[发明专利]判断金融账户是否恶意的方法、设备及计算设备

权利要求书

1.一种判断金融账户是否恶意的方法，适于在计算设备中执行，所述计算设备与多个提供金融服务的金融服务器相连接，所述金融服务器允许用户使用移动终端以金融账户进行操作，所述方法包括步骤：

采集多个金融服务器的日志，所述日志包括所述用户操作金融账户时所使用的IP地址、以及该IP地址对所述多个金融服务器的访问请求；

根据多个金融服务器的日志，提取一个金融账户的账户特征，所述账户特征包括以下特征：移动终端是否对应于多个金融账户、IP地址是真实IP地址还是代理IP地址、来自该IP地址的访问请求是否存在扫描行为、以及是否存在仅访问特定内容的行为；以及

根据提取的一个金融账户的账户特征，采用分类模型判断该金融账户是否恶意；其中所述根据多个金融服务器的日志，提取一个金融账户的账户特征的步骤包括：

从所述日志获取来自所述一个金融账户对应的IP地址的、对该金融账户所属的金融服务器的访问请求；判断该访问请求的协议头是否设置有特定字段，若是，则确定该IP地址是代理IP地址，否则，则确定该IP地址是真实IP地址，所述协议为HTTP协议，所述特定字段为HTTP_VIA字段；

对所述多个金融服务器中的每一个，从所述日志获取多个来自所述一个金融账户对应的IP地址的、对该金融服务器的访问请求；通过计算其中最先的访问请求与最后的访问请求的时间差得到所述IP地址对该金融服务器的访问持续时间；判断该访问持续时间是否小于预定时间值，若是，则确定所述IP地址短暂访问该金融服务器；若确定所述IP地址短暂访问的金融服务器的数目比例大于预定数值，则确定来自该IP地址的访问请求存在扫描行为；

对所述多个金融服务器中的每一个，判断从所述日志获取的对该金融服务器的多个访问请求的目的地址是否均指向该金融服务器上的特定内容，若是，则确定所述IP地址仅访问该金融服务器上的特定内容；若确定所述IP地址仅访问特定内容的金融服务器的数目比例大于预定数值，则确定来自该IP地址的访问请求存在仅访问特定内容的行为。

2.如权利要求1所述的方法，其中，所述计算设备耦接到设备信息存储装置，所述设备信息存储装置存储有已知的金融账户、以及与该金融账户相对应的移动终端的设备信息，

所述日志包括用户操作金融账户时所使用的移动终端的设备信息，所述设备信息包括所述移动终端是否使用模拟器、是否越狱、以及设备标识，

所述账户特征包括以下特征：移动终端是否使用模拟器、是否越狱、以及是否对应于多个金融账户；

所述根据至少一个金融服务器的日志，提取一个金融账户的账户特征的步骤包括：

根据所述日志包括的设备信息确定所述一个金融账户对应的移动终端是否使用模拟器、是否越狱，以及

利用设备信息存储装置中存储的金融账户和相对应的设备信息，根据所述日志包括的设备标识来确定所述移动终端是否对应于多个金融账户。

3.如权利要求1所述的方法，其中，所述计算设备耦接到恶意号码存储装置，所述恶意号码存储装置存储有已知的恶意手机号码，

所述日志包括金融账户绑定的手机号码，所述账户特征包括以下特征：手机号码是否为恶意号码；

所述根据至少一个金融服务器的日志，提取一个金融账户的账户特征的步骤包括：

查询所述日志包括的所述一个金融账户绑定的手机号码是否存在于恶意号码存储装置中，若是，则确定该手机号码为恶意号码，否则不为恶意号码。

4.如权利要求1所述的方法，其中，所述设备信息还包括设备型号，所述账户特征还包括以下特征：金融账户是否存在刷单行为；

所述根据至少一个金融服务器的日志，提取一个金融账户的账户特征的步骤包括：

判断所述日志包括的所述一个金融账户对应的移动终端的设备型号是否属于特定设备型号；

判断来自所述一个金融账户对应的IP地址的、对该金融账户所属的金融服务器的访问请求的请求时间是否均位于特定时间范围，并且目的地址均指向该金融服务器上的特定内容；

判断所述一个金融账户对应的IP地址是否在预定时间段内更换预定次数；以及

若以上判断均为是，则确定该金融账户存在刷单行为。