基于交換機(jī)失敗觀察的短信詐騙監(jiān)控系統(tǒng)研究

李普森 張喆 聶曉宇

摘 要：目前利用短信詐騙的行為很多，特別以短信發(fā)射機(jī)、偽基站的方式實(shí)施詐騙的技術(shù)手段非常先進(jìn)，可以利用設(shè)備的便攜特性在人員密集的商場、休閑場所進(jìn)行流動(dòng)性的短信發(fā)送，很難做到檢測、排查和迅速發(fā)現(xiàn)。本項(xiàng)目計(jì)劃采用交換機(jī)上的實(shí)時(shí)失敗觀察的手段來檢測偽基站的短信發(fā)送情況，利用合適的數(shù)據(jù)庫軟件對收集的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，可以及時(shí)的發(fā)現(xiàn)區(qū)域的異常通信行為，確定問題出現(xiàn)區(qū)域，縮小監(jiān)控的范圍，進(jìn)而更容易的找到惡意短信發(fā)送的人員，從而減小短信詐騙行為。

關(guān)鍵詞：失敗觀察；數(shù)據(jù)采集；信息提取；數(shù)據(jù)分析

中興WCDMA核心網(wǎng)交換SERVER上所帶的失敗觀察，主要是用來監(jiān)控在本交換機(jī)下的用戶正常或非正常的通話釋放。這里說所得正常情況可以是用戶白發(fā)的在撥叫后的掛斷的用戶自身行為，也可以是異地用戶因?yàn)榍焚M(fèi)停機(jī)而造成漫游限制等正常情況，不正常情況包括位置更新失敗，MM位置更新本端失敗，以及 MSCA局內(nèi)切換失敗等等情況。

因?yàn)橛绊懡粨Q的指標(biāo)就是由這些失敗造成的，所以對這些失敗的觀察和分析有利于發(fā)現(xiàn)問題，通過收集失敗觀察的信息，對各種引起不正常的情況進(jìn)行分析，發(fā)現(xiàn)問題的規(guī)律，找到問題的根源，可以為下一步解決問題打下堅(jiān)實(shí)的基礎(chǔ)。中興失敗觀察里，提供了很多失敗觀察的選項(xiàng)，包括語音呼叫，短信收發(fā)及上網(wǎng)等常用的業(yè)務(wù)。

短信收發(fā)作為失敗觀察的其中一項(xiàng)，可以單獨(dú)進(jìn)行觀察和信息的采集。因?yàn)檫@里主要利用失敗觀察這一手段檢測偽基站的短信發(fā)送情況，對短信詐騙行為進(jìn)行監(jiān)控，所以這里在失敗觀察里只選擇短信收發(fā)這一個(gè)選項(xiàng)，這樣可以提高分析的效率，如果有其他分析指標(biāo)的需要，可以根據(jù)要求來選擇相應(yīng)的失敗觀察選項(xiàng)。

1.利用失敗觀察檢測偽基站的具體應(yīng)用

1.1 數(shù)據(jù)采集與預(yù)分析

這里對本文失敗觀察所進(jìn)行的數(shù)據(jù)采集與預(yù)分析進(jìn)行說明，本項(xiàng)目首先通過中興的4G交換機(jī)，設(shè)置失敗觀察為短信（SMS）選項(xiàng)，然后進(jìn)行相關(guān)數(shù)據(jù)的采集與預(yù)分析。為了更好的分析失敗觀察的數(shù)據(jù)對檢測偽基站的短信發(fā)送情況的影響，盡量排除因?yàn)槎唐谑占瘮?shù)據(jù)，收集數(shù)據(jù)量不足等問題對本項(xiàng)目所帶來的負(fù)面影響，收集數(shù)據(jù)的相關(guān)時(shí)間段選為上午忙時(shí)09：00至11：00（共計(jì)2個(gè)小時(shí)）以及下午忙時(shí)17：00至18：00（共計(jì)1個(gè)小時(shí)），連續(xù)收集天數(shù)設(shè)置為1周，其目的是為了分析數(shù)據(jù)的全面性和可靠性。然后在交換機(jī)上點(diǎn)擊開始，后臺收集數(shù)據(jù)，因?yàn)橹信d軟交換上，存放失敗觀察文件的系統(tǒng)文件夾的容量只有200M，當(dāng)超過這個(gè)容量時(shí)，就會覆蓋掉前期觀察所存放的文件，為了避免覆蓋，所以每天固定時(shí)間導(dǎo)出收集的數(shù)據(jù)，這樣可以有實(shí)際的預(yù)分析數(shù)據(jù)模板，為后面的實(shí)時(shí)數(shù)據(jù)分析打下基礎(chǔ)。

