CN116233317A - 面向网络流量的实时VoLTE语音还原、检测方法和装置 - Google Patents
面向网络流量的实时VoLTE语音还原、检测方法和装置 Download PDFInfo
- Publication number
- CN116233317A CN116233317A CN202310085077.2A CN202310085077A CN116233317A CN 116233317 A CN116233317 A CN 116233317A CN 202310085077 A CN202310085077 A CN 202310085077A CN 116233317 A CN116233317 A CN 116233317A
- Authority
- CN
- China
- Prior art keywords
- data packet
- protocol
- voice
- real
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 24
- 230000009467 reduction Effects 0.000 title description 6
- 230000005540 biological transmission Effects 0.000 claims abstract description 89
- 238000000034 method Methods 0.000 claims abstract description 31
- 230000009471 action Effects 0.000 claims abstract description 20
- 230000004044 response Effects 0.000 claims abstract description 19
- 230000000977 initiatory effect Effects 0.000 claims description 43
- 238000010276 construction Methods 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 5
- 230000002441 reversible effect Effects 0.000 claims description 5
- 238000005070 sampling Methods 0.000 claims description 5
- 239000012634 fragment Substances 0.000 claims description 4
- 230000006798 recombination Effects 0.000 claims description 4
- 238000005215 recombination Methods 0.000 claims description 4
- 230000001360 synchronised effect Effects 0.000 claims description 4
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 238000011160 research Methods 0.000 abstract description 3
- 230000000875 corresponding effect Effects 0.000 description 11
- 230000008569 process Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 239000000284 extract Substances 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000005111 flow chemistry technique Methods 0.000 description 2
- 238000007639 printing Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000000452 restraining effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
- H04M7/0081—Network operation, administration, maintenance, or provisioning
- H04M7/0084—Network monitoring; Error detection; Error recovery; Network testing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
- H04L43/103—Active monitoring, e.g. heartbeat, ping or trace-route with adaptive polling, i.e. dynamically adapting the polling rate
