一种涉诈识别方法和装置
阅读说明:本技术 一种涉诈识别方法和装置 (Method and device for recognizing fraud ) 是由 赵晓宇 丁正 顾晓东 董伟 周荣 蔡子衿 杨正敏 孙婷 佟志卫 任宇 于 2021-09-13 设计创作,主要内容包括:本申请公开了一种涉诈识别方法和装置,其中方法包括:从电信运营商网络,获取指定的通信和网络日志数据;利用深度报文检测技术,从所述通信和网络日志数据中提取指定数据;基于所述提取的结果,进行数据特征分析,得到指定的涉诈关联特征;基于所述涉诈关联特征,按照预设的涉诈筛选策略,识别涉诈嫌疑对象。采用本申请,可以对涉嫌诈骗的人员进行快速、有效地识别。(The application discloses a method and a device for fraud-related identification, wherein the method comprises the following steps: obtaining specified communication and network log data from a telecommunications carrier network; extracting specified data from the communication and weblog data by using a deep packet inspection technology; performing data feature analysis based on the extracted result to obtain specified fraud-related associated features; and identifying the suspected fraud-related objects according to a preset fraud-related screening strategy based on the fraud-related associated characteristics. By adopting the method and the device, the suspected fraud personnel can be quickly and effectively identified.)
技术领域
本发明涉及通信安全技术,特别是涉及一种涉诈识别方法和装置。
背景技术
日益成熟的互联网技术和日益壮大的互联网规模为社会提供了“互联网+”新生活。互联网给人们生活的方方面面带来便利的同时,各种威胁也接踵而至。不法分子的诈骗花样层出不穷,呈现出“电话诈骗”到“电信诈骗”的发展趋势。例如,有的不法分子搭建金融、信贷、博彩类网站,配合以短信,电话的形式进行推广,诱导被害人投钱,从而实施诈骗。网络诈骗发案率逐年递增,涉案金额也成倍增长。为了避免这些诈骗行为扰乱人们的正常工作和生活秩序,需要提出一种涉诈识别方案,以快速、有效识别出涉嫌诈骗人员,减少诈骗发案率。
发明内容
有鉴于此,本发明的主要目的在于提供一种涉诈识别方法和装置,可以对涉嫌诈骗的人员进行快速、有效地识别。
为了达到上述目的,本发明实施例提出的技术方案为:
一种涉诈识别方法,包括:
从电信运营商网络,获取指定的通信和网络日志数据;
利用深度报文检测技术,从所述通信和网络日志数据中提取指定数据;
基于所述提取的结果,进行数据特征分析,得到指定的涉诈关联特征;
基于所述涉诈关联特征,按照预设的涉诈筛选策略,识别涉诈嫌疑对象。
较佳地,所述通信和网络日志数据包括互联网上网信令日志、互联网流量访问日志、会话初始协议SIP流量日志和即时通信上网日志。
较佳地,所述提取指定数据包括:
