電信詐騙極大損害用戶利益，給運營商帶來了聲譽損失。運營商如何利用技術手段進行反詐一直以來都是研究重點。起初電信詐騙特征并不復雜，通過一些簡單的行為分析與內容檢測就可以達到不錯的反詐效果。隨著詐騙分子與反詐人員技術對抗不斷升級，電信詐騙在網絡側的行蹤已經越來越隱蔽。具體表現在詐騙分子開始進行精準詐騙，針對不同用戶群量身定制詐騙腳本 ;詐騙分子同時用多個號碼實施詐騙，避免反詐行為分析 ;詐騙分子采用多種渠道實施詐騙，運營商無法獲得完整詐騙劇本。在新的反詐形勢下，為了能夠有效發現網絡中發生的電信詐騙事件，需要對新的反詐技術手段進行研究。

　　1 電信詐騙的本質電信詐騙的本質

　　是通過偽裝身份來騙取對方的信任從而牟取不法利益。由此可以看出，發現電信詐騙最根本手段是發現通信者是否在偽造自己的身份進行通信。比如消息發送者聲稱自己是 10086 的客服，但如果可以通過技術手段發現其不是，則該消息發送者較大概率是電信詐騙分子。詐騙分子的詐騙手段總是不斷翻新，但這一本質特征是永久不變的。所以，如何通過技術手段發現詐騙分子的偽裝身份是反電信詐騙的核心工作。

　　2 反電信詐騙的優劣勢分析

　　電信詐騙分子能夠讓受害者受騙，證明其傳遞的信息從語義上很難辨識真偽。但運營商具有受害者所沒有的全網視角，可以全面分析詐騙號碼與不同受害者的通信行為，這是運營商反詐的有力條件。相比于互聯網即時消息公司的反詐條件，運營商存在如下不利條件。

　　(1)互聯網即時消息服務通常是一個熟人網絡，用戶必須彼此添加好友后才可以進行通信。而電信運營商的網絡是一個陌生人網絡，任何人可以在得知對方手機 號碼的情況下與對方進行通信。這無疑降低了詐騙分子聯系到受害者的門檻。

　　(2)互聯網即時消息服務安裝在用戶終端處，消息既可以在網絡側攔截，也可以在終端側攔截。在終端側攔截的好處是用戶可以恢復誤攔截的消息。另外，在終端側可以結合更多用戶信息(如手機通訊錄)進行反詐。而運營商唯一的治理手段是在網絡側攔截，存在誤攔截風險，且用戶感知度差。

　　(3)互聯網即時消息服務會留存用戶一段時間內的全量消息記錄，包括文字、圖片和語音消息等，反詐數據基礎比較完備。運營商則默認不保存用戶正常通信內容，僅保留用戶的通信行為數據。此外，運營商僅會對網絡中傳播的不良信息(垃圾短信、垃圾彩信、騷擾電話語音和違規圖片信息等)進行實時監控并保存留證，其規模遠遠小于全量的通信內容。

　　綜上所述，電信網是陌生人網絡，無法直接獲得熟人關系。運營商只能進行網絡側治理，要結合多方數據進行精準判定才能進行實施消息攔截。運營商反詐數據基礎不足，需要最大化利用現有信息與外部安全廠商實現數據共享。

　　3 反詐技術框架

　　如圖 1 所示，整個電信詐騙流程可分為數據源選擇、無關數據過濾、詐騙腳本粗篩、身份屬性挖掘、身份屬性檢查和詐騙分析識別幾個階段。

　　3.1 數據源選擇反詐的第一步是要選擇好數據源。數據源包含內部數據源和外部數據源。其中內部數據源可以有很多種，比如垃圾短信數據、垃圾彩信數據、騷擾電話數據和電話話單等。外部數據源包括外部公司或組織共享的投訴舉報數據、號碼標記數據和外部提供的其它安全服務能力等。

　　3.2 無關數據過濾技術在數據源確定以后，可以對數據源中的數據進行預處理。預處理主要是對無關數據進行過濾。方法大體可以分為對結構化數據(如通話話單)過濾和對非結構化數據(如短消息)過濾。結構化數據過濾主要是篩選或限定字段的取值，非結構化數據過濾主要依靠人工智能分類模型進行處理。比較常用的有樸素貝葉斯分類、卷積神經網絡分類和循環神經網絡分類。

　　3.3 詐騙腳本粗篩詐騙分子通過各種黑、灰產業購買潛在受害者隱私信息，并將潛在受害者分類，編制不同的詐騙腳本。詐騙分子在與同類潛在受害者接觸時，會使用相同的腳本。因此網絡上會產生大量內容相似的通信數據。如相似措辭的短消息數據、相似開場白的語音數據和相似內容的圖片數據等。故對過濾后的數據進行相似內容聚類可粗略定位網絡中的詐騙腳本。

　　3.4 身份屬性挖掘偽造身份信息是詐騙腳本的核心，所有的詐騙套路都是圍繞偽造身份展開的。詐騙分子會使用各種偽造身份取信于受害者。同時，詐騙分子通常會準確地說出受害者的姓名和身份證號等隱私信息來強化自身身份。因此，身份屬性信息在詐騙消息中是無法避開的內容。可以通過分析聚類中是否包含身份屬性信息來進一步定位潛在的詐騙信息聚類。

　　3.5 身份屬性檢查在提取出身份屬性信息后，需要對提取出的身份屬性信息進行檢查，以確定身份屬性是否是已知具有詐騙性質的屬性。比如號碼是否為已知詐騙號碼，網址是否是釣魚網站。屬性檢查方法可以利用內部數據自行檢查，也可借助外部安全服務進行檢查。

　　3.6 詐騙分析識別在完成了數據聚類和身份屬性提取后，結合屬性檢查能力，可采用多種方法發現網絡中的詐騙事件。本文列出了比較常用的 4 種手段。

　　(1)直接借助外部服務發現詐騙號碼。比如跟蹤被安全公司標記為詐騙電話的號碼在網絡中發送的信息或撥打的電話，在取證無誤后就可以對號碼進行處理。另外，可以使用安全公司的釣魚網站識別服務檢查垃圾信息中附帶的鏈接信息，若出現釣魚網站，且發送量較大，則發送信息的號碼可判定為詐騙號碼。

　　(2)使用身份屬性之間的矛盾來發現詐騙號碼。詐騙分子在同時聯系多個受害者實施詐騙時，會出現身份屬性自相矛盾的情況。比如在相同詐騙腳本中，同一個手機號碼給多個不同的手機號發送冒充子女類短信，明顯不符合邏輯。又比如在相同詐騙腳本中，同一個手機號碼聲稱自己的姓名不一致，甚至出現數十個不同的名字，也屬于身份屬性自相矛盾。

　　(3)結合身份屬性與熟人關系圈發現詐騙號碼。當手機號碼的通信行為同時影響到多個不同的熟人關系圈，且這些熟人關系圈在之前彼此沒有交集時，則這個手機號碼很可能是詐騙號碼。

　　4 結束語

　　反詐工作的核心內容是識別詐騙分子的偽造身份。在合理選擇數據源后，在預處理階段，首先通過分類技術過濾掉不相關的數據，其次通過相似聚類技術來粗略定位潛在的詐騙腳本。接下來使用命名實體識別技術進行身份屬性提取，進一步縮小潛在詐騙腳本范圍。針對號碼類屬性，可以使用行為分析技術或熟人關系圈進行詐騙號碼判別。結合使用外部號碼標記數據能夠大幅提高查準率。針對網址類屬性，可以使用釣魚網站識別技術或外部安全服務來實現詐騙腳本的鎖定。針對其它類別的屬性可以通過發現相同詐騙腳本中的身份矛盾來鎖定詐騙腳本。

　　本文提到的身份屬性信息主要來自于文本信息。圖片和語音也需先轉為文本后再進行提取。實際上，圖片中的人臉信息，語音中的聲紋信息一樣體現了身份信息。隨著深度偽造的發展，這些身份信息有可能被偽造濫用，成為詐騙分子實施詐騙的新利器。未來工作有必要針對深度偽造技術背景下的反詐技術進行研究。

　　參考文獻

　　[1] 劉冠軍. 新技術條件下電信網絡詐騙治理研究[J]. 山東農業工程學院學報, 2019(11).

　　[2] 黎宏. 電信詐騙中的若干難點問題解析[J]. 法學, 2017(5).

　　[3] 胡向陽, 劉祥偉, 彭魏. 電信詐騙犯罪防控對策研究[J]. 中國人民公安大學學報(社會科學版), 2010(5).

　　[4] 劉宏成. 電信詐騙的分析與防范[J]. 法制與社會, 2009(1).

　　《運營商反電信詐騙技術手段研究》來源：《電信工程技術與標準化》，作者：杜剛，朱艷云，張晨，杜雪濤