短消息信息安全监控的原理与实现

短消息信息安全监控的原理与实现（中兴通讯）

一、引言

随着中国手机用户数的迅猛增长，手机短消息业务作为一项新的移动增值业务，由于发送方便、价格便宜和随时随地接收等优点使得这项业务在短时间内得到大面积普及，成为了人们进行沟通和交流的一种新手段。但是在短消息业务迅猛发展的同时也带来了信息安全方面的问题，很多不轨分子利用短消息大量发布广告，发布虚假信息进行诈骗，影响人们的正常生活；利用短消息煽动闹事、散布谣言，影响社会稳定；利用短消息传播色情、反动消息，危害公共安全。

由于这些问题的存在，手机短消息的信息安全问题得到了全社会的重视，如何在保持短消息业务的活力和健康发展的同时限制有害短信的传播、净化短消息的内容成为一个棘手的问题。目前除了在行政法规方面加强对信息发布的管理外，各移动运营商必须在技术手段上建立短消息监控系统，对所有短消息内容进行有效的监控和过滤。

二、短消息安全现状

短消息的信息安全监控和有害信息的拦截是一个较新的课题。短消息业务的长足发展只有三、四年的时间，在信息安全方面的问题也只是近两、三年才出现，再加上业务流程复杂、接入方式灵活多变，因此对短消息内容的监控和过滤是一件非常困难的事情，从近几年国内外运营商的经验来看，目前对于短消息的安全监控并没有非常成熟和有效的方法，各运营商都在实践中积极探索，希望针对各自网络的特点建立一套严密而行之有效的安全监控系统。

三、垃圾短信的监控原理与实现

短消息业务是GSM、CDMA数字蜂窝移动通信系统提供的主要增值业务之一，它通过无线控制信道进行传输，经短消息业务中心（SMSC）完成存储和转发功能。短消息系统主要分为三个部分：接入部分、短消息中心和短消息业务实体。因此，我们一般选取这三部分的接口作为短消息的信息监控点。

图1 短消息系统基本体系结构

针对短消息的安全需求，对于信息的监控（提取和过滤）在技术上有三种不同的实现机制：

●实时过滤机制

●话单分析机制

●协议监测机制

这三种监控机制已经在各移动通信运营商的现网中采用，是现阶段应用较多、相对成熟的技术。不管采用什么样的监控机制，需要实现的目标是共同的：

（1）监控全面，能够覆盖目前几乎所有的短信业务；

（2）信息采集安全、方便，能够灵活扩展，不影响正常的短信业务流程，对原系统的影响小；

（3）信息过滤采用多种不同的机制，能够按照重要性灵活配置过滤规则，对信息内容有模糊识别功能，能最大限度的避免遗漏；

（4）对于多种途径采集到的短消息能够正常识别内容、及时存储，并且提供多种手段进行后续的分析和处理；

（5）对于过滤后的垃圾短信黑名单号码能够通过自动和手工两种方式及时拦截，从发现到拦截的处理时间应该尽量短。

下面将分别讨论三种机制的实现原理和特点。

1. 实时过滤机制

注：短消息的发起方和接收方可以是普通用户，也可以是连接在短信中心的实体。

图2 实时过滤机制

短消息中心接收到普通用户发送或实体提交的短消息后，发送一个鉴权请求消息到监控系统，监控系统对短消息内容进行判断，返回给短消息中心鉴权响应消息，如果短消息内容合法，则返回鉴权成功消息，短消息中心将该消息下发给短消息接收方；如果内容不合法，则返回鉴权失败消息，短消息中心将该消息直接丢弃，不下发给接收方。

国家信息产业部颁布了《短信息中心（SMSC）与短信息监控中心（SMMC）接口规范》，采用的就是这种实现方式。目前已经有部分通信设备厂商根据该规范开发出了短消息实时过滤系统。

图3 实时过滤机制的信令流程

图3是《短信息中心（SMSC）与短信息监控中心（SMMC）接口规范》定义的短消息中心（SMSC）和短消息监控中心（SMMC）之间的信息交互方式，采用标准的SMPP协议。在错误处理上，如果SMSC等待响应消息的时间大于等于5秒，则SMSC记录日志，正常下发信息。如果错误是SMPP层的错误或操作超时，则SMSC应该按照正常流程下发消息。这样就能最大限度减少信息过滤对正常业务造成的不利影响。

2. 话单分析机制

图4 话单分析机制

由于计费服务器上的原始话单文件中包含了MO消息话单（包括普通用户发送的点对点消息和SME提交的短消息），因此该方案是将计费服务器上的原始话单文件作为统计数据源，垃圾短信监控系统从统计信息源获取数据，然后进行统计分析。

统计监控模块对数据库内容进行统计分析，有以下三种统计分析方式：

图5 话单分析机制的处理流程

（1）监控起呼信息条数：在监控系统中设定在一段时间内MO消息条数的门限阀值（例如设定为100条/小时），当某用户发送短消息条数达到或超过设定的阀值时，即认为该用户是可疑用户。

（2）消息内容监控：将短消息内容和监控系统中事先设定的关键字进行比较，当某条短消息内容和关键字相匹配时，系统即认为该条消息为可疑消息。

（3）发送成功率监控：当监控系统检测到某用户发送短消息的成功率达到或超过设定的阀值时，即认为该用户是可疑用户。

3. 协议监测机制

该方案通过“监听”现有系统的方式进行监测，发往短消息中心的消息被旁路到短消息监测系统，监测系统将监听到的消息进行实时分析，一旦判断短消息发起方发送的是垃圾短信，则通过“反馈机制”拦截这些消息。

图6 协议监测机制

该方案需要通过两种不同的方式来实施，针对普通用户发送的点对点消息，采用监测SS7信令的方式，针对网关或其他SME发送的消息，采用监测SMPP协议数据包的方式。监测系统先将监听到的消息分别按照对应的协议解码入库，然后按照预先设定的规则进行分析过滤，根据不同的设置条件生成黑名单。

图7 协议监测系统监测点位置图

监测点A：MAP信令监测

由于所有普通用户的起呼消息（MO消息）都是通过NO.7信令网传送给短消息中心的，因此，通过监听MSC到SMSC 的SS7信令（MAP协议），就能监测所有的普通用户起呼消息。

图9 B点SMPP协议监测实现图

侦听单元通过高阻接入，实时进行协议分析，负责捕捉链路上的信令单元，分析、发送捕捉的信令数据到预处理和分发模块。

预处理和分发模块完成SS7信令链路上原始MSU数据包的解包和短消息内容的还原与处理工作，在解出了MO短消息的内容之后，将MO消息按照一定的分发策略分发给实时分析模块处理。

实时分析模块对收到的MT消息进行实时地分析处理，按照预定义的内容和流量策略进行分析，同时将原始消息和分析结果存放到相关的数据库中。

监测点B：SMSC协议监测

由于所有的SME都是通过SMPP协议连接到短消息中心的，因此通过监听SME发往SMSC的TCP/IP数据包，就能监测所有的SME起呼消息。