一種基于特征檢測(cè)的惡意呼叫過(guò)濾方案

許鵬翔 饒新益 王曉娜

【摘要】本文通過(guò)在交換網(wǎng)中提取出惡意呼叫實(shí)例并進(jìn)行統(tǒng)計(jì)分析，歸納出惡意呼叫號(hào)碼的若干行為特征和網(wǎng)絡(luò)特征，并與網(wǎng)絡(luò)中交換設(shè)備自帶的檢測(cè)方案進(jìn)行比較，提出一種優(yōu)化的疑似惡意呼叫號(hào)碼過(guò)濾方案。

【關(guān)鍵詞】惡意呼叫響一聲電話

當(dāng)前移動(dòng)通信網(wǎng)中普遍存在惡意呼叫的現(xiàn)象，本文通過(guò)在移動(dòng)網(wǎng)絡(luò)中提取惡意呼叫實(shí)例，采用統(tǒng)計(jì)分析歸納出惡意呼叫的若干特征，并與目前在用的檢測(cè)方案進(jìn)行比較，給出一種在交換機(jī)上實(shí)現(xiàn)的惡意呼叫過(guò)濾方案。

一、惡意呼叫特征分析

通過(guò)提取網(wǎng)絡(luò)中大量呼叫記錄進(jìn)行統(tǒng)計(jì)和分析，可以發(fā)現(xiàn)惡意呼叫具有若干明顯特征：（1）主叫長(zhǎng)時(shí)間頻繁發(fā)起呼叫；（2）振鈴時(shí)長(zhǎng)短，主叫提前拆線，被叫應(yīng)答率低；（3）被叫號(hào)碼為同號(hào)段號(hào)碼；（4）主叫號(hào)碼設(shè)置呼轉(zhuǎn)。

二、在用交換機(jī)的惡意呼叫檢測(cè)方案分析

目前多數(shù)交換機(jī)提供惡意呼叫檢測(cè)功能，測(cè)試中發(fā)現(xiàn)幾個(gè)問(wèn)題：（1）始發(fā)呼叫統(tǒng)計(jì)周期范圍為30s～300s，惡意呼叫閾值范圍為15次～255次，通話接續(xù)時(shí)長(zhǎng)一般在6s～8s，既一分鐘發(fā)起呼叫的頻度不會(huì)超出10次，若按最短統(tǒng)計(jì)周期為30s計(jì)算，則呼叫不會(huì)超出5個(gè)，而檢測(cè)功能最小的檢測(cè)閾值為15次，遠(yuǎn)遠(yuǎn)大于5個(gè)。（2）始發(fā)呼叫統(tǒng)計(jì)周期的范圍（30～300s）決定了該功能僅能檢測(cè)短時(shí)間內(nèi)的超頻呼叫，影響了監(jiān)測(cè)的成功率和覆蓋率。

三、優(yōu)化方案

本節(jié)在上文分析和測(cè)試的基礎(chǔ)上，提出一種優(yōu)化的惡意呼叫號(hào)碼檢測(cè)方案，目的在于提高該功能對(duì)網(wǎng)絡(luò)中惡意呼叫號(hào)碼檢測(cè)的覆蓋率和準(zhǔn)確率。

3.1優(yōu)化思路

從惡意呼叫檢測(cè)功能的測(cè)試結(jié)果來(lái)看，簡(jiǎn)單的從呼叫頻度上進(jìn)行檢測(cè)準(zhǔn)確率低，可通過(guò)多維度的聯(lián)合檢測(cè)測(cè)來(lái)優(yōu)化。

主叫行為特征：（1）通話未正常接通，無(wú)計(jì)費(fèi)話單產(chǎn)生（通話時(shí)長(zhǎng)=0）；（2）振鈴時(shí)長(zhǎng)小于指定時(shí)長(zhǎng)。（（主叫拆線時(shí)刻-振鈴時(shí)刻）Nmax）；5）主叫用戶頻繁起呼持續(xù)時(shí)間較長(zhǎng)（連續(xù)呼叫間隔時(shí)間

被叫號(hào)碼特征：

（1）主叫用戶頻繁發(fā)起呼叫的被叫用戶不是同一號(hào)碼；（2）主叫用戶頻繁發(fā)起呼叫的被叫用戶為同一號(hào)段號(hào)碼（是否為同一萬(wàn)號(hào)段）。

3.2檢測(cè)流程

檢測(cè)機(jī)制原理是通過(guò)設(shè)置若干特征計(jì)數(shù)器，對(duì)統(tǒng)計(jì)周期內(nèi)每個(gè)主叫的呼叫總數(shù)和符合條件的呼叫進(jìn)行分類計(jì)數(shù)，統(tǒng)計(jì)周期結(jié)束后，通過(guò)判斷每個(gè)計(jì)數(shù)器占呼叫總數(shù)的比例是否超過(guò)設(shè)置的閾值來(lái)確定主叫號(hào)碼是否為惡意呼叫號(hào)碼。計(jì)數(shù)器包括呼叫總數(shù)計(jì)數(shù)器、超短振鈴計(jì)數(shù)器、主叫拆線計(jì)數(shù)器、零通話時(shí)長(zhǎng)計(jì)數(shù)器、呼叫持續(xù)性計(jì)數(shù)器和同號(hào)段號(hào)碼計(jì)數(shù)器。檢測(cè)過(guò)程中可設(shè)置的閾值為T(mén)alerting（振鈴時(shí)長(zhǎng)閾值）和T1（呼叫間隔）。每個(gè)呼叫需檢測(cè)如下信息，流程圖如下圖所示：

流程檢測(cè)步驟說(shuō)明：步驟1：收到cm_service_request對(duì)該主叫號(hào)碼呼叫總數(shù)計(jì)數(shù)器加1；步驟2：計(jì)算振鈴時(shí)長(zhǎng)（alerting時(shí)刻->disconnect時(shí)刻），如果振鈴時(shí)長(zhǎng)

通過(guò)以上檢測(cè)可以提取出用戶統(tǒng)計(jì)周期內(nèi)呼叫的若干特征，在幾個(gè)特征計(jì)數(shù)器的基礎(chǔ)上通過(guò)設(shè)置閾值，過(guò)濾出統(tǒng)計(jì)周期內(nèi)疑似惡意呼叫號(hào)碼。

四、結(jié)論

本文中提出的惡意呼叫檢測(cè)優(yōu)化方案是基于網(wǎng)絡(luò)中大量惡意呼叫樣本提出的，與真實(shí)的惡意呼叫模型有較強(qiáng)的相關(guān)性，另外，通過(guò)延長(zhǎng)統(tǒng)計(jì)周期可以進(jìn)一步提高檢測(cè)結(jié)果的準(zhǔn)確率。方案中檢測(cè)閾值的確定可先用網(wǎng)絡(luò)中樣本大致估算一個(gè)閾值，在網(wǎng)絡(luò)中實(shí)際運(yùn)行中持續(xù)收集樣本再通過(guò)分類樹(shù)算法確定各參數(shù)的最佳取值。