DE102006012658A1 - Verfahren und Vorrichtung zur Erkennung von Spam over Internet Telephony-Nachrichten versendenden Teilnehmern, abgekürzt SPIT-Versender, in einem IP-Kommunikationsnetzwerk - Google Patents

Verfahren und Vorrichtung zur Erkennung von Spam over Internet Telephony-Nachrichten versendenden Teilnehmern, abgekürzt SPIT-Versender, in einem IP-Kommunikationsnetzwerk Download PDF

Info

Publication number
DE102006012658A1
DE102006012658A1 DE200610012658 DE102006012658A DE102006012658A1 DE 102006012658 A1 DE102006012658 A1 DE 102006012658A1 DE 200610012658 DE200610012658 DE 200610012658 DE 102006012658 A DE102006012658 A DE 102006012658A DE 102006012658 A1 DE102006012658 A1 DE 102006012658A1
Authority
DE
Germany
Prior art keywords
subscriber
participant
statistical value
participants
spit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE200610012658
Other languages
English (en)
Inventor
Joachim Dr. Charzinski
Ralf Holynski
Norbert Huffschmid
Christof STÖRMANN
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE200610012658 priority Critical patent/DE102006012658A1/de
Priority to PCT/EP2007/052310 priority patent/WO2007107473A1/de
Publication of DE102006012658A1 publication Critical patent/DE102006012658A1/de
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/42Systems providing special services or facilities to subscribers
    • H04M3/436Arrangements for screening incoming calls, i.e. evaluating the characteristics of a call before deciding whether to answer it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/38Graded-service arrangements, i.e. some subscribers prevented from establishing certain connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/006Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Gegenstand der Erfindung sind ein Verfahren und eine Vorrichtung zur Erkennung von Spam over Internet Telephony-Nachrichten versendenden Teilnehmern, abgekürzt SPIT-Versender, in einem IP-Kommunikationsnetzwerk mit einer Vielzahl von durch einen ersten Teilnehmer (A) an eine Vielzahl weiterer Teilnehmer gerichteten Kommunikationsverbindungen, wobei zu den Kommunikationsverbindungen gehörender Signalisierverkehr beobachtet wird. Auf der Grundlage des beobachteten Signalisierverkehrs wird ein statistischer Wert hinsichtlich einer Wahrscheinlichkeit dafür ermittelt, dass es sich bei dem ersten Teilnehmer (A) um einen SPIT-Versender und bei den Kommunikationsverbindungen um SPIT-Kommunikationsverkehr handelt.

Description

  • Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Erkennung von Spam over Internet Telephony-Nachrichten versendenden Teilnehmern, abgekürzt SPIT-Versender, in einem IP-Kommunikationsnetzwerk, basierend auf einer Beobachtung von zu Kommunikationsverbindungen gehörigem Signalisierverkehr.
  • Der Begriff „Spamming" bezeichnet die massenweise Versendung unerwünschter Nachrichten („Spam"). Begünstigt wird „Spamming" durch den einfachen und günstigen Zugang zu elektronischen Medien, die in der Regel bei geringem Zeit- und Kostenaufwand den Versand von Nachrichten an eine große Zahl von Empfängern ermöglichen. Der Inhalt derartiger „Spam"-Nachrichten ist häufig kommerzieller Art, wobei vor allem „Spam" zweifelhaften Inhalts überwiegt. Eine sehr bekannte Form von „Spam" ist der massenhafte Versand von E-Mails zu Werbezwecken. Neben E-Mail-„Spam" existieren weitere Formen wie zum Beispiel „Spam" bezüglich Instant Messaging, Usenet newsgroups, WWW-Suchmaschinen, Weblogs oder Mobilfunk.
  • Wie schon erwähnt wird „Spam" dadurch begünstigt, dass den Verursachern, zum Beispiel Werbetreibenden, nahezu keine effektiven Kosten abgesehen von der Verwaltung entsprechender E-Mail-Adressenlisten durch das „Spamming" entstehen. Neben den offensichtlichen Nachteilen, die durch den Versand unerwünschter Nachrichten für die jeweiligen Empfänger entstehen, verursacht „Spamming" mittlerweile hohe Kosten, die von der Allgemeinheit zu tragen sind. Dies sind zum einen indirekte Kosten, die zum Beispiel durch Produktivitätsverlust oder überfüllte elektronische Briefkästen entstehen. Schwerwiegender sind noch die Kosten, die von den jeweils betroffenen Infrastrukturanbietern, zum Beispiel Internet Service-Providern (ISP), entstehen: Häufig ist eine Aufstockung der Bandbreitenkapazitäten notwendig, da die vorhandenen Bandbreiten nicht mehr ausreichen, um die Flut von „Spams" zu bewältigen.
  • Obwohl „Spamming" von der Allgemeinheit geächtet ist und die Rechtslage in Deutschland und anderen Ländern derzeit angepasst wird, nimmt das „Spamming" eher noch zu, da die Hürde für diese Art des Nachrichtenversandes sehr gering ist.
