許鵬翔 饒新益 王曉娜

【摘要】本文通過在交換網(wǎng)中提取出惡意呼叫實(shí)例并進(jìn)行統(tǒng)計分析，歸納出惡意呼叫號碼的若干行為特征和網(wǎng)絡(luò)特征，并與網(wǎng)絡(luò)中交換設(shè)備自帶的檢測方案進(jìn)行比較，提出一種優(yōu)化的疑似惡意呼叫號碼過濾方案。

【關(guān)鍵詞】惡意呼叫響一聲電話

當(dāng)前移動通信網(wǎng)中普遍存在惡意呼叫的現(xiàn)象，本文通過在移動網(wǎng)絡(luò)中提取惡意呼叫實(shí)例，采用統(tǒng)計分析歸納出惡意呼叫的若干特征，并與目前在用的檢測方案進(jìn)行比較，給出一種在交換機(jī)上實(shí)現(xiàn)的惡意呼叫過濾方案。

一、惡意呼叫特征分析

通過提取網(wǎng)絡(luò)中大量呼叫記錄進(jìn)行統(tǒng)計和分析，可以發(fā)現(xiàn)惡意呼叫具有若干明顯特征：（1）主叫長時間頻繁發(fā)起呼叫；（2）振鈴時長短，主叫提前拆線，被叫應(yīng)答率低；（3）被叫號碼為同號段號碼；（4）主叫號碼設(shè)置呼轉(zhuǎn)。

二、在用交換機(jī)的惡意呼叫檢測方案分析

目前多數(shù)交換機(jī)提供惡意呼叫檢測功能，測試中發(fā)現(xiàn)幾個問題：（1）始發(fā)呼叫統(tǒng)計周期范圍為30s～300s，惡意呼叫閾值范圍為15次～255次，通話接續(xù)時長一般在6s～8s，既一分鐘發(fā)起呼叫的頻度不會超出10次，若按最短統(tǒng)計周期為30s計算，則呼叫不會超出5個，而檢測功能最小的檢測閾值為15次，遠(yuǎn)遠(yuǎn)大于5個。（2）始發(fā)呼叫統(tǒng)計周期的范圍（30～300s）決定了該功能僅能檢測短時間內(nèi)的超頻呼叫，影響了監(jiān)測的成功率和覆蓋率。

三、優(yōu)化方案

本節(jié)在上文分析和測試的基礎(chǔ)上，提出一種優(yōu)化的惡意呼叫號碼檢測方案，目的在于提高該功能對網(wǎng)絡(luò)中惡意呼叫號碼檢測的覆蓋率和準(zhǔn)確率。

3.1優(yōu)化思路

從惡意呼叫檢測功能的測試結(jié)果來看，簡單的從呼叫頻度上進(jìn)行檢測準(zhǔn)確率低，可通過多維度的聯(lián)合檢測測來優(yōu)化。

主叫行為特征：（1）通話未正常接通，無計費(fèi)話單產(chǎn)生（通話時長=0）；（2）振鈴時長小于指定時長。（（主叫拆線時刻-振鈴時刻）Nmax）；5）主叫用戶頻繁起呼持續(xù)時間較長（連續(xù)呼叫間隔時間

被叫號碼特征：

（1）主叫用戶頻繁發(fā)起呼叫的被叫用戶不是同一號碼；（2）主叫用戶頻繁發(fā)起呼叫的被叫用戶為同一號段號碼（是否為同一萬號段）。

3.2檢測流程

檢測機(jī)制原理是通過設(shè)置若干特征計數(shù)器，對統(tǒng)計周期內(nèi)每個主叫的呼叫總數(shù)和符合條件的呼叫進(jìn)行分類計數(shù)，統(tǒng)計周期結(jié)束后，通過判斷每個計數(shù)器占呼叫總數(shù)的比例是否超過設(shè)置的閾值來確定主叫號碼是否為惡意呼叫號碼。計數(shù)器包括呼叫總數(shù)計數(shù)器、超短振鈴計數(shù)器、主叫拆線計數(shù)器、零通話時長計數(shù)器、呼叫持續(xù)性計數(shù)器和同號段號碼計數(shù)器。檢測過程中可設(shè)置的閾值為Talerting（振鈴時長閾值）和T1（呼叫間隔）。每個呼叫需檢測如下信息，流程圖如下圖所示：

流程檢測步驟說明：步驟1：收到cm_service_request對該主叫號碼呼叫總數(shù)計數(shù)器加1；步驟2：計算振鈴時長（alerting時刻->disconnect時刻），如果振鈴時長

通過以上檢測可以提取出用戶統(tǒng)計周期內(nèi)呼叫的若干特征，在幾個特征計數(shù)器的基礎(chǔ)上通過設(shè)置閾值，過濾出統(tǒng)計周期內(nèi)疑似惡意呼叫號碼。

四、結(jié)論

本文中提出的惡意呼叫檢測優(yōu)化方案是基于網(wǎng)絡(luò)中大量惡意呼叫樣本提出的，與真實(shí)的惡意呼叫模型有較強(qiáng)的相關(guān)性，另外，通過延長統(tǒng)計周期可以進(jìn)一步提高檢測結(jié)果的準(zhǔn)確率。方案中檢測閾值的確定可先用網(wǎng)絡(luò)中樣本大致估算一個閾值，在網(wǎng)絡(luò)中實(shí)際運(yùn)行中持續(xù)收集樣本再通過分類樹算法確定各參數(shù)的最佳取值。