防欺詐域名安全管理系統(tǒng)的研究和應(yīng)用

吳璟，時(shí)鎮(zhèn)軍

（中國(guó)移動(dòng)通信集團(tuán)江蘇有限公司，南京 210012）

防欺詐域名安全管理系統(tǒng)的研究和應(yīng)用

吳璟，時(shí)鎮(zhèn)軍

（中國(guó)移動(dòng)通信集團(tuán)江蘇有限公司，南京 210012）

本文分析了當(dāng)前移動(dòng)互聯(lián)網(wǎng)信息欺詐的特征，提出了基于域名系統(tǒng)的防欺詐安全快速處置方案和系統(tǒng)，并介紹了該系統(tǒng)在網(wǎng)絡(luò)上應(yīng)用的效果。

防欺詐；域名；安全

1 當(dāng)前移動(dòng)互聯(lián)網(wǎng)信息欺詐特征

隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，以及移動(dòng)終端智能化的普及，人們?cè)絹?lái)越習(xí)慣通過(guò)移動(dòng)終端進(jìn)行各種與生產(chǎn)生活相關(guān)的操作，如通過(guò)移動(dòng)終端進(jìn)行購(gòu)物款項(xiàng)支付等財(cái)務(wù)類(lèi)操作。與此同時(shí)，商家們也常常借助通信運(yùn)營(yíng)商的網(wǎng)絡(luò)或定位服務(wù)向移動(dòng)終端推送重要通知或營(yíng)銷(xiāo)廣告，以加強(qiáng)與客戶的互動(dòng)，提升服務(wù)水平。如銀行類(lèi)商家通常定期發(fā)送短信息至信用卡用戶的移動(dòng)終端，提醒用戶當(dāng)月應(yīng)還款的金額，或者提示用戶其信用卡積分兌換獎(jiǎng)品的規(guī)則和有效期限等重要信息。

伴隨著人們對(duì)于移動(dòng)終端依賴性的增加，各類(lèi)通過(guò)發(fā)送短信息至移動(dòng)終端進(jìn)行詐騙或者盜取用戶信息等非法操作層出不窮。近年來(lái)“偽基站”短信冒充運(yùn)營(yíng)商進(jìn)行詐騙的情況愈演愈烈，不法分子違規(guī)設(shè)置偽基站，將普通手機(jī)信號(hào)屏蔽后，強(qiáng)行將用戶的手機(jī)注冊(cè)到自己的信號(hào)中，接著偽造各大銀行、運(yùn)營(yíng)商等公眾號(hào)碼（如955XX、10086等），向受害者手機(jī)終端發(fā)送“溫馨提醒”、“安全提示”等欺詐短信，最新的詐騙形式是在短信內(nèi)容中直接插入偽造銀行或者運(yùn)營(yíng)商網(wǎng)上營(yíng)業(yè)廳相關(guān)鏈接，誘導(dǎo)受害者訪問(wèn)偽造網(wǎng)頁(yè)，導(dǎo)致受害者暴露重要個(gè)人隱私，最終利益受損，危害極大。由于不法分子的偽基站直接向受害者手機(jī)等終端發(fā)送含有違規(guī)鏈接的欺詐短信，而短信內(nèi)容不經(jīng)過(guò)運(yùn)營(yíng)商短信中心，運(yùn)營(yíng)商無(wú)法識(shí)別和攔截違規(guī)短信。據(jù)統(tǒng)計(jì)，2015年全國(guó)電信詐騙案59.9萬(wàn)起，造成經(jīng)濟(jì)損失222億元 。

2 現(xiàn)有防范技術(shù)方案分析

違規(guī)設(shè)置“偽基站”是不法分子受利益驅(qū)動(dòng)而采取的不可防范行為，現(xiàn)有的降低“偽基站”欺詐短信給用戶帶來(lái)?yè)p失的技術(shù)方案主要如下幾種。

2.1 技術(shù)方案(1)：事后干預(yù)

基本是受害用戶或者受害企業(yè)在利益受損后向公安機(jī)關(guān)報(bào)案，或者向運(yùn)營(yíng)商投訴反饋，運(yùn)營(yíng)商才能獲得違規(guī)短信內(nèi)容以及相應(yīng)的違規(guī)鏈接，進(jìn)而對(duì)違規(guī)鏈接進(jìn)行分析提取出相關(guān)域名和解析IP，然后進(jìn)行域名解析系統(tǒng)和網(wǎng)絡(luò)層封堵，避免其他用戶再去訪問(wèn)違規(guī)鏈接。

2.2 技術(shù)方案(2)：安裝手機(jī)安全攔截軟件

手機(jī)安全軟件可以對(duì)手機(jī)終端收到的短信內(nèi)容進(jìn)行識(shí)別和處理。如360手機(jī)衛(wèi)士、騰訊手機(jī)管家有效攔截并友好提示用戶，幫助用戶識(shí)別非法短信內(nèi)容，避免用戶受害。

已有的防范技術(shù)方案均存在不同程度的不足如下。

技術(shù)方案(1)從受害者接收到偽基站下發(fā)的欺詐短信，到最終運(yùn)營(yíng)商獲取到短信中的違規(guī)鏈接，再做手工分析和封堵，中間流程涉及到多個(gè)部門(mén)或者個(gè)人，流程復(fù)雜，效率底下。

技術(shù)方案(2)一方面對(duì)手機(jī)終端具有較高要求，必須為智能機(jī)，且已經(jīng)安裝該款A(yù)PP。對(duì)于未安裝各類(lèi)安全軟件的終端用戶無(wú)法提供保護(hù)。另一方面欺詐短信中的違規(guī)鏈接、域名信息只有手機(jī)安全軟件的廠商才知曉，運(yùn)營(yíng)商無(wú)從得知，信息沒(méi)有得到有效利用。

3 基于域名系統(tǒng)的快速處置方案研究

所有的釣魚(yú)網(wǎng)站都是通過(guò)域名進(jìn)行訪問(wèn)，而從域名解析為IP地址，必定經(jīng)過(guò)運(yùn)營(yíng)商域名解析系統(tǒng)。通過(guò)運(yùn)營(yíng)商域名解析系統(tǒng)對(duì)欺詐域名進(jìn)行判斷與封堵，將欺詐域名強(qiáng)制解析到安全提醒頁(yè)面，提醒用戶訪問(wèn)的欺詐域名存在風(fēng)險(xiǎn)，降低用戶受到釣魚(yú)網(wǎng)站詐騙遭受財(cái)產(chǎn)損失。江蘇移動(dòng)在基于域名解析系統(tǒng)上，開(kāi)展研究，提出了一個(gè)基于域名系統(tǒng)的防欺詐安全快速處置方案和系統(tǒng)。

系統(tǒng)可實(shí)時(shí)接收或者手動(dòng)輸入政府主管部門(mén)、江蘇移動(dòng)發(fā)現(xiàn)的偽基站下發(fā)含有欺詐域名的短信，進(jìn)行快速識(shí)別與判定欺詐域名，將欺詐域名與指定的安全提醒頁(yè)面IP通過(guò)指定接口傳遞給江蘇移動(dòng)域名解析系統(tǒng)。江蘇移動(dòng)域名解析系統(tǒng)接收到欺詐域名與安全提醒頁(yè)面IP，自動(dòng)將欺詐域名的A記錄強(qiáng)制解析為安全提醒頁(yè)面IP。當(dāng)用戶訪問(wèn)欺詐短信中的域名時(shí)，終端瀏覽器將會(huì)向域名解析系統(tǒng)發(fā)起欺詐域名的查詢請(qǐng)求，域名解析系統(tǒng)返回欺詐域名的A記錄為安全提醒頁(yè)面的IP，用戶最終訪問(wèn)到安全提醒頁(yè)面，而不是欺詐域名的釣魚(yú)網(wǎng)站。

政府主管部門(mén)的安全分析平臺(tái)傳送數(shù)據(jù)給運(yùn)營(yíng)商域名安全管理系統(tǒng)，由域名安全管理系統(tǒng)域名歷史解析熱度的統(tǒng)計(jì)值，過(guò)濾掉白名單中熱點(diǎn)域名，自動(dòng)封堵余留下來(lái)的屬于冷點(diǎn)的真實(shí)偽基站域名。這樣只要在少數(shù)智能終端上采集到包含非法鏈接的短信，就能夠通過(guò)域名解析系統(tǒng)保護(hù)運(yùn)營(yíng)商全網(wǎng)的終端用戶，使其無(wú)法訪問(wèn)欺詐短信中嵌入的違規(guī)鏈接，避免上當(dāng)受騙，造成經(jīng)濟(jì)損失。

域名安全管理系統(tǒng)包括違規(guī)鏈接接收模塊、違規(guī)域名提取模塊、違規(guī)域名封堵3個(gè)模塊。

3.1 違規(guī)鏈接接收模塊

通過(guò)事先協(xié)商的接口規(guī)則，接收安全分析平臺(tái)傳送來(lái)的違規(guī)鏈接。安全分析平臺(tái)一般由政府主管部門(mén)及運(yùn)營(yíng)商的所設(shè)置，可從偽基站短信、垃圾短信監(jiān)測(cè)系統(tǒng)中初步采集出違規(guī)鏈接。

3.2 違規(guī)域名提取模塊

（1）將(欺詐短信中的)違規(guī)鏈接（格式可能是域名、URL、短網(wǎng)址等）截取出來(lái)。

（2）將短網(wǎng)址轉(zhuǎn)義為長(zhǎng)網(wǎng)址并識(shí)別違規(guī)域名。

（3）根據(jù)運(yùn)營(yíng)商域名解析系統(tǒng)解析日志分析出域名解析熱度，將TOP域名（如TOP10萬(wàn)）加入到白名單中，白名單中的域名認(rèn)為是可信域名不進(jìn)行自動(dòng)封堵。

（4）將違規(guī)域名與白名單進(jìn)行匹配，剔除掉白名單中已有域名，余留下來(lái)的屬于冷點(diǎn)的真實(shí)偽基站域名。

如果想進(jìn)一步挖掘出更多的違規(guī)域名，可以繼續(xù)如下分析。

（1）通過(guò)撥測(cè)系統(tǒng)獲取違規(guī)域名的解析IP，根據(jù)域名解析系統(tǒng)解析日志紀(jì)錄，由IP反查出其它解析到該IP的違規(guī)域名。

（2）根據(jù)違規(guī)域名通過(guò)Whois查詢出該域名注冊(cè)者名下的其它域名。

圖1 違規(guī)域名處理流程

（3）直接訪問(wèn)違規(guī)域名或者URL判斷是否為違規(guī)域名。

（4）將違規(guī)域名上傳給域名解析系統(tǒng)系統(tǒng)。

3.3 違規(guī)域名封堵模塊

（1）將違規(guī)域名提取模塊甄別出來(lái)的違規(guī)域名，在運(yùn)營(yíng)商本地域名解析系統(tǒng)上強(qiáng)制解析到安全提醒網(wǎng)頁(yè)服務(wù)器所對(duì)應(yīng)的IP。

（2）支持對(duì)誤封堵的域名取消強(qiáng)制解析功能。

處理流程如圖1所示。

流程101：不法分子建立偽基站，將運(yùn)營(yíng)商網(wǎng)絡(luò)信號(hào)屏蔽后，強(qiáng)行將用戶的手機(jī)劫持到偽基站的網(wǎng)絡(luò)，偽造公眾號(hào)碼向受害者終端發(fā)送含有違規(guī)鏈接的欺詐短信。

流程102：終端用戶接收到偽基站下發(fā)的欺詐短信，被終端上的安全軟件識(shí)別并統(tǒng)計(jì)到相關(guān)部門(mén)的大數(shù)據(jù)安全分析平臺(tái)。

流程103：安全分析平臺(tái)分析偽基站下發(fā)的疑似欺詐短信，并將之實(shí)時(shí)傳送到防欺詐域名安全管理系統(tǒng)。

流程104：防欺詐域名安全管理系統(tǒng)對(duì)欺詐短信中的URL、短網(wǎng)址、域名等進(jìn)行提取，并將域名進(jìn)行撥測(cè)獲取解析IP，并通過(guò)IP反查以及Whois查詢?cè)撚蛎?cè)者的其它違規(guī)域名；直接訪問(wèn)違規(guī)域名或者URL判斷是否為違規(guī)域名。

流程105：防欺詐域名安全管理系統(tǒng)將甄別出來(lái)的違規(guī)域名下發(fā)到本地域名解析系統(tǒng)。

流程106：本地域名解析系統(tǒng)將域名強(qiáng)制解析到安全提醒頁(yè)面的服務(wù)IP。

流程107：終端用戶點(diǎn)擊欺詐短信中的鏈接時(shí)，會(huì)向本地域名解析系統(tǒng)發(fā)起查詢請(qǐng)求。

流程108：本地域名解析系統(tǒng)將安全提醒頁(yè)面的服務(wù)IP作為解析結(jié)果返回終端用戶。

流程109：終端用戶最終訪問(wèn)到安全提醒頁(yè)面，而不是不法分子的釣魚(yú)網(wǎng)站，避免受損。

4 部署情況和效果

根據(jù)以上思路和方案，江蘇移動(dòng)聯(lián)合江蘇省公安廳、亞信科技（成都）有限公司，從2016年3月開(kāi)發(fā)，并在現(xiàn)網(wǎng)上部署了防欺詐域名安全管理系統(tǒng)。據(jù)最新數(shù)據(jù)統(tǒng)計(jì)（2016年9月30日），該系統(tǒng)自2016年4月上線以來(lái)共封堵欺詐違規(guī)鏈接14 744個(gè)，實(shí)現(xiàn)對(duì)893萬(wàn)人次進(jìn)行釣魚(yú)網(wǎng)站攔截重定向服務(wù)，將用戶及時(shí)引導(dǎo)至提示頁(yè)面，成功為即將訪問(wèn)釣魚(yú)網(wǎng)站的用戶提供了有效的安全防護(hù)。據(jù)江蘇省公安廳數(shù)據(jù)，江蘇移動(dòng)防欺詐域名安全管理系統(tǒng)上線后，江蘇偽基站詐騙發(fā)案數(shù)量環(huán)比下降95%，效果顯著。

[1]Gary R． Wright W． Richard Stevens． TCP/IP 詳解 卷1：協(xié)議[M]．范建華， 胥光輝，張濤，等，譯． 北京：機(jī)械工業(yè)出版社， 2001．

News 現(xiàn)代集團(tuán)選用思博倫解決方案用于車(chē)載以太網(wǎng)一致性測(cè)試

思博倫通信近日宣布，思博倫的C50+TTworkbench解決方案已被韓國(guó)現(xiàn)代汽車(chē)集團(tuán)選定并用于驗(yàn)證車(chē)載聯(lián)網(wǎng)技術(shù)。

今天的汽車(chē)擁有超過(guò)100種發(fā)動(dòng)機(jī)控制單元（ECU)，而且越來(lái)越多的汽車(chē)都開(kāi)始支持多路攝像頭和先進(jìn)駕駛員輔助系統(tǒng)（ADAS）等高級(jí)特性，因此汽車(chē)設(shè)計(jì)師必須采用容量更高的車(chē)載網(wǎng)絡(luò)。汽車(chē)以太網(wǎng)聯(lián)網(wǎng)技術(shù)源于計(jì)算機(jī)聯(lián)網(wǎng)技術(shù)，而且全世界的汽車(chē)OEM廠商都在使用這一技術(shù)。

為了開(kāi)發(fā)和驗(yàn)證其汽車(chē)以太網(wǎng)系統(tǒng)，并確定適用于車(chē)輛的各種最佳以太網(wǎng)設(shè)計(jì)，現(xiàn)代集團(tuán)正在使用思博倫的解決方案對(duì)其以太網(wǎng)ECU加以驗(yàn)證?，F(xiàn)代集團(tuán)一直致力于提供全新的車(chē)載能力并不斷滿足客戶極高的期望，因此，采用思博倫的測(cè)試設(shè)備無(wú)疑最合理的選擇。

思博倫汽車(chē)業(yè)務(wù)發(fā)展總監(jiān)Thomas Schulze 指出：“思博倫的TTworkbenchand提供的是一種易于使用的測(cè)試環(huán)境，將幫助現(xiàn)代集團(tuán)有效地驗(yàn)證其車(chē)載以太網(wǎng)絡(luò)，確保它們具備可支持當(dāng)今聯(lián)網(wǎng)汽車(chē)中各類(lèi)先進(jìn)應(yīng)用的強(qiáng)健能力。IT和電信等行業(yè)都在使用思博倫的解決方案來(lái)測(cè)試和驗(yàn)證其產(chǎn)品和服務(wù)，而我們多年積累的豐富經(jīng)驗(yàn)也將為汽車(chē)行業(yè)提供強(qiáng)有力的支持，確保該行業(yè)能夠成功建造出適應(yīng)未來(lái)的優(yōu)秀車(chē)輛。”

TTworkbench是一種特性全面的集成式測(cè)試開(kāi)發(fā)和執(zhí)行環(huán)境（IDE），適用于任何類(lèi)型的測(cè)試自動(dòng)化項(xiàng)目。C50+ TTworkbench可以提供多種功能，其中也包括被測(cè)設(shè)備監(jiān)視和模擬。它還可支持所有的國(guó)際標(biāo)準(zhǔn)測(cè)試?yán)?，包括OPEN Alliance測(cè)試?yán)虯Vnu汽車(chē)測(cè)試?yán)?，而所有這些特性對(duì)于現(xiàn)代集團(tuán)而言都很關(guān)鍵。C50+還包含最新發(fā)布的汽車(chē)以太網(wǎng)協(xié)議一致性測(cè)試套裝，而且在配備了基于OPEN Alliance標(biāo)準(zhǔn)的BroadR-Reach網(wǎng)絡(luò)接口卡的思博倫C1和C50平臺(tái)上，這些套裝均可運(yùn)行自如。

（彭芳)

Research and application of fraud prevention security domain name security management system

WU Jing, SHI Zhen-jun
(China Mobile Group Jiangsu Co., Ltd., Nanjing 210012, China)

This paper analyzes the current characteristics of information fraud in mobile Internet, proposes a scheme and system for fraud prevention security based on domain name system, and introduces the effect of the system in the current network application.

fraud prevention; domain name system; security

TN918

A

1008-5599（2016）12-0032-04

2016-11-23