大数据安全实战之伪基站识别

传统安全技术大部分发展和成熟于互联网时代之前，包括反病毒、防火墙、IDS/IPS等安全技术与产品，都是基于对已知恶意攻击或恶意软件的特征识别。它们往往对未知的恶意威胁缺乏防护和发现响应能力。由于传统安全产品大部分依赖“样本捕获样本分析样本采样定时更新”特征库这样一套流程来更新对已知恶意威胁的识别。在应对快速传播、变化或爆发的恶意攻击时，面临时间差的问题，对于快速变化的爆发式大规模攻击，往往传统安全厂商还没来得及推送防护升级，攻击者已经感染了数以百万计的用户。对于未知或高级的攻击，传统安全厂商则往往需要经历数年之久才能意识到恶意攻击或恶意软件的存在。

近些年来，为了解决这些安全问题，业界做了很多的尝试。无疑基于大数据安全和云计算技术的云查杀有效的解决了传统安全技术面临的难题。利用云查杀技术，不仅能迅速收集样本信息，还能实时返回该样本处理策略——在云端，该样本信息经过一系列的自动化处理和鉴定、追踪流程，最终转化为实时处理的防御策略交由客户端处理，从而解决时差问题。

利用大数据来解决安全威胁，还有很多的场景，接下来我们介绍如何利用大数据安全技术来解决伪基站问题。

说起伪基站，大家一定会想到各种垃圾短信，特别是伪装成银行的诈骗短信，如下图所示：

[外链图片转存失败(img-xVe1ojlF-1568018229863)(http://www.csbit.cn/upload/images/2016/7/9175252155.jpeg)]

一些用户收到的伪基站诈骗短信

实际上，伪基站短信不仅仅包括诈骗短信，还有很多广告推销的短信。

[外链图片转存失败(img-hHmvDw67-1568018229864)(http://www.csbit.cn/upload/images/2016/7/9175252165.jpeg)]

伪基站短信分类

1、伪基站原理

伪基站就是利用GSM网络单向鉴权，手机终端不能够鉴别基站的合法性的漏洞，吸引漫游到伪基站信号覆盖范围内的手机终端登记注册，再向这些手机终端推送短信。

[外链图片转存失败(img-wjL7QAfG-1568018229864)(http://www.csbit.cn/upload/images/2016/7/9175252175.jpeg)]

2、伪基站识别

伪基站短信和普通的垃圾短信一样，都会有内容。360有基于内容分析判断的垃圾短信识别系统，可以基于内容来识别伪基站短信。再辅以一些识别规则，就可以比较精准识别伪基站短信。比如识别出一条来自95566中国银行的短信，短信内容中有一条网址，而这条网址又不是中国银行的官方网站且没在360的白名单中，那么我们就可以认为这是一条风险较大的伪基站短信。类似的规则我们在云端通过机器学习用户举报的大量短信数据，归纳总结后再用于伪基站短信识别，实现本地和云端、用户端和服务端的联动打击。

除了基于短信内容外，我们还提取一些伪基站独有的行为特征，加入360手机卫士客户端用于识别。比如伪基站设备吸入手机终端后，会马上发送一条短信并将该终端踢出。分析手机在切换网络之后，且收到一条或多条短信，判断在该网络能否联网，判断收到的短信特征，如果这些特征能够命中伪基站的识别规则，那么360手机卫士将该条短信加入拦截。

除了使用360手机卫士在终端上拦截伪基站短信，也根据终端拦截伪基站的数据做了一个实时追踪系统。该系统可以展示最新被伪基站攻击的手机终端位置，并能精确到街道。根据该系统，我们可以总结出伪基站高发区域，并将伪基站防御规则下发给终端用户，实现联防联治。

[外链图片转存失败(img-lDpthiR3-1568018229864)(http://www.csbit.cn/upload/images/2016/7/9175252185.jpeg)]

伪基站实时追踪图

但我们并不满足于做出这个实时追踪图，我们继续对终端拦截伪基站的数据进行分析提炼，并依据分类出来的信息如时间、位置坐标、伪基站短信HASH值等进行运算，依据时间轴和位置坐标，制作出某个伪基站的热力图，其中热力值和热力区域随时间轴的变化而变化，能够真实反应出某个伪基站的移动轨迹，与真实地图结合计算轨迹路径，还能勾画出该伪基站的一天活动路线情况。

[外链图片转存失败(img-wkJdo7kA-1568018229864)(http://www.csbit.cn/upload/images/2016/7/9175252195.jpeg)]

伪基站追踪溯源图