基于信令分析的骚扰电话识别和拦截方法研究

王旭鹏

摘要：随着通信成本的降低和网络电话的发展，随着客户对信息安全和通信环境要求的提高，骚扰电话治理工作已经成为信息安全工作的一个重要方面。文章基于信令采集着重分析用户的通话行为，达到在网络侧对骚扰电话识别和拦截的目的，净化网络环境，保障客户信息安全，提升客户满意度。

关键词：骚扰电话；信令采集；信息安全；虚拟号码

1研究背景

随着通信技术的不断发展，移动通信业务也在不断丰富，不法分子利用监管漏洞向用户拨打骚扰及诈骗电话以达到套取个人信息、宣传营销产品甚至骗取他人财物的目的。骚扰电话是指违背被叫用户意志并且对被叫用户通信自由、生活安宁造成侵害或者蒙蔽用户的呼叫。骚扰电话可分为以下几种：响一声挂机（骗取回拨），播放录制音频（广告、诈骗、反动言论），广告推销，虚拟公共服务电话诈骗，恶意骚扰电话，等等，各种非法业务层出不穷。这些非法呼叫占用了中国移动大量的网络资源，其中骚扰电话造成网间接通率下降，基站无线设备受突发大呼叫量冲击，因电话诈骗、电话传播虚假广告造成客户经济损失的情况甚至会引起客户向运营商进行投诉，对簿公堂。为此，运营商需采取有效的监管手段和拦截工具，对骚扰电话进行监管和拦截，保护用户的语音通信安全，减少用户投诉，提高客户满意度和忠诚度，体现运营商的社会责任，保障客户业务使用和个人信息的安全性。

2骚扰电话类型和特征

针对骚扰电话的几种类型，从拨打频次、被叫离散程度、通话时长、通话内容、主被叫号码规律等几个方面来对骚扰电话进行特征的总结。

响一声挂机：这种骚扰电话具有拨打频次高，被叫号码离散程度高，被叫号码连续或者呈等差数列，接通率低等特征，这种骚扰电话的目的是骗取用户回拨，回拨后多会听到声讯台自动播放录播好的广告或者诈骗信息等，由于拨打频次高多为自动拨测设备完成，规律比较好掌握，具有较高的识别性。

自动播放录制音频：此种骚扰电话被叫号码离散度高，被叫号码连续或者呈等差数列，拨打频次一般频繁，用户接听后，直接播放录播的广告或者反动言论等信息，一般也由自动拨测设备来完成，由于会有用户接听，拨打频次不會很高，相对响一声电话来说，具有较高的接通率，但通话时间一般比较短。

广告推销：人工拨打电话，相对响一声电话来说，具有较高的接通率，通话时长不固定，被叫号码离散度高，拨打频次比响一声较低。

恶意骚扰电话：这类骚扰电话往往涉及商场竞争和个人恩怨，针对个人客户或者企业客户进行大量恶意的频繁拨打，使用户在一段时间内都无法正常使用电话进行个人和企业业务，只能关机了事，往往对用户造成严重的精神损失和经济损失。主叫号码可能为一个也可能为多个，且利用网络电话拨打成本较低，可以随时更换主叫号码，拨打频次非常频繁，接通率低，被叫号码离散程度低，仅为一个或几个号码。

虚拟电话呼叫：从目前网络上的现状来看，这类电话可以从运营商专线或者国外互联网电话落地，由于对主叫号码监管有疏漏，专线用户可以随意修改信令中的主叫号码，可以随意模拟出110、各城市公安局固定电话（可以从114或者网络上查询得到）、银行服务电话、运营商服务电话、政府热线电话等号码，用来骗取用户信任，继而行骗。在信令上看，主叫号码经常为前面加0086+区号等形式，拨打频次较高，被叫离散度高，也具有较高的接通率，通话内容经常涉及让客户转移存款、中奖通知等状况，从内容上容易识别。

3骚扰电话识别和拦截方案

3.1基于信令特征的识别拦截方案

由于响一声挂机、广告推销、恶意骚扰等类别的骚扰电话在信令侧有规律可循，可以从信令采集系统上对信令消息按照一定规则进行过滤，得到疑似骚扰电话号码，再通过人工审核录音取证等环节，对疑似号码进行核实确认，再用BOSS指令关停、信令拦截设备等方式实行拦截。

3.1.1信令采集

信令采集可以依靠现有的信令监测系统或在信令间串入专用的信令采集设备来采集呼叫信息，再将呼叫信令汇总到主机设备上进行分析，如图1所示，贝尔公司的MPM设备对网间信令链路的采集点。

3.1.2策略模型设置

策略可分为对主叫行为分析和对被叫行为分析，主叫行为分析包括接通率、主叫释放次数、振铃时长、主叫占比、通话时长和规律呼叫占比；被叫行为分析包括万号段占比、外省号码占比、号码等差分布占比和离散度分析等。

接通率：该规则对主叫号码的呼叫接通率进行分析。可配置低于（含等于）、高于（含等于）阈值。

主叫释放次数：该规则对主叫号码的主动释放次数进行分析。可配置低于（含等于）、高于（含等于）阈值。

振铃时长：该规则对被叫号码振铃时长进行分析。可配置低于（含等于）、高于（含等于）阈值。

主叫占比：该规则对主叫号码的呼叫行为进行分析，单位时间内主叫发起的话单数量/该主叫所有话单数量。所有话单数量=主叫发起的话单数量+主叫接收的话单数量。规则取值范围在0～100%之间。

通话时长：对主被叫间的通话时长进行分析。可配置低于（含等于）、高于（含等于）阈值。规则的取值范围在0～3 600 s之间。

规律性呼叫间隔占比：该规则对主叫呼叫间隔进行分析，使用机器自动拨打会呈现出拨打间隔比较固定的特征。如呈现特征的呼叫占比高于阈值，具备骚扰电话特征。

万号段占比：同一主叫号码的被叫号码主要集中在某个万号段内时，具备骚扰电话该方面特征。取值范围在0～100%之间。

外省号码占比：同一主叫号码的所有被叫号码主要为外省号码（包括网内及网间），具备骚扰电话该方面特征。取值范围在0～100%之间。

号码等差分布占比：该规则对被叫号码的分布特征进行分析。当同一主叫号码的全部被叫号码中具备等差分布特征号码数量占比高于阈值时，具备骚扰电话该方面特征，如图2所示。

根据不同骚扰电话的特征对以上策略类型进行组合设置，将收集的信令按照规则进行过滤，生成疑似骚扰电话号码名单，如图3所示。

3.1.3审核取证

拦截系统设置自动呼叫模块对疑似骚扰电话进行呼叫录音取证，自动呼叫模块应支持根据分配的虚拟号码自动向疑似骚扰电话号码发起呼叫，并对呼叫结果进行分类标记，分类应包括但不限于：忙音、关机、无法接通、空号、呼叫受限、被叫无应答、被叫应答等。自动呼叫模块应提供对特定类型的呼叫结果进行多次自动呼叫取证，其中呼叫结果类型、呼叫尝试次数以及呼叫间隔应可配置。审核人员可以根据录音内容或者取证成功与否，决定是否需要人工取证或重新转入自动取证队列。

针对疑似骚扰号码取证结果情况，系统多次取证管理业务流程描述如图4所示。

3.1.4拦截封堵

疑似骚扰电话号码经审核取证后确认为骚扰号码，则进行拦截封堵，网内移动号码在BOSS侧做停机处理，他网运营商号码在关口局侧由关口局黑名单方式或者MPM拦截设备设置黑名单方式进行封堵。

3.2虚拟号码型骚扰电话的拦截方案

对于虚拟主叫号码的骚扰电话，由于源头主要出自于国内运营商接入的PB）淦业专线和国外运营商落地，需要分来源进行识别和拦截。

3.2.1国内运营商落地侧监管

（1）在运营商侧对于接入网内的政企专线用户，需要严守白名单控制关，在关口局及NGN固网设备上严格控制主叫白名单，可以通过厂商主叫甄别表，白名单控制表，主叫号码分析表等形式对经由专线设备入网的企业用户主叫号码进行规范，只允许签约的号码呼出，防止客户恶意篡改主叫号码实施骚扰外呼行为，如图5所示。

（2）在数据制作上实现主叫号码强制显示，杜绝企业用户通过隐藏主叫号码拨出骚扰电话。

（3）接入网络电话APP落地类型的企业客户时，建议政企客户部门在白名单主叫管控的同时，要求其在APP端增加手机短信验证功能，保证主叫号码的真实性，如图6所示。

3.2.2国际长途来话监管

国际来话骚扰电话对于运营商来说可以分为两个来源：一种是虚拟改号在国外运营商网络落地，通过国际关口局进入运营商网络；一种是虚拟改号在国外运营商落地，通过国际局进入国内其他运营商后，经网间关口局进入网络。据国家公安部数据显示，来自国际的虚拟改号来电占诈骗电话总量的80%以上。国际来电诈骗电话防范是当前亟须加强的重中之重。对于这两种来源的虚假改号呼叫，由于都为国际来话，可以按照国际长途码00进行识别，在网络侧部署诈骗电话监控拦截系统，将国际长途电话信令收集至攔截系统进行分析，具体机制如下：

（1）国际呼叫经国际关口局/关口局入网，在长途汇接局/关口局（智能数据触发方式）经过信令监测系统被采集入库。

（2）信令监测平台将监测到的国际主叫号码提供给疑似诈骗电话分析处理平台。

（3）处理平台通过高频分析、公检法号码匹配、群众网络举报等基于呼叫特征的识别策略筛选出疑似号码，维护人员将疑似的主叫加前缀配置到长途汇接局上，对前缀特殊处理以便再次呼叫时路由到IP录音设备取证。

（4）此号码再次呼叫时，特殊前缀将此次呼叫路由置省内业务汇接局。

（5）省内汇接局将呼叫路由到IP录音取证设备。

（6）录音取证设备保持呼叫，删除路由前缀码并对被叫号码发起呼叫，呼叫接通后，桥接电路同时开始录音。

（7）同一主叫录音达到5次后会送到人工审核平台进行录音审核，如果审核判断为诈骗电话，则通知国际关口局维护人员在国际关口局上添加主叫黑名单，如图7所示。

4结语

骚扰电话拦截工作是各运营商信息安全工作的重要组成部分，涉及民利民生，作为通信服务的提供者，运营商有义务保证客户通信环境的安全可靠，必须要制定有效的管理制度和拦截方案，对于网络不断演进和变迁，也必须保证骚扰电话拦截系统的同步改造，使之成为网络解决方案的组成因素。而面对移动互联网产业的蓬勃发展，运营商业要充分利用移动互联网优势，和互联网企业积极合作，共享骚扰电话黑名单资源是未来发展的趋势，目前在防治诈骗电话系统中已经成功引入360安全卫士骚扰电话名单用于和现网疑似名单对比，对于网友标记百次以上的名单在系统中进行对比匹配，增加了判别的准确率，节省了判别时间。

互联网软件的骚扰电话拦截只是在手机末端将呼叫屏蔽，用户看似感知不到，实际上信令已经在手机和网络侧交互，一旦骚扰呼叫频繁，手机的资源会不停地被占用，导致无法正常使用业务；而在网络侧拦截可避免占用手机侧空口资源，是更有效的拦截方式，未来可考虑和互联网公司合作，将互联网公司的大数据资源和人们自有的拦截方式结合开发APP产品，给客户更好的防骚扰体验。在运营商推行手机实名制之后，骚扰电话逐渐将阵地转向了网络运营商及网络电话。和互联网企业合作，加强对虚拟运营商和网络电话呼叫的监管力度成为未来骚扰电话拦截工作发展的趋势。