一种虚开发票行为的预警方法及终端与流程

1.本发明涉及大数据分析技术领域，尤其涉及一种虚开发票行为的预警方法及终端。


背景技术：

2.由于近年来，虚开增值税发票等涉税犯罪呈高发态势。为破解涉税犯罪的监管难题，需要充分利用信息化技战法对虚开发票开展强势打击，对犯罪分子形成震慑，营造良好的营商环境。
3.在涉税经济犯罪中虚开发票占犯罪总量的90％，而虚开发票中又以暴力虚开最为猖獗。所谓暴力虚开就是涉案企业没有实际经营活动，就是单纯的虚开发票，作案周期短，迅速获利之后失联。传统打击暴力虚开的方式是依赖税务局移送的线索进行进一步追踪，由于公安接到线索时涉税企业通常已经走逃，导致难以发现实际控制人、难以查处犯罪窝点现场，实际案件破获率低。因此，事后分析已经满足不了目前的迫切需求，如何提高对暴力虚开行为的事前精确打击能力是目前面临的主要问题。


技术实现要素：

4.本发明所要解决的技术问题是：提供一种虚开发票行为的预警方法及终端，能够提高对暴力虚开行为的事前精确打击能力。
5.为了解决上述技术问题，本发明采用的一种技术方案为：
6.一种虚开发票行为的预警方法，包括：
7.按照预设特征码使用抓包分析技术获取企业的开票请求数据包；
8.对所述开票请求数据包进行解析，得到开票信息；
9.对所述开票信息进行异常登录行为分析，得到登录行为分析结果；
10.根据所述登录行为分析结果按照预设分值确定所述企业的风险总值，并基于所述风险总值对虚开发票行为进行预警。
11.为了解决上述技术问题，本发明采用的另一种技术方案为：
12.一种虚开发票行为的预警终端，包括存储器、处理器及存储在存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
13.按照预设特征码使用抓包分析技术获取企业的开票请求数据包；
14.对所述开票请求数据包进行解析，得到开票信息；
15.对所述开票信息进行异常登录行为分析，得到登录行为分析结果；
16.根据所述登录行为分析结果按照预设分值确定所述企业的风险总值，并基于所述风险总值对虚开发票行为进行预警。
17.本发明的有益效果在于：不再像现有技术中，对虚开发票行为进行事后分析，而是按照预设特征码使用抓包分析技术获取企业的开票请求数据包，获取企业利用税控盘开票的过程中所产生的请求数据并对其进行解析，得到开票信息，再对其进行异常登录行为分
析，得到登录行为分析结果，根据登录行为分析结果按照预设分值确定企业的风险总值，并基于风险总值对虚开发票行为进行预警，由于企业需要通过税控盘进行开票，企业的税控盘软件必定会和税控盘服务器在互联网上进行交互，利用抓包分析技术能够全面、准确地获取预警所需的数据，避免了数据遗漏，根据登录行为分析结果按照预设分值确定企业的风险总值，风险总值体现了企业存在虚开发票行为的可能性，基于风险总值对虚开发票行为进行预警，实现了虚开发票行为的有效预警，以此实现了对虚开企业团伙的精准打击，从而提高了对暴力虚开行为的事前精确打击能力。
附图说明
18.图1为本发明实施例的一种虚开发票行为的预警方法的步骤流程图；
19.图2为本发明实施例的一种虚开发票行为的预警终端的结构示意图；
20.图3为本发明实施例虚开发票行为的预警方法的企业开票流程示意图；
21.图4为本发明实施例虚开发票行为的预警方法的抓包分析示意图；
22.图5为本发明实施例虚开发票行为的预警方法的使用抓包分析技术获取开票请求数据包的流程示意图；
23.图6为本发明实施例虚开发票行为的预警方法的开票请求数据包示意图；
24.图7为本发明实施例虚开发票行为的预警方法的开票请求数据包部分数据格式示意图；
25.图8为本发明实施例虚开发票行为的预警方法的开票信息示意图；
26.图9为本发明实施例虚开发票行为的预警方法的同上网地址分析结果示意图；
27.图10为本发明实施例虚开发票行为的预警方法的为每一分析结果设置权重和分值的示意图；
28.图11-16为本发明实施例虚开发票行为的预警方法的虚开发票行为分析图；
