本公開涉及智能應用領域，尤其涉及一種欺詐識別方法及電子設備。

背景技術：

1、傳統(tǒng)的反詐技術主要分為靜態(tài)分析和動態(tài)分析兩種方法。靜態(tài)分析通過檢查應用程序代碼和資源文件來發(fā)現(xiàn)潛在的安全漏洞，但難以應對動態(tài)加載和加密的惡意代碼。動態(tài)分析通過監(jiān)控應用程序的運行時行為來檢測異常，但通常集中在于語音、文字、鏈接等。因此，目前的欺詐識別方法均缺少流量分析，無法細化到具體調用函數(shù)，無法進行高效、準確的反詐分析。

技術實現(xiàn)思路

1、本公開提供了一種欺詐識別方法及電子設備，以至少解決現(xiàn)有技術中存在的以上技術問題。

2、根據(jù)本公開的第一方面，提供了一種欺詐識別方法，所述方法包括：

3、利用目標程序獲取網(wǎng)絡數(shù)據(jù)；所述網(wǎng)絡數(shù)據(jù)包括：網(wǎng)絡請求數(shù)據(jù)、函數(shù)調用數(shù)據(jù)和網(wǎng)絡流量數(shù)據(jù)；

4、對所述網(wǎng)絡請求數(shù)據(jù)與所述網(wǎng)絡流量數(shù)據(jù)進行比對結合處理，得到網(wǎng)絡結合數(shù)據(jù)，利用所述函數(shù)調用數(shù)據(jù)對所述網(wǎng)絡結合數(shù)據(jù)的調用鏈進行重建，得到重建調用鏈；

5、對所述重建調用鏈的數(shù)據(jù)進行特征提取得到訓練集，利用所述訓練集對神經(jīng)網(wǎng)絡模型進行訓練，得到識別模型；

6、將實時數(shù)據(jù)輸入到所述識別模型中，得到識別結果；所述識別結果用于表征所述實時數(shù)據(jù)為正常行為數(shù)據(jù)或欺詐行為數(shù)據(jù)。

7、在一可實施方式中，還包括：

8、當識別結果為欺詐行為數(shù)據(jù)時進行預警。

9、在一可實施方式中，所述利用目標程序獲取網(wǎng)絡數(shù)據(jù)，還包括：

10、獲取網(wǎng)絡初始數(shù)據(jù)；

11、對所述網(wǎng)絡初始數(shù)據(jù)進行數(shù)據(jù)清洗及標準化處理，得到預處理數(shù)據(jù)；

12、對所述預處理數(shù)據(jù)進行特征提取，得到網(wǎng)絡數(shù)據(jù)。

13、在一可實施方式中，所述對所述網(wǎng)絡請求數(shù)據(jù)與所述網(wǎng)絡流量數(shù)據(jù)進行比對結合處理，得到網(wǎng)絡結合數(shù)據(jù)，包括：

14、對所述網(wǎng)絡請求數(shù)據(jù)與所述網(wǎng)絡流量數(shù)據(jù)進行時間戳對齊處理；

15、對比時間戳對齊處理后的網(wǎng)絡請求數(shù)據(jù)的數(shù)據(jù)源與網(wǎng)絡流量數(shù)據(jù)的數(shù)據(jù)源是否一致，并在數(shù)據(jù)源一致時，輸出網(wǎng)絡結合數(shù)據(jù)。

16、在一可實施方式中，所述利用所述函數(shù)調用數(shù)據(jù)對所述網(wǎng)絡結合數(shù)據(jù)的調用鏈進行重建，得到重建調用鏈，包括：

17、根據(jù)所述函數(shù)調用數(shù)據(jù)跟蹤每個網(wǎng)絡請求的調用位置；

18、根據(jù)所述調用位置，確定每個網(wǎng)絡請求的上下文和調用順序并記錄為調用棧信息；

19、分析每個網(wǎng)絡請求的調用棧信息，得到目標函數(shù)調用和調用參數(shù)；

20、利用所述目標函數(shù)調用和調用參數(shù)結合所述調用棧信息，重建每個網(wǎng)絡請求的上下文及時間戳得到重建調用鏈。

21、在一可實施方式中，還包括：

22、驗證所述重建調用鏈的準確性和一致性。

23、在一可實施方式中，所述對所述重建調用鏈的數(shù)據(jù)進行特征提取得到訓練集，利用所述訓練集對神經(jīng)網(wǎng)絡模型進行訓練，得到識別模型，包括：

24、提取所述重建調用鏈的數(shù)據(jù)中與欺詐行為相關的特征，得到特征向量；

25、對所述特征向量標注為正常行為和欺詐行為，得到訓練集；

26、將所述訓練集輸入至神經(jīng)網(wǎng)絡模型中進行訓練，得到符合目標的模型參數(shù)時輸出識別模型。

27、在一可實施方式中，將實時數(shù)據(jù)輸入到所述識別模型中，得到識別結果，包括：

28、實時采集數(shù)據(jù)；

29、提取實時采集數(shù)據(jù)中的特征向量；

30、將所述特征向量輸入至所述識別模型中，得到識別結果。

31、在一可實施方式中，利用第一目標程序獲取網(wǎng)絡請求數(shù)據(jù)；

32、利用第二目標程序獲取函數(shù)調用數(shù)據(jù)；

33、利用第三目標程序獲取網(wǎng)絡流量數(shù)據(jù)。

34、根據(jù)本公開的第二方面，提供了一種欺詐識別裝置，所述裝置包括：

35、獲取模塊，用于利用目標程序獲取網(wǎng)絡數(shù)據(jù)；所述網(wǎng)絡數(shù)據(jù)包括：網(wǎng)絡請求數(shù)據(jù)、函數(shù)調用數(shù)據(jù)和網(wǎng)絡流量數(shù)據(jù)；

36、重建模塊，用于對所述網(wǎng)絡請求數(shù)據(jù)與所述網(wǎng)絡流量數(shù)據(jù)進行比對結合處理，得到網(wǎng)絡結合數(shù)據(jù)，利用所述函數(shù)調用數(shù)據(jù)對所述網(wǎng)絡結合數(shù)據(jù)的調用鏈進行重建，得到重建調用鏈；

37、訓練模塊，用于對所述重建調用鏈的數(shù)據(jù)進行特征提取得到訓練集，利用所述訓練集對神經(jīng)網(wǎng)絡模型進行訓練，得到識別模型；

38、輸出模塊，用于將實時數(shù)據(jù)輸入到所述識別模型中，得到識別結果；所述識別結果用于表征所述實時數(shù)據(jù)為正常行為數(shù)據(jù)或欺詐行為數(shù)據(jù)。

39、根據(jù)本公開的第三方面，提供了一種電子設備，包括：

40、至少一個處理器；以及

41、與所述至少一個處理器通信連接的存儲器；其中，

42、所述存儲器存儲有可被所述至少一個處理器執(zhí)行的指令，所述指令被所述至少一個處理器執(zhí)行，以使所述至少一個處理器能夠執(zhí)行本公開所述的方法。

43、根據(jù)本公開的第四方面，提供了一種存儲有計算機指令的非瞬時計算機可讀存儲介質，所述計算機指令用于使所述計算機執(zhí)行本公開所述的方法。

44、本公開的欺詐識別方法及電子設備，本申請通過結合網(wǎng)絡請求數(shù)據(jù)、函數(shù)調用數(shù)據(jù)和網(wǎng)絡流量數(shù)據(jù)得到重建調用鏈，利用重建調用鏈得到識別模型，本申請采用完整的調用鏈數(shù)據(jù)能夠得到識別更加準確的識別模型，從而高效、準確的識別應用程序中的欺詐行為，提供更好的安全保障。

45、應當理解，本部分所描述的內(nèi)容并非旨在標識本公開的實施例的關鍵或重要特征，也不用于限制本公開的范圍。本公開的其它特征將通過以下的說明書而變得容易理解。

技術特征：

1.一種欺詐識別方法，其特征在于，所述方法包括：

2.根據(jù)權利要求1所述的方法，其特征在于，還包括：

3.根據(jù)權利要求1所述的方法，其特征在于，所述利用目標程序獲取網(wǎng)絡數(shù)據(jù)，包括：

4.根據(jù)權利要求1所述的方法，其特征在于，所述對所述網(wǎng)絡請求數(shù)據(jù)與所述網(wǎng)絡流量數(shù)據(jù)進行比對結合處理，得到網(wǎng)絡結合數(shù)據(jù)，包括：

5.根據(jù)權利要求4所述的方法，其特征在于，所述利用所述函數(shù)調用數(shù)據(jù)對所述網(wǎng)絡結合數(shù)據(jù)的調用鏈進行重建，得到重建調用鏈，包括：

6.根據(jù)權利要求5所述的方法，其特征在于，還包括：

7.根據(jù)權利要求5所述的方法，其特征在于，所述對所述重建調用鏈的數(shù)據(jù)進行特征提取得到訓練集，利用所述訓練集對神經(jīng)網(wǎng)絡模型進行訓練，得到識別模型，包括：

8.根據(jù)權利要求1所述的方法，其特征在于，將實時數(shù)據(jù)輸入到所述識別模型中，得到識別結果，包括：

9.根據(jù)權利要求1所述的方法，其特征在于，

10.一種電子設備，其特征在于，包括：

技術總結
本公開提供了一種欺詐識別方法及電子設備，所述方法包括利用目標程序獲取網(wǎng)絡數(shù)據(jù)；網(wǎng)絡數(shù)據(jù)包括網(wǎng)絡請求數(shù)據(jù)、函數(shù)調用數(shù)據(jù)和網(wǎng)絡流量數(shù)據(jù)；對網(wǎng)絡請求數(shù)據(jù)與網(wǎng)絡流量數(shù)據(jù)進行比對結合處理，得到網(wǎng)絡結合數(shù)據(jù)，利用函數(shù)調用數(shù)據(jù)得到重建調用鏈；重建調用鏈的數(shù)據(jù)對神經(jīng)網(wǎng)絡模型進行訓練，得到識別模型；將實時數(shù)據(jù)輸入到識別模型中，得到識別結果；識別結果用于表征實時數(shù)據(jù)為正常行為數(shù)據(jù)或欺詐行為數(shù)據(jù)。本申請通過結合網(wǎng)絡請求數(shù)據(jù)、函數(shù)調用數(shù)據(jù)和網(wǎng)絡流量數(shù)據(jù)得到重建調用鏈，利用重建調用鏈得到識別模型，本申請采用完整的調用鏈數(shù)據(jù)能夠得到識別更加準確的識別模型，從而高效、準確的識別應用程序中的欺詐行為，提供更好的安全保障。

技術研發(fā)人員：張赫男,徐聰,袁林,邸學鋒,馬洪彬,竇晶,賈立軍,米勝山,范曉波,劉道林,姜雙雙,智斌,雷小創(chuàng),阿曼太,劉新鵬,張朕,傅強,王杰,楊滿智,金紅,陳曉光,胡兵
受保護的技術使用者：恒安嘉新（北京）科技股份公司
技術研發(fā)日：
技術公布日：2024/10/10