[发明专利]检测网络诈骗的深度受害用户的方法、装置、设备及介质

权利要求书

1.一种检测网络诈骗的深度受害用户的方法，其特征在于，包括：

根据用户的上网流量数据生成话单文件，提取所述话单文件中的域名信息，所述话单文件中至少包括域名信息和用户的MSISDN；

采用所述域名信息碰撞域名白名单库以过滤域名信息正常的话单；

将过滤后的话单文件中的域名信息根据实施网络诈骗的网址/APP进行规则匹配,根据匹配成功的域名信息所对应的话单文件中的用户的MSISDN确定网络诈骗的受害用户集；

对所述受害用户集中任一受害用户在所述实施网络诈骗的网址/APP中的访问行为日志进行网络访问行为还原和日志回溯文本分析，以确定该用户被骗过程中的操作行为，将所述操作行为输入至预先训练的诈骗事件分级分类模型，得到所述诈骗事件分级分类模型输出的该用户的受害程度信息；

根据所述受害用户集中各用户的受害程度信息确定深度受害用户。

2.根据权利要求1所述的方法，其特征在于，在根据所述受害用户集中各用户的受害程度信息确定深度受害用户之后还包括：

分别向各深度受害用户发送预警提醒信息。

3.根据权利要求1所述的方法，其特征在于，所述话单文件还包括上网时间、上报运营商、IMSI、IMEI、URL、顶级域名、手机所属省份、手机所属城市、目的IP、目的IP所属国家、目的IP所属省份。

4.根据权利要求1所述的方法，其特征在于，确定该用户被骗过程中的操作行为包括：

确定访用户被骗过程中的输入银行卡号的行为、访问恶意网址/诈骗网站的行为、下载木马程序的行为、以及安装木马程序的行为。

5.根据权利要求4所述的方法，其特征在于，在确定访用户被骗过程中的输入银行卡号的行为、访问恶意网址/诈骗网站的行为、下载木马程序的行为、以及安装木马程序的行为之前还包括：

从已知特征库中输出域名样本，对所述域名样本进行网站家族信息提取、主控信息提取、控制邮箱提取、控制端IP提取、以及控制端手机号的溯源分析，以确定所述恶意网址/诈骗网站和所述木马程序。

6.根据权利要求1所述的方法，其特征在于，对所述受害用户集中任一受害用户在所述实施网络诈骗的网址/APP中的访问行为日志进行网络访问行为还原和日志回溯文本分析包括：

针对诈骗事件时间窗口内的网址/APP互联网访问行为日志，对所述诈骗事件进行网络访问行为还原和日志回溯文本的分析确定各受害用户被骗过程中的所有操作行为。

7.根据权利要求1-6之一所述的方法，其特征在于，所述诈骗事件分级分类模型通过如下方法训练得到：

获取训练样本集合，其中，训练样本包括用户被骗过程中的操作行为和用于表示该用户的受诈骗程度的标注信息；

确定初始化的诈骗事件分级分类模型，其中所述初始化的诈骗事件分级分类模型包括用于输出用户受害程度的目标层；

利用机器学习的方法，将所述训练样本集合中的训练样本中的用户被骗过程中的操作行为作为初始化的诈骗事件分级分类模型的输入，将与输入的用户被骗过程中的操作行为对应的标注信息作为初始化的诈骗事件分级分类模型的期望输出，训练得到所述诈骗事件分级分类模型。