“短信轰炸”与手机病毒短信治理技术研究

［刘诚 黄凯方 吴文波］

1 引言

不法份子通过“短信轰炸”、发送手机病毒短信，不停的骚扰用户并获取用户隐私，谋取非法收益并形成了一个庞大的黑色产业链。广大用户面对不法份子的这些恶行，自身能够采取的自我保护手段极其有效并且效果不好，往往不堪其扰、苦不堪言。

电信运营商主动担负起更大的社会责任，对“短信轰炸”、手机病毒短信主动出击，采用新思路和新方法进行治理，有效的遏制了“短信轰炸”、手机病毒短信泛滥的局面，赢得了广大用户的好评，维护了社会秩序。

2 防“短信轰炸”技术介绍

2.1 “短信轰炸”的概念及其危害

目前用户注册、登录登录网站或APP 应用时（例如登录网上银行、注册微信账号），网站或者APP 的服务提供者常常是通过给用户手机下发“验证码”短信方式，来确定用户合法身份，从而保护用户的信息安全。但凡事有利就有弊，一个用户如果1 小时如果只是收到几条此类短信，那么用户完全可以接受。但是如果一个用户1 小时收到了成千上万条此类短信，那用户将会是怎样的一种感受呢？

不法份子就是利用互联网服务提供者这种下发“验证码”短信进行用户身份验证的机制，在用户不知情的情况下，模拟用户在短时间内向成千上万的网站、APP 进行注册、登录操作，导致用户在短短一分钟就收到多达上百条验证码短信，形成“短信轰炸”效果，如图1 所示。

图1 “短信轰炸”示意图

目前“短信轰炸”已经形成了一个规模庞大的灰色产业，不法份子对受害者手机进行大量短信恶意下发，影响用户正常生活。更有甚者，他们专门挑选午休或凌晨时分对用户进行短信轰炸，受害者往往突然被频繁的短信通知声从睡梦中惊醒，严重影响用户的身心健康。

2.2 传统防“短信轰炸”方法的缺陷

目前受害者对“短信轰炸”，很难进行有效的防御，困难主要是以下两点。

（1）受害者无法预知“短信轰炸”何时发生。不法份子进行“短信轰炸”的时间是随机的，因为短信接收功能太重要用户也无法关闭短信接收功能，所以用户只能被短信轰炸。

（2）“短信轰炸”的主叫号码千变万化，受害者无法精准设置短信黑名单号码。受害者被短信轰炸后，部分对手机终端操作比较熟悉的用户，会主动在智能手机上进行短信主叫黑名单设置，但这种被动的防御方式只适用于事后补救，并且因为主叫号码千变万化，根本无法精准设置短信黑名单号码，所以防止效果极差。

2.3 新型防“短信轰炸”技术研究

针对目前“短信轰炸”受害者只能在手机上进行短信黑名单设置并且效果极差的现状，某运营商通过从轰炸短信普遍具备的短时间大量这一典型特征，行业内首创“防短信轰炸”技术，从用户手机终端被动防治变为运营商网络侧主动治理，并取得了很好的治理效果。具体方法如下：

某运营商垃圾短信治理系统先通过特征识别能力，识别出用户接收的短信是否是“验证码”短信，然后判断某个用户在某个周期内（例如5 分钟）接收的所有的“验证码”短信数量是否超量，如果超量（例如超过10 条）则自动对该用户启动“防短信轰炸”保护。在保护时段内（例如24 小时）系统会自动将给用户发送的所有“验证码”短信进行拦截，避免用户收到骚扰。

此外，为避免误拦用户正常验证码信息，系统自动收集被利用轰炸的端口或签名，仅拦截被利用轰炸的端口或签名短信。

3 垃圾短信的概念和类型

3.1 手机病毒短信的概念和危害

手机病毒短信（以下简称病毒短信）是指在短信中含有一个网址链接并且此链接指向一个手机病毒下载地址的短信。一旦短信接收者点击短信中的网址，就会自动触发病毒下载和安装，导致智能手机终端中毒。

病毒短信的危害性极大，主要体现在以下两点。

（1）导致用户隐私泄露和财产损失。用户智能手机中毒后，病毒会将用户保存在智能手机中的通讯录、通话记录、短信记录、银行账号、照片、QQ 微信聊天纪录、网络购物记录等信息上传到不法份子的服务器中，不但导致用户隐私泄露。更有甚者，不法份子利用获取的用户隐私信息，有针对性的设计诈骗方案，让用户防不胜防，给用户造成重大经济损失。

（2）传播隐蔽且极其迅速。病毒短信通常经过精心的设计，常常与时事、社会热点相结合（例如新冠防控、ETC、教育双减），伪装性极强，老人、初高中学生等大量拥有智能手机人群因为缺乏相关的防手机病毒知识和防范意识，往往被不法份子精心设计的病毒短信所欺骗且长期蒙在鼓中。此外病毒短信通常具备获取用户通讯录后然后主动广播发送病毒短信功能，一传十、十传百，短时间内导致大量用户终端中毒，危害极其巨大。

3.2 病毒短信传统治理方法的缺陷

为了避免用户手机遭受病毒短信的侵害，传统的两种方法是。

（1）手机上安装杀毒软件。

（2）加大反病毒短信知识宣传，提高用户警惕性，不点击不明网址、不下载安装不明手机应用。

以上两种防治方法均属于用户侧被动防治并且效果不佳。安装杀毒软件不适合缺乏相关的IT 知识的人群，另外即使安装了杀毒软件也会导致用户手机运行速度变慢影响用户体验，有时用户甚至需要购买性能更好的手机导致额外花费；加大反病毒短信知识宣传力度的局限性也很大，存在成本高、见效慢、时效性差的缺点。所以以上两种防治病毒短信的方法难以有效的遏止病毒短信传播。

3.3 病毒短信新型治理技术介绍

针对当前病毒短信只能由用户单方面在手机上进行被动防御且防治效果较差的痛点，某运营商改变防治思路，从用户侧防治变为运营商网络侧防治，从用户手机终端被动防治变为运营商网络侧主动治理，并取得了很好的治理效果，具体流程如图2 所示。

当运营商短信反诈系统接收到一条短信后，先判断该短信是否包括网址信息。如果短信中包括网址信息，就以这个网址为关键词，分析新接收到的包括该网址的所有短信的发送行为特征，这些特征包括主叫号码数量、短信发送数量、发送时间分布、被叫号码发送离散度等，然后对这个网址的危害度进行评估。

如果网址经评估后的危害级别为高，系统就通过爬虫技术访问网址获取网址所承载的特征信息，其中特征包括静态特征（网址长度特征、网址词汇特征、网址相似特征、顶级域名等特征）和动态特征（浏览器特征、页面跳转特征、IP 地理位置的特征、安装程序下载特征、文件属性特征和程序行为特征），使用决策树模型计算出综合得分，判断该短信是否为病毒短信并决定是否采取拦截。

4 结束语

本文介绍了“短信轰炸”、手机病毒短信的概念、对用户的危害和传统治理手段存在的缺陷，然后详细介绍了某运营商在防“短信轰炸”、反手机病毒短信工作中采用的新思路和新方法。

图2 病毒短信发现流程图