[发明专利]基于多维度关联检测模型的物联网卡风险识别方法及系统

权利要求书

1.基于多维度关联检测模型的物联网卡风险识别系统，其特征在于由物联网卡开户信息采集器、物联网卡话单信息采集器、风险模型设定器、原生风险识别模块、动态风险识别模块和风险度计算器组成；原生风险识别模块由业务监测器和入网信息检测器组成；动态风险识别模块由机卡分离识别器、手机使用识别器、跨地区使用识别器、超阈值使用识别器、超白名单使用识别器、超网址使用识别器、不合理使用识别器、异常流量使用识别器、敏感区域使用识别器、薅羊毛使用识别器及QQ和微信使用识别器组成；

物联网卡开户信息采集器负责采集物联网卡的开户信息，物联网卡的开户信息包括：物联网卡号码、物联网卡注册使用人身份、终端标识、行业类型、设备类型、激活时间、开通的业务；

物联网卡话单信息采集器负责采集物联网卡的话单信息，物联网卡的话单信息包括：物联卡号、终端标识、开始时间、持续时间、上下行流量、源IP、源端口号、访问目的IP、访问目的端口号、访问URL；

风险模型设定器负责设定物联网卡使用时的风险标准，风险标准包括：风险类型、风险类别、风险编码、风险级别和风险分数，包括：原生风险的风险类型，开通非定向语音功能的风险类别，T1的风险编码，高风险的风险级别和数值为4的风险分数；原生风险的风险类型，开通非定向短信功能的风险类别，T2的风险编码，中风险的风险级别和数值为2的风险分数；原生风险的风险类型，开通非定向流量功能的风险类别，T2的风险编码，中风险的风险级别和数值为2的风险分数；原生风险的风险类型，开通定向功能的风险类别，T3的风险编码，低风险的风险级别和数值为1的风险分数；原生风险的风险类型，开通限制流量大小功能的风险类别，T3的风险编码，低风险的风险级别和数值为1的风险分数；原生风险的风险类型，同一证件多地开卡的风险类别，T4的风险编码，低风险的风险级别和数值为2的风险分数；原生风险的风险类型，短期内反复开销卡的风险类别，T5的风险编码，中风险的风险级别和数值为3的风险分数；原生风险的风险类型，60岁以上及16岁以下集中开卡的风险类别，T6的风险编码，高风险的风险级别和数值为3的风险分数；动态风险的风险类型，机卡分离的风险类别，T7的风险编码，中风险的风险级别和数值为5的风险分数；动态风险的风险类型，手机使用的风险类别，T8的风险编码，高风险的风险级别和数值为6的风险分数；动态风险的风险类型，跨地区使用的风险类别，T9的风险编码，中风险的风险级别和数值为5的风险分数；动态风险的风险类型，超阈值使用的风险类别，T10的风险编码，中风险的风险级别和数值为5的风险分数；动态风险的风险类型，超出语音白名单号码的风险类别，T11的风险编码，高风险的风险级别和数值为7的风险分数；动态风险的风险类型，超出短信白名单号码的风险类别，T12的风险编码，高风险的风险级别和数值为7的风险分数；动态风险的风险类型，超出网址的风险类别，T13的风险编码，中风险的风险级别和数值为6的风险分数；动态风险的风险类型，不合理使用的风险类别，T14的风险编码，高风险的风险级别和数值为7的风险分数；动态风险的风险类型，异常流量使用的风险类别，T15的风险编码，中风险的风险级别和数值为6的风险分数；动态风险的风险类型，敏感区域使用的风险类别，T16的风险编码，中风险的风险级别和数值为5的风险分数；动态风险的风险类型，诈骗电话的风险类别，T17的风险编码，高风险的风险级别和数值为10的风险分数；动态风险的风险类型，薅羊毛的风险类别，T18的风险编码，高风险的风险级别和数值为8的风险分数；动态风险的风险类型，QQ和微信使用的风险类别，T19的风险编码，高风险的风险级别和数值为8的风险分数；

原生风险识别模块的业务监测器读取风险模型设定器设定的物联网卡使用时的风险标准；业务监测器识别本省开户的物联网卡的业务开通情况，对开通非定向语音功能的物联卡给出风险分数为4分，风险编码为T1；对开通非定向短信的物联卡给出风险分数为2分，风险编码为T2；对开通非定向流量功能的物联卡给出风险分数为2分，风险编码为T2；对开通定向功能的物联卡给出风险分数为1分，风险编码为T3；对开通限制流量大小功能的物联卡给出风险分数为1分，风险编码为T3；

原生风险识别模块的入网信息检测器读取风险模型设定器设定的物联网卡使用时的风险标准；入网信息检测器识别同一责任人证件多地开卡的批次卡，设定这些卡的风险分数为2分，风险编码为T4；识别同一责任人证件短期内反复开销卡的批次卡，设定这些卡的风险分数为3分，风险编码为T5；识别60岁以上及16岁以下集中开卡的批次卡，设定这些卡的风险分数为3分，风险编码为T6；

原生风险识别模块将风险编码和对应的风险分数发送给风险度计算器；

动态风险识别模块的机卡分离识别器读取风险模型设定器设定的物联网卡使用时的风险标准；机卡分离识别器优先选择用户提供的IMEI池将其与物联网卡的IMSI进行绑定，当用户不提供IMEI池时，抓取并记录物联网卡第一次发生通信行为时的终端IMEI值作为IMEI池，将其与物联网卡的IMSI进行绑定；机卡分离识别器完成物联网卡的IMSI和IMEI池的绑定后，当物联网卡的IMSI用在非IMEI池中的终端上时，输出相关的机卡分离记录，机卡分离识别器给物联网卡的风险分数为5分，风险编码为T7；

动态风险识别模块的手机使用识别器读取风险模型设定器设定的物联网卡使用时的风险标准；手机使用识别器根据手机终端IMEI库，对物联网卡所使用的设备的IMEI值进行监测，当物联网卡被使用在手机终端上时，输出相关的手机终端使用记录， 手机使用识别器给物联网卡的风险分数为6分，风险编码为T8；

动态风险识别模块的跨地区使用识别器读取风险模型设定器设定的物联网卡使用时的风险标准；跨地区使用识别器发现物联网卡的通讯位置发生跨地区变化时，输出相关的跨地区使用记录，跨地区使用识别器给物联网卡的风险分数为5分，风险编码为T9；

动态风险识别模块的超阈值使用识别器读取风险模型设定器设定的物联网卡使用时的风险标准；超阈值使用识别器监测物联网卡每个月的短信实际使用量，当物联网卡每个月的短信实际使用量超过开户时选择的使用量阈值时，输出相关的超阈值使用记录，超阈值使用识别器给物联网卡的风险分数为5分，风险编码为T10；

动态风险识别模块的超白名单使用识别器读取风险模型设定器设定的物联网卡使用时的风险标准；超白名单使用识别器监测物联网卡的语音白名单号码和短信白名单号码，当物联网卡的语音主被叫号码超出开户时设定的语音白名单号码时，超白名单使用识别器给物联网卡的风险分数为7分，风险编码为T11；当物联网卡的短信收发号码超出开户时设定的短信白名单号码时，超白名单使用识别器给物联网卡的风险分数为7分，风险编码为T12；

动态风险识别模块的超网址使用识别器读取风险模型设定器设定的物联网卡使用时的风险标准；超网址使用识别器监测物联网卡的定向访问IP白名单，当物联网卡访问的IP地址超出物联网卡的定向访问IP白名单时，超网址使用识别器给物联网卡的风险分数为6分，风险编码为T13；

动态风险识别模块的不合理使用识别器读取风险模型设定器设定的物联网卡使用时的风险标准；不合理使用识别器分析物联网卡实际访问的URL地址，当物联网卡实际访问的URL地址为人联网地址库中的地址时，不合理使用识别器给物联网卡的风险分数为7分，风险编码为T14；人联网地址库包括人类日常访问的网站地址，由网站访问量排行获得；

动态风险识别模块的异常流量使用识别器读取风险模型设定器设定的物联网卡使用时的风险标准；异常流量使用识别器统计并记录物联网卡的月使用流量，当物联网卡当月流量使用量大于前三个月月均流量使用量2倍以上时，异常流量使用识别器给物联网卡的风险分数为6分，风险编码为T15；

动态风险识别模块的敏感区域使用识别器读取风险模型设定器设定的物联网卡使用时的风险标准；敏感区域使用识别器监测物联网卡的使用地域，当物联网卡漫游至公安部公布的诈骗高发区使用时，敏感区域使用识别器给物联网卡的风险分数为5分，风险编码为T16；

动态风险识别模块的薅羊毛使用识别器读取风险模型设定器设定的物联网卡使用时的风险标准；薅羊毛使用识别器监测分析发现物联卡与接码平台进行注册操作，同时这些物联卡在话单信令数中的基站数据都是一样的，使用IMEI终端号具有连续性特征时，薅羊毛使用识别器给物联网卡的风险分数为8分，风险编码为T18；

动态风险识别模块的QQ和微信使用识别器读取风险模型设定器设定的物联网卡使用时的风险标准；QQ和微信使用识别器监测物联网卡的话单信息，当出现QQ的注册信息时和当出现微信的注册信息时，QQ和微信使用识别器给物联网卡的风险分数为8分，风险编码为T19；

动态风险识别模块将风险编码和对应的风险分数发送给风险度计算器；

风险度计算器负责计算物联网卡的风险度：

其中，x=1，2，…，n； 为第 x 类指标风险度，本发明只有原生风险和动态风险两类指标风险度，设原生风险为x=1的类则动态风险为x=2的类；为第 y项风险数值，x=1的类中，y项指标包括风险编为Ty的项，其中包括T1，T2，T3，T4，T5和T6；x=2的类中，y项指标包括风险编为Ty的项，其中包括：T7，T8，T9，T10，T11，T12，T13，T14，T15，T16，T17，T18和T19； 第 y项风险数值的均值，为第 y项风险数值的权重。