Systemy wykrywania nadużyć w sieciach telekomunikacyjnych

Moduł InsightNet Fraud Detection umożliwia wykrywanie i ewidencjonowanie nadużyć w sieciach operatorów telekomunikacyjnych. W systemie są obsługiwane zarówno połączenia telefonii PSTN, jak i GSM, GPRS, 3G, VoIP, DialUp itp. InsightNet umożliwia wykrywanie różnych rodzajów niepokojących zjawisk, które mogą świadczyć o popełnionym nadużyciu, m.in. rozmów przekraczających zadane progi (czasu trwania, kosztu, odległości itp.), rozmów odbiegających od ustalonego profilu abonenta, nieautoryzowanego dostępu do usług, abonentów, którzy nie występują w systemie billingowym, a mimo to generują rozmowy; rozmów z tego samego numeru, które pokrywają się w czasie; rozmów z tego samego numeru z miejsc zbyt oddalonych od siebie w stosunku do odstępu czasu między rozmowami; a także rozmów z podejrzanymi numerami, państwami (zdefiniowanymi przez operatora), rozmów z numerów abonentów znajdujących się na tzw. czarnej liście (tworzonej automatycznie przez system na podstawie poprzednio wykrytych nadużyć i konfigurowanej przez operatora) i innych. Funkcje ewidencji i analizy oszustw pozwalają zapobiegać przyszłym nadużyciom i śledzić trendy w działalności oszustów oraz rozdzielać zadania wśród analityków.

Jądro systemu współpracuje z odrębnymi modułami systemu - wszelkiego rodzaju alarmy są sygnalizowane przy wykorzystaniu modułu InsighNet Fault Management, a za dystrybucję zadań odpowiada moduł WorkForce Management. Jako dane źródłowe w InsighNet wykorzystuje się informacje o abonentach, rekordy CRD oraz tzw. fraud records (black list), czyli zarejestrowane w systemie informacje o nadużyciach. Za analizę na zasadzie badań zapamiętanego wzorca zachowania odpowiada FireFly Reasoning Engine (przepływ informacji przedstawiono na rys. 4).

Bardzo zbliżoną funkcjonalność oferuje produkt firmy Alcatel - Alcatel Fraud Management Solution (FMS). Tu również wykorzystuje się przetwarzanie rekordów CDR zarejestrowanych przez system billingowy. System FMS analizuje każdy z rekordów, odnosząc go do zapisanych wzorców i na podstawie odpowiednich kryteriów przypisuje mu flagę true lub false z odpowiednim priorytetem (ma to znaczenie przy wyborze sygnalizacji w sytuacji, gdy pojawia się wiele alarmów). Rozwiązanie opiera się na platformie serwera uniksowego (co znacznie poprawia stabilność), a oprogramowanie klienckie (z odpowiednim interfejsem graficznym) może pracować w środowiskach Windows. Jak twierdzi dostawca, system umożliwia analizowanie do 300 mln rekordów CDR dziennie. Dane napływające z poszczególnych lokalizacji trafiają do systemu FD przez dedykowaną bramę (Data Gateway Server). Schemat rozwiązania przedstawia rys. 5.

W omawianym ujęciu podstawą systemów wykrywania nadużyć jest przetwarzanie ogromnej liczby danych. W praktyce okazuje się, że niektórych reguł (szczególnie tych złożonych) nie można zastosować do tak wielkiej masy danych - sekwencyjne realizowanie zadanego algorytmu staje się zbyt czasochłonne, dlatego dostawcy sięgają po nowe rozwiązania informatyczne, zakładające heurystyczne podejście do przetwarzania. Przykładem takiego rozwiązania jest system Inter - Vene firmy Intec. Rozwiązanie stanowi niezależny komponent umożliwiający wykrywanie nadużyć w sieciach z komutacją kanałów oraz pakietów i zostało zaprojektowane jako rozwiązanie dedykowane dla platformy konwergentnej NGN. "Sercem" systemu jest moduł Self

Optimising Fraud Interference Engine, którego diagram przedstawiono na rys. 6. System umożliwia przetwarzanie w czasie rzeczywistym (np. jest możliwe wygenerowanie alarmu po przekroczeniu określonego czasu trwania połączenia na dany numer typu 0-700). Ciekawostką jest mechanizm fuzzy matching, który polega na wyszukiwaniu podobnych danych, wprowadzanych w formularzach rejestracyjnych wśród wielu abonentów. Niektórzy oszuści zakładają wiele subskrypcji, z różnymi (fałszywymi) danymi. Statystycznie rzecz biorąc, przy takim postępowaniu często część danych w różnych subskrypcjach jest podobna, co zwiększa prawdopodobieństwo wykrycia nadużycia.

Nowością w dziedzinie systemów detekcji nadużyć jest stosowanie modnych w ostatnim czasie sieci neuronowych. Omawiane rozwiązanie firmy Intec ma moduł sztucznej inteligencji (AI - Artificial Inteligence) w postaci aplikacji opartej na technologii warstwowej sieci neuronowej, dzięki czemu dane są przetwarzane heurystycznie. Oczywiście takie podejście ma swoje wady, niemniej w wielu przypadkach umożliwia detekcję nadużyć, których tradycyjne algorytmy nie wykrywają. Najpoważniejszą wadą takiego podejścia jest brak kontroli nad algorytmem detekcji (sieć neuronowa dokonuje wykrycia na podstawie struktury i wartości połączeń międzyneuronowych, które są modyfikowane w procesie jej uczenia). To istotna różnica w odniesieniu do klasycznych algorytmów, gdzie program wykonuje dokładnie zaplanowaną sekwencję operacji.