行業(yè)端口業(yè)務因能夠彌補互聯(lián)網數據離線導致的通知不可達，受到移動互聯(lián)網業(yè)務青睞，業(yè)務量連年遞增。當前對違規(guī)的行業(yè)端口管理以接到投訴后關停為主，治理環(huán)節(jié)滯后、粗暴，安全管理與業(yè)務發(fā)展無法有效平衡。本文基于運營商行業(yè)端口短信管理現狀，提出了一套行業(yè)端口垃圾短信主動防御體系。從短信炸彈監(jiān)控、快速模板匹配、業(yè)務量監(jiān)測預警及百萬投訴比顯性呈現等角度實現了化被動治理為主動研判，前置了風險預警及處置環(huán)節(jié)，有效提升行業(yè)端口業(yè)務質量，降低端口業(yè)務投訴率。

1 運營商行業(yè)短信管理現狀分析

在工業(yè)和信息化部指導下，為切實履行企業(yè)社會責任，運營商逐漸規(guī)范行業(yè)短信運營管理。技術手段方面，建設了垃圾短信攔截系統(tǒng)、先審后發(fā)平臺等，通過關鍵字匹配 + 流量監(jiān)控 + 人工審核的模式實現了不良信息的發(fā)現及處置。管理方面，多從投訴及攔截數據入手，發(fā)現違法違規(guī)信息或投訴量異常增長則立即對端口進行關停。上述技管結合的手段在前期治理過程取得較好效果，抑制了大部分行業(yè)端口不良信息。但隨著行業(yè)端口業(yè)務運營的深入，傳統(tǒng)治理手段暴露出以下問題 ：一是難以應對新型多端口并發(fā)型短信炸彈攻擊，造成大量用戶被騷擾，產生投訴。二是基于關鍵字 + 人工審核的處置流程可能造成未超過攔截門限的部分短信已經發(fā)送到客戶手機，即不良信息、轉租轉售、超范圍發(fā)送等違規(guī)行為的發(fā)現和違規(guī)端口處理存在滯后性。三是完全基于短信內容的監(jiān)控無法及時應對變體短信發(fā)送。四是投訴關停未與業(yè)務屬性相結合，造成業(yè)務量大的短信端口因部分投訴被關停，對業(yè)務發(fā)展造成極大的負面影響。

2.1 系統(tǒng)架構設計

2.1.1 網絡架構設計

行業(yè)端口短信發(fā)送流程由集團客戶管理員將發(fā)送內容提交至本省行業(yè)網關。行業(yè)網關根據行業(yè)端口在網狀態(tài)、黑白名單、端口服務范圍、速率等參數對信息發(fā)送行為進行鑒權，拒絕不合規(guī)的發(fā)送明細。隨后，根據目的號碼歸屬地分揀至接收號碼短信中心并發(fā)送至客戶手機。可以看出，本省行業(yè)網關是行業(yè)短信的鑒權、轉發(fā)、匯接的核心節(jié)點。故我們將行業(yè)短信主動防御系統(tǒng)設計串接至客戶側短信發(fā)送平臺與省內行業(yè)網關之間。此網絡架構可實現對全量行業(yè)短信的監(jiān)控，監(jiān)測對象包括了省內、省外的端口及用戶，確保了不良信息或異常業(yè)務的零死角實時阻斷。

2.1.2 業(yè)務流程設計

基于上述網絡架構，我們設計了系統(tǒng)核心交互流程，所有提交至行業(yè)網關的短信消息首先提交至 PROXY（通信代理子系統(tǒng)），再經 KERNEL（核心處理子系統(tǒng)）進行監(jiān)控。核心處理子系統(tǒng)進行數據統(tǒng)計及匯總后，根據預先配置的監(jiān)控規(guī)則組進行風險行為的預判。預判違規(guī)規(guī)則包括是否符合短信炸彈發(fā)送模型、發(fā)送內容與該端口的短信模板是否完整匹配或模糊匹配。數據統(tǒng)計規(guī)則包括本時段產生的業(yè)務量較根據歷史情況預測的業(yè)務量是否存在異常增長、是否產生較高的投訴比。此兩數據不作為直接關停端口或為用戶屏蔽短信的依據，僅用以異常事件預警提示。

2.2 新型短信炸彈防護功能

根據用戶投訴數據分析，目前出現新型垃圾短信轟炸形式。有別于傳統(tǒng)利用存在管理漏洞的某一個端口頻繁向用戶發(fā)送短信，新型轟炸形式是在短時間內利用多個端口向同一用戶發(fā)送短信。由于端口本身未發(fā)送任何違規(guī)信息，也未出現短時間內頻繁發(fā)送短信的行為，傳統(tǒng)的單一端口流量限制的治理手段已無法應對新型短信炸彈攻擊。為解決上述問題，本平臺短信炸彈防護功能設計以用戶感知為導向，通過對用戶單位時間內收到的行業(yè)短信數量（包括省內、省外行業(yè)短信）進行累加，統(tǒng)計用戶接收短信數量。當用戶接收短信數量超出閾值時，系統(tǒng)判定為該用戶遭受短信炸彈騷擾。解決方案是暫時將其手機號納入行業(yè)網關系統(tǒng)黑名單中，暫停行業(yè)端口向其發(fā)送短信。該功能支持靈活的參數配置，可根據實際需要對時間窗口和短信數量進行動態(tài)調整，如 30s 內 10 條或1min 內 25 條等。為便于后續(xù)處置，系統(tǒng)對監(jiān)控判定的異常轟炸情況進行短信預警，提醒管理人員對預警明細盡快確認，如涉及違規(guī)端口即刻開展處置，并可根據用

戶需求和實際情況選擇對被叫用戶是否取消屏蔽或繼續(xù)屏蔽。

2.3 模板化過濾，全自動高效審核

在行業(yè)端口業(yè)務運營過程中發(fā)現大量行業(yè)端口發(fā)送非簽約內容，甚至違法違規(guī)信息。為解決此問題，針對高危風險或業(yè)務質量較差的端口建立了模板過濾機制。納入過濾機制的行業(yè)端口只

允許發(fā)送指定內容或部分變量短信，系統(tǒng)對模板范圍以外的短信內容予以拒絕。根據業(yè)務需要，每個行業(yè)端口可能設置很多個子端口，每個子端口對應不同的業(yè)務，每個業(yè)務都需要使用模板判定。為提高多發(fā)并行的模板匹配效率，本系統(tǒng)提出了一種利用線性滑動抽取算法，提取每個模板的獨有特征信 息，快速定位到待鑒權消息對應的模板，減少匹配次數，提高模板審核效率。算法的主要原理如下。使用兩個指針 left 和 right 在源模板串中提取最長漢字串，二者組成一個線性滑動窗口，窗口大小由模板串中連續(xù)漢字串的長度決定。首先，定義一個全局變量

max以保存該模板中最長漢字串長度。該值初始值為零，并不斷更新 ；再定義一個全局變量 pos 保存漢字串首位置。初值也為零，隨 max 一起更新。初始狀態(tài)時，兩指針均指向模板的串首字符。隨著指針的動向決策，分為以下幾種情況。

（1）如果 right 指針指向的字符為漢字字符， left指針保持原位置，right 指針向右滑動。

（2）如果 right 指針指向的字符不是漢字字符，計算 right?left 并與 max 值比較，若 left?right>max，則將 right?left 賦給 max，并將 left 的賦值給 pos，最后將 right 賦值給 left。

（3）當 right 滑動到模板串的最后一個字符時，整個算法過程結束。

max 保存最長漢字串的長度，pos 保存最長漢字串抽取過程中，指針均不會回退，當 right 指針指向模板串的尾字符時，抽取的過程結束。算法的時間復雜度為 O(NM), 其中，NM 為模板串長度，只需對模板串遍歷一次便可抽取出該模板的特征信息，與傳統(tǒng)提取算法相比提升了一個量級。經測試，長度為 135 byte 的模板提取耗時由 0.054 s 縮短至 0.000 57 s。

2.4 業(yè)務異常流量分析預警端口被盜風險垃圾短信攔截系統(tǒng)的工作原理是對短信發(fā)送內容中的關鍵字和短信發(fā)送量進行監(jiān)控和判斷，對符合判定規(guī)則的短信判定為垃圾短信。但在日常治理過程中，違規(guī)分子為了逃避系統(tǒng)攔截，會對短信文本進行加工變體再配合特殊字符，例如“微信”變體為“薇 ? 信）?！睘榻鉀Q變體不良信息難以監(jiān)控及攔截的問題，我們提出了基于業(yè)務異常

流量進行不良信息行為分析研判的思路。行業(yè)用戶短信發(fā)送行為遵循一定的周期性規(guī)律，例如僅在工作日的上午10:00-12:00 發(fā)送或每周三下午 4:00 等。如果端口被盜用以發(fā)送不良信息，一般會出現在非常規(guī)時段且會產生業(yè)務量的激增。根據上述模型，我們設計了行業(yè)短信日發(fā)送量畫像功能，基于歷史發(fā)送情況對行業(yè)端口每天的業(yè)務量進行預測，并根據這個預測值監(jiān)控行業(yè)端口流量的異常變化。當流量超過設定值的冗余比例時，觸發(fā)預警功能，及時提醒業(yè)務管理員對事件進行確認。本文所述系統(tǒng)上線后，行業(yè)端口業(yè)務質量顯著提升。一是快速響應短信炸彈攻擊事件，平臺上線后累計攔截短信炸彈 300 余次，變體短信攔截時長由 1.5 個工作日縮短至 2 min 以內自動攔截。二是及時研判和拒絕非模板化短信 700 余萬條，提高行業(yè)短信內容的規(guī)范性和安全性。三是通過異常流量分析成功預警端口在凌晨被盜發(fā)送非法信息事件 2 起。四是促進優(yōu)質業(yè)務駐網，數據顯示，行業(yè)端口月均業(yè)務量提高 14.76%（藍線趨勢），投訴比降低 19.66%（紅線趨勢）。