一种识别GOIP诈骗电话的方法

技术领域

本发明涉及通信安全技术领域，尤其是一种识别GOIP诈骗电话的方法。

背景技术

GOIP设备作为一种虚拟拨号设备，近来成为了诈骗分子普遍使用的一种新型诈骗工具，它支持手机卡接入，能将传统电话信号转化为网络信号，一台设备可供上百张手机SIM卡同时运作，可以远程控制异地的SIM卡和GOIP设备拨打电话、收发短信，实现有与SIM卡的分离，达到隐藏身份、逃避打击的目的。由于国内打击通讯网络诈骗的高压态势，加大治理GOIP设备渠道力度，传统GOIP购买不易，且传统GOIP具有设备体积比较大，手机号码轨迹高度一致等特征，基于对可疑号码的行为分析确定犯罪事实，通过基站或MR经纬度等定位设备识别码(如手机的IMEI码)或SIM卡所对应的设备确定相关人员位置实施抓捕。

相关组织开始使用新的涉诈骗设备，这种设备就是两部手机加一根音频连接线组建简易GOIP的方式，相关组织远程控制A手机拨打受害人电话，并使用B手机播放语音通过音频线语音传输到A手机和受害人进行通话。

此设备特点通话特征与传统GOIP不同点在于更换imei少，规避现有基于黑IMEI/TAC预警方法，并且通话特征与正常用户类似，设备组网简便，隐蔽性高，为移动通信安全维护人员识别诈骗增加难度。

发明内容

针对现有技术的不足，本发明提供一种识别GOIP诈骗电话的方法，本发明能够满足海量呼叫数据自动检索识别的同时，结合远程控制软件流量监控，保证识别的准确性，实现对GOIP设备诈骗的有效打击。

本发明的技术方案为：一种识别GOIP诈骗电话的方法，相关组织通过远程控制手机A拨打受害人电话，并使用手机B播放语音通过音频线语音传输到手机A和受害人进行通话，具体包括以下步骤：

S1)、基于机器学习算法进行建模，同时根据号码诈骗特征，将历史抓获的GOIP号码作为样本对模型进行训练，得到训练后的机器学习模型；

S2)、通过向训练好的机器学习模型中输入新的号码和信令行为数据，然后输出疑似手机A的涉诈号码；

S3)、基于移动上网日志DPI数据中的域名特征来识别使用远程控制软件的手机A的号码，以对多个疑似手机A的涉诈号码进一步筛选；

S4)、根据GOIP的组网特点，在GOIP实施诈骗的时间区间内，所述的手机A的涉诈号码会同时拥有涉诈呼叫行为特征和正在使用远程控制软件的两个特征；

S5)、将涉诈呼叫行为特征和正在使用远程控制软件的两个特征进行融合匹配分析找出当天网络中同时存在这两类特征的号码作为GOIP中的手机A的涉诈号码；

S6)、基于移动上网日志DPI数据中的域名特征来识别使用网络语音通话软件的号码作为疑似手机B的号码；

S7)、根据不同GOIP诈骗场景的特征识别不同类别的GOIP涉诈手机A和手机B的号码，并根据手机A和手机B的号码的轨迹相似度确定涉诈号码B的号码。

作为优选的，步骤S1)中，选用的机器学习算法为LightGBM。

作为优选的，步骤S2)中，所述的信令行为数据包括号码、时间和经纬度信息。

作为优选的，步骤S3)中，涉诈号码的手机A会安装相应的远程控制软件，根据运营商移动上网日志DPI数据中的下载和打开远程控制软件的特征，获取网络中存在的使用远程控制软件的号码和时间信息，从而实现对步骤S2)中多个疑似手机A的涉诈号码进一步过滤筛选。

作为优选的，步骤S6)中，根据GOIP组网特征，手机B在涉诈期间具有VOIP通话的行为，因此，根据移动上网日志DPI数据中的打开VOIP软件进行语音通话的特征，获取使用VOIP软件进行语音通话的号码和时间信息，该号码作为疑似涉诈手机B的号码。

作为优选的，步骤S7)中，所述的GOIP诈骗场景分为固定类诈骗和车载类诈骗；

其中，所述的固定类诈骗是指涉诈手机A和涉诈手机B在固定的下进行诈骗，没有移动；

所述的车载类诈骗是指涉诈手机A和涉诈手机B在不断运动的汽车上进行诈骗，具有移动性。

作为优选的，步骤S7)中，对于所述的固定类诈骗，其具有如下特征：

1)、所述的手机A具有涉诈呼叫行为特征和正在使用远程控制软件的两个特征；

2)、所述的手机B具有网络语音通话特征；

3)、上述特征1)和特征2)开始和结束时间区间一致；

4)、当天手机A和手机B所出现的基站个数小于等于5；

5)、当天手机A和手机B所出现的基站有重合或基站相邻；

根据固定类诈骗场景的上述特征，识别出类GOIP涉诈手机A和手机B的号码。

作为优选的，步骤S7)中，对于所述的车载类诈骗场景，其具有如下特征：

1)、所述的手机A具有涉诈呼叫行为特征和远控软件特征；

2)、所述的手机B具有网络语音通话特征；

3)、上述特征1)特征和2)开始和结束时间区间一致；

4)、当天手机A和手机B所出现的基站个数大于5；

5)、当天手机A和手机B所出现的基站重合度高、轨迹相似度高；

根据车载类诈骗场景的上述特征，识别车载类GOIP涉诈手机A和手机B的号码。

作为优选的，步骤S7)中，采用DTW算法进行涉诈手机A和手机B轨迹相似度计算，具体为：

S71)、根据运营商信令数据获取涉诈手机A和B的信令数据，包括时间，号码，基站经纬度位置，由此得到涉诈手机A和B的轨迹信息；

S72)、对于涉诈手机A和B，根据手机A和B在相应时间点的经纬度信息，计算手机A和B在相应时间点的距离；手机A和B之间的距离越小则两者的相似度越高。

本发明的有益效果为：

1、本发明通过模型识别出疑似手机A的涉诈号码，然后根据其是否使用远程控制软件对其进一步筛选；并且根据同时拥有涉诈呼叫行为特征和正在使用远程控制软件的两个特征确定手机A的涉诈号码；

2、本发明通过使用网络语音通话软件的号码作为疑似手机B的号码，然后根据诈骗场景的特征识别不同类别的GOIP涉诈手机A和手机B的号码，并根据手机A和手机B的号码的轨迹相似度确定涉诈号码B的号码。

附图说明

图1为本发明实施例中GOIP诈骗的流程框架图；

图2为本发明实施例中手机A和收集B号码轨迹的相似曲线；

具体实施方式

下面结合附图对本发明的具体实施方式作进一步说明：

如图1所示，本实施例提供一种识别GOIP诈骗电话的方法，相关组织通过远程控制手机A拨打受害人电话，并使用手机B播放语音通过音频线语音传输到手机A和受害人进行通话，具体包括以下步骤：

S1)、基于机器学习算法进行建模，同时根据号码诈骗特征，将历史抓获的GOIP号码作为样本对模型进行训练，得到训练后的机器学习模型；

S2)、通过向训练好的机器学习模型中输入新的号码和信令行为数据，然后输出疑似手机A的涉诈号码；

S3)、基于移动上网日志DPI数据中的域名特征来识别使用远程控制软件的手机A的号码，以对多个疑似手机A的涉诈号码进一步筛选；

S4)、根据GOIP的组网特点，在GOIP实施诈骗的时间区间内，所述的手机A的涉诈号码会同时拥有涉诈呼叫行为特征和正在使用远程控制软件的两个特征；

S5)、将涉诈呼叫行为特征和正在使用远程控制软件的两个特征进行融合匹配分析找出当天网络中同时存在这两类特征的号码作为GOIP中的手机A的涉诈号码；

S6)、基于移动上网日志DPI数据中的域名特征来识别使用网络语音通话软件的号码作为疑似手机B的号码；

S7)、根据不同GOIP诈骗场景的特征识别不同类别的GOIP涉诈手机A和手机B的号码，并根据手机A和手机B的号码的轨迹相似度确定涉诈号码A和B。

作为本实施例优选的，步骤S1)中，选用的机器学习算法为LightGBM。

作为本实施例优选的，步骤S2)中，所述的信令行为数据包括号码、时间和经纬度信息。

作为本实施例优选的，步骤S3)中，涉诈号码的手机A会安装相应的远程控制软件，根据运营商移动上网日志DPI数据中的下载和打开远程控制软件的特征，获取网络中存在的使用远程控制软件的号码和时间信息，从而实现对步骤S2)中多个疑似手机A的涉诈号码进一步过滤筛选。例如表1和表2：

表1下载远程控制软件

表2打开远程控制软件

作为本实施例优选的，步骤S6)中，根据GOIP组网特征，手机B在涉诈期间具有VOIP通话的行为，因此，根据移动上网日志DPI数据中的打开VOIP软件进行语音通话的特征，获取使用VOIP软件进行语音通话的号码和时间信息，该号码作为疑似涉诈手机B的号码。

如表3所示：

作为本实施例优选的，步骤S7)中，所述的GOIP诈骗场景分为固定类诈骗和车载类诈骗；

其中，所述的固定类诈骗是指涉诈手机A和涉诈手机B在固定的下进行诈骗，没有移动；

所述的车载类诈骗是指涉诈手机A和涉诈手机B在不断运动的汽车上进行诈骗，具有移动性。

作为优选的，步骤S7)中，对于所述的固定类诈骗，其具有如下特征：

1)、所述的手机A具有涉诈呼叫行为特征和正在使用远程控制软件的两个特征；

2)、所述的手机B具有网络语音通话特征；

3)、上述特征1)和特征2)开始和结束时间区间一致；

4)、当天手机A和手机B所出现的基站个数小于等于5；

5)、当天手机A和手机B所出现的基站有重合或基站相邻；

根据固定类诈骗场景的上述特征，识别出类GOIP涉诈手机A和手机B的号码。

作为优选的，步骤S7)中，对于所述的车载类诈骗场景，其具有如下特征：

1)、所述的手机A具有涉诈呼叫行为特征和远控软件特征；

2)、所述的手机B具有网络语音通话特征；

3)、上述特征1)特征和2)开始和结束时间区间一致；

4)、当天手机A和手机B所出现的基站个数大于5；

5)、当天手机A和手机B所出现的基站重合度高、轨迹相似度高；

根据车载类诈骗场景的上述特征，识别车载类GOIP涉诈手机A和手机B的号码。

作为优选的，步骤S7)中，采用DTW算法进行涉诈手机A和手机B轨迹相似度计算，具体为：

S71)、根据运营商信令数据获取涉诈手机A和B的信令数据，包括时间，号码，基站经纬度位置，由此得到涉诈手机A和B的轨迹信息；

S72)、对于涉诈手机A和B，根据手机A和B在相应时间点的经纬度信息，计算手机A和B在相应时间点的距离；手机A和B之间的距离越小则两者的相似度越高；如图2所示。

上述实施例和说明书中描述的只是说明本发明的原理和最佳实施例，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。