Rambler's Top100
Статьи ИКС № 7 2005
С. НОВИНСКИЙ  01 июля 2005

FMS: удачной охоты на мошенников!

Существенный вклад в общую цифру мировых потерь вносят, к сожалению, российские операторы. В условиях быстрорастущего рынка прибыль, получаемая от подключения и обслуживания новых абонентов, позволяла им закрывать глаза на проблемы мошенничества. Однако наметившиеся тенденции к снижению темпов подключения новых абонентов и сокращению ARPU заставили наконец-то российских операторов более пристально приглядеться к мошенничеству и активнее внедрять решения по борьбе с ним.

Как все начиналось

Долгие годы оператор мог определить, что мошеннические действия имели место, только после факта их совершения, вручную сверив данные по оказанным услугам (учетные записи коммутаторов) с информацией, полученной от системы тарификации. Часто источником таких безрадостных фактов становился отдел обслуживания абонентов, фиксирующий жалобы клиентов, получивших счета за использованные не ими, а мошенником услуги. Нередко разбор претензий абонентов заканчивался списанием долга, что вело к прямым убыткам оператора. И чем более развитыми становились сети связи, чем больше привлекательных сервисов они предоставляли, тем больше становилось «охотников» за услугами.

... И однажды оператор понимает, что пора создавать специальную службу борьбы с мошенничеством и попытаться снизить убытки. Исходными материалами для таких служб стали накопленные базы знаний по различным видам мошенничества и способам его обнаружения. Сотрудники этих новых отделов – фрод-аналитики (от английского fraud – мошенничество), анализируя характер использования разных услуг, старались выявить «предпосылки» злонамеренных действий на начальных стадиях, перерабатывая вручную огромные объемы информации. Возможность автоматизировать работу появилась с ростом мощности ЭВМ: увеличение скорости процессорных вычислений позволило вести обработку в режиме реального времени. Все это послужило предпосылками для появления нового класса устройств – автоматизированных систем борьбы с мошенничеством Fraud Management System (FMS).

Что умеет FMS

Главная задача FMS – обнаружить в общем потоке информации о событиях, происходящих в сети (а таких в крупных сетях десятки миллионов в сутки! ), те, которые так или иначе указывают на характерные для мошеннических действий признаки (их – несколько тысяч в сутки), и определить, является ли данная активность абонента мошеннической или нет (подобных случаев в реальной сети – сотни). При этом задача логически разделяется на два этапа – обнаружение подозрительных событий и их анализ.

На этапе обнаружения система, анализируя все источники информации, имеющиеся в сети оператора, должна о делить подозрительные события от не вызывающих подозрений. Пример логики FMS: вызов длительностью 40 мин в пиковое время в Ташкент не относится к подозрительным, если абоненту более 30 лет и он заключил контракт более трех месяцев назад. Но это же событие становится подозрительным, если абоненту менее 30 лет и он является вновь подключенным клиентом. В данном случае анализируется не только запись коммутатора о факте вызова в Ташкент длительностью 40 мин, но и информация из биллинговой системы о возрасте абонента и сроке пользования услугами связи.

Для каждого вида мошенничества характерен свой «почерк», и система должна выявлять широкий диапазон «типов» подозрительных событий. Кроме того, некоторые виды мошенничества можно распознать лишь по совокупности событий: каждое в отдельности не является подозрительным, но их одновременное появление в течение короткого промежутка времени вызывает опасения. Поэтому FMS должна не только обнаруживать одиночные подозрительные события, но и уметь связывать разные события друг с другом, а также накапливать информацию о событиях, происходящих за определенный отрезок времени.

Быстрое развитие телекоммуникационных технологий, новые сервисы и услуги, конвергенция в сетях связи привели к возникновению новых технологий мошенничества абонентов в сетях, а децентрализация и демонополизация рынка – к случаям мошеннических действий со стороны взаимодействующих операторов и дилеров. Заметим: неправомерное использование абонентом услуги, оказанной совместно с оператором-партнером, ведет к гораздо большим потерям для базового оператора, нежели такое же действие внутри его собственной сети.

Таким образом, FMS не только анализирует все обнаруженные случаи подозрительной активности, группирует события, относящиеся к одному элементу анализа (например, абоненту), но и определяет, является ли каждое из них мошенничеством, а также дает вероятностную оценку степени мошенничества. Увы, дальше система бессильна: только человек (фрод-аналитик) способен сделать более глубокий анализ событий и принять окончательное решение. Поэтому чем точнее работает механизм анализа, тем меньше событий передается на анализ вручную и тем более автоматизирован процесс борьбы с мошенничеством.

Для повышения степени автоматизации процесса обнаружения и анализа в передовых системах FMS существует механизм самообучения: определив однажды вид мошеннической активности, система и в дальнейшем будет воспринимать подобные примеры активности как подозрительные и анализировать события на предмет возможного мошенничества.

Заметим, что FMS не коробочный продукт, поэтому при поставке систем специалисты разработчика совместно с персоналом оператора обычно проводят анализ текущей ситуации, определяют основные типы мошенничества (причиняющие наибольший ущерб) и свойственную им активность абонентов, выбирают наилучшие методы обнаружения той или иной активности. Только после этого производятся настройки модулей обнаружения. В дальнейшем специалисты оператора могут изменять или корректировать их самостоятельно.

Современные FMS работают не только с сигнальной информацией и коммутационными данными. При анализе они используют информацию биллинговых систем, извлекая из их таблиц демографические параметры абонента, частоту и объемы платежей, частоту смены платежных реквизитов и. д. Совокупный анализ способен обнаруживать факты внутреннего мошенничества персонала компании (например, использование неоплаченного сервиса или появление в сети абонента, не известного биллинговой системе).

Еще одна особенность передовой системы FMS – составление индивидуальных профилей абонентов и объединение схожих в «группы интересов» (такие, например, как группа «Активные пользователи SMS-сервисов: более 20 сообщений в сутки»). Такой индивидуальный профиль рассчитывается на основании статистических данных об использовании абонентом различных сервисов и услуг, учитывает часовую, периодическую, суточную и еженедельную активность вызовов. Обнаружив мошенническую активность одного из членов группы, FMS уделит повышенное внимание и остальным. Резкое изменение профиля (увеличение использования той или иной услуги или изменение набора) тоже может свидетельствовать о мошенничестве.

Грамотно построенные FMS применяют несколько методов анализа событий. При этом разработчики, как правило, оснащают FMS специализированной подсистемой принятия решений, которая автоматически генерирует команды на выполнение тех или иных действий по пресечению мошеннической активности. Все это повышает точность прогнозирования мошенничества.

От «ИКС»: «узок круг …»

Комплексных систем борьбы с мошенничеством на рынке не так уж много – слишком сложны они в реализации и далеко не всем разработчикам по зубам. В то же время многие поставщики сетевых средств и приложений предлагают продукты, использующие отдельные компоненты процесса обнаружения или анализа событий либо ориентированные на определенные типы сетей.

В числе наиболее «крепких и правильных» систем можно назвать FMS производства Hewlett-Packard, Signaling ASE System от Sevis Systems, Fraud Monitoring and Management System разработки Equinox Information Systems и Ranger, выпускаемую Subex Systems; с остальными игроками рынка можно познакомиться на сайте www.cfca.org.

HP – один из старейших производителей систем борьбы с мошенничеством. У компании, пожалуй, наибольший пул клиентов: систему эксплуатируют более 60 крупных операторов как фиксированной, так и мобильной связи в разных странах мира.

(О фроде см. также «ИКС» №3 ’2004, с. 24 —35, 58 —60. )


FMS от HP

Первая FMS от НР появилась еще в 1993 г., а сегодня доступна уже версия 9. 0 этой системы. Модульная архитектура позволяет быстро и просто дополнить ее инструментарий для борьбы с новыми технологиями мошенничества – достаточно установить новый модуль. Масштабируемость зависит лишь от процессорной мощности: рост объема обрабатываемой информации ведет только к необходимости наращивания процессорной мощности сервера. Благодаря возможности сегментации (логического и аппаратного разделения системы) одна FMS может работать в разных сетях (включая GPRS и 2, 5/3G), используя при этом характерные для каждой технологии и типа сети методы обнаружения и анализа. Особенность подсистемы анализа HP FMS – применение нескольких независимых механизмов анализа, таких как экспертная оценка, граф принятия решений и предикативный анализ с использованием нейронных сетей (решение Clementine от ведущего поставщика ПО предикативного анализа – компании SPSS).

Но мошенничество не единственная причина потери дохода оператора. Существуют также потери, вызванные некорректной работой оборудования (ошибки в выдаче учетных записей, ошибки платформы предбиллинга, систем оценки и тарификации). Для их анализа, выявления и исправления служат Revenue Assurance System (RAS, система сохранения доходов) и Credit Management System (CMS, система управление кредитами).

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!