高渊1,张麾军1,韩冰建2,陆艳军3
(1 中国移动通信集团重庆有限公司,重庆 401121;2 北京神州绿盟科技有限公司,北京 100000;3 重庆理工大学,重庆 400054)
摘 要 随着互联网技术的不断发展,互联网呈现持续高发态势,引起社会各界高度关注。同时,随着5G技术的
发展,连接设备数量激增,导致数据源更丰富,产生的数据量呈指数上升,识别和防止的数据处理愈加复杂。对运营商而言,传统防欺诈技术将不再适用,必须不断探索新的技术手段。基于此,本文提出开发一套互联网治理系统,建立新型互联网的检测模型,对社交软件特征进行深度分析,重点分析本地疑似互联网窝点,配合业务部门开展能力输出工作,提前告知预警。 中图分类号 TN918 文献标识码 A 文章编号 1008-5599(2021)02-0030-06
收稿日期:2020-11-29
我国已经进入互联网大数据时代,社交方式和支付方式发生了巨大改变,多元文化正在改变着人们的思想和观念,其背后引发的信息安全问题同样值得人们深思。一方面,当前受新冠肺炎疫情影响,中小企业规模萎缩,就业形势严峻,对一部分人生活造成较大影响。另一方面,随着互联网支付的普及,从事小偷小摸的社会闲散人员没有了收入来源而销声匿迹。这两类人大量涌入互联网行业,导致目前互联网事件高发,抑制难度加大。
随着物联网的快速发展,物联网卡逐渐流入黑产市场。物联网卡作为万物互联的主要连接手段,广泛应用于交通行业、智慧城市、智能物流和自动售卖机等需要无线联网的智能终端设备。相较于个人手机卡业务,不同物联网业务对短信、语音和数据等基础功能需求存在明显差异,导致物联网卡在资费方面有着巨大优势,吸
引了大量行业客户。然而,因为物联网卡批量开卡的特性,在销售给客户后很难避免被挪用和滥用,导致部分卡流入到渠道,从而间接助长了电信网络的泛滥。
传统的电话主动监测防御模式针对的是电话语音进行分析,现目前分子的工具和手法更趋多样化,融合了语音、短信和流量等方式,已进入到互联网时代。因此,传统电话监测手段已难以奏效,以互联网场景及视角构建全方位防御体系打击通信势在必行。
针对上述问题,本文提出了互联网治理系统,并将其运用到实际的企业生产中去,对疑似用于电
信网络的手机卡或物联网卡(简称“号卡”)进行挖掘分析及关停处置,有效解决基础运营商当前防范治理电信网络技术手段与分子不对等的问题,弥补互
联网反诈分析短板,提升治理效率。
1 互联网犯罪治理所面临的问题
1.1 取证困难
从法律的角度而言,到充足的证据来证明电信网络犯罪分子的行为事实非常重要,否则就只能任由犯罪分子逍遥法外,但是根据司法实践中的情况,电信网络案件在调查取证的过程中会面临诸多困难,导致电信网络涉案金额多、追回比例少。首先,电信网络犯罪分子作案手段隐蔽,犯罪分子在实施犯罪行为时往往通过虚假的身份信息注册网络账户,隐匿于网络世界。在成功之后,又会在第一时间丢弃网络账号,以致案发后很难到相关的证据将犯罪行为的实施与特定的犯罪嫌疑人对应起来。其次,电信网络受害人数众多且资金流向复杂。在电信网络犯罪案件的取证过程中,由于被害人散布于全国各地,因此侦查人员要花费大量的时间和精力去搜集被害人的供述,并耗费大量时间剖析案情寻突破口。最后,绝大多数电信网络犯罪分子将总部设置在,通过远程操作的方式对国内众实施,更加增大了打击治理难度。
因此,打击电信网络的关键在于源头治理,关口前移,通过对号卡在流通、配置、实施阶段表现出的行为特征进行分析,及时阻断行为,避免人民众财产遭受损失。
1.2 新型网络犯罪花样频出
互联网的发展深刻改变并丰富着我们的生活,也丰富着网络犯罪分子的想象力和犯罪手段。在QQ和网络论坛刚刚兴起时,网络犯罪分子通过QQ聊天和在论坛上发布信息来实施;当支付宝的借呗和花呗功能受到越来越多人青睐时,又有人以提升借呗和花呗额度为借口实施;当全面炒股的时代到来后,犯罪分子又通过设计虚假的炒股软件来实施。此外,还有犯罪分子利用Wi-Fi热点套取他人的银行卡和支付宝信息。总而言之,在我国司法实践中,网络犯罪分子使用的手段让人眼花缭乱,不仅让普通的民众防不胜防,更是给侦查机关侦办网络犯罪案件带来了巨大的困难。
2 互联网治理系统设计
互联网治理系统的核心是通信运营商网络数据信息,通过采集、清洗、标准化和存储,提取业务特征,使用统计学和聚类/分类识别的方式,形成检测新型互联网的检测模型,分析互联网行为,提前告知预警,帮助企业、执法部门快速核查处置,从而有效控制大规模风险,将安全问题解决于萌芽之中。
本系统以互联网治理工作需求为出发点,灵活应对5G规模应用后形式的变化,基于QQ和等社交软件特征进行深度分析,重点监控特定地区发售号卡互联网行为,可支撑分析本地疑似互联网窝点特征,协同反诈部门共同推进反诈治理工作。
2.1 系统架构
互联网治理系统整体架构如图1所示,包含数据源层、模型层、功能层和呈现层4个逻辑层次。
2.1.1 数据源层
数据源层是指平台接入的各类数据源,数据主要来源为基础计费话单数据、各类基础维表表单(包括区域维表和位置维表等)、日志行为表单、产品信息和用户标识。平台完成原始数据的接入后,对数据进行初步的整理工作,包括清洗、标准化、数据补齐和标签化等,以及对数据进行存储,为上层安全分析提供数据支撑。
2.1.2 模型层
模型层是指基于原始数据的分析研判过程,包括统计分析和机器学习等,实现对互联网行为特征的精准分析。
2.1.3 功能层
功能层实现基础分析模型的精细化数据整合,并对外进行能力输出,包括窝点聚集卡信息、窝点
异常行为和地理位置分布,重点支撑本地反诈部门对窝点进行精准打击。
2.1.4 呈现层
呈现层通过用户视角,将互联网态势进行可视化呈现,包含异常安全告警、趋势分析、综合分析和文档输出等。
输电线路监测
2.2 反欺诈工作流程
狭基线纹香茶菜基于平台能力开展反欺诈工作,分为行为分析、分析模型固化以及黑名单和白名单标记3个环节,最终完成分析模型的固化,形成黑白名单标记库。
2.2.1 行为分析
针对行为进行分析,包含事前、事中行为特征数据及日志溯源情况,将异常数据提取特征进行入库。对特征入库数据、关联号码特征数据及情报库进行人工验证,确保特征画像准确地反映出异常行为。
2.2.2 分析模型固化
对各类话单进行单特征筛选,得出低威胁黑名单,增加过滤条件。通过聚类分析和机器学习等算法,对分析过程进行模型固化。
2.2.3 黑名单和白名单标记
黑名单标记主要对模型固化阶段的低威胁黑名单进一步结合位置聚集分析以及固化模型分析,形成高威胁黑名单,用作关停过滤条件。
白名单标记基于从主号码各类标识数据以及金银铜卡的情报数据构建白名单行为特征,形成白名单库,用作关停过滤条件。
2.3 系统主要技术分析
2.3.1 大数据分析技术
在海量的安全数据中,各类数据之间有千丝万缕的联系,通过对这些联系的分析,可以发现很多靠传统手段无法发现的安全问题。但是面对海量移动号卡产生的海量话单和行为日志,如何有效地对数据进行高效组织和利用成为了关键。
本系统结合了笔者在反诈大数据分析方面的技术积图1 互联网治理系统架构
累,提出了多种移动号卡异常分析方法论,有效提升电信网络大数据治理成效。
2.3.2 互联网安全分析模型
漂浮大陆
本系统为有效解决物联网卡恶意挪用问题,深入结合互联网场景和视角,建立互联网安全分析模型,从多个维度对互联网行为进行特征画像,并从准确率和查全率上双向保障检测效果。2.3.2.1 基于通话特征的主动分析模型
水幕系统(1)基于语音特征的分析模型:根据主叫次数、被叫次数、与正常次数比值和阈值参考进行对比,对曾经一段时间内没有出现过的号码进行预警。
(2)基于机卡特征的分析模型:根据号卡终端特征进行分析,及时发现异常终端特征,进行预警。(3)基于入网信息的分析模型:结合入网号卡的时间、地点、归属和资费等信息进行聚类,关注整体或局部的波动情况,对异常号卡进行预警。2.3.2.2 基于黑样本的被动分析模型
当前环境下,电信网络团伙已由早期的粗放模式,发展为组织庞大、分工明确、行动缜密、且善于利用互联网新技术的综合产业链。为了便于管理,各个节点都有比较典型的行为特征。基于此种论断,我们使用类似于神经网络的关联分析方法,构建产业链关联特征库,对团伙行为进行精准定位。
互联网中除了一些特定通信工具及常用软件工具外,还有一个非常重要的资产就是账号及设备(如手机或其它通信设备)。作为运营商,在日常反诈治理工作当中,我们积极与本地反诈部门进行联动,对涉诈分子的互联网账号进行了有效积累。通过对此类互联网账号进行分析,可有效关联分
燃煤助燃剂析出同个团体下的其它号卡,扩大打击范围。团伙为了提高效率和成功率、规避互联网因公(如、QQ、陌陌)的各类风控机制,需要使用大量的电话卡、手机和设备,我们根据使用场景将各类型工具进行了高危、中危和低危的分类,并将这些工具在行为日志中的特殊进行了提取,构建了一套黑产和工具指纹特征库,全量日志中进行匹配,全面掌握涉诈号卡情况,如图2所示。
除此之外,场景剧本会随着外部环境变化频繁变化。治理工作中,仅仅从场景去寻行为特征进行模型固化的方式,很容易陷入被动局面,无法对新型行为进行有效预警。我们采取的方式是持续提取黑样本异常行为特征,以不变应万变,将行为日志泛式化,并对多个样本数据的匹配性进行全面监测,通过综合分析的方法制定研判策略,结合人工核实预警,可有效应对外部环境。
2.3.2.3 基于设备场景的分析模型
对市面上流通较广的专用设备工具进行特征提取,结合号码样本,每天对全量日志进行分析,通过设备指纹、位置分布、时序特征和控制端APP 等特征,
全面覆盖以GOIP、、多卡宝和车载语音终端为主的常用设备,从而关联出已流入渠道的号卡,
图2 账号类、设备黑名单分析预警模型
云海os
实现基于设备视角的异常行为分析能力,如图3所示。
2.3.2.4 基于聚集位置的窝点分析模型
通过拟合函数和机器学习等方法,从位置维度对全量卡进行聚类分析,在时间和空间维度,将存在共同轨迹的卡构建行为组织。同组织同轨迹的卡存在位置不同或位置相同移动轨迹,可以实现对设备及人员位置的挖掘和预警,以及不断移动的车辆的聚焦和锁定,如图4所示。
2.3.2.5 数据情报关联分析
运营商传统话单的设计是为了完成费用统计,并不适用于行为特征分析。本方案通过对原始数据的重构,建立了移动号卡(包含个人卡、物联网卡)的行为轨迹宽表和多维度数据情报,能够以号卡、账号、设备和为视角分别实现对全生命周期行为特征的快速掌握,有效提升数据分析效率。
2.3.3 插件化设计
互联网治理系统采用上层业务模块插件化处理,使业务模块与平台功能实现一对一设计,业务模块的新增和优化不会影响其它模块或平台功能,将业务模块抽象化
并与平台功能实现分离,从而提高研发效率,降低企业维护成本。
3 典型应用场景
互联网治理系统由多台高性能服务器组成集,部署在客户内网中,如图5所示,可同时提供数据接入、数据分析、数据查询和可视化呈现等功能。运营商的卡信息、语音话单信息、短信话单信息、流量话单信息和上网日志信息等数据会实时传输到互联网治
理平台。
图3 常用软硬件工具分析预警模型
图4 位置聚集分析模型
