周春曉, 趙艷瓊, 李遜
(中國移動通信集團安徽有限公司,合肥 230000)
隨著中國移動集團客戶MAS短信業(yè)務的快速發(fā)展,MAS短信業(yè)務帶來的問題不斷呈現,MAS設備安全性低、短信內容缺乏監(jiān)管、濫發(fā)短信造成用戶感知差,安全性管控難度高。
現有比較有代表性的短信安全管控主要有基于行為和內容協(xié)作分析的垃圾短信過濾系統(tǒng)研究,點對點垃圾短信攔截手段的研究與實踐,中國移動通信集團公司也發(fā)布了垃圾短信監(jiān)控平臺總體技術要求。大部分的短信內容管控關注與點對點短信,強調內容管控,而對互聯(lián)網業(yè)務特征明顯的MAS業(yè)務管控缺乏更為全面的機制和更有效的整體安全框架。
基于以上因素,為加強集團客戶業(yè)務信息安全管理,配合集團公司端口類短信群發(fā)業(yè)務清理整頓專項行動,安徽公司進行本項目研究,提升MAS安全管控能力。
目前行業(yè)端口類短信發(fā)送設備,大都部署于Internet環(huán)境,服務端口暴露在公網環(huán)境,公網訪問多,安全監(jiān)控管理存在難度。
其次,傳統(tǒng)的點對點垃圾短信治理著眼于用戶發(fā)送短信內容的監(jiān)控,關注是否有群發(fā)廣告、違法類短信的行為,目前技術成熟度高,管控效果明顯。而MAS機發(fā)送的短信本身均為廣告類短信,因此在短信發(fā)送全流程的監(jiān)管上存在著難度,需要研究基于行業(yè)短信特征的違規(guī)行為發(fā)現。
解決MAS的安全問題主要集中在MAS機設備安全監(jiān)管、MAS短信發(fā)送過程管控、MAS業(yè)務暫??煽?個層面。
為全面保障MAS業(yè)務安全性,從MAS的全局出發(fā),設計提出一個系統(tǒng)整體的安全性模型,如圖1所示。
MAS安全管控平臺主要模塊的定義及功能如下:
管控平臺進行漏洞掃描并評分結果,將結果與MAS機IP地址、集團客戶名稱、MAS機廠家、MAS機等基礎信息關聯(lián)分析,生成多維度的安全掃描分析報告,分地市、分MAS設備廠家生成安全漏洞、脆弱賬號列表。管控平臺通過Web服務接口采集MAS機登錄日志、操作日志,實時發(fā)現異常IP登錄并生成告警,防止MAS賬號被轉租、轉用的違規(guī)使用行為,同時全量記錄MAS機操作日志,完成日志留存記錄。
2.2.1 行業(yè)短信簽名檢查
圖1 MAS安全管控平臺軟件結構示意圖
行業(yè)短信中有相當一部分是超過140byte的超長短信,因此在網絡中需要拆成若干條140byte以內的正常短信發(fā)送。一條超長短信拆分以后,只有最后一條才攜帶服務提供商的簽名信息。因此需要將拆分后的超長短信進行重組,才能夠正確識別短信簽名。通過識別CMPP2.0報文中的udhiHEAD字段,可以準確的完成長短信的拼接重組。為手機兼容性考慮,部分超長內容在發(fā)送前拆分成了多條標準的短信,在內容前增加序號形式的信息標識其在整體內容中的位置,如n/m。協(xié)議分析層將該類短信識別為邏輯長短信,以便進行簽名檢查。提取短信內容字符串最后一對“【】”或“[]”中的內容,作為該MAS的簽名。對提取出的行業(yè)短信簽名進行合規(guī)性檢查,輸出未簽名的行業(yè)短信業(yè)務,以及簽名與行業(yè)短信服務商屬性不符合的行業(yè)短信業(yè)務。開發(fā)用戶可交互的界面,用戶輸入不同的查詢條件,系統(tǒng)生成后臺的查詢請求,同時將查詢結果通過報表展現。
表1 MAS關鍵KPI指標
圖2 MAS快速暫停流程
2.2.2 行業(yè)短信超地域發(fā)送識別
管控平臺讀取所有MAS機的短信發(fā)送記錄和號碼地理信息表,建立接收號碼與歸屬地位置的二元關系表,檢測系統(tǒng)在二元關系表中計算MAS機發(fā)送短信的地域分布的離散度;根據管理要求,設定離散度的閾值,當離散度高于這個閾值時,即可判定MAS滿足超地域發(fā)送短信的條件。
根據MAS短信關鍵性能指標,梳理建立如表1的關鍵KPI指標并監(jiān)控。
本模型優(yōu)化了MAS暫停流程,在行業(yè)網關A模塊完成MAS的上下行短信暫停,如圖2所示。
在模型基礎上開發(fā)了智能MAS安全管控系統(tǒng),開發(fā)平臺采用C#語言和Java技術,數據庫采用Oracle;在設計中通過對行業(yè)短信的自動采集、自動分析、自動判斷,如圖3所示。
圖3 MAS安全管控系統(tǒng)
圖4 MAS安全管控系統(tǒng)發(fā)現的簽名違規(guī)端口
MAS安全管控平臺發(fā)現違規(guī)簽名端口12家,簽名為空端口42家;發(fā)現超地域發(fā)送端口23家,這些端口經過人工核實,均證實為違規(guī)端口,如圖4所示。
在前人工作基礎上提出的MAS安全管控系統(tǒng),與已有模型相比其優(yōu)勢有以下幾點:
(1)實現了MAS全過程的信息安全管控,解決行業(yè)端口信息安全管控難題,提高了MAS業(yè)務安全管控效率。
(2)建立基于業(yè)務行為的監(jiān)測模型,分析MAS短信群發(fā)的業(yè)務特征,突破傳統(tǒng)的“流量+關鍵字”的垃圾短信識別,實現對MAS發(fā)送行為的高效管控。
(3)MAS短信簽名檢查技術,實現集團客戶簽名違規(guī)的行為監(jiān)控。
[1] 顏世瑩. 基于行為和內容協(xié)作分析的垃圾短信過濾系統(tǒng)[J].電信工程技術與標準化,2011,24(9).
[2] 蒙福寧. 點對點垃圾短信攔截手段的研究與實踐[J]. 電信工程技術與標準化, 2010,23(3).
[3] 中國移動通信有限公司. 垃圾短信監(jiān)控平臺總體技術要求[Z].2007.