从所述互联网上网信令日志和所述互联网流量访问日志中,提取用户的用户识别卡号码、终端移动台识别码软件版本IMEI-SV、移动用户号码MSISDN、跟踪区编码TAC、用户设备所在小区的小区标识、访问目的地址和目的端口;
从所述SIP流量日志中,提取呼叫方向、主叫号码、被叫号码、呼叫类型、挂机原因、SIP事务类型和SIP消息响应码;
从所述即时通信上网日志中,提取即时通讯应用程序(APP)类型和帐号。
较佳地,所述基于所述提取的结果,进行数据特征分析包括:
基于从所述互联网上网信令日志和所述互联网流量访问日志中提取的数据,确定用户上网使用的电话号码归属地、手机卡类型、设备终端型号、用户接入运营商的类型以及接入网络的类型、上网位置信息以及访问目的地址对应的区域;
基于从所述SIP流量日志中提取的数据,确定其中每个用户的呼叫次数、呼叫离散度和用户呼叫被拒的通话占比,并分析其中每个用户的呼叫时间段占比,以得到用户的呼叫活跃时间;
基于从所述即时通信上网日志中提取的数据,确定其中每个终端设备的登录账号数量。
较佳地,所述基于所述涉诈关联特征,按照预设的涉诈筛选策略,识别涉诈嫌疑对象包括:
如果用户同时满足:用户上网使用的电话号码归属地不属于访问目的地址对应的区域、手机卡类型属于指定的风险卡、接入网络的类型不是运营商指定的接入网络以及使用至少M个即时通信账号,则确定该用户为涉诈嫌疑对象;其中,所述风险卡包括境外卡、物联网卡和虚商卡,M大于1;
如果用户在指定高危基站的覆盖区域上网的次数大于预设上网次数阈值,且上网使用的设备终端型号属于指定的低端机型,则确定该用户为涉诈嫌疑对象;
如果用户同时满足:呼叫次数大于预设呼叫次数阈值、呼叫离散度大于预设呼叫离散度阈值、呼叫被拒的通话占比大于预设拒呼占比阈值,以及呼叫活跃时间在预设的常用时间段范围内,则确定该用户为涉诈嫌疑对象;
如果至少两个涉诈嫌疑对象在第一指定时间范围内存在同时处于相同位置的情况,则将所述位置交集确定为涉诈嫌疑窝点,将该涉诈嫌疑窝点对应的涉诈嫌疑对象确定为涉诈团伙。
较佳地,所述方法进一步包括:
基于所述提取的数据,生成所述涉诈嫌疑对象对应的涉诈画像信息;所述涉诈画像信息包括涉诈嫌疑对象的终端信息、电话号码、位置信息、即时通讯APP相关信息、受害者电话号码、涉诈嫌疑窝点和/或涉诈团伙。
本发明实施例还公开了一种涉诈识别装置,包括:
数据采集单元,用于从电信运营商网络,获取指定的通信和网络日志数据;
数据提取单元,用于利用深度报文检测技术,从所述通信和网络日志数据中提取指定数据;
数据分析单元,用于基于所述提取的结果,进行数据特征分析,得到指定的涉诈关联特征;
涉诈识别单元,用于基于所述涉诈关联特征,按照预设的涉诈筛选策略,识别涉诈嫌疑对象。
较佳地,所述通信和网络日志数据包括互联网上网信令日志、互联网流量访问日志、会话初始协议SIP流量日志和即时通信上网日志。
较佳地,所述数据提取单元具体用于提取指定数据,包括:
从所述互联网上网信令日志和所述互联网流量访问日志中,提取用户的用户识别卡号码、终端移动台识别码软件版本IMEI-SV、移动用户号码MSISDN、跟踪区编码TAC、用户设备所在小区的小区标识、访问目的地址和目的端口;
从所述SIP流量日志中,提取呼叫方向、主叫号码、被叫号码、呼叫类型、挂机原因、SIP事务类型和SIP消息响应码;
从所述即时通信上网日志中,提取即时通讯APP类型和帐号。
较佳地,所述数据分析单元,具体用于基于所述提取的结果进行数据特征分析,包括:
基于从所述互联网上网信令日志和所述互联网流量访问日志中提取的数据,确定用户上网使用的电话号码归属地、手机卡类型、设备终端型号、用户接入运营商的类型以及接入网络的类型、上网位置信息以及访问目的地址对应的区域;
基于从所述SIP流量日志中提取的数据,确定其中每个用户的呼叫次数、呼叫离散度和用户呼叫被拒的通话占比,并分析其中每个用户的呼叫时间段占比,以得到用户的呼叫活跃时间;
基于从所述即时通信上网日志中提取的数据,确定其中每个终端设备的登录账号数量。
较佳地,所述涉诈识别单元,具体用于基于所述涉诈关联特征,按照预设的涉诈筛选策略,识别涉诈嫌疑对象,包括:
如果用户同时满足:用户上网使用的电话号码归属地不属于访问目的地址对应的区域、手机卡类型属于指定的风险卡、接入网络的类型不是运营商指定的接入网络以及使用至少M个即时通信账号,则确定该用户为涉诈嫌疑对象;其中,所述风险卡包括境外卡、物联网卡和虚商卡,M大于1;
如果用户在指定高危基站的覆盖区域上网的次数大于预设上网次数阈值,且上网使用的设备终端型号属于指定的低端机型,则确定该用户为涉诈嫌疑对象;
如果用户同时满足:呼叫次数大于预设呼叫次数阈值、呼叫离散度大于预设呼叫离散度阈值、呼叫被拒的通话占比大于预设拒呼占比阈值,以及呼叫活跃时间在预设的常用时间段范围内,则确定该用户为涉诈嫌疑对象;
如果至少两个涉诈嫌疑对象在第一指定时间范围内存在同时处于相同位置的情况,则将所述位置交集确定为涉诈嫌疑窝点,将该涉诈嫌疑窝点对应的涉诈嫌疑对象确定为涉诈团伙。
较佳地,所述涉诈识别单元,进一步用于:
基于所述提取的数据,生成所述涉诈嫌疑对象对应的涉诈画像信息;所述涉诈画像信息包括涉诈嫌疑对象的终端信息、电话号码、位置信息、即时通讯APP相关信息、受害者电话号码、涉诈嫌疑窝点和/或涉诈团伙。
综上所述,本发明提出的涉诈识别方案,从电信运营商网络获取指定的日志数据,利用深度报文检测技术,从其中提取出指定数据,并基于所提取的数据进行数据特征分析,得到涉诈关联特征,最后按照预设的涉诈筛选策略,基于所得到涉诈关联特征,识别出涉诈嫌疑对象。如此,通过基于电信运营商网络的日志数据,对涉诈相关的通信、网络特征进行挖掘,可以及时、有效地识别出涉诈嫌疑对象。
附图说明
图1为本发明实施例的方法流程示意图;
图2为本发明实施例的装置结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明作进一步地详细描述。
图1为本发明实施例的流程示意图,如图1所示,该实施例实现的涉诈识别方法主要包括:
步骤101、从电信运营商网络,获取指定的通信和网络日志数据。
本步骤,用于从运营商侧采集通信和网络日志数据,以供后续步骤进行涉诈特征分析。
在一种实施方式中,所述通信和网络日志数据具体包括:互联网上网信令日志、互联网流量访问日志、会话初始协议(SIP)流量日志和即时通信上网日志。
在实际应用中,可以本步骤可以按照一定的采集周期,定期从运营商侧获取所述日志数据。具体地,可以根据数据采集的实时性需要,设置合适的采集周期。
步骤102、利用深度报文检测技术,从所述通信和网络日志数据中提取指定数据。
本步骤,需要利用深度报文检测((Deep Packet Inspection,DPI)技术,从步骤101得到的日志数据中,过滤出特定的信令数据。
采用DPI技术进行深度检测分析后,会基于过滤出的信令数据形成XDR(X DataRecording)日志,XDR是指对移动网络、承载网络中数据流量的关键信息记录,即流量日志,以用户会话为单位,一个会话形成一条XDR记录。在实际应用中,XDR日志数据可以写入大数据平台存档,以供后续进行涉诈分析。
一种实施方式中,具体可以采用下述方法,分别从互联网上网信令日志、互联网流量访问日志、SIP流量日志和即时通信上网日志中,提取指定数据:
1、从所述互联网上网信令日志和所述互联网流量访问日志中,提取用户的用户识别卡号码、终端移动台识别码软件版本(IMEI-SV)、移动用户号码(MSISDN)、跟踪区编码(TAC)、用户设备所在小区的小区标识、访问目的地址和目的端口。
所述用户识别卡号码具体可以为国际移动用户识别码(IMSI),所述小区标识具体可以为E-UTRAN小区全局标识符(ECI)。
2、从所述SIP流量日志中,提取呼叫方向、主叫号码、被叫号码、呼叫类型、挂机原因、SIP事务类型和SIP消息响应码。
3、从所述即时通信上网日志中,提取即时通讯APP类型和帐号。
步骤103、基于所述提取的结果,进行数据特征分析,得到指定的涉诈关联特征。
在一种实施方式中,为了提高涉诈识别的准确性,具体可以采用下述方法基于步骤103提取的数据,进行数据特征分析:
基于从所述互联网上网信令日志和所述互联网流量访问日志中提取的数据,确定用户上网使用的电话号码归属地、手机卡类型(如国际卡,物联网卡,流量卡,虚商卡等)、设备终端型号、用户接入运营商的类型以及接入网络的类型、上网位置信息以及访问目的地址对应的区域。
基于从所述SIP流量日志中提取的数据,确定其中每个用户的呼叫次数、呼叫离散度和用户呼叫被拒的通话占比,并分析其中每个用户的呼叫时间段占比,以得到用户的呼叫活跃时间。
基于从所述即时通信上网日志中提取的数据,确定其中每个终端设备的登录账号数量。
在实际应用中,本步骤可以按照预设的分析周期,定期从大数据平台获取XDR日志,进行数据特征分析。
步骤104、基于所述涉诈关联特征,按照预设的涉诈筛选策略,识别涉诈嫌疑对象。
一种实施方式中,为了提高涉诈识别的准确性,可以采用下述方法基于所述涉诈关联特征,按照预设的涉诈筛选策略,从多种维度,识别涉诈嫌疑对象:
如果用户同时满足:用户上网使用的电话号码归属地不属于访问目的地址对应的区域、手机卡类型属于指定的风险卡、接入网络的类型不是运营商指定的接入网络以及使用至少M个即时通信账号,则认为该用户具有涉诈人员的基本特征,确定该用户为涉诈嫌疑对象。
具体的,所述风险卡可以包括境外卡、物联网卡和虚商卡,但不限于此。
所述M大于1,具体可由本领域技术人员根据实际涉诈人员的即时通信账号数量特征,设置M的合适取值。
如果用户在指定高危基站的覆盖区域上网的次数大于预设上网次数阈值,且上网使用的设备终端型号属于指定的低端机型,则确定该用户为涉诈嫌疑对象。
具体地,所述低端机型可以包括华为、VIVO、OPPO和小米等低端机型,但不限于此,具体可以根据实际涉诈人员通常使用的机型设置。
所述上网次数阈值,可由本领域技术人员根据实际的涉诈特征设置,例如,可以设置为1,即只要在高危基站区域出现即可,但不限于此。
如果用户同时满足:呼叫次数大于预设呼叫次数阈值、呼叫离散度大于预设呼叫离散度阈值、呼叫被拒的通话占比大于预设拒呼占比阈值,以及呼叫活跃时间在预设的常用时间段范围内,则确定该用户为涉诈嫌疑对象。
这里,当用户产生大量的呼叫频次,同时具有较高的离散度,呼叫被拒占比较高,呼叫活跃时间也满足常用时间段时,认为该用户具有涉诈人员的特征,故将其确定为涉诈嫌疑对象。
所述常用时间段,可以根据通常的工作时间设置,例如,早9:00至晚6:00,但不限于此。
如果至少两个涉诈嫌疑对象在第一指定时间范围内存在同时处于相同位置的情况,则将所述位置交集确定为涉诈嫌疑窝点,将该涉诈嫌疑窝点对应的涉诈嫌疑对象确定为涉诈团伙。
所述第一指定时间范围,可以根据实际的涉诈特征设置,例如,可以为5至7天或10至14天,但不限于此。
上述方法综合多种维度的分析结果,对用户进行统计和人物画像,最终对用户进行分类,并精准识别出涉诈窝点。
一种实施方式中,可以进一步基于上述步骤的识别结果以及步骤102提取的数据,生成涉诈人员的画像,具体如下:
基于步骤102提取出的数据,生成所述涉诈嫌疑对象对应的涉诈画像信息。所述涉诈画像信息包括涉诈嫌疑对象的终端信息、电话号码、位置信息、即时通讯APP相关信息、受害者电话号码、涉诈嫌疑窝点和/或涉诈团伙。
与上述方法实施例相对应,本发明实施例还提出了一种涉诈识别装置,如图2所示,该装置主要包括:
数据采集单元201,用于从电信运营商网络,获取指定的通信和网络日志数据;
数据提取单元202,用于利用深度报文检测技术,从所述通信和网络日志数据中提取指定数据;
数据分析单元203,用于基于所述提取的结果,进行数据特征分析,得到指定的涉诈关联特征;
涉诈识别单元204,用于基于所述涉诈关联特征,按照预设的涉诈筛选策略,识别涉诈嫌疑对象。
一种实施方式中,所述通信和网络日志数据包括互联网上网信令日志、互联网流量访问日志、会话初始协议SIP流量日志和即时通信上网日志。
一种实施方式中,数据提取单元202,具体用于提取指定数据,包括:
从所述互联网上网信令日志和所述互联网流量访问日志中,提取用户的用户识别卡号码、终端移动台识别码软件版本IMEI-SV、移动用户号码MSISDN、跟踪区编码TAC、用户设备所在小区的小区标识、访问目的地址和目的端口;
从所述SIP流量日志中,提取呼叫方向、主叫号码、被叫号码、呼叫类型、挂机原因、SIP事务类型和SIP消息响应码;
从所述即时通信上网日志中,提取即时通讯APP类型和帐号。
一种实施方式中,所述数据分析单元203,具体用于基于所述提取的结果进行数据特征分析,包括:
基于从所述互联网上网信令日志和所述互联网流量访问日志中提取的数据,确定用户上网使用的电话号码归属地、手机卡类型、设备终端型号、用户接入运营商的类型以及接入网络的类型、上网位置信息以及访问目的地址对应的区域;
基于从所述SIP流量日志中提取的数据,确定其中每个用户的呼叫次数、呼叫离散度和用户呼叫被拒的通话占比,并分析其中每个用户的呼叫时间段占比,以得到用户的呼叫活跃时间;
基于从所述即时通信上网日志中提取的数据,确定其中每个终端设备的登录账号数量。
一种实施方式中,所述涉诈识别单元204,具体用于基于所述涉诈关联特征,按照预设的涉诈筛选策略,识别涉诈嫌疑对象,包括:
如果用户同时满足:用户上网使用的电话号码归属地不属于访问目的地址对应的区域、手机卡类型属于指定的风险卡、接入网络的类型不是运营商指定的接入网络以及使用至少M个即时通信账号,则确定该用户为涉诈嫌疑对象;其中,所述风险卡包括境外卡、物联网卡和虚商卡,M大于1;
如果用户在指定高危基站的覆盖区域上网的次数大于预设上网次数阈值,且上网使用的设备终端型号属于指定的低端机型,则确定该用户为涉诈嫌疑对象;
如果用户同时满足:呼叫次数大于预设呼叫次数阈值、呼叫离散度大于预设呼叫离散度阈值、呼叫被拒的通话占比大于预设拒呼占比阈值,以及呼叫活跃时间在预设的常用时间段范围内,则确定该用户为涉诈嫌疑对象;
如果至少两个涉诈嫌疑对象在第一指定时间范围内存在同时处于相同位置的情况,则将所述位置交集确定为涉诈嫌疑窝点,将该涉诈嫌疑窝点对应的涉诈嫌疑对象确定为涉诈团伙。
一种实施方式中,所述涉诈识别单元204,进一步用于:
基于所述提取的数据,生成所述涉诈嫌疑对象对应的涉诈画像信息;所述涉诈画像信息包括涉诈嫌疑对象的终端信息、电话号码、位置信息、即时通讯APP相关信息、受害者电话号码、涉诈嫌疑窝点和/或涉诈团伙。
本发明的每一个实施例可以通过由数据处理设备如计算机执行的数据处理程序来实现。显然,数据处理程序构成了本发明。此外,通常存储在一个存储介质中的数据处理程序通过直接将程序读取出存储介质或者通过将程序安装或复制到数据处理设备的存储设备(如硬盘和或内存)中执行。因此,这样的存储介质也构成了本发明。存储介质可以使用任何类型的记录方式,例如纸张存储介质(如纸带等)、磁存储介质(如软盘、硬盘、闪存等)、光存储介质(如CD-ROM等)、磁光存储介质(如MO等)等。
因此本发明还公开了一种存储介质,其中存储有数据处理程序,该数据处理程序用于执行本发明上述方法的任何一种实施例。
另外,本发明所述的方法步骤除了可以用数据处理程序来实现,还可以由硬件来实现,例如,可以由逻辑门、开关、专用集成电路(ASIC)、可编程逻辑控制器和嵌入微控制器等来实现。因此这种可以实现本发明所述方法的硬件也可以构成本发明。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
- 上一篇:一种医用注射器针头装配设备
- 下一篇:外呼方法和装置