互联网环境下的电信反欺诈技术调研

背景

近年来，借助电信技术手段进行诈骗犯罪案件呈上升态势，诈骗手段层出不穷，诈骗金额越来越大，社会影响越来越恶劣，给社会稳定和人民财产安全造成严重威胁。有关部门高度重视，采取了一系列措施对电信诈骗犯罪进行了重点防治和打击，但是电信诈骗现象并未得到有效抑制，案件时有发生，因此，如何防范、打击电信诈骗已成为政法机关的个重点和难点课题。

电信诈骗的主要手段

 (1) 账户更改式：以短信诈骗方式为主，以“账户更改”为由，欺骗收到短信的用户，将钱汇入提供的账户。有时还称“汇钱后请短信告知”。受害人如打电话核对，对方手机往往“关机”。

 (2) 用户中奖式：犯罪嫌疑人以受害人手机号中奖为名，通过手机群发短信的途径，向受害人发信息。若受害人信以为真与之联系后，犯罪嫌疑人便要其交“工本费”、“会员费”、“公证费”、“转账手续费”、“个人所得税”等。

 (3) 低价销售式：犯罪嫌疑人主要利用手机群发短信，低价销售车辆、手机、电脑等，谎称是海关罚没货物或走私商品，其实根本没有货物或提供质量极其低劣的物品。若受害人贪图便宜与其联系后，便要求先缴纳货款以骗取钱财；若受害人继续与其联系，进而再以货物为走私物品被査扣等原因，要求补“关税”、“手续费”、“运费”继续诈骗。

 (4) 电话号码欠费式：犯罪嫌疑人以电信部门名义群发信息或直接拨打电话，称受害人开户的电话号码欠费。受害人否认有此情況后，犯罪嫌疑人建议受害人报警，然后冒充公安局等政府部门，以银行账户涉案被冻结等为借口，要求受害人把账户内存款转到指定账户。受害人按此操作后，银行卡的存款就转到犯罪嫌疑人银行账户上。

 (5) 电话话费诈骗式：犯罪嫌疑人群发短信，内容为“您的朋友13×メ××××メメメ为您点播了一首歌曲，以此表达他的思念和祝福，请你拨打 9××××收听。”当受害人拨打电话时，犯罪嫌疑人便赚取了高额话费。

使用VoIP进行诈骗

利用某些VoIP软件中的改号功能，犯罪分子可以使得用户相信电话是银行或其它可信赖的机构打来的，使消费者受骗上当，泄露帐户、密码等机密资料。很容易地将钱从被窃取的信用卡转到其它帐户上，同时银行没有办法能够确定汇款请求的真伪。

VoIP 是通过互联网发起并传输通话，而不是通过电信运营商的传统电话网络。主叫号码包含在传输过程的数据包中。因此，在 VoIP 网关在监管不力的情况下，可能会存在伪造他人号码并被滥用的问题。

但是，改号欺诈只能进行发起通话（呼出），而不能接听通话（呼入）。当伪造的通话被挂断并进行回拨时，仍然会呼往该号码的真实拥有者，而不是诈骗者。

互联网反欺诈的几个原则

 （1）（准）实时性：考虑到用户体验，互联网反欺诈体系必须能够在非常短的时间内对欺诈行为进行认定，并给出判断。对于注册、登陆、支付等一些场景，必须能够在用户无感知到情况下对欺诈行为进行检测和认定。

 （2）自动化：由于（准）实时性的要求较高，决定了互联网业务无法通过人工操作进行反欺诈，必须使用更加高效的自动化反欺诈错事。

 （3）数据化：与传统的线下反欺诈不同，自动化的反欺诈检测本质上是数据应用能力的比拼。数据采集能力、挖掘能力和分析能力、建模能力，决定了互联网反欺诈能力的高低。

大数据环境下解决欺诈问题存在的挑战

 （1）诈骗的定义模糊，大部分时候不知道什么是欺诈什么不是；

 （2）诈骗似乎是一个二分类问题，但如果把每种不同的诈骗当做单独的类型的话是多分类问题，多种数据混合在一起，难以区分不同的诈骗类型；

 （3）大多数数据没有标签，难以使用监督学习方法；

 （4）不知道那些数据是异常点，哪些是噪声；

 （5）类别极端不平衡；

 （6）多样的异常表达形式；

 （7）诈骗的手段日新月异，在有标签的情况下使用监督学习，这样使用历史数据学出的模型只能检测出与历史诈骗相似的诈骗，对于变种的诈骗和从未见过的诈骗无能为力。

反欺诈常用方法

 （1）信誉库：

  即传统的黑、白名单，通过内部积累、外部获取的各种人员、手机号、设备、IP等黑、白名单对欺诈行为进行判断，是一种实施简单、成本较低的反欺诈手段。与此同时，信誉库也存在着准确度低、覆盖面窄的缺陷和不足。

 （2）专家规则：

  是目前较为成熟的反欺诈方法和手段，主要是基于反欺诈策略人员的经验和教训，制定反欺诈规则。当用户的操作请求和操作行为触发了反欺诈规则时，即被认定为欺诈行为并启动拦截，常见的如各种聚集度规则等。

  专家规则的优势在于实现较为简单、可结实性强，但缺陷在于专家规则存在有严重的滞后性，对于新出现的欺诈手段和方法无法及时的进行应对，往往需要着付出大量损失后才能总结教训提取新的规则。此外，由于人脑的限制，专家规则只能使用一个或几个维度的标量进行计算和识别，往往存在有较大的误报率。

 （3）机器学习：

  通过机器学习方法，将用户各个维度的数据和特征，与欺诈建立起关联关系，并给出欺诈的概率。

   1）基于有监督机器学习的反欺诈：

   是目前较为成熟的一种方法。基本思路是通过对历史上出现的欺诈行为进行标记，利用机器学习算法，在海量的用户行为特征、标签中进行分类，发现欺诈行为所共有的用户行为特征，并通过分值、概率等方式予以输出。

   由于互联网欺诈行为的多样性，很难百分百的将欺诈行为与正常行为完全进行区分，因此有监督机器学习反欺诈等最大难点在于如何准确获取大量欺诈行为的标记。

   2）基于无监督机器学习的反欺诈：

   无监督机器学习反欺诈是一种新兴思路，迄今为止尚未出现较为成熟和经过实践验证的解决方案。

   主要方式有聚类和图形分析。相对于有监督机器学习的反欺诈，无监督机器学习的反欺诈方法不需要预先标记欺诈行为，而是通过对所有用户和所有操作行为各纬度数据和标签的聚类，找出与大多数用户和行为差异较大的用户和操作请求，并予以拦截。通过发现用户的共性行为，以及用户和用户的关系来检测欺诈。

   无监督算法应用于反欺诈检测，通常提前预警的优势。现在的欺诈分子都有潜伏期，以免太容易被发现。而由于其在潜伏期的行为依然符合某种规律，具有某些一致性，同样还是会无监督算法捕捉到。在攻击发生前就检测出欺诈分子，这一点是其他方法难以做到的，这也是无监督机器学习之所以在反欺诈检测大放光彩的重要原因之一。

数据来源

 （1）设备类：

  指用户客户端（如手机、平板电脑、笔记本、PC等 ）等各类参数。

 （2）环境类：

  指用户发起操作请求时所处环境的相关数据，可以分为虚拟环境和物理环境两大类。

  虚拟环境数据，主要指用户所的IP、WiFi等网络环境相关数据。

  物理环境数据，主要指用户的手机定位、基站位置等相关数据。

 （3）行为类：

  行为类数据是指用户进行各种操作时的各类数据，如用户拨打时长等数据等。

 （4）第三方数据：

  第三方数据指通过从公开途径或第三方数据服务商处获取的各类数据，包括但不限于用户的运营商数据、银行数据等各类数据。

  由于监管要求，此类数据往往是已经进行脱敏处理的标签数据。考虑到这类数据会产生一定的数据成本，同时其真实性和准确性也参差不齐，所以在使用这类数据时，应当十分谨慎。

  综合各个维度，形成可一个较为全面的信息库。

常用技术

 （1）数据采集技术：

  数据采集技术主要是应用于从客户端或网络获取客户相关数据的技术方法。值得强调的是，数据采集技术的使用，应当严格遵循法律法规和监管要求，在获取用户授权的情况下对用户数据进行采集。

 （2）设备指纹：

  设备指纹是目前在互联网领域被广泛使用的一种技术手段，其在反欺诈体系中的作用也从最早的设备唯一标示，变为了客户端数据采集器。

  设备指纹服务目前市场上有大量的服务提供商，评价一个设备指纹服务的优劣应当综合考虑覆盖度、唯一性、全面性等几个方面。

 （3）网络爬虫：

  网络爬虫技术即可以用于用户运营商数据、信用卡数据、网络交易数据等各类数据等的爬取，也可以应用于司法老赖名单、网络核查数据的爬取。

 （4）特征工程技术：

  特征工程技术是指可以从原始数据中进行数据挖掘的各类技术。常见的特征工程技术如知识图谱等。

 （5）知识图谱：

  知识图谱是利用图数据库，从特定维度对不同用户和不同操作行为之间进行关联和计算，从而发现不同用户和不同操作之间的关联关系，可以用于团伙特征检测等场景。

 （6）数据分析技术：

  海量数据和特征的处理也对数据分析技术提出了更高的要求。常见的数据分析技术包括实时分析（如Storm）和离线分析（如Hadoop）两类，具体介绍可以参见大数据相关技术。

 （7）决策引擎：

  反欺诈决策引擎是互联网反欺诈体系的大脑和核心。一个功能强大的决策引擎，可以将信誉库、专家规则和反欺诈模型等各类反欺诈方法有效的整合，并为反欺诈人员提供一个操作高效、功能丰富的人机交互界面，大幅降低反欺诈运营成本和响应速度。

  对于决策引擎好坏的判断，应当从引擎处理能力、响应速度、UI界面等多个维度进行综合判断。

综合应用

最终的反欺诈平台整合设备指纹探针、机器学习、关联分析等多项核心技术，结合用户画像和欺诈信息库等信息，在海量数据分析的基础上，基于离线建模和在线分析，建立全面精准的决策引擎，通过事前预测，事中监测预警，事后关联分析，能够全程实时监测业务潜在威胁，动态预警业务欺诈风险，及时阻断欺诈操作。

参考资料

[1]互联网反欺诈体系漫谈2018-09-30 http://www.sohu.com/a/257079094_100287110

[2]无监督机器学习反欺诈为什么是主流 | 四种常见反欺诈方法解析 2018-06-06 http://baijiahao.baidu.com/s?id=1602528448323719470&wfr=spider&for=pc&isFailFlag=1

[3]蔡君平.电信诈骗犯罪侦查浅析[J].网络安全技术与应用,2012(01):7-9.]

[4]大数据金融反欺诈解决方案 https://wenku.baidu.com/view/0ad37a858662caaedd3383c4bb4cf7ec4afeb60e.html

[5] Kapourniotis, Dagiuklas, Polyzos, et al. Scam and fraud detection in VoIP Networks: Analysis and countermeasures using user profiling[C]// Fitce Congress. IEEE, 2012.

[6] Wiens A, Wiens T, Massoth M, et al. A new Unsupervised User Profiling Approach for Detecting Toll Fraud in VoIP Networks[C]. international conference on telecommunications, 2014: 63-69.