CN110493475A - 电话网络的实时网络利用效率低和滥用检测平台 - Google Patents
电话网络的实时网络利用效率低和滥用检测平台 Download PDFInfo
- Publication number
- CN110493475A CN110493475A CN201811001476.1A CN201811001476A CN110493475A CN 110493475 A CN110493475 A CN 110493475A CN 201811001476 A CN201811001476 A CN 201811001476A CN 110493475 A CN110493475 A CN 110493475A
- Authority
- CN
- China
- Prior art keywords
- calling
- processor
- telephone network
- call
- inefficient
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/42—Systems providing special services or facilities to subscribers
- H04M3/436—Arrangements for screening incoming calls, i.e. evaluating the characteristics of a call before deciding whether to answer it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1076—Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/47—Fraud detection or prevention means
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/22—Arrangements for supervision, monitoring or testing
- H04M3/2227—Quality of service monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/22—Arrangements for supervision, monitoring or testing
- H04M3/2254—Arrangements for supervision, monitoring or testing in networks
- H04M3/2263—Network management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/22—Arrangements for supervision, monitoring or testing
- H04M3/2281—Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
- H04M7/0078—Security; Fraud detection; Fraud prevention
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2203/00—Aspects of automatic or semi-automatic exchanges
- H04M2203/55—Aspects of automatic or semi-automatic exchanges related to network data storage and management
- H04M2203/555—Statistics, e.g. about subscribers but not being call statistics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2203/00—Aspects of automatic or semi-automatic exchanges
- H04M2203/60—Aspects of automatic or semi-automatic exchanges related to security aspects in telephonic communication systems
- H04M2203/6027—Fraud preventions
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Technology Law (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种耦接至电话网络的检测服务器的处理器,可被配置成检测当前正在进行的呼叫事件。该处理器可被配置成响应于由电话网络对呼叫的标准处理来分析与呼叫事件相关联的呼叫数据以确定触发该呼叫事件的该呼叫将会导致所述电话网络低效。该处理器可被配置成使得电话网络以非标准方式处理该呼叫,从而防止所述低效。
Description
相关申请的交叉引用
本申请基于并获得提交于2018年5月15日的第15/979,859号美国专利申请的提交日的权益。在此结合该申请的全部内容作为参考。
技术领域
本公开涉及用于检测和防止不期望的网络业务的系统和方法。
背景技术
电话网络性能可能由于利用效率低和滥用而受到负面影响。例如,在一些情况下,呼叫业务可能无意地造成网络利用效率低。在其他情况下,由于恶意攻击者故意滥用,呼叫业务可能会导致问题。这些问题可能影响整个网络的性能和安全和/或单个网络用户的性能和安全。
发明内容
本文公开的实施方式可以包括用于检测和防止非期望的网络业务的方法。该方法可以包括通过被耦接至电话网络的检测服务器的处理器检测当前正在进行的呼叫事件。该方法可以包括响应于由电话网络对所述呼叫进行的标准处理,通过处理器分析与呼叫事件相关联的呼叫数据,以确定触发呼叫事件的呼叫将导致电话网络中的低效。该方法可以包括通过处理器导致电话网络以非标准方式处理所述呼叫,从而防止低效。
