一種基于云管端聯(lián)動的互聯(lián)網(wǎng)詐騙治理方法研究

趙俊，王丹弘

（中國移動通信集團(tuán)廣東有限公司，廣州 510623）

一種基于云管端聯(lián)動的互聯(lián)網(wǎng)詐騙治理方法研究

趙俊，王丹弘

（中國移動通信集團(tuán)廣東有限公司，廣州 510623）

本文主要針對互聯(lián)網(wǎng)詐騙，提出了一種基于“云-管-端”三位一體聯(lián)動的互聯(lián)網(wǎng)詐騙綜合治理方法，包括在云側(cè)開展受害用戶詐騙場景還原與威脅情報研判、多數(shù)據(jù)源挖掘分析等；在管道側(cè)進(jìn)行實時數(shù)據(jù)采集、監(jiān)控與技術(shù)檢測；在端側(cè)宣傳詐騙防范與安全視窗預(yù)警能力，形成了事前防范、事中控制、事后追溯的互聯(lián)網(wǎng)詐騙治理閉環(huán)，并通過實踐證明此方法的科學(xué)性和有效性，為電信運營企業(yè)開展互聯(lián)網(wǎng)詐騙治理提供了可以借鑒的方法和思路。

互聯(lián)網(wǎng)詐騙；釣魚網(wǎng)站；惡意軟件；治理

1 研究背景

通信網(wǎng)絡(luò)詐騙是指犯罪分子通過電話、網(wǎng)絡(luò)和短信方式，編造虛假信息，對受害人實施遠(yuǎn)程、非接觸式詐騙，誘使受害人給犯罪分子打款或轉(zhuǎn)賬的犯罪行為。互聯(lián)網(wǎng)詐騙是通信網(wǎng)絡(luò)詐騙的一種形式，是指以非法占有為目的，利用互聯(lián)網(wǎng)采用虛構(gòu)事實或者隱瞞真相的方法，騙取數(shù)額較大的公私財物的行為。

近10年來， 全國通信網(wǎng)絡(luò)詐騙，特別是互聯(lián)網(wǎng)詐騙發(fā)案率持續(xù)上升，互聯(lián)網(wǎng)詐騙案件每年以20%～30%的速度快速增長。2017年1-7月，全國共立互聯(lián)網(wǎng)詐騙案件15.5萬起，同比上升36.4%，造成損失24.2億元。以廣東地區(qū)為例，自2016年下半年至今，全省共破獲各類電信網(wǎng)絡(luò)詐騙案件近3 000起，同比上升約7.8%；抓獲犯罪嫌疑人近400名，同比上升近10%。

猖獗的互聯(lián)網(wǎng)詐騙違法犯罪，嚴(yán)重侵害人民群眾財產(chǎn)安全和合法權(quán)益，也引起了中央高層的重視。2016年6月，經(jīng)國務(wù)院批準(zhǔn)，公安部聯(lián)合建立組成打擊治理電信網(wǎng)絡(luò)新型違法犯罪工作部際聯(lián)席會議制度，加強(qiáng)對全國打擊治理互聯(lián)網(wǎng)詐騙工作的組織領(lǐng)導(dǎo)和統(tǒng)籌協(xié)調(diào)。

互聯(lián)網(wǎng)詐騙危害大、難治理。如果不全面的、從源頭上根治灰黑產(chǎn)業(yè)鏈、切斷犯罪利益鏈，就難以從根本上鏟除互聯(lián)網(wǎng)詐騙犯罪滋生、實施和蔓延的溫床。因此，迫切需要研究和設(shè)計一套行之有效的全方位打擊、防范、治理互聯(lián)網(wǎng)詐騙的技術(shù)和實施方案。

2 整體思路

互聯(lián)網(wǎng)詐騙作為新型網(wǎng)絡(luò)通信犯罪，與傳統(tǒng)的詐騙犯罪相比具備覆蓋面廣、非接觸式、隱蔽性強(qiáng)、智能化等特點。為有效應(yīng)對互聯(lián)網(wǎng)詐騙的特點，本文提出了一種基于“云管端”三位一體、相互聯(lián)動的互聯(lián)網(wǎng)詐騙綜合治理方法，包括在管道側(cè)進(jìn)行互聯(lián)網(wǎng)詐騙行為的發(fā)現(xiàn)、監(jiān)測和攔截；在云側(cè)多渠道、多數(shù)據(jù)源的大數(shù)據(jù)挖掘，進(jìn)行受害用戶詐騙場景還原和威脅信息研判；在端側(cè)進(jìn)行終端用戶防范互聯(lián)網(wǎng)詐騙安全意識培訓(xùn)，通過安全客戶端推送互聯(lián)網(wǎng)詐騙安全預(yù)警等3個方面。云、管、端3個層面相互聯(lián)動，互相配合，缺一不可，共同構(gòu)成事前防范、事中控制和事后追溯的一體化防范治理互聯(lián)網(wǎng)詐騙方案，整體思路的具體方法如下文所述。

3 云側(cè)互聯(lián)網(wǎng)詐騙治理手段

云側(cè)互聯(lián)網(wǎng)詐騙治理手段是指以大數(shù)據(jù)為核心，綜合運用多種監(jiān)測防范技術(shù)，面向詐騙網(wǎng)址、偽基站詐騙短信、仿冒網(wǎng)站、移動惡意程序等多個互聯(lián)網(wǎng)網(wǎng)絡(luò)信息詐騙環(huán)節(jié)，實現(xiàn)互聯(lián)網(wǎng)詐騙綜合監(jiān)測、綜合分析、綜合預(yù)警和綜合處置。實現(xiàn)多環(huán)節(jié)的欺詐群體識別、多場景的詐騙事件還原、多角度的受害人群分析、多維度的詐騙案件關(guān)聯(lián)、多渠道的黑產(chǎn)信息溯源，為互聯(lián)網(wǎng)詐騙綜合防范提供技術(shù)支撐。

在云側(cè)可以針對新出現(xiàn)的潛在互聯(lián)網(wǎng)詐騙行為進(jìn)行預(yù)防分析?；ヂ?lián)網(wǎng)詐騙通常是以事件為核心，傳播途徑和詐騙手法的多樣性決定了需要以安全事件為核心串聯(lián)各業(yè)務(wù)安全事件才能實現(xiàn)對抗，將不同業(yè)務(wù)的安全事件串聯(lián)起來，通過業(yè)務(wù)之間的關(guān)系縮小分析范圍，目標(biāo)更明確；通過不同業(yè)務(wù)之間的特征提取，完善各業(yè)務(wù)特征庫。

潛在詐騙行為預(yù)防和分析主要是通過大數(shù)據(jù)分析進(jìn)行新詐騙類型挖掘和新詐騙類型建模兩個部分：

（1）新詐騙類型挖掘：對檢測到的異常行為序列進(jìn)行歸納，對可疑的行為進(jìn)行確認(rèn)，分析其出現(xiàn)概率與相關(guān)性，結(jié)合已有詐騙手法規(guī)律進(jìn)行交叉驗證，挖掘新的詐騙手法。

（2）新詐騙類型建模：結(jié)合從公安機(jī)關(guān)獲取的報案數(shù)據(jù)，針對新的詐騙手法建立新的詐騙模型，通過對歷史數(shù)據(jù)進(jìn)行驗證分析以及依據(jù)黑特征進(jìn)行行為訓(xùn)練，構(gòu)建新的詐騙檢測模型。

此外，還可以開展互聯(lián)網(wǎng)詐騙案件串并分析。通過對不同案件線索中的數(shù)據(jù)進(jìn)行分析，可發(fā)現(xiàn)案件線索之間的數(shù)據(jù)重合及特定對象之間的數(shù)據(jù)通信聯(lián)系，找出不同案件線索之間的內(nèi)在聯(lián)系，方便公安辦案人員對多個相關(guān)案件進(jìn)行聯(lián)立偵破等。

4 管道側(cè)互聯(lián)網(wǎng)詐騙治理手段

管道側(cè)互聯(lián)網(wǎng)詐騙技術(shù)治理手段綜合運用多種監(jiān)測防范技術(shù)，面向詐騙電話、詐騙短信、仿冒網(wǎng)站、偽基站、惡意程序等多個通信信息詐騙環(huán)節(jié)，實現(xiàn)通信信息詐騙綜合監(jiān)測、綜合分析、綜合預(yù)警和綜合處置。實現(xiàn)多環(huán)節(jié)的欺詐群體識別、多場景的詐騙事件還原、多角度的受害人群分析、多維度的詐騙案件關(guān)聯(lián)、多渠道的黑產(chǎn)信息溯源，為通信信息詐騙綜合防范提供技術(shù)支撐。

4.1 釣魚網(wǎng)站治理

釣魚網(wǎng)站技術(shù)治理主要是針對互聯(lián)網(wǎng)詐騙過程中常見的各類仿冒金融機(jī)構(gòu)、在線電商、政法機(jī)關(guān)的網(wǎng)站進(jìn)行發(fā)現(xiàn)和攔截。

當(dāng)前釣魚網(wǎng)址生命周期短，變化多樣，快速從百億級別的網(wǎng)址中找到釣魚網(wǎng)址是治理的關(guān)鍵。在治理釣魚網(wǎng)站的環(huán)節(jié)中，運營商具有天然的智能管道優(yōu)勢，實現(xiàn)釣魚網(wǎng)站主動監(jiān)測和封堵。

釣魚網(wǎng)址分析主要是對從前端運營商話單接入子系統(tǒng)上報的疑似詐騙網(wǎng)址進(jìn)行研判分析、人工審核等。用戶訪問日志和短信日志首先經(jīng)過靜態(tài)分析引擎進(jìn)行檢查，對于確認(rèn)的詐騙網(wǎng)址直接輸出安全分級事件，對于疑似詐騙網(wǎng)址進(jìn)入動態(tài)分析引擎進(jìn)行分析，動態(tài)分析引擎輸出疑似詐騙網(wǎng)址和非詐騙網(wǎng)址結(jié)果信息，對于以上詐騙網(wǎng)址經(jīng)過人工審核確認(rèn)是否為詐騙網(wǎng)址，對于確認(rèn)為詐騙網(wǎng)址的加載至靜態(tài)分析引擎，對于確認(rèn)為非詐騙網(wǎng)址的反饋至動態(tài)分析引擎，用于進(jìn)行模型訓(xùn)練。

4.2 移動惡意軟件治理

除了仿冒網(wǎng)站外，目前已經(jīng)發(fā)現(xiàn)針對各大銀行、聊天軟件的仿冒應(yīng)用等移動惡意軟件。用戶不小心點了網(wǎng)頁鏈接或者掃描了危險的二維碼，會下載安裝和正常程序一模一樣的應(yīng)用APP，從而竊取用戶真實的用戶名和密碼。

移動惡意軟件治理技術(shù)手段主要實現(xiàn)對疑似仿冒應(yīng)用事件行為信息的匯聚、疑似仿冒應(yīng)用行為篩選和上報，支持利用全網(wǎng)仿冒應(yīng)用下載URL庫和全網(wǎng)仿冒應(yīng)用主控URL庫對獲得的網(wǎng)絡(luò)日志進(jìn)行檢測，發(fā)現(xiàn)用戶連接仿冒應(yīng)用的主控URL和下載URL事件。

此外，移動惡意軟件治理還可以開展程序樣本研判分析工作，主要是對預(yù)處理篩選后的疑似樣本，采用相關(guān)技術(shù)手段（如反編譯、反匯編等靜態(tài)分析技術(shù)，網(wǎng)絡(luò)行為分析、短彩信行為分析、本地行為分析等動態(tài)分析技術(shù)），輸出可能的惡意行為點，并根據(jù)研判標(biāo)準(zhǔn)進(jìn)行仿冒應(yīng)用判定，最終提取特征。

4.3 詐騙短信治理

偽基站詐騙短信治理技術(shù)手段主要是通過在線檢測和離線學(xué)習(xí)兩種方式實現(xiàn)。

離線檢測主要是對歷史數(shù)據(jù)基于短信詐騙模型采用大數(shù)據(jù)分析方法，從短信發(fā)送的行為、發(fā)送的內(nèi)容采用深度學(xué)習(xí)、標(biāo)簽標(biāo)記、聚類分析以及人工干預(yù)等方法，檢測出詐騙短信，包含詐騙短信的內(nèi)容關(guān)鍵詞、號碼、URL等信息，生成特征知識庫。

在線檢測是利用離線檢測模塊生成的特征知識庫進(jìn)行在線快速檢測，輸出檢測結(jié)果數(shù)據(jù)，包括詐騙號碼、受害用戶、詐騙類型以及詐騙提醒建議等。在線檢測主要使用正則表達(dá)式進(jìn)行快速檢測，包括號碼檢測、文本檢測、URL檢測、敏感特征詞檢測等。

在線檢測和離線檢測在邏輯上形成閉環(huán)機(jī)制，離線檢測為在線檢測提供技術(shù)手段，如知識庫和檢測算法，在線檢測為離線檢測提供數(shù)據(jù)。

4.4 網(wǎng)絡(luò)監(jiān)測與封堵

網(wǎng)絡(luò)監(jiān)測與封堵的技術(shù)手段分為前端系統(tǒng)和后端系統(tǒng)兩部分。前端系統(tǒng)包括互聯(lián)網(wǎng)詐騙的采集和攔截：

（1）前端采集部分通過分光方式獲取信令和媒體流量，進(jìn)行信令解析和行為還原。

（2）對于命中黑名單的會話連接進(jìn)行實時攔截；對命中灰名單的會話特征還原，并進(jìn)行特征比對，對命中的進(jìn)行實時攔截。

（3）前端攔截部分通過分別構(gòu)造主被叫釋放信令的數(shù)據(jù)包回注到CE/交換機(jī)，分別向源和目的發(fā)起釋放信令消息，實現(xiàn)會話訪問的攔截。

后端系統(tǒng)用作詐騙電話的數(shù)據(jù)存儲、分析和展現(xiàn)。后端分析分析部分包括存儲、行為數(shù)據(jù)分析、信令特征和行為特征分析，輸出用于前端攔截的策略與特征，同時通過短信/電話進(jìn)行受害用戶提醒。

5 端側(cè)互聯(lián)網(wǎng)詐騙治理手段

端側(cè)互聯(lián)網(wǎng)詐騙治理，主要通過強(qiáng)化短信、安全頁面、客戶端等渠道的宣傳教育，建立全覆蓋的互聯(lián)網(wǎng)詐騙手法快速發(fā)布機(jī)制，及時發(fā)現(xiàn)歸納不法分子實施詐騙的新手法新伎倆，通過多種渠道向公眾發(fā)布預(yù)警防范提示。

（1）建立全覆蓋的互聯(lián)網(wǎng)詐騙手法快速發(fā)布機(jī)制，及時發(fā)現(xiàn)歸納不法分子實施詐騙的新手法新伎倆，通過多種渠道向公眾發(fā)布預(yù)警防范提示。

（2）建立全環(huán)節(jié)的互聯(lián)網(wǎng)防詐騙提醒機(jī)制，圍繞可能產(chǎn)生電信網(wǎng)絡(luò)詐騙行為和后果的各環(huán)節(jié)，開展標(biāo)準(zhǔn)化、規(guī)范化的防詐騙提醒。

（3）建立全民化的防詐騙宣傳參與機(jī)制，采取群眾喜聞樂見的形式和以案釋法等方式，通過安全視窗、營業(yè)廳臺、下發(fā)短信、外呼等，有的放矢開展防詐騙宣傳，并建立健全舉報獎勵制度，讓詐騙分子成為過街老鼠、人人喊打。

6 結(jié)論

本文針對互聯(lián)網(wǎng)詐騙，提出了一種基于“云-管-端”三位一體聯(lián)動的互聯(lián)網(wǎng)詐騙綜合治理方法，并通過實際工作應(yīng)用進(jìn)行了充分的驗證和實踐，證明了此方法的科學(xué)性和有效性，為電信運營企業(yè)開展互聯(lián)網(wǎng)詐騙治理提供了可以借鑒的方法和思路。

雖然互聯(lián)網(wǎng)詐騙的打擊治理工作取得了一定成效，但互聯(lián)網(wǎng)詐騙犯罪的高發(fā)勢頭仍沒有從根本上得到遏制。我們要深刻認(rèn)識當(dāng)前互聯(lián)網(wǎng)詐騙違法犯罪形勢的嚴(yán)峻性、復(fù)雜性，突出問題導(dǎo)向、進(jìn)一步推進(jìn)打擊互聯(lián)網(wǎng)詐騙行動向縱深發(fā)展。

（1）進(jìn)一步強(qiáng)化源頭治理，切實履行監(jiān)管責(zé)任，嚴(yán)格落實監(jiān)管措施，著力堵塞監(jiān)管漏洞，堅決切斷互聯(lián)網(wǎng)詐騙犯罪鏈條。

（2）嚴(yán)格落實電信領(lǐng)域整治措施，建設(shè)完善電信網(wǎng)和互聯(lián)網(wǎng)國際出入口詐騙電話防范系統(tǒng)、電信網(wǎng)省際出入口詐騙電話防范系統(tǒng)，指導(dǎo)督促電信企業(yè)嚴(yán)格落實電話用戶真實身份信息登記制度，對整改不力、屢次違規(guī)的虛擬運營商，要依法依規(guī)堅決查處。

（3）嚴(yán)格落實聯(lián)合銀行金融領(lǐng)域整治措施，建立完善銀行賬戶和支付賬戶異常資金交易風(fēng)險防控系統(tǒng)，指導(dǎo)督促各商業(yè)銀行抓緊完成借記卡存量清理工作，研究制定加強(qiáng)支付結(jié)算管理的有效措施。

（4）嚴(yán)格落實配合管局及公檢法等機(jī)關(guān)對互聯(lián)網(wǎng)領(lǐng)域整治措施，強(qiáng)化網(wǎng)絡(luò)安全防護(hù)，督促互聯(lián)網(wǎng)企業(yè)對搜索引擎、QQ群、微信群等網(wǎng)絡(luò)空間進(jìn)行清理整頓，堅決切斷不法分子利用互聯(lián)網(wǎng)實施詐騙的渠道。

[1] 互聯(lián)網(wǎng)詐騙案件啟示[J]. 黑龍江金融， 2017，(05)：78-79.

[2] 李凱. 淺析互聯(lián)網(wǎng)詐騙預(yù)防機(jī)制——以警媒合作為視角[J].新聞研究導(dǎo)刊， 2017，8(07)：63-64.

[3] 吳朝平.“互聯(lián)網(wǎng)+”背景下互聯(lián)網(wǎng)詐騙的發(fā)展變化及其防控[J].中國人民公安大學(xué)學(xué)報(社會科學(xué)版)， 2015，31(06)：17-21.

[4] 趙琳. 互聯(lián)網(wǎng)詐騙犯罪的實踐難題及解決[D]. 沈陽：遼寧大學(xué)， 2014.

[5] 黃首華. 互聯(lián)網(wǎng)詐騙犯罪偵防對策研究[D]. 蘭州：甘肅政法學(xué)院， 2013.

[6] 高蘊嶙， 李京. 互聯(lián)網(wǎng)詐騙犯罪偵查難點及實證對策研究重慶郵電大學(xué)學(xué)報(社會科學(xué)版)[J]. 2013，25(01)：33-38.

[7] 胡向陽， 劉祥偉， 彭魏. 互聯(lián)網(wǎng)詐騙犯罪防控對策研究[J].中國人民公安大學(xué)學(xué)報(社會科學(xué)版)， 2010，26(05)：90-98.

Research on internet fraud governance approach based on cloud - pipeline - terminal linkage

ZHAO Jun, WANG Dan-hong
(China Mobile Group Guangdong Co., Ltd., Guangzhou 510623, China)

This paper aims at Internet fraud, and puts forward a comprehensive management method of Internet fraud based on "cloud - tube - terminal" trinity linkage. Including in the cloud to deceive the user fraud scene restoration and threat intelligence research, multi-source mining analysis. In the pipeline for realtime data acquisition, monitoring and technical testing. In the terminal to promote fraud prevention and security window warning capabilities, formed in advance to prevent, in the control, tracing the Internet fraud control loop. And and provide methods and ideas can be used for reference for telecom enterprises Internet fraud governance.

internet fraud; fhishing website; malicious malware; governance

TN918

A

1008-5599（2017）11-0031-04

2017-10-11