摘要：新型电话诈骗具有实施时间周期短，诈骗人员基本实现人机、机卡分离的特点，使用传统的手段已难于精确定位打击。本方案提出了基于城域网DPI的数据采集方式实现固话的反诈识别，方案上线后，已成功实现精准监测发现玉林的某个宽带账号流量符合异常行为特征，并成功发现疑似涉诈窝点。

　　1  总体方案

　　本方案通过在运营商各地市城域网部署插卡式DPI板卡，利用流式计算+开源ElaticSearch的大数据处理方式对用户上网流量数据进行深度数据包检测及分析，利用固话中的呼叫特征融合VPN的方式来识别新型电话诈骗的用户行为。

　　1.1  功能架构图：

　　基于城域网DPI数据实现固话反诈识别方案，按照其主要功能可分为四个层次，从底层到上层依次为采集层、数据层、平台层和应用层。

　　1.2  分析原理：

　　新型电话诈骗实施方式主要是通过语音网关设备GOIP实现远程控制异地的SIM卡和GOIP设备拨打电话、收发短信。GOIP设备是网络通信的一种硬件设备，支持手机卡接入，能将传统电话信号转化为网络信号。一台设备可供上百张手机SIM卡同时运作，还可以远程控制异地的SIM卡和GOIP设备拨打电话、收发短信，实现了人与SIM卡的分离，达到隐藏身份、逃避打击的目的。同时，它可以虚拟拨号，能任意切换手机号码拨打受害人电话，公安机关对其反制拦截和信号溯源难度极大，因此逐渐成为诈骗分子的新手段。

　　通过在运营商城域网设备上部署插卡式DPI板卡，可实现对在广西范围内的用户上网流量数据进行深度数据包检测，利用DPI数据中固话的呼叫特征SIP协议部分（指定协议）进行解码，并对接入网络进行反向破解，解析出IMS的服务器地址，可以准确地确认用户的IMS对应的区域。再通过SIP报文中解析出其所注册地和登录所在家宽安装地址进行对比，可以确认用户登录是否是异地，是否为异地是反诈特征判断的显著特征。技术上使用人工智能算法对其进行异常检测，关联分析、涉诈检测，提升识别准确率；同时针对海量的日志数据，使用流式处理，可以实现反诈用户数据秒级的处理，可以提升反诈用户判断的时间，为及时介入用户异常介入提供可能性。

 　　对海量的日志数据，使用流式处理，可以实现秒级数据的处理，这样在数据层就可以提升判断的时间。

 　　人工智能算法对其进行异常检测，关联分析、涉诈检测，提升识别准确率：

 　　2  实用性描述

　　1、本方案利用流式计算的方式，实时在大数据中利用固话中的呼叫特征融合VPN的方式来破解这种新型的作案方式，为新型电话诈骗异常用户的精准定位提供了技术手段。 填补了当前新型电话诈骗无法及时准确定位的技术空白。

　　2、基于城域网DPI实现固话的反诈识别的方案，实现对SIP协议的秒级的解析并对接现有的反诈平台，可以有效、及时地发现有价值的线索。而传统省网的DPI手段无法实现对固话的分析，因为固话交互不一定出省，该方案采用城域网插卡式DPI可以解决这个问题，采集的信息与用户的家宽、专线信息无缝匹配，实现精确导向有异常的用户。

　　3、基于流式计算和ElaticSearch开源软件进行二次开发，可以节约购买软件的成本，并解决海量数据实时处理的问题，实现在数据层对SIP协议的秒级的解析并对接现有的反诈平台，提升反诈用户判断的时间，为反诈工作及时介入提供可能性。

　　4、新型电话诈骗反诈方案的最大难点是解决误判的问题。若把正常的呼叫行为识别为异常，并强制实行关闭漫游，会存在正常用户无法正常漫游的风险。为减少误判，本方法通过机器学习ADTK算法对用户的行为进行异常检测。通过构造决策函数对异常数据进行训练，针对不同的异常场景使用不同的决策函数自动选择算法和配置参数，实现最优模型，从而提升识别准确率，减少误判时对正常用户使用的影响。

　　3  方案应用推广情况

　　本平台的建设，不仅很好地满足了社会经济快速发展以及融入国家战略布局对电信反诈环境的需要，也为全网开展后续研究和能力输出积累了宝贵经验，填补了该领域的技术空白。该方案具有突出的指导借鉴意义，值得面向行业推广示范，特别是外省运营商已具备部署城域网DPI采集条件的公司。

　　该方案上线后，于2023年4月6日监测发现玉林的某个宽带账号流量符合异常行为特征，根据此线索于2023年4月7日在玉林市区南江街道某商户成功发现疑似涉诈窝点。从现场情况看，客户利用语音网关同时接入16台宽带光猫的语音业务端口发起批量呼叫，具备涉诈环境的高度相关性。针对涉案固话主要集中在宾馆酒店、科技公司、商贸公司，不法分子利用酒店客房搭建固话VOIP窝点实施诈骗的特点，依托该项目输出高危可疑固话号码200余个，向公安机关提供线索协助打掉固话窝点13个，抓获犯罪嫌疑人18名，有效避免了更多人民群众的财产损失。

现场查获电诈窝点图片：