cm终端内置整治方案课件.ppt

1、违规终端内置行为 治理方案,2011年6月,背景与现状分析,业务解决方案,1,2,部分省市治理情况,3,项目背景,央视在2010年3.15晚会、5.8焦点访谈两次曝光“山寨机吸费行为”；2011年1月，工信部与国家工商总局联合印发关于进一步整治手机“吸费”问题的通知 违规内置行为导致的用户投诉居高不下，其中IVR业务相关投诉呈现增长趋势（因为没有二次确认和扣费前提醒，违规终端内置向IVR业务延伸） 媒体多次曝光 “Android吸费”事件（1月5日的“给你米病毒”、6月1日的“打地鼠游戏吸费”），说明不法SP和方案商开始把黑手伸向智能机用户,关闭梦网服务开关的用户越来越多，严重威胁梦网的长远发

2、展。,产业链分析,项目背景,特征分析,流程分析,违规终端内置产业链分析,服务提供商 （SP）,手机生产商,电信运营商,黑色产业链,终端用户,多个环节共同合作，对获取的增值业务收入进行分成 内置方案商和SP的合作关系通常是多对多的关系，而且并非固定不变,服务提供商：作为计费通道，获取增值业务收入 内置方案商：产业链的核心环节，一方面寻找合作SP，一方面与手机生产商合作完成应用软件的预装、或通过互联网方式提供吸费软件下载 手机生产商：完成手机的生产和软件预装，并通过下游销售环节流通到最终用户（仅适用山寨机吸费）,移动互联网,内置方案商,产业链分析,项目背景,特征分析,流程分析,违规终端内置行为特征

3、分析,早期阶段 以山寨机违规内置为主，内置代码固化，不支撑更新 点播、订购指令中加入标识，以作为方案商和SP分成依据 支持屏蔽10086端口 支持代用户二次确认（任意回复） 当前阶段 除了山寨机内置，新增通过短信群发诱导下载和移动互联网推广带吸费后门软件的违规内置方式 内置代码支持定期更新 指令双精后，采用点对点短信作为或者按指令分配作为分成依据 能够代用户完成随机码二次确认 支持按内容选择性屏蔽10086,产业链分析,项目背景,特征分析,流程分析,违规终端内置行为流程分析(短/彩),短信网关/ 短信中心,：通过CMWAP/CMNET下载内置配置参数,：点对点方式发送分成依据短信（IMEI等）

4、到SP平台,违规内置程序,在GGSN/WAP网关拦截内置更新地址，切断方案商对用户手机的控制,在短信中心拦截用于作分成依据的点对点短信,在GGSN/WAP网关拦截二次确认转发网址，在短信中心拦截二次确认转发的点对点短信,产业链分析,项目背景,特征分析,流程分析,违规终端内置行为流程分析(IVR),IVR平台,：通过CMWAP/CMNET下载内置配置参数,违规内置程序,4:IVR平台生成话单给BOSS,产业链分析,项目背景,特征分析,流程分析,发现问题,总体方案,分析问题,业务控制,业务管理,IVR违规内置分析,IVR使用话单时长分析 正常业务使用中，用户使用业务的时长不一定相同，而违规内置程序

5、代用户拨打时经常会设定为固定的时长。因此，分析IVR话单的时长分布是否存在异常集中的情况，可以判定是否违规内置,背景与现状分析,业务解决方案,1,2,部分省市治理情况,3,违规处罚 扣减信用积分 业务下线,增强型二次确认 梦网防火墙 SP端口屏蔽 内置配置更新地址屏蔽,异动监测 业务告警中心,违规核查电子流 终端拨测 违规查证,构建合作伙伴违规信息库,发现问题,分析问题,业务管理,业务控制,发现问题,总体方案,分析问题,业务控制,业务管理,总体方案思路,发现问题,总体方案,分析问题,业务控制,业务管理,异动监测,异动监测，从业务量、业务收入、用户行为等几个方面监控业务的异常，并提供主动预警，方

6、便业务管理人员及时掌握业务违规动向： 业务量异动监测 上行业务量异动监测 下行业务量异动监测 包月订购业务量异动监测 业务收入异动监测 点播消费异动监测 用户行为异动监测 投诉量异动 退费异动,发现问题,总体方案,分析问题,业务控制,业务管理,违规核查电子流,统一告警中心,中央SIMS,核查处理,核查处理流程,全网手机上网类业务,统一告警中心,省SIMS,核查处理,本地业务 全网短信、彩信、IVR业务,通过SIMS两级体系，实现告警信息的全网分发同步以及核查处理流程支撑,BAM,拨测平台,MISC.DQSS,异常告警数据,发现问题,总体方案,分析问题,业务控制,业务管理,违规内置分析,异常号码

7、建模,上行频次 异常号码,用户多次上行的频次间隔过短或者集中在某个时间范围，不符合正常用户习惯,活跃时间 异常号码,多日存在凌晨时刻上行的用户号码，明显不符合正常用户生活习惯，可以判定内置,上行失败 异常号码,URL访问 异常号码,上行失败的原因包括：上行指令匹配失败、业务暂停、移动信息服务开关关闭。如果用户持续多日多次存在上行失败，可判定违规内置,违规内置手机终端，会定期从解决方案商网站更新内置配置文件，可以分析异动业务的用户群访问的网站URL,发现问题,总体方案,分析问题,业务控制,业务管理,短彩违规内置分析（一）,上行频次异常号码统计 统计每一个手机号码多次上行的间隔，即为上行频次。如果

8、间隔少于秒（可配置），认定为频次异常。以一周为周期，分析异常号码。如果一个号码一周中有天出现频次异常或一周内频次异常次数=次，即定义为异常号码 上行频次异常稽核报表 统计每一个点播业务的成功上行总数、上行频次异常号码总数、上行频次异常号码成功上行数、异常号码成功上行数据占比，可以分析业务的违规程度 异动业务上行频次分布分析 针对异动业务，对该业务一天的全部上行间隔频次进行统计，获取间隔分布图，可以作为违规分析认定的参考,发现问题,总体方案,分析问题,业务控制,业务管理,短彩违规内置分析（二）,业务暂停错误异常号码统计 以一周为周期，分析异常号码。默认的分析规则：一周中有（可配置）天出现上行鉴权

9、业务暂停错误（即108错误或149错误）或者一周内上行鉴权业务暂停错误总数=7，即定义为异常号码 业务暂停错误异常稽核报表 统计每一个点播业务的成功上行总数、业务暂停错误异常号码总数、业务暂停错误异常号码成功上行数、业务暂停错误异常号码成功上行占比，可以分析业务的违规程度,发现问题,总体方案,分析问题,业务控制,业务管理,短彩违规内置分析（三）,梦网开关错误异常号码统计 以一周为周期，分析异常号码。默认的分析规则：一周中有3（可配置）天出现上行鉴权梦网开关错误（即182错误）或者上行鉴权梦网开关错误（即182错误）总数=7，即定义为异常号码 梦网开关错误异常稽核报表 统计每一个点播业务的梦网开

10、关错误异常号码数、上行鉴权梦网开关错误数，可以分析业务的违规程度,发现问题,总体方案,分析问题,业务控制,业务管理,IVR违规内置分析,IVR使用话单时长分析 正常业务使用中，用户使用业务的时长不一定相同，而违规内置程序代用户拨打时经常会设定为固定的时长。因此，分析IVR话单的时长分布情况，可以判定是否违规内置 IVR使用话单按键分析 IVR违规内置中，经常有使用不存在的按键场景，类似早期短信业务违规内置在指令中带编码分成依据。因此，分析IVR使用话单的按键统计，结合该业务的实际按键菜单，可以判定是否违规内置,发现问题,总体方案,分析问题,业务控制,业务管理,异常URL分析,违规终端内置程序，

11、会定期从解决方案商的网站下载内置配置文件（包括合作业务的接入号、指令、10086短信屏蔽规则等），此时可以通过WAP网关日志分析存在此类更新行为的用户号码、更新网站、更新内容。 分析特征： 1）机型为空（常见于山寨机），或者用户访问不同网站时的机型不一致（常见于智能机，如左附表）； 2）定期访问方案商网站，且通常参数中包括IMEI、IMSI（SIM卡编号）等信息； 3）从方案商下载内容中，通常包含待合作SP的接入号指令、10086短信屏蔽规则等信息（UTF-8编码）,发现问题,总体方案,分析问题,业务控制,业务管理,违规内置拨测（一）,山寨机违规内置拨测：需要进一步改进优化 原因分析： 机型覆

12、盖范围有限 部分SP/方案商对手机号码进行筛选，省会城市吸费较少，边远地区吸费严重 部分SP/方案商将拨测号码列入黑名单 内置商设置新机器插卡后一定时间才触发扣费 改进建议： 结合系统稽核出的异常号码，通过网络部门获取异常号码机型，进行针对性拨测 结合投诉信息，通过客服记录投诉号码的机型，进行针对性拨测 采用边远地区号码来拨测，并定期更新 扩展拨测分析数据，除了业务使用日志分析，补充点对点短信分析、上网行为日志分析,发现问题,总体方案,分析问题,业务控制,业务管理,违规内置拨测（二）,智能手机终端应用违规内置拨测智能手机终端应用违规内置日趋严重，方案商通过点对点短信/彩信诱导用户下载带吸费后门

13、的终端应用，或者通过互联网直接发布吸费应用，建议增加针对“智能手机终端应用违规内置”的拨测： 可试点建设“不良终端应用举报平台”，手机用户通过平台举报、上传各种不良终端应用进行针对性的查处 通过拨测方式对被举报的终端应用进行分析取证，查获违规内置的方案商更新地址、合作不良SP业务，并在省内试点封堵不良IP地址 依据拨测结果，从管理角度处罚违规SP、违规业务下线处理，从网络层面切断方案商对用户手机的控制 依据拨测结果，定期发布“安全警示”， 提醒手机用户注意防范，避免吸费应用扩散导致大量投诉，提升中国移动的企业形象,发现问题,总体方案,分析问题,业务控制,业务管理,业务管理,业务限制措施 点播二

14、次确认、动态二次确认、业务暂停、业务下线、封堵不良IP 信用积分管理 扣除信用积分、暂停结算、用户退费 全网联动处罚 省内二类以上的违规公文上报集团全国联动，省内出现一类的恶性违规纳入黑名单，直接全国终止合作 违规案例共享 SIMS系统上违约案例库可供各省进行知识共享,发现问题,总体方案,分析问题,业务控制,业务管理,业务控制（一）,增加型二次确认,业务下行,鉴权,MISC.DQSS,MISC,SIMS,全网SP联动处罚,同步处罚数据,同步群组特征数据,群组控制策略,SP端口屏蔽,梦网防火墙,增加型二次确认：随机码、随机简单问题、随机复杂问题、彩信随机码 群组控制策略：对不同的用户群组和业务群

15、组设定不同的二次确认策略，在遏制违规的同时减少对正常用户使用的影响 SP端口屏蔽：用户可以屏蔽特定SP的订购 梦网防火墙：用户可以指定使用特定SP的业务,用户,发现问题,总体方案,分析问题,业务控制,业务管理,业务控制（二）,图形验证码 (CAPTCHA) Completely Automated Public Turing test to Tell Computers and Humans Apart,ISMG,SMSC,MMSC,MMS下发,MMS回复,MMS回复,SMS回复,SMS回复,SMS回复,MISC,用户可直接彩信回复验证码内容，也可通过短信回复，两种渠道端口号一致,图形验证码通

16、过图形/图像方式承载，从图像点阵中提取信息并识别非常困难，内置程序基本无法自动识别图形验证码，从而无法模拟用户进行有效的计费确认，可有效规避终端内置程序自动识别短信正文的问题。,发现问题,总体方案,分析问题,业务控制,业务管理,业务控制（三）,WAP网关,用户手机,CMNET更新,CMWAP更新,SGSN,DNS,GGSN,方案商网站,CMWAP,CMNET,DNS封堵 封堵更新地址的域名，实现最简单，但无法封杀更新地址为IP的情况 GGSN封堵1)按IP封堵： 如果方案商的更新地址和正常网址是同一个IP，可能影响用户访问正常网址2)按URL封堵 封堵精确度最高，但可能会影响网元性能 WAP网

17、关封堵 只能封堵CMWAP更新，无法封堵CMNET更新 鼓励各省公司试点不良IP封堵措施。,CMWAP,域名解析,背景与现状分析,业务解决方案,1,2,部分省市治理情况,3,步骤一 监控业务异常,从监控手段及时发现业务异动 依托于稽核系统的数据基础上，根据SP违规行为特征，对监控阀值进行设定，使稽核系统能及时地监控相关业务和SP的异动，并通过邮件方式通知相关人员。 通过多报表关联分析业务异动 对业务日志中的违规特征进行统计，并对各类违规特征进行关联性分析，从中发现主要的业务和SP异常，作为后续详细核查的清单。,点播业务量的监控报表,按次点播消费指标 按SP、业务粒度，统计每一个短、彩、WAP

18、SP/业务的点播消费金额指标 周期：日报、周报、月报 提供阀值告警 按次点播消费指标趋势报表 提供按次点播消费金额异动指标短趋势报表，方便管理对按次点播业务的消费金额变化趋势进行分析，可以做为业务营销或者违规分析的参考数据 监控目的 SP违规最明显的特征就是结算费用的异动。因此，监控消费金额的异动，可以及时向业务管理人员提供SP违规预警,其它特征的异常报表,29,综合形成业务核查列表,30,步骤二 稽核取证报告,步骤三 违规行为建模,通过对业务异常告警和重点用户投诉进行的稽核分析； 归纳新的违规特征，发现新的违规手段； 总结建立新的违规模型； 制定对应的违规控制手段，包括人工和系统的手段。,步骤四 业务策略控制试点,增加型二次确认,业务下行,鉴权,SP业务质量监控与稽核,MISC,SIMS,全网SP联动处罚,同步处罚数据,同步群组特征数据,用户群组控制策略,正向屏蔽,反向屏蔽,单日消费封顶,对业务实施策略控制，相关功能包括： 控制用户群组配置 用户群组控制策略：对用户和业务进行不同群组不同的鉴权控制策略 二次确认策略管理 消费策略管理 二次确认题库管理 增加型二次确认：随机码、随机问题，支持单独投诉专业户设置二次确认策略,用户,某省开启增强型二