Алгоритм автоматической блокировки диапазонов мошеннических и спамовых телефонных номеров Текст научной статьи по специальности «Компьютерные и информационные науки»

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

Научная статья УДК 004.051+519.172.1

Алгоритм автоматической блокировки диапазонов мошеннических и спамовых телефонных номеров

Антон Александрович Санталов

Ульяновский государственный технический университет, Ульяновск, Россия anton.santalov1995@gmail.com

Аннотация. Рассмотрены способы повышения эффективности модуля блокировки автоматической антифрод-системы с помощью применения связных ациклических графов в алгоритме выделения диапазонов телефонных номеров для блокировки мошенничеств и спама. Ключевые слова: телекоммуникации, антифрод, граф, дерево, повышение эффективности.

INFORMATION TECHNOLOGIES Scientific article

Algorithm for automatic blocking of ranges of fraudulent and spam phone numbers Anton A. Santalov

Ulyanovsk State Technical University, Ulyanovsk, Russia anton. santalov1995@gmail.com

Abstract. Ways to improve the effectiveness of the blocking module of the automatic antifraud system by using connected acyclic graphs in the algorithm for selecting phone number ranges for blocking scams and spam are considered.

Keywords: telecommunications, antifraud, graph, tree, efficiency increase.

Постоянное увеличение объёмов фродового телефонного трафика приводит к росту убытков операторов связи [1]. Это обстоятельство вызывает необходимость повышения эффективности функционирования антифрод-систем (систем мониторинга телекоммуникационного трафика для обнаружения и предотвращения мошеннических и спамовых атак).Телефонные мошенничество (фрод) и спам являются часто обсуждаемой темой в сфере обеспечения безопасности при использовании информационно-коммуникационных технологий и новых технических решений. Однако освещения подобных проектов в специальной и научной литературе почти не происходит, вследствие чего известно мало подходов к блокировке телекоммуникационного трафика, а их эффективность исследована недостаточно. Это обстоятельство обуславливает актуальность проводимого исследования.

© Санталов А. А., 2023

Согласно рекомендации ITU-T M.3362 Международного союза электросвязи [2] антифрод-системы должны состоять из нескольких модулей, каждый из которых отвечает за свой этап работы системы и решает конкретную задачу. Модуль обнаружения выявляет фродовую атаку, модуль мониторинга производит анализ характеристик телекоммуникационного трафика, в котором обнаружена атака, модуль предотвращения мошенничества регулирует телефонный трафик с помощью установки правил и блокирует фродовую атаку, модуль оповещений обменивается информацией с другими организациями или клиентами антифрод-системы.

В литературе обычно рассматриваются вопросы повышения эффективности анализа трафика [3, 4], но не вопросы его эффективного блокирования. Необходимо учитывать, что даже при успешном обнаружении фродового трафика остаётся проблема установки корректной блокировки фродовых телефонных номеров без затрагивания натурального трафика абонентов, не

причастных к фродовой атаке. Таким образом, для повышения общей эффективности системы необходимо повышение качества функционирования модуля блокировки.

Основными задачами исследования ставились:

• разработать метод выделения блокируемых диапазонов телефонных номеров разной длины по фродовым номерам с помощью связных ациклических графов;

• продумать возможность параметрической настройки алгоритма в зависимости от типа фродовой атаки.

При описании алгоритма модуля блокировок предполагается, что модуль мониторинга и модуль анализа успешно выявили фродовую атаку в телефонном трафике и корректно определили её параметры, т. е. модуль блокировок будет находиться в идеальных условиях. Однако следует учитывать, что оценка эффективности функционирования модуля блокировок осуществлялась в составе не идеальной, а реальной антифрод-системы при её работе на реальном телекоммуникационном трафике.

Существуют различные виды мошеннического и спам-трафика, ниже приведены некоторые из них:

• IRSF-схема (англ. International revenue share fraud «фрод распределения дохода между операторами разных стран») - более общий тип фродового трафика, который включает в себя схемы по совершению международных звонков на платные номера с целью распределения доходов между операторами разных стран за счёт владельца телефонных номеров, с которых совершались звонки, или за счёт операторов связи, которые произвели транзит трафика.

• PBXhacking (англ. Private branch exchange hacking «взлом частной автоматической телефонной станции») - тип фродового трафика, когда мошенник получает несанкционированный доступ к автоматической телефонной станции компании (или даже оператора связи) и совершает звонки на платные номера.

• wangiri (в переводе с японского: «один короткий звонок, после которого сигнал обрывается») - тип фродового трафика, когда мошенник совершает автоматический обзвон абонентов с платных номеров, оставляя пропущенные звонки. Цель мошенника - вызвать звонки абонентов на эти платные номера. Перезвоны абонентов называются wangiri callbacks.

• Спам и нежелательные звонки абонентам -общий тип спамового трафика, включающий в себя обзвоны колл-центров, обзвоны с целью

телемаркетинга, автоматизированные обзвоны и другие нежелательные звонки.

Обычно, но не всегда, во фродовой атаке участвуют переборные номера - телефонные номера, чьи последние цифры перебираются. Переборные номера могут наблюдаться как на стороне совершения телефонного вызова (в случае wangiri или спама), так и на стороне приёма вызова (IRSF, PBXhacking, wangiri call backs, а также спама). Количество телефонных номеров в одной атаке может исчисляться как десятками, так и десятками тысяч. Можно предположить, что самый эффективный способ остановить такую атаку - это использовать правила, которые запретят прохождение трафика на широкий диапазон переборных телефонных номеров (или с него), не дожидаясь, когда весь диапазон номеров будет полностью затронут фродом. Чаще всего такой подход гарантированно останавливает атаку, и она не возобновляется. Однако не редки случаи, когда эти диапазоны содержат номера обычных абонентов, не вовлечённых в атаку и рассчитывающих на оказание качественных и непрерывных услуг связи. Последствия блокирования обычных абонентов иногда могут привести к репутационным издержкам и гораздо большим потерям, чем сама фродовая атака, которая и привела к случайной блокировке натурального трафика. Чтобы не создавать помехи прохождению трафика обычных абонентов связи, можно попробовать создавать правила, запрещающие прохождение трафика не на диапазоны телефонных номеров, а на конкретные номера, как, например, в работе [5], где номера блокируются при увеличении количества звонков на них. Однако этот подход к блокированию не позволяет действовать на упреждение и гарантированно останавливать атаки, нацеленные на диапазоны номеров. Также следует учитывать, что при больших объёмах телекоммуникационного трафика быстродействие оборудования падает с ростом количества правил, а у клиентов антифрод-системы возникают проблемы с проверкой и отслеживанием состояния каждого правила. Оптимальным решением будет комплексный подход с комбинированием двух способов установки правил: блокировки как отдельных телефонных номеров, так и диапазонов разной длины.

В данном исследовании предлагается реализовать этот подход путём представления телефонных номеров в виде дерева - связного ациклического графа. Это должно расширить возможности выделения блокируемых диапазонов номеров и повысить качество работы модуля блокировки.

На рисунке 1 в виде строк представлен фрагмент телекоммуникационного трафика, который был классифицирован модулем анализа на фро-довые телефонные номера, выделенные на рисунке белым, и телефонные номера обычных абонентов, выделенные серым.

Алгоритмы, основанные на блокировке телефонных номеров одним широким диапазоном, в данном случае установили бы блокировку диапазона 7968. Как можно заметить, в эту блокировку попадает телефонный номер 79680450544, не участвующий в атаке.

В модуле блокировки, который выбран объектом оптимизации, используются более сложные алгоритмы, которые отбрасывают одинаковое количество цифр с конца всех номеров до тех пор, пока количество блокируемых диапазонов не будет удовлетворять параметру, ограничивающему максимальное количество блокировок. Ограничение количества блокировок по умолчанию равно 4, но у модуля получилось бы установить только 2 блокировки: 796869 и 796870. Таким образом, был бы прекращён трафик на 200 тысяч переборных телефонных номеров, среди которых вполне вероятно могут оказаться номера обычных абонентов, т. е. модуль не учитывает переборы цифр в телефонных номерах и неравномерное распределение фрода по диапазонам номеров.

Как уже было описано выше, можно снизить вероятность блокирования номеров обычных

абонентов, если устанавливать более узкие блокировки диапазонов разной длины, выделяемые с помощью дерева. На рисунке 2показанотакое дерево, построенное по фродовым телефонным номерам с рисунка 1. Пунктиром выделены узлы, которые соответствуют заблокированным диапазонам телефонных номеров. Узлы, выделенные серым цветом, соответствуют заблокированным диапазонам телефонных номеров, на которые не будет проходить трафик в случае установки блокировок. Узлы, выделенные белым цветом, соответствуют диапазонам телефонных номеров, которые не будут затронуты блокировкой.

7 9 0 3 1 3 3 6 6 7 9

7 9 6 8 0 4 5 0 5 4 4

7 9 6 8 6 9 0 8 3 0 3

7 9 6 8 6 9 0 9 2 4 3

7 9 6 8 7 0 0 8 2 4 0

7 9 6 8 7 0 3 8 3 4 9

7 9 6 8 7 0 5 1 1 2 3

7 9 6 8 7 0 7 0 9 2 8

7 9 6 8 7 0 7 3 2 9 9

7 9 6 8 7 0 7 3 9 3 6

7 9 6 8 7 0 7 4 2 9 9

7 9 6 8 7 0 7 5 7 7 1

7 9 6 8 7 0 7 7 5 1 7

7 9 9 1 1 9 8 1 5 0 4

7 9 9 1 6 8 0 9 1 9 6

Рис. 1. Телефонные номера, классифицированные модулем анализа

7

9

Каждому узлу дерева соответствует свой диапазон телефонных номеров, у которого можно выделить следующие характеристики:

• цифра, на которую заканчивается диапазон;

• высота узла относительно корня дерева;

• количество цифр, которое нужно отбросить с конца номера, для получения диапазона;

• количество фродовых телефонных вызовов, совершённых на этот диапазон номеров;

• количество нефродовых телефонных вызовов, совершённых на этот диапазон;

• количество дочерних узлов, соответствующее количеству переборных цифр в следующем разряде телефонных номеров, входящих в диапазон.

Данные характеристики следует использовать в алгоритме выделения блокировок из дерева телефонных номеров для определения диапазонов с большим количеством переборных номеров, с которых или на которые совершались фродовые вызовы.

Сложность блокирования различных типов фродовых атак предлагается преодолеть параметризацией для создания семейств алгоритмов. В качестве параметров, определяющих результат работы алгоритма, предлагается выбрать:

• максимально допустимое количество диапазонов, которое может выделить алгоритм;

• минимальное количество цифр с конца всех номеров, которое отбрасывает алгоритм -позволяет блокировать диапазон, даже если в нём нет переборных номеров;

• минимальное количество цифр в переборе, которого достаточно для блокирования диапазона;

• соотношение фродовых и нефродовых вызовов на диапазон.

Кроме построения дерева и последующего отсечения его веток согласно чётким правилам для получения дерева блокируемых диапазонов, возможно применить рекурсивное разбиение фродовых и нефродовых телефонных номеров на основе критерия Джини или энтропийного критерия[6]. Однако применение оптимального разбиения на основе функционала качества понизит наглядность и очевидность работы алгоритма для клиента, использующего систему; замедлит диагностику системы человеком; усложнит отладку в случае обнаружения в алгоритме ошибок.

В качестве мер качества работы алгоритма предлагается использовать проценты ошибок первого и второго рода. Ошибкой первого рода считается ситуация, когда фродовый телефон-

ный номер не был заблокирован и фродовая атака продолжилась. Ошибкой второго рода - когда телефонный номер живого абонента был заблокирован (например, как в случае с блокировкой телефонных номеров с рисунка 1 диапазоном 7968).

В результате проведённого исследования предложены:

• алгоритм выделения блокируемых диапазонов фродовых телефонных номеров с помощью деревьев - связных ациклических графов;

• различные способы построения деревьев;

• вариант параметрической настройки алгоритма для обеспечения эффективности блокировки фродовых атак различных типов и снижения количества случаев блокирования трафика живых абонентов.

В дальнейшем планируется реализовать разработанный алгоритм в рамках модуля блокировок антифрод-системы, оценить качество работы модуля в составе технической системы при её работе на настоящем телекоммуникационном трафике и исследовать повышение эффективности работы модуля по сравнению со старой версией алгоритма блокировок, не основанного на связных ациклических графах.

СПИСОК ИСТОЧНИКОВ

1. Communications Fraud Control Association -Fraud Loss Survey 2019. URL: https://web.archive. org/web/20220314060801/https://cfca.org/wp-content/uploads/2021/02/CFCA-2019-Fraud-Loss-Survey.pdf. (дата обращения: 12.02.2023).

2. ITU-T M.3362. Requirements for telecommunication anti-fraud management in the telecommunication management network, 2020-06-05. URL: https://handle.itu.int/11.1002/1000/14197. (дата обращения: 12.02.2023).

3. Болдырев С. Н. Применение нейронных сетей для борьбы с телекоммуникационным мошенничеством // Вестник российских университетов. Математика. 2010. №2.

4. Нгуен Туан Ань, Щербаков М. В., Чан Ван Фу, Кравец А. Г. Разработка метода проактивно-го обнаружения мошенничества потребителей услуг телекоммуникационной компании // Прикаспийский журнал: управление и высокие технологии. 2016. №4 (36).

5. Акимова А. И., Ковцур М. М. Разработка программного модуля защиты от ложных вызовов для IP-АТС Elastix // Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2018): VII Международная научно-техническая и научно-методическая конференция. Сборник научных статей. В 4 т. / Под

редакцией С. В. Бачевского. Санкт-Петербург: Санкт-Петербургский государственный университет телекоммуникаций им. проф. М. А. Бонч-Бруевича, 2018.

6. Клячкин В. Н., Крашенинников В. Р., Ку-вайскова Ю. Е. Прогнозирование и диагностика стабильности функционирования технических объектов. М. : РУСАЙНС, 2020.

Информация об авторе

А. А. Санталов - аспирант кафедры «Прикладная математика и информатика» Ульяновского государственного технического университета.

REFERENCES

1. Communications Fraud Control Association -Fraud Loss Survey 2019. URL: https://web.archive. org/web/20220314060801/https://cfca.org/wp-content/uploads/2021/02/CFCA-2019-Fraud-Loss-Survey.pdf. (accessed: 12.02.2023).

2. ITU-T M.3362. Requirements for telecommunication anti-fraud management in the telecommunication management network, 2020-06-05. URL: https://handle.itu.int/11.1002/1000/14197. (accessed: 12.02.2023).

3. Boldyrev S. N. Primenenie nejronnyh setej dlya bor'by s telekommunikacionnym moshennichestvom [Application of neural networks to combat telecommunication fraud]. Vestnik rossijskih universitetov. Matematika [Bulletin of Russian Universities. Mathematics], 2010, No. 2.

4. Nguyen Tuan An, Shcherbakov M. V., Chan Van Fu, Kravets A. G. Razrabotka metoda proaktivnogo obnaruzheniya moshennichestva potrebitelej uslug telekommunikacionnoj kompanii [Development of a method for proactive detection of fraud of consumers of telecommunications company services]. Prikaspijskij zhurnal: upravlenie i vysokie tekhnologii [Caspian Journal: Management and high technologies]. 2016. №4 (36).

5. Akimova A. I., Kovtsur M. M. Razrabotka programmnogo modulya zashchity ot lozhnyh vyzovov dlya IP-ATS Elastix [Development of a software module for protection against false calls for Elastix IP PBX]. Aktual'nye problemy infotelekommunikacij v nauke i obrazovanii (APINO 2018): VII Mezh-dunarodnaya nauchno-tekhnicheskaya i nauchno-metodicheskaya konferenciya. Sbornik nauchnyh statej. V 4 t. [Actual problems of infotelecommunications in science and education (APINO 2018): VII International scientific-technical and scientific-methodical conference. Collection of scientific articles. In 4 volumes]. Pod redakciej S. V. Bachevskogo. [Edited by S. V. Bachevsky]. St. Petersburg: [Sankt-Peterburgskij gosudarstvennyj universitet telekommunikacij im. prof. M. A. Bonch-Bruevicha [St. Petersburg State University of Telecommunications named after Prof. M. A. Bonch-Bruevich], 2018.

6. Klyachkin V. N., Krasheninnikov V. R., Kuvaiskova Yu. E. Prognozirovanie i diag-nostika stabil'nosti funkcionirovaniya tekhnicheskih ob"ektov [Forecasting and diagnostics of the stability of the functioning of technical facilities]. Moscow, RUSAINS, 2020.

Information about the author A. A. Santalov - postgraduate student of the Department of Applied Mathematics and Computer Science of the Ulyanovsk State Technical University.

Статья поступила в редакцию 22.02.2023; одобрена после рецензирования 07.03.2023; принята к публикации 15.03.2023.

The article was submitted 22.02.2023; approved after reviewing 07.03.2023; accepted for publication 15.03.2023.