[发明专利]一种网络诈骗检测方法、装置、电子设备及存储介质

权利要求书

1.一种网络诈骗检测方法，其特征在于，包括：

获取目标网络诈骗案件中，受害人在案件过程中的历史网络交互数据，其中，所述目标网络诈骗案件为长时、多线上交互类型的诈骗案件；

对各所述目标网络诈骗案件的历史网络交互数据进行特征抽取，形成与至少一个历史诈骗网站匹配的网站特征信息库；

获取至少一个监控用户在监控时间区间内的网络访问数据；

将所述网络访问数据与所述网站特征信息库进行比对，检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户；

其中，所述疑似诈骗网站与所述历史诈骗网站的网站特征信息满足预设的相似条件；

所述网络访问数据为上网日志话单；

将所述网络访问数据与所述网站特征信息库进行比对，检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户，包括：

当根据所述上网日志话单确定在监控时间区间内第二目标网站被访问次数超过设定门限阈值时，在所述上网日志话单中获取所述第二目标网站的网址日志，并生成网址日志数据库；

基于所述网站特征信息库与所述网址日志数据库进行碰撞匹配，在所述网址日志数据库中确定与所述网站特征信息库中特征匹配的疑似诈骗网址；

将访问所述疑似诈骗网址的用户确定为疑似受害用户。

2.根据权利要求1所述的方法，其特征在于，所述网络访问数据为网络流量监测数据；

将所述网络访问数据与所述网站特征信息库进行比对，检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户，包括：

当根据所述网络流量监测数据确定所述监控用户在监控时间区间内访问第一目标网站次数超过设定门限阈值时，在所述网络流量监测数据中获取与所述第一目标网站对应的目标网络流量监测数据；

将所述目标网络流量监测数据与网站特征信息库进行比对，检测所述监控用户是否为疑似受害用户。

3.根据权利要求2所述的方法，其特征在于，获取至少一个监控用户在监控时间区间内的网络访问数据，包括：

获取至少一个监控用户在监控时间区间内的网络报文，并对所述网络报文进行协议识别以及解码，获取所述监控用户的网络流量监测信息。

4.根据权利要求1-3任一项所述的方法，其特征在于，还包括：

获取对所述目标网络诈骗案件的历史网络交互数据进行特征抽取形成的目标历史特征；

根据所述目标历史特征对所述目标网络诈骗案件进行网络溯源，确定关联疑似诈骗网址；

针对所述关联疑似诈骗网址进行特征抽取，并根据特征抽取结果更新所述网站特征信息库。

5.根据权利要求1所述的方法，其特征在于，对各所述目标网络诈骗案件的历史网络交互数据进行特征抽取，形成与至少一个历史诈骗网站匹配的网站特征信息库，包括：

获取各所述目标网络诈骗案件的历史网络交互数据中的至少一项网站描述信息；

以网站为单位，将各所述网站描述信息进行分类，形成与至少一个历史诈骗网站匹配的网站特征信息库；

其中，所述网站描述信息包括下述至少一项：网址、网页开发者、服务器地址、通联地址、通联地址归属地、网页名称、邮箱以及网页代码。

6.根据权利要求1所述的方法，其特征在于，在检测在监控时间区间内访问疑似诈骗网站次数超过设定门限阈值的疑似受害用户之后，还包括：

如果检测所述监控用户为疑似受害用户，则对所述疑似受害用户进行预警提示。