[发明专利]一种物联网卡异常行为检测方法、装置、设备及存储介质有效
| 申请号: | 201911107988.0 | 申请日: | 2019-11-13 |
| 公开(公告)号: | CN110830986B | 公开(公告)日: | 2023-06-16 |
| 发明(设计)人: | 戴沁芸;顾嘉福;王寒梅;米昂;陈亚亮;万小博;吴海燕;刘中金;张家琦;李建强;吴子建 | 申请(专利权)人: | 国家计算机网络与信息安全管理中心上海分中心;国家计算机网络与信息安全管理中心;绿盟科技集团股份有限公司;北京神州绿盟科技有限公司 |
| 主分类号: | H04W12/128 | 分类号: | H04W12/128;H04W12/72 |
| 代理公司: | 北京同达信恒知识产权代理有限公司 11291 | 代理人: | 李迪 |
| 地址: | 201315 上海市浦*** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 联网 异常 行为 检测 方法 装置 设备 存储 介质 | ||
1.一种物联网卡异常行为检测方法,其特征在于,所述方法包括:
获取待检测的物联网卡的标识信息及访问地址信息;
判断预先保存的标识信息黑名单中是否存在所述物联网卡的标识信息,或判断预先保存的访问地址黑名单中是否存在所述物联网卡的访问地址信息;
如果上述任一判断结果为是,确定所述物联网卡存在异常行为;
其中,所述物联网卡的标识信息包括:物联网卡的号码信息、国际移动设备身份码IMEI信息和国际移动用户识别码IMSI信息;
获取预设的第一时间段内所述物联网卡的号码信息所对应的被叫号码的数量;判断所述被叫号码的数量是否达到预设的数量阈值,如果是,确定所述物联网卡存在高危滥用异常行为;
获取预设的第二时间段内所述物联网卡的IMEI信息变更次数及IMSI信息变更次数;判断所述IMEI信息变更次数或IMSI信息变更次数是否达到预设的次数阈值,如果是,确定所述物联网卡存在低危机卡分离异常行为或者低危换卡异常行为;
其中,所述物联网卡的访问地址信息包括:物联网卡的访问的互联网协议IP地址信息、操作系统OS信息、用户代理USER_AGENT信息,统一资源定位系统URL信息、域名host信息;
获取预设的第三时间段内所述物联网卡访问的第一OS信息及第一USER_AGENT信息,以及第四时间段内所述物联网卡访问的第二OS信息及第二USER_AGENT信息;判断所述第一OS信息和所述第二OS信息是否一致,或判断所述第一USER_AGENT信息和所述第二USER_AGENT信息是否一致;如果任一判断结果为否,确定所述物联网卡存在低危挪用异常行为。
2.如权利要求1所述的方法,其特征在于,所述确定物联网卡存在异常行为之后,所述方法还包括:
若所述物联网卡的访问地址信息为预先保存的访问地址黑名单中的恶意地址信息,确定所述物联网卡存在高危网络异常行为;
若所述物联网卡的访问地址信息为预先保存的访问地址黑名单中的非物联网行业的地址信息,或所述物联网卡的标识信息为预先保存的标识信息黑名单中的恶意标识信息,确定所述物联网卡存在高危滥用异常行为。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
获取预设的第五时间段内所述物联网卡发送短信的第一最大长度信息,以及第六时间段内所述物联网卡发送短信的第二最大长度信息;
判断所述第一最大长度信息和第二最大长度信息的差值的绝对值是否大于预设的第一数值,如果是,确定所述物联网卡存在低危挪用异常行为。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
获取预设的第七时间段内所述物联网卡产生的上行流量占总流量的第一比率,以及第八时间段内所述物联网卡产生的上行流量占总流量的第二比率;
判断所述第一比率和第二比率的差值的绝对值是否大于预设的第二数值,如果是,确定所述物联网卡存在低危挪用异常行为。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国家计算机网络与信息安全管理中心上海分中心;国家计算机网络与信息安全管理中心;绿盟科技集团股份有限公司;北京神州绿盟科技有限公司,未经国家计算机网络与信息安全管理中心上海分中心;国家计算机网络与信息安全管理中心;绿盟科技集团股份有限公司;北京神州绿盟科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201911107988.0/1.html,转载请声明来源钻瓜专利网。
