诈骗短信智能监控告警系统和方法

诈骗短信智能监控告警系统和方法
【专利摘要】本申请公开了一种诈骗短信智能监控告警系统，该系统对核心移动网络中各个网元的移动用户的短信业务信令和位置更新业务信令数据进行汇聚处理后，对用户的短信数据进行多种智能分析模型的实时匹配监控，将有用的信令数据存入数据库中，同时对疑似诈骗短信进行确认和向潜在受骗用户发送告警信息，实现潜在受骗用户的及时预警功能；该系统设有信令数据汇聚组件、智能监控业务处理组件、智能监控管理组件、智能告警组件和智能监控业务数据库五个组成模块。本申请还公开了诈骗短信智能监控告警方法。本申请技术方案能够快速识别诈骗短信，且一旦确认诈骗短信就及时告警，还对诈骗短信的潜在受骗用户进行及时消息提醒，最大限度减少用户的经济损失。
【专利说明】诈骗短信智能监控告警系统和方法

【技术领域】
[0001]本发明涉及一种诈骗短信智能监控告警系统和方法，属于网络安全的【技术领域】。

【背景技术】
[0002]随着我国移动通信的快速发展，手机短信已经成为人们普遍使用的信息沟通方式。近年来，一些不法分子利用手机短信传播虚假信息诈骗钱财，严重影响了广大人民群众的正常生活秩序，已经成为扰乱社会治安的新的违法犯罪问题。诈骗短信的危害非常严重，一方面造成人们的经济损失，另一方面更是严重影响社会的和谐发展。工信部和电信运营企业针对短信诈骗也采取了相关监管措施，但是，诈骗短信的方式也在不断变化，其诈骗形式层出不穷，主要以中奖、转账等各种内容形式进行散布信息，同时近期以伪基站形式进行诈骗的新型诈骗方式，更是严重影响了人民的正常通信环境。
[0003]目前，针对诈骗短信进行识别的系统和方法主要集中有如下几种，但是这些方法均存在一些缺陷，具体说明如下:
[0004]基于系统的短信分析规则分析疑似号码形成号码库:短信识别模块根据诈骗短信规则识别疑似诈骗短信，并产生提醒短信，再经由短信发送模块将提醒短信发送给短信系统后，转发给用户(移动端)；同时，系统产生反诈骗短信号码库，并实时向全网号码库进行上报。这种采用短信规则分析号码库的方法，没有详细描述短信分析方法，只是针对分析流程进行了说明；也没有分析不同的业务场景，其识别疑似诈骗短信的真实性或功能都有待验证。再者，提示短信没有人工配置方式，提示内容不可选择。
[0005]基于手机端的关键词匹配方式识别诈骗短信:通过手机端接收到短信内容与预置的短信关键词数据库进行匹配对比分析，手机端若分析该短信的关键词全匹配，则直接过滤或删除该短信，如短信关键词是部分匹配时，则将该短信列为疑似诈骗短信，并基于预置的亲情号码发送提示短信。另外，关键词库要实时更新，手机端实时或间歇地通过网络服务器更新关键词库到本地。网络服务器根据识别的诈骗短信通过报警服务器报警。这种通过手机端基于关键词进行诈骗短信内容的分析判断，对于关键词库的更新频率和效果也有待验证。另外，若诈骗信息同时发送给亲情号码，会产生二次垃圾短信。其报警方式是通过服务器报警，若手机端在数据网络连接条件不好(如用户没有打开数据连接操作或电信网络的数据域网络覆盖不好时)，则不能实时告警。
[0006]基于短信来源编码确定用户，或根据举报号码频次实现识别诈骗短信:通过发送方的短信内容，为短信附加短信来源编码，用于唯一地确定发送方用户的特征。然后根据短信来源编码与数据库的黑名单、白名单或灰名单进行匹配。数据库的灰名单和黑名单时基于用户短信被举报的次数设定判断的:举报N次时，列为灰名单，举报超过N+M次时，加入黑名单。最后将短信匹配结果发送至接收方用户。这种方法还设有互动式语音应答(IVR，Interactive Voice Response)、短消息服务(SMS, Short Messaging Service)方式的查询短信内容是否是诈骗短信的流程。这种通过用户以IVR或SMS查询方式鉴别短信真伪，同时基于用户举报的短信频次列为黑名单、以及根据事后分析黑名单方式进行后续黑名单的判断体系或方法，对于初次的诈骗行为就无法有所作为了。
[0007]基于手机终端短信内容与云数据库进行匹配实现识别:通过用户终端接收到的短信内容，根据短信的发送号码和/或短信内容与本地数据库分别进行匹配判断是否为诈骗短信；同时终端会实时更新云数据库。移动终端根据匹配结果进行以语音和/或震动提示、画面提示等方式提示用户。这种方法需要用户根据比对结果判断是否是可疑诈骗短信，还需要用户将判断结果上传到云服务器，操作繁杂、琐碎，用户需要掌握相应知识或能力。同时本地数据库与云数据库的同步也会有延迟而造成误判。


【发明内容】

[0008]有鉴于此，本发明的目的是提供一种诈骗短信智能监控告警系统和方法，本发明系统对于通信网中的短信进行实时安全监控，基于诈骗短信的形式和内容对于短信内容进行大数据分析，能够快速识别诈骗短信，且一旦确认诈骗短信就及时告警，还对诈骗短信的潜在受骗用户进行及时消息提醒，最大限度减少用户的经济损失。
[0009]为了达到上述目的，本发明提供了一种诈骗短信智能监控告警系统，该系统是对电信运营商的核心移动网络中各个网元的移动用户的短信业务信令和位置更新业务信令数据进行汇聚处理后，对用户的短信数据进行多种智能分析模型的实时匹配监控，将有用的信令数据存入数据库中，同时对疑似诈骗短信进行确认和向潜在受骗用户发送告警信息，实现潜在受骗用户的及时预警功能；该系统设有信令数据汇聚组件、智能监控业务处理组件、智能监控管理组件、智能告警组件和智能监控业务数据库五个组成模块；其中:
[0010]信令数据汇聚组件，负责通过该组件的协议适配接口采集和汇聚信令数据，然后由信令数据提取模块从中提取短信业务信令和位置更新业务信令数据，再将该短信业务信令和位置更新业务信令数据经由监控业务处理接口与智能监控业务处理组件进行实时的数据交互；设有协议适配接口、信令数据提取模块和监控业务处理接口三个组成模块；
[0011]智能监控业务处理组件，负责通过该组件的信令数据汇聚接口对接收的短信业务信令和位置更新业务信令数据进行分析处理，分别跟服务提供商SP (Service Provider)短信业务、点对点短信业务、伪基站短信业务共三个业务分析处理模块交互数据，该三个模块同时与智能监控业务数据库进行号码数据的匹配比对，若比对不成功，则将分析的疑似诈骗短信号码反馈给短信业务管理接口，智能监控管理组件将确认的主叫用户号码经过告警业务模块产生告警数据，通过告警接口向潜在受骗用户发送告警信息，同时短信业务管理接口将确认的诈骗短信的主叫号码存储到智能监控业务数据库中；智能监控业务处理组件设有短信业务管理接口、SP短信业务分析处理模块、点对点短信业务分析处理模块、伪基站短信业务分析处理模块、信令数据汇聚接口、告警业务模块、告警接口、业务数据库接口共八个组成模块；
[0012]智能监控管理组件，负责将智能监控业务处理组件初步确认的疑似诈骗短信的主被叫用户号码进行汇总和呈现，再经由人工确认后，及时向潜在受骗用户发送告警信息，并将确认后的主叫用户号码列为黑名单和存入智能监控业务数据库；设有短信业务管理接口、诈骗短信用户管理模块、告警信息管理模块、数据库接口共四个组成模块；
[0013]智能告警组件，负责将智能监控业务处理组件返回潜在受骗用户下发的告警信息，并根据手机终端的不同状态进行协议适配后，下发给手机终端和/或APP客户端；设有告警数据处理接口、告警业务处理模块和协议适配接口三个组成模块；
[0014]智能监控业务数据库，用于与智能监控业务处理组件交互信息，以便获知SP短信的黑名单、点对点短信的黑名单和伪基站短信的黑名单；同时存储日志相关信息；还用于与智能监控管理组件交互信息，存储诈骗短信的主叫号码和告警信息的数据模板。
[0015]本申请还提供了一种诈骗短信智能监控告警方法，该方法由所述的诈骗短信智能监控告警系统实施，首先实时汇聚电信核心网的短信业务信令和位置更新业务信令数据，根据使用的通信协议提取其中包括主叫号码、被叫号码、主叫GT地址、被叫GT地址、短信中心地址、LAC、Cl、短信中心地址、短信类型、短信长度和短信内容的多种信息，然后根据该智能监控告警系统中的诈骗短信的分析处理模块对诈骗短信进行分析，再对分析确认的诈骗短信的主叫用户和被叫用户分别根据预警规则执行相应的处理操作；所述方法包括下列操作步骤:
[0016]步骤1，实时采集与汇聚短信信令数据:信令汇聚组件实时采集和汇聚电信核心网短信业务信令和位置更新业务信令数据，根据使用的通信协议提取短信中包括主叫号码、被叫号码、主叫GT地址、被叫GT地址、短信中心地址、LAC、Cl、短信中心地址、短信类型、短信长度和短信内容的多种信息；
[0017]步骤2，对诈骗短信执行智能监控处理:对于海量短信数据，分别根据SP短信、点对点短信、伪基站短信的不同智能监控处理方法进行诈骗短信的识别与确认，确认诈骗短信后，将该诈骗短信的主叫用户号码列为黑名单；再将被叫用户号码汇总形成潜在诈骗短信受害用户群；
[0018]步骤3，发送智能预警信号:根据潜在诈骗短信受害用户群的号码信息，选择相应的预警信息模板准备发送预警短消息，再根据手机终端的不同状态，适配不同的承载协议发送该预警短消息。
[0019]通过诈骗短信智能监控告警系统进行短信信令数据的分析和告警，将用户的短信数据实时进行多种智能分析模型的实时监控匹配，从而实现潜在诈骗用户的及时告警功倉泛。

【专利附图】

【附图说明】
[0020]图1为本申请实施例提供的诈骗短信智能监控告警系统结构框图；
[0021]图2为图1所示系统中的信令数据汇聚组件的结构示意图；
[0022]图3为图1所示系统中的智能监控业务处理组件的结构示意图；
[0023]图4为图1所示系统中的智能监控管理组件的结构示意图；
[0024]图5为图1所示系统中的智能告警组件的结构示意图；
[0025]图6为本申请实施例提供的诈骗短信智能监控告警方法流程示意图；
[0026]图7为本申请实施例提供的SP短信智能监控告警流程示意图；
[0027]图8为本申请实施例提供的点对点短信智能监控告警流程示意图；
[0028]图9为本申请实施例提供的伪基站短信智能监控告警流程示意图。

【具体实施方式】
[0029]为使本发明的目的、技术方案和优点更加清楚，下面结合附图对本发明作进一步的详细描述。
[0030]从系统组成结构、主要功能等方面描述诈骗短信智能监控告警系统及方法。
[0031]本申请实施例提供的诈骗短信智能监控告警系统的组成结构如图1所示。诈骗短信智能监控告警系统是基于汇聚电信运营商的核心移动网络中各个网元中的移动用户的短信业务信令、位置更新业务信令数据，通过信令数据汇聚组件将数据汇聚处理后，路由分发到智能监控业务处理组件进行短信内容的智能分析，并将有用数据存入数据库中，同时通过智能管控管理组件对于疑似诈骗短信进行确认，最后通过智能告警组件发送告警信息，从而实现潜在诈骗短信用户的及时预警功能。该系统设有信令数据汇聚组件、智能监控业务处理组件、智能监控管理组件、智能告警组件和智能监控业务数据库五个组成模块。
[0032]图2示出了本申请实施例提供的信令数据汇聚组件的结构。如图2所示，信令数据汇聚组件由协议适配接口、信令数据提取模块、监控业务处理接口组成。协议适配接口用于采集和汇聚信令数据，然后由信令数据提取模块从中提取短信业务信令和位置更新业务信令数据，再将该短信业务信令和位置更新业务短信信令数据经由监控业务处理接口与智能监控业务处理组件进行实时的数据交互；设有协议适配接口、信令数据提取模块和监控业务处理接口三个组成模块。
[0033]具体地，
[0034]协议适配接口，负责与电信核心网络的网元相关接口完成协议的交互适配操作，再通过Web Service和/或实时Socket的协议接口采集核心网信令消息,转发给信令数据提取1?块进行处理；
[0035]信令数据提取模块，负责从协议适配接口采集的核心网信令消息，提取包括主叫用户号码、被叫用户号码、主叫全局码(GT，Global Title)地址、被叫GT地址、短信中心地址、位置区(LAC, Locat1n Area Code)、小区标识(Cl, Cell Id)、短信业务类型、短信长度和短信内容的信息，再将提取到的信息传送给监控业务处理接口 ；
[0036]监控业务处理接口，负责对提取后的信令信息根据通过监控业务处理接口和智能监控业务处理组件进行交互。
[0037]智能监控业务处理组件通过短信业务处理接口进行短信数据消息的处理分析，分别跟SP短信业务分析处理模块、点对点短信业务分析处理模块、伪基站短信业务分析处理模块进行数据交互，同时这三个模块与智能监控业务数据库做号码数据比对，如比对不成功，则将分析的疑似诈骗短信号码给短信业务管理处理接口，并经过管理组件的消息产生告警数据，通过告警接口进行告警信息的发送，同时将确认的诈骗短信的号码数据存储到智能监控业务数据库中。
[0038]图3示出了本申请实施例提供的智能监控业务处理组件的结构，智能监控业务处理组件由信令数据汇聚接口、告警接口、告警业务模块、SP短信业务分析处理模块、点对点短信业务分析处理模块、伪基站短信业务分析处理模块、业务数据库接口、短信业务管理接口组成。信令数据汇聚接口对接收的短信信令数据进行分析处理，分别跟SP短信业务分析处理模块、点对点短信业务分析处理模块和伪基站短信业务分析处理模块交互数据，所述三个业务分析处理模块同时与智能监控业务数据库进行号码数据的匹配比对，若比对不成功，则将分析的疑似诈骗短信号码反馈给短信业务管理接口，智能监控管理组件将确认的主叫用户号码经过告警业务模块产生告警数据，通过告警接口向潜在受骗用户发送告警信息，同时短信业务管理接口将确认的诈骗短信的主叫号码存储到智能监控业务数据库中。具体地，
[0039]信令数据汇聚接口，负责接收信令数据汇聚组件的短消息，并将该短消息数据分别与SP短信业务分析处理模块、点对点短信业务分析处理模块、伪基站短信业务分析处理模块进行数据交互；
[0040]SP短信业务分析处理模块，用于与信令数据汇聚接口交互，根据SP短信业务分析模型，对SP类短信进行诈骗短信分析处理；与短信业务管理接口交互，对疑似SP类诈骗短信进行确认并告警；还通过业务数据库接口与智能监控业务数据库交互，以便与该数据库中的SP类主叫用户黑名单进行比对，同时存储日志相关信息；
[0041]点对点短信业务分析处理模块，用于与信令数据汇聚接口交互，根据点对点短信业务分析模型，对点对点类短信进行诈骗短信分析处理；与短信业务管理接口交互，对疑似点对点类诈骗短信进行确认并告警；还通过业务数据库接口与智能监控业务数据库交互，以便与该数据库中的点对点主叫用户黑名单进行比对，同时存储日志相关信息；
[0042]伪基站短信业务分析处理模块，用于与信令数据汇聚接口交互，根据伪基站短信业务分析模型，对伪基站类短信进行诈骗短信分析处理；与APP客户端交互，判断APP客户端状态；与短信业务管理接口交互，对疑似伪基站类诈骗短信进行确认和告警，同时通过业务数据库接口存储日志相关信息；
[0043]短信业务管理接口，负责分别与SP短信业务分析处理模块交互，将疑似SP诈骗短信数据与智能监控管理组件进行数据交互；与点对点短信业务分析处理模块交互，将疑似点对点诈骗短信数据与智能监控管理组件进行数据交互；与伪基站短信业务分析处理模块交互，将疑似伪基站诈骗短信数据与智能监控管理组件进行数据交互；还与告警业务模块交互信息，处理智能监控管理组件下发的实时告警信息的业务逻辑，再转发给告警接口 ；
[0044]告警业务模块，用于与短信业务管理接口交互信息，处理智能监控管理组件的告警业务逻辑数据；与告警接口进行交互，将告警消息经由告警接口传送给智能告警组件；
[0045]告警接口，用于与告警业务模块交互，接收智能监控管理组件下发的实时告警信息；还与智能告警组件交互信息，对告警信息进行数据分析和路由；
[0046]业务数据库接口，用于分别与SP短信业务分析处理模块、点对点短信业务分析处理模块和伪基站短信业务分析处理模块进行交互，以便根据SP短信的黑名单、点对点短信的黑名单和伪基站的黑名单列表进行疑似诈骗短信的数据分析。
[0047]智能监控管理组件，负责将智能监控业务处理组件初步确认的疑似诈骗短信的主被叫用户号码进行汇总和呈现，再经由人工确认后，及时向潜在受骗用户发送告警信息，并将确认后的主叫用户号码列为黑名单和存入智能监控业务数据库。
[0048]图4为本申请实施例提供的智能监控管理组件的结构，智能监控管理组件由短信业务管理接口、诈骗短信用户管理模块、告警信息管理模块、数据库接口组成。
[0049]短信业务管理接口，用于与智能监控业务处理组件交互信息，将该组件监控业务处理后的疑似诈骗短信，发送给诈骗短信用户管理模块；
[0050]诈骗短信用户管理模块，用于与短信业务管理接口交互信息，从诈骗短信中提取主叫用户号码和被叫用户号码；与告警信息管理模块交互信息，对疑似诈骗短信的被叫用户产生告警信息；与管理数据库接口进行交互，将诈骗短信的主叫用户号码存储到智能监控业务数据库的黑名单，同时存储日志相关信息；
[0051]告警信息管理模块，用于与诈骗短信用户管理模块交互信息，对诈骗短信的被叫用户号码进行汇总和提取后，对告警信息执行选取和确认操作；与管理数据库接口进行交互，对告警信息的模板进行存储和选取，同时存储日志相关信息；
[0052]管理数据库接口，用于与诈骗短信用户管理模块交互信息，将主叫号码数据存储到智能监控业务数据库的黑名单；与告警信息管理模块进行交互，制定和存储告警信息的数据模板。
[0053]智能告警组件负责将智能监控业务处理组件返回潜在受骗用户下发的告警信息，并根据手机终端的不同状态进行协议适配后，下发给手机终端和/或APP客户端。
[0054]图5示出了本申请实施例提供的智能告警组件的结构，智能告警组件由告警数据处理接口、告警业务处理模块、协议适配接口组成。
[0055]告警数据处理接口、与智能监控业务处理组件进行通信，将告警业务的消息进行数据交互；与告警业务处理模块进行通信，对于告警的具体业务进行逻辑处理分析；
[0056]告警业务处理模块，与告警业务处理接口进行通信，对于告警的具体业务进行逻辑处理分析；与协议适配接口进行交互，根据手机终端的状态适配不同的协议继续告警消息的发送；
[0057]协议适配接口，告警业务处理进行交互，对于手机终端的不同状态适配不同的协议继续告警消息的发送。
[0058]智能监控业务数据库，用于与智能监控业务处理组件交互信息，以便获知SP短信的黑名单、点对点短信的黑名单和伪基站短信的黑名单；同时存储日志相关信息；还用于与智能监控管理组件交互信息，存储诈骗短信的主叫号码和告警信息的数据模板。
[0059]所述诈骗短信智能监控告警系统还包括诈骗短信智能监控应用APP客户端，该装置负责与智能监控业务处理组件交互信息，以监控该客户端的工作状态，同时及时对诈骗短信的被叫用户发送告警信息的预警；所述系统的数据来源是电信移动用户的海量通信信令数据。
[0060]本申请还提供了一种基于上述诈骗短信智能监控告警系统的诈骗短信智能监控告警方法。图6为本申请实施例提供的诈骗短信智能监控告警方法流程，首先实时汇聚电信核心网的短信业务信令和位置更新业务信令数据，根据使用的通信协议提取其中包括主叫号码、被叫号码、主叫GT地址、被叫GT地址、短信中心地址、LAC、Cl、短信中心地址、短信类型、短信长度和短信内容的多种信息，然后根据该智能监控告警系统中的诈骗短信的分析处理模块对诈骗短信进行分析，再对分析确认的诈骗短信的主叫用户和被叫用户分别根据预警规则执行相应的处理操作；所述方法包括下列操作步骤:
[0061]步骤1，实时采集与汇聚短信业务信令和位置更新业务信令数据:信令汇聚组件实时采集和汇聚电信核心网短信业务信令和位置更新业务信令数据，根据短信使用的通信协议提取短信中包括主叫号码、被叫号码、主叫GT地址、被叫GT地址、短信中心地址、LAC、Cl、短信中心地址、短信类型、短信长度和短信内容的多种信息；
[0062]步骤2，对诈骗短信执行智能监控处理:对于海量短信数据，分别根据SP短信、点对点短信、伪基站短信的不同智能监控处理方法进行诈骗短信的识别与确认，确认诈骗短信后，将该诈骗短信的主叫用户号码列为黑名单；再将被叫用户号码汇总形成潜在诈骗短信受骗用户群；
[0063]步骤3，发送智能预警信号:根据诈骗短信潜在受骗用户群的号码信息，选择相应的预警信息模板准备发送预警短消息，再根据手机终端的不同状态，适配不同的承载协议发送该预警短消息。
[0064]针对SP短信，一般短信呈现形式主要是主叫号码以95、106、10000、10086、10010
等号段开头的短信。其特点就是根据用户的订购业务，按时针对大量用户的以短信形式下发各种内容的消息。
[0065]在通信网络里，这类SP用户的网络接入点是固定的，一般由短信网关(SMGW或SMG, Short Message Gateway)或者综合业务接入网关(ISAG, Integrated Service AccessGateway)等接入网关统一接入。在通信网络的信令消息里，可以通过移动应用协议(MAP，Mobile Applicat1n Protocol)信令消息的路由信息进行判断是否是正确的路由方向，即对于SP类的短信，可以在通信信令里，判断其主叫GT码、0PC、起始IP地址和端口(port)进行判断SP短信发送的起源点。根据路由规则，如发现异常，则是疑似的诈骗短信分析的对象。对于SP短信，一般其下发短信的类型方式是MT (Mobile Terminated)方式下发，SP下行短信形式。如果通过信令消息检查，有主叫是以95、106、10000、10086、10010等号段开头并且是M0(Mobile Originate)方式的短信，则是疑似的诈骗短信分析的对象。同时在分析中基于黑白名单的方式，进行SP号码的确认。最后经过SP短信内容分析，对于SP短信内容分析根据SP内容的汉字的语意解析以及自学习算法，识别诈骗的短信内容。针对识别出的诈骗短信，提取出被叫号码用户群，形成诈骗短信潜在受骗用户群，然后及时发送预警消息提醒。
[0066]短信内容分析根据短信内容的短信中心地址、短信长度、短信内容字段判断是否是诈骗短。
[0067]图7为本申请实施例提供的SP短信智能监控告警流程图，基于SP短信以MT，即下行短信方式下发，故在检查信令消息时，若发现主叫是以95、106、10000、10086和10010为号段开头、且是MO方式的短信，则认为其是疑似的诈骗短信的分析对象；同时基于黑白名单方式进行SP号码的确认，还根据SP内容的汉字的语意解析以及自学习算法分析短信内容，判断识别其是否为诈骗短信；然后，针对识别出的诈骗短信，提取被叫号码和生成潜在诈骗短信受害用户群，最后及时发送预警消息提醒；该方法包括下列操作内容:
[0068]步骤21，汇聚短信信令数据；
[0069]步骤22，判断SP路由地址是否正常:主叫GT地址的路由规则是否符合网络规划要求:若正常，则执行后续步骤23 ;否则，跳转执行步骤26 ；
[0070]步骤23，判断SP短信类型是否正常:若正常，则执行后续步骤24 ;否则，跳转执行步骤26 ；
[0071]步骤24，对SP短信的主叫用户号码进行白名单检查，若主叫用户号码位于白名单，则短信放通；否则，执行后续步骤25 ；
[0072]步骤25，对SP短信的主叫用户号码进行黑名单检查，若主叫用户号码位于黑名单，则提取被叫号码用户群，执行智能预警；否则，执行后续步骤(26)；
[0073]步骤26，对SP短信内容进行判断识别，若不是诈骗短信，则短信放通；若是诈骗短信，则提取被叫号码用户群，执行智能预警；
[0074]步骤27，提取诈骗短信的被叫用户号码，形成诈骗短信潜在受骗用户群，再生成和下发预警短信消息。
[0075]以上描述仅是对本发明较佳实施例的描述，并非对本发明范围的任何限定，本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰，均属于权利要求书的保护范围。
[0076]针对点对点短信，主要是移动用户个人对个人的短信发送，但也存在某些人利用短信猫等特殊短信发送工具，使用多个移动SIM卡，分时分用户不停发送。根据工信部的要求，对于日发送量超过200条的用户，将做短信业务暂停处理。对于这类的发送短信，其每天发送量一般在200条以下，但比较接近200条，而且每天发送的量基本相同。根据短信发送的频次和多天的发送量进行综合判断，如某个用户每天发送量均很多，天发送量和月发送量均是如此，根据整体趋势分析可进行疑似诈骗短信分析。
[0077]根据被叫用户的号码规则分析，根据被叫用户手机号码的前7位可以知道用户的归属地信息，如1390010则为归属地为北京的用户，1860020则为归属地位广州的用户。根据主叫用户手机号码归属信息和被叫号码归属信息，可以分析点对点短信的发送场景，对于发送场景一般分为本省本市本网短信、本省本市异网短信、本省异市本网短信、本省异市异网短信、本省外地本网短信、本省外地异网短信。根据以上分析场景，对于点对点用户，根据每天、每月短信的发送结果分析，可以了解基于用户行为的短信发送场景类型。当用户的发送场景发现异常，则后续进行疑似诈骗短信分析。
[0078]短信内容分析根据短信内容的短信中心地址、短信长度、短信内容字段判断是否是诈骗短。
[0079]图8为本申请实施例提供的根据点对点短信进行诈骗短信识别的智能监控处理方法:先根据主叫用户手机号码和被叫号码的归属信息，分析点对点短信的发送场景:本省本市本网短信、本省本市异网短信、本省异市本网短信、本省异市异网短信、本省外地本网短信和本省外地异网短信；再根据场景分析和该用户每天和/或每月的点对点短信发送数量与结果进行分析，了解该用户为的短信发送场景类型；一旦发现用户的发送场景异常时，就分析判断其是否发送疑似诈骗短信，提取被叫号码和及时发送预警消息；所述方法包括下列操作内容:
[0080]步骤2A，汇聚短信信令数据；
[0081]步骤2B，判断点对点短信的频次和历史趋势是否正常:若正常，则执行后续步骤2C ;否则，跳转执行步骤2G ；
[0082]步骤2C，判断点对点短信的号码归属信息，分别分析短信发送场景和用户行为，根据用户行为和场景判断该短信是否正常，若正常，则执行后续步骤2D ;若短信场景异常，则跳转执行步骤2G ；
[0083]步骤2D，对点对点短信的主叫用户号码进行白名单检查，若主叫用户号码位于白名单，则短信放通；否则，执行后续步骤2E ；
[0084]步骤2E，对于点对点短信的主叫用户号码进行黑名单检查，若主叫用户号码位于黑名单，则提取被叫号码用户群，执行智能预警；否则，执行后续步骤2F ；
[0085]步骤2F，对点对点短信内容进行判断识别，若不是诈骗短信，则短信放通；若是诈骗短信，则提取被叫号码用户群，执行智能预警；若不是诈骗短信，则短信放通；若是诈骗短信，则执行后续步骤2G;
[0086]步骤2G，提取诈骗短信的被叫用户号码，形成诈骗短信潜在受骗用户群，再生成和下发预警短消息。
[0087]以上描述仅是对本发明较佳实施例的描述，并非对本发明范围的任何限定，本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰，均属于权利要求书的保护范围。
[0088]伪基站短信智能监控告警方法的原理是:正常情况下，当通信网里的LAC号码有变化时，则移动端进行正常位置更新。对于伪基站类短信，根据某小区的位置更新的历史趋势分析。当小区的位置更新业务数据的异常，如位置更新总数异常，且更新异常的小区呈现线性分布，如小区更新在热点道路附近、商场附近等，则可以怀疑小区附近有潜在伪基站的存在。根据位置更新的信令数据，提取更新前的LAC、CI与更新后的LAC、CI数据进行对比分析，根据LAC的编码规则，如临近区域的LAC，其位置更新业务属于正常，如非临近的LAC，其位置更新则为异常数据。同时根据移动用户手机终端的APP客户端与智能监控告警系统的连接状态分析，当某小区附近大量的移动终端的客户端与智能监控告警系统失去连接，则可以判断小区附近有潜在伪基站存在。
[0089]本申请实施例提供的根据伪基站短信进行诈骗短信识别的智能监控处理方法是根据小区位置更新的历史趋势进行分析的:根据位置更新的信令数据，分别提取更新前、后的LAC和Cl进行对比分析，再对照LAC、CI的网络规划编码规则进行比对:若LAC、CI值匹配网络规划编码规则或历史的位置更新信令数据趋势平稳，则该LAC、Cl位置更新业务属于正常，若所述LAC、Cl值与网络规划编码规则不匹配或历史的位置更新信令数据趋势异常，则认为该LAC、CI的位置更新业务为异常数据；同时分析手机终端的APP客户端与智能监控告警系统的连接状态:当某小区附近大量的移动终端的客户端与智能监控告警系统失去连接时，就能够判断小区附近存在潜在伪基站；
[0090]步骤2a，汇聚短信业务信令、位置更新业务信令数据；
[0091]步骤2b，判断位置更新业务的频次和历史趋势是否正常:若异常，则执行后续步骤(2c);若正常，则短信放通；
[0092]步骤2c，判断APP客户端连接是否正常，若正常，则短信放通；若连接异常，则执行后续步骤2d ；
[0093]步骤2d，当APP客户端连接恢复后，自动查询短信历史，若有新短信，则继续执行后续步骤2e ;否则无新短信，则无异常；
[0094]步骤2e,对短/[目内容进行判断，若不是诈骗短/[目，则短?目放通；若是诈骗短/[目，则提取被叫号码用户，执行智能预警；
[0095]步骤2f，提取诈骗短信的被叫用户号码，形成诈骗短信潜在受骗用户群，再生成和下发预警短信消息。
[0096]以上描述仅是对本发明较佳实施例的描述，并非对本发明范围的任何限定，本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰，均属于权利要求书的保护范围。
[0097]本申请技术方案相对于现有技术，具有如下业务创新点:
[0098]海量信令数据汇聚:通过信令数据汇聚组建针对信令消息进行汇总处理，包括从核心网A/IU接口、C/D接口、GN/R-P接口采集用户的位置更新信令、短信信令、终端状态等。
[0099]信令数据趋势分析:通过小时、天、周、月等数据进行趋势异常分析汇总，对于异常数据进行及时提取。
[0100]根据短信类型进行不同的分析处理，SP短信进行路由分析、短信类型分析；点对点短信进行频次分析，短信场景类型分析；伪基站短信根据位置更新异常和APP客户端连接异常分析；覆盖各种类型的短信。
[0101]对于诈骗短信用户，快速汇总潜在受骗用户群，及时根据人工定制的短信消息模板快速下发预警消息。
[0102]本申请技术方案相对于现有技术，具有如下技术实现创新点:
[0103]基于数据汇聚组件中的协议适配层，通过不同协议接口将各个网元的用户数据进行汇总处理，数据源来自核心网A/IU接口、C/D接口、GN/R-P接口的信令消息。
[0104]基于大数据分析技术，将信令消息快速进行业务模式识别，区分SP短信、点对点短信、伪基站短信，针对各短信业务的诈骗短信业务识别分析。
[0105]基于SP短信类型，进行短信消息的路由字段提取与电信网路由规则进行数据比对，判断路由是否异常；进行短信类型的字段分析，对于上行MO的短信，判断短信类型异常；
[0106]基于点对点短信类型，进行短信业务的频次和历史趋势的比对，对于小时、天、周、月等数据进行趋势异常分析汇总，趋势异常则进行诈骗短信内容分析；进行短信用户的归属信息，判断用户的短信用户行为，对于异常的发送场景，则进行诈骗短信内容分析；
[0107]对于伪基站短信类型，进行位置更新业务的趋势比对，根据更新业务异常判断伪基站；根据APP客户端与智能监控告警系统的连接状态进行判断，如连接异常后则根据后续短信的比对和分析进行伪基站的判断。
[0108]基于不同的诈骗短信类型，人工定制预警消息发送模板，根据不同预警消息模板进行预警消息的下发，判断终端的状态进行预警消息的发送。
[0109]本申请技术方案可以实现如下技术效果:
[0110]该系统基于用户的海量信令数据进行汇聚和关联分析处理，将信令数据统一提取和关联，并实时更新，数据准确率达98%以上；
[0111]该系统基于用户的历史趋势分析用户行为，如发现趋势异常则进行短信内容的分析和判断；
[0112]该系统基于SP短信、点对点短信、伪基站短信进行分别分析和判断，全面涵盖短信的信令消息监控和诈骗短信内容识别；
[0113]对于诈骗短信用户及时进行提醒，从而及时提醒潜在受骗用户，最大限度减少用户的损失。
[0114]以上描述仅是对本发明较佳实施例的描述，并非对本发明范围的任何限定，本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰，均属于权利要求书的保护范围。
【权利要求】
1.一种诈骗短信智能监控告警系统，其特征在于:该系统是对电信运营商的核心移动网络中各个网元的移动用户的短信业务信令和位置更新业务信令数据进行汇聚处理后，对用户的短信数据进行多种智能分析模型的实时匹配监控，将有用的信令数据存入数据库中，同时对疑似诈骗短信进行确认和向潜在受骗用户发送告警信息，实现潜在受骗用户的及时预警功能；该系统设有信令数据汇聚组件、智能监控业务处理组件、智能监控管理组件、智能告警组件和智能监控业务数据库五个组成模块；其中: 信令数据汇聚组件，设有协议适配接口、信令数据提取模块和监控业务处理接口三个组成模块；协议适配接口用于采集和汇聚信令数据，然后由信令数据提取模块从中提取短信业务信令和位置更新业务信令数据，再将该短信业务信令和位置更新业务信令数据经由监控业务处理接口与智能监控业务处理组件进行实时的数据交互； 智能监控业务处理组件，设有短信业务管理接口、服务提供商SP短信业务分析处理模块、点对点短信业务分析处理模块、伪基站短信业务分析处理模块、信令数据汇聚接口、告警业务模块、告警接口、业务数据库接口共八个组成模块；信令数据汇聚接口对接收的短信信令数据进行分析处理，分别跟SP短信业务分析处理模块、点对点短信业务分析处理模块和伪基站短信业务分析处理模块交互数据，所述三个业务分析处理模块同时与智能监控业务数据库进行号码数据的匹配比对，若比对不成功，则将分析的疑似诈骗短信号码反馈给短信业务管理接口，智能监控管理组件将确认的主叫用户号码经过告警业务模块产生告警数据，通过告警接口向潜在受骗用户发送告警信息，同时短信业务管理接口将确认的诈骗短信的主叫号码存储到智能监控业务数据库中； 智能监控管理组件，负责将智能监控业务处理组件初步确认的疑似诈骗短信的主被叫用户号码进行汇总和呈现，再经由人工确认后，及时向潜在受骗用户发送告警信息，并将确认后的主叫用户号码列为黑名单和存入智能监控业务数据库； 智能告警组件，负责将智能监控业务处理组件返回潜在受骗用户下发的告警信息，并根据手机终端的不同状态进行协议适配后，下发给手机终端和/或APP客户端；智能监控业务数据库，用于与智能监控业务处理组件交互信息，以便获知SP短信的黑名单、点对点短信的黑名单和伪基站短信的黑名单；同时存储日志相关信息；还用于与智能监控管理组件交互信息，存储诈骗短信的主叫号码和告警信息的数据模板。
2.根据权利要求1所述的系统，其特征在于:所述系统还包括诈骗短信智能监控应用APP客户端，该装置负责与智能监控业务处理组件交互信息，以监控该客户端的工作状态，同时及时对诈骗短信的被叫用户发送告警信息的预警；所述系统的数据来源是电信移动用户的海量通信信令数据。
3.根据权利要求1所述的系统，其特征在于:所述信令数据汇聚组件中的各个模块功能说明如下: 协议适配接口，负责与电信核心网络的网元相关接口完成协议的交互适配操作，再通过Web Service和/或实时Socket的协议接口采集核心网信令消息,转发给信令数据提取模块进行处理； 信令数据提取模块，负责从协议适配接口采集的核心网信令消息，提取包括主叫用户号码、被叫用户号码、主叫GT地址、被叫GT地址、短信中心地址、位置区LAC、小区Cl、短信业务类型、短信长度和短信内容的信息，再将提取到的信息传送给监控业务处理接口 ； 监控业务处理接口，负责对提取后的信令信息根据通过监控业务处理接口和智能监控业务处理组件进行交互。
4.根据权利要求1所述的系统，其特征在于:所述智能监控业务处理组件中的各个模块功能说明如下: 信令数据汇聚接口，负责接收信令数据汇聚组件的短消息，并将该短消息数据分别与SP短信业务分析处理模块、点对点短信业务分析处理模块、伪基站短信业务分析处理模块进行数据交互； SP短信业务分析处理模块，用于与信令数据汇聚接口交互，根据SP短信业务分析模型，对SP类短信进行诈骗短信分析处理；与短信业务管理接口交互，对疑似SP类诈骗短信进行确认并告警；还通过业务数据库接口与智能监控业务数据库交互，以便与该数据库中的SP类主叫用户黑名单进行比对，同时存储日志相关信息； 点对点短信业务分析处理模块，用于与信令数据汇聚接口交互，根据点对点短信业务分析模型，对点对点类短信进行诈骗短信分析处理；与短信业务管理接口交互，对疑似点对点类诈骗短信进行确认并告警；还通过业务数据库接口与智能监控业务数据库交互，以便与该数据库中的点对点主叫用户黑名单进行比对，同时存储日志相关信息； 伪基站短信业务分析处理模块，用于与信令数据汇聚接口交互，根据伪基站短信业务分析模型，对伪基站类短信进行诈骗短信分析处理；与APP客户端交互，判断APP客户端状态；与短信业务管理接口交互，对疑似伪基站类诈骗短信进行确认和告警，同时通过业务数据库接口存储日志相关信息； 短信业务管理接口，负责分别与SP短信业务分析处理模块交互，将疑似SP诈骗短信数据与智能监控管理组件进行数据交互；与点对点短信业务分析处理模块交互，将疑似点对点诈骗短信数据与智能监控管理组件进行数据交互；与伪基站短信业务分析处理模块交互，将疑似伪基站诈骗短信数据与智能监控管理组件进行数据交互；还与告警业务模块交互信息，处理智能监控管理组件下发的实时告警信息的业务逻辑，再转发给告警接口 ； 告警业务模块，用于与短信业务管理接口交互信息，处理智能监控管理组件的告警业务逻辑数据；与告警接口进行交互，将告警消息经由告警接口传送给智能告警组件； 告警接口，用于与告警业务模块交互，接收智能监控管理组件下发的实时告警信息；还与智能告警组件交互信息，对告警信息进行数据分析和路由； 业务数据库接口，用于分别与SP短信业务分析处理模块、点对点短信业务分析处理模块和伪基站短信业务分析处理模块进行交互，以便根据SP短信的黑名单、点对点短信的黑名单和伪基站的黑名单列表进行疑似诈骗短信的数据分析。
5.根据权利要求1所述的系统，其特征在于: 所述智能监控管理组件由短信业务管理接口、诈骗短信用户管理模块、告警信息管理模块、数据库接口组成； 短信业务管理接口，用于与智能监控业务处理组件交互信息，将该组件监控业务处理后的疑似诈骗短信，发送给诈骗短信用户管理模块； 诈骗短信用户管理模块，用于与短信业务管理接口交互信息，从诈骗短信中提取主叫用户号码和被叫用户号码；与告警信息管理模块交互信息，对疑似诈骗短信的被叫用户产生告警信息；与管理数据库接口进行交互，将诈骗短信的主叫用户号码存储到智能监控业务数据库的黑名单，同时存储日志相关信息； 告警信息管理模块，用于与诈骗短信用户管理模块交互信息，对诈骗短信的被叫用户号码进行汇总和提取后，对告警信息执行选取和确认操作；与管理数据库接口进行交互，对告警信息的模板进行存储和选取，同时存储日志相关信息； 管理数据库接口，用于与诈骗短信用户管理模块交互信息，将主叫号码数据存储到智能监控业务数据库的黑名单；与告警信息管理模块进行交互，制定和存储告警信息的数据模板。
6.根据权利要求1所述的系统，其特征在于:所述智能告警组件由告警数据处理接口、告警业务处理模块和协议适配接口组成； 告警数据处理接口、与智能监控业务处理组件进行通信，将告警业务的消息进行数据交互；与告警业务处理模块进行通信，对于告警的具体业务进行逻辑处理分析； 告警业务处理模块，与告警业务处理接口进行通信，对于告警的具体业务进行逻辑处理分析；与协议适配接口进行交互，根据手机终端的状态适配不同的协议继续告警消息的发送； 协议适配接口，告警业务处理进行交互，对于手机终端的不同状态适配不同的协议继续告警消息的发送。
7.一种诈骗短信智能监控告警方法，其特征在于:该方法由如权利要求1所述的诈骗短信智能监控告警系统实施，首先实时汇聚电信核心网的短信业务信令和位置更新业务信令数据，根据使用的通信协议提取其中包括主叫号码、被叫号码、主叫GT地址、被叫GT地址、短信中心地址、LAC、Cl、短信中心地址、短信类型、短信长度和短信内容的多种信息，然后根据该智能监控告警系统中的诈骗短信的分析处理模块对诈骗短信进行分析，再对分析确认的诈骗短信的主叫用户和被叫用户分别根据预警规则执行相应的处理操作；所述方法包括下列操作步骤: 步骤1，实时采集与汇聚短信业务信令和位置更新业务信令数据:信令汇聚组件实时采集和汇聚电信核心网短信业务信令和位置更新业务信令数据，根据短信使用的通信协议提取短信中包括主叫号码、被叫号码、主叫GT地址、被叫GT地址、短信中心地址、LAC、Cl、短信中心地址、短信类型、短信长度和短信内容的多种信息； 步骤2，对诈骗短信执行智能监控处理:对于海量短信数据，分别根据SP短信、点对点短信、伪基站短信的不同智能监控处理方法进行诈骗短信的识别与确认，确认诈骗短信后，将该诈骗短信的主叫用户号码列为黑名单；再将被叫用户号码汇总形成潜在诈骗短信受骗用户群； 步骤3，发送智能预警信号:根据诈骗短信潜在受骗用户群的号码信息，选择相应的预警信息模板准备发送预警短消息，再根据手机终端的不同状态，适配不同的承载协议发送该预警短消息。
8.根据权利要求7所述的方法，其特征在于:所述步骤2中，根据SP短信进行诈骗短信识别的智能监控处理方法是:基于SP短信以MT，即下行短信方式下发，故在检查信令消息时，若发现主叫是以95、106、10000、10086和10010为号段开头、且是MO方式的短信，则认为其是疑似的诈骗短信的分析对象；同时基于黑白名单方式进行SP号码的确认，还根据SP内容的汉字的语意解析以及自学习算法分析短信内容，判断识别其是否为诈骗短信；然后，针对识别出的诈骗短信，提取被叫号码和生成诈骗短信潜在受骗用户群，最后及时发送预警消息提醒；该方法包括下列操作内容: 步骤21，汇聚短信信令数据； 步骤22，判断SP路由地址是否正常:主叫GT地址的路由规则是否符合网络规划要求:若正常，则执行后续步骤23 ;否则，跳转执行步骤26 ； 步骤23，判断SP短信类型是否正常:若正常，则执行后续步骤24 ;否则，跳转执行步骤26 ； 步骤24，对SP短信的主叫用户号码进行白名单检查，若主叫用户号码位于白名单，则短信放通；否则，执行后续步骤25 ； 步骤25，对SP短信的主叫用户号码进行黑名单检查，若主叫用户号码位于黑名单，则提取被叫号码用户群，执行智能预警；否则，执行后续步骤(26)； 步骤26，对SP短信内容进行判断识别，若不是诈骗短信，则短信放通；若是诈骗短信，则提取被叫号码用户群，执行智能预警； 步骤27，提取诈骗短信的被叫用户号码，形成诈骗短信潜在受骗用户群，再生成和下发预警短信消息。
9.根据权利要求7所述的方法，其特征在于:所述步骤2中，所述根据点对点短信进行诈骗短信识别的智能监控处理方法是:先根据主叫用户手机号码和被叫号码的归属信息，分析点对点短信的发送场景:本省本市本网短信、本省本市异网短信、本省异市本网短信、本省异市异网短信、本省外地本网短信和本省外地异网短信；再根据场景分析和该用户每天和/或每月的点对点短信发送数量与结果进行分析，了解该用户为的短信发送场景类型；一旦发现用户的发送场景异常时，就分析判断其是否发送疑似诈骗短信，提取被叫号码和及时发送预警消息；所述方法包括下列操作内容: 步骤2A，汇聚短信信令数据； 步骤2B，判断点对点短信的频次和历史趋势是否正常:若正常，则执行后续步骤2C ;否贝U，跳转执行步骤2G; 步骤2C，判断点对点短信的号码归属信息，分别分析短信发送场景和用户行为，根据用户行为和场景判断该短信是否正常，若正常，则执行后续步骤2D ;若短信场景异常，则跳转执行步骤2G ； 步骤2D，对点对点短信的主叫用户号码进行白名单检查，若主叫用户号码位于白名单，则短信放通；否则，执行后续步骤2E ； 步骤2E，对于点对点短信的主叫用户号码进行黑名单检查，若主叫用户号码位于黑名单，则提取被叫号码用户群，执行智能预警；否则，执行后续步骤2F ； 步骤2F，对点对点短信内容进行判断识别，若不是诈骗短信，则短信放通；若是诈骗短信，则提取被叫号码用户群，执行智能预警；若不是诈骗短信，则短信放通；若是诈骗短信，则执彳了后续步骤2G ； 步骤2G，提取诈骗短信的被叫用户号码，形成诈骗短信潜在受骗用户群，再生成和下发预警短消息。
10.根据权利要求7所述的方法，其特征在于:所述步骤2中，所述根据伪基站短信进行诈骗短信识别的智能监控处理方法是根据小区位置更新业务信令的历史趋势进行分析的:根据位置更新的信令数据，分别提取更新前、后的LAC和Cl进行对比分析，再对照LAC、Cl的网络规划编码规则进行比对:若LAC、Cl值匹配网络规划编码规则或历史的位置更新信令数据趋势平稳，则该LAC、CI位置更新业务属于正常，若所述LAC、CI值与网络规划编码规则不匹配或历史的位置更新信令数据趋势异常，则认为该LAC、Cl的位置更新业务为异常数据；同时分析手机终端的APP客户端与智能监控告警系统的连接状态:当某小区附近大量的移动终端的客户端与智能监控告警系统失去连接时，就能够判断小区附近存在潜在伪基站； 步骤2a，汇聚短信业务信令、位置更新业务信令数据； 步骤2b，判断位置更新业务的频次和历史趋势是否正常:若异常，则执行后续步骤(2c);若正常，则短信放通； 步骤2c，判断APP客户端连接是否正常，若正常，则短信放通；若连接异常，则执行后续步骤2d ； 步骤2d，当APP客户端连接恢复后，自动查询短信历史，若有新短信，则继续执行后续步骤2e ;否则无新短信，则无异常； 步骤2e，对短信内容进行判断，若不是诈骗短信，则短信放通；若是诈骗短信，则提取被叫号码用户，执行智能预警； 步骤2f，提取诈骗短信的被叫用户号码，形成诈骗短信潜在受骗用户群，再生成和下发预警短信消息。
11.根据权利要求8或9或10所述的方法，其特征在于:所述短信内容分析是根据主叫GT、被叫GT、LAC、Cl、主叫用户号码、被叫用户号码、短信内容的短信中心地址、短信长度、短内容的多个字段息判断是否为诈骗短。
【文档编号】H04W12/12GK104301896SQ201410545283
【公开日】2015年1月21日 申请日期:2014年10月15日 优先权日:2014年10月15日
【发明者】王红熳, 丁正, 张阳, 顾晓东, 祝敬安, 韦红, 李传营, 刘竟博, 杨鹏飞 申请人:上海欣方智能系统有限公司, 上海欣方软件有限公司