  • Mit der zunehmenden Verbreitung der Internettelefonie (Voice over IP, kurz VoIP) wird erwartet, dass VoIP-Teilnehmer in zunehmendem Ausmaß sogenanntem SPIT (SPAM over Internet Telephony) ausgesetzt sein werden. Derzeit werden Werbeanrufe zu konventionellen PSTN-Teilnehmern (PSTN für Public Switched Telephone Network) normalerweise immer zu Lasten des Anrufenden vergebührt. Anrufe zu VoIP-Teilnehmern können hingegen aufgrund des abweichenden Vergebührungsmodells für den Anrufenden nahezu kostenfrei geführt werden, was ein massives SPIT-Aufkommen für die Zukunft erwarten lässt. Insbesondere die Möglichkeit, aufgezeichnete Sprachdateien in Massen zu versenden, dürfte für Werbetreibende interessant sein. Es ist davon auszugehen, dass die betroffenen VoIP-Teilnehmer ihren jeweiligen VoIP-Provider zu geeigneten Maßnahmen auffordern werden, um vor unerwünschten Anrufen geschützt zu sein.
  • Während im PSTN Verbindungen leitungsvermittelt sind beziehungsweise im Mobilfunk eine Identifizierung über die SIM-Karte des Anrufenden vorgenommen werden kann, ist eine Identifizierung eines Anrufers in der IP-Telefonie problematisch: Die Kommunikation zwischen zwei Teilnehmern erfolgt hier nur noch virtuell von Endpunkt zu Endpunkt, da es sich um paketvermittelte Verbindungen handelt.
  • Als Gegenmaßnahme gegen SPIT werden unter anderem so genannte Weiße Listen (englisch: White lists) und/oder Schwarze Listen (englisch: Black lists) eingesetzt. Eine Weiße Liste enthält für einen Teilnehmer X teilnehmerspezifische Informationen zu solchen anderen Teilnehmern Y im Kommunikationsnetz, die als vertrauenswürdig eingestuft wurden und somit berechtigt sind, Teilnehmer X anzurufen. Eine Schwarze Liste enthält die gleichen teilnehmerspezifische Informationen wie eine Weiße Liste, jedoch werden in einer Schwarzen Liste vertrauensunwürdige Teilnehmer eingetragen, deren Anrufe grundsätzlich automatisch abgewiesen werden.
  • Derartige Weiße und Schwarze Listen bieten jedoch keinen Schutz vor SPIT, wenn ein SPIT-Verursacher beispielsweise seine Absenderadresse fälscht, indem er beispielsweise eine Absenderadresse aus der Weißen Liste des angerufenen Teilnehmers X missbräuchlich als seine Absenderadresse verwendet. Zudem ist die Pflege derartiger Listen sehr aufwändig, da SPIT-Verursacher häufig ihre Absenderadressen wechseln.
    •
  • Die Aufgabe der Erfindung besteht darin, ein Verfahren und eine Vorrichtung zur Erkennung von Spam over Internet Telephony-Nachrichten versendenden Teilnehmern, abgekürzt SPIT-Versender, in einem IP-Kommunikationsnetzwerk, auszugestalten, wobei die Erkennung von SPIT-Versendern durch Beobachtung von zu Kommunikationsverbindungen gehörigem Signalisierverkehr erfolgt.
  • Diese Aufgabe wird durch die Merkmale des Patentanspruchs 1 hinsichtlich des Verfahrens durch die Merkmale des Patentanspruchs 20 hinsichtlich der Vorrichtung gelöst. Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen angegeben.
  • Gegenstand der Erfindung ist ein Verfahren zur Erkennung von Spam over Internet Telephony-Nachrichten versendenden Teilnehmern, abgekürzt SPIT-Versender, in einem IP-Kommunikationsnetzwerk mit einer Vielzahl von durch einen ersten Teilnehmer an eine Vielzahl weiterer Teilnehmer ge richteten Kommunikationsverbindungen, wobei zu den Kommunikationsverbindungen gehörender Signalisierverkehr beobachtet wird. Auf der Grundlage des beobachteten Signalisierverkehrs wird ein statistischer Wert hinsichtlich einer Wahrscheinlichkeit dafür ermittelt, dass es sich bei dem ersten Teilnehmer um einen SPIT-Versender und bei den Kommunikationsverbindungen um SPIT-Kommunikationsverkehr handelt, ermittelt.
  • Weiterhin betrifft die Erfindung eine Vorrichtung zur Ausführung des dargestellten Verfahrens.
  • Die Erfindung bringt den Vorteil mit sich, dass der Empfang unerwünschter Nachrichten erheblich reduziert wird.
    •
  • Ein Ausführungsbeispiel der Erfindung ist in den Zeichnungen dargestellt und wird im folgenden näher beschrieben.
