黑客特种兵潘少华:如何用人工智能“套路”一个骗子 | 硬创公开课(2)
接下来我详细说一下实时阻断在技术上是如何实现的。 我们会在运营商网络里部署一个实时监测系统。 1、话单采集。我们会从通话记录设备里采集实时话单。 2、话单脱敏。由于谁给谁打电话这类信息是敏感信息,我们会通过特定的加密算法进行脱敏处理,从这些脱敏的数据里,无法得知特定的通话记录。 【脱敏之后的电话列表】 接收的电话,我们会进行哈希处理。对端的号码,我们会保留明文(因为可能是诈骗电话)。 3、输入机器学习系统。对于机器学习系统来说,它并不用知道电话是由哪个具体的号码拨打的,它只需要判断这种行为是不是诈骗。 通过提取数据特征,输入机器学习系统,就可以用事件模型来加以判断,最终可以分辨出哪些通话行为是诈骗行为。在这个过程中,我们不断地用云端数据和参数调整来保证检测结果的准确——误报率低的同时,尽可能多地检测出诈骗电话。 4、数据解密。把处理好的数据输入运营商的数据,进行对称解密。 5、告警提示。判断出诈骗电话之后,运营商可以做选择,利用自己的工单系统提示用户。 短信提醒:你刚才接的是诈骗电话,千万不要上当。 闪信提醒:通过手机弹窗方式,提醒用户遭遇了诈骗。 电话提醒:给用户拨打电话提示。 彩印提醒:为用户下发和号码关联的彩印。 机器学习的核心技术实现一、数据对于机器学习系统来说,最重要的是数据。这些数据来自云端的 250 万活跃诈骗号码库,包括网民举报和历史案件数据,这些作为训练样本来让机器学会如何识别一个正在拨打的电话是诈骗电话。 由于这些数据很多都来自手机客户端,所以信息更新比较及时,所以这 250 万数据是最新的。 二、机器学习系统大数据机器学习以前高高在上,但是现在已经在很多领域得到了应用。我们对于机器学习,也是开箱即用的方法,在反诈骗的特定领域进行工作。 我们在里面内置了超过五十种诈骗电话的话单模型。这其中包括几个要素,包括: 用户被叫地的分布 被叫时长分布 被叫时间分布(早晚、半夜) 用户特征 。。。 我们也并不知道这些要素和诈骗这个行为哪个是最强相关的。所以我们把数据扔到机器学习系统里,进行有监督或者半监督的学习,自动找出相关性来。 号码数据特征,大概分了六个方向。 1、号码活跃特征数据例如日呼叫次数,平均通话时长,最早最晚通话时间等等基本的统计属性。正常的一个号码,应该是呼入和呼出次数差不多,并且不会每天连续拨打。 2、号码的社交网络例如号码的好友数,陌生人通话比例,你的号码曾经给多少人打过等等。同样,社交网络还包括被拨打的号码它有哪些好友,好友和呼叫号码之间是否具有相关性等等。 3、号码的行为事件流一个号码,前后干过什么事请,我们会作为一个事件流来分析。例如五分钟之前打了号码,过了四分钟又打了一个。其中有多少是正常通话,有多少是不正常的。例如一个呼叫三秒钟就挂断,或者连续通话十分钟,都是比较极端的不正常情况。 4、号码的行为特征例如,用户和海外号码通话次数,和固话或短号通话的次数等等。有的诈骗分子专门打座机号来骗老师,有的诈骗分子专门打手机号。数据量大了之后,统计特征还是非常明显的。 5、号码信用度当我们的数据积累一定量之后,我们可以建立号码信用度。正常用户的行为会被识别为白名单,而和这种行为模式不相符的号码,就可以被认为号码信用度低。 6、号码异常度例如,号码的异常行为、呼叫异常号码,会被计入异常行为档案。对于我们认为有问题的号码,会进行重点的监测分析。 事件模型和机器学习模型交叉验证一、突增模型例如诈骗号码都是突然间开始使用的,可能用了一段时间就突然消失。(因为换了新的号码) 【诈骗号码通话量突增模型】 这是我们监测到的一个诈骗号码。15年1月12号这一天还基本没有拨通记录,到了第二天的时候,它的拨打电话达到了一百多,第三天达到了一千个。而过了一周左右,它的拨打号码就直接降为零。这种特征很明显。 二、事件模型诈骗分子也有时间成本。对于他来说就是要在最短的时间里尽可能多地拨出号码,捞出尽可能多能上钩的鱼。所以不可能一个号码专门骗一个人然后就废弃不用。所以他的套路我们总是可以归纳分析出来。 我们来看一个经典的诈骗剧本: 五六个诈骗分子坐在一间屋子里,启动诈骗流程 1、先用+185这个自动语音系统拨打电话,告诉你有文件没投递成功,让你按9转人工。如果你响应了,后面的“服务流程”就跟上了。如果你不接或者两秒钟就挂断,后面的行为就取消了。 2、几分钟后,另外一个冒充警官的人打过来,他的目的是信息作证,让你相信这个骗局。他会引导你去“官网”查询信息,你去网上果然发现了这个信息。 3、一个小时之后,用户接到仿冒公安局的电话。 4、用户根据公安局的电话指示,拨打114来确认检察院电话。 5、“经过确认的”检察院打来电话。 【一个经典诈骗套路背后,有哪些规律?】 这其中越到后来的步骤,越是骗子“老司机”,也就是团队 leader 来操作。根据这样的事件模型,可以把看起来独立的行为串起来。 三、基于通话行为的模式的智能分析电信诈骗可以跟刑事案件进行类比。 例如发现了一个杀人案,我们可以用不同的维度来缩小怀疑范围。例如目击证人发现这是个男性,发生事件时早上九点,根据探头发现作案的交通工具,最后从被害人的社交关系里来判断哪些人和被害人有矛盾。 (编辑:ASP站长网) |