1.2 基于失敗觀察數(shù)據(jù)的軟件分析系統(tǒng)

在收集到失敗觀察數(shù)據(jù)之后，需要利用數(shù)據(jù)庫軟件進(jìn)行數(shù)據(jù)導(dǎo)出并將對檢測偽基站的短信發(fā)送情況有用的信息分離出來，然后對這些信息進(jìn)行統(tǒng)計(jì)分析，具體的工作步驟如下：將每天導(dǎo)出的交換機(jī)失敗觀察數(shù)據(jù)轉(zhuǎn)成txt文本格式，用數(shù)據(jù)庫軟件分析導(dǎo)出數(shù)據(jù)，分離出用戶MSISDN，IMSI，基站CellID，失敗根源原因等相關(guān)數(shù)據(jù)，并對用戶號碼和基站等進(jìn)行匹配，然后對失敗根源原因進(jìn)行統(tǒng)計(jì)。

這里對短消息主叫失敗根源進(jìn)行分析，總結(jié)出失敗的原因主要有以下五種：

（1）mOperatorBarred_M

當(dāng)用戶由于欠費(fèi)、漫游禁止等原因，導(dǎo)致簽約的運(yùn)營商閉鎖置位，產(chǎn)生此類呼損。在“失敗觀察”中提取“mOperatorBarred_M ”的呼損，并進(jìn)行信令跟蹤。可以看到：MSC側(cè)向無線發(fā)送的CP-DATA 消息中，Cause Value為 Operatordetermined barring。

（2）短消息中心擁塞

用戶做短消息主叫時(shí)，短消息中心發(fā)生擁塞導(dǎo)致報(bào)此呼損。在 “失敗觀察”中提取“短消息中心擁塞”的呼損，并進(jìn)行信令跟蹤。可以看到：短消息中心回復(fù)了MAP Error，包含內(nèi)容失敗碼為sc-Congestion，MSC側(cè)根據(jù)此原因報(bào)短消息中心擁塞的呼損。

（3）非法的短消息號碼格式

由于短消息中心設(shè)置錯(cuò)誤，造成此類呼損。在“失敗觀察”中提取“非法的短消息號碼格式”的呼損，并進(jìn)行信令跟蹤。可以看到：CP-DATA 消息里短消息中心的號碼設(shè)置格式不是正確的短消息中心號碼格式。

（4）用戶為非短消息中心用戶

短消息中心沒有對應(yīng)用戶的數(shù)據(jù)，當(dāng)用戶進(jìn)行短消息主叫時(shí)，產(chǎn)生此類呼損。在“失敗觀察”中提取“用戶為非短消息中心用戶”的呼損，并進(jìn)行信令跟蹤。可以看到：MSC 側(cè)與短消息中心交互時(shí)，短消息中心回復(fù)MAP Error，其中包含了subscriberNotSC-Subscriber的failure code。

（5）遠(yuǎn)端節(jié)點(diǎn)不可及

用戶做短消息主叫，由于短消息中心設(shè)置錯(cuò)誤，造成此類呼損。在“失敗觀察”中提取“遠(yuǎn)端節(jié)點(diǎn)不可及”的呼損，并進(jìn)行信令跟蹤。可以看到：無線向M SC 側(cè)發(fā)送CP-DATA，MSC側(cè)回復(fù)CP-DATA消息里CAUSEVALUE為Temporary failure。從第一條CP-DATA消息里發(fā)現(xiàn)短消息中心的號碼設(shè)置為8613800，不是正確的短消息中心號碼格式。在呼損為“非法的短消息號碼格式”中，短消息號碼格式為非86開頭的錯(cuò)誤短消息中心地址，兩種呼損的本質(zhì)是一樣的，都是設(shè)置錯(cuò)誤。

