一种电信欺诈行为多维监测方法和系统的制作方法

一种电信欺诈行为多维监测方法和系统的制作方法
【专利摘要】本发明公开了一种电信欺诈行为多维监测方法和系统。所述系统包括用户数据采集处理模块（1）、欺诈检测模块（2）、风险量化评估模块（3）和预警处理模块（4）。所述用户数据采集处理模块（1）用于对用户数据进行采集和预处理，生成检测数据。所述欺诈检测模块（2）用于确定规则库中与所述检测数据匹配的所有欺诈规则。所述风险量化评估模块（3）用于根据匹配的欺诈规则对检测数据进行风险量化评估，得到欺诈风险量化值。所述预警处理模块（4）用于根据欺诈风险量化值对用户进行欺诈判定，并执行相应的预警操作。本发明电信欺诈行为多维监测系统具有较高的欺诈识别准确率及较好的欺诈识别时效性，可大大减少电信欺诈行为给用户造成的损失。
【专利说明】一种电信欺诈行为多维监测方法和系统
【技术领域】
[0001]本发明涉及欺诈识别【技术领域】，更具体地说，涉及一种电信欺诈行为多维监测方法和系统。
【背景技术】
[0002]在电信欺诈行为检测方法中，如欺诈规则的检测维度越少，各维度的阈值越低，则欺诈分子识别的耗时短，欺诈检测的时效性较好。但是，欺诈分子识别的准确率会大大下降，导致大量的误报警及用户的投诉率的增加。如欺诈规则的检测维度越多，各维度的阈值越高，则欺诈分子识别的准确率会得到提高。但是，欺诈分子识别耗时长，欺诈检测的时效性较差。当欺诈分子被识别时，该欺诈分子已使受害者产生了高额话务，蒙受了巨大损失。更为糟糕的是，现有的电信欺诈行为检测方法并不能根据当前的电信欺诈行为趋势的变化对欺诈规则进行实时更新。当欺诈分子针对现电信欺诈行为检测方法对欺诈形式、欺诈手段做出变换时，现有的电信欺诈行为检测方法将因无法检测到新的欺诈行为或新的欺诈手段而无用武之地。
[0003]因此，如何开发一种同时兼顾欺诈行为识别的准确性及欺诈行为识别的时效性，以及具备欺诈规则更新功能的电信欺诈行为多维监测方法和系统已成为亟待解决的问题。

【发明内容】

[0004]本发明要解决的技术问题在于，针对现有技术中欺诈规则无法进行更新、欺诈检测维度少，各维度阈值低时，欺诈识别的准确率低，而欺诈检测维度多，各维度阈值高时欺诈识别的时效性差的缺陷提供一种可兼顾欺诈识别的准确率及欺诈识别的时效性，并具备欺诈规则更新功能的电信欺诈行为多维监测方法和系统。
[0005]本发明解决其技术问题所采用的技术方案是:构造一种电信欺诈行为多维监测方法，包括如下步骤:
[0006]SI)对包含用户信息及话单信息的用户数据进行采集和预处理，生成用于识别潜在欺诈分子的检测数据；
[0007]S2)确定规则库中与所述检测数据匹配的所有欺诈规则，并通过所述欺诈规则对所述检测数据逐一进行欺诈检测，得到对应于所述检测数据的用户的欺诈检测结果；
[0008]S3)执行与所述欺诈检测结果相应的预警方案。
[0009]在本发明上述电信欺诈行为多维监测方法中，还包括如下步骤:
[0010]S0)在所述步骤SI之前，预设用于对执行欺诈检测的用户中的欺诈分子进行甄别的第一欺诈风险量化警告阈值和第二欺诈风险量化警告阈值。
[0011]在本发明上述电信欺诈行为多维监测方法中，还包括如下步骤:
[0012]S23)在所述步骤S2和所述步骤S3之间，对所述检测数据所表征的用户欺诈风险进行量化评估。
[0013]在本发明上述电信欺诈行为多维监测方法中，所述步骤S23具体包括如下步骤:[0014]S231)通过所述欺诈规则对所述检测数据进行风险量化评估，得到各欺诈规则所反映的欺诈风险值；
[0015]S232)接收规则组合调整因子；
[0016]S233)根据上述各欺诈规则的欺诈风险值中的最大值、以及规则组合调整因子计算表征用户的欺诈倾向度的欺诈风险量化值。
[0017]在本发明上述电信欺诈行为多维监测方法中，所述步骤S233中所述欺诈风险量化评估值由欺诈风险量化公式计算所得，所述欺诈风险量化公式如下所示:
[0018]P=max{pl，p2,......pi}*B, (i ≥ 1)；
[0019]其中，P为对应于所述检测数据的用户的欺诈风险量化值；
[0020]pi为第i欺诈规则所反映的欺诈风险值；
[0021]B为规则组合调整因子；
