携带伪基站的可疑用户检测方法、装置、计算机设备与流程

1.本发明实施例涉及通信技术领域，具体涉及一种携带伪基站的可疑用户检测方法、装置、计算机设备。


背景技术：

2.伪基站，是一种利用gsm单向认证缺陷的非法无线电通信设备，可以暂时掐断手机与运营商基站的联系，取而代之向手机发送垃圾信息，更可怕的是能够窃取到用户的电话号码信息。现有技术方案中对伪基站的检测依赖于终端或者新增检测模块，终端侧需添加防止接入伪基站的新功能，由于大量已发布的终端是无防止接入伪基站的新功能的，其无法识别伪基站，导致仍然会接入伪基站；利用检测模块检测伪基站时，在确认伪基站所在区域以及利用检测伪基站的工具时，由于伪基站的流动性，很难实现跟踪定位，导致检测伪基站时目的性较差、准确率低，无法适用于实际运维中对伪基站的全面检测。


技术实现要素：

3.鉴于上述问题，本发明实施例提供了一种携带伪基站的可疑用户检测方法，用于解决现有技术中存在的伪基站检测准确率低的问题。
4.根据本发明实施例的一个方面，提供了一种携带伪基站的可疑用户检测方法，所述方法包括：
5.获取信令数据，其中，所述信令数据中包括待筛选用户的异常位置更新信息；
6.根据所述异常位置更新信息统计预设时段内在同一驻留小区发生异常位置更新次数小于预设阈值的待筛选用户，作为目标用户；
7.将所述目标用户按照异常位置更新次数进行排序，获取排序前第一预设数量的目标用户，形成目标用户清单；
8.根据所述目标用户异常位置更新信息，获取所述目标用户清单中所述目标用户在所述预设时段内的轨迹，其中，所述轨迹包括所述目标用户在所述预设时段内的驻留小区信息；
9.基于所述轨迹，在所述驻留小区中筛选出所述目标用户的驻留时长大于预设时长的驻留小区，作为目标小区；
10.获取所述目标小区中的位置更新失败的用户数，将所述位置更新失败的用户数大于第二预设数量的目标小区，作为疑似小区；
11.根据所述轨迹，将所述目标用户清单中驻留过所述疑似小区的目标用户确定为可疑用户。
12.在一种可选的方式中，获取信令数据，包括：从a口信令中获取信令数据，其中，所述a口信令包括更新信息，所述更新信息包括用户标识、驻留小区、位置区、异常位置更新信息及更新时间。
13.在一种可选的方式中，根据所述异常位置更新信息统计预设时段内在同一驻留小
区发生异常位置更新次数小于预设阈值的待筛选用户，作为目标用户，包括：
14.从a口信令的更新信息中获取待筛选用户对应的异常位置更新信息及对应的驻留小区；
15.统计所述待筛选用户在同一驻留小区出现异常位置更新次数；
16.将出现异常位置更新次数大于预设阈值的待筛选用户，确定为目标用户。
17.在一种可选的方式中，根据所述轨迹，将所述目标用户清单中驻留过所述疑似小区的目标用户确定为可疑用户，包括：
18.确定在可疑用户清单中且轨迹覆盖疑似小区的目标用户；
19.将在可疑用户清单中且轨迹覆盖疑似小区的目标用户确定为可疑用户。
20.在一种可选的方式中，确定在目标用户清单中且轨迹覆盖疑似小区的目标用户之后，还包括以下步骤：
21.确定所述目标用户是否携带工程机；
22.当所述目标用户在目标用户清单中、轨迹覆盖疑似小区且携带工程机时，将所述目标用户确定为可疑用户。
23.根据本发明实施例的另一方面，提供了一种携带伪基站的可疑用户检测装置，包括：
24.数据获取模块，用于获取信令数据，其中，所述信令数据中包括至少一个待筛选用户的异常位置更新信息；
25.第一筛选模块，用于根据所述异常位置更新信息统计预设时段内在同一驻留小区发生异常位置更新次数小于预设阈值的待筛选用户，作为目标用户；
26.第二筛选模块，用于将所述目标用户按照异常位置更新次数进行排序，获取排序前第一预设数量的目标用户，形成目标用户清单；
27.轨迹确定模块，用于根据所述目标用户异常位置更新信息，获取所述目标用户清单中所述目标用户在所述预设时段内的轨迹，其中，所述轨迹包括所述目标用户在所述预设时段内的驻留小区信息；
28.目标小区确定模块，用于基于所述轨迹，在所述驻留小区中筛选出所述目标用户的驻留时长大于预设时长的驻留小区，作为目标小区；
29.疑似小区确定模块，用于获取所述目标小区中的位置更新失败的用户数，将所述位置更新失败的用户数大于第二预设数量的目标小区，作为疑似小区；
30.可疑用户确定模块，用于根据所述轨迹，将所述目标用户清单中驻留过所述疑似小区的目标用户确定为可疑用户。
31.在一种可选的方式中，获取信令数据，包括：从a口信令中获取信令数据，其中，所述a口信令包括更新信息，所述更新信息包括用户标识、驻留小区、位置区、异常位置更新信息及更新时间。
32.在一种可选的方式中，第一筛选模块根据所述异常位置更新信息统计预设时段内在同一驻留小区发生异常位置更新次数小于预设阈值的待筛选用户，作为目标用户，包括：
33.从a口信令的更新信息中获取待筛选用户对应的异常位置更新信息及对应的驻留小区；
34.统计所述待筛选用户在同一驻留小区出现异常位置更新次数；
35.将出现异常位置更新次数大于预设阈值的待筛选用户，确定为目标用户。
36.根据本发明实施例的另一方面，提供了一种携带伪基站的可疑用户检测设备，包括处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；
37.所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行上述的携带伪基站的可疑用户检测方法的操作
38.根据本发明实施例的又一方面，提供了一种计算机可读存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令在携带伪基站的可疑用户检测设备/装置上运行时，使得携带伪基站的可疑用户检测设备/装置执行上述的携带伪基站的可疑用户检测方法的操作。
39.本发明实施例根据异常位置更新次数，输出可疑用户清单，并根据用户位置更新记录，确定可疑用户轨迹，根据可疑用户轨迹及可疑用户在驻留小区的驻留时间及驻留小区的更新失败用户数，从而确定携带伪基站的可疑用户，能够不依赖于终端或者新增检测模块，可针对检测难度大的流动伪基站进行检测，提高了检测的全面性及准确率。
40.上述说明仅是本发明实施例技术方案的概述，为了能够更清楚了解本发明实施例的技术手段，而可依照说明书的内容予以实施，并且为了让本发明实施例的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。
附图说明
41.附图仅用于示出实施方式，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
42.图1示出了本发明实施例提供的携带伪基站的可疑用户检测方法的流程示意图；
43.图2示出了本发明实施例提供的携带伪基站的可疑用户检测装置的结构示意图；
44.图3示出了本发明实施例提供的携带伪基站的可疑用户检测设备的结构示意图。
具体实施方式
45.下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。
46.本发明实施例所出现的名称解释如下：
47.a口信令：gsm网a接口是指bsc(基站控制器)和msc(移动业务交换中心)之间的接口，时无线、核心网的交界。可通过a接口信令检测获得用户的位置信息、业务类型信息等。
48.位置区：最大可以等同于一个msc区，最小可以等同为一个小区的覆盖范围，是对用户发起寻呼的时候的区域，一般是若干个相邻基站的覆盖区域的总和。
49.msc区：在该区域内，有共同的编码方法及路由规划，有一个移动交换中心控制区域称为msc业务区，一个msc区包含一个或多个位置区。
50.小区：也叫蜂窝区，理想形状是正六边形，一个小区包含一个基站。
51.ci：小区识别(cell identity)。
52.msisdn(mobile subscriber international isdn/pstn number(isdn即是综合
业务数字网，integrated service digital network))：指主叫用户为呼叫gsm plmn中的一个移动用户所需拨的号码，作用同于固定网pstn号码；是在公共电话网交换网络编号计划中，唯一能识别移动用户的号码。
53.lac:(location area code移动通信系统中位置区编码)，是为寻呼而设置的一个区域。
54.图1示出了本发明携带伪基站的可疑用户检测方法实施例的流程图，该方法由计算机设备执行。该计算机设备可以是用户终端、电脑、云平台等电子设备。如图1所示，该方法包括以下步骤：
55.步骤110：获取信令数据，其中，所述信令数据中包括待筛选用户的异常位置更新信息。
56.其中，从a口信令(signal a)中获取信令数据，所述a口信令记录包括至少一个待筛选用户更新信息，该更新信息包括待筛选用户的用户标识、驻留小区、位置区、异常位置更新信息及更新时间。其中，异常位置更新信息包括在预设时段异常位置区。根据在预设时段信令数据中出现异常位置区的次数，确定异常更新次数。本发明实施例中，a口信令记录的更新信息还包括正常位置更新、周期性位置更新及imsi附着更新、呼叫开始时间、呼叫结束时间等。
57.本发明实施例中，可通过跨接技术来获取a口信令记录。
58.其中，用户标识为用户msisdn，也即用户识别码。根据a口信令数据中的字段可获取如下信息，其中，各个信息的解释如下表所示：
[0059][0060]
通过从a口信令记录中读取上述相应的字段，即可获得对应的信息。具体地，通过读取msisdn字段，可以获得待筛选用户的用户标识，也即唯一能识别待筛选用户的号码；通过读取小区字段，可以获取待筛选用户在预设时间所驻留过的驻留小区；通过读取位置区，可以获取待筛选用户发起寻呼的区域；通过读取异常位置区，可以获取位于异常位置区的待筛选用户。
[0061]
步骤120：根据所述异常位置更新信息统计预设时段内在同一驻留小区发生异常位置更新次数小于预设阈值的待筛选用户，作为目标用户。
[0062]
其中，对流动伪基站来说，嫌疑人在移动状态，在同一小区下不会出现多次异常位置更新，所以对于发生异常位置更新的待筛选用户，在同一驻留小区发生异常位置更新的次数应较少。因此，统计预设时段内在同一驻留小区发生异常位置更新次数小于预设阈值的待筛选用户，作为目标用户。本发明实施例并不具体限定预设阈值，可以是本领域技术人
员依据具体场景进行设置。例如，可以为1-5。当预设阈值为5时，表征当待筛选用户在同一驻留小区发生异常位置更新的次数小于5时，则确定待筛选用户为目标用户。
[0063]
预设时段可以为获取信令数据的周期，如可以确定一天内的目标用户，因此，获取信令数据的周期为一天。获取一天内的信令数据，并分析一天内在同一驻留小区发生异常位置更新次数小于预设阈值的待筛选用户，作为目标用户。
[0064]
其中，可根据信令数据中的字段，从而确定每一个待筛选用户的msisdn、imsi、小区个数、位置区个数、位置更新总次数、异常位置更新次数、同一小区发生异常位置更新次数、手机型号及归属地，具体统计信息如下表所示：
[0065][0066]
其中，可根据信令数据中的字段统计异常位置更新次数，并以小区为维度，统计异常位置更新次数出现在每一驻留小区的次数，作为同一小区发生异常位置更新的次数。
[0067]
具体地，根据所述异常位置更新信息统计预设时段内在同一驻留小区发生异常位置更新次数小于预设阈值的待筛选用户，作为目标用户，包括：从a口信令的更新信息中获取待筛选用户对应的异常位置更新信息及对应的驻留小区；
[0068]
统计所述待筛选用户在同一驻留小区出现异常位置更新次数；
[0069]
将出现异常位置更新次数大于预设阈值的待筛选用户，确定为目标用户
[0070]
步骤130：将所述目标用户按照异常位置更新次数进行排序，获取排序前第一预设数量的目标用户，形成目标用户清单。
[0071]
本发明实施例中，根据信令数据中的字段信息对目标用户清单中的目标用户在预设时间段内的异常位置更新次数。
[0072]
其中，将所述目标用户按照异常位置更新次数由多至少排序，将排序靠前第一预设数量的目标用户，形成目标用户清单。其中，本发明实施例并不具体限定第一预设数量的
具体数值，可以是本领域技术人员依据具体场景进行设置的。如，第一预设数量可以为100。也即，目标用户清单为top100清单，目标用户清单上的目标用户为异常位置更新次数排名前100的目标用户。
[0073]
步骤140：根据所述目标用户异常位置更新信息，获取所述目标用户清单中目标用户在所述预设时段内的轨迹，其中，所述轨迹包括所述目标用户在所述预设时段内的驻留小区信息。
[0074]
其中，对于预设时段内的信令数据，其包括预设时段内目标用户清单上的目标用户的更新信息，包括更新时间、用户标识、驻留小区、位置区及异常位置更新信息。
[0075]
根据信令数据中预设时段内的更新时间及驻留小区确定目标用户清单上每一目标用户的轨迹信息。
[0076]
本发明实施例中，还将目标用户清单及目标用户对应的轨迹信息进行输出显示。用户可在界面上通过多组查询条件，如时间、位置更新后的lac，来查询目标用户的相关信息。
[0077]
步骤150：基于所述轨迹，在所述驻留小区中筛选出所述目标用户的驻留时长大于预设时长的驻留小区，作为目标小区。
[0078]
其中，对轨迹信息中的更新时间进行统计，得到每一个目标用户在每一驻留小区的驻留时间，从而统计每一个驻留小区的驻留时长，在所述驻留小区中筛选出所述目标用户的驻留时长大于预设时长的驻留小区，作为目标小区。也即,统计a口信令中，每一个目标用户在某驻留小区连续出现的数据记录中，第一次记录的时间与最后一次记录的时间的差值，得到每一个目标用户在每个驻留小区的驻留时长。
[0079]
本发明实施例中不对驻留时长做具体限定，本领域的技术人员可以依据具体场景设置，例如，本发明的一个实施例中，驻留时长可以为一个小时。
[0080]
步骤160：获取所述目标小区中的位置更新失败的用户数，将所述位置更新失败的用户数大于第二预设数量的目标小区，作为疑似小区。
[0081]
其中，根据a口信令记录统计在目标小区中出现位置更新失败的用户数,当目标小区的位置更新失败的用户数大于第二预设数量时,将对应的目标小区确定为疑似小区。
[0082]
其中，位置更新失败包括位置更新拒绝导致的位置更新失败、鉴权失败导致的位置更新失败以及其他原因位置更新失败等，这些数据均可通过a口信令数据记录获得。
[0083]
本发明实施例中，第二预设数量为100，也即当某目标小区中的位置更新失败的用户数达到100以上时，确定该目标小区为疑似小区。疑似小区为较大概率存在移动伪基站的小区。
[0084]
步骤170：根据所述轨迹，将所述目标用户清单中驻留过所述疑似小区的目标用户确定为可疑用户。
[0085]
其中，具体包括：
[0086]
确定在目标用户清单中且轨迹覆盖疑似小区的目标用户；
[0087]
将在目标用户清单中且轨迹覆盖疑似小区的目标用户确定为可疑用户。
[0088]
本发明实施例中，在确定在目标用户清单中且轨迹覆盖疑似小区的目标用户之后，还包括以下步骤：
[0089]
确定所述目标用户是否携带工程机；
[0090]
当所述目标用户在目标用户清单中、轨迹覆盖疑似小区且携带工程机时，将所述目标用户确定为可疑用户。
[0091]
本发明实施例中，根据a口信令数据中的imei字段来确定用户是否携带了工程机。这是由于工程机有特定的imei的。
[0092]
本发明实施例中，由于携带工程机的目标用户，其携带伪基站的概率更高，因此通过结合是否携带工程机来进一步判断目标用户是否为可疑用户。其中，工程机可以是诺基亚工程机或其它型号工程机，可通过工程机的imei来确定所述用户是否携带工程机。
[0093]
本发明实施例，还根据实时获取的信令数据建立查询面板，可通过查询面板中输入时间、可疑用户信息(如imsi、或imei或msisdn)，点击查询，查询可疑用户的位置更新记录，在查询结果呈现嫌疑人号码的a接口位置。
[0094]
其中，查询面板中还包括可疑用户的轨迹信息。根据实时获取的信令数据在查询面板的地图中呈现可疑用户的活动轨迹。
[0095]
本发明实施例根据异常位置更新次数，输出可疑用户清单，并根据用户位置更新记录，确定可疑用户轨迹，根据可疑用户轨迹及可疑用户在驻留小区的驻留时间及驻留小区的更新失败用户数，从而确定携带伪基站的可疑用户，能够不依赖于终端或者新增检测模块，可针对检测难度大的流动伪基站进行检测，提高了检测的全面性及准确率。
[0096]
图2示出了本发明携带伪基站的可疑用户检测装置实施例的结构示意图。如图2所示，该装置200包括：数据获取模块210、第一筛选模块220、第二筛选模块230、轨迹确定模块240、目标小区确定模块250、疑似小区确定模块260和可疑用户确定模块270。
[0097]
数据获取模块210，用于获取信令数据，其中，所述信令数据中包括待筛选用户的异常位置更新信息；
[0098]
第一筛选模块220，用于根据所述异常位置更新信息统计预设时段内在同一驻留小区发生异常位置更新次数小于预设阈值的待筛选用户，作为目标用户；
[0099]
第二筛选模块230，用于将所述目标用户按照异常位置更新次数进行排序，获取排序前第一预设数量的目标用户，形成目标用户清单；
[0100]
轨迹确定模块240，用于根据所述目标用户异常位置更新信息，获取所述目标用户清单中所述目标用户在所述预设时段内的轨迹，其中，所述轨迹包括所述目标用户在所述预设时段内的驻留小区信息；
[0101]
目标小区确定模块250，用于基于所述轨迹，在所述驻留小区中筛选出所述目标用户的驻留时长大于预设时长的驻留小区，作为目标小区；
[0102]
疑似小区确定模块260，用于获取所述目标小区中的位置更新失败的用户数，将所述位置更新失败的用户数大于第二预设数量的目标小区，作为疑似小区；
[0103]
可疑用户确定模块270，用于根据所述轨迹，将所述目标用户清单中驻留过所述疑似小区的目标用户确定为可疑用户。
[0104]
在一种可选的方式中，获取信令数据，包括：从a口信令中获取信令数据，其中，所述a口信令包括更新信息，所述更新信息包括用户标识、驻留小区、位置区、异常位置更新信息及更新时间。
[0105]
在一种可选的方式中，根据所述异常位置更新信息统计预设时段内在同一驻留小区发生异常位置更新次数小于预设阈值的待筛选用户，作为目标用户，包括：
[0106]
从a口信令的更新信息中获取待筛选用户对应的异常位置更新信息及对应的驻留小区；
[0107]
统计所述待筛选用户在同一驻留小区出现异常位置更新次数；
[0108]
将出现异常位置更新次数大于预设阈值的待筛选用户，确定为目标用户。
[0109]
在一种可选的方式中，根据所述轨迹，将所述目标用户清单中驻留过所述疑似小区的目标用户确定为可疑用户，包括：
[0110]
确定在可疑用户清单中且轨迹覆盖疑似小区的目标用户；
[0111]
将在可疑用户清单中且轨迹覆盖疑似小区的目标用户确定为可疑用户。
[0112]
在一种可选的方式中，确定在目标用户清单中且轨迹覆盖疑似小区的目标用户之后，还包括以下步骤：
[0113]
确定所述目标用户是否携带工程机；
[0114]
当所述目标用户在目标用户清单中、轨迹覆盖疑似小区且携带工程机时，将所述目标用户确定为可疑用户。
[0115]
本发明实施例根据异常位置更新次数，输出可疑用户清单，并根据用户位置更新记录，确定可疑用户轨迹，根据可疑用户轨迹及可疑用户在驻留小区的驻留时间及驻留小区的更新失败用户数，从而确定携带伪基站的可疑用户，能够不依赖于终端或者新增检测模块，可针对检测难度大的流动伪基站进行检测，提高了检测的全面性及准确率。
[0116]
图3示出了本发明携带伪基站的可疑用户检测设备实施例的结构示意图，本发明具体实施例并不对携带伪基站的可疑用户检测设备的具体实现做限定。
[0117]
如图3所示，该携带伪基站的可疑用户检测设备可以包括：处理器(processor)302、通信接口(communications interface)304、存储器(memory)306、以及通信总线308。
[0118]
其中：处理器302、通信接口304、以及存储器306通过通信总线308完成相互间的通信。通信接口304，用于与其它设备比如客户端或其它服务器等的网元通信。处理器302，用于执行程序310，具体可以执行上述用于携带伪基站的可疑用户检测方法实施例中的相关步骤。
[0119]
具体地，程序310可以包括程序代码，该程序代码包括计算机可执行指令。
[0120]
处理器302可能是中央处理器cpu，或者是特定集成电路asic(application specific integrated circuit)，或者是被配置成实施本发明实施例的一个或多个集成电路。携带伪基站的可疑用户检测设备包括的一个或多个处理器，可以是同一类型的处理器，如一个或多个cpu；也可以是不同类型的处理器，如一个或多个cpu以及一个或多个asic。
[0121]
存储器306，用于存放程序310。存储器306可能包含高速ram存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。
[0122]
程序310具体可以被处理器302调用使携带伪基站的可疑用户检测设备执行以下操作：
[0123]
获取信令数据，其中，所述信令数据中包括待筛选用户的异常位置更新信息；
[0124]
根据所述异常位置更新信息统计预设时段内在同一驻留小区发生异常位置更新次数小于预设阈值的待筛选用户，作为目标用户；
[0125]
将所述目标用户按照异常位置更新次数进行排序，获取排序前第一预设数量的目标用户，形成目标用户清单；
[0126]
根据所述目标用户异常位置更新信息，获取所述目标用户清单中所述目标用户在所述预设时段内的轨迹，其中，所述轨迹包括所述目标用户在所述预设时段内的驻留小区信息；
[0127]
基于所述轨迹，在所述驻留小区中筛选出所述目标用户的驻留时长大于预设时长的驻留小区，作为目标小区；
[0128]
获取所述目标小区中的位置更新失败的用户数，将所述位置更新失败的用户数大于第二预设数量的目标小区，作为疑似小区；
[0129]
根据所述轨迹，将所述目标用户清单中驻留过所述疑似小区的目标用户确定为可疑用户。
[0130]
在一种可选的方式中，获取信令数据，包括：从a口信令中获取信令数据，其中，所述a口信令包括更新信息，所述更新信息包括用户标识、驻留小区、位置区、异常位置更新信息及更新时间。
[0131]
在一种可选的方式中，根据所述异常位置更新信息统计预设时段内在同一驻留小区发生异常位置更新次数小于预设阈值的待筛选用户，作为目标用户，包括：
[0132]
从a口信令的更新信息中获取待筛选用户对应的异常位置更新信息及对应的驻留小区；
[0133]
统计所述待筛选用户在同一驻留小区出现异常位置更新次数；
[0134]
将出现异常位置更新次数大于预设阈值的待筛选用户，确定为目标用户。
[0135]
在一种可选的方式中，根据所述轨迹，将所述目标用户清单中驻留过所述疑似小区的目标用户确定为可疑用户，包括：
[0136]
确定在可疑用户清单中且轨迹覆盖疑似小区的目标用户；
[0137]
将在可疑用户清单中且轨迹覆盖疑似小区的目标用户确定为可疑用户。
[0138]
在一种可选的方式中，确定在目标用户清单中且轨迹覆盖疑似小区的目标用户之后，还包括以下步骤：
[0139]
确定所述目标用户是否携带工程机；
[0140]
当所述目标用户在目标用户清单中、轨迹覆盖疑似小区且携带工程机时，将所述目标用户确定为可疑用户。
[0141]
本发明实施例根据异常位置更新次数，输出可疑用户清单，并根据用户位置更新记录，确定可疑用户轨迹，根据可疑用户轨迹及可疑用户在驻留小区的驻留时间及驻留小区的更新失败用户数，从而确定携带伪基站的可疑用户，能够不依赖于终端或者新增检测模块，可针对检测难度大的流动伪基站进行检测，提高了检测的全面性及准确率。
[0142]
本发明实施例提供了一种计算机可读存储介质，所述存储介质存储有至少一可执行指令，该可执行指令在携带伪基站的可疑用户检测设备/装置上运行时，使得所述携带伪基站的可疑用户检测设备/装置执行上述任意方法实施例中的携带伪基站的可疑用户检测方法。
[0143]
可执行指令具体可以用于使得携带伪基站的可疑用户检测设备/装置执行以下操作：
[0144]
获取信令数据，其中，所述信令数据中包括待筛选用户的异常位置更新信息；
[0145]
根据所述异常位置更新信息统计预设时段内在同一驻留小区发生异常位置更新
次数小于预设阈值的待筛选用户，作为目标用户；
[0146]
将所述目标用户按照异常位置更新次数进行排序，获取排序前第一预设数量的目标用户，形成目标用户清单；
[0147]
根据所述目标用户异常位置更新信息，获取所述目标用户清单中所述目标用户在所述预设时段内的轨迹，其中，所述轨迹包括所述目标用户在所述预设时段内的驻留小区信息；
[0148]
基于所述轨迹，在所述驻留小区中筛选出所述目标用户的驻留时长大于预设时长的驻留小区，作为目标小区；
[0149]
获取所述目标小区中的位置更新失败的用户数，将所述位置更新失败的用户数大于第二预设数量的目标小区，作为疑似小区；
[0150]
根据所述轨迹，将所述目标用户清单中驻留过所述疑似小区的目标用户确定为可疑用户。
[0151]
在一种可选的方式中，获取信令数据，包括：从a口信令中获取信令数据，其中，所述a口信令包括更新信息，所述更新信息包括用户标识、驻留小区、位置区、异常位置更新信息及更新时间。
[0152]
在一种可选的方式中，根据所述异常位置更新信息统计预设时段内在同一驻留小区发生异常位置更新次数小于预设阈值的待筛选用户，作为目标用户，包括：
[0153]
从a口信令的更新信息中获取待筛选用户对应的异常位置更新信息及对应的驻留小区；
[0154]
统计所述待筛选用户在同一驻留小区出现异常位置更新次数；
[0155]
将出现异常位置更新次数大于预设阈值的待筛选用户，确定为目标用户。
[0156]
在一种可选的方式中，根据所述轨迹，将所述目标用户清单中驻留过所述疑似小区的目标用户确定为可疑用户，包括：
[0157]
确定在可疑用户清单中且轨迹覆盖疑似小区的目标用户；
[0158]
将在可疑用户清单中且轨迹覆盖疑似小区的目标用户确定为可疑用户。
[0159]
在一种可选的方式中，确定在目标用户清单中且轨迹覆盖疑似小区的目标用户之后，还包括以下步骤：
[0160]
确定所述目标用户是否携带工程机；
[0161]
当所述目标用户在目标用户清单中、轨迹覆盖疑似小区且携带工程机时，将所述目标用户确定为可疑用户。
[0162]
本发明实施例根据异常位置更新次数，输出可疑用户清单，并根据用户位置更新记录，确定可疑用户轨迹，根据可疑用户轨迹及可疑用户在驻留小区的驻留时间及驻留小区的更新失败用户数，从而确定携带伪基站的可疑用户，能够不依赖于终端或者新增检测模块，可针对检测难度大的流动伪基站进行检测，提高了检测的全面性及准确率。
[0163]
本发明实施例提供一种携带伪基站的可疑用户检测装置，用于执行上述携带伪基站的可疑用户检测方法。
[0164]
本发明实施例提供了一种计算机程序，所述计算机程序可被处理器调用使携带伪基站的可疑用户检测设备执行上述任意方法实施例中的携带伪基站的可疑用户检测方法。
[0165]
本发明实施例提供了一种计算机程序产品，计算机程序产品包括存储在计算机可
读存储介质上的计算机程序，计算机程序包括程序指令，当程序指令在计算机上运行时，使得所述计算机执行上述任意方法实施例中的携带伪基站的可疑用户检测方法。
[0166]
在此提供的算法或显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明实施例也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
[0167]
在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
[0168]
类似地，应当理解，为了精简本发明并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。
[0169]
本领域技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0170]
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。上述实施例中的步骤，除有特殊说明外，不应理解为对执行顺序的限定。