CN107070741B - 一种基于网关时空关联分析的VoIP网络拓扑检测方法 - Google Patents

一种基于网关时空关联分析的VoIP网络拓扑检测方法 Download PDF

Info

Publication number
CN107070741B
CN107070741B CN201710146826.2A CN201710146826A CN107070741B CN 107070741 B CN107070741 B CN 107070741B CN 201710146826 A CN201710146826 A CN 201710146826A CN 107070741 B CN107070741 B CN 107070741B
Authority
CN
China
Prior art keywords
voip
gateway
call
flow
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710146826.2A
Other languages
English (en)
Other versions
CN107070741A (zh
Inventor
黄海
万辛
秦韬
葛东东
雷娟娟
高超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PLA Information Engineering University
Original Assignee
PLA Information Engineering University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PLA Information Engineering University filed Critical PLA Information Engineering University
Priority to CN201710146826.2A priority Critical patent/CN107070741B/zh
Publication of CN107070741A publication Critical patent/CN107070741A/zh
Application granted granted Critical
Publication of CN107070741B publication Critical patent/CN107070741B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/006Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
    • H04M7/0078Security; Fraud detection; Fraud prevention
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于网关时空关联分析的VoIP网络拓扑检测方法,克服了现有技术中,多数诈骗电话通过VoIP网络进行通信,无法对采用私有协议的VoIP通信业务进行有效监管而导致无法防护诈骗电话的问题。该发明含有以下步骤:步骤1:利用网关采用标准协议通信的特点,检测出网关承载的VoIP通话流量;步骤2:然后根据VoIP通话在经由路径上流量呈现的时空一致性特点,得出通话的呼叫路由;步骤3:描绘出相应的VoIP网络拓扑关系图。该发明通过掌握VoIP网络拓扑,一方面为基于已知协议或明文的VoIP呼叫检测提供指导;另一方面对基于未知协议或密文的VoIP呼叫进行追踪、溯源定位,可阻断拦截VoIP诈骗电话。

Description

一种基于网关时空关联分析的VoIP网络拓扑检测方法
技术领域
该发明涉及融合网通信技术领域,特别是涉及一种基于网关时空关联分析的VoIP网络拓扑检测方法。
背景技术
目前,多数诈骗电话通过VoIP网络进行通信,虚拟运营商对自身网内的VoIP业务采用私有协议进行通信,或者对通信过程进行加密,致使无法跟踪到VoIP诈骗电话的呼叫流程。
VoIP主要由虚拟运营商建设运营,其依托互联网,建立VoIP运营平台,开展VoIP通信业务。由于目前国内VoIP业务尚未正式开放运营,虚拟运营商无法取得合法运营身份,只能隐性地开展业务。为逃避追踪和打击,很多虚拟运营商对自身网内的VoIP业务采用私有协议进行通信,或者对通信过程进行加密,以增强对抗电信监管的能力。对电信监管者而言,由于私有协议并不公开源码和实现细节,甚至连可执行代码也难以获得,即使采用逆向工程分析方法,也很难解析其通信过程,从而给电信监管带来困难。VoIP虚拟运营商并不建设物理网络,其主要通过设置若干网关节点,或租用运营商提供的网关接口,打通各大运营商网络,实现全网范围内的VoIP业务应用。出于开放性考虑,电信运营商只会采用标准协议与虚拟运营商互联互通,导致网关成为整个VoIP网络的“暴露点”。
目前,多数诈骗电话通过VoIP网络进行通信,虚拟运营商对自身网内的VoIP业务采用私有协议进行通信,或者对通信过程进行加密,致使无法跟踪到VoIP诈骗电话的呼叫流程,无从实施诈骗电话防护。
发明内容
本发明克服了现有技术中,多数诈骗电话通过VoIP网络进行通信,无法对采用私有协议的VoIP通信业务进行有效监管的困境,而导致无法防护诈骗电话的问题,提供一种具有较好监视管控能力的基于网关时空关联分析的VoIP网络拓扑检测方法。
本发明的技术解决方案是,提供一种具有以下步骤的基于网关时空关联分析的VoIP网络拓扑检测方法,含有以下步骤:步骤1:利用网关采用标准协议通信的特点,检测出网关承载的VoIP通话流量;步骤2:然后根据VoIP通话在经由路径上流量呈现的时空一致性特点,得出通话的呼叫路由;步骤3:描绘出相应的VoIP网络拓扑关系图。
所述步骤1中检测出网关承载的VoIP通话的过程为:在准确识别和分拣VoIP信令流量与媒体流量的基础上,利用网关信令流量与媒体流量呈现集聚性的特点,准确找出网络中存在的VoIP信令网关和媒体网关。
所述步骤2的具体过程为:对网关所有流量进行时空一致性分析,检索出该VoIP通话的关联流量,得到该VoIP通话的上一跳设备的IP地址。
所述网关为上一跳网关,对上一跳网关设备的流量进行时空一致性分析,描绘出VoIP通话的全局路由情况,搜索到通话经由的所有VoIP网关及业务设备。
所述步骤3的具体过程为:对若干VoIP通话累积形成的网络节点及路由数据,采用统计方法获得VoIP网关或业务设备的分布情况、逻辑连接关系以及设备之间的呼叫强度记录,描绘出VoIP网络拓扑图。
与现有技术相比,本发明基于网关时空关联分析的VoIP网络拓扑检测方法具有以下优点:
1.该发明网关为突破点,适用于通信领域中诈骗电话的防护。
2.该发明适用于检测发现采用公有协议和私有协议的VoIP网络拓扑,利用网络拓扑,既可有效分析网络中的VoIP业务态势,为监控资源的合理部署提供科学指导,又可丰富VoIP信息监测手段,增强系统面向不同公有、私有VoIP业务应用的通用性。
3.可以统计分析出VoIP诈骗电话呼叫途经的网关,进而描绘出网络拓扑图,根据VoIP网络拓扑图,选定适当的网关位置进行通信管制,即可阻断拦截VoIP诈骗电话,实现诈骗电话的防护。
4.通过掌握VoIP网络拓扑,一方面为基于已知协议或明文的VoIP呼叫检测提供指导,提升系统应用效能;另一方面对基于未知协议或密文的VoIP呼叫进行追踪、溯源或定位,选定适当的网关位置进行通信管制,即可阻断拦截VoIP诈骗电话,实现诈骗电话的防护,形成监视管控能力。
附图说明
图1是本发明基于网关时空关联分析的VoIP网络拓扑检测方法现有技术中典型的运营网络构成图;
图2是本发明基于网关时空关联分析的VoIP网络拓扑检测方法的应用示意图;
图3是本发明基于网关时空关联分析的VoIP网络拓扑检测方法的VoIP网络拓扑关系图。
具体实施方式
下面结合附图和具体实施方式对本发明基于网关时空关联分析的VoIP网络拓扑检测方法作进一步说明:如图所示,本实施例中含有以下步骤:
步骤1:利用网关采用标准协议通信的特点,检测出网关承载的VoIP通话流量;步骤2:然后根据VoIP通话在经由路径上流量呈现的时空一致性特点,得出通话的呼叫路由;步骤3:描绘出相应的VoIP网络拓扑关系图。
所述步骤1中检测出网关承载的VoIP通话的过程为:在准确识别和分拣VoIP信令流量与媒体流量的基础上,利用网关信令流量与媒体流量呈现集聚性的特点,准确找出网络中存在的VoIP信令网关和媒体网关。
所述步骤2的具体过程为:对网关所有流量进行时空一致性分析,检索出该VoIP通话的关联流量,得到该VoIP通话的上一跳设备的IP地址。
所述网关为上一跳网关,对上一跳网关设备的流量进行时空一致性分析,描绘出VoIP通话的全局路由情况,搜索到通话经由的所有VoIP网关及业务设备。
所述步骤3的具体过程为:对若干VoIP通话累积形成的网络节点及路由数据,采用统计方法获得VoIP网关或业务设备的分布情况、逻辑连接关系以及设备之间的呼叫强度记录,描绘出VoIP网络拓扑图。
本发明中涉及的VoIP网关包括信令网关和媒体网关两类,网关检测是在准确识别和分拣VoIP信令流量与媒体流量的基础上,利用网关信令流量与媒体流量呈现集聚性的特点,准确找出网络中存在的VoIP信令网关和媒体网关。
对于信令流量的识别,由于主要的VoIP信令协议为SIP协议,采用文本编码方式,消息字段均以固定关键字命名,如INVITE、Call-ID、Via等,因此通过检测IP数据包中是否出现协议的特征关键字,即可判断该IP包是否承载SIP协议。鉴于协议关键字在报文中出现位置并不固定,需要扫描报文内容对所有可能的关键字匹配,在高达10Gb/s速率的线路中,逐报文扫描所有关键字开销巨大,项目组设计了基于分段匹配的VoIP信令流检测算法,其利用SIP协议消息按层次划分为行、单词和单个字符,且协议关键字都以单词的形式存在的特点,根据分段间隔字符将协议消息划分为若干单词,将多关键字匹配算法转化为单词匹配算法,提高匹配算法的执行速度,满足高速流量下的实时处理要求。
对于媒体流量的识别,一是语音通信属于实时交互业务,在整个会话过程中双方一直都在以相同的编码格式实时传输语音数据,因此在统计意义上语音通信的双向流量具有一定的对称性,相比而言网页浏览、视频点播、FTP文件传输等应用的流量呈现较大的非对称性;二是语音流量采用小包固定间隔发送模式,可以利用流的平均包间隔和包长作为识别VoIP媒体流的依据。为此,可定义FBW(Flow Band Width,流带宽)、DFBWR(Dual FlowBand Width Ratio,双向流带宽比)、MPAI(Mean Packet Arrival Interval,平均包到达间隔)、MPL(Mean Packet Length,平均包长)等流特征参数,采用贝叶斯判决方法识别VoIP媒体流量。
准确识别并分拣出信令流量和媒体流量后,利用网关对应的VoIP流量聚集特性,可通过分析信令包与媒体包地址的统计特性,检测发现当前网络中存在的VoIP信令网关和媒体网关。
本发明中VoIP网关完成不同VoIP网络之间标准协议与私有协议的转换功能。从网关流量视图上看,一个VoIP通话在网关上产生两个流量:采用标准协议的流量和采用私有协议的流量。由于VoIP通话是实时交互业务,网关并不缓存报文,因此两个流量之间呈现出时空一致性特点,即:两个流量具有相同的网关IP地址,具有相同的生命周期,对于某些网关,甚至报文数量也存在一致性。因此,通过标准协议检测出网关的VoIP通话流量后,再对网关所有流量进行时空一致性分析,检索出该VoIP通话的关联流量,即可得到该VoIP通话的上一跳设备的IP地址。依此类推,对上一跳设备的流量进行时空一致性分析,可以描绘出VoIP通话的全局路由情况,搜索到通话经由的所有VoIP网关及业务设备。最后对若干VoIP通话累积形成的网络节点及路由数据,采用统计方法获得VoIP网关或业务设备的分布情况、逻辑连接关系以及设备之间的呼叫强度记录,描绘出VoIP网络拓扑图。

Claims (3)

1.一种基于网关时空关联分析的VoIP网络拓扑检测方法,其特征在于:含有以下步骤:
步骤1:利用网关采用标准协议通信的特点,检测出网关承载的VoIP通话流量;
所述步骤1中检测出网关承载的VoIP通话流量的过程为:在准确识别和分拣VoIP信令流量与媒体流量的基础上,利用网关信令流量与媒体流量呈现集聚性的特点,准确找出网络中存在的VoIP信令网关和媒体网关;
步骤2:然后根据VoIP通话在经由路径上流量呈现的时空一致性特点,得出通话的呼叫路由;
所述步骤2的具体过程为:对网关所有流量进行时空一致性分析,检索出该VoIP通话的关联流量,得到该VoIP通话的上一跳设备的IP地址;
步骤3:描绘出相应的VoIP网络拓扑关系图。
2.根据权利要求1所述的基于网关时空关联分析的VoIP网络拓扑检测方法,其特征在于:所述网关为上一跳网关,对上一跳网关设备的流量进行时空一致性分析,描绘出VoIP通话的全局路由情况,搜索到通话经由的所有VoIP网关及业务设备。
3.根据权利要求1所述的基于网关时空关联分析的VoIP网络拓扑检测方法,其特征在于:所述步骤3的具体过程为:对若干VoIP通话累积形成的网络节点及路由数据,采用统计方法获得VoIP网关或业务设备的分布情况、逻辑连接关系以及设备之间的呼叫强度记录,描绘出VoIP网络拓扑图。
CN201710146826.2A 2017-03-13 2017-03-13 一种基于网关时空关联分析的VoIP网络拓扑检测方法 Active CN107070741B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710146826.2A CN107070741B (zh) 2017-03-13 2017-03-13 一种基于网关时空关联分析的VoIP网络拓扑检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710146826.2A CN107070741B (zh) 2017-03-13 2017-03-13 一种基于网关时空关联分析的VoIP网络拓扑检测方法

Publications (2)

Publication Number Publication Date
CN107070741A CN107070741A (zh) 2017-08-18
CN107070741B true CN107070741B (zh) 2019-06-28

Family

ID=59622068

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710146826.2A Active CN107070741B (zh) 2017-03-13 2017-03-13 一种基于网关时空关联分析的VoIP网络拓扑检测方法

Country Status (1)

Country Link
CN (1) CN107070741B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108718369B (zh) * 2018-05-03 2021-09-24 上海旺链信息科技有限公司 一种网关接入方法、装置及计算机存储介质
CN110266902B (zh) * 2019-05-27 2021-04-02 国家计算机网络与信息安全管理中心 VoIP信令与媒体数据关联系统、方法
CN114915650B (zh) * 2022-04-22 2023-08-08 国家计算机网络与信息安全管理中心 基于网元信息聚合的VoIP服务观测视角的判定方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1750488A (zh) * 2005-09-22 2006-03-22 广东省电信有限公司研究院 互联网网络电话的监控系统及其监控方法
KR101218253B1 (ko) * 2011-07-14 2013-01-21 델피콤주식회사 보안 및 불법호 검출 시스템 및 방법
CN103401882A (zh) * 2013-08-16 2013-11-20 深圳市宏电技术股份有限公司 Voip网关语音链路备份方法及系统
CN103888479A (zh) * 2014-04-18 2014-06-25 中国人民解放军信息工程大学 确定关联非标准voip数据流的方法、装置及电子设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1750488A (zh) * 2005-09-22 2006-03-22 广东省电信有限公司研究院 互联网网络电话的监控系统及其监控方法
KR101218253B1 (ko) * 2011-07-14 2013-01-21 델피콤주식회사 보안 및 불법호 검출 시스템 및 방법
CN103401882A (zh) * 2013-08-16 2013-11-20 深圳市宏电技术股份有限公司 Voip网关语音链路备份方法及系统
CN103888479A (zh) * 2014-04-18 2014-06-25 中国人民解放军信息工程大学 确定关联非标准voip数据流的方法、装置及电子设备

Also Published As

Publication number Publication date
CN107070741A (zh) 2017-08-18

Similar Documents

Publication Publication Date Title
CN108781171B (zh) 用于在ipv6环境中用数据平面信号通知分组捕获的系统和方法
CN101399749B (zh) 一种报文过滤的方法、系统和设备
US9699660B1 (en) Big data analytics for telecom fraud detection
US8102879B2 (en) Application layer metrics monitoring
CN107070741B (zh) 一种基于网关时空关联分析的VoIP网络拓扑检测方法
US20080195731A1 (en) Distributed Traffic Analysis
US20130294449A1 (en) Efficient application recognition in network traffic
US20060262789A1 (en) Method and corresponding device for packets classification
JP4692776B2 (ja) Sipベースのアプリケーションを保護する方法
CN113825129B (zh) 一种5g网络环境下工业互联网资产测绘方法
CN101488925A (zh) 一种利用Netflow采集及统计VPN流量的方法
CN109151880A (zh) 基于多层分类器的移动应用流量识别方法
CN106789728A (zh) 一种基于NetFPGA的VoIP流量实时识别方法
KR102171348B1 (ko) 어플리케이션 검출 방법 및 장치
CN107864110A (zh) 僵尸网络主控端检测方法和装置
Al Dallal Improving Communication between Switches Using Public Signal Channel No. 7
US7953017B2 (en) Application specific service ping packet
CN101072174A (zh) 基于净荷深度检测和会话关联技术的腾讯语音识别方法
Matousek et al. Fast RTP detection and codecs classification in internet traffic
TWI797962B (zh) 基於SASE的IPv6雲邊緣網路安全連線方法
Kao et al. Forensic artifacts of network traffic on WeChat calls
KR20030052843A (ko) 네트웍 침입자 역추적 시스템 및 방법
WO2021136434A1 (zh) 一种信息处理方法、装置、节点设备、服务器及存储介质
KR101466895B1 (ko) VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체
Do et al. Real time VoIP traffic classification

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant