林潔群 中國聯合網絡通信有限公司廣州市分公司網絡運行維護部交換工程師

蔡培雄 中國聯合網絡通信有限公司廣州市分公司網絡運行維護部交換工程師

1 引言

針對電信詐騙事件頻繁發(fā)生的情況，中國聯通廣州市分公司深入分析12321（網絡不良與垃圾信息舉報受理中心）平臺下發(fā)的被投訴號碼的呼叫行為特征，通過挖掘不良號碼的信令記錄，從呼叫頻次、接通率、通話時長、撥打被叫的類型等多個維度甄別不良號碼，并且結合360網絡安全平臺數據庫對號碼的標記情況，制定出能準確篩選不良號碼的模型規(guī)則。

2 研究背景

2.1 電信詐騙頻發(fā)

電信詐騙是指，詐騙分子通過打電話、網絡和短信方式，編造虛假信息，設置騙局，對受害人實施詐騙，誘使受害人給詐騙分子打款或轉賬。詐騙分子采取漫天撒網的形式，在某一段時間內集中向某一個號段或者地區(qū)撥打電話，波及面很寬、社會影響惡劣。

電信詐騙的主要形式有冒充政府部門、金融部門、電信運營商、網購平臺客服、親戚朋友，編造虛假中獎信息等，并且出現了許多新型的詐騙套路，令人防不勝防。

從騰訊安全發(fā)布的《2017年第一季度反電信網絡詐騙大數據報告》顯示，2017年第一季度全國的電話詐騙事件總有33570起，雖然詐騙電話事件次數比第四季度降低50%，但仍然處于較高水平。

2.2 提升技術手段，大力打擊通訊信息詐騙

為切實保障正常通信秩序，保護人民群眾合法權益，維護社會和諧穩(wěn)定，進一步防范與打擊不法分子利用通信網絡實施通訊信息詐騙等違法犯罪活動，工信部開展了“綜合治理不良網絡信息防范打擊通訊信息詐騙”行動。為了響應國家的要求以及工信部的行動，中國聯通廣州市分公司也著力推進防范打擊通訊信息詐騙工作，其中一項重點工作是完善技術手段，提升對詐騙電話發(fā)現攔截的能力。

2.3 12321網絡不良與垃圾信息舉報受理中心

12321網絡不良與垃圾信息舉報受理中心為中國互聯網協會受工業(yè)和信息化部委托設立的舉報受理機構。負責協助工業(yè)和信息化部承擔關于互聯網、移動電話網、固定電話網等各種形式信息通信網絡及電信業(yè)務中不良與垃圾信息內容的舉報受理、調查分析以及查處工作。

12321平臺能通過電話、網頁等多個途徑舉報電信詐騙事件，12321平臺受理后會將詐騙號碼反饋到其歸屬的運營商，監(jiān)督運營商對該號碼進行處理。

3 構建防電信詐騙呼叫模型

3.1 信令采集數據庫

通信網中任意兩個通信終端之間的通信都離不開信令，終端與交換節(jié)點之間、各交換節(jié)點之間以及不同網絡之間的互通，都必須在信令的控制下進行。在呼叫建立和呼叫拆除過程中，用戶與交換機之間、交換機與交換機之間都要交互一些控制信息，以協調相互的動作，這些控制信息稱為信令。

中國聯通廣州市分公司在固定語音網各個端局、融合關口局以及長途局上均配置了信令采集系統(tǒng)，經過交換機的信令均被保存到數據庫中。通過接入信令數據庫，對信令數據進行分析，可以從中獲得主叫號碼、被叫號碼、所經路由、釋放方向等一系列數據，這些數據能準確地反映出該通呼叫的詳細情況。綜合分析某個號碼一天內的信令記錄，從呼叫頻次、呼叫接通率、平均呼叫時長等多個維度著手分析，能準確地總結出該號碼的呼叫特征，推斷出其呼叫行為。

3.2 360號碼標記庫

360手機衛(wèi)士是國人普遍使用的一款免費手機安全軟件，其內置了來話提示歸屬地以及號碼標記信息的功能。由于360手機衛(wèi)士占的市場份額較高，且360手機衛(wèi)士在比較早的時候就開始收集統(tǒng)計用戶對號碼的標記情況，故360平臺號碼標記庫的數據具有較高的可參考性。

利用12321平臺中被投訴詐騙的號碼歷史數據，分別在360、百度、搜狗3家網絡平臺查詢號碼的標記情況。結果發(fā)現，在12321平臺中被投訴的惡意號碼與360的號碼標記庫匹配率較高，也就是說，這批惡意號碼在360平臺號碼標記庫中標記為非正常號碼的比率大于其余兩家平臺的標記比率。綜合考慮，我們決定在防電信詐騙模型當中加入360平臺號碼標記情況作為篩選條件，利用互聯網公信力作為參考，使得模型能更準確地判斷疑似號碼的類型以及惡意程度。

360平臺對號碼的標記類型有詐騙電話、廣告推銷、房產中介、騷擾電話、快遞送餐、招聘獵頭、響一聲電話、保險理財、出租車。其中詐騙電話、騷擾電話以及響一聲電話是影響最為惡劣的，故在防電信詐騙模型當中會添加號碼被360標記類型的過濾。

3.3 集團客戶固話防詐騙呼叫模型

中國聯通廣州市分公司的集團客戶固話業(yè)務范圍主要包括語音專線、商務總機、簡易集線通、集客普通固話等產品。集團客戶固話業(yè)務的受眾面主要是各行業(yè)公司大客戶，其特征是公司來往的話務較大，也有著很明顯的上下班時段特點。

通過獲取12321平臺中被投訴詐騙的固話號碼，搭建本地網呼叫信令數據庫，在此基礎上挖掘2017年1—4月被投訴的固話號碼每日呼叫信令，經過詳細核查驗證，確定在模型中應用信令記錄參數中的“呼叫頻次”、“接通率”、“主叫掛線率”3個關鍵指標，并且從大量的號碼行為分析中發(fā)現以下規(guī)律：被投訴的號碼當天呼叫量較大，日呼叫量超過N次的占比80%以上；且接通的次數不高，接通率在M%以下；此外，被投訴號碼在正常通話的過程中主動掛線的幾率較低，基本上主叫掛機率都在P%以下。

針對以上呼叫特征，可初步建立了集團客戶固話防詐騙呼叫模型，具體條件如下：

（1）每天撥打數量大于N次。

（2）接通率在M%以下。

（3）主叫掛線率小于或者等于P%。

（4）被360標記為騷擾電話、響一聲電話或詐騙電話。

在中國聯通網內信令數據庫中使用的集客模型SQL語句如圖1所示。

3.4 無線固話模型

無線固話終端內置一個移動SIM卡，號碼直接置為固網號碼。從使用方式來分析，無線固話與移動電話十分相似。但從呼出的顯示主叫的號碼以及信令上的主叫號碼來看，無線固話又是固話號碼。

無線固話的行為與手機無異，使用起來較為方便，卻使得難以跟蹤到電話固定的位置，后付費的收費模式又減輕了騷擾詐騙的成本，以上的種種原因造成了無線固話號碼大量被投訴存在詐騙行為。在12321平臺反饋的固話號碼當中，無線固話占比較高。

通過分析被投訴的無線固話號碼的呼叫行為，發(fā)現使用無線固話的詐騙分子一天的呼出量較多，但比不上使用多終端專線呼出的集客客戶，無線固話號碼每日的呼叫量在N次以上；而接通率、主叫掛線率均與集客模型類似，絕大部分的詐騙號碼的接通率都在M%以下，而主叫掛線率都在P%以下。

針對以上呼叫特征，可制定了無線固話防詐騙呼叫模型，具體條件如下：

（1）每天撥打次數大于N次。

圖1 集客模型SQL語句

（2）接通率在M%以下。

（3）主叫掛線率小于或者等于P%。

（4）被360標記為非正常號碼。

在中國聯通網內信令數據庫中使用的無線固話模型SQL語句如圖2所示。

3.5 閑時模型

此處定義的閑時時段指的是每天的13:00-14:00、23:00-0:00、0:00-1:00、1:00-2:00。每天的13:00-14:00是午休時間，而23:00-0:00、0:00-1:00、1:00-2:00則是晚上休息的時間。正常來說，正常固話號碼在以上4個時間段基本上無話務量，即使對于話務量較大的大公司而言，在以上4個時間段的呼叫頻次都不會超過N次。

通過分析12321平臺反饋的固話號碼，其中有10%的號碼是在閑時時段呼出而被投訴，造成了極壞的騷擾影響。通過分析這些號碼當天的信令記錄，發(fā)現這些號碼在閑時時段內存在呼叫頻次大于N次的呼叫行為，而正常號碼在閑時時段內基本上不會達到1h撥打N次的條件。

針對以上呼叫特征，我們制定了閑時固話模型，具體條件如下：

（1）在13:00-14:00、23:00-24:00、0:00-1:00、1:00-2:00這4個時間段內撥打次數大于或等于N次。

（2）被360標記為詐騙號碼/騷擾號碼/響一聲號碼。

在中國聯通網內信令數據庫中使用的閑時模型SQL語句如圖3所示。

3.6 短頻短時呼叫模型

典型的詐騙電話的內容包括冒充領導、虛假中獎信息、冒充政府部門、冒充親戚朋友等幾類，同時詐騙分子會采取廣撒網的手段，一天內呼出大量的話務。對于辨識能力較強以及比較警惕的用戶，他們往往在聽到詐騙分子的前幾句話就能分辨出是一通詐騙電話而掛機。因此，在統(tǒng)計12321被投訴的號碼當中，只有小部分的詐騙電話的通話時長超過了Lmin。

針對詐騙電話的短頻短時呼叫的特點，可制定短頻短時呼叫模型，具體條件如下：

（1）每天撥打數量大于N次；

（2）平均呼叫時長≤Lmin；

（3）1min通話率≥P%；

圖2 無線固話模型SQL語句

圖3 閑時模型SQL語句

（4）15s內通話率≥H%；

（5）被360標記為詐騙號碼/騷擾號碼/響一聲號碼。

在中國聯通網內信令數據庫中使用的短頻短時模型SQL語句如圖4所示。

4 成果

進入2017年，12321平臺的建設愈加完善，而電信詐騙事件也一直持續(xù)高發(fā)。從圖5可以看出，在2017年的前3個月，中國聯通廣州市分公司在12321平臺上被投訴量一路攀升。面對不良態(tài)勢，經過挖掘分析信令數據，從多個維度甄別詐騙號碼，針對不同業(yè)務、不同使用場景制定上文提到的防電詐模型，最終在2017年3月底開始實行防電詐模型，每天定時向公司業(yè)務部門輸出疑似詐騙號碼，并根據匹配結果不斷更新模型的條件參數。從2017年4月開始，12321平臺被投訴量大幅下降，成功地遏制電信詐騙事件的高發(fā)態(tài)勢，取得了豐碩的成果。這也反映出防電信詐騙呼叫模型的確能匹配出具有不良語音呼叫行為的固話號碼，具有相當高的參考價值。

5 結束語

中國聯通廣州市分公司針對頻發(fā)的電信詐騙事件，利用信令中包含的主叫號碼、被叫號碼、呼叫時間、呼叫時長、釋放方向等信息，結合電信詐騙的典型案例以及在12321平臺上被投訴號碼的呼叫特征，制定出篩選不良號碼的模型。

從業(yè)務層面考慮，集客業(yè)務與無線固話業(yè)務的號碼呼叫特征有所差別，因此對應制定了集團客戶固話模型以及無線固話模型。而為了防范號碼的惡意騷擾，制定了閑時模型以及短頻短時呼叫模型。

圖4 短頻短時模型SQL語句

防電信詐騙模型從2017年3月底開始向業(yè)務部門輸出疑似詐騙號碼，其具有相當高的參考價值。正是因為有了防電信詐騙模型，業(yè)務部門能第一時間發(fā)現疑似號碼的惡意呼叫行為并對其進行限制，防止該號碼繼續(xù)騷擾詐騙其余用戶，遏制了電信詐騙事件的發(fā)生。從2017年4月起，中國聯通廣州市分公司被12321平臺投訴的固話號碼量逐月大幅下降，取得了非常好的成果。

圖5 中國聯通廣州市分公司被舉報號碼數量趨勢圖

[1]李易.反電信網絡詐騙全民指南[M].上海社會科學院出版社,2016,10,1.

[2]桂海源,張碧玲.信令系統(tǒng)[M].北京郵電大學出版社,2008,5,1.

[3]MICK.SQL基礎教程[M].人民郵電出版社,2014,8.

[4]Itzik Ben-Gan.Microsoft SQL Server 2008技術內幕[M].電子工業(yè)出版社,2010,9,1.

[5]Rachel Schutt,Cathy O'Neil.數據科學實戰(zhàn)[M].人民郵電出版社,2015,3,1.

[6]李航.統(tǒng)計學習方法[M].北京:清華大學出版社,2012.