【摘要】本文通过在交换网中提取出恶意呼叫实例并进行统计分析，归纳出恶意呼叫号码的若干行为特征和网络特征，并与网络中交换设备自带的检测方案进行比较，提出一种优化的疑似恶意呼叫号码过滤方案。
　　【关键词】恶意呼叫响一声电话
　　当前移动通信网中普遍存在恶意呼叫的现象，本文通过在移动网络中提取恶意呼叫实例，采用统计分析归纳出恶意呼叫的若干特征，并与目前在用的检测方案进行比较，给出一种在交换机上实现的恶意呼叫过滤方案。
　　一、恶意呼叫特征分析
　　通过提取网络中大量呼叫记录进行统计和分析，可以发现恶意呼叫具有若干明显特征：（1）主叫长时间频繁发起呼叫；（2）振铃时长短，主叫提前拆线，被叫应答率低；（3）被叫号码为同号段号码；（4）主叫号码设置呼转。
　　二、在用交换机的恶意呼叫检测方案分析
　　目前多数交换机提供恶意呼叫检测功能，测试中发现几个问题：（1）始发呼叫统计周期范围为30s～300s，恶意呼叫阈值范围为15次～255次，通话接续时长一般在6s～8s，既一分钟发起呼叫的频度不会超出10次，若按最短统计周期为30s计算，则呼叫不会超出5个，而检测功能最小的检测阈值为15次，远远大于5个。（2）始发呼叫统计周期的范围（30～300s）决定了该功能仅能检测短时间内的超频呼叫，影响了监测的成功率和覆盖率。
　　三、优化方案
　　本节在上文分析和测试的基础上，提出一种优化的恶意呼叫号码检测方案，目的在于提高该功能对网络中恶意呼叫号码检测的覆盖率和准确率。
　　3.1优化思路
　　从恶意呼叫检测功能的测试结果来看，简单的从呼叫频度上进行检测准确率低，可通过多维度的联合检测测来优化。
　　主叫行为特征：（1）通话未正常接通，无计费话单产生（通话时长=0）；（2）振铃时长小于指定时长。（（主叫拆线时刻-振铃时刻）Nmax）；5）主叫用户频繁起呼持续时间较长（连续呼叫间隔时间　　被叫号码特征：
　　（1）主叫用户频繁发起呼叫的被叫用户不是同一号码；（2）主叫用户频繁发起呼叫的被叫用户为同一号段号码（是否为同一万号段）。
　　3.2检测流程
　　检测机制原理是通过设置若干特征计数器，对统计周期内每个主叫的呼叫总数和符合条件的呼叫进行分类计数，统计周期结束后，通过判断每个计数器占呼叫总数的比例是否超过设置的阈值来确定主叫号码是否为恶意呼叫号码。计数器包括呼叫总数计数器、超短振铃计数器、主叫拆线计数器、零通话时长计数器、呼叫持续性计数器和同号段号码计数器。检测过程中可设置的阈值为Talerting（振铃时长阈值）和T1（呼叫间隔）。每个呼叫需检测如下信息，流程图如下图所示：
　　流程检测步骤说明：步骤1：收到cm_service_request对该主叫号码呼叫总数计数器加1；步骤2：计算振铃时长（alerting时刻->disconnect时刻），如果振铃时长　　通过以上检测可以提取出用户统计周期内呼叫的若干特征，在几个特征计数器的基础上通过设置阈值，过滤出统计周期内疑似恶意呼叫号码。
　　四、结论
　　本文中提出的恶意呼叫检测优化方案是基于网络中大量恶意呼叫样本提出的，与真实的恶意呼叫模型有较强的相关性，另外，通过延长统计周期可以进一步提高检测结果的准确率。方案中检测阈值的确定可先用网络中样本大致估算一个阈值，在网络中实际运行中持续收集样本再通过分类树算法确定各参数的最佳取值。