一種基于惡意業務信令特征的騷擾電話識別和防范方案

朱同先，艾懷麗，周 泉，郭 華

（中國移動通信集團江蘇有限公司，江蘇 南京 210029）

1 騷擾電話的概況

近幾年，隨著各類SP增值業務的極大豐富，部分別有用心的個人也開始利用一些通信技術中的漏洞進行各種騷擾、詐騙以及營銷電話的惡意撥打，以達到非法目的。這類電話通常不是用戶愿意接收的，而且后續會對用戶的個人財產及利益造成各類危害的，被稱之為騷擾及詐騙電話。

通常來說，騷擾及詐騙電話可分為以下幾類：

（1）響一聲后掛機以騙取用戶進行回撥的電話；

（2）播放廣告以及詐騙信息等事先錄制好的音頻以騙取用戶信息的電話；

（3）層出不窮的其他惡意騷擾電話等。

這些非法呼叫造成的傷害是巨大的，不僅大量地占用了運營商寶貴的通信資源，直接導致接通率下降、設備擁塞等網絡問題，還會因為其非法的行為嚴重影響客戶對移動業務的使用體驗，增加用戶離網率以及引起客戶向運營商和工信部進行投訴的風險。因此，運營商有義務也有責任對騷擾詐騙電話進行攻關，尋找騷擾電話的識別方法，建立一套精確的監管、分析和攔截惡意電話的平臺，有效降低詐騙騷擾電話的數量，保障客戶的通信安全，提高用戶的業務使用感知。

本文將從騷擾電話的行為特征、底層通信原理研究、以及如何利用信令監測系統來監控和防治非法騷擾電話等幾個方面，闡述基于信令業務特征的騷擾電話識別和防范方案，以便為非法電話的防治工作提供一套清晰的思路和方案。

1.1 騷擾電話分類

非法的騷擾電話的分類主要有以下幾種：

（1）振鈴掛機電話（俗稱響一聲電話）

此種非法呼叫具有撥打頻次高、被叫號碼分布規律（一般是連續的號碼或者其他簡單算法）、接聽成功率低等特征，其主要目的是騙取用戶進行電話回撥，回撥之后用戶一般會聽到對端已經提前錄播好的廣告或詐騙信息等。

（2）事先錄制的廣告或騷擾音頻電話

此種非法呼叫的特征和上面的振鈴一聲掛機電話有些類似，被叫號碼連續或者具備一定分布規律，當用戶接聽后，直接開始播放事先錄制的廣告、反動言論或其他詐騙信息。

（3）人工撥打的廣告電話

此種非法呼叫是由人工撥打的，不法分子根據從各種非法渠道獲取的用戶號碼信息，進行手工的電話撥打，用戶接通后，不法分子會進行一些廣告的推銷。

（4）惡意騷擾電話

此種非法呼叫是指針對個人或者企業客戶進行的大量惡意的頻繁撥打，使得被呼叫的用戶在一段時間內都無法正常使用手機通話和其他業務，這類電話往往會對用戶造成比較直接的通信業務損失及其他關聯的傷害。

1.2 詐騙電話（虛假主叫）

此種非法呼叫的主叫端的來源和落地方式較為寬泛，主要通過網絡軟件或專線形式進行。由于對主叫號碼監管有疏漏，部分設置有內部交換機的專線用戶或掌握一些網絡通信軟件的用戶可以修改信令中的主叫號碼，從而模擬出各種公共服務的熱線電話號碼等，用來獲取用戶的信任，以達到詐騙的目的。這類電話的通話內容中經常涉及中獎通知、消費信息等誘惑信息。

2 騷擾電話的特征

任何一通電話的通信過程都需要信令的交互來支持，每一條信令都包含不同的參數，這其中的參數包含主被叫用戶的身份信息（IMSI/MSISDN）、位置信息（LAC/TAC/CI/ECI）、手機類型（IMEI）、通話時長等關鍵信息。

目前針對非法電話的特征提取，從撥打頻次、被叫號碼離散程度、通話時長、通話內容、主被叫號碼等幾個方面尋找規律，均可以通過信令監測系統來進行分析以獲取非法電話的信令特性，通過對信令特性的解析，來識別該用戶是否為騷擾或詐騙電話。