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
- H04M7/0072—Speech codec negotiation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
- H04M7/0078—Security; Fraud detection; Fraud prevention
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Cardiology (AREA)
- General Health & Medical Sciences (AREA)
- Environmental & Geological Engineering (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种面向网络流量的实时VoLTE语音还原、检测方法和装置,涉及网络信息安全领域。所述语音检测方法包括:基于配置的检测规则,生成规则树;构建会话流表和语音流表;在网络流量中,捕获传输层协议是UDP协议的数据包;根据所述数据包的应用层协议和语音流表,判断所述数据包是否包含实时传输协议;在所述数据包包含实时传输协议的情况下,获取与该数据包同源且包含实时传输协议的数据包,并基于所有数据包的实时传输协议中的payload字段,进行语音文件还原;将所述文本信息输入所述规则树,并在所述文本信息命中所述规则条件的情况下,执行对应的响应动作。本公开可以研判数据流中是否有电信广告推销等行为。
Description
技术领域
本发明涉及网络信息安全领域,涉及一种面向网络流量的实时VoLTE语音还原、检测方法和装置。
背景技术
近年来,随着智能手机的普及和新一代网络快速发展,越来越多的手机支持高清语音VoLTE通话,同时,层出不穷的广告推销电话也使用了VoLTE通话,而且语音编码方式多种多样。为了快速高效的发现VoLTE通话中的垃圾信息,及时的制止网络广告推销行为,需要能够从网络流量中实时还原出各种编码的VoLTE语音信息,并对还原的语音信息进行分析和研判,做出响应动作。然而,普通的语音还原技术还存在一些问题:
(1)一般的语音还原技术只能基于离线的pcap包进行语音还原,不能对网络流量实时采集并检测还原其中的语音信息。
(2)基于网络流量的语音还原系统,只能对单一语音编码方式进行解析,难以支持复杂多样的语音编码。
(3)基于网络流量的语音还原系统,只能对语音进行还原和解码,难以实时的对语音内容进行分析并根据语音内容及时做出响应动作。
发明内容
针对上述存在的问题,本发明公开了一种面向网络流量的实时VoLTE语音还原、检测方法和装置。该实时VoLTE语音检测方法可以研判数据流中是否有电信广告推销等行为,使得相关人员发起语音中断信号以停止会话。
本发明的技术方案包括:
一种面向网络流量的实时VoLTE语音文件还原方法,所述方法包括:
构建语音流表;所述语音流表包括:会话初始协议协商的四元组信息、语音编码信息、语音数据包序号和其他会话信息;
在网络流量中,捕获传输层协议是UDP协议的数据包;
根据所述数据包的应用层协议和语音流表,判断所述数据包是否包含实时传输协议;
在所述数据包包含实时传输协议的情况下,获取与该数据包同源且包含实时传输协议的数据包,并基于所有数据包的实时传输协议中的payload字段,进行语音文件还原。
进一步地,所述构建语音流表,包括:
在网络流量中,捕获传输层协议是TCP和UDP协议的数据包;
解析并还原数据包的应用层协议;
分析所述应用层协议中是否包含会话初始协议;
在所述应用层协议中包含会话初始协议的情况下,基于会话初始协议协商的会话信息,提取语音通话中实时传输协议使用的四元组信息、会话ID、编码类型;其中,所述四元组信息包括:源IP、源端口、目的IP和目的端口;
提取会话初始协议的五元组信息,使用五元组信息或反转后五元组信息查询会话流表;
未在会话流表中查询到会话信息的情况下,将所述五元组信息插入会话流表,并返回至所述在网络流量中,捕获传输层协议是TCP和UDP协议的数据包;
在会话流表中查询到会话信息的情况下,判断会话流表是否有完整的实时传输协议使用的四元组信息;
在会话流表没有完整的实时传输协议使用的四元组信息的情况下,返回至所述在网络流量中,捕获传输层协议是TCP协议和UDP协议的数据包;
在会话流表有完整的实时传输协议使用的四元组信息的情况下,使用该四元组信息和反转四元组信息查询语音流表;
未在语音流表中查询到四元组信息的情况下,将四元组信息插入语音流表,并返回至所述在网络流量中,捕获传输层协议是TCP协议和UDP协议的数据包;
在语音流表中查询到语音信息的情况下,返回至所述在网络流量中,捕获传输层协议是TCP协议和UDP协议的数据包。
进一步地,所述在网络流量中,捕获传输层协议是UDP协议的数据包,包括:
捕获网络流量中的数据包;
对所述数据包进行隧道剥离和分片重组之后,进行ETH层、IP层、TCP/UDP层的解析,判断所述数据包的传输层协议是否为UDP协议的数据包。
进一步地,所述根据所述数据包的应用层协议和语音流表,判断所述数据包是否包含实时传输协议,包括:
解析并还原所述数据包的应用层协议;
分析所述应用层协议中是否包含会话初始协议;
在所述应用层协议中不包含会话初始协议的情况下,提取所述数据包的四元组信息,所述四元组信息包括:源IP、源端口、目的IP和目的端口;
使用所述四元组信息和反转四元组信息作为KEY查询语音流表;
在语音流表中未获取相关信息的情况下,则认为该数据包不包括实时传输协议,丢弃该数据包;
在语音流表中获取相关信息的情况下,判断所述数据包是包含实时传输协议的数据包。
进一步地,所述语音编码信息包括:媒体数据编码类型,所述其他会话信息包括:会话ID、用户终端、接收与发送媒体数据的地址和支持的媒体数据编码类型列表。
进一步地,所述在所述数据包包含实时传输协议的情况下,获取与该数据包同源且包含实时传输协议的数据包,并基于所有数据包的实时传输协议中的payload字段,进行语音文件还原,包括
在所述数据包包含实时传输协议的情况下,解析所述UDP协议的payload字段中的实时传输协议信息,并提取所述UDP协议的payload字段中的原始语音数据;所述实时传输协议信息包括:有效载荷类型、序号和同步源标识符;
基于所述同步源标识符,获取该数据包的同源数据包;
将所述数据包与所述同源数据包进行序号比对;
在比对结果显示所述数据包的序号为乱序的情况下,丢弃该数据包;
在比对结果显示所述数据包的序号正常的情况下,构建包含所述数据包与所述同源数据包的数据包集合;
针对数据包集合中每一数据包,提取所述实时传输协议的payload字段中的原始语音数据;
根据序号重组所述原始语音数据,且填充空缺数据包中的原始语音数据;
根据有效载荷类型对应编码类型的采样率、编码位数和通道数,对所述原始语音数据进行还原和解析后,添加音频头数据,以得到还原后的语音文件。
进一步地,所述在网络流量中,捕获传输层协议是UDP协议的数据包之前,还包括:初始化硬件和初始化软件;其中,所述硬件包括:网卡、CPU核和内存,所述软件包括:软件主句柄、日志模块、配置管理模块、插件模块、会话流表和语音流表和通信队列。
一种面向网络流量的实时VoLTE语音文件还原装置,所述装置包括:
构建模块,用于构建语音流表;所述语音流表包括:会话初始协议协商的四元组信息、语音编码信息和其他会话信息;
捕获模块,用于在网络流量中,捕获原始流量数据包;
判断模块,用于据所述数据包的应用层协议和语音流表,判断所述数据包是否包含实时传输协议;
还原模块,用于在所述数据包包含实时传输协议的情况下,获取与该数据包同源且包含实时传输协议的数据包,并基于所有数据包的实时传输协议中的payload字段,进行语音文件还原。
一种面向网络流量的实时VoLTE语音文件检测方法,所述方法包括:
基于配置的检测规则,生成规则树;其中,每一检测规则包含一规则条件,且对应于一响应动作;
基于上述任一方法,还原语音文件;
将所述语音文件转换为文本信息;
将所述文本信息输入所述规则树,并在所述文本信息命中所述规则条件的情况下,执行对应的响应动作。
一种面向网络流量的实时VoLTE语音文件检测装置,所述装置包括:
生成模块,用于基于配置的检测规则,生成规则树;
构建模块,用于构建语音流表;所述语音流表包括:会话初始协议协商的四元组信息、语音编码信息和其他会话信息;
捕获模块,用于在网络流量中,捕获原始流量数据包;
判断模块,用于据所述数据包的应用层协议和语音流表,判断所述数据包是否包含实时传输协议;
还原模块,用于在所述数据包包含实时传输协议的情况下,获取与该数据包同源且包含实时传输协议的数据包,并基于所有数据包的实时传输协议中的payload字段,进行语音文件还原。
转换模块,用于将所述语音文件转换为文本信息;
检测模块,用于将所述文本信息输入所述规则树,并在所述文本信息命中所述规则条件的情况下,执行对应的响应动作。
与现有技术相比,本发明具有如下的技术优势:
(1)本发明能够在高速骨干网络环境中,实时高效捕获数据口的LTE移动网流量,快速检测还原流量中的VoLTE语音信息。
(2)本发明支持对已知的20余种语音编码格式的音频文件进行解码分析,并转换为可以直接播放的语音文件。
(3)本发明可以对实时还原的语音信息进行分析,研判是否有电信广告推销行为,并实时做出切断语音的响应动作。
附图说明
图1为面向网络流量的实时VoLTE语音还原、检测方法的流程图。
图2为面向网络流量的实时VoLTE语音还原、检测装置的结构模块图。
具体实施方式
下面将结合附图,对本发明实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式仅仅是本发明特定实施方式,而不是全部的实施方式。基于本发明中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,都属于本发明保护的范围。
本发明的VoLTE语音还原方法,通过实时采集LTE移动网中的原始流量,提取数据链路层数据帧,完成IP分片重组,还原传输层报文,根据配置信息提取协议变量,解析应用层协议,识别会话初始协议数据包,提取会话信息,建立会话流表和VoLTE语音流表,识别实时传输协议数据包提取语音编码信息和原始语音信息,实时还原并分析通话内容之后,根据相关规则中的关键词,研判是否有电信广告推销行为,并及时发起语音中断信号停止会话。
如图1所示,该VoLTE语音还原、检测方法包括以下步骤。
本发明公开了一种面向网络流量可以实时检测还原VoLTE语音的方法和系统,具体步骤如下:
(1)系统初始化
系统初始化包括硬件初始化和软件初始化,硬件初始化主要包括网卡、CPU核、内存等初始化;软件初始化主要包括软件主句柄、日志模块、配置管理模块、插件模块、会话流表和语音流表、通信队列等初始化。
一示例中,系统初始化过程包括:
a.程序启动后首先需要读取配置文件中的硬件配置信息,初始化硬件设备,确定捕获数据包网卡名,获取数据接收、数据处理、数据发送分配的CPU核心,获取内存页大小参数;其次配置系统软件参数,配置会话流表和语音流表的默认大小,配置需要加载的插件模块,初始化主句柄内存并返回首地址指针,初始化日志发送模块和配置规则接收模块,初始化后转至步骤(1)-b。
b.判断系统是否初始化成功,系统初始化成功后转至步骤(2)-a,否则系统自动打印初始化失败信息并退出。
(2)配置规则解析
主要包含配置接收解析和规则接收解析,配置用于对系统的各项参数进行约束,包括网卡名、系统工作模式、插件路径、会话数量、文件保存地址等系统配置参数,配置接收可以实时接收下发配置或者读取离线的配置文件,实时加载到系统中,控制系统运行方式。
规则用于对流量细粒度的筛选比对,通过不同的规则来精细化分类网络流量,系统对特定协议字段流量中的VoLTE语音还原分析,并根据规则中的动作信息做出响应动作。规则解析包括规则格式校验、规则条件解析、规则动作解析、规则条件编译等阶段。
一示例中,配置规则解析过程,包括:
a.读取本地静态规则文件,逐条解析规则内容,提取过滤条件和响应动作,编译成规则树,加载进系统,每条规则包括规则ID、规则名、规则条件和响应动作;规则提取完成转至步骤(2)-b。
b.判断规则是否解析成功,规则解析成功转至步骤(3),否则系统自动打印规则解析失败信息并退出。
(3)原始流量捕获解析
原始流量捕获通过轮询机制直接将数据包从网卡映射到用户态内存空间,应用层程序直接在用户态的数据平面层获取数据,减少了CPU中断,节省了CPU中断和内存拷贝花费的时间。
一示例中,通过监听网卡实时从网卡获取流量。为了提升数据处理效率,本发明采用线程分工机制,线程分为捕获流量线程,流量处理线程和数据输出线程等,其中,线程与CPU核心绑定,提高特定线程的性能,为了减少线程访问同一内存的竞争,采用内存池分配机制,为每个线程分配独立的内存空间,每个线程分配独立的流表内存空间。
数据捕获线程根据数据包的五元组信息将数据包哈希到唯一的线程和会话流表中,从而保证同源同溯的数据包分配到同一线程和会话流表。其中,该五元组信息包括:源IP地址、源端口、目的IP地址、目的端口和传输层协议。
数据流量处理线程将获取的数据包分别在数据链路层、IP层和传输层解析。数据链路层用于根据以太网帧的协议结构,从以太网帧头提取MAC地址和上一层的协议类型等信息;IP层用于完成数据包分片重组,并还原完整的IP数据包;传输层用于提取端口等信息,并分析传输层有效载荷是否包含会话初始协议和实时传输协议。
数据输出线程主要根据配置文件里面的传输方式和传输地址,将数据包解析后生成的日志、音频等信息发送出去。
(4)会话协议解析及会话语音关联
1)会话初始协议解析
通过解析还原应用层协议,分析应用层协议中是否包含会话初始协议,识别提取会话初始协议中的实时传输协议信息,分别在上行数据包和下行数据包中提取会话初始协议协商的会话信息,包括语音通话四元组信息(源IP、目的IP、源端口、目的端口)、语音编码信息(媒体数据编码类型)和其他会话信息(会话ID、用户终端、接收与发送媒体数据的地址、支持的媒体数据编码类型列表),将会话初始协议提取的信息插入会话流表,具体提取的信息如表1。
表1会话初始协议提取信息
2)会话语音关联
会话初始协议解析,通过正向和反向流提取该会话初始协议协商的会话信息,将提取语音通话四元组信息插入语音流表;捕获到新的数据包时,先识别应用层协议是否包含会话初始协议,如果不包含会话初始协议,提取该数据包的四元组信息查询语音流表,如果查到说明是实时传输协议,提取语音信息。
一示例中,会话协议解析及会话语音关联过程,包括:
a.识别会话初始协议,通过分析应用层协议,即TCP和UDP协议的payload字段,匹配该payload字段是否包含会话初始协议的特征字段,根据会话初始协议的特征字段识别流量中是否包含会话初始协议,如果识别数据包不是会话初始协议数据包,则转至步骤(5),如果识别出数据包是会话初始协议数据包,则转至步骤(4)-b解析会话初始协议。
b.解析会话初始协议,提取会话初始协议协商的会话信息,提取语音通话四元组,会话ID,编码类型,实时传输协议使用的IP和端口等信息,提取完字段后转至步骤(4)-c。
c.判断会话是否在会话流表,通过解析会话初始协议,提取会话初始协议数据包五元组信息,使用该五元组作为KEY查询会话流表,如果没有查询到,则反转五元组的源目的IP和端口,重新查询会话流表,如果两次都没有在会话流表查询到会话信息,说明该数据包是一个新网络流中的数据包,转至步骤(4)-d,插入会话信息至会话流表;否则通过五元组信息或者反转后的五元组信息在会话流表查询到相关信息,说明该数据包所在的网络流已经存在,则转至步骤(4)-e判断会话流表是否有完整的语音通话四元组信息。
d.插入会话信息至会话流表,通过该五元组新建会话流记录插入会话流表,同时将会话初始协议提取的会话信息插入会话流表,则转至步骤(3)继续捕获数据包。
e.判断会话流表是否有完整的语音通话四元组,判断会话流表中是否已经保存有完整的会话信息,即分别从会话初始协议的上行数据包和下行数据包提取到实时传输协议使用的语音通话四元组,如果会话流表中没有完整的语音通话四元组信息,则转至步骤(3)继续捕获数据包;如果发现会话流表已经有协商好的实时传输协议使用的语音通话四元组信息,则转至步骤(4)-f,判断该四元组是否在语音流表。
f.判断该四元组是否在语音流表,使用该四元组信息作为KEY查询语音流表,如果查询不到,反转四元组信息继续查找,如果能查询到,说明会话初始协议协商的语音通话四元组信息已经建立了语音流表,则同步会话流表和语音流表中的信息,转至步骤(3)继续捕获数据包;否则说明该四元组不在语音流表,则转至步骤(4)-g插入语音信息至语音流表。
g.插入语音信息至语音流表,如果查询不到说明会话初始协议协商的语音通话四元组还没有插入到语音流表,则使用该四元组新建语音流记录插入语音流表,同时同步语音流表和会话流表中的信息,转至步骤(3)继续捕获数据包。
(5)实时传输语音协议解析
新的数据包通过查找语音流表,识别实时传输协议,提取协议中各个字段信息,具体提取信息如表2:
表2实时传输协议提取信息
一示例中,实时传输语音协议解析过程,包括:
a.识别实时传输协议,通过层层解析数据包,判断传输层是否为UDP协议,如果传输层不是UDP协议转至步骤(3)继续捕获数据包;否则提取数据包的四元组信息,使用该四元组信息作为KEY查询语音流表,如果查询不到,反转四元组信息重新查找语音流表,如果查询不到则转至步骤(3)继续捕获数据包;否则通过四元组信息或者反转后的四元组信息在语音流表查询到相关信息,说明该数据包所在的网络流已经存在语音流表,从而识别该数据包为实时传输协议,转至步骤(5)-b解析实时传输协议。
b.解析实时传输协议,提取数据包UDP协议的payload字段,解析payload中的实时传输协议信息,提取有效载荷类型、序号、时间戳,同步源标识符等信息,根据有效载荷类型查询语音编码信息,根据同步源标识符判断该数据包是否来自同一数据源,将提取的协议信息插入到语音流表中,转至步骤(6)-a判断语音数据包序列。
(6)语音信息解码还原
通过查找语音流表确定是实时传输协议,提取协议字段中的有效载荷编码类型和协议载荷信息,根据协议序列号缓存语音信息,依据乱序包丢弃和缺失包填充的原则处理乱序数据包和缺失数据包。根据协议字段中有效载荷编码类型对原始语音数据添加采样率、编码位数和通道数等信息,实时将语音原始数据转换为语音文件。系统支持的语音解码类型如表3:
表3系统支持的语音解码类型
一示例中,语音信息解码还原过程,包括:
a.判断语音数据包是否乱序,将实时传输协议中提取的序号与语音流表中同源的上个数据包的序号对比,如果是乱序则丢弃该数据包转至步骤(3)继续捕获数据包,否则转至步骤(6)-b解码还原语音信息。
b.解码还原语音信息,识别出实时传输协议,提取实时传输协议payload中的原始语音数据,根据序号重组原始语音数据并填充空缺数据包中的语音数据,同时提取有效载荷类型编号,根据有效载荷类型对应编码类型的采样率、编码位数和通道数等信息对提取出的原始语音数据进行还原和解析,将还原语音数据添加音频头数据形成语音文件,实时传送到语音识别模块中,转至步骤(7)-a进行语音分析。
(7)语音识别研判
1)文字转储与识别
通过语音识别模块将解码的音频流实时转换为文本信息,将文本信息输入到规则树中,从树根正向推理,每个节点进行分析比对,直到叶子节点。规则树是根据规则文件在规则编译阶段生成,如果文本流可以到达叶子节点说明该语音命中规则,将启动响应动作。
2)安全响应
通过分析语音文件,过滤规则树,发现语音流中是否存在规则中的关键词,如果命中规则内容,将根据规则对应的响应动作执行安全响应,留存相应的音频文件和日志,并构造一个会话初始协议的结束会话数据包,发送给会话发起方。
一示例中,语音识别研判过程,包括:
a.将还原出的语音文件,输入到语音识别模块,将语音信息识别转换为文字信息,并把生成的文字信息输入到编译生成规则树中,该规则树根据规则文件解析编译生成,在规则树中推理匹配,转至步骤(7)-b判断是否命中规则。
b.判断语音内容是否命中规则,通过将语音的文本文件输入给规则树,过滤匹配语音文件是否包含规则中的条件信息,当发现命中规则条件后,转至步骤(7)-c,做出该规则对应的响应动作;否则转至步骤(8)。
c.当语音内容命中规则条件后,根据该规则中响应动作实时做出相应动作,发送特定的“Bye”信令包中断通话,转至步骤(8)输出格式化数据。
(8)数据格式化发送
1)各类日志输出
日志主要包含系统运行状态日志、处理机状态日志、系统信息日志等,通过构造传输层报文和http接口发送日志,日志留存的字段如表4:
表4日志字段信息
| 序号 | 字段值 | 说明 |
| 1 | Call-ID | 会话ID |
| 2 | From | 主叫地址 |
| 3 | To | 被叫地址 |
| 4 | S-IP-Calling | 主叫会话地址 |
| 5 | S-Port-Calling | 主叫会话端口 |
| 6 | S-IP-Called | 被叫会话地址 |
| 7 | S-Port-Called | 被叫会话端口 |
| 8 | C-IP-Calling | 主叫通话地址 |
| 9 | C-Port-Calling | 主叫通话端口 |
| 10 | C-IP-Called | 被叫通话地址 |
| 11 | C-Port-Called | 被叫通话端口 |
| 12 | User-Agent-Calling | 主叫客户端 |
| 13 | User-Agent-Called | 被叫客户端 |
| 14 | RTP/AVP-Calling | 主叫编码列表 |
| 15 | RTP/AVP-Called | 被叫编码列表 |
| 16 | Payload-Type | 通话编码类型 |
| 17 | Bye-From | 挂断发起地址 |
| 18 | Duration | 会话持续时间 |
2)原始文件落盘
根据不同有效载荷编码类型对应的采样频率、编码位数和通道数,给原始音频文件添加不同格式的音频文件头,将原始音频文件转换为可以直接播放的音频文件存储本地磁盘。
一示例中,将系统运行的状态日志、处理机日志和系统信息等日志通过日志接口模块发送到日志处理系统,主要包含会话ID、客户端类型、通话时间、通话IP地址等信息。并将还原的音频文件添加对应的扩展名,将生成音频文件存储到本地,形成可直接播放的音频文件。
综上所述,本发明能够在高速骨干网络环境中,实时高效捕获数据口的LTE移动网流量,快速检测还原流量中的VoLTE语音信息,并对实时还原的语音信息进行分析,研判是否有电信广告推销行为,并实时做出切断语音的响应动作。实验表明,本发明支持对已知的20余种语音编码格式的音频文件进行解码分析,并转换为可以直接播放的语音文件。
基于同一发明构思,本发明还公开了一种面向网络流量的实时VoLTE语音还原装置,包括:
构建模块,用于构建语音流表;所述语音流表包括:会话初始协议协商的四元组信息、语音编码信息和其他会话信息;
捕获模块,用于在网络流量中,捕获原始流量数据包;
判断模块,用于据所述数据包的应用层协议和语音流表,判断所述数据包是否包含实时传输协议;
还原模块,用于在所述数据包包含实时传输协议的情况下,获取与该数据包同源且包含实时传输协议的数据包,并基于所有数据包的实时传输协议中的payload字段,进行语音文件还原。
上述实时VoLTE语音还原装置的各个实施例的具体处理及其带来的技术效果,可分别参考上述方法实施例中的相关说明,在此不再赘述。
基于同一发明构思,本发明还公开了一种面向网络流量的实时VoLTE语音检测装置,如图2所示,包括:
生成模块,用于基于配置的检测规则,生成规则树;
构建模块,用于构建语音流表;所述语音流表包括:会话初始协议协商的四元组信息、语音编码信息和其他会话信息;
捕获模块,用于在网络流量中,捕获原始流量数据包;
判断模块,用于据所述数据包的应用层协议和语音流表,判断所述数据包是否包含实时传输协议;
还原模块,用于在所述数据包包含实时传输协议的情况下,获取与该数据包同源且包含实时传输协议的数据包,并基于所有数据包的实时传输协议中的payload字段,进行语音文件还原。
转换模块,用于将所述语音文件转换为文本信息;
检测模块,用于将所述文本信息输入所述规则树,并在所述文本信息命中所述规则条件的情况下,执行对应的响应动作。
同样的,上述实时VoLTE语音检测装置的各个实施例的具体处理及其带来的技术效果,可分别参考上述方法实施例中的相关说明,在此不再赘述。
基于同一发明构思,本发明的另一实施例提供一种电子装置(计算机、服务器、智能手机等),其包括存储器和处理器,所述存储器存储计算机程序,所述计算机程序被配置为由所述处理器执行,所述计算机程序包括用于执行本发明方法中各步骤的指令。
基于同一发明构思,本发明的另一实施例提供一种计算机可读存储介质(如ROM/RAM、磁盘、光盘),所述计算机可读存储介质存储计算机程序,所述计算机程序被计算机执行时,实现本发明方法的各个步骤。
尽管为说明目的公开了本发明的具体实施流程和实例附图,其目的在于帮助理解本发明的内容并据以实施,但是本领域的技术人员可以理解:在不脱离本发明及所附的权利要求的精神和范围内,各种替换、变化和修改都是可能的。因此,本发明不应局限于所展示实施流程和实例附图所公开的内容。
Claims (10)
1.一种面向网络流量的实时VoLTE语音文件还原方法,其特征在于,所述方法包括:
构建语音流表;所述语音流表包括:会话初始协议协商的四元组信息、语音编码信息、语音数据包序号和其他会话信息;
在网络流量中,捕获传输层协议是UDP协议的数据包;
根据所述数据包的应用层协议和语音流表,判断所述数据包是否包含实时传输协议;
在所述数据包包含实时传输协议的情况下,获取与该数据包同源且包含实时传输协议的数据包,并基于所有数据包的实时传输协议中的payload字段,进行语音文件还原。
2.如权利要求1所述的方法,其特征在于,所述构建语音流表,包括:
在网络流量中,捕获传输层协议是TCP和UDP协议的数据包;
解析并还原数据包的应用层协议;
分析所述应用层协议中是否包含会话初始协议;
