周春曉, 趙艷瓊, 李遜

（中國(guó)移動(dòng)通信集團(tuán)安徽有限公司，合肥 230000）

隨著中國(guó)移動(dòng)集團(tuán)客戶MAS短信業(yè)務(wù)的快速發(fā)展，MAS短信業(yè)務(wù)帶來(lái)的問(wèn)題不斷呈現(xiàn)，MAS設(shè)備安全性低、短信內(nèi)容缺乏監(jiān)管、濫發(fā)短信造成用戶感知差，安全性管控難度高。

現(xiàn)有比較有代表性的短信安全管控主要有基于行為和內(nèi)容協(xié)作分析的垃圾短信過(guò)濾系統(tǒng)研究，點(diǎn)對(duì)點(diǎn)垃圾短信攔截手段的研究與實(shí)踐，中國(guó)移動(dòng)通信集團(tuán)公司也發(fā)布了垃圾短信監(jiān)控平臺(tái)總體技術(shù)要求。大部分的短信內(nèi)容管控關(guān)注與點(diǎn)對(duì)點(diǎn)短信，強(qiáng)調(diào)內(nèi)容管控，而對(duì)互聯(lián)網(wǎng)業(yè)務(wù)特征明顯的MAS業(yè)務(wù)管控缺乏更為全面的機(jī)制和更有效的整體安全框架。

基于以上因素，為加強(qiáng)集團(tuán)客戶業(yè)務(wù)信息安全管理，配合集團(tuán)公司端口類短信群發(fā)業(yè)務(wù)清理整頓專項(xiàng)行動(dòng)，安徽公司進(jìn)行本項(xiàng)目研究，提升MAS安全管控能力。

1 MAS安全性和安全對(duì)策分析

1.1 MAS存在的安全問(wèn)題

目前行業(yè)端口類短信發(fā)送設(shè)備，大都部署于Internet環(huán)境，服務(wù)端口暴露在公網(wǎng)環(huán)境，公網(wǎng)訪問(wèn)多，安全監(jiān)控管理存在難度。

其次，傳統(tǒng)的點(diǎn)對(duì)點(diǎn)垃圾短信治理著眼于用戶發(fā)送短信內(nèi)容的監(jiān)控，關(guān)注是否有群發(fā)廣告、違法類短信的行為，目前技術(shù)成熟度高，管控效果明顯。而MAS機(jī)發(fā)送的短信本身均為廣告類短信，因此在短信發(fā)送全流程的監(jiān)管上存在著難度，需要研究基于行業(yè)短信特征的違規(guī)行為發(fā)現(xiàn)。

1.2 MAS安全對(duì)策分析

解決MAS的安全問(wèn)題主要集中在MAS機(jī)設(shè)備安全監(jiān)管、MAS短信發(fā)送過(guò)程管控、MAS業(yè)務(wù)暫停可控3個(gè)層面。

2 MAS安全管控平臺(tái)的設(shè)計(jì)及實(shí)現(xiàn)

為全面保障MAS業(yè)務(wù)安全性，從MAS的全局出發(fā)，設(shè)計(jì)提出一個(gè)系統(tǒng)整體的安全性模型，如圖1所示。

MAS安全管控平臺(tái)主要模塊的定義及功能如下：

2.1 MAS機(jī)安全掃描及結(jié)果分析

管控平臺(tái)進(jìn)行漏洞掃描并評(píng)分結(jié)果，將結(jié)果與MAS機(jī)IP地址、集團(tuán)客戶名稱、MAS機(jī)廠家、MAS機(jī)等基礎(chǔ)信息關(guān)聯(lián)分析，生成多維度的安全掃描分析報(bào)告，分地市、分MAS設(shè)備廠家生成安全漏洞、脆弱賬號(hào)列表。管控平臺(tái)通過(guò)Web服務(wù)接口采集MAS機(jī)登錄日志、操作日志，實(shí)時(shí)發(fā)現(xiàn)異常IP登錄并生成告警，防止MAS賬號(hào)被轉(zhuǎn)租、轉(zhuǎn)用的違規(guī)使用行為，同時(shí)全量記錄MAS機(jī)操作日志，完成日志留存記錄。

