信令消息特征
- 注册请求异常
- 频繁注册:正常用户一般不会频繁进行注册操作。若通过DPI发现某用户的VoLTE设备频繁发送SIP注册请求,可能是诈骗者在尝试获取网络资源或进行异常操作以隐藏身份。
- 多设备注册:如果同一个用户账号在短时间内从多个不同的设备或IP地址进行注册,可能存在账号被盗用或诈骗者利用多个设备进行诈骗的情况。
- 呼叫建立异常
- 呼叫频率异常:分析SIP消息中的呼叫建立请求频率,若某用户在短时间内发起大量呼叫,远超正常用户的使用模式,可能是在进行群呼诈骗等操作。
- 呼叫目的地异常:检查呼叫的目标号码,如果大量呼叫指向一些可疑号码,如境外高危地区号码、频繁变更的号码或与已知诈骗号码关联的号码,该用户有较大诈骗嫌疑。
- 呼叫时长异常:如果大量呼叫的时长都极短,可能是诈骗者在进行呼叫试探或验证号码是否有效等操作。
消息内容特征
- 携带恶意链接或代码:检查SIP消息体中是否包含可疑的URL链接或代码片段。若消息中包含指向恶意网站的链接,可能是诈骗者试图诱使用户点击链接,以获取用户信息或安装恶意软件。
- 异常的文本内容:分析SIP消息中的文本信息,如呼叫原因、显示名称等字段。若出现涉及诈骗常用话术,如“中奖通知”“银行账户冻结”“冒充公检法”等内容,需高度警惕。
行为模式特征
- 与已知诈骗模式匹配:通过DPI收集大量的VoLTE SIP协议消息数据,建立诈骗行为模式库。若某用户的行为模式与库中的诈骗模式高度相似,如特定的呼叫序列、消息交互模式等,可判定为可疑用户。
- 异常的漫游行为:如果用户的位置信息显示频繁在不同地区甚至不同国家之间快速切换,且与正常的出行规律不符,可能是诈骗者利用漫游来躲避追踪或针对不同地区用户实施诈骗。
然而,仅仅依靠DPI技术分析VoLTE SIP协议消息可能无法完全准确地判断用户是否为电信诈骗欺诈者,还需要结合其他技术和数据来源进行综合判断,如用户的历史通话记录、信用记录、网络行为分析等,以提高判断的准确性,降低误判率。
