CN112866192B - 一种识别异常聚集行为的方法及装置 - Google Patents

一种识别异常聚集行为的方法及装置 Download PDF

Info

Publication number
CN112866192B
CN112866192B CN202011614290.0A CN202011614290A CN112866192B CN 112866192 B CN112866192 B CN 112866192B CN 202011614290 A CN202011614290 A CN 202011614290A CN 112866192 B CN112866192 B CN 112866192B
Authority
CN
China
Prior art keywords
mobile phone
phone card
call
card
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011614290.0A
Other languages
English (en)
Other versions
CN112866192A (zh
Inventor
彭元
宫智
刘嘉奇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nsfocus Technologies Inc, Nsfocus Technologies Group Co Ltd filed Critical Nsfocus Technologies Inc
Priority to CN202011614290.0A priority Critical patent/CN112866192B/zh
Publication of CN112866192A publication Critical patent/CN112866192A/zh
Application granted granted Critical
Publication of CN112866192B publication Critical patent/CN112866192B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本申请涉及通信反诈骗技术领域,尤其涉及一种识别异常聚集行为的方法及装置,获取通话管理平台上报的设定区域内的通话话单;分别针对通话话单中的各手机卡,根据任意一个手机卡在通话话单中记录的各通话时间和对应的基站标识,确定该手机卡的各通话轨迹点,并根据各通话轨迹点,确定该手机卡在设定区域内的通话轨迹曲线;根据各手机卡的通话轨迹曲线,对各手机卡进行聚类分析,获得聚类后的各个类;判断聚类后的各个类中包含的手机卡的数量是否在预设数量范围内,并确定在数量范围内的类中,各手机卡出现异常聚集行为,这样,能够实现对固定位置或车载移动场景下的手机卡的异常聚集行为的识别。

Description

一种识别异常聚集行为的方法及装置
技术领域
本申请涉及通信反诈骗技术领域,尤其涉及一种识别异常聚集行为的方法及装置。
背景技术
目前,利用GOIP进行诈骗的非法分子越来越多。GOIP实际上就是基于互联网,可使多张手机卡同时待机的多卡多待设备。用户可将多张手机卡***1台GOIP,通过手机应用连接,从而实现1人用1部手机同时异地操作多张手机卡拨打电话,同时,非法分子还会将GOIP设置在汽车上,改装成移动的车载云电话,用于规避在同一基站下通话数量太多导致诈骗行为被识别出的情况发生。
现有技术中,在对异常聚集行为进行识别时,首先过滤出位置信息未变化的手机卡,再对基站进行聚类。但是,现有技术中这种识别方法,仅能对位置固定的异常聚集行为进行识别,而对于车载云电话这种新型的异常聚集行为无法识别。
发明内容
本申请实施例提供一种识别异常聚集行为的方法及装置,以实现对固定位置或车载移动场景下的手机卡的异常聚集行为的识别。
本申请实施例提供的具体技术方案如下:
一种识别异常聚集行为的方法,包括:
获取通话管理平台上报的设定区域内的通话话单,其中,所述通话话单中包括至少一个手机卡对应的***标识、通话时间以及手机卡所属基站的基站标识;
分别针对所述各手机卡,根据任意一个手机卡在所述通话话单中记录的各通话时间和对应的基站标识,确定该手机卡的各通话轨迹点,并根据所述各通话轨迹点,确定该手机卡在所述设定区域内的通话轨迹曲线;
根据所述各手机卡的通话轨迹曲线,对所述各手机卡进行聚类分析,获得聚类后的各个类;
判断聚类后的各个类中包含的手机卡的数量是否在预设数量范围内,并确定在所述数量范围内的类中,各手机卡出现异常聚集行为。
可选的,根据任意一个手机卡在各基站的通话话单中记录的各通话时间和对应的基站标识,确定该手机卡的各通话轨迹点,具体包括:
分别根据任意一个手机卡在所述通话话单中记录的基站标识,确定基站标识对应的基站的经纬度信息;
分别根据该手机卡在所述通话话单中记录的各通话时间和对应的经纬度信息,确定该手机卡的各通话轨迹点。
可选的,根据所述各通话轨迹点,确定该手机卡在所述设定区域内的通话轨迹曲线,具体包括:
采用最小二乘法对所述各通话轨迹点进行曲线拟合,确定该手机卡在所述设定区域内的通话轨迹曲线。
可选的,对所述各手机卡进行聚类分析,获得聚类后的各个类,具体包括:
分别针对各手机卡,从任意一个手机卡的通话轨迹曲线中,选取各预设的时间点对应的经纬度信息,作为该手机卡的各采样点;
根据所述各手机卡的各采样点,确定各手机卡与其它各个手机卡之间的距离值,并将最小的距离值对应的各手机卡作为一个类,并分别将其它各个手机卡作为各个类;
将当前获得的各个类中两两类进行预合并,根据所述各手机卡的各采样点,分别计算预合并后的类与其它各个类之间的距离值,将最小的距离值对应的预合并后的类,作为下一次获得的各个类,直至获得预设数目的类,将获得的预设数目的类作为最终聚类的各个类。
可选的,根据所述各手机卡的各采样点,确定各手机卡与其它各个手机卡之间的距离值,并将最小的距离值对应的各手机卡作为一个类,具体包括:
分别针对各手机卡,根据任意一个手机卡对应的各采样点,确定该手机卡在各采样时间与其它各个手机卡之间的各距离值,并根据确定出的各距离值,确定该手机卡与其它各个手机卡之间的距离平均值,并将计算出的各距离平均值,作为该手机卡与其它各个手机卡之间的距离值。
一种识别异常聚集行为的装置,包括:
获取模块,用于获取通话管理平台上报的设定区域内的通话话单,其中,所述通话话单中包括至少一个手机卡对应的***标识、通话时间以及手机卡所属基站的基站标识;
确定模块,用于分别针对所述各手机卡,根据任意一个手机卡在所述通话话单中记录的各通话时间和对应的基站标识,确定该手机卡的各通话轨迹点,并根据所述各通话轨迹点,确定该手机卡在所述设定区域内的通话轨迹曲线;
聚类模块,用于根据所述各手机卡的通话轨迹曲线,对所述各手机卡进行聚类分析,获得聚类后的各个类;
识别模块,用于判断聚类后的各个类中包含的手机卡的数量是否在预设数量范围内,并确定在所述数量范围内的类中,各手机卡出现异常聚集行为。
可选的,根据任意一个手机卡在各基站的通话话单中记录的各通话时间和对应的基站标识,确定该手机卡的各通话轨迹点时,确定模块具体用于:
分别根据任意一个手机卡在所述通话话单中记录的基站标识,确定基站标识对应的基站的经纬度信息;
分别根据该手机卡在所述通话话单中记录的各通话时间和对应的经纬度信息,确定该手机卡的各通话轨迹点。
可选的,根据所述各通话轨迹点,确定该手机卡在所述设定区域内的通话轨迹曲线时,确定模块具体用于:
采用最小二乘法对所述各通话轨迹点进行曲线拟合,确定该手机卡在所述设定区域内的通话轨迹曲线。
可选的,对所述各手机卡进行聚类分析,获得聚类后的各个类时,聚类模块具体用于:
分别针对各手机卡,从任意一个手机卡的通话轨迹曲线中,选取各预设的时间点对应的经纬度信息,作为该手机卡的各采样点;
根据所述各手机卡的各采样点,确定各手机卡与其它各个手机卡之间的距离值,并将最小的距离值对应的各手机卡作为一个类,并分别将其它各个手机卡作为各个类;
将当前获得的各个类中两两类进行预合并,根据所述各手机卡的各采样点,分别计算预合并后的类与其它各个类之间的距离值,将最小的距离值对应的预合并后的类,作为下一次获得的各个类,直至获得预设数目的类,将获得的预设数目的类作为最终聚类的各个类。
可选的,根据所述各手机卡的各采样点,确定各手机卡与其它各个手机卡之间的距离值,并将最小的距离值对应的各手机卡作为一个类时,聚类模块具体用于:
分别针对各手机卡,根据任意一个手机卡对应的各采样点,确定该手机卡在各采样时间与其它各个手机卡之间的各距离值,并根据确定出的各距离值,确定该手机卡与其它各个手机卡之间的距离平均值,并将计算出的各距离平均值,作为该手机卡与其它各个手机卡之间的距离值。
一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述识别异常聚集行为的方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述识别异常聚集行为的方法的步骤。
本申请实施例中,获取通话管理平台上报的设定区域内的通话话单,通话话单中包括至少一个手机卡对应的***标识、通话时间以及手机卡所属基站的基站标识,分别针对各手机卡,根据任意一个手机卡在通话话单中记录的各各通话时间和对应的基站标识,确定该手机卡的各通话轨迹点,并根据各通话轨迹点,确定该手机卡在设定区域内的通话轨迹曲线,根据各手机卡的通话轨迹曲线,对各手机卡进行聚类分析,获得聚类后的各个类,判断聚类后的各个类中包含的手机卡的数量是否在预设数量范围内,并判定在数量范围内的类中,各手机卡出现异常聚集行为,这样,首先确定各手机卡的通话轨迹曲线,再基于各手机卡的通话轨迹曲线,对各手机卡进行聚类,进而识别聚类后的各类中的各手机卡是否出现异常聚集行为,能够完全解决对于车载云电话这种位置信息不固定的移动场景下无法识别异常聚集行为的难题。并且,由于本申请实施例中是基于手机卡的通话轨迹曲线来识别的,因此,相比于现有技术中仅基于基站的位置信息来判定是否发生异常聚集行为的方式来说,能够提高对异常聚集行为识别的准确度。
附图说明
图1为现有技术中GOIP的原理图;
图2为本申请实施例中一种识别异常聚集行为的方法的流程图;
图3为本申请实施例中通话轨迹曲线的示意图;
图4为本申请实施例中对手机卡聚类的效果示意图;
图5为本申请实施例中识别异常聚集行为的方法的另一流程图;
图6为本申请实施例中识别异常聚集行为的装置的结构示意图;
图7为本申请实施例中电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,并不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,利用GOIP进行诈骗的非法分子越来越多。境外人员通过网络层层联系,国内的非法分子在国内部署GOIP,境外人员拨打电话实施诈骗,参阅图1所示,为现有技术中GOIP的原理图,GOIP是一种具备多条线路并可配备多张手机卡,支持手机卡接入并将传统电话信号转化为网络信号,实现多个手机号同时通话的设备。用户可将多张手机卡***1台GOIP,通过手机应用连接,从而实现1人用1部手机同时异地操作多张手机卡拨打电话。电信网络诈骗团伙往往会利用GOIP等设备建立服务点,为电信网络诈骗活动提供话务技术支持,还可以隐藏真实号码。GOIP的一个显著特征是位置聚集现象,也就是说,几百张卡可能在同一个基站进行通话。
非法分子在与风控***不断对抗的过程中,也总结出来了一张卡频繁拨打电话会很容易被风控***识别,进而关停。基于此,非法分子想出一种方法规避,部署很多张卡后,轮流使用这些卡进行拨号,统计下来,一张卡一天可能只拨出去10个以内的电话,平均1个小时才拨1个号。
同时,非法分子还会将GOIP设置在汽车上,改装成移动的车载云电话,用于规避在同一基站下通话数量太多导致诈骗行为被识别出的情况发生。
现有技术中,在对异常聚集行为进行识别时,首先过滤出位置信息未变化的手机卡,再对基站进行聚类。但是,现有技术中这种识别方法,仅能对位置固定的异常聚集行为进行识别,而对于“车载云电话”这种新型的异常聚集行为无法识别。
为了解决上述问题,本申请实施例中提供了一种识别异常聚集行为的方法,获取通话管理平台上报的设定区域内的通话话单,通话话单中包括至少一个手机卡对应的***标识、通话时间以及手机卡所属基站的基站标识,分别针对各手机卡,根据任意一个手机卡在通话话单中记录的各通话时间和对应的基站标识,确定该手机卡的各通话轨迹点,并根据各通话轨迹点,确定该手机卡在设定区域内的通话轨迹曲线,根据各手机卡的通话轨迹曲线,对各手机卡进行聚类分析,获得聚类后的各个类,判断聚类后的各个类中包含的手机卡的数量是否在预设数量范围内,并判定在数量范围内的类中,各手机卡出现异常聚集行为,这样,基于手机卡的通话轨迹曲线对各手机卡进行聚类,并判定聚类后的各个类中的各手机卡是否出现异常聚集行为,通过本申请实施例中的方法能够识别出位置信息不固定的异常聚集行为,并且,还能够提高异常聚集行为的识别的准确度。
基于上述实施例,参阅图2所示,为本申请实施例中一种识别异常聚集行为的方法的流程图,具体包括:
步骤200:获取通话管理平台上报的设定区域内的通话话单。
其中,通话话单中包括至少一个手机卡对应的***标识、通话时间以及手机卡所属基站的基站标识。
本申请实施例中,将手机卡设置在移动终端中,当移动终端在通话时,在通话管理平台中会产生通话话单,然后,通话管理平台将设定范围内的通话话单上报至风控平台,进而风控平台获取设定区域内的通话管理平台上报的通话话单,通话话单中包括至少一个手机卡对应的***标识、通话时间以及手机卡所属基站的基站标识。
其中,基站标识表征手机卡在通话时使用到的基站对应的编号。
通话管理平台例如可以为运营商***。
通话时间例如可以为通话起始时间、通话结束时间、通话时间段等,本申请实施例中对此并不进行限制。
手机卡例如可以为客户识别模块(Subscriber Identity Module,SIM),数字移动终端必须装上此卡才能够使用,SIM上存储有数字移动电话客户的信息,加密的密钥以及用户的电话簿等内容。
基站标识例如可以为位置区码(location area code,LAC)。
进一步地,从通话管理平台中获取到设定区域内的通话话单之后,还可以构建通话位置时间表,通话位置时间表中存储有手机卡的***标识,对应的通话时间和基站标识,参阅表1所示,为本申请实施例中通话位置时间表。
表1.
*** 时间 LAC
A 2020/09/27 13:00:03 490
B 2020/09/27 15:20:31 187
C 2020/09/27 16:30:21 273
A 2020/09/27 17:50:31 887
A 2020/09/27 18:19:33 129
C 2020/09/27 18:20:51 386
步骤210:分别针对各手机卡,根据任意一个手机卡在通话话单中记录的各通话时间和对应的基站标识,确定该手机卡的各通话轨迹点,并根据各通话轨迹点,确定该手机卡在设定区域内的通话轨迹曲线。
本申请实施例中,分别针对各手机卡,首先,根据任意一个手机卡在通话话单中记录的各通话时间和对应的基站标识,确定该手机卡的各个通话轨迹点。
其中,通话轨迹点表征手机卡在通话时所处的位置。
具体地,在确定该手机卡的各通话轨迹点信息时,具体包括:
S1:分别根据任意一个手机卡在所述通话话单中记录的基站标识,确定基站标识对应的基站的经纬度信息。
本申请实施例中,由于基站的位置是固定的,因此,根据各手机卡中的各通话信息中的基站标识,查询到各个基站的经纬度信息,即,各手机卡发生通话的经纬度信息。
并且,还可以构建通话经纬度信息表,参阅表2所示,为本申请实施例中通话经纬度信息表。
表2.
Figure BDA0002875989630000081
Figure BDA0002875989630000091
S2:分别根据该手机卡在通话话单中记录的各通话时间和对应的经纬度信息,确定该手机卡的各通话轨迹点。
本申请实施中,根据该手机卡在通话话单中记录的各通话时间和对应的经纬度信息,确定该手机卡在每一个通话时间时的通话轨迹点。
然后,在确定出该手机卡的各通话轨迹点之后,根据各通话轨迹点,确定该手机卡的通话轨迹曲线,本申请实施例中,对确定该手机卡的通话轨迹曲线提供了一种可能的实施方式,具体包括:
采用最小二乘法对各通话轨迹点进行曲线拟合,确定该手机卡在设定区域内的通话轨迹曲线。
本申请实施例中,采用拟合函数最小二乘法对各通话轨迹点进行曲线拟合,确定该手机卡在设定区域内的通话轨迹曲线,参阅图3所示,为本申请实施例中通话轨迹曲线的示意图。
步骤220:根据各手机卡的通话轨迹曲线,对各手机卡进行聚类分析,获得聚类后的各个类。
本申请实施例中,将各手机卡的通话轨迹曲线输入至已训练的聚类模型中,对各手机卡进行聚类分析,获得聚类后的各个类。
其中,聚类模型例如可以为层次聚类法,本申请实施例中对此并不进行限制。
下面以层次聚类法为例,对本申请实施例中对各手机卡进行聚类分析,获得聚类后的各个类的步骤进行详细阐述,具体包括:
S1:分别针对各手机卡,从任意一个手机卡的通话轨迹曲线中,选取各预设的时间点对应的经纬度信息,作为该手机卡的各采样点。
本申请实施例中,分别针对各手机卡,从任意一个手机卡的通话轨迹曲线中,选取各预设的时间点,即各预设的通话时间,并获得各时间点对应的经纬度信息,将选取出的各经纬度信息,作为该手机卡的各采样点。
例如,假设预设的时间点为08:00,在该时间点,***标识为A的手机卡对应的经度为108.51,纬度为29.07,***标识为B的手机卡对应的经度为108.31,纬度为30.36,本申请实施例中对此并不进行限制。
其中,在采样过程中,可以选取08:00-22:00的整点时间作为采样时间,本申请实施例中对此并不进行限制。
进一步地,在获得各手机卡的各采样点之后,还可以建立整点位置表,将各采样点以及各采样点对应的采样时间填入整点位置表中,参阅表3所示,为本申请实施例中整点位置表。
表3.
Figure BDA0002875989630000101
S2:根据各手机卡的各采样点,确定各手机卡与其它各个手机卡之间的距离值,并将最小的距离值对应的各手机卡作为一个类,并分别将其它各个手机卡作为各个类。
本申请实施例中,根据各手机卡的各采样点,计算各手机卡与其它各个手机卡之间的距离值,获得各手机卡与其它各个手机卡之间的距离值,将最小距离值对应的各手机卡合并为一个类,并分别将未合并的其它各个手机卡作为各个类。
下面对本申请实施例中,根据所述各手机卡的各采样点,确定各手机卡与其它各个手机卡之间的距离值,并将最小的距离值对应的各手机卡作为一个类的步骤进行详细阐述,具体包括:
分别针对各手机卡,根据任意一个手机卡对应的各采样点,确定该手机卡在各采样时间与其它各个手机卡之间的各距离值,并根据确定出的各距离值,确定该手机卡与其它各个手机卡之间的距离平均值,并将计算出的各距离平均值,作为该手机卡与其它各个手机卡之间的距离值。
本申请实施例中,分别针对各手机卡,首先,计算任意一个手机卡在各采样时间与其它各个手机卡之间的各个距离值。
例如,假设各手机卡分别为卡A、卡B、卡C、卡D和卡E,则计算卡A在08:00时与卡B之间的距离值,计算卡A在08:00时与卡C之间的距离值,计算卡A在08:00时与卡D之间的距离值,计算卡A在08:00时与卡E之间的距离值。
则卡A和卡B之间在08:00的距离值可以表示为:
Figure BDA0002875989630000111
其中,x1、y1分别为A的经度和纬度,x2、y2分别为B的经度和纬度。
然后,在计算获得各距离值之后,根据确定出的各距离值,计算该手机卡与其它各个手机卡之间的距离平均值。
例如,假设计算得到卡A与卡B在各时间点之间的距离值之后,对各卡A和卡B进行距离平均值计算,获得卡A和卡B在08:00-22:00之间的距离平均值,具体可以表示为:
Figure BDA0002875989630000112
参阅表4所示,为本申请实施例中各手机卡之间的距离平均值示意表。
表4.
距离 A B C D E
A 0.00 - - - -
B 0.18 0.00 - - -
C 0.39 0.32 0.00 - -
D 0.43 0.34 0.25 0.00 -
E 0.39 0.41 0.27 0.21 0.00
根据表4中获得的各距离平均值可知,卡A与卡B之间的距离平均值d(A,B)=0.18最小,因此,将卡A和卡B合并,并聚集为一类,获得类别:卡AB。
S3:将当前获得的各个类中两两类进行预合并,根据各手机卡的各采样点,分别计算预合并后的类与其它各个类之间的距离值,将最小的距离值对应的预合并后的类,作为下一次获得的各个类,直至获得预设数目的类,将获得的预设数目的类作为最终聚类的各个类。
本申请实施例中,首先,将当前获得的各个类中两两类进行预合并,根据各手机卡的各采样点,分别计算预合并后的类与其它各个类之间的距离值。
例如,假设卡A和卡B为一类,卡C为一类,卡D为一类,卡E为一类,将卡AB和卡C进行预合并,并计算卡AB与卡C之间的距离值,将卡AB和卡D进行预合并,并计算卡AB与卡D之间的距离值,将卡AB与卡E进行预合并,并计算卡AB与卡E之间的距离值,将卡C与卡D进行预合并,并计算卡C与卡D之间的距离值,将卡D与卡E进行预合并,并计算卡D与卡E之间的距离值,例如可以表示为:
d(AB,C)=avg(d(A,C),d(B,C))=0.355
d(AB,D)=avg(d(A,D),d(B,D))=0.385
d(AB,E)=avg(d(A,E),d(B,E))=0.4
参阅表5所示,为本申请实施例中距离值表。
表5.
距离 A C D E
AB 0.00 - - -
C 0.355 0.00 - -
D 0.385 0.25 0.00 -
E 0.4 0.27 0.21 0.00
然后,将最小的距离值对应的预合并后的类,作为下一次获得的各个类,直至获得预设数目的类。
例如,从表5可知,卡D和卡E之间的距离值d(D,E)=0.21最小,因此,将卡D和卡E合并,并聚集为一类,进而再计算卡DE与卡AB、卡C之间的距离值,过程与前述步骤类似,直至最后合并为一个类ABCDE,参阅图4所示,为本申请实施例中对手机卡聚类的效果示意图。
步骤230:判断聚类后的各个类中包含的手机卡的数量是否在预设数量范围内,并确定在数量范围内的类中,各手机卡出现异常聚集行为。
本申请实施例中,判断聚类后的各个类中是否存在手机卡的数量在预设数量范围内,并从聚类后的各个类中,选择出手机卡的数量在预设数量范围内的类,然后,确定手机卡的数量在预设数量范围内的类中的各手机卡出现异常聚集行为。
例如,非法分子一般都是使用GOIP设备部署,这类设备的卡槽有多种规格,卡槽数量一般有32、64、128、256等,因此,将上述聚类过程中得到的手机卡的数量在32到256之间的类别,输出判定为GOIP位置聚集类。
进一步地,在聚类过程中,还可以在聚类过程中,实时判定聚类的各类中包含的各手机卡的数量是否在预设数量范围内,一旦聚类的各类中的某一个类包含的手机卡的数量是否在预设的数量范围内,则停止聚类,并将手机卡的数量在预设的数量范围内的类中的各手机卡判定为出现异常聚集行为。
本申请实施例中,获取通话管理平台上报的设定区域内的通话话单,通话话单中包括至少一个手机卡对应的***标识、通话时间以及手机卡所属基站的基站标识,分别针对各手机卡,根据任意一个手机卡在通话话单中记录的各各通话时间和对应的基站标识,确定该手机卡的各通话轨迹点,并根据各通话轨迹点,确定该手机卡在设定区域内的通话轨迹曲线,根据各手机卡的通话轨迹曲线,对各手机卡进行聚类分析,获得聚类后的各个类,判断聚类后的各个类中包含的手机卡的数量是否在预设数量范围内,并判定在数量范围内的类中,各手机卡出现异常聚集行为,这样,基于手机卡的地理特征进行了曲线拟合,确定出各手机卡的通话轨迹曲线,能够较好地发现基于车载云电话技术的异常位置聚集行为,可以迅速发现基于GOIP设备的诈骗行为。
基于上述实施例,下面以手机卡为卡A、卡B、卡C、卡D和卡E为例,对本申请实施例中的识别异常聚集行为的方法进行详细阐述,参阅图5所示,为本申请实施例中识别异常聚集行为的方法的另一流程图,具体包括:
步骤500:获取卡A、卡B、卡C、卡D和卡E的通话话单。
其中,通话话单中包括卡A、卡B、卡C、卡D和卡E的手机卡对应的***标识、通话时间以及手机卡所属基站的基站标识。
步骤510:确定卡A、卡B、卡C、卡D和卡E的各通话轨迹点,并根据各通话轨迹点,确定卡A、卡B、卡C、卡D和卡E的通话轨迹曲线。
步骤520:根据卡A、卡B、卡C、卡D和卡E的通话轨迹曲线,对各手机卡进行聚类分析,获得聚类后的各个类。
步骤530:判断聚类后的各个类中包含的手机卡的数量是否在预设数量范围内,并确定手机卡的数量在预设数量范围内的类中,各手机卡出现异常聚集行为。
本申请实施例中,通过上述方法可以发现基于GOIP设备的位置聚集行为,无论是固定位置还是车载云电话都可以用一个模型发现,实现了对车载云电话这种位置信息不固定的异常聚集行为的识别。
基于同一发明构思,本申请实施例中还提供了一种识别异常聚集行为的装置,该识别异常聚集行为的装置可以是硬件结构、软件模块、或硬件结构加软件模块。基于上述实施例,参阅图6所示为本申请实施例中识别异常聚集行为的装置的结构示意图,具体包括:
获取模块600,用于获取通话管理平台上报的设定区域内的通话话单,其中,所述通话话单中包括至少一个手机卡对应的***标识、通话时间以及手机卡所属基站的基站标识;
确定模块610,用于分别针对所述各手机卡,根据任意一个手机卡在所述通话话单中记录的各通话时间和对应的基站标识,确定该手机卡的各通话轨迹点,并根据所述各通话轨迹点,确定该手机卡在所述设定区域内的通话轨迹曲线;
聚类模块620,用于根据所述各手机卡的通话轨迹曲线,对所述各手机卡进行聚类分析,获得聚类后的各个类;
识别模块630,用于判断聚类后的各个类中包含的手机卡的数量是否在预设数量范围内,并确定在所述数量范围内的类中,各手机卡出现异常聚集行为。
可选的,根据任意一个手机卡在各基站的通话话单中记录的各通话时间和对应的基站标识,确定该手机卡的各通话轨迹点时,确定模块610具体用于:
分别根据任意一个手机卡在所述通话话单中记录的基站标识,确定基站标识对应的基站的经纬度信息;
分别根据该手机卡在所述通话话单中记录的各通话时间和对应的经纬度信息,确定该手机卡的各通话轨迹点。
可选的,根据所述各通话轨迹点,确定该手机卡在所述设定区域内的通话轨迹曲线时,确定模块610具体用于:
采用最小二乘法对所述各通话轨迹点进行曲线拟合,确定该手机卡在所述设定区域内的通话轨迹曲线。
可选的,对所述各手机卡进行聚类分析,获得聚类后的各个类时,聚类模块620具体用于:
分别针对各手机卡,从任意一个手机卡的通话轨迹曲线中,选取各预设的时间点对应的经纬度信息,作为该手机卡的各采样点;
根据所述各手机卡的各采样点,确定各手机卡与其它各个手机卡之间的距离值,并将最小的距离值对应的各手机卡作为一个类,并分别将其它各个手机卡作为各个类;
将当前获得的各个类中两两类进行预合并,根据所述各手机卡的各采样点,分别计算预合并后的类与其它各个类之间的距离值,将最小的距离值对应的预合并后的类,作为下一次获得的各个类,直至获得预设数目的类,将获得的预设数目的类作为最终聚类的各个类。
可选的,根据所述各手机卡的各采样点,确定各手机卡与其它各个手机卡之间的距离值,并将最小的距离值对应的各手机卡作为一个类时,聚类模块620具体用于:
分别针对各手机卡,根据任意一个手机卡对应的各采样点,确定该手机卡在各采样时间与其它各个手机卡之间的各距离值,并根据确定出的各距离值,确定该手机卡与其它各个手机卡之间的距离平均值,并将计算出的各距离平均值,作为该手机卡与其它各个手机卡之间的距离值。
基于上述实施例,参阅图7所示为本申请实施例中电子设备的结构示意图。
本申请实施例提供了一种电子设备,该电子设备可以包括处理器710(CenterProcessing Unit,CPU)、存储器720、输入设备730和输出设备740等,输入设备730可以包括键盘、鼠标、触摸屏等,输出设备740可以包括显示设备,如液晶显示器(Liquid CrystalDisplay,LCD)、阴极射线管(Cathode Ray Tube,CRT)等。
存储器720可以包括只读存储器(ROM)和随机存取存储器(RAM),并向处理器710提供存储器720中存储的程序指令和数据。在本申请实施例中,存储器720可以用于存储本申请实施例中任一种识别异常聚集行为的方法的程序。
处理器710通过调用存储器720存储的程序指令,处理器710用于按照获得的程序指令执行本申请实施例中任一种识别异常聚集行为的方法。
基于上述实施例,本申请实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意方法实施例中的识别异常聚集行为的方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (8)

1.一种识别异常聚集行为的方法,其特征在于,包括:
获取通话管理平台上报的设定区域内的通话话单,其中,所述通话话单中包括至少一个手机卡对应的***标识、通话时间以及手机卡所属基站的基站标识;
分别针对所述各手机卡,根据任意一个手机卡在所述通话话单中记录的各通话时间和对应的基站标识,确定该手机卡的各通话轨迹点,并根据所述各通话轨迹点,确定该手机卡在所述设定区域内的通话轨迹曲线;
根据所述各手机卡的通话轨迹曲线,对所述各手机卡进行聚类分析,获得聚类后的各个类;
判断聚类后的各个类中包含的手机卡的数量是否在预设数量范围内,并确定在所述数量范围内的类中,各手机卡出现异常聚集行为;
其中,对所述各手机卡进行聚类分析,获得聚类后的各个类,具体包括:
分别针对各手机卡,从任意一个手机卡的通话轨迹曲线中,选取各预设的时间点对应的经纬度信息,作为该手机卡的各采样点;
根据所述各手机卡的各采样点,确定各手机卡与其它各个手机卡之间的距离值,并将最小的距离值对应的各手机卡作为一个类,并分别将其它各个手机卡作为各个类;
将当前获得的各个类中两两类进行预合并,根据所述各手机卡的各采样点,分别计算预合并后的类与其它各个类之间的距离值,将最小的距离值对应的预合并后的类,作为下一次获得的各个类,直至获得预设数目的类,将获得的预设数目的类作为最终聚类的各个类。
2.如权利要求1所述的方法,其特征在于,根据任意一个手机卡在各基站的通话话单中记录的各通话时间和对应的基站标识,确定该手机卡的各通话轨迹点,具体包括:
分别根据任意一个手机卡在所述通话话单中记录的基站标识,确定基站标识对应的基站的经纬度信息;
分别根据该手机卡在所述通话话单中记录的各通话时间和对应的经纬度信息,确定该手机卡的各通话轨迹点。
3.如权利要求1所述的方法,其特征在于,根据所述各通话轨迹点,确定该手机卡在所述设定区域内的通话轨迹曲线,具体包括:
采用最小二乘法对所述各通话轨迹点进行曲线拟合,确定该手机卡在所述设定区域内的通话轨迹曲线。
4.如权利要求1所述的方法,其特征在于,根据所述各手机卡的各采样点,确定各手机卡与其它各个手机卡之间的距离值,并将最小的距离值对应的各手机卡作为一个类,具体包括:
分别针对各手机卡,根据任意一个手机卡对应的各采样点,确定该手机卡在各采样时间与其它各个手机卡之间的各距离值,并根据确定出的各距离值,确定该手机卡与其它各个手机卡之间的距离平均值,并将计算出的各距离平均值,作为该手机卡与其它各个手机卡之间的距离值。
5.一种识别异常聚集行为的装置,其特征在于,包括:
获取模块,用于获取通话管理平台上报的设定区域内的通话话单,其中,所述通话话单中包括至少一个手机卡对应的***标识、通话时间以及手机卡所属基站的基站标识;
确定模块,用于分别针对所述各手机卡,根据任意一个手机卡在所述通话话单中记录的各通话时间和对应的基站标识,确定该手机卡的各通话轨迹点,并根据所述各通话轨迹点,确定该手机卡在所述设定区域内的通话轨迹曲线;
聚类模块,用于根据所述各手机卡的通话轨迹曲线,对所述各手机卡进行聚类分析,获得聚类后的各个类;
识别模块,用于判断聚类后的各个类中包含的手机卡的数量是否在预设数量范围内,并确定在所述数量范围内的类中,各手机卡出现异常聚集行为;
其中,对所述各手机卡进行聚类分析,获得聚类后的各个类时,聚类模块具体用于:
分别针对各手机卡,从任意一个手机卡的通话轨迹曲线中,选取各预设的时间点对应的经纬度信息,作为该手机卡的各采样点;
根据所述各手机卡的各采样点,确定各手机卡与其它各个手机卡之间的距离值,并将最小的距离值对应的各手机卡作为一个类,并分别将其它各个手机卡作为各个类;
将当前获得的各个类中两两类进行预合并,根据所述各手机卡的各采样点,分别计算预合并后的类与其它各个类之间的距离值,将最小的距离值对应的预合并后的类,作为下一次获得的各个类,直至获得预设数目的类,将获得的预设数目的类作为最终聚类的各个类。
6.如权利要求5所述的装置,其特征在于,根据所述各通话轨迹点,确定该手机卡在所述设定区域内的通话轨迹曲线时,确定模块具体用于:
采用最小二乘法对所述各通话轨迹点进行曲线拟合,确定该手机卡在所述设定区域内的通话轨迹曲线。
7.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-4任一项所述方法的步骤。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1-4任一项所述方法的步骤。
CN202011614290.0A 2020-12-30 2020-12-30 一种识别异常聚集行为的方法及装置 Active CN112866192B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011614290.0A CN112866192B (zh) 2020-12-30 2020-12-30 一种识别异常聚集行为的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011614290.0A CN112866192B (zh) 2020-12-30 2020-12-30 一种识别异常聚集行为的方法及装置

Publications (2)

Publication Number Publication Date
CN112866192A CN112866192A (zh) 2021-05-28
CN112866192B true CN112866192B (zh) 2022-11-04

Family

ID=75998667

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011614290.0A Active CN112866192B (zh) 2020-12-30 2020-12-30 一种识别异常聚集行为的方法及装置

Country Status (1)

Country Link
CN (1) CN112866192B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113256405B (zh) * 2021-06-22 2021-10-12 平安科技(深圳)有限公司 欺诈用户集中区域的预测方法、装置、设备及存储介质
CN114222026A (zh) * 2021-12-13 2022-03-22 恒安嘉新(北京)科技股份公司 异常goip设备位置检测方法、装置、电子设备及存储介质
CN114461932B (zh) * 2021-12-24 2022-10-11 北京融信数联科技有限公司 一种用户行为特异性捕捉方法、***及可读存储介质
CN114584657A (zh) * 2022-02-28 2022-06-03 天翼安全科技有限公司 一种异常通信的电话号码识别方法、装置、设备及介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110856115A (zh) * 2019-11-28 2020-02-28 北京明略软件***有限公司 一种诈骗组织犯案区域的识别方法、识别装置及电子设备
CN111093156A (zh) * 2019-11-29 2020-05-01 中国联合网络通信集团有限公司 伪基站的位置定位方法、设备和存储介质
CN111741472A (zh) * 2020-08-07 2020-10-02 北京微智信业科技有限公司 一种GoIP诈骗电话识别方法、***、介质及设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8737962B2 (en) * 2012-07-24 2014-05-27 Twilio, Inc. Method and system for preventing illicit use of a telephony platform

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110856115A (zh) * 2019-11-28 2020-02-28 北京明略软件***有限公司 一种诈骗组织犯案区域的识别方法、识别装置及电子设备
CN111093156A (zh) * 2019-11-29 2020-05-01 中国联合网络通信集团有限公司 伪基站的位置定位方法、设备和存储介质
CN111741472A (zh) * 2020-08-07 2020-10-02 北京微智信业科技有限公司 一种GoIP诈骗电话识别方法、***、介质及设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
电信网络诈骗犯罪信息调查研究;谢玲;《中国人民公安大学学报( 自然科学版)》;20200331(第105期);第85-93页 *

Also Published As

Publication number Publication date
CN112866192A (zh) 2021-05-28

Similar Documents

Publication Publication Date Title
CN112866192B (zh) 一种识别异常聚集行为的方法及装置
US9305110B2 (en) Method and arrangement for supporting analysis of social networks in a communication network
CN102413169A (zh) 云通讯录的建立和维护方法及***
US10064044B2 (en) Method and apparatus for determining roaming status of terminal, terminal, and server
CN108513301B (zh) 一种非法用户识别方法及装置
CN109041064B (zh) 一种伪基站的识别方法、装置及移动终端
CN108600945A (zh) 识别双卡终端智能卡的方法、装置、设备及存储介质
CN113727352A (zh) 管理对移动装置的欺骗呼叫
CN110611929A (zh) 异常用户识别方法及装置
CN109150864B (zh) 基于二次认证的防作弊方法及装置
CN108696873B (zh) 虚假用户识别方法及装置
CN110536302A (zh) 电信诈骗提醒方法和装置
US20230362300A1 (en) Spoofed telephone call identifier
CN102256255A (zh) 一种基于时间和地理位置冲突的反并卡侦测方法
CN107071778A (zh) 伪基站识别方法及数据分析方法
CN108601098B (zh) 双卡终端的网络制式的识别方法和装置
CN109121137B (zh) 双卡终端的用户号码使用类型识别方法及装置
US11395129B2 (en) Virtual sim card acquisition method, subscriber terminal and server
CN108513303A (zh) 同号终端的异常监控方法和装置
CN114168423A (zh) 异常号码的呼叫监控方法、装置、设备及存储介质
CN112307075B (zh) 用户关系识别方法及装置
CN109600744B (zh) 一种语音处理方法及***
CN108235268B (zh) 获取通话终端imei使用次数的方法及装置
CN112004228A (zh) 实人认证方法及***
CN114071454B (zh) 一种移动用户识别码的识别方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant