专利名称:用于检测和减轻欺诈性消息服务消息业务的方法、系统和计算机程序产品的制作方法
技术领域:
这里所描述的主题内容涉及识别欺诈性消息服务消息业务。更具体地, 这里所描述的主题内容包括用于检测和减轻欺诈性消息服务消息业务的方 法、系统和计算机程序产品。
背景技术:
例如短消息服务(SMS)、多媒体消息服务(MMS)和即时消息(IM) 的消息服务报文通信已经成为无线和有线设备用户的重要通信模式。例如, 用户使用移动电话手持机互相发送SMS消息。此外,用户使用个人计算机 经由互联网互相发送即时消息。用户还使用他们的移动电话手持机和/或个 人计算机来利用MMS消息互相发送视频片段和照片。
与当前消息服务消息传送机制相关的一个问题是其不能充分屏蔽欺诈 性消息服务消息。如这里所使用的,术语"欺诈性消息服务消息"是指由 发送者因不适当的目的所发送的任何消息,或者目的接收者所不期望的任 何消息。用于屏蔽SMS消息的常规方法包括确定消息是否来自接收者期 望阻止对其进行SMS业务的用户,以及确定所接收的消息数目是否在一个 时间周期内超过泛洪阈值。虽然这些方法对于它们想要达到的目的是有效 的,但是分别需要在针对每个用户的基础上进行屏蔽,随着用户数目和消 息业务量的增加,这些方法会变得麻烦。此外,这些方法中的每种方法可 能不能阻塞貌似来自已授权发送者并且不造成超过泛洪阈值的欺诈性消息 服务消息业务。因此,根据与常规消息服务消息屏蔽机制相关的这些困难,存在对用 于检测和减轻欺诈性消息服务消息业务的方法、系统和计算机程序产品的 需求。
发明内容
这里所描述的主题内容包括用于检测和减轻欺诈性消息服务消息业务 的方法、系统和计算机程序产品。根据一个方面,提供了用于检测欺诈性 消息服务消息业务的方法。该方法包括监视消息服务消息业务。基于存在
以下几点中至少一点确定所监视的消息服务消息业务是欺诈性的(a)在
第一网络处从第二网络接收的消息服务消息业务,其具有第一网络内部的
信令连接控制部分(SCCP)呼叫方地址,(b)在第一网络处从第二网络接 收的消息服务业务量,其比由第一网络发送到第二网络的消息服务消息业 务量超出一个阈值量,以及(c)发送到黑号码的消息服务消息业务。根据 检测的欺诈性消息服务消息业务执行减轻操作。
根据另一方面,提供了用于基于对SCCP呼叫方地址网络信息的分析
检测欺诈性消息服务消息业务的方法。该方法包括在第一通信网络处,
监视从第二通信网络接收的消息服务消息,其中,该消息包括信令连接控
制部分(SCCP)呼叫方地址(CgPA)参数。确定SCCP CgPA参数是否包 含与第一通信网络相关的SCCP地址。当确定SCCP CgPA参数包含与第一 通信网络相关的SCCP地址时,执行减轻操作。
根据另一方面,提供了用于基于不平衡消息服务消息业务流来检测欺 诈性消息服务消息业务的方法。该方法包括监视从通信网络接收的消息服 务消息的数目。监视发送到通信网络的消息服务消息的数目。确定从通信 网络接收的消息服务消息的数目与发送到通信网络的消息服务消息的数目 是否相差至少一个阈值量,其中,该阈值量可以包括在网络之间传输的累 计消息业务的绝对数目或百分比。当确定从通信网络接收的消息服务消息 的数目与发送到通信网络的消息服务消息的数目相差至少一个阈值量时, 执行减轻操作。
根据另一方面,可以通过黑号码分析来检测消息服务消息欺诈性。在 一个示例性实施例中,观测第一消息服务消息。该第一消息包括消息接收者标识符和消息始发者标识符。确定消息接收者标识符是否指向未分配号 码或黑号码。当确定消息接收者标识符是未分配号码或黑号码时,将该消
息始发者标识为可疑始发者。当观测到由该消息始发者发送的第二个消息 服务消息时,执行减轻操作。
根据另一方面,可以通过观测由发送到黑号码或未分配号码的消息服 务消息生成的错误消息来检测消息服务消息欺诈性。在一个示例性实现中, 用于检测这种欺诈性的方法可以包括观测与试图将消息服务消息从消息始 发者传送到未知用户相关的消息服务错误报告消息。确定消息始发者是否 已经触发了大于预定阈值数目的消息服务错误报告消息。当确定消息始发 者已经触发了大于预定阈值数目的消息服务错误报告消息时,执行减轻操 作。
可以使用计算机程序产品实现这里所描述的用于检测欺诈性消息服务 消息的主题内容,该计算机程序产品包括嵌入在计算机可读介质中的计算 机可执行指令。适于实现这里所描述的主题内容的示例性计算机可读介质 包括芯片存储器设备、磁盘存储器设备、专用集成电路、可编程逻辑设 备以及可下载电子信号。此外,实现这里所描述的主题内容的计算机程序 产品可以位于单个设备或计算平台上,或者可以分布在多个设备或计算平 台上。
现在,将参照附图对这里所描述的主题内容的优选实施例进行说明, 在附图中-
图1是根据这里所描述的主题内容的实施例的用于检测欺诈性消息服 务消息业务的方法的示例性全部步骤的方框图,;
图2是示出根据这里所描述的主题内容的实施例的用于检测欺诈性消 息服务消息业务的示例性系统的方框图3是示出根据这里所描述的主题内容的实施例的示例性步骤的流程 图,其用于通过对SCCP呼叫方地址网络信息的分析来检测欺诈性消息服 务消息业务;
图4是示出根据这里所描述的主题内容的实施例的用于检测欺诈性消
9息服务消息业务的示例性网络组件的网络图5是示出根据这里所描述的主题内容的实施例的用于检测欺诈性消 息服务消息业务的示例性路由节点结构的方框图6是示出根据这里所描述的主题内容的实施例的用于通过对SCCP 呼叫方地址网络信息的分析来检测欺诈性消息服务消息业务的示例性表格 的图表;
图7是示出根据这里所描述的主题内容的实施例的用于检测欺诈性消 息服务消息业务的可选网络组件的网络图8是根据这里所描述的主题内容的实施例的用于检测欺诈性消息服 务消息业务的消息处理平台的方框图,;
图9是示出根据这里所描述的主题内容的实施例的用于检测欺诈性消 息服务消息业务的示例性监视系统的网络图10是示出根据这里所描述的主题内容的实施例的用于通过对在网络 处入口和出口消息服务消息业务之间的平衡分析来识别欺诈性消息服务消 息业务的示例性步骤的流程图11是示出根据这里所描述的主题内容的实施例的用于通过对在网络 处入口和出口消息服务消息业务之间的平衡分析来识别欺诈性消息服务消 息业务的示例性数据的图表;
图12是示出根据这里所描述的主题内容的实施例的用于使用黑号码或 未分配号码分析来识别欺诈性消息服务消息业务的示例性方法的流程图; 以及
图13是示出根据这里所描述的主题内容的实施例的用于使用黑号码或 未分配号码分析来识别欺诈性消息服务消息业务的示例性步骤的流程图。
具体实施例方式
这里所描述的主题内容包括用于检测和减轻欺诈性消息服务消息业务 的方法、系统和计算机程序产品。图1是示出根据这里所描述的主题内容 的实施例的用于检测欺诈性消息服务消息业务的方法的示例性全部步骤的 流程图。参照图l,在步骤100中,可以监视消息服务消息业务。可以在通 过网络进行路由的实际消息服务消息上或在那些消息的副本上进行消息服务消息业务监视。在一个实现中,可以通过路由信令消息的路由节点来监
视消息服务消息。图2是用于检测欺诈性消息服务消息的示例性路由节点 的方框图。在图2中,路由节点200包括消息服务消息监视功能实体202, 其监视来自入口消息的消息服务消息。
参照图l,在方框102中,基于存在以下几点中的至少一点,确定所监 视的消息服务消息业务是欺诈性的
(a) 在第一网络处从第二网络接收的消息服务消息业务,其中,该消 息服务消息业务包括至少一个具有第一网络内部的SCCP呼叫方 地址的消息;
(b) 在第一网络处从第二网络接收的消息服务消息业务量超过由第一 网络发送到第二网络的消息服务消息业务量到达阈值量;以及
(c) 发送到黑号码的消息服务消息业务。
参照图2,路由节点200包括消息服务消息欺诈性检测功能实体204, 其通过在图1的方框102中所描述的一个或多个方法来对消息服务消息欺 诈的出现进行检测。
参照图1,在方框104中,当确定所监视的消息服务消息业务为欺诈性 时,执行减轻操作。例如,参照图2,基于确定所监视的消息服务消息业务 是欺诈性的,消息服务消息欺诈检测功能实体204可以采取合适的操作。 如果因为欺诈性SCCP呼叫方地址被插入到消息服务消息中而确定该业务 是欺诈性的,则可以期望阻止来自具有所识别的呼叫方地址的发送网络的 消息服务消息。如果因为网络之间消息服务消息业务的不平衡而确定业务 是欺诈性的,则可以期望阻止来自正在发送更高业务量的网络的所有业务, 因为该更高业务量可能表明存在垃圾信息。如果基于消息指向黑号码而确 定业务是欺诈性的,则可以阻止这种消息的发送者将更多消息服务消息发 送到网络中。现在将分别对这些欺诈检测功能实体进行更具体地描述。
如上所述, 一种用于检测欺诈性消息服务消息业务的方法包括确定 所接收消息中的呼叫方地址是否是内部的以及该消息是否是从外部网络接 收的。 一般地,内部或本地SCCP呼叫方地址不应该出现在来自外部网络 的消息中。因此,如果在用于连接到外部或对外网络的信令链路上接收到 被观测消息服务消息,并且在该消息的SCCP部分中包含的CgPA参数值与本地SCCP网络实体相关,则可以将该消息识别为欺诈性的。
图3是示出根据这里所描述的主题内容的实施例的示例性过程的流程 图,其用于屏蔽消息服务消息业务,以便通过对SCCP呼叫方地址网络信 息的分析来确定存在消息服务消息欺诈。参照图3,在方框300中,在第一 通信网络处,监视消息服务消息。从第二通信网络接收消息服务消息。消 息服务消息包括SCCP呼叫方地址参数。图4是示出根据这里所描述的主 题内容的实施例的用于检测欺诈性消息服务消息业务的示例性系统的方框 图。参照图4,信号传递点400包括上面所描述的监视功能实体202和消息 服务消息欺诈检测功能实体204。监视功能实体202识别所接收的消息服务 消息业务,并且将该消息服务消息业务传送到欺诈检测功能实体204。 STP 400还包括用于为互联网用户提供消息服务的消息服务消息代理402。移动 交换中心(MSC) 404为经由基站406连接到MSC 404移动终端408提供 交换服务。SMSC410对所接收的消息服务消息进行存储及后续处理。本地 位置寄存器412存储用户数据和位置信息。
在操作中,当监视功能实体202接收并识别到消息服务消息时,监视 功能实体202将该消息传送到欺诈检测功能实体204。参照图3,在方框302 和304中,确定消息中的SCCPCgPA参数是否包含与第一网络相关的地址, 并且作为响应,执行减轻操作。再次参照图4,欺诈检测功能实体204从消 息中提取出SCCP呼叫方地址参数。欺诈检测功能实体204确定在与远程 网络414通信的链路上接收的消息是否是网络418本地的SCCP呼叫方地 址。如果在与远程网络414通信的链路上接收到本地SCCP呼叫方地址, 则可能表明存在欺诈,并且消息服务消息屏蔽功能实体204可以执行适当 的减轻操作。用于实现这里所描述的主题内容的示例性减轻操作包括丢 弃消息,生成警告,和/或向网络运营商或目标接收者生成警报。
可以使用SS7消息传送部分层1-3或互联网协议发送因欺诈而被屏蔽 的消息服务消息。例如,可以在传统SS7信令链路上或在IP信令链路上使 用正TF SIGTRAN SCCP用户适配层发送被节点400屏蔽的消息。这里所描 述的主题内容所执行的欺诈检测独立于下面的用于在网络中携带消息服务 消息业务的传输层。
图5是示出根据这里所描述的主题内容的实施例的用于识别欺诈性消息服务消息业务的STP400的示例性组件的方框图。参照图5, STP400包 括经由总线505彼此相连的多个模块500、 502和504。模块500、 502和 504可以分别包括其上装配有应用处理器和通信处理器的印刷电路板。每个 模块的应用处理器执行信令消息处理功能实体,在一些情况中,该功能实 体包括对欺诈性消息服务消息业务的识别。每个模块上的通信处理器对经 由总线505与其它模块的通信进行控制。
在所示实例中,模块500包括用于与SS7信令链路进行接口连接的链 路接口模块(LIM)。 LIM 500包括消息传送部分1级和2级功能实体506、 I/O队列508、网关屏蔽功能实体510、识别功能实体512、分发功能实体 514、以及路由功能实体516。 MTP 1级和2级功能实体506对所接收的消 息执行MTP 1级和2级操作,例如错误检测、错误校正和消息排序。I/O队 列508为更高层处理,对进入的消息进行排队。网关屏蔽功能实体510屏 蔽输入消息,以便确定是否允许该消息进入网络。识别功能实体512确定 所接收的消息是寻址到STP 400还是将要进行交换。可以将经过交换的消 息传送到路由功能实体516,以便分发到与输出信令链路相关的板卡或模 块。可以将寻址到STP400的消息传递到分发功能实体514,以便传送到另 一个模块进行内部处理。
DCM 502包括用于与IP信令链路进行接口连接的硬件和软件。在所示 实例中,仅示出了与输出消息处理相关的模块。具体地,DCM 502包括 用于实现一种SIGTRAN协议的适配层功能实体516,该SIGTRAN协议用 于在IP链路上发送SS7消息;用于执行传输层功能实体例如在IP上进行面 向连接的消息传输的传输层功能实体518;用于执行网络层功能实体例如路 由的网络层功能实体520;以及用于执行物理层功能实体的物理层522,所
述物理层功能实体例如错误检测、错误校正和在信令链路上的消息物理传 输。可以使用UDP、 TCP或SCTP实现传输层518。可以使用IP实现网络 层520。可以使用例如以太网的适当的物理层协议实现物理层522。DCM502 还可以包括组件510、 512、 514和516,用于处理输入的IP封装SS7消息。 模块504包括数据库服务模块(DSM),用于执行与数据库相关的消息 处理。在一个实施例中,与数据库相关的处理包括对消息服务消息的识别 以及对进行欺诈检测的那些消息的屏蔽,其中通过对SCCP呼叫方地址网络信息的网络分析来进行欺诈检测。具体地,DSM 504包括消息服务消息 监视功能实体202和消息服务消息欺诈检测功能实体204。在该实例中,将 欺诈检测功能实体204配置为当从外部网络接收到消息时,基于存在与内 部网络相关的SCCP呼叫方参数,识别欺诈性消息服务消息。
在操作中,当经由SS7信令链路接收消息服务消息时,将该消息由SS7 协议栈传送到消息分发功能实体514,该消息分发功能实体514将消息分发 给DSM 504用于进一步处理。监视功能实体202将消息识别为消息服务消 息,并且将该消息传送到欺诈检测功能实体204。当该消息来自外部网络时, 欺诈检测功能实体204进行査找,以便确定消息中的SCCP呼叫方地址参 数是否标识内部网络。当确定从外部网络接收到内部SCCP呼叫方地址时, 欺诈检测功能实体204可以执行减轻操作,例如丢弃消息、生成警报等。
图6是示出由欺诈检测功能实体204用于识别在外部链路集上接收到 内部SCCP地址并执行适当操作的示例性数据的图表。在图6中,表中的 第一列标识在其上接收消息的链路集。可以通过使接收模块在消息中插入 链路集标识符或者可以标识接收链路集的任何其它合适的方式来确定该信 息。表中的第二列标识SCCP呼叫方地址。在表的第一项中,假定第一个 呼叫方地址是外部呼叫方地址。因此,在第三列中标识的操作是接受该消 息。在表的第二项中,假定呼叫方地址是内部呼叫方地址。因此,在表的 第三列中标识的操作是阻止该消息。
参照图5,如果接受该消息,则可以将其传送到路由功能实体516,路 由功能实体516将消息经由适当的链路接口模块路由到其目的地址。如果 阻止该消息,则屏蔽功能实体204可以删除消息并对适当的对象生成通知。
图7是示出根据这里所描述的主题内容的实施例的用于识别欺诈性消 息服务消息业务的可选实例的网络图。参照图7,该网络包括与图4中示出 的相同的组件。然而,在消息服务消息处理平台(MPP) 700上执行检测, 而不是在STP400处执行消息服务消息欺诈检测。
图8是根据这里所描述的主题内容的实施例的消息处理平台的示例性 内部结构的方框图。参照图8,消息处理平台700包括SS7或IP协议桟 802,用于在IP网络上发送和接收消息服务消息。1/O队列804将消息进行 排队,用于进入和输出处理。服务选择管理器806屏蔽进入的消息蔽,以便识别消息所需服务的类型。可以将消息服务消息监视功能实体202实现 为服务选择管理器806的子功能实体,用于为欺诈检测功能实体识别消息 服务消息。多个屏蔽处理进程808可以基于所识别的服务类型对消息进行 屏蔽。在所示实例中,消息服务消息欺诈检测功能实体204可以是屏蔽处 理进程808其中之一。SCCP呼叫方地址网络分析数据库810可以包括与图 6中所示类似的用于屏蔽消息服务消息的数据。还可以提供使用计量和帐单 数据库812,以便生成通过屏蔽并被传送的消息服务消息的帐单数据。
在操作中,当接收到消息服务消息时,通过协议栈802将其传送到I/O 队列804。服务选择管理器806激活MSM监视功能实体202,以便识别该 消息所需的服务类型。在该实例中,假定服务类型是MSM欺诈检测。因此, 将消息传送到MSM欺诈检测功能实体204。 MSM欺诈检测功能实体204 在SCCP CgPA网络分析数据库810中进行查找,以便确定消息中的SCCP 呼叫方地址是否对应于在外部网络的链路上接收的内部呼叫方地址。如果 是这样,那么MSM欺诈检测功能实体204可以执行减轻操作,例如丢弃该 消息。如果该消息通过了检测,可以由欺诈检测功能实体204将该消息传 送到1/0队列804,以及经过协议栈802在网络上发送到目的地址。可以修 改帐单项目812,以便指示已经进行了屏蔽和/或传送了消息。
图9是示出根据这里所描述的主题内容的实施例的用于识别欺诈性消 息服务消息业务的系统的另一个实施例的网络图。参照图9,网络包括前面 所描述的组件404、 406和408。此外,该网络包括网关移动交换中心900, 其将网络418连接到远程网络414和902。可以通过包括上述功能实体202 和204的消息服务消息监视和欺诈检测平台904,执行消息服务消息监视和 欺诈检测。此外,平台902包括链路探测器906,其被动地复制穿过信令链 路908的信令消息。因此,平台904屏蔽信令消息副本,而不是屏蔽实际 传递或不传递的消息,这样对消息传递破坏更小。除屏蔽消息副本外,平 台904的操作与上面关于图3-8中所示实例所描述的操作是相同的。
根据这里所描述的主题内容的另一方面,可以通过在网络处输入和输 出消息服务消息业务的不平衡来指示欺诈性消息服务消息业务。例如,可 以通过监视和分析从远程网络接收的或发送到远程网络的消息服务消息业 务的比例或相对容量来识别欺诈性消息服务消息业务。可以针对不同网络运营商之间传输的消息服务消息业务,搜集并分析输入和输出消息服务消
息统计量。图io是示出根据这里所描述的主题内容的实施例的用于基于输
入和输出相对消息服务消息业务量来检测欺诈性消息服务消息业务的示例
性步骤的流程图。参照图10,在步骤1000中,监视从通信网络接收的消息 服务消息的数目。参照图4中所示的网络实例,欺诈检测功能实体204可 以监视从远程网络414接收的消息服务消息量。
参照图10,在步骤1002中,监视发送到通信网络的消息服务消息的数 目。例如,在图4中,消息服务消息监视功能实体202可以将消息传送到 欺诈检测功能实体204。欺诈检测功能实体204可以监视发送到网络414的 消息的数目。
参照图10,在步骤1004中,确定从通信网络接收的消息服务消息的数 目与发送到通信网络的消息服务消息的数目是否相差至少一个阈值量。参 照图4,欺诈检测功能实体204可以确定发送到网络414的消息的数目与从 网络414接收的消息的数目是否相差至少一个阈值量。在步骤1006中,当 确定从通信网络接收的消息服务消息的数目与发送到通信网络的消息服务 消息的数目相差至少一个阈值量时,执行减轻操作。例如,在图4中,欺 诈检测功能实体204可以执行减轻操作,例如向网络运营商生成警告、向 目的接收者生成警报、和/或丢弃消息。
可以在任何合适的平台上实现用于通过分析输入和输出业务平衡来检 测消息服务消息欺诈的功能实体,所述平台例如,图2中所示的路由节点 200、图5中所示的STP 400、图7和8中所示的MPP 700、或图9中所示 的监视平台904。在图11中示出了用于通过分析输入和输出业务平衡来检 测欺诈性消息服务消息的示例性数据。参照图11,消息服务消息输出输入 表维护了发送到或来自不同网络的消息的消息计数。具体地,表中的第一 项用于网络1。在网络1中,网络的输出计数超过输入计数达到IOO,OOO条 消息以上。相差阈值是1000。比较计数过程的时间周期是30分钟。因此, 当新的消息到达网络1时,输入计数递增1。当新的消息离开网络1时,输 出计数递增l。为分析使用运行30分钟的时间窗,使得差距阈值具有意义。 由于输入和输出计数相差的数量大于相差阈值,所以触发操作。在该实例 中,操作是警告。在图11所示的表的第二个实例中,对于网络2,输入和输出计数仅相差l。相差阈值是iooo。因此,不触发减轻操作。
根据这里所描述的主题内容的另一方面,可以通过分析发送到未分配 号码或黑号码的消息服务消息的模式来识别欺诈性消息服务消息业务。黑
号码可以是MSISDN号码或其它没有被分配给移动用户的移动识别号码。 在一个实现中,为了助于并识别欺诈性消息服务消息的目的,网络运营商 可以保留一个或多个移动识别号码。即,为了检测欺诈性消息服务消息业 务的目的,可以特意对可分配号码范围内的一个或多个移动识别号码不进 行分配。
图12是示出根据这里所描述的主题内容的实施例的用于基于消息被发 送到未分配号码或黑号码来检测欺诈性消息服务消息业务的示例性步骤的 流程图。参照图12,在步骤1200中,观测第一消息服务消息。第一消息服 务消息包括接收者标识符和始发者标识符。参照图4,欺诈检测功能实体 204可以接收消息,并识别接收者和始发者标识符。在步骤1202中,可以 确定消息接收者标识符是否对应于未分配的号码。参照图4,欺诈检测功能 实体204可以访问为欺诈检测目的网络运营商故意不提供的未分配号码的 数据库。
在步骤1204中,当确定消息接收者标识符是未分配号码时,可以将消 息始发者标识为可疑始发者。参照图4,因为消息始发者向未分配号码发送 消息,所以欺诈检测功能实体204可以将消息始发者标识为可疑。
在步骤1206中,当接收到由该消息始发者发送的第二消息服务消息时, 可以执行减轻操作。例如,参照图4, 一旦消息始发者向未分配号码发送消 息,欺诈检测功能实体204可以提供给数据库,使得可以阻止来自该始发 者的更多消息,可以生成警报,或可以执行其它减轻操作。
在一个实现中,SMS欺诈检测应用模块204可以包括数据库或表格, 其包含未分配的或黑移动识别号码的列表。欺诈检测应用模块204还可以 包括消息缓冲区,其暂时缓冲一个或多个被监视消息服务消息的至少一部 分。欺诈检测应用模块204可以检査包含在所观测的消息服务消息中的消 息接收者信息,并且确定该消息接收者标识符是否包括在黑号码列表中。 如果是这样,则欺诈检测应用模块204可以从消息中提取消息始发者识别 信息,并且将该消息始发者标识符放置在可疑始发者列表中。可以将包含在可疑始发者列表中的消息始发者标识符和与存储在临时缓冲区中的消息 服务消息相关的消息始发者标识符进行比较。如果找到预定的匹配数目, 则可以执行减轻操作。减轻操作可以包括,但不限于,丢弃或阻止传输消 息服务消息和来自有违规消息服务消息始发者的后续消息服务消息,生成 警告,或者生成可以被发送到网络运营商员工的警报通知消息。
欺诈检测应用模块204可以检査后续接收的消息服务消息,以便确定 与每个所观测消息服务消息相关的消息始发者是否包含在可疑始发者列表 中。如果观测到预定数目的来自包含在可疑始发者列表中的消息始发者的 消息服务消息,则可以阻止或丢弃来自该消息始发者的消息并可以生成警
告
可以使用任何适当的平台来实现用于基于消息被发送到黑号码或未分 配号码检测消息服务消息欺诈的主题内容,所述平台例如,图2中所示的 路由节点200、图4中所示的STP400、图7和8中所示的消息处理平台700、 或图9中所示的监视和欺诈检测平台904。
根据这里所描述的主题内容的另一方面,可以基于存在当消息被发送 到未知用户时生成的错误消息,来识别被发送到未分配号码的欺诈性消息 服务消息业务。图13是示出了用于基于消息被发送到未知用户来检测消息 服务消息欺诈的示例性步骤的流程图。参照图13,在步骤1300中,可以接 收到消息服务消息错误报告消息,该错误报告消息与试图将消息服务消息 从消息始发者传递到未知用户相关。例如,图4中所示的欺诈检测功能实 体204可以检测当SMS消息被发送到未知用户时所发送的SMS错误消息。 可以由SMSC触发这种错误消息。在步骤1302中,确定消息服务消息是否 已经触发了多于阈值数目的错误消息。例如,在图4中,欺诈检测功能实 体204可以维护对不同用户生成的错误消息的数目。在步骤1304中,当确 定消息始发者己经触发了多于阈值数目的错误消息时,可以执行减轻操作。 例如,在图4中,欺诈检测功能实体204可以阻止来自该始发者的更多消 息或通知网络运营商。
在一个实现中,欺诈检测功能实体204可以观测到映射失败报告(MAP FailureReport)消息并且维护与报告未知用户错误的失败报告消息的数目相 关的计数或统计量。如果失败报告消息的数目超过预定阈值,则可以执行减轻操作。减轻操作可以包括,但不限于丢弃或阻止传输来自该始发者 的后续消息服务消息或触发该失败报告消息的消息服务消息,生成警告, 或者生成可以被发送到网络运营商员工的警报通知消息。可以使用任何适 当的平台实现用于基于例如失败报告消息的错误消息检测消息服务消息欺 诈的功能实体,所述平台例如,图2中所示的路由节点200、图4中所示的 STP 400、图7和8中所示的消息处理平台700、或图9中所示的监视和欺 诈检测平台904。
应该理解,在不偏离本公开主题内容的范围的情况下,可以改变本公 开主题内容的各种细节。此外,前面的描述仅是以说明为目的,而不是以 限制为目的。
权利要求
1、一种用于检测欺诈性消息服务消息业务的方法,所述方法包括(a)监视消息服务消息业务;(b)基于存在以下几点中至少一点,确定所监视的消息服务消息业务是欺诈性的(i)在第一网络处从第二网络接收的消息服务消息业务,其具有所述第一网络内部的信令连接控制部分(SCCP)呼叫方地址;(ii)在所述第一网络处从所述第二网络接收的消息服务业务量,其比由所述第一网络发送到所述第二网络的消息服务消息业务量超出一个阈值量;和(iii)被发送到黑号码的消息服务消息业务;以及(c)当确定所监视的消息服务消息业务为欺诈性时,执行减轻操作。
2、 一种用于在通信网络环境中检测欺诈性消息服务消息业务的方法, 所述方法包括(a) 在第一通信网络处,监视从第二通信网络接收的消息服务消息, 其中,所述消息包括信令连接控制部分(SCCP)呼叫方地址(CgPA)参数;(b) 确定所述SCCP CgPA参数是否包含与所述第一通信网络相关的SCCP呼叫方地址;以及(c) 当确定所述SCCP CgPA参数包含与所述第一通信网络相关的 SCCP呼叫方地址时,执行减轻操作。
3、 如权利要求2所述的方法,其中,执行减轻操作包括生成警告。
4、 如权利要求2所述的方法,其中,执行减轻操作包括生成警报通 知消息。
5、 一种用于在通信网络环境中检测欺诈性消息服务消息业务的方法,所述方法包括(a) 监视从通信网络接收的消息服务消息的数目;(b) 监视发送到所述通信网络的消息服务消息的数目;(c) 确定从所述通信网络接收的消息服务消息的数目与发送到所述通 信网络的消息服务消息的数目是否至少相差一个阈值量;以及(d) 当确定从所述通信网络接收的消息服务消息的数目与发送到所述 通信网络的消息服务消息的数目相差至少所述阈值量时,执行减轻操作。
6、 如权利要求5所述的方法,其中,执行减轻操作包括生成警告。
7、 如权利要求5所述的方法,其中,执行减轻操作包括生成警报通知消息。
8、 一种用于在通信网络环境中检测欺诈性消息服务消息业务的方法,所述方法包括(a) 观测第一消息服务消息,其中,所述第一消息包括消息接收者标 识符和消息始发者标识符;(b) 确定所述消息接收者标识符是否是未分配号码;(c) 当确定所述消息接收者标识符是未分配号码时,将所述消息始发 者标识为可疑始发者;以及(d) 当观测到由所述消息始发者发送的第二消息服务消息时,执行减 轻操作。
9、 如权利要求8所述的方法,其中,执行减轻操作包括生成警告。
10、 如权利要求8所述的方法,其中,执行减轻操作包括生成警报 通知消息。
11、 一种用于在通信网络环境中对欺诈性消息服务消息业务进行检测 的方法,所述方法包括(a)观测消息服务错误报告消息,其与试图将消息服务消息从消息始发者传递到未知用户相关;(b) 确定所述消息始发者是否己经触发了多于预定阈值数目的消息服 务错误报告消息;以及(c) 当确定所述消息始发者已经触发了多于预定阈值数目的消息服务 错误报告消息时,执行减轻操作。
12、 一种用于在通信网络环境中检测欺诈性消息服务消息业务的系统, 所述系统包括(a) 用于监视消息服务消息业务的消息服务消息监视功能实体;(b) 消息服务消息欺诈检测功能实体,用于基于存在以下几点中至少 一点将所监视的消息服务消息业务识别为欺诈性(i) 在第一网络处从第二网络接收的消息服务消息业务,其具有 所述第一网络内部的信令连接控制部分(SCCP)呼叫方地址;(ii) 在所述第一网络处从所述第二网络接收的消息服务业务量, 其比由所述第一网络发送到所述第二网络的消息服务消息业务量 超出一个阈值量;和(iii) 被发送到黑号码的消息服务消息业务;以及(C)其中,所述消息服务消息欺诈检测功能实体适于当将所监视的 消息服务消息业务识别为欺诈性时,执行减轻操作。
13、 一种用于在通信网络环境中检测欺诈性消息服务消息业务的系统, 所述系统包括(a) 与第一通信网络相关的消息服务消息监视功能实体,用于监视从 第二通信网络接收的消息服务消息;以及(b) 消息服务消息欺诈检测功能实体,用于分析由所述监视功能实体 所监视的消息服务消息,并且确定与所观测消息相关的信令连接控制部分(SCCP)呼叫方地址(CgPA)参数是否包含与所述第一通信网络相关的 SCCP地址。
14、 如权利要求13所述的系统,其中,所述消息服务消息欺诈检测功能实体适于当确定与所述所观测消息相关的SCCPCgPA参数包含与所述 第一通信网络中的节点相关的SCCP地址时,执行减轻操作。
15、 一种用于在通信网络环境中检测欺诈性消息服务消息业务的系统,所述系统包括(a) 消息服务消息监视功能实体,用于监视发送到通信网络的消息服 务消息和从所述通信网络接收的消息服务消息;(b) 消息服务消息欺诈检测功能实体,用于分析由所述监视功能实体 所监视的消息服务消息,并且确定发送到所述通信网络的消息服务消息的 数目与从所述通信网络接收的消息服务消息的数目是否相差至少一个阈值
16、 如权利要求15所述的系统,其中,所述消息服务消息欺诈检测功 能实体适于当确定发送到所述通信网络的消息服务消息的数目与从所述 通信网络接收的消息服务消息的数目相差至少所述阈值量时,执行减轻操作。
17、 一种用于在通信网络环境中检测欺诈性消息服务消息业务的系统,所述系统包括(a) 消息服务消息监视功能实体,用于监视消息服务消息;以及(b) 消息服务消息欺诈检测功能实体,用于分析由所述监视功能实体 所监视的消息服务消息,用于确定来自消息始发者的第一消息服务消息中 包含的消息接收者标识符是否是未分配号码,当确定所述第一消息服务消 息中的所述接收者标识符是未分配号码时,用于确定后续消息服务消息是 否由所述消息始发者发送,当确定后续消息服务消息是由所述消息始发者 发送时,用于执行减轻操作。
18、 一种用于在通信网络环境中检测欺诈性消息服务消息业务的系统,所述系统包括(a)消息服务消息监视功能实体,用于观测消息服务错误报告消息;以及(b)消息服务消息欺诈检测功能实体,用于确定所述消息服务错误报 告消息是否与试图将消息服务消息从消息始发者传递到未知用户相关,用 于确定所述消息始发者是否已经触发了多于预定阈值数目的消息服务错误 报告消息,并且当确定所述消息始发者已经触发了多于预定阈值数目的消 息服务错误报告消息时,执行减轻操作。
19、 一种计算机程序产品,包括嵌入在计算机可读介质中的计算机可 执行指令,用于执行以下步骤,包括-(a) 监视消息服务消息业务;(b) 基于存在以下几点中至少一点,确定所监视的消息服务消息业务 是欺诈性的(i) 在第一网络处从第二网络接收的消息服务消息业务,其具有 所述第一网络内部的信令连接控制部分(SCCP)呼叫方地址;(ii) 在所述第一网络处从所述第二网络接收的消息服务业务量, 其比由所述第一网络发送到所述第二网络的消息服务消息业务量 超出一个阈值量;和(iii) 被发送到黑号码的消息服务消息业务;以及(c) 当将所监视的消息服务消息业务识别为欺诈性时,执行减轻操作。
全文摘要
公开了用于检测欺诈性消息服务消息业务的方法、系统和计算机程序产品。根据一种方法,监视消息服务消息。基于检测到以下几点中至少一点确定消息服务消息业务指示该消息服务消息业务是欺诈性的1)在第一网络处从第二网络接收的消息服务消息业务,其中,该业务包括至少一条具有第一网络内部SCCP呼叫方地址的消息;2)在第一网络处从第二网络接收的消息服务业务量,其比由第一网络发送到第二网络的消息服务消息业务量超出一个阈值量;以及3)消息服务消息业务被发送到黑号码。当检测到欺诈性消息服务消息业务时,执行减轻操作。
文档编号G06F11/00GK101454758SQ200680052749
公开日2009年6月10日 申请日期2006年12月14日 优先权日2005年12月14日
发明者T·E·鲁塞尔 申请人:泰克莱克公司