欺诈识别方法及电子设备与流程

本公开涉及智能应用领域，尤其涉及一种欺诈识别方法及电子设备。

背景技术：

1、传统的反诈技术主要分为静态分析和动态分析两种方法。静态分析通过检查应用程序代码和资源文件来发现潜在的安全漏洞，但难以应对动态加载和加密的恶意代码。动态分析通过监控应用程序的运行时行为来检测异常，但通常集中在于语音、文字、链接等。因此，目前的欺诈识别方法均缺少流量分析，无法细化到具体调用函数，无法进行高效、准确的反诈分析。

技术实现思路

1、本公开提供了一种欺诈识别方法及电子设备，以至少解决现有技术中存在的以上技术问题。

2、根据本公开的第一方面，提供了一种欺诈识别方法，所述方法包括：

3、利用目标程序获取网络数据；所述网络数据包括：网络请求数据、函数调用数据和网络流量数据；

4、对所述网络请求数据与所述网络流量数据进行比对结合处理，得到网络结合数据，利用所述函数调用数据对所述网络结合数据的调用链进行重建，得到重建调用链；

5、对所述重建调用链的数据进行特征提取得到训练集，利用所述训练集对神经网络模型进行训练，得到识别模型；

6、将实时数据输入到所述识别模型中，得到识别结果；所述识别结果用于表征所述实时数据为正常行为数据或欺诈行为数据。

7、在一可实施方式中，还包括：

8、当识别结果为欺诈行为数据时进行预警。

9、在一可实施方式中，所述利用目标程序获取网络数据，还包括：

10、获取网络初始数据；

11、对所述网络初始数据进行数据清洗及标准化处理，得到预处理数据；

12、对所述预处理数据进行特征提取，得到网络数据。

13、在一可实施方式中，所述对所述网络请求数据与所述网络流量数据进行比对结合处理，得到网络结合数据，包括：

14、对所述网络请求数据与所述网络流量数据进行时间戳对齐处理；

15、对比时间戳对齐处理后的网络请求数据的数据源与网络流量数据的数据源是否一致，并在数据源一致时，输出网络结合数据。

16、在一可实施方式中，所述利用所述函数调用数据对所述网络结合数据的调用链进行重建，得到重建调用链，包括：

17、根据所述函数调用数据跟踪每个网络请求的调用位置；

18、根据所述调用位置，确定每个网络请求的上下文和调用顺序并记录为调用栈信息；

19、分析每个网络请求的调用栈信息，得到目标函数调用和调用参数；

20、利用所述目标函数调用和调用参数结合所述调用栈信息，重建每个网络请求的上下文及时间戳得到重建调用链。

21、在一可实施方式中，还包括：

22、验证所述重建调用链的准确性和一致性。

23、在一可实施方式中，所述对所述重建调用链的数据进行特征提取得到训练集，利用所述训练集对神经网络模型进行训练，得到识别模型，包括：

24、提取所述重建调用链的数据中与欺诈行为相关的特征，得到特征向量；

25、对所述特征向量标注为正常行为和欺诈行为，得到训练集；

26、将所述训练集输入至神经网络模型中进行训练，得到符合目标的模型参数时输出识别模型。

27、在一可实施方式中，将实时数据输入到所述识别模型中，得到识别结果，包括：

28、实时采集数据；

29、提取实时采集数据中的特征向量；

30、将所述特征向量输入至所述识别模型中，得到识别结果。

31、在一可实施方式中，利用第一目标程序获取网络请求数据；

32、利用第二目标程序获取函数调用数据；

33、利用第三目标程序获取网络流量数据。

34、根据本公开的第二方面，提供了一种欺诈识别装置，所述装置包括：

35、获取模块，用于利用目标程序获取网络数据；所述网络数据包括：网络请求数据、函数调用数据和网络流量数据；

36、重建模块，用于对所述网络请求数据与所述网络流量数据进行比对结合处理，得到网络结合数据，利用所述函数调用数据对所述网络结合数据的调用链进行重建，得到重建调用链；

37、训练模块，用于对所述重建调用链的数据进行特征提取得到训练集，利用所述训练集对神经网络模型进行训练，得到识别模型；

38、输出模块，用于将实时数据输入到所述识别模型中，得到识别结果；所述识别结果用于表征所述实时数据为正常行为数据或欺诈行为数据。

39、根据本公开的第三方面，提供了一种电子设备，包括：

40、至少一个处理器；以及

41、与所述至少一个处理器通信连接的存储器；其中，

42、所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行本公开所述的方法。

43、根据本公开的第四方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，所述计算机指令用于使所述计算机执行本公开所述的方法。

44、本公开的欺诈识别方法及电子设备，本申请通过结合网络请求数据、函数调用数据和网络流量数据得到重建调用链，利用重建调用链得到识别模型，本申请采用完整的调用链数据能够得到识别更加准确的识别模型，从而高效、准确的识别应用程序中的欺诈行为，提供更好的安全保障。

45、应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。

技术特征：

1.一种欺诈识别方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，还包括：

3.根据权利要求1所述的方法，其特征在于，所述利用目标程序获取网络数据，包括：

4.根据权利要求1所述的方法，其特征在于，所述对所述网络请求数据与所述网络流量数据进行比对结合处理，得到网络结合数据，包括：

5.根据权利要求4所述的方法，其特征在于，所述利用所述函数调用数据对所述网络结合数据的调用链进行重建，得到重建调用链，包括：

6.根据权利要求5所述的方法，其特征在于，还包括：

7.根据权利要求5所述的方法，其特征在于，所述对所述重建调用链的数据进行特征提取得到训练集，利用所述训练集对神经网络模型进行训练，得到识别模型，包括：

8.根据权利要求1所述的方法，其特征在于，将实时数据输入到所述识别模型中，得到识别结果，包括：

9.根据权利要求1所述的方法，其特征在于，

10.一种电子设备，其特征在于，包括：

技术总结本公开提供了一种欺诈识别方法及电子设备，所述方法包括利用目标程序获取网络数据；网络数据包括网络请求数据、函数调用数据和网络流量数据；对网络请求数据与网络流量数据进行比对结合处理，得到网络结合数据，利用函数调用数据得到重建调用链；重建调用链的数据对神经网络模型进行训练，得到识别模型；将实时数据输入到识别模型中，得到识别结果；识别结果用于表征实时数据为正常行为数据或欺诈行为数据。本申请通过结合网络请求数据、函数调用数据和网络流量数据得到重建调用链，利用重建调用链得到识别模型，本申请采用完整的调用链数据能够得到识别更加准确的识别模型，从而高效、准确的识别应用程序中的欺诈行为，提供更好的安全保障。技术研发人员：张赫男,徐聪,袁林,邸学锋,马洪彬,窦晶,贾立军,米胜山,范晓波,刘道林,姜双双,智斌,雷小创,阿曼太,刘新鹏,张朕,傅强,王杰,杨满智,金红,陈晓光,胡兵受保护的技术使用者：恒安嘉新（北京）科技股份公司技术研发日：技术公布日：2024/10/10