赵俊，王丹弘

（中国移动通信集团广东有限公司，广州 510623）

一种基于云管端联动的互联网诈骗治理方法研究

赵俊，王丹弘

（中国移动通信集团广东有限公司，广州 510623）

本文主要针对互联网诈骗，提出了一种基于“云-管-端”三位一体联动的互联网诈骗综合治理方法，包括在云侧开展受害用户诈骗场景还原与威胁情报研判、多数据源挖掘分析等；在管道侧进行实时数据采集、监控与技术检测；在端侧宣传诈骗防范与安全视窗预警能力，形成了事前防范、事中控制、事后追溯的互联网诈骗治理闭环，并通过实践证明此方法的科学性和有效性，为电信运营企业开展互联网诈骗治理提供了可以借鉴的方法和思路。

互联网诈骗；钓鱼网站；恶意软件；治理

1 研究背景

通信网络诈骗是指犯罪分子通过电话、网络和短信方式，编造虚假信息，对受害人实施远程、非接触式诈骗，诱使受害人给犯罪分子打款或转账的犯罪行为。互联网诈骗是通信网络诈骗的一种形式，是指以非法占有为目的，利用互联网采用虚构事实或者隐瞒真相的方法，骗取数额较大的公私财物的行为。

近10年来， 全国通信网络诈骗，特别是互联网诈骗发案率持续上升，互联网诈骗案件每年以20%～30%的速度快速增长。2017年1-7月，全国共立互联网诈骗案件15.5万起，同比上升36.4%，造成损失24.2亿元。以广东地区为例，自2016年下半年至今，全省共破获各类电信网络诈骗案件近3 000起，同比上升约7.8%；抓获犯罪嫌疑人近400名，同比上升近10%。

猖獗的互联网诈骗违法犯罪，严重侵害人民群众财产安全和合法权益，也引起了中央高层的重视。2016年6月，经国务院批准，公安部联合建立组成打击治理电信网络新型违法犯罪工作部际联席会议制度，加强对全国打击治理互联网诈骗工作的组织领导和统筹协调。

互联网诈骗危害大、难治理。如果不全面的、从源头上根治灰黑产业链、切断犯罪利益链，就难以从根本上铲除互联网诈骗犯罪滋生、实施和蔓延的温床。因此，迫切需要研究和设计一套行之有效的全方位打击、防范、治理互联网诈骗的技术和实施方案。

2 整体思路

互联网诈骗作为新型网络通信犯罪，与传统的诈骗犯罪相比具备覆盖面广、非接触式、隐蔽性强、智能化等特点。为有效应对互联网诈骗的特点，本文提出了一种基于“云管端”三位一体、相互联动的互联网诈骗综合治理方法，包括在管道侧进行互联网诈骗行为的发现、监测和拦截；在云侧多渠道、多数据源的大数据挖掘，进行受害用户诈骗场景还原和威胁信息研判；在端侧进行终端用户防范互联网诈骗安全意识培训，通过安全客户端推送互联网诈骗安全预警等3个方面。云、管、端3个层面相互联动，互相配合，缺一不可，共同构成事前防范、事中控制和事后追溯的一体化防范治理互联网诈骗方案，整体思路的具体方法如下文所述。

3 云侧互联网诈骗治理手段

云侧互联网诈骗治理手段是指以大数据为核心，综合运用多种监测防范技术，面向诈骗网址、伪基站诈骗短信、仿冒网站、移动恶意程序等多个互联网网络信息诈骗环节，实现互联网诈骗综合监测、综合分析、综合预警和综合处置。实现多环节的欺诈群体识别、多场景的诈骗事件还原、多角度的受害人群分析、多维度的诈骗案件关联、多渠道的黑产信息溯源，为互联网诈骗综合防范提供技术支撑。

在云侧可以针对新出现的潜在互联网诈骗行为进行预防分析。互联网诈骗通常是以事件为核心，传播途径和诈骗手法的多样性决定了需要以安全事件为核心串联各业务安全事件才能实现对抗，将不同业务的安全事件串联起来，通过业务之间的关系缩小分析范围，目标更明确；通过不同业务之间的特征提取，完善各业务特征库。

潜在诈骗行为预防和分析主要是通过大数据分析进行新诈骗类型挖掘和新诈骗类型建模两个部分：

（1）新诈骗类型挖掘：对检测到的异常行为序列进行归纳，对可疑的行为进行确认，分析其出现概率与相关性，结合已有诈骗手法规律进行交叉验证，挖掘新的诈骗手法。

（2）新诈骗类型建模：结合从公安机关获取的报案数据，针对新的诈骗手法建立新的诈骗模型，通过对历史数据进行验证分析以及依据黑特征进行行为训练，构建新的诈骗检测模型。

此外，还可以开展互联网诈骗案件串并分析。通过对不同案件线索中的数据进行分析，可发现案件线索之间的数据重合及特定对象之间的数据通信联系，找出不同案件线索之间的内在联系，方便公安办案人员对多个相关案件进行联立侦破等。

4 管道侧互联网诈骗治理手段

管道侧互联网诈骗技术治理手段综合运用多种监测防范技术，面向诈骗电话、诈骗短信、仿冒网站、伪基站、恶意程序等多个通信信息诈骗环节，实现通信信息诈骗综合监测、综合分析、综合预警和综合处置。实现多环节的欺诈群体识别、多场景的诈骗事件还原、多角度的受害人群分析、多维度的诈骗案件关联、多渠道的黑产信息溯源，为通信信息诈骗综合防范提供技术支撑。

4.1 钓鱼网站治理

钓鱼网站技术治理主要是针对互联网诈骗过程中常见的各类仿冒金融机构、在线电商、政法机关的网站进行发现和拦截。

当前钓鱼网址生命周期短，变化多样，快速从百亿级别的网址中找到钓鱼网址是治理的关键。在治理钓鱼网站的环节中，运营商具有天然的智能管道优势，实现钓鱼网站主动监测和封堵。

钓鱼网址分析主要是对从前端运营商话单接入子系统上报的疑似诈骗网址进行研判分析、人工审核等。用户访问日志和短信日志首先经过静态分析引擎进行检查，对于确认的诈骗网址直接输出安全分级事件，对于疑似诈骗网址进入动态分析引擎进行分析，动态分析引擎输出疑似诈骗网址和非诈骗网址结果信息，对于以上诈骗网址经过人工审核确认是否为诈骗网址，对于确认为诈骗网址的加载至静态分析引擎，对于确认为非诈骗网址的反馈至动态分析引擎，用于进行模型训练。

4.2 移动恶意软件治理

除了仿冒网站外，目前已经发现针对各大银行、聊天软件的仿冒应用等移动恶意软件。用户不小心点了网页链接或者扫描了危险的二维码，会下载安装和正常程序一模一样的应用APP，从而窃取用户真实的用户名和密码。

移动恶意软件治理技术手段主要实现对疑似仿冒应用事件行为信息的汇聚、疑似仿冒应用行为筛选和上报，支持利用全网仿冒应用下载URL库和全网仿冒应用主控URL库对获得的网络日志进行检测，发现用户连接仿冒应用的主控URL和下载URL事件。

此外，移动恶意软件治理还可以开展程序样本研判分析工作，主要是对预处理筛选后的疑似样本，采用相关技术手段（如反编译、反汇编等静态分析技术，网络行为分析、短彩信行为分析、本地行为分析等动态分析技术），输出可能的恶意行为点，并根据研判标准进行仿冒应用判定，最终提取特征。

4.3 诈骗短信治理

伪基站诈骗短信治理技术手段主要是通过在线检测和离线学习两种方式实现。

离线检测主要是对历史数据基于短信诈骗模型采用大数据分析方法，从短信发送的行为、发送的内容采用深度学习、标签标记、聚类分析以及人工干预等方法，检测出诈骗短信，包含诈骗短信的内容关键词、号码、URL等信息，生成特征知识库。

在线检测是利用离线检测模块生成的特征知识库进行在线快速检测，输出检测结果数据，包括诈骗号码、受害用户、诈骗类型以及诈骗提醒建议等。在线检测主要使用正则表达式进行快速检测，包括号码检测、文本检测、URL检测、敏感特征词检测等。

在线检测和离线检测在逻辑上形成闭环机制，离线检测为在线检测提供技术手段，如知识库和检测算法，在线检测为离线检测提供数据。

4.4 网络监测与封堵

网络监测与封堵的技术手段分为前端系统和后端系统两部分。前端系统包括互联网诈骗的采集和拦截：

（1）前端采集部分通过分光方式获取信令和媒体流量，进行信令解析和行为还原。

（2）对于命中黑名单的会话连接进行实时拦截；对命中灰名单的会话特征还原，并进行特征比对，对命中的进行实时拦截。

（3）前端拦截部分通过分别构造主被叫释放信令的数据包回注到CE/交换机，分别向源和目的发起释放信令消息，实现会话访问的拦截。

后端系统用作诈骗电话的数据存储、分析和展现。后端分析分析部分包括存储、行为数据分析、信令特征和行为特征分析，输出用于前端拦截的策略与特征，同时通过短信/电话进行受害用户提醒。

5 端侧互联网诈骗治理手段

端侧互联网诈骗治理，主要通过强化短信、安全页面、客户端等渠道的宣传教育，建立全覆盖的互联网诈骗手法快速发布机制，及时发现归纳不法分子实施诈骗的新手法新伎俩，通过多种渠道向公众发布预警防范提示。

（1）建立全覆盖的互联网诈骗手法快速发布机制，及时发现归纳不法分子实施诈骗的新手法新伎俩，通过多种渠道向公众发布预警防范提示。

（2）建立全环节的互联网防诈骗提醒机制，围绕可能产生电信网络诈骗行为和后果的各环节，开展标准化、规范化的防诈骗提醒。

（3）建立全民化的防诈骗宣传参与机制，采取群众喜闻乐见的形式和以案释法等方式，通过安全视窗、营业厅台、下发短信、外呼等，有的放矢开展防诈骗宣传，并建立健全举报奖励制度，让诈骗分子成为过街老鼠、人人喊打。

6 结论

本文针对互联网诈骗，提出了一种基于“云-管-端”三位一体联动的互联网诈骗综合治理方法，并通过实际工作应用进行了充分的验证和实践，证明了此方法的科学性和有效性，为电信运营企业开展互联网诈骗治理提供了可以借鉴的方法和思路。

虽然互联网诈骗的打击治理工作取得了一定成效，但互联网诈骗犯罪的高发势头仍没有从根本上得到遏制。我们要深刻认识当前互联网诈骗违法犯罪形势的严峻性、复杂性，突出问题导向、进一步推进打击互联网诈骗行动向纵深发展。

（1）进一步强化源头治理，切实履行监管责任，严格落实监管措施，着力堵塞监管漏洞，坚决切断互联网诈骗犯罪链条。

（2）严格落实电信领域整治措施，建设完善电信网和互联网国际出入口诈骗电话防范系统、电信网省际出入口诈骗电话防范系统，指导督促电信企业严格落实电话用户真实身份信息登记制度，对整改不力、屡次违规的虚拟运营商，要依法依规坚决查处。

（3）严格落实联合银行金融领域整治措施，建立完善银行账户和支付账户异常资金交易风险防控系统，指导督促各商业银行抓紧完成借记卡存量清理工作，研究制定加强支付结算管理的有效措施。

（4）严格落实配合管局及公检法等机关对互联网领域整治措施，强化网络安全防护，督促互联网企业对搜索引擎、QQ群、微信群等网络空间进行清理整顿，坚决切断不法分子利用互联网实施诈骗的渠道。

[1] 互联网诈骗案件启示[J]. 黑龙江金融， 2017，(05)：78-79.

[2] 李凯. 浅析互联网诈骗预防机制——以警媒合作为视角[J].新闻研究导刊， 2017，8(07)：63-64.

[3] 吴朝平.“互联网+”背景下互联网诈骗的发展变化及其防控[J].中国人民公安大学学报(社会科学版)， 2015，31(06)：17-21.

[4] 赵琳. 互联网诈骗犯罪的实践难题及解决[D]. 沈阳：辽宁大学， 2014.

[5] 黄首华. 互联网诈骗犯罪侦防对策研究[D]. 兰州：甘肃政法学院， 2013.

[6] 高蕴嶙， 李京. 互联网诈骗犯罪侦查难点及实证对策研究重庆邮电大学学报(社会科学版)[J]. 2013，25(01)：33-38.

[7] 胡向阳， 刘祥伟， 彭魏. 互联网诈骗犯罪防控对策研究[J].中国人民公安大学学报(社会科学版)， 2010，26(05)：90-98.

Research on internet fraud governance approach based on cloud - pipeline - terminal linkage

ZHAO Jun, WANG Dan-hong
(China Mobile Group Guangdong Co., Ltd., Guangzhou 510623, China)

This paper aims at Internet fraud, and puts forward a comprehensive management method of Internet fraud based on "cloud - tube - terminal" trinity linkage. Including in the cloud to deceive the user fraud scene restoration and threat intelligence research, multi-source mining analysis. In the pipeline for realtime data acquisition, monitoring and technical testing. In the terminal to promote fraud prevention and security window warning capabilities, formed in advance to prevent, in the control, tracing the Internet fraud control loop. And and provide methods and ideas can be used for reference for telecom enterprises Internet fraud governance.

internet fraud; fhishing website; malicious malware; governance

TN918

A

1008-5599（2017）11-0031-04

2017-10-11