WO2000027105A1 - Revision method for the detection of network fraud - Google Patents

Revision method for the detection of network fraud Download PDF

Info

Publication number
WO2000027105A1
WO2000027105A1 PCT/DE1999/003487 DE9903487W WO0027105A1 WO 2000027105 A1 WO2000027105 A1 WO 2000027105A1 DE 9903487 W DE9903487 W DE 9903487W WO 0027105 A1 WO0027105 A1 WO 0027105A1
Authority
WO
WIPO (PCT)
Prior art keywords
log
networks
recording
file
files
Prior art date
Application number
PCT/DE1999/003487
Other languages
German (de)
French (fr)
Inventor
Bernhard Nauer
Christof STÖRMANN
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to EP99959230A priority Critical patent/EP1125427A1/en
Publication of WO2000027105A1 publication Critical patent/WO2000027105A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/47Fraud detection or prevention means
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/49Connection to several service providers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q3/00Selecting arrangements
    • H04Q3/0016Arrangements providing connection between exchanges
    • H04Q3/0029Provisions for intelligent networking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/01Details of billing arrangements
    • H04M2215/0148Fraud detection or prevention means
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/46Connection to several service providers

Definitions

  • the subject matter of the application relates to a method for the detection of irregularities, in particular manipulation of billing, in telecommunication networks, in particular intelligent networks, access networks, transport networks, management networks and switching centers, and consequently a recording file, such as, for. B. a log file, is then evaluated 15 whether there is an indication of an irregularity.
  • the object of the registration is based on the problem of specifying an automatable revision procedure, with which suspicious moments for special fraud cases and manipulations in networks can be recognized at an early stage.
  • the problem is solved by the features of the characterizing portion of claim 1 at a outlined by the features of Oberbe ⁇ handle object.
  • the method according to the application in which a rule-based approach to multiple log files is provided, in particular detects cases of fraud and manipulation that are caused by the staff of the network operators and telecommunications service providers.
  • the method according to the application can be used to determine the inconsistencies regardless of calls that have already been made (possibly even before the first intended call), with the network operator first Transferring an attacker / fraudster at best has no loss of revenue.
  • FIG. 1 shows a basic illustration of an arrangement for explaining the management of intelligent network services
  • FIG. 2 shows a basic illustration of an arrangement for explaining the service flow with intelligent networks.
  • the data processing device of a subscriber or an operator is SU / OP (for: subscriber / operator) Connected via a network LAN / DCN (for: Local Area Network / Data Communication Network) or Internet / Intranet to the service processing point SMP (for: Service Management Point) of an intelligent network.
  • the service processing point SMP is connected to a service control point SCP (for: service control point) via a network LAN / DCN (for: Local Area Network / Data Communication Network).
  • a subscriber terminal TE such as B. a telephone
  • a local exchange OV which is connected to a switching center with an integrated service switching point SP / SSP (for: switching point / service switching point).
  • SP / SSP for: switching point / service switching point.
  • SP / SSP is with a peripheral device IP (for: Intelligent Peripheral), z. B. for announcements), a service control point SCP and, as indicated by the arrow (4), connected to a further exchange SP (for: switching point).
  • IP Intelligent Peripheral
  • SCP Service Control point
  • the switching center SP / SSP and the service control point SCP form the essential elements of an intelligent network IN.
  • Log files can be recognized early on for suspected fraud and manipulation in networks.
  • the method detects cases of fraud and manipulation that are caused by the operators of the network operators.
  • a revision in the sense of the registration consists of two parts: logging and audit.
  • Logging is the gathering of information about the use of a system. Depending on the system, all activities (income and expenses) in the system, all data-changing Entries, all attempted protection violations etc. are saved in a recording file, which experts also refer to as a log file. Log files can be written system or application specific. The revision procedure according to the application uses the log files already created by the systems.
  • An audit is the evaluation of these log files according to specified criteria (e.g. all entries between 10 a.m. and 12 p.m.). An audit always takes place with a delay to logging. Traditionally, each log file is evaluated separately.
  • the subject of the application makes use of the knowledge that information about the same event is stored on different logs (redundant information) or that stored information can be derived from several pieces of information from one or different logs (dependent information).
  • redundant information information about the same event is stored on different logs
  • dependent information information that stored information can be derived from several pieces of information from one or different logs (dependent information).
  • the manipulation / deletion of fee-relevant information in cross-checks with other log files becomes obvious.
  • the classic service sequence in the Intelligent Network is assumed.
  • a new IN service is set up using the service processing point SMP.
  • a subscriber SU is first assigned a service number and possibly the tariff, e.g. for 0190/123456 with tariff DM 3.60 per min.
  • the actual destination numbers for this 0190 are then entered either by the operator or by the subscriber himself.
  • the 0190 number, the actual destination numbers and the tariff are sent to the service control point SCP.
  • the entry of the service number, the tariff and the destination numbers are in the service processing point SMP on one Log file (SMP log) written. This information is also logged in the service control point SCP (SCP management log).
  • this new IN service 0190/123456 is now called, then this call is routed to a switching center with service switching point SSP functionality (1).
  • the service switching point SSP forwards the desired IN number to the service control point SCP (2), which converts it into the actual destination number.
  • the service control point SCP also determines the charge. This process is logged in the service control point SCP (SCP service log).
  • the service control point SCP shares actual phone number and billing information with the service switching point
  • CDR Call Detail Record
  • the SMP log, SCP management log, SCP services log and call details recording CDR form recording files are recorded.
  • the SMP log, SCP management log, SCP services log and call details record file CDR are among others The following redundancies and dependencies: Each entry in the SCP management log must have a corresponding entry in the SMP log.
  • SMP log and SCP management log the same destination numbers and tariff information must be stored for each IN service number.
  • SCP management log and SCP service log for each IN service number, a destination number must be the same as the number selected for the diversion, the tariff information must be the same.
  • SCP service log and call details recording CDR For each SCP log entry there must be a call details record CDR and the IN service number, destination number, tariff information must be the same.
  • the auditor determines the basis that can be used for the evaluation. This includes which logs should be used for the revision and which rules should be checked during the evaluation.
  • the rules describe the redundant information of different logs or the dependencies on data of one or more logs. It can (but does not have to) be provided that the selection is made on the basis of a complete list of all log files generated in the network and all valid rules (i.e. all possible redundancies and dependencies) between the data stored in the log files.
  • the rules are described using logical expressions in which the fields (attributes) of the log file are used as variables, e.g.
  • Test run All selected rules are checked for the specified logs in the test run. The deviations from the rules (inconsistencies) are recorded. On the basis of the protocol, suspicions of fraud and system manipulations can be identified at an early stage. On the basis of these suspicions, further measures can then be initiated, such as manual corrections of the inconsistencies, determination of responsibility for the inconsistencies, improvement of network security, etc.

Abstract

Various items of recorded data corresponding to respective events are evaluated in order to see if the entries contain matching information in a telecommunication system such as an intelligent network with the purpose of discovering irregularities, especially manipulations carried out by inside perpetrators, during pricing.

Description

Beschreibung description
Revisions-Verfahren zur Erkennung von Betrugsfällen in NetzenRevision procedure for the detection of fraud cases in networks
5 Betrug in Telekommunikationsnetzen hat eine Größenordnung erreicht, die von den Netzbetreibern nicht mehr vernachlässigt werden kann.5 Fraud in telecommunications networks has reached an order of magnitude that can no longer be neglected by network operators.
Der Anmeldungsgegenstand betrifft ein Verfahren zur Feststelle) lung von Unregelmäßigkeiten, insbesondere Manipulationen bei der Vergebührung, in Telekommunikationsnetzen, insbesondere Intelligente Netze, Anschlußnetze, Transportnetze, Management Netze und Vermittlungsstellen, demzufolge eine Aufzeichnungs- Datei, wie z. B. eine Logdatei, daraufhin ausgewertet wird, 15 ob ein Hinweis auf eine Unregelmäßigkeit vorhanden ist.The subject matter of the application relates to a method for the detection of irregularities, in particular manipulation of billing, in telecommunication networks, in particular intelligent networks, access networks, transport networks, management networks and switching centers, and consequently a recording file, such as, for. B. a log file, is then evaluated 15 whether there is an indication of an irregularity.
Es gibt derzeit diverse Software-Werkzeuge, die in Fachkreisen auch als Tools bezeichnet werden, zur Erkennung von Betrugsfällen. Solche Tools basieren auf verschiedenen Techni-There are currently various software tools, which experts also refer to as tools, for the detection of fraud cases. Such tools are based on various technical
20 ken, wie dem regelbasierten Ansatz oder neuronalen Netzen etc. Ausgewertet werden mit diesen Techniken Rufe- Einzelheiten-Aufzeichnungen CDR (Call Detail Records) oder Signalisierungsdaten des Zeichengabesystems CCS7. Zur Auswertung von Logdateien gibt es heute nur Applikationen, Befehle20 ken, such as the rule-based approach or neural networks etc. These techniques are used to evaluate call detail records CDR (Call Detail Records) or signaling data of the signaling system CCS7. Today, there are only applications and commands for evaluating log files
25 oder Tools, die jede Logdatei separat auswerten.25 or tools that evaluate each log file separately.
Derzeit ist es für die Netzbetreiber technisch sehr schwierig, die meisten Betrugsfälle so frühzeitig zu erkennen, daß der angerichtete Schaden gering bleibt. Insbesondere gibt es 30 für das Personal der Netzbetreiber und Telekommunikations- Dienste-Anbieter Möglichkeiten von Betrug, die mit herkömmlichen Methoden nicht aufzudecken sind.At the moment, it is technically very difficult for network operators to identify most cases of fraud so early that the damage done is minimal. In particular, there are 30 possibilities for fraud for the operators of the network operators and telecommunication service providers that cannot be detected using conventional methods.
Dem Anmeldungsgegenstand liegt das Problem zugrunde, ein au- 35 tomatisierbares Revisionsverfahren anzugeben, mit dem bereits frühzeitig Verdachtsmomente für spezielle Betrugsfälle und Manipulationen in Netzen erkannt werden können. Das Problem wird bei einem durch die Merkmale des Oberbe¬ griffs umrissenen Gegenstand durch die Merkmale des kennzeichnenden Teils des Anspruchs 1 gelöst.The object of the registration is based on the problem of specifying an automatable revision procedure, with which suspicious moments for special fraud cases and manipulations in networks can be recognized at an early stage. The problem is solved by the features of the characterizing portion of claim 1 at a outlined by the features of Oberbe ¬ handle object.
Durch das anmeldungsgemäße Verfahren, bei dem ein regelbasierter Ansatzes auf mehrere Logdateien gegeben ist, werden insbesondere solche Betrugsfälle und Manipulationen erkannt, die durch das Personal der Netzbetreiber und Telekommunikati- ons-Dienste-Anbieter verursacht werden. Mit dem anmeldungsgemäßen Verfahren können im Gegensatz zu herkömmlichen Verfahren, die auf einer gesonderten Auswertung von Rufe- Einzelheiten-Dateien CDR und Signalisierungsdaten basieren, die Inkonsistenzen unabhängig von bereits getätigten Anrufen (u.U. bereits vor dem ersten beabsichtigten Anruf) festgestellt werden, wobei der Netzbetreiber vor Überführung eines Angreifers / Betrügers bestenfalls keinen Einnahmeverlust hat.The method according to the application, in which a rule-based approach to multiple log files is provided, in particular detects cases of fraud and manipulation that are caused by the staff of the network operators and telecommunications service providers. In contrast to conventional methods, which are based on a separate evaluation of call details files CDR and signaling data, the method according to the application can be used to determine the inconsistencies regardless of calls that have already been made (possibly even before the first intended call), with the network operator first Transferring an attacker / fraudster at best has no loss of revenue.
Vorteilhafte Weiterbildungen des Anmeldungsgegenstandes sind in den Unteransprüchen angegeben.Advantageous further developments of the subject of the application are specified in the subclaims.
Der Anmeldungsgegenstand wird im folgenden als Ausführungsbeispiel in einem zum Verständnis erforderlichen Umfang an- hand von Figuren näher erläutert. Dabei zeigen:The subject matter of the application is explained in more detail below as an exemplary embodiment to the extent necessary for understanding with reference to figures. Show:
Fig 1 eine prinzipielle Darstellung einer Anordnung zur Erläuterung des Managements von Intelligente-Netze Diensten und Fig 2 eine prinzipielle Darstellung einer Anordnung zur Er- läuterung des Diensteablaufs mit Intelligenten-Netzen.1 shows a basic illustration of an arrangement for explaining the management of intelligent network services, and FIG. 2 shows a basic illustration of an arrangement for explaining the service flow with intelligent networks.
In den Figuren bezeichnen gleiche Bezeichnungen gleiche Elemente .In the figures, the same designations denote the same elements.
Bei dem in Fig 1 dargestellten Intelligente-Netze Dienste- Management ist die Datenverarbeitungseinrichtung eines Teilnehmers bzw. eines Operators SU/OP (für: Subscriber/Operator) über ein Netzwerk LAN/DCN (für: Local Area Network/Data Com- munication Network) oder Internet/Intranet mit dem Dienste- Abwicklungs-Punkt SMP (für: Service Management Point) eines Intelligenten-Netzes verbunden. Der Dienste-Abwicklungs-Punkt SMP steht über ein Netzwerk LAN/DCN (für: Local Area Network/Data Communication Network) mit einem Dienste- Steuerungs-Punkt SCP (für: Service Control Point) in Verbindung.In the intelligent network service management shown in FIG. 1, the data processing device of a subscriber or an operator is SU / OP (for: subscriber / operator) Connected via a network LAN / DCN (for: Local Area Network / Data Communication Network) or Internet / Intranet to the service processing point SMP (for: Service Management Point) of an intelligent network. The service processing point SMP is connected to a service control point SCP (for: service control point) via a network LAN / DCN (for: Local Area Network / Data Communication Network).
Bei dem in Fig 2 dargestellten Diensteablauf mit Intelligen- ten-Netzen ist eine Teilnehmerendeinrichtung TE, wie z. B. ein Telefon, mit einer Ortsvermittlungsstelle OV verbunden, die mit einer Vermittlungsstelle mit integriertem Dienste- Durchschalte-Punkt SP/SSP (für: Switching Point/Service Swit- ching Point) in Verbindung steht. Die VermittlungsstelleIn the service sequence with intelligent networks shown in FIG. 2, a subscriber terminal TE, such as B. a telephone, connected to a local exchange OV, which is connected to a switching center with an integrated service switching point SP / SSP (for: switching point / service switching point). The exchange
SP/SSP ist mit einer peripheren Einrichtung IP (für: Intelligent Peripheral) , z. B. für Ansagen), einem Dienste- Steuerungs-Punkt SCP und, wie mit dem Pfeil (4) bezeichnet, mit einer weiteren Vermittlungsstelle SP (für: Switching Point) verbunden. Die Vermittlungsstelle SP/SSP und der Dienste-Steuerungs-Punkt SCP bilden die wesentlichen Elemente eines Intelligenten Netzes IN.SP / SSP is with a peripheral device IP (for: Intelligent Peripheral), z. B. for announcements), a service control point SCP and, as indicated by the arrow (4), connected to a further exchange SP (for: switching point). The switching center SP / SSP and the service control point SCP form the essential elements of an intelligent network IN.
Mit dem anmeldungsgemäßen, automatisierbaren Revisionsverfah- ren können durch einen regelbasierten Ansatz auf mehrereWith the automated, revision procedure according to the application, a rule-based approach can be applied to several
Logdateien bereits frühzeitig Verdachtsmomente für spezielle Betrugsfälle und Manipulationen in Netzen erkannt werden. Durch das Verfahren werden insbesondere solche Betrugsfälle und Manipulationen erkannt, die durch das Personal der Netz- betreiber verursacht werden.Log files can be recognized early on for suspected fraud and manipulation in networks. In particular, the method detects cases of fraud and manipulation that are caused by the operators of the network operators.
Eine Revision im anmeldungsgemäßen Sinne besteht aus zwei Teilen: Logging und Audit.A revision in the sense of the registration consists of two parts: logging and audit.
Unter Logging versteht man das Sammeln von Informationen über die Nutzung eines Systems. Je nach System können alle Aktivitäten (Ein- und Ausgaben) im System, alle daten-verändernden Eingaben, alle versuchten Schutzverletzungen etc. auf einer Aufzeichnungs-Datei, die in Fachkreisen auch als Logdatei bezeichnet wird, gespeichert werden. Logdateien können system- oder applikations-spezifisch geschrieben werden. Das anmel- dungsgemäße Revisionsverfahren verwendet die von den Systemen bereits angelegten Logdateien.Logging is the gathering of information about the use of a system. Depending on the system, all activities (income and expenses) in the system, all data-changing Entries, all attempted protection violations etc. are saved in a recording file, which experts also refer to as a log file. Log files can be written system or application specific. The revision procedure according to the application uses the log files already created by the systems.
Unter Audit versteht man das Auswerten dieser Logdateien nach vorgegebenen Kriterien (z.B. alle Eingaben zwischen 10 und 12 Uhr) . Ein Audit findet immer mit einer zeitlichen Verzögerung zum Logging statt. Herkömmlich wird jede Logdatei separat ausgewertet.An audit is the evaluation of these log files according to specified criteria (e.g. all entries between 10 a.m. and 12 p.m.). An audit always takes place with a delay to logging. Traditionally, each log file is evaluated separately.
Der Anmeldungsgegenstand macht sich die Erkenntnis zunutze, daß auf verschiedenen Logs Informationen über das selbe Ereignis gespeichert werden (redundante Information) oder gespeicherte Informationen sich aus mehreren Informationen eines oder verschiedener Logs ableiten lassen (abhängige Informationen) . Insbesondere wird die Manipulation / das Löschen von gebührenrelevanten Informationen im Quercheck mit anderen Logdateien offensichtlich.The subject of the application makes use of the knowledge that information about the same event is stored on different logs (redundant information) or that stored information can be derived from several pieces of information from one or different logs (dependent information). In particular, the manipulation / deletion of fee-relevant information in cross-checks with other log files becomes obvious.
Unter Bezugnahme auf Fig 1 sei am Beispiel der klassische Dienste-Ablauf im Intelligent Network (IN) vorausgesetzt. Zu- erst wird ein neuer IN Dienst mit Hilfe des Dienste- Abwicklungs-Punkt SMP eingerichtet. Hierzu wird einem Teilnehmer SU zuerst eine Dienste-Rufnummer und ggf. der Tarif zugeteilt, z.B. für 0190/123456 mit Tarif DM 3,60 pro min. Danach werden zu dieser 0190-er die eigentlichen Zielrufnum- mern entweder durch den Betreiber oder durch den Subscriber selbst eingegeben. Die 0190-er Nummer, die eigentlichen Zielrufnummern und der Tarif werden an den Dienste-Steuerungs- Punkt SCP gesendet.With reference to FIG. 1, the classic service sequence in the Intelligent Network (IN) is assumed. First, a new IN service is set up using the service processing point SMP. For this purpose, a subscriber SU is first assigned a service number and possibly the tariff, e.g. for 0190/123456 with tariff DM 3.60 per min. The actual destination numbers for this 0190 are then entered either by the operator or by the subscriber himself. The 0190 number, the actual destination numbers and the tariff are sent to the service control point SCP.
Die Eingabe der Dienste-Rufnummer, des Tarifs und der Zielrufnummern werden im Dienste-Abwicklungs-Punkt SMP auf eine Logdatei (SMP-Log) geschrieben. Ebenso wird diese Information im Dienste-Steuerungs-Punkt SCP geloggt (SCP-Management-Log) .The entry of the service number, the tariff and the destination numbers are in the service processing point SMP on one Log file (SMP log) written. This information is also logged in the service control point SCP (SCP management log).
Bezugnehmend auf Fig 2 wird nun dieser neue IN-Dienst 0190/123456 angerufen, dann wird dieser Anruf zu einer Vermittlungsstelle mit Dienste-Durchschalte-Punkt SSP Funktionalität gelenkt (1) . Der Dienste-Durchschalte-Punkt SSP gibt die gewünschte IN-Nummer an den Dienste-Steuerungs-Punkt SCP (2) weiter, der diese in die tatsächliche Ziel-Rufnummer um- wandelt. Der Dienste-Steuerungs-Punkt SCP bestimmt außerdem die Vergebührung. Dieser Vorgang wird im Dienste-Steuerungs- Punkt SCP geloggt (SCP-Dienst-Log) .With reference to FIG. 2, this new IN service 0190/123456 is now called, then this call is routed to a switching center with service switching point SSP functionality (1). The service switching point SSP forwards the desired IN number to the service control point SCP (2), which converts it into the actual destination number. The service control point SCP also determines the charge. This process is logged in the service control point SCP (SCP service log).
Der Dienste-Steuerungs-Punkt SCP teilt tatsächliche Rufnummer und Vergebührungsinformation dem Dienste-Durchschalte-PunktThe service control point SCP shares actual phone number and billing information with the service switching point
SSP mit (3) . Danach wird der Ruf zu der tatsächlichen Rufnummer weitergeleitet (4) . Die Abrechnungsinformation (charging data) wird in diesem Vermittlungsknoten in einer Rufe- Einzelheiten-Aufzeichnung CDR (für: Call Detail Record) , die u.a. IN-Dienstnummer, Zielrufnummer, Tarif umfasst, gespeichert.SSP with (3). The call is then forwarded to the actual number (4). The charging information is stored in this switching node in a call detail record CDR (for: Call Detail Record), which among other things. IN service number, destination number, tariff included, saved.
Die SMP-Log, SCP-Management-Log, SCP-Dienste-Log und Rufe- Einzelheiten-Aufzeichnung CDR bilden Aufzeichnungs-Dateien.The SMP log, SCP management log, SCP services log and call details recording CDR form recording files.
Zwischen SMP-Log, SCP-Management-Log, SCP-Dienste-Log und Rufe-Einzelheiten-Aufzeichnungs-Datei CDR ergeben sich u.a. folgende Redundanzen bzw. Abhängigkeiten: Zu jedem Eintrag im SCP-Management Log muß es einen entspre- chenden Eintrag im SMP-Log geben.The SMP log, SCP management log, SCP services log and call details record file CDR are among others The following redundancies and dependencies: Each entry in the SCP management log must have a corresponding entry in the SMP log.
SMP-Log und SCP-Management-Log: zu jeder IN-Dienst-Rufnummer müssen gleiche Zielrufnummern und Tarifinformationen gespeichert sein. SCP-Management-Log und SCP-Dienste-Log: zu jeder IN-Dienst- Rufnummer muß eine Zielrufnurαmer gleich der für die Umlenkung ausgewählten Rufnummer sein, die TarifInformationen müssen gleich sein. SCP-Dienste-Log und Rufe-Einzelheiten-Aufzeichnung CDR: Zu jedem SCP-Log-Eintrag muß es ein Rufe-Einzelheiten- Aufzeichnung CDR geben und IN-Dienst-Rufnummer, Zielrufnummer, TarifInformation müssen gleich sein.SMP log and SCP management log: the same destination numbers and tariff information must be stored for each IN service number. SCP management log and SCP service log: for each IN service number, a destination number must be the same as the number selected for the diversion, the tariff information must be the same. SCP service log and call details recording CDR: For each SCP log entry there must be a call details record CDR and the IN service number, destination number, tariff information must be the same.
Der Audit des anmeldungsgemäßen Revisionsverfahrens basiert nun auf zwei Schritten:The audit of the revision procedure according to the registration is now based on two steps:
1. Definition der Auswertebasis1. Definition of the evaluation basis
Der Revisor bestimmt die Basis, die für die Auswertung in Frage kommt. Hierzu gehört, welche Logs für die Revision verwendet werden sollen und welche Regeln bei der Auswertung geprüft werden sollen. Die Regeln beschreiben die redundanten Informationen verschiedener Logs oder die Abhängigkeiten von Daten eines oder mehrerer Logs. Dabei kann (muß aber nicht) vorgesehen werden, daß die Auswahl anhand einer vollständigen Liste aller im Netz erzeugten Logdateien und aller gültigen Regeln (sprich aller möglichen Redundanzen und Abhängigkeiten) zwischen den auf den Logdateien gespeicherten Daten erfolgen. Die Regeln werden mit Hilfe von logischen Ausdrücken beschrieben, in denen als Variablen die Felder (Attribute) der Logdatei verwendet werden, z.B.The auditor determines the basis that can be used for the evaluation. This includes which logs should be used for the revision and which rules should be checked during the evaluation. The rules describe the redundant information of different logs or the dependencies on data of one or more logs. It can (but does not have to) be provided that the selection is made on the basis of a complete list of all log files generated in the network and all valid rules (i.e. all possible redundancies and dependencies) between the data stored in the log files. The rules are described using logical expressions in which the fields (attributes) of the log file are used as variables, e.g.
"Zu jeder IN-Dienst-Rufnummer (SCP-Management-Log) gibt es eine IN-Dienst-Rufnummer (SMP-Log) mit IN-Dienst-Rufnummer (SCP-Management-Log) = IN-Dienst- Rufnummer (SMP-Log)""For each IN service number (SCP management log) there is an IN service number (SMP log) with IN service number (SCP management log) = IN service number (SMP Log)"
oderor
"Wenn (IN-Dienst-Rufnummer (Logeintrag SMP-Log) = IN-Dienst- Rufnummer (Logeintrag SCP-Management-Log) ) => es müssen die folgenden Redundanzen erfüllt sein:"If (IN service number (log entry SMP-Log) = IN service number (log entry SCP management log)) => the following redundancies must be fulfilled:
Zielrufnummern (Logeintrag SMP-Log) = Zielrufnummern (Logeintrag SCP-Management-Log) Tarif (Logeintrag SMP-Log) = TarifDestination numbers (log entry SMP-Log) = destination numbers (log entry SCP-Management-Log) tariff (log entry SMP-Log) = tariff
(Logeintrag SCP-Mangement-Log) ." Grundsätzlich können sich Regeln auf ein oder mehrere Logs beziehen.(Log entry SCP management log). " Basically, rules can refer to one or more logs.
2. Prüflauf: Im Prüflauf werden für die angegebenen Logs alle ausgewählten Regeln überprüft. Die festgestellten Abweichungen von den Regeln (Inkonsistenzen) werden protokolliert. Anhand des Protokolls lassen sich frühzeitig Verdachtsmomente für Betrugsfälle und Systemmanipulationen feststellen. Anhand dieser Ver- dachtsmomente können dann weitere Maßnahmen eingeleitet werden, wie manuelle Korrekturen der Inkonsistenzen, Feststellen der Verantwortlichkeit für die Inkonsistenzen, Verbessern der Netzsicherheit etc.2. Test run: All selected rules are checked for the specified logs in the test run. The deviations from the rules (inconsistencies) are recorded. On the basis of the protocol, suspicions of fraud and system manipulations can be identified at an early stage. On the basis of these suspicions, further measures can then be initiated, such as manual corrections of the inconsistencies, determination of responsibility for the inconsistencies, improvement of network security, etc.
Anmeldüngsgemäß ist ein regelbasierter Ansatz gegeben, mit dem Inkonsistenzen der auf verschiedenen Logdateien gespeicherten Daten festgestellt werden können. Diese Inkonsistenzen deuten bereits frühzeitig auf Betrug und Manipulation in dem Netz hin. Entscheidend bei diesem Verfahren (gegenüber Verfahren basierend auf CDR und Signalisierungsdaten) ist, daß die Inkonsistenzen unabhängig von bereits getätigten Anrufen (u.U. bereits vor dem ersten beabsichtigten Anruf) festgestellt werden können. Bestenfalls hat der Netzbetreiber vor Überführung eines Angreifers / Betrügers keinen Einnahme- verlust; in den anderen genannten Verfahren auf Basis CDR und Signalisierungsdaten muß der Netzbetreiber in jedem Fall Einnahmeverluste vor Überführung eines Angreifers / Betrügers hinnehmen. Wird das beschriebene Revisionsverfahren für Logs verschiede- ner Systeme verwendet, die an räumlich unterschiedlichen Orten gespeichert sind, dann wird auch die Spurenbeseitigung von Manipulationen und Betrügereien erheblich erschwert und viel riskanter. Damit hat das Revisionsverfahren auch eine vorbeugende Wirkung, vor allem für Innentäter. According to the application, there is a rule-based approach with which inconsistencies in the data stored in various log files can be determined. These inconsistencies indicate fraud and manipulation in the network at an early stage. It is crucial with this method (compared to methods based on CDR and signaling data) that the inconsistencies can be determined independently of calls that have already been made (possibly even before the first intended call). At best, the network operator has no loss of revenue before the transfer of an attacker / fraudster; in the other methods mentioned based on CDR and signaling data, the network operator must in any case accept a loss of income before the transfer of an attacker / fraudster. If the revision procedure described is used for logs of different systems that are stored in different locations, the removal of traces of manipulation and fraud is also made considerably more difficult and much more risky. As a result, the revision procedure also has a preventive effect, especially for indoor offenders.

Claims

Patentansprüche claims
1. Verfahren zur Feststellung von Unregelmäßigkeiten, insbesondere Manipulationen bei der Vergebührung, in Telekommuni- kationsnetzen, insbesondere Intelligente Netze, Anschlußnetze, Transportnetze, Management Netze und Vermittlungsstellen, demzufolge eine Aufzeichnungs-Dateien daraufhin ausgewertet wird, ob ein Hinweis auf eine Unregelmäßigkeit vorhanden ist, dadurch gekennzeichnet, dass wenigstens zwei Aufzeichnungs-Dateien auf Basis einer vorgegebenen Regel verknüpft werden und das Ergebnis der Verknüpfung daraufhin ausgewertet wird, ob ein Hinweis auf eine Unregelmäßigkeit vorhanden ist.1. A method for ascertaining irregularities, in particular manipulation of billing, in telecommunications networks, in particular intelligent networks, access networks, transport networks, management networks and switching centers, according to which a record file is evaluated to determine whether there is any indication of an irregularity, characterized in that at least two recording files are linked on the basis of a predetermined rule and the result of the linking is evaluated to determine whether there is any indication of an irregularity.
2. Dadurch gekennzeichnet, dass eine Aufzeichnungs-Datei durch eine Logdatei gegeben ist.2. Characterized in that a recording file is given by a log file.
3. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeich et, dass eine jeweilige Aufzeichnungs-Datei durch eine folgender Dateien gegeben ist:3. The method according to any one of the preceding claims, characterized in that a respective recording file is given by one of the following files:
SMP-Logdatei, SCP-Management-Log,SMP log file, SCP management log,
SCP-Dienste-Log,SCP services log,
Rufe-Einzelheiten-Aufzeichnung CDR,Call details recording CDR,
Logdatei in Transportnetzen,Log file in transport networks,
Logdatei in Anschlußnetzen, Logdatei in Management-Netzen,Log file in connection networks, log file in management networks,
Logdatei in Vermittlungsstellen.Log file in exchanges.
4. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass die Verknüpfung zwischen AufZeichnungsdateien durch eine Überprüfung, ob zu einem jeweiligen Ereignis/Vorgang in den Aufzeichnungs-Dateien Einträge sind, die das Ereignis/den Vorgang mit übereinstimmendem Ergebnis bezeichnen.4. The method according to any one of the preceding claims, characterized in that the link between recording files by checking whether a particular event / process in the Record files are entries that designate the event / process with a matching result.
5. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass die Aufzeichnungs-Dateien nach einem vorgegebenen Kriterium ausgewertet werden.5. The method according to any one of the preceding claims, characterized in that the recording files are evaluated according to a predetermined criterion.
6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass das Kriterium durch einen festgelegten Zeitraum gegeben ist.6. The method according to claim 5, characterized in that the criterion is given by a fixed period.
7. Verfahren nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, dass die Aufzeichnungs-Dateien verschiedenen Systeme zugehören. 7. The method according to any one of the preceding claims, characterized in that the recording files belong to different systems.
PCT/DE1999/003487 1998-11-03 1999-11-02 Revision method for the detection of network fraud WO2000027105A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP99959230A EP1125427A1 (en) 1998-11-03 1999-11-02 Revision method for the detection of network fraud

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE19850640.6 1998-11-03
DE1998150640 DE19850640A1 (en) 1998-11-03 1998-11-03 Revision procedure for the detection of fraud cases in networks

Publications (1)

Publication Number Publication Date
WO2000027105A1 true WO2000027105A1 (en) 2000-05-11

Family

ID=7886537

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE1999/003487 WO2000027105A1 (en) 1998-11-03 1999-11-02 Revision method for the detection of network fraud

Country Status (3)

Country Link
EP (1) EP1125427A1 (en)
DE (1) DE19850640A1 (en)
WO (1) WO2000027105A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1994023528A1 (en) * 1993-03-31 1994-10-13 British Telecommunications Public Limited Company Fraud preventing method for a communication network
JPH07212502A (en) * 1993-11-12 1995-08-11 At & T Corp Controlling system for accessing resource
US5627886A (en) * 1994-09-22 1997-05-06 Electronic Data Systems Corporation System and method for detecting fraudulent network usage patterns using real-time network monitoring
WO1998039899A1 (en) * 1997-02-24 1998-09-11 Ameritech Corporation System and method for real-time fraud detection within a telecommunications system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1994023528A1 (en) * 1993-03-31 1994-10-13 British Telecommunications Public Limited Company Fraud preventing method for a communication network
JPH07212502A (en) * 1993-11-12 1995-08-11 At & T Corp Controlling system for accessing resource
US5627886A (en) * 1994-09-22 1997-05-06 Electronic Data Systems Corporation System and method for detecting fraudulent network usage patterns using real-time network monitoring
WO1998039899A1 (en) * 1997-02-24 1998-09-11 Ameritech Corporation System and method for real-time fraud detection within a telecommunications system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
PATENT ABSTRACTS OF JAPAN vol. 1999, no. 07 31 March 1999 (1999-03-31) *

Also Published As

Publication number Publication date
DE19850640A1 (en) 2000-05-04
EP1125427A1 (en) 2001-08-22

Similar Documents

Publication Publication Date Title
DE69931516T2 (en) PUSHING OF WIRED COMMUNICATIONS
DE69632888T2 (en) Service and information management system for a telecommunications network
DE69724989T2 (en) ERROR MANAGEMENT SYSTEM FOR A TELECOMMUNICATION NETWORK
DE19644024A1 (en) Method and device for checking the correct and complete creation of communication data records in telecommunication systems
DE69637279T2 (en) ERROR MANAGEMENT SYSTEM FOR A TELECOMMUNICATIONS NETWORK
DE69730181T2 (en) Switched voice and data ATM network with a billing system
DE4330031C2 (en) Arrangement for the integration of EDP systems and telephone systems connected to the public telephone network
DE19837892A1 (en) Method and device for detecting a data service provider in a public switched telephone network
DE19622347A1 (en) Method of providing a communication service
DE4142738A1 (en) IMPROVED IDSN-800 SERVICE
DE102005027206A1 (en) A method of telecommunication call record correlation that provides a basis for a quantitative analysis of a telecommunication call traffic line
DE60110433T2 (en) TELECOMMUNICATION SYSTEMS
DE60208992T2 (en) ERROR MANAGEMENT SYSTEM FOR A COMMUNICATION NETWORK
WO2000027105A1 (en) Revision method for the detection of network fraud
EP0597192B1 (en) Method for enabling later verification of already transmitted data
EP1014733A1 (en) Method for monitoring a subscriber in an intelligent network
DE19580370B4 (en) Method for identifying subscribers of a mobile network with excessive traffic
DE4404827C2 (en) System for recognizing the functionality of a digital telecommunications network
DE19827956A1 (en) Connection establishment method, service control unit and communication network
EP1221245B1 (en) System, evaluation device and method for verifying connection-related communication data determined by a digital exchange
EP1244315A1 (en) Method for selective forwarding of notifications in a TMN network
EP0991251A2 (en) Monitoring system and method for telephone networks
DE4323869C2 (en) Process for securing data traffic in complex telecommunication and data systems
DE10021550A1 (en) Network-wide end customer administration via administration technology of the operator
DE69829289T2 (en) NETWORK MONITORING

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): CN JP US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE

121 Ep: the epo has been informed by wipo that ep was designated in this application
DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
WWE Wipo information: entry into national phase

Ref document number: 1999959230

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 1999959230

Country of ref document: EP

WWW Wipo information: withdrawn in national office

Ref document number: 1999959230

Country of ref document: EP