林潔群 中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司廣州市分公司網(wǎng)絡(luò)運(yùn)行維護(hù)部交換工程師

蔡培雄 中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司廣州市分公司網(wǎng)絡(luò)運(yùn)行維護(hù)部交換工程師

1 引言

針對(duì)電信詐騙事件頻繁發(fā)生的情況，中國(guó)聯(lián)通廣州市分公司深入分析12321（網(wǎng)絡(luò)不良與垃圾信息舉報(bào)受理中心）平臺(tái)下發(fā)的被投訴號(hào)碼的呼叫行為特征，通過(guò)挖掘不良號(hào)碼的信令記錄，從呼叫頻次、接通率、通話時(shí)長(zhǎng)、撥打被叫的類型等多個(gè)維度甄別不良號(hào)碼，并且結(jié)合360網(wǎng)絡(luò)安全平臺(tái)數(shù)據(jù)庫(kù)對(duì)號(hào)碼的標(biāo)記情況，制定出能準(zhǔn)確篩選不良號(hào)碼的模型規(guī)則。

2 研究背景

2.1 電信詐騙頻發(fā)

電信詐騙是指，詐騙分子通過(guò)打電話、網(wǎng)絡(luò)和短信方式，編造虛假信息，設(shè)置騙局，對(duì)受害人實(shí)施詐騙，誘使受害人給詐騙分子打款或轉(zhuǎn)賬。詐騙分子采取漫天撒網(wǎng)的形式，在某一段時(shí)間內(nèi)集中向某一個(gè)號(hào)段或者地區(qū)撥打電話，波及面很寬、社會(huì)影響惡劣。

電信詐騙的主要形式有冒充政府部門、金融部門、電信運(yùn)營(yíng)商、網(wǎng)購(gòu)平臺(tái)客服、親戚朋友，編造虛假中獎(jiǎng)信息等，并且出現(xiàn)了許多新型的詐騙套路，令人防不勝防。

從騰訊安全發(fā)布的《2017年第一季度反電信網(wǎng)絡(luò)詐騙大數(shù)據(jù)報(bào)告》顯示，2017年第一季度全國(guó)的電話詐騙事件總有33570起，雖然詐騙電話事件次數(shù)比第四季度降低50%，但仍然處于較高水平。

2.2 提升技術(shù)手段，大力打擊通訊信息詐騙

為切實(shí)保障正常通信秩序，保護(hù)人民群眾合法權(quán)益，維護(hù)社會(huì)和諧穩(wěn)定，進(jìn)一步防范與打擊不法分子利用通信網(wǎng)絡(luò)實(shí)施通訊信息詐騙等違法犯罪活動(dòng)，工信部開展了“綜合治理不良網(wǎng)絡(luò)信息防范打擊通訊信息詐騙”行動(dòng)。為了響應(yīng)國(guó)家的要求以及工信部的行動(dòng)，中國(guó)聯(lián)通廣州市分公司也著力推進(jìn)防范打擊通訊信息詐騙工作，其中一項(xiàng)重點(diǎn)工作是完善技術(shù)手段，提升對(duì)詐騙電話發(fā)現(xiàn)攔截的能力。

2.3 12321網(wǎng)絡(luò)不良與垃圾信息舉報(bào)受理中心

12321網(wǎng)絡(luò)不良與垃圾信息舉報(bào)受理中心為中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)受工業(yè)和信息化部委托設(shè)立的舉報(bào)受理機(jī)構(gòu)。負(fù)責(zé)協(xié)助工業(yè)和信息化部承擔(dān)關(guān)于互聯(lián)網(wǎng)、移動(dòng)電話網(wǎng)、固定電話網(wǎng)等各種形式信息通信網(wǎng)絡(luò)及電信業(yè)務(wù)中不良與垃圾信息內(nèi)容的舉報(bào)受理、調(diào)查分析以及查處工作。

