电诈案件识别特征的获取方法、装置及其应用与流程

1.本技术涉及计算机安全技术领域，特别是涉及一种电诈案件识别特征的获取方法、装置及其应用。


背景技术：

2.电信诈骗是指通过电话、网络和短息方式，编造虚假信息，设置骗局，对受害人实施远程、非接触式诈骗，诱使受害人打款或转账的犯罪行为，通常以冒充他人及仿冒、伪造各种合法外衣和形式的方式达到欺骗的目的。
3.随着科技的发展，新型网络诈骗——电信诈骗案件持续高发，诈骗团伙为了实施诈骗和逃避取证，使用到的技术手段也在不断提高，目前常见电信诈骗的作案工具已经主要转变为诈骗团伙编写的移动应用程序和搭建的用于实施诈骗的网站，并且由于这种特殊的作案方式，在作案手法、作案特点、作案地点等与传统案件存在较大差异，诈骗团伙分工明确且高度模式化，留下的犯罪“痕迹”皆为数字形态，通过传统的侦查手段、串并案件手段无法高效的进行案件串并，为电信诈骗案件的侦破带来了更大的难度。


技术实现要素：

4.本技术提供了一种电诈案件识别特征的获取方法和电诈案件串并方法。
5.第一方面，本技术实施例提供了一种电诈案件识别特征的获取方法，通过提取电诈案件中涉诈工具的各种特征信息，构建该涉诈工具对应的电诈案件的识别特征。该方法包括以下步骤：
6.获取涉诈工具的身份特征信息，其中所述涉诈工具至少对应一电诈案件；
7.运行所述涉诈工具并捕获所述涉诈工具的网络行为信息，根据所述网络行为信息提取所述涉诈工具的行为特征信息；
8.将所述涉诈工具的身份特征信息和所述行为特征信息归集为对应所述电诈案件的识别特征。
9.在一些申请实施例中，所述行为特征信息包括所述涉诈工具使用的第三方服务的注册特征信息和/或所述涉诈工具访问的主体服务的主体特征信息。
10.在一些申请实施例中，所述涉诈工具为涉诈应用程序或涉诈网站；当所述涉诈工具为所述涉诈应用程序时，所述身份特征信息包括所述涉诈工具的工具特征信息和第三方授权特征信息；当所述涉诈工具为所述涉诈网站时，所述身份特征信息包括所述涉诈网站的网络地址。
11.第二方面，本技术实施例提供了一种电诈案件串并方法，通过使用第一方面所述的任一方法，提取多起历史电诈案件的识别特征和目标案件的识别特征并进行对匹配，实现自动寻找与目标电诈案件相关联的历史电诈案件。该方法包括以下步骤：
12.根据第一方面任一所述的电诈案件识别特征的获取方法，获取目标电诈案件的第一识别特征以及至少一历史电诈案件的第二识别特征；
13.将所述第一识别特征与每一所述第二识别特征进行匹配，获取与所述目标电诈案件相关联的所述历史电诈案件。
14.在另一实施例中，“将所述第一识别特征与每一所述第二识别特征进行匹配，获取与所述目标电诈案件相关联的所述历史电诈案件”包括：所述第一识别特征和所述第二识别特征均包括至少一特征值，将每一所述第二识别特征中的所述特征值与所述第一识别特征中对应的特征值进行对比，若与所述第一识别特征中任一所述特征值相同，则所述第二识别特征对应的所述历史电诈案件为所述目标电诈案件的关联案件。
15.第三方面，本技术实施例提供了一种电诈案件识别特征的获取装置，用于实现第一方面中所述的电诈案件识别特征的获取方法，该装置包括以下模块：
16.第一获取模块，用于获取涉诈工具的身份特征信息，其中所述涉诈工具至少对应一电诈案件；
17.特征提取模块，用于运行所述涉诈工具并捕获所述涉诈工具的网络行为信息，根据所述网络行为信息提取所述涉诈工具的行为特征信息；
18.特征归集模块，用于将所述涉诈工具的身份特征信息和所述行为特征信息归集为对应所述电诈案件的识别特征。
19.第四方面，本技术实施例提供了一种电诈案件串并装置，用于实现第二方面中所述的电诈案件串并方法，该装置包括以下模块：
20.第二获取模块，用于根据权利要求1至3任一所述的电诈案件识别特征的获取方法，获取目标电诈案件的第一识别特征以及至少一历史电诈案件的第二识别特征；
21.案件串并模块，用于将所述第一识别特征与每一所述第二识别特征进行匹配，获取与所述目标电诈案件相关联的所述历史电诈案件。
22.第五方面，本技术实施例提供了一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以如上任意申请实施例所述的基于涉诈工具串并电诈案件的方法。
23.第六方面，本技术实施例提供了一种计算机程序产品，所述计算机程序产品包括软件代码部分，当所述计算机程序产品在计算机上被运行时，所述软件代码部分用于执行如上任一申请实施例所述的基于涉诈工具串并电诈案件的方法。
24.第七方面，本技术实施例提供了一种可读存储介质，所述可读存储介质中存储有计算机程序，所述计算机程序包括用于控制过程以执行过程的程序代码，所述过程包括根据如上任意申请实施例所述的基于涉诈工具串并电诈案件的方法。
25.本技术的主要贡献和创新点如下：
26.本技术提出了一种电诈案件识别特征的获取方法、装置及其应用，主要包括电诈案件识别特征的获取方法以及电诈案件串并方法。
27.电诈案件识别特征的获取方法通过获取涉诈工具的身份特征信息以及运行涉诈工具并捕获其网络行为信息，根据捕获的网络行为信息提取出该涉诈工具的行为特征信息，将该涉诈工具的身份特征信息和行为特征信息归集为对应电诈案件的识别特征。从涉诈工具的角度来解析电诈案件，为电诈案件提供一种特殊的识别特征。
28.电诈案件串并方法通过使用电诈案件识别特征的获取方法，获取目标电诈案件的识别特征和多起历史电诈案件的识别特征进行匹配，筛选出与目标电诈案件相关联的电诈
案件，实现电诈案件的高效串并，不仅可以极大提高相关部门对此类案件的串并效率、串并准确率，还可以将更多历史案件的识别特征整合到一起，为电诈案件的侦破提供更加强大的数据支持。
29.本技术的一个或多个实施例的细节在以下附图和描述中提出，以使本技术的其他特征、目的和优点更加简明易懂。
附图说明
30.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
31.图1是根据本技术实施例的电诈案件识别特征的获取方法的流程图；
32.图2是根据本技术实施例的诈案件串并方法的流程图；
33.图3是根据本技术实施例的诈案件串并方法的案件串并效果示意图；
34.图4是根据本技术实施例的电子装置的硬件结构示意图。
具体实施方式
35.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书一个或多个实施例相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本说明书一个或多个实施例的一些方面相一致的装置和方法的例子。
36.需要说明的是：在其他实施例中并不一定按照本说明书示出和描述的顺序来执行相应方法的步骤。在一些其他实施例中，其方法所包括的步骤可以比本说明书所描述的更多或更少。此外，本说明书中所描述的单个步骤，在其他实施例中可能被分解为多个步骤进行描述；而本说明书中所描述的多个步骤，在其他实施例中也可能被合并为单个步骤进行描述。
37.实施例一
38.本实施例提供了一种电诈案件识别特征的获取方法，通过获取涉诈工具的身份特征信息和行为特征信息归集出该涉诈工具对应电诈案件的识别特征。该方法如图1所示，包括以下步骤：
39.获取涉诈工具的身份特征信息，其中所述涉诈工具至少对应一电诈案件；
40.运行所述涉诈工具并捕获所述涉诈工具的网络行为信息，根据所述网络行为信息提取所述涉诈工具的行为特征信息；
41.将所述涉诈工具的身份特征信息和所述行为特征信息归集为对应所述电诈案件的识别特征。
42.首先，获取涉诈工具的身份特征信息。
43.涉诈工具主要包括两种，一种是涉诈应用程序，另一种是社涉诈网站。涉诈应用程序又可以分为移动应用程序和客户端应用程序，当前电诈案件中使用最多的是移动应用程序，也就是移动设备上常见的各种app。
44.当涉诈工具为涉诈应用程序时，身份特征信息包括涉诈工具的工具特征信息和第
