27、SMS-Watchdog：基于用户社交行为分析的短信异常检测

SMS-Watchdog：基于用户社交行为分析的短信异常检测

1. 引言

短信服务（SMS）自1992年诞生以来，发展迅猛。据相关研究机构数据，美国的短信用户数量和短信发送量都在快速增长，亚太地区的短信发送量更是领先于北美和西欧。然而，随着短信的日益普及，它也成为了各种欺诈行为的目标，如垃圾短信、短信钓鱼、短信伪装等。这些基于短信的攻击对移动用户和蜂窝网络运营商都构成了严重的安全威胁，包括信息窃取、过度收费、电池耗尽和网络拥塞等。

目前，针对短信安全的有效对策仍然滞后。许多现有的解决方案主要集中在检测移动设备上的恶意软件，但这些方法存在一些缺点，例如并非所有短信攻击都源于移动恶意软件，且这些方法会消耗移动设备的额外计算资源，加速电池耗尽，同时现有移动设备的操作系统可能缺乏防止恶意软件禁用检测方案的有效措施。

为了解决这些问题，我们提出了一个名为 SMS - Watchdog 的检测框架。该框架部署在可以轻松访问移动用户短信记录的地方，如短信服务中心（SMSC），从而避免了设备端检测方案的典型缺点。通过分析真实世界的短信数据集，我们发现大多数短信用户的短信行为存在基于窗口的规律性，基于这些规律，我们提出了四种检测方案，并评估了这些方案以及两种混合方法的性能。

2. 短信和短信轨迹背景

2.1 短信架构

短信是一种使用蜂窝网络中的信令信道，提供最多160个字符的无连接消息传输服务。在基于GSM的系统中，短信发送者使用移动台（MS）将短信发送到附近的基站系统（BSS），然后通过与之关联的移动交换中心（MSC）。MSC首先检查访问者位置寄存器（VLR）数据库，以确定发送方是否允许使用短信服务。如果允许，短信将被路由到短信