周春晓, 赵艳琼, 李逊
(中国移动通信集团安徽有限公司,合肥 230000)
随着中国移动集团客户MAS短信业务的快速发展,MAS短信业务带来的问题不断呈现,MAS设备安全性低、短信内容缺乏监管、滥发短信造成用户感知差,安全性管控难度高。
现有比较有代表性的短信安全管控主要有基于行为和内容协作分析的垃圾短信过滤系统研究,点对点垃圾短信拦截手段的研究与实践,中国移动通信集团公司也发布了垃圾短信监控平台总体技术要求。大部分的短信内容管控关注与点对点短信,强调内容管控,而对互联网业务特征明显的MAS业务管控缺乏更为全面的机制和更有效的整体安全框架。
基于以上因素,为加强集团客户业务信息安全管理,配合集团公司端口类短信群发业务清理整顿专项行动,安徽公司进行本项目研究,提升MAS安全管控能力。
目前行业端口类短信发送设备,大都部署于Internet环境,服务端口暴露在公网环境,公网访问多,安全监控管理存在难度。
其次,传统的点对点垃圾短信治理着眼于用户发送短信内容的监控,关注是否有群发广告、违法类短信的行为,目前技术成熟度高,管控效果明显。而MAS机发送的短信本身均为广告类短信,因此在短信发送全流程的监管上存在着难度,需要研究基于行业短信特征的违规行为发现。
解决MAS的安全问题主要集中在MAS机设备安全监管、MAS短信发送过程管控、MAS业务暂停可控3个层面。
为全面保障MAS业务安全性,从MAS的全局出发,设计提出一个系统整体的安全性模型,如图1所示。
MAS安全管控平台主要模块的定义及功能如下:
管控平台进行漏洞扫描并评分结果,将结果与MAS机IP地址、集团客户名称、MAS机厂家、MAS机等基础信息关联分析,生成多维度的安全扫描分析报告,分地市、分MAS设备厂家生成安全漏洞、脆弱账号列表。管控平台通过Web服务接口采集MAS机登录日志、操作日志,实时发现异常IP登录并生成告警,防止MAS账号被转租、转用的违规使用行为,同时全量记录MAS机操作日志,完成日志留存记录。
2.2.1 行业短信签名检查
图1 MAS安全管控平台软件结构示意图
行业短信中有相当一部分是超过140byte的超长短信,因此在网络中需要拆成若干条140byte以内的正常短信发送。一条超长短信拆分以后,只有最后一条才携带服务提供商的签名信息。因此需要将拆分后的超长短信进行重组,才能够正确识别短信签名。通过识别CMPP2.0报文中的udhiHEAD字段,可以准确的完成长短信的拼接重组。为手机兼容性考虑,部分超长内容在发送前拆分成了多条标准的短信,在内容前增加序号形式的信息标识其在整体内容中的位置,如n/m。协议分析层将该类短信识别为逻辑长短信,以便进行签名检查。提取短信内容字符串最后一对“【】”或“[]”中的内容,作为该MAS的签名。对提取出的行业短信签名进行合规性检查,输出未签名的行业短信业务,以及签名与行业短信服务商属性不符合的行业短信业务。开发用户可交互的界面,用户输入不同的查询条件,系统生成后台的查询请求,同时将查询结果通过报表展现。
表1 MAS关键KPI指标
图2 MAS快速暂停流程
2.2.2 行业短信超地域发送识别
管控平台读取所有MAS机的短信发送记录和号码地理信息表,建立接收号码与归属地位置的二元关系表,检测系统在二元关系表中计算MAS机发送短信的地域分布的离散度;根据管理要求,设定离散度的阈值,当离散度高于这个阈值时,即可判定MAS满足超地域发送短信的条件。
根据MAS短信关键性能指标,梳理建立如表1的关键KPI指标并监控。
本模型优化了MAS暂停流程,在行业网关A模块完成MAS的上下行短信暂停,如图2所示。
在模型基础上开发了智能MAS安全管控系统,开发平台采用C#语言和Java技术,数据库采用Oracle;在设计中通过对行业短信的自动采集、自动分析、自动判断,如图3所示。
图3 MAS安全管控系统
图4 MAS安全管控系统发现的签名违规端口
MAS安全管控平台发现违规签名端口12家,签名为空端口42家;发现超地域发送端口23家,这些端口经过人工核实,均证实为违规端口,如图4所示。
在前人工作基础上提出的MAS安全管控系统,与已有模型相比其优势有以下几点:
(1)实现了MAS全过程的信息安全管控,解决行业端口信息安全管控难题,提高了MAS业务安全管控效率。
(2)建立基于业务行为的监测模型,分析MAS短信群发的业务特征,突破传统的“流量+关键字”的垃圾短信识别,实现对MAS发送行为的高效管控。
(3)MAS短信签名检查技术,实现集团客户签名违规的行为监控。
[1] 颜世莹. 基于行为和内容协作分析的垃圾短信过滤系统[J].电信工程技术与标准化,2011,24(9).
[2] 蒙福宁. 点对点垃圾短信拦截手段的研究与实践[J]. 电信工程技术与标准化, 2010,23(3).
[3] 中国移动通信有限公司. 垃圾短信监控平台总体技术要求[Z].2007.