一種基于惡意業(yè)務(wù)信令特征的騷擾電話識別和防范方案

朱同先，艾懷麗，周 泉，郭 華

（中國移動通信集團江蘇有限公司，江蘇 南京 210029）

1 騷擾電話的概況

近幾年，隨著各類SP增值業(yè)務(wù)的極大豐富，部分別有用心的個人也開始利用一些通信技術(shù)中的漏洞進行各種騷擾、詐騙以及營銷電話的惡意撥打，以達到非法目的。這類電話通常不是用戶愿意接收的，而且后續(xù)會對用戶的個人財產(chǎn)及利益造成各類危害的，被稱之為騷擾及詐騙電話。

通常來說，騷擾及詐騙電話可分為以下幾類：

（1）響一聲后掛機以騙取用戶進行回撥的電話；

（2）播放廣告以及詐騙信息等事先錄制好的音頻以騙取用戶信息的電話；

（3）層出不窮的其他惡意騷擾電話等。

這些非法呼叫造成的傷害是巨大的，不僅大量地占用了運營商寶貴的通信資源，直接導(dǎo)致接通率下降、設(shè)備擁塞等網(wǎng)絡(luò)問題，還會因為其非法的行為嚴重影響客戶對移動業(yè)務(wù)的使用體驗，增加用戶離網(wǎng)率以及引起客戶向運營商和工信部進行投訴的風險。因此，運營商有義務(wù)也有責任對騷擾詐騙電話進行攻關(guān)，尋找騷擾電話的識別方法，建立一套精確的監(jiān)管、分析和攔截惡意電話的平臺，有效降低詐騙騷擾電話的數(shù)量，保障客戶的通信安全，提高用戶的業(yè)務(wù)使用感知。

本文將從騷擾電話的行為特征、底層通信原理研究、以及如何利用信令監(jiān)測系統(tǒng)來監(jiān)控和防治非法騷擾電話等幾個方面，闡述基于信令業(yè)務(wù)特征的騷擾電話識別和防范方案，以便為非法電話的防治工作提供一套清晰的思路和方案。

1.1 騷擾電話分類

非法的騷擾電話的分類主要有以下幾種：

（1）振鈴掛機電話（俗稱響一聲電話）

此種非法呼叫具有撥打頻次高、被叫號碼分布規(guī)律（一般是連續(xù)的號碼或者其他簡單算法）、接聽成功率低等特征，其主要目的是騙取用戶進行電話回撥，回撥之后用戶一般會聽到對端已經(jīng)提前錄播好的廣告或詐騙信息等。

（2）事先錄制的廣告或騷擾音頻電話

此種非法呼叫的特征和上面的振鈴一聲掛機電話有些類似，被叫號碼連續(xù)或者具備一定分布規(guī)律，當用戶接聽后，直接開始播放事先錄制的廣告、反動言論或其他詐騙信息。

（3）人工撥打的廣告電話

此種非法呼叫是由人工撥打的，不法分子根據(jù)從各種非法渠道獲取的用戶號碼信息，進行手工的電話撥打，用戶接通后，不法分子會進行一些廣告的推銷。

（4）惡意騷擾電話

此種非法呼叫是指針對個人或者企業(yè)客戶進行的大量惡意的頻繁撥打，使得被呼叫的用戶在一段時間內(nèi)都無法正常使用手機通話和其他業(yè)務(wù)，這類電話往往會對用戶造成比較直接的通信業(yè)務(wù)損失及其他關(guān)聯(lián)的傷害。

1.2 詐騙電話（虛假主叫）

此種非法呼叫的主叫端的來源和落地方式較為寬泛，主要通過網(wǎng)絡(luò)軟件或?qū)＞€形式進行。由于對主叫號碼監(jiān)管有疏漏，部分設(shè)置有內(nèi)部交換機的專線用戶或掌握一些網(wǎng)絡(luò)通信軟件的用戶可以修改信令中的主叫號碼，從而模擬出各種公共服務(wù)的熱線電話號碼等，用來獲取用戶的信任，以達到詐騙的目的。這類電話的通話內(nèi)容中經(jīng)常涉及中獎通知、消費信息等誘惑信息。

2 騷擾電話的特征

任何一通電話的通信過程都需要信令的交互來支持，每一條信令都包含不同的參數(shù)，這其中的參數(shù)包含主被叫用戶的身份信息（IMSI/MSISDN）、位置信息（LAC/TAC/CI/ECI）、手機類型（IMEI）、通話時長等關(guān)鍵信息。

目前針對非法電話的特征提取，從撥打頻次、被叫號碼離散程度、通話時長、通話內(nèi)容、主被叫號碼等幾個方面尋找規(guī)律，均可以通過信令監(jiān)測系統(tǒng)來進行分析以獲取非法電話的信令特性，通過對信令特性的解析，來識別該用戶是否為騷擾或詐騙電話。

2.1 信令基礎(chǔ)原理

首先從計算機網(wǎng)絡(luò)通信來分析通信的基本原理，網(wǎng)絡(luò)中的計算機之間進行通信時的語言被稱為“協(xié)議”，只有能夠講、能夠理解這些“語言”的計算機才能在網(wǎng)絡(luò)上與其他計算機進行通信，從這個意義上講，“協(xié)議”就是網(wǎng)絡(luò)的本質(zhì)，協(xié)議定義了網(wǎng)絡(luò)上的各種計算機和設(shè)備之間相互通信、數(shù)據(jù)管理、數(shù)據(jù)交換的整套規(guī)則。

電話通信的原理和計算機網(wǎng)絡(luò)通信的原理一樣，也需要遵循著協(xié)議進行通信，稱之為“信令”，即控制通話起始和結(jié)束的語言。在通信設(shè)備之間傳遞的各種控制信號，如占用、釋放、設(shè)備忙閑狀態(tài)、被叫用戶號碼等，都屬于信令，信令就是各個交換局在完成呼叫接續(xù)中的一種通信語言，信令系統(tǒng)指導(dǎo)系統(tǒng)各部分相互配合、協(xié)同運行，共同完成某項任務(wù)。

以局間TUP協(xié)議為例進行電話業(yè)務(wù)的信令特征說明，如圖1所示。

（1）IAI/IAM（必選）：當主叫用戶撥號以后，主叫用戶所在交換局將主叫號碼、被叫號碼、傳輸媒質(zhì)等信息放在IAM/IAI消息中，發(fā)送給被叫用戶所在交換局。

（2）SAM/SAO（可選）：當主叫交換局為縮短接續(xù)時長而設(shè)置了被叫最小接收位長后，可以將最小位長后續(xù)的被叫號碼以SAM/SAO消息發(fā)送給被叫用戶所在交換局。

（3）ACM（可選）：當被叫交換局接通被叫用戶時，以ACM消息（被叫用戶狀態(tài)是空閑）告訴主叫側(cè)被叫用戶是空閑的并播放回鈴音，以讓主叫用戶感知被叫正在接續(xù)中；當被叫交換局不能接通被叫用戶時，以ACM消息（被叫用戶狀態(tài)是未知）告訴主叫側(cè)被叫用戶是未接通并播放相關(guān)錄音通知，也可以直接發(fā)送CLF消息告訴主叫側(cè)直接釋放本次呼叫。

（4）ANC（可選）：當被叫用戶振鈴后并接聽了電話，被叫交換局以ANC消息告訴主叫交換機產(chǎn)生話單，此時主、被叫用戶可以開始通話；當被叫用戶振鈴后未接聽電話，待振鈴定時器超時后被叫交換局發(fā)送CLF消息告訴主叫側(cè)直接釋放本次呼叫。

圖1 以局間TUP協(xié)議為例的電話業(yè)務(wù)信令特征

（5）CLF/RLG（可選）：當主叫用戶在聽回鈴音或主、被叫通話過程中先掛機時，主叫交換局發(fā)送CLF消息給被叫交換機，被叫交換機釋放本次呼叫并發(fā)RLG消息給主叫交換局。

（6）CBK/CLF/RLG（可選）：當主叫用戶在聽回鈴音或主、被叫通話過程中被叫用戶先掛機時，被叫交換局發(fā)送CBK消息給主叫交換局，主叫交換局釋放本次呼叫并發(fā)送CLF消息給被叫交換局，被叫交換局釋放本次呼叫并發(fā)RLG消息給主叫交換局。

2.2 信令特征提取

整個信令流程中每條信令都代表接續(xù)或者掛機中的不同階段，每條信令里都包含不同的參數(shù)，能反映主被叫的身份信息、位置信息、手機型號等特征。

結(jié)合已有先驗經(jīng)驗提取特征篩選出信令和信令中的參數(shù)，加以相應(yīng)的算法便于準確地識別出騷擾電話。圖2是移動通信網(wǎng)呼叫流程各個接口的信令流程和關(guān)鍵參數(shù)。

主叫用戶起呼的信令從CM_Service_Request開始，到被叫的Connect Ack應(yīng)答完成通話的整個呼叫接續(xù)過程中，每條信令包含不同的參數(shù)都有不同的含義，根據(jù)這些參數(shù)，可以分析被叫號碼離散、振鈴時長、間隔時長、接通率等特征。

從上面流程中可以看出電話信令特征的提取方法如下：

（1）號碼信息

主叫BSSAP的set-up消息中包含了被叫號碼、被叫BSSAP的set-up消息中包含了主叫號碼、局間IAI消息中包含了被叫、主叫地址這兩個關(guān)鍵參數(shù)，通過這些消息可以看出本次通話的主、被叫用戶的號碼信息，具體如圖3所示。

其中：“地址信號”即被叫用戶號碼信息；“主叫用戶線標識”即主叫用戶號碼信息。

（2）時長信息

1）被叫用戶振鈴時長很短、主叫用戶主動掛機：基于ACM消息到CLF消息的時長計算。

2）被叫用戶振鈴時長很短、被叫用戶主動掛機：基于ACM消息到CBK消息的時長計算。

3）通話時長基本相同：基于BSSAP協(xié)議的Connect Ack消息到Disconnect消息、基于TUP協(xié)議的ANC消息到CLF或CBK消息的時長計算。

（3）接通信息

1）接通率：基于基于BSSAP協(xié)議的alerting消息和CM_Service_Request或PAGING-RESPONSE消息、基于TUP協(xié)議的ACM消息和IAI或IAM消息的計算。

2）應(yīng)答率：基于基于BSSAP協(xié)議的Connect Ack消息和CM_Service_Request或PAGING-RESPONSE消息、基于TUP協(xié)議的ANC消息和IAI或IAM消息的計算。

（4）位置信息

1）小區(qū)：基于基于BSSAP協(xié)議的CM_Service_Request或PAGING-RESPONSE消息的CELL參數(shù)。

2）城市：基于TUP協(xié)議的IAI或IAM消息的AREA CODE參數(shù)。

圖2 移動通信網(wǎng)呼叫流程各個接口的信令流程和關(guān)鍵參數(shù)

圖3 通話的主、被叫用戶的號碼信息

3 騷擾電話的識別與防范

3.1 系統(tǒng)方案

（1）總體方案

信令監(jiān)測處理系統(tǒng)采用分層分布式結(jié)構(gòu)，如圖4所示，分為數(shù)據(jù)采集整合層、數(shù)據(jù)共享層和應(yīng)用層。其中最底層為數(shù)據(jù)采集整合層，用于網(wǎng)絡(luò)接口信令數(shù)據(jù)的采集，要求在不影響網(wǎng)絡(luò)運行的情況下，提取各類原始信令以及協(xié)議數(shù)據(jù)，對信令數(shù)據(jù)進行采集、過濾、復(fù)制，然后事件合成發(fā)送到接口服務(wù)器；中間層為數(shù)據(jù)共享層，分為數(shù)據(jù)解碼、合成、關(guān)聯(lián)、回填、實時或非實時統(tǒng)計、存儲及分析挖掘等；最高層為應(yīng)用層，有業(yè)務(wù)類、實時類，網(wǎng)優(yōu)類、營銷類等專題模塊。

圖4 信令監(jiān)測處理系統(tǒng)采用分層分布式結(jié)構(gòu)

（2）數(shù)據(jù)采集范圍

一次通話的端到端信令消息從主叫用戶開始撥打到被叫用戶接收一般要經(jīng)過多個網(wǎng)元，在不同的接口信令都會有不同的參數(shù)標記（例如A口BSSMAP協(xié)議、S1-MME口S1AP協(xié)議、E-G口MAP協(xié)議等），為了盡量完整地溯源電話端到端流程，需要對盡量多的網(wǎng)元接口進行監(jiān)控，另外，兩端用戶所處的不同位置和網(wǎng)絡(luò)也決定了整個信令流程所經(jīng)過的接口和網(wǎng)元的不同，如圖5所示。

從圖5可見，采集的接口包含Uu、Abis、A、S1-MME、Mc、S6a、E-G等接口，這其中包括BSSAP、S1AP，MAP、Diameter、ISUP等協(xié)議類型信令。

3.2 系統(tǒng)特點

信令監(jiān)測系統(tǒng)處理運用云計算關(guān)鍵核心技術(shù)，具有云計算的優(yōu)勢特點，包括多任務(wù)并行處理、分布式數(shù)據(jù)庫、云存儲等，可以通過調(diào)整節(jié)點數(shù)量靈活調(diào)整系統(tǒng)運算能力，可以支持百萬臺數(shù)據(jù)量級節(jié)點云計算，各個節(jié)點之間協(xié)同工作，靈活應(yīng)對各種商務(wù)模式，有效降低系統(tǒng)建設(shè)成本。

（1）多任務(wù)并行處理

圖5 整個信令流程所經(jīng)過的接口和網(wǎng)元

多任務(wù)并行處理是在解決計算問題的過程中使用多種計算資源，也就是執(zhí)行并行計算，計算資源應(yīng)將并行處理的計算機、聯(lián)網(wǎng)的計算機專用編號兩者取其一或結(jié)合使用，優(yōu)勢是能快速完成大量復(fù)雜的計算問題。

（2）分布式數(shù)據(jù)庫

分布式數(shù)據(jù)庫使用多個小型計算機系統(tǒng)，每臺計算機的數(shù)據(jù)庫管理系統(tǒng)都有一份完整拷貝副本和自己局部的數(shù)據(jù)庫，將不同地點的各個計算機通過網(wǎng)絡(luò)連接起來，統(tǒng)一管理共同組成一個全局性完整的大型分布式數(shù)據(jù)庫系統(tǒng)。

（3）分布式的文件管理平臺

分布式的文件管理平臺的特點是基于客戶機/服務(wù)器模式，將系統(tǒng)文件的物理存儲資源通過計算機網(wǎng)絡(luò)與節(jié)點相連的方式統(tǒng)籌管理，而不是一定直接連接在本地節(jié)點上。一個典型的分布式文件管理平臺可能包括多個供多用戶訪問的服務(wù)器。

（4）分布緩存

分布緩存技術(shù)主要針對數(shù)據(jù)庫、應(yīng)用服務(wù)器之間的瓶頸問題，可以降低數(shù)據(jù)庫的存儲壓力，提升服務(wù)器的運算性能，使用普通的X86架構(gòu)服務(wù)器或低端的電腦主機就能實現(xiàn)應(yīng)用功能。

圖6 騷擾電話的識別篩選規(guī)則

3.3 識別算法

結(jié)合騷擾及詐騙電話的規(guī)律分析，總結(jié)出一套行之有效的算法，用以快速、準確地發(fā)現(xiàn)和過濾這些非法的呼叫。

規(guī)律主要可以分為以下幾種：（1）振鈴掛機

這類電話主要具有撥打頻次高、被叫號碼連續(xù)或者一定規(guī)律分布、應(yīng)答成功率低等主要特征。

（2）播放事先錄制的音頻

這類電話一般也由撥測設(shè)備來完成，被叫號碼規(guī)律或者連續(xù)，但由于會有用戶接聽，所以撥打頻次不會很高，相對振鈴掛機電話來說，具有較高的接通率，因此，也就意味著它會占用相對更多的TCH信道，但通話時間一般都不長。

（3）人工撥打的廣告電話

這類電話相對振鈴掛機電話來說，具有較高的接通率，被叫應(yīng)答時長不固定，被叫號碼離散度高，撥打頻次比振鈴掛機的電話要低很多。

（4）惡意騷擾電話

這類電話的主叫號碼可能為一個也可能為多個，且利用網(wǎng)絡(luò)電話撥打成本較低，主叫號碼較為難于跟蹤，撥打頻次非常頻繁，接通率低，被叫號碼一般僅為一個或幾個號碼。

針對以上的騷擾電話采取圖6的篩選規(guī)則來進行騷擾電話的識別。

（5）主叫號碼隱藏騷擾電話

這類型的電話基本都是通過自有的小交換機、軟交換設(shè)備或自有交換軟件，通過對信令（7號信令協(xié)議或SIP協(xié)議）協(xié)議中的參數(shù)做過修改。在TUP協(xié)議中的IAM消息中的Calling_Number中的address_present_restrict（限制地址提供標識語）參數(shù)有三種顯示方式：0x00：允許；0x01：限制；0x02：地址不可用。

該參數(shù)如圖7所示。

該參數(shù)不正常的時候可以置位01或02，此時被叫用戶的終端上不能顯示主叫用戶號碼，此類電話需要溯源到主叫用戶的來源，并由主叫側(cè)進行黑單處理。

圖7 TUP協(xié)議中IAM消息中Calling_Number中的address_present_restrict參數(shù)

3.4 防范方案

信令監(jiān)測系統(tǒng)對騷擾及詐騙電話的防治主要分為兩種：一種是主動的發(fā)現(xiàn)，及時發(fā)現(xiàn)滿足騷擾電話特征的呼叫，提取用戶號碼信息并及時進行相應(yīng)的關(guān)停操作；一種是事后溯源分析，針對詐騙電話進行溯源查詢，查出號碼的來源以提供給相關(guān)單位進行進一步處理。

（1）實時分析

根據(jù)騷擾電話的主要特征，結(jié)合大數(shù)據(jù)對用戶特征行為的分析，建立了騷擾電話實時分析平臺，該平臺的數(shù)據(jù)時延可以做到5分鐘粒度，實時提供現(xiàn)網(wǎng)中存在異常的主叫號碼，通過大數(shù)據(jù)分析之后，及時與核心網(wǎng)對接，將滿足條件的號碼進行加黑處理。

（2）信令溯源

針對詐騙電話這種沒有明顯特征的電話，對全網(wǎng)語音通話涉及到的所有的接口信令數(shù)據(jù)進行了3個月的數(shù)據(jù)存儲，可以后續(xù)對于詐騙電話的溯源分析。通過主、被叫號碼和時間能夠快速地定位到主叫號碼的來源歸屬，提供給相關(guān)單位進行進一步的分析。

4 結(jié)論

移動通信不斷發(fā)展豐富，不法分子利用語音撥打騷擾和詐騙電話對用戶進行騷擾，本文通過對這類非法的電話進行特征挖掘，并基于信令監(jiān)測系統(tǒng)對其進行監(jiān)控和分析，提供了騷擾電話的識別和詐騙電話的溯源分析手段，希望以此有效地防范和制止騷擾詐騙電話的泛濫。

[1] 中國移動通信集團江蘇有限公司. 加快創(chuàng)新轉(zhuǎn)型、全面推進數(shù)字化服務(wù)發(fā)展[Z]. 2017.

[2] 湯敏鋒. TD-LTE系統(tǒng)干擾排查及案例剖析[J]. 信息通信,2015(15): 153-156.

[3] 中國移動通信集團江蘇有限公司. 江蘇移動ICT發(fā)展規(guī)劃項目報告[Z]. 2015.

[4] 謝廷晟,牛化成,劉美英. HTML5權(quán)威指南[M]. 北京: 人民郵電出版社, 2015.

[5] 中國移動通信集團江蘇有限公司. 面向LTE流量經(jīng)營的智能管道技術(shù)研究和應(yīng)用推廣[Z]. 2016.

[6] 林星. HTML5移動應(yīng)用開發(fā)[M]. 北京: 人民郵電出版社,2013.

[7] 王丹陽. 數(shù)據(jù)挖掘技術(shù)在騷擾電話監(jiān)控系統(tǒng)的應(yīng)用研究[D]. 長沙: 湖南大學, 2009.

[8] 劉劍. 基于數(shù)據(jù)挖掘技術(shù)實現(xiàn)騷擾電話識別[D]. 北京:中國地質(zhì)大學, 2011.

[9] 岳亮. 限制垃圾短信及騷擾電話行為方案設(shè)計與實現(xiàn)[D]. 北京: 北京郵電大學, 2012.

[10] 王玉申. 一種基于語音識別的騷擾電話撥測系統(tǒng)[J]. 江蘇通信, 2013,29(6): 40-42.

[11] 許乃利. 基于大數(shù)據(jù)技術(shù)的疑似騷擾和電信欺詐電話監(jiān)測系統(tǒng)設(shè)計與實現(xiàn)[J]. 信息通信技術(shù), 2017,11(4): 27-33.

[12] 王彥青,王瀚辰. 一種識別騷擾電話的組合算法研究[J]. 電信科學, 2017,33(7): 112-119. ★