电信诈骗预警方法、装置、电子设备及介质与流程

本发明涉及通信安全技术领域，尤其涉及一种电信诈骗预警方法、装置、电子设备及介质。

背景技术：

从2011年以来，电信诈骗案发案数量快速增值，电信诈骗大案、要案增多,整体呈高发态势。全国接到诈骗信息的人数超过5亿，相当于全国每3人中至少有1人接收过诈骗信息。

电信诈骗已经从撒网式向精准化、高科技升级，电信诈骗作案者则呈现年轻化态势。随着电信诈骗大案、要案增多，整体呈高发态势，单一案件损失金额最高已超过1亿元，而动辄损失百万元以上的案件更是屡见不鲜。

为此，全面贯彻“警民共建、科技强警”的发展观，以提高公安机关快速反应和打击能力，保护辖区居民不被诈骗团伙利用，造成经济损失，树立公安机关打击电信诈骗的公共形象，地市急需建设一套打击与预防相结合的反电信诈骗方法，以实现和犯罪分子的对抗。

技术实现要素：

为了克服现有技术的不足，本发明的目的之一在于提供一种电信诈骗预警方法，其可以快速识别来电号码的类型，以便于进行相应的预警。

本发明的目的之一采用如下技术方案实现：

一种电信诈骗预警方法，包括以下步骤：

接收通话记录，所述通话记录具有来电号码和被呼叫号码；

获取诈骗数据库、预警数据库及疑似规则，所述诈骗数据库存储有诈骗号码，所述预警数据库存储有与所述诈骗号码关联的预警号码，所述疑似规则用于筛选出疑似电信诈骗的号码；

当所述来电号码与所述诈骗数据库、所述预警数据库及所述疑似规则之中的任意一个匹配时，则标记所述被呼叫号码。

进一步地，还包括以下步骤：

接收待处理诈骗号码；

判断所述待处理诈骗号码是否与所述诈骗数据库匹配，若否，则基于所述待处理诈骗号码更新所述诈骗数据库和所述预警数据库。

进一步地，基于所述待处理诈骗号码更新所述预警数据库，包括以下步骤：

对所述待处理诈骗号码进行溯源，以得到发起源，所述发起源为服务器或中转ip或设备id；

查询由所述发起源发起的通话，以得到中间过渡号码和最终显示号码；

基于所述中间过渡号码和所述最终显示号码更新所述预警数据库。

进一步地，所述疑似规则包括疑似官方号码的第一规则，所述第一规则包括以下步骤；

获取第一数据库，所述第一数据库存储有官方号码；

判断所述来电号码与所述第一数据库是否匹配，若否，则计算所述来电号码与各个官方号码之间的差别度，判断是否存在符合预警要求的差别度，若是，则输出疑似信号。

进一步地，所述疑似规则包括疑似境外诈骗的第二规则，所述第二规则包括以下步骤；

查询与所述来电号码对应的设备id和账号名；

当所述设备id存在且所述账号名为繁体字时，则输出疑似信号。

进一步地，还包括以下步骤：

获取前缀特征库，所述前缀特征库存储有各个被诈骗号码的前缀特征；

查询所述被呼叫号码的前缀特征，并判断所述被呼叫号码的前缀特征与所述前缀特征库是否匹配，若是，则标记所述被呼叫号码。

进一步地，还包括以下步骤：

获取被标记的号码并记为号码a，所述号码a均携带有标记理由；

基于所述标记理由生成提醒短信；

向各个号码a下发对应的提醒短信。

本发明的目的之二在于提供一种电信诈骗预警装置，其可以快速识别来电号码的类型，以便于进行相应的预警。

本发明的目的之二采用如下技术方案实现：

一种电信诈骗预警装置，包括：第一接收模块，用于接收通话记录，所述通话记录具有来电号码和被呼叫号码；查询模块，用于获取诈骗数据库、预警数据库及疑似规则，所述诈骗数据库存储有诈骗号码，所述预警数据库存储有与所述诈骗号码关联的预警号码，所述疑似规则用于筛选出疑似电信诈骗的号码；处理模块，当所述来电号码与所述诈骗数据库、所述预警数据库及所述疑似规则之中的任意一个匹配时，则标记所述被呼叫号码。

