内容之外,根据该短信的短信特征信息,利用预设伪基站短信识别规则库,对该短信进行识别的步骤,具体还可以包括:检测该短信中代表数字含义的信息的数字格式是否与预设伪基站短信识别规则库中的预设异常数字格式匹配;和/或检测该短信的接收方号码信息是否符合预设伪基站短信识别规则库中的预定号码规则;和/或检测该短信的发送时间信息是否处于预设伪基站短信识别规则库中的伪基站短信高发时间段内;和/或检测该短信的发送地域信息是否处于预设伪基站短信识别规则库中的伪基站短信高发区域范围内;和/或检测该短信的发送频次信息是否符合预设伪基站短信识别规则库中的预定异常频次规则。
其中,预设异常数字格式可以为银行卡号码、即时通信工具账号等数字格式;预定号码规则可以为尾号较好的号码规则,如尾号为6888、8999等;伪基站短信高发时间段、伪基站短信高发区域范围可以根据实际情况通过一段时间统计得到;预定异常频次规则可以根据伪基站短信的发送频次进行设定。
例如,在出现伪基站连接特征,如终端设备存在2g网络切换操作和/或基站位置信息切换操作时,对接收到的短信b中存在的数字进行归一化,将中文、各种符号表示的数字统一替换为阿拉伯数字,然后再对数字进行抽取和分析,利用条件随机场算法分别识别出数字所表示的意义,如日期、银行卡号、会员卡、优惠券、固话、手机号、工单、快递号、即时通信工具账号等等,针对这个号码,结合发送方号码、接收方号码、发送时间分布、发送地域分布、发送频次等特征进行识别,共同确定短信b是否为伪基站发送的。
204、根据识别结果确定短信是否为伪基站短信。
根据步骤203中一个可选实施例描述的识别过程,相应的,步骤204具体可以包括:当该短信的短信中心号码或特服号码信息与白名单号码信息都不匹配、和/或该短信包含的网址信息与白名单网址信息都不匹配、和/或该短信包含的短信关键字信息与黑名单短信关键字信息匹配、和/或该短信对应的基站信息与白名单基站信息都不匹配时,确定该短信为伪基站短信。
例如,如果短信b的短信中心号码与白名单号码都不匹配、且短信b中包含诈骗网站的url地址、且还包含诈骗等相关内容的关键字,进而可以确定短信b为伪基站短信。
根据步骤203中另一个可选实施例描述的识别过程,相应的,步骤204具体还可以包括:当该短信中代表数字含义的信息的数字格式与预设异常数字格式匹配、和/或该短信的接收方号码信息符合预定号码规则、和/或该短信的发送时间信息处于伪基站短信高发时间段内、和/或该短信的发送地域信息处于伪基站短信高发区域范围内、和/或该短信的发送频次信息符合预定异常频次规则时,确定该短信为伪基站短信。
例如,如果短信b中代表数字含义的信息的数字格式与银行卡号格式匹配、且短信b的接收方尾号较好(属于筛选出的“尾数较好”的号码)、且短信b的发送时间处于伪基站短信高发时间段内(伪基站经常在此时间段内发送伪基站短信)、且短信b的发送地域为伪基站短信高发区域范围内(如银行或商场等人流密集区域)、且短信b在1分钟内发送了三次以上,进而可以确定短信b为伪基站短信。
为了进一步提高伪基站短信识别的准确性,对遗漏的短信通过语义猜测的方式进行识别,相应的,在本发明的又一个可选实施例中,步骤204具体可以包括:若根据上述过程的识别结果确定该短信不是伪基站短信,则对该短信的短信内容进行语义推测分析;根据语义推测分析结果,通过预置伪基站短信数据模型,确定该短信是否为伪基站短信。
具体的,可以计算语义推测分析结果与预置伪基站短信模板数据之间的相似度;若相似度大于或等于预定阈值,则确定该短信为伪基站短信。
例如,预先按照收集到的大量诈骗、推销等类型的伪基站短信内容,通过特征与特征之间的关联关系进行创建伪基站短信数据模型并配置在客户端侧,客户端对短信进行依赖于短信正文的伪基站短信识别,从短信的多种维度进行语义推测分析,然后计算得到语义推测分析结果与伪基站短信模板数据之间的相似度大于或等于一定阈值时,可以确定该短信为伪基站短信,可以达到非伪基站环境下的伪基站短信识别效果。
相对于云端服务器侧在线进行伪基站短信识别的方式,在客户端侧可以直接读取短信原文以及能获取更多的设备通信行为特征,进行更加全面的伪基站短信识别的过程,具体采用的数据模型可以通过云端服务器收集的海量数据学习生成,并通过优化、裁剪配置在客户端侧进行识别和拦截,需要说明的是,除了在客户端本地配置伪基站短信识别的规则库以外,如图3所示,还可以配置垃圾短信识别规则、诈骗短信识别规则以及其他本地识别规则策略等,帮助终端设备在断网环境下,可以对垃圾短信、伪基站短信、诈骗短信等进行良好的识别。
205、若确定短信为伪基站短信,则在网络恢复正常时,将该伪基站短信的短信特征信息发送给云端服务器。
进一步地,以便于云端服务器收集不同的伪基站短信的短信特征信息,并根据不同的伪基站短信的短信特征信息,确定伪基站的分布情况以及历史轨迹,进而可以帮助打击伪基站犯罪。
进一步地,为了保证用户短信的安全性,在确定该短信为伪基站短信之后,还可以对该伪基站短信进行安全处理,具体可以包括:对该伪基站短信进行类型分类,并依据分类结果对该伪基站短信进行标记提示;和/或对该伪基站短信进行拦截或屏蔽操作。
例如,在识别出伪基站短信之后,通过对该伪基站短信的短信内容进行语义推测分析,对该伪基站短信进行类型分类,得到推销、诈骗等类型,并进行相应的标记提示,以便提高用户对伪基站短信的警觉性,避免用户上当受骗等;还可以在识别出伪基站短信之后,对该伪基站短信进行自动屏蔽,避免用户受到骚扰。
本发明实施例提供的另一种伪基站短信的识别方法,可以应用于客户端侧,可以利用客户端本地保存的伪基站短信识别规则库,对接收到的短信及时进行伪基站短信识别,从接收到的短信中提取的特征信息越全面,最后识别得到的结果越更加准确,并且可以对遗漏的短信通过语义猜测的方式进行识别,进而可以进一步提高伪基站短信识别的准确性,在识别出伪基站短信之后,可以自动对该伪基站短信进行安全处理,以便保证用户短信的安全性。
上述实施例所描述的是客户端侧进行伪基站短信识别的过程,在识别出伪基站短信之后,还可以进一步对该伪基站短信进行分析,相应的,本发明实施例提供了一种伪基站短信的分析方法,可以应用于云端服务器侧,如图4所示,该方法包括:
301、云端服务器收集不同客户端发送的伪基站短信的短信特征信息。
对于本发明实施例这一侧的执行主体可以为云端服务器,在客户端判别伪基站短信之后,当用户从伪基站网络切换到正常网络时,若用户处于联网状态下,客户端可以将该伪基站短信的短信特征信息发送给云端服务器进行云端识别,以便发掘更多的可疑伪基站特征。
302、根据收集到的短信特征信息,确定伪基站对应的基站位置信息。
为了具体说明确定伪基站对应基站位置信息的过程,在本发明的再一个可选实施例中,步骤302具体可以包括:根据短信特征信息,确定伪基站短信对应的短信指纹信息,以及终端设备接收所述伪基站短信时的终端位置信息;将预定切片时间段内相同短信指纹信息的伪基站短信对应的终端位置信息进行聚类处理;依据聚类处理结果确定伪基站的基站位置信息。
在本可选实施例中,可以从伪基站短信的短信特征信息中提取一些特定的短信特征,作为该伪基站短信的短信指纹信息,该短信指纹信息用于区分不同的伪基站,例如,结合接收到相同短信指纹的短信的用户终端位置,在时间维度上的切片,将一个较小时间切片内的用户终端位置进行聚类,根据聚类结果确定伪基站的基站位置,通过这种方式可以准确分析得到伪基站的基站位置。
303、根据确定的基站位置信息,确定伪基站的分布情况以及历史轨迹。
云端服务器对接收到的这些信息进行去噪、脱敏、聚合、位置信息分析等,从而可以形成伪基站分布的实时散点图,区域伪基站态势图,伪基站历史轨迹的分析图等。例如,如图5所示,云端服务器具体可以包括大数据存储平台、大数据处理平台、数据分析引擎、可视化系统几个主要部分:客户端将采集到的伪基站短信的数据(时间、地点、短信内容、仿冒信息等)上传给大数据存储平台,大数据存储平台通过hadoop批量存储技术对海量数据进行快速批量存取;然后大数据处理平台通过storm流式处理技术及自然语言处理技术等,对存储的数据进行去除垃圾短信噪声、识别伪基站短信等处理;数据分析引擎通过es搜索技术、自然语言处理技术、数据挖掘技术,进行进一步的伪基站数据清洗、分类伪基站短信、识别伪基站路径、短信内容搜索等;最后可视化系统根据前面的分析结果,通过可视化技术,生成伪基站相应的热力图、散点图、轨迹图、统计分析图、实时分布图等。
为了提高伪基站短信识别的效率以及准确性,帮助用户终端设备在断网情况下也能进行伪基站短信的及时识别,在步骤303之后,还可以包括:获取不同用户终端设备实时的终端位置信息;根据实时的终端位置信息和用户终端设备的历史行为轨迹,并结合伪基站的基站位置信息和覆盖范围,向将要进入伪基站覆盖范围内的用户终端设备发送伪基站预警信息,进一步的,以使得用户终端设备根据伪基站预警信息对将要接收到的短信进行安全处理。
例如,根据用户终端a的实时位置以及用户终端a最近1小时内的移动轨迹,可以推测出用户终端a将要进入哪个区域范围,并结合实时的伪基站分布情况以及伪基站的覆盖范围,确定用户终端a是否将要进入伪基站的覆盖范围内,如果确定用户终端a将要进入伪基站的覆盖范围内,可以提前向用户终端a发送伪基站预警信息,该预警信息中可以包含该伪基站的基站信息以及可能会发送的伪基站短信内容,用户终端a在进入该区域范围内时,如果接收到短信,可以根据该预警信息对接收到的短信进行识别,如果判别出该短信为伪基站短信时,对该伪基站短信进行安全处理,以保证用户的短信安全性。
为了说明确定伪基站分布情况的具体实现过程,在本发明的再一个可选实施例中,根据确定的基站位置信息,确定伪基站的分布情况的步骤具体可以包括:根据伪基站短信的短信指纹信息,对不同的伪基站分别进行标记;结合伪基站的基站位置信息以及伪基站的标记结果,确定伪基站的分布情况。
例如,通过伪基站短信的短信指纹信息,可以区分不同的伪基站,并分析进行相应的标记,依据上述确定伪基站的基站位置的方式以及伪基站的标记结果,可以生成伪基站分布的实时散点图。
为了说明确定伪基站历史轨迹的具体实现过程,在本发明的再一个可选实施例中,根据确定的基站位置信息,确定伪基站的历史轨迹,具体可以包括:将不同预定切片时间段内相同标记结果的伪基站的基站位置信息进行连接处理;根据连接结果确定得到伪基站的历史轨迹。
例如,将不同时间切片上相同标记结果的伪基站的基站位置连接在一起,从而形成了伪基站的历史轨迹信息。
为了完善伪基站的历史轨迹,上述根据连接结果确定得到伪基站的历史轨迹,具体可以包括:在进行轨迹连接的过程中,若存在轨迹中断的情况,则按照时间和空间维度对伪基站的移动轨迹进行预测分析;依据预测分析结果对中断的轨迹进行补间处理,得到伪基站的历史轨迹。进而可以根据分析得到的伪基站历史轨迹,对伪基站团伙进行追踪打击。
进一步地,为了实现用户终端在断网情况下也能及时进行伪基站短信识别,所述方法还可以包括:根据伪基站短信的短信特征信息,统计不同伪基站的基站特征信息;依据统计得到的基站特征信息,建立伪基站短信识别规则库并发送给不同客户端,进一步的,以使得客户端当监听到终端设备接收到短信时,利用该伪基站短信识别规则库确定监听到的短信是否为伪基站短信。
云端服务器对伪基站的行为与客户端所发送的伪基站短信的各种特征进行规律分析、归纳、总结,并结合反黑产、反诈骗专家的实际经验,提炼成伪基站短信的识别规则库,发送给客户端进行保存,客户端通过手机接收短信时在基站通信中的各种参数,对每一条接收到的短信进行自动监视,自动分析每一条短信所处的上下文环境与短信之间是否存在逻辑关系,综合应用伪基站短信的识别规则库,实现自动发现、自动判别伪基站短信,达到自动识别与拦截的目的。
进一步地,为了发掘更多接收到伪基站短信的用户终端,所述方法还可以包括:根据伪基站短信的短信特征信息,确定终端设备收到伪基站短信时的时间信息和终端位置信息;获取接收短信时与该时间信息相同时间段内的、与该终端位置信息相同区域范围的、且接入基站的基站特征信息与该伪基站的基站特征信息相似的终端设备信息;依据终端设备信息确定疑似接入过伪基站的用户信息,进而基于相同时间、相同基站特征等的匹配,可以发掘更多用户是否接入了相同的伪基站。
例如,根据终端设备a收到伪基站短信时的时间和所在位置,搜索到终端设备b也在同样的时间和地点接收到了短信,且收到短信时接入的基站的基站特征与伪基站的基站特征相似,可以确定终端设备b疑似收到了伪基站短信。
进一步地,为了发掘更多的可疑伪基站特征,对伪基站短信的识别规则库进行及时更新,在依据终端设备信息确定疑似接入过伪基站的用户信息之后,还可以包括:获取该用户信息对应终端设备疑似接入伪基站时接收到的待确定短信的短信特征信息;根据待确定短信的短信特征信息,确定待确定短信是否为伪基站短信;若是,则根据待确定短信的短信特征信息,确定已建立的伪基站短信识别规则库的更新信息,并将更新信息发送给客户端,进一步地,以使得客户端根据更新信息对本地保存的伪基站短信识别规则库进行更新。
对于本发明实施例提供的一种伪基站短信的分析方法,可以应用于云端服务器侧,通过海量数据的运营,能够自动发现与预测新型伪基站,并自动更新客户端本地的伪基站短信识别规则库,进而可以实现“捕获、分析、升级”的自动化流程,有利于对新型伪基站短信的快速检测,使用户的短信安全性得到多重保护。
进一步的,作为图1所述方法的具体实现,本发明实施例提供了一种客户端,如图6所示,所述客户端包括:获取单元41、识别单元42、确定单元43。
获取单元41,可以用于当监听到终端设备接收到短信时,获取所述短信的短信特征信息;获取单元41为本客户端中获取短信特征信息的主要功能模块,在获取该特征信息之后,触发识别单元42进行工作。
识别单元42,可以用于根据所述获取单元41获取的短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别,所述预设伪基站短信识别规则库中保存有伪基站短信的短信特征信息;识别单元42为本客户端中进行伪基站短信识别的主要功能模块,也是本客户端中核心单元模块。
确定单元43,可以用于根据所述识别单元42的识别结果确定所述短信是否为伪基站短信。
在具体的应用场景中,为了提高伪基站短信识别的准确性,减少出现误识别的情况,如图7所示,所述客户端还可以包括:检测单元44;
所述确定单元43,还可以用于确定所述短信所处的上下文环境;
所述检测单元44,可以用于检测所述确定单元43确定的上下文环境与所述短信之间存在的逻辑关系;
所述识别单元42,具体可以用于根据逻辑关系检测结果以及所述短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别。
在具体的应用场景中,所述短信的短信特征信息可以包含所述短信的短信中心号码或特服号码信息、和/或所述短信包含的网址信息、和/或所述短信包含的短信关键字信息、和/或所述短信接收时接入的基站的基站信息,相应的,所述识别单元42,具体可以用于在确定所述终端设备存在2g网络切换操作和/或基站位置信息切换操作时,检测所述短信中心号码或特服号码信息是否与预设伪基站短信识别规则库中的白名单号码信息匹配;和/或检测所述网址信息是否与预设伪基站短信识别规则库中的白名单网址信息匹配;和/或检测所述短信关键字信息是否与预设伪基站短信识别规则库中的黑名单短信关键字信息匹配;和/或检测所述基站信息是否与预设伪基站短信识别规则库中的白名单基站信息匹配。
相应的,所述确定单元43,具体可以用于当识别单元42识别出短信中心号码或特服号码信息与所述白名单号码信息都不匹配、和/或所述网址信息与所述白名单网址信息都不匹配、和/或所述短信关键字信息与所述黑名单短信关键字信息匹配、和/或所述基站信息与所述白名单基站信息都不匹配时,确定所述短信为伪基站短信。
在具体的应用场景中,所述短信的短信特征信息还可以包含所述短信中存在的代表数字含义的信息、和/或所述短信的接收方号码信息、和/或所述短信的发送时间信息、和/或所述短信的发送地域信息、和/或所述短信的发送频次信息,相应的,所述识别单元42,具体还可以用于检测所述代表数字含义的信息的数字格式是否与预设伪基站短信识别规则库中的预设异常数字格式匹配;和/或检测所述短信的接收方号码信息是否符合预设伪基站短信识别规则库中的预定号码规则;和/或检测所述短信的发送时间信息是否处于预设伪基站短信识别规则库中的伪基站短信高发时间段内;和/或检测所述短信的发送地域信息是否处于预设伪基站短信识别规则库中的伪基站短信高发区域范围内;和/或检测所述短信的发送频次信息是否符合预设伪基站短信识别规则库中的预定异常频次规则。
相应的,所述确定单元43,具体还可以用于当所述代表数字含义的信息的数字格式与所述预设异常数字格式匹配、和/或所述接收方号码信息符合所述预定号码规则、和/或所述发送时间信息处于所述伪基站短信高发时间段内、和/或所述发送地域信息处于所述伪基站短信高发区域范围内、和/或所述发送频次信息符合所述预定异常频次规则时,确定所述短信为伪基站短信。
目前伪基站会冒用其他真实基站的基站信息向用户终端发送短信,进而造成伪基站短信识别困难的问题,为了解决该问题,在具体的应用场景中,所述基站信息可以包括基站位置信息、基站切换时间信息、基站制式信息,相应的,如图7所示,所述识别单元42具体可以包括:获取模块421、确定模块422、检测模块423。
获取模块421,可以用于获取所述终端设备的终端位置信息;
确定模块422,可以用于根据所述获取模块421获取的终端位置信息和预设伪基站短信识别规则库中的白名单基站信息,确定所述终端设备对应的真实基站的基站信息,其中,所述终端设备处于所述真实基站的覆盖范围内;
检测模块423,可以用于检测所述短信接收时接入基站的基站信息是否与所述确定模块422确定的真实基站的基站信息匹配;
