垃圾短信拦截

信息安全与垃圾短信监控

肖子玉;吕姗

【摘要】本文主要从信息安全现状、垃圾短信特征、垃圾短信监控和拦截的技术

手段分析和有效治理垃圾短信的建议等方面进行论证和阐述.

【期刊名称】《电信工程技术与标准化》

【年(卷),期】2010(023)003

【总页数】5页(P60-64)

【关键词】信息安全;垃圾短信;监控拦截

【作者】肖子玉;吕姗

【作者单位】中国移动通信集团设计院有限公司,北京,100080;中国移动通信集团

公司,北京,100032

【正文语种】中文

1短信信息安全现状

垃圾短信既包括涉黑、涉黄、诈骗类短信，也包括各种非法广告类短信。据统计，

我国手机用户平均每周收到超过8条垃圾短信，其中70%为非法广告类短信。

垃圾短信已经造成了相当严重的社会危害。首先，垃圾短信侵犯了用户的合法权益，

对广大用户的正常工作和生活产生了严重干扰；其次，垃圾短信大多涉及黄赌毒等

违法或虚假信息，甚至成为不法分子从事违法犯罪活动的工具，引发了一系列严重

的社会治安问题，严重伤害了用户权益。第三垃圾短信的发送者均未取得合法广告

资质，而且通过号段的规律或其他手段获取客户号码，强行发送。

同时，大量的垃圾短信占用了网络资源，不仅阻碍了短信业务的健康发展，而且影

响了通信业务的正常开展。

垃圾短信问题已经引起了广大用户的强烈不满和社会各界的广泛关注，为构建绿色

网络，更好地发展业务，服务客户，通过技术手段和管理手段对垃圾短信进行监控

和拦截势在必行。

2垃圾短信特征分析

2.1垃圾短信的特征分析

目前垃圾短信的发送已形成产业链条，专业的设备研制者和销售者、短信

发送者以及群发信息提供者等各司其职，形成了关联密切的利益群体。要想通过技

术手段对垃圾短信进行监控和治理，需首先在通信网络中关注垃圾短信发送的特征。

2.1.1频次流量的特征

对垃圾短信分析发现，垃圾短信通常是超流量发送，即在单位时间内同一号码发送

大量短信，网络上曾监测到3万条/小时的超大流量短信。因此设置个人用户流量

阀值成为对个人用户发送的点到点垃圾短信监控的重要技术手段。

为避开网络对垃圾短信流量的限制，垃圾短信的发送从流程和频次上又出现了新的

特征，包括单个垃圾短信号码发送量减小，有的每小时只发送十几条，每天最多发

送几十条；采用非常多的号码同时发送，最多达到1000多个号码发送同一条内容；

垃圾短信发送点分布在不同城市，同时发送相同的内容等。这些新的应对方法使得

网络侧仅通过流量频次的监控方法失效。

2.1.2接收号码的特征

由于中国的通信网络是多个运营商组成的网络，而各运营商的网络运营也多采用分

省划分的模式，用户的业务管理均由用户申请业务的归属地管理。因此当用户使用

外省号码或其他运营商号码进行垃圾短信发送时，对外省或其他运营商用户号码，

被叫省或运营商网络无权对监测到的垃圾短信发送用户进行关停业务的操作。因此

垃圾短信的发送者通常选择使用外省或外网号码进行垃圾短信的发送。同时由于垃

圾短信（如广告类）通常是对未指定的大量人群进行发送，因此接收号码具连续号

码/同一号段内号码/有规则的其他号码特征。

2.1.3发送号码的特征

发送垃圾短信通常采用低资费的品牌业务号码，一般无吉祥号。由于发送号码在大

流量群发短信，而欠费后弃卡，因此这类号码通常入网时间短，大部分只有短信业

务量而无话务量。由于发送的垃圾短信均是对连号或同一号段进行群发，因此初次

发送期间接通率较低。

2.1.4发送地点的特征

群发垃圾短信通常会在一个地点大量定点发送，没有移动特性，且同一地点存在多

台类似的发送设备同时发送。

2.1.5发送内容的特征

无论是广告类还是诈骗类等各类垃圾短信，在内容中均会存在特定的关键字，如发

票、枪支等；这些均是可以通过关键字过滤和拦截手段在网络侧监控的。但随着关

键字模糊化和多样化，使得关键字难以匹配，对关键字过滤有效性也随之降低。垃

