赵蓓， 常玲， 薛姗， 马力鹏

（中国移动通信集团设计院有限公司，北京 100080）

1 引言

本文首先对不良即时消息的特征进行了分析，然后提出了即时消息安全监测的功能组成，包括监测过滤、策略生成、用户标记分析、不良消息审核和不良消息处置等，并对各个功能模块的具体功能要求进行了探讨。

本文仅探讨融合通信用户在无线IMS网络环境下发送的即时消息，融合通信用户在2G/3G环境下发送的SMS短/彩信不在本文分析范围内。

2 不良消息特征

由于融合通信在即时消息业务中交换的消息正文可以随着聊天邀请同时发送给对方。即使没有社交呈现关系存在，也能够邀请对方或者接收聊天请求。因此不良消息发送者可以采用批量发送、按照号段发送等方式利用即时消息业务发送不良消息。

不良消息是指内容违法违规，或违背融合通信用户主观意志并且在客观上对用户造成工作生活上骚扰或者用户权益上侵害的即时消息。通常具有以下几点特征。

（1）未经用户许可：由于即时消息消息业务使用“主动发送，被动接收”的工作模式，不良消息发送者往往没有征得即时消息接收用户许可就直接给手机用户发送。

（2）使用非法收集号码：不良消息发送者往往没有征得用户同意，就直接通过网站、调查、注册等渠道来获取移动用户终端号码，进而发送不良消息。

而后为术前宣教，团队遵循早期、全面、深入、具体的宣教原则，患者入院后即开始采用多模式、多元化的健康教育方式，分阶段给患者及家属进行快速康复、疼痛知识相关宣教，教会患者运用疼痛评分工具进行自我评分，掌握疼痛报告时机。此外，科室还增加了快速康复健康教育资料的发放。

（3）批量发送：出于经济利益、政治利益等方面的考虑，不良消息总是批量发送。

批量发送主要有两种发送手段，按照号段全面发送和按照号码精确发送。按照号段全面发送即时消息没有考虑到用户情况，必然是不良消息；而按照号码精确发送并没有征得即时消息目标用户同意，同样是不良消息。

（4）具有重复性：不良消息发送者一旦获知了目标用户号码，往往会给这些号码多次发送即时消息，以期达到发送者不良目的。

3 安全监测技术架构

3.1 功能组成

融合通信即时消息安全监测系统的内部功能组成如图1所示，系统由监测过滤、策略生成、用户标记分析、不良消息审核和不良消息处置5个功能模块构成。

监测过滤模块根据策略生成模块制定的策略对即时消息进行过滤，将符合过滤策略的消息（称为疑似不良消息）发送给不良消息审核模块二次审核，确认为不良消息后，根据具体处置方式由IM AS（Instant Message Application Server ，即时消息应用服务系统）进行拦截或者运营商的其他系统完成业务关停等处置。

3.2 监测过滤

监测过滤模块对IM AS发送的即时消息数据进行过滤分析，如即时消息被判定为不良消息，则向IM AS发送拦截指令。IM AS接收到拦截指令后，不再将该即时消息发送给接收方。为保护用户隐私，在正常用户通信时，IM AS并不将用户消息原文发送给监测过滤模块，而是采用即时消息指纹的技术，将即时消息（包括文本、图片、音频、视频、文件等）经过特征抽取和编码，使得即时消息指纹能够作为即时消息的唯一标识，同时无法从即时消息指纹反向推出用户即时消息原文内容。

监测过滤主要功能包括以下几点。

（1）不良消息特征匹配：对IM AS发送的即时消息数据，进行发送方号码和信息指纹黑白名单比对，如命中则为疑似不良消息，向IM AS申请即时消息原文发送给不良信息审核模块进行二次审核。

（2）热点送审：对即时消息的热点进行实时监控，并将热点即时消息发送不良消息审核模块进行审核。

（3）发送拦截/放行指令：根据特征匹配和二次审核结果，向IM AS发送拦截/放行指令。

消息监测过滤流程如图2所示。

3.3 过滤策略生成

策略生成模块根据消息特征和发送方行为进行分析形成过滤策略，将过滤策略发送给监测过滤模块。过滤策略主要包括以下3个方面。

图1 融合通信即时消息安全监测系统功能组成

图2 不良消息监测过滤流程

（1） 灰名单策略：根据用户收发特征、用户标记等信息，形成灰名单策略。

（2） 白名单策略：根据用户信誉特征，形成白名单策略。

（3） 黑名单消息指纹策略：根据确认不良消息，形成黑名单消息指纹策略。

3.4 用户标记分析

用户标记分析模块按照送审策略将用户标记/举报的不良信息发送给不良消息审核模块进行分析。用户标记/举报不良消息主要来自3个方面：融合通信app软件、电话投诉和第三方安全机构。

系统将接收到的用户标记不良信息保存在用户标记不良消息库中，与系统保存的标记消息和确认不良消息进行比对，如无历史记录，则送不良消息审核。如果用户标记不良消息已经被判定为不良消息，则相关信息送不良消息处置模块。

为防止恶意用户利用用户标记功能扰乱监测系统正常功能，系统应具备一定的防用户欺诈能力。系统忙时出现的大量用户标记行为，应按照优先级分批送审。在系统闲时再将其余用户标记不良信息送审。

3.5 不良消息审核

不良消息审核模块对疑似不良消息进行审核，如果确认为不良消息，则发送确认信息给不良消息处置模块、监测过滤模块以及用户标记分析模块。

不良消息审核模块对监测过滤模块发现的疑似不良消息进行深度分析和判定，对于经判定确认的不良消息，按照不良信息来源发送给相关模块。对不同的消息送审来源的进行处置。监测分析模块和投诉分析模块送审的消息，判定为不良消息后分别反馈；所有经判定的不良消息，送策略生成模块生成不良消息指纹，同时不良消息处置模块，根据不良消息的类别和级别，进行相应处置。

系统对疑似不良消息，按照消息类型分别进行内容分析。系统通过提取关键特征和疑似不良内容，为不良消息判定模块判断提供判定依据。各种类型的疑似不良消息进行深度分析的技术能力要求如表1所示。

表1 疑似不良消息深度分析技术要求

3.6 不良消息处置

系统对于已经确认的不良信息，除对不良消息进行拦截外，还需要具备即时消息撤销和用户业务关停的进一步处置的能力。系统根据用户身份和用户处置历史（包括发送不良消息次数和不良消息类别、级别等），综合判定是否对用户进行业务关停处置。

3.6.1 不良消息撤销

系统能够将已发送的即时消息撤回的能力。对于文本类消息，应能够在一定时限内从用户终端撤回；对于多媒体类即时消息，应能够在用户未下载的情况下撤回，撤回后未下载到本地的用户不再能够访问多媒体信息。

3.6.2 即时消息功能关停

系统能够对用户账号即时消息业务功能关停，被关停即时消息业务的用户不再能够发送和接收即时消息。对于群聊的群主被关停业务的情况，应具备关闭该群聊的能力。

4 展望

融合通信业务是电信运营商布局互联网的重点业务，在提升用户体验的同时，用户的使用习惯得以继承，从而进一步提升用户的粘性。融合通信的即时消息业务能够提供用户间文本、图片、音视频等多媒体消息的传播，目前的运营商的不良信息监测机制无法对即时消息进行安全保护，本文仅即时消息的通用安全监测功能架构，在具体技术实现上，还需要进一步提高图片、音频和视频等多媒体内容的深度分析技术能力，才能做到在用户无感知的情况下防范不良消息风险。