一種基于特征檢測的惡意呼叫過濾方案

許鵬翔 饒新益 王曉娜

【摘要】本文通過在交換網中提取出惡意呼叫實例并進行統計分析，歸納出惡意呼叫號碼的若干行為特征和網絡特征，并與網絡中交換設備自帶的檢測方案進行比較，提出一種優化的疑似惡意呼叫號碼過濾方案。

【關鍵詞】惡意呼叫響一聲電話

當前移動通信網中普遍存在惡意呼叫的現象，本文通過在移動網絡中提取惡意呼叫實例，采用統計分析歸納出惡意呼叫的若干特征，并與目前在用的檢測方案進行比較，給出一種在交換機上實現的惡意呼叫過濾方案。

一、惡意呼叫特征分析

通過提取網絡中大量呼叫記錄進行統計和分析，可以發現惡意呼叫具有若干明顯特征：（1）主叫長時間頻繁發起呼叫；（2）振鈴時長短，主叫提前拆線，被叫應答率低；（3）被叫號碼為同號段號碼；（4）主叫號碼設置呼轉。

二、在用交換機的惡意呼叫檢測方案分析

目前多數交換機提供惡意呼叫檢測功能，測試中發現幾個問題：（1）始發呼叫統計周期范圍為30s～300s，惡意呼叫閾值范圍為15次～255次，通話接續時長一般在6s～8s，既一分鐘發起呼叫的頻度不會超出10次，若按最短統計周期為30s計算，則呼叫不會超出5個，而檢測功能最小的檢測閾值為15次，遠遠大于5個。（2）始發呼叫統計周期的范圍（30～300s）決定了該功能僅能檢測短時間內的超頻呼叫，影響了監測的成功率和覆蓋率。

三、優化方案

本節在上文分析和測試的基礎上，提出一種優化的惡意呼叫號碼檢測方案，目的在于提高該功能對網絡中惡意呼叫號碼檢測的覆蓋率和準確率。

3.1優化思路

從惡意呼叫檢測功能的測試結果來看，簡單的從呼叫頻度上進行檢測準確率低，可通過多維度的聯合檢測測來優化。

主叫行為特征：（1）通話未正常接通，無計費話單產生（通話時長=0）；（2）振鈴時長小于指定時長。（（主叫拆線時刻-振鈴時刻）Nmax）；5）主叫用戶頻繁起呼持續時間較長（連續呼叫間隔時間

被叫號碼特征：

（1）主叫用戶頻繁發起呼叫的被叫用戶不是同一號碼；（2）主叫用戶頻繁發起呼叫的被叫用戶為同一號段號碼（是否為同一萬號段）。

3.2檢測流程

檢測機制原理是通過設置若干特征計數器，對統計周期內每個主叫的呼叫總數和符合條件的呼叫進行分類計數，統計周期結束后，通過判斷每個計數器占呼叫總數的比例是否超過設置的閾值來確定主叫號碼是否為惡意呼叫號碼。計數器包括呼叫總數計數器、超短振鈴計數器、主叫拆線計數器、零通話時長計數器、呼叫持續性計數器和同號段號碼計數器。檢測過程中可設置的閾值為Talerting（振鈴時長閾值）和T1（呼叫間隔）。每個呼叫需檢測如下信息，流程圖如下圖所示：

流程檢測步驟說明：步驟1：收到cm_service_request對該主叫號碼呼叫總數計數器加1；步驟2：計算振鈴時長（alerting時刻->disconnect時刻），如果振鈴時長

通過以上檢測可以提取出用戶統計周期內呼叫的若干特征，在幾個特征計數器的基礎上通過設置閾值，過濾出統計周期內疑似惡意呼叫號碼。

四、結論

本文中提出的惡意呼叫檢測優化方案是基于網絡中大量惡意呼叫樣本提出的，與真實的惡意呼叫模型有較強的相關性，另外，通過延長統計周期可以進一步提高檢測結果的準確率。方案中檢測閾值的確定可先用網絡中樣本大致估算一個閾值，在網絡中實際運行中持續收集樣本再通過分類樹算法確定各參數的最佳取值。