溫 俠

（中國電信集團山西省分公司，山西 太原 030006）

近年來，全國通信網(wǎng)信息詐騙案件持續(xù)高發(fā)，態(tài)勢嚴峻，每年涉詐金額上百億元，極大地危害群眾人身和財產(chǎn)安全[1]。

1 涉詐短信演變特點

短信詐騙是指利用手機短信騙取金錢等財物的行為，其特點如下。

（1）團伙分工合作。手機發(fā)送違法短信的作案人以團伙居多，團伙內(nèi)部各負其責。

（2）發(fā)送短信數(shù)量巨大。發(fā)送違法短信的數(shù)量一般具有爆發(fā)性強的特點。

（3）團伙流動性強。發(fā)送違法短信的行為多使用異地手機號碼，且沒有集中的主叫或被叫號段。

（4）詐騙短信內(nèi)容變化快、隱蔽性強。一旦發(fā)現(xiàn)原有短信被攔截，立即更換發(fā)送內(nèi)容。

（5）具有極強欺騙性。違法短信的內(nèi)容越來越具有誘惑力，甚至會冒充銀行、公安機關(guān)、法院等向用戶發(fā)送。

2 涉詐短信治理存在的不足

對不法短信的治理前期以被動封堵為主，依托治理平臺實現(xiàn)對上級主管部門下達的敏感關(guān)鍵詞及超流量的異常短信的攔截。隨著詐騙手段的變化以及用戶投訴增多，我們的治理工作必須要向防堵結(jié)合轉(zhuǎn)變。

目前，引發(fā)社會廣泛關(guān)注的短信詐騙行為主要表現(xiàn)為不法分子通過灰色通道獲取海量用戶號碼，并模擬用戶主叫發(fā)起各類互聯(lián)網(wǎng)賬號注冊行為，從而獲得不法收入。在此背景下，涉詐短信防治技術(shù)手段存在以下不足。

（1）缺乏互聯(lián)網(wǎng)賬號注冊異常行為監(jiān)測能力。系統(tǒng)對于短時間內(nèi)集中上行短信、欠費狀態(tài)下上行短信、空號上行短信等行為無法進行監(jiān)測預警，無法及時發(fā)現(xiàn)內(nèi)部系統(tǒng)管理漏洞，降低生產(chǎn)經(jīng)營風險。

（2）缺乏涉詐短信聯(lián)防聯(lián)控處置機制。短信反詐還未打通與客戶信息、互聯(lián)網(wǎng)反詐等系統(tǒng)的能力接口，短信反詐聯(lián)防聯(lián)控能力需持續(xù)完善。

3 智能化涉詐短信監(jiān)測能力提高

提高異常短信監(jiān)測發(fā)現(xiàn)能力，通過異常下行流量監(jiān)測、異常上行流量監(jiān)測、互聯(lián)網(wǎng)賬號注冊異常行為發(fā)現(xiàn)等技術(shù)手段，同時調(diào)用DCOSS平臺EOP接口查詢用戶狀態(tài)，對空號、欠費等異常狀態(tài)號碼進行標記預警，發(fā)現(xiàn)異常短信行為，及時發(fā)現(xiàn)內(nèi)部系統(tǒng)管理漏洞，制止詐騙行為蔓延，降低生產(chǎn)經(jīng)營風險。

3.1 業(yè)務實現(xiàn)邏輯

業(yè)務邏輯如圖1所示。

圖1 業(yè)務實現(xiàn)邏輯

當前山西電信所屬用戶發(fā)送或接收的短信均需送到垃圾短信系統(tǒng)進行消息鑒權(quán)，垃圾短信系統(tǒng)在接收到短消息后進行如下操作。

（1）根據(jù)主被叫號碼、短信內(nèi)容等關(guān)鍵信息匹配判斷算法進行注冊短信識別提取[2]。

（2）將提取出的注冊短信根據(jù)預先設置的“注冊異常流量策略”分別進行判斷，得出上行異常行為分析、下行異常行為分析以及互聯(lián)網(wǎng)注冊異常行為分析結(jié)果，并將涉及號碼作為預警號碼信息呈現(xiàn)。

（3）對于預警號碼，調(diào)用DCOSS平臺EOP接口查詢用戶實時狀態(tài)信息，對空號、欠費狀態(tài)號碼進行標記預警。

（4）對標記號碼經(jīng)過二次人工研判后進行拉黑處置[2]。

3.2 通過垃圾短信監(jiān)測系統(tǒng)強化異常短信監(jiān)測發(fā)現(xiàn)能力

異常短信監(jiān)測發(fā)現(xiàn)體系如圖2所示。

圖2 異常短信監(jiān)測發(fā)現(xiàn)體系

構(gòu)建內(nèi)部的判斷優(yōu)化算法，即制定判斷標準，確定將符合哪些條件的短信定義為注冊短信，具體包括以下內(nèi)容。

3.2.1.1 注冊端口/指令信息庫管理

強化注冊端口/指令信息庫管理功能，通過集團或端口備案記錄，提取常用的社交軟件或互聯(lián)網(wǎng)應用對應注冊端口及注冊指令；也可通過系統(tǒng)對常用的社交軟件或互聯(lián)網(wǎng)應用端口進行篩選，提取注冊端口號及注冊指令。通過注冊端口信息庫中的注冊端口和注冊指令記錄匹配情況，分析判定號碼發(fā)送上行短信行為是否為注冊行為，并進行狀態(tài)標注。注冊端口管理如圖3所示，指令信息庫管理如圖4所示。

圖4 指令信息庫管理

3.2.1.2 未注冊端口發(fā)現(xiàn)

通過已有的注冊指令進行短信內(nèi)容匹配，發(fā)現(xiàn)注冊端口信息庫中未登記的端口，并在未注冊端口發(fā)現(xiàn)管理頁面上展示，方便管理和查看；經(jīng)人工審核后添加到注冊端口信息庫中，即對通過未注冊端口的維護管理實現(xiàn)注冊短信的動態(tài)更新[3]。

對異常行為進行分析判斷，具體包括以下內(nèi)容。

3.2.2.1 下行異常行為分析

在統(tǒng)計周期內(nèi)，統(tǒng)計下行注冊互聯(lián)網(wǎng)賬號行為，SP端口發(fā)送給所有C網(wǎng)號碼的某注冊特征類短信量同比增長如有超過預先設置閾值M%的異常情況，則對周期內(nèi)所有主叫和被叫進行預警（主叫+被叫號碼去重），列入預警名單中。下行短信異常行為分析如圖5所示。

圖5 下行短信異常行為分析

3.2.2.2 上行異常行為分析

在統(tǒng)計周期內(nèi)，統(tǒng)計用戶上行注冊互聯(lián)網(wǎng)賬號行為，SP端口接收所有C網(wǎng)號碼的某注冊特征類短信量同比增長如有達到預先設置閾值M%異常情況，則對周期內(nèi)所有主叫和被叫進行預警（主叫+被叫號碼去重），列入預警名單中。

3.2.2.3 注冊異常行為分析

在統(tǒng)計周期內(nèi)，統(tǒng)計有注冊互聯(lián)網(wǎng)賬號行為（不區(qū)分上下行）的某個C網(wǎng)發(fā)送或者接收所有SP號碼短信的異常情況[3]，若監(jiān)控周期內(nèi)某個C網(wǎng)號碼發(fā)送或接收106端口或互聯(lián)網(wǎng)賬號注冊端口號（除10659401終端注冊信息）的短信量達到流量門限M，則對該C網(wǎng)號碼進行預警，將C網(wǎng)號碼列入預警名單中。

對加入預警名單中的號碼查詢用戶實時狀態(tài)信息，對空號、欠費等狀態(tài)異常號碼進行標記，經(jīng)人工研判后進行處置。

3.2.3.1 異常號碼研判處置

被列入預警名單中的C網(wǎng)號碼，通過調(diào)用DCOSS平臺EOP接口查詢用戶狀態(tài)信息輔助進行二次研判，并對空號、欠費號碼進行標記預警，發(fā)現(xiàn)異常短信行為，再加以人工審核將異常號碼列入黑名單實時攔截。異常號碼告警管理中圖6所示。

圖6 異常號碼告警管理

4 效果評估

建立異常短信監(jiān)測發(fā)現(xiàn)能力模型，可及時發(fā)現(xiàn)嫌疑注冊行為號碼并進行預警，為人工審核研判提供依據(jù)，并實現(xiàn)有效攔截治理。智能化治理手段的應用，可帶來顯著社會及經(jīng)濟效益。在社會效益方面，顯著提升用戶感知，提升企業(yè)品牌口碑，助力企業(yè)樹立良好的公眾形象；在經(jīng)濟效益方面，按照越級投訴處理帶來的人工、管理、時間等成本來計算，可以有效節(jié)約企業(yè)運營成本，同時可有效規(guī)避考核風險。

5 結(jié)束語

智能化異常短信監(jiān)測發(fā)現(xiàn)能力，使得電詐行為可以被快速發(fā)現(xiàn)并及時得到有效治理。后續(xù)如遇此類異常短信行為監(jiān)測治理問題，均可復制此方法進行發(fā)送行為實時監(jiān)控，采用相關(guān)算法精準治理，應用相應策略進行有效攔截；通過不斷的技術(shù)創(chuàng)新及經(jīng)驗積累，從源頭防范電詐行為發(fā)生，標志著詐騙短信治理已逐步實現(xiàn)由被動攔截向主動預防、防堵結(jié)合的轉(zhuǎn)變。■