圾短信在内容上还存在其他特征，如均有联系电话等号码，字数较多，内容重复等。

2.2垃圾短信特征的识别方法

根据上节对垃圾短信特征的分析，我们总结出了一些针对不同特征或不同特征相结

合，进行垃圾短信的识别的方法。

2.2.1根据发送号码进行单号码发送频率进行识别

当同一发送号码发送短信数目在单位时间内达到网络设置的门限值时，即识别为垃

圾短信疑似号码。这种判别方式符合垃圾短信发送的基本特征，在发送门限设置合

理的情况下准确性较高，是目前现网应用的垃圾短信主要识别手段。

2.2.2根据发送号码的发送成功率进行识别

由于垃圾短信是对随机号码或同一号段用户发送的，因此遇到被叫空号的可能性较

大，发送短信的成功率将会大大低于正常水平。利用这一特征，对主叫短信发送成

功率进行识别，可识别出群发器发送垃圾短信。

2.2.3根据短信内容识别

根据短信内容中的关键词进行识别：设置一组关键词，检测短信内容中有无关键词

组合来判断是否是垃圾短信。这种判别方式准确性不高，无法应对关键词频繁变化

的需求。这种方式如结合流程频次的配合识别，在流程门限设置合理的情况下准确

性较高。

根据短信内容的相似度进行识别：垃圾短信通常是同一内容群发至多个被叫用户，

因此通过对短信字节数的分析比较，如相同，则识别为垃圾短信疑似。这种方式需

结合流程频次的配合识别，在流程门限设置合理的情况下准确性较高。

根据短信内容进行智能语义的识别：即结合多种语义分析算法进行语义分析识别是

否为垃圾短信。该方法实现方式难度较大。

2.2.4根据垃圾短信接收号段的规律识别

根据接收方号码段进行识别：垃圾短信的被叫号码特征如外省号码、连号或隔号、

有规律号码等，则可依此识别为垃圾短信。这种方式需结合流程频次进行识别，在

流程门限设置合理的情况下准确性较高。

根据接收方号码数量进行分析：由于垃圾短信发送给不同的被叫用户，因此平均每

个短信接收方号码接收短信条数与发送总条数相等或存在一定的规律性。针对此特

征可识别为垃圾短信疑似。这种方式需结合短信内容一致性分析和流程频次进行识

别，在流程门限设置合理的情况下准确性较高。

综上所述，将以上垃圾短信识别方法应用于垃圾短信监控逻辑中，则可实现垃圾短

信的监控和拦截。

2.3监控策略和监控范围

无论采用何种垃圾短信监控和拦截方案，方案的有效性均取决于监控的逻辑和策略

是否科学可靠。结合以上垃圾短信特征和识别方法分析，总结出目前现网应用较广

的垃圾短信监控策略主要有以下几种：

（1）同一发送号码发送短信数目在单位时间内达到网络设置的门限值时，即识别

为垃圾短信疑似号码。

（2）结合流量门限值，当垃圾短信接收号码为大量离散、同一号段、连号隔号等

规律时，即识别为垃圾短信疑似号码。

（3）结合流量门限值，当发送号码的发送成功率达到和超过门限值，即识别为垃

圾短信疑似号码。

（4）结合流量门限值，当短信内容中的关键词与系统设置的关键词或组合匹配时，

即识别为垃圾短信疑似号码。

（5）结合流量门限值，当短信内容字节数相同时，即识别为垃圾短信疑似号码。

（6）结合流量门限值，结合多种语义分析算法进行语义分析识别，是否为垃圾短

信。

3现有垃圾短信监控与拦截技术手段

通过以上分析可以看出，垃圾短信最典型的特征就是大量群发。在进行垃圾短信识

别时，首要的工作是在进行了一个时间段统计流量后，方可确定是否有垃圾短信嫌

疑。因此要实现垃圾短信的实时监控拦截，需对垃圾短信进行下发前的逐条检查，

利用关键字匹配来识别并逐条确定是否对本条短信进行拦截。这种方式由于成本较

高，对现网短信中心性能影响较大，现网应用较小。因此本文在进行垃圾短信监控

方案分析时，首先针对垃圾短信非实时方案进行讨论。

3.1短信发送流程（以中国移动为例）

通过对短信发送典型流程的分析，可清楚看出可实现垃圾短信监控和拦截的系统在

网络中的位置，见图1。

图1典型短信发送流程示意图

由图1可见，以中移动短信发送流程为例，短信从发送方用户通过空中接口提交

到MSC/VLR，由MSC/VLR经No.7信令网提交到用户归属短信中心；用户归属

短信中心通过No.7信令网查询到用户位置信息，直接将短信下发到被叫所在

MSC/VLR，并最终下发给被叫用户。可以看出，短信从发出到被叫用户收到，所

经过的网元节点设备只有用户归属短信中心和通过信令网下发途经的STP设备。

因此如果实现垃圾短信的监控和拦截主要是在短信中心和信令路由中监控。

3.2现有垃圾短信监控方案分析

短信监控方案可按以下方式进行分类。

3.2.1发端垃圾短信监控方案

发端垃圾短信监控方案即在主叫归属省网元进行数据采集并进行垃圾短信监控和拦

截的方案称为发端监控方案。

（1）非实时垃圾短信监控拦截方案

典型的发端拦截是在主叫省短消息中心进行监控和拦截的方式，如图2所示。

图2短信中心垃圾短信监控拦截方案示意图

图2所示的是大部分省垃圾短信监控采用的方式，即短信中心采集数据进行监控

和拦截的方案。这种方案是在发送方用户归属短信中心采集数据进行监控的，因此

属于发端监控方案。该方案可实现本省手机用户发送的所有垃圾短信的监控、本省

SP、本省行业网关发送的所有垃圾短信、外网本省用户发送的所有垃圾短信。监

控范围广，有效地从源头杜绝了垃圾短信的泛滥。

但该方案存在的问题是系统监控和拦截的实时性较差，一般一个发送垃圾短信的号

码从开始发送到被拦截需如下几个环节并产生时延：数据采集时延+流量统计时延

+分析处理时延。当垃圾短信监控系统生成垃圾短信嫌疑黑名单后，为保证拦截的

准确性，减少用户投诉，通常均要经过客服人工判断过程，人工判断后送HLR进

行用户的短信业务关停操作。目前这个过程至少需要30min～1h。为了解决时延

问题，我们就提出了实时垃圾短信监控拦截方案。

（2）实时垃圾短信监控拦截方案

实时垃圾短信监控方案即在垃圾短消息发送流程中插入实时垃圾短信监控系统，该

系统可对该短信中心所在省发起的全部短信进行监控，监控范围与上述短信中心非

实时垃圾短信监控范围相同。监控系统的组成详见图3。

方案中实时短信采集点设在短信中心，在短信中心设置短信代理机（Proxy）。短

信中心将所有MO、AO短信经短信代理机(Proxy)转发给垃圾短信监控系统，系

统进行关键字识别、流量及行为分析判断后，如识别出为垃圾短信，则对其实施拦

截从而终止该短信下一步的发送流程。同时，监控系统将产生的黑名单/疑似黑名

单及内容传送至BOSS系统进行处理。该系统主要用于瞬时超大流量垃圾短信的

直接拦截和通过BOSS人工处理后关停。

图3短信中心实时垃圾短信监控系统示意图

该方案可以逐条进行关键字或词的判断，并实时拦截，实时性强。但由于实时处理

时延要求高，因此通常只能实现简单的关键字处理逻辑，无法有效识别目前存在的

以商业广告为主的垃圾短信；且垃圾短信最关键的特征是大量群发，即使是实时系

统也需要统计短信流量后，再进行关键词分析；因此也不能够实现绝对的实时性。

在实际应用时，为保证较低的识拦截率，有时还需要人工判断后进行拦截，其实时

性就与短信中心非实时垃圾短信监控方案差别不大了。另外，该方案要求全网短信

中心改变处理流程，增加信令处理负荷，对现网影响也较大。由于此方案成本高效

果有限，因此未在全网推广。

3.2.2发端垃圾短信监控拦截效果分析

以上两个方案有一个共同的特点，即均是从发端用户归属省网元进行监控和垃圾短

信拦截的。而用户的投诉均是收端用户在收到垃圾短信后，由于影响其正常工作和

生活，而向收端省客服中心进行投诉的。虽然发端的垃圾短信监控方案是在垃圾短

信发送源头进行监控拦截，原则上说应能达到最好的效果。但在实际网络中，由于

各发端省监控策略不一，监控手段不同，且发送者不断变换发送策略，来应对网络

监控策略，因此导致收端省受垃圾短信影响，导致用户大量投诉外省或外网号码，

造成不良影响。

从垃圾短信监控的情况看，如某省垃圾短信监控拦截数据可见，本省内的手机用户

发送的点对点垃圾短信仅点总垃圾短信量的5%左右；本省来自外网的互联互通垃

圾仅占8%；这两部分均可通过发端垃圾短信监控和拦截方案进行监控和拦截。大

量检出的垃圾短信为外省发来的，由本网内外省发来的占51%，而外网从外省发

来的占36%；这两部分都是通过发端垃圾短信监控无法监控和拦截的。

图4某省垃圾短信占比示意图

从垃圾短信举报的数量分析，本省用户投诉的被叫号码为本省本网号码的情况只占

6%左右；本省用户投诉本网内外省用户的号码约占62%；本省用户投诉外网发来

的垃圾短信号码量约占32%。

不难看出，从垃圾短信监控系统的监测结果和用户的投诉情况是基本吻合的。如果

仅在发端省进行发端垃圾短信的拦截，其拦截量仅相当于用户收到垃圾短信总量的

10%以下。

为解决上述问题，受影响较大的收端省也开始在网络侧进行部署，对外省外网用户

发来的垃圾短信进行监控和拦截。

3.2.3收端垃圾短信监控方案

收端垃圾短信监控方案即在被叫归属省网元进行数据采集，并进行垃圾短信的监控

和拦截的方案称为收端监控方案。从以上短信发送流程中可见，在被叫省管理的网

元中进行数据采集、监控仅可在信令网中进行。典型的收端监控是在HSTP到

LSTP或HSTP到MSC/MSC-Server的信令链路中信令流中采集短信相关数据，

并进行监控。收端监控系统可以实时监控跨省短信，将有效地解决当前跨省垃圾短

信占比居高不下的问题，如图5所示。

目前收端监控拦截方案主要有两种：一种是在信令链路中插入一个信令处理设备，

对流经该链路的短信消息进行处理，对识别出的垃圾短信号码和短信进行拦截；另

一种是在信令链路中跨接采集点设备，对流经该链路的短信消息进行采集，并送后

台处理，但识别出的垃圾短信号码由于是外省或外网外省的号码，因此无法全面实

施拦截。由于具有拦截能力，现网应用较广的收端监控拦截系统主要为第一种。该

方案可拦截来自本网外省的垃圾短信和来自外网省外用户发来的垃圾短信；弥补了

发端监控拦截系统的不足。

图5收端垃圾短信监控方案示意图

但采用该方案时，由于需要将消息处理设备串接在所有从HSTP来的信令链路中，

工程实施较复杂，且增大了信令网信令传送时延，增加一级故障点，对网络有一定

的影响。而目前垃圾短信的发送行为又出现了新的特征，如垃圾短信的发送采用分

省发送、一个号码向多个省发送垃圾短信，则在分省的收端监控拦截方案可能失效；

而收端拦截是拦截的外省或外网用户，由于各地、各运营商监控策略不统一，不利

于全网垃圾短信的统一监控管理和指标考核。

4结论

通过以上分析不难看出，虽然网络上的监控和拦截手段是必不可少的，但全网各运

营商和省业务管理省份携手合作，才是治理垃圾短信工作不可缺少的环节。目前发

送垃圾短信的公司和个人也看准了整个网络没有统一管理、统一规范、统一治理的

要求，才会出现90%的垃圾短信是发往外省和外网的现象。为更好地实现建设绿

色网络的目标，除具备应用的技术手段外，还需推动管理和法律工作的有效进行：

国家主管部门制定完善管理流程，包括跨省、跨网垃圾短信处理流程；下发统一的

垃圾短信识别标准，明确对各类垃圾短信的拦截要求；

推动法律的建设和完善，在进行垃圾短信监控和拦截的同时，保障用户的隐私权和

通信自由；

优化技术处理流程，利用新技术增加智能分析判断，减少人工处理流程，提高整体

垃圾短信拦截效率。

综上所述，为了使治理垃圾短信措施能够全面贯彻落实施，需要全社会的关注和支

持。

参考文献

[1]中国移动通信集团设计院有限公司.中国移动垃圾短信收端监控系统建设方案.

2009，8

[2]中国移动通信集团设计院有限公司.中国移动通信集团北京有限公司垃圾短信监

控优化项目可行性研究报告.2008，5

[3]中国移动通信集团设计院有限公司.中国移动垃圾短信及骚扰电话监控系统的技

术研究.2007，10