29.图17为本发明实施例虚开发票行为的预警方法的标记后的虚开发票行为分析图；
30.图18为本发明实施例虚开发票行为的预警方法的整体流程示意图；
31.图19为本发明实施例虚开发票行为的预警方法的夜间开票分析结果的图形化分析结果示意图。
具体实施方式
32.为详细说明本发明的技术内容、所实现目的及效果，以下结合实施方式并配合附图予以说明。
33.请参照图1，本发明实施例提供了一种虚开发票行为的预警方法，包括：
34.按照预设特征码使用抓包分析技术获取企业的开票请求数据包；
35.对所述开票请求数据包进行解析，得到开票信息；
36.对所述开票信息进行异常登录行为分析，得到登录行为分析结果；
37.根据所述登录行为分析结果按照预设分值确定所述企业的风险总值，并基于所述风险总值对虚开发票行为进行预警。
38.从上述描述可知，本发明的有益效果在于：不再像现有技术中，对虚开发票行为进行事后分析，而是按照预设特征码使用抓包分析技术获取企业的开票请求数据包，获取企
业利用税控盘开票的过程中所产生的请求数据并对其进行解析，得到开票信息，再对其进行异常登录行为分析，得到登录行为分析结果，根据登录行为分析结果按照预设分值确定企业的风险总值，并基于风险总值对虚开发票行为进行预警，由于企业需要通过税控盘进行开票，企业的税控盘软件必定会和税控盘服务器在互联网上进行交互，利用抓包分析技术能够全面、准确地获取预警所需的数据，避免了数据遗漏，根据登录行为分析结果按照预设分值确定企业的风险总值，风险总值体现了企业存在虚开发票行为的可能性，基于风险总值对虚开发票行为进行预警，实现了虚开发票行为的有效预警，以此实现了对虚开企业团伙的精准打击，从而提高了对暴力虚开行为的事前精确打击能力。
39.进一步地，所述开票信息包括纳税人识别号、ip地址、上网账号、mac地址和开票时间；
40.所述对所述开票信息进行异常登录行为分析，得到登录行为分析结果包括：
41.根据所述纳税人识别号和所述ip地址进行同ip地址分析，得到同ip地址分析结果；
42.根据所述纳税人识别号和所述上网地址进行同上网地址分析，得到同上网地址分析结果；
43.根据所述纳税人识别号和所述mac地址进行同mac地址分析，得到同mac地址分析结果；
44.根据所述纳税人识别号和所述开票时间进行夜间开票分析，得到夜间开票分析结果；
45.所述根据所述登录行为分析结果按照预设分值确定所述企业的风险总值包括：
46.对所述同ip地址分析结果、所述同上网地址分析结果、所述同mac地址分析结果和所述夜间开票分析结果按照预设分值确定所述企业的风险总值。
47.由上述描述可知，在进行开票时需要企业的税控盘接入电脑连接互联网，正常企业是一个税控盘接入一台财务电脑，而暴力虚开团伙手中掌握有大量的税控盘，这些税控盘一般会集中接入到一台或者几台电脑上登录开票，因此税控盘会有集中登录行为特征，根据开票信息中的纳税人识别号、ip地址、上网账号、mac地址和开票时间进行同ip地址分析、同上网地址分析、同mac地址分析以及夜间开票分析能够精准地判断企业是否存在异常登录行为，基于分析结果便于后续进行虚开发票行为预警。
48.进一步地，所述对所述开票信息进行异常登录行为分析，得到登录行为分析结果之后还包括：
49.获取预设mac地址黑名单；
50.基于所述mac地址黑名单根据所述mac地址得到所述企业的黑名单分析结果；
51.获取所述企业的公开信息；
52.根据所述公开信息对所述企业进行印象分分析，得到印象分分析结果；
53.所述对所述同ip地址分析结果、所述同上网地址分析结果、所述同mac地址分析结果和所述夜间开票分析结果按照预设分值确定所述企业的风险总值包括：
54.根据所述同ip地址分析结果按照第一预设分值得到第一风险值；
55.根据所述同上网地址分析结果按照第二预设分值得到第二风险值；
56.根据所述同mac地址分析结果按照第三预设分值得到第三风险值；
57.根据所述夜间开票分析结果按照第四预设分值得到第四风险值；
58.根据所述黑名单分析结果按照第五预设分值得到第五风险值；
59.根据所述印象分分析结果按照第六预设分值得到第六风险值；
60.根据所述第一风险值、所述第二风险值、所述第三风险值、所述第四风险值、所述第五风险值和所述第六风险值确定所述企业的风险总值。
61.由上述描述可知，预设mac地址黑名单保存着存在虚开发票行为的企业名单，如果企业的mac地址存在在预设mac地址黑名单中，说明其曾经被发现涉及涉税犯罪，有很大概率再次犯罪，获取企业的公开信息，公开信息展示了该企业的社会印象分，通过对企业进行黑名单分析和印象分分析，能够从多维度对企业进行虚开发票行为分析，提高暴力虚开行为预警的精确度，根据多维度的分析结果得到对应的风险值，最终得到风险总值，能够更好地体现企业存在暴力虚开行为的可能性。
62.进一步地，所述基于所述风险总值对虚开发票行为进行预警包括：
63.将所述风险总值按照预设顺序进行排序，得到排序后的风险总值；
64.根据预设值从所述排序后的风险总值中确定目标风险总值；
65.对所述目标风险总值对应的企业进行预警。
66.由上述描述可知，根据预设值从排序后的风险总值中确定目标风险总值，对目标风险总值对应的企业进行预警，从而实现了对暴力虚开行为的事前精确预警。
67.进一步地，所述对所述目标风险总值对应的企业进行预警之后包括：
68.根据所述同ip地址分析结果、所述同上网地址分析结果、所述同mac地址分析结果和所述夜间开票分析结果进行图形化分析，得到虚开发票行为分析图；
69.基于所述目标风险总值对应的企业对所述虚开发票行为分析图进行标记，得到标记后的虚开发票行为分析图，并对所述标记后的虚开发票行为分析图进行展示。
70.由上述描述可知，根据同ip地址分析结果、同上网地址分析结果、同mac地址分析结果和夜间开票分析结果进行图形化分析，得到虚开发票行为分析图，基于目标风险总值对应的企业对虚开发票行为分析图进行标记，对标记后的虚开发票行为分析图进行展示，能够全面反映虚开犯罪关系，直观地展示了目标风险总值对应的企业之间的关联关系，提高了对暴力虚开行为的事前精确打击能力。
71.请参照图2，本发明另一实施例提供了一种虚开发票行为的预警终端，包括存储器、处理器及存储在存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
72.按照预设特征码使用抓包分析技术获取企业的开票请求数据包；
73.对所述开票请求数据包进行解析，得到开票信息；
74.对所述开票信息进行异常登录行为分析，得到登录行为分析结果；
75.根据所述登录行为分析结果按照预设分值确定所述企业的风险总值，并基于所述风险总值对虚开发票行为进行预警。
76.从上述描述可知，本发明的有益效果在于：不再像现有技术中，对虚开发票行为进行事后分析，而是按照预设特征码使用抓包分析技术获取企业的开票请求数据包，获取企业利用税控盘开票的过程中所产生的请求数据并对其进行解析，得到开票信息，再对其进行异常登录行为分析，得到登录行为分析结果，根据登录行为分析结果按照预设分值确定
企业的风险总值，并基于风险总值对虚开发票行为进行预警，由于企业需要通过税控盘进行开票，企业的税控盘软件必定会和税控盘服务器在互联网上进行交互，利用抓包分析技术能够全面、准确地获取预警所需的数据，避免了数据遗漏，根据登录行为分析结果按照预设分值确定企业的风险总值，风险总值体现了企业存在虚开发票行为的可能性，基于风险总值对虚开发票行为进行预警，实现了虚开发票行为的有效预警，以此实现了对虚开企业团伙的精准打击，从而提高了对暴力虚开行为的事前精确打击能力。
77.进一步地，所述开票信息包括纳税人识别号、ip地址、上网账号、mac地址和开票时间；
78.所述对所述开票信息进行异常登录行为分析，得到登录行为分析结果包括：
79.根据所述纳税人识别号和所述ip地址进行同ip地址分析，得到同ip地址分析结果；
80.根据所述纳税人识别号和所述上网地址进行同上网地址分析，得到同上网地址分析结果；
81.根据所述纳税人识别号和所述mac地址进行同mac地址分析，得到同mac地址分析结果；
82.根据所述纳税人识别号和所述开票时间进行夜间开票分析，得到夜间开票分析结果；
83.所述根据所述登录行为分析结果按照预设分值确定所述企业的风险总值包括：
84.对所述同ip地址分析结果、所述同上网地址分析结果、所述同mac地址分析结果和所述夜间开票分析结果按照预设分值确定所述企业的风险总值。
85.由上述描述可知，在进行开票时需要企业的税控盘接入电脑连接互联网，正常企业是一个税控盘接入一台财务电脑，而暴力虚开团伙手中掌握有大量的税控盘，这些税控盘一般会集中接入到一台或者几台电脑上登录开票，因此税控盘会有集中登录行为特征，根据开票信息中的纳税人识别号、ip地址、上网账号、mac地址和开票时间进行同ip地址分析、同上网地址分析、同mac地址分析以及夜间开票分析能够精准地判断企业是否存在异常登录行为，基于分析结果便于后续进行虚开发票行为预警。
86.进一步地，所述对所述开票信息进行异常登录行为分析，得到登录行为分析结果之后还包括：
87.获取预设mac地址黑名单；
88.基于所述mac地址黑名单根据所述mac地址得到所述企业的黑名单分析结果；
89.获取所述企业的公开信息；
90.根据所述公开信息对所述企业进行印象分分析，得到印象分分析结果；
91.所述对所述同ip地址分析结果、所述同上网地址分析结果、所述同mac地址分析结果和所述夜间开票分析结果按照预设分值确定所述企业的风险总值包括：
92.根据所述同ip地址分析结果按照第一预设分值得到第一风险值；
93.根据所述同上网地址分析结果按照第二预设分值得到第二风险值；
94.根据所述同mac地址分析结果按照第三预设分值得到第三风险值；
95.根据所述夜间开票分析结果按照第四预设分值得到第四风险值；
96.根据所述黑名单分析结果按照第五预设分值得到第五风险值；
text transfer protocol)协议调试代理，能够记录并检查所有电脑和互联网之间的http通讯，设置断点查看所有的进出数据，抓包分析技术要比其他的网络调试器更加简单，它不仅仅暴露http通讯还提供了用户友好的格式，它是位于客户端和服务器端的http代理，也是目前最常用的http抓包分析之一；它能够记录客户端和服务器之间所有的http请求，可针对特定的http请求，分析请求数据、设置断点、调试web应用、修改请求的数据，甚至可以修改服务器返回的数据；也就是说，如图4所示，客户端的所有请求都要经过抓包通信通道，然后转发到相应的服务器，反之，服务器端的所有响应，也都会先经过抓包分析然后发送到客户端，即税控盘和税控盘服务器之间的数据交互能够通过抓包获取；
115.因此，如图5所示，按照预设特征码使用抓包分析技术获取企业的开票请求数据包；
116.其中，目前市面上税控盘设备主要有白盘和黑盘两种，这是两家服务商，那么所有客户端都会请求其对应的服务器，所述预设特征码为开票请求数据包的请求接口地址的业务前缀，确保所抓取的数据包是税控盘所发给对应服务器的数据包；
117.如图6所示，图6展示了获取到的企业的税控盘发送给服务器的开票请求数据包，每行代表一个开票请求数据包，第一列表示序号，第二列表示状态码(result)，第三列表示请求使用协议(protocol)，如http/https(hyper text transfer protocol over securesocket layer，以安全为目标的http通道)/ftp(文件传输协议，file transfer protocol)等，第四列表示请求地址的主机名或域名(host)，第五列表示请求资源的位置(url)，第六列表示请求大小(body)，第七列表示请求的缓存过期时间或者缓存控制值(caching)，第八列表示请求响应的类型(conten-type)，第九列表示发送此请求的进程(process)；
118.s2、对所述开票请求数据包进行解析，得到开票信息；
119.具体的，对其中一条的所述开票请求数据包进行解析，得到开票信息，所述开票请求数据包部分的携带数据格式如图7所示，其中，代码skp_xh表示税控盘序号，kpsh表示开票税号/纳税人识别号，swjg表示税务机关代码，skpbh表示税控盘编号；
120.其中，所述开票信息包括纳税人识别号、ip地址、上网账号、mac地址和开票时间，如图8所示；
121.s3、对所述开票信息进行异常登录行为分析，得到登录行为分析结果；
122.s4、根据所述登录行为分析结果按照预设分值确定所述企业的风险总值，并基于所述风险总值对虚开发票行为进行预警。
123.实施例二
124.请参照图1、9-10、12、18，本实施例在实施例一的基础上进一步限定了如何对开票信息进行异常登录行为分析，具体为：
125.所述s3具体为：
126.s31、根据所述纳税人识别号和所述ip地址进行同ip地址分析，得到同ip地址分析结果；
127.具体的，如图12，通过截取企业登录税控盘信息获取到客户端的ip地址，将多家企业(即纳税人识别号)的ip地址互相关联进行同ip地址分析，筛选出存在同ip地址多企业登录的企业，每一企业通过纳税人识别号进行标识；
128.s32、根据所述纳税人识别号和所述上网地址进行同上网地址分析，得到同上网地址分析结果；
129.具体的，通过截取企业登录税控盘信息获取到客户端的上网地址，将多家企业的上网地址互相关联进行同上网地址分析，筛选出存在同上网地址多企业登录的企业，如图9所示；
130.s33、根据所述纳税人识别号和所述mac地址进行同mac地址分析，得到同mac地址分析结果；
131.具体的，将多家企业的mac地址互相关联进行同mac地址分析，筛选出存在同mac地址地址多企业登录的企业；
132.s34、根据所述纳税人识别号和所述开票时间进行夜间开票分析，得到夜间开票分析结果；
133.具体的，由于暴力虚开团伙通常在夜间开票，根据多家企业的开票时间进行夜间开票分析，筛选出存在夜间开票的企业；
134.所述夜间开票可根据实际情况进行设置，在一种可选的实施方式中，所述夜间开票为21:00-次日3:00；
135.s35、获取预设mac地址黑名单；
136.基于所述mac地址黑名单根据所述mac地址得到所述企业的黑名单分析结果；
137.通过获取预设mac地址黑名单，所述预设mac地址黑名单中保存了存在虚开发票行为的企业的mac地址，基于所述mac地址黑名单根据所述mac地址判断所述企业是否存在在所述预设mac地址黑名单中，如果存在，则有很大概率涉及涉税犯罪；
138.s36、获取所述企业的公开信息；
139.根据所述公开信息对所述企业进行印象分分析，得到印象分分析结果；
140.其中，所述公开信息包括企业法院公告、判决文书、行政处罚、经营状态、是否涉及重点行业、是否新注册企业、法人年龄异常、法人高危地区异常、同法人企业等；所述印象分分析结果表示了该企业在社会上的印象分；
141.所述s4具体为：
142.对所述同ip地址分析结果、所述同上网地址分析结果、所述同mac地址分析结果和所述夜间开票分析结果按照预设分值确定所述企业的风险总值；
143.具体的，对所述同ip地址分析结果、所述同上网地址分析结果、所述同mac地址分析结果、所述夜间开票分析结果、所述黑名单分析结果和所述印象分分析结果按照预设分值确定所述企业的风险总值；
144.s41、根据所述同ip地址分析结果按照第一预设分值得到第一风险值；
145.具体的，所述同ip地址分析结果包括存在同ip地址和不存在同ip地址；
146.判断所述同ip地址分析结果是否为存在同ip地址的其他企业，若是，则将第一预设分值确定为第一风险值，若否，则第一风险值为0，假设所述企业的同ip地址分析结果为存在同ip地址的其他企业，第一预设分值为50，则得到第一风险值为50；
147.在一种可选的实施方式中，还可进一步细化分值，根据不同的同ip地址的其他企业的总数量设定不同的分值，如小于3个25分，大于或等于3个50分，依次类推；
148.s42、根据所述同上网地址分析结果按照第二预设分值得到第二风险值；
149.具体的，所述同上网地址分析结果包括存在同上网地址和不存在同上网地址；
150.判断所述同上网地址分析结果是否为存在同上网地址的其他企业，若是，则将第二预设分值确定为第二风险值，若否，则第二风险值为0，假设所述企业的同上网地址分析结果为存在同上网地址的其他企业，第二预设分值为40，则得到第二风险值为40；
151.s43、根据所述同mac地址分析结果按照第三预设分值得到第三风险值；
152.具体的，所述同mac地址分析结果包括存在同mac地址和不存在同mac地址；
153.判断所述同mac地址分析结果是否为存在同mac地址的其他企业，若是，则将第三预设分值确定为第三风险值，若否，则第三风险值为0，假设所述企业的同mac地址分析结果为存在同mac地址的其他企业，第三预设分值为50，则得到第三风险值为50；
154.s44、根据所述夜间开票分析结果按照第四预设分值得到第四风险值；
155.具体的，所述夜间开票分析结果包括存在夜间开票和不存在夜间开票；
156.判断所述夜间开票分析结果是否为存在夜间开票，若是，则将第四预设分值确定为第四风险值，若否，则第四风险值为0，假设所述企业的夜间开票分析结果为存在夜间开票，第四预设分值为40，则得到第四风险值为40；
157.s45、根据所述黑名单分析结果按照第五预设分值得到第五风险值；
158.具体的，所述黑名单分析结果包括企业存在于黑名单中和企业不存在于黑名单中；
159.判断所述黑名单分析结果是否为企业存在于黑名单中，若是，则将第五预设分值确定为第五风险值，若否，则第五风险值为0，假设所述企业的黑名单分析结果为企业存在于黑名单，第五预设分值为60，则得到第五风险值为60；
160.s46、根据所述印象分分析结果按照第六预设分值得到第六风险值；
161.具体的，所述印象分分析结果包括印象分合格和印象分不合格；
162.判断所述印象分分析结果是否为不合格，若是，则将第六预设分值确定为第六风险值，若否，则第六风险值为0，假设所述企业的印象分分析结果为合格，则第六风险值为0；
163.s47、根据所述第一风险值、所述第二风险值、所述第三风险值、所述第四风险值、所述第五风险值和所述第六风险值确定所述企业的风险总值；
164.具体的，将所述第一风险值、所述第二风险值、所述第三风险值、所述第四风险值、所述第五风险值和所述第六风险值相加得到所述企业的风险总值；
165.其中，所述第一预设分值、所述第二预设分值、所述第三预设分值、所述第四预设分值、所述第五预设分值和所述第六预设分值可根据不同地区和历史调查经验或者每一类分析结果的重要程度进行调整和设置；
166.在另一种可选的实施方式中，当不调整所述第一预设分值、所述第二预设分值、所述第三预设分值、所述第四预设分值、所述第五预设分值和所述第六预设分值时，还可为每一类分析结果设置权重，权重可根据每一类分析结果的重要程度进行设置，如图10所示，在后续进行每一风险值计算时，需要将每一风险值对应的预设分值乘以对应的权重，以此确定每一风险值，从而在分析的时候可根据不同的用户需求进行数据微调，这样可以对数据进行更加细微的分析，减少误差。
167.实施例三
168.请参照图1、11-19，本实施例在实施例一或实施例二的基础上进一步限定了如何
对虚开发票行为进行预警，具体为：
169.所述s4具体为：
170.s48、将所述风险总值按照预设顺序进行排序，得到排序后的风险总值；
171.根据预设值从所述排序后的风险总值中确定目标风险总值；
172.对所述目标风险总值对应的企业进行预警；
173.具体的，根据所述目标风险总值对应的企业生成可疑企业清单，并将可疑企业清单进行展示，便于稽查人员按照可疑企业清单进行调查；
174.其中，所述预设顺序为从大到小，所述预设值可根据实际情况进行灵活设置；
175.具体的，将所述排序后的风险总值中大于或等于所述预设值的风险总值确定为目标风险总值；
176.还包括：s5、根据所述同ip地址分析结果、所述同上网地址分析结果、所述同mac地址分析结果和所述夜间开票分析结果进行图形化分析，得到虚开发票行为分析图；
177.具体的，根据所述同ip地址分析结果获取所述纳税人识别号和所述ip地址并进行图形化分析，得到第一虚开发票行为分析图；
178.假设纳税人1、2、3的ip地址分别为127.0.0.1、127.0.01、127.0.0.2，如图11所示，则第一虚开发票行为分析图如图12所示；
179.根据所述同上网地址分析结果获取所述纳税人识别号和所述上网地址并进行图形化分析，得到第二虚开发票行为分析图；
180.假设纳税人1、2、3、4的上网地址分别为123456、123456、123457、123457如图13所示，则第二虚开发票行为分析图如图14所示；
181.根据所述同mac地址分析结果获取所述纳税人识别号和所述mac地址并进行图形化分析，得到第三虚开发票行为分析图；
182.假设纳税人1、2、3、4的mac地址分别为as:ds:13:67、as:ds:13:67、er:ds:13:67、er:ds:13:67，如图15所示，则第三虚开发票行为分析图如图16所示；
183.根据所述夜间开票分析结果获取所述纳税人识别号和所述开票时间并进行图形化分析，得到第三虚开发票行为分析图；
184.由于夜间开票分析是对开票时间符合在夜间开票区间范围之内的数据进行筛选出来的结果，因为是数据筛选，其图形化分析结果可以是夜间开票纳税人占总纳税人开票数的比例饼状图，如图19所示；
185.s6、基于所述目标风险总值对应的企业对所述虚开发票行为分析图进行标记，得到标记后的虚开发票行为分析图，并对所述标记后的虚开发票行为分析图进行展示，如图17所示。
186.实施例四
187.请参照图2，一种虚开发票行为的预警终端，包括存储器、处理器及存储在存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现实施例一、实施例二或实施例三中的虚开发票行为的预警方法中的各个步骤。
188.综上所述，本发明提供的一种虚开发票行为的预警方法及终端，按照预设特征码使用抓包分析技术获取企业的开票请求数据包；对所述开票请求数据包进行解析，得到开票信息；对所述开票信息进行异常登录行为分析，得到登录行为分析结果；根据所述登录行
为分析结果按照预设分值确定所述企业的风险总值，并基于所述风险总值对虚开发票行为进行预警；进行异常登录行为分析时，根据开票信息中的纳税人识别号、ip地址、上网账号、mac地址和开票时间分别进行同ip地址分析、同上网地址分析、同mac地址分析和夜间开票分析，得到对应的分析结果，能够精准地判断企业是否存在异常登录行为；同时，还基于mac地址黑名单根据mac地址进行黑名单分析，根据公开信息对企业进行印象分分析，能够从多维度对企业进行虚开发票行为分析，提高暴力虚开行为预警的精确度；最后，基于多种分析结果按照预设分值确定企业的风险总值，根据同ip地址分析结果、同上网地址分析结果、同mac地址分析结果和夜间开票分析结果进行图形化分析，基于目标风险总值对应的企业对虚开发票行为分析图进行标记，对标记后的虚开发票行为分析图进行展示，能够全面反映虚开犯罪关系，直观地展示了目标风险总值对应的企业之间的关联关系，提高了对暴力虚开行为的事前精确打击能力，风险总值体现了企业存在虚开发票行为的可能性，基于风险总值对虚开发票行为进行预警，实现了虚开发票行为的有效预警，以此实现了对虚开企业团伙的精准打击，从而提高了对暴力虚开行为的事前精确打击能力。
189.以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等同变换，或直接或间接运用在相关的技术领域，均同理包括在本发明的专利保护范围内。