本发明的目的之三在于提供执行发明目的之一的电子设备，其包括处理器、存储介质以及计算机程序，所述计算机程序存储于存储介质中，所述计算机程序被处理器执行时实现上述的电信诈骗预警方法。

本发明的目的之四在于提供存储发明目的之一的计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述的电信诈骗预警方法。

相比现有技术，本发明的有益效果在于：该电话诈骗预警方法将来电号码与诈骗数据库、预警数据库及疑似规则分别进行匹配，若任意一组匹配成功，则进行标记以为后期的提醒提供基础；在诈骗数据库、预警数据库及疑似规则的作用下，扩大了识别的范围，从而可以提高预警效果。

附图说明

图1为实施例一所示方法的流程框图；

图2为实施例三所示方法的局部流程框图；

图3为实施例三所示方法的步骤s303的流程框图；

图4为实施例三所示方法的步骤s30、步骤s50及步骤s40的流程框图；

图5为实施例四所示方法的步骤s80的流程框图；

图6为实施例五所述装置的结构框图；

图7为实施例六电子设备的结构框图。

图中：1、第一接收模块；2、查询模块；3、处理模块；41、处理器；42、存储器；43、输入装置；44、输出装置。

具体实施方式

以下将结合附图，对本发明进行更为详细的描述，需要说明的是，以下参照附图对本发明进行的描述仅是示意性的，而非限制性的。各个不同实施例之间可以进行相互组合，以构成未在以下描述中示出的其他实施例。

实施例一

本实施例提供了一种电信诈骗预警方法，旨在解决急需建设一套打击与预防相结合的反电信诈骗方法的问题。参照图1所示，该电信诈骗方法具体包括以下步骤。

步骤s10、接收通话记录。该通话记录具有来电号码和被呼叫号码。该通话记录可以由移动端发送，也可以由该执行设备的待处理数据库发送。其中，当通话记录由移动端发送时，则该被呼叫号码应当是该移动端所使用的号码；当通话记录由该执行设备的待处理数据库发送时，该发送优选按照通话记录的队列顺序执行，该队列顺序在此不做限定。

步骤s20、获取诈骗数据库、预警数据库及疑似规则。诈骗数据库存储有诈骗号码；预警数据库存储有与诈骗号码关联的预警号码；疑似规则用于筛选出疑似电信诈骗的号码。

在此值得说明的是，该预警数据库是基于诈骗数据库得到的，且预警数据库和诈骗数据库不相交；该疑似规则是基于开发人员总结电信诈骗事件规律得到的，从而符合疑似规则的号码可能具有诈骗倾向，因此应当对相应的被呼叫号码进行提醒。

步骤s30、判断来电号码是否与诈骗数据库、预警数据库及疑似规则中的任意一个匹配，若是，则执行步骤s40；若否，则可以执行步骤s10或结束。

步骤s40、标记被呼叫号码。通过标记被呼叫号码，一方面便于整合以供画像，另一方面作为后期进行提醒的基础。

值得说明的是，该方法的步骤是基于执行设备完成的。具体地，该执行设备可以为服务器、用户端、处理器等设备，但该执行设备不限于上述类型。

综上，该电话诈骗预警方法将来电号码与诈骗数据库、预警数据库及疑似规则分别进行匹配，若任意一组匹配成功，则进行标记以为后期的提醒提供基础；在诈骗数据库、预警数据库及疑似规则的作用下，扩大了识别的范围，从而可以提高预警效果。

实施例二

本实施例提供了一种电信诈骗预警方法，其是实施例一的基础上进行的。具体地，该电信诈骗预警方法还包括数据预处理，其可以包括以下操作。

具体地，先接收待处理数据，该待处理数据是由外部设备发送的通话记录；备份该待处理数据；然后清洗该待处理数据，以去除重复的通话记录；将清洗完成的待处理数据存入待处理数据库，继而可以执行步骤s10。通过该技术方案，从而可以提高待处理数据库的质量。

优选地，为了提高待处理数据库的质量，该数据预处理还包括：在待处理数据存入待处理数据库之前，先判定各个待处理数据的通话时长是否为零，若否，则将待处理数据存入待处理数据库，若是，则删除该待处理数据。