本文公开的实施方式可以包括用于检测和防止非期望的网络业务的系统。该系统可以包括耦接至电话网络的检测服务器。该检测服务器可以包括处理器。该处理器可以被配置成检测当前正在进行的呼叫事件。该处理器可以被配置成响应于由电话网络对所述呼叫的标准处理,分析与呼叫事件相关联的呼叫数据,以确定触发所述呼叫事件的呼叫将会导致在电话网络中的低效。该处理器可以被配置成导致电话网络以非标准方式处理所述呼叫,从而防止低效。
附图说明
图1示出了依据本公开的实施例的低效和滥用平台的示例;
图2示出了依据本公开的实施例的示例服务器;
图3示出了依据本公开的实施例的示例呼叫分析和分类处理;
图4示出了依据本公开的实施例的示例时区规则测试处理;
图5示出了依据本公开的实施例的示例地理位置规则测试处理;
图6示出了依据本公开的实施例的示例延迟挂断测试处理;
图7示出了依据本公开的实施例的示例语音测试处理;
图8示出了依据本公开的实施例的示例呼叫升级状态图;
图9示出了依据本公开的实施例的强制处理;
图10示出了依据本公开的实施例的启发法表。
具体实施方式
本文描述的系统和方法可以促进实时检测和防止电话网络内的网络利用效率低和滥用。例如,本文公开的平台可能够警告电话服务提供商的销售者可能导致网络利用效率低和滥用(例如,滥用和/或网络低效的业务)的呼叫业务正在其网络中尝试或被执行,和/或阻止该呼叫业务通过该网络的进程。
该平台可以通过利用来自实际业务的一组可配置规则、启发法和/或机器学习的数据来将正在执行的呼叫分类为低效的和/或滥用的。例如,如果语音业务产生与常规VoIP业务明显不同的模式和/或携带与系统或机器学习数据所定义的低效的和/或滥用的特性类似的特征,则系统可以声明语音业务低效和/或滥用。系统可能够在低效和/或滥用的业务实时发生时检测低效的和/或滥用的业务,并防止低效的和/或滥用的活动影响网络业务和/或性能。可能的低效的和/或滥用的活动的示例可包括但不限于以下内容:
·来自或去往不属于所定义的电话系统的一部分的号码的呼叫
·一天中不规则时间内的呼叫次数(例如,凌晨3点的一个区之间到早上6点的另一个区之间的呼叫)比例异常
·人口区域之间的呼叫次数不成比例
·来自或去往一组号码的呼叫次数不成比例,这些呼叫具有比平时更长的或非常短的持续时间
以下定义和原理可有助于理解本文所述的系统和方法:
i.可以使用一组规则来定义本文描述的平台中的检测,该规则详述了如何将呼叫分类为滥用或导致网络低效。
ii.入站运营商(Inbound Carriers):接收呼叫并使用平台验证这些呼叫的运营商。
iii.出站运营商(Outbound Carriers):作为由平台检查的呼叫的目标的运营商。
iv.信令服务器:电话系统的网关,处理电话网络信令。
v.分区:电话系统可以部署在若干地理分区中,并且每个分区可以具有负责入口电话业务(ingress telephony traffic)的信令服务器。
vi.分区服务器:信令服务器使用的服务器,用于将呼叫分类为滥用的或导致网络低效的和将呼叫分类为合法呼叫的目的。
vii.中央服务器:用于滥用或网络低效检测系统的服务器,其包含系统的主数据库。
viii.合法呼叫:属于电话系统正常业务的一部分的呼叫,并且不会致使滥用系统或导致低效。
ix.呼叫记录表:包含呼叫的记录、做出呼叫的时间、源和目的地时区,以及源和目的地地理位置。
x.时区规则表:包含一年中每小时和每天的时区对,说明每天和每小时的时区之间的最大预期呼叫次数。
xi.地理位置规则表:包含一年中每小时和每天的地理位置对,说明每天和每小时的地理位置对之间的最大预期呼叫次数。
xii.启发法:在呼叫具有某些属性时声明其为滥用或网络低效的规则。
xiii.故障策略表:根据其出站和入站运营商来定义是否丢弃呼叫的策略。
xiv.滥用决策组件:一组决策块,必须经过每个决策块批准才能将呼叫声明为可接受的呼叫。
xv.业务分析器:一种计算机,可以查看协议事件和业务数据,并生成与呼叫相关的事件。
xvi.电话号码数据库:包含电话号码的数据的数据库,其列出有效的可能号码以及每个号码的地理位置和时区。
xvii.假应答监督(FAS):呼叫接收方模拟对呼叫的假应答以触发对呼叫时间的错误收费的情况。
xviii.Wangiri网络滥用:一种网络滥用,其中,网络滥用者通过特定的一组号码向目的地号码发出呼叫,并在接收者可应答之前断开连接,以试图接收回呼。
xix.取消时间:呼叫初始和由起始方取消呼叫的时间之间的持续时间。
xx.延迟挂断:为了人为地延长呼叫,被叫方延迟响应致挂断的情况。
xxi.拨打号码模式的自由度:从号码右侧算起的几位数字,其不是模式的一部分。例如,对于6位数字的号码,5位数字模式自由度为1,4位数字模式自由度为2。
xxii.呼叫窗口:时间段,在该时间段内初始的每一个呼叫被称为属于该窗口。
xxiii.呼叫窗口持续时间:呼叫窗口的长度。
xxiv.Trim(n)操作:从号码右侧删除n位数字的处理。如果我们使用大小为N=m+n的号码,并且我们实施N.trim(n),我们将得到大小为m的序列S,则我们可称之为S=N.trim(n)。
xxv.呼叫初始:拨打号码的处理,在初始后,初始方等待呼叫接受或拒绝。
xxvi.呼叫结束:终止呼叫的处理,当其中一方发出信号要求终止呼叫而另一方确认时发生。
图1示出了根据本公开的实施例的示例性低效和滥用平台100。平台100可以包括至少一个主服务器110和/或至少一个分区服务器120。例如,平台100可以包括单个主服务器110或多个主服务器110,其被配置为共同地或单独地起到平台100的中心组件的作用。平台100可以在电话网络的每个分区中包括至少一个分区服务器120。这些分区可以以任何方式划分。例如,在每个地理区域中可以存在分区服务器120,诸如每个国家,每个城市或一些其他分区划分。
主服务器110可以从业务分析器接收呼叫数据102。主服务器110可以包括检测模块112,其被配置为当数据102指示呼叫可能是网络滥用时分析数据102并发出警告。模块112可以使用来自时区数据库114和/或人口统计数据库116的数据来分析数据102。这些警告可被发送到分区服务器120以便执行和/或可被存储起来(例如,存储在警告数据库118中)。例如,主服务器110可以用呼叫的地理位置和时区,以及开始呼叫、结束请求的时间和呼叫结束的记时来记录呼叫。警告生成在下面详细描述。可能发生警告的示例情况可包括但不限于以下内容:
·通过使用语音分析或滥用检测启发法得到怀疑FAS
·延迟挂断
·滥用的呼叫模式
·地理位置之间的呼叫频率不规律
·时区之间的呼叫频率不规律
每个分区服务器120可以包括分区检测模块112,其可以基于主服务器110生成的警告来实施规则。分区服务器120可以包括时区数据库124的从属实例、人口统计数据库126的从属实例,和/或警告数据库118的从属实例。在一些实施例中,分区服务器120可以仅包括警告数据库118的从属实例,并且可以省略时区数据库124和人口统计数据库126。分区检测模块112可以访问警告数据库的从属实例中的警告,和/或通过从主服务器110接收警告来访问警告。分区检测模块112可以基于主服务器110收集的信息执行检测规则和/或验证用于进入电话系统的呼叫的源和目的地的号码。执行和验证在下面详细描述。
分区服务器120可以与信令服务器130通信,这可以被配置为基于本文描述的执行和验证处理来允许或拒绝呼叫连接。在图1的示例中,信令服务器130被描绘为与分区服务器120分离的单独元件(例如,与分区服务器120通信的单独服务器),但是在一些实施例中,信令服务器130可以是分区服务器120的组件,或分区服务器120可以是信令服务器130的组件。如下面更详细描述的,分区服务器120可以向信令服务器130报告呼叫警告,并且信令服务器130可以基于警告确定是允许还是拒绝呼叫。
图2是可以实现如本文所述的各种特征和处理的示例性计算设备的框图。例如,主服务器110和/或分区服务器120可以具有图2的计算设备的配置。主服务器110和/或分区服务器120可以在运行源于编译指令的软件应用程序的任何电子设备上实现,包括但不限于个人计算机、服务器、智能电话、媒体播放器、电子平板电脑、游戏控制台、电子邮件设备等。在一些实现中,主服务器110和/或分区服务器120可以包括一个或多个处理器202、一个或多个输入设备204、一个或多个显示设备206、一个或多个网络接口208、以及一个或多个计算机可读介质210。这些组件中的每一个可以通过总线212耦接。
显示设备206可以是任何已知的显示技术,包括但不限于使用液晶显示器(LCD)或发光二极管(LED)技术的显示设备。处理器202可以使用任何已知的处理器技术,包括但不限于图形处理器和多核处理器。输入设备204可以是任何已知的输入设备技术,包括但不限于键盘(包括虚拟键盘)、鼠标、轨迹球(track ball)和触控感应板或显示器。总线212可以是任何已知的内部或外部总线技术,包括但不限于ISA、EISA、PCI、PCI Express、NuBus、USB、串行ATA或FireWire(火线)。计算机可读介质210可以是参与向处理器202提供指令以供实行的任何介质,包括但不限于非易失性存储介质(例如,光盘,磁盘,闪存驱动器等)或易失性的介质(例如,SDRAM,ROM等)。
计算机可读介质210可以包括用于实现操作系统(例如,Mac Linux)的各种指令214。操作系统可以是多用户、多处理、多任务、多线程、实时等。操作系统可以执行基本任务,包括但不限于:识别来自输入设备204的输入;将输出发送到显示设备206;在计算机可读介质210上保持对文件和目录的记录;控制可以直接控制或通过I/O控制器控制的外围设备(例如磁盘驱动器、打印机等);以及管理总线212上的业务。网络通信指令216可以建立和维护网络连接(例如,用于实现通信协议的软件,例如TCP/IP、HTTP、以太网、电话等)。
检测服务指令218可以包括用于如本文所述的检测模块112和/或分区检测模块122的指令。例如,检测服务指令218可以监视数据以获得滥用业务的证据和/或限制可能是滥用的业务。
应用程序220可以是使用或实现本文描述的处理和/或其他处理的应用程序。这些处理也可以在操作系统214中实现。
所描述的特征可以在一个或多个计算机程序中实现,其可在可编程系统上执行,该可编程系统包括至少一个可编程处理器,其被耦接以从数据存储系统、至少一个输入设备和至少一个输出设备接收数据和指令,以及将数据和指令传输到数据存储系统、至少一个输入设备和至少一个输出设备。计算机程序是一组指令,可以在计算机中直接或间接地使用以执行特定的活动或产生特定的结果。计算机程序可以用任何形式的编程语言(例如,Objective-C、Java)编写,包括编译或解释的语言,并且可以以任何形式部署,包括部署成独立程序或模块、组件、子线程,或适用于计算环境的其他单元。
用于执行指令程序的可适用的处理器可以包括,例如,任何类型的计算机的通用的和专用的微处理器两者,以及多处理器或多核处理器中的一者或者单处理器。通常,处理器可以从只读存储器或随机存取存储器或这两者接收指令和数据。计算机的基本元件可包括用于执行指令的处理器和用于存储指令和数据的一个或多个存储器。通常,计算机还可以包括或者被可操作地耦接成与一个或多个大容量存储设备通信以存储数据文件;这些设备包括磁盘(例如内部硬盘和可移动磁盘)、磁光盘,和光盘。可适用于有形地体现计算机程序指令和数据的存储设备可以包括所有形式的非易失性存储器,包括例如半导体存储器设备(例如EPROM、EEPROM和闪存设备)、磁盘(例如内部硬盘和可移动磁盘)、磁光盘,和CD-ROM和DVD-ROM磁盘。处理器和存储器可以由ASIC(专用集成电路)补充或并入其中。
为了提供与用户的交互,这些特征可以在具有显示设备以及键盘和指示设备的计算机上实现,显示设备诸如CRT(阴极射线管)或LCD(液晶显示器)的监视器以用于向用户显示信息;指示设备例如鼠标或轨迹球,用户可以通过它向计算机提供输入。
这些特征可以在包括后端组件(例如数据服务器)、或者包括中间件组件(例如应用程序服务器或因特网服务器)、或者包括前端组件(例如具有图形用户界面或因特网浏览器的客户端计算机)、或者其任何组合的计算机系统中实现。系统的组件可以通过任何形式或介质的数字数据通信(诸如通信网络)连接。通信网络的示例包括例如电话网络、LAN、WAN以及构成因特网的计算机和网络。
计算机系统可以包括客户端和服务器。客户端和服务器通常可以彼此远离,并且典型地可以通过网络进行交互。客户端和服务器的关系可以通过在各自的计算机上运行并且彼此具有客户端-服务器关系的计算机程序而产生。
本公开的实施例的一个或多个特征或步骤可以使用API来实现。API可以定义在调用应用程序与提供服务的、提供数据的,或执行操作或计算的其他软件代码(例如,操作系统、库例程、函数)之间传递的一个或多个参数。
API可以实现为程序代码中的一个或多个调用,其基于API规范文件中定义的调用约定通过参数列表或其他结构发送或接收一个或多个参数。参数可以是常量、关键字、数据结构、对象、对象类、变量、数据类型、指针、数组、列表或其他调用。API调用和参数可以用任何编程语言实现。编程语言可以定义程序员将用来访问支持API的函数的词汇表和调用约定。
在一些实现中,API调用可以向应用程序报告运行该应用程序的设备的性能,例如输入性能、输出性能、处理性能、功率性能、通信性能等。
图3示出了根据本公开内容的实施例的示例呼叫分析和分类处理300。例如,检测模块112可在其接收呼叫数据102时执行处理300,如上所述。
在302处,检测模块112可以基于呼叫数据102中的事件数据来触发呼叫分析。例如,触发分析的事件数据可以包括指示呼叫正在开始或结束的数据(例如,连接呼叫的请求或终止呼叫的请求)。取决于所检测到的事件类型(例如,开始或结束),可以执行不同类型的分析。
在304处,检测模块112可以分析呼叫数据102以确定所请求的呼叫动作是否是滥用的或导致网络低效。例如,取决于触发事件是呼叫的开始还是结束,检测模块112可以将一个或多个启发法和/或测试应用于呼叫数据102以评估呼叫是滥用的或低效的可能性。示例启发法可以包括但不限于以下内容:
·号码验证
·关于在给定时间源和目的地之间的呼叫的类型、时间和数量的启发法
·关于呼叫取消行为的启发法
·在给定时间在地理位置之间的呼叫号码
·在给定时间在时区之间的呼叫号码
·使用语音分析识别机械语音以识别假应答
在306处,检测模块112可以基于分析对与事件相关联的呼叫进行分类。例如,检测模块112可以将呼叫分类为OK或可疑。在一些实施例中,检测模块112可以以指示严重性级别的不同级别将可疑呼叫进行分类。当呼叫被标记为可疑时,检测模块112可以通过将警告保存到滥用或网络低效数据库118来指示这一点。如上所述,滥用或网络低效警告数据库118可被跨区复制到分区服务器120以用于执行。示例呼叫分类可包括但不限于以下内容:
·OK:呼叫不可疑
·已标记:呼叫是可疑的,但该组号码仅用于失败一次或者是地理位置或时区对故障(例如,在某些实施例中,地理位置和时区故障可能不升级)
·警告:在针对其号码的网络滥用测试中,呼叫失败两次
·已阻止:在针对其号码的网络滥用测试中,呼叫失败三次
如以上注意到的,检测模块112可以使用一个或多个启发法,其可以定义警告呼叫模式。在图10的表1000中定义了样本启发法的非限制集合。
启发法案例#1可涉及具有自由度为1、同时呼叫、持续时间大于2分钟的集合。String.trim(X)可以被定义为没有右X位的字符串(例如,电话号码)。
1.来自同一国家的实时呼叫可以基于序列<Source.trim(1),Destination.trim(1)>进行分组,一组中最多10个呼叫(差异可能仅在最后一个数字上)。
2.有5个或更多持续时间超过2分钟的呼叫的任何一对<Source.trim(1),Destination.trim(1)>可能不接受更多呼叫。
启发法案例#2可涉及具有自由度为2、持续时间大于2分钟的集合。
1.来自同一国家的实时呼叫可以基于序列<Source.trim(2),Destination.trim(2)>进行分组,一组中最多100个呼叫(差异可能仅在最后两个数字上)。
2.有10个或更多持续时间超过2分钟的呼叫的任意对<Source.trim(2),Destination.trim(2)>可能不接受更多呼叫。
启发法案例#3可涉及具有自由度为2、呼叫窗口持续时间为1分钟、呼叫属于持续时间短于15秒的窗口或者呼叫在呼叫开始后5秒内挂断的始发集合。完成的呼叫可基于序列<Source.trim(2)>进行分组。
1.在最后一分钟内有超过50个呼叫持续时间<15秒或取消时间<5秒的任何序列<Source.trim(2)>可不接受更多呼叫。
启发法案例#4可涉及自由度为2、窗口为1分钟、短呼叫的目的地集合。
1.可以基于序列<Destination.trim(2)>对完成的呼叫进行分组。
2.在最后一分钟内有超过100个呼叫持续时间<2分钟或取消时间<5秒的任何序列<Source.trim(2)>可不接受更多呼叫。
检测模块112可以使用如启发法那样的网络滥用检测组件,但是检测模块112不限于使用启发法进行检测。除了诸如上述的启发法之外或代替诸如上述的启发法,检测模块112还可以使用其他技术,诸如如下面所述的时区规则测试、地理位置测试,和/或延迟挂断测试。
图4示出了根据本公开的实施例的示例时区规则测试处理400。例如,检测模块112可以在检测到呼叫数据102中的呼叫开始时执行处理400。
在402处,检测模块112可识别源电话号码(例如,尝试发出呼叫的实体的电话号码)。检测模块112可以基于源电话号码确定呼叫源的时区。例如,使用国家代码、区域代码和/或其他基于位置的电话号码编码,检测模块112可以确定发出呼叫的时区。
在404,检测模块112可识别目的地电话号码(例如,呼叫要连接的实体的电话号码)。检测模块112可基于目的地电话号码确定呼叫目的地的时区。例如,使用国家代码、区域代码和/或其他基于位置的电话号码编码,检测模块112可以确定呼叫到达的时区。
在406处,检测模块112可确定源电话号码和目的地电话号码之间一段时间的呼叫次数。例如,通过分析呼叫记录数据,检测模块112可确定以下内容:<呼叫次数>-针对(源t,目的地tz)对的最后一小时的呼叫次数。
在408处,检测模块112可确定源电话号码的时区与目的地电话号码的时区之间一段时间允许的最大呼叫次数。例如,存储在主服务器110存储器中的一个或多个规则可以对允许的呼叫次数建立限制。检测模块112可以确定以下内容:<最大呼叫数>-该日和小时允许针对(源tz,目的地tx)对的最大呼叫。
在410处,检测模块112可以确定在406处确定的呼叫的次数是否大于或等于在408处确定的最大呼叫次数。例如,检测模块112可以确定是否<呼叫次数>>=<最大呼叫次数>。
在412处,如果<呼叫次数>>=<最大呼叫次数>,则检测模块112可以生成警告。例如,检测模块112可以将警告存储在警告数据库118中,警告数据库118可以在分区服务器120处被镜像为警告数据库从设备128,并且/或者以其他方式将警告传送到分区服务器120。
在414处,如果<呼叫次数><<最大呼叫次数>,则检测模块112可以确定呼叫不违反时区规则。假设呼叫没有违反任何其他测试(例如,参见图3),则检测模块112可以允许该呼叫进入网络以进行处理(例如,包括路由和连接)。
图5示出了根据本公开内容的实施例的示例地理定位规则测试处理500。例如,检测模块112可以在检测到呼叫数据102中呼叫开始时执行处理500。
在502处,检测模块112可以识别源电话号码(例如,尝试发出呼叫的实体的电话号码)。检测模块112可以基于源电话号码确定呼叫源的地理位置。例如,使用国家代码、区域代码和/或其他基于位置的电话号码编码,检测模块112可以确定从其发出呼叫的地理位置。
在504处,检测模块112可以识别目的地电话号码(例如,呼叫要连接的实体的电话号码)。检测模块112可以基于目的地电话号码确定呼叫目的地的地理位置。例如,使用国家代码、区域代码和/或其他基于位置的电话号码编码,检测模块112可以确定呼叫要到达的地理位置。
在506处,检测模块112可以确定源电话号码和目的地电话号码之间一段时间的呼叫次数。例如,通过分析呼叫记录数据,检测模块112可以确定以下内容:<呼叫次数>-针对(源t,目的地tz)对的最后一小时内的呼叫次数。
在508处,检测模块112可以确定源电话号码的地理位置和目的地电话号码的地理定位之间一段时间允许的最大呼叫次数。例如,存储在主服务器110存储器中的一个或多个规则可以对允许的呼叫次数建立限制。检测模块112可以确定以下内容:<最大呼叫数>-在该日和小时针对(源tz,目的地tx)对的允许的最大呼叫。
在510处,检测模块112可以确定在506处确定的呼叫的次数是否大于或等于在508处确定的最大呼叫次数。例如,检测模块112可以确定是否<呼叫的次数>>=<最大呼叫次数>。
在512处,如果<呼叫次数>>=<最大呼叫次数>,则检测模块112可以生成警告。例如,检测模块112可以将警告存储在警告数据库118中,警告数据库118可以在分区服务器120处被镜像为警告数据库从设备128,和/或以其他方式将警告传送到分区服务器120。
在514处,如果<呼叫次数><<最大呼叫次数>,则检测模块112可以确定呼叫不违反地理定位规则。假设呼叫没有违反任何其他测试(例如,参见图3),检测模块112可以允许该呼叫进入网络以进行处理(例如,包括路由和连接)。
图6示出了根据本公开的实施例的示例性延迟挂断测试处理600。例如,检测模块112可以在检测到呼叫数据102中的呼叫结束时执行处理600。
在602处,检测模块112可以确定最大合法呼叫完成时间。例如,存储在主服务器110存储器中的一个或多个规则可以对呼叫终止的时间长度建立限制(例如,在呼叫挂断之后)。检测模块112可以确定以下内容:字节完成时间(ByteTimeToFinish)=呼叫完成时间(Call Finish Time)-呼叫时间(Call By Time)。
在604处,检测模块112可以确定呼叫的呼叫完成时间。
在606处,检测模块112可以确定604处的呼叫的呼叫完成时间是否大于或等于在602处确定的最大合法呼叫完成时间。例如,检测模块112可以确定是否<字节完成时间(ByteTimeToFinish)>>=<最大合法完成时间(MAXIMAL_LEGITIMATE_FINISH_TIME)>。
在608处,如果<字节完成时间(ByteTimeToFinish)>>=<最大合法完成时间>,则检测模块112可以生成警告。例如,检测模块112可以将警告存储在警告数据库118中,警告数据库118可以在分区服务器120处被镜像为警告数据库从设备128,和/或以其他方式将警告传送到分区服务器120。
在610处,如果<字节完成时间(ByteTimeToFinish)><<最大合法完成时间>,则检测模块112可以确定呼叫不违反呼叫完成时间规则。假设呼叫没有违反任何其他测试(例如,参见图3),如果对自由度为1的号码集合有超过10个呼叫在超过1小时期间表现出这种行为,则检测模块112可以发出警告。在这种情况下,可能会阻止对该号码集合的进一步呼叫。
图7示出了根据本公开内容的实施例的示例语音测试处理700。例如,当呼叫数据102进入时,检测模块112可以频繁地或连续地执行处理700。
在702处,检测模块112可以选择被叫电话号码以进行语音分析。例如,检测模块112可以分析呼叫数据102以识别所请求的呼叫连接并选择一个或多个所请求的呼叫以进行语音分析。在一些实施例中,如果呼叫是去往或来自先前标记的号码(例如,在处理300中在306处被分类为可疑的),则检测模块112可以选择该呼叫用于语音分析。在一些实施例中,如果在一小时的过程中某个号码被呼叫超过特定次数,则检测模块112可以选择该呼叫用于语音分析。
在704处,检测模块112可以分析所选择的呼叫。可以使用AI能力的语音分析软件分析被选定用于语音分析的号码。在706处,可以对呼叫音频中的语音向量进行分析,检测模块112可以确定它们是否与被呼叫号码的其他呼叫中的语音向量相同(或基本上相似)(例如,与多于10个的对该号码的呼叫或其他阈值相同或相似)。
在708,如果语音分析确定音频类似于其他语音向量,则检测模块112可以触发网络滥用标记。在这种情况下,系统可以拨打该号码并记录系统创建的呼叫。
在710处,如果语音分析确定音频与其他语音向量不相似,则检测模块112可以确定该呼叫不违反语音分析规则。假设呼叫没有违反任何其他测试(例如,参见图3),检测模块112可以将该被叫号码声明为可疑并且阻止对该号码的进一步呼叫。
前述处理的描述提供了检测模块112可以执行以确定呼叫是否可疑的测试的示例。在一些实施例中,检测模块112可以对单个呼叫或呼叫尝试执行多个测试。基于这些确定,检测模块112可以调整呼叫状态,如果呼叫足够可疑,则最终可能导致拒绝或阻止在网络100上的呼叫。
图8示出了根据本公开内容的实施例的示例呼叫升级状态图800。状态图800示出了如何根据如上所述的检测模块112执行的测试将呼叫从OK状态(非网络滥用)升级到阻止的示例。例如,可以按如下方式升级呼叫:
·OK-非网络滥用呼叫。
·已标记-一对号码(呼叫源和目的地)被检测为网络滥用呼叫。
·警告-在标记该对后不久再次检测到网络滥用呼叫。
·已阻止-发生了太多网络滥用事件,连接被阻止,直到管理员启用它。
如图8所示,当呼叫被分类为合法时,状态之间的升级和降级可以基于一组6个定时器。
一对号码集合可以处于6种状态之一,并且可以采用以下方式基于如上所述的测试在状态之间转换:
-对OK 802:对于该对未怀疑为滥用或网络低效。
-对被标记804:针对该对号码集合检测到可疑的滥用或网络低效。
-对被标记后OK 806:在进入标记状态后,在X秒的时间内未检测到进一步的滥用或网络低效的尝试。
-对警告808:在标记状态后进入对OK之后,在比X1短的时间内检测到滥用或网络低效的尝试。
-在警告后对OK 810:在进入警告状态后的X3秒时间内未发现滥用或网络低效尝试。
-对阻止812:在警告状态后进入对OK之后,在比X5短的时间内检测到滥用或网络低效尝试。
-在标志后OK 806变为OK 802:如果在X2时间内未发现滥用或网络低效尝试。
-在警告810后对OK变为被标记后对OK 806:如果在X4时间内未发现滥用或网络低效尝试。
图9示出了根据本公开内容的实施例的执行处理900。如上所述,分区服务器120可以访问由检测模块112生成的滥用的或导致网络低效的分析数据。信令服务器130可以被配置为接收呼入呼叫并且通过网络100将它们连接到它们的目的地或拒绝它们。例如,当呼叫进入电话系统时,它可以通过信令服务器130。信令服务器130可以解析呼叫的入站运营商和呼叫的出站运营商。在902处,信令服务器130可以通过API向分区服务器120询问该呼叫是否是网络滥用。基于上述分析处理,在904处,分区服务器120可以响应关于呼叫状态的指示(例如,滥用的或非滥用的)。信令服务器130可以查询一个或多个规则(例如,可以存储在信令服务器130存储器中或者可以以其他方式对信令服务器130可访问)以基于其状态确定是允许还是阻止呼叫。在前一种情况下,信令服务器130可以使得呼叫端点之间的连接通过网络100形成。在后一种情况下,信令服务器130可以拒绝呼叫,该呼叫不可以进入网络100。
例如,在902接收到来自信令服务器的呼叫时,分区服务器120可以执行以下处理以生成在904发送的响应:
1.检查呼叫中包含的号码的有效性(源和目的地)。
2.检查警告数据库以确定该对时区(源,目的地)是否有警告。
3.检查警告数据库以确定该对地理位置的号码是否有警告。
4.检查系统的任何启发法是否有针对该呼叫的号码对的警告。
5.检查目的地号码是否有FAS警告。
6.如果在所提到的任何组件中没有发现警告,则分区服务器120可以授权该呼叫。
7.如果发现警告,则分区服务器120可以查询运营商的入站和出站的警告配置是否应该阻止该呼叫。运营商可以定义他们的关于阻止可疑呼叫的策略。运营商可以决定是仅设置警告还是设置警告并实际阻止可疑呼叫。
8.如果基于警告配置应该阻止呼叫,则分区服务器120可以返回警告状态,并且在一些实施例中,可以将针对该呼叫的阻止指示返回至信令服务器130。信令服务器130可以基于警告状态和/或阻止指示确定是阻止还是允许呼叫。
虽然上面已经描述了各种实施例,但是应该理解,它们是作为示例而非限制来呈现的。对于相关领域的技术人员显而易见的是可以在其中做出形式和细节上的各种改变而不脱离本发明的精神和范围。实际上,在阅读了以上说明书之后,相关领域的技术人员将明白如何实现替代实施例。例如,从所描述的流程中可提供其他的步骤,也可消除步骤,并且可以向所描述的系统添加其他组件或从其中移除组件。因此,其他实现也在随附的权利要求书的范围内。
另外,应该理解的是,所有提及的功能和优点的附图仅出于示例目的而给出。所公开的方法和系统每一个都足够灵活并且是可配置的,使得它们可以以不同于所示出的方式使用。
尽管在说明书、权利要求书和附图中经常使用术语“至少一个”,但术语“一”、“一个”、“该”、“所述”等也表示在说明书、权利要求和附图中的“至少一个”或“所述至少一个”。
最后,申请人意图在于只有包含明确的语言“用于……的手段”或“用于……的步骤”的权利要求才能依据35U.S.C.112(f)解释。没有明确包含短语“用于……的手段”或“用于……的步骤”的权利要求不得依据35U.S.C.112(f)进行解释。
Claims (24)
1.一种用于检测和防止非期望的网络业务的方法,所述方法包括:
通过被耦接至电话网络的检测服务器的处理器检测当前正在进行的呼叫事件;
响应于由所述电话网络对所述呼叫进行的标准处理,通过所述处理器分析与所述呼叫事件相关联的呼叫数据,以确定触发所述呼叫事件的呼叫将导致所述电话网络中的低效;以及
通过所述处理器使得所述电话网络以非标准方式处理所述呼叫,从而防止低效。
2.如权利要求1所述的方法,其中所述呼叫事件包括呼叫开始或呼叫结束。
3.如权利要求1所述的方法,其中所述分析包括以下内容的至少一项:
对于所述呼叫检查源电话号码的有效性;
对于所述呼叫检查目的地电话号码的有效性;
根据用于至少一个呼叫模式的至少一个规则对所述呼叫进行分类;
根据所述源电话号码的时区和所述目的地电话号码的时区之间的多个呼叫对所述呼叫进行分类;
根据所述源电话号码的位置和所述目的地电话号码的位置之间的多个呼叫对所述呼叫进行分类;
检测假应答监督;和
检测快速取消。
4.如权利要求1所述的方法,其中所述分析包括标记所述呼叫以用于附加分析。
5.如权利要求4所述的方法,其中处理所述呼叫的非标准方式包括通过所述处理器执行附加分析。
6.如权利要求5所述的方法,进一步包括响应于所述附加分析确定所述呼叫将不会导致低效而使得所述电话网络连接所述呼叫。
7.如权利要求5所述的方法,进一步包括响应于所述附加分析确定所述呼叫将导致低效而使得所述电话网络阻止所述呼叫。
8.如权利要求1所述的方法,其中所述分析包括针对所述呼叫生成警告。
9.如权利要求8所述的方法,其中处理所述呼叫的所述非标准方式包括通过被耦接至所述电话网络的分区服务器的第二处理器分析所述警告以确定是否阻止所述呼叫。
10.如权利要求1所述的方法,其中处理所述呼叫的所述非标准方式包括通过被耦接至所述电话网络的分区服务器的第二处理器阻止所述呼叫。
11.如权利要求1所述的方法,进一步包括:
通过所述处理器检测当前正在进行的第二呼叫事件;
响应于由所述电话网络对第二呼叫的标准处理,通过所述处理器分析与第二呼叫事件相关联的呼叫数据,以确定触发第二呼叫事件的第二呼叫不会导致所述电话网络低效;以及
通过所述处理器使得所述电话网络以标准方式处理所述第二呼叫。
12.如权利要求11所述的方法,其中处理所述呼叫的所述标准方式包括连接所述呼叫。
13.一种用于检测和防止非期望的网络业务的系统,所述系统包括:
耦接至电话网络的检测服务器,所述检测服务器包括处理器,所述处理器被配置成:
检测当前正在进行的呼叫事件;
响应于由所述电话网络对所述呼叫的标准处理,分析与所述呼叫事件相关联的呼叫数据,以确定触发所述呼叫事件的呼叫将会导致在所述电话网络中的低效;以及
使得所述电话网络以非标准方式处理所述呼叫,从而防止低效。
14.如权利要求13所述的系统,其中所述呼叫事件包括呼叫开始或呼叫结束。
15.如权利要求13所述的系统,其中所述分析包括以下内容的至少一项:
对于所述呼叫检查源电话号码的有效性;
对于所述呼叫检查目的地电话号码的有效性;
根据用于至少一个呼叫模式的至少一个规则对所述呼叫进行分类;
根据所述源电话号码的时区和所述目的地电话号码的时区之间的多个呼叫对所述呼叫进行分类;
根据所述源电话号码的位置和所述目的地电话号码的位置之间的多个呼叫对所述呼叫进行分类;
检测假应答监督;和
检测快速取消。
16.如权利要求13所述的系统,其中所述分析包括标记呼叫以用于附加分析。
17.如权利要求16所述的系统,其中所述处理器被配置成执行所述附加分析。
18.如权利要求17所述的系统,其中所述处理器被配置成响应于所述附加分析确定所述呼叫将不会导致低效而使得所述电话网络连接所述呼叫。
19.如权利要求17所述的系统,其中所述处理器被配置成响应于所述附加分析确定所述呼叫将导致低效而使得所述电话网络阻止所述呼叫。
20.如权利要求13所述的系统,其中所述分析包括针对所述呼叫生成警告。
21.如权利要求20所述的系统,进一步包括耦接至所述电话网络的分区服务器,所述分区服务器包括第二处理器,所述第二处理器被配置成通过分析所述警告来执行处理所述呼叫的所述非标准方式,以确定是否阻止所述呼叫。
22.如权利要求13所述的系统,进一步包括耦接至所述电话网络的分区服务器,所述分区服务器包括第二处理器,所述第二处理器被配置成通过阻止所述呼叫来执行处理所述呼叫的所述非标准方式。
23.如权利要求13所述的系统,其中所述处理器被配置成:
检测当前正在进行的第二呼叫事件;
响应于由所述电话网络对第二呼叫的标准处理,分析与所述第二呼叫事件相关联的呼叫数据,以确定触发所述第二呼叫事件的第二呼叫将不会导致所述电话网络低效;以及
使得所述电话网络以标准方式处理所述第二呼叫。
24.如权利要求23所述的系统,进一步包括耦接至所述电话网络的分区服务器,所述分区服务器包括第二处理器,所述第二处理器被配置成通过连接所述呼叫来执行处理所述呼叫的所述标准方式。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201815979859A | 2018-05-15 | 2018-05-15 | |
| US15/979,859 | 2018-05-15 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110493475A true CN110493475A (zh) | 2019-11-22 |
Family
ID=62712736
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811001476.1A Pending CN110493475A (zh) | 2018-05-15 | 2018-08-30 | 电话网络的实时网络利用效率低和滥用检测平台 |
Country Status (6)
| Country | Link |
|---|---|
| EP (1) | EP3570528A1 (zh) |
| CN (1) | CN110493475A (zh) |
| BR (1) | BR102018014645A2 (zh) |
| EA (1) | EA201891320A1 (zh) |
| MX (1) | MX2018007439A (zh) |
| WO (1) | WO2019220187A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113810547A (zh) * | 2020-06-16 | 2021-12-17 | 中国移动通信集团重庆有限公司 | 语音呼叫安全防护的方法、装置及计算设备 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114172674B (zh) * | 2020-08-21 | 2023-11-10 | 中国移动通信集团重庆有限公司 | 一种异常数据检测方法、装置、设备及计算机介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090041205A1 (en) * | 2007-08-10 | 2009-02-12 | Tekelec | Methods, systems, and computer program products for detecting and mitigating ping call events in a communications network |
| US9270819B2 (en) * | 2013-08-01 | 2016-02-23 | Gable Baldridge | Dialer detection and conversational traffic differentiation for the purpose of optimal call termination |
| US9167078B2 (en) * | 2014-02-28 | 2015-10-20 | Invoca, Inc. | Systems and methods of processing inbound calls |
| EP3809683A1 (en) * | 2016-08-02 | 2021-04-21 | Pindrop Security, Inc. | Method and apparatus for threat identification through analysis of communications signaling, events, and participants |
| US9774726B1 (en) * | 2016-12-22 | 2017-09-26 | Microsoft Technology Licensing, Llc | Detecting and preventing fraud and abuse in real time |
-
2018
- 2018-06-05 EP EP18176108.1A patent/EP3570528A1/en not_active Withdrawn
- 2018-06-15 MX MX2018007439A patent/MX2018007439A/es unknown
- 2018-06-20 WO PCT/IB2018/054560 patent/WO2019220187A1/en active Application Filing
- 2018-06-29 EA EA201891320A patent/EA201891320A1/ru unknown
- 2018-07-18 BR BR102018014645A patent/BR102018014645A2/pt not_active IP Right Cessation
- 2018-08-30 CN CN201811001476.1A patent/CN110493475A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113810547A (zh) * | 2020-06-16 | 2021-12-17 | 中国移动通信集团重庆有限公司 | 语音呼叫安全防护的方法、装置及计算设备 |
| CN113810547B (zh) * | 2020-06-16 | 2023-12-15 | 中国移动通信集团重庆有限公司 | 语音呼叫安全防护的方法、装置及计算设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019220187A1 (en) | 2019-11-21 |
| MX2018007439A (es) | 2019-11-18 |
| EP3570528A1 (en) | 2019-11-20 |
| BR102018014645A2 (pt) | 2019-12-10 |
| EA201891320A1 (ru) | 2019-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111800395A (zh) | 一种威胁情报防御方法和系统 | |
| WO2019136282A1 (en) | Control maturity assessment in security operations environments | |
| CN109831465A (zh) | 一种基于大数据日志分析的网站入侵检测方法 | |
| CN106548342B (zh) | 一种可信设备确定方法及装置 | |
| CN105049592B (zh) | 移动智能终端语音安全防护方法及系统 | |
| CN107197463A (zh) | 一种电话诈骗的检测方法、存储介质及电子设备 | |
| CN108881263A (zh) | 一种网络攻击结果检测方法及系统 | |
| CN110602029A (zh) | 一种用于识别网络攻击的方法和系统 | |
| Monden et al. | Guilty or not guilty: Using clone metrics to determine open source licensing violations | |
| CN110178137A (zh) | 数据判定装置、数据判定方法以及数据判定程序 | |
| CN110493475A (zh) | 电话网络的实时网络利用效率低和滥用检测平台 | |
| CN116846619A (zh) | 一种自动化网络安全风险评估方法、系统及可读存储介质 | |
| CN107454275B (zh) | 一种报警信息的处理方法及其系统 | |
| CN113328981A (zh) | 一种规则质量检测方法、装置、设备及可读存储介质 | |
| CN110012000B (zh) | 命令检测方法、装置、计算机设备以及存储介质 | |
| CN106161127B (zh) | 用户类别检测方法和装置 | |
| KR102590081B1 (ko) | 보안 규제 준수 자동화 장치 | |
| CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
| CN113067835B (zh) | 一种集成自适应失陷指标处理系统 | |
| KR100638480B1 (ko) | 침입 탐지 경고 메시지의 연관성을 이용한 침입 탐지시각화 방법 | |
| CN114285630A (zh) | 一种安全域风险告警方法、系统、装置及可读存储介质 | |
| CN114218579A (zh) | 一种漏洞超前预警方法、装置、电子设备及存储介质 | |
| US12010260B2 (en) | Detecting synthetic sounds in call audio | |
| CN110443043A (zh) | 一种对安卓应用程序的漏洞检测方法以及设备 | |
| de Sousa | Telecommunication fraud detection using data mining techniques |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20191122 |