三方授权特征信息；当涉诈工具为涉诈网站时，身份特征信息主要为涉诈网站的网络地址。
45.其中，工具特征信息主要包括应用程序名称、md5值、签名信息证书；第三方授权特征信息主要包括第三方服务商授权给该涉诈工具使用的唯一标识码。
46.以安卓应用程序为例，使用常见的apk逆向工具对该安卓应用程序进行反汇编得到工具特征信息和配置文件，解析该配置文件并根据预设的活动规则库可以识别到第三方服务商授权给该涉诈工具使用唯一标识码。
47.例如，某起电诈案件中使用到了一款名为“x国x券”的安卓应用程序，对该安卓应用程序进行反汇编，得到名为“androidmanifest.xml”的配置文件以及安卓应用程序名称、md5值和签名信息证书。
48.需要说明的是，androidmanifest.xml是每个安卓应用程序中必须的配置文件，向安卓构建工具、安卓操作系统和googleplay描述该安卓应用程序的基本信息，包括该安卓应用程序使用到的组件、需要申请的权限、需要的硬件和软件功能、兼容的安卓版本等等，其中安卓应程序使用到的组件又包括活动、服务、广播接收器、内容等等。
49.解析androidmanifest.xml，根据预设的活动规则库识别该配置文件中第三方服务商授予该涉诈工具的唯一标识码。通常，应用程序可以直接购买使用第三方sdk服务，第三方服务商授权该涉诈工具使用的唯一标识码是不会重复的，例如，根据预设的活动规则库识别到配置文件中包含活动识别标识“umeng_appkey”和“unityplayer.unityactivity”，而预设的活动规则库中，“umeng_appkey”对应的第三方服务商是“友盟x送”，“unityplayer.unityactivity”对应的第三方服务商是unity。因此可以获取到第三方服务商“友盟x送”授权给“x国x券”使用的唯一标识码和在第三方服务商unity授权给“x国x券”使用的唯一标识码。
50.其中，根据预设的活动规则库，还可以将第三方服务商分为分发服务商、推送服务商以及客服服务商等等。因此不同类型的服务商使用的唯一标识码也是不同的，这样做的好处是可以针对每一种类的第三方服务商都关联到对应的电诈案件，例如存在使用相同分发服务商的涉诈工具的电诈案件、存在使用相同推送服务商的涉诈工具的电诈案件、或者存在使用相同即时消息服务商的涉诈工具的电诈案件等。
51.然后，运行该涉诈工具，监控涉诈工具的接口调用情况并捕获网络行为信息，根据网络行为信息提取该涉诈工具的行为特征信息。
52.其中，网络行为信息是指在运行涉诈工具后，涉诈工具进行的一系列访问网络的行为，在访问某个网站或者进行网络交互时，会发出或收到各种各样的数据包，解析这些数据包就可以提出出涉诈工具的行为特征信息。
53.行为特征信息包括涉诈工具使用的第三方服务的注册特征信息和/或该涉诈工具访问的主体服务的主体特征信息。
54.注册特征信息主要是指该涉诈工具在使用第三方服务时填写的可以关联到诈骗团伙身份的相关信息，例如注册人、注册手机号以及注册邮箱等等。
55.主体特征信息主要是指涉诈工具在运行时，捕获到的网络行为信息中的主要访问网站、域名或域名组、服务器地址组等等。
56.具体的，可以在沙盒中运行这些涉诈工具。需要说明的是，沙盒在计算机安全领域中是一种安全机制，为运行中的程序提供的隔离环境。通常是作为一些来源不可信、具破坏
力或无法判定程序意图的程序提供实验之用。这样可以减少涉诈工具对实验环境活着实现系统的破坏概率。
57.例如，某起电诈案件中使用的作案工具为某一网站，将该网站作为涉诈网站，并通过沙盒运行浏览器访问该涉诈网站，根据访问网络时捕获的网络行为信息，例如http、https请求等，可以解析这些网络请求得到需要的行为特征信息，例如，该涉诈网站主要访问的一些网站、该涉诈网站的域名组、服务器地址组等等作为主体特征信息，以及使用第三方服务时网络行为信息中的注册人、注册手机、注册邮箱等等作为注册特征信息。
58.值得一提的是，诈骗团伙在使用第三方服务时，通常会使用相同或者相近的注册信息，也就是说如果涉诈工具中的注册特征信息有明显的关联，例如几个涉诈工具的购买第三方服务时使用的注册人、注册手机或者注册邮箱为相同时，这几个涉诈工具对应的电诈案件极大可能是同一团伙或者关联团伙实施的。
59.实施例二
60.本实施例提供了一种电诈案件串并方法，应用实施例一中任一所述的电诈案件识别特征的获取方法，实现根据电诈案件的识别特征自动串并电诈案件。
61.该方法如图2所示，包括以下步骤：
62.根据实施例一中任一所述的电诈案件识别特征的获取方法，获取目标电诈案件的第一识别特征以及至少一历史电诈案件的第二识别特征；
63.将所述第一识别特征与每一所述第二识别特征进行匹配，获取与所述目标电诈案件相关联的所述历史电诈案件。
64.本实施例提供的方法可以判断两件电诈案件是否有关联，也可以选择一电诈案件作为目标电诈案件，判断该目标电诈案件是否与其他电诈案件有关联。
65.具体的，根据实施例一中的方法获取目标电诈案件的识别特征作为第一识别特征，并获取至少一个历史电诈案件的识别特征作为第二识别特征。将第一识别特征与每一第二识别特征进行匹配，可以根据第一识别特征与第二识别特征的总体相似度或者部分相似度进行判断，获取与目标电诈案件相关联的历史电诈案件。
66.第一种判断方式是，将第一识别特征与第二识别特征直接进行匹配，完全匹配活着匹配度超过预设值的可以直接将两者对应的电诈案件进行串并。
67.第二种判断方式是，将第一识别特征与第二识别特征进行部分匹配。根据实施例一可知，识别特征包括了涉诈工具的身份特征信息和行为特征信息。可以判断身份特征信息或行为特征信息其中任意一个完全匹配或者超过预设值时，将两者对应的电诈案件进行串并。
68.第三种判断方式是，将第一识别特征中包含的元信息与第二识别特征中对应的元信息进行一一匹配。需要说明的是，元信息在本实施例中指的是任意特征信息中包含的最小单元的信息。
69.例如，不同的涉诈工具又包括身份特征信息中的元信息的数量是不同的。当涉诈工具为涉诈应用程序时，身份特征信息可以包括应用程序名称、md5值、签名信息证书以及一个第三方服务商授权的该涉诈工具使用的唯一标识码这4个元信息；当涉诈工具为涉诈网站时，身份特征信息包括涉诈网站的网络地址这1个元信息。因此，如图3所示，目标电诈案件中的涉诈工具包括11个元信息。将这11个元信息与第二识别特征中对应的元信息进行
一一匹配，可以为第一识别特征中的每一个元信息都关联到对应的历史电诈案件，进而从更多维度为目标电诈案件的侦破提供线索。
70.需要说明的，本实施例所述的历史电诈案件可以是任何已知且可获得涉诈工具的电诈案件，仅用于分析是否与目标电诈案件有关联之处。
71.进一步的，还可以使用实施例一的方法收集更多的电诈案件的识别特征，构建电诈案件识别特征库，保留下每一起电诈案件的识别特征，以便于在发生新的电诈案件时，快速分析新的电诈案件与历史电诈案件之间的联系。
72.实施例二
73.基于相同的构思，本实施例还提供了一种电诈案件识别特征的获取装置，用于实现实施例一中所描述的电诈案件识别特征的获取方法，该装置包括：
74.第一获取模块，用于获取涉诈工具的身份特征信息，其中所述涉诈工具至少对应一电诈案件；
75.特征提取模块，用于运行所述涉诈工具并捕获所述涉诈工具的网络行为信息，根据所述网络行为信息提取所述涉诈工具的行为特征信息；
76.特征归集模块，用于将所述涉诈工具的身份特征信息和所述行为特征信息归集为对应所述电诈案件的识别特征。
77.实施例三
78.基于相同的构思，本实施例还提供了一种电诈案件串并装置，用于实现实施例一中所描述的电诈案件串并方法，该装置包括：
79.第二获取模块，用于根据权利要求1至3任一所述的电诈案件识别特征的获取方法，获取目标电诈案件的第一识别特征以及至少一历史电诈案件的第二识别特征；
80.案件串并模块，用于将所述第一识别特征与每一所述第二识别特征进行匹配，获取与所述目标电诈案件相关联的所述历史电诈案件。
81.8.一种电子装置，包括存储器和处理器，其特征在于，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行权利要求1至3任一所述的电诈案件识别特征的获取方法或权利要求4至5任一所述的电诈案件串并方法。
82.实施例四
83.本实施例还提供了一种电子装置，参考图4，包括存储器404和处理器402，该存储器404中存储有计算机程序，该处理器402被设置为运行计算机程序以执行上述实施例中的任意一种基于涉诈工具串并电诈案件的方法的步骤。
84.具体地，上述处理器402可以包括中央处理器(cpu)，或者特定集成电路(application specific integrated circuit，简称为asic)，或者可以被配置成实施本技术实施例的一个或多个集成电路。
85.其中，存储器404可以包括用于数据或指令的大容量存储器404。举例来说而非限制，存储器404可包括硬盘驱动器(hard disk drive，简称为hdd)、软盘驱动器、固态驱动器(solid state drive，简称为ssd)、闪存、光盘、磁光盘、磁带或通用串行总线(universal serial bus，简称为usb)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器404可在数据处理装置的内部或外部。在特定实施例中，存储器404是非易失性(non-volatile)存储器。在特定实施例中，存储器404包括只读存储器(read-only memory，简称
为rom)和随机存取存储器(random access memory，简称为ram)。在合适的情况下，该rom可以是掩模编程的rom、可编程rom(programmable read-only memory，简称为prom)、可擦除prom(erasable programmable read-only memory，简称为eprom)、电可擦除prom(electrically erasable programmable read-only memory，简称为eeprom)、电可改写rom(electrically alterable read-only memory，简称为earom)或闪存(flash)或者两个或更多个以上这些的组合。在合适的情况下，该ram可以是静态随机存取存储器(static random-access memory，简称为sram)或动态随机存取存储器(dynamic random access memory，简称为dram)，其中，dram可以是快速页模式动态随机存取存储器404(fast page mode dynamic random access memory，简称为fpmdram)、扩展数据输出动态随机存取存储器(extended date out dynamic random access memory，简称为edodram)、同步动态随机存取内存(synchronous dynamic random-access memory，简称sdram)等。
86.存储器404可以用来存储或者缓存需要处理和/或通信使用的各种数据文件，以及处理器402所执行的可能的计算机程序指令。
87.处理器402通过读取并执行存储器404中存储的计算机程序指令，以实现上述实施例中的任意一种基于涉诈工具串并电诈案件的方法。
88.可选地，上述电子装置还可以包括传输设备406以及输入输出设备408，其中，该传输设备406和上述处理器402连接，该输入输出设备408和上述处理器402连接。