[0022]所述欺诈风险量化公式中的规则组合调整因子的计算公式如下所示:
[0023]B=P' /max (p1，P2，......ρη), (η ≥ 2)；
[0024]其中，P'为组合规则的置信度；
[0025]Pi为第i欺诈规则的置信度。
[0026]在本发明上述电信欺诈行为多维监测方法中，所述步骤S3还包括:根据欺诈风险量化值对所述检测数据所对应的用户进行欺诈判定、及确定预警级别，并执行与该预警级别相应的预警操作。
[0027]在本发明上述电信欺诈行为多维监测方法中，所述步骤S3还包括:如判断所述欺诈风险量化值达到或超过预设的第一欺诈风险量化警告阈值，则将该用户定义为具有特大欺诈嫌疑的用户，将预警级别定义为最高级别，将欺诈判定结果以预设的第一种预警方式告知警情处理人员，并使警情处理人员在预设的第一时间内执行电信欺诈行为核查工作；
[0028]如判断所述欺诈风险量化值位于预设的第一欺诈风险量化警告阈值和预设的第二欺诈风险量化警告阈值所构成的欺诈风险警告区间，则将该用户定义为具有重大欺诈嫌疑的用户，将欺诈判定结果以预设的第二种预警方式告知警情处理人员，并使警情处理人员在预设的第二时间内执行用户欺诈行为核查工作；
[0029]如判断所述欺诈风险量化值不超过预设的第二欺诈风险量化警告阈值，则将该用户定义为具有欺诈嫌疑的用户，将预警级别定义为最低级别，将欺诈判定结果以预设的第三种预警方式告知警情处理人员，并使警情处理人员在预设的第三时间内执行用户欺诈行为核查工作。
[0030]在本发明上述电信欺诈行为多维监测方法中，所述方法包括如下步骤:
[0031]SI,)接收用户数据及其对应的欺诈判定信息，将所述用户数据和所述欺诈判定信息作为样本数据进行存储；
[0032]S2')如收到从用户行为特征库选取的至少一个特征元素，则根据存储的样本数据计算该特征元素的参考值，将该特征元素及其参考值进行封装，生成新的欺诈规则，并将该新的欺诈规则导入规则库。
[0033]在本发明上述电信欺诈行为多维监测方法中，还包括如下步骤:
[0034]SO')在所述步骤SI'之前，将用于表征用户欺诈行为的特征元素预存于用户行为特征库，并预设用于启动欺诈规则的更新操作，包括样本数量波动变化幅度、欺诈类型波动变化幅度、欺诈规则更新时间的欺诈规则触发条件，或预设用于定时启动欺诈规则更新操作的欺诈规则自动更新时间。
[0035]在本发明上述电信欺诈行为多维监测方法中，所述步骤SI,还包括:根据存储的样本数据计算规则组合调整因子，并将该规则组合调整因子作为用户欺诈风险量化评估的参考数据进行存储。
[0036]在本发明上述电信欺诈行为多维监测方法中，所述步骤SO'还包括:接收用于反映欺诈类型波动变化趋势的新的特征元素，并将该新的特征元素存储于用户行为特征库。
[0037]在本发明上述电信欺诈行为多维监测方法中，所述步骤SI,还包括:对样本数量波动变化幅度和/或欺诈类型波动变化幅度进行在线监控。
[0038]在本发明上述电信欺诈行为多维监测方法中，所述步骤S2'还包括:如判断当前的样本数量波动变化幅度和/或欺诈类型波动变化幅度达到预设的欺诈规则更新触发条件，则根据当前的样本数据对现有的欺诈规则涉及的特征元素的参考值进行重新测算，得到更新的参考值，或根据当前的样本数据对导入的新的特征元素的参考值进行测算，得到新的参考值，将所得更新的参考值或新的参考值及其对应的特征元素进行封装，形成更新的欺诈规则或新的欺诈规则。
[0039]本发明还构造一种电信欺诈行为多维监测系统，包括用户数据采集处理模块、欺诈检测模块和预警处理模块，所述欺诈检测模块包括用于存储各种欺诈规则的规则库；
[0040]所述用户数据采集处理模块用于对用户数据进行采集和预处理，生成用于识别潜在欺诈分子的检测数据；
[0041]所述欺诈检测模块用于确定规则库中与所述检测数据匹配的所有欺诈规则，并根据所述欺诈规则对所述检测数据进行欺诈检测，得到对应于所述检测数据的用户的欺诈检测结果；
[0042]所述预警处理模块用于根据所述欺诈检测模块得到的欺诈检测结果来执行相应的预警方案。
[0043]在本发明上述电信欺诈行为多维监测系统中，所述系统还包括用于接收由所述用户数据采集处理模块输入的用户数据、以及接收由所述预警处理模块输入的与所述用户数据对应的欺诈判定信息，将所述用户数据及其对应的欺诈判定信息作为样本数据进行存储，以及用于根据选取的至少一个特征元素，并结合样本数据计算与该特征元素对应的参考值的规则测算模块、用于将该选取的至少一个特征元素及其对应的参考值进行封装，生成新的欺诈规则的规则构建模块；所述规则构建模块包括用于存储表征用户欺诈行为的特征元素的用户行为特征库、用于存储特征元素的参考值的规则参数存储单元；所述规则测算模块包括用于存储所述样本数据的样本数据存储单元。
[0044]在本发明上述电信欺诈行为多维监测系统中，所述规则测算模块还用于根据所述样本数据存储单元存储的样本数据计算规则组合调整因子；
[0045]所述系统还包括用于获取与所述检测数据匹配的所有欺诈规则的欺诈风险值，以及接收由所述规则测算模块输入的所述规则组合调整因子，根据所述规则组合调整因子并结合所述欺诈风险值中的最大值对用户的欺诈风险进行量化评估，得到表征用户欺诈倾向度的欺诈风险量化值的欺诈风险量化评估模块。
[0046]实施本发明电信欺诈行为多维监测方法和系统，具有以下有益效果:[0047](I)本发明电信欺诈行为多维监测系统可实时采集用于欺诈检测的检测数据，根据规则库中的多个欺诈规则对检测数据进行多维检测，并通过风险量化评估模块对该检测数据进行欺诈风险量化评估，得到用于表征用户的欺诈倾向度的欺诈风险量化值，以及根据欺诈风险量化值对用户进行欺诈判定。故本发明电信欺诈行为多维监测系统可对各种电信欺诈行为进行欺诈识别，并可达到较高的欺诈识别率。本发明电信欺诈行为多维监测系统的欺诈误判率低，该系统可为用户的通讯安全提供强有力的保障；
[0048](2)在本发明电信欺诈行为多维监测系统中，预警处理模块可根据风险量化评估模块得到的欺诈风险量化值对用户进行欺诈判定及确定预警级别，并根据预警级别来执行差异化预警处理，为运行商的管理措施实施提供了客观依据。本发明系统可通过对用户的通话行为进行风险量化评估来对欺诈分子进行快速甄别，减少欺诈分子实施的电信欺诈行为对受害者造成的损失。故本发明电信欺诈行为多维监测系统不仅兼顾欺诈识别的准确率及欺诈识别的时效性，还具有较高的预警执行效率；
[0049](3)本发明将欺诈规则的构建简化为特征元素及其参考值的组合，新规则的生成机制较为灵活。用户可预置用于欺诈规则更新的各种触发条件。用户还可结合目前的欺诈形式、欺诈手段的变化，向本发明电信欺诈行为多维监测系统的用户行为特征库导入用于反映欺诈类型波动变化趋势的新的特征元素。本发明系统判断样本数据波动变化幅度或欺诈类型波动变化幅度满足预设的欺诈规则更新触发条件时，通过规则测算模块接收由规则构建模块输入的新的特征元素，并结合当前的样本数据来生成新的欺诈规则，以对现有的欺诈规则进行补充。本发明系统还可通过规则测算模块对规则库中的现有欺诈规则的参考值进行重新测算，以及通过规则构建模块接收该调整的参考值，并结合与该参考值对应的特征元素来生成更新的欺诈规则，将更新的欺诈规则导入规则库，以对规则库中的欺诈规则进行实时更新。本发明系统的电信欺诈行为识别准确率，使本发明系统具备甄别最新的电信欺诈行为的功能。本发明电信欺诈行为多维监测系统可很好地适应各种欺诈手段及欺诈趋势的变化。
【专利附图】

【附图说明】
[0050]下面将结合附图及实施例对本发明作进一步说明，附图中:
[0051]图1是本发明较佳实施例提供的电信欺诈行为多维监测系统的结构框图；
[0052]图2是本发明较佳实施例提供的电信欺诈行为多维监测方法的流程图；
[0053]图3是图2所示的电信欺诈行为多维监测方法中的风险量化评估方法的流程图；
[0054]图4是本发明较佳实施例提供的欺诈规则构建方法流程图。
【具体实施方式】
[0055]为了使本发明的目的更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
[0056]如图1所示，本发明电信欺诈行为多维监测系统包括用户数据采集处理模块1、与该用户数据采集处理模块I电连接的欺诈检测模块2、与该欺诈检测模块2电连接的风险量化评估模块3、与该风险量化评估模块3电连接的预警处理模块4、与用户数据采集处理模块1、风险量化评估模块3和预警处理模块4分别电连接的规则测算模块6、与欺诈检测模块2和规则测算模块6分别电连接的规则构建模块5。该欺诈检测模块2包括用于存储欺诈规则的规则库。该规则测算模块包括用于存储样本数据的样本存储单元9。规则构建模块5包括用于存储表征用户欺诈行为的特征元素的用户行为特征库、以及用于存储与特征元素对应的参考值的规则参数存储单元8。
[0057]其中，该用户数据采集处理模块I用于对包含用户个人信息以及通话话单信息的用户数据进行实时采集和预处理，以生成用于识别潜在欺诈分子的检测数据。
[0058]该欺诈检测模块2用于将检测数据与规则库中的规则逐一进行比较，以确定规则库中与该检测数据匹配的所有欺诈规则，根据该匹配的所有欺诈规则对该检测数据进行欺诈检测，得到对应于该检测数据的用户的初步的欺诈检测结果。
[0059]该风险量化评估模块3用于根据各匹配欺诈规则对检测数据进行风险量化评估，并进一步通过获取到的各欺诈规则的欺诈风险值中的最大值以及组合规则调整因子计算表征用户欺诈倾向度的欺诈风险量化评估值。
[0060]该预警处理模块4用于根据风险量化评估模块3输入的欺诈风险量化评估值，并结合欺诈检测模块2提供的初步的欺诈检测结果对该检测数据所对应的用户进行欺诈判定及确定预警级别，并根据预警级别来执行相应的预警操作。
[0061]该规则测算模块6用于接收由用户数据采集处理模块I输入的用户数据、以及接收由预警处理模块4输入的与该用户数据对应的欺诈判定信息，将该用户数据及其对应的欺诈判定信息作为样本数据存储于样本数据存储单元9。该规则测算模块6还用于根据选取的至少一个特征元素，并结合样本数据计算与该特征元素对应的参考值，将该参考值输入到规则构建模块5。
[0062]该规则测算模块6还用于根据该样本数据存储单元9存储的样本数据计算规则组合调整因子，并将该规则组合调整因子作为用户的欺诈风险量化评估的参考数据进行存储。
[0063]该规则构建模块5用于将选取的至少一个特征元素及其对应的参考值进行封装，生成新的欺诈规则，并将新的规则导入欺诈检测模块2的欺诈规则库。
[0064]下面将以本发明的较佳实施方式为例，对本发明电信欺诈行为多维监测方法进行说明:
[0065]如图2所示，在步骤SlOO中，操作人员在电信欺诈行为多维监测系统中预置用于甄别欺诈检测用户中的欺诈分子的第一欺诈风险量化警告阈值Wl和第二欺诈风险量化警告阈值W2。用户完成设置后，本发明系统通过用户数据采集处理单元实时采集包含用户个人信息及通话话单信息的用户数据，对该用户数据进行预处理，生成可用于多维欺诈检测及识别潜在的欺诈分子的检测数据。其中，用户个人信息可以包括用户姓名、照片以及用户信用记录。
[0066]在步骤S200中，欺诈检测模块2将检测数据与规则库中的所有欺诈规则逐一进行比较，以确定规则库中与该检测数据匹配的所有欺诈规则，并根据该匹配的欺诈规则对该检测数据所对应的用户的欺诈风险倾向度进行初步评估，得到初步的欺诈检测结果。
[0067]在步骤S300中，本发明电信欺诈行为多维监测系统的风险量化评估模块3可根据欺诈检测模块2所确定的匹配规则对该检测数据对应的用户进行欺诈风险量化评估。[0068]下面将以本发明的较佳实施方式为例，对本发明的欺诈风险量化评估方法作进一步说明:
[0069]如图3所示，在步骤S301中，风险量化评估模块3根据欺诈检测模块2所确定的各匹配欺诈规则对检测数据逐一进行欺诈风险量化评估。
[0070]在步骤S302中，风险量化评估模块3未完成欺诈风险量化评估，该风险量化评估模块3仅获取到部分欺诈规则的欺诈风险值。
[0071]在步骤S302中，风险量化评估模块3完成欺诈风险量化评估，获得所有匹配的欺诈规则的欺诈风险值。
[0072]在步骤S303中，本发明电信欺诈行为多维监测系统通过风险量化评估模块3判断所有匹配规则的欺诈风险值中的最大值。
[0073]在步骤S304中，该风险量化评估模块3接收由规则生成单元6根据其存储的样本数据计算得到的规则组合调整因子。
[0074]在步骤S305中，风险量化评估模块3根据上述各欺诈规则的欺诈风险值中的最大值并结合规则组合调整因子，通过欺诈风险量化公式计算表征用户欺诈倾向度的欺诈风险量化值。如该欺诈风险量化值越高，则该检测数据所对应的用户为欺诈分子的可能性也越闻。
[0075]其中，本 发明电信欺诈行为多维监测方法中使用的欺诈风险量化公式如下所示:
[0076]P=max{pl，p2,......pi}*B, (i ^ I)；
[0077]其中，P为对应于所述检测数据的用户的欺诈风险量化值；
[0078]pi为第i欺诈规则所反映的欺诈风险值；
[0079]所述欺诈风险量化公式中的规则组合调整因子的计算公式如下所示:
[0080]B=P' /max (p1，P2，......ρη), (η≥ 2)；
[0081]其中，P,为组合规则的置信度，即符合组合规则的所有用户中欺诈分子的百分比；
[0082]Pi为第i欺诈规则的置信度，即符合第i规则的所有用户中欺诈分子的百分比。
[0083]在步骤S400中，预警处理模块4接收风险量化评估模块3的用于表示用户欺诈倾向度的欺诈风险量化值，并结合欺诈检测模块2的初步的欺诈检测结果对该检测数据对应的用户进行欺诈判定，给出欺诈风险评级结果，并根据该欺诈风险评级结果来确定预警级另O，及执行与该预警级别相应的预警方案。
[0084]如该欺诈风险量化值超过预设的第一欺诈风险量化警告阈值Wl (在本发明较佳实施方式中，该第一欺诈风险量化警告阈值Wl为80%)，则预警处理模块4判定与上述检测数据对应的用户为具有特大欺诈嫌疑的用户，将欺诈风险评级结果定义为“高”，将预警级别调至“最高级别”，并执行紧急提醒措施。该紧急提醒措施如下:本发明电信欺诈行为多维监测系统通过预警处理模块4将上述欺诈判定信息以预设的第一种预警方式(包括电话、邮件和短信)告知警情处理人员。在本发明上述第一种预警方式中，电话、邮件及短信仅为示意性的可供选择的预警方式。该第一种预警方式还涵盖除电话、邮件及短信之外的其它各种用于联系警情处理人员的方式。本发明系统将优先采用预警效率较高的电话方式将欺诈判定信息告知警情处理人员，以提高警情处理效率。警情处理人员获知上述欺诈判定信息后，在预设的第一时间Tl (在本实施例中，该第一时间Tl为2小时)内执行电信欺诈行为核查工作。其中，该电信欺诈行为核查工作的操作流程如下:警情处理人员根据欺诈判定信息，用户信息(包括开户时间、信誉度、历史欠缴情况、历史通话行为)以及话单信息对用户欺诈行为作进一步核实。如警情处理人员经核查确认用户电信行为异常，则依据电信行为条款执行停机、销户等操作，以避免用户的风险及损失扩大。本发明欺诈行为多维监测系统将自动记录该次欺诈规则判定的核实结果，将用户数据及其对应的用户欺诈行为核实结果作为用于构建新的欺诈规则以及计算规则组合调整因子的样本数据进行存储。如警情处理人员经核查确定用户的电信行为正常(导致用户行为异常的原因在于:测试卡的测试，或者由于预警规则设置导致的误判，或者嫌疑经核实为假)，则通过本发明欺诈行为多维监测系统记录该次欺诈判定的核实结果。
[0085]如该欺诈风险量化值位于该第一欺诈风险量化警告阈值Wl和预设的第二欺诈风险量化警告阈值W2 (在本发明较佳实施方式中，该第二欺诈风险量化警告阈值为60%)所构成的电信欺诈风险警告区间(W1-W2)以内，则该预警处理模块4判定该检测数据所对应的用户为具有重大欺诈嫌疑的用户，将欺诈风险评级结果定义为“中”，该用户的预警级别调至“中等级别”，执行与中等预警级别相应的预警操作。该中等预警操作流程如下:本发明电信欺诈行为多维监测系统通过预警处理模块4将上述欺诈判定信息以预设的第二种预警方式(包括邮件和短信)告知警情处理人员。警情处理人员收到上述欺诈判定信息后，在预设的第二时间T2 (在本实施例中，该第二时间T2为8小时)内执行如上所述的电信欺诈行为核查工作。
[0086]如该欺诈风险量化值低于预设的第二欺诈风险量化警告阈值W2，则该预警处理模块4判定该检测数据所对应的用户为具有欺诈嫌疑的用户，将欺诈风险评级结果定义为“低”，将该用户的预警级别调至“最低级别”，并执行与该预警级别对应的操作。该最低级别的预警操作流程如下:本发明电信欺诈行为多维监测系统通过预警处理模块4将上述欺诈判定信息以预设的第三种预警方式(即通过系统展示欺诈风险量化值及其对应的预警方式)告知警情处理人员。警情处理人员收到上述欺诈判定信息后，在预设的第三时间T3(在本实施例中，该第二时间Τ3为24小时)内执行如上所述的电信欺诈行为核查工作。
[0087]在本发明电信欺诈行为多维监测系统中，第一欺诈风险量化警告阈值Wl和第二欺诈风险量化警告阈值W2均可调。操作人员可根据欺诈识别准确度的需要，对该第一欺诈风险量化警告阈值Wl和第二欺诈风险量化警告阈值W2进行适当调整，通过调高第一欺诈风险量化警告阈值Wl来进一步提高本发明电信欺诈行为多维监测系统的电信欺诈行为的识别精度，或通过调低第二欺诈风险量化警告阈值W2来扩大欺诈用户的识别范围，以避免本发明系统在电信欺诈识别过程中将潜在的欺诈分子作为正常用户过滤掉的情况的发生。
[0088]下面将以本发明的较佳实施方式为例，对本发明的欺诈规则构建方法作进一步说明:
[0089]如图4所示，在步骤SlOO中，用户将用于表征用户欺诈行为的特征元素预存于用户行为特征库，并预设用于启动欺诈规则的更新操作，包括样本数量波动变化幅度、欺诈类型波动变化幅度、欺诈规则更新时间的欺诈规则触发条件，或预设用于定时启动欺诈规则更新操作的欺诈规则自动更新时间。此外，用户还将用于反映欺诈行为变化趋势的新的特征元素导入用户行为规则库，以对欺诈规则进行更新。
[0090]规则测算模块6接收由用户数据采集处理模块I输入的包括用户个人信息及通话话单信息的用户数据，以及接收由预警处理模块4输入的用户欺诈判定信息，将用户数据及其对应的用户欺诈判定信息作为样本数据存储于样本数据存储单元9。
[0091]在步骤S200中，用户根据当前的欺诈动态、及欺诈分子的行为变化，从用户行为特征库中选取若干个特征元素，并将该选取的特征元素输入规则测算模块6。规则构建模块6根据该导入的特征元素，并参照其存储的样本数据来计算该导入的特征元素的参考值，并将该参考值输入规则构建模块5。
[0092]在步骤S300中，规则构建模块5将接收到的特征元素及其参考值进行封装，生成新的欺诈规则，并将该新的欺诈规则导入欺诈检测模块2的规则库，以对该规则库中的欺诈规则进行更新，以适应于电信市场的欺诈动态或欺诈行为的变化。
[0093]在步骤S200中，规则测算模块6对样本存储单元存储的样本数量的波动变化幅度或欺诈类型的波动变化幅度进行在线监控，以判断该样本数量的波动变化幅度或欺诈类型的波动变化幅度是否满足预设的欺诈规则更新触发条件，或判断当前的系统时间是否达到预设的规则更新时间。
[0094]在步骤S300中，规则测算模块6判断当前的样本数量波动变化幅度或欺诈类型波动变化幅度满足预设的欺诈规则更新的触发条件，或判断当前的系统时间达到预设的规则更新时间，则该规则测算模块6先根据当前的样本数据对现有的欺诈规则涉及的特征元素的参考值进行重新测算，得到更新的参考值，或根据当前的样本数据对规则构建模块5输入的新的特征元素的参考值进行测算，得到新的参考值，再将该更新的参考值或新的参考值输入到规则构建模块5。规则构建模块5将接收到的更新的参考值或新的参考值及其对应的特征元素进行封装，形成更新的欺诈规则或新的欺诈规则，并将该更新的欺诈规则或新的欺诈规则导入欺诈检测模块2的规则库，以对规则库中的规则进行更新。
[0095]即本发明电信欺诈行为多维监测系统可随欺诈动态、欺诈行为的变化生成新的欺诈规则，并对规则库中的规则进行更新，以对新出现的电信欺诈行为进行有效识别。
[0096]实施本发明电信欺诈行为多维监测方法和系统，可以实现以下有益效果:
[0097]本发明电信欺诈行为多维监测系统可实时采集用于欺诈检测的检测数据，根据规则库中的多个欺诈规则对检测数据进行多维检测，并通过风险量化评估模块对该检测数据进行欺诈风险量化评估，得到用于表征用户的欺诈倾向度的欺诈风险量化值，以及根据欺诈风险量化值对用户进行欺诈判定。故本发明电信欺诈行为多维监测系统可对各种电信欺诈行为进行欺诈识别，并可达到较高的欺诈识别率。本发明电信欺诈行为多维监测系统的欺诈误判率低，该系统可为用户的通讯安全提供强有力的保障；
[0098]在本发明电信欺诈行为多维监测系统中，预警处理模块可根据风险量化评估模块得到的欺诈风险量化值对用户进行欺诈判定及确定预警级别，并根据预警级别来执行差异化预警处理。本发明系统可通过对用户的通话行为进行风险量化评估来对欺诈分子进行快速甄别，减少欺诈分子实施的电信欺诈行为对受害者造成的损失。故本发明电信欺诈行为多维监测系统不仅兼顾欺诈识别的准确率及欺诈识别的时效性，还具有较高的预警执行效率。
[0099]本发明将欺诈规则的构建简化为特征元素及其参考值的组合，新规则的生成机制较为灵活。用户可预置用于欺诈规则更新的各种触发条件。用户还可结合目前的欺诈形式、欺诈手段的变化，向本发明电信欺诈行为多维监测系统的用户行为特征库导入用于反映欺诈类型波动变化趋势的新的特征元素。本发明系统判断样本数据波动变化幅度或欺诈类型波动变化幅度满足预设的欺诈规则更新触发条件时，通过规则测算模块接收由规则构建模块输入的新的特征元素，并结合当前的样本数据来生成新的欺诈规则，以对现有的欺诈规则进行补充。本发明系统还可通过规则测算模块对规则库中的现有欺诈规则的参考值进行重新测算，以及通过规则构建模块接收该调整的参考值，并结合与该参考值对应的特征元素来生成更新的欺诈规则，将更新的欺诈规则导入规则库，以对规则库中的欺诈规则进行实时更新。本发明系统的电信欺诈行为识别准确率，使本发明系统具备甄别最新的电信欺诈行为的功能。本发明电信欺诈行为多维监测系统可很好地适应各种欺诈手段及欺诈趋势的变化。
[0100]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种电信欺诈行为多维监测方法，其特征在于，包括如下步骤: 51)对包含用户信息及话单信息的用户数据进行采集和预处理，生成用于识别潜在欺诈分子的检测数据； 52)确定规则库中与所述检测数据匹配的所有欺诈规则，并通过所述欺诈规则对所述检测数据逐一进行欺诈检测，得到对应于所述检测数据的用户的欺诈检测结果； 53)执行与所述欺诈检测结果相应的预警方案。
2.根据权利要求1所述的电信欺诈行为多维监测方法，其特征在于，还包括如下步骤: SO)在所述步骤SI之前，预设用于对执行欺诈检测的用户中的欺诈分子进行甄别的第一欺诈风险量化警告阈值(Wl)和第二欺诈风险量化警告阈值(W2)。
3.根据权利要求1所 述的电信欺诈行为多维监测方法，其特征在于，还包括如下步骤: S23)在所述步骤S2和所述步骤S3之间，对所述检测数据所表征的用户欺诈风险进行量化评估。
4.根据权利要求1所述的电信欺诈行为多维监测方法，其特征在于，所述步骤S23具体包括如下步骤: 5231)通过所述欺诈规则对所述检测数据进行风险量化评估，得到各欺诈规则所反映的欺诈风险值； 5232)接收规则组合调整因子； 5233)根据上述各欺诈规则的欺诈风险值中的最大值、以及规则组合调整因子计算表征用户的欺诈倾向度的欺诈风险量化值。
5.根据权利要求4所述的电信欺诈行为多维监测方法，其特征在于，所述步骤S233中所述欺诈风险量化评估值由欺诈风险量化公式计算所得，所述欺诈风险量化公式如下所示: P=max{pl，p2,......pi}*B, (i ^ I)； 其中，P为对应于所述检测数据的用户的欺诈风险量化值； Pi为第i欺诈规则所反映的欺诈风险值； B为规则组合调整因子； 所述欺诈风险量化公式中的规则组合调整因子的计算公式如下所示:
B=p' /max (p1，p2,......pn), (n ≥ 2)； 其中，P'为组合规则的置信度； Pi为第i欺诈规则的置信度。
6.根据权利要求1所述的电信欺诈行为多维监测方法，其特征在于，所述步骤S3还包括:根据欺诈风险量化值对所述检测数据所对应的用户进行欺诈判定、及确定预警级别，并执行与该预警级别相应的预警操作。
7.根据权利要求6所述的电信欺诈行为多维监测方法，其特征在于，所述步骤S3还包括:如判断所述欺诈风险量化值达到或超过预设的第一欺诈风险量化警告阈值(W1)，则将该用户定义为具有特大欺诈嫌疑的用户，将预警级别定义为最高级别，将欺诈判定结果以预设的第一种预警方式告知警情处理人员，并使警情处理人员在预设的第一时间(Tl)内执行电信欺诈行为核查工作； 如判断所述欺诈风险量化值位于预设的第一欺诈风险量化警告阈值(Wl)和预设的第二欺诈风险量化警告阈值(W2)所构成的欺诈风险警告区间(W1-W2)，则将该用户定义为具有重大欺诈嫌疑的用户，将欺诈判定结果以预设的第二种预警方式告知警情处理人员，并使警情处理人员在预设的第二时间(T2)内执行用户欺诈行为核查工作； 如判断所述欺诈风险量化值不超过预设的第二欺诈风险量化警告阈值(W2)，则将该用户定义为具有欺诈嫌疑的用户，将预警级别定义为最低级别，将欺诈判定结果以预设的第三种预警方式告知警情处理人员，并使警情处理人员在预设的第三时间(T3)内执行用户欺诈行为核查工作。
8.一种电信欺诈规则构建方法，其特征在于，所述方法包括如下步骤: SI')接收用户数据及其对应的欺诈判定信息，将所述用户数据和所述欺诈判定信息作为样本数据进行存储； S2')如收到从用户行为特征库选取的至少一个特征元素，则根据存储的样本数据计算该特征元素的参考值，将该特征元素及其参考值进行封装，生成新的欺诈规则，并将该新的欺诈规则导入规则库。
9.根据权利要求8所述的电信欺诈规则构建方法，其特征在于，还包括如下步骤: SO')在所述步骤SI'之前，将用于表征用户欺诈行为的特征元素预存于用户行为特征库，并预设用于启动欺诈规则的更新操作，包括样本数量波动变化幅度、欺诈类型波动变化幅度、欺诈规则更新时间的欺诈规则触发条件，或预设用于定时启动欺诈规则更新操作的欺诈规则自动更新时间。
10.根据权利要求8所述的电信欺诈规则构建方法，其特征在于，所述步骤SI'还包括:根据存储的样本数据计 算规则组合调整因子，并将该规则组合调整因子作为用户欺诈风险量化评估的参考数据进行存储。
11.根据权利要求8所述的电信欺诈规则构建方法，其特征在于，所述步骤SO'还包括:接收用于反映欺诈类型波动变化趋势的新的特征元素，并将该新的特征元素存储于用户行为特征库。
12.根据权利要求8所述的电信欺诈规则构建方法，其特征在于，所述步骤SI'还包括:对样本数量波动变化幅度和/或欺诈类型波动变化幅度进行在线监控。
13.根据权利要求8所述的电信欺诈规则构建方法，其特征在于，所述步骤S2'还包括:如判断当前的样本数量波动变化幅度和/或欺诈类型波动变化幅度达到预设的欺诈规则更新触发条件，则根据当前的样本数据对现有的欺诈规则涉及的特征元素的参考值进行重新测算，得到更新的参考值，或根据当前的样本数据对导入的新的特征元素的参考值进行测算，得到新的参考值，将所得更新的参考值或新的参考值及其对应的特征元素进行封装，形成更新的欺诈规则或新的欺诈规则。
14.一种电信欺诈行为多维监测系统，其特征在于，包括用户数据采集处理模块(I)、欺诈检测模块(2)和预警处理模块(4)，所述欺诈检测模块(2)包括用于存储各种欺诈规则的规则库； 所述用户数据采集处理模块(I)用于对用户数据进行采集和预处理，生成用于识别潜在欺诈分子的检测数据； 所述欺诈检测模块(2)用于确定规则库中与所述检测数据匹配的所有欺诈规则，并根据所述欺诈规则对所述检测数据进行欺诈检测，得到对应于所述检测数据的用户的欺诈检测结果； 所述预警处理模块(4)用于根据所述欺诈检测模块(2)得到的欺诈检测结果来执行相应的预警方案。
15.根据权利要求14所述的电信欺诈行为多维监测系统，其特征在于，所述系统还包括用于接收由所述用户数据采集处理模块(I)输入的用户数据、以及接收由所述预警处理模块(4)输入的与所述用户数据对应的欺诈判定信息，将所述用户数据及其对应的欺诈判定信息作为样本数据进行存储，以及用于根据选取的至少一个特征元素，并结合样本数据计算与该特征元素对应的参考值的规则测算模块(6)、用于将该选取的至少一个特征元素及其对应的参考值进行封装，生成新的欺诈规则的规则构建模块(5);所述规则构建模块(5)包括用于存储表征用户欺诈行为的特征元素的用户行为特征库(7)、用于存储特征元素的参考值的规则参数存储单元(8);所述规则测算模块(6)包括用于存储所述样本数据的样本数据存储单元(9)。
16.根据权利要求15所述的电信欺诈行为多维监测系统，其特征在于，所述规则测算模块(6)还用于根据所述样本数据存储单元(9)存储的样本数据计算规则组合调整因子； 所述系统还包括用于获取与所述检测数据匹配的所有欺诈规则的欺诈风险值，以及接收由所述规则测算模块(6)输入的所述规则组合调整因子，根据所述规则组合调整因子并结合所述欺诈风险值中的最大值对用户的欺诈风险进行量化评估，得到表征用户欺诈倾向度的欺诈风险 量化值的欺诈风险量化评估模块(3)。
【文档编号】H04W12/12GK103763152SQ201410007138
【公开日】2014年4月30日 申请日期:2014年1月7日 优先权日:2014年1月7日
【发明者】郑杰比, 刘宇翔, 唱欢欢, 李冰 申请人:中国移动（深圳）有限公司