一种无线设备风险监控方法和装置与流程

1.本发明涉及通信领域，尤其涉及一种无线设备风险监控方法和装置。


背景技术：

2.在通信技术领域，无线设备接入网络系统后，可能由于无线设备流量过大而导致网络系统超载。其中，部分无线设备流量过大可能是由于恶意扫描行为、黑客攻击等原因导致。这些恶意攻击的形式多样，往往难以准确快速地确定出导致网络系统超载的风险无线设备，进而难以快速阻断风险。
3.如何准确快速地定位高风险的无线设备，是本技术所要解决的技术问题。


技术实现要素：

4.本技术实施例的目的是提供一种无线设备风险监控方法和装置，用以解决定位高风险的无线设备效率低的问题。
5.第一方面，提供了一种无线设备风险监控方法，包括：
6.获取至少一个无线设备的通信流量数据；
7.基于所述通信流量数据进行处理得到日志数据，所述日志数据包括通信地址、流量值和时间戳；
8.根据所述至少一个无线设备的日志数据，将通信地址位于预设的风险通信地址范围内、且在预设时间间隔内的流量值总和大于所述预设时间间隔内的流量预警值的无线设备，作为目标无线设备；
9.根据预设的通信地址与风险控制策略的对应关系，确定所述目标无线设备对应的风险控制策略；
10.根据所述风险控制策略对所述目标无线设备执行相应的风险控制。
11.第二方面，提供了一种无线设备风险监控装置，包括：
12.获取模块，获取至少一个无线设备的通信流量数据；
13.处理模块，基于所述通信流量数据进行处理得到日志数据，所述日志数据包括通信地址、流量值和时间戳；
14.第一确定模块，根据所述至少一个无线设备的日志数据，将通信地址位于预设的风险通信地址范围内、且在预设时间间隔内的流量值总和大于所述预设时间间隔内的流量预警值的无线设备，作为目标无线设备；
15.第二确定模块，根据预设的通信地址与风险控制策略的对应关系，确定所述目标无线设备对应的风险控制策略；
16.控制模块，根据所述风险控制策略对所述目标无线设备执行相应的风险控制。
17.第三方面，提供了一种电子设备，该电子设备包括处理器、存储器及存储在该存储器上并可在该处理器上运行的计算机程序，该计算机程序被该处理器执行时实现如第一方面的方法的步骤。
18.第四方面，提供了一种计算机可读存储介质，该计算机可读存储介质上存储计算机程序，该计算机程序被处理器执行时实现如第一方面的方法的步骤。
19.在本技术实施例中，通过获取至少一个无线设备的通信流量数据；基于所述通信流量数据进行处理得到日志数据，所述日志数据包括通信地址、流量值和时间戳；根据所述至少一个无线设备的日志数据，将通信地址位于预设的风险通信地址范围内、且在预设时间间隔内的流量值总和大于所述预设时间间隔内的流量预警值的无线设备，作为目标无线设备；根据预设的通信地址与风险控制策略的对应关系，确定所述目标无线设备对应的风险控制策略；根据所述风险控制策略对所述目标无线设备执行相应的风险控制。本发明实施例的方案能快速准确地基于流量确定高风险的目标无线设备，进而基于风险控制策略对目标无线设备进行风险控制，有利于及时有效地控制风险。
附图说明
20.此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
21.图1是本发明的一个实施例一种无线设备风险监控方法的流程示意图之一。
22.图2是本发明的一个实施例一种无线设备风险监控方法的流程示意图之二。
23.图3是本发明的一个实施例一种无线设备风险监控方法的流程示意图之三。
24.图4是本发明的一个实施例一种无线设备风险监控方法的流程示意图之四。
25.图5是本发明的一个实施例一种无线设备风险监控方法的流程示意图之五。
26.图6是本发明的一个实施例一种无线设备风险监控方法的流程示意图之六。
27.图7是本发明的一个实施例一种应用无线设备风险监控方法的系统结构示意图。
28.图8是本发明的一个实施例一种无线设备风险监控装置的结构示意图。
具体实施方式
29.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。本技术中附图编号仅用于区分方案中的各个步骤，不用于限定各个步骤的执行顺序，具体执行顺序以说明书中描述为准。
30.在通信技术领域的风险监控场景中，往往依赖于无线设备接入系统原生自带的监控机制，难以实现有效定位风险并溯源造成无线接入设备网络流量过载的预警机制，无法定位具体是那些设备造成了无线设备产生处理瓶颈，进而造成网络流量负载过高。也难以确定是由于内网存在恶意扫描行为造成的，还是接入的设备被黑客组织利用去执行ddos(distributed denial of service，分布式拒绝服务攻击)等原因造成的，无法快速有效地定位高风险无线设备。
