CN107733900A - 一种通信网用户异常呼叫行为检测预警方法 - Google Patents

一种通信网用户异常呼叫行为检测预警方法 Download PDF

Info

Publication number
CN107733900A
CN107733900A CN201710993343.6A CN201710993343A CN107733900A CN 107733900 A CN107733900 A CN 107733900A CN 201710993343 A CN201710993343 A CN 201710993343A CN 107733900 A CN107733900 A CN 107733900A
Authority
CN
China
Prior art keywords
call
user
frequency
period
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710993343.6A
Other languages
English (en)
Other versions
CN107733900B (zh
Inventor
刘树新
程晓涛
于洪涛
黄瑞阳
何赞园
高超
王庚润
丁瑞浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PLA Information Engineering University
Original Assignee
PLA Information Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PLA Information Engineering University filed Critical PLA Information Engineering University
Priority to CN201710993343.6A priority Critical patent/CN107733900B/zh
Publication of CN107733900A publication Critical patent/CN107733900A/zh
Application granted granted Critical
Publication of CN107733900B publication Critical patent/CN107733900B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)
  • Monitoring And Testing Of Exchanges (AREA)

Abstract

本发明涉及通信网络安全、异常用户检测技术领域,特别是涉及一种通信网用户异常呼叫行为检测预警方法,本发明基于用户呼叫的CDR数据展开分析,利用网络用户呼叫行为在长时间内具有稳定性,短时间内随机性的特点,提出一种通信网用户异常呼叫行为检测预警方法,该方法首先对用户在不同时段的呼叫行为进行多粒度统计分析,拟合出行为规律曲线,然后以此为基础对超出呼叫异常阈值的呼叫行为进行异常检测,过程简单容易实现。

Description

一种通信网用户异常呼叫行为检测预警方法
技术领域
本发明涉及通信网络安全、异常用户检测技术领域,特别是涉及一种通信网用户异常呼叫行为检测预警方法。
背景技术
随着网络融合的发展,通信网作为保障用户信息交流的重要基础设施,其安全性问题日益突出。骚扰、暴恐、诈骗等各类垃圾电话和垃圾短信借助通信网广泛传播,给人民群众造成了很大的财产损失,引发社会强烈关注。与互联网用户异常行为预警相比,由于涉及公民通信隐私等敏感问题,通信网用户异常行为检测方面的研究相对薄弱。并且在电信网海量呼叫交互的环境下,实现对用户当前呼叫行为是否异常的判定往往难以完成。为了加强对通信网用户的有效管控,首先需要对网络用户的异常行为有所了解,实现对异常用户及异常行为的自动识别检测与预警。
发明内容
为了解决上述技术问题,本发明提出一种通信网用户异常呼叫行为检测预警方法,尤其是在电信诈骗、骚扰电话等通信网异常网络用户行为高发的今天,该方法可在获得用户历史CDR(Call Detail Record)数据的情况下,准确对通信网络中的异常个体呼叫行为进行检测预警,从而实现对通信网络用户的合理管控。
为了实现上述目的,本发明采用以下的技术方案:
本发明提供一种通信网用户异常呼叫行为检测预警方法,含有以下步骤:
步骤1,输入用户历史CDR会话数据、当前需要检测的CDR数据、检测用户呼叫行为的时间尺度T以及呼叫异常阈值p;
步骤2,过滤以待预测号码N为主叫的历史CDR数据,按时间间隔T统计用户号码N不同时段的通信频次和通信时长;
步骤3,根据历史时间段内所有该时段的通信频次值x1,构建该时段i内的通话频次-概率密度分布曲线fi(x1);构建24/T个时段的通话频次-概率密度分布曲线f(x1)={fi(x1),i=1,2,…,24/T};通话时长统计按每隔若干秒记录一次,取中间值作为该时间段内的时长值,构建24/T个时段的通话时长-概率密度分布曲线f(y1)={fi(y1),i=1,2,…,24/T};
步骤4,根据当前需要检测的以用户号码N为主叫的通信频次x和通信时长y,计算在该时段内对应的通话频次-概率密度分布曲线的概率值P(x)和通话时长-概率密度分布曲线的概率值P(y);
步骤5,根据用户号码N在当前时段内呼叫频次概率值P(x)、呼叫时长概率值P(y),计算出该时段内用户号码N的呼叫行为总体概率P(N)=P(x)*P(y);
步骤6,判定P(N)是否小于呼叫异常阈值p,若是,则对该用户本时段内呼叫行为告警;若否,则返回步骤4,对用户下一时段通话行为进行检测预警,直到需要检测的用户CDR数据处理完毕。
进一步地,所述CDR数据包括主叫号码、被叫号码、呼叫开始时间、呼叫结束时间、通话开始时间、通话结束时间、通话时长、呼叫时长和通话失败原因。
进一步地,所述步骤3中通话频次-概率密度分布曲线的构建方法如下:计算历史时段内通信频次值x1的均值为λ,若λ∈[0,1]用泊松分布拟合;若λ∈(1,2]用卡方分布拟合;若λ∈(2,4]用指数分布拟合;若λ∈(4,8]用泊松分布拟合;若λ∈(8,INF],用户呼叫频次过大,用户呼叫均值将趋于稳定值λ,记录待预测号码通话频次-概率密度分布曲线的模型参数。
进一步地,所述通话时长-概率密度分布曲线的构建方法与通话频次-概率密度分布曲线的构建方法相同。
与现有技术相比,本发明具有以下优点:
本发明基于用户呼叫的CDR数据展开分析,利用网络用户呼叫行为在长时间内具有稳定性,短时间内随机性的特点,提出一种通信网用户异常呼叫行为检测预警方法,该方法首先对用户在不同时段的呼叫行为进行多粒度统计分析,拟合出行为规律曲线,然后以此为基础对超出呼叫异常阈值的呼叫行为进行异常检测,过程简单容易实现。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明通信网用户异常呼叫行为检测预警方法的流程示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
实施例一,如图1所示,本实施例提供一种通信网用户异常呼叫行为检测预警方法,含有以下步骤:
步骤S101,输入用户历史CDR会话数据、当前需要检测的CDR数据、检测用户呼叫行为的时间尺度T(例如:T取1小时或者0.5小时)以及呼叫异常阈值p;其中,通信网用户CDR数据包含的基本信息如表1:
字段名 类型 说明
ncallernm string 主叫号码
vcallernm string 被叫号码
Callstarttime timestamp 呼叫开始时间
Talkendtime Timestamp 呼叫结束时间
Talkstarttime Timestamp 通话开始时间
Talkendtime Timestamp 通话结束时间
talklength Int 通话时长
calllength Int 呼叫时长
failreason Int 通话失败原因
表1
步骤S102,过滤以待预测号码N(例如15839052687)为主叫的历史CDR数据,按时间间隔T统计用户号码N不同时段的通信频次和通信时长;示例如表2,表2为用户号码分时段通话频次/时长表,过滤以待预测号码N为主叫的当前需要检测的CDR数据,按时间间隔T统计用户号码N不同时段的通信频次和通信时长;
表2
步骤S103,根据历史时间段内所有该时段的通信频次值x1,构建该时段i内的通话频次-概率密度分布曲线fi(x1);同理,构建24/T个时段(一天24小时,预测时间间隔为T,共24/T个时段)的通话频次-概率密度分布曲线f(x1)={fi(x1),i=1,2,…,24/T};通话频次-概率密度分布曲线的构建方法如下:计算历史时段内通信频次值x1的均值为λ,若λ∈[0,1]用泊松分布拟合;若λ∈(1,2]用卡方分布拟合;若λ∈(2,4]用指数分布拟合;若λ∈(4,8]用泊松分布拟合;若λ∈(8,INF],用户呼叫频次过大,可能为机器拨号,用户呼叫均值将趋于稳定值λ,记录待预测号码通话频次-概率密度分布曲线的模型参数。通话时长统计按每隔10秒记录一次,取中间值作为该时间段内的时长值,通话时长分布按同样的方式拟合为f(y1)={fi(y1),i=1,2,…,24/T},拟合曲线表达式如表3:
表3
步骤S104,根据当前需要检测的以用户号码N为主叫的通信频次x和通信时长y,计算在该时段内对应的通话频次-概率密度分布曲线的概率值P(x)和通话时长-概率密度分布曲线的概率值P(y);
步骤S105,根据用户号码N在当前时段内呼叫频次概率值P(x)、呼叫时长概率值P(y),计算出该时段内用户号码N的呼叫行为总体概率P(N)=P(x)*P(y);
步骤S106,判定P(N)是否小于呼叫异常阈值p,若是,则转步骤S107;若否,则返回步骤4,对用户下一时段通话行为进行检测预警,直到需要检测的用户CDR数据处理完毕。
步骤S107,对该用户本时段内呼叫行为告警。
本发明利用电信网用户呼叫行为的长期稳定性与短期随机性的特点,通过对电信网中每名用户的历史呼叫行为进行分析挖掘,记录用户呼叫行为概率密度曲线的特征参数,据此作为用户异常呼叫检测基础,对待检测呼叫中超出历史正常阈值的呼叫行为进行预警,从而实现对通信网络用户的合理管控,过程简单容易实现。
以上所示仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (4)