在所述应用层协议中包含会话初始协议的情况下,基于会话初始协议协商的会话信息,提取语音通话中实时传输协议使用的四元组信息、会话ID、编码类型;其中,所述四元组信息包括:源IP、源端口、目的IP和目的端口;
提取会话初始协议的五元组信息,使用五元组信息或反转后五元组信息查询会话流表;
未在会话流表中查询到会话信息的情况下,将所述五元组信息插入会话流表,并返回至所述在网络流量中,捕获传输层协议是TCP和UDP协议的数据包;
在会话流表中查询到会话信息的情况下,判断会话流表是否有完整的实时传输协议使用的四元组信息;
在会话流表没有完整的实时传输协议使用的四元组信息的情况下,返回至所述在网络流量中,捕获传输层协议是TCP协议和UDP协议的数据包;
在会话流表有完整的实时传输协议使用的四元组信息的情况下,使用该四元组信息和反转四元组信息查询语音流表;
未在语音流表中查询到四元组信息的情况下,将四元组信息插入语音流表,并返回至所述在网络流量中,捕获传输层协议是TCP协议和UDP协议的数据包;
在语音流表中查询到语音信息的情况下,返回至所述在网络流量中,捕获传输层协议是TCP协议和UDP协议的数据包。
3.如权利要求1所述的方法,其特征在于,所述在网络流量中,捕获传输层协议是UDP协议的数据包,包括:
捕获网络流量中的数据包;
对所述数据包进行隧道剥离和分片重组之后,进行ETH层、IP层、TCP/UDP层的解析,判断所述数据包的传输层协议是否为UDP协议的数据包。
4.如权利要求1所述的方法,其特征在于,所述根据所述数据包的应用层协议和语音流表,判断所述数据包是否包含实时传输协议,包括:
解析并还原所述数据包的应用层协议;
分析所述应用层协议中是否包含会话初始协议;
在所述应用层协议中不包含会话初始协议的情况下,提取所述数据包的四元组信息,所述四元组信息包括:源IP、源端口、目的IP和目的端口;
使用所述四元组信息和反转四元组信息作为KEY查询语音流表;
在语音流表中未获取相关信息的情况下,则认为该数据包不包括实时传输协议,丢弃该数据包;
在语音流表中获取相关信息的情况下,判断所述数据包是包含实时传输协议的数据包。
5.如权利要求1所述的方法,其特征在于,所述语音编码信息包括:媒体数据编码类型,所述其他会话信息包括:会话ID、用户终端、接收与发送媒体数据的地址和支持的媒体数据编码类型列表。
6.如权利要求1所述的方法,其特征在于,所述在所述数据包包含实时传输协议的情况下,获取与该数据包同源且包含实时传输协议的数据包,并基于所有数据包的实时传输协议中的payload字段,进行语音文件还原,包括
在所述数据包包含实时传输协议的情况下,解析所述UDP协议的payload字段中的实时传输协议信息,并提取所述UDP协议的payload字段中的原始语音数据;所述实时传输协议信息包括:有效载荷类型、序号和同步源标识符;
基于所述同步源标识符,获取该数据包的同源数据包;
将所述数据包与所述同源数据包进行序号比对;
在比对结果显示所述数据包的序号为乱序的情况下,丢弃该数据包;
在比对结果显示所述数据包的序号正常的情况下,构建包含所述数据包与所述同源数据包的数据包集合;
针对数据包集合中每一数据包,提取所述实时传输协议的payload字段中的原始语音数据;
根据序号重组所述原始语音数据,且填充空缺数据包中的原始语音数据;
根据有效载荷类型对应编码类型的采样率、编码位数和通道数,对所述原始语音数据进行还原和解析后,添加音频头数据,以得到还原后的语音文件。
7.如权利要求1-6任一项所述的方法,其特征在于,所述在网络流量中,捕获传输层协议是UDP协议的数据包之前,还包括:初始化硬件和初始化软件;其中,所述硬件包括:网卡、CPU核和内存,所述软件包括:软件主句柄、日志模块、配置管理模块、插件模块、会话流表和语音流表和通信队列。
8.一种面向网络流量的实时VoLTE语音文件还原装置,其特征在于,所述装置包括:
构建模块,用于构建语音流表;所述语音流表包括:会话初始协议协商的四元组信息、语音编码信息和其他会话信息;
捕获模块,用于在网络流量中,捕获原始流量数据包;
判断模块,用于据所述数据包的应用层协议和语音流表,判断所述数据包是否包含实时传输协议;
还原模块,用于在所述数据包包含实时传输协议的情况下,获取与该数据包同源且包含实时传输协议的数据包,并基于所有数据包的实时传输协议中的payload字段,进行语音文件还原。
9.一种面向网络流量的实时VoLTE语音文件检测方法,其特征在于,所述方法包括:
基于配置的检测规则,生成规则树;其中,每一检测规则包含一规则条件,且对应于一响应动作;
基于权利要求1-7项的任一方法,还原语音文件;
将所述语音文件转换为文本信息;
将所述文本信息输入所述规则树,并在所述文本信息命中所述规则条件的情况下,执行对应的响应动作。
10.一种面向网络流量的实时VoLTE语音文件检测装置,其特征在于,所述装置包括:
生成模块,用于基于配置的检测规则,生成规则树;
构建模块,用于构建语音流表;所述语音流表包括:会话初始协议协商的四元组信息、语音编码信息和其他会话信息;
捕获模块,用于在网络流量中,捕获原始流量数据包;
判断模块,用于据所述数据包的应用层协议和语音流表,判断所述数据包是否包含实时传输协议;
还原模块,用于在所述数据包包含实时传输协议的情况下,获取与该数据包同源且包含实时传输协议的数据包,并基于所有数据包的实时传输协议中的payload字段,进行语音文件还原。
转换模块,用于将所述语音文件转换为文本信息;
检测模块,用于将所述文本信息输入所述规则树,并在所述文本信息命中所述规则条件的情况下,执行对应的响应动作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310085077.2A CN116233317A (zh) | 2023-01-19 | 2023-01-19 | 面向网络流量的实时VoLTE语音还原、检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310085077.2A CN116233317A (zh) | 2023-01-19 | 2023-01-19 | 面向网络流量的实时VoLTE语音还原、检测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116233317A true CN116233317A (zh) | 2023-06-06 |
Family
ID=86568998
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310085077.2A Pending CN116233317A (zh) | 2023-01-19 | 2023-01-19 | 面向网络流量的实时VoLTE语音还原、检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116233317A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118432941A (zh) * | 2024-07-02 | 2024-08-02 | 北京长亭科技有限公司 | 网络加密流量检测方法、装置、电子设备及存储介质 |
-
2023
- 2023-01-19 CN CN202310085077.2A patent/CN116233317A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118432941A (zh) * | 2024-07-02 | 2024-08-02 | 北京长亭科技有限公司 | 网络加密流量检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106815112B (zh) | 一种基于深度包检测的海量数据监控系统及方法 | |
| CN102413141B (zh) | 网络消息解析方法及通信设备 | |
| CN108306832B (zh) | 一种网络流量分流方法及装置 | |
| CN106972985B (zh) | 加速dpi设备数据处理与转发的方法和dpi设备 | |
| CN109274522B (zh) | 一种oam信息的处理方法、装置、设备及存储介质 | |
| CN110768875A (zh) | 一种基于dns学习的应用识别方法及系统 | |
| CN112672381B (zh) | 一种数据关联方法、装置、终端设备及介质 | |
| CN101287010A (zh) | 识别和验证消息协议类型的方法和装置 | |
| CN109669795A (zh) | 崩溃信息处理方法及装置 | |
| CN102546363A (zh) | 一种报文处理方法、装置及设备 | |
| CN116233317A (zh) | 面向网络流量的实时VoLTE语音还原、检测方法和装置 | |
| CN109067860B (zh) | 一种移动端消息处理方法及相关装置 | |
| CN101605075B (zh) | 一种基于sip的ip电话故障告警方法及装置 | |
| CN114553730B (zh) | 一种应用识别方法、装置、电子设备及存储介质 | |
| CN115499230A (zh) | 网络攻击检测方法和装置、设备及存储介质 | |
| CN113708990B (zh) | 一种用于数据包的抓包及解包的方法及设备 | |
| CN114598597A (zh) | 多源日志解析方法、装置、计算机设备及介质 | |
| CN110502631B (zh) | 一种输入信息响应方法、装置、计算机设备和存储介质 | |
| CN115865457A (zh) | 一种网络攻击行为的识别方法、服务器及介质 | |
| CN111198855A (zh) | 日志数据的处理方法和装置 | |
| CN110691164A (zh) | 一种基于手机终端实现应急广播的方法及系统 | |
| CN115801927A (zh) | 报文解析方法及装置 | |
| US9325743B2 (en) | Information processing apparatus, method, and program | |
| CN112466283B (zh) | 一种协同软件语音识别系统 | |
| CN111063347B (zh) | 实时语音识别方法、服务端及客户端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |