一种基于发送行为特征的短信轰炸识别和防治方法与流程

1.本发明属于网络与信息安全领域，特别涉及一种基于发送行为特征的短信轰炸识别和防治方法。


背景技术：

2.短信轰炸软件可以自动收集网络上的需要短信验证码的网站或app。轰炸者使用轰炸软件，随意输入一个或一组手机号码，轰炸软件首先自动搜索到一大堆可以发送短信验证码的网站逐个访问，然后在每一个网站上把手机号都自动填上并模拟人工点击获取验证码，这些网站就会同时往被输入的手机号码发短信了。轰炸软件找的网站越多，发的短信也就越多。这种“短信炸弹”可以多达每秒发送上百条。轰炸软件可以设置对各个网站的短信验证码请求次数和时间，比如每隔几分钟请求一次，24小时不间断地向被输入的手机号码发送短信。
3.现有技术防御短信轰炸主要有2种手段，一种是增加人机验证，如增加图形验证码，防止轰炸人机自动化调用发送验证码短信；一种是在移动端打造一键验证方案替换短信验证码方式。这2种防御手段都需要相关的认证接口支持，而市场上存在很多短信发送接口和移动应用，很难要求接口和应用统一调整认证方式，行业没有统一的标准，无法规范标准要求。并且现在有打码工具可以破解像图形验证码的验证方式，破解后“短信炸弹”还是可以照常发送。


技术实现要素：

4.发明创造目的是为了防止用户被短信轰炸，造成骚扰投诉，及时发现轰炸短信和实现轰炸的端口号码，从源头有效遏止其轰炸行为，从运营商网络侧着手研制针对轰炸短信的防治方法，并在运营商网络侧施行这些防治方法，为电信运营商进行短信业务安全运营提供保障，本发明采取的技术方案为：
5.一种基于发送行为特征的短信轰炸识别和防治方法，其特征在于：包括以下步骤:
6.(1)运营商网络侧，实时接收短信内容；
7.(2)根据端口备案库判断主叫是否为端口号码，根据验证码特征(是否含有4
‑
6位数字并含有验证码、校验码、验证密码、密钥、口令等关键字)判断短信内容是否含有验证码，如果不是端口号码或是端口号码但短信内容不含验证码否则放行该短信，如果是端口号码并且发送的短信内容含有验证码则继续判断主叫号码是否为非重要端口(银行、支付等端口)，如果不是非重要端口则继续下一步判断；
8.(3)如果是非重要端口则要判断主叫是否为敏感端口，如果是敏感端口则拦截该短信，如果不是敏感端口则对端口发送行为进行规则计数(m分钟内给n个防护号码发送验证码短信数量k条，m、n、k可配置，支持多个规则并行)；
9.(4)判断主叫端口是否达到规则阈值，如果达到阈值则将端口列为嫌疑敏感端口或者直接列为敏感端口，当条短信不拦截(达到阈值时不拦截短信，只有当端口为敏感端口
时才拦截短信)，如果没有达到阈值则按照规则(m分钟内给n个防护号码发送验证码短信数量k条，m、n、k可配置，支持多个规则并行)累计计数记录；
10.(5)继续进行下一短信和端口的判断。
附图说明
11.图1为本发明流程图
具体实施方式
12.为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本发明。
13.实施例1
14.如图1所示，一种基于发送行为特征的短信轰炸识别和防治方法，其特征在于：包括以下步骤:
15.(1)运营商网络侧，实时接收短信内容；
16.(2)根据端口备案库判断主叫是否为端口号码，根据验证码特征(是否含有4
‑
6位数字并含有验证码、校验码、验证密码、密钥、口令等关键字)判断短信内容是否含有验证码，如果不是端口号码或是端口号码但短信内容不含验证码否则放行该短信
17.如果是端口号码并且发送的短信内容含有验证码则继续判断主叫号码是否为非重要端口(银行、支付等端口)，如果不是非重要端口则继续下一步判断；
18.(3)如果是非重要端口则要判断主叫是否为敏感端口，如果是敏感端口则拦截该短信
19.如果不是敏感端口则对端口发送行为进行规则计数(m分钟内给n个防护号码发送验证码短信数量k条，m、n、k可配置，支持多个规则并行)；
20.(4)判断主叫端口是否达到规则阈值，如果达到阈值则将端口列为嫌疑敏感端口或者直接列为敏感端口，当条短信不拦截(达到阈值时不拦截短信，只有当端口为敏感端口时才拦截短信)
21.如果没有达到阈值则按照规则(m分钟内给n个防护号码发送验证码短信数量k条，m、n、k可配置，支持多个规则并行)累计计数记录；
22.(5)继续进行下一短信和端口的判断。
23.检测短信的接收时间与前一条短信的接收时间之间的时间间隔是否小于第一预设阈值；如果小于第一预设阈值，则确定短信为轰炸短信；
24.将短信的接收时间作为时间终点，计算预设时长内接收到的相邻短信间的时间间隔的平均值，并检测平均值是否小于第二预设阈值；如果小于第二预设阈值，则确定短信为轰炸短信。
25.具体地，可以预先根据实际的短信发送或接收情况，设定先后接收到的两条短信之间的时间间隔(即上述第一预设阈值)，假如正常情况下短信接收的最短时间间隔为5秒，即非短信轰炸的两条短信之间的时间间隔至少为5秒，则可以将上述第一预设阈值设定为5秒，其中，该第一预设阈值可以根据实际情况需要动态调整，上述仅为示例性说明。
26.进一步地，应用程序或插件可以计算终端设备当前接收到的短信的接收时间与终
端设备接收到的前一条短信的接收时间之间的时间间隔，并通过将该计算得到的时间间隔与第一预设阈值进行比较，来确定终端设备当前接收到的短信是否为轰炸短信。假如终端设备当前接收到的短信的接收时间为10：55：20，终端设备接收到的前一条短信的接收时间为10：55：12，可以计算出两条短信之间的时间间隔为8秒，而第一预设阈值为5秒，故该时间间隔大于第一预设阈值，可以确定终端设备当前接收到的短信不是轰炸短信。假如终端设备当前接收到的短信的接收时间为10：55：15，终端设备接收到的前一条短信的接收时间为10：55：12，可以计算出两条短信之间的时间间隔为3秒，而第一预设阈值为5秒，故该时间间隔小于第一预设阈值，可以确定终端设备当前接收到的短信是轰炸短信。
27.进一步地，可以预先根据实际的短信发送或接收情况，规定1分钟内接收到20条以上的短信就认为终端设备已经进入了被短信轰炸的情况，此时可以对该20条短信的接收时间之间的时间间隔进行平均值计算，即依次计算第1条短信与第2条短信之间的时间间隔(记作a1)，第2条短信与第3条短信之间的时间间隔(记作a2)，
……
，直到计算第29条短信与第30条短信之间的时间间隔(记作a29)，接着对得到的时间间隔(a1，a2，
……
，a29)进行平均值计算，得到1分钟内接收到的相邻短信间的时间间隔的平均值，此时可以将该计算得到的平均值作为第二预设阈值，假如1分钟内接收到的相邻短信间的时间间隔的平均值为3秒，则第二预设阈值为3秒。其中，该第二预设阈值可以根据实际情况需要动态调整，上述仅为示例性说明。
28.进一步地，应用程序或插件在监测到终端设备接收到短信时，可以将该短信的接收时间作为时间终点，计算第一预设时长(例如30秒、50秒、1分钟、2分钟等)内接收到的相邻短信间的时间间隔的平均值，并通过检测该平均值是否小于第二预设阈值，来确定终端设备当前接收到的短信是否为轰炸短信。假如第一预设时长内接收到的相邻短信间的时间间隔的平均值为5秒，由于该平均值大于第二预设阈值，可以确定终端设备当前接收到的短信不是轰炸短信。假如第一预设时长内接收到的相邻短信间的时间间隔的平均值为2秒，由于该平均值小于第二预设阈值，可以确定终端设备当前接收到的短信是轰炸短信。