本发明涉及通信领域,尤其涉及一种防控信息诈骗的方法及其装置、设备、存储介质。
背景技术
近年来随着金融、通信业的快速发展,虚假信息诈骗犯罪迅速在中国发展蔓延,特别是最近这两年,借助于手机、固定电话等通信工具和现代的网银技术实施的非接触式的电信诈骗犯罪可以说是迅速地发展蔓延,给人民群众造成了很大的损失。因此,通讯信息诈骗已经成为全社会关注的信息安全焦点问题,部分诈骗事件给用户造成了巨大损失,造成了重大社会影响。针对通讯信息诈骗,国家高度重视,成立了国务院打击治理电信网络新型违法犯罪工作部际联席会议,建立了跨多行业的协调机制,部署多行业共同开展联合打击。
目前,打击通讯信息诈骗工作主要集中在事中阶段和事后阶段。在事中阶段,运营商在网络侧拦截可疑的通讯信息诈骗通话;事后阶段,公安机关根据受害情况进行案件侦破及抓捕不法人员。
针对通讯信息诈骗国内运营商主要的手段是在事中阶段拦截。例如,诈骗电话进入运营商网络后,通过平台统计分析来话特征,对疑似电话进行确认,若是诈骗电话则进行拦截。
这些手段基本都可以归结为被动防护手段。被动防护手段容易被不法分子绕过,例如针对通讯信息诈骗,常见的一些绕过方式:不法分子利用虚假主叫平台通过不断变化主叫号码来逃避针对主叫号码的高频统计筛选、通过低速持续呼叫绕过针对主叫号码的呼叫次数统计。这些绕过方式都可以避免被发现与拦截,导致目前运营商开展的通讯信息诈骗治理效果需要进一步提升。
现有防控通讯信息诈骗的方式存在以下两方面的缺陷:第一方面、在通信网络侧进行监测及拦截,难度大,容易被恶意人员绕过,无法从源头解决通讯信息诈骗;第二方面、目前的手段难以解决利用虚假号码进行呼叫、低速持续呼叫等难点问题。
技术实现要素:
有鉴于此,本发明实施例期望提供一种防控信息诈骗的方法及其装置、设备、存储介质,解决了现有技术方案中,无法从源头解决通讯信息诈骗的问题,能够准确找到当前虚假主叫语音平台的源头,并对虚假主叫语音平台服务器进行反制,从而从源头上解决了信息诈骗问题。
本发明实施例的技术方案是这样实现的:
第一方面,本发明实施例提供一种防范信息诈骗的方法,所述方法包括:
确定预设范围内的语音平台服务器;
获取所述预设范围内的语音平台服务器的特征信息;
根据所述预设范围内的语音平台服务器的特征信息确定虚假主叫语音平台服务器;
对所述虚假主叫语音平台服务器进行反制。
第二方面,本发明实施例提供一种防范信息诈骗的装置,所述装置包括:
第一确定模块,用于确定预设范围内的语音平台服务器;
第一获取模块,用于获取所述预设范围内的语音平台服务器的特征信息;
第二确定模块,用于根据所述预设范围内的语音平台服务器的特征信息确定虚假主叫语音平台服务器;
反制模块,用于对所述虚假主叫语音平台服务器进行反制。
第三方面,本发明实施例提供一种防范信息诈骗的设备,所述设备包括存储器、通信总线和处理器,其中:
所述存储器,配置为存储可执行指令;
所述通信总线,配置为实现存储器和处理器之间的连接通信;
所述处理器,配置为执行存储的可执行指令,所述可执行指令包括:
确定预设范围内的语音平台服务器;
获取所述预设范围内的语音平台服务器的特征信息;
根据所述预设范围内的语音平台服务器的特征信息确定虚假主叫语音平台服务器;
对所述虚假主叫语音平台服务器进行反制。
第四方面,本发明实施例提供一种计算机存储介质,所述计算机存储介质中存储有计算机可执行指令,该计算机可执行指令配置为执行上述防控信息诈骗的方法。
本发明实施例提供一种防控信息诈骗的方法及其装置、设备、存储介质,其中,首先确定预设范围内的语音平台服务器;再获取所述预设范围内的语音平台服务器的特征信息;然后根据所述预设范围内的语音平台服务器的特征信息确定虚假主叫语音平台服务器;最后对所述虚假主叫语音平台服务器进行反制,这样,能够根据通讯信息诈骗特征,准确找到当前虚假主叫语音平台服务器,并对虚假主叫语音平台服务器进行反制,进而从源头解决了信息诈骗问题。
附图说明
图1为本发明实施例防控信息诈骗的方法的实现流程示意图;
图2为本发明实施例防控信息诈骗的方法的实现流程示意图;
图3为本发明实施例防控信息诈骗的方法的实现流程示意图;
图4为本发明实施例正常的sip协议流程示意图;
图5为本发明实施例大数据分析维度示意图;
图6为本发明实施例确认及溯源的实现流程示意图;
图7为本发明实施例防控信息诈骗的装置的组成结构示意图;
图8为本发明实施例防控信息诈骗的设备的组成结构示意图。
具体实施方式
为了更好的理解本发明实施例,首先对常规的信息诈骗的模式以及虚假主叫语音平台进行说明。
现有通讯信息诈骗实施时,大多都借助了网络电话改号平台等常见虚假主叫平台,将发起诈骗的呼叫的号码设置显示为公安、检察院、法院等权威机关或者快递、银行、通信运营商等公共服务机构的号码。同时,不法人员通常还会结合一些非法获取的用户隐私信息,综合利用社会工程学各种手段,骗取受害人信任实施诈骗。在此过程中,虚假主叫平台成为重要的一个环节。
通讯信息诈骗通常都是团伙作案,典型特点是:组织严密、分工明确、上下游多个犯罪利益链条交织。恶意人员在实施通讯信息诈骗时,需要多个人员分工协作,不同的人员承担不同角色,使用不同的号码进行呼叫等。
获利是通讯信息诈骗的最终目的,因此,为了更好的获利,通讯信息诈骗团伙就需要虚假主叫支撑平台等技术手段,且诈骗团伙分工明确、上下游产业链逐渐成熟。在通讯信息诈骗产业链中,虚假主叫平台相关团伙起着重要作用,虚假主叫平台提供灵活、强大的虚假主叫相关功能是通讯信息诈骗的关键。
因此,从通讯信息诈骗的模式来分析,其中虚假主叫平台具备如下特征:
(1)具备互联网接入能力。
根据通讯信息诈骗的产业链,虚假主叫平台对外提供服务,但通常不会仅为一个团伙提供服务。甚至,部分平台基于虚假呼叫功能对外也会提供“呼死你”等骚扰电话服务。只有具备互联网接入能力,才能满足不同团伙作案的需求。
(2)具备灵活改变号码能力。
通讯信息诈骗的过程中,不法人员通常要模拟一个场景,例如典型的一个诈骗场景:不法人员假冒医保中心声称受害人非法消费国家禁用药品,诱导用户作为盗刷受害人报警,留下一个公安机关号码。通过114等查询,确认该号码确实是公安局电话。不久,会接到显示为该公安局号码的电话,声称涉嫌洗钱,需要将钱转入安全账户等。期间,也可能会涉及到银行以及假冒银行的来话。因此,通讯信息诈骗使用的虚假主叫平台必须具备灵活改变各种号码的能力。
(3)具有良好的通信网互通(落地)能力。
通讯信息诈骗使用的虚假主叫平台必须与通信网络互通才能够呼叫受害人,也就是通常说的解决语音平台的落地问题。同时,灵活、强大的互通功能也有助于通讯信息诈骗。通常,采用基于会话初始协议(sessioninitiationprotocol,sip)的网络之间的互连协议(internetprotocol,ip)接入方式更能满足快速、灵活、高质量的要求。
(4)具备计费功能。
虚假主叫等语音平台在为多个通讯信息诈骗团伙提供服务时,必须具备计费功能。
(5)同时支持多角色接入。
通讯信息诈骗团伙需要多人协作扮演不同的角色,因此使用的虚假主叫等语音平台需要支持多用户(多角色)接入,每个角色显示不同号码。
通过通讯信息诈骗的模式分析以及虚假主叫平台的特征可以看出,诈骗团体使用的虚假主叫平台是一个具备显示不同号码、具有计费、业务支撑等多项功能集成一体的综合语音平台。此类平台功能复杂,目前开源的asterisk等常见网络电话(voiceoverinternetprotocol,voip)语音平台根本无法满足这些需求,而诈骗团伙也难以自己开发如此复杂功能的系统。因此,诈骗团伙使用的虚假主叫平台必定是商业的、成熟、稳定的系统。
诈骗团伙使用的虚假主叫平台的功能复杂,既包括了语音交换机的功能,又包括了计费系统、业务支撑系统的功能,可以看作是一种常见的通信设备和通信业务支撑系统的集成一体化系统。目前,能够满足该类要求的商业系统数量很少。因此,很大可能就是诈骗团伙的虚假主叫平台是滥用了部分成熟商业系统。
诈骗团伙使用的虚假主叫平台必须提供互联网访问的功能,很多平台也都有独有的域名以及登录网页等,能够远程从互联网登陆,也就使得远程检测此类平台成为可能。
基于上述对信息诈骗的模式以及虚假主叫语音平台的说明,为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对发明的具体技术方案做进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
实施例一
本发明实施例提供一种防控信息诈骗的方法,图1为本发明实施例防控信息诈骗的方法的实现流程示意图,如图1所示,所述方法包括以下步骤:
步骤s101,确定预设范围内的语音平台服务器。
这里,所述步骤s101确定预设范围内的语音平台服务器,可以是由防控信息诈骗的装置实现的,该装置在实际实现过程中可以是移动电话(手机)、平板电脑、笔记本电脑等具有无线通信能力的移动设备,也可以是诸如台式计算机之类的具有有线联网能力的且不便移动的设备。
所述预设范围可以是由工作人员输入的一个地域范围,例如,可以是一个省,一个国家,甚至是全球范围。由于信息诈骗的迅猛发展,犯罪分子已经不仅仅局限在本国内进行信息诈骗,因此在实际实现过程中往往将预设范围设置为全球。
根据已掌握的现有常用语音平台服务器的特征,基于该特征对预设范围内的网络服务器进行扫描,从而确定发现预设范围内的语音平台服务器。
步骤s102,获取所述预设范围内的语音平台服务器的特征信息。
这里,所述特征信息包括但不限于是:系统信息、信誉信息、注册信息和位置信息。所述信誉信息至少包括:所述语音平台服务器的ip地址的信誉值信息、域名的信誉值信息、域名注册人的信誉值信息。ip地址的信誉值信息反映了这个ip地址的信誉状况。比如,十分制的信誉值,信誉值为0分表示该ip地址的信誉极差,信誉值为10分表示该ip地址的信誉值很好,这里仅进行示例性说明,具体信誉值代表的含义可以自行设置。
当确定了预设范围内的语音平台服务器时即确定了预设范围内语音平台服务器的ip地址,然后可以根据ip地址确定域名以及域名注册人。进而可以收集到与ip地址、域名以及域名注册人相关的数据;再采用一定的算法比如人工神经网络的方法对与ip地址、域名以及域名注册人相关的数据进行分类和处理,得到ip地址的信誉值信息、域名的信誉值信息、域名注册人的信誉值信息。
所述系统信息包括语音平台服务器中运行的系统的版本,使用的语种,运营商等信息。所述语音平台服务器的系统信息可以通过对语音平台服务器返回给终端的响应消息进行分析得到。
步骤s103,根据所述预设范围内的语音平台服务器的特征信息确定虚假主叫语音平台服务器。
这里,获取到所述预设范围内的语音平台服务器的特征信息之后,可以对特征信息进行一系列的分析判断,例如ip地址的信誉值信息是否低于预设的第一阈值、域名的信誉值信息是否低于预设的第二阈值、域名注册人的信誉值信息是否低于预设的第三阈值,如果可能获取到语音平台服务器的话单文件,则可以再进一步分析语音平台服务器作为主叫进行的通话时长、频次、被叫信息更精确的确定虚假主叫语音平台服务器。
步骤s104,对所述虚假主叫语音平台服务器进行反制。
这里,针对已经确认的通讯信息诈骗使用的虚假主叫语音平台,通过攻防对抗技术对其进行反制,避免继续发起通讯信息诈骗呼叫。例如,由于语音平台服务器能够支持的语音会话数量是一定的,因此,发起大量的会话就可以快速大量消耗虚假主叫语音平台服务器的会话资源,最终导致虚假主叫语音平台服务器无法正常工作。再例如,如常被通讯信息诈骗利用的国内某公司的voip运营平台某版本,全球广域网(worldwideweb,web)服务存在缺陷,可导致远程控制系统或停止某些服务。因此,能够直接瘫痪虚假主叫平台,使其无法对通讯信息提供服务。
在本发明其他实施例中,在步骤s103根据所述预设范围内的语音平台服务器的特征信息确定虚假主叫语音平台服务器之后,所述方法还包括:确定所述虚假主叫语音平台服务器的注册信息和位置信息。
这里,在确定了虚假主叫语音平台服务器之后不仅要对虚假主叫语音平台服务器进行反制,使其不能正常工作,进而防止不法分子继续进行信息诈骗行为,并且还需要通过ip溯源、域名溯源、域名注册人溯源等方式确定所述虚假主叫平台服务器的位置,进而定位域名注册人等不法分子的位置信息,以便公安部门进行案件侦破及抓捕不法人员。
在本发明实施例提供的防控信息诈骗的方法中,首先确定预设范围内的语音平台服务器;再获取所述预设范围内的语音平台服务器的特征信息;然后根据所述预设范围内的语音平台服务器的特征信息确定虚假主叫语音平台服务器;最后对所述虚假主叫语音平台服务器进行反制,这样,能够根据通讯信息诈骗特征,准确找到当前虚假主叫语音平台服务器,并事前对虚假主叫语音平台服务器进行反制,进而从源头解决了信息诈骗问题。
实施例二
基于前述的实施例,本发明实施例再提供一种防控信息诈骗的方法,图2为本发明实施例防控信息诈骗的方法的实现流程示意图,如图2所示,所述方法包括:
步骤s201,终端向预设范围内的网络服务器发送请求消息。
这里,所述请求消息的类型为语音平台服务器对应的消息类型。比如现在语音平台服务器以sip服务器居多,那么在实现的过程中,可以向预设范围内的网络服务器发送一个sip协议中使用的请求消息,例如所述终端向预设范围内的网络服务器都发送一个invite请求消息。
步骤s202,接收所述网络服务器发送的响应消息。
这里,所述网络服务器接收到所述终端发送的请求消息后,会基于所述请求消息向所述终端返回一个响应消息。当然,所述网络服务器返回的响应消息的类型是与所述网络服务器对应的。例如,如果所述网络服务器是sip服务器,那么它会返回一个sip响应消息,比如返回的可能是“100trying”。
步骤s203,所述终端判断所述响应消息的类型是否与所述请求消息的类型相同。
这里,如果所述响应消息的类型与所述请求消息的类型相同,则进入步骤s204;如果所述响应消息的类型与所述请求消息的类型不同,那么表明所述网络服务器不是语音平台服务器,则结束流程。
步骤s204,所述终端将所述网络服务器确定为语音平台服务器。
步骤s205,所述终端获取所述预设范围内的语音平台服务器的特征信息。
这里,所述特征信息包括但不限于是:系统信息、信誉信息、注册信息和位置信息。
所述系统信息包括语音平台服务器中运行的系统的版本,使用的语种,运营商等信息。所述信誉信息至少包括:所述语音平台服务器的网络之间的互连协议(internetprotocol,ip)地址的信誉值信息、域名的信誉值信息、域名注册人的信誉值信息。所述注册信息至少包括:注册人信息。所述位置信息至少包括经度和纬度。
所述步骤s205可以通过以下两种方式实现:
第一种方式,根据所述预设范围内的语音平台服务器的标识信息,获取与所述预设范围内的语音平台服务器的特征数据;对所述特征数据按照预设的算法进行统计分析,得到所述预设范围内的语音平台服务器的特征信息。
第二种方式,获取所述预设范围内的语音平台服务器发送的响应信息;解析所述响应消息,得到所述语音平台服务器的特征信息。
在本发明其他实施例中,所述信誉信息可以通过第一种方式获取,所述系统信息可以通过第二种方式获取,所述注册信息和所述位置信息可以根据所述语音平台服务器的标识信息获取。
步骤s206,如果所述语音平台服务器的信誉信息满足第一预设条件和/或所述语音平台服务器的系统信息满足第三预设条件,所述终端将所述语音平台服务器确定为目标服务器。
这里,所述第一预设条件和所述第三预设条件为预设的符合虚假主叫语音平台服务器的特征的条件,比如,所述第一预设条件可以是ip地址的信誉值低于第一阈值,所述第三预设条件可以是国外的ip地址但是,所述语音平台服务器运行的系统使用的语种为汉语。如果所述语音平台服务器的信誉信息满足所述第一预设条件和/或所述语音平台服务器的系统信息满足所述第三预设条件,则可以初步判定所述语音平台服务器疑似虚假主叫语音平台服务器。可以对这些疑似虚假主叫平台服务器进行进一步的筛查确认。
步骤s207,所述终端判断能否获取到所述目标服务器的话单文件。
这里,由于虚假主叫语音平台服务器往往是存在系统漏洞的,可以远程列出系统目录及文件。因此,利用该特点就能够访问此类型语音平台的话单文件。当然也并不是所有的虚假主叫语音平台服务器都可以远程控制,所以,在本发明实施例中,需要首先判断能否获取到所述目标服务器的话单文件,如果可以获取到所述目标服务器的话单文件则进入步骤s208,根据所述话单文件对所述目标服务器进行进一步的确认;如果不能获取到所述目标服务器的话单文件,则进入步骤s210,通过目标服务器的位置信息和注册信息来进行进一步的确认。
步骤s208,所述终端分析所述话单文件得到所述目标服务器的通话信息。
这里,所述话单文件也就是所述目标服务器的通话记录文件。所述通话信息包括到不限于:主叫号码、每个主叫号码的频次、被叫号码、被叫号码的频次、通话时长。这些信息均可以通过分析话单文件得到。
步骤s209,如果所述目标服务器的通话信息满足第二预设条件,将所述目标服务器确定为虚假主叫语音平台服务器。
这里,所述第二预设条件为预设的符合虚假主叫语音平台服务器的通话特征的条件。比如,所述第二预设条件可以在预设时间内呼叫同一被叫号码的次数大于第四阈值或者所述目标服务器的通话信息中特殊服务号码作为主叫的次数大于第五阈值等。
步骤s210,所述终端确定所述目标服务器的注册信息和位置信息。
这里,所述注册信息包括ip地址、域名、域名注册人信息。根据所述ip地址、域名可以确定所述目标服务器的位置信息。
步骤s211,如果根据所述目标服务器的注册信息和位置信息确定所述目标服务器不是已知安全的语音平台服务器,将所述目标服务器确定为虚假主叫语音平台服务器。
这里,由于根据中国的《电信条例》,端到端voip国内并没有开放许可,因此,目前已知安全的语音平台服务器都是由通信运营商部署设置的,因此这些语音平台服务器的注册信息和位置信息是已知的,如果所述目标服务器的注册信息和位置信息表明所述目标服务器并不是这些已知安全的语音平台服务器,则可将其确定为虚假主叫平台语音平台服务器。
步骤s212,所述终端确定所述虚假主叫语音平台服务器的注册信息和位置信息。
这里,需要说明的是,如果所述虚假主叫语音平台服务器是根据步骤s210和步骤s211确定的,由于在步骤s210中已经确定了注册信息和位置信息,则该步骤可以省略。
步骤s213,所述终端对所述虚假主叫语音平台服务器进行反制。
这里,所述步骤s213可以通过以下两种方式实现:
第一种方式:对所述虚假主叫语音平台服务器进行应用层磁盘操作系统(diskoperatingsystem,dos)攻击。
第二种方式:远程控制所述虚假主叫语音平台服务器,停止所述虚假主叫语音平台服务器正常运行所必需的服务进程。
在本发明其他实施例中,在所述步骤s206之前,所述方法还包括:判断所述语音平台服务器的信誉信息是否满足第一预设条件和/或判断所述语音平台服务器的系统信息是否满足第三预设条件。在实现的过程中,可以通过但不限于:如果所述语音平台服务器的ip地址的属性信息为国内ip,判断所述语音平台服务器的运营商为合法的通信运营商;和/或如果所述语音平台服务器的ip地址的属性信息为国外ip,判断所述语音平台服务器所运行的系统是否为中文系统;和/或判断所述语音平台服务器的ip地址的信誉值是否低于第一阈值;和/或判断所述语音平台服务器的域名的信誉值信息是否低于第二阈值;和/或判断所述语音平台服务器的域名注册人的信誉值信息是否低于第三阈值来实现。
在本发明其他实施例中,在步骤s209之前,所述方法还包括:判断所述目标服务器的通话信息是否满足第二预设条件。在实现的过程中,可以通过但不限于:根据所述目标服务器的通话信息,判断所述目标服务器在预设时间内呼叫同一被叫号码的次数是否大于第四阈值;和/或根据所述目标服务器的通话信息,判断所述目标服务器的通话信息中特殊服务号码作为主叫的次数是否大于第五阈值来实现。
在本发明实施例提供的防控信息诈骗的方法中,首先终端向预设范围内的网络服务器发送请求消息,并根据接收到的响应消息确定语音平台服务器,再获取所述语音平台服务器的特征信息,如果所述语音平台服务器的信誉信息满足第一预设条件和/或所述语音平台服务器的系统信息满足第三预设条件,所述终端将所述语音平台服务器确定为目标服务器,这里的目标服务器为疑似虚假主叫平台语音平台服务器,再根据是否能获取到所述目标服务器的话单文件,分两种情况进一步的从所述目标服务器中确定出虚假主叫语音平台服务器,并对确定的虚假主叫语音平台服务器进行反制,使其不能正常控制,从而防止不法分子进行信息诈骗行为,这样,能够在事前从源头上确定出虚假主叫语音平台服务器,并对其进行攻击,进而从源头解决了信息诈骗的问题。
实施例三
本发明实施例先提供一种防控信息诈骗的方法,在本发明实施例提供的防控信息诈骗的方法中,是基于对通讯信息诈骗的模式的分析及虚假主叫语音平台特征的分析,采用一定的技术手段远程发现通讯信息诈骗使用的虚假主叫平台。通过不断发现监测这种虚假主叫平台,以及采用定位、溯源、反制等技术可以阻止这些虚假主叫语音平台的正常运行,从而能够做到从源头预防通讯信息诈骗。
图3为本发明实施例防控信息诈骗的方法的实现流程示意图,如图3所示,所述方法包括以下步骤:
步骤s301,全球语音平台发现。
这里,根据对现有常用语音平台特征的研究,基于特征针对性轻量扫描全球网络服务器,发现全球范围内的语音平台。
由于语音平台具备互联网访问的功能,甚至域名以及登录网页等,因此,语音平台必须使用常见的voip技术,其中以简单、灵活的sip技术居多。
因此,基于sip协议常见端口5060等以及协议中常用的invite、register等方法就能够准确发现基于sip的语音平台。以register为例,模拟一个用户的注册过程,向目标ip地址发送sipregister报文,若目标ip为语音平台,则根据sip协议规范会返回“401unauthorized”等sip响应报文;若返回的不是sip响应报文,目标ip就不会是语音平台。根据返回报文,可以准确判断发现语音平台。
图4为本发明实施例正常的sip协议流程示意图,如图4所示:当sip终端向sip服务器发送一个register请求消息时,sip服务器可能向sip终端返回一个“401unauthorized”sip响应报文,sip服务器也可能向sip终端返回一个“200ok”的sip响应报文。
sip协议的register和401unauthorized的response消息的格式示例如下所示,假设:sip服务器的ip地址为191.169.150.30;sip终端的ip地址为191.169.150.251;sip终端向sip服务器发送注册请求。
下面是register请求消息的示例:
registersip:191.169.150.30sip/2.0
from:sip:6540012@191.169.150.30;tag=16838c16838
to:sip:6540013@191.169.150.30;tag=946e6f96
call-id:1-reg@191.169.150.251
cseq:2762register
contact:sip:6540012@191.169.150.251
expires:100
content-length:0
accept-language:en
supported:sip-cc,sip-cc-01,timer
user-agent:pingtel/1.2.7(vxworks)
via:sip/2.0/udp191.169.150.251
根据sip协议,sip服务器返回401unauthorized响应示例:
sip/2.0401unauthorized
from:<sip:6540012@191.169.150.30>;tag=16838c16838
to:<sip:6540013@191.169.150.30>;tag=946e6f96
cseq:2762register
call-id:1-reg@191.169.150.251
via:sip/2.0/udp191.169.150.251
www-authenticate:digest
realm="huawei.com",nonce="200361722310491179922"
content-length:0
语音平台发现过程模拟sip终端向ip地址发送register请求,如果该ip运行着语音平台则将会返回401unauthorized等响应。通过这种方法就能够发现网络上的语音平台。
步骤s302,大数据分析。
全球语音平台中大部分都是正常的对外提供服务的平台,仅有少部分是通讯信息诈骗使用的平台。根据通讯信息诈骗模式特征,采用大数据分析的方式,从全球语音平台中筛选出用于通讯信息诈骗的可疑语音平台。
图5为本发明实施例大数据分析维度示意图,如图5所示,进行大数据分析常用的分析维度包括:
501,ip地址属性分析(国外ip地址)。
如果ip地址显示是国外ip地址,但运行着中文系统的voip语音平台则可将该语音平台确定为可疑语音平台,因为将虚假主叫平台设置在国外,是通讯信息诈骗常用的逃避打击的手段之一。
502,ip地址属性分析(国内ip地址)国内ip地址,
如果ip地址显示是国内ip地址,但运行着非通信运营商的voip语音平台,则可将该语音平台确定为可疑语音平台,因为根据中国《电信条例》,端到端voip国内并没有开放许可,非通信运营商的voip平台则可能为恶意语音平台。
503,常用虚假主叫语音平台的部分特征分析。
常见的通讯信息诈骗使用的虚假主叫平台系统通常也存在明显的特征,例如国内某公司的voip运营平台某版本常被通讯信息诈骗利用,该系统具有多种明显的特征,例如在各种响应的sip报文中包含的特种信息、webserver响应报文包含的特种信息等。
504,ip信誉分析。
基于目前流行的ip信誉算法及服务,部分虚假主叫平台由于其行为异常等原因其ip信誉值可能受到影响,信誉值低于正常ip。
505,域名信誉分析。
同理,部分虚假主叫平台的域名可能也受到影响,信誉值低于正常网站。
506,域名注册人信誉分析。
大数据分析域名注册人注册的其他域名,能发现该人员注册的其他多个域名的信誉值整体情况。
通过上述维度开展大数据分析,能够筛选出可疑的通讯信息诈骗语音平台。
步骤s303,确认及溯源。
这里,经过大数据分析确定为疑似的通讯信息诈骗平台之后,可以进一步确认是否该平台被利用进行诈骗。利用大数据分析的结果并结合通讯信息诈骗的特征,以及通话时长、频次特征和被叫等信息,确定通讯信息诈骗事件的发生,从而确认诈骗所用的语音平台。根据语音平台的ip地址、域名、注册人等信息对语音平台所处的物理位置及违法人员等信息进行溯源。
以常见的通讯信息诈骗使用的虚假主叫平台系统为例,如常被通讯信息诈骗利用的国内某公司的voip运营平台某版本,web服务存在缺陷,可以远程列出系统目录及文件。因此,利用该特点就能够访问此类型语音平台的话单文件,分析话单文件可以判断通讯信息诈骗。
步骤s304,反制及预防。
这里,针对已经确认的通讯信息诈骗使用的虚假主叫语音平台,通过攻防对抗技术对其进行反制,避免继续发起通讯信息诈骗呼叫。反制主要有两种模式:
第一种方式:对语音平台实施应用层dos攻击。
虚假主叫语音平台能够支持的语音会话数量是一定的,基于网络攻防理论,应用层攻击会大量消耗攻击目标的性能。因此,发起大量sip会话就可以快速大量消耗虚假主叫语音平台的会话资源,最终导致虚假主叫语音平台无法为通讯信息诈骗提供服务。
第二种方式,结合虚假主叫平台的具体缺陷实施针对性攻击
以常见的通讯信息诈骗使用的虚假主叫平台系统为例,如常被通讯信息诈骗利用的国内某公司的voip运营平台某版本,web服务存在缺陷,可导致远程控制系统或停止某些服务。因此,能够直接瘫痪虚假主叫平台,使其无法对通讯信息提供服务。
分析通讯信息诈骗使用的虚假主叫平台自身的运行特征以及实现方式,在必要的时候可以利用攻防对抗技术对虚假主叫平台进行反制,使其瘫痪,无法对外呼叫及实施诈骗。
图6为本发明实施例确认及溯源的实现流程示意图,如图6所示,确定及溯源包括以下步骤:
步骤s3031,获取大数据分析结果。
这里,通过大数据分析结果可以获取到可疑语音平台的信息。
步骤s3032,确认虚假主叫语音平台。
在本发明实施例中,可以通过以下方式确认虚假主叫语音平台:
第一种方式,判断是否存在一段时间内多次呼叫同一个被叫的情况。
实施通讯信息诈骗时,不法人员通常会有多人扮演不同角色使用不同号码呼叫受害人,因此,在虚假主叫平台话单中就会存在大量的一段时间内多次呼叫同一被叫的情况。
第二种方式,主叫号码是否使用虚假号码或特服号码。
通常,不法人员实施通讯信息诈骗时会假冒公检法等权威机关以取得受害人信任。因此,虚假主叫平台话单中会出现大量的公检法等假冒号码。
步骤s3033,根据平台ip地址、域名、域名注册人等信息对平台及违法人员进行溯源。
在实现过程中对语音平台及违法人员进行溯源时可以通过但不限于:(1)ip溯源,基于ip地址能够获取虚假主叫语音平台的物理位置。(2)域名溯源,基于域名能够分析虚假主叫语音平台的历史ip地址、历史物理位置等。(3)域名注册人溯源,基于域名注册人的信息能够分析历史注册域名,通过相关域名及ip地址,分析历史物理位置等。
通过ip溯源、域名溯源、域名注册人溯源等方式获取的大量位置信息,能够被用来定位不法人员的位置信息。
在本发明实施例提供的防控信息诈骗的方法中,首先通过通讯信息诈骗特征,准确找到当前虚假主叫语音平台的源头,确定需要整治的虚假主叫语音平台,从源头解决诈骗问题,属于事前治理;再利用语音平台ip地址、域名、域名注册人等信息,开展大数据分析,并对虚假主叫语音平台进行精确定位与溯源;实施应用层dos攻击或者利用虚假主叫平台缺陷,可以主动发起攻防对抗,使虚假主叫语音平台瘫痪不再对外发起诈骗呼叫,避免了传统的被动防护方式的不足。在本发明实施例中,通过不断开展全球语音平台发现、大数据分析、确认及溯源、反制,能够及时监测掌握虚假主叫语音平台的整体发展态势,从而能够从源头预防通讯信息诈骗,达到主动遏制通讯信息诈骗发展的目的。
实施例四
本发明实施例提供一种防控信息诈骗的装置,图7为本发明实施例防控信息诈骗的装置的组成结构示意图,如图7所示,所述装置700包括:第一确定模块701、第一获取模块702、第二确定模块703和反制模块704,其中:
所述第一确定模块701,用于确定预设范围内的语音平台服务器;
所述第一获取模块702,用于获取所述预设范围内的语音平台服务器的特征信息;
所述第二确定模块703,用于根据所述预设范围内的语音平台服务器的特征信息确定虚假主叫语音平台服务器;
所述反制模块704,用于对所述虚假主叫语音平台服务器进行反制。
在本发明其他实施例中,所述第一确定模块701进一步包括:
发送单元,用于向预设范围内的网络服务器发送请求消息,其中,所述请求消息的类型为语音平台服务器对应的消息类型;
接收单元,用于接收所述网络服务器发送的响应消息;
判断单元,用于判断所述响应消息的类型是否与所述请求消息的类型相同,其中,如果所述响应消息的类型是否与所述请求消息的类型相同,将所述网络服务器确定为语音平台服务器。
在本发明其他实施例中,所述第一获取模块702进一步包括:
第一获取单元,用于根据所述预设范围内的语音平台服务器的标识信息,获取与所述预设范围内的语音平台服务器的特征数据;
第一分析单元,用于对所述特征数据按照预设的算法进行统计分析,得到所述预设范围内的语音平台服务器的特征信息。
在本发明其他实施例中,所述第一获取模块702,还包括:
第二获取单元,用于获取所述预设范围内的语音平台服务器发送的响应信息;
解析单元,用于解析所述响应消息,得到所述语音平台服务器的特征信息。
在本发明其他实施例中,所述特征信息至少包括信誉信息和系统信息,对应地,所述第二确定模块703进一步包括:
第一确定单元,用于如果所述语音平台服务器的信誉信息满足第一预设条件和/或所述语音平台服务器的系统信息满足第三预设条件,将所述语音平台服务器确定为目标服务器,其中,所述第一预设条件和所述第三预设条件为预设的符合虚假主叫语音平台服务器的特征的条件;
第二分析单元,用于如果能够获取所述目标服务器的话单文件,分析所述话单文件得到所述目标服务器的通话信息;
第二确定单元,用于如果所述目标服务器的通话信息满足第二预设条件,将所述目标服务器确定为虚假主叫语音平台服务器,其中,所述第二预设条件为预设的符合虚假主叫语音平台服务器的通话特征的条件。
在本发明其他实施例中,所述特征信息至少包括注册信息和位置信息,对应地,所述第二确定模块703还包括:
第三确定单元,用于如果不能获取所述目标服务器的话单文件,确定所述目标服务器的注册信息和位置信息;
第四确定单元,用于如果根据所述目标服务器的注册信息和位置信息确定所述目标服务器不是已知安全的语音平台服务器,将所述目标服务器确定为虚假主叫语音平台服务器。
在本发明其他实施例中,所述反制模块704进一步包括:
攻击模块,用于对所述虚假主叫语音平台服务器进行应用层dos攻击;
停止模块,用于远程控制所述虚假主叫语音平台服务器,停止所述虚假主叫语音平台服务器正常运行所必需的服务进程。
在本发明其他实施例中,所述装置700还包括:第三确定模块,用于确定所述虚假主叫语音平台服务器的注册信息和位置信息。
这里需要指出的是:以上防控信息诈骗的装置实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果,因此不做赘述。对于本发明防控信息诈骗的装置实施例中未披露的技术细节,请参照本发明方法实施例的描述而理解。
实施例五
本发明实施例提供一种防控信息诈骗的设备,图8为本发明实施例防控信息诈骗的设备的组成结构示意图,如图8所示,所述设备800包括:存储器801、通信总线802和处理器803,其中:
所述存储器801,配置为存储可执行指令;
所述通信总线802,配置为实现存储器和处理器之间的连接通信;
所述处理器803,配置为执行存储的可执行指令,所述可执行指令包括:
确定预设范围内的语音平台服务器;
获取所述预设范围内的语音平台服务器的特征信息;
根据所述预设范围内的语音平台服务器的特征信息确定虚假主叫语音平台服务器;
对所述虚假主叫语音平台服务器进行反制。
这里需要指出的是:以上防控信息诈骗的设备实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果,因此不做赘述。对于本发明防控信息诈骗的设备实施例中未披露的技术细节,请参照本发明方法实施例的描述而理解。
对应地,本发明实施例再提供一种计算机存储介质,所述计算机存储介质中存储有计算机可执行指令,该计算机可执行指令配置为执行本发明其他实施例提供的防控信息诈骗的方法。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(readonlymemory,rom)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、rom、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。