CN108271129A - 一种识别终端侧的异常短信的方法和系统 - Google Patents

Abstract

本发明提供一种识别终端的异常短信的方法和系统，所述方法包括：当终端位于伪基站的覆盖范围并接收到短信时，识别该短信为疑似异常短信；基于所述疑似异常短信与预设名单之间的匹配情况，判断所述疑似异常短信是否为异常短信；以及基于短信中心查询算法，对未匹配的所述疑似异常短信识别为异常短信。本发明具有覆盖面广、高效准确以及分析过程自动化的特点。

Description

一种识别终端侧的异常短信的方法和系统

技术领域

本发明涉及通信安全技术领域，更具体地，涉及识别终端侧的异常短信的方法和系统。

背景技术

移动通信系统中，基站是具有合法运营资质的电信网络运营商部署的网络基础设施，是用户正常的短信沟通交流的网络基础。而近几年伪基站及改号软件横行，发送者可以任意设置主叫号码，手机用户无法判断收到的短信是否是真实主叫发送。常有冒充运营商服务电话、银行5位主端口，甚至是110等用户日常信任度极高的端口发送伪主叫短信，造成恶劣的社会影响，侵害到国家信息安全、运营商的品牌信誉及用户财产，成为移动网络信息安全亟待解决的难题。

目前针对异常短信识别主要通过如下方法进行分析：

方法一：手机用户人工投诉疑似异常短信，客服手工核查。该方法通过客服收到的客户投诉单，并按照投诉的时间、短信主被叫、短信内容等维度进行数据查询、分析，确认该疑似异常短信是否为正常短信。

该方法存在滞后性，通过客户投诉收到疑似异常短信无法先于用户发现，投诉的用户只是接收到异常短信的很小一部分，当批量人工投诉发生后，异常短信可能已经给用户产生了负面影响。异常伪短信的人工判断需要专业短信知识，且由于涉及的业务链长，识别难度加大，普通客服人员无法处理，需要转到短信专业维护人员处理，处理过程耗时长，消耗人力多。客户投诉疑似异常短信时，只能提供手机终端上呈现的部分信息，无法看到发送短信中心号码等后台关键信息，影响识别的效率和准确性。

方法二：网络侧识别和拦截，该方法主要通过在短信中心网元上对经过的短信进行鉴权、拦截异常短信。

但是由于由于伪端口短信通常是通过网络系统漏洞发送，单独在核心网侧拦截效果不佳。另外伪基站短信完全不经过运营商网络，网络侧无法识别拦截。

方法三：端云联动识别异常信息。端云联动中的端是手机终端上的短信来源追踪App，可实时自动提取疑似异常短信的“主叫号码、被叫号码、接收时间、短信长度、发送短信中心号码”五元组信息；云是根据终端上提取的短信信息，自动连接短信中心、短信网关进行识别查证，并将结果自动回传手机终端上的App，呈现给手机用户，实现发现异常短信的准实时性。该方法的优缺点如下：

但是所有疑似异常短信都通过短信中心、短信网关识别查证，响应速度很慢，严重影响客户感知。

发明内容

本发明提供一种克服上述问题或者至少部分地解决上述问题的识别终端侧的异常短信的方法和系统。

根据本发明的一个方面，提供一种识别终端的异常短信的方法，包括：

S1、当终端位于伪基站的覆盖范围并接收到短信时，识别该短信为疑似异常短信；

S2、基于所述疑似异常短信与预设名单之间的匹配情况，判断所述疑似异常短信是否为异常短信；以及

S3、基于短信中心查询算法，对未匹配的所述疑似异常短信识别为异常短信。

根据本发明的另一个方面，还提供一种识别终端的异常短信的系统，包括：

伪基站识别模块，设置在终端本地，识别终端是否处于伪基站的覆盖范围，并当终端位于伪基站的覆盖范围并接收到短信时，识别并发送该短信为疑似异常短信；

伪短信识别库，与所述伪基站识别模块连接，接收所述疑似异常短信与预设名单和伪短信特征的匹配情况，判断匹配成功的所述疑似异常短信是否为异常短信，并发送未匹配成功的疑似异常短信；以及

短信中心，与所述伪短信识别库连接，接收所述未匹配成功的疑似异常短信，基于短信中心查询算法，对未匹配的所述疑似异常短信识别为异常短信。

本申请提出了一种先判断终端是否处于伪基站范围，再对接收到的短信通过三级联动的快速识别异常短信的方法进行识别，具有覆盖面广、高效准确以及分析过程自动化的特点。

附图说明

图1为现有技术中用户接收下行短信流程图；

图2为根据本发明实施例的识别异常短信的流程图；

图3为根据本发明实施例的伪基站识别过程的流程图；

图4为根据本发明实施例的步骤2至步骤3的流程图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

图1示出了移动运营商常用的短信网元结构，实现短信业务的主要网元是短信发送平台(EC、SP等)、短信中心、短信网关，核心网和无线网。其中核心网和无线网是所有手机业务共用，在本发明中只作为上下行短信的透明通道，主要考虑短信网元的组网结构和下行短信的流转处理轨迹。

由图1可知，普通用户接收到的正常合法短信的种类和处理流程主要是下面六大类：

1、终端A将短信发送至点对点短信中心，所述点对点短信中心将短信发送至GSM网络，再通过所述GSM网络将短信发送至终端B。

2、行业ES/SI或外省行业网关将短信发送至行业短信网关，再有行业短信网关将该短信发送至行业短信中心，行业短信中心继续将该短信发送至GSM网络，并最终通过GSM网络向终端A和/或终端B发送该短信。

3、其他运营商将短信发送至互联联通网关，再有互联联通网关将短信发送至互通短信中心，互通短信中心再将短信发送至GSM网络，并最终通过GSM网络向终端A和/或终端B发送该短信。

4、10086平台将短信发送至梦网短信网关，梦网短信网关将短信发送至AO短信中心，再由AO短信中心将该短信发送至GSM网络，并最终通过GSM网络向终端A和/或终端B发送该短信。

5、国外运营商将短信发送至国际短信网关，国际短信网关再将短信发送至梦网短信网关，梦网短信网关将短信发送至梦网短信中心，再由梦网短信中心将该短信发送至GSM网络，并最终通过GSM网络向终端A和/或终端B发送该短信。以及

6、梦网SP将短信发送至梦网短信网关，梦网短信网关将短信发送至AO短信中心或梦网短信中心，再由AO短信中心或梦网短信在学校将该短信发送至GSM网络，并最终通过GSM网络向终端A和/或终端B发送该短信。

基于上述短信网元结构，本发明提出一种识别终端的异常短信的方法，其主要工作原理及流程如图2所示：

S1、当终端位于伪基站的覆盖范围并接收到短信时，识别短信为疑似异常短信；

S2、基于所述疑似异常短信与预设名单之间的匹配情况，判断所述疑似异常短信是否为异常短信；以及

S3、基于短信中心查询算法，对未匹配的所述疑似异常短信识别为异常短信。

短信中心，全称为Short Message Service Center(SMSC)。SMSC是独立于无线网络的一个业务处理系统。用户发送短信时，短信实际上是先发送到短信中心，然后通过短信中心再发送到指定号码的用户。通常依号码归属地不同短信中心的号码亦不同。正确设置方能正常发送短信。如果短信中心的设置与号码归属地不同(如A市的号码，短信中心设成B市的短信中心号码)，则只能接收短信，不能发送。

具体地说，所述步骤S1包括：

实时监控终端的网络信号切换状态以及网络连接状态，根据伪基站发送短信时，终端的网络信号切换状态，识别短信是否为疑似异常短信，并将终端识别的疑似异常短信发送至云端核实。

步骤S1能够自动识别出98％的短信的真实合法性。

本领域的技术人员知晓，当伪基站对终端产生干扰时，理论上终端会出现下列状况：

终端不能正常地拨打和接听电话(此时拨打电话会出现无法发起呼叫的状况)；或者

信号RSSI良好；但当时无业务状态。

基于上述状况，本发明还提供了一种伪基站识别状态机，并通过LAC位置等参数的变化来触发伪基站识别状态机，以此来判断短信的真实合法性。

图3示出了所述伪基站识别状态机的工作流程，如图3所述，本工作流程包括：

当检测到LAC位置变化时，启动定时器MSL；

LAC位置:location area code位置区码，是为寻呼而设置的一个区域，覆盖一片地理区域。

定时器MSL：MSL是指报文段做大生存时间(Maximum Segment Lifetime)，设置这个定时器有两个目的：

其一是为了测量连接处于TIME_WAIT状态的时间.这样可以让TCP再次发送最后的ACK以防止这个ACK丢失(如果丢失，另一端会重传FIN)。

其二，为允许老的重复分节在网络中消逝。具体可以解释为，如果一个TCP连接在断开之前有迷途分节尚未消逝，在断开该TCP连接之后立刻重启一个同样的连接(双方的IP地址和端口port相同)，这时之前的迷途的老分节可能对新的新的TCP连接接收，从而造成未定义的错误。为了避免这种情况，TCP规定在TIME_WAIT状态，不能启动一个连接的化身。既然TIME_WAIT状态维持2MSL，这就保证了一个连接上的分组及其应该在2MSL内都会消失。

首先检测上一个RSSI值，RSSI(Received Signal Strength Indicator)表示接收信号的强度指示，若上一个RSSI值小于-90dBm时，则认定为网络信号为正常切换状态，反之，则认定为非正常切换状态，继续检测网络连接状态。

在认定网络信号为正常切换状态时，继续检测LAC位置的变化，若在MSL超时的情况下LAC位置仍未发生变化，则认为终端未处于伪基站范围，反之，则需要检测网络连接状态。

当检测网络连接状态时发现网络连接正常，则认定网络信号处于正常切换状态；反之，则判断终端可能处于伪基站覆盖地区。

在判断终端可能处于伪基站覆盖地区时，有两种方法可以进一步判断出终端是否处于伪基站覆盖地区：

方法一：若此时无法正常拨打和接听电话以及发送短信，则判断终端处于伪基站覆盖地区；

方法二：若用户未进行网络相关业务，则基于网络连接状态进行判断，若LAC位置发生变化时，出现网络连接状态断开的状况，并且能够快速重新连接，则认为终端未处于伪基站覆盖地区；

若网络不能快速重新连接，则对当前地区做伪基站预识别，观察是否在MSL未超时期间内又发生一次LAC位置变化，如发生则认为是伪基站；一直到超时时间，未发生LAC位置变化，则认为网络信号处于正常切换状态。

在一个实施例中，在MSL未超时，并且判定该地区可能为伪基站时，若此时收到短信，则认为该短信为疑似异常短信。

在一个实施例中，将所述疑似异常短信进行进一步的识别：

检测该疑似异常短信的短信中心号码，若短信中心号码不对，则必然是异常短信，把该异常短信提醒给用户，同时将“主叫号码、被叫号码、接收时间、发送短信中心号码以及短信内容MD5”组成的五元组发送至云端的伪短信识别库。

所述短信内容MD5是将内容明文中的关键字经加密获得的32字节的唯一标识，MD5即Message-Digest Algorithm 5(信息-摘要算法5)，用于确保信息传输完整一致。MD5的作用是让大容量信息在用数字签名软件签署私人密钥前被"压缩"成一种保密的格式。

在一个优选的实施例中，终端本地还是设置异常短信库，将该疑似异常短信的内容MD5经过终端本地的异常短信库匹配，异常短信库内保存有异常短信的内容MD5，若匹配成功，则直接提醒用户该疑似异常短信为异常短信，同时保存该疑似异常短信的五元组。

所述异常短信库保留的内容MD5存在保存时间的有效期，这样能够节省终端的内存。在一个实施例中，设置有效期为一周。

在一个优选的实施例中，当一条异常短信在有效期内出现的次数超过一定次数，则延长该异常短信的内容MD5的保存时间。

若匹配失败，则将该疑似异常短信发送至云端的伪短信识别库和短信中心处理。

图4示出了云端的伪短信识别库和短信中心对疑似异常短信的识别流程图，所述识别流程包括：

首先将疑似异常短信与预设名单和伪短信特征库进行匹配，所述黑名单中包含不符合规定的主叫号码，所述白名单中包含正常群发短信的主叫号码，若疑似异常短信和黑名单匹配成功，则识别该疑似异常短信为异常短信，同理，若与白名单匹配成功，则识别该疑似异常短信为正常短信，所述伪短信特征库包括过去被识别为异常短信的主叫号码和内容MD5，若匹配成功，则识别该疑似异常短信为异常短信，并把该异常短信提醒给用户。

若不存在匹配结果，则进一步通过短信中心查询算法进行识别，该查询算法包括：

短信中心追踪该疑似异常短信的来源，扫描全省所有短信网元收集相关日志，比对现网局数据，自动追溯重组短信发送轨迹、短信来源智能自动化分析，若短信中心查证该疑似异常短信的发送流程正常，则提醒用户该疑似异常短信实为正常短信，反之，则提醒用户该疑似异常短信确为异常短信，并将该疑似异常短信的特征(主发号码以及内容MD5)入库。

在一个实施例中，所述黑名单和白名单中还分别包括不符合规定的短信中的URL以及符合规定的短信中的URL，若疑似异常短信中存在URL，则将该URL与黑名单和白名单中的URL进行匹配，若与黑名单中的URL匹配成功，则说明该疑似异常短信为异常短信，反之，若雨白名单中的URL匹配成功，则说明该疑似异常短信为正常短信。

所述短信中心根据短信的五元组，发送到短信异常来源追查平台，扫描全省所有短信网元收集相关日志，比对现网局数据，自动追溯重组短信发送轨迹、短信来源智能自动化分析、自动回传查证结果，能准实时、自动高效、低成本判断在前两步没有识别出来源是否真实合法的短信。

在一个实施例中，为加快异常短信的识别速度，云端优先采用伪短信特征库直接匹配，减少去短信中心查询的短信数量，大大加快处理速度和判断准确度。

所述云端识别具有以下优点：

1、黑白名单处理

对于不符合规定的主叫号码，预设名单直接判为伪短信。

2、伪短信特征库匹配

伪短信特征库提取群发短信的主叫号码和内容MD5，伪短信列为黑名单，正常群发短信列为白名单，可大幅加速群发类短信的匹配速度。针对全量短信内容的MD5进行比对，命中白名单则直接判为正常短信，命中黑名单判为伪短信。同时提取短信内容中的URL进行恶意链接识别，发现恶意链接则提醒用户小心访问。

3、伪短信特征库自增强方法

对于伪短信特征库未匹配上的短信，送至短信中心核查，核查判定为异常的短信，将短信特征再添加到特征库预设名单中，正常短信加入白名单，增强伪短信特征库的匹配能力。

本发明还提供一种识别终端的异常短信的系统，包括：

伪基站识别模块，设置在终端本地，识别终端是否处于伪基站的覆盖范围，并当终端位于伪基站的覆盖范围并接收到短信时，识别并发送该短信为疑似异常短信；

伪短信识别库，与所述伪基站识别模块连接，接收所述疑似异常短信与预设名单和伪短信特征的匹配情况，判断匹配成功的所述疑似异常短信是否为异常短信，并发送未匹配成功的疑似异常短信；以及

短信中心，与所述伪短信识别库连接，接收所述未匹配成功的疑似异常短信，基于短信中心查询算法，对未匹配的所述疑似异常短信识别为异常短信。

最后，本申请的方法仅为较佳的实施方案，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种识别终端的异常短信的方法，其特征在于，包括：

S1、当终端位于伪基站的覆盖范围并接收到短信时，识别该短信为疑似异常短信；

S2、基于所述疑似异常短信与预设名单之间的匹配情况，判断所述疑似异常短信是否为异常短信；以及

S3、基于短信中心查询算法，对未匹配的所述疑似异常短信识别为异常短信。

2.如权利要求1所述的识别终端的异常短信的方法，其特征在于，所述步骤S1前还包括：

基于伪基站识别算法，识别终端位于伪基站覆盖范围。

3.如权利要求2所述的识别终端的异常短信的方法，其特征在于，所述伪基站识别算法包括：

检测终端的LAC位置的变化情况以及MSL的超时情况，基于上一时刻的RSSI值，判断网络信号是否处于正常的切换状态；

当网络信号判断为非正常切换状态时，或者判断为正常切换状态且LAC位置在MSL超时前发生变化时，继续检测网络连接状态是否正常；以及

当检测网络连接状态不正常时，识别终端可能处于伪基站覆盖范围。

4.如权利要求3所述的识别终端的异常短信的方法，其特征在于，所述伪基站识别算法还包括：

当识别终端可能处于伪基站覆盖范围时，基于终端不能正常进行网络相关业务，识别终端位于伪基站覆盖范围。

5.如权利要求3所述的识别终端的异常短信的方法，其特征在于，所述伪基站识别算法还包括：

当识别终端可能处于伪基站覆盖范围时，若LAC位置发生变化时网络不能快速重新连接，且在MSL未超时期间内又发生依次LAC位置变化，则识别终端处于伪基站覆盖范围。

6.如权利要求1所述的识别终端的异常短信的方法，其特征在于，所述步骤S1还包括：基于疑似异常短信的短信MD5，判断疑似异常短信是否为正常短信。

7.如权利要求1所述的识别终端的异常短信的方法，其特征在于，所述步骤S2中的预设名单包括：

黑名单，包含不符合规定的主叫号码的集合；以及

白名单，包含正常群发短信的主叫号码的集合。

8.如权利要求8所述的识别终端的异常短信的方法，其特征在于，所述步骤S2包括：

当所述预设名单为黑名单且所述疑似异常短信与所述黑名单之间匹配成功时，识别所述疑似异常短信为异常短信；

当所述预设名单为黑名单且所述疑似异常短信与所述黑名单之间匹配成功时，识别所述疑似异常短信为正常短信；以及

当所述疑似异常短信不在所述预设名单内时，将所述疑似异常短信与伪短信特征进行匹配，若匹配成功，则识别所述疑似异常短信为异常短信。

9.如权利要求7所述的识别终端的异常短信的方法，其特征在于，所述步骤S2还包括：

将识别为异常短信的主叫号码添加至所述黑名单中；或

将识别为正常短信的主叫号码添加至所述白名单中。

10.一种识别终端的异常短信的系统，其特征在于，包括：

伪基站识别模块，设置在终端本地，识别终端是否处于伪基站的覆盖范围，并当终端位于伪基站的覆盖范围并接收到短信时，识别并发送该短信为疑似异常短信；

伪短信识别库，与所述伪基站识别模块连接，接收所述疑似异常短信与预设名单和伪短信特征的匹配情况，判断匹配成功的所述疑似异常短信是否为异常短信，并发送未匹配成功的疑似异常短信；以及

短信中心，与所述伪短信识别库连接，接收所述未匹配成功的疑似异常短信，基于短信中心查询算法，对未匹配的所述疑似异常短信识别为异常短信。