RU2774054C1 - System and method for subscriber data protection in case of an unwanted call - Google Patents
System and method for subscriber data protection in case of an unwanted call Download PDFInfo
- Publication number
- RU2774054C1 RU2774054C1 RU2021126169A RU2021126169A RU2774054C1 RU 2774054 C1 RU2774054 C1 RU 2774054C1 RU 2021126169 A RU2021126169 A RU 2021126169A RU 2021126169 A RU2021126169 A RU 2021126169A RU 2774054 C1 RU2774054 C1 RU 2774054C1
- Authority
- RU
- Russia
- Prior art keywords
- call
- unwanted
- data
- subscriber
- parameters
- Prior art date
Links
- 238000004458 analytical method Methods 0.000 claims abstract description 91
- 238000004891 communication Methods 0.000 claims abstract description 45
- 230000002633 protecting Effects 0.000 claims abstract description 32
- 238000010801 machine learning Methods 0.000 claims description 39
- 230000002155 anti-virotic Effects 0.000 claims description 19
- 230000003993 interaction Effects 0.000 claims description 15
- 238000006243 chemical reaction Methods 0.000 claims description 12
- 230000000903 blocking Effects 0.000 claims description 7
- 238000005065 mining Methods 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims description 6
- 206010012586 Device interaction Diseases 0.000 claims description 3
- 230000001502 supplementation Effects 0.000 claims 1
- 230000000694 effects Effects 0.000 abstract description 15
- 238000005516 engineering process Methods 0.000 abstract description 3
- 239000000126 substance Substances 0.000 abstract 1
- 239000003795 chemical substances by application Substances 0.000 description 31
- 238000001514 detection method Methods 0.000 description 13
- 230000001537 neural Effects 0.000 description 9
- 230000003287 optical Effects 0.000 description 7
- 230000001965 increased Effects 0.000 description 4
- 238000006467 substitution reaction Methods 0.000 description 4
- 238000000034 method Methods 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 210000001624 Hip Anatomy 0.000 description 2
- 210000000088 Lip Anatomy 0.000 description 2
- 229920004880 RTP PEK Polymers 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 239000000969 carrier Substances 0.000 description 2
- 230000002068 genetic Effects 0.000 description 2
- 229920005669 high impact polystyrene Polymers 0.000 description 2
- 239000004797 high-impact polystyrene Substances 0.000 description 2
- 238000007477 logistic regression Methods 0.000 description 2
- 230000002093 peripheral Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000003542 behavioural Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 230000002708 enhancing Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000000977 initiatory Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- YHXISWVBGDMDLQ-UHFFFAOYSA-N moclobemide Chemical compound C1=CC(Cl)=CC=C1C(=O)NCCN1CCOCC1 YHXISWVBGDMDLQ-UHFFFAOYSA-N 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006011 modification reaction Methods 0.000 description 1
- 210000002569 neurons Anatomy 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000003909 pattern recognition Methods 0.000 description 1
- 230000000306 recurrent Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Abstract
Description
Область техникиTechnical field
Изобретение относится к области информационной безопасности.The invention relates to the field of information security.
Уровень техникиState of the art
В современном мире практически каждый абонент сети (далее - абонент) сталкивался с мошенническими звонками (также - телефонное мошенничество, англ. phone fraud, scam). Эта проблема актуальна как для телефонной сети, так и для компьютерной сети, в частности Интернет-телефонии (англ. VoIP - voice over internet protocol) и интернет-мессенджеров, которые служат для обмена различным мультимедийным содержимым. Целью злоумышленников (мошенников) является получение прибыли обманным путем, хищение чужого имущества, получение неавторизированного доступа к информации и другое вмешательство в работу информационных систем.In the modern world, almost every network subscriber (hereinafter referred to as the subscriber) has encountered fraudulent calls (also telephone fraud, English phone fraud, scam). This problem is relevant both for the telephone network and for the computer network, in particular Internet telephony (VoIP - voice over internet protocol) and Internet instant messengers, which are used to exchange various multimedia content. The purpose of malefactors (fraudsters) is to obtain profit by fraudulent means, theft of other people's property, obtaining unauthorized access to information and other interference in the operation of information systems.
Из-за телефонного мошенничества большие финансовые потери несут не только конечные пользователи, но также провайдеры связи и различные операторы данных, обслуживающие данные пользователя (например, банк). Некоторые схемы телефонного мошенничества схожи со схемами мошенничества в области рассылки электронных писем и спама. Однако в последнее время появляются все более изощренные способы телефонного мошенничества. Например, злоумышленник представляется сотрудником службы безопасности банка, во время разговора он входит в доверие к абоненту-жертве и обманным путем получает конфиденциальные данные банковской карты (номер, срок действия, CVV2-код, смс-код для подтверждения операции, данные авторизации в системе интернет-банка и др.). После получения конфиденциальных данных злоумышленник использует их для совершения незаконных банковских транзакций и вывода денежных средств.Due to telephone fraud, large financial losses are incurred not only by end users, but also by communication providers and various data operators servicing user data (for example, a bank). Some phone scams are similar to email and spam scams. However, more and more sophisticated methods of telephone fraud have recently appeared. For example, an attacker pretends to be a bank security officer, during a conversation he gains confidence in the victim subscriber and fraudulently receives confidential bank card data (number, expiration date, CVV2 code, SMS code to confirm the operation, authorization data on the Internet bank, etc.). After receiving confidential data, the attacker uses it to make illegal banking transactions and withdraw funds.
Известны случаи, когда злоумышленник представляется сотрудником правоохранительных органов, например полицейским. Под предлогом расследования незаконной транзакции он заставляет жертву перевести ему деньги или взять кредит в банке. При этом злоумышленник воздействует на жертву с использованием различных психологических приемов, применяет методы социальной инженерии, например запугивает ответственностью за отказ сотрудничать с правоохранительными органами, ответственностью за предоставление недостоверной информации и т.д. В такой схеме мошенничества даже осведомленные пользователи могут стать жертвами. Ведь злоумышленник заранее может узнать нужные адреса, телефоны и другую информацию о правоохранительных органах. Поэтому попытка проверить эту информацию жертвой лишь усилит ее доверие к злоумышленнику.There are cases when the attacker appears to be a law enforcement officer, such as a police officer. Under the pretext of investigating an illegal transaction, he forces the victim to transfer money to him or take out a bank loan. In this case, the attacker influences the victim using various psychological techniques, uses social engineering methods, for example, intimidates with responsibility for refusing to cooperate with law enforcement agencies, responsibility for providing false information, etc. In such a scam scheme, even knowledgeable users can become victims. After all, an attacker can find out in advance the necessary addresses, phone numbers and other information about law enforcement agencies. Therefore, an attempt to verify this information by the victim will only increase her confidence in the attacker.
Мошеннические звонки входят в категорию нежелательных звонков (англ. undesirable/unwanted calls/communications), то есть звонков, которые принимающий абонент телефонной сети не желал бы принимать, будь он осведомлен о реальных намерениях звонящего абонента. К нежелательным звонкам также относятся следующие категории: реклама; опросы; звонки от организаций, которым пользователь по ошибке предоставил свой номер; спам; навязчивые звонки от знакомых абонента; телефонное хулиганство; тихие звонки; телемаркетинг; звонки от робота (англ. robocalls) и др. Обычно жертвой мошеннического звонка становится вызываемый абонент, то есть абонент, которому звонит злоумышленник. Однако следует отметить, что в общем случае жертвой мошеннического звонка может быть также вызывающий абонент, если вызываемый (принимающий) абонент является злоумышленником. Или, например, если злоумышленник позвонил жертве, после чего завершил вызов. После этого неосторожный абонент-жертва может перезвонить злоумышленнику. Такие мошеннические звонки сложнее обнаружить, ведь жертва сама позвонила злоумышленнику.Fraudulent calls fall into the category of undesirable/unwanted calls/communications, that is, calls that the receiving subscriber of the telephone network would not want to receive if he were aware of the real intentions of the caller. Unwanted calls also include the following categories: advertising; surveys; calls from organizations to which the user mistakenly provided his number; spam; intrusive calls from acquaintances of the subscriber; telephone hooliganism; silent calls; telemarketing; calls from a robot (eng. robocalls); However, it should be noted that, in general, the calling subscriber can also be the victim of a fraudulent call if the called (receiving) subscriber is an intruder. Or, for example, if the attacker called the victim, after which he ended the call. After that, a careless victim subscriber can call the attacker back. Such fraudulent calls are more difficult to detect, because the victim called the attacker herself.
Злоумышленники используют современные технологии для сокрытия своей деятельности и для эффективного обмана жертв. Примерами таких технологий служат IP-телефония, сложные архитектуры переадресации вызовов посредством VPN-серверов и прокси-серверов, подменные номера, возможность совершать вызовы из-за границы, подмена и копирование голоса. Такие схемы мошенничества сложно обнаружить не только с использованием автоматических средств обнаружения нежелательных звонков, но также и подготовленным специалистам в области информационной безопасности.Attackers use modern technology to hide their activities and to effectively deceive victims. Examples of such technologies are IP telephony, complex call forwarding architectures through VPN servers and proxy servers, spoofing numbers, the ability to make calls from abroad, voice spoofing and copying. Such fraud schemes are difficult to detect, not only using automated spam detection tools, but also by trained information security professionals.
Кроме того, жизнь современного пользователя невозможно представить без использования различных интернет-сервисов, в которых пользователь регистрируется для получения услуг. Однако время от времени различные, даже крупные интернет-сервисы, сами становятся жертвами злоумышленников, в результате чего огромные массивы конфиденциальных данных пользователей попадают в руки к злоумышленникам. Такие данные могут включать фамилии и имена пользователей, номера телефонов, данные банковских карт, данные покупок и др. В результате злоумышленники могут проводить целевые атаки (также - направленные атаки, англ. targeted attacks) при звонках жертвам и им может потребоваться меньшее количество данных для совершения незаконных транзакций. Так, злоумышленник может заранее знать ФИО и номер банковской карты пользователя и для незаконного использования этой карты ему достаточно будет узнать у жертвы оставшиеся реквизиты карты.In addition, the life of a modern user cannot be imagined without the use of various Internet services in which the user registers to receive services. However, from time to time, various, even large Internet services themselves become victims of intruders, as a result of which huge amounts of confidential user data fall into the hands of intruders. Such data may include usernames and last names, phone numbers, bank card details, purchase details, etc. As a result, attackers can conduct targeted attacks (also targeted attacks) when calling victims and they may need less data to making illegal transactions. Thus, an attacker can know in advance the full name and number of the user's bank card, and in order to illegally use this card, it will be enough for him to find out the remaining card details from the victim.
Таким образом, возникает необходимость в системах определения нежелательных звонков и защите данных абонента при нежелательном звонке. Однако также возникает техническая проблема, заключающаяся в низком уровне определения нежелательных звонков.Thus, there is a need for systems for identifying unwanted calls and protecting subscriber data in the event of an unwanted call. However, there is also a technical problem in that the level of detection of unwanted calls is low.
Из уровня техники известен патент US8315593, в котором описан способ авторизации вызовов по номерам телефонов. Для этого проверяют метку оплаты и запрещают вызов, если данная метка не была найдена. Известный способ позволяет исключить некоторые виды мошенничества, связанные с подменой номера. Существует также большое количество способов определения мошеннических вызовов с использованием списков мошеннических номеров телефонов. Однако использование указанных списков не позволит определить мошеннические вызовы и звонки в случае, например, подмены номера или когда мошеннический звонок осуществляется с номера, отсутствующего в списке, а факт мошенничества может быть определен в процессе звонка.From the prior art known patent US8315593, which describes a method for authorizing calls to phone numbers. To do this, the payment label is checked and the call is denied if this label was not found. The known method allows you to exclude some types of fraud associated with the substitution of numbers. There are also many ways to identify fraudulent calls using lists of fraudulent phone numbers. However, the use of these lists will not allow identifying fraudulent calls and calls in the event, for example, of a number substitution or when a fraudulent call is made from a number that is not on the list, and the fact of fraud can be determined during the call.
Однако известные технологии не решают заявленную техническую проблему полностью. Поэтому возникает необходимость в заявленном изобретении.However, known technologies do not completely solve the claimed technical problem. Therefore, there is a need for the claimed invention.
Раскрытие сущности изобретенияDisclosure of the essence of the invention
Настоящее изобретение предназначено для защиты данных абонента при нежелательном звонке.The present invention is intended to protect subscriber data in the event of an unwanted call.
Первый технический результат заключается в снижении ошибок первого и второго рода при определении нежелательных звонков.The first technical result is to reduce errors of the first and second kind in the detection of unwanted calls.
Второй технический результат заключается в повышении уровня защиты данных абонента при нежелательном звонке.The second technical result is to increase the level of protection of the subscriber's data in case of an unwanted call.
Согласно варианту реализации используется способ защиты данных абонента при нежелательном звонке, реализуемый компьютерным устройством с помощью модуля определения, связанного со шлюзом на сервере провайдера связи, в котором: перехватывают трафик, включающий параметры звонка и потоковые данные звонка, при этом параметры звонка включают идентификаторы абонентов; выполняют предварительный анализ параметров звонка, по результатам которого определяют первое значение вероятности определения звонка нежелательным; в случае если первое значение вероятности превышает первое пороговое значение, определяют дополнительные параметры звонка путем анализа потоковых данных звонка, где дополнительные параметры включают информацию об операторе данных, связанном по меньшей мере с одним абонентом, где информация об операторе данных включает, в частности, одно из: название, идентификатор; выполняют повторный анализ параметров звонка с учетом дополнительных параметров, по результатам которого определяют второе значение вероятности определения звонка нежелательным; в случае если упомянутое второе значение вероятности превышает второе пороговое значение, признают звонок нежелательным, кроме того определяют абонента, который осуществляет нежелательный звонок (далее - нежелательный абонент) и абонента, данные которого подлежат защите при нежелательном звонке (далее - защищаемый абонент), при этом дополняют параметры звонка метками о нежелательном абоненте и защищаемом абоненте, а также информацией о том, что звонок определен как нежелательный; передают все параметры звонка, определенного нежелательным, по меньшей мере одному из: приложению на устройстве защищаемого абонента, агенту безопасности по меньшей мере одного упомянутого оператора данных, агенту безопасности на сервере провайдера связи, при этом указанные приложение и агенты безопасности осуществляют защиту данных защищаемого абонента соответственно на устройстве пользователя, на сервере оператора данных, на сервере провайдера связи.According to an implementation variant, a method for protecting subscriber data in case of an unwanted call is used, implemented by a computer device using a determination module associated with a gateway on a communication provider server, in which: traffic is intercepted, including call parameters and call streaming data, while the call parameters include subscriber identifiers; perform a preliminary analysis of the parameters of the call, the results of which determine the first value of the probability of determining the call as unwanted; if the first probability value exceeds the first threshold value, additional call parameters are determined by analyzing the streaming data of the call, where the additional parameters include information about the data operator associated with at least one subscriber, where the information about the data operator includes, in particular, one of : name, identifier; perform a reanalysis of the call parameters, taking into account additional parameters, the results of which determine the second value of the probability of determining the call as unwanted; if the said second probability value exceeds the second threshold value, the call is recognized as unwanted, in addition, the subscriber who makes the unwanted call (hereinafter referred to as the unwanted caller) and the subscriber whose data are subject to protection in case of an unwanted call (hereinafter referred to as the protected subscriber) are determined, while supplement the call parameters with labels about the unwanted subscriber and the protected subscriber, as well as information that the call is defined as unwanted; transfer all the parameters of the call, determined as unwanted, to at least one of: the application on the device of the protected subscriber, the security agent of at least one mentioned data operator, the security agent on the server of the communication provider, while the specified application and security agents protect the data of the protected subscriber, respectively on the user's device, on the server of the data operator, on the server of the communication provider.
