基于大數(shù)據(jù)的電信詐騙治理技術(shù)研究

王志剛，曲勁光

（中國移動(dòng)通信集團(tuán)寧夏有限公司，銀川 750002）

基于大數(shù)據(jù)的電信詐騙治理技術(shù)研究

王志剛，曲勁光

（中國移動(dòng)通信集團(tuán)寧夏有限公司，銀川 750002）

電信詐騙案數(shù)量居高不下，給人民群眾財(cái)產(chǎn)造成巨大損失?；诖髷?shù)據(jù)的詐騙電話分析技術(shù)，實(shí)現(xiàn)了詐騙場景的數(shù)據(jù)建模，通過對海量呼叫信令的大數(shù)據(jù)分析，可在通話結(jié)束后3～5 min的時(shí)間內(nèi)輸出疑似受害號(hào)碼，及時(shí)回訪受害人達(dá)到止損的目的，此技術(shù)有效彌補(bǔ)了傳統(tǒng)黑名單攔截方式的不足，為防范電信詐騙提供了一種新的技術(shù)可能。

電信詐騙；大數(shù)據(jù)；疑似受害號(hào)碼；黑名單

近年來，電信詐騙案數(shù)量居高不下，當(dāng)前我國電信詐騙案件每年以20%～30%的速度增長，形勢非常嚴(yán)峻。2016年1-8月，全國共破獲電信網(wǎng)絡(luò)詐騙案件7.1萬起，同比上升2.4倍，查處違法犯罪人員3.8萬名，同比上升2.5倍；收繳贓款贓物折合人民幣16.5億元，為群眾避免損失36.4億元。雖然打擊治理工作取得了一定成效，但電信網(wǎng)絡(luò)詐騙犯罪的高發(fā)勢頭仍沒有從根本上得到遏制。因此，在防范打擊的過程中，要根據(jù)詐騙行為的套路，充分研究新技術(shù)、新思路提高對詐騙事件的預(yù)防和阻斷，遏制電信網(wǎng)絡(luò)詐騙的蔓延勢頭，切實(shí)保護(hù)人民群眾的財(cái)產(chǎn)安全。

1 詐騙根源分析

目前詐騙電話主要是由位于東南亞一些國家和地區(qū)的詐騙團(tuán)伙利用IP技術(shù)向境內(nèi)撥打，這些電話主要通過兩個(gè)渠道進(jìn)入我國：一是先通過境外網(wǎng)關(guān)進(jìn)入電話網(wǎng)，然后通過電信網(wǎng)國際關(guān)口局進(jìn)入我國公眾電話網(wǎng)。二是通過互聯(lián)網(wǎng)入境，再經(jīng)VoIP網(wǎng)關(guān)通過專線接入國內(nèi)電信網(wǎng)本地網(wǎng)，目前經(jīng)國際關(guān)口局進(jìn)入我國的國際話務(wù)中，約30%是詐騙電話。電話詐騙猖獗，其原因主要有作案成本低而非法收益巨大，打擊治理難度大，跨國辦案成本高，民眾防范意識(shí)薄弱，相關(guān)法制不健全，立法滯后，電信、銀行存在監(jiān)管不夠嚴(yán)密，電信詐騙犯罪全球化產(chǎn)業(yè)鏈已經(jīng)形成等。

2 傳統(tǒng)治理技術(shù)

