CN111918293A - 一种通讯信息诈骗的多维度关联检测方法 - Google Patents

Abstract

本发明属于信息安全、通讯信息诈骗识别技术领域，尤其是一种通讯信息诈骗的多维度关联检测方法，针对现有的通讯信息诈骗的检测技术分析维度单一，仅通过分析诈骗业务链中的某环节行为，可检测的诈骗事件数量有限问题，现提出如下方案，其包括诈骗短信检测模块，其特征在于，所述诈骗短信检测模块与恶意网址检测模块以及异常通话检测模块电性连接。本发明检测效果好，识别范围广，隐私保护效果好，实用性高。

Description

一种通讯信息诈骗的多维度关联检测方法

技术领域

本发明涉及信息安全、通讯信息诈骗识别技术领域，尤其涉及一种通讯信息诈骗的多维度关联检测方法。

背景技术

通讯信息诈骗是指犯罪分子使用电信网络，通过电话、网络或短信等方式，编造虚假信息，设置骗局，对受害人实施远程、非接触式诈骗，诱使受害人给犯罪分子打款或转账的犯罪行为。通讯信息诈骗手段多、套路深、识别难，目前针对通讯信息诈骗的检测技术主要有：1、基于通话信令话单分析的检测技术：该技术主要通过对用户在通话时产生的信令话单进行分析，统计特定诈骗场景下通话号码及呼叫行为的规律，实现对诈骗事件的检测识别。2、基于通话语音语义分析的检测技术：该技术主要通过对通话过程的语音内容进行识别，组合分析已识别的关键字语义，判定是否为通讯信息诈骗行为

通讯信息诈骗作为新型网络通信犯罪，作案手段多样、套路隐蔽，而现有通讯信息诈骗的检测技术分析维度单一，仅通过分析诈骗业务链中的某环节(如通话)行为，可检测的诈骗事件数量有限，进而提出一种通讯信息诈骗的多维度关联检测方法。

发明内容

本发明提出的一种通讯信息诈骗的多维度关联检测方法，解决了现有的通讯信息诈骗的检测技术分析维度单一，仅通过分析诈骗业务链中的某环节(如通话)行为，可检测的诈骗事件数量有限问题。

为了实现上述目的，本发明采用了如下技术方案：

一种通讯信息诈骗的多维度关联检测方法，包括诈骗短信检测模块，其特征在于，所述诈骗短信检测模块与恶意网址检测模块以及异常通话检测模块电性连接。

优选的，所述诈骗短信检测模块包括以下检测步骤：

S1，提取检测时间段t内短信话单，通过对比正常短信业务端口白名单，剔除已确认的正常短信业务端口类号码；

S2，对于S1输出的待检测号码，分析t时间内其对应的所有接收方个人号码，以号码前七位作为一个号段，统计接收方不同号码总个数、不同号段总个数，以及接收方平均每个号段的不同号码个数，所述平均每个号段的不同号码个数＝接收方不同号码总个数/接收方不同号段总个数；

S3，对于S1输出的待检测号码，统计t时间内其短信回复率，所述短信回复率＝有回复记录的短信发送量/短信发送总量；

S4，若满足以下任意一个条件，则判断待检测号码的发送短信属于疑似诈骗短信，进入S5继续检测：

S4.1，接收方不同号码总个数、不同号段总个数均大于指定阈值；

S4.2，接收方平均每个号段的不同号码个数大于指定阈值；

S4.3，发送方的短信回复率低于指定阈值；

S5，提取接收方号码在接收到疑似诈骗短信前的历史n天通话及短信记录，若该接收方号码与疑似诈骗号码历史n天内均无通话或短信记录，则对于接收方号码而言该疑似诈骗号码属于陌生关系。由此，判断该接受方号码属于潜在受骗号码，将潜在受骗号码与诈骗短信接收时间点输出到后续的检测模块当中。

优选的，所述恶意网址检测模块包括以下检测步骤：

S1，对于诈骗短信检测模块输出的潜在受骗用户，提取其诈骗短信接收时间点后的t1时间范围内上网话单；

S2，将用户主动点击访问的链接网址，与已有的恶意网址黑名单库进行匹配，若命中黑名单列表，则判断该用户属于疑似受骗用户，结束整个关联检测流程，输出分析结果，否则进入S3继续进行检测；

S3，通过爬虫技术获取访问网址的网页内容，并提取其关键词，计算提取到的网页内容关键词与已知正常网页关键词的相似度，若相似度大于指定阈值，则判断该用户访问了恶意网址，属于疑似受骗用户。

优选的，所述异常通话检测模块包括以下检测步骤：

S1，对于诈骗短信检测模块输出的潜在受骗用户，提取其诈骗短信接收时间点后的t2时间范围内通话话单，从中筛选出与该用户作为被叫、通话总时长超过指定阈值的主叫号码，作为待检测号码；

S2，搜索潜在受骗用户在诈骗短信接收时间点前历史n天的通话记录，若用户与待检测号码在历史n天内无通话记录，则转S3继续检测，否则判断属于正常通话，结束流程；

S3，若待检测号码的特征满足以下任一条件，则认为用户通话为异常通话，用户疑似受骗；

S3.1、号码尾号与已知正常号码类似；

S3.2、号码属于不规则号码；

S3.3、指定时间内号码主叫次数高于指定阈值，且主叫比例高于指定阈值，主叫比例＝主叫通话次数/总通话次数；

S3.4、指定时间内号码呼叫接通率低于指定阈值。

优选的，所述网页内容关键词与已知正常网页关键词的相似度的计算方法如下：

S1、爬取待检测网址及已知正常网址的网页信息，从爬取结果中的关键词字段提取该网页的关键词列表；

S2、分析待检测网址和已知正常网页的所有关键词，建立全量关键词表。全量关键词表将所有出现过的关键词进行去重并排序，格式为关键词1，关键词2，关键词3，……，关键词N；

S3、计算关键词的词向量，方法为：对于网页出现过的关键词，其对应全量关键词表中的值设置为1，而未出现的关键词，其对应全量关键词表中的值设置为0，例如待检测网页仅出现过全量关键词表中的关键词1与关键词3，则其关键词词向量为1,0,1,0,0,0……0；

S4、遍历计算待检测网页与各已知正常网页关键词词向量的余弦相似度，作为评价两者相似度的标准，余弦相似度计算公式如下：

对于待检测网页的关键词词向量A＝A1,A2,……,An，已知正常网页的关键词词向量B＝B1,B2,……,Bn，余弦相似度cosθ计算公式为：

其中cosθ的取值范围为[0,1]。余弦相似度取值越趋近于0，表示这两个网页的相似程度越低，取值越趋近于1，表示这两个网页的相似程度越高，用户访问的越有可能是恶意网址。

本发明的有益效果是：1、本发明无须提取短信内容，通过分析短信发送方号码及行为，从海量短信中筛选出广撒网式疑似诈骗短信，并由此识别潜在受骗群体；2、本发明从短信、上网、通话等维度关联检测通讯信息诈骗事件，相比传统单一维度的检测方法，有效扩大了诈骗事件的识别范围；并且无须触及用户通讯内容，实现对通讯信息诈骗事件的准确识别；3、本发明能够全方位多维度分析通讯信息诈骗的完整过程，解决传统单一维度检测方法可识别范围小的问题，并为后续的诈骗溯源提供充足依据；4、本发明能够充分保护用户隐私，检测数据仅涉及用户号码及通讯行为，不涉及具体通讯内容。本发明检测效果好，识别范围广，隐私保护效果好，实用性高。

附图说明

图1为本发明提出的一种通讯信息诈骗的多维度关联检测方法的整体流程。

图2为本发明提出的一种通讯信息诈骗的多维度关联检测方法中诈骗短信检测模块的流程图。

图3为本发明提出的一种通讯信息诈骗的多维度关联检测方法中恶意网址检测模块的流程图。

图4为本发明提出的一种通讯信息诈骗的多维度关联检测方法中关键词相似度的计算流程图。

图5为本发明提出的一种通讯信息诈骗的多维度关联检测方法中通话行为检测模块的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。

参照图1-5，一种通讯信息诈骗的多维度关联检测方法，包括诈骗短信检测模块，其特征在于，所述诈骗短信检测模块与恶意网址检测模块以及异常通话检测模块电性连接。

2、根据权利要求1所述的一种通讯信息诈骗的多维度关联检测方法，其特征在于，所述诈骗短信检测模块包括以下检测步骤：

S1，提取检测时间段t内短信话单，通过对比正常短信业务端口白名单，剔除已确认的正常短信业务端口类号码；

S2，对于S1输出的待检测号码，分析t时间内其对应的所有接收方个人号码，以号码前七位作为一个号段，统计接收方不同号码总个数、不同号段总个数，以及接收方平均每个号段的不同号码个数，所述平均每个号段的不同号码个数＝接收方不同号码总个数/接收方不同号段总个数；

S3，对于S1输出的待检测号码，统计t时间内其短信回复率，所述短信回复率＝有回复记录的短信发送量/短信发送总量；

S4，若满足以下任意一个条件，则判断待检测号码的发送短信属于疑似诈骗短信，进入S5继续检测：

S4.1，接收方不同号码总个数、不同号段总个数均大于指定阈值；

S4.2，接收方平均每个号段的不同号码个数大于指定阈值；

S4.3，发送方的短信回复率低于指定阈值；

S5，提取接收方号码在接收到疑似诈骗短信前的历史n天通话及短信记录，若该接收方号码与疑似诈骗号码历史n天内均无通话或短信记录，则对于接收方号码而言该疑似诈骗号码属于陌生关系。由此，判断该接受方号码属于潜在受骗号码，将潜在受骗号码与诈骗短信接收时间点输出到后续的检测模块当中。

3、根据权利要求1所述的一种通讯信息诈骗的多维度关联检测方法，其特征在于，所述恶意网址检测模块包括以下检测步骤：

S1，对于诈骗短信检测模块输出的潜在受骗用户，提取其诈骗短信接收时间点后的t1时间范围内上网话单；

S2，将用户主动点击访问的链接网址，与已有的恶意网址黑名单库进行匹配，若命中黑名单列表，则判断该用户属于疑似受骗用户，结束整个关联检测流程，输出分析结果，否则进入S3继续进行检测；

S3，通过爬虫技术获取访问网址的网页内容，并提取其关键词，计算提取到的网页内容关键词与已知正常网页关键词的相似度，若相似度大于指定阈值，则判断该用户访问了恶意网址，属于疑似受骗用户，所述正常网页包括公检法、电商官方网站等熟知的官方网站。

4、根据权利要求1所述的一种通讯信息诈骗的多维度关联检测方法，其特征在于，所述异常通话检测模块包括以下检测步骤：

S1，对于诈骗短信检测模块输出的潜在受骗用户，提取其诈骗短信接收时间点后的t2时间范围内通话话单，从中筛选出与该用户作为被叫、通话总时长超过指定阈值的主叫号码，作为待检测号码；

S2，搜索潜在受骗用户在诈骗短信接收时间点前历史n天的通话记录，若用户与待检测号码在历史n天内无通话记录，则转S3继续检测，否则判断属于正常通话，结束流程；

S3，若待检测号码的特征满足以下任一条件，则认为用户通话包括异常通话，用户疑似受骗；

S3.1、号码尾号与已知正常号码类似，所述正常号码为公检法、银行、客服官方热线以及常规的熟知的官方号码；

S3.2、号码属于不规则号码；

S3.3、指定时间内号码主叫次数高于指定阈值，且主叫比例高于指定阈值，主叫比例＝主叫通话次数/总通话次数；

S3.4、指定时间内号码呼叫接通率低于指定阈值。

5、根据权利要求3所述的一种通讯信息诈骗的多维度关联检测方法，其特征在于，所述网页内容关键词与已知正常网页关键词的相似度的计算方法如下：

S1、爬取待检测网址及已知正常网址的网页信息，从爬取结果中的关键词字段提取该网页的关键词列表；

S2、分析待检测网址和已知正常网页的所有关键词，建立全量关键词表。全量关键词表将所有出现过的关键词进行去重并排序，格式为关键词1，关键词2，关键词3，……，关键词N；

S3、计算关键词的词向量，方法为：对于网页出现过的关键词，其对应全量关键词表中的值设置为1，而未出现的关键词，其对应全量关键词表中的值设置为0，例如待检测网页仅出现过全量关键词表中的关键词1与关键词3，则其关键词词向量为1,0,1,0,0,0……0；

S4、遍历计算待检测网页与各已知正常网页关键词词向量的余弦相似度，作为评价两者相似度的标准，余弦相似度计算公式如下：

对于待检测网页的关键词词向量A＝A1,A2,……,An，已知正常网页的关键词词向量B＝B1,B2,……,Bn，余弦相似度cosθ计算公式为：

其中cosθ的取值范围为[0,1]。余弦相似度取值越趋近于0，表示这两个网页的相似程度越低，取值越趋近于1，表示这两个网页的相似程度越高，用户访问的越有可能是恶意网址。

实施例：本发明通过关联分析用户短信、上网、通话话单数据，实现通讯信息诈骗事件的检测，首先通过诈骗短信检测模块，从全量短信发送记录中，筛选过滤出存在广撒网现象的疑似诈骗短信；然后通过恶意网址检测模块及异常通话检测模块，分析用户是否访问过恶意网址，或者与陌生号码进行过异常通话，进而从诈骗广撒网目标用户群体中筛选过滤出疑似受骗用户，输出事件分析结果；诈骗短信检测模块是通过分析短信发送方的号码和行为，判断是否广撒网式的疑似诈骗短信，若发送方号码不属于正常端口类号码，同时短信发送行为满足预设的广撒网条件，且发送方与接收方在历史时间范围内无短信或通话记录，则认为该发送号码属于疑似诈骗短信发送方，收到该类短信的号码属于潜在受骗用户，并将潜在受骗号码及短信接收时间输出到后续检测模块当中；恶意网址检测模块是针对诈骗短信检测模块输出的潜在受骗用户，提取其诈骗短信接收时间点后的t1时间范围内上网话单，分析用户主动点击访问的链接网址，匹配已知的恶意网址黑名单库，并通过爬虫技术提取网址对应页面内容，计算该网页关键词与已知正常网页的关键词相似度，判断是否属于恶意网址；异常通话检测模块针对诈骗短信检测模块输出的潜在受骗用户，提取其诈骗短信接收时间点后的t2时间范围内通话话单，分析用户是否与不规范号码、陌生号码或仿冒正常号码等有长时间的异常通话行为，判断该用户是否属于疑似受骗用户。

在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”、“顺时针”、“逆时针”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的设备或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。

Claims (5)

1.一种通讯信息诈骗的多维度关联检测方法，包括诈骗短信检测模块，其特征在于，所述诈骗短信检测模块与恶意网址检测模块以及异常通话检测模块电性连接。

2.根据权利要求1所述的一种通讯信息诈骗的多维度关联检测方法，其特征在于，所述诈骗短信检测模块包括以下检测步骤：

S1，提取检测时间段t内短信话单，通过对比正常短信业务端口白名单，剔除已确认的正常短信业务端口类号码；

S2，对于S1输出的待检测号码，分析t时间内其对应的所有接收方个人号码，以号码前七位作为一个号段，统计接收方不同号码总个数、不同号段总个数，以及接收方平均每个号段的不同号码个数，所述平均每个号段的不同号码个数＝接收方不同号码总个数/接收方不同号段总个数；

S3，对于S1输出的待检测号码，统计t时间内其短信回复率，所述短信回复率＝有回复记录的短信发送量/短信发送总量；

S4，若满足以下任意一个条件，则判断待检测号码的发送短信属于疑似诈骗短信，进入S5继续检测：

S4.1，接收方不同号码总个数、不同号段总个数均大于指定阈值；

S4.2，接收方平均每个号段的不同号码个数大于指定阈值；

S4.3，发送方的短信回复率低于指定阈值；

S5，提取接收方号码在接收到疑似诈骗短信前的历史n天通话及短信记录，若该接收方号码与疑似诈骗号码历史n天内均无通话或短信记录，则对于接收方号码而言该疑似诈骗号码属于陌生关系。由此，判断该接受方号码属于潜在受骗号码，将潜在受骗号码与诈骗短信接收时间点输出到后续的检测模块当中。

3.根据权利要求1所述的一种通讯信息诈骗的多维度关联检测方法，其特征在于，所述恶意网址检测模块包括以下检测步骤：

S1，对于诈骗短信检测模块输出的潜在受骗用户，提取其诈骗短信接收时间点后的t1时间范围内上网话单；

S2，将用户主动点击访问的链接网址，与已有的恶意网址黑名单库进行匹配，若命中黑名单列表，则判断该用户属于疑似受骗用户，结束整个关联检测流程，输出分析结果，否则进入S3继续进行检测；

S3，通过爬虫技术获取访问网址的网页内容，并提取其关键词，计算提取到的网页内容关键词与已知正常网页关键词的相似度，若相似度大于指定阈值，则判断该用户访问了恶意网址，属于疑似受骗用户。

4.根据权利要求1所述的一种通讯信息诈骗的多维度关联检测方法，其特征在于，所述异常通话检测模块包括以下检测步骤：

S1，对于诈骗短信检测模块输出的潜在受骗用户，提取其诈骗短信接收时间点后的t2时间范围内通话话单，从中筛选出与该用户作为被叫、通话总时长超过指定阈值的主叫号码，作为待检测号码；

S2，搜索潜在受骗用户在诈骗短信接收时间点前历史n天的通话记录，若用户与待检测号码在历史n天内无通话记录，则转S3继续检测，否则判断属于正常通话，结束流程；

S3，若待检测号码的特征满足以下任一条件，则认为用户通话为异常通话，用户疑似受骗；

S3.1、号码尾号与已知正常号码类似；

S3.2、号码属于不规则号码；

S3.3、指定时间内号码主叫次数高于指定阈值，且主叫比例高于指定阈值，主叫比例＝主叫通话次数/总通话次数；

S3.4、指定时间内号码呼叫接通率低于指定阈值。

5.根据权利要求3所述的一种通讯信息诈骗的多维度关联检测方法，其特征在于，所述网页内容关键词与已知正常网页关键词的相似度的计算方法如下：

S1、爬取待检测网址及已知正常网址的网页信息，从爬取结果中的关键词字段提取该网页的关键词列表；

S2、分析待检测网址和已知正常网页的所有关键词，建立全量关键词表。全量关键词表将所有出现过的关键词进行去重并排序，格式为关键词1，关键词2，关键词3，……，关键词N；

S3、计算关键词的词向量，方法为：对于网页出现过的关键词，其对应全量关键词表中的值设置为1，而未出现的关键词，其对应全量关键词表中的值设置为0，例如待检测网页仅出现过全量关键词表中的关键词1与关键词3，则其关键词词向量为1,0,1,0,0,0……0；

S4、遍历计算待检测网页与各已知正常网页关键词词向量的余弦相似度，作为评价两者相似度的标准，余弦相似度计算公式如下：

对于待检测网页的关键词词向量A＝A1,A2,……,An，已知正常网页的关键词词向量B＝B1,B2,……,Bn，余弦相似度cosθ计算公式为：

其中cosθ的取值范围为[0,1]。余弦相似度取值越趋近于0，表示这两个网页的相似程度越低，取值越趋近于1，表示这两个网页的相似程度越高，用户访问的越有可能是恶意网址。

Images