所述确定模块422,还可以用于若所述检测模块423检测出所述短信接收时接入基站的基站信息与所述真实基站的基站信息都不匹配,则确定所述短信接收时接入基站的基站信息与预设伪基站短信识别规则库中的白名单基站信息都不匹配。
在具体的应用场景中,为了进一步提高伪基站短信识别的准确性,对遗漏的短信通过语义猜测的方式进行识别,如图7所示,所述确定单元43具体可以包括:分析模块431、确定模块432。
分析模块431,可以用于若根据识别结果确定所述短信不是伪基站短信,则对所述短信的短信内容进行语义推测分析;
确定模块432,可以用于根据所述分析模块431的语义推测分析结果,通过预置伪基站短信数据模型,确定所述短信是否为伪基站短信。
在具体的应用场景中,所述确定模块432,具体可以用于计算语义推测分析结果与预置伪基站短信模板数据之间的相似度;若所述相似度大于或等于预定阈值,则确定所述短信为伪基站短信。
在具体的应用场景中,为了帮助打击伪基站犯罪,如图7所示,所述客户端还包括:发送单元45;
发送单元45,可以用于若确定所述短信为伪基站短信,则在网络恢复正常时,将所述伪基站短信的短信特征信息发送给云端服务器,以便于所述云端服务器收集不同的伪基站短信的短信特征信息,并根据所述不同的伪基站短信的短信特征信息,确定伪基站的分布情况以及历史轨迹。
在具体的应用场景中,为了保证用户短信的安全性,如图7所示,所述客户端还包括:安全处理单元46;
安全处理单元46,可以用于若确定所述短信为伪基站短信,则对所述伪基站短信进行类型分类,并依据分类结果对所述伪基站短信进行标记提示;和/或对所述伪基站短信进行拦截或屏蔽操作。
在具体的应用场景中,为了保证预设伪基站短信识别规则库的及时更新,如图7所示,所述客户端还包括:接收单元47、更新单元48;
接收单元47,可以用于接收云端服务器发送的预设伪基站短信识别规则库的更新信息,所述更新信息是所述云端服务器根据收集到的不同伪基站短信特征信息确定得到的;
更新单元48,用于根据所述接收单元47接收到的更新信息对所述预设伪基站短信识别规则库进行更新。
需要说明的是,本发明实施例提供的一种客户端所涉及各功能单元的其他相应描述,可以参考图1和图2中的对应描述,在此不再赘述。
基于上述如图1所示方法,相应的,本发明实施例还提供了一种存储设备,其上存储有计算机程序,该程序被处理器执行时实现以下步骤:当监听到终端设备接收到短信时,获取所述短信的短信特征信息;根据所述短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别,所述预设伪基站短信识别规则库中保存有伪基站短信的短信特征信息;根据识别结果确定所述短信是否为伪基站短信。
基于上述如图1所示方法和如图6和图7所示装置的实施例,本发明实施例还提供了一种终端设备的实体装置,如图8所示,该装置包括:处理器51、存储设备52、及存储在存储设备52上并可在处理器上运行的计算机程序,所述处理器51执行所述程序时实现以下步骤:当监听到终端设备接收到短信时,获取所述短信的短信特征信息;根据所述短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别,所述预设伪基站短信识别规则库中保存有伪基站短信的短信特征信息;根据识别结果确定所述短信是否为伪基站短信;该装置还包括:总线53,被配置为耦接处理器51及存储设备52。
进一步的,作为图4所述方法的具体实现,本发明实施例提供了一种云端服务器,如图9所示,所述云端服务器包括:收集单元61、确定单元62。
收集单元61,可以用于收集不同客户端发送的伪基站短信的短信特征信息;收集单元61为本云端服务器中收集伪基站短信特征信息的主要功能模块。
确定单元62,可以用于根据所述收集单元61收集到的短信特征信息,确定伪基站对应的基站位置信息;
所述确定单元62,还可以用于根据所述基站位置信息,确定伪基站的分布情况以及历史轨迹。确定单元62为本云端服务器中确定伪基站的分布情况以及历史轨迹的主要功能模块。
在具体的应用场景中,如图10所示,所述确定单元62具体包括:确定模块621、处理模块622。
确定模块621,可以用于根据所述短信特征信息,确定伪基站短信对应的短信指纹信息,以及终端设备接收所述伪基站短信时的终端位置信息;
处理模块622,可以用于将预定切片时间段内相同短信指纹信息的伪基站短信对应的终端位置信息进行聚类处理;
所述确定模块621,还可以用于依据所述处理模块622的聚类处理结果确定伪基站的基站位置信息。
在具体的应用场景中,所述确定单元62,具体可以用于根据所述短信指纹信息,对不同的伪基站分别进行标记;结合伪基站的基站位置信息以及伪基站的标记结果,确定伪基站的分布情况。
在具体的应用场景中,所述确定单元62,具体还可以用于将不同预定切片时间段内相同标记结果的伪基站的基站位置信息进行连接处理;根据连接结果确定得到伪基站的历史轨迹。
在具体的应用场景中,为了完善伪基站的历史轨迹,所述确定单元62,具体还可以用于在进行轨迹连接的过程中,若存在轨迹中断的情况,则按照时间和空间维度对伪基站的移动轨迹进行预测分析;依据预测分析结果对中断的轨迹进行补间处理,得到伪基站的历史轨迹。
在具体的应用场景中,为了实现用户终端在断网情况下也能及时进行伪基站短信识别,如图10所示,所述云端服务器还包括:统计单元63、建立单元64、发送单元65。
统计单元63,可以用于根据所述短信特征信息,统计不同伪基站的基站特征信息;
建立单元64,可以用于依据所述统计单元63统计的基站特征信息,建立伪基站短信识别规则库;
发送单元65,可以用于将所述建立单元64建立的伪基站短信识别规则库发送给不同客户端。
进一步地,以使得所述客户端当监听到终端设备接收到短信时,利用所述伪基站短信识别规则库确定所述短信是否为伪基站短信。
在具体的应用场景中,为了发掘更多接收到伪基站短信的用户终端,如图10所示,所述云端服务器还包括:获取单元66;
所述确定单元62,还可以用于根据所述短信特征信息,确定终端设备收到伪基站短信时的时间信息和终端位置信息;
所述获取单元66,可以用于获取接收短信时与所述时间信息相同时间段内的、与所述终端位置信息相同区域范围的、且接入基站的基站特征信息与所述伪基站的基站特征信息相似的终端设备信息;
所述确定单元62,还可以用于依据所述终端设备信息确定疑似接入过伪基站的用户信息。
在具体的应用场景中,为了发掘更多的可疑伪基站特征,对伪基站短信的识别规则库进行及时更新,所述获取单元66,还可以用于获取所述用户信息对应终端设备疑似接入伪基站时接收到的待确定短信的短信特征信息;
所述确定单元62,还可以用于根据所述获取单元66获取的待确定短信的短信特征信息,确定所述待确定短信是否为伪基站短信;
所述确定单元62,还可以用于若所述待确定短信确定为伪基站短信,则根据所述待确定短信的短信特征信息,确定已建立的伪基站短信识别规则库的更新信息;
发送单元65,还用于将所述确定单元62确定的更新信息发送给客户端。
进一步地,以使得所述客户端根据所述更新信息对本地保存的伪基站短信识别规则库进行更新。
在具体的应用场景中,提高伪基站短信识别的效率以及准确性,帮助用户终端设备在断网情况下也能进行伪基站短信的及时识别,所述获取单元66,还可以用于获取不同用户终端设备实时的终端位置信息;
所述发送单元65,还可以用于根据所述获取单元66获取的实时的终端位置信息和用户终端设备的历史行为轨迹,并结合伪基站的基站位置信息和覆盖范围,向将要进入伪基站覆盖范围内的用户终端设备发送伪基站预警信息。
进一步地,以使得所述用户终端设备根据所述伪基站预警信息对将要接收到的短信进行安全处理。
需要说明的是,本发明实施例提供的一种云端服务器所涉及各功能单元的其他相应描述,可以参考图4中的对应描述,在此不再赘述。
基于上述如图4所示方法,相应的,本发明实施例还提供了一种存储设备,其上存储有计算机程序,该程序被处理器执行时实现以下步骤:收集不同客户端发送的伪基站短信的短信特征信息;根据所述短信特征信息,确定伪基站对应的基站位置信息;根据所述基站位置信息,确定伪基站的分布情况以及历史轨迹。
基于上述如图4所示方法和如图9、图10所示装置的实施例,本发明实施例还提供了一种云端服务器的实体装置,如图11所示,该云端服务器包括:处理器71、存储设备72、及存储在存储设备72上并可在处理器上运行的计算机程序,所述处理器71执行所述程序时实现以下步骤:收集不同客户端发送的伪基站短信的短信特征信息;根据所述短信特征信息,确定伪基站对应的基站位置信息;根据所述基站位置信息,确定伪基站的分布情况以及历史轨迹;该终端设备还包括:总线73,被配置为耦接处理器71及存储设备72。
进一步的,本发明实施例提供了一种伪基站短信的分析系统,如图12所示,包括:客户端81和云端服务器82。
所述客户端81,可以用于当监听到终端设备接收到短信时,获取所述短信的短信特征信息;然后根据所述短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别,所述预设伪基站短信识别规则库中保存有伪基站短信的短信特征信息;在根据识别结果确定所述短信为伪基站短信之后,当网络恢复正常时,将所述伪基站短信的短信特征信息发送给所述云端服务器82;
所述云端服务器82,可以用于收集不同客户端81发送的伪基站短信的短信特征信息;然后根据所述短信特征信息,确定伪基站对应的基站位置信息;最后根据所述基站位置信息,确定伪基站的分布情况以及历史轨迹。
通过应用本发明的技术方案,通过海量数据的运营,能够自动发现与预测新型伪基站,并自动更新客户端本地的伪基站短信识别规则库,进而可以实现“捕获、分析、升级”的自动化流程,有利于对新型伪基站短信的快速检测,使用户的短信安全性得到多重保护。
本发明实施例公开了:
a1、一种伪基站短信的识别方法,应用于客户端,包括:
当监听到终端设备接收到短信时,获取所述短信的短信特征信息;
根据所述短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别,所述预设伪基站短信识别规则库中保存有伪基站短信的短信特征信息;
根据识别结果确定所述短信是否为伪基站短信。
a2、如a1所述的方法,所述根据所述短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别之前,所述方法还包括:
确定所述短信所处的上下文环境;
检测所述上下文环境与所述短信之间存在的逻辑关系;
所述根据所述短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别,具体包括:
根据逻辑关系检测结果以及所述短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别。
a3、如a1或a2所述的方法,所述短信的短信特征信息包含所述短信的短信中心号码或特服号码信息、和/或所述短信包含的网址信息、和/或所述短信包含的短信关键字信息、和/或所述短信接收时接入的基站的基站信息,根据所述短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别,具体包括:
在确定所述终端设备存在2g网络切换操作和/或基站位置信息切换操作时,检测所述短信中心号码或特服号码信息是否与预设伪基站短信识别规则库中的白名单号码信息匹配;和/或
检测所述网址信息是否与预设伪基站短信识别规则库中的白名单网址信息匹配;和/或
检测所述短信关键字信息是否与预设伪基站短信识别规则库中的黑名单短信关键字信息匹配;和/或
检测所述基站信息是否与预设伪基站短信识别规则库中的白名单基站信息匹配。
a4、如a3所述的方法,所述根据识别结果确定所述短信是否为伪基站短信,具体包括:
当所述短信中心号码或特服号码信息与所述白名单号码信息都不匹配、和/或所述网址信息与所述白名单网址信息都不匹配、和/或所述短信关键字信息与所述黑名单短信关键字信息匹配、和/或所述基站信息与所述白名单基站信息都不匹配时,确定所述短信为伪基站短信。
a5、如a3所述的方法,所述短信的短信特征信息还包含所述短信中存在的代表数字含义的信息、和/或所述短信的接收方号码信息、和/或所述短信的发送时间信息、和/或所述短信的发送地域信息、和/或所述短信的发送频次信息,所述根据所述短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别,具体还包括:
检测所述代表数字含义的信息的数字格式是否与预设伪基站短信识别规则库中的预设异常数字格式匹配;和/或
检测所述短信的接收方号码信息是否符合预设伪基站短信识别规则库中的预定号码规则;和/或
检测所述短信的发送时间信息是否处于预设伪基站短信识别规则库中的伪基站短信高发时间段内;和/或
检测所述短信的发送地域信息是否处于预设伪基站短信识别规则库中的伪基站短信高发区域范围内;和/或
检测所述短信的发送频次信息是否符合预设伪基站短信识别规则库中的预定异常频次规则。
a6、如a5所述的方法,所述根据识别结果确定所述短信是否为伪基站短信,具体还包括:
当所述代表数字含义的信息的数字格式与所述预设异常数字格式匹配、和/或所述接收方号码信息符合所述预定号码规则、和/或所述发送时间信息处于所述伪基站短信高发时间段内、和/或所述发送地域信息处于所述伪基站短信高发区域范围内、和/或所述发送频次信息符合所述预定异常频次规则时,确定所述短信为伪基站短信。
a7、如a3所述的方法,所述基站信息包括基站位置信息、基站切换时间信息、基站制式信息,所述检测所述基站信息是否与预设伪基站短信识别规则库中的白名单基站信息匹配,具体包括:
获取所述终端设备的终端位置信息;
根据所述终端位置信息和预设伪基站短信识别规则库中的白名单基站信息,确定所述终端设备对应的真实基站的基站信息,其中,所述终端设备处于所述真实基站的覆盖范围内;
检测所述短信接收时接入基站的基站信息是否与所述真实基站的基站信息匹配;
若都不匹配,则确定所述短信接收时接入基站的基站信息与预设伪基站短信识别规则库中的白名单基站信息都不匹配。
a8、如a1所述的方法,所述根据识别结果确定所述短信是否为伪基站短信,具体包括:
若根据识别结果确定所述短信不是伪基站短信,则对所述短信的短信内容进行语义推测分析;
根据语义推测分析结果,通过预置伪基站短信数据模型,确定所述短信是否为伪基站短信。
a9、如a8所述的方法,所述根据语义推测分析结果,通过预置伪基站短信数据模型,确定所述短信是否为伪基站短信,具体包括:
计算语义推测分析结果与预置伪基站短信模板数据之间的相似度;
若所述相似度大于或等于预定阈值,则确定所述短信为伪基站短信。
a10、如a1所述的方法,若确定所述短信为伪基站短信,则所述方法还包括:
在网络恢复正常时,将所述伪基站短信的短信特征信息发送给云端服务器,以便于所述云端服务器收集不同的伪基站短信的短信特征信息,并根据所述不同的伪基站短信的短信特征信息,确定伪基站的分布情况以及历史轨迹。
a11、如a1所述的方法,若确定所述短信为伪基站短信,则所述方法还包括:
对所述伪基站短信进行类型分类,并依据分类结果对所述伪基站短信进行标记提示;和/或
对所述伪基站短信进行拦截或屏蔽操作。
a12、如a1所述的方法,所述方法还包括:
接收云端服务器发送的预设伪基站短信识别规则库的更新信息,所述更新信息是所述云端服务器根据收集到的不同伪基站短信特征信息确定得到的;
根据所述更新信息对所述预设伪基站短信识别规则库进行更新。
b13、一种伪基站短信的分析方法,应用于云端服务器,包括:
收集不同客户端发送的伪基站短信的短信特征信息;
根据所述短信特征信息,确定伪基站对应的基站位置信息;
根据所述基站位置信息,确定伪基站的分布情况以及历史轨迹。
b14、如b13所述的方法,所述根据所述短信特征信息,确定伪基站对应的基站位置信息,具体包括:
根据所述短信特征信息,确定伪基站短信对应的短信指纹信息,以及终端设备接收所述伪基站短信时的终端位置信息;
将预定切片时间段内相同短信指纹信息的伪基站短信对应的终端位置信息进行聚类处理;
依据聚类处理结果确定伪基站的基站位置信息。
b15、如b14所述的方法,根据所述基站位置信息,确定伪基站的分布情况,具体包括:
根据所述短信指纹信息,对不同的伪基站分别进行标记;
结合伪基站的基站位置信息以及伪基站的标记结果,确定伪基站的分布情况。
b16、如b15所述的方法,根据所述基站位置信息,确定伪基站的历史轨迹,具体包括:
将不同预定切片时间段内相同标记结果的伪基站的基站位置信息进行连接处理;
根据连接结果确定得到伪基站的历史轨迹。
b17、如b16所述的方法,所述根据连接结果确定得到伪基站的历史轨迹,具体包括:
在进行轨迹连接的过程中,若存在轨迹中断的情况,则按照时间和空间维度对伪基站的移动轨迹进行预测分析;
依据预测分析结果对中断的轨迹进行补间处理,得到伪基站的历史轨迹。
b18、如b13所述的方法,所述方法还包括:
根据所述短信特征信息,统计不同伪基站的基站特征信息;
依据所述基站特征信息,建立伪基站短信识别规则库并发送给不同客户端,以使得所述客户端当监听到终端设备接收到短信时,利用所述伪基站短信识别规则库确定所述短信是否为伪基站短信。
b19、如b18所述的方法,所述方法还包括:
根据所述短信特征信息,确定终端设备收到伪基站短信时的时间信息和终端位置信息;
获取接收短信时与所述时间信息相同时间段内的、与所述终端位置信息相同区域范围的、且接入基站的基站特征信息与所述伪基站的基站特征信息相似的终端设备信息;
依据所述终端设备信息确定疑似接入过伪基站的用户信息。
b20、如b19所述的方法,所述依据所述终端设备信息确定疑似接入过伪基站的用户信息之后,所述方法还包括:
获取所述用户信息对应终端设备疑似接入伪基站时接收到的待确定短信的短信特征信息;
根据所述待确定短信的短信特征信息,确定所述待确定短信是否为伪基站短信;
若是,则根据所述待确定短信的短信特征信息,确定已建立的伪基站短信识别规则库的更新信息,并将所述更新信息发送给客户端,以使得所述客户端根据所述更新信息对本地保存的伪基站短信识别规则库进行更新。
b21、如b13所述的方法,所述根据所述基站位置信息,确定伪基站的分布情况以及历史轨迹之后,所述方法还包括:
获取不同用户终端设备实时的终端位置信息;
根据所述实时的终端位置信息和用户终端设备的历史行为轨迹,并结合伪基站的基站位置信息和覆盖范围,向将要进入伪基站覆盖范围内的用户终端设备发送伪基站预警信息,以使得所述用户终端设备根据所述伪基站预警信息对将要接收到的短信进行安全处理。
c22、一种客户端,包括:
获取单元,用于当监听到终端设备接收到短信时,获取所述短信的短信特征信息;
识别单元,用于根据所述获取单元获取的短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别,所述预设伪基站短信识别规则库中保存有伪基站短信的短信特征信息;
确定单元,用于根据所述识别单元的识别结果确定所述短信是否为伪基站短信。
c23、如c22所述的客户端,所述客户端还包括:检测单元;
所述确定单元,还用于确定所述短信所处的上下文环境;
所述检测单元,用于检测所述确定单元确定的上下文环境与所述短信之间存在的逻辑关系;
所述识别单元,具体用于根据逻辑关系检测结果以及所述短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别。
c24、如c22或c23所述的客户端,所述短信的短信特征信息包含所述短信的短信中心号码或特服号码信息、和/或所述短信包含的网址信息、和/或所述短信包含的短信关键字信息、和/或所述短信接收时接入的基站的基站信息,
所述识别单元,具体用于在确定所述终端设备存在2g网络切换操作和/或基站位置信息切换操作时,检测所述短信中心号码或特服号码信息是否与预设伪基站短信识别规则库中的白名单号码信息匹配;和/或
检测所述网址信息是否与预设伪基站短信识别规则库中的白名单网址信息匹配;和/或
检测所述短信关键字信息是否与预设伪基站短信识别规则库中的黑名单短信关键字信息匹配;和/或
检测所述基站信息是否与预设伪基站短信识别规则库中的白名单基站信息匹配。
c25、如c24所述的客户端,
所述确定单元,具体用于当识别单元识别出短信中心号码或特服号码信息与所述白名单号码信息都不匹配、和/或所述网址信息与所述白名单网址信息都不匹配、和/或所述短信关键字信息与所述黑名单短信关键字信息匹配、和/或所述基站信息与所述白名单基站信息都不匹配时,确定所述短信为伪基站短信。
c26、如c24所述的客户端,所述短信的短信特征信息还包含所述短信中存在的代表数字含义的信息、和/或所述短信的接收方号码信息、和/或所述短信的发送时间信息、和/或所述短信的发送地域信息、和/或所述短信的发送频次信息,
所述识别单元,具体还用于检测所述代表数字含义的信息的数字格式是否与预设伪基站短信识别规则库中的预设异常数字格式匹配;和/或
检测所述短信的接收方号码信息是否符合预设伪基站短信识别规则库中的预定号码规则;和/或
检测所述短信的发送时间信息是否处于预设伪基站短信识别规则库中的伪基站短信高发时间段内;和/或
检测所述短信的发送地域信息是否处于预设伪基站短信识别规则库中的伪基站短信高发区域范围内;和/或
检测所述短信的发送频次信息是否符合预设伪基站短信识别规则库中的预定异常频次规则。
c27、如c26所述的客户端,
所述确定单元,具体还用于当所述代表数字含义的信息的数字格式与所述预设异常数字格式匹配、和/或所述接收方号码信息符合所述预定号码规则、和/或所述发送时间信息处于所述伪基站短信高发时间段内、和/或所述发送地域信息处于所述伪基站短信高发区域范围内、和/或所述发送频次信息符合所述预定异常频次规则时,确定所述短信为伪基站短信。
c28、如c24所述的客户端,所述基站信息包括基站位置信息、基站切换时间信息、基站制式信息,所述识别单元具体包括:
获取模块,用于获取所述终端设备的终端位置信息;
确定模块,用于根据所述获取模块获取的终端位置信息和预设伪基站短信识别规则库中的白名单基站信息,确定所述终端设备对应的真实基站的基站信息,其中,所述终端设备处于所述真实基站的覆盖范围内;
检测模块,用于检测所述短信接收时接入基站的基站信息是否与所述确定模块确定的真实基站的基站信息匹配;
所述确定模块,还用于若所述检测模块检测出所述短信接收时接入基站的基站信息与所述真实基站的基站信息都不匹配,则确定所述短信接收时接入基站的基站信息与预设伪基站短信识别规则库中的白名单基站信息都不匹配。
c29、如c22所述的客户端,所述确定单元具体包括:
分析模块,用于若根据识别结果确定所述短信不是伪基站短信,则对所述短信的短信内容进行语义推测分析;
确定模块,用于根据所述分析模块的语义推测分析结果,通过预置伪基站短信数据模型,确定所述短信是否为伪基站短信。
c30、如c29所述的客户端,
所述确定模块,具体用于计算语义推测分析结果与预置伪基站短信模板数据之间的相似度;
若所述相似度大于或等于预定阈值,则确定所述短信为伪基站短信。
c31、如c22所述的客户端,所述客户端还包括:
发送单元,用于若确定所述短信为伪基站短信,则在网络恢复正常时,将所述伪基站短信的短信特征信息发送给云端服务器,以便于所述云端服务器收集不同的伪基站短信的短信特征信息,并根据所述不同的伪基站短信的短信特征信息,确定伪基站的分布情况以及历史轨迹。
c32、如c22所述的客户端,所述客户端还包括:
安全处理单元,用于若确定所述短信为伪基站短信,则对所述伪基站短信进行类型分类,并依据分类结果对所述伪基站短信进行标记提示;和/或
对所述伪基站短信进行拦截或屏蔽操作。
c33、如c22所述的客户端,所述客户端还包括:
接收单元,用于接收云端服务器发送的预设伪基站短信识别规则库的更新信息,所述更新信息是所述云端服务器根据收集到的不同伪基站短信特征信息确定得到的;
更新单元,用于根据所述接收单元接收到的更新信息对所述预设伪基站短信识别规则库进行更新。
d34、一种云端服务器,包括:
收集单元,用于收集不同客户端发送的伪基站短信的短信特征信息;
确定单元,用于根据所述收集单元收集到的短信特征信息,确定伪基站对应的基站位置信息;
所述确定单元,还用于根据所述基站位置信息,确定伪基站的分布情况以及历史轨迹。
d35、如d34所述的云端服务器,所述确定单元具体包括:
确定模块,用于根据所述短信特征信息,确定伪基站短信对应的短信指纹信息,以及终端设备接收所述伪基站短信时的终端位置信息;
处理模块,用于将预定切片时间段内相同短信指纹信息的伪基站短信对应的终端位置信息进行聚类处理;
所述确定模块,还用于依据所述处理模块的聚类处理结果确定伪基站的基站位置信息。
d36、如d35所述的云端服务器,
所述确定单元,具体用于根据所述短信指纹信息,对不同的伪基站分别进行标记;
结合伪基站的基站位置信息以及伪基站的标记结果,确定伪基站的分布情况。
d37、如d36所述的云端服务器,
所述确定单元,具体还用于将不同预定切片时间段内相同标记结果的伪基站的基站位置信息进行连接处理;
根据连接结果确定得到伪基站的历史轨迹。
d38、如d37所述的云端服务器,
所述确定单元,具体还用于在进行轨迹连接的过程中,若存在轨迹中断的情况,则按照时间和空间维度对伪基站的移动轨迹进行预测分析;
依据预测分析结果对中断的轨迹进行补间处理,得到伪基站的历史轨迹。
d39、如d34所述的云端服务器,所述云端服务器还包括:
统计单元,用于根据所述短信特征信息,统计不同伪基站的基站特征信息;
建立单元,用于依据所述统计单元统计的基站特征信息,建立伪基站短信识别规则库;
发送单元,用于将所述建立单元建立的伪基站短信识别规则库发送给不同客户端,以使得所述客户端当监听到终端设备接收到短信时,利用所述伪基站短信识别规则库确定所述短信是否为伪基站短信。
d40、如d39所述的云端服务器,所述云端服务器还包括:获取单元;
所述确定单元,还用于根据所述短信特征信息,确定终端设备收到伪基站短信时的时间信息和终端位置信息;
所述获取单元,用于获取接收短信时与所述时间信息相同时间段内的、与所述终端位置信息相同区域范围的、且接入基站的基站特征信息与所述伪基站的基站特征信息相似的终端设备信息;
所述确定单元,还用于依据所述终端设备信息确定疑似接入过伪基站的用户信息。
d41、如d40所述的云端服务器,
所述获取单元,还用于获取所述用户信息对应终端设备疑似接入伪基站时接收到的待确定短信的短信特征信息;
所述确定单元,还用于根据所述获取单元获取的待确定短信的短信特征信息,确定所述待确定短信是否为伪基站短信;
所述确定单元,还用于若所述待确定短信确定为伪基站短信,则根据所述待确定短信的短信特征信息,确定已建立的伪基站短信识别规则库的更新信息;
所述发送单元,还用于将所述确定单元确定的更新信息发送给客户端,以使得所述客户端根据所述更新信息对本地保存的伪基站短信识别规则库进行更新。
d42、如d34所述的云端服务器,所述云端服务器还包括:获取单元和发送单元;
所述获取单元,用于获取不同用户终端设备实时的终端位置信息;
所述发送单元,用于根据所述获取单元获取的实时的终端位置信息和用户终端设备的历史行为轨迹,并结合伪基站的基站位置信息和覆盖范围,向将要进入伪基站覆盖范围内的用户终端设备发送伪基站预警信息,以使得所述用户终端设备根据所述伪基站预警信息对将要接收到的短信进行安全处理。
e43、一种伪基站短信的分析系统,包括:如c22至c33任一项所述的客户端和如d34至d42任一项所述的云端服务器。
f44、一种存储设备,其上存储有计算机程序,所述程序被处理器执行时实现以下步骤:
当监听到终端设备接收到短信时,获取所述短信的短信特征信息;
根据所述短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别,所述预设伪基站短信识别规则库中保存有伪基站短信的短信特征信息;
根据识别结果确定所述短信是否为伪基站短信。
g45、一种终端设备,包括存储设备、处理器及存储在存储设备上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以下步骤:
当监听到终端设备接收到短信时,获取所述短信的短信特征信息;
根据所述短信特征信息,利用预设伪基站短信识别规则库,对所述短信进行识别,所述预设伪基站短信识别规则库中保存有伪基站短信的短信特征信息;
根据识别结果确定所述短信是否为伪基站短信。
h46、一种存储设备,其上存储有计算机程序,所述程序被处理器执行时实现以下步骤:
收集不同客户端发送的伪基站短信的短信特征信息;
根据所述短信特征信息,确定伪基站对应的基站位置信息;
根据所述基站位置信息,确定伪基站的分布情况以及历史轨迹。
i47、一种云端服务器,包括存储设备、处理器及存储在存储设备上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现以下步骤:
收集不同客户端发送的伪基站短信的短信特征信息;
根据所述短信特征信息,确定伪基站对应的基站位置信息;
根据所述基站位置信息,确定伪基站的分布情况以及历史轨迹。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的一种伪基站短信的识别和分析方法、装置及系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。