一种基于时间和地理位置冲突的反并卡侦测方法
技术领域
本发明涉及SIM卡安全领域,具体涉及一种基于时间和地理位置冲突的反并卡侦测方法。
背景技术
电信领域内的欺诈侦测一般都依赖账单和信用分析为主要手段,最大的问题是欺诈识别及时性不高。
公开号为CN1231108A的专利申请中提供了将一个IMSI的使用限制到预定终端的方法和系统,该方法和系统解决了SIM(Subscriber Identity Module,用户身份识别模块)卡复制的问题,但是该专利对于SIM卡来说仅能在预定的1个终端(手机)或者几个终端中使用,对于经常更换终端而不更换SIM卡的用户将会出现极大的麻烦。
发明内容
本发明所要解决的技术问题是提供一种基于语音详单分析,通过判断时间冲突和地理位置冲突,确定是否存在SIM卡复制现象存在的方法,进而能够及时准确地识别欺诈与被欺诈对象双方。
本发明解决上述技术问题的技术方案如下:
一种基于时间和地理位置冲突的反并卡侦测方法,包括如下步骤:
步骤1:从话单中采集指定日起范围内的单个IMSI/MSISDN对应多个IMEI的所有详单记录;
步骤2:对所述详单记录进行时间冲突排查,筛选出第一批并卡手机号码;
步骤3:对所述详单记录进行位置冲突排查,筛选出第二批并卡手机号码;
步骤4:将第一批并卡手机号码和第二批并卡手机号码进行合并,获得所有并卡手机号码。
其中,IMSI:International Mobile Subscriber Identification Number,国际移动用户识别码,IMSI是区别移动用户的标志,储存在SIM卡中,可用于区别移动用户的有效信息,其总长度不超过15位,使用0~9的数字;
MSISDN:Mobile Station international ISDN Number,移动台国际ISDN号码,是在公共电话网交换网络编号计划中唯一能识别移动用户的号码,由以下部分组成:MSISDN=CC+NDC+SN,CC=国家码(中国为86),NDC=国内目的码,SN=用户号码。若在以上号码中将国家码CC去除,就成了移动台的国内身份号码,也就是日常所说的“手机号码”,每个GSM(Global System of Mobile communication,全球移动通信系统)的网络均分配一个国内目的码(NDC)。也可以要求分配两个以上的NDC号。MSISDN的号长是可变的(取决于网络结构与编号计划),不包括字冠,最长可以达到15位。国内目的地码(NDC)包括接入号N1N2N3和HLR(Home Location Register,存储位置寄存器)的识别号H1H2H3H4。接入号用于识别网络,目前采用:139、138等接入号。HLR识别号表示用户归属的HLR,也表示移动业务本地网号;
IMEI:International Mobile Equipment Identity,国际移动身份识别码,俗称“手机串号”,存储在手机的EEPROM(俗称码片)里,每一个移动设备都对应一个唯一的IMEI,其组成结构为TAC(6位数字)+FAC(两位数字)+SNR(6位数字)+SP(1位数字),TAC(设备型号核准号码)由欧洲型号认证中心分配。
本发明的有益效果是:分析的依据只有话单,数据源单一,信息输入少;分析效率高,只需分析一卡多机现象的语音详单即可,其余详单均可过滤掉;欺诈识别比较彻底,一次分析可以识别一个省的SIM卡被复制的所有现象,为反欺诈提供最有利的支撑。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步,所述步骤2包括:
步骤201:从详单记录中取出一个IMSI/MSISDN;
步骤202:从详单记录中取出所有与该IMSI/MSISDN对应的话单,包括主叫话单和被叫话单;
步骤203:建立表示当天通话覆盖的时间数组,时间数组中的每个单元对应时间跨度为1分钟,时间数组中共计24乘60个时间数组单元;
步骤204:逐条取步骤202中与该IMSI/MSISDN对应的话单,找到话单中每条记录的通话起始时间和通话时长,将自通话起始到通话结束覆盖的通话时间所对应的所有时间数组单元加1,其余的时间数组单元值不变;
步骤205:考察时间数组中是否存在两个连续的时间数组单元的值均大于1,如果存在,则将当前的IMSI/MSISDN对应的手机号码记录为并卡手机号码;
步骤206:改变IMSI/MSISDN,并执行步骤201至205,直到遍历完毕详单记录中所有的IMSI/MSISDN。
采用上述进一步方案的有益效果是,利用时间数组,将一天中的时间按分钟分块,对某一IMSI/MSISDN的话单中一天中的每次通话占用时间均表示在该时间数组中,如果在同一个连续的两分钟或以上的时间内出现了一个IMSI/MSISDN的多次通话,那么就可以直接通过该时间数组判断出同一个IMSI/MSISDN在相同的时间内同时进行了多次通话,也就是说具有同一个IMSI/MSISDN的多个手机终端在同一时间内进行了通话,从而判断出该IMSI/MSISDN对应的手机号码记录为并卡手机号码,通过时间数组进行进行时间冲突排查,判断准确,且快速。
进一步,在所述步骤205中还包括将记录为并卡手机号码的记录从详单记录中删除。
采用上述进一步方案的有益效果是,在进行位置冲突排查之前,删除已经认定为并卡手机号码的详单信息记录,避免了位置冲突排查时对已经记录为并卡手机号码再进行一次筛选操作,可以极大的节约位置冲突排查的时间,提高排查效率。
进一步,所述步骤3包括:
步骤301:从详单记录中取出一个IMSI/MSISDN;
步骤302:从详单记录中取出所有与该IMSI/MSISDN对应的话单,包括主叫话单和被叫话单,并对与该IMSI/MSISDN对应的话单按照通话起始时间进行排序;
步骤303:从与该IMSI/MSISDN对应的话单中找出通话间隔最近的两条详单信息,且两条详单信息中的IMEI不同或者地区不同;
步骤304:计算所述两条详单信息中的通话时间间隔,若小于警戒阀值,则将当前的IMSI/MSISDN对应的手机号码记录为并卡手机号码;
步骤305:改变IMSI/MSISDN,并执行步骤301至304,直到遍历完毕详单记录中所有的IMSI/MSISDN。
采用上述进一步方案的有益效果是,在详单记录中,一个IMSI/MSISDN在很短的时间内对应出不同的IMEI或者地区,换句话说,同一个手机号码在很短的时间内由多台不同的手机,或者在多个不同的地区进行了通话,通过该条件的判断即可认定为该IMSI/MSISDN对应的手机号码为并卡手机号码。
进一步,所述警戒阀值为3秒。
进一步,在所述步骤2或者步骤3之后,步骤4之前还包括如下步骤:
步骤A:对所述详单记录中每一个IMSI/MSISDN对应的IMEI号码变更次数、通话地区变更次数、超长话单的平均时长、超长话单的通话次数进行统计,并将超过IMEI号码变更次数阀值、通话地区变更次数阀值、超长话单的平均时长阀值或者超长话单的通话次数阀值的IMSI/MSISDN对应的手机号码记录为怀疑手机号码。
采用上述进一步方案的有益效果是,通过对IMEI号码变更次数、通话地区变更次数、超长话单的平均时长、超长话单的通话次数的判断筛选出怀疑手机号码,可以进一步跟踪其通话行为,进而发现潜在可能出现的新的并卡手机号码。
附图说明
图1为本发明基于时间和地理位置冲突的反并卡侦测方法流程图;
图2为本发明中时间冲突排查中的时间数组的一个实施例示意图;
图3为本发明中位置冲突排查步骤的辅助示意图;
图4为本发明基于时间和地理位置冲突的反并卡侦测方法的一个具体实施方式的算法流程图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
如图1所示,本发明的基于时间和地理位置冲突的反并卡侦测方法包括以下步骤:
步骤1:从话单中采集指定日起范围内的单个IMSI/MSISDN对应多个IMEI的所有详单记录;
步骤2:对所述详单记录进行时间冲突排查,筛选出第一批并卡手机号码;
步骤3:对所述详单记录进行位置冲突排查,筛选出第二批并卡手机号码;
步骤4:将第一批并卡手机号码和第二批并卡手机号码进行合并,获得所有并卡手机号码。
其中,在步骤2或者步骤3之后,步骤4之前还包括:
步骤A:对所述详单记录中每一个IMSI/MSISDN对应的IMEI号码变更次数、通话地区变更次数、超长话单的平均时长、超长话单的通话次数进行统计,并将超过IMEI号码变更次数阀值、通话地区变更次数阀值、超长话单的平均时长阀值或者超长话单的通话次数阀值的IMSI/MSISDN对应的手机号码记录为怀疑手机号码。
步骤2中,通过下述子步骤实现:
步骤201:从详单记录中取出一个IMSI/MSISDN;
步骤202:从详单记录中取出所有与该IMSI/MSISDN对应的话单,包括主叫话单和被叫话单;
步骤203:建立表示当天通话覆盖的时间数组,时间数组中的每个单元对应时间跨度为1分钟,时间数组中共计24乘60个时间数组单元;
步骤204:逐条取步骤202中与该IMSI/MSISDN对应的话单,找到话单中每条记录的通话起始时间和通话时长,将自通话起始到通话结束覆盖的通话时间所对应的所有时间数组单元加1,其余的时间数组单元值不变;
步骤205:考察时间数组中是否存在两个连续的时间数组单元的值均大于1,如果存在,则将当前的IMSI/MSISDN对应的手机号码记录为并卡手机号码;
步骤206:改变IMSI/MSISDN,并执行步骤201至205,直到遍历完毕详单记录中所有的IMSI/MSISDN。
如图2所示,为一个关于步骤2中时间数组使用的实施例示意图。在初始状态下某个IMSI/MSISDN的时间数组中各个单元均设为0;详单1中,某个IMSI/MSISDN的通话时间为9:10~9:17,对应于详单1中的通话时间,该IMSI/MSISDN的时间数组中,9:10~9:17这一段的数组单元均加1;详单2中,该IMSI/MSISDN的通话时间为9:15~9:23,对应于详单2中的通话时间,该IMSI/MSISDN的时间数组中,9:15~9:23这一段的数组单元均加1;最后,该时间数组中,对应于9:15~9:17时间段中的数组单元的值为2(大于1),表示了该段时间内该IMSI/MSISDN同时进行了两次通话;进一步判断时,如果这两次通话话的地点相同,则可断定为时间冲突(对于通话类型,考虑到通话时长与计费时长的换算误差,时长重叠在3分钟以上可以认定为时间冲突,低于3分钟,则需要进一步排查地理位置冲突),如果呼叫地点不同,则该IMSI/MSISDN的SIM卡必定为并卡。
通过时间冲突排查可以筛选出一部分并卡手机号码,筛选出的这部分手机号码就没有必要在经过一次位置冲突排查,因此,可以在步骤205中加入将记录为并卡手机号码的记录从详单记录中删除的过程。
如图3所示,步骤3中,通过下述子步骤实现:
步骤301:从详单记录中取出一个IMSI/MSISDN;
步骤302:从详单记录中取出所有与该IMSI/MSISDN对应的话单,包括主叫话单和被叫话单,并对与该IMSI/MSISDN对应的话单按照通话起始时间进行排序;
步骤303:从与该IMSI/MSISDN对应的话单中找出通话间隔最近的两条详单信息,且两条详单信息中的IMEI不同或者地区不同;
步骤304:计算所述两条详单信息中的通话时间间隔,若小于警戒阀值,则将当前的IMSI/MSISDN对应的手机号码记录为并卡手机号码;
步骤305:改变IMSI/MSISDN,并执行步骤301至304,直到遍历完毕详单记录中所有的IMSI/MSISDN。
其中,警戒阀值可以设定为3秒或者其他时间,只要能够保证移动通信用户不能在这段时间里迅速转移地区或者不能迅速更换手机即可。
采用上述时间冲突排查和位置冲突排查可以筛选出并卡手机号码,但也存在着并卡手机号码在所排查的区间内进行了明显的冲突性的使用。因此,为了增加排查的力度,可以在步骤2或者步骤3之后,步骤4之前加入:
步骤A:对所述详单记录中每一个IMSI/MSISDN对应的IMEI号码变更次数、通话地区变更次数、超长话单的平均时长、超长话单的通话次数进行统计,并将超过IMEI号码变更次数阀值、通话地区变更次数阀值、超长话单的平均时长阀值或者超长话单的通话次数阀值的IMSI/MSISDN对应的手机号码记录为怀疑手机号码。
这样可以筛选出一批值得怀疑的手机号码进行跟踪以进一步的判断是否存在并卡现象。其中的阀值可以根据需要进行设定,比如某个用户的超长话单的通话次数大于15次就认定为怀疑对象,超长话单的通话次数阀值就可以设置成15。
如图4所示,为本发明的一个具体实施中的算法流程图,其中包括:
话单采集过程:在当日指定时刻采集前日GSM话单中“One Imei More MSISDN”(一IMEI对多MSISDN)的所有话单。
数据清洗过程:(1)对原始的IMEI码进行清洗和转换;(2)对MSISDN进行清洗/筛查;(3)建立目标话单样本数据集。
建立用户表过程:(1)从目标话单样本数据集中提取用户MSISDN,建立待查用户表;(2)抽取用户属性,丰富待查用户表。
时间冲突排查过程:(1)提取待查用户表中的MSISDN;(2)在目标话单样本数据集中提取与MSISDN相对应的话单;(3)对这组话单进行时间冲突排查;(4)对于肯定性判断,回写并卡黑名单用户表,详单证据表;(5)对于怀疑性判断,回写并卡怀疑名单表。
位置冲突排查过程:(1)如果目标话单数据集中尚有未查到的数据集,则采用位置冲突排查;(2)对于肯定性判断,回写并卡黑名单用户表,详单证据表;(3)对于怀疑性判断,回写并卡怀疑名单表。
结果整理过程:(1)整理黑名单用户表和证据表,使之满足前端应用;(2)整理怀疑名单表,使之满足前端应用;(3)月末,生成结果统计分析表,使之满足前端应用。
结果应用分析过程:(1)黑名单、怀疑名单用户表即席查询分析;(2)黑名单、怀疑名单用户的分布分析;(3)黑名单、怀疑名单用户的消费分析;(4)黑名单、怀疑名单用户的品牌、定购/业务开通情况分析等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。