12321平臺(tái)能通過(guò)電話、網(wǎng)頁(yè)等多個(gè)途徑舉報(bào)電信詐騙事件，12321平臺(tái)受理后會(huì)將詐騙號(hào)碼反饋到其歸屬的運(yùn)營(yíng)商，監(jiān)督運(yùn)營(yíng)商對(duì)該號(hào)碼進(jìn)行處理。

3 構(gòu)建防電信詐騙呼叫模型

3.1 信令采集數(shù)據(jù)庫(kù)

通信網(wǎng)中任意兩個(gè)通信終端之間的通信都離不開信令，終端與交換節(jié)點(diǎn)之間、各交換節(jié)點(diǎn)之間以及不同網(wǎng)絡(luò)之間的互通，都必須在信令的控制下進(jìn)行。在呼叫建立和呼叫拆除過(guò)程中，用戶與交換機(jī)之間、交換機(jī)與交換機(jī)之間都要交互一些控制信息，以協(xié)調(diào)相互的動(dòng)作，這些控制信息稱為信令。

中國(guó)聯(lián)通廣州市分公司在固定語(yǔ)音網(wǎng)各個(gè)端局、融合關(guān)口局以及長(zhǎng)途局上均配置了信令采集系統(tǒng)，經(jīng)過(guò)交換機(jī)的信令均被保存到數(shù)據(jù)庫(kù)中。通過(guò)接入信令數(shù)據(jù)庫(kù)，對(duì)信令數(shù)據(jù)進(jìn)行分析，可以從中獲得主叫號(hào)碼、被叫號(hào)碼、所經(jīng)路由、釋放方向等一系列數(shù)據(jù)，這些數(shù)據(jù)能準(zhǔn)確地反映出該通呼叫的詳細(xì)情況。綜合分析某個(gè)號(hào)碼一天內(nèi)的信令記錄，從呼叫頻次、呼叫接通率、平均呼叫時(shí)長(zhǎng)等多個(gè)維度著手分析，能準(zhǔn)確地總結(jié)出該號(hào)碼的呼叫特征，推斷出其呼叫行為。

3.2 360號(hào)碼標(biāo)記庫(kù)

360手機(jī)衛(wèi)士是國(guó)人普遍使用的一款免費(fèi)手機(jī)安全軟件，其內(nèi)置了來(lái)話提示歸屬地以及號(hào)碼標(biāo)記信息的功能。由于360手機(jī)衛(wèi)士占的市場(chǎng)份額較高，且360手機(jī)衛(wèi)士在比較早的時(shí)候就開始收集統(tǒng)計(jì)用戶對(duì)號(hào)碼的標(biāo)記情況，故360平臺(tái)號(hào)碼標(biāo)記庫(kù)的數(shù)據(jù)具有較高的可參考性。

利用12321平臺(tái)中被投訴詐騙的號(hào)碼歷史數(shù)據(jù)，分別在360、百度、搜狗3家網(wǎng)絡(luò)平臺(tái)查詢號(hào)碼的標(biāo)記情況。結(jié)果發(fā)現(xiàn)，在12321平臺(tái)中被投訴的惡意號(hào)碼與360的號(hào)碼標(biāo)記庫(kù)匹配率較高，也就是說(shuō)，這批惡意號(hào)碼在360平臺(tái)號(hào)碼標(biāo)記庫(kù)中標(biāo)記為非正常號(hào)碼的比率大于其余兩家平臺(tái)的標(biāo)記比率。綜合考慮，我們決定在防電信詐騙模型當(dāng)中加入360平臺(tái)號(hào)碼標(biāo)記情況作為篩選條件，利用互聯(lián)網(wǎng)公信力作為參考，使得模型能更準(zhǔn)確地判斷疑似號(hào)碼的類型以及惡意程度。

