Na rys. 1 przedstawiono przepływ informacji pomiędzy poszczególnymi ogniwami systemu billingowego z uwzględnieniem lokalizacji systemu wykrywania nadużyć.

Do głównych elementów funkcjonalnych typowego systemu FD należą: moduł umożliwiający wykrywanie nadużyć (przy wykorzystaniu wartości progowych, badania zmienności zachowania abonenta, badania zapamiętanego wzorca zachowania, statystycznej analizy połączeń nietaryfikowanych) oraz moduły wspomagające pracę systemu (graficzna analiza powiązań między abonentami, złożone wyszukiwania w bazie danych, weryfikacja wiarygodności finansowej abonenta, wnioskowanie, tworzenie reguł na podstawie przeanalizowanych rekordów CDR (Call Data Records - rekordy taryfikacyjne).

Ponadto system powinien być wyposażony w tzw. moduły menedżerskie (moduł zarządzający pracą analityków oraz moduł raportujący). Widać więc, że zestaw niezbędnych funkcji jest niemały, a co za tym idzie duża jest złożoność systemu.

Jak twierdzi Andrzej Kozak (główny specjalista w Telekomunikacji Polskiej SA), oszustwa można opisać pewnymi regułami. - Dobry system FD ma ok. 100 (wbudowanych) tego typu reguł. Dodatkowo możliwe jest tworzenie nowych - np. na podstawie doświadczenia analityków. Do tego typu analiz wykorzystuje się tzw. moduł oparty na wartościach progowych. Przykładowe parametry, które mogą zostać wykorzystane do tworzenia reguł, to liczba połączeń danego abonenta, sumaryczny czas połączeń, liczba połączeń długich itp.

Utworzone reguły można podzielić na:

• proste - składają się jedynie z jednego parametru oraz progu, którego przekroczenie wyzwala alarm;

• złożone - zawierają kilka parametrów oraz warunki związane z wiarygodnością finansową klienta.

Interesujące informacje mogą być dostarczane przez moduł badający zmienność zachowania klienta (analiza abonentów w dłuższej perspektywie czasowej pozwala na wychwycenie dłuższej zmiany zachowania) oraz moduł wykrywający oszustwa na zasadzie badań zapamiętanego wzorca zachowania (tu korzysta się z pewnej schematyczności w korzystaniu z usług (każdy abonent dokonuje połączeń w specyficzny dla siebie sposób), co pozwala na określenie zgodności zapamiętanego profilu z wyszukanym w bazie abonentem.

Warto również wspomnieć o module analizy nietaryfikowanych połączeń. W procesie rejestracji połączeń pojawiają się rekordy, które nie podlegają taryfikacji. Wynika to z błędów na centralach lub z celowego działania służącego uniemożliwieniu obciążenia danego klienta. Moduł analizy statystycznej powinien umożliwić przeprowadzenie analiz, a następnie wskazanie central oraz przedziału czasowego, w jakim występuje największa liczba połączeń błędnie zarejestrowanych. Celem takiego modułu jest wykrywanie nadużyć wewnętrznych. Kompletny schemat blokowy klasycznego systemu FD przedstawiono na rys. 2.

W warunkach rynkowych detekcja nadużyć musi prowadzić do natychmiastowych reakcji, dlatego z roku na rok systemy FD mają coraz większe znaczenie w strukturze organizacyjnej systemów operatora i obecnie prawie zawsze są traktowane jako systemy o najwyższym priorytecie. Przykładem jest tu strategia działania w Telekomunikacji Polskiej, gdzie FD jest realizowane w Centrum Wykrywania i Kontroli Nadużyć w Departamencie Bezpieczeństwa, monitorującym ruch w sieci. Centrum współpracuje z policją i prokuraturą - zdarzenia wskazujące na bezprawne, przestępcze generowanie ruchu są natychmiast zgłaszane policji.

Analizując ofertę produktową dostawców rozwiązań typu FD, można stwierdzić, iż w wielu przypadkach moduł wykrywania nadużyć jest częścią znacznie większej platformy (stanowi jeden z jej komponentów). Jako przykład może tu posłużyć rozwiązanie InsightNet Solution firmy ComArch. Platforma ComArch InsightNet pokrywa obszary zarządzania infrastrukturą IT przedsiębiorstwa - ewidencjonuje i kontroluje jej zasoby, aktywnie monitoruje środowisko sieciowe w poszukiwaniu błędów i zagrożeń oraz wspomaga działania, zmierzające do likwidacji pojawiających się problemów. Do implementacji omawianego systemu wykorzystano język Java i architekturę J2EE (Java 2 Platform, Enterprise Edition). Kompletne rozwiązanie składa się z wielu modułów - jednym z nich jest system detekcji nadużyć (na rys. 3 przedstawiono schemat modułowy systemu z zaznaczeniem elementów, które są wykorzystywane do realizacji detekcji nadużyć).