点对点垃圾短信拦截手段的研究与实践
2010-06-26蒙福宁符立涛宋雅琴文锋
蒙福宁 符立涛 宋雅琴 文锋
(中国移动通信集团广西有限公司 南宁 530022)
1 点对点短信流程介绍
中国移动用户之间互相发送的短信称为点对点短信。点对点短信采用归属地(省)短信中心发送原则,一般分为省内点对点短信和省际点对点短信两类。
1.1 省内点对点短信流程
(1)用户A通过无线网络将短信发送至A所在MSC;
(2)MSC通过本省七号信令网元STP将短信转发至用户A归属短信中心;
(3)短信中心对用户A鉴权,并向用户B归属HLR查询用户B当前MSC地址,通过STP下发短信至接收用户B所在MSC;
(4)MSC通过无线网络下发短信到用户B。
1.2 省际点对点短信流程
(1)用户A通过无线网络将短信发送至A所在MSC;
(2)MSC通过用户A归属省STP将短信转发至用户A归属短信中心;
(3)短信中心对用户A鉴权,并向用户B归属HLR查询用户B当前MSC地址,通过A归属省STP将短信转发B归属省STP;
(4)B用户归属省STP将短信转发至用户B所在MSC;(5) MSC通过无线网络下发短信到用户B。
2 点对点垃圾短信拦截手段
根据拦截点在短信发送行为中所处的位置,可以将拦截手段分为非实时(事后)拦截和实时(事中)拦截两种。非实时拦截一般基于分析统计话单来判定用户的发送行为是否属于发送垃圾短信,如果是则对该号码后续的短信进行拦截。实时拦截一般在短信提交/下发过程中对短信进行鉴别,如果判定为垃圾短信则直接拦截,不下发该短信。在垃圾短信治理初期,主要采用非实时手段进行拦截,但由于此类手段存在较大的时延,不法分子利用高速群发设备在被拦截前就已经发送大量垃圾短信,造成大量用户投诉并给运营商带来巨额欠费风险。因此,随着垃圾短信治理工作的深入,开始研究和部署实时拦截手段。下面介绍的5种拦截手段中前两种属于非实时拦截,后3种属于实时拦截,各种拦截在我公司点对点垃圾短信治理历程中发挥了不同程度的作用。
2.1 短信中心自带拦截手段
短信中心通过自带的安全模块对提交到短信中心的短信进行拦截,安全模块一般包括黑/白名单库和监控子模块两部分。
黑/白名单库实质是短信中心数据库中的两张表,主要记录黑/白名单号码、生成时间、解除时间等信息。短信中心启动时将两张表中的数据加载到内存中,每当表中的数据发生更新则实时同步到内存中。
监控子模块负责更新黑名单库的数据,监控子模块以FTP方式从短信中心小型机/话单服务器采集MO原始话单进行分析,生成黑名单号码添加到黑名单库中。同时,负责黑名单解除和增加白名单的工作。
2.1.1 黑名单添加流程
(1)用户提交短信到短信中心,短信中心生成MO统计话单;
(2)监控子模块以FTP方式采集MO统计话单;
(3)监控子模块分析MO统计话单,单位时间内发送流量超过系统设定阀值的用户号码直接进入黑名单号码;
(4)监控子模块将黑名单号码加添到黑名单库;
(5)黑名单库将号码信息同步到短信中心内存中,拦截该号码后续提交的短信。
2.1.2 短信拦截流程
图1 安全模块短信拦截流程
短信拦截流程如图1所示。
(1)用户提交短信到短信中心;
(2)短信中心鉴权用户是否已进入黑名单;
(3)用户已进入黑名单,不下发该短信。
2.1.3 应用场景
拦截本省用户发送点对点垃圾短信。
2.1.4 技术优势和存在问题
此治理手段业务流程简单,不涉及系统间的交互,在生成嫌疑号码后能够迅速实施拦截,但此拦截手段属于非实时(事后)拦截,且只能实现粗放型的流量监控,拦截的及时性和准确性较差,同时系统存在明显的缺陷。
(1)由于省际点对点垃圾短信从归属省短信中心下发,因为无法实现省际点对点垃圾短信的监控、拦截;
(2)只能按发送流量进行监控,不支持按关键字监控,误拦截率较高;
(3)只能设定单个门限值(*条/小时),不支持多级门限值组合;
(4)不支持向客服、BOSS等外部系统提供接口,不能实现人工仲裁、对发送垃圾短信的号码进行关闭短信功能;
(5)没有统计模块,只能提供简单的统计数据,难以进行精确的效果分析和策略调整;
(6)每套短信中心需要配置独立的安全模块,无法实现集中、统一管理,增加管理和维护成本。
2.2 多系统联动拦截手段
为了解决短信中心自带拦截手段功能单一,拦截效果不理想的问题,提出独立于短信中心的垃圾短信监控平台,利用流量监控、关键字识别、用户发送行为分析等多种策略讯速、准确地识别垃圾短信,并通过与客服、BOSS、HLR等多个外部系统联动,实现对垃圾短信的拦截。
为了实现上述功能,垃圾短信监控平台系统需要接入短信系统、BOSS系统以及客服系统。为了统一网络接口,可将垃圾短信监控平台与短信系统互连,通过短信网络转接与BOSS系统以及客服系统互连。
2.2.1 监控平台业务流程(如图2所示)
图2 垃圾短信监控平台业务流程图
流程描述:
(1)终端用户向SMSC提交短信;à
(2)通过分析SMSC话单,监控平台获取短信发送情况的原始数据;à
(3)监控平台按照预先定义的策略生成嫌疑黑名单;à
(4)BOSS系统从监控平台获取嫌疑黑名单信息;à
(5)对嫌疑黑名单信息进行人工仲裁,并根据判定结果添加到黑名单;à
(6)BOSS系统根据黑名单,向HLR发起停止用户短信发送功能的指令;à
(7)终端用户再次提交短信,由于没有短信功能,被网络拒绝。
在第3步中预先定义的策略除了流量监控外,还包括:
(1)关键字分析:实行关键字分级处理,关键字级别分为5级,由高到低对应为0~4级,级别越高敏感度越高。即高级别的关键字监控的重复次数阀值低,低级别的关键字则监控的重复次数阀值高。
(2)用户行为分析:根据用户的发送行为判定是否属于恶意群发,判定模型主要有流量监控模型;双流量监控模型;被叫号码具有规律性的;内容长度相同的;按比率监控模型;万号段模型;外省号段模型;连续号段模型。
(3)灰名单功能:在原有黑、白名单的基础上增加灰名单功能,将被用户投诉但未能查实的号码列入灰名单。对灰名单用户和普通用户的判定流程、方式一致,但设置的阀值有所不同,对灰名单内号码执行相对更严格的判定条件。
2.2.3 应用场景
拦截本省用户点对点短信;
梦网端口、集团客户端口、自有业务端口短信监控;
本省异网用户发送至本省用户短信的监控。
2.2.4 技术优势和存在问题
垃圾短信监控平台的技术优势主要体现在以下几方面:首先,垃圾短信监控平台从多个角度对用户发送行为进行分析,使用多级门限值组合监控,定位发送垃圾短信行为的准确性有了很大的提高。其次,监控平台作为一套外部系统独立运行,有较高的稳定性和可靠性,且可以提供接口与外部系统互连,提供统一的查询界面和投诉短信内容回溯等功能,大大提高垃圾短信投诉处理效率。再者,监控平台可同时监控所有PTP短信中心和AO/MT短信中心的发送行为,实现了统一管理、集中维护。
虽然垃圾短信监控平台相比短信中心自带的安全模块功能更为完善,但从本质上看,这种拦截手段也属于非实时(事后)拦截,从图2中的业务流程可以看出由于监控平台“监而不控”,需要多个外部系统联动实现拦截。从监控到实施拦截存在较大的延时,不能达到快速拦截的要求。
2.3 基于SMPP协议转发的实时拦截手段
实时监控平台通过IP网络与短信系统互连,短信中心收到用户提交的短信后通过SMPP协议将短信转至监控平台,监控平台根据设定的策略进行判定,通过SMPP协议应答判定结果,短信中心根据应答结果决定是否下发短信。
平台由数据采集服务器、应用服务器、内容分析服务器、行为分析服务器、数据处理服务器,系统管理终端、数据库服务器等设备组成,物理上可根据系统的容量合设或者分设,系统构建方式灵活。
2.3.1 实时监控平台业务流程(如图3所示)
图3 实时监控平台业务流程图
(1)短信中心收到用户提交的短信后通过SMPP协议转发给实时监控平台;
(2)如果经判定为正常短信,实时监控平台则回成功应答,短信中心下发该短信;
(3)如果经判定为垃圾短信,实时监控平台则回复失败应答,短信中心不下发该短信。
2.3.2 应用场景
拦截本省用户点对点垃圾短信。
2.3.3 技术优势和存在问题分析
实时监控平台在短信未下发前进行判定并拦截,属于事中拦截,拦截效果较事后拦截方式有很大提高。平台采用后台集中处理的方式,当平台发生故障时短信中心按原有流程下发短信,业务完全不受影响。此拦截手段基于成熟的IP网络和SMPP协议,后期七号信令网元进行IP化改造时对此拦截手段没有影响。
此拦截手段存在改变业务流程、平台容量需要频繁扩容等问题,从点对点短信流程可以看出,此拦截手段改变了短信原有业务流程,根据测试结果,由于改变业务流程增加了200ms左右的延时。其次,平台容量要随点对点短信中心业务量增长,按1∶1比例进行扩容。再者,平台灵活性不足,不支持对特殊字符的过滤,对拦截效果有较大影响。
2.4 基于信令消息转发的实时拦截手段
由于点对点短信采用归属地短信中心发送,不经过目的省短信网络,因此要进行省际点对点短信拦截需要从信令流程入手,此拦截手段通过将省际信令消息转发到监控平台的方式实现对省际点对点垃圾短信的拦截。省际点对点短信正常流程为:外省SMC→外省HSTP→广西HSTP→广西VMSC,为了实现拦截,需要将流程调整为:外省SMC→外省HSTP→广西HSTP→广西SPS(信令处理系统)→SMSC→短消息监控平台→广西VMSC。
2.4.1 业务流程
省际点对点短信从外省HSTP发至广西HSTP,SPS将短信转发到平台,平台判定不是垃圾短信,则将该省际MT短信进行二次下发,下发成功后回送ACK消息。如果平台判定该短信为垃圾短信,则平台直接丢弃该短信,并回送ack消息。
2.4.2 应用场景
拦截省际点对点垃圾短信。
2.4.3 技术优势和存在问题分析
基于信令转发的拦截手段实现了对省际点对点垃圾短信的拦截,在实际建设中此方案的监控平台部分可与2.2节中介绍的平台合设,避免重复建设。
此方案在LSTP和端局之间部署监控平台,所以该平台的稳定性直接决定了整个核心网络的稳定,一旦该平台出现故障将影响所有省际信令的疏通,相当于LSTP的双平面故障,有较大的风险。
2.5 基于在信令链路串接分析设备的实时拦截手段
此方案将相互独立的信令分析设备串接到信令链路中,对流经的信令消息进行分析、处理,实现省际、省内点对点垃圾短信的实时监控和拦截。
2.5.1 组网结构
图4为信令串接拦截平台组网图,以无信令点方式将信令分析设备(MPM)接入HSTP至LSTP间的七号信令链路实现省际点对点垃圾短信的实时拦截,MPM接入LSTP至SMSC的7号信令链路实现省内点对点垃圾短信的实时拦截。MPM根据所加载业务的需要,对数据链路流经的信令消息作鉴别处理。MPM接在两个信令点设备之间的链路上。MPM从收端接收链路上的MSU消息,并根据业务需要进行数据分析和更改,然后再从发端将处理后(更改或未更改)的MSU发送出去。MPM不需要应用层的协议对话,也不需要信令点编码。
图4 信令串接拦截平台组网
2.5.2 业务流程
当MPM判断需要净化(拦截)该MT/MO短信时,将流经信令消息的SCCP主、被叫地址进行颠倒,并将该MT/MO消息更改为应答消息ACK(原因值可配置为:成功或失败),更改后的信令消息继续发送到信令链路上到达下一信令网元,下一信令网元将更改后的信令消息(ACK消息)返回给上一级网元。
(1)省际拦截(如图5所示)。
(2) 省内拦截(在MT流程拦截,如图6所示)。(3) 省内拦截(在MO流程拦截,如图7所示)。
在MO流程中拦截需要特别提到一个问题,如果短信中心的SAU(信令接入单元)启用了MTP转发功能,则将MO ACK消息回送给LSTP,LSTP再按照正常消息流程最终传递至发端用户,结束会话流程。但目前国内运营商多数SAU未启用MTP转发功能,SAU会丢弃此消息。此时需要增加一个消息发送器与LSTP连接,将ACK消息回送给LSTP。
2.5.3 应用场景
图5 省际拦截流程
图6 省内MT拦截业务流程
图7 省内MO拦截业务流程
拦截省际点对点垃圾短信;
拦截省内点对点垃圾短信。
2.5.4 技术优势和存在问题分析
此方案采用先进的信令引擎技术对实时信令流进行处理,同时实现了省际和省内两类点对点垃圾短信的监控和拦截,是比较完善的解决方案。此方案无需现网任何设备进行升级改造,系统整体部署快速,可实施性强。每个独立信令分析设备MPM串接2×2Mbit/s信令链路,单个MPM设备故障只影响2×2Mbit/s信令链路,对7号信令网络影响不大。从实验室提供的数据看,串接信令分析设备带来的时延在5~10ms内,用户使用业务的感知不受影响。
此方案的主要问题是在7号信令网络中串接大量MPM设备,增加了网络的故障点,当出现全部MPM故障的极端情况时,会导致7号信令网络的瘫痪。此外,目前的MPM设备不支持IP化信令,当实施信令网IP化改造后需要对MPM设备进行替换,存在重复投资的风险。
3 拦截手段的实践应用情况
我公司在短信中心建设伊始就在技术规范中明确要求具备安全模块实现点对点垃圾短信的拦截。通过设置合理的流量门限值,此拦截手段在垃圾短信治理初期发挥了重要作用。2007年我公司建设了2.2节中的垃圾短信监控平台,该平台有效遏制了省内点对点垃圾短信泛滥的势头,月均拦截的省内点对点垃圾超过250万条。随着治理工作的深入开展,我公司部署了2.5节中基于串接信令分析设备的实时拦截手段(省际拦截)并取得了显著成效,至上线以来日均拦截短信近100万条。目前正在进行省内点对点垃圾短信实时拦截手段的部署工作,完成部署后我公司将实现对所有点对点垃圾短信的实时拦截,为降低点对点垃圾短信发送量,构建移动绿色网络,提高用户满意度提供有力的技术保障。
[1]中华人民共和国电信条例. 中华人民共和国国务院令第291号2000-9-25
[2]陈玮. 浅析垃圾短信的监控与整治策略.科技风,2008,(14)