31.为了解决现有技术中存在的问题，本技术实施例提供一种无线设备风险监控方法，如图1所示，包括以下步骤：
32.s11：获取至少一个无线设备的通信流量数据。
33.在本技术实施例中，可以监听无线设备的通信流量数据并复制转发到一台服务器
上，以便在后续步骤中对通信流量数据做进一步处理。上述服务器例如可以是linux服务器，该linux服务器上可以部署suricata软件，通过该软件获取通信流量数据中的关键字段并保存为日志，再由kafkacat软件进行上述日志的转发，以发送到kafka队列上。随后，可以由日志聚合管理系统graylog对kafka队列进行数据读取并保存到elasticsearch集群数据库中保存，以用于后续关联分析。
34.s12：基于所述通信流量数据进行处理得到日志数据，所述日志数据包括通信地址、流量值和时间戳。
35.举例而言，在本步骤中可以通过suricata读取通信流量数据，进而生成日志文件。然后由kafkacat读取日志文件发给kafka队列，graylog读取队列数据，保存elasticsearch数据库中，日志格式可以如下：
36.【源ip】【目的ip】【网络数据包大小】【时间戳】
37.其中，ip是internet protocol(网际互连协议)的缩写，是tcp/ip体系中的网际层协议。源ip即源通信地址，目的ip即目的通信地址，网络数据包大小可以用于确定日志数据中的流量值。时间戳是使用数字签名技术产生的数据，时间戳能用于证明相对应的通信流量数据在签名时间之前已经存在。
38.可选的，日志数据中可以仅包括源ip或者仅包括目的ip，也可以同时包含源ip和目的ip。
39.另外，可以将上述日志数据写入数据库中，以便存储与调用。可选的，可以按照以下格式在elasticsearch数据库中存储上述日志数据：
40.【索引名】【源ip】【目的ip】【网络数据包大小】【时间戳】
41.其中，【索引名】可以指elasticsearch的表索引名。应理解的是，还可以根据实际请款应用其他类型的数据库，也可以按其他格式存储上述日志数据。
42.s13：根据所述至少一个无线设备的日志数据，将通信地址位于预设的风险通信地址范围内、且在预设时间间隔内的流量值总和大于所述预设时间间隔内的流量预警值的无线设备，作为目标无线设备。
43.本步骤中的预设的风险通信地址范围、预设时间间隔以及流量预警值能用于表明哪些无线设备之间的通信要进行监控、也可以表明哪些关键数据需要重点监测等。举例而言，可以按以下形式预先设定：
44.【id】【源ip网段ip地址范围】【目的网段ip地址范围】【检测间隔时间】【预警阈值】
45.其中id(identity document)可以指预设规则的标识。在实际应用中，可以预设多组规则，每组规则中包含相对应的风险通信地址范围、时间间隔以及流量预警值，并根据实际需求选用一组或多组规则来执行监控。
46.源ip网段ip地址范围和目的网段ip地址范围及本步骤中所述的风险通信地址范围，在本实施例中，风险通信地址范围具体包括风险源通信地址范围和风险目的通信地址范围。
47.检测间隔时间即本步骤中所述的预设时间间隔，该预设时间间隔可以通过多种形式展现，比如预设时间间隔为“5分钟”则表明以5分钟为时间间隔执行监听。在实际应用中，可以针对当前时刻之前5分钟内的通信流量数据来判断无线设备是否是目标无线设备。
48.上述预警阈值即本步骤中所述的流量预警值，该流量预警值与上述预设时间间隔
相对应，可以表明在正常情况下上述预设时间间隔内产生的流量值。如果超出该流量预警值，则表明无线设备的流量过大，往往存在风险。
49.另外，为了便于存储与调用，还可以将上述预设的规则存储在数据库中，比如可以按以下形式存储至elasticsearch数据库：
50.【索引名】【id】【源ip网段ip地址范围】【目的网段ip地址范围】【检测间隔时间】【预警阈值】
51.其中，【索引名】可以指elasticsearch的表索引名。
52.s14：根据预设的通信地址与风险控制策略的对应关系，确定所述目标无线设备对应的风险控制策略。
53.在实际应用中，针对不同的风险往往需要执行不同的风险控制策略。本步骤中所述的通信地址与风险控制策略的对应关系可以根据实际情况预先设定，以针对于目标无线设备存在的风险做有效的风险控制。
