CN109429230B

CN109429230B - 一种通信诈骗识别方法及系统

Info

Publication number: CN109429230B
Application number: CN201710748105.9A
Authority: CN
Inventors: 汤潇巍; 姚磊; 傅一平
Original assignee: China Mobile Communications Group Co Ltd; China Mobile Group Zhejiang Co Ltd
Current assignee: China Mobile Communications Group Co Ltd; China Mobile Group Zhejiang Co Ltd
Priority date: 2017-08-28
Filing date: 2017-08-28
Publication date: 2022-01-25
Anticipated expiration: 2037-08-28
Also published as: CN109429230A

Abstract

本发明实施例提供一种通信诈骗识别方法及系统。所述方法包括：获取实时话单，实时话单至少包括主叫号码和被叫号码；若判断获知主叫号码满足预设条件，则获取预设时间内与被叫号码相关的用户行为数据，用户行为数据至少包括与被叫号码相关的通信数据、基站数据、信令数据和业务数据；根据用户行为数据生成被叫号码的用户行为向量；根据用户行为向量确定预设判断模型池中与用户行为向量相对应的判断模型；根据判断模型确定实时话单对应的通话是否为诈骗电话。本发明实施例通过预设时间内与被叫号码相关的用户行为数据对实时话单进行识别，实现了对第一次出现或仅出现一次的诈骗号码的识别，提高了通信诈骗识别的时效性。

Description

一种通信诈骗识别方法及系统

技术领域

本发明实施例涉及数据业务技术领域，具体涉及一种通信诈骗识别方法及系统。

背景技术

电话作为一种便捷的联系方式已非常普及，而不法分子则利用这一便捷之处进行诈骗，严重影响到电信用户的财产安全和用户体验。现有的打击电信诈骗的技术手段为用户在标记设备上标记所接到的诈骗电话，当该号码被标记的数据量达到一定阈值后送至查询中心，当监听来电事件时，向查询中心发送请求，查询该号码是否被标记为诈骗电话，根据查询结果确定所述主叫号码为诈骗电话后启动提醒装置，向用户发送提醒信息。

对于利用用户举报数据的识别方法，具有一定滞后性，同时，若某一诈骗电话第一次使用或被标记数量较少则无法对其识别。然而，大量诈骗电话为一次性使用号码，因此该方法将漏识别大量诈骗电话。

发明内容

针对现有技术中的缺陷，本发明实施例提供了一种通信诈骗识别方法及系统。

第一方面，本发明实施例提供一种通信诈骗识别方法，包括：

获取实时话单，所述实时话单至少包括主叫号码和被叫号码；

若判断获知所述主叫号码满足预设条件，则获取预设时间内与所述被叫号码相关的用户行为数据，所述用户行为数据至少包括与所述被叫号码相关的通信数据、基站数据、信令数据和业务数据；

根据所述用户行为数据生成所述被叫号码的用户行为向量；

根据所述用户行为向量确定预设判断模型池中与所述用户行为向量相对应的判断模型；

根据所述判断模型确定所述实时话单对应的通话是否为诈骗电话。

第二方面，本发明实施例提供一种通信诈骗识别系统，包括：

通信网关，用于获取实时话单，所述实时话单至少包括主叫号码和被叫号码；

数据中心，用于若判断获知所述主叫号码满足预设条件，则获取预设时间内与所述被叫号码相关的用户行为数据，所述用户行为数据至少包括与所述被叫号码相关的通信数据、基站数据、信令数据和业务数据；

编码转换装置，用于根据所述用户行为数据生成所述被叫号码的用户行为向量；

模型选择装置，用于根据所述用户行为向量确定预设判断模型池中与所述用户行为向量相对应的判断模型；

判断装置，用于根据所述判断模型确定实时话单对应的通话是否为诈骗电话。

第三方面，本发明实施例提供一种电子设备，包括：

存储器和处理器，所述处理器和所述存储器通过总线完成相互间的通信；所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如下方法：获取实时话单，所述实时话单至少包括主叫号码和被叫号码；若判断获知所述主叫号码满足预设条件，则获取预设时间内与所述被叫号码相关的用户行为数据，所述用户行为数据至少包括与所述被叫号码相关的通信数据、基站数据、信令数据和业务数据；根据所述用户行为数据生成所述被叫号码的用户行为向量；根据所述用户行为向量确定预设判断模型池中与所述用户行为向量相对应的判断模型；根据所述判断模型确定所述实时话单对应的通话是否为诈骗电话。

第四方面，本发明实施例提供一种存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如下方法：获取实时话单，所述实时话单至少包括主叫号码和被叫号码；若判断获知所述主叫号码满足预设条件，则获取预设时间内与所述被叫号码相关的用户行为数据，所述用户行为数据至少包括与所述被叫号码相关的通信数据、基站数据、信令数据和业务数据；根据所述用户行为数据生成所述被叫号码的用户行为向量；根据所述用户行为向量确定预设判断模型池中与所述用户行为向量相对应的判断模型；根据所述判断模型确定所述实时话单对应的通话是否为诈骗电话。

本发明实施例提供的通信诈骗识别方法，对获取到的满足预设条件的实时话单进行识别，减少了非必要的实时话单的识别，通过预设时间内与被叫号码相关的用户行为数据对实时话单进行识别，实现了对第一次出现或仅出现一次的诈骗号码的识别，且预设判断模型池中包含多个判断模型，提高通信诈骗识别的覆盖率和时效性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的通信诈骗识别方法流程示意图；

图2为本发明实施例提供的通信诈骗识别系统的结构示意图；

图3为本发明实施例提供的通信诈骗识别系统的信令图；

图4为本发明实施例提供的电子设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例提供的通信诈骗识别方法流程示意图，如图1所示，所述方法包括：

步骤S11、获取实时话单，所述实时话单至少包括主叫号码和被叫号码；

具体地，当被叫号码与主叫号码接通后，实时通话产生，实时通话结束后，产生实时话单，实时话单至少包括主叫号码和被叫号码。一般地，在一起通信诈骗中，通常主叫号码为诈骗者的号码，被叫号码为受害者号码，为了确认用户刚刚结束的通话是否为诈骗电话，首先获取实时话单，从实时话单中获取主叫号码和被叫号码。

步骤S12、若判断获知所述主叫号码满足预设条件，则获取预设时间内与所述被叫号码相关的用户行为数据，所述用户行为数据至少包括与所述被叫号码相关的通信数据、基站数据、信令数据和业务数据；

具体地，获取实时话单的主叫号码和被叫号码之后，首先判断主叫号码是否满足预设条件，预设条件为预先设置的判断条件，以筛选出哪些实时话单存在异常，需要进一步判断是否为诈骗电话。对于经判断不存在异常的实时话单，可以不进行诈骗电话的判断。

一般地，通信诈骗存在一定的规律，可以根据该规律设置预设条件。例如，诈骗规律包括但不限于以下几种：

(1)主叫号码以特殊号段开头，或主叫号码存在一定规律，如主叫号码末尾为通话当天日期，如主叫号码尾号为0221。(2)主叫号码是通过不同技术手段获得的伪造号码，包括冒充客服、冒充领导、冒充公检法等。冒充客服为虚假客服电话，如冒充支付宝客服、贷款公司客服等；冒充领导为前一天所识别的存在满足一定条件的潜在诈骗电话；冒充公检法为号码后几位与公安固话后几位相同，冒充公安局等。(3)由于正常用户通话时长在相对稳定的一个范围内，若实时话单通话时间超过该范围，可以初步判断该通话存在异常，需要进一步判断是否为正常电话。(4)诈骗电话归属地分布存在一定规律，当主叫号码归属地在特殊城市范围中，或主叫号码漫游地与归属地不一致时，可初步认为通话存在异常。(5)正常用户同一时间点只能与同一对端进行通话，诈骗电话可能在某一时刻与不同号码进行通话，若获知某一时间点主叫号码与多个被叫号码通话，可判断该主叫号码对应的通话为诈骗电话。(6)主叫号码在某一时刻内的短信数据中存在短信发送方号码存在一定规律，一旦主叫号码收到特殊号段短信后，可初步认为主叫号码为潜在受骗用户，对其作为被叫的通话可以进一步判断是否为诈骗电话。

基于上述6个诈骗规律，可以预先设置6个预设条件，例如，设置预设条件a为主叫号码异常，预设条件b为伪造号码，预设条件c为通话时长异常，预设条件d为漫游地与归属地异常，预设条件e为虚假主叫行为，预设条件f为特殊号段短信，上述预设条件a-f分别对应诈骗规律(1)-(6)。在实际应用中，还可以根据诈骗手段的增加调整，增加调整相应的预设条件，本发明实施例对此不作限定。

具体地，获取实时话单的主叫号码和被叫号码，判断主叫号码是否满足预设条件a或预设条件b，也可以获取实时话单中的通话时长，判断实时话单的通话时长是否满足预设条件c，或者获取实时话单的通话地址，判断主叫号码是否满足预设条件d，或者获取主叫号码当前时刻的所有通话数据，判断主叫号码是否满足预设条件e，或者获取被叫号码的短信数据判断是否满足预设条件f。

若满足上述预设条件中的一种，则初步判断该实时话单对应的通话存在异常，可能是诈骗电话，需要做进一步分析。一般地，诈骗电话通常不是一个通话，而是由多个通话组成，一步步引诱用户上当受骗。这些通话可能是同一个主叫号码，也可能是不同的主叫号码。通过分析发现，对于诈骗电话，被叫号码相关的用户行为数据存在一些规律，例如用户通信数据存在规律、用户未办理过相关业务、用户下载过某些APP或者用户搜索过查询号码等，这样可以从被叫号码出发，获取预设时间内被叫号码相关的用户行为数据，用户行为数据可以包括与被叫号码相关的通信数据、基站数据、信令数据和业务数据。例如，获取此次通话之前的一个月内与被叫号码相关的通信数据、基站数据、信令数据和业务数据。这样，即使该被叫号码是第一次与主叫号码联系，或者该主叫号码是第一次被识别，本发明实施例也可以根据被叫号码相关的用户行为数据进行分析判断。

其中，通信数据可以为通话数据，包括通话的主叫号码或被叫号码，通话时间，通话地点，主被叫归属地/漫游地等数据；基站数据可以为被叫号码位置信息等；信令数据可以为被叫号码对应的用户的http数据等；业务数据可以为被叫号码所使用的业务信息等，例如，被叫号码是否办理了国际长途等业务。

在实际应用中，还可以首先判断主叫号码是不是黑名单号码，若主叫号码是黑名单号码，则直接判断该实时话单对应的通话为诈骗电话。其中黑名单号码的获取，可以从运营商提供的黑名单数据库或者移动终端标记的黑名单数据库中直接获取，也可以使用爬虫设备，根据爬虫规则在特定网站上爬取下来的号码作为黑名单。例如：爬取腾讯博客中仿冒客服的虚假博客，在腾讯博客中搜索博客名带有“支付宝客服电话”的博客，将博客名中附带的电话号码爬取下来，作为黑名单。

步骤S13、根据所述用户行为数据生成所述被叫号码的用户行为向量；

具体地，为了便于分析，将用户行为数据转换成用户行为向量，用户行为向量中的元素代表不同的用户行为数据，这样，每一个实时话单，可转换成一个用户行为向量，对实时话单的分析就转变为对用户行为向量的分析。对用户行为数据进行量纲化处理，方便进行后续分析。

步骤S14、根据所述用户行为向量确定预设判断模型池中与所述用户行为向量相对应的判断模型；

具体地，预先设置预设判断模型池，模型池中存储预先设置的多个判断模型，获取到用户行为向量后，根据用户行为向量从模型池中确定相对应的判断模型。例如，用户行为向量相关的判断模型为模型一，则使用模型一对用户行为向量进行判断。

步骤S15、根据所述判断模型确定所述实时话单对应的通话是否为诈骗电话。

具体地，若用户行为向量满足其对应的判断模型，则实时话单对应的通话为诈骗电话，若用户行为向量不满足其对应的判断模型，则实时话单对应的通话为正常电话。在实际应用中，还可以对用户行为向量不满足其对应的判断模型的判断结果做进一步分析，确定用户行为向量与判断模型的匹配度，根据该匹配度确定实时话单对应的通话为诈骗电话的置信度，若该置信度高于预设阈值，则认为实时话单对应的通话为诈骗电话。

例如，当号码A接到号码B的电话后，一起实时通话产生，电话挂断后，实时话单产生，实时话单至少包括主叫号码B和被叫号码A，获取到实时话单后，首先判断号码B是不是黑名单号码，如果是，则直接判断A与B的通话为诈骗电话，若B不是黑名单号码，则获取一个月内与A相关的用户行为数据，包括与A相关的通信数据、基站数据、信令数据和业务数据，并根据这些数据生成A的用户行为向量L，根据用户行为向量L确定判断模型，根据判断模型确定A与B的通话是否是诈骗电话。

在上述实施例的基础上，进一步地，所述获取预设时间内与所述被叫号码相关的用户行为数据，包括：

获取预设时间内所述被叫号码的通信数据、基站数据、信令数据和业务数据；

获取预设时间内与所述被叫号码相关的国际号码的通话数据。

具体地，诈骗通常伪装为国际号码，因此获取预设时间内被叫号码的通信数据、基站数据、信令数据和业务数据；以及预设时间内与被叫号码相关的国际号码的通话数据。

其中，通信数据包括通话数据与短信数据。由于本发明实施例判断实时话单中的被叫号码相关的用户行为数据，而该用户行为数据又包括以该被叫号码为主叫或被叫的通话数据，为了便于区分，在本实施例中，将实时话单中的被叫号码记为用户号码，预设时间内与被叫号码通信的号码为对端号码，对端号码可以主叫用户号码，也可以被叫用户号码。通话数据为用户通话行为数据，包括用户号码、对端号码、通话起始时间、通话时长、呼叫类型、呼叫参考号、对端计费位置区号、对端归属长途区号等。短信数据为用户短信行为，包括用户号码、对端号码、发起时间、结束时间、呼叫类型、消息长度等。基站数据为主叫号码对应的用户的基站数据信息，包含但不限于用户的行动轨迹、行动偏好及工作地、常住地等数据。信令数据为用户的Http数据信息，包含但不限于用户的URL浏览记录，通过DPI设备采集用户上网行为，包含上网时间、网址、上下行流量、用户位置、用户搜索关键词。在DPI数据的基础上，分析APP的使用行为特征，获得用户APP的下载、使用等行为。业务数据为用户所使用的业务信息，包括用户属性、用户过去业务使用情况。

在实际应用中，可以通过通信数据中心获取到用户通信数据，通过基站数据中心获取用户基站数据，通过信令中心获取用户信令数据，通过业务平台获取用户业务数据，根据获取到的用户通信数据，获取与用户通信过的国际号码，再通过通信数据中心获取该国际号码的通话数据。上述这些获取到的数据组成与被叫号码相关的用户行为数据。

本发明实施例提供的通信诈骗识别方法，通过预设时间内与被叫号码相关的通信数据、基站数据、信令数据和业务数据对实时话单进行识别，实现了对第一次出现或仅出现一次的诈骗号码的识别，提高了通信诈骗识别的准确率。

在上述各实施例的基础上，进一步地，所述根据所述用户行为数据生成所述被叫号码的用户行为向量，包括：

预先获取样本受骗用户的用户行为数据样本；

根据所述用户行为数据样本确定受骗用户的行为事件标签；

根据所述行为事件标签确定用户行为向量元素；

根据所述用户行为数据和所述用户行为向量元素确定所述被叫号码的用户行为向量。

首先获取样本受骗用户，受骗用户来源包括两类：一是运营商掌握的诈骗号码黑名单，在数据库中回溯黑名单中诈骗号码的拨打记录并关联后续拨打110的用户，以此确定为受骗用户；二是从公安拿到脱敏后的案情数据中包含的受骗用户，将获取到的受骗用户作为样本受骗用户，有了上一步的样本，可从通话、短信、上网数据仓库中匹配样本用户在受骗期间的日志记录，例如通话对象号码特征、通话时长、银行短信、网银app使用等记录。除了用户受骗期间的行为数据，还可以结合用户非受骗期间的行为偏好，例如用户是否有长途电话、国际电话通话习惯、用户本身的交往圈等信息。根据上述信息获取到用户行为数据样本，然后将用户行为数据样本事件化，确定每条用户行为事件的标签，根据这些标签确定用户行为向量的元素，以行为向量{x1，x2，x3……xn}的形式体现，每组用户行为数据对应一条行为向量，其中x1为用户行为数据是否满足事件1的标签，x2为用户行为数据是否满足事件2的标签，若满足则元素为1，若不满足则为0。向量元素中还包括数据值，例如x3为通话时长，x4为用户年龄等。

例如向量元素x1为主叫号码是否为国际号码，国际号码定义为00、019、014开头并剔除掉001604和00951开头的号码，是国际号码为1，否则为0；x2为主叫号码归属地是否为国内号码，国内号码定义为opp_roam_city_no是否在国内地市维表中，剔除客服类黄页号码，是国内号码为1，否则为0等。其中opp_roam_city_no为对端号码的漫游地，即被叫号码对应的主叫号码的漫游地，假如主叫是一个北京的号码，漫游在上海，则opp_roam_city_no＝021(上海)。

以被叫号码为浙江号码为例，通过分析用户行为数据样本，可以设置包含77个元素的用户行为向量，元素含义如表1所示。

表1用户行为向量元素含义表

其中，A号码为实时话单中的被叫号码，B号码为实时话单中的主叫号码，opp_roam_city_no为对端号码漫游地，opp_home_city_no为对端号码归属地，distinct人数为B号码在一段时间内与浙江用户的通话人数，比如在三小时内，B号码和C用户发生一次通话，和D用户发生一次通话，则B号码的通话人数是2，distinct人数是指去除重复以后的人数。陌生号码是指不在近一个月内的全量交往圈的号码。

根据获取到的被叫号码的用户行为数据和表1所示的元素，可以生成被叫号码的用户行为向量。在实际应用中，由于陌生号码较多，为了方便处理，可以将陌生号码设置为非近一个月内的交往圈TopN的号码，例如非Top20的号码。

例如，通过对实时话单分析，获取到被叫号码的用户行为数据为：用户被00开头的陌生号码或黑名单联系，并且通话时长为500s；然后，与第一通通话结束后50min，与114通话；接下来，与114间隔20min内，用户与其他陌生号码联系(不分主被叫)，通话时间为100s；接下来，用户再一次和陌生号码联系(不分主被叫)，通话时间为120s，该被叫号码的用户行为向量为x1＝1，x19＝500s，x27＝1，x28＝50min，x33＝1，x36＝100s，x40＝120s。通过用户行为向量就可以将被叫号码的用户行为数据量纲化，方便后续分析处理。

本发明实施例提供的通信诈骗识别方法，通过对用户行为数据样本进行分析，确定用户行为向量，并将用户行为数据转换成用户行为向量，使用户行为数据量纲化，提高了通信诈骗识别的准确率。

在上述各实施例的基础上，进一步地，所述预设判断模型池通过下述步骤获得：

根据所述用户行为数据样本获取样本用户行为向量；

根据所述样本用户行为向量确定至少一个判断规则；

根据所述判断规则确定所述判断规则对应的触发条件；

根据所述触发条件和所述判断规则确定判断模型；

根据所述判断模型确定预设判断模型池。

具体地，根据用户行为数据样本和用户行为向量元素确定样本用户行为向量，通过对用户行为数据样本分析，确定出至少一条诈骗规则，例如，诈骗规则包括但不限于以下四种类型：

规则一：首先，用户被00开头的陌生号码或黑名单联系，并且超过400s；然后，与第一通通话结束后1个小时内，与114通话；之后，与114间隔0.5h内，用户与第一个电话，或其他陌生号码联系(不分主被叫)，通话时间大于60秒；再然后，用户再一次和陌生号码联系(不分主被叫)，通话时间大于60秒(陌生号码：非近一个月内的交往圈TOP20的号码。

规则二：首先，用户被00或019开头的陌生号码、或者110结尾(非香港号码00852)呼叫，且通话超过500S，通话开始时间在7:00到18:00之间；然后，在2h内用户被另一陌生特殊号码联系且通话超过800S。其中各限制条件的数据标准为：第一通电话中的陌生号码指不在过去一个月00交往圈内。一个月00交往圈具体指：话单中过去一个月，通话大于300s的‘00’开头号码，或通话次数大于等于5次的‘00’号码。第二通电话中特殊号码是指以下号段开头的号码：'00％'，'400％'，'170％'，'171％'，'147％'，'+％'，'019％'。第二通电话中另一陌生号码是指这个号码与第一通中的号码不同。第二通电话中陌生号码是指过去30天没有出现在被叫人交往圈中。第二通电话中2h内是指第一通电话结束到第二通电话开始，中间间隔时长不能大于2小时。需注意的是：所有香港号码‘00852’都是白名单，不做跟踪判断，其他国际通话判断，用户对端为00的交往圈通话大于等于3次，不做跟踪判断。

规则三：主叫号码符合以下条件的号码：1、00，019,014开头的电话，2、非00852,0086开头的电话，3、后八位与上海公检法的号码一致，4、受害者为被叫，5、通话时长大于300秒，6、00交往圈中，近2两个月与此号码无联系。

规则四：首先，用户被一个陌生00开头的号码拨打，且通话时长大于800S(1.被叫；2.陌生号码；3.00号段开头，排除00852和0086；4.时长大于800S)；然后，电话被转接到另一个上海号码，且通话大于800S(1.陌生号码；2.手机号码或者固话；3.归属地上海；4.时长大于800S；5.与第一通间隔2h内；6.主叫或被叫)；之后，用户继续和第二通电话中的上海号码联系。各限制条件的数据标准为：第一通和第二通电话中的陌生号码：不在当前日期的一个多月交往圈内(如当前日期：1128，则交往圈周期为0901-1127)，提前一周是为了避免最近联系的诈骗号码被当做交往圈。

然后根据该诈骗规则和样本用户行为向量确定至少一个判断规则，并且对每个判断规则设置一个触发条件，其中触发条件为每个判断规则对应的第一个条件，例如某个判断规则的触发条件是向量xi＝1。每个判断规则和触发条件组成一个判断模型，所有的判断模型组成预设判断模型池。

在实际应用中，还可以根据用户行为数据样本的改变，随时更新诈骗规则，并据此设置判断模型。

本发明实施例提供的通信诈骗识别方法，根据判断规则确定预设判断模型池，通过预设判断模型池进行识别，提高了通信诈骗识别的速度和准确率。

在上述各实施例的基础上，进一步地，所述根据所述用户行为向量确定预设判断模型池中与所述用户行为向量相对应的判断模型，包括：

根据所述预设判断模型池中的每个判断模型的触发条件确定所述用户行为向量对应的判断模型。

具体地，获取到被叫号码的用户行为向量后，根据预设判断模型池中每个判断模型的触发条件，判断用户行为向量满足哪个判断模型的触发条件，之后按照模型判断用户行为向量是否满足该判断模型，若满足，则确定实时话单对应的通话为诈骗电话。

本发明实施例提供的通信诈骗识别方法，根据触发条件确定判断模型，通过预设判断模型池进行识别，提高了通信诈骗识别的速度和准确率。

在上述各实施例的基础上，进一步地，所述方法还包括：

若判断获知所述实时话单对应的通话为诈骗电话，则向所述被叫号码发出预警，并将所述主叫号码发送至第三方管理系统。

具体地，识别出实时话单对应的通话为诈骗电话后，向被叫号码发出预警，例如，以短信方式通知用户可能接到诈骗电话，需要提高警惕，另一方面，还可以将主叫号码发送至第三方管理系统，第三方管理系统可以为运营商部门也可以为公安部门，还可以根据第三方管理系统后续反馈的该主叫号码的类别更新判断模型，例如第三方管理系统通过后续侦查反馈的结果是该主叫号码不是诈骗电话，则可以调整诈骗规则，进而更新识别模型，以提高诈骗电话识别的正确率。

本发明实施例提供的通信诈骗识别方法，识别为诈骗电话后，向被叫号码发出预警，及时止损，将电信用户的财产损失降至最低。

图2为本发明实施例提供的通信诈骗识别系统的结构示意图，如图2所示，所述系统包括：通信网关21、数据中心22、编码转换装置23、模型选择装置24和判断装置25，其中：

通信网关21用于获取实时话单，所述实时话单至少包括主叫号码和被叫号码；数据中心22用于若判断获知所述主叫号码满足预设条件，则获取预设时间内与所述被叫号码相关的用户行为数据，所述用户行为数据至少包括与所述被叫号码相关的通信数据、基站数据、信令数据和业务数据；编码转换装置23用于根据所述用户行为数据生成所述被叫号码的用户行为向量；模型选择装置24用于根据所述用户行为向量确定预设判断模型池中与所述用户行为向量相对应的判断模型；判断装置25用于根据所述判断模型确定实时话单对应的通话是否为诈骗电话。

具体地，当被叫号码与主叫号码接通后，实时通话产生，实时通话结束后，产生实时话单，实时话单至少包括主叫号码和被叫号码。一般地，在一起通信诈骗中，通常主叫号码为诈骗者的号码，被叫号码为受害者号码，为了确认用户刚刚结束的通话是否为诈骗电话，首先通信网关21获取实时话单，实时话单包括主叫号码和被叫号码。数据中心22首先判断主叫号码是否满足预设条件，预设条件为预先设置的判断条件，以筛选出哪些实时话单存在异常，需要进一步判断是否为诈骗电话。对于经判断不存在异常的实时话单，可以不进行诈骗电话的判断。对于主叫号码满足预设条件的，获取预设时间内与被叫号码相关的通信数据、基站数据、信令数据和业务数据，然后编码转换装置23将用户行为数据转换成用户行为向量，用户行为向量中的元素代表不同的用户行为数据，这样，每一个实时话单，可转换成一个用户行为向量，之后模型选择装置24根据用户行为向量从模型池中确定相对应的判断模型。例如，用户行为向量相关的判断模型为模型一，则使用模型一对用户行为向量进行判断。然后判断装置25判断若用户行为向量满足其对应的判断模型，则实时话单对应的通话为诈骗电话，若用户行为向量不满足其对应的判断模型，则实时话单对应的通话为正常电话。本发明实施例提供的系统，其功能具体参照上述方法实施例，此处不再赘述。

本发明实施例提供的通信诈骗识别系统，对获取到的满足预设条件的实时话单进行识别，减少了非必要的实时话单的识别，通过预设时间内与被叫号码相关的用户行为数据对实时话单进行识别，实现了对第一次出现或仅出现一次的诈骗号码的识别，提高了通信诈骗识别的时效性。

在上述实施例的基础上，进一步地，所述数据中心包括：

通信数据中心，用于获取预设时间内所述被叫号码的通信数据和与所述被叫号码相关的国际号码的通话数据；

基站数据中心，用于获取预设时间内所述被叫号码的基站数据；

信令数据中心，用于获取预设时间内所述被叫号码的信令数据；

业务平台，用于获取预设时间内所述被叫号码的业务数据。

具体地，通信数据中心保存了用户通话与短信数据。通话数据采集用户通话行为，包括用户号码、对端号码、通话起始时间、通话时长、呼叫类型、呼叫参考号、对端计费位置区号、对端归属长途区号等。短信数据采集用户短信行为，包括手机号码、对端号码、发起时间、结束时间、呼叫类型、消息长度等。基站数据中心保存用户的基站数据信息，包含但不限于用户的行动轨迹、行动偏好及工作地、常住地等数据。信令数据中心保存用户的Http数据信息，包含但不限于用户的URL浏览记录，并通过DPI设备采集用户上网行为的，包含上网时间、网址、上下行流量、用户位置、用户搜索关键词。在DPI数据的基础上，分析APP的使用行为特征，获得用户APP的下载、使用等行为。业务平台记录用户所使用的业务信息，包括用户属性、用户过去业务使用情况。本发明实施例提供的系统，其功能具体参照上述方法实施例，此处不再赘述。

本发明实施例提供的通信诈骗识别系统，通过预设时间内与被叫号码相关的通信数据、基站数据、信令数据和业务数据对实时话单进行识别，实现了对第一次出现或仅出现一次的诈骗号码的识别，提高了通信诈骗识别的准确率。

在上述实施例的基础上，进一步地，所述数据中心还包括：

爬虫设备，用于爬取黑名单；

异常中心，用于判断所述主叫号码是否满足预设条件。

具体地，爬虫设备爬取并保存公开环境中可疑的诈骗号码用作黑名单库，例如根据爬虫规则在特定网站上爬取下来的号码作为黑名单。比如：爬取腾讯博客中仿冒客服的虚假博客，在腾讯博客中搜索博客名带有“支付宝客服电话”的博客，将博客名中附带的电话号码爬取下来，作为黑名单。异常中心判断主叫号码是否满足预设条件，预设条件包括但不限于：(1)主叫号码以特殊号段开头，或主叫号码存在一定规律，如主叫号码末尾为通话当天日期，如主叫号码尾号为0221。(2)主叫号码是通过不同技术手段获得的伪造号码，包括冒充客服、冒充领导、冒充公检法等。冒充客服为虚假客服电话，如冒充支付宝客服、贷款公司客服等；冒充领导为前一天所识别的存在满足一定条件的潜在诈骗电话；冒充公检法为号码后几位与公安固话后几位相同，冒充公安局等。(3)由于正常用户通话时长在相对稳定的一个范围内，若实时话单通话时间超过该范围，可以初步判断该通话存在异常，需要进一步判断是否为正常电话。(4)诈骗电话归属地分布存在一定规律，当主叫号码归属地在特殊城市范围中，或主叫号码漫游地与归属地不一致时，可初步认为通话存在异常。(5)正常用户同一时间点只能与同一对端进行通话，诈骗电话可能在某一时刻与不同号码进行通话，若获知某一时间点主叫号码与多个被叫号码通话，可判断该主叫号码对应的通话为诈骗电话。(6)主叫号码在某一时刻内的短信数据中存在短信发送方号码存在一定规律，一旦主叫号码收到特殊号段短信后，可初步认为主叫号码为潜在受骗用户，对其作为被叫的通话可以进一步判断是否为诈骗电话。本发明实施例提供的系统，其功能具体参照上述方法实施例，此处不再赘述。

在上述各实施例的基础上，进一步地，所述系统还包括：

及时干预服务器，用于若判断获知所述实时话单对应的通话为诈骗电话，则向所述被叫号码发出预警，并将所述主叫号码发送至第三方管理系统。

具体地，以短信方式通知用户可能接到诈骗电话，需要提高警惕，另一方面，还可以将主叫号码发送至第三方管理系统，第三方管理系统可以为运营商部门也可以为公安部门。本发明实施例提供的系统，其功能具体参照上述方法实施例，此处不再赘述。

本发明实施例提供的通信诈骗识别系统，识别为诈骗电话后，向被叫号码发出预警，及时止损，将电信用户的财产损失降至最低。

图3为本发明实施例提供的通信诈骗识别系统的信令图，如图3所示，以判断用户A是否接到诈骗电话为例，通信诈骗识别系统的识别过程包括：

步骤S31，用户A接到国际诈骗电话，提交数据至通信网关；

步骤S32，通信网关提取用户号码及对端号码，向数据中心发送实时话单；

步骤S33，数据中心根据被叫号码和主叫号码获取用户行为数据，并将所得结果输送至编码转换装置；

步骤S34，编码转换装置根据用户行为数据特征，转换成用户行为向量，并将用户行为向量发送模型选择装置；

步骤S35，模型选择装置从模型池中选择出与用户行为向量相应的判断模型，并将判断模型发送至判断装置；

步骤S36，判断装置对用户行为向量进行识别，获得识别结果，并将识别结果为诈骗电话的数据发送至及时干预服务器；

步骤S37，及时干预服务器对接到诈骗电话的用户进行干预，及时止损。

图4为本发明实施例提供的电子设备的结构示意图，如图4所示，所述设备包括：处理器(processor)401、存储器(memory)402和总线403；

其中，处理器401和存储器402通过所述总线403完成相互间的通信；

处理器401用于调用存储器402中的程序指令，以执行上述各方法实施例所提供的方法，例如包括：获取实时话单，所述实时话单至少包括主叫号码和被叫号码；若判断获知所述主叫号码满足预设条件，则获取预设时间内与所述被叫号码相关的用户行为数据，所述用户行为数据至少包括与所述被叫号码相关的通信数据、基站数据、信令数据和业务数据；根据所述用户行为数据生成所述被叫号码的用户行为向量；根据所述用户行为向量确定预设判断模型池中与所述用户行为向量相对应的判断模型；根据所述判断模型确定所述实时话单对应的通话是否为诈骗电话。

本发明实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：获取实时话单，所述实时话单至少包括主叫号码和被叫号码；若判断获知所述主叫号码满足预设条件，则获取预设时间内与所述被叫号码相关的用户行为数据，所述用户行为数据至少包括与所述被叫号码相关的通信数据、基站数据、信令数据和业务数据；根据所述用户行为数据生成所述被叫号码的用户行为向量；根据所述用户行为向量确定预设判断模型池中与所述用户行为向量相对应的判断模型；根据所述判断模型确定所述实时话单对应的通话是否为诈骗电话。

本发明实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法，例如包括：获取实时话单，所述实时话单至少包括主叫号码和被叫号码；若判断获知所述主叫号码满足预设条件，则获取预设时间内与所述被叫号码相关的用户行为数据，所述用户行为数据至少包括与所述被叫号码相关的通信数据、基站数据、信令数据和业务数据；根据所述用户行为数据生成所述被叫号码的用户行为向量；根据所述用户行为向量确定预设判断模型池中与所述用户行为向量相对应的判断模型；根据所述判断模型确定所述实时话单对应的通话是否为诈骗电话。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所描述的系统等实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上各实施例仅用以说明本发明的实施例的技术方案，而非对其限制；尽管参照前述各实施例对本发明的实施例进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明的实施例各实施例技术方案的范围。

Claims

1.一种通信诈骗识别方法，其特征在于，包括：

若判断获知所述主叫号码满足预设条件，预先筛选出实时话单存在异常的主叫号码即为满足所述预设条件，则获取预设时间内与所述被叫号码相关的用户行为数据，所述用户行为数据至少包括与所述被叫号码相关的通信数据、基站数据、信令数据和业务数据；

根据所述用户行为数据生成所述被叫号码的用户行为向量；

2.根据权利要求1所述的方法，其特征在于，所述获取预设时间内与所述被叫号码相关的用户行为数据，包括：

3.根据权利要求1所述的方法，其特征在于，所述根据所述用户行为数据生成所述被叫号码的用户行为向量，包括：

预先获取样本受骗用户的用户行为数据样本；

根据所述用户行为数据样本确定受骗用户的行为事件标签；

根据所述行为事件标签确定用户行为向量元素；

4.根据权利要求3所述的方法，其特征在于，所述预设判断模型池通过下述步骤获得：

根据所述用户行为数据样本获取样本用户行为向量；

根据所述样本用户行为向量确定至少一个判断规则；

根据所述判断规则确定所述判断规则对应的触发条件；

根据所述触发条件和所述判断规则确定判断模型；

根据所述判断模型确定预设判断模型池。

5.根据权利要求4所述的方法，其特征在于，所述根据所述用户行为向量确定预设判断模型池中与所述用户行为向量相对应的判断模型，包括：

6.根据权利要求1-5任一所述的方法，其特征在于，所述方法还包括：

7.一种通信诈骗识别系统，其特征在于，包括：

数据中心，用于若判断获知所述主叫号码满足预设条件，预先筛选出实时话单存在异常的主叫号码即为满足所述预设条件，则获取预设时间内与所述被叫号码相关的用户行为数据，所述用户行为数据至少包括与所述被叫号码相关的通信数据、基站数据、信令数据和业务数据；

8.根据权利要求7所述的系统，其特征在于，所述数据中心包括：

业务平台，用于获取预设时间内所述被叫号码的业务数据。

9.一种电子设备，其特征在于，包括：

存储器和处理器，所述处理器和所述存储器通过总线完成相互间的通信；所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如权利要求1至6任一所述的方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6任一所述的方法。