89.传输设备406可以用来经由一个网络接收或者发送数据。上述的网络具体实例可包括电子装置的通信供应商提供的有线或无线网络。在一个实例中，传输设备包括一个网络适配器(network interface controller，简称为nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输设备406可以为射频(radio frequency，简称为rf)模块，其用于通过无线方式与互联网进行通讯。
90.输入输出设备408用于输入或输出信息。在本实施例中，输入的信息可以是当前数据表例如疫情流调文档、特征数据、模板表等，输出的信息可以是特征指纹、指纹模板、文本分类推荐信息、文件模板配置映射表、文件模板配置信息表等。
91.可选地，在本实施例中，上述处理器402可以被设置为通过计算机程序执行以下步骤：
92.获取涉诈工具的身份特征信息，其中所述涉诈工具至少对应一电诈案件；
93.运行所述涉诈工具并捕获所述涉诈工具的网络行为信息，根据所述网络行为信息提取所述涉诈工具的行为特征信息；
94.将所述涉诈工具的身份特征信息和所述行为特征信息归集为对应所述电诈案件的识别特征。
95.或者执行以下步骤：
96.根据实施例一中所述的电诈案件识别特征的获取方法，获取目标电诈案件的第一识别特征以及至少一历史电诈案件的第二识别特征；
97.将所述第一识别特征与每一所述第二识别特征进行匹配，获取与所述目标电诈案件相关联的所述历史电诈案件。
98.需要说明的是，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。
99.另外，结合上述实施例一中的任意一种基于涉诈工具串并电诈案件的方法，本技术实施例可一种计算机程序产品来实现。该计算机程序产品该计算机程序产品包括软件代码部分，当所述计算机程序产品在计算机上被运行时，所述软件代码部分用于执行实现上述实施例一中的任意一种基于涉诈工具串并电诈案件的方法。
100.并且，结合上述实施例一中的任意一种基于涉诈工具串并电诈案件的方法，本技术实施例可提供一种可读存储介质来实现。该可读存储介质上存储有计算机程序；该计算机程序被处理器执行时实现上述实施例中的任意一种基于涉诈工具串并电诈案件的方法。
101.通常，各种实施例可以以硬件或专用电路、软件、逻辑或其任何组合来实现。本发明的一些方面可以以硬件来实现，而其他方面可以以可以由控制器、微处理器或其他计算设备执行的固件或软件来实现，但是本发明不限于此。尽管本发明的各个方面可以被示出和描述为框图、流程图或使用一些其他图形表示，但是应当理解，作为非限制性示例，本文中描述的这些框、装置、系统、技术或方法可以以硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算设备或其某种组合来实现。
102.本发明的实施例可以由计算机软件来实现，该计算机软件由移动设备的数据处理器诸如在处理器实体中可执行，或者由硬件来实现，或者由软件和硬件的组合来实现。包括软件例程、小程序和/或宏的计算机软件或程序(也称为程序产品)可以存储在任何装置可读数据存储介质中，并且它们包括用于执行特定任务的程序指令。计算机程序产品可以包括当程序运行时被配置为执行实施例的一个或多个计算机可执行组件。一个或多个计算机可执行组件可以是至少一个软件代码或其一部分。另外，在这一点上，应当注意，如图中的逻辑流程的任何框可以表示程序步骤、或者互连的逻辑电路、框和功能、或者程序步骤和逻辑电路、框和功能的组合。软件可以存储在诸如存储器芯片或在处理器内实现的存储块等物理介质、诸如硬盘或软盘等磁性介质、以及诸如例如dvd及其数据变体、cd等光学介质上。物理介质是非瞬态介质。
103.本领域的技术人员应该明白，以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
104.以上实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本技术范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。