54.在本实施例中，基于目标无线设备的通信地址来确定相对应的风险控制策略。其中，风险控制策略具体可以包括风险类型、风险内容以及风险控制措施。
55.s15：根据所述风险控制策略对所述目标无线设备执行相应的风险控制。
56.在本步骤中，根据确定的风险控制策略对目标无线设备执行风险控制措施。其中，可以根据目标无线设备相应的风险类型、风险内容以及风险控制措施来执行风险控制。实际执行的风险控制措施可以有多项，以快速有效地控制目标无线设备的风险。
57.本技术实施例提供的方案，通过获取至少一个无线设备的通信流量数据；基于所述通信流量数据进行处理得到日志数据，所述日志数据包括通信地址、流量值和时间戳；根据所述至少一个无线设备的日志数据，将通信地址位于预设的风险通信地址范围内、且在预设时间间隔内的流量值总和大于所述预设时间间隔内的流量预警值的无线设备，作为目标无线设备；根据预设的通信地址与风险控制策略的对应关系，确定所述目标无线设备对应的风险控制策略；根据所述风险控制策略对所述目标无线设备执行相应的风险控制。本发明实施例的方案能快速准确地基于流量确定高风险的目标无线设备，进而基于风险控制策略对目标无线设备进行风险控制，有利于及时有效地控制风险。在实际应用中，本方案能通过对无线设备接入系统的流量进行复制，并对流量中的关键网络统计字段数据进行日志保存，然后将关键性的统计数据与其他日志数据进行威胁关联分析，溯源在当前网络环境下，具体造成无线接入设备产生问题的具体威胁问题原因，具体ip与对应上占有带宽的数据统计情况，造成问题ip设备是否存在恶意内网扫描行为、被黑客组织利用攻击等行为，关联跟踪分析出具体安全威胁原因，可以用于安全运营应急响应处理。
58.基于上述实施例提供的方案，可选的，所述目标无线设备的通信地址位于所述风险通信地址范围内，包括：
59.所述目标无线设备的源通信地址位于所述风险源通信地址范围内，或所述目标无线设备的目的通信地址位于所述风险目的通信地址范围内。
60.在本实施例中，风险通信地址范围包括针对于源通信地址的风险源通信地址范围，以及针对于目的通信地址的风险目的通信地址范围。在确定无线设备是否是目标无线设备的步骤中，可以分别从源通信地址和目的通信地址这两方面来确定无线设备是否有风险。
61.举例而言，当无线设备的源通信地址位于风险源通信地址范围内，且无线设备的目的通信地址位于风险目的通信地址范围内时，确定该无线设备是目标无线设备。
62.通过本技术实施例提供的方案，能根据无线设备的源通信地址、目的通信地址来确定无线设备是否具有风险。能快速有效地识别有风险的目标无线设备。
63.基于上述实施例提供的方案，可选的，如图2所示，上述步骤s14，包括：
64.s21：根据预设的通信地址与风险控制策略的对应关系，确定与所述目标无线设备的目的通信地址对应的风险控制策略。
65.在本技术实施例提供的方案中，针对于目标无线设备的目的通信地址来确定要执行的风险控制策略。在实际应用中，目的通信地址能表明风险的类型，进而便于确定有效的风险控制策略。通过本技术实施例提供的方案，能提高确定的风险控制策略对目标无线设备风险控制的有效性。
66.基于上述实施例提供的方案，可选的，如图3所示，在步骤s13之后，还包括：
67.s31：根据无线设备与告警目标的对应关系，确定所述目标无线设备的源通信地址对应的告警目标。
68.在本步骤中，无线设备与告警目标的对应关系可以根据cmdb的配置管理信息确定，该配置管理信息具体可以包括安全运营人员的标识、通信地址、通信方式或其他与告警相关的信息。举例而言，cmdb配置管理信息系统关联信息可以按照以下形式存储：
69.【ip】【部门】【管理员】【联系方式】
70.其中，告警目标包括目标无线设备的源通信地址在预设告警信息中对应的告警目标。在实际应用中，可以通过cmdb配置管理信息的ip与目标无线设备的源ip执行匹配来确定告警目标，具体可以包括部门、管理员和联系方式等信息。
71.s32：根据所述目标无线设备和所述目标无线设备的日志数据向所述告警目标执行告警。
72.在确定告警目标之后，可以按照cmdb中记录的部门、管理员、联系方式等信息执行告警。具体可以将目标无线设备的信息及其日志数据以cmdb中记录的练习方式发送至相应的部门、管理员。以便相应管理员及时查看风险控制的进度，也可以根据实际需求及时作出干预，进一步提高风险控制有效性。
73.基于上述实施例提供的方案，可选的，当所述目标无线设备的数量为多个时，如图4所示，上述步骤s15，包括：
74.s41：分别确定各个所述目标无线设备在所述预设时间间隔内的流量值总和。
75.在本实施例中，目标无线设备的数量可能较多，全部执行风险控制会加大系统的负荷。而且，如果目标无线设备没有收发数据包则不会导致超负荷。本步骤中分别确定各个目标无线设备在预设时间间隔内的流量值总和。该流量值总和即目标无线设备在预设时间间隔内的通信流量数据中数据包的容量总和。
76.s42：根据各个所述目标无线设备的流量值总和对多个所述目标无线设备排序。
77.在本步骤中，根据上述步骤确定的流量值总和对多个目标无线设备执行排序。例如，按照上述流量值总和从大到小的顺序对多个目标无线设备排序，生成排序结果。
78.s43：根据排序结果对预设数量的目标无线设备执行相应的风险控制。
79.当按照上述从大到小的顺序生成排序结果时，在本步骤中可以对排序结果中的前
预设数量个目标无线设备执行风险控制。上述前预设数量个目标无线设备具有一定风险，在预设时间间隔内通信流量较多，可能引发系统超负荷。本步骤中针对这些通信流量较多的目标无线设备执行风险控制，能有效避免系统出现超负荷，保证系统安全，及时有效地控制风险。
80.基于上述实施例提供的方案，可选的，如图5所示，上述步骤s12，包括：
81.s51：根据至少一个无线设备的通信流量数据处理得到多个通信流量消息；
82.s52：将所述通信流量消息插入消息队列；
83.s53：依次获取所述消息队列中的通信流量消息并存储至数据库；
84.s54：解析所述数据库中存储的通信流量消息以得到所述日志数据。
85.在实际应用中，可以对通信流量数据进行复制，并转发给另一台linux服务器，并在这台linux服务器上部署suricata软件，通过软件取得流量数据中的关键字段并保存日志，再由kafkacat软件进行日志的转发，发送到kafka队列上，由日志聚合管理系统graylog对kafka队列进行数据读取并保存到elasticsearch集群数据库中保存，用于后续威胁关联分析。
86.随后，由suricata读取网络流量，生成日志文件，kafkacat读取日志文件发给kafka队列，graylog读取队列数据，保存elasticsearch数据库中，日志格式如下：
87.【源ip】【目的ip】【网络数据包大小】【时间戳】
88.通过收集网络流量字段数据，并写入elasticsearch数据库索引表中保存，形成下面信息日志，拆分的字段如下：
89.【索引名】【源ip】【目的ip】【网络数据包大小】【时间戳】
90.其中，【索引名】是指elasticsearch的表索引名。
91.本技术实施例提供的方案，对通信流量数据中的关键网络数据字段通过suricata软件取得，并保存成日志文件，用kafkacat将日志文件中的内容发送到kafka队列上，graylog日志采集系统取得kafka队列上的数据，保存到elasticsearch数据库中。安全运营人员可以针对网络流量中存在的恶性流量威胁特征，预先通过威胁检测规则创建系统创建威胁检测规则，调用graylog提供的rest api发送给graylog，graylog接收到数据后保存到elasticsearch数据库中。通过定期查询访问graylog提供的rest api接口，查询elasticsearch数据库中的无线设备接入信息网络流量日志数据和创建的威胁检测规则，并根据取得的威胁检测规则，将无线接入设备的日志中的关键数据字段进行数据统计、并与cmdb配置管理信息、威胁情报信息进行关联分析，并将分析的结果通知安全运营人员，进行安全事件应急响应处理。
92.下面，结合图6和图7进一步说明本方案。图6示出了本技术实施例提供的方法流程示意图，图7提供了一种可应用本技术实施例提供的方案的系统结构示意图。
93.根据本技术实施例提供的上述方案，可以将通信流量数据cmdb配置管理信息、威胁情报库ip信息等多种信息进行关联分析，例如，可以涉及如下关联字段信息：
94.无线设备接入系统流量日志信息
95.【源ip】【目的ip】【网络数据包大小】【时间戳】
96.无线设备接入威胁检测规则信息
97.【id】【源ip网段ip地址范围】【目的网段ip地址范围】【检测间隔时间】【预警阈值】
98.cmdb配置管理信息系统关联信息
99.【ip】【部门】【管理员】【联系方式】
100.威胁情报库ip查询信息
101.【ip】【威胁类型】【威胁内容】
102.具体的，可以通过graylog提供的rest api接口取得主要关键日志字段数据，根据通信流量数据按创建的规则将对通信流量数据进行统计，并通过cmdb配置管理信息系统、威胁情报管理系统提供rest api接口，取得对应系统的字段数据进行关联分析。
103.威胁分析系统按指定时间周期取得elasticsearch数据中由安全运营人员提供来的无线设备威胁检测规则，根据规则中的【源ip网段ip地址范围】与【目的网段ip地址范围】的内容，一般为b段网络地址，对无线设备接入系统中的网络数据中符合【源ip网段ip地址范围】的多个源ip的【源ip】与符合【目的网段ip地址范围】的【目的ip】，按无线设备接入威胁检测规则信息中指定的【检测间隔时间】，一般内容值是分钟和秒，以当前时前为开始检索时间，为当前时间加上【检测间隔时间】为结束检索时间，统计所有符合【源ip网段ip地址范围】的n个【源ip】与【目的ip】通信的【网络数据包大小】，【源ip】与【目的ip】是多对多的关系，统计指定的开始时间到与结束时间内，对应【源ip】到【目的ip】通信的的对应【网络数据包大小】总和，形成关联关系，可以按以下形式存储：
104.【源ip
…
1】、【目的ip
…
2】、“当前时间”、“当前时间 【检测间隔时间】”、“总通信网络包大小”。
105.……
106.【源ip
…
n】、【目的ip
…
n】、“当前时间”、“当前时间 【检测间隔时间】”、总通信网络包大小。
107.对上述内容中的所有以“当前时间为开始时间”，“当前时间 【检测间隔时间】”为结束时间的所有字段记录的“总通信网络包大小”进行累加求和，如果求和结果大于无线设备接入威胁检测规则信息中的【预警阈值】，将进行威胁告警，将上述统计表格中的n个【源ip】与cmdb配置信息系统【ip】进行关联取得【源ip】对应的【部门】【管理员】【联系方式】。将n个【目的ip】与威胁情报库ip查询【ip】信息进行关联，取得【威胁类型】【威胁内容】。
108.形成新的统计内容，可以按如下形式存储：
109.【源ip
…
1】【部门】【管理员】【联系方式】、【目的ip
…
2】【威胁类型】【威胁内容】、“当前时间”、“当前时间 【检测间隔时间】”、“总通信网络包大小”。
110.……
111.【源ip
…
n】【部门】【管理员】【联系方式】、【目的ip
…
n】【威胁类型】【威胁内容】、“当前时间”、“当前时间 【检测间隔时间】”、“总通信网络包大小”。
112.随后，以上述内容中的“总通信网络包大小”进行降序排序，将【源ip】【目的ip】占用网络带宽最大的n条记录信息发送的安全运营人员，由安全运营人员根据统计出造成无线设备接入系统网络通信过载最高n个【源ip】设备，与对应访问的【目的ip】在威胁情报中查到的【威胁类型】【威胁内容】生成新的排序顺序表，通知【源ip】的【管理员】，并根据【威胁类型】【威胁内容】威胁程度进行安全应急响应处理，以及时有效地控制风险。
113.在通信技术领域的风险监控场景中往往存在以下缺点：无法对造成无线设备流量过载的具体设备进行溯源定位并得出具体威胁的原因，不可直接在接入设备系统上进行数
据采集，也无法得出消耗带宽量最大设备的管理员归属于者等问题。
114.具体而言，目前往往依赖于相关无线设备接入系统厂商提供的固定化的系统健康监控机制，而这种传统监控机制没有提供造成网络通信带宽消耗的溯源能力，一旦出现内部网络恶意扫描行为，或是某台接入进来的设备被用于ddos攻击利用，无法进行具体ip设备的溯源定位。
115.而且，无法在厂商的设备上安装的部署定制化的各种软件分析系统，因此本技术实施例提供的方案能通过对设备的网络流量进行复制给另外一台常见linux服务的形式，在另外一台服务器上部署相关服务进行相关威胁数据关联分析统计。
116.除此之外，难以在故障发生时间点明确找出造成故障的ip设备所属关系责任人，封闭的第三方系统无法与现有的配置管理数据库(configuration management database,cmdb)的配置管理信息进行关联，进而难以定位问题ip设备的管理员与联系方式，无法自动化完成威胁告警。
117.另外，通常系统只输出传统的syslog日志，日志的内容只与用户管理信息相关，与具体设备的网络流信息不相关，提供的syslog日志无法判定设备流量中存的流量安全威胁。日志的存储历史时长有限，不能自定义数据日志保存时长，不能自动化的管理系统日志数据的有效存放时间长度。
118.本方案实施例提供的方案，通过使用流量复制技术，对进入无线接入设备的网络传输流量进行复制，并对复制的流量中的关键数据进行日志化转存数据库中，根据风险威胁的特征样式创建威胁检测策略规则，应用威胁检测策略规则中的统计原则定义与报警域值定义，对无线接入设备的潜在异常威胁流量进行统计，溯源那些ip设备造成无线设备接入系统网络通信流量过载，并根据统计出的ip与威胁情库系统、cmdb配置管理信息系统进行关联，判断出具体威胁类型，是恶意扫描攻击、还是ddos威胁攻击等原因，造成的系统网络通信拥堵、系统负载过高，同时定位造成问题的ip设备所属管理员，联系方式，自动化的通知安全运维人员具体产生问题的设备、威胁原因、关联人员信息，快速进行应急响应，确保无线设备接入系统在生产环境中安全流畅的运行。
119.通过本技术实施例提供的方案，能在不需要改变现有无线设备接入系统的配置，添加新功能的情况下，提供了无线设备网络传输流量过载的实时分析判断能力、形成对造成系统网络流量处理过载的具体ip设备的统计溯源能力。通过对进入无线设备接入系统的流量，采用流量复制的方式，进行性能与威胁分析，不影响系统在正常生产环境的稳定运行，无论如何变更安全检测策略，也不会打断原有生产系统的正常运行。采用队列缓存形式的方式保存接入设备系统的流量日志数据，让分析系统具备更大的数据实时日志处理能力。改进传统无线设备接入系统只能通过syslog输出日志的方式，实现restapi形式的便捷数据日志查询方式。通过日志聚合系统可以自动化的管理日志数据的保存时长，避免传统人为的删除过期日志的管理方式、避免使用传统脚本处理过期日志数据的低效日志管理方式，通过日志管理系统后台快速配置日志数据保存时长。
120.为了解决现有技术中存在的问题，本技术实施例还提供一种无线设备风险监控装置80，如图8所示，包括：
121.获取模块，获取至少一个无线设备的通信流量数据；
122.处理模块，基于所述通信流量数据进行处理得到日志数据，所述日志数据包括通
信地址、流量值和时间戳；
123.第一确定模块，根据所述至少一个无线设备的日志数据，将通信地址位于预设的风险通信地址范围内、且在预设时间间隔内的流量值总和大于所述预设时间间隔内的流量预警值的无线设备，作为目标无线设备；
124.第二确定模块，根据预设的通信地址与风险控制策略的对应关系，确定所述目标无线设备对应的风险控制策略；
125.控制模块，根据所述风险控制策略对所述目标无线设备执行相应的风险控制。
126.通过本技术实施例提供的装置，通过获取至少一个无线设备的通信流量数据；基于所述通信流量数据进行处理得到日志数据，所述日志数据包括通信地址、流量值和时间戳；根据所述至少一个无线设备的日志数据，将通信地址位于预设的风险通信地址范围内、且在预设时间间隔内的流量值总和大于所述预设时间间隔内的流量预警值的无线设备，作为目标无线设备；根据预设的通信地址与风险控制策略的对应关系，确定所述目标无线设备对应的风险控制策略；根据所述风险控制策略对所述目标无线设备执行相应的风险控制。本发明实施例的方案能快速准确地基于流量确定高风险的目标无线设备，进而基于风险控制策略对目标无线设备进行风险控制，有利于及时有效地控制风险。
127.优选的，本发明实施例还提供一种电子设备，包括处理器，存储器，存储在存储器上并可在所述处理器上运行的计算机程序，该计算机程序被处理器执行时实现上述一种无线设备风险监控方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。
128.本发明实施例还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述一种无线设备风险监控方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。其中，所述的计算机可读存储介质，如只读存储器(read
‑
only memory，简称rom)、随机存取存储器(random access memory，简称ram)、磁碟或者光盘等。
129.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
130.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。
131.上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本发明的保护之内。