一种基于多源分析的诈骗话题检测方法及装置

技术领域

本发明属于软件系统领域，特别涉及一种基于多源分析的诈骗话题 检测方法及装置。

背景技术

随着互联网、电信业的不断发展，以网络、通讯介质为媒介的电信 诈骗犯罪呈现了普遍蔓延的趋势，并且随着时间的推移，作案手段不断 翻新，给防范和打击此类犯罪带来很大困难。犯罪分子通常具备智能化、 职业化等特点，犯罪嫌疑人不与受害人直接接触，使用先进的网络、电 信技术层层伪装，诈骗成功后通过发达的网络银行系统，将赃款短时间 内转移到各地多个账户零星取款。诈骗团伙中，有专门成员负责编写诈 骗剧本，紧跟社会热点，针对不同群体，量身定做、精心设计、编制骗 术，其犯罪类型多，手段变化快。通讯信息诈骗利用现代通讯技术和便 捷网银转账实施犯罪，其涉及范围广、地域跨度大、作案手段新、受害 人数多，具有区域性、职业性、流窜性、集团性、剧本化、实施精准等 特点，需要根据已掌握的诈骗信息，分类检出各类诈骗事件，分析溯源 诈骗黑色产业链，从而深入打击诈骗犯罪。

目前，单一的诈骗识别方式已经不能满足现有需求，且缺少一种多 源数据分析方法及其相对应的系统。

发明内容

针对上述问题，本发明提供了一种基于多源分析的诈骗话题检测方 法，该方法包括：

综合运用大数据处理框架，结合外部系统提供的数据接口，获取多 维数据；

根据制定的统一数据标准，对所述多维数据进行号码规范化、数据 去重、关联合并、数据融合处理；

对处理后的所述多维数据进行特征分析，基于所述特征分析结果， 构建智能诈骗事件识别模型，利用所述识别模型对诈骗场景和诈骗事件 识别，多维综合分析识别的数据信息；

在展示界面和外部系统，推送和呈现所述多维数据综合分析识别数 据信息结果。

进一步的，所述获取多维数据，包括：

获取数据记录、涉诈号码、日志文本和移动互联网相关的访问日志 信息。

进一步的，所述日志信息至少包括：

钓鱼网站、有害APP、恶意程序、伪基站。

进一步的，所述多维综合分析，包括：

还原多场景的诈骗事件、发现团伙、发现上当人、关联诈骗案件、 追踪非法线索。

进一步的，所述还原多场景的诈骗事件，包括：

还原以受害人为核心的诈骗事件、还原以诈骗团伙为核心的诈骗事 件。

进一步的，所述还原以受害人为核心的诈骗事件，包括：

关联所述受害人的诈骗信息；

通过检测所述受害人的诈骗信息，识别出当前诈骗事件的诈骗类 别；

依据所述诈骗信息和所述诈骗类别，构建受害人为核心的诈骗事件 还原图。

进一步的，所述还原以诈骗团伙为核心的诈骗事件，包括：

发现诈骗团伙；

建立所述诈骗团伙与所述诈骗团伙骚扰的受害人之间的通联关系；

通过对多个所述受害人的受骗过程进行分析，归纳出所述诈骗团伙 的作案特点；

构建以所述诈骗团伙为核心的诈骗事件还原图。

进一步的，所述发现团伙，包括：

通过对号码与号码之间行为特征的分析，发现诈骗疑似团伙；

将所述疑似团伙与场景特征结合并关联到整个诈骗事件中，对所述 疑似团伙进行确认。

进一步的，所述发现团伙，包括：

基于仿冒场景发现团伙、持续监测发现团伙。

进一步的，所述基于仿冒场景发现团伙，包括：

锁定具有公信力的公共熟知号码，作为主叫号码；

从CDR查取所述主叫号码的被叫号码和与所述被叫号码的通话记 录，同时查取所述被叫号码与所述被叫号码的被叫号码的通话记录，其 中，CDR为收集、存储通话记录的软件；

判断所述主叫号码和被叫号码的通话内容是否符合诈骗内容，若通 话内容符合诈骗内容，将该号码定为疑似号码；

查找所述疑似号码的骚扰对象，找到拨打相同骚扰对象的所述疑似 号码。

进一步的，所述持续监测发现团伙，包括：

根据算法发现疑似团伙成员并进行聚合；

找出与所述疑似团伙成员存在相同被叫的号码，将所述相同被叫的 号码设为疑似号码；

对所述疑似号码进行通话次数、时长、骚扰范围的统计，将n天没 有通话的号码对应的成员从所述疑似团伙成员中移除，形成团伙的整体 趋势。

进一步的，所述发现上当人，包括：

筛选与所述诈骗主叫存在长时间通话、命中特定的诈骗场景、与诈 骗号码或诈骗团伙存在通联的所述被叫号码；

基于所述长时间通话、命中特定的诈骗场景、与诈骗号码或诈骗团 伙存在通联的特征，分析所述被叫号码的历史行为。

另一方面，提供了一种基于多源分析的诈骗话题检测装置，该装置 包括：

获取单元，用于综合运用大数据处理框架，结合外部系统提供的数 据接口，获取多维数据；

处理单元，用于根据制定的统一数据标准，对所述多维数据进行号 码规范化、数据去重、关联合并、数据融合处理；

识别分析单元，用于对处理后的所述多维数据进行特征分析，基于 所述特征分析结果，构建智能诈骗事件识别模型，利用所述识别模型对 诈骗场景和诈骗事件识别，多维综合分析识别数据信息；

推送呈现单元，用于在展示界面和外部系统，推送和呈现所述多维 数据综合分析识别数据信息结果。

本发明通过对涉诈团伙、涉诈行为和事件、受害人进行综合数据分 析，分类检出了各类诈骗事件，分析出了溯源诈骗黑色产业链，从而深 入打击诈骗犯罪。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将 对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易 见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术 人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其 他的附图。

图1示出了根据现本发明实施例的基于多源分析的诈骗话题检测方 法的流程框图；

图2示出了根据现本发明实施例的基于多源分析的诈骗话题检测装 置的结构示意图；

图3出了根据本发明实施例的团伙发现的流程图；

图4示出了根据本发明实施例的仿冒场景发现团伙的流程图；

图5示出了根据本发明实施例的诈骗团伙沿时间线融合的流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合 本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整 地说明，显然，所描述的实施例是本发明一部分实施例，而不是全部的 实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造 性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，一种基于多源分析的诈骗话题检测方法，包括：

步骤S1：综合运用大数据处理框架，结合外部系统提供的数据接口， 获取多维数据；

例如，综合运用大数据处理框架，结合外部系统提供的数据接口， 从多个维度获取数据，获取的多维数据包括数据记录、涉诈号码、日志 文本和移动互联网相关的访问日志信息，日志信息包括钓鱼网站、有害 APP、恶意程序、伪基站等访问记录。

在一些实施例中，采用Tableau，结合第三方数据接口，调取多维 数据。

步骤S2：根据制定的统一数据标准，对所述多维数据进行号码规范 化、数据去重、关联合并、数据融合处理；

例如，根据制定的数据标准，查找出重复数据去除，将相关联的两 个号码数据进行合并，将一些相关数据进行融合。

在一些实施例中，根据制定的统一数据标准，对多维数据进行号码 规范化、数据去重、关联合并、数据融合等处理。

步骤S3：对处理后的所述多维数据进行特征分析，基于所述特征分 析结果，构建智能诈骗事件识别模型，利用所述识别模型对诈骗场景和 诈骗事件识别，多维综合分析识别的数据信息；

例如，分析主叫号码和被叫号码的规范化、数据重复度、将关联吸 信息合并融合，重复度包括号码重复度和通话记录重复度，在此分析的 基础上构建一套智能的识别诈骗的模型，作为诈骗识别模板。

在一些实施例中，通过对多维数据的特征进行分析，依据多维数据 特征分析结果，构建智能诈骗事件识别模型，基于智能诈骗事件识别模 型和诈骗场景和诈骗事件，通过多维综合分析，实现诈骗识别，诈骗事 件的还原、团伙发现、上当人发现、诈骗案件关联、非法线索追踪等功 能。

步骤S4：在展示界面和外部系统，推送和呈现所述多维数据综合分 析识别数据信息结果。

例如，在室外的流动大屏幕中，对室外流动大屏幕推送诈骗识别检测结果， 在屏幕上闪现诈骗电话号码。在另一个实施例中，与第三方安全系统连接，将 诈骗号码推送到安全系统，便于安全系统工作人员查找诈骗线索破案。

在一些实施例中，所述获取多维数据，包括：获取数据记录、涉诈 号码、日志文本和移动互联网相关的访问日志信息。

在一些实施例中，所述日志信息至少包括：钓鱼网站、有害APP、 恶意程序、伪基站。

在一些实施例中，所述多维综合分析，包括：还原多场景的诈骗事 件、发现团伙、发现上当人、关联诈骗案件、追踪非法线索。

在一些实施例中，所述还原多场景的诈骗事件，包括：还原以受害 人为核心的诈骗事件、还原以诈骗团伙为核心的诈骗事件。

例如，针对已知诈骗号码及上当人号码，结合诈骗场景获取相关数 据、日志数据记录，再结合移动互联网带有基站位置的日志数据对多场 景的诈骗事件实现时间、空间及内容的完整还原。其中，可从以下两个 角度去还原多场景的诈骗事件：以受害人为核心，从时间和空间维度上 进行多场景的诈骗事件的关联，融合多维涉诈信息，尽可能还原多场景的诈骗事件的诈骗过程及场景；以诈骗团伙为核心，从时间和空间维度 上进行多场景的诈骗事件、多场景的诈骗案例的关联与统计分析(串并 案分析)，归纳其多场景的诈骗类型、多场景的诈骗手段、作案时间、 作案地点、受害人群等犯罪特点。

还原以受害人为核心的诈骗事件，包括：

步骤S301：关联所述受害人的诈骗信息；

步骤S302：通过检测所述受害人的诈骗信息，识别出当前诈骗事件 属于的诈骗类别；

步骤S303：依据所述诈骗信息和所述诈骗类别，构建受害人为核心 的诈骗事件还原图。

例如，诈骗分子冒充银行客服，向受害人发送一条积分兑换现金的 诈骗日志文本，日志文本内容中包含钓鱼网站；受害人点击钓鱼网站， 并在钓鱼网站上输入银行账号、密码等私密信息；诈骗分子通过远程获 取受害人在钓鱼网站上输入的私密信息，使用该信息对受害人实施盗 刷。

在一些实施例中，以受害人为核心，关联受害人的诈骗通话数据、 诈骗日志信息、钓鱼网站访问记录、移动互联网位置记录等信息；通过 诈骗事件检测识别出当前诈骗事件属于利诱积分兑换类；构建受害人为 核心的诈骗事件还原图。

还原以诈骗团伙为核心的诈骗事件，包括：

步骤S311：发现诈骗团伙；

步骤S312：建立所述诈骗团伙与所述诈骗团伙骚扰的受害人之间的 通联关系；

步骤S313：通过对多个所述受害人的受骗过程进行分析，归纳出所 述诈骗团伙的作案特点；

步骤S314：构建以所述诈骗团伙为核心的诈骗事件还原图。

例如，诈骗团伙通过黑产交易获取受害人在网购商场的购买记录， 通过改号软件，冒充400客服电话，对受害人进行精准诈骗。

在一些实施例中，诈骗团伙通过多个400顺号对多个受害人进行电 话骚扰，冒充电子商场客服，以各种优惠诱使受害人办理会员卡，并要 求进行充值。

在一些实施例中，给受害人诈骗日志信息，诈骗日志信息中包含恶 意APP或诈骗网站，受害人访问恶意APP或在诈骗网站上办理会员卡， 并进行充值，诈骗分子电话指导受害人在诈骗网站上办理充值。

如图3所示，发现团伙，包括：

步骤S321：通过对号码与号码之间行为特征的分析，发现诈骗疑似 团伙；

步骤S322：将所述疑似团伙与场景特征结合并关联到整个诈骗事件 中，对所述疑似团伙进行确认。

在一些实施例中，所述发现团伙，包括：基于仿冒场景发现团伙、 持续监测发现团伙。

在一些实施例中，电信诈骗团伙内部往往有严密的组织和分工，电 信诈骗团伙成员赋有不同的角色，内部组织有不同的职能结构，电信诈 骗团伙的内部形成横向和纵向的分工协调和层级控制方式。当团伙实施 诈骗时，诈骗号码及诈骗号码之间会暴露诈骗行为特征。例如，诈骗号 码之间存在互相联系的行为、团伙作案的成员会与相同的被叫号码存在 通话、日志数据等行为日志等，通过这些特征发现团伙成员，结合已知 的场景特征，关联分析各个诈骗事件，对疑似诈骗团伙进行更进一步的 判定。

如图4所示，基于仿冒场景发现团伙，包括：

步骤S331：锁定具有公信力的公共熟知号码，作为主叫号码；

步骤S332：从CDR查取所述主叫号码的被叫号码和与所述被叫号码 的通话记录，同时查取所述被叫号码与所述被叫号码的被叫号码的通话 记录，其中，CDR为收集、存储通话记录的软件；

步骤S333：判断所述主叫号码和被叫号码的通话内容是否符合诈骗 内容，若通话内容符合诈骗内容，将该号码定为疑似号码；

步骤S334：查找所述疑似号码的骚扰对象，找到拨打相同骚扰对象 的所述疑似号码。

例如，诈骗分子对诈骗电话进行包装，仿冒伪装成10001进行诈骗。

在一些实施例中，诈骗分子对诈骗电话进行包装，将其仿冒伪装成 具有公信力的公共熟知号码，再进行诈骗行为的实施，公共熟知号码包 括电信运营商、银行、保险等客服电话，客服电话包括10086、95533、 110等。

如图5所示，持续监测发现团伙，包括：

步骤S341：根据算法发现疑似团伙成员并进行聚合；

例如，利用神经网络算法，对诈骗行为进行分类，发现疑似团伙成 员并进行聚合。

步骤S342：找出与所述疑似团伙成员存在相同被叫的号码，将所述 相同被叫的号码设为疑似号码；

步骤S343：对所述疑似号码进行通话次数、时长、骚扰范围的统计， 将n天没有通话的号码对应的成员从所述疑似团伙成员中移除，形成团 伙的整体趋势。

例如，发现诈骗团伙后，将针对诈骗团伙成员的状态、行为进行持 续性分析和统计。

例如，将半年没有通话的号码对应的成员从疑似团伙成员中移除。

发现上当人，包括：

步骤S351：筛选与所述诈骗主叫存在长时间通话、命中特定的诈骗 场景、与诈骗号码或诈骗团伙存在通联的所述被叫号码；

步骤S352：基于所述长时间通话、命中特定的诈骗场景、与诈骗号 码或诈骗团伙存在通联的特征，分析所述被叫号码的历史行为。

例如，在一段时间内，一个号码与多个有害主叫号码进行通话，通 话时长为5分钟(将诈骗应答的既定时间定位1分钟)，且同时与多个 有害主叫号码收发日志文本，日志文本中还包含特定诈骗上当的关键 词，基本可以认定该号码为上当号码。

在一些实施例中，在一段时间内，当一个号码与多个有害主叫号码 进行通话(应答时间大于某个既定时间，比如把既定时间定位1分钟， 当应答通话大于1分钟时)、收发日志文本(并且日志文本中还包含特 定诈骗关键词)等行为时，基本可以认定该号码为上当号码。

如图2所示，一种基于多源分析的诈骗话题检测装置，该装置包括：

获取单元，用于综合运用大数据处理框架，结合外部系统提供的数 据接口，获取多维数据；

处理单元，用于根据制定的统一数据标准，对所述多维数据进行号 码规范化、数据去重、关联合并、数据融合处理；

识别分析单元，用于对处理后的所述多维数据进行特征分析，基于 所述特征分析结果，构建智能诈骗事件识别模型，利用所述识别模型对 诈骗场景和诈骗事件识别，多维综合分析识别数据信息；

推送呈现单元，用于在展示界面和外部系统，推送和呈现所述多维 数据综合分析识别数据信息结果。

本发明通过对涉诈团伙、涉诈行为和事件、受害人进行综合数据分 析，分类检出了各类诈骗事件，分析出了溯源诈骗黑色产业链，从而深 入打击诈骗犯罪。

尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技 术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修 改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并 不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。