CN114189866A - 一种多卡宝的欺诈检测方法和装置 - Google Patents
一种多卡宝的欺诈检测方法和装置 Download PDFInfo
- Publication number
- CN114189866A CN114189866A CN202111318144.8A CN202111318144A CN114189866A CN 114189866 A CN114189866 A CN 114189866A CN 202111318144 A CN202111318144 A CN 202111318144A CN 114189866 A CN114189866 A CN 114189866A
- Authority
- CN
- China
- Prior art keywords
- card
- fraud
- call
- vdr
- treasure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明涉及通信技术领域,提供了一种多卡宝的欺诈检测方法和装置。方法包括根据获取的互联网电话数据话单VDR和运营商提供的呼叫详细记录CDR,得到所述多卡宝的通话信息;根据所述通话信息计算所述多卡宝的欺诈行为特征符合度;根据所述欺诈行为特征符合度判断所述多卡宝是否涉及欺诈。本发明根据所述通话信息进行的欺诈检测可以直接对应到多卡宝,而无需依次判断所述多卡宝中的多个号码是否涉及欺诈。
Description
技术领域
本发明涉及通信领域,特别是涉及一种多卡宝的欺诈检测方法和装置。
背景技术
多卡宝(Simbox)是一种多卡多待的外部扩展设备。用户可以将多张SIM卡 插入到一台多卡宝中,将多卡宝连接到网络,使用时通过手机上的多卡宝App与 多卡宝进行网络通信传输数据,多卡宝通过所插入的SIM卡与目标手机或电话 进行移动通信,多卡宝中的SIM卡号码被称作多卡宝号码,这种由网络通信和 移动通信结合的通信方式使得用户能够远程使用多卡宝拨打或接通电话。由于 一台多卡宝中可以插入多张SIM卡,所以一部手机能够通过多卡宝同时操作多 个多卡宝号码,一个多卡宝号码也能够被多部手机公用。
多卡宝的设计初衷一方面是为了解决多卡多待问题,另一方面是为了将境 外通话转化为境内通话,从而为境外用户节省漫游费。但在实际使用中,多卡宝 经常被犯罪分子用作是欺诈的工具,犯罪分子通过购入大量SIM卡,利用多卡 宝、交换机和路由器等设备建立据点,并在各地区招收同伙,通过手机App远程 拨打电话进行欺诈行为。一些犯罪分子还会通过车载或频繁更换据点等方式逃 避公安机关清查与打击,增加了公安机关反欺诈行动的难度。
当前存在的欺诈检测技术主要针对单一号码,无法应对利用多卡宝进行多 号码欺诈的情况。且当前存在的欺诈检测技术即使检测到某个多卡宝的其中一 个号码涉及欺诈,也无法特定到多卡宝。
鉴于此,克服上述现有技术所存在的缺陷是本技术领域亟待解决的问题。
发明内容
本发明要解决的技术问题是当前存在的针对单一号码的欺诈检测技术无法 应对利用多卡宝进行多卡宝欺诈的情况,本发明采用如下技术方案:
第一方面,本发明提供了一种多卡宝欺诈的检测方法,所述方法包括:
根据获取的互联网电话数据话单VDR和运营商提供的呼叫详细记录CDR,得 到所述多卡宝的通话信息;根据所述通话信息计算所述多卡宝的欺诈行为特征 符合度;根据所述欺诈行为特征符合度判断所述多卡宝是否涉及欺诈。
优选的,所述根据获取的互联网电话数据话单VDR和运营商提供的呼叫详 细记录CDR,得到所述多卡宝的通话信息,具体包括,若存在所述VDR中的VDR 项的被叫号码与所述CDR中的CDR项的被叫号码相同或所述VDR项的主叫号码 与所述CDR项的主叫号码相同,且所述VDR项的通话开始时间和所述CDR项的 通话开始时间的差的绝对值小于等于第一预设值,且所述VDR项的通话结束时 间和所述结束项的通话开始时间的差的绝对值小于等于第二预设值,则认为所 述VDR项和所述CDR项是单个多卡宝号码的单通通话过程中产生的,所述VDR 项中的信息和所述CDR项中的信息组成了所述多卡宝的通话信息项。所述多卡 宝中的所有多卡宝号码的所有通话过程中产生的通话信息项即为所述多卡宝的 通话信息。
优选的,所述根据所述通话信息计算所述多卡宝的欺诈行为特征符合度,具 体包括:
统计所述通话信息得出所述多卡宝的欺诈行为特征值,对每一项所述欺诈 行为特征值预设范围区间和所述欺诈行为特征值相对范围区间不同位置时所得 到的分数,所有所述欺诈行为特征值所得到的分数的和即为所述欺诈行为特征 符合度。
优选的,所述方法还包括,在网络通信端拦截所述多卡宝发送或接收的互联 网电话数据包,使所述多卡宝无法与多卡宝App通信,从而拦截所述多卡宝。
优选的,所述多卡宝的拦截具体包括,部分解析所述互联网电话数据包得到 所述互联网电话数据包的发送方IP地址和所述互联网电话数据包的接收方IP 地址,若发现所述接收方IP地址或所述发送方IP地址与所述多卡宝通话信息 中的多卡宝IP地址相同,则拦截所述互联网电话数据包。
优选的,所述方法还包括,从所述涉及欺诈的多卡宝的通话信息中获取所述 多卡宝拨打过的号码,查询所有所述多卡宝拨打过的号码在接到所述多卡宝的 电话后的预设时间段内的所有通话过程中产生的CDR,统计所述CDR中由不同主 叫号码表征的CDR项中出现的相同被叫号码的数量,若所述数量大于预设值, 则判断所述被叫号码是所述多卡宝的关联犯罪号码。
优选的,所述获取VDR,具体包括,从网络通信端捕获互联网电话数据包, 解析所述互联网电话数据包得到所述VDR。
优选的,所述根据所述欺诈行为特征符合度判断所述多卡宝是否涉及欺诈, 具体包括,预设所述欺诈行为特征符合度的阈值,若所述欺诈行为特征符合度大 于等于所述阈值,则判断所述多卡宝涉及欺诈。
优选的,所述互联网电话数据包所使用的协议,包括H.323、SIP、MEGACO 和MGCP中的一项或多项。
第二方面,本发明实施例提供了一种多卡宝欺诈检测装置,包括网络监控单 元和数据分析单元,其中:
所述网络监控单元,获取VDR并发送给所述数据分析单元;
所述数据分析单元,对接运营商提供的CDR,分析所述VDR和所述CDR,得 到所述多卡宝的通话信息,根据所述多卡宝的通话信息计算欺诈行为特征符合 度,若所述欺诈行为特征符合度超过设定阈值,则判断所述多卡宝涉及欺诈。
本发明具有以下有益效果:
本发明提供了一种多卡宝的欺诈检测方法及装置,通过分析VDR和CDR,能 够准确地得到所述VDR和所述CDR中包含的所有多卡宝的详细的通话信息,根 据所述通话信息进行的欺诈检测可以直接对应到多卡宝,而无需依次判断所述 多卡宝中的多个号码是否涉及欺诈。且在本发明优选方案中还能够根据单个涉 及欺诈的多卡宝的通话信息,能够进一步找到与所述多卡宝存在特定关联的同 样涉及欺诈的多卡宝。
本发明还能够在无需指定特定的目标多卡宝的情况下,监测所有在互联网 电话数据传输时经过所述多卡宝的欺诈检测装置的多卡宝,若检测到存在涉及 欺诈的多卡宝,则向公安机关举报,并提供所述多卡宝的通话信息,协助公安机 关的反欺诈行动。
本发明提供的拦截能够讯速地制止所述所述多卡宝的用户的欺诈行为,防 止在检测到涉及欺诈的多卡宝后未及时制止而出现更多的受害者。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所 需要使用的附图作简单地介绍。显而易见地,下面所描述的附图仅仅是本发明的 一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还 可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的一种多卡宝的欺诈检测方法的流程图;
图2是本发明实施例一提供的SIP网络通信交互过程图;
图3是本发明实施例一提供的sip_flag的值与所处状态的表格图;
图4是本发明实施例一提供的CDR项的信息表格图;
图5是本发明实施例一提供的VDR项的信息表格图;
图6是本发明实施例一提供的多卡宝的通话信息项的信息表格图;
图7是本发明实施例一提供的获取VDR的流程图;
图8是本发明实施例一提供的获取多卡宝的通话数据的流程图;
图9是本发明实施例二提供的一种多卡宝的关联犯罪号码的示意图;
图10是本发明实施例四提供的一种多卡宝欺诈检测与拦截装置的结构示意 图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施 例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用 以解释本发明,并不用于限定本发明。
此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此 之间未构成冲突就可以相互组合。
实施例1:
本发明实施例1提供了一种多卡宝的欺诈检测方法。如图1所示,所述多 卡宝的欺诈检测方法具体步骤如下:
步骤201:获取VDR(互联网电话数据话单)。VDR至少包含一条VDR项, 每条VDR项至少包含以下信息,所述信息及其格式如图5所示,包括:
源IP地址、目的IP地址、源端口、目的端口、登入账号、被叫号码、主叫 号码、呼叫方向、呼叫类型、通话开始时间、通话结束时间、通话时长、网关IP、 网关工作ID、呼出国家、呼出省份/地区、呼出市、呼入国家、呼入省份/地区、 呼入市、用户账号、用户类型、协议类型、呼出运营商、呼入运营商,报告日期、 应用大类名称、应用小类名称。
其中,源IP地址是带有多卡宝App的设备的地址,即多卡宝的用户的设备 IP地址,目的IP地址是多卡宝的IP地址。呼叫方向是相对多卡宝而言的,即 呼叫方向为呼出代表该VDR项是由多卡宝App经由多卡宝拨出,终端用户接通 所产生的,此时,主叫号码可能为空。呼叫方向为呼入代表该VDR项是由终端用 户拨打,多卡宝App经由多卡宝接通所产生的。
所述获取VDR具体包括,从网络通信端捕获互联网电话数据包,解析所述 互联网电话数据包得到所述VDR。所述互联网电话数据包所使用的协议包括 H.323、SIP、MEGACO和MGCP中的一项或多项。本实施例仅以获取SIP的VDR进 行说明,如图2所示,一个成功的SIP网络通信应当包含以下过程:
对话邀请方发送INVITE消息,在INVITE消息中包含一个SDP会话描述;
对话受邀方接收到对话邀请方发送的INVITE消息,立即回复180Ringing 消息,对话受邀方紧接着发送200OK消息表示接受对话邀请,同时在200OK消 息中包含的SDP会话描述中列出自己的一系列参数;
对话邀请方接收到200OK消息后再发送一个ACK消息表示接收到对话受邀 方发送的200OK消息并同意开始对话;
对话邀请方与对话受邀方相互发送媒体数据进行通信;
当对话邀请方与对话受邀方中的其中一方想结束对话时,便向另一方发送 BYE消息,对方回复一个200OK消息表示对话结束。
根据以上SIP网络通信的过程,本发明实施例设计了一套SIP互联网电话 数据包的获取解析流程,如图7所示为单通SIP网络通信的互联网电话数据包 的获取解析流程,包含以下步骤:
S301、初始化sip_id=0,sip_flag=0,初始化数据包格式匹配方法列表 sip_data_rule_list,其中sip_id是根据每一通SIP网络通信生成的唯一标志 号,sip_flag用于标志单通SIP网络通信的所处状态,sip_data_rule_list中 存储每一过程中所需要匹配的消息格式,图3展示了sip_flag的数值所代表的 网络通信的所处状态和所述所处状态下的消息格式,其中,sip_flag=4时所对 应的消息格式有BYE格式或媒体流消息格式,但两种消息格式在 sip_data_rule_list中分开储存,sip_data_rule_list[4]存储BYE消息格式, sip_data_rule_list[7]存储媒体流消息格式。
S302、判断sip_flag是否大于6;若大于6,则表示一个成功的SIP网络 通信的所有互联网电话数据包都已获取解析完毕,进入步骤S303;否则进入步骤 S304。
S303、将sip_flag,sip_id恢复初始状态,即令sip_flag=0,sip_id=0。
S304、实时接收网络上的网络数据包。
S305、判断网络数据包格式是否与sip_data_rule_list[sip_flag]相匹配; 如sip_flag=4时,sip_data_rule_list[4]存储的是BYE消息格式,此时即判 断网络数据包格式是否与BYE消息格式相匹配,若匹配,则表示接收到的网络 数据包是在sip_flag所代表的状态时的互联网电话数据包,进入步骤S306,否 则进入步骤S309。
S306、初步解析所述互联网电话数据包,根据所述互联网电话数据包信息生 成标志号sip_id_temp。
S307、判断sip_id_temp是否等于sip_id,若sip_id_temp等于sip_id, 则表示步骤S305中解析的互联网电话数据包是在sip_id所代表的SIP网络通 信中产生的,从互联网电话数据包中提取有效信息,如从INVITE消息的From字 段中提取源IP,从INVITE消息的To字段中提取目的IP,存储到VDR项,此VDR 项与sip_id相对应,即一个sip_id代表一通SIP网络通信,一通网络通信产 生一条VDR项,此时进入步骤S08;否则,若sip_id_temp不等于sip_id,则表 示步骤S305中解析的互联网电话数据包不是在sip_id所代表的SIP网络通信中产生的,返回到步骤S302。
S308、令sip_flag加1,即进入到下一个状态;回到步骤S302。
S309、判断sip_flag是否等于4,若sip_flag等于4,则表示SIP通信的 对话已经开始,可能接收到BYE消息或媒体流消息,此时进入步骤S310,否则, 回到步骤S02。
S310、由于在S305中所匹配的是BYE消息格式,所以在此步骤中将互联网 电话数据包与媒体流格式相匹配,即判断互联网电话数据包的格式是否与 sip_data_rule_list[7]相匹配,若匹配,则说明接收到的是媒体流消息,进入 步骤S311,否则回到步骤S302。
S311、初步解析所述互联网电话数据包,根据所述互联网电话数据包信息生 成标志号sip_id_temp。
S312、判断sip_id_temp是否等于sip_id,若等于,则表示S311中解析的 媒体流数据是在sip_id所代表的SIP网络通信中产生的,进入步骤S313,否 则,返回步骤S302。
S313、按照sip_data_rule_list[7]的格式,即媒体流消息格式解析互联网 电话数据包,从中提取有效信息,存储至sip_id所代表的网络通话的VDR项中; 回到步骤S302,进行下一轮网络数据包的接收,所接收到的VDR项组成了VDR。
在实际使用过程中,本实施例可能需要监控多通SIP网络通信,而非单通, 则将步骤S301中初始化的sip_id、sip_flag和步骤S313中的VDR项存储至数 据结构,并进行映射,使一个sip_id对应一个sip_flag和由sip_id所代表的 网络通信的过程中产生的VDR项,由此记录所有sip网络通信的所处状态和VDR 项。在步骤S307与步骤S312中也需将生成的sip_id_temp与上述列表中所有 的sip_id相对比,若不存在,则将新生成的sip_id_temp存储至所述数据结构 中。
由于VDR仅产生于多卡宝与多卡宝App的网络通信,若需要检测多卡宝是 否涉及欺诈,还需要多卡宝与终端间的移动通信所产生的CDR(呼叫详细记录)。
步骤202:根据所述VDR和运营商提供的CDR,得到所述多卡宝的通话信息;
其中运营商提供的CDR至少包含一条CDR项,每条CDR项至少包含以下信 息,所述信息及其格式如图4所示,包括:
主叫号码、被叫号码、呼出国家、呼出省份/地区、呼出市、呼入国家、呼 入省份/地区、呼入市、通话开始时间、通话结束时间、通话时长、主叫号码运 营商和被叫号码运营商。
运营商提供的是所有移动通话所产生的CDR,其中包含多卡宝通话产生的 CDR和通过终端SIM卡进行的通话所产生的CDR,但无法从CDR找到区分两种 CDR的明显特征。为了区分CDR是多卡宝通话产生的还是通过终端SIM卡进行的 通话产生的,并且区分多卡宝通话产生的CDR对应于哪台多卡宝和哪台多卡宝 中的哪个多卡宝号码,以便于后续计算多卡宝的欺诈行为特征符合度,需要汇总 VDR和CDR,得到多卡宝的通话信息。
在步骤201中获取到的VDR中携带了多卡宝的IP地址、主叫号码、被叫号 码、呼叫方向等信息。
针对单个多卡宝号码的单通通话过程中产生的VDR项和CDR项,有以下特 征:
当多卡宝用户通过多卡宝号码呼叫终端用户时,在此通话过程中网络通信 端所产生的VDR项中的呼叫方向为呼出,所述VDR项中的被叫号码即为终端用 户的SIM卡号码,此通话过程中移动通信端所产生的CDR项中携带的被叫号码 也为终端用户的SIM卡号码;
当多卡宝用户通过多卡宝号码接到终端用户的呼叫时,在此通话过程中网 络通信端所产生的VDR项中的呼叫方向为呼入,所述VDR项中的主叫号码即为 终端用户的SIM卡号码,此通话过程中移动通信端所产生的CDR项中携带的主 叫号码也为终端用户的SIM卡号码。且针对单通多卡宝通话所产生的VDR项和 CDR项,所述VDR项中的通话开始时间必然与所述CDR项中的通话开始时间相 近,所述VDR项中的通话结束时间必然与所述CDR项中的通话结束时间相近。
针对所述单通多卡宝通话的特征,本实施例设计了以下得到多卡宝的通话 信息的方法:
若存在所述VDR中的VDR项的被叫号码与所述CDR中的CDR项的被叫号码 相同或所述VDR项的主叫号码与所述CDR项的主叫号码相同,且所述VDR项的 通话开始时间和所述CDR项的通话开始时间的差的绝对值小于等于第一预设值, 且所述VDR项的通话结束时间和所述结束项的通话开始时间的差的绝对值小于 等于第二预设值,则认为所述VDR项和所述CDR项是单个多卡宝号码的单通通 话过程中产生的,所述VDR项和所述CDR项组成所述多卡宝的通话信息项。所 述多卡宝中的所有多卡宝号码的所有通话过程中产生的通话信息项即为所述多 卡宝的通话信息。
所述多卡宝通话信息项如图6所示,至少包含以下信息:多卡宝IP、呼叫 方向、多卡宝号码、终端用户号码、通话开始时间、通话结束时间、通话时长、 多卡宝用户设备IP。其中多卡宝IP从VDR项中的目的IP获得,呼叫方向从VDR 项中的呼叫方向获得,多卡宝号码从CDR项中的主叫号码或被叫号码获得,终 端用户号码从CDR项中的主叫号码或被叫号码获得,多卡宝用户设备IP从VDR 项中的源IP获得。
所述得到多卡宝的通话信息的方法具体包含以下步骤:
S401、初始化m=0,n=0,其中m是用于遍历VDR中的所有VDR项的计数值, n是用于遍历CDR中的所有CDR项的计数值;
S402、判断m是否小于VDR中VDR项的条数,若m小于VDR中VDR项的条 数,则进入步骤S403;否则,m大于等于VDR中VDR项的条数,则认为所述VDR 遍历结束,已得到所述VDR和所述CDR中所能得到的所有所述多卡宝的通话信 息;
S403、将VDR中的第m条VDR项记为VDR[m],取出VDR[m]中的被叫号码、 主叫号码、通话开始时间、通话结束时间;令vdr_call_num=被叫号码、 vdr_called_num=主叫号码、vdr_start_time=通话开始时间、vdr_end_time=通 话结束时间;
S404、将CDR中的第n条CDR项记为CDR[n],取出CDR[n]中的被叫号码、 主叫号码、通话开始时间、通话结束时间;令cdr_call_num=被叫号码、 cdr_called_num=主叫号码、cdr_start_time=通话开始时间、cdr_end_time=通 话结束时间;
S405、判断是否满足条件一:vdr_call_num等于cdr_call_num或 vdr_called_num等于cdr_called_num;若满足,判断是否满足条件二: vdr_start_time与cdr_start_time的差的绝对值小于等于60秒且 vdr_end_time与cdr_end_time的差的绝对值小于等于60秒,若两个条件都满 足,则进入步骤S406,否则进入步骤S407;
S406、去除CDR[n]中与VDR[m]重复的信息,合并所述VDR[m]和所述CDR[n] 中的剩余的有效信息,作为一条多卡宝号码的通话项,具体包括:将VDR[m]中 的目的IP作为多卡宝IP,将VDR[m]中的源IP作为多卡宝用户设备IP,将VDR[m] 中的呼叫方向、通话开始时间、通话结束时间、通话时长原样存入所述通话信息, 当呼叫方向为呼出时,将CDR[n]中的被叫号码作为终端用户号码,将CDR[n]中 的主叫号码作为多卡宝号码;当呼叫方向为呼出时,将CDR[n]中的主叫号码作 为终端用户号码,将CDR[n]中的被叫号码作为多卡宝号码。将以上信息汇总为 一条多卡宝号码的通话信息;存储该信息,进入步骤S409。
S407、令n加1,进入S408。
S408、判断n是否小于CDR中CDR项的条数,若n小于CDR中CDR项的条 数,则回到步骤S404,继续对CDR的遍历,否则,进入步骤S409。
S409、令m加1,n=0,回到步骤S402,判断是否需要继续对VDR的遍历。
得到所述多卡宝的通话信息后,即可进入步骤203计算欺诈行为特征符合 度。
步骤203:根据所述通话信息计算所述多卡宝的欺诈行为特征符合度。所述 计算包括,统计所述通话信息得出所述多卡宝的欺诈行为特征值,对每一项所述 欺诈行为特征值预设范围和对应的分数,若所述欺诈行为特征值超出范围,则记 录对应的分数,所有欺诈行为特征值的分数的和即为所述欺诈行为特征符合度。
利用多卡宝进行欺诈通常有如下情形:
犯罪分子利用多卡宝进行欺诈时,会在多部手机上安装多卡宝App,经由多 卡宝拨打大量不同号码,这些通话有一定概率会出现时间段上的重叠;
有些被叫方能够在短时间内察觉出该通话存在欺诈嫌疑并迅速挂断,有些 被叫方则在无法短时间内察觉到该通话存在欺诈嫌疑,犯罪分子为了提高通话 的可信度,则会积极向被叫方提供信息并指引被叫方以达到欺诈目的,因此导致 通话时间较长;
当犯罪分子指引目标号码的用户达成欺诈目的后,犯罪分子可能标记目标 号码为容易达成欺诈目的的号码,犯罪分子为了获得更多的利益,可能会用多卡 宝中的另一个号码拨打目标号码,再次实施欺诈行为。
由此得出涉及欺诈的多卡宝通常有以下欺诈行为特征:
1、在预设时间段内,涉及欺诈的多卡宝的拨号频次通常比普通多卡宝的拨 号频次高;
2、在预设时间段内,涉及欺诈的多卡宝中单个多卡宝号码的被叫号码通常 比普通的多卡宝的单个多宝卡号码的被叫号码重复率低;
3、在预设时间段内,涉及欺诈的多卡宝的总通话时长通常比普通多卡宝的 总通话时长要长;
4、在预设时间段内,涉及欺诈的多卡宝的用户的设备IP的数量通常比普 通多卡宝的用户的设备IP的数量多;
5、在预设时间段内,涉及欺诈的多卡宝中的多个多卡宝号码之间的被叫号 码可能存在重复;
6、在预设时间段内,涉及欺诈的多卡宝的多个多卡宝号码可能存在至少两 个号码在某一时刻同时处于通话状态;
7、在预设时间段内,涉及欺诈的多卡宝的单通通话时长排列通常呈现两极 分化;
所述预设时间段可以是几小时,几天,几周等。
根据涉及欺诈的多卡宝的欺诈行为特征,本实施例从通话信息中统计得出 以下欺诈行为特征值:
1、统计预设时间段内的所述多卡宝的通话信息中的呼叫方向为呼出的通话 信息项条数;
2、对预设时间段内的所述多卡宝的通话信息,去除其中呼出方向为呼入时 所表征的通话信息项,再统计剩余的多卡宝通话信息中由同一主叫号码所表征 的所有通话信息项中全部被叫号码的数量,统计所述通话信息项中至少出现两 次的被叫号码的数量,用至少出现两次的被叫号码的数量除于所述全部被叫号 码的数量,得到单个主叫号码的被叫号码重复率,将所有主叫号码的被叫号码重 复率相加并取平均值,得到多卡宝的平均被叫号码重复率;
如在通话信息中存在7个主叫号码为156xxxx2341的通话信息项,每条通 话信息项的被叫号码分别是:189xxxx3245、146xxxx3472、177xxxx5594、 146xxxx3472、146xxxx3472、177xxxx5594、145xxxx8326,其中被叫号码 146xxxx3472出现了3次,被叫号码177xxxx5594出现了2次,则所述全部被叫 号码中至少出现两次的被叫号码的数量为2,所得主叫号码156xxxx2341的被叫 号码重复率为2/7,若所述多卡宝上有7个主叫号码,所述7个主叫号码的被叫 号码重复率分别为2/7,3/7,1/7,1/7,4/7,2/7,1/7,则得到所述多卡宝的 平均被叫号码重复率为(2/7+3/7+1/7+1/7+4/7+2/7+1/7)/7=2/7;
3、将预设时间段内所述多卡宝的通话信息中的所有通话信息项的通话时长 相加得到总通话时长;
4、将预设时间段内所述多卡宝的通话信息中的用户设备IP进行去重处理, 使每个用户设备IP只出现一次,统计经去重后的用户设备IP数量,如所述多 卡宝的通话信息中存在5条通话信息项,每条通话信息项的用户设备IP分别是: 192.0.0.0、192.184.3.3、184.3.99.28、192.0.0.0、192.0.0.0,其中192.0.0.0 出现了3次,去除其中2个192.0.0.0,得出经去重处理后的用户设备IP: 192.0.0.0、192.184.3.3、184.3.99.28,数量为3,即经去重后的用户设备IP 数量为3;
5、对预设时间段内的所述多卡宝的通话信息,去除其中呼出方向为呼入时 所表征的通话信息项,再统计剩余的多卡宝通话信息中由同一个被叫号码所表 征的通话信息项中的经去重处理后的主叫号码的个数,将所有经去重处理后的 主叫号码的个数相加后除以经去重后的所有被叫号码的数量,得出平均每个被 叫号码对应不同主叫号码的数量;
如所述通话信息的通话信息项中有以下被叫号码:189xxxx3245,所述被叫 号码189xxxx3245在所述多卡宝的通话信息的4个通话信息项中存在,所述4 个通话信息项的主叫号码分别为198xxxx4301、198xxxx4301、188xxxx8430、 198xxxx4301,其中198xxxx4301出现了3次,经去重处理后的主叫号码为 198xxxx4301、188xxxx8430,故由被叫号码189xxxx3245所表征的通话信息项中 经去重处理后的主叫号码个数为2;
6、对预设时间段内的所述多卡宝的通话信息,去除其中呼出方向为呼入时 所表征的通话信息项,在剩余的多卡宝的通话信息中查找不同主叫号码所表征 的通话信息项之间的通话开始时间到通话结束时间之间的时间段是否存在重叠, 若存在,则记录时间段重叠的值为1,若不存在,则记录时间段重叠的值为0;
7、将一段时间内的所述多卡宝的通话信息中所有通话信息项的通话时长按 照从短到长的时间顺序排列,预设三个连续时间段period1、period2和period3, 要求每一条通话信息项的通话时长能处于三个连续时间段中的一个时间段中。
分别计算通话时长在period1、period1、period3内的通话信息项的条数, 再将period1与period3中的通话信息项的条数相加后除以所述多卡宝的通话信 息中所有通话信息项的条数,得出短时间通话的数量和长时间通话的数量在所 有通话数量中的占比;
如所述多卡宝的通话信息中的通话信息项的通话时长分别为:10秒、30秒、 4分钟、11分钟,30分钟,而预设的时间段为0到60秒、60秒到10分钟、10 分钟以上,则通话时长在0到60秒时间段内的通话信息项有2条,即10秒的 通话信息项和30秒的通话信息项,通话时长在60秒到10分钟时间段内的通话 信息项有2条,即4分钟的通话信息项和11分钟的通话信息项,通话时长在10 分钟以上的通话信息项有1条,即30分钟的通话信息项,得出短时间通话数量 和长时间通话数量在所有通话数量中的占比为(2+1)/(2+2+1)=3/5;
对每一项所述欺诈行为特征值预设范围区间和所述欺诈行为特征值相对范 围区间不同位置时所得到的分数,如将所述多卡宝的通话信息中的呼叫方向为 呼出的通话信息项的范围区间预设为100条以上,并预设当通话信息中的呼叫 方向为呼出的通话信息项条数大于100条以上,即在范围区间内时,得到分数 为3分,而当通话信息中的呼叫方向为呼出的通话信息项条数小于等于100条, 即在范围区间外,得到分数为0;而经计算所得的所述信息条数为200,所述信 息条数在100条以上,即在预设范围内,则记录所得分数为3分。所有所述欺 诈行为特征值所得到的分数的和即为所述欺诈行为特征符合度。
步骤204:根据所述欺诈行为特征符合度判断所述多卡宝是否涉及欺诈。
所述判断具体包括,预设所述欺诈行为特征符合度的阈值,若所述计算所得 的所述欺诈行为特征符合度超过所述阈值,则判断所述多卡宝涉及欺诈。所述阈 值可根据多卡宝欺诈检测的准确率进行相应的调整。
以上便是多卡宝欺诈检测方法的一个实施例,该实施例通过计算多卡宝的 欺诈行为符合度,能够有效地检测多卡宝是否涉及欺诈。
实施例2:
考虑到实际欺诈过程中,某些多卡宝所起到的作用很可能仅仅起到发起欺 诈,而形成欺诈闭环的更多是通过另一个号码完成,而所述另一个号码在本发明 实施例中被称呼为多卡宝的关联犯罪号码。在这种情况下,犯罪分子主要通过一 部或多部多卡宝拨打欺诈电话,对于呼入所述多卡宝的号码,犯罪分子通常会拒 接,而使用所述关联犯罪号码接听目标号码的用户回拨的通话。为了找到所述涉 及欺诈的多卡宝的关联犯罪号码,本发明实施例提供了一种优选的扩展方案:
从所述涉及欺诈的多卡宝的通话信息中获取所述多卡宝拨打过的号码,查 询所有所述多卡宝拨打过的号码在接到所述多卡宝的电话后的预设时间段内的 所有通话过程中产生的CDR,统计所述CDR中由不同主叫号码表征的CDR项中出 现的相同被叫号码的数量,若所述数量大于预设值,则判断所述被叫号码是所述 多卡宝的关联犯罪号码。
如图9所示,若经检测判断多卡宝500涉及欺诈,分析多卡宝500的通话 信息,获取所述多卡宝500拨打过的号码,如图9中为号码50、号码51、号码 52到号码n,查询号码50到号码n接到所述多卡宝500的电话后预设时间内的 CDR,统计所述CDR中由不同主叫号码表征的CDR项中出现的相同被叫号码的数 量,如图9中,号码501分别被号码50、号码51、号码52到号码n拨打,即 被叫号码501分别出现在由号码50、号码51、号码52、号码n所表述的CDR项 中,则所述CDR中由不同主叫号码表征的CDR项中出现相同的被叫号码501的 数量为(n-50+1),若(n-50+1)大于所述预设值,则判断所述号码501为所述 多卡宝500的关联犯罪号码。
所述关联犯罪号码有可能是另一部多卡宝中的多卡宝号码,犯罪分子会专 门使用所述另一部多卡宝接听电话。由于在此场景下,所述的另一部多卡宝不再 主要用于呼叫目标号码,而在于接听目标号码的用户的回拨,因此往往难以完全 符合所述欺诈行为特征,计算得出的欺诈行为特征符合度也无法超出预设阈值。
为了找到这样的多卡宝,本实施例提供了以下方法:在大量多卡宝的通话信 息中查找是否存在呼叫方向为呼入且被叫号码为所述号码501的通话信息项, 若存在,则判断所述号码501是多卡宝中的多卡宝号码,如图9中所示,所述 号码501所属的多卡宝是多卡宝502,则所述多卡宝502同样涉及欺诈。
本实施例能够进一步对欺诈行为特征符合值未超出预设阈值的多卡宝进行 欺诈检测,使检测更加准确完善。
实施例3:
在一些场景下,当检测到涉及欺诈的多卡宝后,还需要及时拦截所述多卡宝, 防止犯罪分子继续进行欺诈而出现更多的受害者。
本实施例在实施例1与实施例2的基础上,提供了拦截所述涉及欺诈的多 卡宝的方法。所述拦截具体包括,部分解析所述互联网电话数据包得到所述互联 网电话数据包的发送方IP地址和所述互联网电话数据包的接收方IP地址,所 述解析在实施例1中有详尽描述,在此不做赘述,若发现所述接收方IP地址或 所述发送方IP地址与所述多卡宝通话信息中的多卡宝IP地址相同,则将所述 互联网电话数据丢弃,不传送给下一个网络节点,由此阻断多卡宝与多卡宝App 之间的网络通信,达到拦截所述多卡宝的目的。
进一步地,向第三方运营商提供所述多卡宝的通话信息中的多卡宝IP、多 卡宝用户设备IP,经所述第三方运营商查询可得所述多卡宝的设备地址和所述 用户的设备地址,公安机关可通过该信息追查犯罪分子所在位置及其据点。
实施例4:
本发明实施例2提供了一种多卡宝欺诈检测装置。如图10所示,所述多卡 宝欺诈检测装置包括数据分析单元601和网络监控单元602;
其中,所述网络监控单元601从网络通信端提取互联网电话数据包,并根 据互联网电话数据协议解析获得VDR,将所述VDR发送给所述数据分析单元;
所述数据分析单元602,对接运营商提供的CDR,分析所述VDR和所述CDR, 得到所述多卡宝的通话信息,所述数据分析单元601从所述多卡宝的通话信息 提取相关项,计算每一项的欺诈行为特征值,再根据每一项欺诈行为特征值和所 得的分数,计算得出欺诈行为符合度,若欺诈行为符合度超过预设阈值,则判断 所述多卡宝涉及欺诈,所述数据分析单元601则根据所述多卡宝的通话信息中 的多卡宝IP地址向所述网络监控单元602下发拦截策略,并查询CDR中的被叫 号码,查询被叫号码的CDR,查找是否存在所述多卡宝的关联号码。
所述网络监控单元602接收数据分析单元601的拦截策略,在网络通信端 阻断多卡宝App与多卡宝App间的网络数据传输,拦截所述多卡宝。
值得说明的是,上述装置和系统内的模块、单元之间的信息交互、执行过程 等内容,由于与本发明的处理方法实施例基于同一构思,具体内容可参见本发明 方法实施例中的叙述,此处不再赘述。
本领域普通技术人员可以理解实施例的各种方法中的全部或部分步骤是可 以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介 质中,存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取 存储器(RAM,Random AccessMemory)、磁盘或光盘等。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明 的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保 护范围之内。
Claims (10)
1.一种多卡宝欺诈的检测方法,其特征在于,包括:
根据获取的互联网电话数据话单VDR和运营商提供的呼叫详细记录CDR,得到所述多卡宝的通话信息;
根据所述通话信息计算所述多卡宝的欺诈行为特征符合度;
根据所述欺诈行为特征符合度判断所述多卡宝是否涉及欺诈。
2.根据权利要求1所述的多卡宝欺诈的检测方法,其特征在于,所述根据获取的互联网电话数据话单VDR和运营商提供的呼叫详细记录CDR,得到所述多卡宝的通话信息,具体包括,若存在所述VDR中的VDR项的被叫号码与所述CDR中的CDR项的被叫号码相同或所述VDR项的主叫号码与所述CDR项的主叫号码相同,且所述VDR项的通话开始时间和所述CDR项的通话开始时间的差的绝对值小于等于第一预设值,且所述VDR项的通话结束时间和所述CDR项的通话结束时间的差的绝对值小于等于第二预设值,则认为所述VDR项和所述CDR项是单个多卡宝号码的单通通话过程中产生的;其中,一个多卡宝中插有多张SIM卡,从而提供多个多卡宝号码的使用功能;所述VDR项中的信息和所述CDR项中的信息组成了所述多卡宝的通话信息项。所述多卡宝中的所有多卡宝号码的所有通话过程中产生的通话信息项即为所述多卡宝的通话信息。
3.根据权利要求1所述的多卡宝欺诈的检测方法,其特征在于,所述根据所述通话信息计算所述多卡宝的欺诈行为特征符合度,具体包括:
统计所述通话信息得出所述多卡宝的欺诈行为特征值,对每一项所述欺诈行为特征值预设范围区间和所述欺诈行为特征值相对范围区间不同位置时所得到的分数,所有所述欺诈行为特征值所得到的分数的和即为所述欺诈行为特征符合度。
4.根据权利要求1所述的多卡宝欺诈的检测方法,其特征在于,所述方法还包括,在网络通信端拦截所述多卡宝发送或接收的互联网电话数据包,使所述多卡宝无法与多卡宝App通信,从而拦截所述多卡宝。
5.根据权利要求4所述的多卡宝欺诈的检测方法,其特征在于,所述多卡宝的拦截具体包括,部分解析所述互联网电话数据包得到所述互联网电话数据包的发送方IP地址和所述互联网电话数据包的接收方IP地址,若发现所述接收方IP地址或所述发送方IP地址与所述多卡宝通话信息中的多卡宝IP地址相同,则拦截所述互联网电话数据包。
6.根据权利要求1所述的多卡宝欺诈的检测方法,其特征在于,所述方法还包括,从所述涉及欺诈的多卡宝的通话信息中获取所述多卡宝拨打过的号码,查询所有所述多卡宝拨打过的号码在接到所述多卡宝的电话后的预设时间段内的所有通话过程中产生的CDR,统计所述CDR中由不同主叫号码表征的CDR项中出现的相同被叫号码的数量,若所述数量大于预设值,则判断所述被叫号码是所述多卡宝的关联犯罪号码。
7.根据权利要求1所述的多卡宝欺诈的检测方法,其特征在于,所述获取VDR,具体包括,从网络通信端捕获互联网电话数据包,解析所述互联网电话数据包得到所述VDR。
8.根据权利要求1所述的多卡宝欺诈的检测方法,其特征在于,所述根据所述欺诈行为特征符合度判断所述多卡宝是否涉及欺诈,具体包括,预设所述欺诈行为特征符合度的阈值,若所述欺诈行为特征符合度大于等于所述阈值,则判断所述多卡宝涉及欺诈。
9.根据权利要求7所述的多卡宝欺诈的检测方法,其特征在于,所述互联网电话数据包所使用的协议,包括H.323、SIP、MEGACO和MGCP中的一项或多项。
10.一种多卡宝欺诈检测装置,其特征在于,包括网络监控单元和数据分析单元,其中:
所述网络监控单元,获取VDR并发送给所述数据分析单元;
所述数据分析单元,对接运营商提供的CDR,分析所述VDR和所述CDR,得到所述多卡宝的通话信息,根据所述多卡宝的通话信息计算欺诈行为特征符合度,若所述欺诈行为特征符合度超过设定阈值,则判断所述多卡宝涉及欺诈。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111318144.8A CN114189866A (zh) | 2021-11-09 | 2021-11-09 | 一种多卡宝的欺诈检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111318144.8A CN114189866A (zh) | 2021-11-09 | 2021-11-09 | 一种多卡宝的欺诈检测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114189866A true CN114189866A (zh) | 2022-03-15 |
Family
ID=80540823
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111318144.8A Pending CN114189866A (zh) | 2021-11-09 | 2021-11-09 | 一种多卡宝的欺诈检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114189866A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114430442A (zh) * | 2022-04-02 | 2022-05-03 | 广东创新科技职业学院 | 一种基于人工智能的诈骗号码识别分析方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105611084A (zh) * | 2016-01-29 | 2016-05-25 | 中国联合网络通信集团有限公司 | 一种欺诈用户的可疑度计算方法及可疑度计算系统 |
| US20180027415A1 (en) * | 2016-07-21 | 2018-01-25 | Global Business Software Development Technologies, Inc. | Reducing fraudulent activity associated with mobile networks |
| WO2018203842A2 (en) * | 2016-12-20 | 2018-11-08 | Turkcell Teknoloji̇ Araştirma Ve Geli̇şti̇rme Anoni̇m Şi̇rketi̇ | A system and method for detecting call bypass fraud in mobile communication networks |
| US10582043B1 (en) * | 2019-02-05 | 2020-03-03 | Syniverse Technologies, Llc | Method of identifying instances of international call interconnect bypass telecommunications fraud |
| CN112738807A (zh) * | 2020-12-31 | 2021-04-30 | 恒安嘉新(北京)科技股份公司 | 发现有害goip设备的方法、装置、设备、及存储介质 |
| CN113194458A (zh) * | 2021-04-08 | 2021-07-30 | 南京中新赛克科技有限责任公司 | 多卡宝号码识别方法、装置 |
-
2021
- 2021-11-09 CN CN202111318144.8A patent/CN114189866A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105611084A (zh) * | 2016-01-29 | 2016-05-25 | 中国联合网络通信集团有限公司 | 一种欺诈用户的可疑度计算方法及可疑度计算系统 |
| US20180027415A1 (en) * | 2016-07-21 | 2018-01-25 | Global Business Software Development Technologies, Inc. | Reducing fraudulent activity associated with mobile networks |
| WO2018203842A2 (en) * | 2016-12-20 | 2018-11-08 | Turkcell Teknoloji̇ Araştirma Ve Geli̇şti̇rme Anoni̇m Şi̇rketi̇ | A system and method for detecting call bypass fraud in mobile communication networks |
| US10582043B1 (en) * | 2019-02-05 | 2020-03-03 | Syniverse Technologies, Llc | Method of identifying instances of international call interconnect bypass telecommunications fraud |
| CN112738807A (zh) * | 2020-12-31 | 2021-04-30 | 恒安嘉新(北京)科技股份公司 | 发现有害goip设备的方法、装置、设备、及存储介质 |
| CN113194458A (zh) * | 2021-04-08 | 2021-07-30 | 南京中新赛克科技有限责任公司 | 多卡宝号码识别方法、装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114430442A (zh) * | 2022-04-02 | 2022-05-03 | 广东创新科技职业学院 | 一种基于人工智能的诈骗号码识别分析方法 |
| CN114430442B (zh) * | 2022-04-02 | 2022-07-15 | 广东创新科技职业学院 | 一种基于人工智能的诈骗号码识别分析方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103518366A (zh) | 可对网络发信主叫电话号码验证与恶意网络发信侦测的方法及其系统 | |
| US11223955B2 (en) | Mitigation of spoof communications within a telecommunications network | |
| EP3577886B1 (en) | Detection and prevention of unwanted calls in a telecommunications system | |
| JP5477379B2 (ja) | 不正呼検出装置、不正呼検出方法、及び不正呼検出用プログラム | |
| JP2008148310A (ja) | マルチメディアセッション管理方法およびシステム | |
| US20120099711A1 (en) | Telecommunication fraud prevention system and method | |
| CN106453799B (zh) | 伪装通信识别方法和系统 | |
| CN114189866A (zh) | 一种多卡宝的欺诈检测方法和装置 | |
| KR20170006158A (ko) | 문자 메시지 부정 사용 탐지 방법 및 시스템 | |
| US10701205B2 (en) | Communications network | |
| CN104486515A (zh) | VoIP网络中实现家庭网关号码黑名单管理的系统及方法 | |
| CN108696858B (zh) | 一种基于手机号码建立社交关系的方法和系统 | |
| US20220103680A1 (en) | System and method for classifying and handling voice over ip traffic | |
| US20230095897A1 (en) | Special fraud countermeasure apparatus, special fraud countermeasure method, and special fraud countermeasure program | |
| KR20150047378A (ko) | 보이스 피싱 방지 장치 | |
| KR101571100B1 (ko) | 패턴 분석을 통한 불법 발신호 탐지 장치 및 불법 발신호 탐지 방법 | |
| CN112788016B (zh) | 一种非法用户识别方法、装置、电子设备及存储介质 | |
| KR101478835B1 (ko) | 보이스 피싱 예방 시스템 및 그 방법 | |
| CN111556013A (zh) | 一种复杂大流量下VoIP恶意行为发现方法 | |
| CN109168155A (zh) | 一种号码变更验证方法及装置 | |
| CN113286035B (zh) | 异常呼叫检测方法、装置、设备及介质 | |
| WO2019190438A2 (en) | Ott bypass fraud detection by using call detail record and voice quality analytics | |
| CN112040068B (zh) | 虚假国际号码识别方法、装置、设备及可读存储介质 | |
| US11356551B2 (en) | Active audio calling device identification system | |
| CN113965932A (zh) | 一种非法用户的识别方法、装置、及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |