［張慧嫦 李力卡］

基于信令的電話詐騙行為檢測及防范研究

［張慧嫦 李力卡］

目前電信詐騙案件呈高發(fā)態(tài)勢，社會影響及其惡劣。以大數(shù)據(jù)挖掘的分析方式從業(yè)務(wù)特征分析，數(shù)據(jù)處理，數(shù)據(jù)特征分析和業(yè)務(wù)建模等層面研究基于信令的電話詐騙檢測方法并基于廣東電信網(wǎng)絡(luò)提出可能的防范措施。

電信詐騙 信令 檢測 防范

張慧嫦

高級工程師，目前就職于中國電信廣東研究院，主要從事數(shù)據(jù)分析挖掘工作。

李力卡

高級工程師，就職于中國電信廣東研究院，主要從事大數(shù)據(jù)技術(shù)研究、分析挖掘工作。

1 電信詐騙現(xiàn)狀

1.1 現(xiàn)狀

電信詐騙是指犯罪分子通過電話、網(wǎng)絡(luò)和短信方式，編造虛假信息，設(shè)置騙局，對受害人實施遠程、非接觸式詐騙，誘使受害人給犯罪分子打款或轉(zhuǎn)賬的犯罪行為［1］。近十年來，利用電信網(wǎng)絡(luò)高科技手段實行犯罪的案件呈高發(fā)態(tài)勢，同時詐騙手法日新月異，詐騙金額亦越來越大，社會影響惡劣，給社會穩(wěn)定和人民財產(chǎn)安全造成嚴重危害。

根據(jù)《騰訊2016年第二季度反電信網(wǎng)絡(luò)詐騙大數(shù)據(jù)報告》［2］，第二季度季電話詐騙涉及金額最大，高于網(wǎng)絡(luò)詐騙和短信詐騙，而電話詐騙中仿冒公檢法詐騙金額龐大占總詐騙金額的23%，仿冒熟人、仿冒客服分別占13%、12%左右。本文以大數(shù)據(jù)挖掘的分析方式，業(yè)務(wù)特征分析，數(shù)據(jù)處理，數(shù)據(jù)特征分析和業(yè)務(wù)建模等層面研究基于信令的電話詐騙檢測方法并基于廣東電信網(wǎng)絡(luò)提出可能的防范措施。

2 基于信令的電話詐騙檢測方法研究

談起電話詐騙檢測方法，第一反應(yīng)是基于通話內(nèi)容進行檢測，2016年8月某智能語音與人工智能技術(shù)企業(yè)宣布已建立了“智能語音技術(shù)公安部重點實驗室”，該平臺能夠針對詐騙人員的詐騙行為、作案手段和詐騙劇本進行分析建模，結(jié)合人工智能的意圖理解技術(shù)，自動識別詐騙主題以及判定受騙程度。另外本文作者也參與過一些防詐騙技術(shù)測試，該技術(shù)可以對所有呼叫的前幾秒音頻進行分析，結(jié)合出現(xiàn)頻率等特征找出可能詐騙語音模板，并將其他呼叫的前幾秒音頻與該模板進行相似度判斷。但是基于通話內(nèi)容的分析不僅涉及用戶隱私，還需對網(wǎng)絡(luò)大面積改造，因此基于通話內(nèi)容的詐騙檢測難以推廣。

而隨著信令采集系統(tǒng)在電信網(wǎng)絡(luò)覆蓋的日益完善及大數(shù)據(jù)處理技術(shù)的發(fā)展，基于信令的電話詐騙檢測方法可以做到不涉及用戶隱私，網(wǎng)絡(luò)改造較少，成為電話詐騙檢測的主要方式。

本章以大數(shù)據(jù)挖掘的分析方式，從業(yè)務(wù)特征分析，數(shù)據(jù)處理，數(shù)據(jù)特征分析和業(yè)務(wù)建模等層面研究基于信令的電話詐騙檢測方法。

2.1 典型電話詐騙的行為特征分析

根據(jù)各類媒體報道，電話詐騙詐主要如下幾類：

響一聲電話：利用特殊群撥設(shè)備或軟件自動撥號，電話響一聲后立即掛斷。目的一是誘導(dǎo)用戶回撥，聽廣告宣傳，或?qū)嵤╇娦旁p騙如六合彩，重金求子等。目的二“空號檢測”，為其他騷擾、詐騙電話的撥打進行前期“篩選”。

仿冒公檢法：初級版是自動播放事先錄制好的電話錄音，內(nèi)容為各類欠費，法院傳票等，通常受騙用戶會按鍵進一對一的詐騙階段；高級版，一對一詐騙，仿冒公檢法，謊稱受害人身份資料與嫌疑犯有牽連，通常還會主動要求受害者打114確認來電號碼是否為某某公安電話，之后威脅凍結(jié)存款，要求事主將存款轉(zhuǎn)到“安全賬戶”。

仿冒熟人：冒充受害人的熟人或領(lǐng)導(dǎo)，以各種事由要求受害人轉(zhuǎn)賬匯款。呼叫量可能與一般普通主叫沒有太大差別，主叫一般為手機號碼，與仿冒公檢法初級版的錄音通知相比，未受騙用戶識別用戶識別也需要一定的時間，主被叫號碼基本上屬于同一區(qū)域，但是主叫基本上都是漫游在外地。

以上幾種詐騙模式，其通話包括如下特征，這些特征經(jīng)過轉(zhuǎn)換都可以作為詐騙檢測建模的參數(shù)如表1所示。

2.2 信令數(shù)據(jù)處理（如圖1所示）

圖1 廣東電信網(wǎng)絡(luò)拓撲圖

獲取合適的信令是基于信令的電話詐騙檢測的前提。廣東省電信網(wǎng)絡(luò)包含C網(wǎng)，固網(wǎng)NGN以及IMS網(wǎng)絡(luò)3個子網(wǎng)絡(luò)，其呼叫路由方式復(fù)雜，信令采集點眾多，同一個呼叫不僅可能經(jīng)過多個網(wǎng)元，也可能跨子網(wǎng)，為保證檢測效果及追溯呼叫源頭，信令采集與處理需要遵循如下原則：

（1）信令采集盡量覆蓋所有子網(wǎng)絡(luò)

（2）信令采集點盡量靠近發(fā)呼端邊緣端

（3）各子網(wǎng)絡(luò)內(nèi)、網(wǎng)絡(luò)間能要進行信令去重，盡量保證一次呼叫僅采集到一次信令

（4）信令需進行規(guī)范化，脫敏等處理

以上原則的實施重點難點是信令的采集和去重，下文簡要說明方案的關(guān)鍵環(huán)節(jié)。

2.2.1 信令采集方案

目前的信令采集系統(tǒng)，已經(jīng)完全覆蓋3個子網(wǎng)，原則1 的實現(xiàn)簡單，但是信令采集系統(tǒng)主要是運維功能，采集點眾多，若要實現(xiàn)原則2，對于固網(wǎng)由于所有呼叫都必須基于SS轉(zhuǎn)接，信令采集點應(yīng)選擇SS入向，呼叫可以溯源到發(fā)端端局；對于C網(wǎng)，應(yīng)采集A口信令，但由于A口分布太散且數(shù)據(jù)量太大，系統(tǒng)使用的是MSCE與HLR，MSCE之間的CMAP信令，MSCE與SS之間ISUP，協(xié)議以及MSCEY與TMSCE之間SIP信令，呼叫可以溯源到發(fā)端MSCE。IMS網(wǎng)絡(luò)和固網(wǎng)類似也是盡量靠近網(wǎng)絡(luò)邊緣，采集點選擇P/I-CSCF。

2.2.2 信令去重方案

固網(wǎng)及IMS信令重復(fù)主要原因是一個呼叫觸發(fā)業(yè)務(wù)后多次進入關(guān)鍵網(wǎng)元如SS，解決方案如下:

（1）只采集有始發(fā)呼叫的局點發(fā)往關(guān)鍵網(wǎng)元的信令，各類轉(zhuǎn)接平臺的信令不采集。

（2）局點既有始發(fā)話務(wù)又有轉(zhuǎn)接話務(wù)，且轉(zhuǎn)接話務(wù)被叫或者主叫有接入碼區(qū)別時，根據(jù)接入碼剔除該部分話務(wù)。

（3）局點既有始發(fā)話務(wù)又有轉(zhuǎn)接話務(wù)，且轉(zhuǎn)接話務(wù)沒有接入碼區(qū)別時，需要在規(guī)范主被叫號碼后，在應(yīng)用層結(jié)合主被叫號碼以及呼叫時間進行話單去重。

C網(wǎng)信令重復(fù)的主要原因是一個呼叫可能既有CMAP信令又有SIP 信令，還可能一個呼叫多個CMAP信令，解決方案如下：

（1）不采集MSC與業(yè)務(wù)平臺之間的CMAP信令

（2）對于CMAP中的LOCQEQ 和ROUTEREQ信令，LOCQEQ全部采集，而ROUTEREQ信令中MSC為本省的則全部剔除。

（3）刪除MSC與TMSCE之間被叫為TLDN的SIP信令，避免與CMAP信令重復(fù)。

對于C網(wǎng)和固網(wǎng)互通部分理論上不會采集重復(fù)，但仍通過應(yīng)用層結(jié)合主被叫號碼以及呼叫時間進行話單去重。

此外因局數(shù)據(jù)配置錯誤導(dǎo)致呼叫循環(huán)類的信令重復(fù)，也需要應(yīng)用層實現(xiàn)。

2.3 基于信令的電話詐騙行為檢測方法最基本的信令內(nèi)容包括主叫號碼，被叫號碼，始發(fā)局點，目的局點，通話起始時間，通話應(yīng)答時間，通話結(jié)束時間，釋放原因。結(jié)合信令基本信息、統(tǒng)計信息及基礎(chǔ)信息以及2.1的業(yè)務(wù)特征還可以衍生出其他特征，并以此作為電話詐騙檢測建模的參數(shù)。

2.3.1 基于主叫號碼形式

根據(jù)主叫號碼進行主叫號碼合法性檢測，包括號碼長度是否正常，國內(nèi)國際區(qū)號是否存在，號碼與始發(fā)局點是否一致。對應(yīng)需要的信令信息包括：主叫號碼，始發(fā)局點，結(jié)合國際國內(nèi)區(qū)號，局點信息，衍生出新的數(shù)據(jù)特征包括主叫類型（國內(nèi)國際，固話移動），區(qū)號合法性，主叫長度合法性，固話主叫與始發(fā)局點區(qū)號一致性，可以根據(jù)這幾個特征直接判斷號碼是否合法。

2.3.2 基于行為特征

根據(jù)詐騙電話的行為特征分析，在一定的周期內(nèi)，不同詐騙行為可以呈現(xiàn)相應(yīng)統(tǒng)計特征，單這些業(yè)務(wù)特征無法直接應(yīng)用，必須轉(zhuǎn)換成數(shù)據(jù)特征才可進行后續(xù)業(yè)務(wù)建模，目前采用的數(shù)據(jù)特征如表2所示。

基于這些數(shù)據(jù)特征，檢測詐騙行為主要有兩種方式：

（1）傳統(tǒng)的規(guī)則方式，根據(jù)對詐騙行為的正樣本分析，得到相關(guān)特征值的分水嶺，依次進行判斷。

表2 業(yè)務(wù)特征數(shù)據(jù)特征對應(yīng)表

（2）大數(shù)據(jù)建模方式，結(jié)合已知正負樣本，采用規(guī)則歸納方法，邏輯回歸分析，神經(jīng)網(wǎng)絡(luò)等進行詐騙行為的判斷。

方法2的難點在于難以拿到大量的的詐騙數(shù)據(jù)樣本，并且可解釋性較差，因此通常會采用方法1，但可以通過方法2來找出更多的相關(guān)特征及其特征值分界點來完善方法1。

無論是采用方法1還是方法2，對于數(shù)據(jù)的處理，如通話時長的分布，如何對通話時長進行分段，0～5秒一段，5～30為一段還是0～30為一段，如通話時刻是按照每小時進行分段還是按照朝九晚五，娛樂，休息進行分段，這些分段，取值不僅需要業(yè)務(wù)理解（各類詐騙行為及用戶的反應(yīng)），也需要正確的數(shù)據(jù)理解對大量的正負樣本進行數(shù)據(jù)分析，其分段方式及取值合理與否直接影響檢測效果。

除了統(tǒng)計特征外，電信詐騙還存在一些典型行為，如仿冒公檢法詐騙可能會頻繁撥打114，仿冒公檢法詐騙的受害者接到第一通電話后會立即撥打114，仿冒公檢法詐騙可能會頻繁撥打各銀行客服確認是否到賬。這些行為特征都可以作為基于行為統(tǒng)計特征算法的補充。

2.3.3 與正常呼叫的區(qū)別

電話詐騙檢測的難點是如何將疑似詐騙電話與一些常規(guī)的推銷區(qū)別開來。從呼叫的特征看，一些常規(guī)的推銷特別是錄音推銷和仿公檢法初級版，中介行為與假冒熟人都非常相似。除了在通話時長分布有所區(qū)別以外，在被叫的關(guān)聯(lián)性上也有較大的區(qū)別，可以進一步研究作為區(qū)別的特征如圖2所示。

圖2 仿冒熟人與普通中介的通話時長分布對比 左仿冒熟人右普通中介

可以看到雖然在0～1秒（未接通）這個范圍內(nèi)兩者的比例類似都是30%，但是接通后的時長分布存在較大區(qū)別。

圖3 仿冒熟人與普通中介的社交圈對比左仿冒熟人右普通中介

圖3 為仿冒熟人和中介案例的被叫及被叫間的呼叫關(guān)聯(lián)情況?？梢钥吹椒旅笆烊撕椭薪槎际侨喊l(fā)呼叫，但是仿冒熟人的被叫之間基本沒有任何關(guān)聯(lián)，但是普通中介的被叫有一些關(guān)聯(lián)性。

根據(jù)對業(yè)務(wù)理解的加深，可以采用大數(shù)據(jù)算法挖掘并驗證更多的特征。

3 電話詐騙的防范及實施

電信詐騙的防范，從加強宣傳，提高群眾的防范意識，到銀行業(yè)及時檢測異常的銀行卡，異常支付行為及時止付到公檢法完善立法，加大打擊力度，每一個環(huán)節(jié)都有相應(yīng)的防范的措施。就運營商而言，除實名制以外目前能做到的就是對已檢測出來的疑似詐騙號碼進行關(guān)停，攔截和被叫提醒，現(xiàn)結(jié)合網(wǎng)絡(luò)設(shè)備能力分析這些方法的實現(xiàn)及應(yīng)用場合。

3.1攔截

最徹底的攔截就是關(guān)停，在無法關(guān)停的情況下（國際來話等），常見攔截分為按照號段攔截（左匹配），完全匹配攔截及相似攔截。攔截非法號段或者反過來放通合法號段，以及完全匹配攔截，新局點一般都具備該功能，只是受攔截名單的容量限制。而相似性攔截，如右匹配或者更靈活的相似攔截（如國際來話仿冒上海市嘉定區(qū)公安局刑偵隊02159980197其主叫號碼 可 能 是 00872159980197，00882159980197，006712159980197等12個不同的號碼，有些甚至高達20多個…），而現(xiàn)有的局點基本上都沒有該功能。

攔截遵循如下原則：盡量在入端處理，集中處理，實時處理。結(jié)合廣東電信的網(wǎng)絡(luò)架構(gòu)，國際來話在國際局處理，省際來話在DC1處理，以上的漏網(wǎng)之魚在匯接局進行處理。

3.2 提醒

常見的提醒有短信語音的提醒，需要在檢測到疑似詐騙呼叫后，將相關(guān)的信息發(fā)送到短信或者是語音平臺進行提醒。對于固話用戶無法進行直接的短信提醒則只能進語音提醒或者關(guān)聯(lián)手機用戶的短信提醒。

短信語音的提醒的實時性受到檢測系統(tǒng)及業(yè)務(wù)平臺實時性的限制，第二章提到的各種檢測算法，都是基于呼叫信令CDR，是在呼叫結(jié)束后，存在傳輸延時以及業(yè)務(wù)處理延時。結(jié)合目前的網(wǎng)絡(luò)狀況下，有兩種解決辦法，一種是通過TDR觸發(fā)短信通知，即呼叫一開始就將信令發(fā)

系統(tǒng)已通過地市公安深度合作，支持打擊通訊詐騙，解決了黑主叫分析、溯源定位、被叫預(yù)警等能力，可在早期發(fā)現(xiàn)和用戶風險提示，有效降低詐騙案發(fā)率和降低詐騙金額，帶來了良好的行業(yè)示范效應(yīng)，成果具有良好應(yīng)用價值。

1《從Hadoop到Spark的架構(gòu)實踐》，《程序員》2015.06，閻志濤，http://www.csdn.net/article/2015-06-08/2824889

2《hadoop權(quán)威指南》，清華大學出版社，（美）Tom White，2010-5

3《社會工程-安全體系中的人性漏洞》，人民郵電出版社，ChristopherHandnagy

10.3969/j.issn.1006-6403.2016.10.002

（2016-10-12）