Согласно одному из частных вариантов реализации потоковые данные звонка являются по меньшей мере одними из следующих: аудиопотоком, видеопотоком, аудиовизуальным потоком, потоком мгновенных сообщений, поток данных произвольного формата.According to one particular implementation, the call stream data is at least one of the following: an audio stream, a video stream, an audiovisual stream, an instant messaging stream, a free-form data stream.
Согласно другому частному варианту реализации выполняют анализ потоковых данных: с использованием методов распознавания речи в аудиопотоке с последующим преобразованием в текст, если потоковые данные включают аудиопоток; с использованием методов распознавания образов в видеопотоке и последующим преобразованием в текст, если потоковые данные включают видеопоток; с использованием по меньшей мере одного из следующих методов анализа текста: интеллектуальный анализ текста, семантический анализ текста, синтаксический анализ текста, при этом упомянутый текст извлекают из потоковых данных.According to another particular implementation variant, analysis of streaming data is performed: using speech recognition methods in an audio stream, followed by conversion to text, if the streaming data includes an audio stream; using image recognition methods in the video stream and subsequent conversion to text if the stream data includes a video stream; using at least one of the following text analysis methods: text mining, semantic text analysis, text parsing, wherein said text is extracted from streaming data.
Согласно еще одному частному варианту реализации анализ потоковых данных звонка включает выделение ключевых слов, словосочетаний и лексем для определения информации об операторе данных, связанном по меньшей мере с одним абонентом, путем сопоставления выделенных ключевых слов, словосочетаний и лексем с известными ключевыми словами, словосочетаниями и лексемами, связанными с информацией об упомянутом операторе данных.According to another particular implementation option, the analysis of streaming call data includes extracting keywords, phrases, and tokens to determine information about the data operator associated with at least one subscriber by matching the extracted keywords, phrases, and tokens with known keywords, phrases, and tokens. associated with information about said data operator.
Согласно одному из частных вариантов реализации дополнительные параметры также включают по меньшей мере один из: ключевые слова, словосочетания, лексемы, присутствующие в потоковых данных; тональность текста, выделенного из потоковых данных.According to one of the private implementation options, additional parameters also include at least one of: keywords, phrases, tokens present in the streaming data; sentiment of text extracted from streaming data.
Согласно другому частному варианту реализации предварительный анализ параметров звонка включает по меньшей мере один из: сигнатурный анализ, в котором при совпадении параметров звонка с сигнатурой нежелательного звонка определяют первое значение вероятности определения звонка нежелательным выше первого порогового значения; эвристический анализ, в котором при совпадении параметров звонка с эвристикой нежелательного звонка определяют первое значение вероятности определения звонка нежелательным выше первого порогового значения; анализ с использованием обученной модели машинного обучения для классификации звонка на нежелательный/обычный, при этом упомянутая модель принимает на вход параметры звонка, а результатом применения упомянутой модели является первое значение вероятности определения звонка нежелательным и первое пороговое значение.According to another particular implementation variant, the preliminary analysis of the call parameters includes at least one of: signature analysis, in which, if the call parameters match the unwanted call signature, the first value of the probability of determining the call as unwanted is higher than the first threshold value; heuristic analysis, in which, if the parameters of the call coincide with the heuristic of the unwanted call, a first value of the probability of determining the call is unwanted is determined above the first threshold value; analysis using a trained machine learning model to classify a call as unwanted/normal, wherein said model takes call parameters as input, and the result of applying said model is the first probability value of determining the call as unwanted and the first threshold value.
Согласно еще одному частному варианту реализации повторный анализ параметров звонка с учетом дополнительных параметров включает по меньшей мере один из: сигнатурный анализ, в котором при совпадении параметров звонка и дополнительных параметров со второй сигнатурой нежелательного звонка определяют второе значение вероятности определения звонка нежелательным выше второго порогового значения; эвристический анализ, в котором при совпадении параметров звонка и дополнительных параметров со второй эвристикой нежелательного звонка определяют второе значение вероятности определения звонка нежелательным выше второго порогового значения; анализ с использованием обученной второй модели машинного обучения для классификации звонка на нежелательный/обычный, при этом упомянутая вторая модель принимает на вход параметры звонка и дополнительные параметры, а результатом применения упомянутой второй модели является второе значение вероятности определения звонка нежелательным и второе пороговое значение.According to another particular embodiment, the reanalysis of the call parameters taking into account additional parameters includes at least one of: signature analysis, in which, if the call parameters and additional parameters match with the second unwanted call signature, a second value of the probability of determining the call as unwanted is higher than the second threshold value; heuristic analysis, in which, if the parameters of the call and additional parameters match with the second heuristic of an unwanted call, a second value of the probability of determining the call is unwanted is determined above the second threshold value; analysis using a trained second machine learning model to classify a call as unwanted/normal, wherein said second model takes call parameters and additional parameters as input, and the result of applying said second model is a second value of the probability of determining a call as unwanted and a second threshold value.
Согласно одному из частных вариантов реализации с использованием приложения защищаемого абонента осуществляют защиту данных защищаемого абонента на устройстве защищаемого абонента по меньшей мере путем: изменения настроек информационной безопасности устройства защищаемого абонента, на котором установлено приложение; завершения текущего звонка и блокировки последующих входящих или исходящих вызовов с нежелательным абонентом.According to one of the private implementation options, using the application of the protected subscriber, the protection of the data of the protected subscriber on the device of the protected subscriber is carried out at least by: changing the information security settings of the device of the protected subscriber on which the application is installed; end the current call and block subsequent incoming or outgoing calls with an unwanted caller.
Согласно другому частному варианту реализации передают все параметры упомянутого звонка, определенного нежелательным, приложению нежелательного абонента.According to another particular implementation variant, all parameters of said call determined to be unwanted are passed to the unwanted subscriber application.
Согласно еще одному частному варианту реализации с использованием приложения нежелательного абонента осуществляют защиту данных защищаемого абонента на устройстве нежелательного абонента по меньшей мере путем: изменения настроек информационной безопасности устройства нежелательного абонента, на котором установлено приложение; завершения текущего звонка и блокировки последующих входящих или исходящих вызовов с защищаемым абонентом.According to another particular implementation variant, using the unwanted subscriber application, the protection of the data of the protected subscriber on the device of the unwanted subscriber is carried out at least by: changing the information security settings of the device of the unwanted subscriber on which the application is installed; end the current call and block subsequent incoming or outgoing calls with the protected subscriber.
Согласно одному из частных вариантов реализации с использованием агента безопасности оператора данных осуществляют защиту данных защищаемого абонента на сервере оператора данных по меньшей мере одним из способов: ограничением доступа к данным защищаемого абонента; дополнительной защитой доступа к данным защищаемого абонента; отменой ранее предоставленного доступа к данным защищаемого абонента.According to one of the private implementation options using a data operator security agent, the protected subscriber's data is protected on the data operator's server in at least one of the following ways: by restricting access to the protected subscriber's data; additional protection of access to data of the protected subscriber; cancellation of previously granted access to the data of the protected subscriber.
Согласно другому частному варианту реализации с использованием агента безопасности на сервере провайдера связи осуществляют защиту данных защищаемого абонента на сервере провайдера связи одним из способов: завершением нежелательного звонка; завершением текущего звонка и блокировкой последующих входящих или исходящих вызовов с нежелательным абонентом.According to another private implementation variant, using a security agent on the server of the communication provider, the data of the protected subscriber is protected on the server of the communication provider in one of the following ways: by terminating an unwanted call; end the current call and block subsequent incoming or outgoing calls with an unwanted caller.
Согласно еще одному частному варианту реализации параметры звонка дополнительно включают по меньшей мере один из: время начала звонка; информацию об используемом протоколе передачи данных при звонке; продолжительность звонка; время завершения звонка для завершенного вызова.In another particular embodiment, the call parameters further include at least one of: call start time; information about the data transfer protocol used during the call; call duration; end time for the completed call.
Согласно одному из частных вариантов реализации параметры звонка дополнительно включают контекст звонка, в частности: количество предшествующих звонков между упомянутыми абонентами, параметры упомянутых предшествующих звонков.According to one of the particular implementation options, the call parameters additionally include the context of the call, in particular: the number of previous calls between the mentioned subscribers, the parameters of the mentioned previous calls.
Согласно другому частному варианту реализации параметры звонка дополнительно включают контекст устройства абонента, на котором установлено приложение, при этом дополнительно получают упомянутый контекст устройства от приложения по меньшей мере одного абонента, где контекст устройства включает: данные с датчиков устройства; взаимодействие устройства с другими устройствами сети; подключение новых устройств к сети устройств пользователя; количество новых устройств, подключенных к сети устройств пользователя; доступ к ресурсам устройства; перечень ресурсов, к которым осуществляется доступ; характеристики устройства; передачу данных; тип передаваемых данных; события антивируса; события безопасности устройства; информацию о взаимодействии с платежными сервисами и приложениями.According to another particular embodiment, the call parameters further include the device context of the subscriber on which the application is installed, while additionally receiving said device context from the application of at least one subscriber, where the device context includes: data from device sensors; interaction of the device with other network devices; connecting new devices to the user's device network; the number of new devices connected to the user's device network; access to device resources; a list of resources to which access is provided; device characteristics; data transfer; type of transmitted data; antivirus events; device security events; information about interaction with payment services and applications.
Согласно еще одному частному варианту реализации в предварительном анализе и в повторном анализе корректируют параметры звонка путем взаимодействия с администратором модуля определения.According to another particular implementation variant, in the preliminary analysis and in the re-analysis, the call parameters are adjusted by interacting with the administrator of the determination module.
Согласно варианту реализации используется система защиты данных абонента при нежелательном звонке, содержащая: по меньшей мере один модуль определения, реализованный с возможностью исполнения на процессоре компьютерного устройства и связанный со шлюзом на сервере провайдера связи, при этом предназначенный для: перехвата трафика, включающего параметры звонка и потоковые данные звонка, при этом параметры звонка включают идентификаторы абонентов звонка; выполнения предварительного анализа параметров звонка, по результатам которого определяют первое значение вероятности определения звонка нежелательным; определения дополнительных параметров звонка путем анализа потоковых данных звонка в случае, если первое значение вероятности превышает первое пороговое значение, где дополнительные параметры включают информацию об операторе данных, связанном по меньшей мере с одним абонентом, где информация об операторе данных включает, в частности, одно из: имя, идентификатор; выполнения повторного анализа параметров звонка с учетом дополнительным параметров; определения второго значения вероятности определения звонка нежелательным по результатам повторного анализа; определения в случае, если второе значение вероятности превышает второе пороговое значение, звонка нежелательным, а также определения абонента, который осуществляет нежелательный звонок (далее - нежелательный абонент) и абонента, данные которого подлежат защите при нежелательном звонке (далее - защищаемый абонент); дополнения параметров звонка метками о нежелательном абоненте и защищаемом абоненте, а также информацией о том, что звонок определен как нежелательный; передачи параметров звонка, определенного нежелательным, по меньшей мере одному из: приложению на устройстве защищаемого абонента, агенту безопасности на сервере по меньшей мере одного оператора данных, агенту безопасности провайдера связи; приложение, реализованное с возможностью исполнения на процессоре устройства по меньшей мере защищаемого абонента, предназначенное для защиты данных защищаемого абонента на устройстве защищаемого абонента; агент безопасности оператора данных, реализованный с возможностью исполнения на процессоре сервера по меньшей мере одного оператора данных, предназначенный для защиты данных защищаемого абонента на сервере оператора данных; агент безопасности провайдера связи, реализованный с возможностью исполнения на процессоре сервера провайдера связи, предназначенный для защиты данных защищаемого абонента на сервере провайдера связи.According to an implementation variant, a subscriber data protection system is used in case of an unwanted call, containing: at least one detection module, implemented with the possibility of execution on the processor of a computer device and associated with a gateway on the server of the communication provider, while intended for: intercepting traffic, including call parameters and call streaming data, wherein the call parameters include the identifiers of call subscribers; performing a preliminary analysis of the parameters of the call, the results of which determine the first value of the probability of determining the call as unwanted; determining additional call parameters by analyzing streaming call data in case the first probability value exceeds the first threshold value, where the additional parameters include information about the data operator associated with at least one subscriber, where the information about the data operator includes, in particular, one of : name, identifier; re-analyzing the call parameters, taking into account additional parameters; determining the second value of the probability of determining the call as unwanted based on the results of the reanalysis; determining if the second probability value exceeds the second threshold value, the call is unwanted, as well as determining the subscriber who makes the unwanted call (hereinafter referred to as the unwanted caller) and the subscriber whose data is subject to protection in case of an unwanted call (hereinafter referred to as the protected subscriber); addition of call parameters with labels about unwanted subscriber and protected subscriber, as well as information that the call is defined as unwanted; transferring the parameters of the call, determined to be unwanted, to at least one of: an application on the device of the protected subscriber, a security agent on the server of at least one data operator, a security agent of the communication provider; an application implemented with the possibility of execution on the processor of the device of at least the protected subscriber, designed to protect the data of the protected subscriber on the device of the protected subscriber; a data operator security agent implemented with the possibility of executing at least one data operator on the server processor, designed to protect the data of the protected subscriber on the data operator server; communication provider security agent, implemented with the ability to execute on the processor of the communication provider's server, designed to protect the data of the protected subscriber on the server of the communication provider.
Согласно одному из частных вариантов реализации потоковые данные звонка являются по меньшей мере одними из следующих: аудиопотоком, видеопотоком, аудиовизуальным потоком, потоком мгновенных сообщений.According to one particular implementation, the call stream data is at least one of the following: an audio stream, a video stream, an audiovisual stream, an instant messaging stream.
Согласно другому частному варианту реализации модуль определения служит для анализа потоковых данных по меньшей мере одним из способов: с использованием методов распознавания речи в аудиопотоке с последующим преобразованием в текст, если потоковые данные включают аудиопоток; с использованием методов распознавания образов в видеопотоке и последующим преобразованием в текст, если потоковые данные включают видеопоток; с использованием по меньшей мере одного из следующих методов анализа текста: интеллектуальный анализ текста, семантический анализ текста, синтаксический анализ текста, при этом упомянутый текст извлекают из потоковых данных.According to another particular implementation variant, the determination module serves to analyze streaming data in at least one of the following ways: using speech recognition techniques in an audio stream, followed by conversion to text if the streaming data includes an audio stream; using image recognition methods in the video stream and subsequent conversion to text if the stream data includes a video stream; using at least one of the following text analysis methods: text mining, semantic text analysis, text parsing, wherein said text is extracted from streaming data.
Согласно еще одному частному варианту реализации анализ потоковых данных звонка включает выделение ключевых слов, словосочетаний и лексем для определения информации об операторе данных, связанном по меньшей мере с одним абонентом, путем сопоставления выделенных ключевых слов, словосочетаний и лексем с известными ключевыми словами, словосочетаниями и лексемами, связанными с информацией об упомянутом операторе данных.According to another particular implementation option, the analysis of streaming call data includes extracting keywords, phrases, and tokens to determine information about the data operator associated with at least one subscriber by matching the extracted keywords, phrases, and tokens with known keywords, phrases, and tokens. associated with information about said data operator.
Согласно одному из частных вариантов реализации дополнительные параметры также включают по меньшей мере один из: ключевые слова, словосочетания, лексемы, присутствующие в потоковых данных; тональность текста, выделенного из потоковых данных.According to one of the private implementation options, additional parameters also include at least one of: keywords, phrases, tokens present in the streaming data; sentiment of text extracted from streaming data.
Согласно другому частному варианту реализации предварительный анализ параметров звонка включает по меньшей мере один из: сигнатурный анализ, в котором при совпадении параметров звонка с сигнатурой нежелательного звонка, определяют первое значение вероятности определения звонка нежелательным выше первого порогового значения; эвристический анализ, в котором при совпадении параметров звонка с эвристикой нежелательного звонка, определяют первое значение вероятности определения звонка нежелательным выше первого порогового значения; анализ с использованием обученной модели машинного обучения для классификации звонка на нежелательный/обычный, при этом упомянутая модель принимает на вход параметры звонка, а результатом применения упомянутой модели является первое значение вероятности определения звонка нежелательным и первое пороговое значение.According to another particular implementation variant, the preliminary analysis of the call parameters includes at least one of: signature analysis, in which, if the call parameters match the unwanted call signature, the first value of the probability of determining the call as unwanted is higher than the first threshold value; heuristic analysis, in which, if the parameters of the call coincide with the heuristic of the unwanted call, determine the first value of the probability of determining the call as unwanted above the first threshold value; analysis using a trained machine learning model to classify a call as unwanted/normal, wherein said model takes call parameters as input, and the result of applying said model is the first value of the probability of determining the call as unwanted and the first threshold value.
Согласно еще одному частному варианту реализации повторный анализ параметров звонка с учетом дополнительных параметров включает по меньшей мере один из: сигнатурный анализ, в котором при совпадении параметров звонка и дополнительных параметров со второй сигнатурой нежелательного звонка определяют второе значение вероятности определения звонка нежелательным выше второго порогового значения; эвристический анализ, в котором при совпадении параметров звонка и дополнительных параметров со второй эвристикой нежелательного звонка определяют второе значение вероятности определения звонка нежелательным выше второго порогового значения; анализ с использованием обученной второй модели машинного обучения для классификации звонка на нежелательный/обычный, при этом упомянутая вторая модель принимает на вход параметры звонка и дополнительные параметры, а результатом применения упомянутой второй модели является второе значение вероятности определения звонка нежелательным и второе пороговое значение.According to another particular embodiment, the reanalysis of the call parameters taking into account additional parameters includes at least one of: signature analysis, in which, if the call parameters and additional parameters match with the second unwanted call signature, a second value of the probability of determining the call as unwanted is higher than the second threshold value; heuristic analysis, in which, if the parameters of the call and additional parameters match with the second heuristic of an unwanted call, a second value of the probability of determining the call is unwanted is determined above the second threshold value; analysis using a trained second machine learning model to classify a call as unwanted/normal, wherein said second model takes call parameters and additional parameters as input, and the result of applying said second model is a second value of the probability of determining a call as unwanted and a second threshold value.
Согласно одному из частных вариантов реализации приложение защищаемого абонента предназначено для осуществления защиты данных защищаемого абонента на устройстве защищаемого абонента по меньшей мере путем: изменения настроек информационной безопасности устройства защищаемого абонента, на котором установлено приложение; завершения текущего звонка и блокировки последующих входящих или исходящих вызовов с нежелательным абонентом.According to one of the private implementation options, the application of the protected subscriber is designed to protect the data of the protected subscriber on the device of the protected subscriber at least by: changing the information security settings of the device of the protected subscriber on which the application is installed; end the current call and block subsequent incoming or outgoing calls with an unwanted caller.
Согласно другому частному варианту реализации модуль определения служит для передачи всех параметров упомянутого звонка, определенного нежелательным, приложению нежелательного абонента.According to another particular implementation variant, the determination module is used to transfer all the parameters of said call, determined to be unwanted, to the application of the unwanted subscriber.
Согласно еще одному частному варианту реализации приложение нежелательного абонента служит для защиты данных защищаемого абонента на устройстве нежелательного абонента по меньшей мере путем: изменения настроек информационной безопасности устройства нежелательного абонента, на котором установлено приложение; завершения текущего звонка и блокировки последующих входящих или исходящих вызовов с защищаемым абонентом.According to another particular implementation variant, the unwanted subscriber application serves to protect the data of the protected subscriber on the device of the unwanted subscriber, at least by: changing the information security settings of the unwanted subscriber device on which the application is installed; end the current call and block subsequent incoming or outgoing calls with the protected subscriber.
Согласно одному из частных вариантов реализации агент безопасности оператора данных служит для защиты данных защищаемого абонента на сервере оператора данных по меньшей мере одним из способов: ограничением доступа к данным защищаемого абонента; дополнительной защитой доступа к данным защищаемого абонента; отменой ранее предоставленного доступа к данным защищаемого абонента.According to one of the private implementation options, the data operator security agent serves to protect the data of the protected subscriber on the data operator server in at least one of the following ways: by restricting access to the data of the protected subscriber; additional protection of access to data of the protected subscriber; cancellation of previously granted access to the data of the protected subscriber.
Согласно другому частному варианту реализации агент безопасности на сервере провайдера связи служит для защиты данных защищаемого абонента на сервере провайдера связи одним из способов: завершением нежелательного звонка; завершением текущего звонка и блокировкой последующих входящих или исходящих вызовов с нежелательным абонентом.According to another private implementation variant, the security agent on the server of the communication provider serves to protect the data of the protected subscriber on the server of the communication provider in one of the following ways: by terminating an unwanted call; end the current call and block subsequent incoming or outgoing calls with an unwanted caller.
Согласно еще одному частному варианту реализации параметры звонка дополнительно включают по меньшей мере один из: время начала звонка; информацию об используемом протоколе передачи данных при звонке; продолжительность звонка; время завершения звонка для завершенного вызова.In another particular embodiment, the call parameters further include at least one of: call start time; information about the data transfer protocol used during the call; call duration; end time for the completed call.
Согласно одному из частных вариантов реализации параметры звонка дополнительно включают контекст звонка, в частности: количество предшествующих звонков между упомянутыми абонентами, параметры упомянутых предшествующих звонков.According to one of the particular implementation options, the call parameters additionally include the context of the call, in particular: the number of previous calls between the mentioned subscribers, the parameters of the mentioned previous calls.
Согласно другому частному варианту реализации параметры звонка дополнительно включают контекст устройства абонента, на котором установлено приложение, при этом дополнительно получают упомянутый контекст устройства от приложения по меньшей мере одного абонента, где контекст устройства включает: данные с датчиков устройства; взаимодействие устройства с другими устройствами сети; подключение новых устройств к сети устройств пользователя; количество новых устройств, подключенных к сети устройств пользователя; доступ к ресурсам устройства; перечень ресурсов, к которым осуществляется доступ; характеристики устройства; передачу данных; тип передаваемых данных; события антивируса; события безопасности устройства; информацию о взаимодействии с платежными сервисами и приложениями.According to another particular embodiment, the call parameters further include the device context of the subscriber on which the application is installed, while additionally receiving said device context from the application of at least one subscriber, where the device context includes: data from device sensors; interaction of the device with other network devices; connecting new devices to the user's device network; the number of new devices connected to the user's device network; access to device resources; a list of resources to which access is provided; device characteristics; data transfer; type of transmitted data; antivirus events; device security events; information about interaction with payment services and applications.
Согласно еще одному частному варианту реализации в предварительном анализе и в повторном анализе корректируют параметры звонка путем взаимодействия с администратором модуля определения.According to another particular implementation variant, in the preliminary analysis and in the re-analysis, the call parameters are adjusted by interacting with the administrator of the determination module.
Краткое описание чертежейBrief description of the drawings
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:Additional objects, features and advantages of the present invention will become apparent from reading the following description of an embodiment of the invention with reference to the accompanying drawings, in which:
На Фиг.1 представлена общая схема системы защиты данных абонента при нежелательном звонке.Figure 1 shows the general scheme of the subscriber data protection system in case of an unwanted call.
На Фиг.2 представлен возможный вариант реализации модуля определения.Figure 2 shows a possible implementation of the definition module.
На Фиг.3 приведен возможный пример модулей средства защиты компьютера.Figure 3 shows a possible example of the modules of the computer protection tool.
На Фиг.4 представлен способ защиты данных абонента при нежелательном звонке.Figure 4 shows a method for protecting subscriber data in case of an unwanted call.
На Фиг.5 представлен пример компьютерной системы общего назначения.Figure 5 shows an example of a general purpose computer system.
Осуществление изобретенияImplementation of the invention
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако, настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, but may be embodied in various forms. The gist of the description is nothing but specific details provided to assist a person skilled in the art in a thorough understanding of the invention, and the present invention is defined within the scope of the appended claims.
ГлоссарийGlossary
Абонент сети (далее - абонент) - пользователь, имеющий доступ к ресурсам компьютерной сети или к сети компьютерной связи (Дорот В., Новиков Ф,: Толковый словарь современной компьютерной лексики: 3-е изд. СПб.: «БХВ-Петербург», 2004, с. 71).Network subscriber (hereinafter referred to as the subscriber) is a user who has access to computer network resources or to a computer communication network (Dorot V., Novikov F.: Explanatory Dictionary of Modern Computer Vocabulary: 3rd ed. St. Petersburg: BHV-Petersburg, 2004, p. 71).
Устройство абонента - терминал, компьютер или рабочая станция, подключенные к вычислительной сети или сети компьютерной связи.Subscriber's device - a terminal, computer or workstation connected to a computer network or computer communication network.
Обратный вызов, вызов (англ. callback, call) - схема установления связи между абонентами сети.Callback, call (English callback, call) - a scheme for establishing communication between network subscribers.
Звонок - временное соединение двух и более абонентов сети.A call is a temporary connection of two or more network subscribers.
Защита данных - меры, направленные против несанкционированного доступа к информации, хранящейся в памяти компьютера (Дорот В., Новиков Ф,: Толковый словарь современной компьютерной лексики: 3-е изд. СПб.: «БХВ-Петербург», 2004, с. 196).Data protection - measures against unauthorized access to information stored in computer memory (Dorot V., Novikov F.: Explanatory Dictionary of Modern Computer Vocabulary: 3rd ed. St. Petersburg: BHV-Petersburg, 2004, p. 196 ).
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», пункт 1 статьи 3).Personal data - any information relating to a directly or indirectly identified or identifiable individual (subject of personal data) (Federal Law No. 152-FZ of July 27, 2006 "On Personal Data",
Оператор (оператор данных) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», пункт 2 статьи 3).Operator (data operator) - a state body, municipal body, legal entity or individual, independently or jointly with other persons organizing and (or) carrying out the processing of personal data, as well as determining the purposes of processing personal data, the composition of personal data to be processed, actions ( transactions) performed with personal data (Federal Law of July 27, 2006 No. 152-FZ “On Personal Data”, paragraph 2 of Article 3).
На Фиг.1 представлена общая схема системы защиты данных абонента при нежелательном звонке.Figure 1 shows the general scheme of the subscriber data protection system in case of an unwanted call.
Рассматривается система 100, в которой осуществляется звонок (голосовая связь или аудиовизуальная связь) между двумя абонентами, использующими устройства 130 и 140. Стоит отметить, что в общем случае абонентов, участвующих в звонке, и используемых ими устройств может быть три и более в случае, например, использования конференцсвязи. Однако для простоты изложения дальнейшее описание будет основано на примере двух абонентов, участвующих в звонке. Устройства абонентов 130 и 140 могут быть любыми известными из уровня техники компьютерными устройствами, используемыми для осуществления звонка, в частности мобильным телефоном, смартфоном, IP-телефоном (устройство телефонной связи по протоколу IP), стационарным телефоном, компьютером и др. Сервер провайдера связи 110 связан посредством компьютерной сети 120 с устройствами 130 и 140 и предназначен для установления связи между устройствами 130 и 140, передачи трафика звонка, завершения связи между устройствами абонентов 130 и 140. При этом трафик включает параметры звонка (метаданные), а также потоковые данные звонка (мультимедийное содержимое). Параметры звонка включают идентификаторы абонентов звонка (например, номер телефона, IP-адрес и др.). Кроме того, параметры звонка могут включать время начала и/или окончания звонка. Потоковые данные звонка включают по меньшей мере один из следующих типов данных: аудиопоток, видеопоток, поток мгновенных сообщений, поток данных произвольного формата (например, передаваемые файлы, ссылки на ресурс и пр.). При вызове одним абонентом другого абонента для установления связи может быть использован протокол SIP (англ. Session Initiation Protocol - протокол установления сеанса). После установления связи осуществляется звонок, при этом для передачи трафика звонка может быть использован, например, протокол RTP (англ. Real-time Transport Protocol). Стоит отметить, что могут быть использованы и другие известные протоколы связи, в частности H.323, SRTP и другие.Consider a system 100 in which a call (voice or audiovisual) is made between two parties using devices 130 and 140 . It should be noted that, in the general case, there can be three or more subscribers participating in the call and the devices they use in the case of, for example, using a conference call. However, for simplicity, the following description will be based on the example of two parties involved in a call. Subscriber devices 130 and 140 may be any computer devices known in the art for making a call, such as a mobile phone, smartphone, IP phone (IP phone), desk phone, computer, etc. Service provider server 110 connected via
При этом устройство по меньшей мере одного из абонентов использует IP-телефонию для осуществления звонка. В случае, если устройство другого абонента использует аналоговую связь, в системе 100 будет установлен IP-адаптер для преобразования данных.At the same time, the device of at least one of the subscribers uses IP telephony to make a call. In the event that the other party's device is using analog communications, an IP adapter will be installed in system 100 for data conversion.
Сервер провайдера связи 110 включает шлюз 111, устанавливающий соединение при вызове и обеспечивающий трафик последующего звонка между устройствами абонентов 130 и 140, а также обеспечивающий завершение вызова. Шлюз 111 может быть, в частности, proxy-сервером, VPN-сервером или SIP-сервером. Модуль определения 112 подключен (связан) к шлюзу 111 и предназначен для перехвата трафика, содержащего параметры звонка и потоковые данные звонка, при этом параметры звонка включают идентификаторы абонентов звонка (например, номер телефона, IP-адрес и др.) Кроме того, параметры звонка могут включать время начала и/или окончания звонка. Стоит отметить, что модуль определения 112 может получать зеркалированный трафик. Для этого модуль определения 112 физически подключен к SPAN-порту (англ. port mirroring, SPAN - аббр. от Switched Port Analyzer, зеркалирование/дублирование пакетов одного порта сетевого коммутатора или VPN/прокси-сервера на другом) шлюза 111. В частном варианте реализации параметры звонка дополнительно включают по меньшей мере один из: информацию об используемом протоколе передачи данных при звонке (например, один или несколько из: SIP, RTP, IP); продолжительность звонка (текущая для текущего звонка или итоговая для завершенного вызова); время завершения звонка для завершенного вызова (то есть когда звонок окончен и вызов завершен).The service provider's server 110 includes a gateway 111 that establishes a connection on a call and provides subsequent call traffic between subscriber devices 130 and 140 , as well as providing call termination. Gateway 111 may be, in particular, a proxy server, a VPN server or a SIP server. The determination module 112 is connected (associated) to the gateway 111 and is designed to intercept traffic containing call parameters and call streaming data, while the call parameters include call subscriber identifiers (for example, phone number, IP address, etc.) In addition, the call parameters may include the start and/or end time of the call. It is worth noting that the determination module 112 may receive mirrored traffic. To do this, the definition module 112 is physically connected to the SPAN port (English port mirroring, SPAN - abbr. from Switched Port Analyzer, mirroring / duplicating packets of one port of a network switch or VPN / proxy server on another) of the gateway 111 . In a particular implementation, the call parameters further include at least one of: information about the data transfer protocol used during the call (eg, one or more of: SIP, RTP, IP); call duration (current for the current call or total for the completed call); end time for the completed call (that is, when the call ended and the call ended).
Модуль определения 112 может получать входящий либо исходящий трафик шлюза 111. В частном варианте реализации сервер провайдера связи 110 может включать второй модуль определения 113, который связан с модулем определения 112 и предназначен для перехвата трафика, который не перехватывает модуль определения 112, - входящий или исходящий трафик соответственно. Таким образом, использование двух связанных между собой модулей определения 112-113 позволяет анализировать исходящий и входящий трафик звонка и определять большее количество параметров звонка. Входящий трафик шлюза 111 включает, в частности, исходный идентификатор (например, номер телефона) первого абонента, использующего устройство 130. В то время как исходящий трафик шлюза 111 содержит исходный идентификатор второго абонента, использующего устройство 140. Кроме того, в случае использования первым абонентом подмены (модификации) своего идентификатора, исходящий трафик также будет содержать указанный подменный идентификатор первого абонента и не будет содержать исходный идентификатор первого абонента. Таким образом, использование двух модулей определения 112 и 113 позволит определить большее количество параметров звонка, что еще больше повысит уровень определения нежелательных звонков, что в свою очередь снизит ошибки первого и второго рода при определении нежелательных звонков. Возможный вариант реализации модулей определения 112 и 113 будет представлен далее, на Фиг.2.The determination module 112 may receive incoming or outgoing traffic of the gateway 111 . In a particular implementation, the provider's server 110 may include a second definition module 113 that is associated with the definition module 112 and is designed to intercept traffic that the definition module 112 does not intercept - incoming or outgoing traffic, respectively. Thus, the use of two interconnected determination modules 112 - 113 makes it possible to analyze outgoing and incoming call traffic and determine more call parameters. The incoming traffic of the gateway 111 includes, in particular, the original identifier (eg, phone number) of the first subscriber using the device 130 '. While the outgoing traffic of the gateway 111 contains the original identifier of the second subscriber using the device 140 . In addition, if the first subscriber uses the substitution (modification) of its identifier, the outgoing traffic will also contain the specified substitution identifier of the first subscriber and will not contain the original identifier of the first subscriber. Thus, the use of two detection modules 112 and 113 will allow to determine more call parameters, which will further increase the level of detection of unwanted calls, which in turn will reduce errors of the first and second types in determining unwanted calls. A possible implementation of the definition modules 112 and 113 will be presented later in Fig.2 .
В одном частном варианте реализации модули определения 112 и 113 связаны напрямую, например посредством сети 120. В еще одном частном варианте реализации модуль определения 113 внедряет в полученный им трафик заданный пакет данных и при определении модулем определения 112 в полученном другом трафике упомянутого заданного пакета модуль определения 112 дополняет определенные параметры звонка параметрами звонка, которые были определены модулем определения 113. Таким образом, модуль определения 113 может определить исходный идентификатор первого абонента, но не определит идентификатор второго абонента. В то время как модуль определения 112 определит подменный идентификатор первого абонента и исходный идентификатор второго абонента. В итоге модуль определения 112 получит от модуля определения 113 также исходный идентификатор первого абонента в качестве параметров звонка.In one particular implementation, the determination modules 112 and 113 are directly connected, such as through network 120 '. In another particular implementation, the determination module 113 injects a given data packet into the traffic it receives and, when the determination module 112 determines in the received other traffic of the said specified packet, the determination module 112 supplements the determined call parameters with the call parameters that were determined by the determination module 113 . Thus, the determination module 113 may determine the initial identifier of the first subscriber, but not determine the identifier of the second subscriber. While the determination module 112 will determine the surrogate identifier of the first subscriber and the original identifier of the second subscriber. As a result, the determination module 112 will receive from the determination module 113 also the initial identifier of the first subscriber as call parameters.
Нежелательный звонок может происходить с использованием большого количества промежуточных шлюзов, например шлюза 111-2 на сервере провайдера связи 110 и шлюза 111-3, не находящегося на сервере провайдера связи 110, но также подключенного к сети 120. Злоумышленники используют сложные схемы, чтобы сокрыть свои мошеннические действия и чтобы осуществить подмену своего идентификатора (например, номера телефона). В качестве примера рассматривается телефонный звонок, совершаемый с использованием устройства первого абонента 130 (являющегося нежелательным) на устройство второго абонента 140 (являющегося жертвой). В трафике в параметрах звонка в качестве номера вызывающего абонента указан исходный номер телефона первого абонента, а в качестве номера вызываемого абонента указан некий третий идентификатор - IP-адрес мошеннического шлюза 111-3. В этом случае шлюз 111 направляет трафик звонка мошенническому шлюзу 111-3, т.к. считает его вызываемым абонентом. Шлюз 111-3 является мошенническим и содержит список с большим количеством подменных номеров телефонов, используемых для мошеннических звонков. Далее шлюз 111-3 выбирает один из подменных номеров и осуществляет звонок, где в качестве вызывающего номера указан выбранный подменный номер телефона, а в качестве вызываемого номера указан номер телефона второго абонента-жертвы. Трафик указанного звонка возвращается через шлюз 111 сервера провайдера связи 110 и затем идет на устройство второго абонента 140. При этом на устройстве второго абонента 140 в качестве номера вызываемого абонента будет указан подменный номер телефона, а не исходный номер первого абонента. А в исходящем трафике, перехваченном модулем определения 112, идентификатор вызывающего абонента будет содержать IP-адрес мошеннического шлюза 111-3.The unwanted call may occur using a large number of intermediate gateways, such as gateway 111-2 on the carrier's server 110 and gateway 111-3 not located on the carrier's server 110 but also connected to network 120 . Attackers use complex schemes to hide their fraudulent activities and to spoof their identity (for example, phone number). As an example, consider a phone call made using the device of the first subscriber 130 (which is unwanted) to the device of the second subscriber 140 (which is the victim). In the traffic in the call parameters, the initial phone number of the first subscriber is indicated as the caller's number, and a certain third identifier is indicated as the called subscriber's number - the IP address of the fraudulent gateway 111-3 . In this case, the gateway 111 forwards the call traffic to the rogue gateway 111-3 because considers it to be the called subscriber. Gateway 111-3 is fraudulent and contains a list with a large number of fake phone numbers used for fraudulent calls. Next, the gateway 111-3 selects one of the spoof numbers and makes a call, where the selected spoof phone number is indicated as the calling number, and the phone number of the second victim subscriber is indicated as the called number. The traffic of the specified call returns through the gateway 111 of the server of the service provider 110 and then goes to the device of the second subscriber 140 . In this case, the device of the second subscriber 140 will indicate the replacement phone number as the called subscriber number, and not the original number of the first subscriber. And in the outgoing traffic intercepted by the detection module 112 , the caller ID will contain the IP address of the fraudulent gateway 111-3 .
Стоит отметить, что мошенническая схема может содержать большое количество промежуточных шлюзов наподобие шлюза 111-3 или шлюза 111-2. Более того, указанные шлюзы могут физически располагаться на разных удаленных серверах, в различных государствах, использовать различные протоколы (SIP, VPN, proxy) для подмены номеров и сокрытия мошеннических действий. Поэтому технологии, проверяющие вызывающие номера телефонов по «черным спискам» номеров телефонов злоумышленников не всегда позволят определить нежелательные и мошеннические звонки. Именно поэтому было разработано настоящее изобретение, использующее весь перехваченный трафик для анализа параметров звонка и выявления мошеннических звонков и в более широком смысле - всех нежелательных звонков. Стоит отметить, что в перехваченном модулем определения 112 трафике содержится реальный идентификатор первого абонента - в данном примере IP-адрес шлюза 111-3, при этом подменный номер телефона не содержится в упомянутом трафике. В одном частном варианте реализации модуль определения 112 может запросить указанный подменный номер телефона у агента безопасности провайдера 114. При этом агент безопасности провайдера 114 - это техническое средство, реализованное с возможностью исполнения на процессоре устройства (например, сервере) провайдера связи 110 и предназначенное для осуществления защиты данных защищаемого абонента, которые хранятся на сервере провайдера связи 110, с учетом параметров нежелательного звонка. В другом частном варианте реализации модуль определения 112 может получить указанный подменный номер телефона у модуля определения 113, если указанный модуль определения 113 внедрил в перехваченный трафик заданный пакет данных, позволяющий сопоставить звонки, перехваченные обоими модулями определения 112 и 113.It is worth noting that the fraudulent scheme may contain a large number of intermediate gateways, such as the 111-3 gateway or the 111-2 gateway. Moreover, these gateways can be physically located on different remote servers, in different states, use different protocols (SIP, VPN, proxy) to spoof numbers and hide fraudulent activities. Therefore, technologies that check calling phone numbers against "black lists" of phone numbers of intruders will not always allow you to identify unwanted and fraudulent calls. That is why the present invention was developed, using all intercepted traffic to analyze the parameters of the call and identify fraudulent calls and, more broadly, all unwanted calls. It is worth noting that the traffic intercepted by the detection module 112 contains the real identifier of the first subscriber - in this example, the IP address of the gateway 111-3 , while the fake phone number is not contained in the mentioned traffic. In one particular implementation, the determination module 112 may request the specified alias phone number from the provider's security agent 114 . In this case, the security agent of the provider 114 is a technical tool implemented with the ability to execute on the processor of the device (for example, the server) of the communication provider 110 and designed to protect the data of the protected subscriber, which is stored on the server of the communication provider 110 , taking into account the parameters of an unwanted call. In another particular implementation, the determination module 112 can obtain the specified proxy phone number from the determination module 113 if the specified determination module 113 has inserted a given data packet into the intercepted traffic, allowing you to match the calls intercepted by both determination modules 112 and 113 .
Для определенности в предпочтительном варианте реализации используется один модуль определения 112, перехватывающий исходящий трафик шлюза 111. Модуль определения 112, а также модуль определения 113 реализованы с возможностью исполнения на процессоре 21 компьютерного устройства 20 (см. Фиг.5). То есть в разных вариантах реализации модуль определения 112 и модуль определения 113 являются либо отдельными компьютерными устройствами 20, либо виртуальными машинами, исполняющимися на процессоре 21 компьютерного устройства 20. Во втором примере модуль исполнения 112 и модуль исполнения 113 могут быть реализованы как две различные виртуальные машины, исполняющиеся на процессоре 21 одного компьютерного устройства 20 или двух различных компьютерных устройств.For definiteness, the preferred implementation uses a single determination module 112 intercepting the outgoing traffic of the gateway 111 . The determination module 112 , as well as the determination module 113 , are executable on the
Модуль определения 112 также предназначен для выполнения предварительного анализа параметров звонка, по результатам которого определяет первое значение вероятности определения звонка нежелательным. В случае если упомянутое первое значение вероятности превышает первое пороговое значение, с использованием модуля определения 112 путем анализа потоковых данных звонка определяют дополнительные параметры упомянутого звонка. При этом дополнительные параметры звонка включают, в частности, информацию о по меньшей мере одном операторе данных (например, идентификатор или название оператора данных), на сервере которого хранятся данные по меньшей мере одного из абонентов.The determination module 112 is also designed to perform a preliminary analysis of the call parameters, based on the results of which it determines the first value of the probability of determining the call as unwanted. In the event that said first probability value exceeds the first threshold value, additional parameters of said call are determined using the determination module 112 by analyzing the streaming data of the call. In this case, the additional call parameters include, in particular, information about at least one data operator (for example, the identifier or name of the data operator), the server of which stores the data of at least one of the subscribers.
В частном варианте реализации выполняют анализ потоковых данных:In a particular implementation, streaming data is analyzed:
с использованием методов распознавания речи в аудиопотоке с последующим преобразованием в текст, если потоковые данные включают аудиопоток;using speech recognition methods in an audio stream with subsequent conversion to text if the stream data includes an audio stream;
с использованием методов распознавания образов в видеопотоке и последующим преобразованием в текст, если потоковые данные включают видеопоток;using image recognition methods in the video stream and subsequent conversion to text if the stream data includes a video stream;
с использованием по меньшей мере одного из следующих методов анализа текста: интеллектуальный анализ текста, семантический анализ текста, синтаксический анализ текста, при этом упомянутый текст извлекают из потоковых данных.using at least one of the following text analysis methods: text mining, semantic text analysis, text parsing, wherein said text is extracted from streaming data.
Модуль определения 112 служит для повторного анализа параметров звонка с учетом дополнительных параметров, по результатам которого определяет второе значение вероятности определения звонка нежелательным. В случае если упомянутое второе значение вероятности превышает второе пороговое значение, модуль определения 112 определяет (признает) звонок нежелательным, кроме того определяет абонента, который осуществляет нежелательный звонок (далее - нежелательный абонент), и абонента, данные которого подлежат защите при нежелательном звонке (далее - защищаемый абонент). Идентификация нежелательного абонента и защищаемого абонента может осуществляться по идентификаторам абонентов, присутствующим в параметрах звонка. При этом модуль определения 112 дополняет параметры звонка метками о нежелательном абоненте и защищаемом абоненте, а также информацией о том, что звонок определен как нежелательный.The determination module 112 is used to re-analyze the parameters of the call, taking into account additional parameters, the results of which determine the second value of the probability of determining the call as unwanted. In the event that said second probability value exceeds the second threshold value, the determination module 112 determines (deems) the call as unwanted, and also determines the subscriber who makes the unwanted call (hereinafter referred to as the unwanted caller) and the subscriber whose data is subject to protection in case of an unwanted call (hereinafter - protected subscriber). Identification of an unwanted subscriber and a protected subscriber can be carried out by subscriber identifiers present in the call parameters. At the same time, the definition module 112 supplements the call parameters with labels about the unwanted subscriber and the protected subscriber, as well as information that the call is defined as unwanted.
В еще одном частном варианте реализации модуль определения 112 также запрашивает дополнительные параметры звонка, в частности, у приложения 141 на устройстве защищаемого абонента 140. Приложение 141 реализовано с возможностью исполнения на процессоре устройства 140. Такие дополнительные параметры могут включать данные устройства защищаемого абонента 140 и данные активности защищаемого абонента, в частности:In another particular implementation, the determination module 112 also requests additional call parameters, in particular, from the application 141 on the device of the protected subscriber 140 . Application 141 is implemented to run on the processor of device 140 . Such additional parameters may include device data of the protected subscriber 140 and activity data of the protected subscriber, in particular:
взаимодействие устройства 140 с другими устройствами сети 120;interaction of the device 140 with other devices of the
доступ к ресурсам устройства 140 (память, процессор и др.);access to the resources of the device 140 (memory, processor, etc.);
перечень ресурсов, к которым осуществляется доступ;a list of resources to which access is provided;
характеристики устройства 140 (например, тип и версия установленной ОС, установленного программного обеспечения (ПО), аппаратные характеристики устройства — используемый процессор, память и пр.);characteristics of the device 140 (for example, type and version of the installed OS, installed software (SW), hardware characteristics of the device - used processor, memory, etc.);
передача данных;data transfer;
тип передаваемых данных (например, команды, сырые данные, зашифрованные данные и др.);type of transmitted data (for example, commands, raw data, encrypted data, etc.);
события антивируса 143 (средства защиты), установленного на устройстве 140 и связанного с приложением 141. События антивируса 143 включают, например, следующие: обнаружение вредоносного файла, отключение самозащиты, неудачная попытка обновления и другие события антивируса и модулей антивируса 143 (см. Фиг.3);events of the antivirus 143 (protection tool) installed on the device 140 and associated with the application 141 . Events of the antivirus 143 include, for example, the following: detection of a malicious file, disabling self-defense, failed update attempt, and other events of the antivirus and antivirus modules 143 (see Fig.3 );
тип активности абонента.subscriber activity type.
При этом тип активности абонента может являться одним из следующих:In this case, the subscriber's activity type can be one of the following:
нахождение в определенном местоположении (по координатам устройства);being in a certain location (according to the coordinates of the device);
управление транспортным средством;vehicle control;
взаимодействие по меньшей мере с одним из устройств пользователя;interacting with at least one of the user's devices;
взаимодействие с новыми устройствами.interaction with new devices.
В данном изобретении под активностью абонента понимается, в частности, передвижение абонента (изменение местоположения), взаимодействие абонента с устройствами, взаимодействие абонента с сервисами (например, взаимодействие с приложением электронной почты на устройстве абонента), взаимодействие устройств или сервисов абонента между собой (например, установка нового приложения на устройстве, обмен данными между двумя или более устройствами абонента).In this invention, the activity of the subscriber is understood, in particular, as the movement of the subscriber (change of location), the interaction of the subscriber with devices, the interaction of the subscriber with services (for example, interaction with the email application on the subscriber's device), the interaction of devices or services of the subscriber with each other (for example, installation of a new application on the device, data exchange between two or more devices of the subscriber).
Упомянутые дополнительные параметры звонка, в частности данные об активности защищаемого абонента и о его местоположении, могут указывать, что защищаемый абонент во время нежелательного звонка, после завершения нежелательного звонка или в период между несколькими нежелательными звонками от одного нежелательного абонента подвергается мошенническим действиям. Например, если местоположение защищаемого абонента изменилось на местоположение, расположенное рядом с банком или банкоматом, это может свидетельствовать об угрозе данным банковских карт защищаемого абонента. Ведь злоумышленник мог заставить защищаемого абонента снять деньги или перевести деньги по номеру карты злоумышленника. Поэтому использование таких дополнительных параметров звонка позволит определить нежелательный звонок и улучшить защиту данных защищаемого абонента.The mentioned additional parameters of the call, in particular data on the activity of the protected subscriber and his location, may indicate that the protected subscriber during an unwanted call, after the end of an unwanted call, or in the period between several unwanted calls from one unwanted subscriber, is subjected to fraudulent actions. For example, if the location of a protected subscriber has changed to a location located near a bank or ATM, this may indicate a threat to the bank card data of the protected subscriber. After all, the attacker could force the protected subscriber to withdraw money or transfer money using the attacker's card number. Therefore, the use of such additional call parameters will allow you to identify an unwanted call and improve the protection of the data of the protected subscriber.
Модуль определения 112 также предназначен для передачи всех параметров упомянутого звонка (то есть с учетом дополнительных параметров), определенного нежелательным, по меньшей мере одному из: приложению 141 на устройстве 140 по меньшей мере защищаемого абонента, агенту безопасности по меньшей мере одного упомянутого оператора данных 151 на сервер оператора данных 150, агенту безопасности 114 на сервере провайдера связи 110, при этом указанное приложение 141 и агенты безопасности 151, 114 осуществляют защиту данных защищаемого абонента соответственно на устройстве пользователя 140, на сервере оператора данных 150, на сервере провайдера связи 110 с учетом параметров нежелательного звонка. При этом в частном варианте реализации данные защищаемого абонента, хранящиеся по меньшей мере на одном из упомянутых устройств (на устройстве пользователя 140, на сервере оператора данных 150, на сервере провайдера связи 110), могут быть идентифицированы в соответствии с идентификатором защищаемого абонента. Агент безопасности 151 - это техническое средство, реализованное с возможностью исполнения на процессоре сервера оператора данных 150 и предназначенное для осуществления защиты данных защищаемого абонента, которые хранятся на сервере оператора данных 150, с учетом параметров нежелательного звонка. При этом модуль определения 112 определяет, что оператор данных 150 и соответственно агент безопасности оператора данных 151 служат для осуществления защиты данных защищаемого абонента согласно информации об операторе данных, содержащейся в дополнительных параметрах звонка (например, название или идентификатор оператора данных). Кроме того, список возможных операторов данных может заранее содержаться у модуля определения 112. Поэтому, если в информации об операторе данных для защищаемого абонента присутствует идентификатор одного или нескольких операторов данных, то модуль определения 112 осуществит передачу параметров звонка, определенного нежелательным, агентам безопасности 151 только тех операторов данных 150, которые соответствуют защищаемому абоненту и информация о них присутствует в дополнительных параметрах звонка.The definition module 112 is also designed to transfer all the parameters of the mentioned call (that is, taking into account additional parameters) determined to be unwanted, at least one of: the application 141 on the device 140 of at least the protected subscriber, the security agent of at least one mentioned data operator 151 to the data operator's server 150 , to the security agent 114 on the server of the communication provider 110 , while the specified application 141 and security agents 151 , 114 protect the data of the protected subscriber, respectively, on the user's device 140 , on the server of the data operator 150 , on the server of the communication provider 110 , taking into account unwanted call settings. In this case, in a particular implementation, the data of the protected subscriber stored on at least one of the mentioned devices (on the user's device 140 , on the server of the data operator 150 , on the server of the communication provider 110 ) can be identified in accordance with the identifier of the protected subscriber. Security agent 151 is a technical tool implemented with the ability to execute on the processor of the data operator server 150 and designed to protect the data of the protected subscriber, which is stored on the data operator server 150 , taking into account the parameters of an unwanted call. At the same time, the determination module 112 determines that the data operator 150 and, accordingly, the data operator security agent 151 serve to protect the data of the protected subscriber according to the information about the data operator contained in the additional parameters of the call (for example, the name or identifier of the data operator). In addition, a list of possible data statements may be held in advance by the definition module 112 . Therefore, if the identifier of one or more data operators is present in the information about the data operator for the protected subscriber, then the determination module 112 will transfer the parameters of the call determined as unwanted to the security agents 151 only those data operators 150 that correspond to the protected subscriber and information about them is present in additional call options.
В еще одном частном варианте реализации модуль определения 112 также запрашивает дополнительные параметры звонка, в частности, у приложения 131 устройства нежелательного абонента 130, в случае если на устройстве нежелательного абонента 130 установлено приложение 131, реализованное с возможностью исполнения на процессоре упомянутого устройства 130. Такие дополнительные параметры могут включать данные устройства нежелательного абонента 130 и данные активности нежелательного абонента, аналогичные данным активности защищаемого абонента, упомянутым ранее. Таким образом, данные активности нежелательного абонента включают:In another particular implementation, the determination module 112 also requests additional call parameters, in particular, from the application 131 of the device of the unwanted subscriber 130 , if the application 131 is installed on the device of the unwanted subscriber 130 , implemented with the possibility of execution on the processor of the said device 130 . Such additional parameters may include unwanted subscriber device data 130 and unwanted subscriber activity data similar to the protected subscriber activity data mentioned earlier. Thus, unwanted caller activity data includes:
взаимодействие устройства 130 с другими устройствами сети 120;interaction of the device 130 with other devices of the
доступ к ресурсам устройства 130;access to device resources 130 ;
перечень ресурсов, к которым осуществляется доступ;a list of resources to which access is provided;
характеристики устройства 130;device characteristics 130 ;
передачу данных;data transfer;
тип передаваемых данных;type of transmitted data;
события антивируса 133 (средства защиты), установленного на устройстве 130 и связанного с приложением 131 (см. Фиг.3);events of the antivirus 133 (protection tool) installed on the device 130 and associated with the application 131 (see Fig. 3 );
тип активности абонента.subscriber activity type.
На Фиг.2 представлен вариант реализации модулей определения 112 и 113. Средства модуля определения 112 (а также модуля определения 113) предназначены для выполнения функционала модуля определения 112, описанного ранее к Фиг.1, а также для выполнения функционала, который будет описан далее. Так, средство перехвата трафика 221 служит для перехвата трафика шлюза 111, содержащего параметры звонка и потоковые данные звонка, и сохранения параметров и потоковых данных звонка в базу звонков 225, содержащуюся на машиночитаемом носителе, например в ПЗУ 24. Средство перехвата трафика 221 может быть подключено по сетевому интерфейсу к шлюзу 111, например к SPAN-порту шлюза 111.Figure 2 shows an implementation of the definition modules 112 and 113 . The means of the definition module 112 (as well as the definition module 113 ) are designed to perform the functionality of the definition module 112 described earlier in FIG. 1 , as well as to perform the functionality that will be described later. Thus, the traffic interceptor 221 serves to intercept gateway traffic 111 containing call parameters and call streaming data and store the call parameters and streaming data in a call database 225 contained in a machine-readable medium, such as ROM 24 . The interceptor 221 can be connected via a network interface to the gateway 111 , for example, to the SPAN port of the gateway 111 .
Кроме того, в базу звонков 225 может быть сохранен перехваченный трафик, относящийся к упомянутому звонку. Средство анализа 222 служит для выполнения предварительного анализа параметров звонка из базы звонков 225, по результатам которого средство анализа 222 определяет первое значение вероятности определения звонка нежелательным. Кроме того, средство анализа 222 также служит для определения дополнительных параметров упомянутого звонка в случае, если упомянутое первое значение вероятности превышает первое пороговое значение, путем анализа потоковых данных звонка, где дополнительные параметры включают, в частности, по меньшей мере информацию об одном операторе данных, который связан по меньшей мере с одним абонентом, то есть который выполняет функции хранения и обработки данных указанного абонента. При этом дополнительные параметры звонка средство анализа 222 сохраняет в базу звонков 225.In addition, the intercepted traffic related to said call can be stored in the call database 225 . The analyzer 222 serves to perform a preliminary analysis of the parameters of the call from the database of calls 225 , according to the results of which the analyzer 222 determines the first value of the probability of determining the call as unwanted. In addition, the analyzer 222 also serves to determine additional parameters of said call in the event that said first probability value exceeds the first threshold value, by analyzing the streaming data of the call, where the additional parameters include, in particular, information about at least one data operator, which is associated with at least one subscriber, that is, which performs the functions of storing and processing data of the specified subscriber. At the same time, the analysis tool 222 stores additional call parameters in the call database 225 .
Средство анализа 222 также служит для выполнения повторного анализа параметров звонка с учетом дополнительным параметров и для определения второго значения вероятности определения звонка нежелательным по результатам повторного анализа. Средство анализа 222 также предназначено для определения, в случае если упомянутое второе значение вероятности превышает второе пороговое значение, звонка нежелательным, определения нежелательного абонента и защищаемого абонента. Определенная информация также сохраняется в базу звонков 225. Средство передачи 223 служит для передачи параметров упомянутого звонка, определенного нежелательным, из базы звонков 225 приложению 141 на устройстве защищаемого абонента 140, агенту безопасности 151 по меньшей мере одного упомянутого оператора данных, агенту безопасности 114 на сервере провайдера связи 110 по сети 120 или напрямую. При этом, если звонок не был определен нежелательным (второе значение вероятности ниже второго порогового значения), средство анализа 225 может ожидать обновления параметров звонка и потоковых данных звонка. И при обновлении указанных данных (например, получены новые потоковые данные звонка, новые параметры звонка и пр.) средство анализа 225 вновь выполнит предварительный анализ и повторный анализ параметров звонка с учетом обновленных данных.The analyzer 222 also serves to reanalyze the parameters of the call considering the additional parameters and to determine a second probability value for determining the call as unwanted from the results of the reanalysis. The analyzer 222 is also designed to determine if said second probability value exceeds the second threshold value, the call is unwanted, the unwanted caller, and the protected caller. Certain information is also stored in the call database 225 . The transmission means 223 serves to transfer the parameters of said call, determined to be unwanted, from the call database 225 to the application 141 on the device of the protected subscriber 140 , the security agent 151 of at least one mentioned data operator, the security agent 114 on the server of the communication provider 110 over the
В частном варианте реализации с помощью средства анализа 222 модуля определения 112 определяют информацию об операторе данных, связанном по меньшей мере с одним абонентом, путем сопоставления выделенных ключевых слов, словосочетаний и лексем из потоковых данных звонка с заранее заданным списком ключевых слов, словосочетаний и лексем, которые связаны с заранее заданным списком операторов данных. Например, были выделены следующие ключевые слова и словосочетания: «банк», «банковская карта», «банк А». При этом в списке операторов данных присутствует оператор данных под именем «банк А», и ему сопоставлено ключевое слово «банк А» в списке ключевых слов. Поэтому модуль определения определит информацию об операторе данных, связанном с абонентом, а именно имя «банк А».In a particular implementation, using the analysis tool 222 of the definition module 112 , information about the data operator associated with at least one subscriber is determined by matching the selected keywords, phrases and tokens from the call stream data with a predefined list of keywords, phrases and tokens, which are associated with a predefined list of data statements. For example, the following keywords and phrases were highlighted: "bank", "bank card", "bank A". At the same time, the list of data operators contains a data operator named "bank A", and the keyword "bank A" is associated with it in the list of keywords. Therefore, the determining module will determine the information about the data operator associated with the subscriber, namely the name "bank A".
При этом, если потоковые данные содержат аудиопоток, то анализ потоковых данных (аудиопотока) включает использование методов распознавания речи для выделения текста из речи в аудиопотоке и последующего анализа текста для выделения упомянутых ключевых слов, словосочетаний и лексем.At the same time, if the streaming data contains an audio stream, then the analysis of the streaming data (audio stream) includes the use of speech recognition methods to extract text from speech in the audio stream and subsequent text analysis to extract the mentioned keywords, phrases and lexemes.
В частном варианте реализации, если потоковые данные включают видеопоток, то анализ потоковых данных (видеопотока) включает выделение ключевых слов, словосочетаний и лексем из видеопотока трафика с использованием методов распознавания образов. В данном случае будет произведено распознавание языка жестов или распознавание движения губ абонентов в видеопотоке, то есть распознавание речи по губам и преобразование в текст. Кроме того, могут быть использованы методы распознавания символов (англ. optical character recognition, OCR), если в видеопотоке присутствует текстовые данные, например абонент показывает лист бумаги, содержащий текст.In a particular implementation, if the streaming data includes a video stream, then the analysis of the streaming data (video stream) includes the extraction of keywords, phrases and tokens from the video traffic stream using pattern recognition methods. In this case, sign language recognition or lip movement recognition of subscribers in the video stream will be performed, that is, speech recognition by lips and conversion to text. In addition, optical character recognition (OCR) methods can be used if there is text data in the video stream, for example, the subscriber shows a sheet of paper containing text.
В еще одном частном варианте реализации, если потоковые данные включают мгновенные сообщения, то анализ потоковых данных (мгновенных сообщений), а также анализ текста, извлеченного из аудиопотока или видеопотока включает методы анализа текста с выделением ключевых слов, словосочетаний и лексем, такие как: интеллектуальный анализ текста (англ. text mining), семантический анализ текста, синтаксический анализ текста (также разбор, парсинг, англ. parsing) и др.In another particular implementation, if the streaming data includes instant messages, then the analysis of streaming data (instant messages), as well as the analysis of text extracted from an audio stream or a video stream, includes text analysis methods with the selection of keywords, phrases and lexemes, such as: text mining, semantic text analysis, text parsing (also parsing, parsing, parsing), etc.
В еще одном частном варианте реализации, если потоковые данные включают поток данных произвольного формата, может быть произведен анализ содержимого указанного потока данных на предмет наличия вредоносного содержимого с использованием антивируса (см. Фиг.3) или присутствия ключевых слов, словосочетаний и лексем с использованием методов анализа текста.In yet another particular implementation, if the stream data includes an arbitrary format data stream, the content of the specified data stream can be analyzed for the presence of malicious content using an antivirus (see Fig.3 ) or the presence of keywords, phrases and tokens using methods text analysis.
В частном варианте реализации средство перехвата трафика 221 модуля определения 112 дополнительно предназначено для связи по меньшей мере с одним другим компьютерным устройством для определения нежелательного звонка (например, модулем определения 113) и дополнительно предназначено для получения параметров звонка от упомянутого другого устройства - модуля определения 113.In a particular implementation, the traffic interceptor 221 of the definition module 112 is additionally designed to communicate with at least one other computer device to determine an unwanted call (for example, the definition module 113 ) and is additionally designed to receive call parameters from the other device - the definition module 113 .
В одном частном варианте реализации упомянутое ранее внедрение в трафик заданного пакета данных осуществляется с использованием средства перехвата трафика 221 модуля определения 113. При этом последующее определение внедренного пакета также осуществляется средством перехвата трафика 221, принадлежащего модулю определения 112.In one particular embodiment, the previously mentioned injection of a given data packet into the traffic is carried out using the traffic interceptor 221 of the determination module 113 . In this case, the subsequent determination of the embedded packet is also carried out by the traffic interceptor 221 belonging to the determination module 112 .
В еще одном частном варианте реализации средство перехвата трафика 221 дополнительно предназначено для получения параметров звонка от приложения 141 (или 131), установленного на компьютерном устройстве абонента 140 (или 130 соответственно).In another particular implementation, the traffic interceptor 221 is additionally designed to receive call parameters from the application 141 (or 131 ) installed on the subscriber's computer device 140 (or 130 , respectively).
В еще одном частном варианте реализации дополнительные параметры включают ключевые слова, словосочетания и лексемы, присутствующие в потоковых данных. Кроме того, дополнительные параметры могут включать тональность текста, выделенного из потоковых данных (например, аудиопотока). При этом тональность текста (разговора) в частном варианте реализации определяют с использованием методов анализа тональности текста (сентимент-анализ, англ. sentiment analysis, opinion mining) путем анализа текста, выделенного из потоковых данных и состоящего из упомянутых слов, словосочетаний и лексем.In yet another particular implementation, the additional parameters include keywords, phrases, and tokens present in the stream data. In addition, additional parameters may include the sentiment of text extracted from streaming data (eg, an audio stream). At the same time, the tonality of the text (conversation) in a particular implementation is determined using the methods of analyzing the tonality of the text (sentiment analysis, English sentiment analysis, opinion mining) by analyzing the text extracted from the streaming data and consisting of the mentioned words, phrases and lexemes.
В частном варианте реализации предварительный анализ параметров звонка включает по меньшей мере один из:In a particular implementation, the call parameters preliminary analysis includes at least one of:
Сигнатурный анализ, в котором при совпадении параметров звонка с сигнатурой нежелательного звонка определяют первое значение вероятности определения звонка нежелательным выше первого порогового значения. Например, может быть использована следующая сигнатура: идентификатор одного из абонентов содержится в перечне мошеннических идентификаторов.Signature analysis, in which, if the call parameters match the signature of an unwanted call, the first value of the probability of determining the call as unwanted is determined above the first threshold value. For example, the following signature can be used: the identifier of one of the subscribers is contained in the list of fraudulent identifiers.
Эвристический анализ, в котором при совпадении параметров звонка с эвристикой нежелательного звонка определяют первое значение вероятности определения звонка нежелательным выше первого порогового значения.Heuristic analysis, in which, if the call parameters coincide with the unwanted call heuristic, the first value of the probability of determining the call as unwanted is determined above the first threshold value.
Анализ с использованием обученной модели машинного обучения 227 для классификации звонка на нежелательный/обычный, при этом упомянутая модель принимает на вход параметры звонка, а результатом применения упомянутой модели является первое значение вероятности определения звонка нежелательным и первое пороговое значение.An analysis using a trained machine learning model 227 to classify a call as unwanted/normal, wherein said model takes call parameters as input, and the result of applying said model is a first probability value for determining a call as unwanted and a first threshold value.
При этом база сигнатур 228 хранится на машиночитаемом носителе и содержит упомянутые сигнатуры и эвристики нежелательных звонков.At the same time, the signature database 228 is stored on a computer-readable medium and contains the mentioned signatures and heuristics of unwanted calls.
В случае использования обученной модели машинного обучения 227, указанная модель хранится на машиночитаемом носителе и может быть обучена модулем определения 112 с использованием средства обучения 226.In the case of using a trained machine learning model 227 , said model is stored on a computer readable medium and can be trained by the determination module 112 using the
В еще одном частном варианте реализации модуль определения 112 может быть связан с удаленным сервером 210, который предназначен для обновления базы сигнатур 228 посредством удаленной базы сигнатур 218, а также для обучения удаленной модели машинного обучения 217 и обновления с ее помощью модели машинного обучения 227, используемой модулем определения 112. Упомянутое обновление модели машинного обучения 227 может заключаться в замене модели машинного обучения 227 на модуле определения 112 удаленной моделью машинного обучения 217 или в копировании значений параметров удаленной модели машинного обучения 217 для модели машинного обучения 227. При этом удаленный сервер 210 содержит удаленную базу звонков 215, включающую записи базы звонков 225 одного или нескольких модулей определения 112 и 113. Кроме того, удаленный сервер 210 включает удаленное средство обучения 216, предназначенное для обучения и дообучения удаленной модели машинного обучения 217 на данных удаленной базы звонков 215. Для определенности, дальнейшее описание будет приведено для обучения модели машинного обучения 227 с использованием средства обучения 226. Однако описанные варианты реализации также применимы и для обучения удаленной модели 217 удаленным средством обучения 216 на удаленном сервере 210.In another particular implementation, the determination module 112 can be associated with a remote server 210 that is designed to update the signature database 228 with the remote signature database 218 , as well as to train the remote machine learning model 217 and update the machine learning model 227 using it. definition module 112 . Said update of the machine learning model 227 may be to replace the machine learning model 227 on the determination module 112 with the remote machine learning model 217 or to copy the parameter values of the deleted machine learning model 217 to the machine learning model 227 . In this case, the remote server 210 contains a remote call database 215 that includes records of the call database 225 of one or more definition modules 112 and 113 . In addition, the remote server 210 includes a
Таким образом, средство обучения 226 служит для обучения и дообучения модели машинного обучения по данным обучающей выборки из базы звонков 225. Обучающая выборка включает значения признаков на основе параметров звонков за исторический период наблюдения (например, неделя, месяц). Стоит отметить, что под дообучением в данной заявке понимается повторное обучение модели 227 на новых данных или с использованием новых параметров модели 227. Также под дообучением в данной заявке понимается повторное обучение модели 227 с использованием новой спецификации модели 227, например изменение нейронной сети на логистическую регрессию для модели машинного обучения 227. В частном варианте реализации дообучение модели 227 происходит периодически, например раз в месяц. В еще одном примере реализации может использоваться метод онлайн обучения (англ. online machine learning), в котором данные становятся доступными в последовательном порядке и используются для обновления параметров модели 227 для поступающих в будущем данных на каждом шаге. То есть модель 227 дообучают при каждом получении новых данных. Такой подход позволит лучше учитывать изменения в поведении злоумышленников и жертв мошенничества.Thus, the
Модель машинного обучения 227 может быть любой известной из уровня техники моделью машинного обучения, которая может быть применена в раскрытом изобретении. Далее приведены несколько возможных моделей машинного обучения. Однако настоящее изобретение не ограничивается ими, и в изобретении могут быть применены другие известные модели.The machine learning model 227 may be any machine learning model known in the art that can be applied to the disclosed invention. Following are a few possible machine learning models. However, the present invention is not limited to them, and other known models can be applied in the invention.
Если обучающая выборка содержит малое количество примеров с нежелательными звонками (то есть количество примеров с нежелательными звонками, например, менее 10 или менее 1% от общего количества примеров), то может использоваться модель машинного обучения в предположении, что признаки обучающей выборки подчиняются распределению Гаусса. В этом случае по данным обучающей выборки будут оценены выборочные средние и выборочные дисперсии для каждого признака, после чего будет рассчитана совместная плотность вероятности распределения. В итоге, если первое значение вероятности определения звонка нежелательным, оцененное на новых данных, окажется выше порога (заданной квантили распределения), то звонок будет определен как нежелательный. При этом устройство абонента, являющегося нежелательным или защищаемым, может быть определено по наименьшему значению плотности вероятности для признаков звонка, относящихся к нежелательному или соответственно к защищаемому абоненту. В этом случае тестовая и валидационная выборки будут содержать незначительное количество примеров с нежелательными звонками, достаточное для определения качества модели и последующего корректирования параметров модели для максимизации качества. Кроме того, в качестве модели машинного обучения 227 могут быть использованы модели временных рядов, такие как ARIMA, ARIMAX и др.If the training sample contains a small number of examples with unwanted calls (that is, the number of examples with unwanted calls, for example, less than 10 or less than 1% of the total number of examples), then a machine learning model can be used on the assumption that the features of the training sample follow a Gaussian distribution. In this case, according to the data of the training sample, the sample means and sample variances for each feature will be estimated, after which the joint probability density of the distribution will be calculated. As a result, if the first value of the probability of determining the call as unwanted, estimated on the new data, turns out to be higher than the threshold (given distribution quantile), then the call will be defined as unwanted. In this case, the device of the subscriber, which is unwanted or protected, can be determined by the smallest value of the probability density for the signs of the call, related to the unwanted or, respectively, to the protected subscriber. In this case, the test and validation sets will contain a small number of examples with unwanted calls, sufficient to determine the quality of the model and then adjust the model parameters to maximize the quality. In addition, time series models such as ARIMA, ARIMAX, etc. can be used as a machine learning model 227 .
Когда обучающая выборка содержит большое количество примеров, содержащих информацию о нежелательных звонках, тогда могут быть использованы модели классификации, такие как логистическая регрессия, нейронные сети, решающее дерево, решающий лес, метод опорных векторов, метод ближайший соседей и др. Такая модель машинного обучения для классификации будет осуществлять классификацию звонка на нежелательный/обычный.When the training set contains a large number of examples containing information about unwanted calls, then classification models can be used, such as logistic regression, neural networks, decision tree, decision forest, support vector machine, nearest neighbor method, etc. Such a machine learning model for classification will classify the call as unwanted/normal.
В частном варианте реализации модель машинного обучения 227 содержит в себе набор моделей, то есть ансамбль, принимающий решение путем усреднения результатов работы отдельных моделей из набора. В еще одном частном варианте реализации оптимизируют нейронную сеть с использованием генетических алгоритмов. В другом частном варианте реализации выбирают нейронную сеть с использованием одной из метрик качества, например NAB-метрики или F1-метрики.In a particular implementation, the machine learning model 227 contains a set of models, that is, an ensemble that makes a decision by averaging the results of individual models from the set. In yet another particular implementation, the neural network is optimized using genetic algorithms. In another particular implementation, the neural network is selected using one of the quality metrics, such as the NAB metric or the F1 metric.
В частном варианте реализации построение модели машинного обучения 227 происходит следующим образом. Вначале выбирают шаблон архитектуры нейронной сети, например: многослойный перцептрон, сверточную нейронную сеть, рекуррентную нейронную сеть или другие. Далее формируют описание выбранной архитектуры:In a particular implementation, the construction of the machine learning model 227 occurs as follows. First, a neural network architecture template is selected, for example: a multilayer perceptron, a convolutional neural network, a recurrent neural network, or others. Next, a description of the selected architecture is formed:
• оптимизатор и его параметры;• optimizer and its parameters;
• начальные значения весовых коэффициентов и сдвигов;• initial values of weight coefficients and shifts;
• максимальное количество слоев;• maximum number of layers;
• для каждого слоя:• for each layer:
- список возможных типов слоя, состоящий по меньшей мере из подмножества следующих слоев: Dense, Convolutional, GRU, LSTM, Dropout;- a list of possible layer types, consisting of at least a subset of the following layers: Dense, Convolutional, GRU, LSTM, Dropout;
- функция активации: линейная, ReLU, Tanh, сигмоида, Softmax и др.;- activation function: linear, ReLU, Tanh, sigmoid, Softmax, etc.;
- возможный размер слоя (число нейронов в слое).- possible layer size (number of neurons in the layer).
Затем производят оптимизацию архитектуры нейронной сети с использованием оптимизатора. В частном варианте реализации оптимизация архитектуры нейронной сети производится с использованием генетических алгоритмов. Для выбора лучшей архитектуры также используется метрика качества. В частном варианте реализации используется метрика качества, например: NAB-метрика, F1-метрика.Then, the neural network architecture is optimized using the optimizer. In a particular implementation, the optimization of the neural network architecture is performed using genetic algorithms. A quality metric is also used to select the best architecture. In a particular implementation, a quality metric is used, for example: NAB-metric, F1-metric.
Модуль определения 112 дополнительно служит для получения обратной связи (например, посредством средства передачи 223) от приложения 141 устройства защищаемого абонента 140, от агента безопасности оператора данных 151 или от агента безопасности провайдера 114, подтверждающей или опровергающей нежелательный звонок, и указанную информацию включают в обучающую выборку для дообучения модели машинного обучения 227. Таким образом, дообучение модели 227 позволяет снизить ошибки первого и второго рода при определении нежелательного звонка.The determination module 112 additionally serves to receive feedback (for example, through a transmission means 223 ) from the application 141 of the device of the protected subscriber 140 , from the security agent of the data operator 151 or from the security agent of the provider 114 , confirming or denying an unwanted call, and this information is included in the training sample for additional training of the machine learning model 227 . Thus, additional training of model 227 allows to reduce errors of the first and second kind when determining an unwanted call.
В еще одном частном варианте реализации повторный анализ параметров звонка включает по меньшей мере один из:In yet another particular implementation, reanalysis of call parameters includes at least one of:
Сигнатурный анализ, в котором при совпадении параметров звонка со второй сигнатурой нежелательного звонка определяют второе значение вероятности определения звонка нежелательным выше второго порогового значения.Signature analysis, in which, if the call parameters match the second unwanted call signature, the second value of the probability of determining the call as unwanted is determined above the second threshold value.
Эвристический анализ, в котором при совпадении параметров звонка со второй эвристикой нежелательного звонка определяют второе значение вероятности определения звонка нежелательным выше второго порогового значения. Например, может быть использована следующая эвристика: произведение количества звонков между определенными абонентами (абоненты определяются идентификаторами абонентов) и продолжительности звонков в секундах, в которых упоминаются по меньшей мере три ключевых слова, превышает 1000. При выполнении указанной эвристики (правила) определят второе значение вероятности определения звонка нежелательным равным 1, что выше второго порогового значения (например, 0.5). В противном случае, если упомянутое произведение ниже 1000, определят второе значение вероятности определение звонка нежелательным равным 0, то есть ниже второго порогового значения.Heuristic analysis, in which, if the call parameters coincide with the second unwanted call heuristic, the second value of the probability of determining the call as unwanted is determined above the second threshold value. For example, the following heuristic can be used: the product of the number of calls between certain subscribers (subscribers are identified by subscriber IDs) and the duration of calls in seconds in which at least three keywords are mentioned is greater than 1000. When this heuristic is executed (rules) will determine the second probability value call spam definition equal to 1, which is higher than the second threshold value (for example, 0.5). Otherwise, if said product is below 1000, the second value of the probability of determining the call as unwanted is determined to be 0, that is, below the second threshold value.
Анализ с использованием обученной второй модели машинного обучения для классификации звонка на нежелательный/обычный, при этом упомянутая вторая модель принимает на вход параметры звонка, а результатом применения упомянутой второй модели является второе значение вероятности определения звонка нежелательным и второе пороговое значение.Analysis using a trained second machine learning model to classify a call as unwanted/normal, wherein said second model takes call parameters as input, and the result of applying said second model is a second value of the probability of determining a call as unwanted and a second threshold value.
Стоит отметить, что частные варианты реализации для модели машинного обучения 227 также применимы и для второй модели машинного обучения с тем отличием, что обученная вторая модель машинного обучения принимает на вход также дополнительные параметры звонка, а результатом применения упомянутой второй модели является второе значение вероятности определения звонка нежелательным и второе пороговое значение. В этом случае средство обучения 226 дополнительно предназначено для обучения второй модели машинного обучения. Кроме того, вторая модель машинного обучения может быть обучена на удаленном сервере 210 посредством удаленного средства обучения 216.It should be noted that particular implementations for the machine learning model 227 are also applicable to the second machine learning model, with the difference that the trained second machine learning model also takes additional call parameters as input, and the result of applying the mentioned second model is the second value of the call detection probability unwanted and a second threshold value. In this case, the
Также в частном варианте реализации база сигнатур 228 хранится на машиночитаемом носителе и содержит вторые сигнатуры нежелательного звонка и вторые эвристики нежелательного звонка. Обученная вторая модель машинного обучения также хранится на машиночитаемом носителе.Also in a particular implementation, signature database 228 is stored on a computer-readable medium and contains second unwanted call signatures and second unwanted call heuristics. The trained second machine learning model is also stored on a computer-readable medium.
В частном варианте реализации с использованием приложения защищаемого абонента 141 осуществляют защиту данных защищаемого абонента на устройстве защищаемого абонента 140 с учетом параметров нежелательного звонка по меньшей мере путем:In a private embodiment, using the application of the protected subscriber 141 , the data of the protected subscriber is protected on the device of the protected subscriber 140 , taking into account the parameters of an unwanted call, at least by:
уведомления стороннего приложения 142, установленного на устройстве защищаемого абонента 140 об определении звонка нежелательным (в данном случае учитывается параметр — метка о нежелательном звонке);notifications of a third-party application 142 installed on the device of the protected subscriber 140 about the definition of a call as unwanted (in this case, the parameter is taken into account - the mark of an unwanted call);
изменения настроек информационной безопасности устройства защищаемого абонента 140, на котором установлено приложение 141 (в данном случае учитывается параметр — метка о нежелательном звонке);changes in the information security settings of the device of the protected subscriber 140 , on which the application 141 is installed (in this case, the parameter is taken into account - the mark of an unwanted call);
уведомления защищаемого абонента об определении звонка нежелательным (в данном случае учитываются параметры — метка о нежелательном звонке, идентификатор нежелательного абонента);notification of the protected subscriber about the definition of the call as unwanted (in this case, the following parameters are taken into account - the mark of the unwanted call, the identifier of the unwanted subscriber);
завершения текущего звонка и блокировки последующих входящих или исходящих вызовов с нежелательным абонентом (в данном случае учитываются параметры — метка о нежелательном звонке, идентификатор нежелательного абонента, при этом идентификатор нежелательного абонента будет проверяться для последующих вызовов и в случае поступления вызова с идентификатором нежелательного абонента поступающий вызов будет заблокирован).terminating the current call and blocking subsequent incoming or outgoing calls with an unwanted subscriber (in this case, the parameters are taken into account - the mark of an unwanted call, the identifier of an unwanted subscriber, while the identifier of an unwanted subscriber will be checked for subsequent calls and in case of a call with an unwanted subscriber identifier, the incoming call will be blocked).
В частном варианте реализации с использованием по меньшей мере одного модуля определения 112 (посредством средства передачи 223) передают параметры упомянутого звонка, определенного нежелательным, приложению нежелательного абонента 131.In a particular implementation, using at least one determination module 112 (by means of the transmission means 223 ), the parameters of said call, determined as unwanted, are transmitted to the application of the unwanted subscriber 131 .
В еще одном частном варианте реализации с использованием приложения нежелательного абонента 131 осуществляют защиту данных защищаемого абонента на устройстве нежелательного абонента 130 с учетом параметров нежелательного звонка по меньшей мере путем:In another particular embodiment, using the application of an unwanted subscriber 131 , the protected subscriber's data is protected on the device of an unwanted subscriber 130 , taking into account the parameters of an unwanted call, at least by:
уведомления стороннего приложения 132, установленного на устройстве нежелательного абонента 130 об определении звонка нежелательным;notification of a third-party application 132 installed on the device of an unwanted subscriber 130 about the definition of a call as unwanted;
изменения настроек информационной безопасности устройства нежелательного абонента 130, на котором установлено приложение 131;changing the information security settings of the unwanted subscriber's device 130 on which the application 131 is installed;
уведомления приложения защищаемого абонента 141 об определении звонка нежелательным;notifying the application of the protected subscriber 141 about the definition of the call as unwanted;
завершения текущего звонка и блокировки последующих входящих или исходящих вызовов с защищаемым абонентом, который определяется идентификатором защищаемого абонента, присутствующим среди параметров нежелательного звонка.terminating the current call and blocking subsequent incoming or outgoing calls with the protected subscriber, which is determined by the identifier of the protected subscriber, which is present among the unwanted call parameters.
В частном варианте реализации изменение настроек информационной безопасности устройств 130 и 140 включает одно или несколько из следующих:In a particular implementation, changing the information security settings of devices 130 and 140 includes one or more of the following:
осуществление антивирусной проверки с использованием актуальных баз антивирусом 133 или соответственно 143;implementation of an anti-virus scan using up-to-date antivirus databases 133 or 143 respectively;
изменение параметров сети;changing network settings;
ограничение функциональности устройства;limitation of device functionality;
ограничение взаимодействия устройства с другими устройствами;limiting the interaction of the device with other devices;
ограничение доступа к ресурсам устройства;restricting access to device resources;
включение многофакторной аутентификации;enable multi-factor authentication;
обновление средства защиты на устройстве;updating the protection tool on the device;
получение обратной связи по результатам описанных выше действий.receiving feedback on the results of the actions described above.
Еще в одном частном варианте реализации антивирусы 133 или 143 дополнительно служат для изменения настроек информационной безопасности других устройств абонента, например содержащих данные, которые подлежат защите. Например, средство определения 112 определило абонента устройства 130 нежелательным, а абонента устройства 140 защищаемым. Также средство определения 112 определило оператора данных — банк по результатам анализа дополнительных параметров звонка. Например, нежелательный абонент представился от имени упомянутого банка или требовал назвать данные банковской карты, выданной упомянутым банком. В этом примере в качестве данных, подлежащих защите, будут определены банковские данные защищаемого абонента в упомянутом банке. В случае если на устройстве защищаемого абонента 140 установлено стороннее приложение 142, являющееся Интернет-банком определенного банка, то с использованием приложения 141 защищаемого абонента может быть осуществлена защита данных абонента с учетом параметров нежелательного звонка, например путем уведомления приложения 142, которое в свою очередь выполнит блокировку карт банка, усилением защиты данных карт банка, включением многофакторной аутентификации для совершения операций по картам банка и пр. Кроме того, если у защищаемого абонента существуют другие устройства (например, компьютер, телефон и др.), на которых хранятся защищаемые данные (данные карт банка), приложение 141 уведомит указанные устройства об определении нежелательного звонка. На указанных дополнительных устройствах будет также осуществлена защита данных.In another private embodiment, antiviruses 133 or 143 additionally serve to change the information security settings of other subscriber devices, for example, those containing data that are subject to protection. For example, determiner 112 has determined device subscriber 130 to be unwanted and device subscriber 140 to be protected. Also, the determination tool 112 determined the data operator - the bank based on the results of the analysis of additional call parameters. For example, an unwanted subscriber introduced himself on behalf of the said bank or demanded to give the details of a bank card issued by the said bank. In this example, the bank data of the protected subscriber in the mentioned bank will be defined as the data to be protected. If a third-party application 142 is installed on the device of the protected subscriber 140 , which is the Internet bank of a certain bank, then using the application 141 of the protected subscriber, the subscriber's data can be protected taking into account the parameters of an unwanted call, for example, by notifying the application 142 , which in turn will execute blocking bank cards, enhancing the protection of bank card data, enabling multi-factor authentication for transactions with bank cards, etc. In addition, if the protected subscriber has other devices (for example, a computer, telephone, etc.) that store protected data (data bank cards), the application 141 will notify the specified devices about the detection of an unwanted call. Data protection will also be implemented on these additional devices.
В частном варианте реализации с использованием агента безопасности оператора данных 151 осуществляют защиту данных защищаемого абонента на сервере оператора данных 150 с учетом параметров нежелательного звонка по меньшей мере одним из способов:In a private implementation, using the security agent of the data operator 151 , the data of the protected subscriber is protected on the server of the data operator 150 , taking into account the parameters of an unwanted call in at least one of the following ways:
ограничением доступа к данным защищаемого абонента, при этом защищаемого абонента определяют из параметров нежелательного звонка по идентификатору защищаемого абонента;restricting access to data of the protected subscriber, while the protected subscriber is determined from the parameters of an unwanted call by the identifier of the protected subscriber;
дополнительной защитой доступа к данным защищаемого абонента;additional protection of access to data of the protected subscriber;
отменой ранее предоставленного доступа к данным защищаемого абонента.cancellation of previously granted access to the data of the protected subscriber.
В еще одном частном варианте реализации с использованием агента безопасности 114 на сервере провайдера связи 110 осуществляют защиту данных защищаемого абонента с учетом параметров нежелательного звонка одним из способов:In another private implementation, using the security agent 114 on the server of the communication provider 110 , the data of the protected subscriber is protected, taking into account the parameters of an unwanted call in one of the following ways:
завершением нежелательного звонка (например, отключением порта канала связи, по которому передается трафик звонка, или разрывом сети), при этом используют параметры нежелательного звонка (например, идентификаторы абонентов) для установления канала связи, по которому передается трафик звонка;termination of an unwanted call (for example, disconnection of the port of the communication channel through which the call traffic is transmitted, or network break), while using the parameters of the unwanted call (for example, subscriber IDs) to establish a communication channel through which the call traffic is transmitted;
уведомлением защищаемого абонента об определении звонка нежелательным, при этом защищаемого абонента определяют из параметров нежелательного звонка по идентификатору защищаемого абонента;notification of the protected subscriber about the definition of the call as unwanted, while the protected subscriber is determined from the parameters of the unwanted call by the identifier of the protected subscriber;
завершением текущего звонка и блокировкой последующих входящих или исходящих вызовов с нежелательным абонентом, при этом нежелательного абонента определяют из параметров нежелательного звонка по идентификатору нежелательного абонента;terminating the current call and blocking subsequent incoming or outgoing calls with an unwanted subscriber, while the unwanted subscriber is determined from the unwanted call parameters by the identifier of the unwanted subscriber;
уведомлением правоохранительных органов (также, например, уполномоченных органов, банковского регулятора) о нежелательном звонке и нежелательном абоненте.notification of law enforcement agencies (also, for example, authorized bodies, banking regulator) about an unwanted call and an unwanted subscriber.
В частном варианте реализации параметры упомянутого звонка дополнительно включают контекст звонка, в частности: количество предшествующих звонков между упомянутыми абонентами, параметры упомянутых предшествующих звонков.In a particular embodiment, the parameters of said call additionally include the context of the call, in particular: the number of previous calls between the mentioned subscribers, the parameters of the mentioned previous calls.
В еще одном частном варианте реализации параметры звонка дополнительно включают контекст устройства абонента 130 или соответственно 140, на котором установлено приложение 131 или соответственно приложение 141, при этом дополнительно получают упомянутый контекст устройства от приложения по меньшей мере одного абонента, где контекст устройства включает:In another particular embodiment, the call parameters additionally include the device context of the subscriber 130 or 140 respectively, on which the application 131 or application 141 respectively is installed, while additionally receiving said device context from the application of at least one subscriber, where the device context includes:
данные с датчиков устройства;data from device sensors;
взаимодействие устройства с другими устройствами сети 120;device interaction with
доступ к ресурсам устройства;access to device resources;
перечень ресурсов, к которым осуществляется доступ;a list of resources to which access is provided;
характеристики устройства;device characteristics;
передачу данных;data transfer;
тип передаваемых данных;type of transmitted data;
события антивируса;antivirus events;
события безопасности устройства;device security events;
информацию о взаимодействии с платежными сервисами и приложениями.information about interaction with payment services and applications.
В частном варианте реализации модуль определения 112 дополнительно содержит средство администрирования 229, предназначенное для предоставления обратной связи от администратора, которая может быть использована в предварительном анализе и в повторном анализе, например путем корректировки параметров звонка. Например, с использованием обратной связи могут быть промаркированы звонки в обучающей выборке на нежелательные/обычные. В еще одном частном варианте реализации средство администрирования 229 служит для настройки сигнатур, эвристик и параметров модели машинного обучения. Аналогично удаленный сервер 210 может содержать удаленное средство администрирования 219 для выполнения на удаленном сервере 210 функционала, аналогичного функционалу средства администрирования 229.In a particular implementation, the determination module 112 further comprises an administration tool 229 for providing feedback from the administrator that can be used in pre-analysis and re-analysis, for example by adjusting call parameters. For example, using feedback, calls in the training sample can be marked as unwanted/normal. In another particular implementation, the administration tool 229 is used to configure the signatures, heuristics, and parameters of the machine learning model. Similarly, the remote server 210 may include a remote administration tool 219 to perform functionality on the remote server 210 similar to that of the administration tool 229 '.
На Фиг. 3 приведен возможный пример модулей средства защиты 133 и 143 устройств 130 и 140 соответственно. Средство защиты (антивирус или другое средство защиты) устройства может содержать модули, предназначенные для обеспечения безопасности устройства: сканер по доступу, сканер по требованию, почтовый антивирус, веб-антивирус, модуль проактивной защиты, модуль HIPS (англ. Host Intrusion Prevention System — система предотвращения вторжений), DLP-модуль (англ. data loss prevention — предотвращение утечки данных), сканер уязвимостей, эмулятор, сетевой экран и др. В частном варианте реализации указанные модули могут быть составной частью средства защиты. В еще одном варианте реализации данные модули могут быть реализованы в виде отдельных программных компонент.On FIG. 3 shows an exemplary protection module 133 and 143 of devices 130 and 140 , respectively. The protection tool (antivirus or other protection tool) of the device may contain modules designed to ensure the security of the device: on-access scanner, on-demand scanner, mail antivirus, web antivirus, proactive protection module, HIPS module (Eng. Host Intrusion Prevention System - system intrusion prevention), DLP module (data loss prevention), vulnerability scanner, emulator, firewall, etc. In a private implementation, these modules can be an integral part of the protection tool. In yet another embodiment, these modules may be implemented as separate software components.
Сканер по доступу содержит функционал определения вредоносной активности всех открываемых, запускаемых и сохраняемых файлов на компьютерной системе пользователя. Сканер по требованию отличается от сканера по доступу тем, что сканирует заданные пользователем файлы и директории по требованию пользователя.The on-access scanner contains the functionality of detecting malicious activity of all opened, launched and saved files on the user's computer system. An on-demand scanner differs from an on-access scanner in that it scans user-specified files and directories at the user's request.
Почтовый антивирус необходим для контроля входящей и исходящей электронной почты на предмет содержания вредоносных объектов. Веб-антивирус служит для предотвращения исполнения вредоносного кода, который может содержаться на веб-сайтах, посещаемых пользователем, а также для блокирования открытия веб-сайтов. Модуль HIPS служит для определения нежелательной и вредоносной активности программ и блокирования её в момент исполнения. DLP-модуль служит для определения и предотвращения утечки конфиденциальных данных за пределы компьютера или сети. Сканер уязвимостей необходим для определения уязвимостей на устройстве (например, отключены некоторые компоненты средства защиты, не актуальные вирусные базы, открыт сетевой порт и пр.). Сетевой экран осуществляет контроль и фильтрацию сетевого трафика в соответствии с заданными правилами. Работа эмулятора заключается в имитации гостевой системы во время исполнения инструкций файла в эмуляторе и будет подробно рассмотрена далее. Модуль проактивной защиты использует поведенческие сигнатуры для определения поведения приложений и их классификации по уровню доверия.An email antivirus is required to monitor incoming and outgoing e-mail for malicious content. Web anti-virus is used to prevent the execution of malicious code that may be contained on websites visited by the user, as well as to block the opening of websites. The HIPS module is used to detect unwanted and malicious program activity and block it at the time of execution. The DLP module is used to detect and prevent leakage of confidential data outside the computer or network. A vulnerability scanner is required to detect vulnerabilities on the device (for example, some components of the protection tool are disabled, virus databases are out of date, a network port is open, etc.). The firewall monitors and filters network traffic in accordance with the specified rules. The emulator's job is to simulate a guest system while executing file instructions in the emulator, and will be discussed in more detail later. The proactive defense module uses behavioral signatures to determine the behavior of applications and classify them by trust level.
На Фиг. 4 представлен способ защиты данных абонента при нежелательном звонке. Так, на шаге 410 с использованием модуля определения 112, подключенного к шлюзу 111 на сервере провайдера связи 110, перехватывают трафик, содержащий параметры звонка и потоковые данные звонка. Далее, на шаге 420, с использованием модуля определения 112 выполняют предварительный анализ параметров звонка, по результатам которого определяют первое значение вероятности определения звонка нежелательным. В случае если упомянутое первое значение вероятности превышает первое пороговое значение, на шаге 430 с использованием модуля определения 112 путем анализа потоковых данных звонка определяют дополнительные параметры упомянутого звонка, в частности информацию об операторе данных (например, название, идентификатор), связанном по меньшей мере с одним абонентом. На шаге 440 с использованием модуля определения 112 выполняют повторный анализ параметров звонка с учетом дополнительных параметров, по результатам которого определяют второе значение вероятности звонка нежелательным. В случае если упомянутое второе значение вероятности превышает второе пороговое значение, на шаге 450 определяют звонок нежелательным, кроме того определяют абонента, который осуществляет нежелательный звонок и абонента, данные которого подлежат защите. При этом дополняют параметры звонка метками о нежелательном абоненте и защищаемом абоненте, а также информацией о том, что звонок определен как нежелательный. Метка о нежелательном абоненте будет поставлена в соответствие идентификатору абонента, признанного нежелательным, а метка о защищаемом абоненте будет поставлена в соответствие идентификатору абонента, признанного защищаемым. Таким образом, по указанной метке можно будет однозначно определить какой идентификатор абонента определяет нежелательного абонента, а какой — защищаемого абонента. В итоге, на шаге 460, с использованием по меньшей мере одного модуля определения 112 передают все параметры (то есть с учетом дополнительных параметров) упомянутого звонка, определенного нежелательным, по меньшей мере одному из: приложению 141 на устройстве защищаемого абонента 140, агенту безопасности 151 по меньшей мере одного упомянутого оператора данных (согласно информации об операторе данных в дополнительных параметрах звонка), агенту безопасности провайдера связи 114, при этому указанные приложения и агенты безопасности осуществляют защиту данных защищаемого абонента с учетом параметров нежелательного звонка.On FIG. 4 shows a method for protecting subscriber data in case of an unwanted call. Thus, in
Стоит отметить, что частные варианты реализации, упомянутые для Фиг. 1-3, также применимы и для способа по Фиг. 4. Таким образом, заявленное изобретение позволяет решить заявленную техническую проблему и достичь указанных технических результатов. Так, снижение ошибок первого рода достигается за счет повышения уровня определения нежелательных звонков, о котором упоминалось ранее. Снижение ошибок второго рода достигается за счет использования предварительного и повторного анализов параметров звонка, таким образом снижая вероятность определения обычного звонка нежелательным.It is worth noting that the particular implementations mentioned for FIG. 1-3 are also applicable to the method of FIG. 4 . Thus, the claimed invention allows solving the claimed technical problem and achieving the indicated technical results. So, the reduction of errors of the first kind is achieved by increasing the level of detection of unwanted calls, which was mentioned earlier. Type II error reduction is achieved through the use of pre-analysis and re-analysis of the call parameters, thus reducing the likelihood of a normal call being identified as unwanted.
Повышение защиты данных абонента при нежелательном звонке достигается за счет осуществления защиты данных защищаемого абонента приложением 141 на устройстве защищаемого абонента 140, агентом безопасности 151 по меньшей мере одного оператора данных 150 и агентом безопасности 114 на сервере провайдера связи 110 после определения звонка нежелательным.Increased protection of subscriber data in case of an unwanted call is achieved by protecting the data of the protected subscriber by the application 141 on the device of the protected subscriber 140 , the security agent 151 of at least one data operator 150 and the security agent 114 on the server of the communication provider 110 after determining the call as unwanted.
Также за счет повышения уровня определения нежелательных звонков решается заявленная техническая проблема.Also, by increasing the level of detection of unwanted calls, the stated technical problem is solved.
Стоит отметить, что настоящее изобретение может анализировать как трафик текущего звонка, так и трафик завершенного звонка. То есть даже анализ завершенного звонка и определение этого звонка нежелательным позволит защитить данные защищаемого абонента. Ведь угроза данным может возникнуть как во время звонка, так и после его завершения — например, когда защищаемый абонент после завершения звонка осуществляет попытку перевода денежных средств злоумышленнику по реквизитам, полученным во время звонка. В этом случае приложение 141 на устройстве защищаемого абонента 140 может проинформировать модуль определения 112 об изменении контекста устройства защищаемого абонента 140. А модуль определения 112 осуществит повторный анализ звонка с учетом обновленных параметров звонка. При этом повторный анализ звонка определит его нежелательным, что позволит защитить данные абонента, например путем блокировки указанного перевода приложением 141 или агентом безопасности 151 на сервере оператора данных 150 (в данном примере — банка). Таким образом, звонок может быть проанализирован несколько раз при изменении параметров звонка или при получении новых потоковых данных. Поэтому даже если во время совершения звонка данных было недостаточно, чтобы определить указанный звонок нежелательным, то после изменения контекста звонка он может быть в итоге определен как нежелательный.It is worth noting that the present invention can analyze both the traffic of the current call and the traffic of the completed call. That is, even the analysis of the completed call and the definition of this call as unwanted will protect the data of the protected subscriber. After all, a threat to data can arise both during the call and after it is completed - for example, when the protected subscriber, after the end of the call, attempts to transfer funds to the attacker using the details received during the call. In this case, the application 141 on the device of the protected subscriber 140 can inform the determination module 112 about the change in the device context of the protected subscriber 140. And the determination module 112 will reanalyze the call taking into account the updated call parameters. In this case, re-analysis of the call will determine it as unwanted, which will protect the subscriber's data, for example, by blocking the specified transfer by application 141 or security agent 151 on the server of the data operator 150 (in this example, the bank). Thus, the call can be analyzed several times when the call parameters change or when new streaming data is received. Therefore, even if there was not enough data at the time of the call to determine the specified call as unwanted, after changing the context of the call, it may eventually be determined as unwanted.
Таким образом, в обоих случаях будут достигнуты технические результаты — снижены ошибки первого и второго рода при определении нежелательных звонков и повышен уровень защиты данных абонента при нежелательном звонке. Также будет решена заявленная техническая проблема.Thus, in both cases, technical results will be achieved - errors of the first and second kind when determining unwanted calls are reduced and the level of protection of subscriber data in case of an unwanted call is increased. The stated technical problem will also be solved.
Фиг. 5 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24. Fig. 5 shows an example of a general purpose computer system, a personal computer or a server 20 ', comprising a central processing unit 21 ', system memory 22 ', and a system bus 23 ', which contains various system components including memory associated with the central processing unit 21 '. The system bus 23 is implemented as any bus structure known in the art, in turn comprising a bus memory or bus memory controller, a peripheral bus, and a local bus capable of interfacing with any other bus architecture. The system memory contains read-only memory (ROM) 24 , random access memory (RAM) 25 . The main input/output system (BIOS) 26 contains the basic procedures that ensure the transfer of information between the elements of a personal computer 20 , for example, at the time of booting the operating system using ROM 24 .
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20 in turn comprises a
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a hard disk 27 ', a removable magnetic disk 29 ', and a removable optical disk 31 ', but it should be understood that other types of computer storage media 56 that are capable of storing data in a computer-readable form (solid state drives, flash memory cards, digital disks, random access memory (RAM), etc.), which are connected to the system bus 23 through the
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.The computer 20 has a
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 5. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment using a network connection to another or more
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях (также — информационных системах), внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.The network connections may form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks (also information systems), internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the personal computer 20 is connected to the local network 50 via a network adapter or
В соответствии с описанием, компоненты, этапы исполнения, структура данных, описанные выше, могут быть выполнены, используя различные типы операционных систем, компьютерных платформ, программ.As described, the components, execution steps, data structure described above can be executed using various types of operating systems, computer platforms, programs.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.In conclusion, it should be noted that the information given in the description are examples that do not limit the scope of the present invention defined by the formula.
Claims (110)
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/726,897 US20230075097A1 (en) | 2021-09-06 | 2022-04-22 | System and method for protecting subscriber data in the event of unwanted calls |
| EP22175730.5A EP4145764A1 (en) | 2021-09-06 | 2022-05-27 | System and method for protecting subscriber data in the event of unwanted calls |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2774054C1 true RU2774054C1 (en) | 2022-06-14 |
Family
ID=
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2818860C1 (en) * | 2023-10-23 | 2024-05-06 | Артем Анатольевич Задорожный | Method of preventing leakage of confidential data when using telecommunication communication networks |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060117187A1 (en) * | 2004-11-30 | 2006-06-01 | Mike Hollatz | Internet method of protecting subscriber information |
| US20070283006A1 (en) * | 2006-06-02 | 2007-12-06 | Uangel Corporation | Automatic identification and blocking method of spam cell |
| US20170134574A1 (en) * | 2014-06-18 | 2017-05-11 | Katia Sa | Method and system for filtering undesirable incoming telephone calls |
| US10455085B1 (en) * | 2018-10-26 | 2019-10-22 | Symantec Corporation | Systems and methods for real-time scam protection on phones |
| RU2724630C1 (en) * | 2019-06-13 | 2020-06-25 | Сергей Олегович Крюков | Method of filtering unwanted incoming calls on cellular telephones |
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060117187A1 (en) * | 2004-11-30 | 2006-06-01 | Mike Hollatz | Internet method of protecting subscriber information |
| US20070283006A1 (en) * | 2006-06-02 | 2007-12-06 | Uangel Corporation | Automatic identification and blocking method of spam cell |
| US20170134574A1 (en) * | 2014-06-18 | 2017-05-11 | Katia Sa | Method and system for filtering undesirable incoming telephone calls |
| US10455085B1 (en) * | 2018-10-26 | 2019-10-22 | Symantec Corporation | Systems and methods for real-time scam protection on phones |
| RU2724630C1 (en) * | 2019-06-13 | 2020-06-25 | Сергей Олегович Крюков | Method of filtering unwanted incoming calls on cellular telephones |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2818860C1 (en) * | 2023-10-23 | 2024-05-06 | Артем Анатольевич Задорожный | Method of preventing leakage of confidential data when using telecommunication communication networks |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11818164B2 (en) | System and method for omnichannel social engineering attack avoidance | |
| Aleroud et al. | Phishing environments, techniques, and countermeasures: A survey | |
| Azad et al. | Caller-rep: Detecting unwanted calls with caller social strength | |
| US20100107228A1 (en) | Ip address secure multi-channel authentication for online transactions | |
| Azad et al. | Rapid detection of spammers through collaborative information sharing across multiple service providers | |
| CN111567012A (en) | Decentralized automated phone fraud risk management | |
| Gruber et al. | Voice calls for free: How the black market establishes free phone calls—Trapped and uncovered by a VoIP honeynet | |
| Azad et al. | Systems and methods for SPIT detection in VoIP: Survey and future directions | |
| Liu et al. | Detecting and characterizing SMS spearphishing attacks | |
| Azad et al. | Clustering VoIP caller for SPIT identification | |
| RU2774054C1 (en) | System and method for subscriber data protection in case of an unwanted call | |
| RU2780046C1 (en) | Computer apparatus for detecting an unwanted call | |
| Mangut et al. | The current phishing techniques–perspective of the nigerian environment | |
| RU2766273C1 (en) | System and method of detecting an unwanted call | |
| EP4145764A1 (en) | System and method for protecting subscriber data in the event of unwanted calls | |
| US20230075097A1 (en) | System and method for protecting subscriber data in the event of unwanted calls | |
| Hofbauer et al. | A lightweight privacy preserving approach for analyzing communication records to prevent voip attacks using toll fraud as an example | |
| Ferdous | Analysis and Protection of SIP based Services | |
| Li | Countermeasures against various network attacks using machine learning methods | |
| Gruber et al. | Architecture for trapping toll fraud attacks using a voip honeynet approach | |
| Siadati | Prevention, detection, and reaction to cyber impersonation attacks | |
| Zakaras | International computer crimes | |
| Gryszczyńska | CRIMINAL LIABILITY FOR CLI SPOOFING | |
| Pandit | COMBATING ROBOCALLS TO ENHANCE TRUST IN CONVERGED TELEPHONY | |
| Liu | Understanding and Defending Against Telephone Scams with Large-Scale Data Analytics and Machine Learning Systems |