运营商识别电信诈骗号码的方法与建议论文

运营商识别电信诈骗号码的方法与建议

文|林睿

电信诈骗已经成为危害社会的毒瘤,运营商必须承担起社会责任,协助公安机关对其进行打击。如何通过海量数据分析来精准的识别涉嫌电信诈骗的号码,成为运营商需要研究的课题之一。

近年来电信诈骗猖獗,除了给受骗群众造成了经济损失之外,部分案件还在社会上造成恶劣影响,已经成为危害社会的毒瘤。不少企业已经在各自的领域内采取手段扼制电信诈骗,例如信息安全公司和手机生产商通过来电标识提醒用户,银行也加强了对转账行为的限制和风险提示。

三大运营商作为基础电信业务的提供商,在防范电信诈骗上已采取了限制购卡、垃圾短信拦截等诸多被动措施,但诈骗分子仍可通过异地购卡,变换诈骗内容等方式来规避。打击电信诈骗还需要主动出击,为此本文设计并实现了一种基于运营商O/B域大数据,通过号码归类分析、信令数据清洗、号码识别处置三步来协助公安机关打击电信诈骗的办法。

一、将在网号码分为四类进行特征分析

目前运营商均为各省独立组网,对于不同的用户,本地网络能够获取的数据和处置方式也不一样。因此需要根据归属地和当前位置将号码分为国际漫入、省际漫入、本省漫出和本省本地等四类,采取不同的判断流程和处置措施,如表1所示。

表1 号码分类

进行号码分类后,我们通过访谈已抓获的电信诈骗犯罪分子、回溯已立案的诈骗号码记录和行为逻辑预测等三种方式,总结分析出了诈骗号码的特征。四类号码共同的特征如下:一是号码复用率低,终端复用率高;二是作案时间较为规律,多为工作日的白天;三是作案地区相对集中;四是主叫占比高,被叫离散度高。对于国际漫入和省际漫入类号码,其特征还有首次漫入开机地点为非省际边界地区且非港口地区。对于本省号码,其特征还有开户时间小于4个月,且未办理流量套餐、集团业务,以及信用级别不高等等。对于本省漫出号码,其特征还有首次漫出开机地点为诈骗案件高发地区。

数据是分析的基础,目前各运营商基本都实现了2/3/4G全接口的信令采集,可以对所有在网用户的海量信令数据进行清洗,提取出关键字段进行分析。各个特征数据的来源如下:漫入位置可以通过eNodeB-MME间S1接口GTP-C信令的Cell ID字段获取。漫出位置可以通过MME-DRA-HSS间S6a接口Diameter信令的Origin-Host字段获取。终端信息可以通过MSC-MGW/eNB-MME间Mc/S1接口BSSAP/GTP-C信令的callingimei/IMEI字段获取。业务使用情况可以通过XDR话单获取,业务办理情况可以从BOSS侧的经营分析数据获取。

二、对信令数据进行清洗提取有效字段

对马尔可夫过程{ξ(t),t∈T},(t1

对于本省本地号码,第三步以日为粒度记录并观察每个号码的业务行为,如果有号码的通话短信次数、主叫占比、被叫离散度三项均超过阀值,且所在位置不变或在敏感地区库中,则标识为“疑似诈骗号码”。第四步向BOSS系统申请调出该号码的B域数据,如果满足近期开户、一证多号、非集团用户、非校园用户、非宽带用户、静默期(未开机)大于阀值、月流量低于阀值、信用等级低于阀值等8项条件,则被标识为“高度疑似诈骗号码”,送公安机关审核通过后停机。

三、涉诈号码的识别判断流程

国际漫入和省际漫入的判断方法一致,第三步是将其开机时所在位置与省内敏感地区库进行匹配,看是否为非港口(空港、码头、火车站、长途客运站)和边界地区,如果匹配成功则标识为“疑似诈骗号码”。第四步以日为粒度记录并观察每个号码的业务行为,如果有号码的通话短信次数、主叫占比、被叫离散度三项超过阀值,且所在位置不变或在敏感地区库中,则标识为“高度疑似诈骗号码”。高度疑似诈骗的国际漫入号码送公安审核通过后拒绝其接入网络,高度疑似诈骗的省际漫入号码报送归属省进一步判断和处置。

图1 涉诈号码判断流程图

另外我们还建立了诈骗终端库和敏感地区库。诈骗终端库中存储着所有已立案的和经公安机关判定的涉诈号码所使用过的终端IMEI号,数据量还会随着时间的推移不断的增长。敏感地区库分为省外和省内两部分,省外部分存储的是公安部挂牌的诈骗高发地的MSC ID和MME host,省内部分存储的是涉诈号码常驻的CI和ECI。

通过上述的特征维度和判断流程,能够有效的识别出涉嫌电信诈骗的号码。然而不同地区的诈骗分子行为特征有所不同,同一地区的诈骗分子为了规避打击也会不断的变换行为模式。因此为了提高识别的准确率,运营商还需根据实际情况不断调整和优化各个判断方式和阀值。

尾气分析仪对于我们诊断汽车故障,只能指明一个方向,只能把故障确定或者缩小到一个范围,最终还需要我们进一步精确诊断。换句话讲,利用尾气分析仪,只能作为精确诊断的补充或助手,只能定性,不能定量。

所有类型号码判断识别流程的第一步都是在其开机接入网络时,将手机上报的IMEI与诈骗终端库进行匹配,如匹配成功则直接判定为“高度疑似诈骗用户”,进入处置环节。如未匹配成功则进行第二步号段过滤,进行号码分类后送往不同的判断流程,如图1所示。

四、结语

对于本省漫出号码,第三步是将其开机时所在位置与省外敏感地区库进行匹配,看是否位于公安部挂牌的电信诈骗高发地。如果匹配成功则进入第四步:回溯该号码最近一周的位置轨迹,判断其是否有其他地区的漫游记录。如果该用户仅出现在敏感地区,则标识为“疑似诈骗号码”。第五步向BOSS系统申请调出该号码的B域数据,判断标准和处置方式同“本省本地号码”的第四步。

机器学习是一项非常适合用于识别电信诈骗号码的新技术,面对海量的数据分析和不断变化的特征有着天然的优势,部分运营商已经投入研究。但目前的问题是分散到各地的电信诈骗号码样本量偏少,识别的精准度不足,还需要经过长时间的训练才能够正式投产。

上午,我到老师办公室领书去,呀,徐老师真是一点也没变,依然是那么和蔼可亲,那么美。她看见了我,笑眯眯地说:“以和呀,想我了没?”我甜甜地回答:“想。”老师笑了,露出了两个小酒窝。

工程木协会(APA)成立于1933年,当时是花旗松胶合板协会(Douglas Fir Plywood Association),代表太平洋西北沿岸的胶合板行业的利益。由于技术的发展,南方黄松等其他树种也可生产结构胶合板,1964年该协会更名为美国胶合板协会(American Plywood Association),以反映该组织不断增长的业务。

三大运营商作为国有企业肩负着社会责任,应当继续投入人力物力进行,研究新的技术手段,协助公安机关打击电信诈骗,还人民群众一个健康安全的通信环境。

作者单位:中国移动通信集团海南有限公司

标签:;  ;  ;  ;  

运营商识别电信诈骗号码的方法与建议论文
下载Doc文档

猜你喜欢