专利名称:具有欺诈监测的通信系统的制作方法
技术领域:
本发明涉及控制对通信服务的欺诈使用,更具体地说,涉及数据传送网络中欺诈活动的检测。
背景数据传送网络、最显著的是因特网的迅速扩展导致电话和其它形式的实时通信的变革。一直习惯于分别在不同系统和网络上支持电话业务和数据业务的企业现在正在转向所谓的“汇聚网络”,其中电话语音业务和其它形式的实时媒体转换成数字形式并且与其它形式的数据一起由分组数据网来传送。既然技术上可以支持它,基于数据传送的语音传输在降低投资和运营成本、资源效率以及灵活性这些方面提供许多优点。
例如,在商业安装中,客户基础设备投资和运营成本可能显著减少,因为大多数增强功能、如PBX和自动呼叫分发功能可驻留在服务提供商网络中。各种类型的网关允许甚至在诸如IP电话、传统模拟电话和PBX之类的不同系统之间建立会话,以及与连网的台式计算机建立会话。
新一代最终用户终端装置正在取代传统电话、甚至较新的PBX电话机。例如,诸如Cisco Systems,Inc.和Pingtel Corporation提供的这些新设备可通过以太网连接直接连接到公共分组数据网,特意配备大的可视显示器来增强用户界面的丰富性。
即使在开发这类装置之前,配备音频适配器且连接因特网的计算机也能实施因特网电话的某种雏形,但质量无法预测而且通常极差。现在重点放在适配因特网协议(IP)网络与其它分组传送网络上,以便提供可靠的长途质量连接、简便的呼叫建立以及增强的功能,从而提供全功能电话以及其它形式的媒体传送。这类技术实现的一些其它类型的媒体会话可包括视频、优质音频、多方会议、信息传递以及合作应用。
当然,随着企业或住宅通信用户开始采用这类基于分组的语音通信取代传统电话,自然期望连接质量和业务种类至少与以前的电话网同样优秀。还期望新型网络更不易受到对通信服务的欺诈使用-至少不比它们的前身差。
但是,把分组数据传送用于电话会引入超出传统电路交换电话网所遇到的问题的新弱点。对公共因特网中通信安全的关注是众所周知的,并且在无数的身份盗用、黑客攻击、病毒、拒绝服务攻击、安全性破坏以及对可靠保密通信的其它威胁方面已经受到极大关注。在分组电话的情况下,业务流被计量且与收益相关,这些威胁更为显著。
对这些威胁作出反应,不断地开发了一系列的安全性对策[防火墙、NAT、安全连接、加密方案、安全因特网协议(IPsec)、弱点探测]来防止对数据网的这类破坏性攻击。
当然,数据网安全性所产生的这些安全措施中任一个可以有益于防止对电话数据网的攻击。某些分组电话系统的特别薄弱的一个方面源于以下事实信令、承载业务量以及网管通信都共享同一个传送网络。呼叫控制系统采用承载用户数据包的相同网络在它们自己之间进行通信以及与网元(例如网关)进行通信。为简化起见,可将数据发送到分组网中的任何点,只要该点的地址是已知的。呼叫控制服务器通过传送网络进行连接的事实提供以下可能性欺诈犯罪者可能试图直接与网络服务器通信,或者阻止服务器的操作,或者发送假的通信请求,以便欺骗服务器提供免费通信服务。幸好网络安全措施、如合法端点之间的IPsec隧道的使用在很大程度上有效地防止这类攻击。
尽管数据网安全措施可用于帮助防止对电话数据网的某些类型的攻击,但存在许多这类措施无法检测或防止的欺诈方案。
已知各种欺诈方案,欺诈犯罪者能够通过它们来盗用通信服务。犯罪者能够盗用呼叫卡号码、开伪造帐户或者操纵设备或人以获得免费服务。已经清楚地描绘出PSTN中许多可能的欺诈方案的特征,并且已经开发出各种技术来检测及防止这类滥用。
不利的是,在业界存在一种普遍的误解充分的数据网安全措施的使用应当防止所有方式的滥用和欺诈,即使在分组电话环境下也是如此。实际上,欺诈监测的作用可能与网络安全性截然不同,但是与它相互补充。网络安全性提供一些机制(例如防火墙、鉴权服务、用户ID/密码等)来确保只有授权用户能对网络服务进行访问。这些安全机制具有防止授权用户和社会工程情况内部滥用的保护。作为补充功能,欺诈监测对网络上所用的服务提供一种检查,以确保没有任何安全机制已经受到损害或滥用。欺诈监测便于识别网络中的弱点,通过使非法使用减至最少来保护商业客户和防止服务提供商的收入损失。
总之,网络安全性重点在于欺诈防止,而欺诈监测重点在于欺诈检测。在客户投资接受新业务和技术之前,必须处理好这些网络相关问题。客户因新业务和增强功能的潜能而被吸引到统一方案上,但却担心新的安全风险和欺诈手段。
概述本发明满足欺诈监测功能的需求,以便对基于分组的语音通信系统中的其它安全措施进行补充。
在分组电话网与传统网络类似地工作以及许多相同的欺诈方案应用的方面来说,本发明有利地使现有欺诈检测系统适合与分组电话网配合使用。这意味着为传统电话网开发的现有工具和实践可直接应用于分组电话的领域。
另外,在分组电话引入新的方面或者出现超出传统电话中所看到的、新的信息源的情况下,本发明提供新指标的收集以及新检测方法的实现。
另一方面,本发明还提供单个欺诈监测平台,同时为传统的和分组交换的电话系统提供服务。具体地说,本发明提供从电路交换域和分组交换域中得出的使用活动信息的收集、相关和共同处理。这是检查呼叫、甚至是涉及网关且经过两种传送形式传送的呼叫的所有方面的新颖功能。
根据本发明的一个方面,在分组电话系统中,执行呼叫处理或者宜称作“会话处理”的网络服务器创建事务处理详细记录,反映服务器所处理的各个呼叫或会话请求。记录的内容可包括网络地址、呼叫处置、功能调用、时刻等。这些事务处理详细记录通过操作支持系统来转发,最后由寻找各种欺诈模式的欺诈监测引擎来处理。根据一个最佳实施例,这类记录以XML(可扩展标记语言)格式提供。
在本发明的另一个方面,适配电路交换和分组交换网络中的信令和承载信道的网络网关也产生更传统类型的呼叫详细记录(CDR),并将其转发给收集过程。这些CDR传递与PSTN类型的事件有关的信息。最后,这些CDR与来自网络服务器的记录相关,欺诈监测系统则能够获得各呼叫的整体情况,即使在呼叫涉及两种类型的网络时也是如此。
为了便于使用这类CDR,例如为了与分组网络事件相关,本论述规定,可按照新颖方式,采用在混合的分组交换和电路交换环境中具有特定意义的附加信息来扩充CDR。
虽然在分组交换电话的环境下说明和描述本发明,但是应当清楚,它同样可适用于其中犯罪者设法盗用网络资源的其它通信形式、如电视会议或其它数据流。
附图概述在附图的各图中,以举例的方式而不是以限定的方式说明本发明,图中类似的参考标号表示类似的元件,图中
图1是根据本发明的一个示范实施例的数据通信系统的简图,该系统能够支持电话业务并且包括监测使用活动的装置;图2是根据本发明的一个示范实施例、在多方之间建立会话时涉及的功能部件的简图;图3是根据本发明的一个示范实施例、用于监测通信系统的使用活动的功能部件的简图;图4是流程图,说明根据本发明的一个示范实施例、用于处理来自通信系统的使用活动的记录的过程;图5是一种计算机系统的简图,通过它可以实现本发明的一个实施例;图6是根据本发明的一个示范实施例、用于传送所记录的通信系统的使用情况的数据结构的简图;以及图7是根据本发明的一个示范实施例的欺诈分析设备的简图。
示范实施例的详细说明在以下说明中,众所周知的结构和装置以框图形式来表示或者概述,以免不必要地影响对本发明的理解。为便于说明,提出大量具体细节,以便透彻地理解本发明。但是应当知道,即使没有这些具体细节也可按照多种方式实施本发明。
例如,虽然在会话发起协议(SIP)以及基于因特网协议(IP)的网络的情况下对本发明进行说明,但本领域的技术人员知道,本发明一般可适用于其它等效或相似的通信协议(ITU H.323)或者通信网络(ATM、帧中继等)。
商业通信系统中的欺诈弱点主要包含以下各项雇员或以前的雇员滥用、预订欺诈、远程访问欺诈、错误配置拨号方案以及社会工程。当第三方获得对专用小交换机(PBX)交换机的非法访问权以及“监用拨号音”呼出时,或者雇员滥用长途呼叫或其它高费用PBX提供的功能用于非公务目的时,出现用户宅院设备(CPE)相关的欺诈。就这些呼出反过来向CPE的所有者收费,而不管呼叫的来源如何(网内或网外)。
在预订欺诈的情况下,小企业可能采用伪凭证“开店”而不想付费。服务提供商识别这种情形的延时为犯罪者提供了时间来积累相当大的费用。
在远程接入欺诈的情况下,未经授权用户可盗取或通过“非法入侵”确定允许接入网络的鉴权信息,例如SIP电话用户ID和/或密码。
与“有漏洞PBX”相关的欺诈可能来自用户不正确地配置PBX,使PBX某个功能可被以前的雇员启用或损害。另外,不正确地设置拨号方案配置可能会给某些用户带来意外的特权;例如,某个部门可拨打国际长途,虽然其拨号方案只应允许他们进行国内呼叫。
社会工程是指由冒充需要帮助的合法主叫通过接听电话的人(例如PBX话务员)获取业务信息的做法。例如,来自外线的主叫的电话转发给公司话务员,并使话务员相信该用户是需要拨打网外电话的雇员。可观察到,企业客户一般受到PBX窃取、内部滥用以及社会工程。
已经提出或实现保护措施,以便在几个方面减少这类网络的易受攻击性。这些措施中一部分针对“低级”弱点,例如将IP可寻址资源暴露给大量涌入的数据包。在以下共同未决的专利申请中描述了数据网中防止这些所谓的“拒绝服务”攻击所采取的措施的实例,通过引用将其完整结合于此McDysan于2001年12月17日提交的题为“虚拟专用网(VPN)-认识用户宅院设备(CPE)边缘路由器”的美国专利申请10/023331(代理人档案号为RIC01044);McDysan等人于2001年12月17日提交的题为“采用虚拟专用网防止IP QoS拒绝服务攻击的系统、方法及设备”的美国专利申请10/023043(代理人档案号为RIC01059);McDysan于2001年12月17日提交的题为“隔离虚拟专用网(VPN)和尽力发送业务以防止拒绝服务攻击的系统、方法及设备”的美国专利申请10/023332(代理人档案号为RIC01060)。
在一个不同的方面,以下共同未决的申请针对通过传送网络连接呼叫控制单元所引入的上述弱点Gallant等人于2002年3月15日提交的题为“提供IP电话中的智能网控制业务的方法和系统”的美国专利申请(代理人档案号为RIC98051P1),将其内容通过引用完整地结合于此。
在另一个方面,在高级功能的环境下,减少欺诈甚至是无意滥用的高级业务处理的一个实例可称作“功能相关呼叫筛选”。能够让呼叫转移以及其它某些功能完成原本会阻塞的呼叫,例如高成本的国际长途电话。在以下共同未决的专利申请中描述了用于防止所需筛选的这种欺骗的至少一种方法,通过引用将其完整地结合于此Gallant于2002年3月15日提交的题为“通信网络中的选择性功能阻塞”的美国专利申请(代理人档案号为RIC01064);以及Gallant等人于2002年3月15日提交的题为“通信系统中的功能阻塞”的美国专利申请(代理人档案号为RIC02007PR)。
当然,希望安全措施不会非常极端,以致于妨碍合法使用通信系统。特殊方法可适合于在系统的实用性和绝对安全性之间进行折衷。例如,在某些环境中,比如极为公开可访问的服务企业,无限制地允许来自未经网络鉴权的各方的呼叫可能是适当的。在其它环境中,比如防御承包商,限制呼入的到达则更为重要。在Gallant等人于2002年3月15日提交的题为“SIP网络中的主叫处理”的美国专利申请(代理人档案号为RIC02002)中进一步描述了这些情况,将其内容通过引用完整地结合于此(非信任用户)。
图1表示根据本发明的一个示范实施例的数据通信系统的简图,该系统一般能够支持电话业务。通信系统100包括分组数据传送网络101,在一个示范实施例中,它是基于因特网协议(IP)的网络。系统100提供建立与之相连的各种终端设备(如电话125、PBX电话118以及SIP电话109)之间通信的能力。实际上,存在成千上万或者数百万的这类由一个或多个系统100提供服务的终端装置。
本文所用的术语“SIP电话”是指配置成提供SIP电话功能的任何客户机(例如个人计算机、网络家电等)。SIP电话109可采用独立装置的形式一例如SIP电话可设计和配置成作为且看来类似于普通老式电话业务(POTS)电话机。但是,SIP客户机111是软件客户机,并且可运行于例如传统个人计算机(PC)或膝上型电脑上。从信令角度来看,这些装置109、111可按照相当类似的方式工作,主要差别在于用户界面。如果没有另外说明,则认为SIP电话109和SIP客户机111两者的功能性是可比的,并且网络与任一类型的装置以类似的方式配合工作。
系统100能够支持维护具有电话和数据传输要求的多个位置的大型企业客户。例如,图1中说明第一客户站点150和第二客户站点152,各站点均包括电话118和PBX 117。它们可以是通过3类网络、如交换网络137经由PBX 117以传统方式连接的客户站点类型。
根据较新的技术,客户站点150和152还包括数据通信设备,即局域网(LAN)140和142、SIP电话109、PC客户机111。在各客户站点,提供企业网关103以允许电话118处的用户通过PBX 117容易地拨打电话或接收来自SIP电话109和PC客户机111的用户的呼叫。
网关是允许相异的传送网络共同传送业务量的装置。网关通常提供两个等级-不同的信令方案之间和不同的媒体形式之间的互通。例如,网络网关107可在电话网络的SS7信令和数据网络所采用的SIP或H.323协议之间进行适配。同时,网络网关把电话承载信道中的模拟或PCM编码的语音信号修改为适合在数据网101上传送的分组化数据流。
企业网关103在PBX信号和通过诸如LAN 140或服务提供商网络101之类的数据网传送的数据信号之间进行适配。作为与PBX 117的信令接口,企业网关103可采用综合数字业务网(ISDN)、电路相关信令(CAS)或其它PBX接口[例如欧洲电信标准学会(ETSI)PRI,R2]。如图所示,企业网关103提供来自PBX 117的连通性,它包含通常用于单一商业客户或位置(例如PBX电话118)的中继线或线路。从PBX117进入IP网络的呼叫的信令包括唯一标识客户、中继线群或载波的信息。这使专用号码可以在其正确的上下文中进行解释。
通过服务提供商的数据网101,客户站点150上的任何用户可容易地与站点152上的用户进行通信。还可设想,数据网101可连接到公共因特网127,提供可与不在任一客户站点150或152之内的PC客户机112等建立通信的可能性。
例如,前面介绍的所示网络网关107使数据网101与可包括3类电话交换机网络的电话网络137适配。PBX 117’和电话118’可按照更传统的VPN专用接入线的方式连接到网络137。此外,所示的网络137通过中继线连接到代表典型的5类本地电话交换机的PSTN 123。普通模拟电话125或其它电话(付费电话)可通过用户环路连接到PSTN123。
如图1所示,网络网关107实现从电话118’和125到PBX连接的电话118、SIP电话109或PC客户机111中任一个的呼叫,假定系统100提供这些特权。可以容易地设想从一种类型的电话到另一种类型的电话的呼叫的任何组合,其中的许多组合涉及网络网关107和其它网元的遍历。
SIP电话109和SIP客户机111两者最好是都支持用户注册。在缺省情况下,给定用户可与传统意义上的特定通信终端(电话、移动电话、寻呼机等)相关。另外,用户可接近较新型的IP电话设备之一且登记他的在场,以便在给定电话上接收呼叫。任何呼入则会送往最近登记的地址。
与这种移动性相联的是增值方面用户可通过多个替代名字或“别名”为他人所知。如Gallant于2002年3月16日提交的题为“通信系统中的用户别名”的美国专利申请(代理人档案号为RIC01062)中所述,给定用户的多个别名可归结到单个用户简档系统100,该专利的内容通过引用完整地结合于此。别名可以是各种类型的,其中包括公共的和私有的电话号码、URL以及SIP地址。
从防止欺诈的观点来看,即使用户可通过许多这类别名为人所知,但统一的用户简档由服务提供商或授权客户管理员来维护被认为是有利的。
为了实现这种移动性以及支持新的呼叫控制模式,在系统100中提供控制单元,以便在正确地路由业务以及执行功能中协调网络101的动作。具体地说,系统100包括代理服务器113[又称作网络服务器(NS)]和定位服务器(LS)115的重要单元。这些单元的典型功能在IETF文档RFC 2543中进行了说明。定位服务器115用作最终用户信息的资料库,以便实现地址验证、特征状态以及实时用户特征配置。另外,LS 115可存储系统配置信息。
现在结合图2来说明代理113和定位服务器115在提供服务中的典型交互作用的一个实例。
图2中,用户A 210希望建立与用户B 220的通信。可以在若干地址中任一个找到用户B 220。这些地址或联络方式可对应于传统电话、SIP电话、无线电话、寻呼机等。随着用户B到处移动且登记为出现在不同终端装置222处,地址列表亦可改变。与用户B的联络信息有关的当前信息通常在定位服务器240中维护、或者在与之相关的某种形式的“到场登记”中维护。
为了开始联络,用户A 210访问终端、呼叫台212,并指定用户B作为要找到的目标。特定的预期目标的这种表达可采取数字拨号形式或者从列表中选择用户名或URL形式的地址。在某些情况下,用户A还能够表达希望何种类型的会话(视频、优质、信息传递等),或者指定会话的所需质量等级。一旦在呼叫台212指定了请求,则构成描述该请求的SIP“邀请”消息,并将其发送给代理服务器230。
在某些情况下,呼叫台212处于与直接由NS 113和LS 115控制的传送网络不同的网络中,则呼叫可通过网关250进入。网关250在执行信令和媒体适配时的作用已经在前面进行了说明。
代理服务器230通常将请求转发给定位服务器240,以便检索可能找到用户B的一个或多个联络方式。如上所述,代理服务器230为了各种目的咨询定位服务器240,例如调用简档控制的特征行为以及获取关于用户B的最新的已知位置信息。
定位服务器240分析该请求,并以若干可能的方式之一来响应代理服务器230。如果用户A未被允许联络用户B,如果用户B的地址无法识别,或者如果用户B的激活特征使得用户B是用户A不可达的,则定位服务器240可以禁止该会话。
定位服务器240可确定允许用户A联络用户B,以及甚至可查找可找到用户B的多个地址。如果情况是这样,则定位服务器240返回包含待尝试的联络方式列表的SIP“300多项选择”消息。
在接收到这种响应时,代理服务器230则开始尝试这些联络方式,查看是否可在任何相应终端222成功地找到用户B。这种“找我”功能通常从最新登记的位置开始或者按照为用户B规定的特定顺序(先电话后寻呼机)来依次执行。在一些配置中,可以设想,代理服务器230可并行尝试全部联络方式。建立与终端222的联系的尝试包括向终端发送SIP“邀请”以及等待指示成功或失败的应答。一旦终端222通过SIP“200 OK”消息等进行响应,呼叫台212和222已共享这些地址并且可能协商了会话参数,准备可能通过RTP数据流进行通信。在McDysan等人于2002年3月12日提交的题为“数据网中的基于边缘按流量QoS许可控制”的共同未决的美国专利申请(代理人档案号为RIC01040)、McDysan等人于2002年3月12日提交的题为“数据网中基于池的资源管理”的美国专利申请(代理人档案号为RIC01057)以及McDysan等人于2002年3月12日提交的题为“数据网中路由器之间按类资源的基于策略的同步”的美国专利申请(代理人档案号为RIC01058)中,描述了一种协调传送网络资源以便通过分组网建立各类这种连接、同时确保及时分组传送的方式,将各专利的内容通过引用完整地结合于此。
“找我”特征只是可支持的一种可能特征,与其它可能性相比,仅属于中等复杂度。从IETF文档RFC 2543中可进一步了解执行业务中的典型呼叫流程。在Gallant等人于2002年3月18日提交的题为“通过数据网提供通信服务的系统”的美国专利申请(代理人档案号为RIC02006PR)中提供了其它实例,将该专利的内容通过引用完整地结合于此。
稍微更复杂的特征的一个实例涉及“筛选时的呼叫转移”,如Gallant于2002年3月18日提交的题为“筛选时的呼叫转移”的共同未决的美国专利申请(代理人档案号为RIC01063)中所述,将该专利的内容通过引用完整地结合于此。筛选时的呼叫转移基本上是指处理禁止的呼入,而不是仅向主叫提供忙信号。
在执行业务处理的过程中,网络服务器可处理极为复杂的特征,甚至可在完成单一会话请求过程中访问多个用户简档。在Gallant等人于2002年3月15日提交的题为“通信网络数据的递归查询”的美国专利申请(代理人档案号为RIC01017)中提供了这种类型的更为复杂的特征实现的一个实例,将该专利的内容通过引用完整地结合于此。
为了进一步复杂化,许多特征、如“找我”以及筛选时的呼叫转移可同时调用,并且可进行一定程度的交互作用。这使使用活动的广泛详细的记录对于防止不想要的网络活动更为重要。详细记录还有助于反常特征行为的故障检修。
通过以上对在系统100中处理业务量时如何涉及网关和网络服务器进行的说明,显然,在这两种装置中都可表明使用活动。它们是用于测量和监测网络活动的点。现在说明为这些单元监测和报告使用情况的方式。
再来看图1,其中表明,系统100还包括操作支持系统(OSS)121,用以提供规定、计费以及网管功能。OSS 121与各种单元、如LS 115进行通信,以便控制系统100中执行业务的方式。这个方面可称作服务规定。例如,存储在LS 115中的数据、如用户简档和路由选择数据可通过来自OSS 121的通信而改变。OSS 121还可用作入口,用户或管理员通过它,也许采用适用于OSS 121的基于万维网的用户接口能够改变配置设定。
OSS 121的另一个重要作用是网络管理,即监测及控制网元的工作状态。在涉及收入的网络中,OSS 121还可用作计费记录或所说的呼叫详细记录(CDR)的收集器。呼叫详细记录是一种使用活动记录,反映提供服务时在网络中发生的情况。CDR可用于计费、业务工程以及欺诈监测。计费功能可处理CDR,以便确定服务用户所产生的可计费使用,从而计算应付给服务提供商的费用。所示的这种定额和计费功能131连接到OSS 121,以便接收来自OSS 121的使用记录。
传统的CDR一直是严格建立的大小和标准格式的。最近,在计算上的新发展的环境下以及随着新业务智能体系结构的出现,已经认识到,事务处理记录可采用更灵活的基于XML的结构。
因此,称作TDR(事务处理详细记录)的这些记录最好由OSS 121以XML类型格式从NS 113和LS 115中收集,以便记录业务处理事件的多个方面。了解服务器113和115已经处理过哪些事件使类似于计费功能131的功能重构系统100在处理业务请求时所采取的动作。
为了计费,也许还为了业务工程,相同或相似的基于XML的事务处理详细记录(TDR)也可以同样的方式被收集以及转发给定额和计费功能111。通常按照与上述CDR极为相似的方式对它们进行处理。在以下共同未决专利申请中提供了基于XML的TDR的实例,这些专利通过引用完整地结合于此Vijay于2001年12月17日提交的题为“IP网络中记录事件的方法”的美国专利申请10/023297(代理人档案号为CDR01004);以及Gallant等人于2002年3月15日提交的题为“基于XML的事务处理详细记录”的美国专利申请(代理人档案号为RIC01019)。
结合这些记录,在Gallant等人于2001年12月21日提交的题为“电信网络中计费的方法”的共同未决的美国专利申请10/036667(代理人档案号为RIC01016)中,进一步描述至少一种便于网络使用的正确计费的装置,该专利的内容通过引用完整地结合于此。
根据本发明的一个新颖方面,网络网关107还提供一种由OSS 121收集的事务处理记录。由于与电话网络信令的接口,因而这个记录在带有诸如拨叫号码、被叫号码、交换机以及中继线ID之类字段方面类似于传统的CDR。但是,作为本发明的一个有利且新颖的方面,并且由于它与系统100相连,所以把若干极为有用的新附加数据添加到记录中,这是先有技术中没有考虑到的。在采用网关的分组电话的实际实现的环境下,这些附加数据变为可用的且具有意义。
这些附加数据的实例在图6中很明显,图6是根据本发明的一个示范实施例、用于传送通信系统的记录使用情况的数据结构的简图。
图6中,所示的记录600包含多个字段,其意义可概述如下呼叫起始时间602-开始业务请求的时间以及启动业务会话的时间。这两个值可以不同。
呼叫停止时间604-业务会话断开的时间。
用户身份606-可用时,发起会话的用户的身份(用户名/id)。
发端信息608-与连接或会话的发起端有关的信息,它可以是公共或私有号码,也许包含从中发起会话的国家代码。适当时,还可包含发端IP地址和/或入口网关IP地址。
收端信息610-与连接或会话的收信端有关的信息,它可以是公共或私有号码,也许包含会话送达或尝试送达收信方的国家代码。适当时,还可包含发端IP地址和/或出口网关IP地址。
预转换的数字612-若可用,在特征处理过程中经过号码转换之前的原始拨叫号码。它可不同于呼叫最终端接的号码,尤其在专用拨号方案中。
呼叫类型614-基于所涉及的收端装置类型的分类。实例是电话到电话、电话到PC、PC到PC等等。
呼叫处置616-断开原因或者会话终止的方式(目标应答、忙、振铃无应答、业务中止等)。
记费号码618-要针对使用向其收费的一方或帐户。在欺诈监测的环境下,这个字段影响本文稍后所述的部分算法的操作中对事件计数的方式。
业务类型620-指明所用的业务或所调用的特征。
Corp_ID 622-客户(公司)的标识,也许编码为专用拨号方案ID代码。
起始交换机/中继线624-标识从网络网关接收呼叫的电话网络交换机。
入口网关IP地址626-网关的IP地址,呼叫通过该网关进入网络101的域。
出口网关IP地址628-网关的IP地址,呼叫通过该网关离开网络101的域。
接收的字节630-涉及在会话过程中从一方传递到另一方的字节数量。
发送的字节632-以接收字节628的相反方向发送的字节。
Session_ID 634-指定一个会话的唯一会话标识符,甚至包含与诸如会议桥之类的集体会话相关的多方或多个连接。
Conn_ID 636-标识会话中的特定“呼叫分支”或连接。
远程接入号码638-若可用,用于接入网络的远程接入号码。
远程接入号码638涉及呼叫DAL网关(未标出)或其它装置,以便从不是直接由系统100提供服务的电话、如公共电话接入VPN功能。DAL网关能够服务于系统100中的多个VPN客户。这种作法还激发对网络事务处理的准确记录,例如通过在适当时记录远程接入号码来完成。在Gallant于2002年3月15日提交的题为“共享专用接入线(DAL)网关路由分辨”的美国专利申请(代理人档案号为RIC01018)中,进一步描述了提供共享DAL网关资源的方法,该专利的内容通过引用完整地结合于此。
图6的实例不应视为限制可用于记录的多种可能的单元。待记录的值的其它实例是接收对应于用户的会话请求的SIP“邀请”消息的代理的IP地址。应当注意,结构600的字段626、630、632、634、636、638都通过分组电话系统的出现而被引入或者至少给定意义。
再看图1,所示的OSS 121与欺诈监测器或欺诈分析器133接口,欺诈监测器或欺诈分析器133支持分组交换(如基于IP)以及基于交换的监测功能。也就是说,根据本发明的新颖方面的综合欺诈监测系统133可分析电路交换业务以及分组交换业务,从而提供对网络使用的改进监测。通过综合欺诈监测系统133的欺诈监测有助于防止因客户可能负责的客户宅院滥用而引起的客户损失以及服务提供商因不可计费的业务滥用或有关用户宅院滥用的责任分担协议引起的损失。
欺诈监测系统133向系统100提供大量有用功能。例如,欺诈监测系统133确保提供给客户的基于IP的业务提供与电路交换业务可用的至少可比的等级的欺诈监测。系统133监测和检测IP网络客户的欺诈弱点,其中包括雇员滥用、非法或无意的远程接入、不正确的拨号方案配置、受损的IP地址/用户ID/密码、预订欺诈以及社会工程。通过检测表明可能安全破坏的模式,欺诈监测系统133与系统100的其余部分的连接加强了网络安全措施的使用。
为了理解OSS 121和欺诈监测器133的相应作用,现在结合图3论述几个功能方面。在事务处理记录的收集的支持中,所示的OSS 121包括许多功能部件。应当理解,OSS 121可包括图中未明确标明的许多其它单元,以便支持前面所述的其它OSS作用。
事务处理记录的临时收集点在图3中表示为数据存储器320。本领域的技术人员会知道,这些记录可按照不会导致基本信息丢失的任何适当格式进行存储。简化为实践时,这些记录以与从XacctTechnologies可购买的商品兼容的格式存储。为方便起见,这些记录在此称作“XDR”,并且基于XML。沿着对OSS 121的输入所接收的事务处理记录可以累积在存储器320中作为XDR。
图3中,OSS 121包括CDR接收装置304,它用于沿输入302从网络网关接收CDR。输入302可表示与数据网络101的连接,如图1所示。
沿输入302进入的CDR由CDR接收器304接收,并传递给CDR-XDR转换器310。转换器310创建XDR,然后再根据从CDR剖析的值填充字段。许多值、如拨叫电话号码可以简单地从CDR复制到XDR中。
接着,XDR可被传递给CORP_ID解析单元312,后者检查CDR中诸如IP地址和电话号码之类的信息、或者CDR所来自的网络网关的IP地址,以及确定与记录所属的企业客户对应的CORP_ID。这是稍后关联记录以及执行计费和欺诈监测的重要部分。
XDR随后可由XDR扩充装置314来处理,从而将CORP_ID添加到XDR中。在这里也可考虑添加与CDR相关的其它导出值。完全转换的XDR则可由OSS 121存储在数据存储器320中,以便以后检索。
与由从网络网关接收的CDR导出的XDR一起,XML事务处理详细记录(TDR)也可沿输入306由TDR接收器308来接收,并存储在数据存储器320中。一旦以一致的XDR格式存储之后,这些记录则可为计费功能131和欺诈监测器133所用。
在一种实际实现中,OSS 121可涉及与各种网元进行的通信,也许在各种计算环境或平台之间进行的通信。在下列共同未决的申请中描述一种促进规定以及与网元和“内勤”功能、如欺诈监测器133的通信的OSS 121的实现Robohm等人于2002年3月15日提交的题为“电信业务的操作支持系统”的美国专利申请(代理人档案号为ASH01002);Trivedi于2002年3月15日提交的题为“用于从综合平台到轻型查号辅助的通信所用的系统和方法”的美国专利申请(代理人档案号为ASH01007);Trivedi于2002年3月15日提交的题为“从综合平台到规定服务器的通信所用的系统和方法”的美国专利申请(代理人档案号为ASH01008);Robohm于2002年3月15日提交的题为“采用LDAP更新IP通信业务属性的系统和方法”的美国专利申请(代理人档案号为ASH01009);Robohm等人于2002年3月15日提交的题为“与计费和帐户管理单元接口的系统和方法”的美国专利申请(代理人档案号为ASH01010);Leskuski于2002年3月15日提交的题为“为定额和计费目的而检索和修改数据记录的系统和方法”的美国专利申请(代理人档案号为ASH01011);Trivedi等人于2002年3月15日提交的题为“更新LDAP的系统和方法”的美国专利申请(代理人档案号为ASH01012);Holmes于2002年3月15日提交的题为“收集和评估联络中心使用量的系统及方法”的美国专利申请(代理人档案号为ASH01013);Robohm于2002年3月15日提交的题为“更新IP通信业务属性的系统和方法”的美国专利申请(代理人档案号为ASH01014);Trivedi于2002年3月15日提交的题为“从综合平台到计费单元的通信所用的系统和方法”的美国专利申请(代理人档案号为ASH01015);Trivedi于2002年3月15日提交的题为“从综合平台到简档管理服务器的通信所用的系统和方法”的美国专利申请(代理人档案号为ASH01016);Leskuski等人于2002年3月15日提交的题为“接入和报告业务的系统和方法”的美国专利申请(代理人档案号为ASH01018);现将各专利申请的内容通过引用完整地结合于此。
现在参照图7,说明欺诈监测器133可使用这些记录的方式。在输入702提供XDR。记录相关器714用于检查一组XDR,并查找全部与所出现的相同会话或业务事例有关的XDR。例如,通过图1所示的数据网101和电话网137的呼叫可能导致多个记录分别由网络网关以及由一个或多个网络服务器113、115产生。
以新颖的方式,记录相关器714构建业务执行的复合模型,其中包含来自电路交换域和分组交换域的记录。在这里可以说,即使是来自不同源的记录都被有效地结合到关于出现在系统中的各个给定会话的处理的单一描述中。
记录标准化和预处理模块712执行简单的预处理,例如根据呼叫的起始时间和停止时间来计算呼叫持续时间。模块712还可检查地址或号码,以便确定给定呼叫是否涉及长途或国际长途呼叫。它们对于随后的欺诈分析是有用的参数。模块712还可将XDR中的部分字段映射为服从欺诈处理的标准化格式。记录相关以及标准化/预处理的处理能够以不同顺序出现或者能够进行混合。
最终,欺诈分析引擎710分析与输入XDR报告的使用活动有关的复合信息,以及查找欺诈模式。无论是作为数据、查找结果还是作为超出阈值的综合报告,引擎710均可产生报告720,描述欺诈监测或分析的结果。
采用欺诈分析引擎710,在一个示范实施例中,可对以下欺诈特征来监测标准化的记录长持续时间呼叫,发端/收端组合,热线发端或收端号码/地址,基于位置的呼叫速度,发端号码/地址的长持续时间速度,计费号码的短持续时间速度,计费号码的长持续时间速度以及合计持续时间。
当单个完成的呼叫符合或超过长持续时间阈值时,产生长持续时间呼叫告警。例如,当网外国际IP电话会话大于预定阈值(例如2个小时)时,触发告警。
如果从X发起且端接于Y的完成呼叫超过特定持续时间,则产生发端/收端组合告警。X和Y可以是国家、区域代码、网关IP地址或其它任何指定位置的预定参数。例如,从美国发起且端接于格林纳达的网外国际IP电话会话大于例如10分钟时,产生告警。
当呼叫从特定主叫方号码或IP地址发起或者端接于特定被叫方号码或IP地址时,产生另一告警类型、即热线发端或收端号码/地址告警。这用来对送往或来自已知的可疑号码(无论是私有号码、公共号码,还是IP地址)的呼叫进行告警。
当可配置时段上从用户定义的网关地址发起、且端接于用户定义的国家代码列表的多个完成呼叫符合或超过阈值时,产生基于位置的呼叫速度类型的告警。例如,从特定企业网关向合用线国家发起的较多数量的呼叫可表示客户网络的那个部分中的损害。在电路交换环境下,这种类型的欺诈称作“夹住”欺诈,其中呼叫是从特定交换机/中继线发起的。
当预定时间间隔中来自相同主叫方号码(或IP地址)的呼叫数量符合或超过阈值时,其中呼叫的持续时间等于或小于可配置的时间值,则产生发端号码/地址的短持续时间速度告警。这个告警类型用于检测远程接入欺诈,例如某个人试图窃取用户的ID/密码,或者某个人试图执行社会工程。
当预定时间间隔中来自相同主叫方号码(或IP地址)的呼叫数量符合或超过阈值时,其中呼叫的持续时间等于或大于可配置的时间值,则产生发端号码/地址的长持续时间速度告警。这个告警类型也用于检测远程接入欺诈,例如某个人已经通过有损害的用户ID/密码而获得接入权。
对于计费号码的短持续时间速度告警,这种类型的告警类似于发端号码/地址的短持续时间速度告警,只不过计数是对来自相同的计费号码的呼叫(例如来自相同发端拨号方案ID的全部呼叫)进行的。
同样,计费号码的长持续时间速度告警类似于发端号码/地址的长持续时间速度告警,只不过计数是对来自相同的计费号码的呼叫(例如来自相同的发端拨号方案ID的全部呼叫)进行的。
当计费号码上的一个或多个完成呼叫在间隔时间t上符合或超过累加持续时间x的阈值时,产生合计持续时间告警。这种告警类型用于已经了解“在阈值下冲浪”的人。例如,如果发现长持续时间阈值为60分钟,则这个合计计数会发觉进行了一连串59分钟呼叫的人。唯一的阈值可根据若干系统参数(计费方法、计费号码等)来建立。另外,由于这是公务业务量,因此可对公务、非公务以及非公务周末时间来建立阈值。
综合欺诈监测系统133还可包括可用于监测欺诈呼叫模式的神经网络和群集人工智能算法;Tayebnejad等人于2002年1月10日提交的题为“趋向人工智能的系统”的共同未决申请(序列号为10/041549)详细描述了神经网络及其相关算法,通过引用将其完整地结合于此。
为了总结OSS 121和欺诈监测器133的共同过程,图4一般地描述了根据本发明的一个示范实施例、用于执行记录收集和欺诈监测的过程400。
图4中,当需要欺诈分析时,过程400在步骤402开始。它可由网络工作人员手动触发,或者可自动定时进行。过程400还可连续运行,取决于实现以及选择的所需操作。
然后,在步骤404,从网络网关获取一个或多个CDR,以及在步骤406,把这些CDR转换为XDR。
在步骤408,CORP_ID被确定,并且在步骤410中添加到各XDR中。这对应于以前所述的OSS 121中单元312和314的动作。
在步骤412,源于网关业务量的所产生XDR与来自网络服务器的任何记录相关。来自网络服务器的记录是否存在不是基本的。根据本论述,欺诈监测器133可分析完全为电路交换的或者完全为分组交换的或者它们的任意组合的记录的主体。
本领域的技术人员应当认识到,过程400只是说明性的,在实践中,CDR和XDR的收集可能在正在进行和同时进行的基础上发生,没有按特定的顺序。图4所示的步骤404和412的顺序并不表示严格的排序。另外还值得注意,过程400的处理步骤可按照不同方式在OSS121和欺诈监测器133中划分,而没有背离本发明的精神和范围。
在步骤414,对相关组的记录进行标准化或预处理,如对于模块712所述。
步骤416包括将欺诈监测算法应用于所观察的呼叫参数,以及确定其中是否有明显的欺诈模式。
在步骤418中输出这个分析的结果,不管是观察的列表还是对网络工作人员的实际告警,然后,过程400在步骤420结束。
馈送到系统133的示范XDR可经过基于套接字的TCP/IP连接。根据本发明的一个实施例,系统133采用呼叫记录的“准实时”传送;这种馈送的准实时是指OSS 121在自创建XDR时起的预定时间(如数分钟)内将各定制记录传送给综合欺诈监测系统133。如果丢失了与综合欺诈监测系统133的TCP连接,则数据被缓冲并在重新建立连接时传送。
图5说明一种计算机系统500,其中可实现根据本发明的一个实施例。计算机系统500包括总线501或其它用于传递信息的通信机制;以及处理器503,连接到总线501,用于处理信息。计算机系统500还包括主存储器505、如随机存取存储器(RAM)或其它动态存储装置,连接到总线501,用于存储信息和要由处理器503执行的指令。主存储器505还可用于在处理器503执行指令的过程中存储临时变量或其它中间信息。计算机系统500还包括只读存储器(ROM)507或者其它连接到总线501、用于存储静态信息和处理器503所用的指令的静态存储装置。另外,存储装置509、如磁盘或光盘还连接到总线501,用于存储信息和指令。
计算机系统500可经由总线501连接显示器511,如阴极射线管(CRT)、液晶显示器、有源矩阵显示器或等离子体显示器等,用于向计算机用户显示信息。诸如包括字母数字键及其它键在内的键盘之类的输入装置513连接到总线501,用于向处理器503传递信息和命令选择。另一种类型的用户输入装置是光标控制器515,如鼠标、跟踪球或光标方向键,用于向处理器503传递方向信息和命令选择,以及用于控制显示器511上的光标移动。
根据本发明的一个实施例,对执行包含在主存储器505中的指令安排的处理器503作出响应,由计算机系统500提供SIP服务器功能性。这类指令可以从另一个计算机可读媒体、如存储装置509读入主存储器505。包含在主存储器505中的指令安排的执行使处理器503执行本文所述的处理步骤。多重处理配置中的一个或多个处理器还可以用来执行包含在主存储器505中的指令。在另一些实施例中,硬连线的电路可用来代替软件指令或者与之结合,以实现本发明的实施例。因此,本发明的实施例不限于硬件电路和软件的任何特定组合。
计算机系统500还包括连接总线501的通信接口517。通信接口517提供双向数据通信,连接到与本地网521相连的网络链接519。例如,通信接口517可以是提供与相应类型电话线路的数据通信连接的数字用户线(DSL)卡或调制解调器、综合业务数字网(ISDN)卡、电缆调制解调器或者电话调制解调器。作为另一个实例,通信接口517可以是提供与兼容LAN的数据通信连接的局域网(LAN)卡[例如EthernetTM或“异步转移模式”(ATM)网络]。也可实现无线链接。在任何这类实现中,通信接口517发送和接收电、电磁或光信号,这些信号传送代表各种类型信息的数字数据流。此外,通信接口517可包括外部接口装置,如通用串行总线(USB)接口、PCMCIA(个人计算机存储卡国际协会)接口等。虽然仅给出单个通信接口517,但是要知道,可采用多个通信接口来与不同网络和装置进行通信。
网络链接519通常通过一个或多个网络提供与其它数据装置的数据通信。例如,网络链接519可通过本地网521提供与主计算机523的连接,主计算机523具有与网络525[例如广域网(WAN)或者一般称作“因特网”的全球分组数据通信网]或者与服务提供商所操作的数据设备的连接性。本地网521和网络525都采用电、电磁或光信号来传递信息和指令。通过各种网络的信号以及在网络链接519上并通过通信接口517的信号与计算机系统500传递数字数据,它们是传送信息和指令的载波的示范形式。
计算机系统500可通过网络、网络链接519以及通信接口517发送消息和接收包含程序代码的数据。在因特网示例中,服务器(未标出)可通过网络525、本地网521以及通信接口517发送属于用来实现本发明实施例的应用程序的所请求代码。处理器504可以一边接收代码、一边执行所发送的代码和/或在存储装置509或其它非易失性存储器中存储代码,以供以后执行。这样,计算机系统500可获得载波形式的应用程序代码。
此处所用的术语“计算机可读媒体”指的是任何参与提供指令给处理器504以供执行的媒体。这种媒体可以采取许多形式,包括但不限于非易失性媒体、易失性媒体以及传输媒体。非易失性媒体包括例如光盘或磁盘,如存储装置509。易失性媒体包括动态存储器,如主存储器505。传输媒体包括同轴电缆、铜线和光纤,包括包含总线501的线路。传输媒体也可采用声波、光波或电磁波的形式,比如在射频(RF)和红外(IR)数据通信中产生的这些形式。计算机可读媒体的常见形式包括例如软盘、柔性碟、硬盘、磁带、任何其它磁媒体、CD-ROM、CDRW、DVD、任何其它光媒体、穿孔卡片、纸带、光标记片、带有孔或其它光可识别标记的图案的任何其它物理媒体、RAM、PROM以及EPROM、FLASH-EPROM、任何其它存储片或盒、载波、或者计算机可从中读取的任何其它媒体。
在提供指令给处理器执行时可能涉及到各种形式的计算机可读媒体。例如,最初可以在远程计算机的磁盘上带有用于执行本发明的至少一部分的指令。在这种情况下,远程计算机把指令装入主存储器并且利用调制解调器通过电话线发送指令。本地计算机系统的调制解调器在电话线上接收数据并且利用红外发射器将数据转换成红外信号,并且把红外信号发送到便携式计算装置,如个人数字助理(PDA)和膝上型电脑。便携式计算装置上的红外检测器接收由红外信号承载的信息和指令,并将数据放在总线上。总线将数据传送给主存储器,处理器从主存储器中读出并执行指令。主存储器所接收的指令可以在处理器执行之前或之后任选地存储在存储装置上。
另外,其它有关信息可在下表中找到,其中以下所列案例通过引用完整地结合于此
虽然已经通过举例方式结合多个实施例和实现对本发明进行了说明,但本发明不限于这些实施例。本领域的技术人员应当明白,在可根据以下权利要求来理解的本发明的精神和范围内,许多实现是可行的。
权利要求
1.一种用于监测通信系统中的活动的方法,包括以下步骤获取与第一传送网络中的活动有关的至少一个第一记录;获取与第二传送网络中的活动有关的至少一个第二记录;确定所述第一记录和第二记录都与一个通信会话相关;根据所述第一记录和所述第二记录的内容确定所述通信会话的至少一个方面。
2.如权利要求1所述的方法,其特征在于,所述第一记录以不同于所述第二记录的方式被格式化。
3.如权利要求1所述的方法,其特征在于,所述第一记录和所述第二记录中至少一个与连接所述第一传送网络和所述第二传送网络的网关的动作有关。
4.如权利要求1所述的方法,其特征在于还包括将所述第一记录与所述第二记录组合以形成复合活动记录的步骤。
5.如权利要求4所述的方法,其特征在于还包括将所述第一记录转换成所述第二记录的格式的步骤。
6.如权利要求4所述的方法,其特征在于还包括将所述第一记录和第二记录转换为通用格式的步骤。
7.如权利要求4所述的方法,其特征在于还包括向所述第一记录添加与所述第二传送网络的至少一个方面有关的附加信息的步骤。
8.如权利要求7所述的方法,其特征在于,所述附加信息是所述第二传送网络的地址空间中的数据网络地址。
全文摘要
公开一种用于通信系统(100)的欺诈监测系统(133)。欺诈监测系统(133)分析系统中使用活动的记录,并应用欺诈模式检测算法来检测表明欺诈的模式。欺诈监测系统(133)有利地为事务处理提供从分组交换网(101)的控制产生的记录以及从电路交换网网关(107)产生的记录。
文档编号G06F15/16GK1509412SQ02810059
公开日2004年6月30日 申请日期2002年3月20日 优先权日2001年3月20日
发明者M·F·卡斯林, M F 卡斯林, J·H·范阿克尔, 范阿克尔, A·L·斯普林格, 斯普林格 申请人:全球通讯公司