在收集到數(shù)據(jù)之后主要進(jìn)行的是數(shù)據(jù)的提取分析，而要完成數(shù)據(jù)的提取分析這一步首先需要選擇合適的數(shù)據(jù)庫分析軟件，通過收集的數(shù)據(jù)發(fā)現(xiàn)，無論使用MySQL，還是使用SQLite都無法實(shí)現(xiàn)相關(guān)數(shù)據(jù)提取，即便是添加SQL的編程功能，問題依然無法解決，而且在提取過程中還經(jīng)常遇到數(shù)據(jù)庫軟件假死崩潰的現(xiàn)象，幾乎無法正常使用。經(jīng)分析之后發(fā)現(xiàn)問題出現(xiàn)的主要原因在于分析的數(shù)據(jù)量很大，超過百萬條，解決這一問題的關(guān)鍵在于數(shù)據(jù)的處理速度。

針對這一問題，首先懷疑是內(nèi)存容量問題，這可以在項(xiàng)目進(jìn)行時(shí)，對主機(jī)進(jìn)行內(nèi)存升級，添加內(nèi)存到32G后，進(jìn)行相關(guān)測試，觀察是否能提升數(shù)據(jù)的處理速度，以及避免數(shù)據(jù)庫軟件崩潰現(xiàn)象。

另外因?yàn)槭占氖∮^察數(shù)據(jù)每次到一定大小，就會自動(dòng)截止，然后又生成新的數(shù)據(jù)，在忙時(shí)生成的數(shù)據(jù)較多，分割的文件也較多。將這些原始的文件導(dǎo)出后，轉(zhuǎn)化成txt文件時(shí)，步驟較多需要人的過程干預(yù)，而作為一種自動(dòng)化的分析軟件，應(yīng)該盡量將所有到的過程都盡可能的避免人的干預(yù)，要能做到會自識別文件，完成解壓導(dǎo)入處理數(shù)據(jù)的過程，對出現(xiàn)問題的焦點(diǎn)問題，可以在系統(tǒng)內(nèi)關(guān)聯(lián)適合人讀取的信息，將16進(jìn)制的機(jī)器語言轉(zhuǎn)化成英文或漢語，方便人們讀取查詢，形成一個(gè)完全自動(dòng)化的系統(tǒng)，所以在分析數(shù)據(jù)系統(tǒng)設(shè)計(jì)時(shí)，也考慮到能自動(dòng)的識別txt文件，導(dǎo)入系統(tǒng)中進(jìn)行數(shù)據(jù)格式的轉(zhuǎn)換和處理，并有進(jìn)一步分析的能力，可以提取出有價(jià)值的信息，比如相關(guān)的基站號、基站對應(yīng)名稱、所在位置及對應(yīng)手機(jī)號用戶信息等，提高系統(tǒng)的易用性，并且具備問題直接呈現(xiàn)和處理建議推薦功能。

1.3 匯總、形成模板并實(shí)時(shí)分析數(shù)據(jù)

在進(jìn)行數(shù)據(jù)的統(tǒng)計(jì)分析之后，根據(jù)上面的分析結(jié)果，可以在前臺用戶管理系統(tǒng)及后臺移動(dòng)用戶管理數(shù)據(jù)庫HSS中查詢失敗觀察用戶的情況，包括用戶的身份信息、住址、發(fā)生問題的基站、失敗發(fā)生的次數(shù)統(tǒng)計(jì)等等相關(guān)統(tǒng)計(jì)信息并針對出現(xiàn)大量失敗觀察的小區(qū)進(jìn)行排查，對集中出現(xiàn)的失敗原因進(jìn)行分析，查找出相關(guān)問題發(fā)生原因。

