預約掛號平臺網絡號販子防御策略與應用分析

□ 陳怡帆 CHEN Yi-fan 曹戰強 CAO Zhan-qiang 路宇博 LU Yu-bo

北京大學口腔醫院為積極推進“互聯網+醫療”建設，于2018年上線預約掛號APP，為門診初診患者提供線上預約掛號服務，有效解決群眾看病就醫的急難愁盼問題，進一步提升群眾就醫體驗。但隨著網絡預約掛號的普及，既往利用窗口排隊或撥打掛號熱線的傳統號販子開始逐步轉變為“技術型”網絡號販子，在掌握醫院線上預約掛號流程的基礎上，利用技術手段非法刷號、搶號進行倒賣牟利，嚴重擾亂預約秩序、損害患者利益與醫院聲譽。為有效遏制“技術型”網絡號販子違法行為，醫院采用用戶身份識別、用戶IP 管理、平臺前端控制、平臺終端管理等多種舉措，持續優化預約掛號流程，形成了一套具備科學性、先進性的預約掛號平臺網絡號販子防御策略，并取得了良好成績。本文詳細描述醫院在預約掛號平臺網絡號販子防御中的具體措施，以期為其他醫院進一步完善網絡號販子防御舉措提供借鑒。

學科特色及首診號源供給情況

1.供需不平衡導致首診號源緊張。北大口腔醫院年門診服務患者超161 萬人次，工作日均門診量6400 人次左右[1]。由于口腔專業診療過程以操作為主，醫生在工作時間內能夠接治的患者數量相對較少，并且大部分患者需多次復診才能完成完整診治，醫生工作時間需兼顧復診患者，因此通過預約掛號小程序發布的初診號源十分有限。初診號源在預約掛號小程序上放出后經常出現“秒殺”現象[2]。以2022年度為例，醫院預約掛號小程序累計用戶數達266 萬人，日均初診號源1009 個，日均訪問量高達50 萬余人次，放號時刻1 分鐘內平均訪問量20萬人次，瞬時訪問峰值平均為每秒2萬余人次。

2.號販子問題干擾公平就醫。號販子問題長期受到社會及相關部門的高度重視。原國家衛生計生委、中央綜治辦、中央網信辦等多部門聯合發布《集中整治“號販子”和“網絡醫托”專項行動方案》(國衛辦監督函〔2016〕416 號)，要求重點醫院全面梳理掛號就診制度，進一步完善診療服務流程[3]。北大口腔醫院積極落實、加強監控、嚴格管理、持續打擊，有效遏制了傳統線下號販子。但隨著移動互聯網及移動診療平臺迅猛發展，號販子的手段也升級轉變為“技術型”號販子，例如號販子利用大量物聯網賬號通過爬蟲嗅探等方式試探APP 接口，或通過軟件以大于20 次/秒的頻次發送掛號請求等，嚴重擾亂網絡掛號秩序。為有力解決此頑疾，北大口腔醫院立即著手探索利用嚴格可控的針對性防御措施，打贏號販子阻擊戰。

“技術型”號販子行為特征分析

通過分析預約數據與調研排查發現，“技術型”號販子主要借助專業作弊設備，如自動化腳本、設備牧場、代理/秒撥軟件、打碼平臺等，利用預約掛號平臺在身份識別、賬戶綁定、退號等環節的規則漏洞惡意搶占號源，其行為主要存在以下一點或多點特征。

1.賬戶創建號碼異常。號販子通過大量相似的物聯網號碼創建賬戶，通過收發短信模擬用戶登錄驗證。

2.賬戶綁定就診人異常。為方便老人、小孩等特殊患者就診，醫院制定允許綁定親友身份信息進行代為掛號的政策。此政策在便民的同時，也為號販子提供了可乘之機，號販子利用從其手中購買過掛號票的真實患者信息，惡意綁定患者信息，主要表現為同一賬戶綁定非正常、大量就診人信息，或非正常、高頻解綁更換就診人信息，以此搶占號源。

3.搶號行為異常。號販子配置高配置服務器、主機、高速網絡、模擬器腳本軟件等專業設備，賬戶以非正常、高頻率訪問預約頁面，或可跳過預約前置界面直接訪問相關功能接口[4-5]。如果單次放號的前幾個預約號都來自于同一個地址或主機，或者多次放號的前幾個號都被同一地址或設備搶到，即可認定為是搶號行為異常數據。

4.掛號退號數量異常。正常的掛號是以到醫院就診為目的，因此患者頻繁掛號、退號也是“技術型”號販子的重要特征[6]。異常退號行為在數據上表現為：(1)1 個月或一段時間出現多次退號記錄。(2)判定醫療行為，掛號的目的是為了就診，如果掛號中大部分沒有產生診療行為就退號，即可判定為惡意搶占資源。

針對性防御措施分析

為制定科學有效的防御措施，北大口腔醫院對現有醫院/平臺采取的“技術型”號販子防御措施進行了調研分析。例如，北京市屬醫院預約掛號京醫通平臺通過深入挖掘用戶行為，將異常用戶行為分為占號、代理、自動刷號軟件3 類。當用戶符合一項或多項異常行為特征時將被系統標記并進入“異常用戶池”，用戶行為將受到限制和高度監控[7]。上海交通大學醫學院附屬瑞金醫院從CAPTCHA 驗證、一鍵預約、加強驗證碼技術、非即時釋放號源和賬號審查等方面防范惡意搶號行為。上海申康醫院發展中心醫聯預約服務平臺通過加強實名制認證、驗證碼校驗、限制預約新規則、隨機釋放取消再利用號源、設置秒殺器、一鍵預約等方式遏制非法搶號行為。

針對網絡號販子上述行為特點并借鑒已有平臺的成功經驗，北大口腔醫院制定落實了一系列嚴格可控的防御策略措施，包括優化用戶身份識別、優化用戶IP 管理、優化平臺前端控制、優化平臺終端管理、優化預約經費結算，從系統設計層面盡可能封堵網絡號販子可以利用的規則漏洞，進一步壓縮其生存空間。針對性防御措施見圖1。

圖1 針對性防御措施

1.優化用戶身份識別。傳統APP 預約掛號通過身份證加短信驗證的方式進行用戶實名認證，電信運營商對個人手機號碼的限制在一定程度上可以制約網絡號販子的行為。物聯網的推廣導致出現大量可接收短信的通信號碼，網絡號販子利用批量購置物聯網號碼收發短信模擬用戶身份登陸，通過用戶身份驗證后，借助高速網絡配合針對醫院APP 服務器開發的搶號軟件，掛號成功的幾率大大提高。

2019年起北大口腔醫院暫停APP 預約掛號服務，啟用微信小程序平移預約掛號功能。小程序要求用戶注冊、綁定身份信息時必須進行人臉核實，通過人臉活體檢測技術在人臉識別過程中判斷操作用戶是否為真人，同時將獲取的用戶人臉信息與用戶真實身份信息庫進行秒級比對確認。用戶微信賬戶身份、身份證信息、人臉信息的統一可實現真正的實名制認證，有效隔斷網絡號販子模擬身份登錄。另外，由于承載業務的后臺服務器不直接與用戶終端連接，可最大程度避免商業掛號公司開發機器人搶號軟件。

2.優化用戶IP 管理

2.1 使用IP 限流策略。針對“群控”手機系統對掛號服務進行惡意試探采取IP 限流策略，同一IP 每秒請求數不能大于2 個。如同一IP 地址1 秒內請求次數超過5 次，則暫停該IP 地址預約掛號1 分鐘。

2.2 建立黑名單制度。基于風控數據、歷史用戶數據，醫院將系統探測到下述IP 地址加入黑名單[8-9]，名單包括用戶ID、IP 地址、設備ID、患者身份證號、聯系人手機號等數據維度，關閉其訪問權限：(1)非掛號時段通過爬蟲嗅探等方式試探接口的IP 地址；(2)非手機端操作的IP 地址；(3)每半個小時請求數量大于1000 次的IP 地址；(4)同一時間段頻繁變更地理位置的IP 地址。此外，號販子用自動化程序攻擊時，為規避相關IP 地址頻次限制防控策略，通常會選擇IP 代理池組合使用。通過秒級切換海量IP 來實現高頻訪問，使用IP 黑庫可以覆蓋此類風險IP[10]。

3.優化平臺前端控制

3.1 使用函數節流策略。考慮到對各流程按鈕進行頻繁操作的腳本軟件，如按鍵精靈等，程序前端使用函數節流策略，控制同一個按鈕在1.5 秒之內只能提交一次，以增強程序的穩定性。

3.2 接口加密與切換。網絡號販子通過抓包工具進行接口嗅探，醫院通過對前端請求接口進行參數簽名和加密，提高數據和服務的安全性與穩定性，并且每半個小時動態切換前端請求接口地址，預防惡意爬蟲的DOS 攻擊。

4.優化平臺終端管理

4.1 控制就診人綁定數量與時間。控制每位注冊用戶最多可綁定3 名就診人，同時要求被綁定就診人通過身份證實名認證與人臉識別。如解除就診人綁定需在90 日后。

4.2 控制預約頻次與總量。控制每位就診人在同一就診時間段只能掛1 個專業的1 個號源，且同一就診人連續7 日內的掛號總量最多為3 個。

4.3 控制退號數量與周期。如用戶逾期未按時完成取號，系統記錄為爽約。爽約1 次，自爽約之日起限制掛號權限30 日；180 日內爽約2 次，限制掛號權限90 日；360 日內爽約3 次，關閉掛號權限。

5.優化預約經費結算。醫院預約掛號小程序試升級后要求就診人預交醫事服務費用。預收費策略不但可以增加號販子頻繁取消預約的成本，而且可以增加微信支付認證保障。利用微信及支付功能的準入限制，一方面通過實名認證的微信賬戶才有權限開通支付功能，一方面每個身份證綁定的微信賬戶有數量上限，防止號販子通過無限注冊新微信號惡意搶號。

應用效果分析

自實施針對性防御措施以來，北大口腔醫院在遏制“技術型”網絡號販子違法行為中取得顯著成效。

1.異常賬戶減少。通過限制賬戶請求頻率、就診人綁定數量、掛號數量、退號數量等管控措施，醫院進一步壓縮了網絡號販子的生存空間。據小程序管理后臺統計，2021年度封控異常賬戶8124 人次，2022年封控異常賬戶減少為5799 人次，同比下降28.6%。

2.退號比例下降。經統計，醫院在推行網絡APP 預約掛號初期，各臨床科室取消預約掛號行為占比較高，部分科室高達30%。采用小程序預約掛號及優化策略后，取消預約掛號的比例顯著下降，如圖2 所示。

圖2 醫院部分科室預約掛號取消比例

3.患者滿意度提升。患者滿意度調查結果顯示，2018—2019年度手機APP 掛號期間，就診患者對醫院掛號的滿意率為59.23%；采用小程序預約掛號及優化策略后，2021—2022年度就診患者對醫院掛號的滿意率提升至77.08%。

討論

公平就醫關系到人民群眾的切身利益。近年來在國家衛生健康委的統一部署下，醫院多次開展了集中整治“號販子”和“網絡醫托”的專項行動，通過完善實名制預約規則、健全系統內部管理機制等技術防范措施，對網絡號販子予以了一定程度上的有效打擊。對號販子治理工作的不斷回顧總結引發以下兩點思考。

1.平衡兼顧預約掛號的公平性與便捷性。在升級技術手段嚴厲懲戒網絡號販子的同時，仍然需要考慮到老年人、嬰幼兒、外籍人士等不便使用手機設備、人臉識別、身份證信息認證的特殊患者的需求。為此醫院開通了人工電話預約便民服務及現場預登記預約，同樣采取措施盡可能排除號販子的干擾。例如，在電話預約過程中，工作人員會查詢對照就診人手機信息及該電話號碼的就診歷史，對預約的合理性進行判斷；在現場預約過程中，患者登記的二維碼設置為一次性使用、實時刷新，避免通過拍照等途徑泄露。

2.跟蹤關注搶號行為的新技術與新手段。在利益趨勢下惡意搶號倒號的行為依然會層出不窮，網絡號販子逃避約束的技術手段更會不斷更新。因此醫院不能停留于目前的被動防范狀態，更需與時俱進主動出擊。例如，探尋大數據、人工智能技術在用戶行為分析、用戶身份甄別中的深入應用；積極獲取公安、網信、網絡運營商等相關機構的支持，建立信息共享與聯動機制。建立基于用戶就醫真實行為的識別體系，通過與醫院專家交流將醫學常識引入到系統中，以識別在醫學常識角度下不合理的掛號行為。未來可針對不同熱門專業和號源，利用醫學常識研究建立相關知識庫，以期進行逐步的模型構建。