行業(yè)端口業(yè)務(wù)因能夠彌補(bǔ)互聯(lián)網(wǎng)數(shù)據(jù)離線導(dǎo)致的通知不可達(dá)，受到移動互聯(lián)網(wǎng)業(yè)務(wù)青睞，業(yè)務(wù)量連年遞增。當(dāng)前對違規(guī)的行業(yè)端口管理以接到投訴后關(guān)停為主，治理環(huán)節(jié)滯后、粗暴，安全管理與業(yè)務(wù)發(fā)展無法有效平衡。本文基于運(yùn)營商行業(yè)端口短信管理現(xiàn)狀，提出了一套行業(yè)端口垃圾短信主動防御體系。從短信炸彈監(jiān)控、快速模板匹配、業(yè)務(wù)量監(jiān)測預(yù)警及百萬投訴比顯性呈現(xiàn)等角度實(shí)現(xiàn)了化被動治理為主動研判，前置了風(fēng)險預(yù)警及處置環(huán)節(jié)，有效提升行業(yè)端口業(yè)務(wù)質(zhì)量，降低端口業(yè)務(wù)投訴率。

1 運(yùn)營商行業(yè)短信管理現(xiàn)狀分析

在工業(yè)和信息化部指導(dǎo)下，為切實(shí)履行企業(yè)社會責(zé)任，運(yùn)營商逐漸規(guī)范行業(yè)短信運(yùn)營管理。技術(shù)手段方面，建設(shè)了垃圾短信攔截系統(tǒng)、先審后發(fā)平臺等，通過關(guān)鍵字匹配 + 流量監(jiān)控 + 人工審核的模式實(shí)現(xiàn)了不良信息的發(fā)現(xiàn)及處置。管理方面，多從投訴及攔截數(shù)據(jù)入手，發(fā)現(xiàn)違法違規(guī)信息或投訴量異常增長則立即對端口進(jìn)行關(guān)停。上述技管結(jié)合的手段在前期治理過程取得較好效果，抑制了大部分行業(yè)端口不良信息。但隨著行業(yè)端口業(yè)務(wù)運(yùn)營的深入，傳統(tǒng)治理手段暴露出以下問題 ：一是難以應(yīng)對新型多端口并發(fā)型短信炸彈攻擊，造成大量用戶被騷擾，產(chǎn)生投訴。二是基于關(guān)鍵字 + 人工審核的處置流程可能造成未超過攔截門限的部分短信已經(jīng)發(fā)送到客戶手機(jī)，即不良信息、轉(zhuǎn)租轉(zhuǎn)售、超范圍發(fā)送等違規(guī)行為的發(fā)現(xiàn)和違規(guī)端口處理存在滯后性。三是完全基于短信內(nèi)容的監(jiān)控?zé)o法及時應(yīng)對變體短信發(fā)送。四是投訴關(guān)停未與業(yè)務(wù)屬性相結(jié)合，造成業(yè)務(wù)量大的短信端口因部分投訴被關(guān)停，對業(yè)務(wù)發(fā)展造成極大的負(fù)面影響。

2.1 系統(tǒng)架構(gòu)設(shè)計

2.1.1 網(wǎng)絡(luò)架構(gòu)設(shè)計

行業(yè)端口短信發(fā)送流程由集團(tuán)客戶管理員將發(fā)送內(nèi)容提交至本省行業(yè)網(wǎng)關(guān)。行業(yè)網(wǎng)關(guān)根據(jù)行業(yè)端口在網(wǎng)狀態(tài)、黑白名單、端口服務(wù)范圍、速率等參數(shù)對信息發(fā)送行為進(jìn)行鑒權(quán)，拒絕不合規(guī)的發(fā)送明細(xì)。隨后，根據(jù)目的號碼歸屬地分揀至接收號碼短信中心并發(fā)送至客戶手機(jī)?？梢钥闯?，本省行業(yè)網(wǎng)關(guān)是行業(yè)短信的鑒權(quán)、轉(zhuǎn)發(fā)、匯接的核心節(jié)點(diǎn)。故我們將行業(yè)短信主動防御系統(tǒng)設(shè)計串接至客戶側(cè)短信發(fā)送平臺與省內(nèi)行業(yè)網(wǎng)關(guān)之間。此網(wǎng)絡(luò)架構(gòu)可實(shí)現(xiàn)對全量行業(yè)短信的監(jiān)控，監(jiān)測對象包括了省內(nèi)、省外的端口及用戶，確保了不良信息或異常業(yè)務(wù)的零死角實(shí)時阻斷。

2.1.2 業(yè)務(wù)流程設(shè)計

基于上述網(wǎng)絡(luò)架構(gòu)，我們設(shè)計了系統(tǒng)核心交互流程，所有提交至行業(yè)網(wǎng)關(guān)的短信消息首先提交至 PROXY（通信代理子系統(tǒng)），再經(jīng) KERNEL（核心處理子系統(tǒng)）進(jìn)行監(jiān)控。核心處理子系統(tǒng)進(jìn)行數(shù)據(jù)統(tǒng)計及匯總后，根據(jù)預(yù)先配置的監(jiān)控規(guī)則組進(jìn)行風(fēng)險行為的預(yù)判。預(yù)判違規(guī)規(guī)則包括是否符合短信炸彈發(fā)送模型、發(fā)送內(nèi)容與該端口的短信模板是否完整匹配或模糊匹配。數(shù)據(jù)統(tǒng)計規(guī)則包括本時段產(chǎn)生的業(yè)務(wù)量較根據(jù)歷史情況預(yù)測的業(yè)務(wù)量是否存在異常增長、是否產(chǎn)生較高的投訴比。此兩數(shù)據(jù)不作為直接關(guān)停端口或?yàn)橛脩羝帘味绦诺囊罁?jù)，僅用以異常事件預(yù)警提示。

2.2 新型短信炸彈防護(hù)功能

根據(jù)用戶投訴數(shù)據(jù)分析，目前出現(xiàn)新型垃圾短信轟炸形式。有別于傳統(tǒng)利用存在管理漏洞的某一個端口頻繁向用戶發(fā)送短信，新型轟炸形式是在短時間內(nèi)利用多個端口向同一用戶發(fā)送短信。由于端口本身未發(fā)送任何違規(guī)信息，也未出現(xiàn)短時間內(nèi)頻繁發(fā)送短信的行為，傳統(tǒng)的單一端口流量限制的治理手段已無法應(yīng)對新型短信炸彈攻擊。為解決上述問題，本平臺短信炸彈防護(hù)功能設(shè)計以用戶感知為導(dǎo)向，通過對用戶單位時間內(nèi)收到的行業(yè)短信數(shù)量（包括省內(nèi)、省外行業(yè)短信）進(jìn)行累加，統(tǒng)計用戶接收短信數(shù)量。當(dāng)用戶接收短信數(shù)量超出閾值時，系統(tǒng)判定為該用戶遭受短信炸彈騷擾。解決方案是暫時將其手機(jī)號納入行業(yè)網(wǎng)關(guān)系統(tǒng)黑名單中，暫停行業(yè)端口向其發(fā)送短信。該功能支持靈活的參數(shù)配置，可根據(jù)實(shí)際需要對時間窗口和短信數(shù)量進(jìn)行動態(tài)調(diào)整，如 30s 內(nèi) 10 條或1min 內(nèi) 25 條等。為便于后續(xù)處置，系統(tǒng)對監(jiān)控判定的異常轟炸情況進(jìn)行短信預(yù)警，提醒管理人員對預(yù)警明細(xì)盡快確認(rèn)，如涉及違規(guī)端口即刻開展處置，并可根據(jù)用

戶需求和實(shí)際情況選擇對被叫用戶是否取消屏蔽或繼續(xù)屏蔽。

2.3 模板化過濾，全自動高效審核

在行業(yè)端口業(yè)務(wù)運(yùn)營過程中發(fā)現(xiàn)大量行業(yè)端口發(fā)送非簽約內(nèi)容，甚至違法違規(guī)信息。為解決此問題，針對高危風(fēng)險或業(yè)務(wù)質(zhì)量較差的端口建立了模板過濾機(jī)制。納入過濾機(jī)制的行業(yè)端口只

允許發(fā)送指定內(nèi)容或部分變量短信，系統(tǒng)對模板范圍以外的短信內(nèi)容予以拒絕。根據(jù)業(yè)務(wù)需要，每個行業(yè)端口可能設(shè)置很多個子端口，每個子端口對應(yīng)不同的業(yè)務(wù)，每個業(yè)務(wù)都需要使用模板判定。為提高多發(fā)并行的模板匹配效率，本系統(tǒng)提出了一種利用線性滑動抽取算法，提取每個模板的獨(dú)有特征信 息，快速定位到待鑒權(quán)消息對應(yīng)的模板，減少匹配次數(shù)，提高模板審核效率。算法的主要原理如下。使用兩個指針 left 和 right 在源模板串中提取最長漢字串，二者組成一個線性滑動窗口，窗口大小由模板串中連續(xù)漢字串的長度決定。首先，定義一個全局變量

max以保存該模板中最長漢字串長度。該值初始值為零，并不斷更新 ；再定義一個全局變量 pos 保存漢字串首位置。初值也為零，隨 max 一起更新。初始狀態(tài)時，兩指針均指向模板的串首字符。隨著指針的動向決策，分為以下幾種情況。

（1）如果 right 指針指向的字符為漢字字符， left指針保持原位置，right 指針向右滑動。

（2）如果 right 指針指向的字符不是漢字字符，計算 right?left 并與 max 值比較，若 left?right>max，則將 right?left 賦給 max，并將 left 的賦值給 pos，最后將 right 賦值給 left。

（3）當(dāng) right 滑動到模板串的最后一個字符時，整個算法過程結(jié)束。

max 保存最長漢字串的長度，pos 保存最長漢字串抽取過程中，指針均不會回退，當(dāng) right 指針指向模板串的尾字符時，抽取的過程結(jié)束。算法的時間復(fù)雜度為 O(NM), 其中，NM 為模板串長度，只需對模板串遍歷一次便可抽取出該模板的特征信息，與傳統(tǒng)提取算法相比提升了一個量級。經(jīng)測試，長度為 135 byte 的模板提取耗時由 0.054 s 縮短至 0.000 57 s。

2.4 業(yè)務(wù)異常流量分析預(yù)警端口被盜風(fēng)險垃圾短信攔截系統(tǒng)的工作原理是對短信發(fā)送內(nèi)容中的關(guān)鍵字和短信發(fā)送量進(jìn)行監(jiān)控和判斷，對符合判定規(guī)則的短信判定為垃圾短信。但在日常治理過程中，違規(guī)分子為了逃避系統(tǒng)攔截，會對短信文本進(jìn)行加工變體再配合特殊字符，例如“微信”變體為“薇 ? 信）?！睘榻鉀Q變體不良信息難以監(jiān)控及攔截的問題，我們提出了基于業(yè)務(wù)異常

流量進(jìn)行不良信息行為分析研判的思路。行業(yè)用戶短信發(fā)送行為遵循一定的周期性規(guī)律，例如僅在工作日的上午10:00-12:00 發(fā)送或每周三下午 4:00 等。如果端口被盜用以發(fā)送不良信息，一般會出現(xiàn)在非常規(guī)時段且會產(chǎn)生業(yè)務(wù)量的激增。根據(jù)上述模型，我們設(shè)計了行業(yè)短信日發(fā)送量畫像功能，基于歷史發(fā)送情況對行業(yè)端口每天的業(yè)務(wù)量進(jìn)行預(yù)測，并根據(jù)這個預(yù)測值監(jiān)控行業(yè)端口流量的異常變化。當(dāng)流量超過設(shè)定值的冗余比例時，觸發(fā)預(yù)警功能，及時提醒業(yè)務(wù)管理員對事件進(jìn)行確認(rèn)。本文所述系統(tǒng)上線后，行業(yè)端口業(yè)務(wù)質(zhì)量顯著提升。一是快速響應(yīng)短信炸彈攻擊事件，平臺上線后累計攔截短信炸彈 300 余次，變體短信攔截時長由 1.5 個工作日縮短至 2 min 以內(nèi)自動攔截。二是及時研判和拒絕非模板化短信 700 余萬條，提高行業(yè)短信內(nèi)容的規(guī)范性和安全性。三是通過異常流量分析成功預(yù)警端口在凌晨被盜發(fā)送非法信息事件 2 起。四是促進(jìn)優(yōu)質(zhì)業(yè)務(wù)駐網(wǎng)，數(shù)據(jù)顯示，行業(yè)端口月均業(yè)務(wù)量提高 14.76%（藍(lán)線趨勢），投訴比降低 19.66%（紅線趨勢）。