2.2 MAS機(jī)行為安全管控

2.2.1 行業(yè)短信簽名檢查

圖1 MAS安全管控平臺(tái)軟件結(jié)構(gòu)示意圖

行業(yè)短信中有相當(dāng)一部分是超過(guò)140byte的超長(zhǎng)短信，因此在網(wǎng)絡(luò)中需要拆成若干條140byte以內(nèi)的正常短信發(fā)送。一條超長(zhǎng)短信拆分以后，只有最后一條才攜帶服務(wù)提供商的簽名信息。因此需要將拆分后的超長(zhǎng)短信進(jìn)行重組，才能夠正確識(shí)別短信簽名。通過(guò)識(shí)別CMPP2.0報(bào)文中的udhiHEAD字段，可以準(zhǔn)確的完成長(zhǎng)短信的拼接重組。為手機(jī)兼容性考慮，部分超長(zhǎng)內(nèi)容在發(fā)送前拆分成了多條標(biāo)準(zhǔn)的短信，在內(nèi)容前增加序號(hào)形式的信息標(biāo)識(shí)其在整體內(nèi)容中的位置，如n/m。協(xié)議分析層將該類短信識(shí)別為邏輯長(zhǎng)短信，以便進(jìn)行簽名檢查。提取短信內(nèi)容字符串最后一對(duì)“【】”或“[]”中的內(nèi)容，作為該MAS的簽名。對(duì)提取出的行業(yè)短信簽名進(jìn)行合規(guī)性檢查，輸出未簽名的行業(yè)短信業(yè)務(wù)，以及簽名與行業(yè)短信服務(wù)商屬性不符合的行業(yè)短信業(yè)務(wù)。開(kāi)發(fā)用戶可交互的界面，用戶輸入不同的查詢條件，系統(tǒng)生成后臺(tái)的查詢請(qǐng)求，同時(shí)將查詢結(jié)果通過(guò)報(bào)表展現(xiàn)。

表1 MAS關(guān)鍵KPI指標(biāo)

圖2 MAS快速暫停流程

2.2.2 行業(yè)短信超地域發(fā)送識(shí)別

管控平臺(tái)讀取所有MAS機(jī)的短信發(fā)送記錄和號(hào)碼地理信息表，建立接收號(hào)碼與歸屬地位置的二元關(guān)系表，檢測(cè)系統(tǒng)在二元關(guān)系表中計(jì)算MAS機(jī)發(fā)送短信的地域分布的離散度；根據(jù)管理要求，設(shè)定離散度的閾值，當(dāng)離散度高于這個(gè)閾值時(shí)，即可判定MAS滿足超地域發(fā)送短信的條件。

2.3 行業(yè)短信關(guān)鍵KPI指標(biāo)建立及監(jiān)控

根據(jù)MAS短信關(guān)鍵性能指標(biāo)，梳理建立如表1的關(guān)鍵KPI指標(biāo)并監(jiān)控。

2.4 MAS業(yè)務(wù)快速暫停的流程設(shè)計(jì)及實(shí)現(xiàn)

本模型優(yōu)化了MAS暫停流程，在行業(yè)網(wǎng)關(guān)A模塊完成MAS的上下行短信暫停，如圖2所示。

3 MAS安全管控平臺(tái)應(yīng)用

在模型基礎(chǔ)上開(kāi)發(fā)了智能MAS安全管控系統(tǒng)，開(kāi)發(fā)平臺(tái)采用C#語(yǔ)言和Java技術(shù)，數(shù)據(jù)庫(kù)采用Oracle；在設(shè)計(jì)中通過(guò)對(duì)行業(yè)短信的自動(dòng)采集、自動(dòng)分析、自動(dòng)判斷，如圖3所示。

圖3 MAS安全管控系統(tǒng)

圖4 MAS安全管控系統(tǒng)發(fā)現(xiàn)的簽名違規(guī)端口

MAS安全管控平臺(tái)發(fā)現(xiàn)違規(guī)簽名端口12家，簽名為空端口42家；發(fā)現(xiàn)超地域發(fā)送端口23家，這些端口經(jīng)過(guò)人工核實(shí)，均證實(shí)為違規(guī)端口，如圖4所示。

4 結(jié)束語(yǔ)

在前人工作基礎(chǔ)上提出的MAS安全管控系統(tǒng)，與已有模型相比其優(yōu)勢(shì)有以下幾點(diǎn)：

（1）實(shí)現(xiàn)了MAS全過(guò)程的信息安全管控，解決行業(yè)端口信息安全管控難題，提高了MAS業(yè)務(wù)安全管控效率。

（2）建立基于業(yè)務(wù)行為的監(jiān)測(cè)模型，分析MAS短信群發(fā)的業(yè)務(wù)特征，突破傳統(tǒng)的“流量+關(guān)鍵字”的垃圾短信識(shí)別，實(shí)現(xiàn)對(duì)MAS發(fā)送行為的高效管控。

（3）MAS短信簽名檢查技術(shù)，實(shí)現(xiàn)集團(tuán)客戶簽名違規(guī)的行為監(jiān)控。

[1] 顏世瑩. 基于行為和內(nèi)容協(xié)作分析的垃圾短信過(guò)濾系統(tǒng)[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2011,24(9).

[2] 蒙福寧. 點(diǎn)對(duì)點(diǎn)垃圾短信攔截手段的研究與實(shí)踐[J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化, 2010,23(3).

[3] 中國(guó)移動(dòng)通信有限公司. 垃圾短信監(jiān)控平臺(tái)總體技術(shù)要求[Z].2007.