Systemy wykrywania nadużyć w sieciach telekomunikacyjnych

Według statystyk, w telekomach europejskich nadużycia stanowią pewne zagrożenie dla klientów, ale straty ponoszone przez operatorów sieci publicznych (PSTN) sięgają 2-5% wszystkich przychodów. Oszacowania skali problemu nadużyć można dokonać na podstawie mierzalnego poziomu trudno ściągalnych długów, przy czym najbardziej typowy przypadek nadużycia polega na realizowaniu połączeń na cudzy koszt. W jego wyniku czego klienci otrzymują rachunki z kwotami często wielokrotnie większymi, niż przeciętna płatność za korzystanie z usług operatora. Taki stan rzeczy jest wyzwaniem dla dostawców sprzętu i oprogramowania systemów telekomunikacyjnych, którzy od lat usiłują wypracować modele oraz narzędzia ułatwiające możliwie szybkie i skuteczne wykrywanie wszelkiego rodzaju nadużyć. Firmy produkujące oprogramowanie Fraud Detection deklarują na podstawie swoich doświadczeń z instalacji na świecie, że wykorzystując ich produkty można zmniejszyć całkowite straty firmy o 0,5-1%.

Mówiąc o nadużyciach, nie sposób pominąć Internetu. Gwałtowny rozwój sieci z komutacją pakietów opartych na protokole IP przyniósł wiele problemów związanych z: zabezpieczaniem przed niepowołanym dostępem, włamaniami, podszywaniem się oraz innymi formami nadużyć. Powodem jest szczególna podatność Internetu na tego typu działania - sieć ta początkowo nie była projektowana jako platforma do realizacji komercyjnych usług telekomunikacyjnych. Jak twierdzą specjaliści, głównym powodem problemów związanych z bezpieczeństwem Internetu jest brak scentralizowanej sygnalizacji (warto wspomnieć, że podobnie jest z kłopotami zapewnienia jakości obsługi QoS dla przenoszonego ruchu).

Obecnie można wyróżnić dwie podstawowe kategorie systemów wykrywania nadużyć w sieciach telekomunikacyjnych:

• klasyczne systemy dla sieci z komutacją kanałów;
• systemy detekcji nadużyć w sieciach z komutacją pakietów (przede wszystkim chodzi tu o sieci IP).

W systemach dla sieci z komutacją kanałów podstawowym źródłem informacji o wszelkiego rodzaju nadużyciach są dane zgromadzone w systemie billingowym. Z praktycznego punktu widzenia bardzo ważna jest duża (przeważnie) baza abonentów operatora, co pozwala na właściwe wykorzystywanie reguł statystycznych. Dzięki temu jakiekolwiek odchylenia są sygnałem do bliższej obserwacji. Klasyczne rozwiązania systemów wykrywania nadużyć są realizowane jako moduły funkcjonalne systemów billingowych lub jako niezależne komponenty, zintegrowane z bazą danych systemu billingowego. Systemy takie powinny wykrywać następujące rodzaje nadużyć (poniższa lista przedstawia zestawienie najpowszechniejszych form nadużyć):

• oszustwa abonamentowe - klient posługuje się fałszywymi dokumentami, zamawiając założenie telefonu (w praktyce nie ma zamiaru płacić za usługi);
• przekłamania centralek PBX - dzięki znajomości standardowych haseł centralek abonenckich (np… Po przeprowadzeniu wielokrotnych ataków w celu poznania tych haseł) są możliwe zdalny dostęp do linii miejskich i praktycznie nieograniczone możliwości realizacji połączeń przez oszusta (na koszt właściciela centralki);
• nadużycia na usługach premium rate - wykorzystanie autodialerów do wykonywania wielokrotnych połączeń na usługi 0-700;

• realizacja drogich połączeń zagranicznych z aparatów samoinkasujących - jest wiele sposobów umożliwiających realizację połączeń, których koszt przekracza limity dostępne na kartach;
• wpinanie się w linię - wykorzystywanie fizycznego wpięcia się w linię lub własności telefonów przenośnych, których zasięg może wynosić nawet kilkadziesiąt metrów (użycie stacji bazowej nieświadomego abonenta).

Wymienione kategorie nie wyczerpują wszystkich nadużyć. Odpowiedni system FD (Fraud Detection) powinien zapewniać analizę podejrzanych przypadków w jak najszerszym spektrum nadużyć i oszustw oraz dostarczać efektywne mechanizmy raportujące i zarządzające pracą analityków.

Komponenty systemów wykrywania nadużyć

Do głównych elementów funkcjonalnych typowego systemu FD należą: moduł umożliwiający wykrywanie nadużyć (przy wykorzystaniu wartości progowych, badania zmienności zachowania abonenta, badania zapamiętanego wzorca zachowania, statystycznej analizy połączeń nietaryfikowanych) oraz moduły wspomagające pracę systemu (graficzna analiza powiązań między abonentami, złożone wyszukiwania w bazie danych, weryfikacja wiarygodności finansowej abonenta, wnioskowanie, tworzenie reguł na podstawie przeanalizowanych rekordów CDR (Call Data Records - rekordy taryfikacyjne). Ponadto system powinien być wyposażony w tzw. Moduły menedżerskie (moduł zarządzający pracą analityków oraz moduł raportujący). Widać więc, że zestaw niezbędnych funkcji jest nie mały, a co za tym idzie duża jest złożoność systemu.

Oszustwa można opisać pewnymi regułami - typowy system FD ma ok… 100 (wbudowanych) tego typu reguł. Dodatkowo możliwe jest tworzenie nowych - np… Na podstawie doświadczenia analityków. Do tego typu analiz wykorzystuje się tzw. Moduł oparty na wartościach progowych. Przykładowe parametry, które mogą zostać wykorzystane do tworzenia reguł, to liczba połączeń danego abonenta, sumaryczny czas połączeń, liczba połączeń długich itp…

Utworzone reguły można podzielić na:

• proste - składają się jedynie z jednego parametru oraz progu, którego przekroczenie wyzwala alarm;
• złożone - zawierają kilka parametrów oraz warunki związane z wiarygodnością finansową klienta.

Interesujących informacji mogą dostarczać moduł badający zmienność zachowania klienta (analiza abonentów w dłuższej perspektywie czasowej pozwala na wychwycenie dłuższej zmiany zachowania) oraz moduł wykrywający oszustwa na zasadzie badań zapamiętanego wzorca zachowania (tu stosuje się pewną schematyczność w korzystaniu z usług - każdy abonent dokonuje połączeń w specyficzny dla siebie sposób), co pozwala na określenie zgodności zapamiętanego profilu z wyszukanym w bazie abonentem. Warto również wspomnieć o module analizy nietaryfikowanych połączeń. W procesie rejestracji połączeń pojawiają się rekordy, które nie podlegają taryfikacji. Wynika to z błędów na centralach lub z celowego działania służącego uniemożliwieniu obciążenia danego klienta. Moduł analizy statystycznej powinien umożliwić przeprowadzenie analiz, a następnie wskazanie central oraz przedziału czasowego, w jakim występuje największa liczba połączeń błędnie zarejestrowanych. Celem takiego modułu jest wykrywanie nadużyć wewnętrznych.

Analizując ofertę produktową dostawców rozwiązań typu FD, można stwierdzić, iż w wielu przypadkach moduł wykrywania nadużyć jest częścią znacznie większej platformy (stanowi jeden z jej komponentów). Typowa funkcjonalność systemu FD umożliwia wykrywanie i ewidencjonowanie nadużyć w sieciach operatorów telekomunikacyjnych. W systemie powinny być obsługiwane zarówno połączenia telefonii PSTN, jak i GSM, GPRS, 3G, VoIP, dial up itp… Ponadto systemy FD powinny umożliwiać wykrywanie różnych rodzajów niepokojących zjawisk, które mogą świadczyć o popełnionym nadużyciu, m.in…:

• rozmów przekraczających zadane progi (czasu trwania, kosztu, odległości itp…), rozmów odbiegających od ustalonego profilu abonenta, nieautoryzowanego dostępu do usług, abonentów, którzy nie występują w systemie billingowym, a mimo to generują rozmowy;

• rozmów z tego samego numeru, które pokrywają się w czasie; rozmów z tego samego numeru z miejsc zbyt oddalonych od siebie w stosunku do odstępu czasu między rozmowami;

• a także rozmów z podejrzanymi numerami, państwami (zdefiniowanymi przez operatora), rozmów z numerów abonentów znajdujących się na tzw. Czarnej liście (tworzonej automatycznie przez system na podstawie poprzednio wykrytych nadużyć i konfigurowanej przez operatora) i innych. Funkcje ewidencji i analizy oszustw pozwalają zapobiegać przyszłym nadużyciom i śledzić trendy w działalności oszustów oraz rozdzielać zadania wśród analityków.

Istotną rolę w wykrywaniu nadużyć pełnią również wzorce nadużyć - system FD analizuje każdy z rekordów, odnosząc go do zapisanych wzorców i na podstawie odpowiednich kryteriów przypisuje mu flagę true lub false z odpowiednim priorytetem (ma to znaczenie przy wyborze sygnalizacji w sytuacji, gdy pojawia się wiele alarmów).

Zastosowanie algorytmów heurystycznych

Podstawą systemów wykrywania nadużyć jest przetwarzanie ogromnej ilości danych. W praktyce okazuje się, że niektórych reguł (szczególnie tych złożonych) nie można zastosować do tak wielkiej masy danych - sekwencyjne realizowanie zadanego algorytmu staje się zbyt czasochłonne, dlatego też dostawcy sięgają po nowe rozwiązania informatyczne, zakładające heurystyczne podejście do przetwarzania. Ciekawostką jest mechanizm fuzzy matching, który polega na wyszukiwaniu podobnych danych, wprowadzanych w formularzach rejestracyjnych wśród wielu abonentów. Niektórzy oszuści zakładają wiele subskrypcji, z różnymi (fałszywymi) danymi. Statystycznie rzecz biorąc, przy takim postępowaniu często część danych w różnych subskrypcjach jest podobna, co zwiększa prawdopodobieństwo wykrycia nadużycia.

Nowością w dziedzinie systemów detekcji nadużyć jest stosowanie modnych w ostatnim czasie sieci neuronowych. Choć takie podejście ma swoje wady, to w wielu przypadkach umożliwia detekcję nadużyć, których tradycyjne algorytmy nie wykrywają. Najpoważniejszą wadą takiego podejścia jest brak kontroli nad algorytmem detekcji (sieć neuronowa dokonuje wykrycia na podstawie struktury i wartości połączeń międzyneuronowych, które są modyfikowane w procesie jej uczenia). To istotna różnica w odniesieniu do klasycznych algorytmów, gdzie program wykonuje dokładnie zaplanowaną sekwencję operacji. Zaletą systemów bazujących na AI jest zdolność systemu do uczenia się - system ciągle aktualizuje wzorce, dla jak najlepszego zaadoptowania do konkretnych danych. Coraz większe znaczenie w obszarze wykrywania ma eksploracja danych (data mining). Istota tej technologii polega na odkrywaniu zależności „ukrytych” w bardzo dużych zbiorach danych. Chodzi tu głównie o zależności, których nie da się znaleść, stosując tradycyjne metody analizy danych. Projektuje się w tym celu specjalne algorytmy odpowiednio przeszukujące bazy danych. Wśród głównych zadań można wymienić poszukiwanie asocjacji i sekwencji oraz klasyfikację i grupowanie.

Znalezienie pewnych reguł dotyczących zachowań abonentów pomaga w wykrywaniu nieprawidłowości lub nadużyć. Proces zdobywania wiedzy składa się z wielu etapów. Pierwszy polega na przygotowaniu danych, tak aby algorytm poszukujący zależności mógł efektywnie działać. Ten etap składa się z wielu mniejszych kroków i może być w znacznej mierze realizowany przez wdrożenie hurtowni danych. Po etapie przygotowania danych następuje etap poszukiwania zależności. Tu stosuje się wiele różnych technik w zależności od tego, jaka wiedza jest interesująca dla analityka. Ostatni etap polega na weryfikowaniu i prezentowaniu znalezionej wiedzy.

Systemy detekcji nadużyć w sieciach teleinformatycznych

Systemy detekcji nadużyć w sieciach teleinformatycznych (opartych na protokole IP) stanowią drugą grupę systemów FD. W tym przypadku trudno mówić o jednym, scentralizowanym rozwiązaniu - systemy FD dla sieci teleinformatycznych są często wielomodułowe i rozproszone, realizując określone funkcje w konkretnym segmencie sieci. W każdym z nich można realizować monitoring i przetwarzanie ruchu w celu wykrycia potencjalnych zagrożeń. Doskonałym przykładem są tu popularne systemy IDS (Intrusion Detection Systems). Ich działanie polega na analizowaniu pakietów pod kątem dopasowania do określonych wzorców. W zależności od tego, jak IDS został skonfigurowany, różna może być jego reakcja przy dopasowaniu pakietu do wzorca (alarm, zapis do pliku log itp…).

Wykrywanie i zabezpieczanie przed nadużyciami w sieciach teleinformatycznych polega przede wszystkim na odpowiedniej konfiguracji sprzętu (np… Ruterów dostępowych) oraz stosowaniu komponentów dedykowanych: IDS-y, zapory ogniowe (firewalls) itp…Podstawową kwestią dla odpowiedniej ochrony sieci jest dekompozycja problematyki na odpowiednie strefy. Pierwszą z nich jest strefa związana z zabezpieczaniem własnego centrum danych (data center), zasobów informatycznych itp. Drugą strefą ochrony jest zabezpieczenie brzegu sieci operatora przed abonentami oraz przenoszeniem się problemów z sieci abonentów do sieci operatorskich. Wreszcie ostatnią, trzecią strefę tworzą systemy zabezpieczeń uwzględniające specyfikę wybranej technologii dostępowej.

O problemach ochrony przed nadużyciami w sieciach teleinformatycznych można również mówić w odniesieniu do warstwy usługowej. Jest to działanie na styku techniki i prawa, realizowane „o warstwę wyżej”, niż w pozostałych przypadkach. Niejednokrotnie działania całkowicie prawidłowe z punktu widzenia obsługi i bezpieczeństwa samej sieci (np… Zastosowanie translacji adresów sieciowych - NAT) mogą wiązać się z naruszeniem umowy z operatorem (w tym przypadku - podpięcie wielu komputerów zamiast jednego). Wykrycie i udowodnienie takich działań jest skomplikowane, wymaga analizowania charakterystyki ruchu użytkowników (urządzenia infrastruktury mogą tu dostarczyć odpowiednich informacji śródłowych), analizy danych itp. Z doświadczeń operatorów oraz integratorów systemów teleinformatycznych wynika, iż w wielu przypadkach luki w systemach zabezpieczeń przed nadużyciami wynikają z błędnej konfiguracji lub niedbalstwa osób zarządzających infrastrukturą. Częstym zagrożeniem jest pozostawienie standardowych haseł administratora w urządzeniach sieciowych lub wręcz ich brak. Stwarza to nie tylko zagrożenie bezpośrednie, ale również pośrednie. Ele skonfigurowane urządzenia sieciowe mogą służyć jako węzły do maskowania dróg ataku.

Badania firm konsultingowych wskazują, że chociaż wiele firm ma dobre systemy zabezpieczeń, to są one niewłaściwie skonfigurowane. Niezwykle istotnym problemem konfiguracyjnym w punktach styku z sieciami zewnętrznymi jest pozostawienie protokołów dynamicznego routingu czy też innych specyficznych protokołów pozwalających na odkrycie infrastruktury sieciowej. Biorąc pod uwagę usługi, jako niebezpieczne uważa się obecnie protokoły, takie jak telnet, rlogin, rsh, SNMP czy SMTP. Wiele problemów wiąże się też z samym TCP - błędy implementacji stosu TCP/IP otwierają również drogę do ataków typu DoS (Denial of Service').

Aby uniknąć problemów związanych z narażaniem systemu na ewentualne nadużycia, warto stosować tzw. Zasadę konfiguracji minimalnej - nie należy konfigurować serwisów, z których nie będziemy korzystali. Często ustawienia standardowe stosowanych aplikacji otwierają intruzom dostęp do naszych zasobów. Wykrywanie nadużyć w wielu przypadkach jest procesem bardzo złożonym, wymagającym zaangażowania wielu systemów pracujących równolegle. Co więcej trudności obliczeniowe oraz liczba danych, które należy przetworzyć, wymagają podejścia wykorzystującego nowe rozwiązania, takie jak sieci neuronowe, eksploracja baz danych itp. … Niestety wykrycie wszystkich przypadków nadużyć i tak jest niemożliwe.