360平臺(tái)對(duì)號(hào)碼的標(biāo)記類型有詐騙電話、廣告推銷、房產(chǎn)中介、騷擾電話、快遞送餐、招聘獵頭、響一聲電話、保險(xiǎn)理財(cái)、出租車。其中詐騙電話、騷擾電話以及響一聲電話是影響最為惡劣的，故在防電信詐騙模型當(dāng)中會(huì)添加號(hào)碼被360標(biāo)記類型的過(guò)濾。

3.3 集團(tuán)客戶固話防詐騙呼叫模型

中國(guó)聯(lián)通廣州市分公司的集團(tuán)客戶固話業(yè)務(wù)范圍主要包括語(yǔ)音專線、商務(wù)總機(jī)、簡(jiǎn)易集線通、集客普通固話等產(chǎn)品。集團(tuán)客戶固話業(yè)務(wù)的受眾面主要是各行業(yè)公司大客戶，其特征是公司來(lái)往的話務(wù)較大，也有著很明顯的上下班時(shí)段特點(diǎn)。

通過(guò)獲取12321平臺(tái)中被投訴詐騙的固話號(hào)碼，搭建本地網(wǎng)呼叫信令數(shù)據(jù)庫(kù)，在此基礎(chǔ)上挖掘2017年1—4月被投訴的固話號(hào)碼每日呼叫信令，經(jīng)過(guò)詳細(xì)核查驗(yàn)證，確定在模型中應(yīng)用信令記錄參數(shù)中的“呼叫頻次”、“接通率”、“主叫掛線率”3個(gè)關(guān)鍵指標(biāo)，并且從大量的號(hào)碼行為分析中發(fā)現(xiàn)以下規(guī)律：被投訴的號(hào)碼當(dāng)天呼叫量較大，日呼叫量超過(guò)N次的占比80%以上；且接通的次數(shù)不高，接通率在M%以下；此外，被投訴號(hào)碼在正常通話的過(guò)程中主動(dòng)掛線的幾率較低，基本上主叫掛機(jī)率都在P%以下。

針對(duì)以上呼叫特征，可初步建立了集團(tuán)客戶固話防詐騙呼叫模型，具體條件如下：

（1）每天撥打數(shù)量大于N次。

（2）接通率在M%以下。

（3）主叫掛線率小于或者等于P%。

（4）被360標(biāo)記為騷擾電話、響一聲電話或詐騙電話。

在中國(guó)聯(lián)通網(wǎng)內(nèi)信令數(shù)據(jù)庫(kù)中使用的集客模型SQL語(yǔ)句如圖1所示。

3.4 無(wú)線固話模型

無(wú)線固話終端內(nèi)置一個(gè)移動(dòng)SIM卡，號(hào)碼直接置為固網(wǎng)號(hào)碼。從使用方式來(lái)分析，無(wú)線固話與移動(dòng)電話十分相似。但從呼出的顯示主叫的號(hào)碼以及信令上的主叫號(hào)碼來(lái)看，無(wú)線固話又是固話號(hào)碼。

無(wú)線固話的行為與手機(jī)無(wú)異，使用起來(lái)較為方便，卻使得難以跟蹤到電話固定的位置，后付費(fèi)的收費(fèi)模式又減輕了騷擾詐騙的成本，以上的種種原因造成了無(wú)線固話號(hào)碼大量被投訴存在詐騙行為。在12321平臺(tái)反饋的固話號(hào)碼當(dāng)中，無(wú)線固話占比較高。

通過(guò)分析被投訴的無(wú)線固話號(hào)碼的呼叫行為，發(fā)現(xiàn)使用無(wú)線固話的詐騙分子一天的呼出量較多，但比不上使用多終端專線呼出的集客客戶，無(wú)線固話號(hào)碼每日的呼叫量在N次以上；而接通率、主叫掛線率均與集客模型類似，絕大部分的詐騙號(hào)碼的接通率都在M%以下，而主叫掛線率都在P%以下。

針對(duì)以上呼叫特征，可制定了無(wú)線固話防詐騙呼叫模型，具體條件如下：

（1）每天撥打次數(shù)大于N次。

圖1 集客模型SQL語(yǔ)句

（2）接通率在M%以下。

（3）主叫掛線率小于或者等于P%。

（4）被360標(biāo)記為非正常號(hào)碼。

在中國(guó)聯(lián)通網(wǎng)內(nèi)信令數(shù)據(jù)庫(kù)中使用的無(wú)線固話模型SQL語(yǔ)句如圖2所示。

3.5 閑時(shí)模型

此處定義的閑時(shí)時(shí)段指的是每天的13:00-14:00、23:00-0:00、0:00-1:00、1:00-2:00。每天的13:00-14:00是午休時(shí)間，而23:00-0:00、0:00-1:00、1:00-2:00則是晚上休息的時(shí)間。正常來(lái)說(shuō)，正常固話號(hào)碼在以上4個(gè)時(shí)間段基本上無(wú)話務(wù)量，即使對(duì)于話務(wù)量較大的大公司而言，在以上4個(gè)時(shí)間段的呼叫頻次都不會(huì)超過(guò)N次。

通過(guò)分析12321平臺(tái)反饋的固話號(hào)碼，其中有10%的號(hào)碼是在閑時(shí)時(shí)段呼出而被投訴，造成了極壞的騷擾影響。通過(guò)分析這些號(hào)碼當(dāng)天的信令記錄，發(fā)現(xiàn)這些號(hào)碼在閑時(shí)時(shí)段內(nèi)存在呼叫頻次大于N次的呼叫行為，而正常號(hào)碼在閑時(shí)時(shí)段內(nèi)基本上不會(huì)達(dá)到1h撥打N次的條件。

針對(duì)以上呼叫特征，我們制定了閑時(shí)固話模型，具體條件如下：

（1）在13:00-14:00、23:00-24:00、0:00-1:00、1:00-2:00這4個(gè)時(shí)間段內(nèi)撥打次數(shù)大于或等于N次。

（2）被360標(biāo)記為詐騙號(hào)碼/騷擾號(hào)碼/響一聲號(hào)碼。

在中國(guó)聯(lián)通網(wǎng)內(nèi)信令數(shù)據(jù)庫(kù)中使用的閑時(shí)模型SQL語(yǔ)句如圖3所示。

3.6 短頻短時(shí)呼叫模型

典型的詐騙電話的內(nèi)容包括冒充領(lǐng)導(dǎo)、虛假中獎(jiǎng)信息、冒充政府部門、冒充親戚朋友等幾類，同時(shí)詐騙分子會(huì)采取廣撒網(wǎng)的手段，一天內(nèi)呼出大量的話務(wù)。對(duì)于辨識(shí)能力較強(qiáng)以及比較警惕的用戶，他們往往在聽到詐騙分子的前幾句話就能分辨出是一通詐騙電話而掛機(jī)。因此，在統(tǒng)計(jì)12321被投訴的號(hào)碼當(dāng)中，只有小部分的詐騙電話的通話時(shí)長(zhǎng)超過(guò)了Lmin。

針對(duì)詐騙電話的短頻短時(shí)呼叫的特點(diǎn)，可制定短頻短時(shí)呼叫模型，具體條件如下：

（1）每天撥打數(shù)量大于N次；

（2）平均呼叫時(shí)長(zhǎng)≤Lmin；

（3）1min通話率≥P%；

圖2 無(wú)線固話模型SQL語(yǔ)句

圖3 閑時(shí)模型SQL語(yǔ)句

（4）15s內(nèi)通話率≥H%；

（5）被360標(biāo)記為詐騙號(hào)碼/騷擾號(hào)碼/響一聲號(hào)碼。

在中國(guó)聯(lián)通網(wǎng)內(nèi)信令數(shù)據(jù)庫(kù)中使用的短頻短時(shí)模型SQL語(yǔ)句如圖4所示。

4 成果

進(jìn)入2017年，12321平臺(tái)的建設(shè)愈加完善，而電信詐騙事件也一直持續(xù)高發(fā)。從圖5可以看出，在2017年的前3個(gè)月，中國(guó)聯(lián)通廣州市分公司在12321平臺(tái)上被投訴量一路攀升。面對(duì)不良態(tài)勢(shì)，經(jīng)過(guò)挖掘分析信令數(shù)據(jù)，從多個(gè)維度甄別詐騙號(hào)碼，針對(duì)不同業(yè)務(wù)、不同使用場(chǎng)景制定上文提到的防電詐模型，最終在2017年3月底開始實(shí)行防電詐模型，每天定時(shí)向公司業(yè)務(wù)部門輸出疑似詐騙號(hào)碼，并根據(jù)匹配結(jié)果不斷更新模型的條件參數(shù)。從2017年4月開始，12321平臺(tái)被投訴量大幅下降，成功地遏制電信詐騙事件的高發(fā)態(tài)勢(shì)，取得了豐碩的成果。這也反映出防電信詐騙呼叫模型的確能匹配出具有不良語(yǔ)音呼叫行為的固話號(hào)碼，具有相當(dāng)高的參考價(jià)值。

5 結(jié)束語(yǔ)

中國(guó)聯(lián)通廣州市分公司針對(duì)頻發(fā)的電信詐騙事件，利用信令中包含的主叫號(hào)碼、被叫號(hào)碼、呼叫時(shí)間、呼叫時(shí)長(zhǎng)、釋放方向等信息，結(jié)合電信詐騙的典型案例以及在12321平臺(tái)上被投訴號(hào)碼的呼叫特征，制定出篩選不良號(hào)碼的模型。

從業(yè)務(wù)層面考慮，集客業(yè)務(wù)與無(wú)線固話業(yè)務(wù)的號(hào)碼呼叫特征有所差別，因此對(duì)應(yīng)制定了集團(tuán)客戶固話模型以及無(wú)線固話模型。而為了防范號(hào)碼的惡意騷擾，制定了閑時(shí)模型以及短頻短時(shí)呼叫模型。

圖4 短頻短時(shí)模型SQL語(yǔ)句

防電信詐騙模型從2017年3月底開始向業(yè)務(wù)部門輸出疑似詐騙號(hào)碼，其具有相當(dāng)高的參考價(jià)值。正是因?yàn)橛辛朔离娦旁p騙模型，業(yè)務(wù)部門能第一時(shí)間發(fā)現(xiàn)疑似號(hào)碼的惡意呼叫行為并對(duì)其進(jìn)行限制，防止該號(hào)碼繼續(xù)騷擾詐騙其余用戶，遏制了電信詐騙事件的發(fā)生。從2017年4月起，中國(guó)聯(lián)通廣州市分公司被12321平臺(tái)投訴的固話號(hào)碼量逐月大幅下降，取得了非常好的成果。

圖5 中國(guó)聯(lián)通廣州市分公司被舉報(bào)號(hào)碼數(shù)量趨勢(shì)圖

[1]李易.反電信網(wǎng)絡(luò)詐騙全民指南[M].上海社會(huì)科學(xué)院出版社,2016,10,1.

[2]桂海源,張碧玲.信令系統(tǒng)[M].北京郵電大學(xué)出版社,2008,5,1.

[3]MICK.SQL基礎(chǔ)教程[M].人民郵電出版社,2014,8.

[4]Itzik Ben-Gan.Microsoft SQL Server 2008技術(shù)內(nèi)幕[M].電子工業(yè)出版社,2010,9,1.

[5]Rachel Schutt,Cathy O'Neil.數(shù)據(jù)科學(xué)實(shí)戰(zhàn)[M].人民郵電出版社,2015,3,1.

[6]李航.統(tǒng)計(jì)學(xué)習(xí)方法[M].北京:清華大學(xué)出版社,2012.