一種基于云管端聯動的網絡欺詐治理方法

□ 文 苗向陽 李江豐 陳曉光

近年來，網絡欺詐、侵害公民個人信息以及釣魚網站等互聯網和電信網絡新型違法犯罪，已經成為影響社會穩定和群眾安全感的突出問題。本文針對網絡欺詐，提出了一種基于“云管端”三位一體聯動的網絡欺詐綜合治理方法，包括在云側開展受害用戶詐騙場景還原與威脅情報研判、多數據源挖掘分析等；在管道側進行實時數據采集、監控與技術檢測；在端側宣傳詐騙防范與安全視窗安全預警能力，形成了事前防范、事中控制、事后追溯的網絡欺詐治理閉環，并通過實際工作應用進行了充分的驗證和實踐，證明了此方法的科學性和有效性，為電信運營企業開展網絡欺詐治理提供了可以借鑒的方法和思路。

一、研究背景

通信網絡詐騙是指犯罪分子通過電話、網絡和短信方式，編造虛假信息，設置騙局，對受害人實施遠程、非接觸式詐騙，誘使受害人給犯罪分子打款或轉賬的犯罪行為。網絡欺詐是通信網絡詐騙的一種形式，是指以非法占有為目的，利用互聯網采用虛構事實或者隱瞞真相的方法，騙取數額較大的公私財物的行為。釣魚網址、隱私竊取類手機惡意程序、偽基站短信等是網絡欺詐常用的犯罪形式。

近10年來，全國通信網絡詐騙，特別是網絡欺詐發案率持續上升，網絡欺詐案件每年以20%-30%的速度快速增長。2013年至今，全國共發生被騙千萬元以上的網絡欺詐案件54起，百萬元以上的案件1489起。2017年1月至7月，全國共立網絡欺詐案件15.5萬起，同比上升36.4%，造成損失24.2億元。以廣東地區為例，自2016年下半年至今，全省共破獲各類電信網絡詐騙案件近3000起，同比上升約7.8%；抓獲犯罪嫌疑人數量上升，共抓獲犯罪嫌疑人近400名，同比上升近10%。電信網絡新型違法犯罪已呈現明顯非接觸性特點，隨著LTE、移動互聯網和智能手機的高速發展，詐騙方式正逐漸從電話詐騙轉為電話與網絡多種手段相結合詐騙的方式，釣魚網址、仿冒APP和偽基站更是成為了詐騙分子的“新型武器”，空間跨度大、產業鏈條廣、行騙手法多，各種各樣利用智能技術手段行騙手法不斷翻新，打擊難度大，為群眾挽回損失極其困難。

猖獗的網絡欺詐違法犯罪，嚴重侵害人民群眾財產安全和合法權益，也引起了國家的高度重視。2016年6月，經國務院批準，公安部、工業和信息化部、最高檢、最高法等23個部門和單位，聯合建立組成打擊治理電信網絡新型違法犯罪工作部際聯席會議制度，加強對全國打擊治理網絡欺詐工作的組織領導和統籌協調。

網絡欺詐危害大、難治理。如果不全面地從源頭上根治灰黑產業鏈、切斷犯罪利益鏈，就難以從根本上鏟除網絡欺詐犯罪滋生、實施和蔓延的溫床，因此迫切需要研究和設計一套行之有效的全方位打擊、防范、治理網絡欺詐的技術和實施方案。

二、整體思路

網絡欺詐作為新型網絡通信犯罪，與傳統的詐騙犯罪相比具備一些新的特點，它是以非法占有他人財產為目的，借助計算機，采取虛構事實或者隱瞞事實真相的方法，騙取他人財物的行為。比如，利用網絡克隆某公司或者某官方網站的頁面，假冒網站管理人員向網民發布虛假的中獎信息，以獎品手續費、所得稅為借口欺騙受害人往其指定的銀行賬戶上匯款。它與一般的詐騙罪的區別主要在于詐騙方式。網絡欺詐一般來說具有以下特征：

