云通讯如何针对业务行为分析进行行业短信主动防御
来源:原创 时间:2018-04-16 浏览:0 次行业端口业务因能够弥补互联网数据离线导致的通知不可达,受到移动互联网业务青睐,业务量连年递增。当前对违规的行业端口管理以接到投诉后关停为主,治理环节滞后、粗暴,安全管理与业务发展无法有效平衡。本文基于运营商行业端口短信管理现状,提出了一套行业端口垃圾短信主动防御体系。从短信炸弹监控、快速模板匹配、业务量监测预警及百万投诉比显性呈现等角度实现了化被动治理为主动研判,前置了风险预警及处置环节,有效提升行业端口业务质量,降低端口业务投诉率。
1 运营商行业短信管理现状分析
在工业和信息化部指导下,为切实履行企业社会责任,运营商逐渐规范行业短信运营管理。技术手段方面,建设了垃圾短信拦截系统、先审后发平台等,通过关键字匹配 + 流量监控 + 人工审核的模式实现了不良信息的发现及处置。管理方面,多从投诉及拦截数据入手,发现违法违规信息或投诉量异常增长则立即对端口进行关停。上述技管结合的手段在前期治理过程取得较好效果,抑制了大部分行业端口不良信息。但随着行业端口业务运营的深入,传统治理手段暴露出以下问题 :一是难以应对新型多端口并发型短信炸弹攻击,造成大量用户被骚扰,产生投诉。二是基于关键字 + 人工审核的处置流程可能造成未超过拦截门限的部分短信已经发送到客户手机,即不良信息、转租转售、超范围发送等违规行为的发现和违规端口处理存在滞后性。三是完全基于短信内容的监控无法及时应对变体短信发送。四是投诉关停未与业务属性相结合,造成业务量大的短信端口因部分投诉被关停,对业务发展造成极大的负面影响。
2.1 系统架构设计
2.1.1 网络架构设计
行业端口短信发送流程由集团客户管理员将发送内容提交至本省行业网关。行业网关根据行业端口在网状态、黑白名单、端口服务范围、速率等参数对信息发送行为进行鉴权,拒绝不合规的发送明细。随后,根据目的号码归属地分拣至接收号码短信中心并发送至客户手机。可以看出,本省行业网关是行业短信的鉴权、转发、汇接的核心节点。故我们将行业短信主动防御系统设计串接至客户侧短信发送平台与省内行业网关之间。此网络架构可实现对全量行业短信的监控,监测对象包括了省内、省外的端口及用户,确保了不良信息或异常业务的零死角实时阻断。
2.1.2 业务流程设计
基于上述网络架构,我们设计了系统核心交互流程,所有提交至行业网关的短信消息首先提交至 PROXY(通信代理子系统),再经 KERNEL(核心处理子系统)进行监控。核心处理子系统进行数据统计及汇总后,根据预先配置的监控规则组进行风险行为的预判。预判违规规则包括是否符合短信炸弹发送模型、发送内容与该端口的短信模板是否完整匹配或模糊匹配。数据统计规则包括本时段产生的业务量较根据历史情况预测的业务量是否存在异常增长、是否产生较高的投诉比。此两数据不作为直接关停端口或为用户屏蔽短信的依据,仅用以异常事件预警提示。
2.2 新型短信炸弹防护功能
根据用户投诉数据分析,目前出现新型垃圾短信轰炸形式。有别于传统利用存在管理漏洞的某一个端口频繁向用户发送短信,新型轰炸形式是在短时间内利用多个端口向同一用户发送短信。由于端口本身未发送任何违规信息,也未出现短时间内频繁发送短信的行为,传统的单一端口流量限制的治理手段已无法应对新型短信炸弹攻击。为解决上述问题,本平台短信炸弹防护功能设计以用户感知为导向,通过对用户单位时间内收到的行业短信数量(包括省内、省外行业短信)进行累加,统计用户接收短信数量。当用户接收短信数量超出阈值时,系统判定为该用户遭受短信炸弹骚扰。解决方案是暂时将其手机号纳入行业网关系统黑名单中,暂停行业端口向其发送短信。该功能支持灵活的参数配置,可根据实际需要对时间窗口和短信数量进行动态调整,如 30s 内 10 条或1min 内 25 条等。为便于后续处置,系统对监控判定的异常轰炸情况进行短信预警,提醒管理人员对预警明细尽快确认,如涉及违规端口即刻开展处置,并可根据用
户需求和实际情况选择对被叫用户是否取消屏蔽或继续屏蔽。
2.3 模板化过滤,全自动高效审核
在行业端口业务运营过程中发现大量行业端口发送非签约内容,甚至违法违规信息。为解决此问题,针对高危风险或业务质量较差的端口建立了模板过滤机制。纳入过滤机制的行业端口只
允许发送指定内容或部分变量短信,系统对模板范围以外的短信内容予以拒绝。根据业务需要,每个行业端口可能设置很多个子端口,每个子端口对应不同的业务,每个业务都需要使用模板判定。为提高多发并行的模板匹配效率,本系统提出了一种利用线性滑动抽取算法,提取每个模板的独有特征信 息,快速定位到待鉴权消息对应的模板,减少匹配次数,提高模板审核效率。算法的主要原理如下。使用两个指针 left 和 right 在源模板串中提取最长汉字串,二者组成一个线性滑动窗口,窗口大小由模板串中连续汉字串的长度决定。首先,定义一个全局变量
max以保存该模板中最长汉字串长度。该值初始值为零,并不断更新 ;再定义一个全局变量 pos 保存汉字串首位置。初值也为零,随 max 一起更新。初始状态时,两指针均指向模板的串首字符。随着指针的动向决策,分为以下几种情况。
(1)如果 right 指针指向的字符为汉字字符, left指针保持原位置,right 指针向右滑动。
(2)如果 right 指针指向的字符不是汉字字符,计算 right?left 并与 max 值比较,若 left?right>max,则将 right?left 赋给 max,并将 left 的赋值给 pos,最后将 right 赋值给 left。
(3)当 right 滑动到模板串的最后一个字符时,整个算法过程结束。
max 保存最长汉字串的长度,pos 保存最长汉字串抽取过程中,指针均不会回退,当 right 指针指向模板串的尾字符时,抽取的过程结束。算法的时间复杂度为 O(NM), 其中,NM 为模板串长度,只需对模板串遍历一次便可抽取出该模板的特征信息,与传统提取算法相比提升了一个量级。经测试,长度为 135 byte 的模板提取耗时由 0.054 s 缩短至 0.000 57 s。
2.4 业务异常流量分析预警端口被盗风险垃圾短信拦截系统的工作原理是对短信发送内容中的关键字和短信发送量进行监控和判断,对符合判定规则的短信判定为垃圾短信。但在日常治理过程中,违规分子为了逃避系统拦截,会对短信文本进行加工变体再配合特殊字符,例如“微信”变体为“薇 ? 信)。”为解决变体不良信息难以监控及拦截的问题,我们提出了基于业务异常
流量进行不良信息行为分析研判的思路。行业用户短信发送行为遵循一定的周期性规律,例如仅在工作日的上午10:00-12:00 发送或每周三下午 4:00 等。如果端口被盗用以发送不良信息,一般会出现在非常规时段且会产生业务量的激增。根据上述模型,我们设计了行业短信日发送量画像功能,基于历史发送情况对行业端口每天的业务量进行预测,并根据这个预测值监控行业端口流量的异常变化。当流量超过设定值的冗余比例时,触发预警功能,及时提醒业务管理员对事件进行确认。本文所述系统上线后,行业端口业务质量显著提升。一是快速响应短信炸弹攻击事件,平台上线后累计拦截短信炸弹 300 余次,变体短信拦截时长由 1.5 个工作日缩短至 2 min 以内自动拦截。二是及时研判和拒绝非模板化短信 700 余万条,提高行业短信内容的规范性和安全性。三是通过异常流量分析成功预警端口在凌晨被盗发送非法信息事件 2 起。四是促进优质业务驻网,数据显示,行业端口月均业务量提高 14.76%(蓝线趋势),投诉比降低 19.66%(红线趋势)。