恶意扣费的防范方法、防范装置和防范系统

摘要

本发明公开了一种恶意扣费的防范方法、防范装置和防范系统，涉及移动应用安全领域。本发明对既不在白名单也不在黑名单的未知订购业务，判断订购业务是否在灰名单中，如果订购业务不在灰名单中，将该订购业务添加到灰名单，对于灰名单中的订购业务，执行外拨用户手机的辅助手段，以确定订购业务是否属于用户本人操作，从而提醒用户存在扣费风险，防止恶意扣费行为，这种对未知恶意代码的启发式检测技术，可以有效解决未知恶意代码的扣费行为，避免因恶意软件订购导致用户与运营商之间的资费纠纷，并且检测过程在手机之外进行，不占用手机系统资源，可以降低对手机性能的要求。

说明书

技术领域

本发明涉及移动应用安全领域，特别涉及一种恶意扣费的防范方 法、防范装置和防范系统。

背景技术

根据相关统计，截至2012年3月10日，我国已经有超过21万 部手机感染了暗扣用户话费的恶意代码。恶意代码在移动终端后台发 送订购短信进行业务恶意订购，并屏蔽运营商发送的确认订购短信， 造成用户在不知情的情况下被扣除资费，导致客户蒙受损失。

当前防范恶意订购业务的方法一般是在手机中安装安全防护软 件或专用的杀毒软件。安全防护软件或杀毒软件通常都带有恶意代码 特征数据库，将应用的代码特征与数据库中的恶意代码特征进行比 对，如果一致，则说明该应用为恶意代码。但是，现有的防范恶意订 购业务技术存在以下安全问题：

安全防护软件或杀毒软件只能防范已知代码特征数据库中的恶 意代码，无法防护未知恶意代码的扣费行为；

安装和使用安全防护软件或杀毒软件需要占用和消耗一定的手 机系统资源，对手机性能要求较高。

发明内容

本发明实施例所要解决的一个技术问题是：解决未知恶意代码的 扣费行为和手机系统资源占用的问题。

本发明一个方面提供了一种恶意扣费的防范方法，包括：在短信 中心接收到用户通过手机发送的业务订购请求短信之后，接收短信中 心发送的用户的手机号码和业务订购信息；根据业务订购信息确定订 购业务的服务提供商SP业务编码，判定订购业务的SP业务编码是 否在白名单中，如果SP业务编码在白名单中，业务订购成功；如果 SP业务编码不在白名单中，判断订购业务的SP业务编码是否在黑 名单中，如果SP业务编码在黑名单中，业务订购失败；如果SP业 务编码不在黑名单中，判断订购业务的SP业务编码是否在灰名单 中，如果SP业务编码不在灰名单中，将SP业务编码添加到灰名单； 如果SP业务编码在灰名单中，或者，将SP业务编码添加到灰名单 之后，执行外拨用户手机的辅助手段，以确定订购业务是否属于用户 本人操作。

所述执行外拨用户手机的辅助手段，以确定订购业务是否属于用 户本人操作具体包括：在预设时间内外拨用户的手机，以自动语音播 报方式告知用户是否确定订购业务；判断外拨用户的电话是否接通， 如果无人接听电话，订购业务不属于用户本人操作，业务订购失败； 如果有人接听电话，判断用户是否按下语音提示的成功订购按键，如 果用户按下成功订购按键，订购业务属于用户本人操作，业务订购成 功；如果用户选择其他按键、超时或直接挂机，订购业务不属于用户 本人操作，业务订购失败。

恶意扣费的防范方法还包括：如果业务订购失败，通过短信中心 给服务提供商的订购关系平台和用户的手机传递订购失败信息；如果 业务订购成功，通过短信中心给服务提供商的订购关系平台和用户的 手机传递订购成功信息。

恶意扣费的防范方法还包括：定期统计灰名单外拨订购业务成功 率和失败率，如果订购业务的成功率超过预设值，将订购业务的SP 业务编码从灰名单移入白名单，如果订购业务的失败率超过预设值， 将订购业务的业务编码从灰名单移入黑名单。

恶意扣费的防范方法还包括：定期统计白名单中订购业务的用户 投诉率，如果订购业务的用户投诉率超过预设值，将订购业务的SP 业务编码从白名单移入灰名单。

恶意扣费的防范方法还包括：定期统计黑名单中订购业务的用户 投诉率，如果订购业务的用户投诉率低于预设值，将订购业务的SP 业务编码从黑名单移入灰名单。

本发明另一个方面提供了一种恶意扣费的防范装置，包括：接收 单元，用于在短信中心接收到用户通过手机发送的业务订购请求短信 之后，接收短信中心发送的用户的手机号码和业务订购信息；白名单 比对单元，用于根据业务订购信息确定订购业务的服务提供商SP业 务编码，判定订购业务的SP业务编码是否在白名单中，如果SP业务 编码在白名单中，业务订购成功；黑名单比对单元，用于如果SP业 务编码不在白名单中，判断订购业务的SP业务编码是否在黑名单中， 如果SP业务编码在黑名单中，业务订购失败；灰名单比对单元，用 于如果SP业务编码不在黑名单中，判断订购业务的SP业务编码是 否在灰名单中，如果SP业务编码不在灰名单中，将SP业务编码添加 到灰名单；外拨单元，用于如果SP业务编码在灰名单中，或者，将 SP业务编码添加到灰名单之后，执行外拨用户手机的辅助手段，以确 定订购业务是否属于用户本人操作。

所述外拨单元，具体用于：在预设时间内外拨用户的手机，以自 动语音播报方式告知用户是否确定订购业务；判断外拨用户的电话是 否接通，如果无人接听电话，订购业务不属于用户本人操作，业务订 购失败；如果有人接听电话，判断用户是否按下语音提示的成功订购 按键，如果用户按下成功订购按键，订购业务属于用户本人操作，业 务订购成功；如果用户选择其他按键、超时或直接挂机，订购业务不 属于用户本人操作，业务订购失败。

恶意扣费的防范装置还包括：发送单元，用于如果业务订购失败， 通过短信中心给服务提供商的订购关系平台和用户的手机传递订购失 败信息；如果业务订购成功，通过短信中心给服务提供商的订购关系 平台和用户的手机传递订购成功信息。

恶意扣费的防范装置还包括：灰名单向黑白名单转化单元，用于 定期统计灰名单外拨订购业务成功率和失败率，如果订购业务的成功 率超过预设值，将订购业务的SP业务编码从灰名单移入白名单，如 果订购业务的失败率超过预设值，将订购业务的业务编码从灰名单移 入黑名单。

恶意扣费的防范装置还包括：白名单向灰名单转化单元，用于定 期统计白名单中订购业务的用户投诉率，如果订购业务的用户投诉率 超过预设值，将订购业务的SP业务编码从白名单移入灰名单。

恶意扣费的防范装置还包括：黑名单向灰名单转化单元，用于定 期统计黑名单中订购业务的用户投诉率，如果订购业务的用户投诉率 低于预设值，将订购业务的SP业务编码从黑名单移入灰名单。

本发明再一个方面提供了一种恶意扣费的防范系统，包括：上述 防范装置，以及短信中心；短信中心用于接收用户通过手机发送的业 务订购请求短信，根据业务订购请求短信获取该用户的手机号码和业 务订购信息，并且将该用户的手机号码和业务订购信息发送给所述防 范装置。

本发明对既不在白名单也不在黑名单的未知订购业务，判断订购 业务是否在灰名单中，如果订购业务不在灰名单中，将该订购业务添 加到灰名单，对于灰名单中的订购业务，执行外拨用户手机的辅助手 段，以确定订购业务是否属于用户本人操作，从而提醒用户存在扣费 风险，防止恶意扣费行为，这种对未知恶意代码的启发式检测技术， 可以有效解决未知恶意代码的扣费行为，避免因恶意软件订购导致用 户与运营商之间的资费纠纷，并且检测过程在手机之外进行，不占用 手机系统资源，可以降低对手机性能的要求。

其次，外拨用户的手机时，以自动语音播报方式告知用户是否确 定订购业务，使恶意代码无法屏蔽，用户能够及时获知业务订购情况， 并且做出是否订购的处理，避免蒙受损失。

再次，根据用户投诉率、外拨订购业务成功率或失败率等因素， 可以实现黑白灰名单之间的转化，从而提高了未知恶意代码识别的准 确性。

通过以下参照附图对本发明的示例性实施例的详细描述，本发明 的其它特征及其优点将会变得清楚。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将 对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见 地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技 术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获 得其他的附图。

图1为本发明恶意扣费的防范方法一个实施例的流程示意图。

图2为本发明恶意扣费的防范方法的信息交互图。

图3为本发明灰名单向黑白名单转化的流程示意图。

图4为本发明白名单向灰名单转化的流程示意图。

图5为本发明黑名单向灰名单转化的流程示意图。

图6为本发明恶意扣费的防范系统一个实施例的结构示意图。

图7为本发明恶意扣费的防范装置一个实施例的结构示意图。

图8为本发明恶意扣费的防范装置另一个实施例的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案 进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实 施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实 际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限 制。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳 动前提下所获得的所有其他实施例，都属于本发明保护的范围。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相 对布置、数字表达式和数值不限制本发明的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺 寸并不是按照实际的比例关系绘制的。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详 细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说 明书的一部分。

在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是 示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具 有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此， 一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行 进一步讨论。

在本发明中，恶意扣费的防范方法简称“防范方法”，恶意扣费 的防范装置简称“防范装置”，恶意扣费的防范系统简称“防范系统”。

在本发明中，白名单中的订购业务在很大概率上为非恶意代码， 可以通过用户反馈或其他先验知识形成白名单。黑名单中的订购业务 在很大概率上为恶意代码，可以通过用户反馈或其他先验知识形成黑 名单。灰名单中的订购业务为未知订购业务，需要一定时间或用户进 一步反馈才能确定。需要说明的是，白名单、黑名单以及灰名单中的 内容是动态变化的，根据用户的反馈不同名单之间是可以转化的。

图1为本发明恶意扣费的防范方法一个实施例的流程示意图。如 图1所示，该实施例的防范方法包括以下步骤：

步骤101，用户通过手机发送业务订购请求短信到运营商的短信 中心；

其中，业务订购请求短信包括业务订购信息，业务订购信息例如 可以为服务提供商业务编码（简称SP业务编码），或者，业务订购 信息例如还可以为短信接收号码。

其中，短信中心也可以称为短信平台。

步骤102，短信中心接收手机发送的业务订购请求短信，根据业 务订购请求短信获取该用户的手机号码和业务订购信息，通过接口将 手机号码和业务订购信息发送给防范装置；

具体地，可以建立短信中心与用户手机之间的短信接口逻辑，通 过该短信接口逻辑，短信中心可以接收手机发送的业务订购请求短 信，并且可以从中获取手机号码和业务订购信息等。

步骤103，防范装置根据业务订购信息确定订购业务的SP业务 编码，判断订购业务的SP业务编码是否在白名单中，如果SP业务 编码在白名单中，执行步骤104；如果SP业务编码不在白名单，执 行步骤105；

具体地，如果业务订购信息为SP业务编码，则防范装置根据业 务订购信息可以直接获得订购业务的SP业务编码；如果业务订购信 息为短信接收号码，则防范装置根据短信接收号码确定订购业务的 SP业务编码。

具体地，可以建立短信中心与防范装置中白名单的接口逻辑，以 实现SP业务编码的比对操作。

步骤104，业务订购成功，防范装置通过短信中心给服务提供商 的订购关系平台和用户的手机传递订购成功信息；

步骤105，防范装置判断订购业务的SP业务编码是否在黑名单 中，如果SP业务编码在黑名单中，执行步骤106；如果SP业务编 码不在黑名单，执行步骤107；

具体地，可以建立短信中心与防范装置中黑名单的接口逻辑，以 实现SP业务编码的比对操作。

步骤106，业务订购失败，防范装置通过短信中心给服务提供商 的订购关系平台和用户的手机传递订购失败信息；

步骤107，防范装置判断订购业务的SP业务编码是否在灰名单 中，如果SP业务编码不在灰名单中，执行步骤108；如果SP业务 编码在灰名单，执行步骤109；

具体地，可以建立短信中心与防范装置中灰名单的接口逻辑，以 实现SP业务编码的比对操作。

步骤108，防范装置将SP业务编码添加到灰名单；

步骤109，防范装置根据短信中心传递过来的手机号码和业务订 购信息，在预设时间内外拨用户的手机，以自动语音播报方式告知用 户是否确定订购业务；

其中，预设时间通常为短暂的一段时间，通常为秒级别，例如， 预设时间可以为30秒。另外，防范装置可以内置IVR（交互式语音 应答）功能，以实现自动语音播报。

具体地，“用户按下成功订购按键”，则认为订购业务属于用户 本人操作，业务订购成功；“无人接听电话”或“用户选择其他按键、 超时或直接挂机”，则认为订购业务不属于用户本人操作，业务订购 失败。

步骤110，防范装置判断外拨用户的电话是否接通，如果无人接 听电话，执行步骤111；如果有人接听电话，执行步骤112；

步骤111，业务订购失败，防范装置通过短信中心给服务提供商 的订购关系平台和用户的手机传递订购失败信息；

步骤112，电话接通后，防范装置判断用户是否按下语音提示的 成功订购按键（例如手机按键1为确认订购按键），如果用户按下成 功订购按键，执行步骤114；如果用户选择其他按键、超时或直接挂 机，执行步骤113；

步骤113，业务订购失败，防范装置通过短信中心给服务提供商 的订购关系平台和用户的手机传递订购失败信息；

步骤114，业务订购成功，防范装置通过短信中心给服务提供商 的订购关系平台和用户的手机传递订购成功信息。

图2为上述恶意扣费的防范方法的信息交互图。如图2所示，防 范方法所涉及的交互信息包括：

S1，短信中心发送用户的手机号码和业务订购信息给防范装置。

S2，防范装置外拨用户的手机，以自动语音播报方式告知用户 是否确定订购业务，用户选择按键，确认或取消订购业务。

S3，防范装置将订购失败/成功信息发送给短信中心。

S4，短信中心将订购失败/成功信息发送给SP网络的订购关系平 台。其中，步骤S4与S5顺序不分先后。

S5，短信中心将订购失败/成功信息发送给用户的手机。

上述实施例，对既不在白名单也不在黑名单的未知订购业务，判 断订购业务是否在灰名单中，如果订购业务不在灰名单中，将该订购 业务添加到灰名单，对于灰名单中的订购业务，执行外拨用户手机的 辅助手段，以确定订购业务是否属于用户本人操作，从而提醒用户存 在扣费风险，防止恶意扣费行为，这种对未知恶意代码的启发式检测 技术，可以有效解决未知恶意代码的扣费行为，避免因恶意软件订购 导致用户与运营商之间的资费纠纷，并且检测过程在手机之外进行， 不占用手机系统资源，可以降低对手机性能的要求。

其次，外拨用户的手机时，以自动语音播报方式告知用户是否确 定订购业务，使恶意代码无法屏蔽，用户能够及时获知业务订购情况， 并且做出是否订购的处理，避免蒙受损失。

根据用户投诉率、外拨订购业务成功率或失败率等因素，可以实 现黑白灰名单之间的转化，从而提高了未知恶意代码识别的准确性。 下面一一介绍。

图3为本发明灰名单向黑白名单转化的流程示意图。如图3所示， 本实施例包括以下步骤：

步骤301，定期统计灰名单外拨订购业务成功率和失败率；

步骤302，判断统计的订购业务的成功率是否超过预设值，如果 订购业务的成功率超过预设值，执行步骤303；如果订购业务的成功 率低于预设值，执行步骤304；

步骤303，将订购业务的SP业务编码从灰名单移入白名单；

步骤304，判断统计的订购业务的失败率是否超过预设值，如果 订购业务的失败率超过预设值，执行步骤305；如果订购业务的失败 率低于预设值，执行步骤306；

步骤305，将订购业务的SP业务编码从灰名单移入黑名单；

步骤306，将订购业务的SP业务编码继续维持在灰名单中。

上述实施例，根据外拨订购业务成功率或失败率等因素，可以实 现灰名单向黑白名单的转化，提高了未知恶意代码识别的准确性。

图4为本发明白名单向灰名单转化的流程示意图。如图4所示， 本实施例包括以下步骤：

步骤401，定期统计白名单中订购业务的用户投诉率；

步骤402，判断订购业务的用户投诉率是否超过预设值，如果订 购业务的用户投诉率超过预设值，执行步骤403；如果订购业务的用 户投诉率低于预设值，执行步骤404；

步骤403，将订购业务的SP业务编码从白名单移入灰名单；

步骤404，将订购业务的SP业务编码继续维持在白名单中。

上述实施例，根据白名单中订购业务的用户投诉率，可以实现白 名单向灰名单的转化，提高了未知恶意代码识别的准确性。

图5为本发明黑名单向灰名单转化的流程示意图。如图5所示， 本实施例包括以下步骤：

步骤501，定期统计黑名单中订购业务的用户投诉率；

步骤502，判断订购业务的用户投诉率是否低于预设值，如果订 购业务的用户投诉率低于预设值，执行步骤503；如果订购业务的用 户投诉率高于预设值，执行步骤504；

步骤503，将订购业务的SP业务编码从黑名单移入灰名单；

步骤504，将订购业务的SP业务编码继续维持在黑名单中。

上述实施例，根据黑名单中订购业务的用户投诉率，可以实现黑 名单向灰名单的转化，提高了未知恶意代码识别的准确性。

图6为本发明恶意扣费的防范系统一个实施例的结构示意图。如 图6所示，本实施例的防范系统包括：短信中心60，以及恶意扣费 的防范装置70；短信中心60用于接收用户通过手机发送的业务订购 请求短信，根据业务订购请求短信获取该用户的手机号码和业务订购 信息，并且将该用户的手机号码和业务订购信息发送给防范装置70。 下面详细介绍恶意扣费的防范装置。

图7为本发明恶意扣费的防范装置一个实施例的结构示意图。如 图7所示，本实施例的防范装置70包括：

接收单元701，用于在短信中心接收到用户通过手机发送的业务 订购请求短信之后，接收短信中心发送的用户的手机号码和业务订购 信息；

白名单比对单元702，用于根据业务订购信息确定订购业务的服 务提供商SP业务编码，判定订购业务的SP业务编码是否在白名单中， 如果SP业务编码在白名单中，业务订购成功；

黑名单比对单元703，用于如果SP业务编码不在白名单中，判断 订购业务的SP业务编码是否在黑名单中，如果SP业务编码在黑名单 中，业务订购失败；

灰名单比对单元704，用于如果SP业务编码不在黑名单中，判断 订购业务的SP业务编码是否在灰名单中，如果SP业务编码不在灰 名单中，将SP业务编码添加到灰名单；

外拨单元705，用于如果SP业务编码在灰名单中，或者，将SP 业务编码添加到灰名单之后，执行外拨用户手机的辅助手段，以确定 订购业务是否属于用户本人操作。

其中，外拨单元705，具体用于：在预设时间内外拨用户的手机， 以自动语音播报方式告知用户是否确定订购业务；判断外拨用户的电 话是否接通，如果无人接听电话，订购业务不属于用户本人操作，业 务订购失败；如果有人接听电话，判断用户是否按下语音提示的成功 订购按键，如果用户按下成功订购按键，订购业务属于用户本人操作， 业务订购成功；如果用户选择其他按键、超时或直接挂机，订购业务 不属于用户本人操作，业务订购失败。

上述实施例，对既不在白名单也不在黑名单的未知订购业务，判 断订购业务是否在灰名单中，如果订购业务不在灰名单中，将该订购 业务添加到灰名单，对于灰名单中的订购业务，执行外拨用户手机的 辅助手段，以确定订购业务是否属于用户本人操作，从而提醒用户存 在扣费风险，防止恶意扣费行为，这种对未知恶意代码的启发式检测 技术，可以有效解决未知恶意代码的扣费行为，避免因恶意软件订购 导致用户与运营商之间的资费纠纷，并且检测过程在手机之外进行， 不占用手机系统资源，可以降低对手机性能的要求。

其次，外拨用户的手机时，以自动语音播报方式告知用户是否确 定订购业务，使恶意代码无法屏蔽，用户能够及时获知业务订购情况， 并且做出是否订购的处理，避免蒙受损失。

图8为本发明恶意扣费的防范装置另一个实施例的结构示意图。

如图8所示，本实施例的防范装置70还包括：发送单元706，用 于如果业务订购失败，通过短信中心给服务提供商的订购关系平台和 用户的手机传递订购失败信息；如果业务订购成功，通过短信中心给 服务提供商的订购关系平台和用户的手机传递订购成功信息。

如图8所示，本实施例的防范装置70还包括：灰名单向黑白名单 转化单元707，用于定期统计灰名单外拨订购业务成功率和失败率， 如果订购业务的成功率超过预设值，将订购业务的SP业务编码从灰 名单移入白名单，如果订购业务的失败率超过预设值，将订购业务的 业务编码从灰名单移入黑名单。

如图8所示，本实施例的防范装置70还包括：白名单向灰名单转 化单元708，用于定期统计白名单中订购业务的用户投诉率，如果订 购业务的用户投诉率超过预设值，将订购业务的SP业务编码从白名 单移入灰名单。

如图8所示，本实施例的防范装置70还包括：黑名单向灰名单转 化单元709，用于定期统计黑名单中订购业务的用户投诉率，如果订 购业务的用户投诉率低于预设值，将订购业务的SP业务编码从黑名 单移入灰名单。

上述实施例，根据用户投诉率、外拨订购业务成功率或失败率等 因素，可以实现黑白灰名单之间的转化，从而提高了未知恶意代码识 别的准确性。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可 以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程 序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是 只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本 发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包 含在本发明的保护范围之内。