论人工智能技术在互联网反欺诈中的应用

论人工智能技术在互联网反欺诈中的应用

陈伟奇

中国电信股份有限公司江苏分公司 江苏 南京 210000

摘要：针对网络诈骗态势呈高发态势，提出如何在运营商侧应对互联网诈骗威胁，保护网络用户生命财产安全。首先通过DPI实时监测网络流量，进行实时检测，智能识别分析，自动匹配诈骗网站特征指纹库，并依托DPI流量回注和DNS解析拦截能力对诈骗网站访问进行及时有效自动的拦截，从而净化网络空间，为公安提供有力的支撑工具，遏制了网络犯罪活动，从而促进了社会安全与稳定。

关键词：互联网诈骗、流量分析、深度学习、特征库

1 引言

随着互联网的高速发展，人们对于网络信息的依赖越来越强，但互联网上的各类有害信息越来越多，其中诈骗类网站危害最大，导致人们访问的这类诈骗网址后造成经济财产损失，甚至危及生命安全。而且网络诈骗态势也呈高发态势，国家作出了全面贯彻习近平总书记关于打击治理电信网络新型违法犯罪工作的重要指示，真正守牢“百姓钱袋子”。

2 背景

以通信技术与传统诈骗犯罪相结合而产生的新型诈骗即电信网络诈骗，因为其特征与传统诈骗罪不相同并且由于其诈骗手段不断更新、层出不穷和难以识别等特点。电信网络诈骗危害了人们的财产安全和其他合法权益，电信网络秩序和社会诚信也因此受到严重的干扰和破坏，严重影响了人民群众的安全感和社会稳定性。电信网络诈骗是我国目前遭受各种犯罪威胁中危害最大和影响范围最广泛的一种犯罪。

由于信息传播工具和新型支付方式逐步进入人们的生活，不法分子为了规避打击通常将互联网诈骗网址选择在境外注册,会使用虚假信息注册网站、域名等，同时诈骗网址的源IP地址会经过多层代理进行伪装，通常以非接触的方式向非特定的对象，以团队结伙或者集团作案方式分工十分明确和组织相当严密，诈骗手法不断迭代更新，难以及时发现和溯源。

目前主要问题是传统手段难以应对，互联网犯罪案件存在信息量大、取证难和定性难，诈骗网址静态识别不够精准，以及难以有效预警。为了全面贯彻习近平总书记关于打击治理电信网络新型违法犯罪工作的重要指示，切实保护好老百姓的“钱袋子”，运营商根据国家相关部门的统一部署要求，设计开发了基于网络流量分析（NTA）和深度学习（DL）的“翼网”诈骗网站/APP智能识别拦截平台，实现了诈骗网站/APP智能识别拦截。

3 互联网智能反诈

总体技术路线是所有数据链路的分光、分流、过滤、采集、识别、报备以及下发拦截（如图1）。

图1总体技术路线

3.1 流量采集模块

网络平台提供基础数据和技术能力，负责数据采集、数据传输交换和拦截推送，在城域网出口至骨干网进行旁路监听方式。数据采集分为固网和移动网两部分：

固网部署架构：城域网出口至骨干网链路上进行旁路分光，设备量级根据链路规模确定。

移动网部署架构：移动网数据出口集中在省级，对于移动网4G、5G涉诈网址的封堵，在省级进行统一管控，按照各地市需求开放功能。诈骗网站智能识别拦截系统对全省的移动网用户全量数据分光输出，接入响应流量处理、研判处置和管控模块。

在用户上网时，通过DPI系统，实时加密采集与监测用户访问的网址信息，并进行前端拦截、日志存储分析等操作。通过流量过滤分流设备对地市固网、移动网络用户的上网流量进行实时采集，实现流量接入、汇聚、复制、同源同宿、负载均衡、内外层规则过滤等功能。通过分光过来的原始流量过滤，将HTTP Get流量传输至流量采集分析处置一体机。

固网和移动网络用户访问诈骗网址时，系统实时监测其发送的URL请求，实时分析用户访问的每一个网址，与本地系统中的动态恶意链接库进行比对分析，对于恶意链接库中网址响应用户的请求，重定向警示页面。

网络流量分析（NTA）通过DFI和DPI技术来分析网络流量。DFI通过自动分析会话连接流的包长、包与包之间的间隔、传输字节量、连接速率等信息来与流量特征模型进行对比，从而实现对应用类型的鉴别。流量监测主要采用DPI技术实现针对电信固网、4/5G移动网流量中应用层协议的监测，通过解析流量包中HTTP/S协议的Host、Path、UA、XField等字段，获取用户访问的目标网站信息并对诈骗网站进行拦截处置。

3.2 智能研判模块

模块依据网络上监测的URL放入链接池，和诈骗模型库对数据内容进行分析比对，对用户访问记录URL的做诈骗内容信息检测和诈骗程序下载检测，将结果反馈到网络互联过滤设备，进行拦截封堵访问控制处理，提供更深入的诈骗网址分析比对，建立诈骗网址库，其中涉及的网址检测技术主要有诈骗网站特征库、NLP分析、图像识别等（如图2）。

图2 智能识别技术路径

建立网诈骗网站特征库，关于网站的指纹分析有四种：网页关键字、静态文件或MD5文件、URL关键字及URL的TAG模式。根据每5分钟采集的全省新出现网站清单，获取清单中网站的关键字、静态文件或MD5文件、URL关键字及URL的TAG模式，对网站进行文本挖掘、语义分析、信息抽取与检索、机器翻译等，建立每个网站的特征值。将网站特征值与诈骗网站指纹模型进行深度学习分类，获得最新的诈骗网站域名和IP地址清单。

通过NLP技术，对网站内容进行语义分析、信息抽取与检索、机器翻译等多维度的分析处理，机器自动化学习形成各类涉及诈骗网站的特征库。针对不同类型的诈骗网站，特征库被设置不同的算法模型，从而实现分类精准识别[1]。

智能研判模块采用卷积神经网络进行深度学习，用以发现识别用户访问流量中的诈骗网站。卷积神经网络(Convolutional Neural Networks, CNN)[2]是一类包含卷积计算且具有深度结构的前馈神经网络（Feedforward Neural Networks）。根据实际数据实验比对，相比较其他深度、前馈神经网络，卷积神经网络需要的参数更少，识别速度在同一个量级时，在网页图像识别方面能够给出更优的结果。

3.3 自动拦截模块

HTTPS加密协议解析与处置，在客户端和服务端建立HTTPS的过程中要先进行TLS握手，握手后会将HTTP报文使用协商好的密钥加密传输。但在TLS握手信息中并没有携带客户端要访问的目标地址，如果一台服务器有多个虚拟主机，且每个主机的域名不一样，则使用了不一样的证书。

与HTTP 协议用来解决服务器多域名的方案类似，HTTP在请求头中使用 Host 字段来指定要访问的域名。TLS的做法，是加Host，在TLS握手第一阶段ClientHello的报文中添加。SNI在 TLSv1.2 开始得到支持。

通过SNI，拥有多虚拟机主机和多域名的服务器就可以正常建立 TLS 连接（SNI（Server Name Indication）是 TLS 的扩展，用来解决一个服务器拥有多个域名的情况）。

针对HTTS加密协议的拦截封堵主要通过如下步骤实现：

（1）通过对CA证书内的会话解析，在客户端和服务端建立 HTTPS 的过程中要先进行 TLS 握手，握手后会将 HTTP 报文使用协商好的密钥加密传输。通过TLS握手第一阶段 ClientHello 的报文中添加Host及client hello报文解析实现对HTTPS网址的分析；

（2）前端分析设备在采集到用户访问危险网站的syn后，通过前端分析设备提取TCP连接的五元组、URL、域名等信息，随后根据预先定义的策略，在用户访问符合规则的流量时，向客户端发送封堵回注包，打断原访问连接，阻止数据加载，实现原流量的拦截。

基于DNS的拦截处置，在识别的诈骗网站域名经报备审核后，同步下发至DPI拦截平台及DNS拦截平台处置。DNS侧处置流程如下：

（1）诈骗网站域名下发至DNS拦截平台，指令以XML文件的格式封装。

（2）DNS拦截平台进行认证和信息校验，完成信息校验后保存指令，并在同一连接内及时反馈指令接收是否成功的信息。

（3）DNS拦截平台在约定时间内执行指令，将指令生效的结果信息进行反馈，返回的内容是以XML文件的格式封装的结果。

3.4 策略管理模块

该模块主要接收通管局下发的融合诈骗网址库，并对拦截策略和资源进行统一管理调配，包括诈骗网址库管理下发、监控处置、数据统计等功能。

处置指令下发：确认诈骗行为后，研判平台生成处置指令，通过接口模块发送至IP和域名处置设备。

实时监控处置：设备根据指令特征封堵或重定向用户访问诈骗域名或ip行为，以减少用户访问恶意网站的风险。

针对经规则处理之后的域名入库量、诈骗模型识别推送量进行查询统计，并生成统计日报。以便客户及时了解当前系统运行情况，掌握当前态势，并对服务质量进行评估。每日案发涉及网址或app的案件，建立案件反查机制。

由运营商、省通管局、省市公安等共同开展联合工作，形成了日常的工作机制，产生了“发现一个，拦住一批，四大运营商全面封堵拦截”效果，有效对抗网络犯罪者的防封堵策略，提高了拦截效率和针对互联网诈骗的有效反制能力。

4 结束语

本文结合互联网反诈的实际需求情况，借用NTA和深度学习技术提升互联网诈骗网址拦截效率，通过三部门系统协同处置来解决互联网犯罪案件中信息量大、取证难、定性难、诈骗网址静态识别不够准确，以及难以有效预警的痛点。2023年“百日行动”期间，江苏省共破获电信网络诈骗案件2.6万起,单个网络运营商通过部署诈骗网址研判模型1.5万个，研判识别日均涉诈域名量2842万个，共拦截诈骗网址6324121万次。下一步的工作：虽然互联网犯罪案件数量不断下降，但随着技术发展和不法分子的手段更新，案件数量呈现不定期的升高，可通过建立智慧安全服务平台，诈骗模型随着诈骗手法的升级而迭代更新，持续保持诈骗网址库的生命力。持续关注新趋势和学习新技术，为互联网反诈工作贡献一份力量。

参考文献：

[1]  卢磊、曹润刚 互联网诈骗的自动反制系统研究 《通信与信息技术》 2022.11

[2] Alex Krizhevsky  / Ilya Sutskever / Geoffrey E. Hinton ImageNet Classification with Deep Convolutional Neural Networks    2012