新型电信网络诈骗GOIP技术研究

新型电信网络诈骗 GOIP技术研究

曾彬

中国电信股份有限公司四川分公司 四川 成都 610041

摘要：随着信息技术的飞速发展，以电信网络诈骗为代表的新型犯罪层出不穷，发展蔓延快，手段花样多，危害后果大，已成为影响社会治安稳定的突出犯罪和群众反映强烈的治安顽疾。开展新型犯罪及其打防手段的研究与探索，是当前和今后一个时期电信、金融、公安工作面临的重大现实问题，也是推进国家治理体系和治理能力现代化的重要举措。

关键词：GOIP; 密集养卡；IMSI；机卡分离；

引言

电信网络诈骗是指犯罪分子通过电话、网络和短信方式，编造虚假信息，设置骗局，对受害人实施远程、非接触式诈骗，诱使受害人给犯罪分子打款或转款的犯罪行为。目前已渗透到我们日常生活的方方面面，无论是从发案总量、造成群众的生命财产损失，还是从犯罪行为产业化、高科技化，都社会治安和社会稳定造成十分深刻的影响,目前犯罪分子利用新型GOIP设备进行诈骗活动，对防诈工作带来新的挑战。

1 GOIP技术简介

GOIP是GSM over IP的缩写，是通过GOIP网关设备实现GSM呼叫与VOIP呼叫互通的技术。GOIP是网络通信的一种硬件设备，支持手机卡接入，能将传统电话信号转化为网络信号。通过GOIP技术可以实现互联网VOIP呼叫到电信网真实号码呼叫的落地，随着技术的发展，目前的GOIP网关设备也可以支持VoLTE呼叫与VOIP的呼通以及CDMA手机卡呼叫。GOIP设备是一个多功能融合通信设备，主要用于连接移动运营商网络与IP网络上下车，并广泛应用于虚拟运营、呼叫中心、企业接入、短信营销、无线移动等领域. GOIP设备目前支持 GSM、CDMA、WCDMA、LTE四种网络制式。

目前,国内三个较大的GOIP设备生产厂商为鼎信通达、一正科技、得伯乐。

2 利用GOIP工具实施诈骗的组网

诈骗分子具备反侦查能力，会想方设法隐藏真身，因此在以GOIP设备为核心实施诈骗的过程中在多个环节增加追查难度，包括并不限于如下：

• 机卡分离

原GOIP设备自带卡池的方式升级为机卡分离，GOIP通过互联网与远程、异地部署的多个卡池相连

• 密集养卡

卡池中使用电话卡最初以低资费卡为主，为规避发现目前发展的卡既有很久之前注册的非实名卡，也有冒用他人身份办理的实名卡，还有不少以公司名义办理的集团卡。

• 外呼配置

GOIP管理软件支持多种丰富灵活的外呼管理策略，包括对单张卡单位时间内外呼次数、外呼失败次数、接通数等进行检测及限制；外呼IMEI可配置修改等。给分析侦查工作带来更大难度。

• 互联网加密

GOIP设备通过网卡或者WIFI与互联网对接，通过加密网关对语音和信令进行加密,增加了甄别难度，给分析侦察工作带来新的挑战。

3 GOIP模型分析

3.1 基于位置的异常变化识别模型

3.1.1 规律性位置更新特征行为识别

发现并识别GOIP控制的号码具有定时位置更新的特征，可计算某IMSI号码位置更新的时间间隔，以时间间隔的标准差作为特征，判断其是否有规律性位置变更的行为，标准差越小则约规律。除此外，还可考察位置更新的集中程度，GOIP设备往往在一段时间内固定于某个位置，那么挂靠的基站就是窝点附近的少数几个基站。

3.1.2 基站位置跳跃特征行为识别

发现并识别在开机状态下，正常号码的基站变更在位置上是渐变的，即总是从一个基站变更到相邻的基站，不太可能发生一个基站突然跳跃到另一个地区基站的行为。可计算基站变更时两基站之间的位置距离，统计距离的最大值和中位数，以此来发现异常的IMSI号码。还可计算号码在两基站注册的时间差，进而计算变更速度，进一步识别跳跃型基站变更。

3.1.3同批次号码异常位置特征识别

发现并识别同一GOIP关联的批次号码往往具有相同的位置行为特征。比如，拥有同一开卡渠道来源、在相同的基站注册附着、在相似的时间段活动等。可通过抓取基站同步且行为特征相似的号码来识别异常IMSI。或者可以从同渠道批次号码出发，对每一批次号码计算并输出其活跃时间的重叠度、同一时间段内位置的重叠度等指标进行数据探索分析。

3.2 异常端口集识别模型

发现并识别GOIP设备作为接入核心网的网关实现IP呼叫转化为SIP呼叫，GOIP需要通过互联网与发起VoIP呼叫的呼叫中心服务器连接，两个设备节点的IP域连接的IP、Port相对稳定，可基于此特征针对特定IP地址及端口进行筛查监测。即基于上网日志数据源，先在2g和4g U面信令中找到已知异常端口号对应的用户号码、UE和ip地址，然后在宽带日志中找到具体的设备地址。

3.3 异常IMEI设备码识别模型

发现并识别对于正常用户而言，设备码IMEI与IMSI往往是绑定的。但对于GOIP而言，往往一个设备码（IMEI）会对应多个IMSI号。同时，卡池内的IMSI也可能被多个设备使用，即一个IMSI号对应多个IMEI号。考察这些特征可有效识别异常IMSI号。以IMSI分组，可以得到IMSI对应的设备码数量。以IMEI分组，可以得到设备对应的IMSI数量。对于后者，我们需要将特征再对应到IMSI号码上。对于某个IMSI，可以先找到IMSI对应的全部设备，再计算每个设备对应的IMSI号码量，以各设备对应号码量的最大值作为特征。

4、养卡场景识别模型

诈骗分子的对抗性较强。诈骗分子批量购卡后，部分诈骗分子会保持每张号码卡相似的通话特征，较为规律，或一段时间静默，或某段时间通话很少，时机成熟时出现爆发式的呼出行为。

• 算法目标

• 识别诈骗分子异常静默卡。

• 数据源要求

• 本省全量通话记录

时间粒度：每小时或每5分钟增量

• 用户相关业务信息记录

时间粒度：每日或每小时增量；每月全量

• 重点诈骗号码样本

黑样本号码为训练算法开始前的输入信息，需要对应样本号码为新近发现，建议为最近1周内或1月内的举报和各类诈骗号码，越多越好。

样本是否有效还要看在通话记录数据中是否有对应该号码的主叫/被叫通话记录，若通话记录为空则为无效样本。

• 算法实现

• 结合诈骗号码黑样本，提取黑号码如通话频次、天数、被叫号码离散度等通话行为特征；联查号码用户签约特征等数据；提取相关白号码对应特征数据。

• 基于举报号码，分析相同身份证或[相同入网渠道及入网时间]下的号码的通话行为特征，基于号码的月通话频次，月主叫次数等分类识别有批量静默卡特征的异常身份证或异常渠道；监控对应异常身份证或渠道下的静默卡。

• 算法评价

关停、复机情况如下：

3月：关停57、复机12、复机率21%

4月：关停84、复机13、复机率15.47%

结语

通过前文分析能够看出，GOIP设备能人机分离，技术更新快，对防诈工作带来新的挑战，特别是GOIP设备可以通过互联网接入进行呼叫，犯罪分子通过VPN和IPV6技术，对打击GOIP设备防诈工作带来难度。诈骗分子利用GOIP和即时通信软件（微信、陌陌、探探等）、短信、电话实施诈骗，其中电话在诈骗实施环节中电话为主要环节，但仅有通话特征的不足以全面监测发现欺诈行为，结合短信、用户即时通信软件的使用情况，构建短信+话务+APP联动分析模型，对互联网诈骗行为进行预警；

参考文献

[1] 新型犯罪研究 （粤O）L0200501号