检测短信用户异常行为的方法、系统、装置及存储介质与流程

本发明涉及短信安全检测，尤其涉及一种检测短信用户异常行为的方法、系统、装置及存储介质。

背景技术：

1、网络诈骗或电信诈骗是当前的高发领域，社交媒体存储和共享大量的个人信息，又由于社交媒体的开放性，恶意用户可以通过收集这些用户的个人信息进行非法活动，例如身份盗用、网络攻击、垃圾邮件、欺诈性信息传播甚至恐怖主义攻击计划。此类恶意活动严重威胁到合法用户的个人隐私、用户账号的安全性、用户之间的信任度以及用户个人体验等，因此针对这类恶意行为的异常用户检测已成为在社交媒体安全研究的关键问题之一。

2、运营商现有的反诈系统着眼于每个短信用户节点进行实时监控，监控手段以黑白名单、流量、关键字规则为主，几乎不使用大数据手段，难以发现具有异常行为的短信用户的行为共性。部分专门研究反诈技术的公司提出了构建知识图谱的诈骗分析方法，该方法构建复杂网络，人工筛选疑似节点，取节点的出入度、主叫次数、总短信通信次数、离散度短信时长等为特征，作为训练特征集，通过机器学习算法反复训练，最终的到异常节点的预测模型，这样的人工筛选初始样本需要强经验依赖，具有较强的主观性，导致误检概率大，且构建异常模型需要反复的机器学习和训练，训练好模型后，机器学习算法提取的节点特征繁琐复杂，学习时间和计算成本较高。

技术实现思路

1、为了解决上述问题之一，本发明的目的是提供一种检测短信用户异常行为的方法、系统、装置及存储介质，可以降低误检概率、节约时间和计算成本。

2、一方面，本发明提供了一种检测短信用户异常行为的方法，包括以下步骤：

3、获取原始短信记录；

4、根据所述原始短信记录构建复杂网络；所述复杂网络的初始节点表示短信用户，所述初始节点之间的边表示所述初始节点之间存在短信记录；

5、根据所述复杂网络得到每一个所述初始节点的子网络，提取所述子网络的统计特征；所述统计特征包括所述子网络的实际节点数和实际边数；

6、计算所述统计特征距离节点特征模型的偏离度，根据所述偏离度对所述初始节点进行筛选，得到具有异常行为的短信用户。

7、可选地，所述根据所述复杂网络得到每一个所述初始节点的子网络，具体包括：

8、依次将复杂网络的初始节点作为中心节点，遍历所述中心节点预设邻域内的邻居节点；

9、提取所述中心节点和所述邻居节点之间的边和所述中心节点的不同邻居节点之间的边，得到每一个所述中心节点的子网络。

10、可选地，所述节点特征模型通过以下方法得到：

11、获取若干组正常短信用户特征；所述正常短信用户特征包括子网络的样本节点数和样本边数；

12、构建所述正常短信用户特征的幂律分布函数；所述幂律分布函数的自变量包括节点数变量，因变量包括边数变量；

13、计算所述幂律分布函数的对数，利用最小平方法和所述正常短信用户特征对所述幂律分布函数的对数进行参数拟合，得到所述节点特征模型。

14、可选地，所述计算所述统计特征和节点特征模型的偏离度，具体包括：

15、将所述子网络的实际节点数代入所述节点特征模型，得到所述子网络的期望边数；

16、根据所述期望边数和所述实际边数确定缩放比例，根据所述缩放比例、所述期望边数和所述实际边数得到所述偏离度。

17、可选地，所述根据所述偏离度对所述初始节点进行筛选，得到具有异常行为的短信用户，具体包括：

18、确定阈值范围；

19、将所述偏离度在所述阈值范围内的初始节点作为具有异常行为的短信用户。

20、可选地，所述据所述偏离度对所述初始节点进行筛选，得到具有异常行为的短信用户，具体包括：

21、根据所述偏离度对所有的初始节点进行排序；

22、根据排序结果输出所述偏离度最高的n个初始节点作为具有异常行为的短信用户；其中，n是大于1的自然数。

23、可选地，在所述提取所述子网络的统计特征之前，所述方法还包括：

24、根据预设可信任短信用户的子网络结构剔除可信任节点的子网络；所述可信任节点包括服务提供商的短信用户。

25、另一方面，本发明提供一种检测短信用户异常行为的系统，包括第一模块、第二模块、第三模块和第四模块，其中，

26、所述第一模块，用于获取原始短信记录；

27、所述第二模块，用于根据所述原始短信记录构建复杂网络；所述复杂网络的初始节点表示短信用户，所述初始节点之间的边表示所述初始节点之间存在短信记录；

28、所述第三模块，用于根据所述复杂网络得到每一个所述初始节点的子网络，提取所述子网络的统计特征；所述统计特征包括所述子网络的实际节点数和实际边数；

29、所述第四模块，用于计算所述统计特征和节点特征模型的偏离度，根据所述偏离度对所述初始节点进行筛选，得到具有异常行为的短信用户。

30、另一方面，本发明提供一种具有异常行为的短信用户检测短信用户异常行为的装置，包括：

31、至少一个处理器；

32、至少一个存储器，用于存储至少一个程序；

33、当所述至少一个程序被所述至少一个处理器执行，使得所述至少一个处理器实现如前面所述的方法。

34、另一方面，本发明提供一种计算机可读存储介质，其中存储有处理器可执行的程序，所述处理器可执行的程序在由处理器执行时用于执行如前面所述的方法。

35、实施本发明包括以下有益效果：本发明通过获取原始短信记录，根据原始短信记录构建复杂网络，复杂网络的初始节点表示短信用户，初始节点之间的边表示初始节点之间存在短信记录，根据复杂网络得到每一个初始节点的子网络，提取子网络的统计特征；统计特征包括子网络的实际节点数和实际边数，计算统计特征和节点特征模型的偏离度，根据偏离度对初始节点进行筛选，得到具有异常行为的短信用户；本发明关注各短信用户(节点)并提取节点精简的统计特征，利用数学统计规律避免了冗长机器学习过程，缩短了检测时间和计算成本，将短信用户的统计特征与正常短信用户的节点特征模型进行比较，无需复杂的节点特征和人工筛选的强主观训练样本，降低误检概率。

技术特征：

1.一种检测短信用户异常行为的方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的方法，其特征在于，所述根据所述复杂网络得到每一个所述初始节点的子网络，具体包括：

3.根据权利要求1所述的方法，其特征在于，所述节点特征模型通过以下方法得到：

4.根据权利要求1所述的方法，其特征在于，所述计算所述统计特征和节点特征模型的偏离度，具体包括：

5.根据权利要求1-4任一项所述的方法，其特征在于，所述根据所述偏离度对所述初始节点进行筛选，得到具有异常行为的短信用户，具体包括：

6.根据权利要求1-4任一项所述的方法，其特征在于，所述据所述偏离度对所述初始节点进行筛选，得到具有异常行为的短信用户，具体包括：

7.根据权利要求1-4任一项所述的方法，其特征在于，所述方法还包括：

8.一种检测短信用户异常行为的系统，其特征在于，包括第一模块、第二模块、第三模块和第四模块，其中，

9.一种检测短信用户异常行为的装置，其特征在于，包括：

10.一种计算机可读存储介质，其中存储有处理器可执行的程序，其特征在于，所述处理器可执行的程序在由处理器执行时用于执行如权利要求1-7任一项所述的方法。

技术总结
本发明公开了一种具有异常行为的短信用户检测短信用户异常行为的方法、系统、装置及存储介质，包括：获取原始短信记录，根据原始短信记录构建复杂网络；复杂网络的初始节点表示短信用户，初始节点之间的边表示初始节点之间存在短信记录，根据复杂网络得到每一个初始节点的子网络，提取子网络的统计特征；统计特征包括子网络的实际节点数和实际边数，计算统计特征和节点特征模型的偏离度，根据偏离度对初始节点进行筛选，得到具有异常行为的短信用户。本发明可以降低误检概率、节约学习时间和计算成本，可广泛应用于短信安全检测技术领域。

技术研发人员：吴孟遥,孙晓东,周璨,易鸿,李燕
受保护的技术使用者：中国电信股份有限公司
技术研发日：
技术公布日：2024/12/17