CN103888479B - 确定关联非标准voip数据流的方法、装置及电子设备 - Google Patents
确定关联非标准voip数据流的方法、装置及电子设备 Download PDFInfo
- Publication number
- CN103888479B CN103888479B CN201410156320.6A CN201410156320A CN103888479B CN 103888479 B CN103888479 B CN 103888479B CN 201410156320 A CN201410156320 A CN 201410156320A CN 103888479 B CN103888479 B CN 103888479B
- Authority
- CN
- China
- Prior art keywords
- voip data
- standard
- data flows
- standard voip
- data flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种确定关联非标准VOIP数据流的方法、装置及电子设备,其中方法包括:获取网络数据包,确定网络数据包中的VOIP数据流;选取一标准VOIP数据流,确定标准VOIP数据流的传输起止时间信息;确定出与传输起止时间信息对应的非标准VOIP数据流;根据标准VOIP数据流的数据流统计特征信息,从与传输起止时间信息对应的非标准VOIP数据流中确定与数据流统计特征信息对应的非标准VOIP数据流;将与数据流统计特征信息对应的非标准VOIP数据流作为关联非标准VOIP数据流。本发明实施例实现了对标准VOIP数据流的关联非标准VOIP数据流的确定,从而为非标准VOIP数据流的解析提供了基础。
Description
技术领域
本发明涉及网络通信监控技术领域,更具体地说,涉及一种确定关联非标准VOIP数据流的方法、装置及电子设备。
背景技术
网络数据的流识别是网络监控的重要手段。随着网络的不断发展,IP
(Internet Protocol,网络之间互连的协议)电话日益普及,互联网上出现了大量携带语音的IP数据包,这些数据包就称为VOIP数据包,对应的一次呼叫过程我们称为VOIP数据流。由于VoIP技术成本的降低和使用的便捷性,越来越多的诈骗分子使用VOIP网络电话进行电信诈骗,严重威胁国家和群众的财产安全,因此,对VOP数据流进行解析、监控就显得尤为重要。
VOIP(Voice over Internet Protocol)简而言之就是将模拟信号(Voice)数字化,以数据封包(Data Packet)的形式在IP网络上做实时传递,其基本原理是对用户的语音进行压缩,然后按照相应的协议对压缩后的语音数据进行打包传输。目前,互联网上的协议主要可以分成标准协议(即标准VOIP协议)和非标准协议(非标准VOIP协议),采用标准协议的VOIP数据流可以认为是标准VOIP数据流,采用非标准VOIP协议的VOIP数据流可以认为是非标准VOIP数据流。
本发明的发明人研究发现:目前诈骗分子为了躲避追踪,采用了一种全新的VOIP数据流传输方式:VOIP数据从呼叫的起呼到落地往往借助多跳来完成,在跳与跳之间大多数采用非标准协议来传输VOIP数据流,只有在落地时采用标准协议来传输VOIP数据流;即在VOIP数据流落地时(传入PSTN(Public Switched Telephone Network,公共交换电话网络)网和IP电话终端上时),落地一跳的始端(一般对应接入网关的始端)的VOIP数据流采用非标准协议,而落地一跳的末端(一般是接入到PSTN网和IP电话终端上)的VOIP数据流采用标准协议。可以看出,这种VOIP数据流的传输方式中,一次呼叫的VOIP数据流中传输路径上存在至少一次采用标准VOIP协议传输的和多次采用非标准VOIP协议传输的情况。
对于上述VOIP数据流的传输方式情况,由于现有的VOIP数据流的解析技术均是针对标准协议的,因此对其中的非标准VOIP数据流进行解析,确定采用非标准协议的VOIP数据流的起呼详细信息,进而对非标准协议的VOIP数据流追本溯源,达到监控非标准协议的VOIP数据流的目的成为了一个难题。
本发明的发明人进一步发现:通过确定非标准协议的VOIP数据流中的标准VOIP数据流相关联的非标准VOIP数据流,即可将标准VOIP数据流的起呼详细信息关联至非标准VOIP数据流上,因此如何确定标准VOIP数据流相关联的非标准VOIP数据流成为本领域技术人员亟需解决的难题,标准VOIP数据流相关联的非标准VOIP数据流,可以认为是同一呼叫在多跳路径中的采用非标准协议的VOIP数据流。
发明内容
为解决上述技术问题,本发明实施例提供一种确定关联非标准VOIP数据流的方法、装置及电子设备,以解决现有技术无法确定非标准协议的VOIP数据流中标准VOIP数据流相关联的非标准VOIP数据流的问题。
为实现上述目的,本发明提供如下技术方案:
一种确定关联非标准VOIP数据流的方法,包括:
获取网络数据包,确定所述网络数据包中的VOIP数据流,所述VOIP数据流包括至少一次完整呼叫的标准VOIP数据流和非标准VOIP数据流;
从所述至少一次完整呼叫的标准VOIP数据流中选取一标准VOIP数据流,确定所述标准VOIP数据流的传输起止时间信息;
从所述至少一次完整呼叫的非标准VOIP数据流中确定出与所述传输起止时间信息对应的非标准VOIP数据流;
根据所述标准VOIP数据流的数据流统计特征信息,从与所述传输起止时间信息对应的非标准VOIP数据流中确定与所述数据流统计特征信息对应的非标准VOIP数据流;
将所述与所述数据流统计特征信息对应的非标准VOIP数据流作为所述标准VOIP数据流的关联非标准VOIP数据流。
其中,所述获取网络数据包包括:
捕获原始网络数据包,完成光口传输到以太网输入的协议转换,获取到网络数据包;
所述确定所述网络数据包中的VOIP数据流包括:
根据VOIP协议数据流的特征信息,对网络数据包中的非VOIP协议的数据流进行过滤筛除,将过滤筛除后的数据流确定为VOIP数据流。
其中,所述确定所述标准VOIP数据流的传输起止时间信息包括:
通过标准VOIP协议对标准VOIP数据流进行解析,得到详细呼叫记录CDR,所述CDR中包括信令五元组信息、对应本次呼叫的VOIP数据流的传输起止时间;
通过所述CDR确定标准VOIP数据流的传输起止时间信息。
其中,所述数据流统计特征信息包括:协议类型信息、包长度信息、包到达间隔信息和包数统计信息;所述根据所述标准VOIP数据流的数据流统计特征信息,从与所述传输起止时间信息对应的非标准VOIP数据流中确定与所述数据流统计特征信息对应的非标准VOIP数据流包括:
通过所述标准VOIP数据流和与所述传输起止时间信息对应的非标准VOIP数据流中数据包的包长度信息、包到达间隔信息、包数统计信息的差值的比较以及协议类型的比较,确定出包长度信息、包到达间隔信息、包数统计信息及协议类型与所述标准VOIP数据流最为相近的与所述传输起止时间信息对应的非标准VOIP数据流,剔除其他的非标准VOIP数据流。
其中,所述方法还包括:
在得到所述CDR后,通过所述CDR确定所述标准VOIP数据流的实时传输协议RTP数据流的统计信息;在确定与所述数据流统计特征信息对应的非标准VOIP数据流后,对与所述数据流统计特征信息对应的非标准VOIP数据流的关联正确性进行验证,在与所述数据流统计特征信息对应的非标准VOIP数据流的RTP数据流的统计信息,与所述RTP数据流的统计信息匹配时,确定与所述数据流统计特征信息对应的非标准VOIP数据流与所述标准VOIP数据流的关联关系正确;
和/或,
将标准VOIP数据流的起呼详细信息关联至相关联的非标准VOIP数据流上,以实现对非标准协议的VOIP数据流的解析。
本发明实施例还提供一种确定关联非标准VOIP数据流的装置,包括:
网络数据包获取模块,用于获取网络数据包;
VOIP数据流确定模块,用于确定所述网络数据包中的VOIP数据流,所述VOIP数据流包括至少一次完整呼叫的标准VOIP数据流和非标准VOIP数据流;
起止时间确定模块,用于从所述至少一次完整呼叫的标准VOIP数据流中选取一标准VOIP数据流,确定所述标准VOIP数据流的传输起止时间信息;
第一确定模块,用于从所述至少一次完整呼叫的非标准VOIP数据流中确定出与所述传输起止时间信息对应的非标准VOIP数据流;
第二确定模块,用于根据所述标准VOIP数据流的数据流统计特征信息,从与所述传输起止时间信息对应的非标准VOIP数据流中确定与所述数据流统计特征信息对应的非标准VOIP数据流;
作为模块,用于将所述与所述数据流统计特征信息对应的非标准VOIP数据流作为所述标准VOIP数据流的关联非标准VOIP数据流。
其中,所述网络数据包获取模块包括:
捕获转换单元,用于捕获原始网络数据包,完成光口传输到以太网输入的协议转换,获取到网络数据包;
所述VOIP数据流确定模块包括:
过滤筛除单元,用于根据VOIP协议数据流的特征信息,对网络数据包中的非VOIP协议的数据流进行过滤筛除,将过滤筛除后的数据流确定为VOIP数据流。
其中,所述起止时间确定模块包括:
CDR确定单元,用于通过标准VOIP协议对标准VOIP数据流进行解析,得到详细呼叫记录CDR,所述CDR中包括信令五元组信息、对应本次呼叫的VOIP数据流的传输起止时间;
起止时间确定单元,用于通过所述CDR确定标准VOIP数据流的传输起止时间信息;
所述数据流统计特征信息包括:协议类型信息、包长度信息、包到达间隔信息和包数统计信息;所述第二确定模块包括:
相近确定单元,用于通过所述标准VOIP数据流和与所述传输起止时间信息对应的非标准VOIP数据流中数据包的包长度信息、包到达间隔信息、包数统计信息的差值的比较以及协议类型的比较,确定出包长度信息、包到达间隔信息、包数统计信息及协议类型与所述标准VOIP数据流最为相近的与所述传输起止时间信息对应的非标准VOIP数据流,剔除其他的非标准VOIP数据流。
其中,所述装置还包括:
RTP数据流确定模块,用于在得到所述CDR后,通过所述CDR确定所述标准VOIP数据流的实时传输协议RTP数据流的统计信息;
验证模块,用于在确定与所述数据流统计特征信息对应的非标准VOIP数据流后,对与所述数据流统计特征信息对应的非标准VOIP数据流的关联正确性进行验证,在与所述数据流统计特征信息对应的非标准VOIP数据流的RTP数据流的统计信息,与所述RTP数据流的统计信息匹配时,确定与所述数据流统计特征信息对应的非标准VOIP数据流与所述标准VOIP数据流的关联关系正确。
本发明实施例还提供一种电子设备,包括上述所述的确定关联非标准VOIP数据流的装置。
基于上述技术方案,本发明实施例提供的确定关联非标准VOIP数据流的方法,在获取到网络数据包后,确定出网络数据包中的标准VOIP数据流的传输起止时间信息,根据传输起止时间信息,确定出在传输起止时间上与标准VOIP数据流相匹配的非标准VOIP数据流,此时虽可能有多个相匹配的非标准VOIP数据流,但已可大幅度的缩小关联非标准VOIP数据流的范围,使得后续确定关联非标准VOIP数据流的工作量大幅减小;在确定了与所述传输起止时间对应的非标准VOIP数据流后,本发明实施例可进一步通过标准VOIP数据流的数据流统计特征信息,从与所述传输起止时间信息对应的非标准VOIP数据流中确定出与所述数据流统计特征信息对应的非标准VOIP数据流,从而将与所述数据流统计特征信息对应的非标准VOIP数据流视为与标准VOIP数据流相关联的非标准VOIP数据流。本发明实施例在一次呼叫的VOIP数据流中传输路径上存在至少一次采用标准VOIP协议传输的和多次采用非标准VOIP协议传输的情况下,实现了对标准VOIP数据流的关联非标准VOIP数据流的确定,从而为非标准VOIP数据流的解析提供了基础,且确定关联非标准VOIP数据流的方式工作量较小,极为简便;本发明实施例确保了对非标准协议的VOIP数据流追本溯源,达到监控非标准协议的VOIP数据流的目的的实现。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的确定关联非标准VOIP数据流的方法流程图;
图2为本发明实施例提供的确定VOIP数据流的方法流程图;
图3为本发明实施例提供的确定标准VOIP数据流的传输起止时间信息的方法流程图;
图4为本发明实施例提供的确定关联非标准VOIP数据流的另一方法流程图;
图5为本发明实施例提供的确定关联非标准VOIP数据流的一流程图;
图6为本发明实施例提供的确定关联非标准VOIP数据流的装置的结构框图;
图7为本发明实施例提供的网络数据包获取模块的结构框图;
图8为本发明实施例提供的VOIP数据流确定模块的结构框图;
图9为本发明实施例提供的起止时间确定模块的结构框图;
图10为本发明实施例提供的第二确定模块的结构框图;
图11为本发明实施例提供的确定关联非标准VOIP数据流的装置的另一结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例所指的关联非标准VOIP数据流,是指在VOIP数据流落地时,落地一跳的始端的VOIP数据流采用非标准协议,而落地一跳的末端的VOIP数据流采用标准协议的情况下,所确定的与落地一跳的末端的标准VOIP数据流所对应的落地一跳的始端的非标准VOIP数据流,标准VOIP数据流与关联的非标准VOIP数据流属于同一呼叫。通过落地一跳末端的标准VOIP数据流,确定出关联的非标准VOIP数据流,则可将标准VOIP数据流的起呼详细信息关联至非标准VOIP数据流上,从而确定出非标准VOIP数据流的起呼详细信息,进而对非标准协议的VOIP数据流追本溯源,达到监控非标准协议的VOIP数据流的目的。
图1为本发明实施例提供的确定关联非标准VOIP数据流的方法流程图,参照图1,该方法可以包括:
步骤S100、获取网络数据包,确定网络数据包中的VOIP数据流,所述VOIP数据流包括至少一次完整呼叫的标准VOIP数据流和非标准VOIP数据流;
可选的,本发明实施例可获取进入接入网关之后的网络数据包,这些网络数据包中包括了连续到达的数据包中有不同业务的网络数据流,如至少一次完整呼叫的Voip数据流,http访问tcp连接数据流等,本发明实施例可将获取到的网络数据包分为VOIP数据流和非VOIP数据流;其中VOIP数据流包括了标准VOIP数据流和非标准VOIP数据流,非标准VOIP数据流可从接入网关的始端获取,标准VOIP数据流可从PSTN网的交换机或IP电话终端的始端获取。在本发明实施例中,一个标准VOIP数据流可对应有一个关联的非标准VOIP数据流。
步骤S110、从所述至少一次完整呼叫的标准VOIP数据流中选取一标准VOIP数据流,确定所述标准VOIP数据流的传输起止时间信息;
步骤S120、从所述至少一次完整呼叫的非标准VOIP数据流中确定出与所述传输起止时间信息对应的非标准VOIP数据流;
可选的,本发明实施例可根据VOIP数据流的五元组信息和附加的呼叫信息,将过滤筛除后得到的VOIP数据流分为若干VOIP数据流,从而从若干VOIP数据流中进行标准VOIP数据流和非标准VOIP数据流的选取。
步骤S130、根据所述标准VOIP数据流的数据流统计特征信息,从与所述传输起止时间信息对应的非标准VOIP数据流中确定与所述数据流统计特征信息对应的非标准VOIP数据流;
步骤S140、将所述与所述数据流统计特征信息对应的非标准VOIP数据流作为所述标准VOIP数据流的关联非标准VOIP数据流。
可选的,本发明实施例也可对VOIP数据流中的非标准VOIP数据流进行统计分析,得出非标准VOIP数据流的传输起止时间、数据流统计特征信息,得到其属性信息和统计特性。显然还可以确定出非标准VOIP数据流的流负载长度等。从而便于标准VOIP数据流的传输起止时间,与非标准VOIP数据流的传输起止时间的比对,标准VOIP数据流的数据流统计特征信息,与非标准VOIP数据流的数据流统计特征信息的比对等。
本发明实施例提供的确定关联非标准VOIP数据流的方法,在获取到网络数据包后,确定出网络数据包中的标准VOIP数据流的传输起止时间信息,根据传输起止时间信息,确定出在传输起止时间上与标准VOIP数据流相匹配的非标准VOIP数据流,此时虽可能有多个相匹配的非标准VOIP数据流,但已可大幅度的缩小关联非标准VOIP数据流的范围,使得后续确定关联非标准VOIP数据流的工作量大幅减小;在确定了与所述传输起止时间对应的非标准VOIP数据流后,本发明实施例可进一步通过标准VOIP数据流的数据流统计特征信息,从与所述传输起止时间信息对应的非标准VOIP数据流中确定出与所述数据流统计特征信息对应的非标准VOIP数据流,从而将与所述数据流统计特征信息对应的非标准VOIP数据流视为与标准VOIP数据流相关联的非标准VOIP数据流。本发明实施例在一次呼叫的VOIP数据流中传输路径上存在至少一次采用标准VOIP协议传输的和多次采用非标准VOIP协议传输的情况下,实现了对标准VOIP数据流的关联非标准VOIP数据流的确定,从而为非标准VOIP数据流的解析提供了基础,且确定关联非标准VOIP数据流的方式工作量较小,极为简便;本发明实施例确保了对非标准协议的VOIP数据流追本溯源,达到监控非标准协议的VOIP数据流的目的的实现。
可选的,本发明实施例在获取到网络数据包后,可对网络数据包进行过滤筛选,将非VOIP数据流进行过滤筛除,余下VOIP数据流。对应的,图2示出了本发明实施例提供的确定VOIP数据流的方法流程,参照图2,该方法可以包括:
步骤S200、捕获原始网络数据包,完成光口传输到以太网输入的协议转换,获取到网络数据包;
可选的,本发明实施例可通过连接骨干网络中的POS(Packet Over SONET/SDH,一种应用城域网及广域网中的技术)互联网流量的输入接口,完成输入POS光传输到ETH以太网输入的协议转换,获取到形式为以太网输入协议的网络数据包。可选的,输入接口可以是10G输入接口,10G输入接口可通过连接骨干网络中的10G POS互联网流量,完成输入10GPOS光传输到10G ETH以太网输入的协议转换。
步骤S210、根据VOIP协议数据流的特征信息,对网络数据包中的非VOIP协议的数据流进行过滤,将过滤后的数据流确定为VOIP数据流。
由于网络数据包中存在大量的非VoIP数据流,例如网络点播数据流和http协议数据流等,本发明实施例可根据VOIP协议的特征信息(如关键词、包长度等)对网络数据包进行过滤,筛除出非VOIP协议的数据流,余下VoIP数据流。
可选的,VOIP协议可以是TCP协议,和/或,UDP协议;本发明实施例可只抓取网络数据包中的TCP协议数据流,和/或,UDP协议数据流作为VOIP数据流,对于其余协议数据流则不予处理。
可选的,在确定了网络数据包中的VOIP数据流后,本发明实施例可对其中的标准VOIP数据流进行解析,如通过标准VoIP协议的分析工具对标准VOIP数据流进行解析,标准VoIP协议的分析工具可采用DPI(Deep Packet Inspection,深度包检测)技术。可选的,由于所确定的VOIP数据流包括了标准VOIP数据流和非标准VOIP数据流,因此本发明实施例可采用标准VOIP协议的分析工具对VOIP数据流进行盲解,若能通过标准VOIP协议的分析工具进行解析,则确定该VOIP数据流为标准VOIP数据;通过对标准VOIP数据流进行解析,可确定出标准VOIP数据流的传输起止时间信息,数据流统计特征信息等数据流信息。可选的,图3示出了本发明实施例提供的确定标准VOIP数据流的传输起止时间信息的方法流程,参照图3,该方法可以包括:
步骤S300、选取一个VOIP数据流,通过标准VOIP协议对VOIP数据流进行解析;
步骤S310、判断是否解析成功,若是,执行步骤S320,若否,执行步骤S300;
解析成功说明该VOIP数据流为标准VOIP数据流。
步骤S320、得到CDR(Call Detail Records,详细呼叫记录),所述CDR中包括信令五元组信息、对应本次呼叫的VOIP数据流的传输起止时间;
可选的,信令五元组信息可以包括:主叫IP,被叫IP,主叫端口,被叫端口和协议类型等;可选的,CDR中显示还可以包括:主被叫号码、呼叫协议、媒体协议、通话开始时间、通话结束时间等。
步骤S330、通过所述CDR确定VOIP数据流的传输起止时间信息。
可见,本发明实施例可通过标准VOIP协议对标准VOIP数据流进行解析,从而得到CDR,进而通过CDR确定标准VOIP数据流的传输起止时间信息。
可选的,标准VOIP协议可以是SIP(Session initiation Protocol,IETF提出的VoIP电话信令协议)协议,H323协议(H323协议为兼顾PSTN网与其他数据业务和应用互通的信令协议)等。本发明实施例可利用专用标准VoIP协议的分析工具,对VOIP数据流进行信令重组与解码,即进行解析,从而得到标准协议的关键字段,其中包括CDR。
可选的,在得到标准VOIP数据流的传输起止时间信息后,可确定传输起止时间信息确定与标准VOIP数据流存在疑似关联关系的非标准VOIP数据流;从而从网络数据包中确定出与标准VOIP数据流的传输起止时间信息对应的疑似关联关系的非标准VOIP数据流。具体的,本发明实施例可对标准VOIP的传输起止时间进行统计分析,通过匹配标准VOIP数据流的CDR信息中的传输起止时间信息与非标准VOIP数据流的流信息中的传输起止时间信息,找到对应时间内的非标准VOIP数据流。由于与标准VOIP数据流存在关联关系的非标准VOIP数据流一个对应落地一跳的末端,一个对应落地一跳的始端,因此两数据流在传输起止时间上应存在接续关系。
可选的,在通过标准VOIP数据流的传输起止时间,确定了在传输起止时间对应上,但存在疑似关联关系的非标准VOIP数据流后,本发明实施例可再使用标准VOIP数据流的数据流统计特征信息对存在疑似关联关系的非标准VOIP数据流进行匹配,从而从与所述传输起止时间信息对应的非标准VOIP数据流中确定出与所述数据流统计特征信息对应的非标准VOIP数据流,所确定出的与所述数据流统计特征信息对应的非标准VOIP数据流即可作为与标准VOIP数据流关联的非标准VOIP数据流。可选的,本发明实施例可通过比较标准VOIP数据流和与所述传输起止时间信息对应的非标准VOIP数据流的数据流统计特征信息,包括协议类型、包长度、包到达间隔、包数统计等,通过标准VOIP数据流和非标准VOIP数据流中数据包的包长度、包到达间隔、包数统计等统计特征的差值比较与协议类型比较,从而可更准确的从与所述传输起止时间信息对应的非标准VOIP数据流中找到相关联的非标准VOIP数据流,剔除不相关联的非标准VOIP数据流。
图4为本发明实施例提供的确定关联非标准VOIP数据流的另一方法流程图,参照图4,该方法可以包括:
步骤S400、捕获原始网络数据包,完成光口传输到以太网输入的协议转换,获取到网络数据包;
步骤S410、根据VOIP协议数据流的特征信息,对网络数据包中的非VOIP协议的数据流进行过滤,将过滤后的数据流确定为VOIP数据流;
步骤S420、选取一个VOIP数据流,通过标准VOIP协议对VOIP数据流进行解析;
步骤S430、判断是否解析成功,若是,执行步骤S440,若否,执行步骤420;
步骤S440、确定VOIP数据流为标准VOIP数据流,得到标准VOIP数据流对应的CDR;
可选的,若未解析成功,则VOIP数据流可认为是非标准VOIP数据流,本发明实施例可对非标准VOIP数据流进行统计分析,得出非标准VOIP数据流的传输起止时间、数据流统计特征信息,流负载长度等,进而得到其属性信息和统计特性。
步骤S450、通过所述CDR确定标准VOIP数据流的传输起止时间信息,确定与所述传输起止时间信息对应的非标准VOIP数据流;
与所述传输起止时间信息对应的非标准VOIP数据流只能说明非标准VOIP数据流和标准VOIP数据流在传输起止时间上相互对应,这些非标准VOIP数据流只能认为是疑似与标准VOIP数据流存在关联关系,而无法说明非标准VOIP数据流与标准VOIP数据流的关联关系,然而通过传输起止时间信息确定对应非标准VOIP数据流的方式,可将关联的非标准VOIP数据流的范围大幅度缩小,从而减轻步骤S460进行数据流统计特征信息匹配的工作量。
步骤S460、根据所述标准VOIP数据流的数据流统计特征信息,从与所述传输起止时间信息对应的非标准VOIP数据流中确定与所述数据流统计特征信息对应的非标准VOIP数据流。
可选的,在通过传输起止时间的对应关系,数据流统计特征信息的对应关系,确定了与标准VOIP数据流关联的非标准VOIP数据流后,本发明实施例可对该关联关系的正确性进行验证;具体的,本发明实施例可获取标准VOIP数据流的RTP(Real-time TransportProtocol,实时传输协议)数据流的统计信息(如流负载长度等),及非标准VOIP数据流的RTP数据流的统计信息,判断与所述数据流统计特征信息对应的非标准VOIP数据流的RTP数据流的统计信息,与所述标准VOIP数据流的RTP数据流的统计信息是否匹配,在相匹配时,确定关联关系正确,在不相匹配时,确定关联关系不正确。可选的,图5为本发明实施例提供的确定关联非标准VOIP数据流的再一流程图,参照图5,该方法可以包括:
步骤S500、捕获原始网络数据包,完成光口传输到以太网输入的协议转换,获取到网络数据包;
步骤S510、根据VOIP协议数据流的特征信息,对网络数据包中的非VOIP协议的数据流进行过滤,将过滤后的数据流确定为VOIP数据流;
步骤S520、选取一个VOIP数据流,通过标准VOIP协议对VOIP数据流进行解析;
步骤S530、判断是否解析成功,若是,执行步骤S540,若否,执行步骤520;
步骤S540、确定VOIP数据流为标准VOIP数据流,得到标准VOIP数据流对应的CDR;
可选的,若未解析成功,则VOIP数据流可认为是非标准VOIP数据流,本发明实施例可对非标准VOIP数据流进行统计分析,得出非标准VoIP数据流的传输起止时间、数据流统计特征信息,流负载长度等,进而得到其属性信息和统计特性。
步骤S550、通过所述CDR确定标准VOIP数据流的传输起止时间信息及RTP数据流的统计信息,确定与所述传输起止时间信息对应的非标准VOIP数据流;
可选的,本发明实施例可通过CDR获取到相对应的RTP媒体的五元组信息,通过对RTP媒体的五元组信息进行重组解码,可得到对应RTP数据流的统计信息。
步骤S560、根据所述标准VOIP数据流的数据流统计特征信息,从与所述传输起止时间信息对应的非标准VOIP数据流中确定与所述数据流统计特征信息对应的非标准VOIP数据流;
步骤S570、根据所述RTP数据流的统计信息,对与所述数据流统计特征信息对应的非标准VOIP数据流的关联正确性进行验证,在与所述数据流统计特征信息对应的非标准VOIP数据流的RTP数据流的统计信息,与所述RTP数据流的统计信息匹配时,确定与所述数据流统计特征信息对应的非标准VOIP数据流与所述标准VOIP数据流的关联关系正确。
可选的,在得到与标准VOIP数据流关联的非标准VOIP数据流后,可将标准VOIP数据流的起呼详细信息关联至相关联的非标准VOIP数据流上,实现对非标准协议的VOIP数据流的解析,从而实现对非标准协议的VOIP数据流的追本溯源,达到监控非标准协议的VOIP数据流的目的。
下面对本发明实施例提供的确定关联非标准VOIP数据流的装置进行介绍,下文描述的确定关联非标准VOIP数据流的装置与上文描述的确定确定关联非标准VOIP数据流的方法可相互对应参照。
图6为本发明实施例提供的确定关联非标准VOIP数据流的装置的结构框图,参照图6,该装置可以包括:
网络数据包获取模块100,用于获取网络数据包;
VOIP数据流确定模块200,用于确定所述网络数据包中的VOIP数据流,所述VOIP数据流包括至少一次完整呼叫的标准VOIP数据流和非标准VOIP数据流;
起止时间确定模块300,用于从所述至少一次完整呼叫的标准VOIP数据流中选取一标准VOIP数据流,确定所述标准VOIP数据流的传输起止时间信息;
第一确定模块400,用于从所述至少一次完整呼叫的非标准VOIP数据流中确定出与所述传输起止时间信息对应的非标准VOIP数据流;
第二确定模块500,用于根据所述标准VOIP数据流的数据流统计特征信息,从与所述传输起止时间信息对应的非标准VOIP数据流中确定与所述数据流统计特征信息对应的非标准VOIP数据流;
作为模块600,用于将所述与所述数据流统计特征信息对应的非标准VOIP数据流作为所述标准VOIP数据流的关联非标准VOIP数据流。
可选的,图7示出了网络数据包获取模块100的一种可选结构,参照图7,网络数据包获取模块100可以包括:
捕获转换单元110,用于捕获原始网络数据包,完成光口传输到以太网输入的协议转换,获取到网络数据包。
可选的,图8示出了VOIP数据流确定模块200的一种可选结构,参照图8,VOIP数据流确定模块200可以包括:
过滤筛除单元210,用于根据VOIP协议数据流的特征信息,对网络数据包中的非VOIP协议的数据流进行过滤筛除,将过滤筛除后的数据流确定为VOIP数据流。
可选的,图9示出了起止时间确定模块300的一种可选结构,参照图9,起止时间确定模块300可以包括:
CDR确定单元310,用于通过标准VOIP协议对标准VOIP数据流进行解析,得到详细呼叫记录CDR,所述CDR中包括信令五元组信息、对应本次呼叫的VOIP数据流的传输起止时间;
起止时间确定单元320,用于通过所述CDR确定标准VOIP数据流的传输起止时间信息。
可选的,数据流统计特征信息包括:协议类型信息、包长度信息、包到达间隔信息、包数统计信息;对应的,图10示出了第二确定模块500的一种可选结构,参照图10,第二确定模块500可以包括:
相近确定单元510,用于通过所述标准VOIP数据流和与所述传输起止时间信息对应的非标准VOIP数据流中数据包的包长度信息、包到达间隔信息、包数统计信息的差值的比较与协议类型的比较,确定出包长度信息、包到达间隔信息、包数统计信息及协议类型与所述标准VOIP数据流最为相近的与所述传输起止时间信息对应的非标准VOIP数据流,剔除其他的非标准VOIP数据流。
可选的,图11示出了本发明实施例提供的确定关联非标准VOIP数据流的装置的另一结构框图,结合图6和图11所示,确定关联非标准VOIP数据流的装置可以包括:
RTP数据流确定模块700,用于在得到所述CDR后,通过所述CDR确定所述标准VOIP数据流的实时传输协议RTP数据流的统计信息;
验证模块800,用于在确定与所述数据流统计特征信息对应的非标准VOIP数据流后,对与所述数据流统计特征信息对应的非标准VOIP数据流的关联正确性进行验证,在与所述数据流统计特征信息对应的非标准VOIP数据流的RTP数据流的统计信息,与所述RTP数据流的统计信息匹配时,确定与所述数据流统计特征信息对应的非标准VOIP数据流与所述标准VOIP数据流的关联关系正确。
可选的,本发明实施例提供的确定关联非标准VOIP数据流的装置还可以包括:解析模块(未图示),用于将标准VOIO数据流的起呼详细信息关联至相关联的非标准VOIP数据流上,以实现对非标准协议的VOIP数据流的解析。
本发明实施例提供的确定关联非标准VOIP数据流的装置,在一次呼叫的VOIP数据流中传输路径上存在至少一次采用标准VOIP协议传输的和多次采用非标准VOIP协议传输的情况下,实现了对标准VOIP数据流的关联非标准VOIP数据流的确定,从而为非标准VOIP数据流的解析提供了基础,且确定关联非标准VOIP数据流的方式工作量较小,极为简便;本发明实施例确保了对非标准协议的VOIP数据流追本溯源,达到监控非标准协议的VOIP数据流的目的的实现。
本发明实施例还提供一种电子设备,该电子可以具有捕获网络数据包的能力,该电子设备可以包括上述所述的确定关联非标准VOIP数据流的装置,从而实现对标准VOIP数据流的关联非标准VOIP数据流的确定。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种确定关联非标准VOIP数据流的方法,其特征在于,包括:
获取网络数据包,确定所述网络数据包中的VOIP数据流,所述VOIP数据流包括至少一次完整呼叫的标准VOIP数据流和非标准VOIP数据流;
从所述至少一次完整呼叫的标准VOIP数据流中选取一标准VOIP数据流,确定所述标准VOIP数据流的传输起止时间信息;
从所述至少一次完整呼叫的非标准VOIP数据流中确定出与所述传输起止时间信息对应的非标准VOIP数据流;
根据所述标准VOIP数据流的数据流统计特征信息,从与所述传输起止时间信息对应的非标准VOIP数据流中确定与所述数据流统计特征信息对应的非标准VOIP数据流;
将所述与所述数据流统计特征信息对应的非标准VOIP数据流作为所述标准VOIP数据流的关联非标准VOIP数据流。
2.根据权利要求1所述的确定关联非标准VOIP数据流的方法,其特征在于,所述获取网络数据包包括:
捕获原始网络数据包,完成光口传输到以太网输入的协议转换,获取到网络数据包;
所述确定所述网络数据包中的VOIP数据流包括:
根据VOIP协议数据流的特征信息,对网络数据包中的非VOIP协议的数据流进行过滤筛除,将过滤筛除后的数据流确定为VOIP数据流。
3.根据权利要求1所述的确定关联非标准VOIP数据流的方法,其特征在于,所述确定所述标准VOIP数据流的传输起止时间信息包括:
通过标准VOIP协议对标准VOIP数据流进行解析,得到详细呼叫记录CDR,所述CDR中包括信令五元组信息、对应本次呼叫的VOIP数据流的传输起止时间;
通过所述CDR确定标准VOIP数据流的传输起止时间信息。
4.根据权利要求3所述的确定关联非标准VOIP数据流的方法,其特征在于,所述数据流统计特征信息包括:协议类型信息、包长度信息、包到达间隔信息和包数统计信息;所述根据所述标准VOIP数据流的数据流统计特征信息,从与所述传输起止时间信息对应的非标准VOIP数据流中确定与所述数据流统计特征信息对应的非标准VOIP数据流包括:
通过所述标准VOIP数据流和与所述传输起止时间信息对应的非标准VOIP数据流中数据包的包长度信息、包到达间隔信息、包数统计信息的差值的比较以及协议类型的比较,确定出包长度信息、包到达间隔信息、包数统计信息及协议类型与所述标准VOIP数据流最为相近的与所述传输起止时间信息对应的非标准VOIP数据流,剔除其他的非标准VOIP数据流。
5.根据权利要求4或3所述的确定关联非标准VOIP数据流的方法,其特征在于,所述方法还包括:
在得到所述CDR后,通过所述CDR确定所述标准VOIP数据流的实时传输协议RTP数据流的统计信息;在确定与所述数据流统计特征信息对应的非标准VOIP数据流后,对与所述数据流统计特征信息对应的非标准VOIP数据流的关联正确性进行验证,在与所述数据流统计特征信息对应的非标准VOIP数据流的RTP数据流的统计信息,与所述RTP数据流的统计信息匹配时,确定与所述数据流统计特征信息对应的非标准VOIP数据流与所述标准VOIP数据流的关联关系正确;
和/或,
将标准VOIP数据流的起呼详细信息关联至相关联的非标准VOIP数据流上,以实现对非标准协议的VOIP数据流的解析。
6.一种确定关联非标准VOIP数据流的装置,其特征在于,包括:
网络数据包获取模块,用于获取网络数据包;
VOIP数据流确定模块,用于确定所述网络数据包中的VOIP数据流,所述VOIP数据流包括至少一次完整呼叫的标准VOIP数据流和非标准VOIP数据流;
起止时间确定模块,用于从所述至少一次完整呼叫的标准VOIP数据流中选取一标准VOIP数据流,确定所述标准VOIP数据流的传输起止时间信息;
第一确定模块,用于从所述至少一次完整呼叫的非标准VOIP数据流中确定出与所述传输起止时间信息对应的非标准VOIP数据流;
第二确定模块,用于根据所述标准VOIP数据流的数据流统计特征信息,从与所述传输起止时间信息对应的非标准VOIP数据流中确定与所述数据流统计特征信息对应的非标准VOIP数据流;
作为模块,用于将所述与所述数据流统计特征信息对应的非标准VOIP数据流作为所述标准VOIP数据流的关联非标准VOIP数据流。
7.根据权利要求6所述的确定关联非标准VOIP数据流的装置,其特征在于,所述网络数据包获取模块包括:
捕获转换单元,用于捕获原始网络数据包,完成光口传输到以太网输入的协议转换,获取到网络数据包;
所述VOIP数据流确定模块包括:
过滤筛除单元,用于根据VOIP协议数据流的特征信息,对网络数据包中的非VOIP协议的数据流进行过滤筛除,将过滤筛除后的数据流确定为VOIP数据流。
8.根据权利要求6所述的确定关联非标准VOIP数据流的装置,其特征在于,所述起止时间确定模块包括:
CDR确定单元,用于通过标准VOIP协议对标准VOIP数据流进行解析,得到详细呼叫记录CDR,所述CDR中包括信令五元组信息、对应本次呼叫的VOIP数据流的传输起止时间;
起止时间确定单元,用于通过所述CDR确定标准VOIP数据流的传输起止时间信息;
所述数据流统计特征信息包括:协议类型信息、包长度信息、包到达间隔信息和包数统计信息;所述第二确定模块包括:
相近确定单元,用于通过所述标准VOIP数据流和与所述传输起止时间信息对应的非标准VOIP数据流中数据包的包长度信息、包到达间隔信息、包数统计信息的差值的比较以及协议类型的比较,确定出包长度信息、包到达间隔信息、包数统计信息及协议类型与所述标准VOIP数据流最为相近的与所述传输起止时间信息对应的非标准VOIP数据流,剔除其他的非标准VOIP数据流。
9.根据权利要求8所述的确定关联非标准VOIP数据流的装置,其特征在于,所述装置还包括:
RTP数据流确定模块,用于在得到所述CDR后,通过所述CDR确定所述标准VOIP数据流的实时传输协议RTP数据流的统计信息;
验证模块,用于在确定与所述数据流统计特征信息对应的非标准VOIP数据流后,对与所述数据流统计特征信息对应的非标准VOIP数据流的关联正确性进行验证,在与所述数据流统计特征信息对应的非标准VOIP数据流的RTP数据流的统计信息,与所述RTP数据流的统计信息匹配时,确定与所述数据流统计特征信息对应的非标准VOIP数据流与所述标准VOIP数据流的关联关系正确。
10.一种电子设备,其特征在于,包括权利要求6-9任一项所述的确定关联非标准VOIP数据流的装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410156320.6A CN103888479B (zh) | 2014-04-18 | 2014-04-18 | 确定关联非标准voip数据流的方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410156320.6A CN103888479B (zh) | 2014-04-18 | 2014-04-18 | 确定关联非标准voip数据流的方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103888479A CN103888479A (zh) | 2014-06-25 |
| CN103888479B true CN103888479B (zh) | 2017-04-12 |
Family
ID=50957197
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410156320.6A Active CN103888479B (zh) | 2014-04-18 | 2014-04-18 | 确定关联非标准voip数据流的方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103888479B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107070741B (zh) * | 2017-03-13 | 2019-06-28 | 中国人民解放军信息工程大学 | 一种基于网关时空关联分析的VoIP网络拓扑检测方法 |
| CN108123959B (zh) * | 2017-12-30 | 2020-11-20 | 世纪网通成都科技有限公司 | 用于还原voip话单的计算机可读存储介质和应用该介质的voip话单还原系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1750488A (zh) * | 2005-09-22 | 2006-03-22 | 广东省电信有限公司研究院 | 互联网网络电话的监控系统及其监控方法 |
| CN101035157A (zh) * | 2006-03-10 | 2007-09-12 | 北京中创信测科技股份有限公司 | 一种基于ip网络的语音检测和控制方法及系统 |
| CN102333167A (zh) * | 2011-10-09 | 2012-01-25 | 深圳市共进电子股份有限公司 | 一种VoIP协议切换方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020114439A1 (en) * | 2001-01-19 | 2002-08-22 | Dunlap John H. | User transparent internet telephony device and method |
| US8923325B2 (en) * | 2009-10-06 | 2014-12-30 | Adobe Systems Incorporated | Client-server architecture for audio-video communications |
-
2014
- 2014-04-18 CN CN201410156320.6A patent/CN103888479B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1750488A (zh) * | 2005-09-22 | 2006-03-22 | 广东省电信有限公司研究院 | 互联网网络电话的监控系统及其监控方法 |
| CN101035157A (zh) * | 2006-03-10 | 2007-09-12 | 北京中创信测科技股份有限公司 | 一种基于ip网络的语音检测和控制方法及系统 |
| CN102333167A (zh) * | 2011-10-09 | 2012-01-25 | 深圳市共进电子股份有限公司 | 一种VoIP协议切换方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| 《VoIP的安全性分析及防护研究》;毛文涛 等;《通信技术》;20080131;第41卷(第1期);全文 * |
| 《复杂数据流聚类算法研究及应用》;张建朋;《中国优秀硕士学位论文全文数据库 信息科技辑》;20140215(第2期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103888479A (zh) | 2014-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10230788B2 (en) | System and method for selecting a content delivery network | |
| CN100566356C (zh) | 一种基于ip网络的语音检测和控制方法及系统 | |
| US8750158B2 (en) | System and method for differentiated billing | |
| US9992348B2 (en) | System and method for establishing a call on a packet network | |
| EP1892920B1 (en) | Monitoring system and method for trunk gateway | |
| US8000318B2 (en) | System and method for call routing based on transmission performance of a packet network | |
| US8358580B2 (en) | System and method for adjusting the window size of a TCP packet through network elements | |
| US7062680B2 (en) | Expert system for protocols analysis | |
| CN101272216B (zh) | 一种语音分析的方法、系统和语音采集前端机 | |
| KR101218253B1 (ko) | 보안 및 불법호 검출 시스템 및 방법 | |
| WO2015144211A1 (en) | Method and system for monitoring qoe | |
| CN100466560C (zh) | 服务质量检测方法、系统、装置、及计费和故障测试系统 | |
| CN101123641A (zh) | 基于分布式架构的无线网络电话监听装置的监听方法 | |
| KR101107739B1 (ko) | VoIP 네트워크의 비정상 SIP 트래픽 탐지 시스템 및 그 탐지 방법 | |
| CN103888479B (zh) | 确定关联非标准voip数据流的方法、装置及电子设备 | |
| DE10358333A1 (de) | Verfahren, Netzelement und Netzanordnung zur Telekommunikationsüberwachung | |
| KR100954593B1 (ko) | 음성패킷망 품질측정 방법 | |
| CN101631174B (zh) | 基于会话发起协议的网络电话实时识别和过滤方法 | |
| JP5152110B2 (ja) | パケット解析方法、プログラム及び装置 | |
| KR101514633B1 (ko) | 패킷 망에서의 통화 품질 관리 방법 및 장치 | |
| Deri | Open source VoIP traffic monitoring | |
| US20040160896A1 (en) | Method and apparatus for adaptive capture of voice over packet (VoP) data | |
| CN102739458B (zh) | 一种针对ip多媒体子系统的rtp威胁的检测方法和系统 | |
| CN104993985B (zh) | 一种对接入网关设备号码表规则进行自适应校准的方法 | |
| CN104283850B (zh) | 一种网络内部媒体流完整性判断方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |