WO2016065908A1 - 一种欺诈用户的检测方法、装置和系统 - Google Patents

Abstract

一种欺诈用户的检测方法、装置和系统，所述方法包括：根据设定的欺诈识别规则，对检测周期内从用户的试呼话单或短信主叫话单中提取的数据进行分析，以识别出欺诈用户。

Description

一种欺诈用户的检测方法、装置和系统 技术领域

本文涉及通信技术领域，尤其涉及一种欺诈用户的检测方法、装置和系统。

背景技术

3GPP描述的第三代移动通信系统，通常由用户终端(User Equipment，简称UE)、无线接入网络(UMTS terrestrial Radio Access Network，简称UTRAN)、核心网络(Core Network，简称CN)组成，如图1所示，UTRAN分为基站(Node B)和无线网络控制器(Radio Network Controller，简称RNC)两部分，实现无线接入和无线资源管理，核心网络分为电路交换域(Circuit Switched Domain，简称CS域)和分组交换域(Packet Switched Domain，简称PS域)两部分，负责与其他外部网络的连接和UE的通信管理，电路交换域主要由MSC Server(Mobile Switching Centre Server，移动交换服务器)、MGW(Media GateWay，媒体网关)、VLR(Visitor Location Register，拜访位置寄存器)、HLR(Home Location Register，归属位置寄存器)等网络实体组成，分组交换域主要由SGSN(Serving GPRS Support Node，服务GPRS支持节点)、GGSN(Gateway GPRS Support Node，网关GPRS支持节点)等网络实体组成。

在移动通信网络中，移动语音业务和短信服务SMS(Short Messaging Service)是两种基本业务功能，移动语音业务指移动通话业务、语音留言业务，其中移动通话业务是最主要的业务；短信服务是最早的短消息业务，也是现在普及率最高的一种短消息业务，通过它移动电话之间可以互相收发短信，内容以文本、数字或二进制非文本数据为主，SMS以简单方便的使用功能受到广大用户的欢迎。用户发起语音业务或者短信服务业务的基本流程如图2所示，UE通过空中接口(即无线方式)接入UTRAN，UTRAN通过有线方式接入核心网电路交换域网络实体MSC Server，MSC Server控制呼叫接 续，并提供计费信息，同时将计费信息进行格式化处理形成话单(Call Detailed Record，简称CDR)文件，并通过Bc接口将CDR文件输送到计费域(Billing Domain，简称BD)，由BD完成对用户的最终计费。

在语音呼叫或短信业务使用中，存在一些不良用户，业内称之为欺诈用户，这些用户通过使用短信群发器发送诈骗短信，或者使用群呼方式，对运营商整个号码段的用户进行骚扰，诱使用户回拨，给用户播放诈骗留言。欺诈用户发起群呼时，一般设定一个特定的号码段，然后从0000-9999连续拨号，等待被叫用户振铃后保持1至3秒后释放，不给被叫用户应答的时间，同时在上述MSC Server也不会产生话单，从而逃避收费。

这些用户一般是在各地批量购买低资费的手机卡，拿到手机卡后，使用短信群发器疯狂群发几千条短信欠费后就不再使用。欺诈用户发现号码一旦被限制，比如不能继续拨打外地号码后，就立即更换新的手机卡，因此对这部分用户呼叫行为监控的时效性要求较高。

欺诈用户对运营商的网络安全和业务收入都造成了负面的影响，欺诈用户占用大量的无线资源，导致正常用户的接通率指标降低，并且话务量大时容易导致交换机故障，影响系统的稳定性。

发明内容

本文提供一种欺诈用户的检测方法、装置和系统，以实现对欺诈用户的有效检测。

一种欺诈用户的检测方法，包括：

根据设定的欺诈识别规则，对检测周期内从用户的试呼话单或短信主叫话单中提取的数据进行分析，以识别出欺诈用户。

可选地，所述方法中，所述根据设定的欺诈识别规则，对检测周期内从用户的试呼话单或短信主叫话单中提取的数据进行欺诈分析，以识别出欺诈用户，包括：

收集用户的试呼话单或短信主叫话单；

提取话单中的参数，形成话单对应用户的检测数据；

在设定的检测周期到达时，根据设定的欺诈识别规则，对本周期内每个用户的检测数据进行分析，以识别出欺诈用户。

可选地，所述方法还包括：当识别出欺诈用户后，设置该欺诈用户的业务限制策略，以限制该用户的业务使用。

可选地，所述方法中：

所述业务限制策略包括下述限制条件中的一个或多个：限制用户呼叫、对欺诈用户虚假计费、限制用户短信业务、以及限制用户位置更新。

提取的试呼话单中的参数包括下述参数中的一个或多个：主叫号码、被叫号码、主叫小区、主叫位置区、呼叫释放原因；

提取的短信主叫话单中的参数包括下述参数中的一个或多个：短信发送方号码、短信接收方号码、短信发送方小区、短信发送方位置区；

所述设定的欺诈识别规则包括：语音欺诈识别规则和短信欺诈识别规则；

所述语音欺诈识别规则包括下述判定条件中的一个或多个：检测周期内试呼次数是否超过设定阈值，被叫号码是否均归属同一号段，呼叫释放原因是否均为振铃早释，主叫小区、主叫位置区是否均相同；

所述短信欺诈识别规则包括下述判定条件中的一个或多个：检测周期内短信发送数量是否超过设定阈值，短信接收方号码是否均归属同一号段，短信发送方小区、短信发送方位置区是否均相同。

一种欺诈检测装置，包括：

欺诈用户识别模块，设置为：根据设定的欺诈识别规则，对检测周期内从用户的试呼话单或短信主叫话单中提取的数据进行分析，以识别出欺诈用户。

可选的，所述装置中，所述欺诈用户识别模块，包括：

数据收集子模块，设置为：收集试呼话单和短信主叫话单；

数据处理子模块，设置为：提取话单中的参数，形成话单对应用户的检测数据；

欺诈检测子模块，设置为：在设定的检测周期到达时，根据设定的欺诈识别规则，对本周期内每个用户的检测数据进行分析，以识别出欺诈用户。

可选的，所述装置中，所述欺诈用户识别模块，还设置为：当识别出欺诈用户后，设置该欺诈用户的业务限制策略，以限制该用户的业务使用。

一种欺诈用户的检测系统，包括：MSC Server，以及所述欺诈检测装置；

所述MSC Server，设置为：为用户生成试呼话单和短信主叫话单，并将所述试呼话单和短信主叫话单发送至欺诈检测装置。

可选地，所述系统中，所述欺诈检测装置，还设置为：将欺诈用户的号码以及为该欺诈用户设置的业务限制策略发送至所述MSC Server；

所述MSC Server，还设置为：将所述欺诈用户的号码加入黑名单，并根据所述欺诈用户对应的业务限制策略，对欺诈用户进行业务限制。

一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行上述任一项的方法。

本发明实施例基于试呼话单和短信主叫话单检测欺诈行为，能够及时高效的检测出欺诈用户；另外，还可以设置这些欺诈用户的业务限制策略，限制欺诈用户业务使用，减少运营商的损失。

附图概述

图1为3GPP描述的移动通信系统网络示意图；

图2为相关技术移动网络中用户发起语音呼叫或使用短信业务示意图；

图3为本发明实施例提供的一种欺诈用户的检测方法的流程图；

图4为本发明实施例中移动网络中用户发起语音呼叫或使用短信业务示意图；

图5为本发明实施例中根据语音欺诈识别规则判定欺诈用户的流程图；

图6为本发明实施例中根据短信欺诈识别规则判定欺诈用户的流程图；

图7为本发明实施例提供的一种欺诈检测装置的结构框图；

图8为本发明实施例提供的一种欺诈用户的检测系统的结构框图。

本发明的实施方式

为了提高欺诈用户的检测效率，本发明实施例提供一种欺诈用户的检测方法、装置和系统。下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行描述。

实施例一

本发明实施例提供一种欺诈用户的检测方法，其实现欺诈用户检测的方式为：根据设定的欺诈识别规则，对检测周期内从用户的试呼话单或短信主叫话单中提取的数据进行分析，以识别出欺诈用户。

其中，试呼话单为呼叫振铃时长小于预设值、并且未进入通话状态产生的话单。

详细实施过程如图3所示，包括：

步骤S301，收集用户的试呼话单或短信主叫话单；

步骤S302，提取话单中的参数，形成话单对应用户的检测数据；

步骤S303，在设定的检测周期到达时，根据设定的欺诈识别规则，对本周期内每个用户的检测数据进行分析，以识别出欺诈用户。

优选的，本实施例中，当识别出欺诈用户后，还设置该欺诈用户的业务限制策略，以限制该用户的业务使用。

其中，业务限制策略包括但不限于如下限制条件：限制用户呼叫、对欺诈用户虚假计费、限制用户短信业务、以及限制用户位置更新。

其中，虚假计费指从被叫振铃后即开始计费。

综上所述，本发明实施例基于试呼话单和短信主叫话单检测欺诈行为，能够及时高效的检测出欺诈用户；另外，还可以设置这些欺诈用户的业务限制策略，限制欺诈用户业务使用，减少运营商的损失。

下面给出本发明一个实施例，并结合对实施例的描述，使其能够更好地 说明本发明实施例提供的方法的实现过程。

本发明实施例提供一种欺诈用户的检测方法，本方法中：移动交换服务器(MSC Server)增加输出试呼话单的功能；在已有网络基础上增加一个欺诈检测装置，如图4所示。欺诈检测装置分析MSC Server输出的试呼话单和短信主叫话单，根据话单特征以及欺诈用户识别规则，进行欺诈用户判定；欺诈检测装置将欺诈用户号码及其限制策略，传递到MSC Server，形成黑名单列表，由MSC Server限制欺诈用户的业务使用。

本发明实施例提供的欺诈用户的检测流程，包括如下处理步骤：

步骤S1：用户(UE)发起语音呼叫或使用短信业务请求，UTRAN分配无线信道；

步骤S2：对于语音呼叫，MSC Server完成对UE的呼叫接续、资源分配、路由选择、鉴权和加密等，UE与网络间建立信令通道，对于短信主叫，MSC Server完成将短信提交给对应的短信中心；同时，MSC Server将计费信息进行格式化处理形成话单文件；其中，形成的话单文件根据用户的业务使用情况，包括：试呼话单、短信主叫话单等。

步骤S3：欺诈检测装置收集MSC Server输出的试呼话单和短信主叫话单文件；

步骤S4：欺诈检测装置解析试呼话单、短信主叫话单文件，从试呼话单中提取主叫号码、被叫号码、主叫位置区、主叫小区、呼叫释放原因信息，从短信主叫话单中提取短信发送方号码、短信接收方号码、短信发送方位置区、短信发送方小区信息，形成检测数据，并定期(灵活可设，比如，每5分钟)根据欺诈用户识别规则，判定欺诈用户。

其中，语音欺诈识别规则需要检测的参数包括但不限于为：检测周期内试呼次数、被叫号码、呼叫释放原因、主叫小区和位置区、24小时试呼总数量(此规则独立检测，统计每日试呼总次数，如果超过预设的门限值，认定为欺诈用户)。

短信欺诈识别规则需要检测的参数包括但不限于为：检测周期内短信发送数量、短信接收方号码、短信发送方小区和位置区、24小时发送短信总数 量(此规则独立检测，统计每日短信发送总次数，如果超过预设的门限值，认定为欺诈用户)。

步骤S5：欺诈检测装置设置欺诈用户的业务限制策略，并将欺诈用户号码及其业务限制策略传递到MSC Server，形成黑名单列表；

其中，限制策略包括但不限于：限制用户呼叫(通过比例可配置，即允许呼叫成功的比例可配置)、对欺诈用户虚假计费(从被叫振铃后即开始计费，比例可配置)、限制用户短信业务、限制用户位置更新。

步骤S6：欺诈用户发起后续呼叫或短信业务请求；

步骤S7：MSC Server根据黑名单列表，识别出当前用户为欺诈用户，并根据该欺诈用户的业务限制策略，限制该用户的业务使用，使得该用户发起呼叫失败或者发送短信失败。

采用本发明实施例的方法，用户在欺诈业务使用后的一个检测周期内即可被检测出来，后续业务使用将受到限制。

本发明实施例中根据欺诈识别规则判定欺诈用户，判定方式为：

1，根据语音欺诈识别规则进行欺诈用户判定，如图5所示，包括如下步骤：

步骤S501：到达欺诈用户检测时间(比如每5分钟检测一次)，欺诈检测装置基于检测周期内收集到的每个用户的检测数据，逐一对每个用户进行欺诈识别；

步骤S502：选取一用户，匹配识别规则一：统计检测周期内的试呼次数，并判断试呼次数是否超过门限值，如果没有超过门限值，说明不是欺诈用户，检测结束，否则，执行步骤S503；

步骤S503：对于此用户，匹配识别规则二：判断被叫号码是否归属同一号段，如果不是，说明不是欺诈用户，检测结束，否则，执行步骤S504；

步骤S504：对于此用户，匹配识别规则三：判断通话释放原因是否均为振铃早释，如果不是，说明不是欺诈用户，检测结束，否则，执行步骤S505；

步骤S505：对于此用户，匹配识别规则四：判断主叫小区和位置区是否 均属于同一小区和位置区，如果不是，说明不是欺诈用户，检测结束，否则，执行步骤S506；

步骤S506：检测出此用户为欺诈用户，将该欺诈用户号码及其限制策略，传递到MSC Server。返回步骤S502。

需要说明的是：上述列举的匹配识别规则只是举例说明，并非穷举，针对不同情况，匹配识别规则不但可以增加，还可以减少。

2，根据短信欺诈识别规则进行欺诈用户判定，如图6所示，包括如下步骤：

步骤S601：到达欺诈用户检测时间(比如每5分钟检测一次)，欺诈检测装置基于检测周期内收集到的每个用户的检测数据，逐一对每个用户进行欺诈识别；

步骤S602：选取一用户，匹配识别规则一：统计检测周期内的短信发送次数，并判断短信发送次数是否超过门限值，如果没有超过门限值，说明不是欺诈用户，检测结束，否则执行步骤S603；

步骤S603：对于此用户，匹配识别规则二：判断短信接收方号码是否归属同一号段，如果不是，说明不是欺诈用户，检测结束，否则，执行步骤S604；

步骤S604：对于此用户，匹配识别规则三：判断短息发送方小区和位置区是否均属于同一小区和位置区，如果不是，说明不是欺诈用户，检测结束，否则，执行步骤S605；

步骤S605：检测出此用户为欺诈用户，将该欺诈用户号码及其限制策略，传递到MSC Server。返回步骤S602。

需要说明的是：上述列举的匹配识别规则只是举例说明，并非穷举，针对不同情况，匹配识别规则不但可以增加，还可以减少。

综上所述，采用本发明实施例所述方法，能够及时地发现并限制通过使用短信群发器发送诈骗短信，或使用群呼方式，对运营商整个号码段的用户进行骚扰，给用户播放诈骗留言的不法活动，减少欺诈带来的损失，提高运营商形象和用户的满意度。

实施例二

本发明实施例提供一种欺诈检测装置，该欺诈检测装置可以为独立的第三方设备，也可以是集成于MSC Server内的模块。考虑到不影响MSC Server的工作效率，本发明实施例欺诈检测装置为独立的第三方设备。当其属于独立的第三方设备时，在该欺诈检测装置和MSC Server上增设通信接口，以使得欺诈检测装置可以接收MSC Server发送的试呼话单和短信主叫话单，以及将检测到的欺诈用户通知于MSC Server，使得MSC Server对欺诈用户的呼叫或短信业务进行限制。

如图7所示，本实施例所述欺诈检测装置包括：

欺诈用户识别模块710，设置为：根据设定的欺诈识别规则，对检测周期内从用户的试呼话单或短信主叫话单中提取的数据进行分析，以识别出欺诈用户。

欺诈用户识别模块710，包括：

数据收集子模块711，设置为：收集试呼话单和短信主叫话单；

数据处理子模块712，设置为：提取话单中的参数，形成话单对应用户的检测数据；

欺诈检测子模块713，设置为：在设定的检测周期到达时，根据设定的欺诈识别规则，对本周期内每个用户的检测数据进行分析，以识别出欺诈用户。

欺诈用户识别模块710，还设置为：当识别出欺诈用户后，设置该欺诈用户的业务限制策略，以限制该用户的业务使用。

其中，业务限制策略包括但不限于如下限制条件：限制用户呼叫、对欺诈用户虚假计费、限制用户短信业务、以及限制用户位置更新。

本实施例中：数据处理子模块712提取的试呼话单中的参数包括下述参数中的一个或多个：主叫号码、被叫号码、主叫小区、主叫位置区、呼叫释放原因；提取的短信主叫话单中的参数包括下述参数中的一个或多个：短信发送方号码、短信接收方号码、短信发送方小区、短信发送方位置区。

本实施例中，设定的欺诈识别规则包括：语音欺诈识别规则和短信欺诈识别规则；其中：

语音欺诈识别规则包括但不限于如下判定条件：检测周期内试呼次数是否超过设定阈值，被叫号码是否均归属同一号段，呼叫释放原因是否均为振铃早释，主叫小区、主叫位置区是否均相同；

短信欺诈识别规则包括但不限于如下判定条件：检测周期内短信发送数量是否超过设定阈值，短信接收方号码是否均归属同一号段，短信发送方小区、短信发送方位置区是否均相同。

综上所述，本发明实施例基于试呼话单和短信主叫话单检测欺诈行为，能够及时高效的检测出欺诈用户；另外，还可以设置这些欺诈用户的业务限制策略，限制欺诈用户业务使用，减少运营商的损失。

实施例三

本发明实施例提供一种欺诈用户的检测系统，如图8所示，包括：移动交换服务器(MSC Server)801和实施例二所述的欺诈检测装置802；

MSC Server801，设置为：为用户生成试呼话单和短信主叫话单，并将所述试呼话单和短信主叫话单发送至欺诈检测装置802。

所述欺诈检测装置802，还设置为：将欺诈用户的号码以及为该欺诈用户设置的业务限制策略发送至所述MSC Server801；

MSC Server801，将所述欺诈用户的号码加入黑名单，并根据其对应的业务限制策略，对欺诈用户进行业务限制。

综上所述，采用本发明实施例所述系统，能够及时地发现并限制通过使用短信群发器发送诈骗短信，或使用群呼方式，对运营商整个号码段的用户进行骚扰，给用户播放诈骗留言的不法活动，减少欺诈带来的损失，提高运营商形象和用户的满意度。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中，所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行， 在执行时，包括方法实施例的步骤之一或其组合。

可选地，上述实施例的全部或部分步骤也可以使用集成电路来实现，这些步骤可以被分别制作成一个个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。

上述实施例中的装置/功能模块/功能单元可以采用通用的计算装置来实现，它们可以集中在单个的计算装置上，也可以分布在多个计算装置所组成的网络上。

上述实施例中的装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器，磁盘或光盘等。

工业实用性

本发明实施例基于试呼话单和短信主叫话单检测欺诈行为，能够及时高效的检测出欺诈用户；另外，还可以设置这些欺诈用户的业务限制策略，限制欺诈用户业务使用，减少运营商的损失。

Claims (11)

1. 一种欺诈用户的检测方法，包括：

   根据设定的欺诈识别规则，对检测周期内从用户的试呼话单或短信主叫话单中提取的数据进行分析，以识别出欺诈用户。
2. 如权利要求1所述的方法，其中，所述根据设定的欺诈识别规则，对检测周期内从用户的试呼话单或短信主叫话单中提取的数据进行欺诈分析，以识别出欺诈用户，包括：

   收集用户的试呼话单或短信主叫话单；

   提取话单中的参数，形成话单对应用户的检测数据；

   在设定的检测周期到达时，根据设定的欺诈识别规则，对本周期内每个用户的检测数据进行分析，以识别出欺诈用户。
3. 如权利要求1或2所述的方法，还包括：当识别出欺诈用户后，设置该欺诈用户的业务限制策略，以限制该用户的业务使用。
4. 如权利要求3所述的方法，其中，所述业务限制策略包括下述限制条件中的一个或多个：限制用户呼叫、对欺诈用户虚假计费、限制用户短信业务、以及限制用户位置更新。
5. 如权利要求2所述的方法，其中，

   提取的试呼话单中的参数包括下述参数中的一个或多个：主叫号码、被叫号码、主叫小区、主叫位置区、呼叫释放原因；

   提取的短信主叫话单中的参数包括下述参数中的一个或多个：短信发送方号码、短信接收方号码、短信发送方小区、短信发送方位置区；

   所述设定的欺诈识别规则包括：语音欺诈识别规则和短信欺诈识别规则；

   所述语音欺诈识别规则包括下述判定条件中的一个或多个：检测周期内试呼次数是否超过设定阈值，被叫号码是否均归属同一号段，呼叫释放原因是否均为振铃早释，主叫小区、主叫位置区是否均相同；

   所述短信欺诈识别规则包括下述判定条件中的一个或多个：检测周期内 短信发送数量是否超过设定阈值，短信接收方号码是否均归属同一号段，短信发送方小区、短信发送方位置区是否均相同。
6. 一种欺诈检测装置，包括：

   欺诈用户识别模块，设置为：根据设定的欺诈识别规则，对检测周期内从用户的试呼话单或短信主叫话单中提取的数据进行分析，以识别出欺诈用户。
7. 如权利要求6所述的欺诈检测装置，其中，所述欺诈用户识别模块，包括：

   数据收集子模块，设置为：收集试呼话单和短信主叫话单；

   数据处理子模块，设置为：提取话单中的参数，形成话单对应用户的检测数据；

   欺诈检测子模块，设置为：在设定的检测周期到达时，根据设定的欺诈识别规则，对本周期内每个用户的检测数据进行分析，以识别出欺诈用户。
8. 如权利要求6或7所述的欺诈检测装置，其中，所述欺诈用户识别模块，还设置为：当识别出欺诈用户后，设置该欺诈用户的业务限制策略，以限制该用户的业务使用。
9. 一种欺诈用户的检测系统，包括：移动交换服务器MSC Server，以及权利要求6至8任意一项所述的欺诈检测装置；

   所述MSC Server，设置为：为用户生成试呼话单和短信主叫话单，并将所述试呼话单和短信主叫话单发送至欺诈检测装置。
10. 如权利要求9所述的系统，其中，所述欺诈检测装置，还设置为：将欺诈用户的号码以及为该欺诈用户设置的业务限制策略发送至所述MSC Server；

    所述MSC Server，还设置为：将所述欺诈用户的号码加入黑名单，并根据所述欺诈用户对应的业务限制策略，对所述欺诈用户进行业务限制。
11. 一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行权利要求1-5任一项的方法。

Images