CN110100429A - 实时检测并防止欺诈和滥用 - Google Patents
实时检测并防止欺诈和滥用 Download PDFInfo
- Publication number
- CN110100429A CN110100429A CN201780079753.8A CN201780079753A CN110100429A CN 110100429 A CN110100429 A CN 110100429A CN 201780079753 A CN201780079753 A CN 201780079753A CN 110100429 A CN110100429 A CN 110100429A
- Authority
- CN
- China
- Prior art keywords
- record
- fraud
- voip
- call
- fraud score
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/22—Arrangements for supervision, monitoring or testing
- H04M3/2281—Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1076—Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/22—Arrangements for supervision, monitoring or testing
- H04M3/2218—Call detail recording
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
- H04M7/0078—Security; Fraud detection; Fraud prevention
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2203/00—Aspects of automatic or semi-automatic exchanges
- H04M2203/60—Aspects of automatic or semi-automatic exchanges related to security aspects in telephonic communication systems
- H04M2203/6027—Fraud preventions
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Technology Law (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种用于实时检测和防止PSTN欺诈和滥用的系统和方法,包括欺诈检测引擎和呼叫管理引擎。该系统包括至少一个用户记录、至少一个呼叫数据记录、至少一个欺诈分数记录、以及至少一个补救记录。呼叫管理引擎使得用户能够建立到目的地电话号码的VoIP呼叫连接。欺诈检测引擎筛选VoIP呼叫连接以检测潜在的欺诈并在检测到潜在欺诈时生成欺诈记录和补救记录。欺诈检测引擎另外可以指示呼叫管理终止VoIP呼叫连接。
Description
背景技术
使用互联网协议语音(VoIP)技术的通信服务(例如)能够从互联网连接设备(例如计算机和智能电话)向公共交换电话网(PSTN)内的电话号码进行呼叫。然而,此类能力也为不道德的用户提供了参与欺诈的机会。由于用户可以使用最少的文档来注册呼叫服务,因此他们可以使用呼叫服务的现成可用性来参与欺诈性方案,这会给呼叫服务的用户和运营商带来巨大的成本。
VoIP服务提供商(例如用于商业语音的)可能会暴露于其呼叫功能的欺诈和滥用使用中,这会显著降低可盈利性。VoIP用户支付的费用必须足以抵消VoIP提供商支付的费用,并使VoIP提供商获利。每当客户使用VoIP服务对PSTN电话号码进行呼叫时,客户会产生两种类型的成本:所谓的“终止成本(termination cost)”,这是连接呼叫的一次性费用;以及当呼叫处于活动时持续的每分钟成本。外国目的地号码的终止成本可能远远大于国内目的地号码的终止成本。对于统一费率的分钟封顶计划,服务提供商通常承担这些成本并收取足够高的服务费,以便在扣除成本后获利。对于每分钟付费计划,所谓的“租户”(即,具有针对多个用户的统一计费账户的组织)通常承担这些成本并向服务提供商支付额外费用。对于VoIP服务的提供商和合法用户而言,VoIP服务的欺诈和滥用使用的成本很高,因为VoIP连接引起的成本通常是不可退款的,即使稍后发现该连接是出于不正当目的做出的。还将意识到,当提供免费号码时,欺诈或滥用使用也可以应用于传入呼叫。本文所描述的系统同样适用于筛选(screen)传入的VoIP呼叫。
在以固定费用计划向用户提供VoIP服务的情况下,VoIP提供商仅在从用户接收到的固定费用超过在相应的固定费用时段期间操作该用户的VoIP连接的总成本时才获利。固定费用计划的欺诈极具破坏性,因为欺诈性VoIP连接引起快速消耗VoIP提供商利润率的费用。替代地,可以在每分钟的基础上向用户提供VoIP服务。在每分钟计划中,用户针对VoIP连接打开的每一分钟向VoIP提供商支付费用。用户向VoIP提供商支付的每分钟费用高于VoIP提供商支付的每分钟费用,以允许VoIP提供商实现利润。每分钟计划的欺诈产生向用户收取的未经授权的每分钟费用,这往往会损害VoIP提供商与用户的客户关系。用户通常要求退还未经授权的费用,VoIP提供商通常必须这样做以确保客户满意度。因此,VoIP提供商将承担对第三方应付的费用以及对用户不正当引起的费用。
可以实现欺诈的一种方式是通过所谓的“分钟泵送(minute-pumping)”方案。在分钟泵送方案中,不良行为者首先建立收益分享电话号码,例如900区域代码中的美国电话号码。当拨打收益分享电话号码时,在呼叫期间产生的费用的一部分与登记该号码的一方(例如,在分钟泵送方案中的不良行为者)共享。被盗的信用卡信息或其他不正当手段可能被不良行为者用于在呼叫服务(例如)上注册一个或多个账户。例如,被盗的信用卡信息用于在Office服务中注册一个或多个租约,并获得被分配给一个或多个用户(每个租约)的一个商业语音许可。随后向特定的PSTN提供商注册收益分享电话号码。对于终止成本和每分钟成本,不良行为者将获得一部分利润。这些帐户中的每个账户用于重复地呼叫收益分享号码,从而产生呼叫费用。除了保持打开呼叫连接以产生费用之外,每个欺诈性呼叫都没有任何目的;呼叫的内容很可能是沉默。VoIP提供商只需处理连接产生的费用以及通常从合法用户收取的任何费用。例如,当不良行为者使用多个用户帐户/租约来尽可能多地呼叫该号码时,VoIP服务提供商最终必须向收益分享PSTN提供商支付费用,以及退款到信用卡公司以支付用于购买帐户服务的欺诈性费用。对于二十(20)个座位/用户的单一租约,不正当的呼叫很容易使PSTN服务提供商花费从大约20,000美元到超过100万美元(取决于他们是使用国内还是国际目的地)。
替代地,个人可以参与滥用以其它方式经授权的VoIP用户帐户。滥用与分钟泵送的不同之处在于,即使所产生的费用未经授权,所涉及的呼叫连接也能实现实际通信。例如,大公司的员工可能被授权通过公司的呼叫服务帐户进行国际呼叫,作为其工作职责的一部分。该大公司具有包括用于国际呼叫的“钱包”(即,余额)的租约。然而,该员工可能不正当地使用这些呼叫权限每天向遥远国家(例如,高终止成本国际地点)的朋友和亲戚打电话,并且以此方式该员工滥用该帐户,从而产生针对公司账户的显著呼叫收费。如果用户的帐户已被不良行为者或其他未经授权的实体接管,则该场景可与前一场景结合。随后租户迅速用尽钱包,并且要么拒绝所有国际呼叫,要么利用来自支付工具的资金自动刷新钱包。随后公司和VoIP提供商需要支付呼叫费用,其中租户管理员/公司感到愤怒,因为PSTN服务提供商没有通知他们单个用户正在消耗大量的余额。
对于每分钟VoIP计划的组织,VoIP欺诈可能特别具有破坏性。VoIP服务(例如用于商业的)可以提供由组织预先资助的组织计费账户(例如,“钱包”)。当通过组织的VoIP帐户做出欺诈性或未经授权的VoIP连接时,这些连接可能会完全耗尽帐户中的资金,此时VoIP呼叫将在组织范围内被禁用。在正常的VoIP呼叫恢复之前,该组织可能会损失显著的时间、金钱和潜在的业务。替代地,如果“钱包”功能可能具有“自动重新填充”自动支付功能,则欺诈性VoIP连接可能无限期地产生费用,直到租户或VoIP服务提供商注意到欺诈为止。
已经提出了用于检测和防止PSTN欺诈和滥用的不同类型的系统和方法。然而,此类系统和方法具有其局限性并且总是可以改进。
因此,需要一种用于实时检测和防止PSTN欺诈和滥用的系统和方法。还需要一种不仅仅依赖于固定规则来确定VoIP连接是否可能是欺诈性的、用于检测和防止PSTN欺诈和滥用的系统和方法。另外需要一种筛选VoIP呼叫连接以检测潜在欺诈的、用于检测和防止PSTN欺诈和滥用的系统和方法。还需要一种采用机器学习来连续地适应用户的变化模式、同时检测和防止PSTN欺诈和滥用的用于检测和防止PSTN欺诈和滥用的系统和方法。仍然需要一种在时间上接近于检测到PSTN欺诈和滥用时终止现有呼叫连接的、用于检测和防止PSTN欺诈和滥用的系统和方法。
发明内容
本文所示出的用于检测和防止PSTN欺诈和滥用的系统和方法实时地防止PSTN欺诈和滥用。本文所示出的用于检测和防止PSTN欺诈和滥用的系统和方法不仅仅依赖于固定规则来确定VoIP连接是否可能是欺诈性的。本文所示出的用于检测和防止PSTN欺诈和滥用的系统和方法筛选VoIP呼叫连接以检测潜在的欺诈。本文所示出的用于检测和防止PSTN欺诈和滥用的系统和方法采用机器学习来检测和防止PSTN欺诈和滥用。本文所示出的用于检测和防止PSTN欺诈和滥用的系统和方法在检测到PSTN欺诈和滥用时终止呼叫连接。
本发明的一个实施例通过用于实时(例如,在欺诈/滥用活动仍在进行时与该活动的发起在时间上紧邻)检测和阻止PSTN欺诈/滥用的流水线来说明,这符合基于云的服务(例如,Office 365服务)的法律和合规性要求。本发明的系统针对每个VoIP连接生成使用记录。每个使用记录包括关于连接的各种属性的信息(每个“维度”),例如呼叫持续时间、目的地号码、以及始发用户。可以基于一个或多个维度来聚合使用记录。使用记录的聚合有助于通过预先定义的规则和机器学习模型来检测欺诈和可疑使用。在检测到可疑/欺诈行为时,可以做出自动化决定(例如,终止呼叫),或者可以将可疑活动传递给人类欺诈筛选者以供进一步审查。本发明的实施例通过实现实时检测和防止欺诈来克服现有技术系统的限制。通过将欺诈检测过程应用于正在进行的VoIP连接并将机器学习技术并入这些过程,将显著减少欺诈和滥用。
本发明的实施例实时地运行规则,触发事件,例如呼叫开始、呼叫结束、以及呼叫标记(例如,周期性地发生呼叫标记,例如,每分钟、在呼叫的整个持续时间)。这使得能够在时间上接近于欺诈行为开始(例如,在1-2分钟内)进行阻止。
除了提供用于检测公然的欺诈和可疑行为的硬编码规则之外,还利用机器学习模型来对欺诈/滥用的可能性进行检测和评分,包括异常检测先前未检测到的模式。
利用使用记录来动态构建数据仓库(即,创建VoIP连接时),基于与欺诈和滥用的检测相关的维度(例如,进行呼叫的用户或租户、目的地PSTN电话号码、电话号码所位于的地区或国家)来聚合这些使用记录。这转而使PSTN服务提供商能够每分钟运行数千个高效查询,以实时运行机器学习模型和硬编码规则。
整个基础设施可以使用基于云的技术(例如,Azure云平台)来构建以供缩放,这实现了成本节省,因为在非高峰时段可以缩小规模并且在高峰时段可以扩大规模。
虽然用于欺诈和滥用检测的数据可能主要来自使用记录,但其他数据源也可以提供关于用户和租户的相关信息,包括非PSTN信息(例如,租户持有的Microsoft Exchange许可证数量),这提供了用于确定给定的VoIP使用模式是否异常且可能是欺诈性的另外度量。
通过使用来自其他服务的数据以跨多个服务(例如,Office 365、Xbox.com等)找到重复欺诈者,可以另外地在VoIP帐户的注册阶段检测到欺诈。
类似地,本发明的实施例允许VoIP服务提供商遵守针对隐私和数据保护的所有法律/地理要求和其他(例如,Office 365)要求。
本发明的实施例包括用于实时检测和防止与PSTN电话号码的VoIP连接的欺诈和滥用的系统和方法。
本发明的实施例包括至少一个用户记录。每个用户记录对应于用户并且可以包括用户的标识信息。作为说明而非限制,这种标识信息可以包括:用户的用户名;用户的完整法定名称;用户的帐单邮寄地址;用户的电子邮件地址;以及用户的唯一识别码。
本发明的实施例包括至少一个呼叫记录。每个呼叫记录对应于VoIP连接。每个呼叫记录包含与确定相应的VoIP连接是否可疑有关的信息。作为说明而非限制,每个呼叫记录可以包括:进行呼叫的用户的身份;被呼叫的电话号码;呼叫开始的时间;呼叫结束的时间;以及呼叫是否被视为可疑。
本发明的实施例包括欺诈检测引擎。该欺诈检测引擎分析VoIP连接以确定呼叫是否可疑。在检测到可疑呼叫时,欺诈检测引擎可以触发关于该呼叫的进一步动作,例如自动终止呼叫或由人类欺诈筛选者审查该呼叫。欺诈检测引擎可以是驻留在计算机存储器中并由处理器执行的一组计算机指令。在分析呼叫时,检测引擎可以分析该呼叫的各种属性以确定该呼叫是否可疑。作为说明而非限制,所分析的属性可以包括:进行呼叫的用户的身份;被呼叫的号码;适用于呼叫的费用;以及用户之前进行的呼叫是否被认为是可疑的。检测引擎可以应用预先确定的规则、机器学习技术或其组合来确定呼叫是否可疑。作为说明而非限制,预先确定的规则可以针对特定用户指定:至特定国家、地区代码或区域代码的呼叫自动被认为是可疑的;在一天中的特定时段内进行的呼叫自动被视为是可疑的;或者持续时间超过特定长度的呼叫自动被视为是可疑的。机器学习技术可以包括异常检测过程、监督学习过程或其组合。作为说明而非限制,对于VoIP连接,异常检测过程可以:将拨打的电话号码的国家代码、地区代码或区域代码与用户先前拨打的电话号码进行比较;如果用户先前没有拨过该国家代码、地区代码或区域代码,则认为该呼叫是可疑的。作为说明而非限制,监督学习过程可以接受由人类欺诈筛选者标记为可疑的呼叫的输入使用记录。检测随后将这些使用记录用作可疑呼叫的示例。
欺诈检测引擎可以在呼叫持续时间期间多次分析VoIP连接。每个分析可以由预先定义的事件触发,例如呼叫持续时间中每分钟的开始。通过定期重新分析正在进行的呼叫,可以在呼叫仍在进行时将其视为可疑。作为说明而非限制,当在呼叫中仅经过五分钟时,可能不会认为引起高每分钟费用的呼叫是可疑的,但是在一小时过去之后该呼叫可能被认为是可疑的。
提供本发明内容以用简化形式引入一些概念,这些概念以下在详细描述中进一步描述。本发明内容并非旨在标识所要求保护的主题内容的关键特征或必要特征,也并非旨在用作帮助确定所要求保护的主题内容的范围。通过以下结合附图的更详细描述,其他特征和优点将变得显而易见,附图通过示例的方式示出了本发明的原理。
附图说明
现在将参考各种实施例的附图强调突出有利特征来详细讨论各种本发明的实施例。所示出的实施例旨在说明而不是限制本发明。这些附图包括以下附图,其中相似的附图标记指示相似的部件:
图1是示出了本发明一个实施例的组件的图;
图2示出了用于存储关于VoIP连接的记录的可能数据库模式;
图3是示出了用于欺诈检测的可能过程的流程图;
图4是示出了用于对使用记录进行聚合并对这些记录执行欺诈检测的可能过程的流程图;以及
图5示出了用于聚合数据记录的可能结构。
具体实施方式
以下详细描述参考附图描述了本发明的实施例。在附图中,附图标记标示本发明的实施例的元素。下面结合对相应附图特征的讨论再现这些附图标记。
作为初步说明,可以使用软件、固件、硬件(例如,固定逻辑电路)、或这些实现方式的组合来实现参考附图描述的任何实施例。如本文所使用的术语“逻辑”、“模块”、“组件”、“系统”和“功能”通常表示软件、固件、硬件、或这些元件的组合。例如,在软件实现方式的情况下,术语“逻辑”、“模块”、“组件”、“系统”和“功能”表示当在一个或多个处理设备(例如,CPU、各CPU或处理器)上执行时执行指定任务的程序代码/指令。程序代码可以存储在一个或多个计算机可读存储器设备中的各位置,例如随机存取存储器、光盘驱动器或其等效物。
更一般而言,所示出的逻辑、模块、组件、系统和功能到不同单元的分离可以反映软件、固件和/或硬件的实际物理分组和分配,或者可以对应于由单个软件程序、固件程序和/或硬件单元执行的不同任务的概念分配。所示出的逻辑、模块、组件、系统和功能可以位于单个站点(例如,如由单个处理设备实现),或者可以分布在多个位置并通过网络互连。
术语“机器可读介质”等等是指用于以任何形式保留信息的任何种类的非暂时性介质,包括各种存储设备(磁、光、静态等等)。机器可读介质还包括用于表示信息的暂时性形式,包括用于将信息从一个点发送到另一个点的各种硬连线和/或无线链路。
本文所公开的实施例可以实现为计算机进程(方法)、计算系统、或者实现为制品,例如计算机程序产品或非暂时性计算机可读介质。计算机程序产品可以是计算机存储介质,可由计算机设备读取,并且编码有用于执行计算机进程的指令的计算机程序。计算机程序产品还可以是载波上的传播信号,可由计算系统读取,并且编码有用于执行计算机进程的指令的计算机程序。
下面描述的系统和过程适用于即将到来的云计算环境。云计算涉及在计算资源与其底层技术架构(例如,服务器、存储、网络)之间提供抽象的计算能力,从而实现对能够快速提供的可配置计算资源的共享池的方便、按需网络访问,并以最少的管理工作或服务提供商互动释放。术语“云”旨在指代互联网,并且云计算允许共享资源(例如,软件和信息)按需可用,如公共设施。
典型的云计算提供商在线提供通用业务应用,可以从另一web服务或软件(如web浏览器)访问该通用业务应用,而软件和数据远程存储在服务器上。云计算架构使用分层方法来提供应用服务。第一层是在客户端计算机上执行的应用层。在该示例中,应用允许客户端访问云存储。在应用层之后是云平台和云基础设施,之后是“服务器”层,该“服务器”层包括为特定于云的服务设计的硬件和计算机软件。
用于实时检测和防止PSTN欺诈和滥用的系统和方法包括欺诈检测引擎和呼叫管理引擎。呼叫管理引擎使得用户能够建立到目的地电话号码的VoIP呼叫连接。欺诈检测引擎筛选VoIP呼叫连接以检测潜在的欺诈,并在检测到潜在欺诈时生成欺诈记录和补救记录。欺诈检测引擎还可以指导呼叫管理终止VoIP呼叫连接。
如下所述,已经开发了高度优化(针对查询)的数据库以包含所有使用记录。这包括聚合数据记录、缓存的租户/用户信息、以及由系统生成和使用的特定记录,例如阻止列表、监视列表和安全列表。
使用一种获得由PSTN路由基础设施遵循的各种前缀/租户/用户/电话号码的阻止列表的方法。实现这一点的一种方式是提供应用编程接口(API),通过该API可以查询和缓存阻止列表,而另一种方法是提供高度可用的API以实时查询。又一种方法是提供对PSTN路由基础设施的直接数据库访问。
已经开发了一种使用记录监听器,该监听器可以接收/轮询新的呼叫数据记录(CDR)或正在进行的使用记录(例如,由于正在进行的呼叫的“标记”)。替代地,调解呼叫的基础设施可以将数据直接插入数据库。
可以确定一组机器学习特征,该组机器学习特征用作可疑/欺诈/滥用行为的指示符。这些指示符可以包括绝对值(例如,租户类型、租户年龄、许可用户数量、租户支付方法)和时间值(例如,某一时间段内(例如在最近的二十四小时/七天/等等期间)的出站呼叫的总持续时间,该时段内的平均呼叫持续时间、该时段内的呼叫持续时间的标准差)。基于所定义的特征来构建各种机器学习模型,并在识别出欺诈或滥用VoIP连接的经验证示例时更新这些机器学习模型并用于训练机器学习系统。
开发了一种处理流水线,该处理流水线运行各种呼叫结束活动,包括但不限于:利用来自原始使用记录的值对聚合数据进行更新;收集关于呼叫中所涉及的租户和用户的数据(如果该租户或用户的缓存不新鲜);针对机器学习模型已经开发的每个维度收集机器学习特性;对照特征来运行所有机器学习模型,并对照数据库来运行所有规则,所有这些都输出推荐(例如,是否忽略、阻止和/或传递给欺诈操作人员);处理所有推荐;基于建议来采取动作以及并将机器学习特征和所有分数/推荐上传到数据库,以供进一步调谐机器学习模型和开发新的机器学习模型。
已经开发了一种处理流水线,该处理流水线运行以下呼叫开始和呼叫标记活动,包括但不限于:检测是否应该评估租户/用户/电话号码(基于若干因素,这主要是用于限制验证);收集关于呼叫中所涉及的租户和用户的数据(如果该租户或用户的缓存不新鲜);对照数据源来运行所有正在进行的租户/用户/等等的评分规则,所有这些都应该输出推荐(例如,是否忽略、阻止和/或传递给欺诈操作人员);处理所有推荐,采取最苛刻的推荐并执行来自推荐的动作;将机器学习特征和所有分数/推荐上传到大数据源,以供进一步调谐机器学习模型并开发新的机器学习模型。该信息还用于开发供欺诈操作人员使用的用户界面(UI),以审查由流水线检测到的可疑行为。在欺诈操作人员做出决定并相应地采取动作之后,记录所有与UI相关的数据以供稍后的审计并利用多因素认证系统来保护。
参考图1,本发明可以被示为系统。该系统可以包括VoIP服务器100、欺诈检测引擎200、以及调查服务器300。应该意识到,服务器和欺诈检测引擎被单独调出以提高清晰性;然而,这些功能可以是分布在典型云计算组织中的多个物理设备和虚拟设备上的一个物理服务器或虚拟服务器的一部分。VoIP服务器100可以连接到网络120。作为说明而非限制,网络120可以是互联网,或者替代地,是服务特定组织的局域网(“LAN”)。网络120进而包括至少一个VoIP设备,其可以是能够做出VoIP连接的任何设备。作为说明而非限制,VoIP设备可以是VoIP电话130a,或移动电话,例如智能电话130b、计算机130c、或具有附连的常规(即,非VoIP)电话130e的VoIP适配器130d。
如图1中所示出的,VoIP服务器100可以与每个VoIP设备通信。VoIP服务器100另外可以与欺诈检测引擎200通信,并且与调查服务器300通信,这些设备也可以彼此通信。任何一对上述设备之间的通信可以通过合适的网络连接进行。作为说明而非限制,合适的网络连接可以是以太网连接、Wi-Fi连接或蜂窝连接。每个网络设备可以指示另一网络设备通过API进行至少一个动作。作为说明而非限制,API可以指示网络设备发起或终止VoIP连接;查询数据库并响应于查询而返回记录;或者在数据库内添加或修改记录。
VoIP服务器100、欺诈检测引擎200和调查服务器300均独立地包含存储器设备和处理器。如上面提到的,这些单元可以是一个或多个物理或虚拟设备的一部分或者是分布式设备。每个存储器设备可以是任何形式的非易失性存储器。作为说明而非限制,存储器设备可以是硬盘驱动器或固态驱动器。每个存储器设备包含与系统内相应服务器的角色相关的机器指令,并且每个处理器能够执行那些指令。每个存储器设备另外包含与相应服务器的功能相关的记录。
本领域技术人员将认识到,系统不需要具有图1中所示出的确切配置以有效地检测和阻止欺诈性VoIP连接。虽然VoIP服务器100、欺诈检测引擎200和调查服务器300在图1中被描绘为单独的机器,但由每个相应机器执行的功能可以在更多或更少数量的机器之间划分。作为说明而非限制,每个阻止记录314a可以存储在与调查服务器300分开的服务器上,以使得对阻止记录的查询由专用处理器来处理。作为说明而非限制,可以将欺诈检测引擎200的功能与调查服务器300的功能组合在单个机器中。本领域技术人员将认识到,可以调整功能和记录跨硬件设备的确切分布,以适应实时操作欺诈检测过程的性能要求。例如,该系统可以使用分布式计算平台(即,“大数据”平台)来实现,例如平台。在分布式计算平台上,由调查服务器300(或所示出的任何服务器)保存的记录可以跨多个不同的存储器设备分布。分布式计算平台可以利用所谓的“处理流水线”来适应针对大量VoIP连接的欺诈检测过程的执行。例如,处理流水线可以包含并行运行的欺诈检测引擎200的多个实例,其中每个实例具有其自己的存储器设备和处理器。本领域技术人员将认识到,各种商业上可获得的数据库适合于存储该系统的记录。作为说明而非限制,合适的数据库包括和SQL
参考图2,调查服务器300可以在其存储器设备内存储关于系统用户、由这些用户进行的VoIP连接以及被认为是欺诈性或滥用的VoIP连接的记录。这些记录可以存储在数据库内,对于该数据库,图2中示出了可能的模式。数据库可以包括至少一个用户记录111a、至少一个租户记录112a、至少一个使用记录113a、至少一个欺诈得分记录312a、至少一个调查记录311a、至少一个补救记录313a、以及至少一个阻止记录314a。
每个用户记录111a对应于被授权使用该系统进行VoIP连接的个人。每个用户记录111a可以包括唯一用户标识符(“UserId”)、相应的用户名(“Username”)、以及创建用户的日期(“CreationDate”)。在通常的实现方式中,用户附属于租户,并且如果用户附属于租户,则用户记录111a可以另外包括相应的唯一租户标识符(“TenantId”)。
每个租户记录112a对应于租户。每个租户记录112a可以包括唯一租户标识符(“TenantId”)、租户名(“TenantName”)、租户的地理位置(“TenantLocation”)、租户被授权维护的最大用户数(“LicensedUserCount”)、以及创建租户的日期(“CreationDate”)。将意识到,对用户和租户记录的这种解释仅仅是排列数据的一种可能方式,并且以这种格式呈现以便于理解操作。用户记录固有地包含对用户所属的租户记录的引用,并且每个租户记录可以包含对其所有组成用户的引用。可以组合两个记录或以不同方式分离组成信息。
每个使用记录113a对应于使用该系统进行的VoIP连接。每个使用记录可以包括唯一使用标识符(“UsageId”)、VoIP连接到达的PSTN电话号码(“DestinationNumber”)、呼叫的开始时间(“CallStartTime”)、呼叫的结束时间(“CallEndTime”)、终止费(“TerminationFee”)、以及每分钟成本(“PerMinuteRate”)、以及结束VoIP连接的原因(例如,用户自愿结束呼叫或在检测到欺诈或滥用之后强制结束)。
每个欺诈分数记录312a对应于由系统生成的欺诈分数,该分数量化特定VoIP连接是欺诈性或滥用的可能性。每个欺诈分数记录312a可以包括唯一分数标识符(“FraudScoreId”)、用于生成欺诈分数的固定规则或机器学习技术的名称(“FraudScoreBasis”)、分数本身(“CurrentScore”)、以及相应VoIP连接的唯一标识符(“UsageId”)。如果欺诈分数足够高(如由预设阈值确定的)以触发对VoIP连接的调查,则欺诈分数记录312a可以包括唯一调查标识符(“InvestigationId”)。
每个调查记录311a对应于系统发现特定的VoIP连接足够可疑以保证对欺诈或滥用的另外调查。每个调查记录311a可以包括唯一调查标识符(“InvestigationId”)、被识别为可疑的VoIP连接的属性(“SuspiciousAssetType”)、与该属性相对应的唯一标识符(“SuspiciousAssetValue”)、以及创建调查的时间(“TimeCreated”)。如果建议特定的补救动作来解决可疑的VoIP连接,则也可以包括建议的补救动作(“SuggestedRemediation”)。
每个补救记录313a对应于特定的补救动作。每个补救记录313a可以包括唯一补救标识符(“RemediationId”)、补救动作(“RemediationAction”)、以及相应调查的唯一标识符(“InvestigationId”)。
每个阻止记录314a对应于对创建另外的VoIP连接的限制(“block(阻止)”)。每个阻止记录314a可以包括唯一阻止标识符(“BlockId”)、相应补救的唯一标识符(“RemediationId”)、创建阻止的时间(“CreationTime”)、以及阻止计划结束的时间(“EndTime”)。
实际上,每个阻止记录314a可以更具体地是前缀阻止记录314b、用户阻止记录314c、或租户阻止记录314d。每个前缀阻止记录314b包括另外的VoIP连接被阻止的国家代码、地区代码或其组合(“BlockedPrefix”)。每个用户阻止记录314c包括被阻止用户的唯一标识符(“UserId”)。每个租户阻止记录314d包括被阻止租户的唯一标识符(“TenantId”)。
每个筛选结果记录315a对应于人类欺诈筛选者对使用记录113a的审查。每个筛选结果记录315a可以包括唯一筛选结果标识符(“ScreeningResultId”)、相应调查的唯一标识符(“InvestigationId”)、筛选者的名称(“ScreenerName”)、关于VoIP连接的注释(“ScreeningNotes”)、以及筛选结果(“ScreeningDecision”),例如连接是否是欺诈性的。
本领域技术人员将认识到,可以将标识符字段指定为允许数据库索引的主键。本领域技术人员将认识到,可以将标识符字段指定为外键,以便于在查询中交叉引用记录。这些数字仅是为了实现高速筛选而索引的一些字段的示例;运行的系统可以包括许多另外的字段。
系统检测异常呼叫行为以查明欺诈或滥用。呼叫数据(用户、呼叫的号码、呼叫持续时间等等)是该过程的原材料。然而,存在若干不同的方式对这些数据进行分组以便于检测过程。一种方法是主要查看用户(例如,被呼叫号码的位置、以及呼叫历史,包括呼叫持续时间和呼叫发起时间)。另一种方法是主要关注租户(一组个人用户);分析特定呼叫的数据是否符合由特定租户做出的所有呼叫的整体模式。查看用户和租户两者的组合方法可能更有效。例如,如果特定用户通常拨打拉丁美洲的短途电话但突然开始拨打长途电话到东欧,则如果仅查看用户,将会怀疑异常。然而,如果租户作为整体通常会混合拨打至拉丁美洲的短电话和至东欧的长途电话,则用户的行为可能不再显得异常。
参考图3,欺诈检测过程在步骤401中开始于VoIP连接事件。作为说明而非限制,VoIP连接事件可以是VoIP连接的开始(“呼叫开始”事件)或定期触发事件(“呼叫标记”事件)。如果VoIP连接事件是呼叫开始事件,则在步骤402中,针对VoIP连接创建使用记录113a。随后执行查询以确定阻止记录314a是否适用于VoIP连接。如果找到适用的阻止记录314a,则该过程前进通过分支403a并在步骤410中终止VoIP连接。如果没有找到适用的阻止记录314a,则该过程继续通过分支403b到达步骤404。
尽管在实际实践中,系统默认应用欺诈检测过程404。然而,系统可以被配置为:在步骤404中“决定”是否将执行欺诈检测过程。系统可以放弃欺诈检测以节省处理资源。如果欺诈检测步骤不操作,则该过程前进通过分支404b,并在下一VoIP连接事件时返回到步骤401。通常,该过程前进通过分支404a到达步骤405。
在步骤405中,计算欺诈分数,并生成相应的欺诈分数记录312a。如果已经存在针对VoIP连接的欺诈分数记录312a,则可以利用新计算的欺诈分数来对记录进行更新。
将在步骤406中计算的欺诈分数与阈值分数进行比较。如果欺诈分数超过阈值分数,则该过程前进通过分支406a到达步骤407。如果欺诈分数未超过阈值分数,则该过程前进通过步骤406b并在下一VoIP连接事件时返回到步骤401。作为说明而非限制,欺诈分数可以是零或更大的数值,其中较大的值表示相应较高程度的可疑性。例如,VoIP连接可以开始于零欺诈分数,该分数随着可疑行为的每个实例的检测而增加。固定规则可以指定到具有特定国家代码的目的地号码的VoIP连接将其欺诈分数增加值1。如果进行VoIP连接的特定用户具有可疑活动的历史,则机器学习技术可以指定欺诈分数应该进一步增加值2,从而将欺诈分数提高到3。例如,如果阈值分数被设置为2,则VoIP连接将被视为可疑,并且可以采取由系统进行的进一步动作(例如,立即阻止或由人类欺诈筛选者进行审查)。本领域技术人员将认识到,由每个固定规则或机器学习技术分配的特定欺诈分数值以及阈值分数可以取决于使用系统的特定环境而变化。例如,可以使用欺诈分数的非整数值。每个规则或模型均有自己的阈值以用于确定某一内容是否可疑,并且每个规则或模块彼此隔离地运行。通常,一条规则的分数对另一条规则的分数没有影响。然而,可能的实现方式包括查看其他分数、并基于所有分数高于某个标准化阈值(例如,在其阈值的90%处)来做出推荐的元规则。规则可以是完全独立的,或者可以是相互关联的或相互依赖的,并且可以使其结果、阈值或操作受到整个系统行为的影响。
在步骤407中生成调查记录311a。在步骤408中达成关于补救的决定。如果认为不需要补救(例如,VoIP连接的欺诈分数未超过阈值分数),则系统通过分支408b恢复到步骤401。实际上,无补救决定意味着VoIP连接不够可疑以保证另外的动作。如果在步骤408中确定需要补救,则该过程前进通过分支408a到达步骤409。作为说明而非限制,系统可以在步骤409中同时生成补救记录313a和阻止记录314a。如果启用对可疑VoIP连接的自动阻止(即,在没有另外人工审查的情况下发生的阻止),则通常将是这种情况。替代地,可疑的VoIP连接可以被人类欺诈筛选者标记为可疑,该人类欺诈筛选者单独建议阻止VoIP连接。在该情况下,将单独地生成补救记录313a和阻止记录314a。在步骤410中终止VoIP连接。在步骤411中对使用记录113a进行更新以反映连接的终止并进行存储。
当然,所有这些过程都是异步运行的,以使得客户的呼叫从不会被处理中断。在连接呼叫之前,进行检查以确保用户或租户(或被呼叫号码)不在阻止列表中,以使得假如存在此类阻止则甚至不进行连接。
参考图4,欺诈检测可以包括对固定规则和/或机器学习技术的应用。欺诈检测在步骤501中开始于创建新的使用记录113a。在发起VoIP连接时创建使用记录113a。一旦创建,就可以在每个呼叫标记事件处更新使用记录113a,以反映关于正在进行的VoIP连接的最新信息(例如,最近的呼叫标记事件的呼叫持续时间)。可以在步骤502中创建使用记录113a的存档副本以用于长期存储。基于使用记录113a的欺诈检测过程可以在呼叫完成之后或者在呼叫正在进行时运行(例如,图3的404-405)。对在呼叫完成之后运行与在呼叫正在进行时运行的选择可以基于系统性能和负载。流水线的缩短版本可以用于捕获滥用,例如在呼叫正在进行时过长的呼叫或大量的并发呼叫。
来自使用记录113a的租户信息可以用于在步骤503a中对租户聚合记录进行更新。在步骤503b中组装用于租户的至少一个机器学习模型。在步骤503c中,将机器学习模型应用于租户聚合记录以创建欺诈分数。
来自使用记录113a的用户信息可以用于在步骤504a中对用户聚合记录进行更新。在步骤504b中组装用于用户的至少一个机器学习模型。在步骤504c中,将机器学习模型应用于用户聚合记录以创建欺诈分数。
来自使用记录113a的电话号码信息可以用于在步骤505a中对电话号码聚合记录进行更新。在步骤505b中组装用于电话号码的至少一个机器学习模型。在步骤505c中,将机器学习模型应用于电话号码聚合记录以创建欺诈分数。提高系统性能的一种方式是利用针对某些大型资产类型(例如租户和地区)组合多个呼叫的“分组”方法来替换对每个已完成呼叫的欺诈评估。例如,如图4的前两行所示出的执行对使用记录的初始处理,但是直到呼叫完成之后(最多达五分钟之后)才针对租户聚合、ML特征提取或欺诈评分(最多五分钟之后)执行第三行及以后的处理。这允许针对“良好跟踪记录”的已建立客户端的有效检测。然而,对于全新的租户来说,整个流水线每次都在运行,因为它们或多或少处于“试用”状态。
除了至少一种机器学习技术之外,还可以将至少一个固定规则应用于使用记录113a。可以在步骤506a中应用关于租户的固定规则。可以在步骤506b中应用关于用户的固定规则。
在步骤507中,可以通过资产类型(即,用户、租户或电话号码)来聚合在步骤503-506中计算的欺诈分数。对于每种资产类型,在步骤508中将欺诈分数与阻止阈值进行比较。如果欺诈分数超过阻止阈值,则过程前进到步骤509。如果欺诈分数未超过阻止阈值,则过程前进到步骤511。将意识到,可以取决于包括机器学习模型的自动阈值调整的总体经验来调整各种阈值。
如果在步骤509中启用了对VoIP连接的自动阻止,则在步骤510中立即阻止VoIP连接。如果在步骤509中未启用自动阻止,则该过程前进到步骤511。是否自动阻止的决定是最小化由自动阻止规则导致的过度阻止风险的函数。例如,系统通常不会自动阻止具有大量用户的租户。系统不会自动阻止已经使用该服务足够长时间的租户。该系统灵活,并且可以在务实的基础上做出这些选择。
如果在步骤511中欺诈分数高于用于进一步或手动筛选的阈值分数(即,由人类欺诈筛选者进行审查),则在步骤512中将VoIP连接放置在队列中以进行手动筛选。如果欺诈分数不高于手动筛选的阈值分数,则该过程前进到步骤513。
无论VoIP连接是否被阻止,都可以在步骤513中存储相应的欺诈分数记录。
参考图5,聚合记录汇总了源自各个记录113a的信息。如图5中所示出的,租户聚合记录601汇总了特定租户对VoIP服务的使用。租户聚合记录601可以包括唯一聚合记录标识符(“AggregateRecordId”)、产生聚合数据的日期(“AggregateDate”)、收集底层数据的时段(“AggregatePeriod”)、相应租户的唯一标识符(“TenantId”)、在该时段期间租户的VoIP帐户上做出的呼叫数量(“CallCount”)、呼叫的总持续时间(“TotalCallDuration”)、呼叫的平均持续时间(“AverageCallDuration”)、呼叫的持续时间的标准差(“CallDurationStdDev”)、呼叫的总成本(“TotalCost”)、以及成本的标准差(“CostStdDev”)。
可以在被视为与检测欺诈和滥用相关的任何维度上产生聚合记录。作为说明而非限制,系统可以包括用户、租户、地区和特定电话号码(进行呼叫或被呼叫的号码)的聚合记录。聚合记录汇总了与源自各个使用记录的VoIP连接有关的信息。聚合记录的优点是允许系统检查一组VoIP连接的关键方面,而无需显式地查询每个单独相关联的使用记录。图5示出了租户的说明性聚合记录。聚合租户记录601包含从多个使用记录推导出的值。例如,TotalCallDuration字段可以指示在给定时段内由相应租户的用户进行的所有VoIP连接的总持续时间。类似地,AverageCallDuration字段可以存储那些VoIP连接的平均持续时间,并且CallDurationStdDev字段可以存储那些持续时间的标准差。虽然图5示出了租户的聚合记录,但是本领域技术人员将认识到,可以基于任何维度来生成聚合记录。类似地,硬编码规则可以基于这些维度中的一个和/或这些维度的组合。作为说明而非限制,可以针对特定的用户、地区代码和国家代码生成聚合记录。用户聚合值将由硬编码规则计算并且将反映特定用户的统计值(例如,VoIP连接持续时间的平均值和标准差);基于区域代码聚合值的硬编码规则对于给定的地区代码将执行相同的操作,并且基于国家代码聚合值的硬编码规则对于国家代码将执行相同的操作。
图3中描绘的欺诈检测过程可以由系统在每个呼叫开始事件和呼叫标记事件时执行。每次执行该过程时,就生成或更新至少一个使用记录113a和一个欺诈分数记录312a。作为说明而非限制,系统可以在生成每个使用记录113a和每个欺诈分数记录312a时更新聚合记录。例如,租户聚合记录601可以利用来自最新使用记录113a的信息(例如,呼叫持续时间)来更新。
在欺诈检测过程的示例性应用中,寻求滥用系统的一方(“不良行为者”)可以首先创建VoIP帐户,例如具有PSTN呼叫特征的Microsoft Office365TM用户帐户。随后不良行为者通过同时或快速连续拨打至不同目的地号码的多个呼叫来测试新创建的VoIP帐户。对于每个呼叫,该过程在步骤401中的VoIP连接事件(即,呼叫的拨打)开始。在步骤402中创建相应的呼叫记录。在步骤403中对适用于用户的阻止记录314a执行查询。因为VoIP帐户是新帐户,所以最初没有适用于VoIP帐户的阻止记录314a。VoIP服务器可以确定需要在步骤404中执行欺诈检测。在步骤405中,调查服务器300针对VoIP连接生成欺诈分数和相应的欺诈分数记录312a。在步骤406中,欺诈分数可以超过阈值分数。在步骤407中生成调查记录。在步骤408中认为需要补救,这是因为自动连接阻止或者因为人类欺诈筛选者认为阻止是必要的。在步骤409中创建阻止记录,并且在步骤410中终止VoIP连接。在欺诈检测过程期间生成的记录用于更新相关的聚合记录。当发现阻止记录时,在步骤403将阻止用户帐户进行VoIP连接的另外尝试。
调查服务器300在步骤407中针对VoIP连接创建调查记录311a。调查服务器300在步骤405中查询相关的欺诈记录,并将这些记录返回给欺诈检测引擎405。欺诈检测引擎200凭借所维持的并发VoIP连接的数量来确定源自不良行为者的VoIP连接是可疑的。应用机器学习技术的欺诈检测引擎200还确定源自该账户的VoIP连接的模式远远超出了正常使用VoIP服务所期望的行为范围。欺诈检测引擎200在步骤406中生成欺诈分数记录312a。欺诈检测引擎200在407中将欺诈分数与阈值欺诈分数进行比较,并发现要超过阈值。欺诈检测引擎200更新调查记录311a,以指示建议的补救以供人欺诈筛选者审查。欺诈检测引擎200创建补救记录313a并将呼叫记录发送给辅助或人类欺诈筛选者。辅助或人类欺诈筛选者断定VoIP连接是欺诈性的,并推荐阻止特定的用户进行另外的VoIP连接。创建用户阻止记录314c。对于由特定用户请求的所有后续VoIP连接,该过程将识别用户阻止记录314c并在步骤402a中终止VoIP连接。
贯穿该说明书,词语“包括”或诸如“包含”或“含有”之类的变型将被理解为暗示包括所陈述的元素、整数或步骤,或元素、整数或步骤的组,但不排除任何其他元素、整数或步骤,或元素、整数或步骤的组。
使用表达“至少”或“至少一个”表明使用一种或多种元素或成分或量,因为在本公开内容的实施例中可以使用以实现一个或多个期望的对象或结果。
针对各种物理参数、维度或数量所提及的数值仅是近似值,并且构想了高于/低于比分配给参数、维度或数量的数值高/低的值落入本公开内容的范围内,除非在说明书中有具体相反的声明。
本文所使用的术语仅用于描述特定示例性实施例的目的,而并非旨在进行限制。如本文所使用的,单数形式“一”、“一个”和“所述”可以旨在包括复数形式,除非上下文另有明确说明。术语“包括”、“包含”,“含有”和“具有”是包含性的,并且因此指定所陈述特征、整数、步骤、操作、元素和/或组件的存在,但不排除存在或添加一个或多个其他特征、整数、步骤、操作、元素、组件和/或其群组。除非特别标识为执行顺序,否则本文所描述的方法步骤、过程和操作不应被解释为必须要求它们以所讨论或说明的特定顺序执行。还应理解,可以采用另外的或替代的步骤。
虽然以特定于结构特征和/或方法动作的语言描述了主题内容,但应理解,所附权利要求中定义的主题内容并不一定限于上述特定特征或动作。相反,上述的特定特征和动作是作为实现各权利要求的示例形式而公开的。
Claims (15)
1.一种用于对欺诈性或滥用的VoIP呼叫连接进行检测和响应的自动化系统,所述系统包括:
用于执行指令的处理器;
至少一个租户记录;
至少一个呼叫数据记录;以及
在所述处理器上执行的指令,所述指令由此指示所述系统执行以下步骤:
检测呼叫连接事件的存在;
当至少一个租户记录可用时取回至少一个租户记录;
当至少一个呼叫数据记录可用时取回至少一个呼叫数据记录;
对所述取回的记录计算欺诈分数;
确定所述欺诈分数是否超过预先确定的欺诈分数;
如果所述欺诈分数超过所述预先确定的欺诈分数,则创建补救记录;
对至少一个聚合呼叫数据记录进行更新以反映所述连接的状态;以及
当所述呼叫连接事件存在时,重复所述检测、取回、计算、创建和更新的步骤;
所述呼叫连接事件由此取决于在所述呼叫连接事件期间的任何特定时间相对于所述预先确定的欺诈分数的欺诈分数而被终止或允许继续。
2.根据权利要求1所述的自动化系统,其中,所述指令控制所述系统通过将至少一种机器学习技术应用于所取回的记录来计算欺诈分数。
3.根据权利要求1所述的自动化系统,其中,所述指令控制所述系统通过将至少一种机器学习技术和至少一个固定规则应用于所取回的记录来计算欺诈分数。
4.根据权利要求1所述的自动化系统,其中,所述指令另外控制所述系统创建至少一个阻止记录。
5.根据权利要求1所述的自动化系统,还包括至少一个用户记录。
6.一种用于聚合关于欺诈性或滥用的VoIP连接的信息的自动化系统,所述系统包括:
用于执行指令的处理器;
至少一个聚合呼叫记录;以及
包含指令的第二存储位置,所述指令控制所述系统执行以下步骤:
检测呼叫连接事件的存在;
访问至少一个呼叫数据记录;
基于所述至少一个呼叫数据记录来推导至少一个聚合欺诈分数;
对至少一个聚合呼叫记录进行更新以反映所述聚合欺诈分数;
当所述呼叫连接事件存在时,重复所述检测、访问、推导和更新的步骤;以及
确定所述聚合欺诈分数是否超过阈值;
所述呼叫连接事件由此取决于在所述呼叫连接事件期间的任何特定时间相对于所述阈值的聚合欺诈分数而被终止或允许继续。
7.根据权利要求6所述的自动化系统,其中,推导至少一个聚合欺诈分数包括:将至少一种机器学习技术应用于所述至少一个呼叫数据记录。
8.根据权利要求6所述的自动化系统,其中,推导至少一个聚合欺诈分数包括:将至少一个固定规则应用于所述至少一个呼叫数据记录。
9.根据权利要求6所述的自动化系统,其中,推导至少一个聚合欺诈分数包括:将至少一个固定规则和至少一种机器学习技术应用于所述至少一个呼叫数据记录。
10.根据权利要求6所述的自动化系统,其中,推导至少一个聚合欺诈分数包括:将至少一个筛选结果应用于所述至少一个呼叫数据记录。
11.根据权利要求1所述的自动化系统,其中,所述租户记录用于计算所述欺诈分数。
12.根据权利要求1所述的自动化系统,其中,所述指令另外控制所述系统创建至少一个用户阻止记录。
13.根据权利要求1所述的自动化系统,其中,所述指令另外控制所述系统创建至少一个租户阻止记录。
14.根据权利要求1所述的自动化系统,其中,所述指令另外控制所述系统创建至少一个前缀阻止记录。
15.根据权利要求1所述的自动化系统,其中,所述指令另外控制所述系统创建筛选记录。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/389,379 | 2016-12-22 | ||
| US15/389,379 US9774726B1 (en) | 2016-12-22 | 2016-12-22 | Detecting and preventing fraud and abuse in real time |
| PCT/US2017/066904 WO2018118726A1 (en) | 2016-12-22 | 2017-12-18 | Detecting and preventing fraud and abuse in real time |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110100429A true CN110100429A (zh) | 2019-08-06 |
Family
ID=59886926
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780079753.8A Withdrawn CN110100429A (zh) | 2016-12-22 | 2017-12-18 | 实时检测并防止欺诈和滥用 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9774726B1 (zh) |
| EP (1) | EP3560181A1 (zh) |
| CN (1) | CN110100429A (zh) |
| WO (1) | WO2018118726A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111541645A (zh) * | 2020-03-24 | 2020-08-14 | 国家计算机网络与信息安全管理中心 | 一种VoIP服务知识库构建方法及系统 |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9641680B1 (en) * | 2015-04-21 | 2017-05-02 | Eric Wold | Cross-linking call metadata |
| US10378911B1 (en) | 2016-01-05 | 2019-08-13 | Open Invention Network Llc | Navigation application providing collaborative navigation information |
| WO2018034605A1 (en) * | 2016-08-18 | 2018-02-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and device for enhancing voip security by selectively scrutinizing caller's geographical location |
| KR101803392B1 (ko) * | 2016-10-28 | 2017-11-30 | (주) 비미오 | 머신 러닝 기법을 활용한 국가별 전화번호 체계 분석 시스템 및 이를 활용한 전화 연결 방법 |
| CA3014377A1 (en) * | 2017-08-16 | 2019-02-16 | Royal Bank Of Canada | Systems and methods for early fraud detection |
| US10616411B1 (en) | 2017-08-21 | 2020-04-07 | Wells Fargo Bank, N.A. | System and method for intelligent call interception and fraud detecting audio assistant |
| IL258345B2 (en) * | 2018-03-25 | 2024-01-01 | B G Negev Technologies And Applications Ltd At Ben Gurion Univ – 907553 | A rapid framework for ensuring cyber protection, inspired by biological systems |
| EP3570528A1 (en) * | 2018-05-15 | 2019-11-20 | Levi, Dinor Adam Vestergaard | Live network utilization inefficiency and abuse detection platform for a telephony network |
| US10785214B2 (en) | 2018-06-01 | 2020-09-22 | Bank Of America Corporation | Alternate user communication routing for a one-time credential |
| US10798126B2 (en) | 2018-06-01 | 2020-10-06 | Bank Of America Corporation | Alternate display generation based on user identification |
| US10785220B2 (en) | 2018-06-01 | 2020-09-22 | Bank Of America Corporation | Alternate user communication routing |
| US10855666B2 (en) | 2018-06-01 | 2020-12-01 | Bank Of America Corporation | Alternate user communication handling based on user identification |
| US10972472B2 (en) | 2018-06-01 | 2021-04-06 | Bank Of America Corporation | Alternate user communication routing utilizing a unique user identification |
| US20200043005A1 (en) * | 2018-08-03 | 2020-02-06 | IBS Software Services FZ-LLC | System and a method for detecting fraudulent activity of a user |
| US10601986B1 (en) * | 2018-08-07 | 2020-03-24 | First Orion Corp. | Call screening service for communication devices |
| US10694035B2 (en) | 2018-08-07 | 2020-06-23 | First Orion Corp. | Call content management for mobile devices |
| US10778842B1 (en) | 2018-08-07 | 2020-09-15 | First Orion Corp. | Call content management for mobile devices |
| CN110213448B (zh) * | 2018-09-13 | 2021-08-24 | 腾讯科技(深圳)有限公司 | 恶意号码识别方法、装置、存储介质和计算机设备 |
| US10484532B1 (en) * | 2018-10-23 | 2019-11-19 | Capital One Services, Llc | System and method detecting fraud using machine-learning and recorded voice clips |
| CN113508381B (zh) * | 2019-03-05 | 2024-03-01 | 西门子工业软件有限公司 | 用于嵌入式软件应用的基于机器学习的异常检测 |
| TWI729412B (zh) * | 2019-06-17 | 2021-06-01 | 遠傳電信股份有限公司 | 詐騙電話偵測方法與電子裝置 |
| WO2021025574A1 (ru) * | 2019-08-05 | 2021-02-11 | Марк Александрович НЕЧАЕВ | Модераия аудио- и видеозвонков |
| US10958779B1 (en) * | 2019-09-23 | 2021-03-23 | Capital One Services, Llc | Machine learning dataset generation using a natural language processing technique |
| US11310360B2 (en) | 2019-12-20 | 2022-04-19 | Clear Labs Israel Ltd. | System and methods thereof for real-time fraud detection of a telephone call transaction |
| US11463574B1 (en) * | 2021-06-07 | 2022-10-04 | Capital One Services, Llc | Restricting access based on voice communication parameters |
| US11689542B2 (en) * | 2021-07-07 | 2023-06-27 | International Business Machines Corporation | Detecting, verifying, and preventing unauthorized use of a voice over internet protocol service |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7251624B1 (en) * | 1992-09-08 | 2007-07-31 | Fair Isaac Corporation | Score based decisioning |
| US5950121A (en) * | 1993-06-29 | 1999-09-07 | Airtouch Communications, Inc. | Method and apparatus for fraud control in cellular telephone systems |
| US6163604A (en) * | 1998-04-03 | 2000-12-19 | Lucent Technologies | Automated fraud management in transaction-based networks |
| US6850606B2 (en) * | 2001-09-25 | 2005-02-01 | Fair Isaac Corporation | Self-learning real-time prioritization of telecommunication fraud control actions |
| US20040063424A1 (en) * | 2002-09-27 | 2004-04-01 | Silberstein Eli J. | System and method for preventing real-time and near real-time fraud in voice and data communications |
| US7774842B2 (en) * | 2003-05-15 | 2010-08-10 | Verizon Business Global Llc | Method and system for prioritizing cases for fraud detection |
| US8064580B1 (en) | 2004-09-03 | 2011-11-22 | Confinement Telephony Technology, Llc | Telephony system and method with improved fraud control |
| US9113001B2 (en) * | 2005-04-21 | 2015-08-18 | Verint Americas Inc. | Systems, methods, and media for disambiguating call data to determine fraud |
| US8639757B1 (en) | 2011-08-12 | 2014-01-28 | Sprint Communications Company L.P. | User localization using friend location information |
| US8238352B2 (en) | 2005-09-02 | 2012-08-07 | Cisco Technology, Inc. | System and apparatus for rogue VoIP phone detection and managing VoIP phone mobility |
| US8411833B2 (en) | 2006-10-03 | 2013-04-02 | Microsoft Corporation | Call abuse prevention for pay-per-call services |
| US9191351B2 (en) | 2012-06-15 | 2015-11-17 | Tata Communications (America) Inc. | Real-time fraudulent traffic security for telecommunication systems |
| US8737962B2 (en) | 2012-07-24 | 2014-05-27 | Twilio, Inc. | Method and system for preventing illicit use of a telephony platform |
| US9419988B2 (en) | 2013-06-20 | 2016-08-16 | Vonage Business Inc. | System and method for non-disruptive mitigation of messaging fraud |
| US9426302B2 (en) | 2013-06-20 | 2016-08-23 | Vonage Business Inc. | System and method for non-disruptive mitigation of VOIP fraud |
-
2016
- 2016-12-22 US US15/389,379 patent/US9774726B1/en not_active Expired - Fee Related
-
2017
- 2017-12-18 CN CN201780079753.8A patent/CN110100429A/zh not_active Withdrawn
- 2017-12-18 EP EP17854226.2A patent/EP3560181A1/en not_active Withdrawn
- 2017-12-18 WO PCT/US2017/066904 patent/WO2018118726A1/en unknown
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111541645A (zh) * | 2020-03-24 | 2020-08-14 | 国家计算机网络与信息安全管理中心 | 一种VoIP服务知识库构建方法及系统 |
| CN111541645B (zh) * | 2020-03-24 | 2022-06-17 | 国家计算机网络与信息安全管理中心 | 一种VoIP服务知识库构建方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9774726B1 (en) | 2017-09-26 |
| WO2018118726A1 (en) | 2018-06-28 |
| EP3560181A1 (en) | 2019-10-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110100429A (zh) | 实时检测并防止欺诈和滥用 | |
| CN103875015B (zh) | 利用用户行为的多因子身份指纹采集 | |
| US8160910B2 (en) | Visualization for aggregation of change tracking information | |
| CN110020091B (zh) | 一种基于区块链的医疗搜索引擎系统 | |
| CN106295349A (zh) | 账号被盗的风险识别方法、识别装置及防控系统 | |
| CN106384273A (zh) | 恶意刷单检测系统及方法 | |
| CN108989150A (zh) | 一种登录异常检测方法及装置 | |
| WO2009052365A1 (en) | Global compliance processing system for a money transfer system | |
| US20030208362A1 (en) | Integrated screening system and method for tenants and rental applicants | |
| EP2756478A1 (en) | An intermediation server for cross-jurisdictional internet enforcement | |
| CN104704521B (zh) | 多因素简档和安全指纹分析 | |
| US9152660B2 (en) | Data normalizer | |
| CN111415067A (zh) | 企业及个人信用评级系统 | |
| CN110246033A (zh) | 信贷风险监测方法、装置、设备及存储介质 | |
| CN109147276A (zh) | 监护方法及装置 | |
| US20120089498A1 (en) | Bail Bonds Agency Manager | |
| CN108200532A (zh) | 一种验证补办sim卡用户身份以及关联sim卡的方法和系统 | |
| CN106992993B (zh) | 一种外包输单异常检测方法、系统及设备 | |
| CN108304731A (zh) | 一种管理企业数据调用的方法、系统及信息处理平台 | |
| JP5770868B2 (ja) | クレジットカードのリアル与信判定装置およびその方法 | |
| RU2691830C1 (ru) | Система и способ работы проверки данных онлайн пользователей и создания скоринговой модели с использованием неперсональных данных пользователей | |
| WO2015156829A1 (en) | Method and system for legal processing for debt collection | |
| JP3837394B2 (ja) | アドレスデータ管理方法及びアドレスデータ管理プログラム | |
| CN107944949A (zh) | 处理查询请求的方法及装置 | |
| CN107093082A (zh) | 一种技术交易平台的数据收集及管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20190806 |
|
| WW01 | Invention patent application withdrawn after publication |