［劉誠(chéng) 黃凱方 吳文波］

1 引言

不法份子通過(guò)“短信轟炸”、發(fā)送手機(jī)病毒短信，不停的騷擾用戶并獲取用戶隱私，謀取非法收益并形成了一個(gè)龐大的黑色產(chǎn)業(yè)鏈。廣大用戶面對(duì)不法份子的這些惡行，自身能夠采取的自我保護(hù)手段極其有效并且效果不好，往往不堪其擾、苦不堪言。

電信運(yùn)營(yíng)商主動(dòng)擔(dān)負(fù)起更大的社會(huì)責(zé)任，對(duì)“短信轟炸”、手機(jī)病毒短信主動(dòng)出擊，采用新思路和新方法進(jìn)行治理，有效的遏制了“短信轟炸”、手機(jī)病毒短信泛濫的局面，贏得了廣大用戶的好評(píng)，維護(hù)了社會(huì)秩序。

2 防“短信轟炸”技術(shù)介紹

2.1 “短信轟炸”的概念及其危害

目前用戶注冊(cè)、登錄登錄網(wǎng)站或APP 應(yīng)用時(shí)（例如登錄網(wǎng)上銀行、注冊(cè)微信賬號(hào)），網(wǎng)站或者APP 的服務(wù)提供者常常是通過(guò)給用戶手機(jī)下發(fā)“驗(yàn)證碼”短信方式，來(lái)確定用戶合法身份，從而保護(hù)用戶的信息安全。但凡事有利就有弊，一個(gè)用戶如果1 小時(shí)如果只是收到幾條此類(lèi)短信，那么用戶完全可以接受。但是如果一個(gè)用戶1 小時(shí)收到了成千上萬(wàn)條此類(lèi)短信，那用戶將會(huì)是怎樣的一種感受呢？

不法份子就是利用互聯(lián)網(wǎng)服務(wù)提供者這種下發(fā)“驗(yàn)證碼”短信進(jìn)行用戶身份驗(yàn)證的機(jī)制，在用戶不知情的情況下，模擬用戶在短時(shí)間內(nèi)向成千上萬(wàn)的網(wǎng)站、APP 進(jìn)行注冊(cè)、登錄操作，導(dǎo)致用戶在短短一分鐘就收到多達(dá)上百條驗(yàn)證碼短信，形成“短信轟炸”效果，如圖1 所示。

圖1 “短信轟炸”示意圖

目前“短信轟炸”已經(jīng)形成了一個(gè)規(guī)模龐大的灰色產(chǎn)業(yè)，不法份子對(duì)受害者手機(jī)進(jìn)行大量短信惡意下發(fā)，影響用戶正常生活。更有甚者，他們專(zhuān)門(mén)挑選午休或凌晨時(shí)分對(duì)用戶進(jìn)行短信轟炸，受害者往往突然被頻繁的短信通知聲從睡夢(mèng)中驚醒，嚴(yán)重影響用戶的身心健康。

2.2 傳統(tǒng)防“短信轟炸”方法的缺陷

目前受害者對(duì)“短信轟炸”，很難進(jìn)行有效的防御，困難主要是以下兩點(diǎn)。

（1）受害者無(wú)法預(yù)知“短信轟炸”何時(shí)發(fā)生。不法份子進(jìn)行“短信轟炸”的時(shí)間是隨機(jī)的，因?yàn)槎绦沤邮展δ芴匾脩粢矡o(wú)法關(guān)閉短信接收功能，所以用戶只能被短信轟炸。

（2）“短信轟炸”的主叫號(hào)碼千變?nèi)f化，受害者無(wú)法精準(zhǔn)設(shè)置短信黑名單號(hào)碼。受害者被短信轟炸后，部分對(duì)手機(jī)終端操作比較熟悉的用戶，會(huì)主動(dòng)在智能手機(jī)上進(jìn)行短信主叫黑名單設(shè)置，但這種被動(dòng)的防御方式只適用于事后補(bǔ)救，并且因?yàn)橹鹘刑?hào)碼千變?nèi)f化，根本無(wú)法精準(zhǔn)設(shè)置短信黑名單號(hào)碼，所以防止效果極差。

2.3 新型防“短信轟炸”技術(shù)研究

針對(duì)目前“短信轟炸”受害者只能在手機(jī)上進(jìn)行短信黑名單設(shè)置并且效果極差的現(xiàn)狀，某運(yùn)營(yíng)商通過(guò)從轟炸短信普遍具備的短時(shí)間大量這一典型特征，行業(yè)內(nèi)首創(chuàng)“防短信轟炸”技術(shù)，從用戶手機(jī)終端被動(dòng)防治變?yōu)檫\(yùn)營(yíng)商網(wǎng)絡(luò)側(cè)主動(dòng)治理，并取得了很好的治理效果。具體方法如下：

某運(yùn)營(yíng)商垃圾短信治理系統(tǒng)先通過(guò)特征識(shí)別能力，識(shí)別出用戶接收的短信是否是“驗(yàn)證碼”短信，然后判斷某個(gè)用戶在某個(gè)周期內(nèi)（例如5 分鐘）接收的所有的“驗(yàn)證碼”短信數(shù)量是否超量，如果超量（例如超過(guò)10 條）則自動(dòng)對(duì)該用戶啟動(dòng)“防短信轟炸”保護(hù)。在保護(hù)時(shí)段內(nèi)（例如24 小時(shí)）系統(tǒng)會(huì)自動(dòng)將給用戶發(fā)送的所有“驗(yàn)證碼”短信進(jìn)行攔截，避免用戶收到騷擾。

此外，為避免誤攔用戶正常驗(yàn)證碼信息，系統(tǒng)自動(dòng)收集被利用轟炸的端口或簽名，僅攔截被利用轟炸的端口或簽名短信。

3 垃圾短信的概念和類(lèi)型

3.1 手機(jī)病毒短信的概念和危害

手機(jī)病毒短信（以下簡(jiǎn)稱(chēng)病毒短信）是指在短信中含有一個(gè)網(wǎng)址鏈接并且此鏈接指向一個(gè)手機(jī)病毒下載地址的短信。一旦短信接收者點(diǎn)擊短信中的網(wǎng)址，就會(huì)自動(dòng)觸發(fā)病毒下載和安裝，導(dǎo)致智能手機(jī)終端中毒。

病毒短信的危害性極大，主要體現(xiàn)在以下兩點(diǎn)。

（1）導(dǎo)致用戶隱私泄露和財(cái)產(chǎn)損失。用戶智能手機(jī)中毒后，病毒會(huì)將用戶保存在智能手機(jī)中的通訊錄、通話記錄、短信記錄、銀行賬號(hào)、照片、QQ 微信聊天紀(jì)錄、網(wǎng)絡(luò)購(gòu)物記錄等信息上傳到不法份子的服務(wù)器中，不但導(dǎo)致用戶隱私泄露。更有甚者，不法份子利用獲取的用戶隱私信息，有針對(duì)性的設(shè)計(jì)詐騙方案，讓用戶防不勝防，給用戶造成重大經(jīng)濟(jì)損失。

（2）傳播隱蔽且極其迅速。病毒短信通常經(jīng)過(guò)精心的設(shè)計(jì)，常常與時(shí)事、社會(huì)熱點(diǎn)相結(jié)合（例如新冠防控、ETC、教育雙減），偽裝性極強(qiáng)，老人、初高中學(xué)生等大量擁有智能手機(jī)人群因?yàn)槿狈ο嚓P(guān)的防手機(jī)病毒知識(shí)和防范意識(shí)，往往被不法份子精心設(shè)計(jì)的病毒短信所欺騙且長(zhǎng)期蒙在鼓中。此外病毒短信通常具備獲取用戶通訊錄后然后主動(dòng)廣播發(fā)送病毒短信功能，一傳十、十傳百，短時(shí)間內(nèi)導(dǎo)致大量用戶終端中毒，危害極其巨大。

3.2 病毒短信傳統(tǒng)治理方法的缺陷

為了避免用戶手機(jī)遭受病毒短信的侵害，傳統(tǒng)的兩種方法是。

（1）手機(jī)上安裝殺毒軟件。

（2）加大反病毒短信知識(shí)宣傳，提高用戶警惕性，不點(diǎn)擊不明網(wǎng)址、不下載安裝不明手機(jī)應(yīng)用。

以上兩種防治方法均屬于用戶側(cè)被動(dòng)防治并且效果不佳。安裝殺毒軟件不適合缺乏相關(guān)的IT 知識(shí)的人群，另外即使安裝了殺毒軟件也會(huì)導(dǎo)致用戶手機(jī)運(yùn)行速度變慢影響用戶體驗(yàn)，有時(shí)用戶甚至需要購(gòu)買(mǎi)性能更好的手機(jī)導(dǎo)致額外花費(fèi)；加大反病毒短信知識(shí)宣傳力度的局限性也很大，存在成本高、見(jiàn)效慢、時(shí)效性差的缺點(diǎn)。所以以上兩種防治病毒短信的方法難以有效的遏止病毒短信傳播。

3.3 病毒短信新型治理技術(shù)介紹

針對(duì)當(dāng)前病毒短信只能由用戶單方面在手機(jī)上進(jìn)行被動(dòng)防御且防治效果較差的痛點(diǎn)，某運(yùn)營(yíng)商改變防治思路，從用戶側(cè)防治變?yōu)檫\(yùn)營(yíng)商網(wǎng)絡(luò)側(cè)防治，從用戶手機(jī)終端被動(dòng)防治變?yōu)檫\(yùn)營(yíng)商網(wǎng)絡(luò)側(cè)主動(dòng)治理，并取得了很好的治理效果，具體流程如圖2 所示。

當(dāng)運(yùn)營(yíng)商短信反詐系統(tǒng)接收到一條短信后，先判斷該短信是否包括網(wǎng)址信息。如果短信中包括網(wǎng)址信息，就以這個(gè)網(wǎng)址為關(guān)鍵詞，分析新接收到的包括該網(wǎng)址的所有短信的發(fā)送行為特征，這些特征包括主叫號(hào)碼數(shù)量、短信發(fā)送數(shù)量、發(fā)送時(shí)間分布、被叫號(hào)碼發(fā)送離散度等，然后對(duì)這個(gè)網(wǎng)址的危害度進(jìn)行評(píng)估。

如果網(wǎng)址經(jīng)評(píng)估后的危害級(jí)別為高，系統(tǒng)就通過(guò)爬蟲(chóng)技術(shù)訪問(wèn)網(wǎng)址獲取網(wǎng)址所承載的特征信息，其中特征包括靜態(tài)特征（網(wǎng)址長(zhǎng)度特征、網(wǎng)址詞匯特征、網(wǎng)址相似特征、頂級(jí)域名等特征）和動(dòng)態(tài)特征（瀏覽器特征、頁(yè)面跳轉(zhuǎn)特征、IP 地理位置的特征、安裝程序下載特征、文件屬性特征和程序行為特征），使用決策樹(shù)模型計(jì)算出綜合得分，判斷該短信是否為病毒短信并決定是否采取攔截。

4 結(jié)束語(yǔ)

本文介紹了“短信轟炸”、手機(jī)病毒短信的概念、對(duì)用戶的危害和傳統(tǒng)治理手段存在的缺陷，然后詳細(xì)介紹了某運(yùn)營(yíng)商在防“短信轟炸”、反手機(jī)病毒短信工作中采用的新思路和新方法。

圖2 病毒短信發(fā)現(xiàn)流程圖