在形成模板的基礎(chǔ)上，可以對分析出的問題區(qū)域進(jìn)行持續(xù)的監(jiān)控，這時(shí)需要在10幾分鐘內(nèi)對百萬以上的失敗觀察數(shù)據(jù)進(jìn)行迅速分析，只有這樣才可以在分析完成數(shù)據(jù)后，迅速的追蹤問題區(qū)域，協(xié)助警方進(jìn)行跟蹤查詢嫌疑偽基站，本項(xiàng)目研發(fā)的系統(tǒng)才有意義。

另外，進(jìn)行數(shù)據(jù)分析不是目的，系統(tǒng)最關(guān)注的是分析結(jié)果，需要在提取數(shù)據(jù)后，使用效率高的數(shù)據(jù)庫軟件在數(shù)據(jù)提取上體現(xiàn)優(yōu)勢，而且要降低工作量，并支持對要分析的數(shù)據(jù)進(jìn)行深入分析，在整個(gè)流程環(huán)中進(jìn)行數(shù)據(jù)采集、提取分類、關(guān)聯(lián)信息查詢、情景分析，最終發(fā)現(xiàn)問題并提供處理建議，體現(xiàn)整個(gè)系統(tǒng)的完整性和智能性。

根據(jù)失敗觀察數(shù)據(jù)特性（數(shù)據(jù)量大，達(dá)到百萬級），本項(xiàng)目計(jì)劃采用數(shù)據(jù)庫的索引方式，進(jìn)行數(shù)據(jù)的迅速匹配查詢，然后再刪除索引的方式來優(yōu)化數(shù)據(jù)查詢過程，并保持?jǐn)?shù)據(jù)格式范圍，完成數(shù)據(jù)完整性和提高效率的雙重提升。

2.實(shí)驗(yàn)和驗(yàn)證

在形成模板過程中，短期的數(shù)據(jù)采集無法發(fā)現(xiàn)問題，收集的忙時(shí)數(shù)據(jù)要持續(xù)好幾天，所以要分析的數(shù)據(jù)量很大，要優(yōu)選數(shù)據(jù)庫的分析軟件。對比MySQL、Access、SQL Server、SQLite等數(shù)據(jù)庫軟件后，要選取符合本項(xiàng)目處理百萬以上數(shù)據(jù)的效率要求，才能作為數(shù)據(jù)分析的主要軟件，計(jì)劃通過詳細(xì)對比試驗(yàn)來選擇軟件。

由于時(shí)間原因，這里先利用了數(shù)據(jù)庫效率測試軟件對三種候選的數(shù)據(jù)庫軟件進(jìn)行了初步的Insert和Select測試，在之后會進(jìn)行更加詳細(xì)的對比試驗(yàn)來進(jìn)行測試。

測試結(jié)果：經(jīng)過查詢相關(guān)資料，首先排除了速度最慢的Access數(shù)據(jù)庫，而SQL Server 和 MySql性能相差不大，但是SQL Server是需要付費(fèi)的，Sqlite由于其屬于輕量型數(shù)據(jù)庫，所以數(shù)據(jù)多大幾萬條時(shí)明顯過慢，所以比較之下，Mysql可能是最合適的數(shù)據(jù)庫軟件。

通過對比選擇的數(shù)據(jù)庫，測試其索引查詢速度情況，計(jì)算大量數(shù)據(jù)的在查詢提取過程的具體時(shí)間，選擇索引查詢速度最快的數(shù)據(jù)庫分析軟件，從項(xiàng)目準(zhǔn)備前期的情況看，無論哪種數(shù)據(jù)庫在經(jīng)過索引查詢后，速度都比直接的逐條查詢速度快了不止一個(gè)等級，所以這種大數(shù)據(jù)提取加速設(shè)想是切實(shí)可行的。

3.結(jié)語

本文針對目前盛行的短信詐騙現(xiàn)象提出了一種基于交換機(jī)失敗觀察的短信詐騙監(jiān)控系統(tǒng)的研究思路與設(shè)想，并對其技術(shù)方案的可行性與有效性進(jìn)行了論述，其核心思想是利用中興交換機(jī)的失敗觀察選項(xiàng)，通過對收集的大量數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，對失敗根源進(jìn)行分析，然后找到最有可能的問題區(qū)域進(jìn)行排查，從而減少短信詐騙行為，其主要的分析手段是利用數(shù)據(jù)庫軟件進(jìn)行數(shù)據(jù)信息的提取和分析，這方面的主要工作是尋找到能處理百萬級數(shù)據(jù)的數(shù)據(jù)庫軟件以及合適的大數(shù)據(jù)處理方案，現(xiàn)階段是利用數(shù)據(jù)庫的索引查詢技術(shù)來實(shí)現(xiàn)大數(shù)據(jù)的提取加速。本文為解決短信詐騙提供了一種切實(shí)可行的實(shí)現(xiàn)方案，而且這對核心網(wǎng)的穩(wěn)定和優(yōu)化有一定的借鑒意義。

參考文獻(xiàn)：

[1]王巖， 胡承忠. 失敗觀察在位置更新成功率分析中的應(yīng)用[J]. 中國新通信， 2014（24）：49-50.

[2]胡喜梅.核心網(wǎng)短信業(yè)務(wù)失敗原因分析[J].科技風(fēng)，2015（10）：124.

[3]李志斌. 無線網(wǎng)絡(luò)核心網(wǎng)優(yōu)化研究[D].北京郵電大學(xué)，2012.

[4]羅淡貞.淺析移動(dòng)核心網(wǎng)的網(wǎng)絡(luò)優(yōu)化要點(diǎn)[J].中國新通信，2017，19（10）：15-16.

[5]李鍇.移動(dòng)通信核心網(wǎng)優(yōu)化探討[J].中國新通信，2017，19（09）：8.

[6]董磊.移動(dòng)通信核心網(wǎng)優(yōu)化探討[J].通訊世界，2017（05）：71-72.

[7]吳靜源.移動(dòng)核心網(wǎng)的優(yōu)化方法研究[J].通訊世界，2016（19）：22-23.

[8]胡喜梅.切換業(yè)務(wù)呼損場景分析[J].電腦與電信，2016（03）：52-53.

[9]張曉蘭.移動(dòng)通信核心網(wǎng)優(yōu)化研究[J].新技術(shù)新工藝，2015（12）：119-121.

[10]張章炳.移動(dòng)通信核心網(wǎng)工程的規(guī)劃設(shè)計(jì)[J].電信快報(bào)，2015（08）：38-41.

[11]李興. 基于MSC POOL的長沙聯(lián)通核心網(wǎng)設(shè)計(jì)與實(shí)施[D].南京郵電大學(xué)，2015.

[12]丁中華.移動(dòng)核心網(wǎng)交換側(cè)網(wǎng)絡(luò)優(yōu)化方案設(shè)計(jì)[J].通信電源技術(shù)，2015，32（01）：108-110.

[13]熊偉. 基于核心網(wǎng)數(shù)據(jù)挖掘的移動(dòng)通信用戶行為分析及應(yīng)用[D].北京郵電大學(xué)，2014.

[14]陳昕. 基于信令分析的移動(dòng)網(wǎng)絡(luò)業(yè)務(wù)質(zhì)量評估方法的研究[D].北京郵電大學(xué)，2015.

[15]莊波，劉博.利用核心化模塊優(yōu)化局間3G切換[J].科技信息，2014（10）：137-138+167.

[16]劉曉燕. 山東聯(lián)通移動(dòng)核心網(wǎng)網(wǎng)絡(luò)優(yōu)化方案設(shè)計(jì)[D].山東大學(xué)，2013.

[17]馮萬里.移動(dòng)核心網(wǎng)優(yōu)化的要點(diǎn)及方法探討[J].科技創(chuàng)新導(dǎo)報(bào)，2011（27）：60.

支持項(xiàng)目：國家級大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃項(xiàng)目，項(xiàng)目編號：201710453166.