腾讯的一个应用服务，让全国短信诈骗发案率下降74%…

麒麟由腾讯安全反诈骗实验室研发，是TStack平台里的一个重要的应用服务，它创新地利用大数据，实时定位全国的伪基站传播轨迹。通过地图，从空间、时间维度，直观的呈现伪基站的聚类的传播区域和实时运动轨迹，为警方打压短信诈骗犯罪，提供帮助。

什么是伪基站？

想要了解麒麟，我们需先了解伪基站工作原理，那我们就从一张很常见的短信截图开始。

（图：伪基站发送的诈骗信息）

上图的信息就是我们在新闻中经常听说的伪基站发出的。伪基站是通过利用GSM网络单向认证的弱点，骗取手机的连接，向手机发送信息，拦截通话。伪基站诈骗信息不仅让用户损失钱财，更有甚者，通过伪基站可以偷听用户的通讯信息，对于用户的隐私和安全带来了极大的隐患。

伪基站是怎样群发诈骗信息的？

伪基站一般由这三个部分组成：

1. 一个无线发送器
2. 一台笔记本（用于控制发送器）
3. 一部工程机（用于搜索附近的合法基站，并获取其配置信息）

（图：伪基站构成） 想要预防伪基站的危害，首先要了解伪基站的原理。 发送垃圾或诈骗短信时，伪基站一般执行以下步骤： 1.用工程机获取附近合法基站的配置信息(基站的频率、ID、信号强度） 2.通过控制笔记本，给伪基站的无线发送器配置不同的参数。(配置相同的频率或者另外一个频率，设置一个不同的ID（尤其保证LAC不同），设置一个更大的信号强度) 3.附近用户的手机在检测到伪基站之后，由于其功率更高，并且ID不同（代表一个不同的位置码），从而很可能连接到伪基站。 4.因为伪基站的ID变更，尤其是表示位置区域的ID变更了，导致用户手机向伪基站发送位置更新请求。 5.伪基站向用户手机发送身份认证请求，以获取其IMSI和IMEI 。 6.伪基站向用户手机发送垃圾或诈骗短信。 7.伪基站中断和用户手机的连接。用户手机自动恢复到合法基站的连接。

（图：伪基站框架示例）

如何检测伪基站？

伪基站的检测大致分为几个流派： 1.物理派：基于信号采集器，伪基站探测车或电子围栏等。考虑到伪基站的移动性，以及方案中的硬件的需要，这种方式运行成本很高。不过，如果发挥想象力，借助共享经济还是可能有新突破的。比如利用顺风车或者共享单车这类来做点采集，不过硬件成本会有些高昂。可以参考：https://seaglass.cs.washington.edu/

1. 用户举报派：发挥朝阳群众的智慧，请用户来举报。覆盖率和及时性方面很难保障。

3.大数据派：运营商通过对基站数据进行细粒度的分析，或者拥有庞大用户的安全软件：利用手机终端采集数据通过大数据的方式来实现检测。性价比方面会更好一些。

4.终端派：利用手机芯片或者终端软件（厂商），对于收到的基站信息进行数据分析，从而实现伪基站的检测。终端派的优势就在于成本低，更加实时，对位置判断更加精准。以腾讯的麒麟伪基站实时发现系统为例，定位精度在50米以内，准确率高达99.99%。

（图：麒麟伪基站定位系统） 上图为腾讯的麒麟，利用可视化技术从空间、时间维度直观呈现伪基站聚类传播区域和实时运动轨迹，大大提高警方的抓捕效率。

（图：麒麟的全国伪基站实时分布） 麒麟落地全国20+城市，总体伪基站诈骗案下降50%，2015年和深圳警方首次合作就把伪基站发案率降低了74%，其实，目前深圳地区伪基站数量已经降到基本为0。

目前为了方便出警，麒麟还完善了微信追踪功能：

通过微信，可发送伪基站路径给远程实施抓捕工作的同事，大大提高警方发现、抓捕伪基站犯罪团伙的效率。