詐騙電話傳統(tǒng)的治理方式，其基本思路是對主叫號(hào)碼的前綴、碼長、規(guī)范性等進(jìn)行分析，結(jié)合投訴數(shù)據(jù)，輸出詐騙號(hào)碼，配置到黑名單庫攔截詐騙呼叫，實(shí)現(xiàn)對詐騙電話的治理的目的。這種方式對于詐騙號(hào)碼生存期長、真實(shí)性高、廣泛撒網(wǎng)式詐騙模式治理效果顯著。但犯罪分子換號(hào)成本十分低，頻繁變換號(hào)碼，A號(hào)碼被加黑后，采用B號(hào)碼重新詐騙，同時(shí)使用改號(hào)軟件模擬真實(shí)號(hào)碼、正常通話行為進(jìn)行精準(zhǔn)詐騙，均可繞開傳統(tǒng)反欺詐手段。經(jīng)過對投訴數(shù)據(jù)的分析，80%以上的詐騙主叫均為虛假號(hào)碼，回?fù)芎筇崾究仗?hào)，使得傳統(tǒng)的黑名單攔截方式基本無效。

3 基于大數(shù)據(jù)的詐騙電話分析技術(shù)

基于大數(shù)據(jù)詐騙電話分析技術(shù)特點(diǎn)是關(guān)聯(lián)主叫號(hào)碼的特征，挖掘、分析與識(shí)別詐騙場景，建立詐騙電話大數(shù)據(jù)分析模型，通過對海量呼叫信令的分析可在通話結(jié)束后的3～5 min內(nèi)輸出疑似受害用戶號(hào)碼，使用電話、短信等方式及時(shí)提醒用戶謹(jǐn)防受騙，從而達(dá)到事前預(yù)防的目的；若在回訪時(shí)，用戶已經(jīng)受騙，則提醒用戶報(bào)警，民警通過快速凍結(jié)涉案賬戶也可達(dá)到止損的目的，有效彌補(bǔ)傳統(tǒng)黑名單攔截方式的不足，為反電信詐騙提供了一種新的技術(shù)可能。

3.1 治理思路

詐騙分子總會(huì)遵循一定的詐騙模式，也就是詐騙腳本，如果用戶與多個(gè)陌生的電話發(fā)生了通話行為，而且這些通話行為符合了某種詐騙的模式，那么該用戶就是潛在的受害者，而這些陌生的號(hào)碼就是疑似詐騙號(hào)碼。通過電話回訪的方式對潛在受害用戶進(jìn)行提醒，能夠達(dá)到為用戶止損的目地。

3.2 數(shù)據(jù)建模

3.2.1 詐騙號(hào)碼的大數(shù)據(jù)建模

建立敏感號(hào)碼庫和黑名單號(hào)碼庫（黑名單號(hào)碼指涉及詐騙行為的號(hào)碼，敏感號(hào)碼指真實(shí)的各省市公安局、派出所、各類電商、銀行、券商、運(yùn)營商客服號(hào)碼等），針對詐騙號(hào)碼修改與變異的特點(diǎn)，將主叫號(hào)碼與號(hào)碼庫模糊匹配（如圖1所示），發(fā)現(xiàn)仿冒公檢法、銀行客服等敏感號(hào)碼的呼叫行為。

圖1 敏感號(hào)碼模糊匹配流程

在模糊匹配主叫黑名單和敏感名單基礎(chǔ)之上，基于呼叫信令基礎(chǔ)數(shù)據(jù)（如月被叫通話次數(shù)、主叫占比、呼叫頻次等），利用隨機(jī)森林算法建立疑似詐騙號(hào)碼識(shí)別模型，精確識(shí)別詐騙號(hào)碼，為疑似受害號(hào)碼的數(shù)據(jù)模型提供號(hào)碼行為特征，如圖2所示。

圖2 詐騙號(hào)碼的大數(shù)據(jù)模型

3.2.2 疑似受害號(hào)碼的大數(shù)據(jù)建模

組建反欺詐建模團(tuán)隊(duì)，分析一線欺詐案件總計(jì)超過300起，其中超過10萬的大案要案30多起，涉及冒充公檢法、冒充領(lǐng)導(dǎo)、冒充客服等案件種類超過20種，獲得了大量的欺詐規(guī)律和樣本，通過分析大量詐騙行為場景，為疑似受害號(hào)碼的分析建模積累了充分的場景樣本。

如圖3所示詐騙案例，受害人的資金經(jīng)過5個(gè)步驟后被成功詐騙。第1步，用戶接到虛假順豐快遞的電話，聲稱用戶快遞被海關(guān)扣留，并告知用戶派出所將會(huì)來電說明情況，特別提醒用戶如果不相信的話，可以撥打114查詢派出所電話的真實(shí)性。第2步，用戶查詢該號(hào)碼確認(rèn)為派出所電話，基本相信了快遞被扣留事件。第3步，派出所某警官打來電話說明基本情況后，要求被害人撥打其科長的電話進(jìn)一步對資金采取保護(hù)措施。第4步，科長告訴被害人，個(gè)人信息被用來洗錢，為了資金安全，必須將錢轉(zhuǎn)到安全賬戶，隨后將會(huì)有銀行客服人員給受害人操作。第5步，聲稱銀行客服人員以密碼有誤導(dǎo)致無法轉(zhuǎn)賬等借口，要求被害人提供動(dòng)態(tài)密碼，最后達(dá)到詐騙被害人資金的目的。

圖3 詐騙事件場景分析

建立基于詐騙場景、號(hào)碼行為特征、號(hào)碼特征、號(hào)碼活躍特征、號(hào)碼社交網(wǎng)絡(luò)、行為事件流、地域等多維度搭建大數(shù)據(jù)分析模型，利用聚類分析、隨機(jī)森林、梯度決策樹等方法進(jìn)行分析（如圖4所示），同時(shí)，對每一種詐騙類型進(jìn)行維度和權(quán)重評估?；谛袨閿?shù)據(jù)進(jìn)行模式識(shí)別，可以克服傳統(tǒng)黑名單的弊端，任何通話只要符合這種模式就可認(rèn)定是欺詐行為，分析輸出的被叫號(hào)碼則認(rèn)為是疑似受害用戶號(hào)碼。

圖4 疑似受害號(hào)碼大數(shù)據(jù)分析模型

4 上線應(yīng)用

基于大數(shù)據(jù)的詐騙電話分析模型上線應(yīng)用2個(gè)月（如圖5所示），日均處理話單量4000萬條，累計(jì)發(fā)現(xiàn)詐騙號(hào)碼334197，疑似受害用戶7168個(gè)，其中仿冒公檢法的受害用戶6118個(gè)，仿冒客服中獎(jiǎng)的692個(gè)，仿冒領(lǐng)導(dǎo)熟人的355個(gè)，仿冒社保3個(gè)，阻止正在實(shí)施的詐騙行為50多起，為受害人挽回經(jīng)濟(jì)損失20余萬元。

圖5 大數(shù)據(jù)分析系統(tǒng)網(wǎng)絡(luò)部署拓?fù)鋱D

經(jīng)過不斷的模型優(yōu)化、迭代分析和數(shù)據(jù)驗(yàn)證，基于大數(shù)據(jù)的詐騙電話分析技術(shù)算法準(zhǔn)確率可達(dá)到95%。尤其是通過實(shí)時(shí)接口將疑似受害號(hào)碼推送至反詐中心，民警通過電話、短信回訪用戶可以及時(shí)阻止詐騙事件的發(fā)生，降低了報(bào)案率，減少了詐騙案件發(fā)生后破案成本，因?qū)嵱脙r(jià)值大，準(zhǔn)確率高，已經(jīng)成為支撐反詐工作的重要手段之一。

5 總結(jié)與展望

通過本文的分析，在當(dāng)前形勢下，防范打擊電信詐騙工作任重而道遠(yuǎn)，必將是一場長期的博弈，我們必須要突破傳的統(tǒng)治理模式，以大數(shù)據(jù)為驅(qū)動(dòng)，通過技術(shù)手段研究與革新，不斷提高防范打擊通信信息詐騙的能力，實(shí)現(xiàn)事前防范、事中攔截、事后止損的目標(biāo)，切實(shí)保護(hù)人民群眾的財(cái)產(chǎn)安全。

News

賽靈思一系列解決方案亮相OFC 2017

賽靈思公司宣布，在3月21-23日的OFC 2017大會(huì)上推出了一系列解決方案，進(jìn)一步擴(kuò)大了其在高速數(shù)據(jù)中心互聯(lián)(DCI）解決方案領(lǐng)域的領(lǐng)先地位。這些面向DCI應(yīng)用的解決方案將為系統(tǒng)OEM廠商帶來最大的靈活性和向下一代設(shè)計(jì)遷移的能力，支持其能夠以最低的風(fēng)險(xiǎn)實(shí)現(xiàn)性能擴(kuò)展，并確保網(wǎng)絡(luò)安全性。

在以太網(wǎng)聯(lián)盟的展臺(tái)上，演示的是賽靈思400 G解決方案連接到Finisar 400 GECFP8模塊，該模塊又連接到Spirent 400 G測試模塊的互聯(lián)情況。

完整的FlexE 1.0解決方案展示UltraScale+ FPGA上的綁定、分級和通道化。該解決方案演示了多客戶端如何使用FlexE傳輸，突顯出FlexE能承載較大的數(shù)據(jù)管道，并與傳輸鏈路相匹配，實(shí)現(xiàn)鏈路預(yù)算的最佳利用率。該解決方案也讓網(wǎng)絡(luò)運(yùn)營商能夠最大化光學(xué)性能，相對于現(xiàn)有基礎(chǔ)設(shè)施降低運(yùn)營性能。

DCI解決方案的自動(dòng)化和安全功能展示了如何在傳輸線路卡上窺探LLDP數(shù)據(jù)分組，從而使得SDN控制器能夠構(gòu)建網(wǎng)絡(luò)拓?fù)洌@對數(shù)據(jù)中心網(wǎng)絡(luò)的自動(dòng)化至關(guān)重要。該演示還展示了如何用符合IEEE標(biāo)準(zhǔn)的MACsec加密并認(rèn)證鏈路，確保安全性。隨著越來越多的關(guān)鍵應(yīng)用和數(shù)據(jù)移植到云，MACsec必須提供數(shù)據(jù)加密和認(rèn)證，保護(hù)隱私。這種解決方案是傳統(tǒng)DSP提供完整的DCI解決方案所必需的。隨著DSP、PAM-4、一致性和擴(kuò)展連接范圍LR等不同光學(xué)技術(shù)的出現(xiàn)，客戶必須從系統(tǒng)軟件視角中對這類技術(shù)加以抽象。DCI傳輸中的光學(xué)技術(shù)抽象演示展示了賽靈思FPGA如何從多個(gè)制造商的不同技術(shù)集成中抽象出所需的技術(shù)，并幫助設(shè)計(jì)人員在單個(gè)平臺(tái)上選擇或綜合利用光學(xué)技術(shù)。56 G PAM4收發(fā)器性能演示展示了賽靈思采用16 nm FinFET工藝的新型56 G PAM-4收發(fā)器測試芯片如何為背板和LR應(yīng)用提供優(yōu)化性能。

（張俊偉)

Research on anti telecommunications fraud technology based on big data

WANG Zhi-gang, QU Jin-guang
(China Mobile Group Ningxia Co., Ltd., Yinchuan 750002, China)

The number of communications and information fraud is high, causing huge losses to the people's property. Based on big data analysis technology of fraud phone, the data modeling of scam scene is realized. Through analyzing the large data of massive call signaling, the victim number can be output within 3~5 minutes after the end of the call. To achieve the purpose of stop-loss, an effective way to make up for the traditional blacklist interception methods, in order to prevent telecommunications fraud provides a new technology possible.

communications fraud; big data; suspected victims number; blacklist

TN918

A

1008-5599（2017）04-0086-04

2017-02-08