SP 上行空號異常行為監(jiān)測及預警的方法與系統(tǒng)

［凌俊 匡文生 李文濤 盧棟生 王育飛 梁迅］

1 研究背景

網絡技術的不斷發(fā)展，給人們的生活和工作帶來了極大的便利。但另一方面，網絡詐騙手段層出不窮，帶來了很大危害。例如，不法分子利用違規(guī)空號碼上行發(fā)送短消息，用于進行非法賬號注冊、攔截驗證碼、獲取合法賬號信息等網絡詐騙行為，不僅造成用戶信息泄露，金錢損失，還對企業(yè)形象造成不可逆的傷害，因此形成一套高效可靠的監(jiān)測方法與系統(tǒng)勢在必行。

目前行業(yè)內針對信息安全的防護大多是基于上網數(shù)據(jù)流量來進行端口或終端的監(jiān)測，尚未有針對單個號碼的攔截及監(jiān)測。但是不法分子利用空號碼進行違規(guī)賬戶使用確是存在的事實，因此本文提出一種針對SP 上行空號異常注冊行為監(jiān)測方法與系統(tǒng)，對維護網絡信息安全起到了最后一公里監(jiān)測及攔截作用，是非常行之有效的手段與措施，能高效預警違規(guī)行為，同時實現(xiàn)監(jiān)測維護的快速響應。

2 研究方法

本文基于shell_awk 編譯自動化處理海量數(shù)據(jù)變換及數(shù)據(jù)清洗的號碼異常行為監(jiān)測方法，提出了將網關SP 號碼上行話單數(shù)據(jù)庫和標準H 碼庫相結合的方式，每天定時備份網關SP 上行話單原始文件至指定目錄，制定關鍵字段利用awk 編譯逐行掃描文件，從第一行到最后一行直至尋找出匹配特定字段模式的行，運行結束后從指定目錄中自動導出比對話單文件，同時截取話單文件與標準H 碼庫的號碼前7 位進行全量自動比對得出異常號碼清單，在網關系統(tǒng)對異常號碼進行預警或攔截，同時將號碼清單與話單文件的SP 號碼進行匹配，對相應SP 號碼進行監(jiān)測和預警，最終制定出網關SP 上行空號異常注冊行為監(jiān)測一套自動化處理系統(tǒng)。當上行空號異常注冊時，依靠此方法能高效快速的進行監(jiān)測和預警，從而維護用戶信息安全和防范網絡詐騙。

3 技術方案

3.1 方案簡介

本文提出基于shell_awk 編譯自動化處理海量數(shù)據(jù)變換及數(shù)據(jù)清洗的號碼異常行為監(jiān)測方法，在考慮了服務器話單源文件實時備份、提取上行話單原始文件合規(guī)性保留3 個月、AWK 編譯自動處理海量數(shù)據(jù)的同時，由于H 碼標準庫的號碼位長有7 位和9 位，手機號碼標準位長為11位，因此還考慮了全量數(shù)據(jù)處理的完整性，將手機號碼和H 碼均截取前7 位進行數(shù)據(jù)清洗，以達到全量監(jiān)測的目的。此外還考慮到數(shù)據(jù)實時更新和程序迭代的有效性，采取時間序列差異性數(shù)據(jù)處理的方式，當天上行比對話單文件處理完成后動態(tài)刪除前一天上行原始話單數(shù)據(jù)，以此優(yōu)化數(shù)據(jù)優(yōu)化的軟件流暢特性，進一步挖掘了針對清單號碼的預警、監(jiān)測及攔截的內在關聯(lián)。

3.2 關鍵功能模塊

服務器話單源文件實時備份。提取上行話單原始文件合規(guī)性保留3 個月，由于H 碼標準庫的號碼位長有7 位和9 位，手機號碼標準位長為11 位，為保持全量數(shù)據(jù)處理的完整性，將手機號碼和H 碼均截取前7 位利用AWK 編譯自動處理進行海量數(shù)據(jù)清洗，以達到全量監(jiān)測的目的。

時間序列差異性數(shù)據(jù)處理。當天上行比對話單文件處理完成后動態(tài)刪除前一天上行原始話單數(shù)據(jù)，以此優(yōu)化數(shù)據(jù)優(yōu)化的軟件流暢特性，確保海量數(shù)據(jù)合理性處理和程序設計對網關系統(tǒng)針對清單號碼的預警、監(jiān)測及攔截的高效可靠。

自動查詢清單功能。若清單為空則上行號碼碼監(jiān)測無異常，若清單不為空則將清單號碼利用shell 腳本自動與上行話單文件逐條比對，導出用戶號碼和SP 號碼信息送至網關預警、監(jiān)測和攔截功能模塊，針對移動號碼進行預警或攔截，針對行業(yè)SP 號碼則進行監(jiān)測和預警。

3.3 技術方案詳解

方案系統(tǒng)圖如圖1 所示，結合系統(tǒng)設計進行處理說明。

圖1 系統(tǒng)方案圖

首先，登陸網關SP 話單數(shù)據(jù)庫服務器，例行檢查服務器運行狀態(tài)正常，為后續(xù)數(shù)據(jù)提取做好基礎準備。

其次，將話單原始文件全部備份到指定目錄，在此過程中跟進指定目前設定的備份shell 腳本，每天9:00 自動進行數(shù)據(jù)備份，處理過程不對數(shù)據(jù)做任何處理，保留數(shù)據(jù)的原始有效性和完整性，同時提取網關SP 上行話單的原始數(shù)據(jù)。文件類別設置說明如表1 所示。

表1 文件類別說明

然后，設置上行話單提取關鍵字段：用戶號碼、日期時間、目的SP 賬號，根據(jù)關鍵字段模式設置，利用shell_awk 編譯逐行掃描文件，尋找出匹配特定字段模式的行，自動導出比對話單文件。接下來，查詢指定目錄是否已存在比對話單文件，若沒有則重復執(zhí)行上面步驟直至話單文件正常存在。

接著，對話單文件和H 碼進行數(shù)據(jù)處理。首先提取話單的號碼清單生成清單文件，其次將號碼截取前7 位生成比對號碼清單，同時將H 碼標準庫中的號碼同樣截取前7 位生成比對H 碼清單。

最后，將比對號碼清單和H 碼比對清單進行數(shù)據(jù)去重復操作得到比對結果清單，設置自動查詢清單功能，若清單為空則上行空號碼監(jiān)測無異常，若清單不為空則將清單號碼利用shell 腳本自動與上行話單文件逐條比對，導出用戶號碼和SP 號碼信息送至網關預警、監(jiān)測和攔截功能模塊，針對移動號碼進行預警或攔截，針對行業(yè)SP 號碼則進行監(jiān)測和預警。同時，考慮到系統(tǒng)運行的流暢性和程序設計的飽和性，在導出號碼比對結果清單后，自動刪除前一天上行原始話單文件，后續(xù)按軟件運行框架繼續(xù)每天自動進行上行號碼異常行為實時監(jiān)測功能。

4 可行性分析

本文提出基于shell_awk 編譯自動化處理海量數(shù)據(jù)變換及數(shù)據(jù)清洗的號碼異常行為監(jiān)測方法，每天定時備份網關SP 上行話單原始文件至指定目錄，制定關鍵字段利用awk 編譯逐行掃描文件，從第一行到最后一行直至尋找出匹配特定字段模式的行，運行結束后從指定目錄中自動導出比對話單文件。利用shell_awk 編譯程序自動化處理海量數(shù)據(jù)，并將結果實時報送給網關監(jiān)測系統(tǒng)，不僅實現(xiàn)了將現(xiàn)存業(yè)務數(shù)據(jù)與云網信息安全維護實時動態(tài)相結合的網絡技術安全監(jiān)測模式，更是豐富了傳統(tǒng)僅基于IP 地址和上網流量數(shù)據(jù)包進行用戶行為異常接入判斷的常規(guī)方式，實現(xiàn)了網關SP 上行業(yè)務針對單個號碼行為監(jiān)測的自動化處理。

針對原始文件處理可能會出現(xiàn)執(zhí)行失敗和不完整的問題，本文提出了話單文件掃描和數(shù)據(jù)動態(tài)校驗的方式，以確保文件處理的可靠性。數(shù)據(jù)的處理均采用shell 腳本自動執(zhí)行，減少了人工干預，充分實現(xiàn)了海量數(shù)據(jù)處理智能化的處理理念，該方法與系統(tǒng)為處理單個號碼注冊行為異常提供了參考方向，促進了后臺系統(tǒng)與前端業(yè)務相統(tǒng)一的網信安全監(jiān)測新模式發(fā)展。

此外，本文亦從號碼比對完整性角度考慮，提出了利用H 碼標準庫來進行全量號碼核查。H 碼標準庫包括了現(xiàn)行所有可以使用的移動號段（包括物聯(lián)網類），由于號碼位長不同，采取最小位長號進行全量比對的方式，通過對數(shù)據(jù)的標準化處理，實現(xiàn)了大數(shù)據(jù)處理的標準化和高效的自動化。

最后，本文將后臺數(shù)據(jù)庫與網關監(jiān)測維護系統(tǒng)有機相結合，進行全流程自動化操作，經測試驗證程序可行，系統(tǒng)框架設計合理，與維護平臺接口運行穩(wěn)定，極大提升了網絡安全維護的效率。

5 驗證分析

針對該方法和系統(tǒng)，在現(xiàn)行網絡下進行實時監(jiān)測。下面以2022 年1 月份為例進行驗證分析。

（1）將源話單壓縮備份到備份服務器GDSms-Bak 的/05.bill 目錄下，每天一個壓縮文件，其中部分文件如下。

38544084 2022-01-02 08:33 20220101.tar.z

36504771 2022-01-03 08:33 20220102.tar.z

（2）1 月2 日上午九點半的定時任務，執(zhí)行/05.bill/deal下的腳本，將/05.bill下“20220101.tar.z”文件拷貝到/05.bill/deal下，解壓縮“20220101.tar.z”得到前一天所有話單。同時把所有用戶到SP 上行話單的用戶號碼、日期時間、目的SP 代碼取出來寫到“20220101.txt”文件，部分內容如下所示：

133****2466 202201012351 10659*****20000

189****8188 202201012353 1065******12000

191****2134 202201012354 106*******6138

180****8871 202201012358 106********0020

（3）將/05.bill/deal 的“20220101.txt”文件中的所有號碼取出來生成文件“20220101all.hm.txt”，取前7 位號碼生成比對號碼清單“20220101 前7 位.hm.txt”，與H碼標準庫前7 位“H 碼前7 位.txt”進行自動比對將結果保存為“20220101.ho.txt”；

（4）查看比對結果文件，查看監(jiān)測結果正常，未發(fā)現(xiàn)有異?？仗柎a。如下所示：

0 2022-01-01 09:30

（5）刪除/05.bill/deal下的“20220101上行話單.txt”，系統(tǒng)正常執(zhí)行20220102 號碼監(jiān)測。

根據(jù)以上結果可知，該系統(tǒng)運行正常，能夠正常監(jiān)測日常號碼接入情況，實例證實該方法與系統(tǒng)在現(xiàn)網運行中高效可靠，具有很好的可行性。

6 總結

本文提出基于shell_awk 編譯自動化處理海量數(shù)據(jù)變換及數(shù)據(jù)清洗的號碼異常接入監(jiān)測方法，并設計自動化處理系統(tǒng)方案。本文亦提出將后臺數(shù)據(jù)庫與網關監(jiān)測維護系統(tǒng)有機相結合的方法，進行全流程自動化操作。系統(tǒng)框架設計合理，與維護平臺接口運行穩(wěn)定，經驗證該方法可行有效，實現(xiàn)了將現(xiàn)存業(yè)務數(shù)據(jù)與云網信息安全維護實時動態(tài)相結合，提升了網絡技術安全監(jiān)測水平。