吳璟，時鎮(zhèn)軍

（中國移動通信集團江蘇有限公司，南京 210012）

防欺詐域名安全管理系統(tǒng)的研究和應用

吳璟，時鎮(zhèn)軍

（中國移動通信集團江蘇有限公司，南京 210012）

本文分析了當前移動互聯(lián)網(wǎng)信息欺詐的特征，提出了基于域名系統(tǒng)的防欺詐安全快速處置方案和系統(tǒng)，并介紹了該系統(tǒng)在網(wǎng)絡上應用的效果。

防欺詐；域名；安全

1 當前移動互聯(lián)網(wǎng)信息欺詐特征

隨著移動互聯(lián)網(wǎng)的快速發(fā)展，以及移動終端智能化的普及，人們越來越習慣通過移動終端進行各種與生產(chǎn)生活相關的操作，如通過移動終端進行購物款項支付等財務類操作。與此同時，商家們也常常借助通信運營商的網(wǎng)絡或定位服務向移動終端推送重要通知或營銷廣告，以加強與客戶的互動，提升服務水平。如銀行類商家通常定期發(fā)送短信息至信用卡用戶的移動終端，提醒用戶當月應還款的金額，或者提示用戶其信用卡積分兌換獎品的規(guī)則和有效期限等重要信息。

伴隨著人們對于移動終端依賴性的增加，各類通過發(fā)送短信息至移動終端進行詐騙或者盜取用戶信息等非法操作層出不窮。近年來“偽基站”短信冒充運營商進行詐騙的情況愈演愈烈，不法分子違規(guī)設置偽基站，將普通手機信號屏蔽后，強行將用戶的手機注冊到自己的信號中，接著偽造各大銀行、運營商等公眾號碼（如955XX、10086等），向受害者手機終端發(fā)送“溫馨提醒”、“安全提示”等欺詐短信，最新的詐騙形式是在短信內(nèi)容中直接插入偽造銀行或者運營商網(wǎng)上營業(yè)廳相關鏈接，誘導受害者訪問偽造網(wǎng)頁，導致受害者暴露重要個人隱私，最終利益受損，危害極大。由于不法分子的偽基站直接向受害者手機等終端發(fā)送含有違規(guī)鏈接的欺詐短信，而短信內(nèi)容不經(jīng)過運營商短信中心，運營商無法識別和攔截違規(guī)短信。據(jù)統(tǒng)計，2015年全國電信詐騙案59.9萬起，造成經(jīng)濟損失222億元 。

2 現(xiàn)有防范技術方案分析

違規(guī)設置“偽基站”是不法分子受利益驅(qū)動而采取的不可防范行為，現(xiàn)有的降低“偽基站”欺詐短信給用戶帶來損失的技術方案主要如下幾種。

2.1 技術方案(1)：事后干預

基本是受害用戶或者受害企業(yè)在利益受損后向公安機關報案，或者向運營商投訴反饋，運營商才能獲得違規(guī)短信內(nèi)容以及相應的違規(guī)鏈接，進而對違規(guī)鏈接進行分析提取出相關域名和解析IP，然后進行域名解析系統(tǒng)和網(wǎng)絡層封堵，避免其他用戶再去訪問違規(guī)鏈接。

2.2 技術方案(2)：安裝手機安全攔截軟件

手機安全軟件可以對手機終端收到的短信內(nèi)容進行識別和處理。如360手機衛(wèi)士、騰訊手機管家有效攔截并友好提示用戶，幫助用戶識別非法短信內(nèi)容，避免用戶受害。

已有的防范技術方案均存在不同程度的不足如下。

技術方案(1)從受害者接收到偽基站下發(fā)的欺詐短信，到最終運營商獲取到短信中的違規(guī)鏈接，再做手工分析和封堵，中間流程涉及到多個部門或者個人，流程復雜，效率底下。

技術方案(2)一方面對手機終端具有較高要求，必須為智能機，且已經(jīng)安裝該款APP。對于未安裝各類安全軟件的終端用戶無法提供保護。另一方面欺詐短信中的違規(guī)鏈接、域名信息只有手機安全軟件的廠商才知曉，運營商無從得知，信息沒有得到有效利用。

3 基于域名系統(tǒng)的快速處置方案研究

所有的釣魚網(wǎng)站都是通過域名進行訪問，而從域名解析為IP地址，必定經(jīng)過運營商域名解析系統(tǒng)。通過運營商域名解析系統(tǒng)對欺詐域名進行判斷與封堵，將欺詐域名強制解析到安全提醒頁面，提醒用戶訪問的欺詐域名存在風險，降低用戶受到釣魚網(wǎng)站詐騙遭受財產(chǎn)損失。江蘇移動在基于域名解析系統(tǒng)上，開展研究，提出了一個基于域名系統(tǒng)的防欺詐安全快速處置方案和系統(tǒng)。

系統(tǒng)可實時接收或者手動輸入政府主管部門、江蘇移動發(fā)現(xiàn)的偽基站下發(fā)含有欺詐域名的短信，進行快速識別與判定欺詐域名，將欺詐域名與指定的安全提醒頁面IP通過指定接口傳遞給江蘇移動域名解析系統(tǒng)。江蘇移動域名解析系統(tǒng)接收到欺詐域名與安全提醒頁面IP，自動將欺詐域名的A記錄強制解析為安全提醒頁面IP。當用戶訪問欺詐短信中的域名時，終端瀏覽器將會向域名解析系統(tǒng)發(fā)起欺詐域名的查詢請求，域名解析系統(tǒng)返回欺詐域名的A記錄為安全提醒頁面的IP，用戶最終訪問到安全提醒頁面，而不是欺詐域名的釣魚網(wǎng)站。

政府主管部門的安全分析平臺傳送數(shù)據(jù)給運營商域名安全管理系統(tǒng)，由域名安全管理系統(tǒng)域名歷史解析熱度的統(tǒng)計值，過濾掉白名單中熱點域名，自動封堵余留下來的屬于冷點的真實偽基站域名。這樣只要在少數(shù)智能終端上采集到包含非法鏈接的短信，就能夠通過域名解析系統(tǒng)保護運營商全網(wǎng)的終端用戶，使其無法訪問欺詐短信中嵌入的違規(guī)鏈接，避免上當受騙，造成經(jīng)濟損失。

域名安全管理系統(tǒng)包括違規(guī)鏈接接收模塊、違規(guī)域名提取模塊、違規(guī)域名封堵3個模塊。

3.1 違規(guī)鏈接接收模塊

通過事先協(xié)商的接口規(guī)則，接收安全分析平臺傳送來的違規(guī)鏈接。安全分析平臺一般由政府主管部門及運營商的所設置，可從偽基站短信、垃圾短信監(jiān)測系統(tǒng)中初步采集出違規(guī)鏈接。

3.2 違規(guī)域名提取模塊

（1）將(欺詐短信中的)違規(guī)鏈接（格式可能是域名、URL、短網(wǎng)址等）截取出來。

（2）將短網(wǎng)址轉(zhuǎn)義為長網(wǎng)址并識別違規(guī)域名。

（3）根據(jù)運營商域名解析系統(tǒng)解析日志分析出域名解析熱度，將TOP域名（如TOP10萬）加入到白名單中，白名單中的域名認為是可信域名不進行自動封堵。

（4）將違規(guī)域名與白名單進行匹配，剔除掉白名單中已有域名，余留下來的屬于冷點的真實偽基站域名。

如果想進一步挖掘出更多的違規(guī)域名，可以繼續(xù)如下分析。

（1）通過撥測系統(tǒng)獲取違規(guī)域名的解析IP，根據(jù)域名解析系統(tǒng)解析日志紀錄，由IP反查出其它解析到該IP的違規(guī)域名。

（2）根據(jù)違規(guī)域名通過Whois查詢出該域名注冊者名下的其它域名。

圖1 違規(guī)域名處理流程

（3）直接訪問違規(guī)域名或者URL判斷是否為違規(guī)域名。

（4）將違規(guī)域名上傳給域名解析系統(tǒng)系統(tǒng)。

3.3 違規(guī)域名封堵模塊

（1）將違規(guī)域名提取模塊甄別出來的違規(guī)域名，在運營商本地域名解析系統(tǒng)上強制解析到安全提醒網(wǎng)頁服務器所對應的IP。

（2）支持對誤封堵的域名取消強制解析功能。

處理流程如圖1所示。

流程101：不法分子建立偽基站，將運營商網(wǎng)絡信號屏蔽后，強行將用戶的手機劫持到偽基站的網(wǎng)絡，偽造公眾號碼向受害者終端發(fā)送含有違規(guī)鏈接的欺詐短信。

流程102：終端用戶接收到偽基站下發(fā)的欺詐短信，被終端上的安全軟件識別并統(tǒng)計到相關部門的大數(shù)據(jù)安全分析平臺。

流程103：安全分析平臺分析偽基站下發(fā)的疑似欺詐短信，并將之實時傳送到防欺詐域名安全管理系統(tǒng)。

流程104：防欺詐域名安全管理系統(tǒng)對欺詐短信中的URL、短網(wǎng)址、域名等進行提取，并將域名進行撥測獲取解析IP，并通過IP反查以及Whois查詢該域名注冊者的其它違規(guī)域名；直接訪問違規(guī)域名或者URL判斷是否為違規(guī)域名。

流程105：防欺詐域名安全管理系統(tǒng)將甄別出來的違規(guī)域名下發(fā)到本地域名解析系統(tǒng)。

流程106：本地域名解析系統(tǒng)將域名強制解析到安全提醒頁面的服務IP。

流程107：終端用戶點擊欺詐短信中的鏈接時，會向本地域名解析系統(tǒng)發(fā)起查詢請求。

流程108：本地域名解析系統(tǒng)將安全提醒頁面的服務IP作為解析結果返回終端用戶。

流程109：終端用戶最終訪問到安全提醒頁面，而不是不法分子的釣魚網(wǎng)站，避免受損。

4 部署情況和效果

根據(jù)以上思路和方案，江蘇移動聯(lián)合江蘇省公安廳、亞信科技（成都）有限公司，從2016年3月開發(fā)，并在現(xiàn)網(wǎng)上部署了防欺詐域名安全管理系統(tǒng)。據(jù)最新數(shù)據(jù)統(tǒng)計（2016年9月30日），該系統(tǒng)自2016年4月上線以來共封堵欺詐違規(guī)鏈接14 744個，實現(xiàn)對893萬人次進行釣魚網(wǎng)站攔截重定向服務，將用戶及時引導至提示頁面，成功為即將訪問釣魚網(wǎng)站的用戶提供了有效的安全防護。據(jù)江蘇省公安廳數(shù)據(jù)，江蘇移動防欺詐域名安全管理系統(tǒng)上線后，江蘇偽基站詐騙發(fā)案數(shù)量環(huán)比下降95%，效果顯著。

[1]Gary R． Wright W． Richard Stevens． TCP/IP 詳解 卷1：協(xié)議[M]．范建華， 胥光輝，張濤，等，譯． 北京：機械工業(yè)出版社， 2001．

News 現(xiàn)代集團選用思博倫解決方案用于車載以太網(wǎng)一致性測試

思博倫通信近日宣布，思博倫的C50+TTworkbench解決方案已被韓國現(xiàn)代汽車集團選定并用于驗證車載聯(lián)網(wǎng)技術。

今天的汽車擁有超過100種發(fā)動機控制單元（ECU)，而且越來越多的汽車都開始支持多路攝像頭和先進駕駛員輔助系統(tǒng)（ADAS）等高級特性，因此汽車設計師必須采用容量更高的車載網(wǎng)絡。汽車以太網(wǎng)聯(lián)網(wǎng)技術源于計算機聯(lián)網(wǎng)技術，而且全世界的汽車OEM廠商都在使用這一技術。

為了開發(fā)和驗證其汽車以太網(wǎng)系統(tǒng)，并確定適用于車輛的各種最佳以太網(wǎng)設計，現(xiàn)代集團正在使用思博倫的解決方案對其以太網(wǎng)ECU加以驗證。現(xiàn)代集團一直致力于提供全新的車載能力并不斷滿足客戶極高的期望，因此，采用思博倫的測試設備無疑最合理的選擇。

思博倫汽車業(yè)務發(fā)展總監(jiān)Thomas Schulze 指出：“思博倫的TTworkbenchand提供的是一種易于使用的測試環(huán)境，將幫助現(xiàn)代集團有效地驗證其車載以太網(wǎng)絡，確保它們具備可支持當今聯(lián)網(wǎng)汽車中各類先進應用的強健能力。IT和電信等行業(yè)都在使用思博倫的解決方案來測試和驗證其產(chǎn)品和服務，而我們多年積累的豐富經(jīng)驗也將為汽車行業(yè)提供強有力的支持，確保該行業(yè)能夠成功建造出適應未來的優(yōu)秀車輛?！?/p>

TTworkbench是一種特性全面的集成式測試開發(fā)和執(zhí)行環(huán)境（IDE），適用于任何類型的測試自動化項目。C50+ TTworkbench可以提供多種功能，其中也包括被測設備監(jiān)視和模擬。它還可支持所有的國際標準測試例，包括OPEN Alliance測試例和AVnu汽車測試例等，而所有這些特性對于現(xiàn)代集團而言都很關鍵。C50+還包含最新發(fā)布的汽車以太網(wǎng)協(xié)議一致性測試套裝，而且在配備了基于OPEN Alliance標準的BroadR-Reach網(wǎng)絡接口卡的思博倫C1和C50平臺上，這些套裝均可運行自如。

（彭芳)

Research and application of fraud prevention security domain name security management system

WU Jing, SHI Zhen-jun
(China Mobile Group Jiangsu Co., Ltd., Nanjing 210012, China)

This paper analyzes the current characteristics of information fraud in mobile Internet, proposes a scheme and system for fraud prevention security based on domain name system, and introduces the effect of the system in the current network application.

fraud prevention; domain name system; security

TN918

A

1008-5599（2016）12-0032-04

2016-11-23