CN111709472B - 一种动态融合规则到诈骗行为识别模型的方法 - Google Patents

Abstract

一种动态融合规则到诈骗行为识别模型的方法，包括：由全量通话记录生成电信通联网络：G＝{V，E，Y}，并据此构建识别诈骗行为的时空图；读取诈骗行为识别规则表中的每条规则，计算每个用户对应于每条规则的转换值；将每个用户对应于规则的转换值构成每个用户的通话特征指标向量，每个用户的通话特征指标向量即是时空图中每个用户的节点特征；构建、并训练诈骗行为识别模型，然后将待识别用户的节点特征输入至诈骗行为识别模型，并根据模型输出判断待识别用户是否是可疑诈骗行为号码。本发明属于信息技术领域，能实现规则和模型的动态融合，从而实时检测、并准确识别各种诈骗行为。

Description

一种动态融合规则到诈骗行为识别模型的方法

技术领域

本发明涉及一种动态融合规则到诈骗行为识别模型的方法，属于信息技术领域。

背景技术

目前，对诈骗行为的识别主要分为基于规则或基于模型的两种方式。但这两种方式各有利弊：

(1)基于规则的识别，静态规则利于理解，可以根据需求动态修改，但发现方式单一、且独立识别效果不理想；

(2)基于模型的识别，可以达到很高的准确性，但由于内部工作难以理解，因此不方便对输出结果进行调整。

因此，如何实现规则和模型的动态融合，从而实时检测、并准确识别各种诈骗行为，已经成为技术人员普遍关注的技术问题。

发明内容

有鉴于此，有鉴于此，本发明的目的是提供一种动态融合规则到诈骗行为识别模型的方法，能实现规则和模型的动态融合，从而实时检测、并准确识别各种诈骗行为。

本发明提供了一种动态融合规则到诈骗行为识别模型的方法，包括有：

步骤一、由全量通话记录生成电信通联网络：G＝{V，E，Y}，并据此构建识别诈骗行为的时空图，其中，V表示所有通信用户的节点集合，v_i∈V，v_i表示用户i的节点，E表示所有用户节点之间通话关系的集合，e_ijt＝(v_i，v_j，t)∈E，e_ijt表示用户i在t时刻给用户j的通话，Y表示人工标注的用户身份集合，y_i∈Y，y_i是人工标注的用户i的身份；

步骤二、读取诈骗行为识别规则表中的每条规则，计算每个用户对应于每条规则的转换值；

步骤三、将每个用户对应于规则的转换值构成每个用户的通话特征指标向量，每个用户的通话特征指标向量即是时空图中每个用户的节点特征；

步骤四、构建、并训练诈骗行为识别模型，所述诈骗行为识别模型的输入是目标用户的节点特征，输出是标示目标用户是否是可疑诈骗行为号码的标签信息，然后将待识别用户的节点特征输入至诈骗行为识别模型，并根据模型输出判断待识别用户是否是可疑诈骗行为号码，

以第g条规则为例，步骤二中，计算每个用户对应于第g条规则的转换值，进一步包括有：

步骤21、判断用户的通话记录是否符合第g条规则，如果是，则用户对应于第g条规则的转换值为1，然后继续下一步；如果否，则用户对应于第g条规则的转换值为0，然后继续下一步；

步骤22、根据第g条规则的强制度，调整用户对应于第g条规则的转换值：x′_ig＝ed_g×x_ig,其中，x_ig是用户i对应于第g条规则的转换值，x′_ig是调整后的用户i对应于第g条规则的转换值，ed_g是第g条规则的强制度，

以第g条规则为例，第g条规则的强制度的计算过程如下：

步骤A1、计算第g条规则的多项规则性能评价指标，规则性能评价指标包括有正向性能指标和负向性能指标，其中，正向性能指标的数值越大，则表示规则执行效果越好，负向性能指标的数值越小，则表示规则执行效果越好，并由正向性能指标、负向性能指标分别构成第g条规则的正向性能指标向量Ind_pos^g、负向性能指标向量Ind_neg^g；

步骤A2、根据规则性能评价指标的重要性，设置第g条规则的每项正向性能指标和负向性能指标的权重值和理想值，并由所有正向性能指标和负向性能指标的权重值分别构成第g条规则的正向性能指标权重向量w_pos^g和负向性能指标权重向量w_neg^g；

步骤A3、根据正向性能指标和负向性能指标的理想值，调整第g条规则的正向性能指标向量和负向性能指标向量：

其中，

分别是第g条规则的正向性能指标向量Ind_pos^g、负向性能指标向量Ind_neg^g中的第k个正向性能指标、第l个负向性能指标，

分别是对

调整后的值，

分别是

的理想值；

步骤A4、计算第g条规则的综合性能表现值：com_per_g＝Ind_pos^g·w_pos^g+Ind_neg^g·w_neg^g；

步骤A5、设定第g条规则适配的多项诈骗行为，并据此计算第g条规则的强制度：

其中，ed_g是第g条规则的强制度，SN是第g条规则适配的诈骗行为数，at_s是第s种诈骗行为的关注度，ab_gs是第g条规则对第s种诈骗行为的适用度。

与现有技术相比，本发明的有益效果是：本发明先将每条规则转换成时空图中每个用户节点特征中的一个值，然后将用户的节点特征输入至诈骗行为识别模型中，从而实现规则和模型的动态融合，能更好的挖掘出关键信息，找到隐含特征，增强识别效果，同时还可以根据需求动态修改规则；本发明在融合规则的基础上，还将策略也动态融合到模型中，将所有规则、策略的转换值和用户的其他特征相融合，一起作为网络图的节点特征通过多层神经网络投射到更紧致的隐空间，进一步提高模型预测效果；本发明还进一步将所有规则和诈骗行为识别模型的输出结果相融合，提高对诈骗行为的识别准确率。

附图说明

图1是本发明一种动态融合规则到诈骗行为识别模型的方法的流程图。

图2是以1个小时为时间间隔、构成识别诈骗行为的时空图的3张时空子图的一个实施例的示意图。

图3是步骤二中，计算每个用户对应于第g条规则的转换值的具体步骤流程图。

图4是第g条规则的强制度的计算过程流程图。

图5是步骤B中，计算每个用户对应于第c条策略的转换值的具体步骤流程图。

图6是以第c条策略为例，步骤B1的具体步骤流程图。

图7是根据策略构建逻辑树的一个实施例的示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明作进一步的详细描述。

本发明可以根据业务关注度、业务经验等，对呼叫行为、通联关系、攻击事件流等多维度提取规则。规则可以包括呼叫码号规则(号段规则、不规范号码、特殊尾号、特定前缀号码等)、统计规则、通联规则、行为规则、时间序列规则、文本关键词规则、特定正则表达式文本规则等。

如图1所示，本发明一种动态融合规则到有害呼叫行为识别模型的方法，包括有：

步骤一、由全量通话记录生成电信通联网络：G＝{V，E，Y}，并据此构建识别诈骗行为的时空图，其中，V表示所有通信用户的节点集合，v_i∈V，v_i表示用户i的节点，E表示所有用户节点之间通话关系的集合，e_ijt＝(v_i，v_j，t)∈E，e_ijt表示用户i在t时刻给用户j的通话，Y表示人工标注的用户身份集合，y_i∈Y，y_i是人工标注的用户i的身份，可以标记为自然诈骗人或普通用户；

步骤二、读取诈骗行为识别规则表中的每条规则，计算每个用户对应于每条规则的转换值；

步骤三、将每个用户对应于规则的转换值构成每个用户的通话特征指标向量，每个用户的通话特征指标向量即是时空图中每个用户的节点特征；

步骤四、构建、并训练诈骗行为识别模型，所述诈骗行为识别模型的输入是目标用户的节点特征，输出是标示目标用户是否是可疑诈骗行为号码的标签信息，然后将待识别用户的节点特征输入至诈骗行为识别模型，并根据模型输出判断待识别用户是否是可疑诈骗行为号码。

步骤一中所构建的识别诈骗行为的时空图是由连续多张时空子图组成的集合。图2示出了以1个小时为时间间隔、构成时空图的3张时空子图的示意图。其中，G₁、G₂、G₃这3张时空子图分别对应的时间周期是8：00-9：00、9：00-10：00、10：00-11：00，时空子图中由节点v_i指向v_j的有向边表示用户i在时空子图对应时间周期下存在有给用户j的1次通话，例如，G₁中由v₁指向v₂的有向边表示用户1在t₁₁时刻给用户2的1次通话。基于本发明中的时空图，申请人还同时提出了专利申请：一种基于时空图的诈骗号码识别方法。

步骤二中，诈骗行为识别规则表中的规则可以包括如下多种：

(1)码号规则——例如：主叫是110特服尾号；

(2)行为指标规则——例如：主叫离散度>0.9且主叫呼叫频次＞50且主叫接通率<0.05；

(3)文本关键词规则——例如：主叫的对话语音文本中匹配到关键词：贷款|银行|资金周转|放款|放贷|利息|额度|下款”等。

如图3所示，以第g条规则为例，步骤二中，计算每个用户对应于第g条规则的转换值，可以进一步包括有：

步骤21、判断用户的通话记录是否符合第g条规则？如果是，则用户对应于第g条规则的转换值为1，然后继续下一步；如果否，则用户对应于第g条规则的转换值为0，然后继续下一步；可以先将规则转化成值为1或0；

步骤22、根据第g条规则的强制度，调整用户对应于第g条规则的转换值：x′_ig＝ed_g×x_ig,其中，x_ig是用户i对应于第g条规则的转换值，x′_ig是调整后的用户i对应于第g条规则的转换值，ed_g是第g条规则的强制度。

每条规则都有自己的规则强制度，规则强制度越高，则表示该规则优先级越靠前，越被重视和需要。如图4所示，以第g条规则为例，第g条规则的强制度的计算过程如下：

步骤A1、计算第g条规则的多项规则性能评价指标，规则性能评价指标包括有正向性能指标和负向性能指标，其中，正向性能指标的数值越大，则表示规则执行效果越好，负向性能指标的数值越小，则表示规则执行效果越好，并由正向性能指标、负向性能指标分别构成第g条规则的正向性能指标向量Ind_pos^g、负向性能指标向量Ind_neg^g；

步骤A1中的规则性能评价指标可以包括但不限于：日送审量、日过审占比、周投诉占比等，其中，日送审量是规则每日输出送审的号码数；日过审占比是规则每日输出送审的号码过审量/日送审量*100％；周投诉占比：规则前一周输出的号码被投诉的数量/规则前一周输出送审号码数*100％；

步骤A2、根据规则性能评价指标的重要性，设置第g条规则的每项正向性能指标和负向性能指标的权重值和理想值，并由所有正向性能指标和负向性能指标的权重值分别构成第g条规则的正向性能指标权重向量w_pos^g和负向性能指标权重向量w_neg^g；

步骤A3、根据正向性能指标和负向性能指标的理想值，调整第g条规则的正向性能指标向量和负向性能指标向量：

其中，

分别是第g条规则的正向性能指标向量Ind_pos^g、负向性能指标向量Ind_neg^g中的第k个正向性能指标、第l个负向性能指标，

分别是对

调整后的值，

分别是

的理想值；

步骤A4、计算第g条规则的综合性能表现值：com_per_g＝Ind_pos^g·w_pos^g+Ind_neg^g·w_neg^g；

步骤A5、设定第g条规则适配的多项诈骗行为，并据此计算第g条规则的强制度：

其中，ed_g是第g条规则的强制度，SN是第g条规则适配的诈骗行为数，at_s是第s种诈骗行为的关注度，ab_gs是第g条规则对第s种诈骗行为的适用度，at_s、ab_gs的值可根据实际业务需要而设定。

策略由多条基本规则通过逻辑运算符连接而形成，本发明还可以进一步将策略动态融合到诈骗行为识别模型中。诈骗行为识别策略表中的每条策略是由多条基本规则通过逻辑运算符连接而形成的，具体形式可以为：

在图1的步骤二和三之中，还可以包括有：

步骤B、读取诈骗行为识别策略表中的每条策略，计算每个用户对应于每条策略的转换值，

这样，步骤三还包括有：

将每个用户对应于策略的转换值也加入到每个用户的通话特征指标向量中。

如图5所示，以第c条策略为例，步骤B中，计算每个用户对应于第c条策略的转换值，可以进一步包括有：

步骤B1、根据第c条策略中所包含的规则及规则之间的逻辑运算符，构建第c条策略对应的逻辑树，所述逻辑树上的每个叶子节点和第c条策略中的每条规则相关联，叶子节点之间的每条边和第c条策略中的每个逻辑运算符and相对应；

步骤B2、先计算第c条策略对应的逻辑树上的每个叶子节点值，所述叶子节点值即是每个用户对应于与叶子节点相关联的规则的转换值(对于规则的转换值计算可参见图2所示的具体步骤)，然后根据节点之间的父子关系，逐层向上计算逻辑树上的每一层节点值，从而最终获得第c条策略对应的逻辑树的根节点值，所述根节点值即是每个用户对应于第c条策略的转换值。

逻辑树是由节点和边两种元素组成的结构。而节点分为根节点、父节点、子节点和叶子节点。父节点和子节点是相对的，子节点由父节点分裂而来，子节点可作为新的父节点继续分裂，直至不能分裂为止。根节点是没有父节点的节点，叶子节点是没有子节点的节点。

如图6所示，以第c条策略为例，步骤B1可以进一步包括有：

步骤B11、设置m为1，根节点是当前节点；

步骤B12、读取第c条策略中的第m个字符，判断第m个字符是否是左括号“(”？如果是，则为当前节点增加一个子节点，新增子节点成为当前节点，然后继续步骤B17；如果否，则继续下一步；

步骤B13、判断第m个字符是否是1条规则？如果是，则将当前节点与第m个字符对应的规则相关联，然后继续步骤B17；如果否，则继续下一步；

步骤B14、判断第m个字符是否是逻辑运算符and？如果是，则为当前节点增加一个兄弟节点，新增兄弟节点成为当前节点，然后继续步骤B17；如果否，则继续下一步；

步骤B15、判断第m个字符是否是逻辑运算符or？如果是，则回到当前节点的父节点，为该父节点增加一个子节点，新增子节点成为当前节点，然后继续步骤B17；如果否，则继续下一步；

步骤B16、判断第m个字符是否是右括号“)”？如果是，则回到当前节点的父节点，父节点成为当前节点，然后继续步骤B17；如果否，则本流程结束；

步骤B17、将m加1，然后转向步骤B12。

这样，每条策略对应的逻辑树构建完成之后，每个叶子节点都对应1条规则；叶子节点之间的边对应逻辑运算符and；有几层括号，则有几层节点(根节点不计入)；同一个括号内的规则最终可归到同一层节点上。

步骤B2中，逐层向上计算逻辑树上的每一层节点值，可以进一步包括有：

判断每一层父节点所对应的多个子节点之间是否存在有连接边？如果是，则父节点值是所有子节点值的平均值；如果否，则从所有子节点值中挑选最大值，所述最大值即是父节点值。

图7是以策略1＝(((r1 and r2)or r3)and r4)为例所构建的逻辑树，其中，r1、r2、r3、r4分别是不同规则。

每个用户的通话特征指标向量除了包含有对应于规则、策略的转换值，还可以包括但不限于：呼叫频次、被叫号码数、离散度、忙时率、通话间隔平均值、呼叫间隔平均值、通话时长平均值、振铃时长平均值、未接通振铃时长平均值、接通率、被叫释放率、主叫类型、被叫类型、主叫地区、被叫地区。这样，通过将对应于规则、策略的转换值和用户的其他特征相融合，一起作为时空图的点特征通过多层神经网络投射到更紧致的隐空间，从而能精准识别各种有害呼叫行为。

步骤三中的诈骗行为识别模型可以采用现有的神经网络模型，可以包括但不限于：图卷积、递归神经等各种常用神经网络。

本发明还可以进一步将所有规则和有害呼叫行为识别模型的输出结果相结合，从而更准确识别有害呼叫行为，包括有：

步骤C1、当前时刻为t₀，设定时间周期T，分别读取t₀、t₀-T、t₀-2T时刻每条规则、诈骗行为识别模型分别输出的可疑诈骗行为号码集，然后计算每条规则和诈骗行为识别模型输出的可疑诈骗行为号码交集：

，其中，Rule_g∩Model是第g条规则和诈骗行为识别模型输出的可疑诈骗行为号码交集，

分别是t₀时刻第g条规则、诈骗行为识别模型输出的可疑诈骗行为号码集，

分别是t₀-T时刻第g条规则、诈骗行为识别模型输出的可疑诈骗行为号码集，

分别是t₀-2T时刻第g条规则、诈骗行为识别模型输出的可疑诈骗行为号码集；

步骤C2、计算每个号码的诈骗行为疑似度：

其中，Ind_doubt^x是号码x的诈骗行为疑似度，ed_g是第g条规则的强制度，

是号码x在第g条规则和诈骗行为识别模型输出的诈骗行为号码交集中的出现次数，rs是规则总数，并据此判断每个号码是否是可疑诈骗行为号码。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

Claims (8)

1.一种动态融合规则到诈骗行为识别模型的方法，其特征在于，包括有：

步骤一、由全量通话记录生成电信通联网络：G＝{V，E，Y}，并据此构建识别诈骗行为的时空图，其中，V表示所有通信用户的节点集合，v_i∈V，v_i表示用户i的节点，E表示所有用户节点之间通话关系的集合，e_ijt＝(v_i，v_j，t)∈E，e_ijt表示用户i在t时刻给用户j的通话，Y表示人工标注的用户身份集合，y_i∈Y，y_i是人工标注的用户i的身份；

步骤二、读取诈骗行为识别规则表中的每条规则，计算每个用户对应于每条规则的转换值；

步骤三、将每个用户对应于规则的转换值构成每个用户的通话特征指标向量，每个用户的通话特征指标向量即是时空图中每个用户的节点特征；

步骤四、构建、并训练诈骗行为识别模型，所述诈骗行为识别模型的输入是目标用户的节点特征，输出是标示目标用户是否是可疑诈骗行为号码的标签信息，然后将待识别用户的节点特征输入至诈骗行为识别模型，并根据模型输出判断待识别用户是否是可疑诈骗行为号码，

以第g条规则为例，步骤二中，计算每个用户对应于第g条规则的转换值，进一步包括有：

步骤21、判断用户的通话记录是否符合第g条规则，如果是，则用户对应于第g条规则的转换值为1，然后继续下一步；如果否，则用户对应于第g条规则的转换值为0，然后继续下一步；

步骤22、根据第g条规则的强制度，调整用户对应于第g条规则的转换值：x′_ig＝ed_g×x_ig，其中，x_ig是用户i对应于第g条规则的转换值，x′_ig是调整后的用户i对应于第g条规则的转换值，ed_g是第g条规则的强制度，

以第g条规则为例，第g条规则的强制度的计算过程如下：

步骤A1、计算第g条规则的多项规则性能评价指标，规则性能评价指标包括有正向性能指标和负向性能指标，其中，正向性能指标的数值越大，则表示规则执行效果越好，负向性能指标的数值越小，则表示规则执行效果越好，并由正向性能指标、负向性能指标分别构成第g条规则的正向性能指标向量Ind_pos^g、负向性能指标向量Ind_neg^g；

步骤A2、根据规则性能评价指标的重要性，设置第g条规则的每项正向性能指标和负向性能指标的权重值和理想值，并由所有正向性能指标和负向性能指标的权重值分别构成第g条规则的正向性能指标权重向量w_pos^g和负向性能指标权重向量w_neg^g；

步骤A3、根据正向性能指标和负向性能指标的理想值，调整第g条规则的正向性能指标向量和负向性能指标向量：

其中，

分别是第g条规则的正向性能指标向量Ind_pos^g、负向性能指标向量Ind_neg^g中的第k个正向性能指标、第I个负向性能指标，

分别是对

调整后的值，

分别是

的理想值；

步骤A4、计算第g条规则的综合性能表现值：com_per_g＝Ind_pos^g·w_pos^g+Ind_neg^g·w_neg^g；

步骤A5、设定第g条规则适配的多项诈骗行为，并据此计算第g条规则的强制度：

其中，ed_g是第g条规则的强制度，SN是第g条规则适配的诈骗行为数，at_s是第s种诈骗行为的关注度，ab_gs是第g条规则对第s种诈骗行为的适用度。

2.根据权利要求1所述的方法，其特征在于，步骤A1中的规则性能评价指标包括但不限于：日送审量、日过审占比、周投诉占比，其中，日送审量是规则每日输出送审的号码数，日过审占比是规则每日输出送审的号码过审量/日送审量*100％，周投诉占比是规则前一周输出的号码被投诉的数量/规则前一周输出送审号码数*100％。

3.根据权利要求1所述的方法，其特征在于，在步骤二和三之中，还包括有：

步骤B、读取诈骗行为识别策略表中的每条策略，计算每个用户对应于每条策略的转换值，

步骤三还包括有：

将每个用户对应于策略的转换值也加入到每个用户的通话特征指标向量中。

4.根据权利要求3所述的方法，其特征在于，以第c条策略为例，步骤B中，计算每个用户对应于第c条策略的转换值，进一步包括有：

步骤B1、根据第c条策略中所包含的规则及规则之间的逻辑运算符，构建第c条策略对应的逻辑树，所述逻辑树上的每个叶子节点和第c条策略中的每条规则相关联，叶子节点之间的每条边和第c条策略中的每个逻辑运算符and相对应；

步骤B2、先计算第c条策略对应的逻辑树上的每个叶子节点值，所述叶子节点值即是每个用户对应于与叶子节点相关联的规则的转换值，然后根据节点之间的父子关系，逐层向上计算逻辑树上的每一层节点值，从而最终获得第c条策略对应的逻辑树的根节点值，所述根节点值即是每个用户对应于第c条策略的转换值。

5.根据权利要求4所述的方法，其特征在于，以第c条策略为例，步骤B1进一步包括有：

步骤B11、设置m为1，根节点是当前节点；

步骤B12、读取第c条策略中的第m个字符，判断第m个字符是否是左括号，如果是，则为当前节点增加一个子节点，新增子节点成为当前节点，然后继续步骤B17；如果否，则继续下一步；

步骤B13、判断第m个字符是否是1条规则，如果是，则将当前节点与第m个字符对应的规则相关联，然后继续步骤B17；如果否，则继续下一步；

步骤B14、判断第m个字符是否是逻辑运算符and，如果是，则为当前节点增加一个兄弟节点，新增兄弟节点成为当前节点，然后继续步骤B17；如果否，则继续下一步；

步骤B15、判断第m个字符是否是逻辑运算符or，如果是，则回到当前节点的父节点，为该父节点增加一个子节点，新增子节点成为当前节点，然后继续步骤B17；如果否，则继续下一步；

步骤B16、判断第m个字符是否是右括号，如果是，则回到当前节点的父节点，父节点成为当前节点，然后继续步骤B17；如果否，则本流程结束；

步骤B17、将m加1，然后转向步骤B12。

6.根据权利要求4所述的方法，其特征在于，步骤B2中，逐层向上计算逻辑树上的每一层节点值，进一步包括有：

判断每一层父节点所对应的多个子节点之间是否存在有连接边，如果是，则父节点值是所有子节点值的平均值；如果否，则从所有子节点值中挑选最大值，所述最大值即是父节点值。

7.根据权利要求1所述的方法，其特征在于，每个用户的通话特征指标向量还包括但不限于：呼叫频次、被叫号码数、离散度、忙时率、通话间隔平均值、呼叫间隔平均值、通话时长平均值、振铃时长平均值、未接通振铃时长平均值、接通率、被叫释放率、主叫类型、被叫类型、主叫地区、被叫地区。

8.根据权利要求1所述的方法，其特征在于，还包括有：

步骤C1、当前时刻为t₀，设定时间周期T，分别读取t₀、t₀-T、t₀-2T时刻每条规则、诈骗行为识别模型分别输出的可疑诈骗行为号码集，然后计算每条规则和诈骗行为识别模型输出的可疑诈骗行为号码交集：

，其中，Rule_g∩Model是第g条规则和诈骗行为识别模型输出的可疑诈骗行为号码交集，

分别是t₀时刻第g条规则、诈骗行为识别模型输出的可疑诈骗行为号码集，

分别是t₀-T时刻第g条规则、诈骗行为识别模型输出的可疑诈骗行为号码集，

分别是t₀-2T时刻第g条规则、诈骗行为识别模型输出的可疑诈骗行为号码集；

步骤C2、计算每个号码的诈骗行为疑似度：

其中，Ind_doubt^x是号码x的诈骗行为疑似度，ed_g是第g条规则的强制度，

是号码x在第g条规则和诈骗行为识别模型输出的诈骗行为号码交集中的出现次数，rs是规则总数，并据此判断每个号码是否是可疑诈骗行为号码。

Images