2.1 信令基礎原理

首先從計算機網絡通信來分析通信的基本原理，網絡中的計算機之間進行通信時的語言被稱為“協議”，只有能夠講、能夠理解這些“語言”的計算機才能在網絡上與其他計算機進行通信，從這個意義上講，“協議”就是網絡的本質，協議定義了網絡上的各種計算機和設備之間相互通信、數據管理、數據交換的整套規則。

電話通信的原理和計算機網絡通信的原理一樣，也需要遵循著協議進行通信，稱之為“信令”，即控制通話起始和結束的語言。在通信設備之間傳遞的各種控制信號，如占用、釋放、設備忙閑狀態、被叫用戶號碼等，都屬于信令，信令就是各個交換局在完成呼叫接續中的一種通信語言，信令系統指導系統各部分相互配合、協同運行，共同完成某項任務。

以局間TUP協議為例進行電話業務的信令特征說明，如圖1所示。

（1）IAI/IAM（必選）：當主叫用戶撥號以后，主叫用戶所在交換局將主叫號碼、被叫號碼、傳輸媒質等信息放在IAM/IAI消息中，發送給被叫用戶所在交換局。

（2）SAM/SAO（可選）：當主叫交換局為縮短接續時長而設置了被叫最小接收位長后，可以將最小位長后續的被叫號碼以SAM/SAO消息發送給被叫用戶所在交換局。

（3）ACM（可選）：當被叫交換局接通被叫用戶時，以ACM消息（被叫用戶狀態是空閑）告訴主叫側被叫用戶是空閑的并播放回鈴音，以讓主叫用戶感知被叫正在接續中；當被叫交換局不能接通被叫用戶時，以ACM消息（被叫用戶狀態是未知）告訴主叫側被叫用戶是未接通并播放相關錄音通知，也可以直接發送CLF消息告訴主叫側直接釋放本次呼叫。

（4）ANC（可選）：當被叫用戶振鈴后并接聽了電話，被叫交換局以ANC消息告訴主叫交換機產生話單，此時主、被叫用戶可以開始通話；當被叫用戶振鈴后未接聽電話，待振鈴定時器超時后被叫交換局發送CLF消息告訴主叫側直接釋放本次呼叫。

圖1 以局間TUP協議為例的電話業務信令特征

（5）CLF/RLG（可選）：當主叫用戶在聽回鈴音或主、被叫通話過程中先掛機時，主叫交換局發送CLF消息給被叫交換機，被叫交換機釋放本次呼叫并發RLG消息給主叫交換局。

（6）CBK/CLF/RLG（可選）：當主叫用戶在聽回鈴音或主、被叫通話過程中被叫用戶先掛機時，被叫交換局發送CBK消息給主叫交換局，主叫交換局釋放本次呼叫并發送CLF消息給被叫交換局，被叫交換局釋放本次呼叫并發RLG消息給主叫交換局。

2.2 信令特征提取

整個信令流程中每條信令都代表接續或者掛機中的不同階段，每條信令里都包含不同的參數，能反映主被叫的身份信息、位置信息、手機型號等特征。

結合已有先驗經驗提取特征篩選出信令和信令中的參數，加以相應的算法便于準確地識別出騷擾電話。圖2是移動通信網呼叫流程各個接口的信令流程和關鍵參數。

主叫用戶起呼的信令從CM_Service_Request開始，到被叫的Connect Ack應答完成通話的整個呼叫接續過程中，每條信令包含不同的參數都有不同的含義，根據這些參數，可以分析被叫號碼離散、振鈴時長、間隔時長、接通率等特征。

從上面流程中可以看出電話信令特征的提取方法如下：

（1）號碼信息

主叫BSSAP的set-up消息中包含了被叫號碼、被叫BSSAP的set-up消息中包含了主叫號碼、局間IAI消息中包含了被叫、主叫地址這兩個關鍵參數，通過這些消息可以看出本次通話的主、被叫用戶的號碼信息，具體如圖3所示。

其中：“地址信號”即被叫用戶號碼信息；“主叫用戶線標識”即主叫用戶號碼信息。

（2）時長信息

1）被叫用戶振鈴時長很短、主叫用戶主動掛機：基于ACM消息到CLF消息的時長計算。

2）被叫用戶振鈴時長很短、被叫用戶主動掛機：基于ACM消息到CBK消息的時長計算。

3）通話時長基本相同：基于BSSAP協議的Connect Ack消息到Disconnect消息、基于TUP協議的ANC消息到CLF或CBK消息的時長計算。

（3）接通信息

1）接通率：基于基于BSSAP協議的alerting消息和CM_Service_Request或PAGING-RESPONSE消息、基于TUP協議的ACM消息和IAI或IAM消息的計算。

2）應答率：基于基于BSSAP協議的Connect Ack消息和CM_Service_Request或PAGING-RESPONSE消息、基于TUP協議的ANC消息和IAI或IAM消息的計算。

（4）位置信息

1）小區：基于基于BSSAP協議的CM_Service_Request或PAGING-RESPONSE消息的CELL參數。

2）城市：基于TUP協議的IAI或IAM消息的AREA CODE參數。

圖2 移動通信網呼叫流程各個接口的信令流程和關鍵參數

圖3 通話的主、被叫用戶的號碼信息

3 騷擾電話的識別與防范

3.1 系統方案

（1）總體方案

信令監測處理系統采用分層分布式結構，如圖4所示，分為數據采集整合層、數據共享層和應用層。其中最底層為數據采集整合層，用于網絡接口信令數據的采集，要求在不影響網絡運行的情況下，提取各類原始信令以及協議數據，對信令數據進行采集、過濾、復制，然后事件合成發送到接口服務器；中間層為數據共享層，分為數據解碼、合成、關聯、回填、實時或非實時統計、存儲及分析挖掘等；最高層為應用層，有業務類、實時類，網優類、營銷類等專題模塊。

圖4 信令監測處理系統采用分層分布式結構

（2）數據采集范圍

一次通話的端到端信令消息從主叫用戶開始撥打到被叫用戶接收一般要經過多個網元，在不同的接口信令都會有不同的參數標記（例如A口BSSMAP協議、S1-MME口S1AP協議、E-G口MAP協議等），為了盡量完整地溯源電話端到端流程，需要對盡量多的網元接口進行監控，另外，兩端用戶所處的不同位置和網絡也決定了整個信令流程所經過的接口和網元的不同，如圖5所示。

從圖5可見，采集的接口包含Uu、Abis、A、S1-MME、Mc、S6a、E-G等接口，這其中包括BSSAP、S1AP，MAP、Diameter、ISUP等協議類型信令。

3.2 系統特點

信令監測系統處理運用云計算關鍵核心技術，具有云計算的優勢特點，包括多任務并行處理、分布式數據庫、云存儲等，可以通過調整節點數量靈活調整系統運算能力，可以支持百萬臺數據量級節點云計算，各個節點之間協同工作，靈活應對各種商務模式，有效降低系統建設成本。

（1）多任務并行處理

圖5 整個信令流程所經過的接口和網元

多任務并行處理是在解決計算問題的過程中使用多種計算資源，也就是執行并行計算，計算資源應將并行處理的計算機、聯網的計算機專用編號兩者取其一或結合使用，優勢是能快速完成大量復雜的計算問題。

（2）分布式數據庫

分布式數據庫使用多個小型計算機系統，每臺計算機的數據庫管理系統都有一份完整拷貝副本和自己局部的數據庫，將不同地點的各個計算機通過網絡連接起來，統一管理共同組成一個全局性完整的大型分布式數據庫系統。

（3）分布式的文件管理平臺

分布式的文件管理平臺的特點是基于客戶機/服務器模式，將系統文件的物理存儲資源通過計算機網絡與節點相連的方式統籌管理，而不是一定直接連接在本地節點上。一個典型的分布式文件管理平臺可能包括多個供多用戶訪問的服務器。

（4）分布緩存

分布緩存技術主要針對數據庫、應用服務器之間的瓶頸問題，可以降低數據庫的存儲壓力，提升服務器的運算性能，使用普通的X86架構服務器或低端的電腦主機就能實現應用功能。

圖6 騷擾電話的識別篩選規則

3.3 識別算法

結合騷擾及詐騙電話的規律分析，總結出一套行之有效的算法，用以快速、準確地發現和過濾這些非法的呼叫。

規律主要可以分為以下幾種：（1）振鈴掛機

這類電話主要具有撥打頻次高、被叫號碼連續或者一定規律分布、應答成功率低等主要特征。

（2）播放事先錄制的音頻

這類電話一般也由撥測設備來完成，被叫號碼規律或者連續，但由于會有用戶接聽，所以撥打頻次不會很高，相對振鈴掛機電話來說，具有較高的接通率，因此，也就意味著它會占用相對更多的TCH信道，但通話時間一般都不長。

（3）人工撥打的廣告電話

這類電話相對振鈴掛機電話來說，具有較高的接通率，被叫應答時長不固定，被叫號碼離散度高，撥打頻次比振鈴掛機的電話要低很多。

（4）惡意騷擾電話

這類電話的主叫號碼可能為一個也可能為多個，且利用網絡電話撥打成本較低，主叫號碼較為難于跟蹤，撥打頻次非常頻繁，接通率低，被叫號碼一般僅為一個或幾個號碼。

針對以上的騷擾電話采取圖6的篩選規則來進行騷擾電話的識別。

（5）主叫號碼隱藏騷擾電話

這類型的電話基本都是通過自有的小交換機、軟交換設備或自有交換軟件，通過對信令（7號信令協議或SIP協議）協議中的參數做過修改。在TUP協議中的IAM消息中的Calling_Number中的address_present_restrict（限制地址提供標識語）參數有三種顯示方式：0x00：允許；0x01：限制；0x02：地址不可用。

該參數如圖7所示。

該參數不正常的時候可以置位01或02，此時被叫用戶的終端上不能顯示主叫用戶號碼，此類電話需要溯源到主叫用戶的來源，并由主叫側進行黑單處理。

圖7 TUP協議中IAM消息中Calling_Number中的address_present_restrict參數

3.4 防范方案

信令監測系統對騷擾及詐騙電話的防治主要分為兩種：一種是主動的發現，及時發現滿足騷擾電話特征的呼叫，提取用戶號碼信息并及時進行相應的關停操作；一種是事后溯源分析，針對詐騙電話進行溯源查詢，查出號碼的來源以提供給相關單位進行進一步處理。

（1）實時分析

根據騷擾電話的主要特征，結合大數據對用戶特征行為的分析，建立了騷擾電話實時分析平臺，該平臺的數據時延可以做到5分鐘粒度，實時提供現網中存在異常的主叫號碼，通過大數據分析之后，及時與核心網對接，將滿足條件的號碼進行加黑處理。

（2）信令溯源

針對詐騙電話這種沒有明顯特征的電話，對全網語音通話涉及到的所有的接口信令數據進行了3個月的數據存儲，可以后續對于詐騙電話的溯源分析。通過主、被叫號碼和時間能夠快速地定位到主叫號碼的來源歸屬，提供給相關單位進行進一步的分析。

4 結論

移動通信不斷發展豐富，不法分子利用語音撥打騷擾和詐騙電話對用戶進行騷擾，本文通過對這類非法的電話進行特征挖掘，并基于信令監測系統對其進行監控和分析，提供了騷擾電話的識別和詐騙電話的溯源分析手段，希望以此有效地防范和制止騷擾詐騙電話的泛濫。

[1] 中國移動通信集團江蘇有限公司. 加快創新轉型、全面推進數字化服務發展[Z]. 2017.

[2] 湯敏鋒. TD-LTE系統干擾排查及案例剖析[J]. 信息通信,2015(15): 153-156.

[3] 中國移動通信集團江蘇有限公司. 江蘇移動ICT發展規劃項目報告[Z]. 2015.

[4] 謝廷晟,牛化成,劉美英. HTML5權威指南[M]. 北京: 人民郵電出版社, 2015.

[5] 中國移動通信集團江蘇有限公司. 面向LTE流量經營的智能管道技術研究和應用推廣[Z]. 2016.

[6] 林星. HTML5移動應用開發[M]. 北京: 人民郵電出版社,2013.

[7] 王丹陽. 數據挖掘技術在騷擾電話監控系統的應用研究[D]. 長沙: 湖南大學, 2009.

[8] 劉劍. 基于數據挖掘技術實現騷擾電話識別[D]. 北京:中國地質大學, 2011.

[9] 岳亮. 限制垃圾短信及騷擾電話行為方案設計與實現[D]. 北京: 北京郵電大學, 2012.

[10] 王玉申. 一種基于語音識別的騷擾電話撥測系統[J]. 江蘇通信, 2013,29(6): 40-42.

[11] 許乃利. 基于大數據技術的疑似騷擾和電信欺詐電話監測系統設計與實現[J]. 信息通信技術, 2017,11(4): 27-33.

[12] 王彥青,王瀚辰. 一種識別騷擾電話的組合算法研究[J]. 電信科學, 2017,33(7): 112-119. ★