1.詐騙面廣。詐騙人一般采取廣泛撒網、重點培養的方式，只要少數人上鉤就達目的。受害人上鉤后，詐騙人便設連環套，層層詐騙。

2.異地詐騙。由于互聯網的無邊界的特性，詐騙人往往選擇異地“魚兒”詐騙，受害人上鉤后一般不會直接到異地去找詐騙人。即使到公安機關報案，公安機關辦理異地案件的周期也較長。這也是詐騙人大多選擇異地詐騙的原因。

3.隱蔽性強。詐騙人不用直接接觸受害人，帶有極強的隱蔽性。

4.難以查證。詐騙人得手后毀掉一切網上證據，消失迅速，難尋蹤跡；另辟一套網上虛擬身份和虛假信息“重操舊業”。

5.犯罪工具智能化。以計算機及網絡為作案工具，網絡的發展形成了一個與現實世界相互影響又相對獨立的虛擬世界，智能型的犯罪分子利用互聯網的無地域性進行跨國界、跨地域作案。

為有效應對網絡欺詐的上述特點，本文提出了一種基于“云管端”三位一體、相互聯動的網絡欺詐綜合治理方法，包括在管道側進行網絡欺詐行為的發現、監測和攔截；在云側多渠道、多數據源的大數據挖掘，進行受害用戶詐騙場景還原和威脅信息研判；在端側進行終端用戶防范網絡欺詐安全意識培訓，通過安全客戶端推送網絡欺詐安全預警等三個方面。云、管、端三個層面相互聯動，互相配合，缺一不可，共同構成事前防范、事中控制和事后追溯的一體化防范治理網絡欺詐方案。

三、云側網絡欺詐治理手段

云側網絡欺詐治理手段是指以大數據為核心，綜合運用多種監測防范技術，面向詐騙網址、偽基站詐騙短信、仿冒網站、移動惡意程序等多個互聯網網絡信息詐騙環節，實現網絡欺詐綜合監測、綜合分析、綜合預警和綜合處置。實現多環節的欺詐群體識別、多場景的詐騙事件還原、多角度的受害人群分析、多維度的詐騙案件關聯、多渠道的黑產信息溯源，為網絡欺詐綜合防范提供技術支撐。此外，通過對通話話單、短信、上網行為等數據的大數據分析，建立基于詐騙類型、號碼行為特征、號碼特征、號碼活躍特征、號碼社交網絡、行為事件流、地域等多維度搭建大數據分析模型，利用聚類分析、隨機森林、梯度決策樹等方法進行分析，能夠挖掘和發現潛在的詐騙行為和詐騙號碼。

云側可以針對新出現的潛在網絡欺詐行為進行預防。網絡欺詐通常是以事件為核心，傳播途徑和詐騙手法的多樣性決定了需要以安全事件為核心串聯各業務安全事件才能實現對抗，將不同業務的安全事件串聯起來，通過業務之間的關系縮小分析范圍，目標更明確；通過不同業務之間的特征提取，完善各業務特征庫。潛在詐騙行為的預防和分析主要是通過大數據分析進行新詐騙類型挖掘和新詐騙類型建模。

1.新詐騙類型挖掘：對檢測到的異常行為序列進行歸納，對可疑的行為進行確認，分析其出現概率與相關性，結合已有詐騙手法規律進行交叉驗證，挖掘新的詐騙手法。

2.新詐騙類型建模：結合從公安機關獲取的報案數據，針對新的詐騙手法建立新的詐騙模型，通過對歷史數據進行驗證分析以及依據黑特征進行行為訓練，構建新的詐騙檢測模型。

云測還可以開展網絡欺詐案件串并分析。通過對不同案件線索中的數據進行分析，可發現案件線索之間的數據重合及特定對象之間的數據通信聯系，找出不同案件線索之間的內在聯系，方便公安辦案人員對多個相關案件進行聯立偵破。

1.發現不同案件線索下的數據具有相同行為模式的情況：通過電信網信令監測子系統與基于行為特征互聯網信息詐騙子系統相關聯，找出案件的共同點，即惡意網站、仿冒APP特征等，進行并案處理。

2.發現不同案件線索下的數據具有相同網絡行為特征的情況：通過電信網接入子系統的惡意網址特征庫與后臺的網絡行為大數據分析子系統進行關聯，找出相同網址特征的案件，進行并案處理。

3.發現不同案件線索下對象間存在數據通信的情況：通過詐騙行為特征分析、詐騙短信內容、詐騙網站及仿冒APP之間關聯分析，找出他們之間的內在數據通信聯系，進行并案處理。

四、管道側網絡欺詐治理手段

管道側網絡欺詐治理手段是指，通過采集移動互聯網用戶的全量上網流量，深入分析用戶的上網行為、APP使用行為、網絡注冊行為等動作，通過基于訪問行為或者網絡欺詐惡意網站等特征技術，識別出訪問釣魚網站、使用惡意移動APP的受害用戶或潛在受害用戶，并通過運營商管道側的數據流和會話封堵機制，對訪問惡意網址的行為進行網絡側實時阻斷，實現網絡欺詐的事中控制措施。

網絡欺詐分子利用電話、短信、惡意程序、釣魚網站、偽基站等工具瘋狂作案，“話術”多樣，“套路”重重，影響面廣，涉及金額巨大。網絡欺詐技術治理手段綜合運用多種監測防范技術，面向詐騙電話、詐騙短信、仿冒網站、偽基站、惡意程序等多個通訊信息詐騙環節，實現通訊信息詐騙綜合監測、綜合分析、綜合預警和綜合處置。實現多環節的欺詐群體識別、多場景的詐騙事件還原、多角度的受害人群分析、多維度的詐騙案件關聯、多渠道的黑產信息溯源，為通訊信息詐騙綜合防范提供技術支撐。

（一）釣魚網站治理

釣魚網站技術治理主要是針對網絡欺詐過程中常見的各類仿冒金融機構、在線電商、政法機關的網站進行發現和攔截。

當前釣魚網址生命周期短，變化多樣，快速從百億級別的網址中找到釣魚網址是治理的關鍵。在治理釣魚網站的環節中，運營商具有天然的智能管道優勢，實現對釣魚網站的主動監測和封堵。

釣魚網址分析主要是對從前端運營商話單接入子系統上報的疑似詐騙網址進行研判分析、人工審核等。用戶訪問日志和短信日志首先經過靜態分析引擎進行檢查，對于確認的詐騙網址直接輸出安全分級事件，對于疑似詐騙網址進入動態分析引擎進行分析，動態分析引擎輸出疑似詐騙網址和非詐騙網址結果信息，對于以上詐騙網址經過人工審核確認是否為詐騙網址，對于確認為詐騙網址的加載至靜態分析引擎，對于確認為非詐騙網址的反饋至動態分析引擎，用于進行模型訓練。

（二）移動惡意軟件治理

除了仿冒網站外，目前已經發現針對各大銀行、聊天軟件的仿冒應用等移動惡意軟件。用戶不小心點了網頁鏈接或者掃描了危險的二維碼，會下載安裝和正常程序一模一樣的應用APP，從而竊取用戶真實的用戶名和密碼。

移動惡意軟件治理技術手段主要實現對疑似仿冒應用事件行為信息的匯聚、疑似仿冒應用行為篩選和上報，支持利用全網仿冒應用下載URL庫和全網仿冒應用主控URL庫對獲得的網絡日志進行檢測，發現用戶連接仿冒應用的主控URL和下載URL事件。

此外，移動惡意軟件治理還可以開展程序樣本研判分析工作，主要是對預處理篩選后的疑似樣本，采用相關技術手段（如反編譯、反匯編等靜態分析技術，網絡行為分析、短彩信行為分析、本地行為分析等動態分析技術），輸出可能的惡意行為點，并根據研判標準進行仿冒應用判定，最終提取特征。

（三）詐騙短信治理

偽基站詐騙短信治理技術手段主要是通過在線檢測和離線學習兩種方式實現。

離線檢測主要是對歷史數據基于短信詐騙模型采用大數據分析方法，從短信發送的行為、發送的內容出發，采用深度學習、標簽標記、聚類分析以及人工干預等方法，檢測出詐騙短信，包含詐騙短信的內容關鍵詞、號碼、URL等信息，生成特征知識庫。

在線檢測是利用離線檢測模塊生成的特征知識庫進行在線快速檢測，輸出檢測結果數據，包括詐騙號碼、受害用戶、詐騙類型以及詐騙提醒建議等。在線檢測主要使用正則表達式進行快速檢測，包括號碼檢測、文本檢測、URL檢測、敏感特征詞檢測等。

在線檢測和離線檢測在邏輯上形成閉環機制，離線檢測為在線檢測提供技術手段，如知識庫和檢測算法，在線檢測為離線檢測提供數據。

（四）網絡監測與封堵

網絡監測與封堵的技術手段分為前端系統和后端系統兩部分。前端系統包括網絡欺詐的采集和攔截：

1.前端采集部分通過分光方式獲取信令和媒體流量，進行信令解析和行為還原。

2.對于命中黑名單的會話連接進行實時攔截。

3.對命中灰名單的會話特征還原，并進行特征比對，對命中的目標進行實時攔截。

4.前端攔截部分通過分別構造主被叫釋放信令的數據包回注到CE/交換機，分別向源和目的發起釋放信令消息，實現會話訪問的攔截。

后端系統用作詐騙電話的數據存儲、分析和展現。后端分析部分包括存儲、行為數據分析、信令特征和行為特征分析，輸出用于前端攔截的策略與特征，同時通過短信/電話進行受害用戶提醒。

五、端側網絡欺詐治理手段

端側網絡欺詐治理手段是指，通過強化短信、安全頁面、客戶端等渠道的宣傳教育，建立全覆蓋的網絡欺詐手法快速發布機制，及時發現、歸納不法分子實施詐騙的新手法新伎倆，通過多種渠道向公眾發布預警防范提示。針對網絡欺詐的受害用戶，通過手機安全視窗或客戶端進行實時提醒，最大限度的減少用戶被詐騙的損失。為避免網絡欺詐的危害，首先要提高用戶個體的安全防范意識。必須從各個層面進一步強化宣傳教育，切實打好防詐騙、反詐騙人民戰爭。

1.建立全覆蓋的網絡欺詐手法快速發布機制，及時發現歸納不法分子實施詐騙的新手法新伎倆，通過多種渠道向公眾發布預警防范提示。

2.建立全環節的互聯網防詐騙提醒機制，圍繞可能產生電信網絡詐騙行為和后果的各環節，開展標準化、規范化的防詐騙提醒。

3.建立全民化的防詐騙宣傳參與機制，采取群眾喜聞樂見的形式和以案釋法等方式，通過安全視窗、營業廳臺、下發短信、外呼等，有的放矢開展防詐騙宣傳，并建立健全舉報獎勵制度，讓詐騙分子成為過街老鼠、人人喊打。

六、網絡欺詐治理效果

“云管端”三位一體的網絡欺詐綜合治理方法，從云側開展受害用戶詐騙場景還原與威脅情報研判、多數據源挖掘分析等；在管道側進行實時數據采集、監控與技術檢測；在端側宣傳詐騙防范與安全視窗安全預警能力，形成了事前防范、事中控制、事后追溯的網絡欺詐治理閉環，對網絡欺詐進行了全方位、立體化、深關聯的防范、打擊和治理。

廣東移動自2017年12月起使用該方法開展網絡欺詐綜合治理工作，堅持偵查打擊、重點整治、防范治理多管齊下，推動網絡欺詐打擊治理工作取得了明顯的階段性成效。去年1至8月，廣東移動協助公安機關共破獲電信網絡詐騙案件1.1萬起，同比上升2.4倍；查處違法犯罪人員1.8萬名，同比上升2.5倍；查控凍結涉案銀行賬號5萬余個，同比上升3倍多，占全國凍結總量的九成以上；關停涉案網站等9萬余個；收繳贓款贓物折合人民幣6.5億元，為群眾避免損失26.4億元。

三位一體的網絡欺詐綜合治理方法后續將進一步完善，統籌開展網絡欺詐快速攔截、涉案資金快速止付、信息流資金流查詢、案件串并研判、偵查組織指揮等工作，努力打造成為集防范、打擊、治理于一體的實戰化運作平臺。

七、結論

本文針對網絡欺詐，提出了一種基于“云管端”三位一體聯動的網絡欺詐綜合治理方法，包括在云側開展受害用戶詐騙場景還原與威脅情報研判、多數據源挖掘分析等；在管道側進行實時數據采集、監控與技術檢測；在端側宣傳詐騙防范與安全視窗安全預警能力，形成了事前防范、事中控制、事后追溯的網絡欺詐治理閉環，并通過實際工作應用進行了充分的驗證和實踐，證明了此方法的科學性和有效性，為電信運營企業開展網絡欺詐治理提供了可以借鑒的方法和思路。

雖然網絡欺詐的打擊治理工作取得了一定成效，但網絡欺詐犯罪的高發勢頭仍沒有從根本上得到遏制。我們要深刻認識當前網絡欺詐違法犯罪形勢的嚴峻性、復雜性，突出問題導向、進一步推進打擊網絡欺詐行動向縱深發展。

1.進一步強化源頭治理，切實履行監管責任，嚴格落實監管措施，著力堵塞監管漏洞，堅決切斷網絡欺詐犯罪鏈條。

2.嚴格落實電信領域整治措施，建設完善電信網和互聯網國際出入口詐騙電話防范系統、電信網省際出入口詐騙電話防范系統，指導督促電信企業嚴格落實電話用戶真實身份信息登記制度，對整改不力、屢次違規的虛擬運營商，要依法依規堅決查處

3.嚴格落實銀行金融領域整治措施，建立完善銀行賬戶和支付賬戶異常資金交易風險防控系統，指導督促各商業銀行抓緊完成借記卡存量清理工作，研究制定加強支付結算管理的有效措施。

4.嚴格落實互聯網領域整治措施，強化網絡安全防護，督促互聯網企業對搜索引擎、QQ群、微信群等網絡空間進行清理整頓，堅決切斷不法分子利用互聯網實施詐騙的渠道。■

[1] 網絡欺詐案件啟示[J]. 黑龍江金融,2017,(05):78-79.

[2] 李凱. 淺析網絡欺詐預防機制——以警媒合作為視角[J]. 新聞研究導刊,2017,8(07):63-64.

[3] 吳朝平.“互聯網+”背景下網絡欺詐的發展變化及其防控[J]. 中國人民公安大學學報(社會科學版),2015,31(06):17-21.

[4] 趙琳. 網絡欺詐犯罪的實踐難題及解決[D].遼寧大學,2014.

[5] 黃首華. 網絡欺詐犯罪偵防對策研究[D].甘肅政法學院,2013.

[6] 高蘊嶙,李京. 網絡欺詐犯罪偵查難點及實證對策研究——以重慶市各區縣發案為例[J]. 重慶郵電大學學報(社會科學版),2013,25(01):33-38.

[7] 胡向陽,劉祥偉,彭魏. 網絡欺詐犯罪防控對策研究[J]. 中國人民公安大學學報(社會科學版),2010,26(05):90-98.