1.一种通信网用户异常呼叫行为检测预警方法,其特征在于,含有以下步骤:
步骤1,输入用户历史CDR会话数据、当前需要检测的CDR数据、检测用户呼叫行为的时间尺度T以及呼叫异常阈值p;
步骤2,过滤以待预测号码N为主叫的历史CDR数据,按时间间隔T统计用户号码N不同时段的通信频次和通信时长;
步骤3,根据历史时间段内所有该时段的通信频次值x1,构建该时段i内的通话频次-概率密度分布曲线fi(x1);构建24/T个时段的通话频次-概率密度分布曲线f(x1)={fi(x1),i=1,2,…,24/T};通话时长统计按每隔若干秒记录一次,取中间值作为该时间段内的时长值,构建24/T个时段的通话时长-概率密度分布曲线f(y1)={fi(y1),i=1,2,…,24/T};
步骤4,根据当前需要检测的以用户号码N为主叫的通信频次x和通信时长y,计算在该时段内对应的通话频次-概率密度分布曲线的概率值P(x)和通话时长-概率密度分布曲线的概率值P(y);
步骤5,根据用户号码N在当前时段内呼叫频次概率值P(x)、呼叫时长概率值P(y),计算出该时段内用户号码N的呼叫行为总体概率P(N)=P(x)*P(y);
步骤6,判定P(N)是否小于呼叫异常阈值p,若是,则对该用户本时段内呼叫行为告警;若否,则返回步骤4,对用户下一时段通话行为进行检测预警,直到需要检测的用户CDR数据处理完毕。
2.根据权利要求1所述的通信网用户异常呼叫行为检测预警方法,其特征在于,所述CDR数据包括主叫号码、被叫号码、呼叫开始时间、呼叫结束时间、通话开始时间、通话结束时间、通话时长、呼叫时长和通话失败原因。
3.根据权利要求1所述的通信网用户异常呼叫行为检测预警方法,其特征在于,所述步骤3中通话频次-概率密度分布曲线的构建方法如下:计算历史时段内通信频次值x1的均值为λ,若λ∈[0,1]用泊松分布拟合;若λ∈(1,2]用卡方分布拟合;若λ∈(2,4]用指数分布拟合;若λ∈(4,8]用泊松分布拟合;若λ∈(8,INF],用户呼叫频次过大,用户呼叫均值将趋于稳定值λ,记录待预测号码通话频次‐概率密度分布曲线的模型参数。
4.根据权利要求3所述的通信网用户异常呼叫行为检测预警方法,其特征在于,所述通话时长-概率密度分布曲线的构建方法与通话频次-概率密度分布曲线的构建方法相同。
CN201710993343.6A 2017-10-23 2017-10-23 一种通信网用户异常呼叫行为检测预警方法 Active CN107733900B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710993343.6A CN107733900B (zh) 2017-10-23 2017-10-23 一种通信网用户异常呼叫行为检测预警方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710993343.6A CN107733900B (zh) 2017-10-23 2017-10-23 一种通信网用户异常呼叫行为检测预警方法

Publications (2)

Publication Number Publication Date
CN107733900A true CN107733900A (zh) 2018-02-23
CN107733900B CN107733900B (zh) 2019-10-29

Family

ID=61213270

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710993343.6A Active CN107733900B (zh) 2017-10-23 2017-10-23 一种通信网用户异常呼叫行为检测预警方法

Country Status (1)

Country Link
CN (1) CN107733900B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110147366A (zh) * 2019-05-05 2019-08-20 电子科技大学 从自我中心角度出发的异常通信行为可视化分析方法
CN110796069A (zh) * 2019-10-28 2020-02-14 广州博衍智能科技有限公司 一种行为检测方法、系统、设备及机器可读介质
CN112688283A (zh) * 2020-12-16 2021-04-20 国网浙江省电力有限公司信息通信分公司 面向配电网差动保护业务的差动保护方法、设备及系统
US11991316B2 (en) 2019-05-24 2024-05-21 British Telecommunications Public Limited Company Call routing in a communications network

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101917445A (zh) * 2010-08-27 2010-12-15 电子科技大学 软交换平台下号码段的拒绝服务攻击检测方法
CN106255116A (zh) * 2016-08-24 2016-12-21 王瀚辰 一种骚扰号码的识别方法
CN106550155A (zh) * 2016-11-25 2017-03-29 上海欣方智能系统有限公司 对可疑号码进行诈骗样本甄别归类及拦截的方法及系统
CN106686265A (zh) * 2015-11-10 2017-05-17 中国移动通信集团公司 基于通信记录的服务提供方法及装置
CN106791220A (zh) * 2016-11-04 2017-05-31 国家计算机网络与信息安全管理中心 防止电话诈骗的方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101917445A (zh) * 2010-08-27 2010-12-15 电子科技大学 软交换平台下号码段的拒绝服务攻击检测方法
CN106686265A (zh) * 2015-11-10 2017-05-17 中国移动通信集团公司 基于通信记录的服务提供方法及装置
CN106255116A (zh) * 2016-08-24 2016-12-21 王瀚辰 一种骚扰号码的识别方法
CN106791220A (zh) * 2016-11-04 2017-05-31 国家计算机网络与信息安全管理中心 防止电话诈骗的方法及系统
CN106550155A (zh) * 2016-11-25 2017-03-29 上海欣方智能系统有限公司 对可疑号码进行诈骗样本甄别归类及拦截的方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
刘碧波: "电信网内恶意呼叫的识别方法", 《电信技术》 *
曹菁华 等: "基于电信数据的通话行为模式发现", 《计算机仿真》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110147366A (zh) * 2019-05-05 2019-08-20 电子科技大学 从自我中心角度出发的异常通信行为可视化分析方法
CN110147366B (zh) * 2019-05-05 2023-10-03 电子科技大学 从自我中心角度出发的异常通信行为可视化分析方法
US11991316B2 (en) 2019-05-24 2024-05-21 British Telecommunications Public Limited Company Call routing in a communications network
CN110796069A (zh) * 2019-10-28 2020-02-14 广州博衍智能科技有限公司 一种行为检测方法、系统、设备及机器可读介质
CN110796069B (zh) * 2019-10-28 2021-02-05 广州云从博衍智能科技有限公司 一种行为检测方法、系统、设备及机器可读介质
CN112688283A (zh) * 2020-12-16 2021-04-20 国网浙江省电力有限公司信息通信分公司 面向配电网差动保护业务的差动保护方法、设备及系统

Also Published As

Publication number Publication date
CN107733900B (zh) 2019-10-29

Similar Documents

Publication Publication Date Title
CN107733900B (zh) 一种通信网用户异常呼叫行为检测预警方法
WO2016197675A1 (zh) 骚扰电话的识别方法及装置
CN107197463A (zh) 一种电话诈骗的检测方法、存储介质及电子设备
CN101557441B (zh) 通话过滤方法与装置
CN106970911A (zh) 一种基于大数据和机器学习的防范电信诈骗系统及方法
CN109714180A (zh) 压减冗余告警的方法、相应设备及存储介质
CN105869035A (zh) 一种移动用户信用评估方法及装置
CN106506769B (zh) 一种利用实时算法实现恶意电话过滤的方法和系统
DE19841166A1 (de) Verfahren zur Kontrolle der Zugangsberechtigung für die Sprachtelefonie an einem Festnetz- oder Mobiltelefonanschluß sowie Kommunikationsnetz
EP2045995A1 (en) Detecting Fraud in a Communications Network
CN104038648A (zh) 骚扰电话的识别方法和装置
CN102892117A (zh) 一种骚扰电话监控系统方法及系统
CN101459718A (zh) 一种基于移动通信网的垃圾语音过滤方法及其系统
CN101720092B (zh) 一种基于智能网信令监控的骚扰电话监控方法及骚扰电话监控系统
CN104104772A (zh) 一种欺诈电话提示方法、服务器及系统
CN102075639A (zh) 一种国际业务通信网中恶意呼叫的拦截方法及装置
CN111917574B (zh) 社交网络拓扑模型及构建方法、用户置信度和亲密度计算方法及电信诈骗智能拦截系统
CN108810290B (zh) 一种诈骗电话的识别的方法及系统
CN107231494A (zh) 一种用户通信特征的获取方法、存储介质及电子设备
CN101945006B (zh) 一种异常呼叫的检测方法
CN108737622A (zh) 通话监控方法及装置
CN114169438A (zh) 一种电信网络诈骗识别方法、装置、设备及存储介质
CN107295491A (zh) 呼叫转移时自动筛选主叫用户的方法及系统
CN109525739A (zh) 一种电话号码识别方法、装置及服务器
US20060269050A1 (en) Adaptive fraud management systems and methods for telecommunications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant