本发明涉及通信网络安全、异常用户检测技术领域,特别是涉及一种通信网用户异常呼叫行为检测预警方法,本发明基于用户呼叫的CDR数据展开分析,利用网络用户呼叫行为在长时间内具有稳定性,短时间内随机性的特点,提出一种通信网用户异常呼叫行为检测预警方法,该方法首先对用户在不同时段的呼叫行为进行多粒度统计分析,拟合出行为规律曲线,然后以此为基础对超出呼叫异常阈值的呼叫行为进行异常检测,过程简单容易实现。
1.一种通信网用户异常呼叫行为检测预警方法,其特征在于,含有以下步骤:
步骤1,输入用户历史CDR会话数据、当前需要检测的CDR数据、检测用户呼叫行为的时间间隔T以及呼叫异常阈值p;
步骤2,过滤以待预测号码N为主叫的历史CDR数据,按时间间隔T统计用户号码N不同时间段的通话频次和通话时长;
步骤3,根据历史时间段内所有该时间段的通话频次值x1,构建该时间段i内的通话频次-概率密度分布曲线fi(x1);构建24/T个时间段的通话频次-概率密度分布曲线f(x1)={fi(x1),i=1,2,…,24/T};通话时长统计按每隔t1秒记录一次,t1<T,取中间值作为该时间段内的时长值,构建24/T个时间段的通话时长-概率密度分布曲线f(y1)={fi(y1),i=1,
2,…,24/T},y1是根据历史时间段内所有该时间段的通话时长值,fi(y1)是该时间段i内的通话时长-概率密度分布曲线;
步骤4,根据当前需要检测的以用户号码N为主叫的通话频次x和通话时长y,计算在该时间段内对应的通话频次-概率密度分布曲线的概率值P(x)和通话时长-概率密度分布曲线的概率值P(y);
步骤5,根据用户号码N在当前时间段内通话频次概率值P(x)、通话时长概率值P(y),计算出该时间段内用户号码N的呼叫行为总体概率P(N)=P(x)*P(y);
步骤6,判定P(N)是否小于呼叫异常阈值p,若是,则对该用户本时间段内呼叫行为告警;若否,则返回步骤4,对用户下一时间段通话行为进行检测预警,直到需要检测的用户CDR数据处理完毕。
2.根据权利要求1所述的通信网用户异常呼叫行为检测预警方法,其特征在于,所述CDR数据包括主叫号码、被叫号码、呼叫开始时间、呼叫结束时间、通话开始时间、通话结束时间、通话时长、通话时长和通话失败原因。
3.根据权利要求1所述的通信网用户异常呼叫行为检测预警方法,其特征在于,所述步骤3中通话频次-概率密度分布曲线的构建方法如下:计算历史时间段内通话频次值x1的均值为λ,若λ∈[0,1]用泊松分布拟合;若λ∈(1,2]用卡方分布拟合;若λ∈(2,4]用指数分布拟合;若λ∈(4,8]用泊松分布拟合;若λ∈(8,INF],用户通话频次过大,用户呼叫均值将趋于稳定值λ,记录待预测号码通话频次-概率密度分布曲线的模型参数。
4.根据权利要求3所述的通信网用户异常呼叫行为检测预警方法,其特征在于,所述通话时长-概率密度分布曲线的构建方法与通话频次-概率密度分布曲线的构建方法相同。
一种通信网用户异常呼叫行为检测预警方法
技术领域
[0001] 本发明涉及通信网络安全、异常用户检测技术领域,特别是涉及一种通信网用户异常呼叫行为检测预警方法。
背景技术
[0002] 随着网络融合的发展,通信网作为保障用户信息交流的重要基础设施,其安全性问题日益突出。骚扰、暴恐、诈骗等各类垃圾电话和垃圾短信借助通信网广泛传播,给人民群众造成了很大的财产损失,引发社会强烈关注。与互联网用户异常行为预警相比,由于涉及公民通信隐私等敏感问题,通信网用户异常行为检测方面的研究相对薄弱。并且在电信网海量呼叫交互的环境下,实现对用户当前呼叫行为是否异常的判定往往难以完成。为了加强对通信网用户的有效管控,首先需要对网络用户的异常行为有所了解,实现对异常用户及异常行为的自动识别检测与预警。
发明内容
[0003] 为了解决上述技术问题,本发明提出一种通信网用户异常呼叫行为检测预警方法,尤其是在电信诈骗、骚扰电话等通信网异常网络用户行为高发的今天,该方法可在获得用户历史CDR(Call Detail Record)数据的情况下,准确对通信网络中的异常个体呼叫行为进行检测预警,从而实现对通信网络用户的合理管控。
[0004] 为了实现上述目的,本发明采用以下的技术方案:
[0005] 本发明提供一种通信网用户异常呼叫行为检测预警方法,含有以下步骤:
[0006] 步骤1,输入用户历史CDR会话数据、当前需要检测的CDR数据、检测用户呼叫行为的时间尺度T以及呼叫异常阈值p;
[0007] 步骤2,过滤以待预测号码N为主叫的历史CDR数据,按时间间隔T统计用户号码N不同时段的通信频次和通信时长;
[0008] 步骤3,根据历史时间段内所有该时段的通信频次值x1,构建该时段i内的通话频次-概率密度分布曲线fi(x1);构建24/T个时段的通话频次-概率密度分布曲线f(x1)={fi(x1),i=1,2,…,24/T};通话时长统计按每隔若干秒记录一次,取中间值作为该时间段内的时长值,构建24/T个时段的通话时长-概率密度分布曲线f(y1)={fi(y1),i=1,2,…,24/T};
[0009] 步骤4,根据当前需要检测的以用户号码N为主叫的通信频次x和通信时长y,计算在该时段内对应的通话频次-概率密度分布曲线的概率值P(x)和通话时长-概率密度分布曲线的概率值P(y);
[0010] 步骤5,根据用户号码N在当前时段内呼叫频次概率值P(x)、呼叫时长概率值P(y),计算出该时段内用户号码N的呼叫行为总体概率P(N)=P(x)*P(y);
[0011] 步骤6,判定P(N)是否小于呼叫异常阈值p,若是,则对该用户本时段内呼叫行为告警;若否,则返回步骤4,对用户下一时段通话行为进行检测预警,直到需要检测的用户CDR数据处理完毕。
[0012] 进一步地,所述CDR数据包括主叫号码、被叫号码、呼叫开始时间、呼叫结束时间、通话开始时间、通话结束时间、通话时长、呼叫时长和通话失败原因。
[0013] 进一步地,所述步骤3中通话频次-概率密度分布曲线的构建方法如下:计算历史时段内通信频次值x1的均值为λ,若λ∈[0,1]用泊松分布拟合;若λ∈(1,2]用卡方分布拟合;若λ∈(2,4]用指数分布拟合;若λ∈(4,8]用泊松分布拟合;若λ∈(8,INF],用户呼叫频次过大,用户呼叫均值将趋于稳定值λ,记录待预测号码通话频次-概率密度分布曲线的模型参数。
[0014] 进一步地,所述通话时长-概率密度分布曲线的构建方法与通话频次-概率密度分布曲线的构建方法相同。
[0015] 与现有技术相比,本发明具有以下优点:
[0016] 本发明基于用户呼叫的CDR数据展开分析,利用网络用户呼叫行为在长时间内具有稳定性,短时间内随机性的特点,提出一种通信网用户异常呼叫行为检测预警方法,该方法首先对用户在不同时段的呼叫行为进行多粒度统计分析,拟合出行为规律曲线,然后以此为基础对超出呼叫异常阈值的呼叫行为进行异常检测,过程简单容易实现。
附图说明
[0017] 为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0018] 图1是本发明通信网用户异常呼叫行为检测预警方法的流程示意图。
具体实施方式
[0019] 为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
[0020] 实施例一,如图1所示,本实施例提供一种通信网用户异常呼叫行为检测预警方法,含有以下步骤:
[0021] 步骤S101,输入用户历史CDR会话数据、当前需要检测的CDR数据、检测用户呼叫行为的时间尺度T(例如:T取1小时或者0.5小时)以及呼叫异常阈值p;其中,通信网用户CDR数据包含的基本信息如表1:
[0022]字段名 类型 说明
ncallernm string 主叫号码
vcallernm string 被叫号码
Callstarttime timestamp 呼叫开始时间
Talkendtime Timestamp 呼叫结束时间
Talkstarttime Timestamp 通话开始时间
Talkendtime Timestamp 通话结束时间
talklength Int 通话时长
calllength Int 呼叫时长
failreason Int 通话失败原因
[0023] 表1
[0024] 步骤S102,过滤以待预测号码N(例如15839052687)为主叫的历史CDR数据,按时间间隔T统计用户号码N不同时段的通信频次和通信时长;示例如表2,表2为用户号码分时段通话频次/时长表,过滤以待预测号码N为主叫的当前需要检测的CDR数据,按时间间隔T统计用户号码N不同时段的通信频次和通信时长;
[0025]
[0026] 表2
[0027] 步骤S103,根据历史时间段内所有该时段的通信频次值x1,构建该时段i内的通话频次-概率密度分布曲线fi(x1);同理,构建24/T个时段(一天24小时,预测时间间隔为T,共24/T个时段)的通话频次-概率密度分布曲线f(x1)={fi(x1),i=1,2,…,24/T};通话频次-概率密度分布曲线的构建方法如下:计算历史时段内通信频次值x1的均值为λ,若λ∈[0,1]用泊松分布拟合;若λ∈(1,2]用卡方分布拟合;若λ∈(2,4]用指数分布拟合;若λ∈(4,8]用泊松分布拟合;若λ∈(8,INF],用户呼叫频次过大,可能为机器拨号,用户呼叫均值将趋于稳定值λ,记录待预测号码通话频次-概率密度分布曲线的模型参数。通话时长统计按每隔
10秒记录一次,取中间值作为该时间段内的时长值,通话时长分布按同样的方式拟合为f(y1)={fi(y1),i=1,2,…,24/T},拟合曲线表达式如表3:
[0028]
[0029] 表3
[0030] 步骤S104,根据当前需要检测的以用户号码N为主叫的通信频次x和通信时长y,计算在该时段内对应的通话频次-概率密度分布曲线的概率值P(x)和通话时长-概率密度分布曲线的概率值P(y);
[0031] 步骤S105,根据用户号码N在当前时段内呼叫频次概率值P(x)、呼叫时长概率值P(y),计算出该时段内用户号码N的呼叫行为总体概率P(N)=P(x)*P(y);
[0032] 步骤S106,判定P(N)是否小于呼叫异常阈值p,若是,则转步骤S107;若否,则返回步骤4,对用户下一时段通话行为进行检测预警,直到需要检测的用户CDR数据处理完毕。
[0033] 步骤S107,对该用户本时段内呼叫行为告警。
[0034] 本发明利用电信网用户呼叫行为的长期稳定性与短期随机性的特点,通过对电信网中每名用户的历史呼叫行为进行分析挖掘,记录用户呼叫行为概率密度曲线的特征参数,据此作为用户异常呼叫检测基础,对待检测呼叫中超出历史正常阈值的呼叫行为进行预警,从而实现对通信网络用户的合理管控,过程简单容易实现。
[0035] 以上所示仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