优选地，待处理数据库内的通话记录应当进行排序，从而可以有序地执行步骤s10，以减小软硬件的负担。该排序方式不限于根据起始时间、终止时间、通话时长等。

实施例三

本实施例提供了一种电信诈骗预警方法，其是实施例一或实施例二的基础上进行的。

具体地，参照图2所示，步骤s30可以包括步骤s301～步骤s303。

步骤s301、判断来电号码与诈骗数据库是否匹配，若是，则执行步骤s40；若否，则执行步骤s302。

步骤s302、判断来电号码与预警数据库是否匹配，若是，则执行步骤s40；若否，则执行步骤s303。

步骤s303、判断来电号码与疑似规则是否匹配，若是，则执行步骤s40；若否，说明来电号码与上述三者中的任意一个均不匹配，则可以结束或执行其他预设的步骤。

由于诈骗号码是至少已经完成过一次诈骗的号码，其精确度高；预警号码是与诈骗号码关联的号码，其精确度较高；经由疑似规则筛选出的号码，其精确度较低。而上述的技术方案便将来电号码依次与诈骗数据库、预警数据库及疑似规则匹配，不仅可以确定来电号码是否与上述三者任意一个匹配，还可以精确判断来电号码的类型，并提高整体的运行效率。

作为可选的技术方案，该疑似规则包括第一规则，该第一规则用于筛选疑似官方号码的号码。具体地，参照图3所示，步骤s303包括步骤s3031～步骤s3035。

步骤s3031、获取第一数据库。该第一数据库内存储有官方号码，其包括但不限于政府官方电话、淘宝天猫客服电话、航空公司客服电话等。

步骤s3032、判断来电号码与第一数据库是否匹配，若是，表示该来电号码与第一规则不匹配，则可以结束或执行其他预设的步骤，若否，则执行步骤s3033。

步骤s3033、计算来电号码与各个官方号码之间的差别度。该差别度的计算方案可以如下：来电号码为m位，官方号码也为m位，若在第4位处来电号码与官方号码存在差别时，则该差别度可以为1/m；若在第4位和第5位来电号码与官方号码存在差别时，则该差别度可以为1/m+1/m。

优选地，该差别度的计算方案还可以如下：各个位数均具有相应的权重，例如第4位的权重为0.4，第5位的权重为0.3，若在第4位和第5位来电号码与官方号码存在差别，则该差别度可以为0.4*(1/m)+0.3*(1/m)。可以理解的是，该差别度的计算方案不限于上述方式，其可以根据相应的情况进行调整。

步骤s3034、判断是否存在符合预警要求的差别度，若是执行步骤s3035，若否，说明该来电号码与第一规则不匹配，则可以结束或执行其他预设的步骤。该预警要求可以为阈值，例如：预警要求可以为差别度小于0.28。

步骤s3035、则输出疑似信号。当输出疑似信号时，则说明该来电号码与疑似规则匹配，相应的执行设备会响应该疑似信号执行步骤s40。

通过该技术方案，以确定来电号码是否存在冒充官方号码的嫌疑，以提高电信诈骗的识别范围。在此值得说明的是，由于部分官方号码相互之间存在相似的情况，因此，需要先确定来电号码不属于官方号码，才进行疑似官方号码的确认，从而避免将部分官方号码被纳入举报的范围。

作为可选的技术方案，该疑似规则包括第二规则，该第二规则用于筛选疑似境外诈骗的号码。具体地，参照图3所示，步骤s303包括步骤s3036～步骤s3038。

步骤s3036、查询与来电号码对应的设备id和账户名。该设备id可能为对应话机的id号，也可能为空；该账户名可能为简体字，也可能为繁体字。

步骤s3037、判断是否符合第二条件，第二条件为：设备id存在且账号名为繁体字。若是，则执行步骤s308、则输出疑似信号；若否，则表示来电号码与第二规则不匹配，则可以结束或执行其他预设的步骤。

作为可选的技术方案，疑似规则可以包括第一规则和第二规则，第一规则和第二规则可以参考上述设置，在此不做赘述，但是应当先执行第一规则，然后执行第二规则，即在步骤s3034中，若不存在差别度符合预警要求，说明该来电号码与第一规则不匹配，则可以执行步骤s3036，以及步骤3035可以与步骤s3038合并为一步执行。

在此值得说明的是，该疑似电信诈骗的号码还具有通话费率较高的情况，因此，也可以将通话费率、设备id以及账户名结合以作为第三规则，例如当来电号码符合通话费率高于阈值、设备id存在、账户名为繁体字中的任意两个条件时，则对应输出疑似信号。优选地，该第三规则应当在第二规则之后执行，即当来电号码与第二规则不匹配时执行该第三规则。

作为可选的技术方案，还电信诈骗预警还可以包括步骤s50，该步骤s50基于被呼叫号码并对其进行提醒。参照图4所示，该步骤s50包括步骤s501～步骤s503。

步骤s501、获取前缀特征库。该前缀特征库存储有各个被诈骗号码的前缀特征。例如当诈骗号码为11位时，该前缀特征可以为前9位。

步骤s502、查询被呼叫号码的前缀特征。

步骤s503、判断被呼叫号码的前缀特征与前缀特征数据库是否匹配，若是可以结束，若否，执行步骤s40。

在此值得说明的是，该步骤s50应当是在步骤s30中来电号码与三者均不匹配时执行。根据电信诈骗的经验总结，部分诈骗人员采用扫号的方式进行拨号，因此该步骤s50是基于扫号的规律对被呼叫的号码进行验证，以对被呼叫号码进行预警。该技术方案对来电号码、被呼叫号码均进行检查，从而可以有效降低电信诈骗事件发生的概率。

作为可选的技术方案，参照图2所示，由于该通话记录是由企业、运营商或平台委托识别的，则该电信诈骗预警方法还包括步骤s60、基于被标记的号码生成信息单元并写入报告，该信息单元具有来电号码、来电号码的类型、被呼叫的号码，其中来电号码的类型包括诈骗、预警以及疑似。

当然，部分企业、运营商或平台还希望向对应的用户提醒，则该电信诈骗诈骗预警方法还包括步骤s70、获取被标记的号码并记为号码a，号码a均携带有标记理由，标记理由包括来电号码的类型、起始时间等，其中来电号码的类型包括诈骗、预警以及疑似；基于标记理由生成提醒短信，从而该提醒短信包括了上述的来电号码类型和起始时间；向各个号码a下发对应的提醒短信。值得说明的是，该步骤s60和步骤s70均在步骤s40之后，且不限定顺序，但优选步骤s70在步骤s60之后。

实施例四

本实施例提供了一种电信诈骗预警方法，参照图5所示，其是实施例一至实施例三中任意一个或多个组合的基础上进行的。

当确定一诈骗号码时，则需要对诈骗数据库和疑似数据库进行更新，以保证诈骗数据库和疑似数据库的完整性，进而提高预警的准确性。因此本电信诈骗方法还包括步骤s80，其具体包括步骤s801～步骤s803。

步骤s801、接收待处理诈骗号码。该待处理诈骗号码为已经被确认参与电信诈骗的号码。

步骤s802、判断待处理诈骗号码是否与诈骗数据库匹配，若是，则可以结束，若否，则执行步骤s803和步骤s804。

步骤s803、基于待处理诈骗号码更新诈骗数据库。即将待处理诈骗号码存入诈骗数据库中，从而保证诈骗数据库的完整，以提高预警的精确度。

步骤s804、基于待处理诈骗号码更新预警数据库。其包括步骤s8041～步骤s8043。

步骤s8041、对待处理诈骗号码进行溯源，以得到发起源。发起源为服务器或中转ip或设备id。值得说明的是，犯罪分子通常是利用员服务器和设备id进行拨号，中间可以经由一个或多个中间服务器进行改号，然后进行呼叫，因此在进行溯源时，若链路完整，则可以得到服务器或设备id，若链路不完整，则可以得到中转ip。

步骤s8042、查询由发起源发起的通话，以得到中间过渡号码和最终显示号码。由发起源发起的通话，经由中间服务器可以得到一个或多个中间号码，以及显示于移动端的最终显示号码。

步骤s8043、基于中间过渡号码和最终显示号码更新预警数据库。即将中间过渡号码和最终显示号码保存于预警数据库。由于发起源与待处理诈骗号码对应，因此由发起源得到的中间过渡号码和最终显示号码与犯罪分子相关的可能性极大，因此，其需要作为预警号码，从而保证预警数据库的完整，以提高预警的精确度。

实施例五

本实施例提供一种电信诈骗预警装置，为上述实施例的虚拟装置结构。参照图6所示，其包括第一接收模块1、查询模块2以及处理模块3。

第一接收模块1用于接收通话记录，通话记录具有来电号码和被呼叫号码；查询模块2用于获取诈骗数据库、预警数据库及疑似规则，诈骗数据库存储有诈骗号码，预警数据库存储有与诈骗号码关联的预警号码，疑似规则用于筛选出疑似电信诈骗的号码；处理模块3当来电号码与诈骗数据库、预警数据库及疑似规则之中的任意一个匹配时，则标记被呼叫号码。

进一步地，还包括更新模块，其用于接收待处理诈骗号码；判断待处理诈骗号码是否与诈骗数据库匹配，若否，则基于待处理诈骗号码更新诈骗数据库和预警数据库。

进一步地，基于待处理诈骗号码更新预警数据库，包括以下步骤：对待处理诈骗号码进行溯源，以得到发起源，发起源为服务器或中转ip或设备id；查询由发起源发起的通话，以得到中间过渡号码和最终显示号码；基于中间过渡号码和最终显示号码更新预警数据库。

实施例六

电子设备4可以是台式计算机、笔记本电脑、服务器(实体服务器或云服务器)等，甚至也可以是手机或平板电脑等，

图7为本实施例提供的一种电子设备的结构示意图，如图7所示，该电子设备4包括处理器41、存储器42、输入装置43和输出装置44；计算机设备中处理器41的数量可以是一个或多个，图7中以一个处理器41为例；电子设备4中的处理器41、存储器42、输入装置43和输出装置44可以通过总线或其他方式连接，图7中以通过总线连接为例。

存储器42作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本发明实施例中的电信诈骗预警方法对应的程序指令/模块，该程序指令/模块为电信诈骗预警装置中的第一接收模块、查询模块以及处理模块。处理器41通过运行存储在存储器42中的软件程序、指令/模块，从而执行电子设备4的各种功能应用以及数据处理，即实现上述实施例一至实施例四的任意实施例或实施例组合的电信诈骗预警方法。

存储器42可主要包括存储程序区和存储数据区，其中存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据终端的使用所创建的数据等。此外，存储器42可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。存储器42还可以进一步设置为包括相对于处理器41远程设置的存储器，这些远程存储器可以通过网络连接至电子设备4。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

值得说明的是，输入装置43可以用于接收获取的相关数据。输出装置44可以包括文档或显示屏等显示设备。具体地，当输出装置44为文档时，可以将对应信息按照特定的格式记录于文档内，在实现数据保存的同时，还实现了数据的整合；当输出装置44为显示屏等显示设备时，直接将对应信息投放于显示屏等设备上，以便于用户实时查看。

实施例七

本实施例还提供一种计算机可读存储介质，其包含计算机可执行指令，计算机可执行指令在由计算机处理器执行时用于执行上述的电信诈骗预警方法，该方法包括：

接收通话记录，通话记录具有来电号码和被呼叫号码；

获取诈骗数据库、预警数据库及疑似规则，诈骗数据库存储有诈骗号码，预警数据库存储有与诈骗号码关联的预警号码，疑似规则用于筛选出疑似电信诈骗的号码；

当来电号码与诈骗数据库、预警数据库及疑似规则之中的任意一个匹配时，则标记被呼叫号码。

当然，本发明实施例所提供的一种计算机可读存储介质，其计算机可执行指令不限于如上的方法操作。

通过以上关于实施方式的描述，所属领域的技术人员可以清楚地了解到，本发明可借助软件及必需的通用硬件来实现，当然也可以通过硬件实现，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、闪存(flash)、硬盘或光盘等，包括若干指令用以使得一台电子设备(可以是手机，个人计算机，服务器，或者网络设备等)执行本发明中实施例一至实施例三任意实施例或实施例组合的电信诈骗预警方法。

值得注意的是，上述的电信诈骗预警的实施例中，所包括的各个单元和模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可。另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。

上述实施方式仅为本发明的优选实施方式，不能以此来限定本发明保护的范围，本领域的技术人员在本发明的基础上所做的任何非实质性的变化及替换均属于本发明所要求保护的范围。