  • Es zeigen:
  • 1: Kommunikationsnetzwerk mit Teilnetzwerken N1, N2 mit Beobachtungsvorrichtung K1, Bewertungsvorrichtung K2 und Proxysystem K3, Betrieb der Beobachtungsvorrichtung K1 an einer Schnittstelle zwischen den Teilnetzwerken N1, N2
  • 2: Kommunikationsnetzwerk mit Teilnetzwerken N1, N2 mit Beobachtungsvorrichtung K1, Bewertungsvorrichtung K2 und Proxysystem K3, Betrieb der Beobachtungsvorrichtung K1 an dem Proxysystem K3
  • 3: Grafische Darstellung der SPIT-Wahrscheinlichkeit in Abhängigkeit von der Anzahl unterschiedlicher Tag-Werte einer SIP-Nachricht und der Anzahl beobachteter Kommunikationsverbindungen
  • 4: Auswertung der Anzahl gleichzeitig bestehender Kommunikationsverbindungen für einen Teilnehmer
  • 5: Tabelle mit einer Auswertung von B-terminated calls
  • 6: Ablaufdiagramm für die Zuordnung von Nachrichten zu Kommunikationsverbindungen und die Aktualisierung der Datenbankeinträge
  • 7: Eine Auswertung der SPIT-Wahrscheinlichkeit für einen Teilnehmer
  • In 1 ist ein Beispiel für ein Kommunikationsnetzwerk mit zwei Teilnetzwerken N1, N2 sowie einer Beobachtungsvorrichtung K1, vorzugsweise einem SIP-Sniffer zur Beobachtung von SIP-Nachrichten, und einer Bewertungsvorrichtung K2 dargestellt. Weiterhin zeigt 1 ein Proxysystem K3. Im dargestellten Szenario wird der SIP-Sniffer an einer Schnittstelle zwischen den Teilnetzwerken N1, N2 betrieben.
  • Ein Sniffer ist eine Vorrichtung mit Mitteln zum Beobachten, das heißt insbesondere Empfangen, Aufzeichnen, Darstellen und/oder Auswerten eines Kommunikationsverkehrs in einem Kommunikationsnetzwerk. In dem in 1 dargestellten Szenario handelt es sich um einen SIP-Sniffer zur Beobachtung von SIP-basiertem Kommunikationsverkehr, insbesondere Signalisierverkehr bestehend aus SIP-Datenpaketen.
  • Die hier dargestellte Ausprägung der Erfindung stellt hinsichtlich des zugrunde liegenden Kommunikationsprotokolls nur eine mögliche Ausprägung dar. Neben dem hier zugrunde gelegten Session Internet Protocol, kurz SIP, sind andere Varianten denkbar wie beispielsweise H.248, H.323 oder Media Gateway Control Protocol.
  • 2 zeigt ein ähnliches Kommunikationsnetzwerk wie 1 mit dem Unterschied, dass die Beobachtungsvorrichtung K1 an dem Proxysystem K3 betrieben wird.
  • Die in 1 und 2 dargestellten Szenarien stellen nur zwei Ausprägungen eines Kommunikationsnetzwerkes zur Ausführung des erfindungsgemäßen Verfahrens dar. Weitere Ausprägungen sind möglich.
  • Das erfindungsgemäße Verfahren beobachtet den aus SIP-Datenpaketen bestehenden Signalisierverkehr beispielsweise auf einer Leitung oder an mehreren Stellen im Kommunikationsnetzwerk. Im Zuge der Verfahrens wird auf der Grundlage des beobachteten Signalisierverkehrs ein statistischer Wert hinsichtlich einer Wahrscheinlichkeit dafür ermittelt, dass es sich bei einem Teilnehmer um einen SPIT-Versender handelt. Der statistische Wert wird im Zuge einer Berechnung einer Mehrzahl von Merkmalen ermittelt. Die Beobachtung des Signalisierverkehrs lässt Rückschlüsse auf das Teilnehmerverhalten des Teilnehmers zu, wodurch der Teilnehmer beispielsweise als SPIT-verursachender Teilnehmer erkennbar ist.
  • In einer Ausprägung der Erfindung werden Teilnehmer- und Verbindungs bezogene Daten und/oder der jeweils berechnete statistische Wert gespeichert, vorzugsweise in einer Datenbank.
  • Im folgenden werden die Merkmale beschrieben, die auf Basis des beobachteten Signalisierverkehrs berechnet werden. Für die beschriebene Merkmale gilt, dass ein erster Teilnehmer A eine Vielzahl von Verbindungsanfragen an eine Vielzahl weiterer Teilnehmer sendet. Zu diesen Verbindungsanfragen gehörende sowie zu im Zuge daraufhin zustande kommender Kommunikationsverbindungen gehörende SIP-Datenpakete werden von dem SIP-Sniffer K1 beobachtet und in Hinblick auf das betreffende Merkmal ausgewertet.
  • Ein erstes Merkmal ist für den Fall einer im Zuge der Verbindungsanfrage des ersten Teilnehmers A signalisierten Netzbetreiber-bestätigten Identität, englisch provider asserted identity, des ersten Teilnehmers A auf der Basis eines Vergleichs zwischen einer im Zuge der Verbindungsanfrage signalisierten Identitätsangabe und einer in Teilnehmer- und Verbindungs bezogenen Daten bezüglich des ersten Teilnehmers A gespeicherten Liste bekannter Identitätsangaben berechenbar: Wenn der erste Teilnehmer A die Verbindungsanfrage auslöst und die Bewertungsvorrichtung K2 eine Netzbetreiberbestätigte Identität in einer zu der Verbindungsanfrage gehörenden SIP-INVITE-Nachricht identifiziert, wird ein Datenbankeintrag in der Datenbank eingerichtet, der die Netzbetreiber-bestätigte Identität mit einer in einem From-Header der SIP-INVITE-Nachricht enthaltenen Identitätsangabe bezüglich des ersten Teilnehmers A verknüpft. Der Datenbankeintrag kann eine Liste von Identitätsangaben zu dem ersten Teilnehmer A enthalten. Wenn in einer zu einer späteren Verbindungsanfrage gehörenden SIP-INVITE-Nachricht die gleiche Netzbetreiber-bestätigte Identität identifiziert wird, wird die Liste von Identitätsangaben in dem Datenbankeintrag um eventuelle neue Einträge aus dem From-Header der betreffenden SIP-INVITE-Nachricht ergänzt. Im Zuge regelmäßiger Auswertungen ist die Anzahl unterschiedlicher Identitäten entsprechend den jeweiligen Angaben aus den From-Headern zu der Netzbetreiber-bestätigten Identität feststellbar. Eine geringe Anzahl von beobachteten, auf Angaben aus den From-Headern basierenden Identitäten für eine Netzbetreiber-bestätigte Identität (in der Regel genau eine) lässt auf einen normalen Teilnehmer schließen, während eine größere Anzahl von beobachteten, auf Angaben aus den From-Headern basierenden Identitäten für eine Netzbetreiber-bestätigte Identität (beispielsweise mehr als fünf) ein Indiz dafür sein kann, dass ein SPIT-verursachender Teilnehmer versucht, fremde Identitäten vorzuspiegeln und dadurch eine Verfolgung zu erschweren.
  • Ein zweites Merkmal zur Ermittlung des statistisches Wertes ist auf der Basis einer Auswertung von im Zuge der Verbindungsanfrage des ersten Teilnehmers A signalisierten, die Identitätsangabe ergänzenden Attribute hinsichtlich einer Variabilität der Attribute bezüglich einer Mehrzahl von zeitlich vor der Verbindungsanfrage erfolgten früheren Verbindungsanfragen berechenbar: Wenn der erste Teilnehmer A die Verbindungsanfrage auslöst, wird ein Datenbankeintrag in der Datenbank eingerichtet, der die im From-Header der zu der Verbindungsanfrage gehörenden SIP-INVITE-Nachricht enthaltene Identitätsangabe bezüglich des ersten Teilnehmers A speichert. Weiterhin wird in dem Datenbankeintrag eine Liste von an den From-Header angehängten Tag-Werten gespeichert. Im Zuge regelmäßiger Auswertungen ist die Anzahl unterschiedlicher Tag-Werte pro From-Header für ein wählbares Zeitintervall feststellbar. Da entsprechend dem Session Initiation Protocol für jede Verbindungsanfrage ein neuer Tag-Wert für den jeweiligen From-Header verwendet werden muss, sollte die Anzahl beobachteter Tag-Werte pro From-Header für den ersten Teilnehmer A der Anzahl der beobachteten Verbindungsanfragen entsprechen. Falls die Anzahl der Tag-Werte geringer ist als die Anzahl beobachteter Verbindungsanfragen, kann dies beispielsweise als Hinweis auf einen nicht standardkonformen Software-Client dienen. Da ein SPIT-verursachender Teilnehmer, insbesondere für den Falle eines per Internet-Wurm oder -Trojaner verteilten Software-Clients, vorzugsweise eine minimalisierte Software-Lösung implementiert, kann eine geringe Anzahl von Tag-Werten als Hinweis auf einen SPIT-Verursacher dienen.
  • In 3 ist eine grafische Darstellung der SPIT-Wahrscheinlichkeit in Abhängigkeit von der Anzahl unterschiedlicher Tag-Werte und der Anzahl beobachteter Anrufe dargestellt. Die y-Achse gibt den statistischen Wert für die SPIT-Wahrscheinlichkeit eines Teilnehmers an, auf der x-Achse ist der Quotient aus der Anzahl unterschiedlicher Tag-Werte eines From-Headers NFT (für number of From tags) und der Anzahl von Verbindungsanfragen des betreffenden Teilnehmers NR (für number of calls) aufgetragen. Die in Figur abgebildete Kurve stellt nur eine mögliche Kurve für die SPIT-Wahrscheinlichkeit in Abhängigkeit von der Anzahl unterschiedlicher Tag-Werte und der Anzahl beobachteter Anrufe dar. Weitere Ausprägungen der Kurve sind möglich, beispielsweise ist eine nicht-lineare oder abschnittweise lineare Kurve denkbar.
  • Ein drittes Merkmal zur Ermittlung des statistisches Wertes ist auf der Basis einer Auswertung einer im Zuge der Verbindungsanfrage des ersten Teilnehmers A signalisierten Verbindungs-Identifikationsnummer hinsichtlich einer Variabilität der Verbindungs-Identifikationsnummer bezüglich einer Mehrzahl von zeitlich vor der Verbindungsanfrage erfolgten früheren Verbindungsanfragen berechenbar: Wenn der erste Teilnehmer A die Verbindungsanfrage auslöst, wird ein Datenbankeintrag in der Datenbank eingerichtet, der die im From-Header der zu der Verbindungsanfrage gehörenden SIP-INVITE-Nachricht enthaltene Identitätsangabe bezüglich des ersten Teilnehmers A speichert. Weiterhin wird in dem Datenbankeintrag eine Liste von Verbindungs-Identifikationsnummern gespeichert. Im Zuge regelmäßiger Auswertungen ist die Anzahl unterschiedlicher Verbindungs-Identifikationsnummern für den ersten Teilnehmer A und für ein wählbares Zeitintervall feststellbar. Da entsprechend dem Session Initiation Protocol für jede Verbindungsanfrage eine neue Verbindungs-Identifikationsnummer verwendet werden muss, sollte die Anzahl beobachteter, unterschiedlicher Verbindungs-Identifikationsnummern der Anzahl der beobachteten Verbindungsanfragen entsprechen. Falls die Anzahl der unterschiedlichen Verbindungs-Identifikationsnummern geringer ist als die Anzahl beobachteter Verbindungsanfragen, kann dies beispielsweise als Hinweis auf einen nicht standardkonformen Software-Client dienen. Da ein SPIT-verursachender Teilnehmer, insbesondere für den Falle eines per Internet-Wurm oder -Trojaner verteilten Software-Clients, vorzugsweise eine minimalisierte Software-Lösung implementiert, kann eine geringe Anzahl von unterschiedlichen Verbindungs-Identifikationsnummern als Hinweis auf einen SPIT-Verursacher dienen.
  • Ein viertes Merkmal zur Ermittlung des statistisches Wertes ist auf der Basis einer Auswertung einer maximalen Anzahl von gleichzeitig während eines Zeitintervalls bestehenden Kommunikationsverbindungen des ersten Teilnehmers A berechenbar: Die maximale Anzahl gleichzeitig bestehender Kommunikations verbindungen wird aus der Beobachtung aller dem ersten Teilnehmer A zuzuordnenden Signalisierungsnachrichten ermittelt. 4 zeigt beispielhaft eine mögliche Auswertung der Anzahl gleichzeitig bestehender Kommunikationsverbindungen des ersten Teilnehmers A über die Zeit. Entscheidend für die Auswertung sind SIP-Nachrichten INVITE, BYE und CANCEL, die Beginn und Ende einer Kommunikationsverbindung kennzeichnen. Auf der y-Achse des in 4 abgebildeten Diagramms ist die Anzahl gleichzeitig bestehender Kommunikationsverbindungen NC (für number of calls) aufgetragen, auf der x-Achse ist die Zeit t aufgetragen.
  • Ein fünftes Merkmal zur Ermittlung des statistisches Wertes ist auf der Basis einer Auswertung von im Zuge der Verbindungsanfrage signalisierten Informationen bezüglich senderseitig unterstützter Codierungsverfahren berechenbar: Im SDP-Teil einer SIP-INVITE-Nachricht wird beschrieben, welche Codierungsverfahren der Sender unterstützt. Charakteristisch für einen SPIT-verursachenden Teilnehmer, der zur Performance-Steigerung des Absendersystems eine SPIT darstellende Sprachnachricht nicht beim Absenden codiert, sondern diese in Form von vorgefertigten RTP-Pakete zur Versendung vorrätig hält, ist die Unterstützung eines einzigen Codecs, nämlich desjenigen, mit dem die vorgefertigten RTP-Pakete erzeugt wurden. In der Regel wird ein SPIT-verursachender Teilnehmer für die vorgefertigten RTP-Pakete einen niederratigen Codec einsetzen, um möglichst viele Kommunikationsverbindungen gleichzeitig aufbauen zu können. Daher können in den zu den jeweiligen Kommunikationsverbindungen gehörenden SIP-Nachrichten vorhandene Codec-Listen mit nur einer Codec-Angabe zu einem Codec, der zudem besonders niederratig ist, als Indiz für eine SPIT-Nachricht verwendet werden. Dieses Indiz muss aber mit dem üblichen Verhalten gängiger Endgeräte verglichen werden, damit nicht auch ein ein typisches niederratiges Endgerät, beispielsweise ein Mobiltelefon, verwendender Teilnehmer fälschlicherweise bereits aufgrund der Codec-Liste als SPIT-verursachender Teilnehmer klassifiziert wird. Dieses fünfte Merkmal bietet den Vorteil, dass es sich auch zur Erkennung von SPIT-Nachrichten von zuvor unbekannten Teilnehmern eignet, wenn beispielsweise die Codec-Liste ein einer neuen INVITE-Nachricht eines bisher unbekannte Teilnehmers als kennzeichnend für SPIT-verursachende Teilnehmer erkannt wird.
  • Ein sechstes Merkmal zur Ermittlung des statistisches Wertes ist auf der Basis einer Auswertung einer Anzahl von durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendeten, von dem ersten Teilnehmer A an zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer gerichteten Kommunikationsverbindungen berechenbar: Die Anzahl der durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendeten, von dem ersten Teilnehmer A an zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer gerichteten Kommunikationsverbindungen, englisch number of B-terminated calls, wird durch Beobachtung der Signalisierungsnachrichten zwischen dem ersten Teilnehmer A und mindestens einem zu der Vielzahl weiterer Teilnehmer gehörenden Teilnehmer bestimmt. Nach dem Aufbau einer Kommunikationsverbindung zwischen dem ersten Teilnehmer A und dem mindestens einen zu der Vielzahl weiterer Teilnehmer gehörenden Teilnehmer wird beobachtet, ob der erste Teilnehmer A oder der mindestens eine zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer die Kommunikationsverbindung beispielsweise durch Initiieren einer SIP-BYE- oder SIP-CANCEL-Nachricht die Kommunikationsverbindung beendet. Falls der mindestens eine zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer die Kommunikationsverbindung beendet, wird beispielsweise ein Zähler für B-terminated calls um eins erhöht. Die Auswertung der Anzahl der B-terminated calls oder alternativ des Verhältnisses zwischen der Anzahl der B-terminated calls und der Anzahl aller durch den ersten Teilnehmer A initiierten Kommunikationsverbindungen kann Hinweise ergeben, dass der erste Teilnehmer A ein SPIT-verursachender Teilnehmer sein könnte, falls beispielsweise die Anzahl der B-terminated calls sehr hoch ist im Verhältnis zu der Anzahl anderer, nicht SPIT-verursachenden Teilnehmern zugeordneter B-terminated calls.
  • Ein siebtes Merkmal zur Ermittlung des statistisches Wertes ist auf der Basis einer Auswertung einer Anzahl von nach Ablauf eines kurzen Zeitintervalls durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendeten, von dem ersten Teilnehmer A an zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer gerichteten Kommunikationsverbindungen berechenbar: Im Vergleich zu dem oben beschriebenen sechsten Merkmal wird für das siebte Merkmal das Zeitintervall zwischen Aufbau und Beenden der Kommunikationsverbindungen gemessen und der Zähler für B-terminated calls um eins erhöht, wenn dieses Zeitintervall sehr kurz ist, ein zu der Vielzahl weiterer Teilnehmer gehörender Teilnehmer also sehr schnell die betreffende Kommunikationsverbindung beendet hat, weil er beispielsweise auf Anhieb einen SPIT-Versuch erkannt hat. Abhängig beispielsweise von einem zeitlichen Schwellwert werden alle ausgehenden Kommunikationsverbindungen des ersten Teilnehmers A gezählt, deren zeitliche Dauer unterhalb des zeitlichen Schwellwerts liegt und die B-seitig beendet werden. Zu diesem Zweck wird beispielsweise zu jeder beobachteten Kommunikationsverbindung nach vollständigem Aufbau der Kommunikationsverbindung (beispielsweise nach einer erfolgreichen SIP-INVITE-Nachricht und einer entsprechenden SIP-Nachricht „200 OK", bestätigt durch eine SIP-ACK-Nachricht) ein erster Zeitstempel erfasst. Zum Zeitpunkt der Beendigung der Kommunikationsverbindung (beispielsweise durch eine SIP-BYE-Nachricht) wird ein zweiter Zeitstempel erfasst. Für den Fall, dass die Kommunikationsverbindung B-seitig beendet wurde und die Differenz zwischen erstem Zeitstempel und zweitem Zeitstempel unterhalb des zeitlichen Schwellwertes liegt, wird der Zähler für B-terminated calls um eins erhöht.
  • Ein achtes Merkmal zur Ermittlung des statistisches Wertes ist durch Berechnung eines Verhältniswertes zwischen einer Gesamtdauer aller durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendeten, von dem ersten Teilnehmer A an zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer gerichteten Kommunikationsverbindungen und der Anzahl von durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendeten, von dem ersten Teilnehmer A an zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer gerichteten Kommunikationsverbindungen berechenbar: Die Gesamtdauer aller von durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendeten Kommunikationsverbindungen DBTC (für duration of B-terminated calls) wird berechnet als Summe der Dauer der Kommunikationsverbindungen, die durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendet wurden. Zusammen mit der Anzahl der B-terminated calls NBTC lässt sich so eine mittlere Dauer B-seitig beendeter Kommunikationsverbindungen ermitteln, beispielsweise als Quotient aus der Gesamtdauer aller von durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendeten Kommunikationsverbindungen DBTC und der Anzahl der B-terminated calls NBTC. Falls die mittlere Dauer B-seitig beendeter Kommunikationsverbindungen für den ersten Teilnehmer A deutlich geringer ist als die mittlere Dauer B-seitig beendeter Kommunikationsverbindungen aller erfassten Teilnehmer, kann dies als Hinweis dienen, dass es sich bei dem ersten Teilnehmer A um einen SPIT-verursachenden Teilnehmer handelt.
  • In einer weiteren Ausprägung der Erfindung ist pro Kommunikationsverbindung eine obere Kappungsgrenze definierbar zur Verhinderung einer Verfälschung der mittleren Dauer B-seitig beendeter Kommunikationsverbindungen des ersten Teilnehmers A durch eine während eines überdurchschnittlich langen Zeitintervalls bestehende Kommunikationsverbindung des ersten Teilnehmers A.
  • 5 zeigt eine Tabelle mit einer Auswertung von B-terminated calls. Im gezeigten Beispiel ist die Kappungsgrenze auf 300 Sekunden gesetzt. In der ersten Spalte der Tabelle ist eine fortlaufende Nummer RN einer Kommunikationsverbindung angegeben. In der zweiten Spalte ist die Dauer D der je weiligen Kommunikationsverbindung in Sekunden angegeben. In der dritten Spalte ist der die Kommunikationsverbindung beendende Teilnehmer angegeben; dies ist entweder der erste Teilnehmer A oder ein zu der Vielzahl weiterer Teilnehmer gehörender, von dem ersten Teilnehmer A kontaktierter Teilnehmer B. Die vierte Spalte gibt den jeweiligen Wert des Zählers für B-terminated calls NBTC an. Die fünfte Spalte gibt die Gesamtdauer aller von durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendeten Kommunikationsverbindungen DBTC in Sekunden an.
  • Ein neuntes Merkmal zur Ermittlung des statistisches Wertes ist auf der Basis einer Auswertung einer Anzahl unterschiedlicher, von dem ersten Teilnehmer A zwecks einer Kommunikationsverbindung kontaktierten Vielzahl weiterer Teilnehmer berechenbar. Werden mehrere Kommunikationsverbindungen zu demselben Ziel aufgebaut, wird dieses nur einmal gezählt.
  • Ein zehntes Merkmal zur Ermittlung des statistisches Wertes ist auf der Basis einer Auswertung einer Anzahl von anonymen Kommunikationsverbindungen des ersten Teilnehmers A berechenbar: Die Anzahl von Kommunikationsverbindungen, bezüglich derer der erste Teilnehmer A eine Unterdrückung seiner Identität zwecks Anonymität wünscht, wird durch eine Analyse entsprechender Header-Felder, beispielsweise des Eintrages „privacy: id", der zu den Kommunikationsverbindungen gehörenden SIP-INVITE-Nachrichten ermittelt. Vorteilhaft ist die Berechnung des zehnten Merkmals insbesondere in Hinblick auf Teilnehmer, deren Identität im Kommunikationsnetzwerk bekannt und im Zuge eines entsprechenden Eintrages in einem Header-Feld der SIP-INVITE-Nachricht als Netzwerkbetreiber-bestätigte Identität angegeben ist.
  • 6 zeigt ein beispielhaftes Ablaufdiagramm für das erfindungsgemäße Verfahren in Hinblick auf eine durch den ersten Teilnehmer A initiierte Kommunikationsverbindung. Darge stellt sind Aktionen A1 bis A6 und Entscheidungen D1 bis D7, die im folgenden näher erläutert werden.
  • Im Zuge einer ersten Aktion A1 werden identifizierende Merkmale aus zur Kommunikationsverbindung gehörenden Signalisierungsnachrichten, insbesondere aus einer SIP-INVITE-Nachricht, extrahiert. Dies sind beispielsweise Angaben aus einem zu der SIP-INVITE-Nachricht gehörenden SIP-Header, insbesondere Angaben aus einem FROM-Header, Angaben aus einem TO-Header sowie mindestens ein an den FROM-Header angehängter Tag-Wert.
  • Im Zuge einer ersten Entscheidung D1 wird basierend auf den identifizierenden Merkmalen geprüft, ob bereits ein Datenbankeintrag zu dem ersten Teilnehmer A in der Datenbank vorhanden ist. Ist dies nicht der Fall, wird im Zuge einer zweiten Aktion A2 ein entsprechender Datenbankeintrag angelegt. Ist bereits ein entsprechender Datenbankeintrag vorhanden, wird im Zuge einer zweiten Entscheidung D2 geprüft, ob die Kommunikationsverbindung zwischenzeitlich beendet wurde. Ist dies der Fall, wird in einer dritten Entscheidung D3 überprüft, ob eine SIP-Nachricht „200 OK" empfangen wurde. Ist dies nicht der Fall, wird im Zuge einer dritten Aktion A3 ein Protokollfehler erfasst.
  • Für den Fall, das die zweite Entscheidung D2 negativ ausgefallen ist, wird im Zuge einer vierten Entscheidung D4 der Empfang einer weiteren SIP-Nachricht, insbesondere einer SIP-INVITE-Nachricht, überprüft sowie sichergestellt, dass kein Timeout vorliegt. Fällt die vierte Entscheidung D4 negativ aus, wird entsprechend der dritten Aktion A3 ein Protokollfehler erfasst. Fällt die vierte Entscheidung D4 positiv aus, wird im Zuge einer fünften Entscheidung D5 überprüft, ob eine SIP-Nachricht „200 OK" nach Eintreffen der SIP-INVITE-Nachricht empfangen wurde. Fällt die fünfte Entscheidung D5 positiv aus, wird im Zuge einer vierten Aktion A4 ein erster Zeitstempel, markierend den Beginn der Kommunikationsverbindung, gesetzt. Fällt die fünfte Entscheidung D5 negativ aus, wird im Zuge einer sechsten Entscheidung D6 überprüft, ob eine SIP-BYE-Nachricht empfangen wurde. Fällt die sechste Ent scheidung D6 positiv aus, wird im Zuge einer fünften Aktion A5 ein zweiter Zeitstempel, markierend das Ende der Kommunikationsverbindung, gesetzt. Fällt die sechste Entscheidung D6 negativ aus, wird im Zuge einer siebten Entscheidung D7 überprüft, ob eine SIP-CANCEL-Nachricht empfangen wurde. Fällt die siebte Entscheidung D7 positiv aus, wird im Zuge einer sechsten Aktion A6 die Kommunikationsverbindung als beendet markiert.
  • In einer weiteren Ausprägung der Erfindung ist eine Auswertung anonymer aus einem externen Kommunikationsnetzwerk gesendeter Kommunikationsverbindungen durchführbar. Auf diese Weise ist das externe Kommunikationsnetzwerk als Quelle von SPIT-Kommunikationsverbindungen identifizierbar, beispielsweise basierend auf einer Statistik über alle anonymen Kommunikationsverbindungen, die aus dem externen Kommunikationsnetzwerk gesendet werden.
  • In einer weiteren Ausprägung der Erfindung wird das erfindungsgemäße Verfahren mit einem Verfahren zum Einfügen einer SPIT-Wahrscheinlichkeit in eine Signalisierungsnachricht kombiniert.
  • In einer weiteren Ausprägung der Erfindung ist das erfindungsgemäße Verfahren Bestandteil eines Systems zu einer automatischen Blockierung oder Umleitung einer von einem als SPIT-verursachenden Teilnehmer bekannten ersten Teilnehmer gesendeten Nachricht: Die nach dem erfindungsgemäßen Verfahren für den ersten Teilnehmer ermittelte Teilnehmerspezifische SPIT-Wahrscheinlichkeit ist dabei mit einem einstellbaren Schwellwert zur Abweisung von SPIT-Nachrichten vergleichbar. Die Nachricht wird beispielsweise abgewiesen oder alternativ auf eine Voicebox umgelenkt, wenn die für den ersten Teilnehmer ermittelte Teilnehmer-spezifische SPIT-Wahrscheinlichkeit oberhalb des einstellbaren Schwellwertes zur Abweisung von SPIT-Nachrichten liegt.
  • In einer weiteren Ausprägung der Erfindung wird der statistische Wert im Zuge einer geeigneten Kombination der berechneten Mehrzahl von Merkmalen ermittelt: Die Kombination der berechneten Mehrzahl von Merkmalen zu einer Teilnehmer-bezogenen SPIT-Wahrscheinlichkeit erfolgt vorzugsweise in Form einer Kombination einer Anzahl der Mehrzahl von Merkmalen zu Szenarien. Für jedes Szenario werden für das jeweilige Szenario typische Merkmale durch ein UND-Verknüpfung oder im Falle von den Merkmalen zugeordneten Einzelwahrscheinlichkeiten durch eine Minimumbildung zusammengefasst. Vor einer Ermittlung der Teilnehmer-bezogenen SPIT-Wahrscheinlichkeit ist optional überprüfbar, ob der betreffende Teilnehmer eine Mindestanzahl von Kommunikationsverbindungen initiiert hat. In einer Ausprägung der Erfindung ist die Teilnehmer-bezogene SPIT-Wahrscheinlichkeit auf Null setzbar, wenn die ermittelte Teilnehmer-bezogene SPIT-Wahrscheinlichkeit unterhalb eines definierbaren Schwellwertes liegt.
  • 7 zeigt eine beispielhafte Auswertung der SPIT-Wahrscheinlichkeit für einen Teilnehmer: In einem ersten Schritt S71 wird im Falle einer seitens des Teilnehmers initiierten Kommunikationsverbindung geprüft, ob für diesen Teilnehmer eine Mindestanzahl von Kommunikationsverbindungen beobachtet wurden. Für den Fall, dass die Mindestanzahl von Kommunikationsverbindungen dieses Teilnehmers beobachtet wurde, werden in einem zweiten Schritt S72 verschiedene Merkmale zu Szenarien zusammengefasst und Szenarien-spezifische Wahrscheinlichkeiten durch Minimumbildung bestimmt. Eine mögliche Berechnung der Szenarien-spezifischen Wahrscheinlichkeiten für drei Szenarien A, B, C ist im folgenden dargestellt: P_A = min (P_short_calls, P_B_terminated_calls) P_B = min (P_nr_dest, P_anonym_calls) P_C = min (P_nr_tags, P_nr_call_IDs)
  • Für ein erstes Szenario A wird eine Szenarien-spezifische Wahrscheinlichkeit P_A durch Minimumbildung über eine Wahr scheinlichkeit basierend auf dem oben erwähnten siebten Merkmal (B-seitiges Beenden der Kommunikationsverbindung nach kurzem Zeitintervall, P_short_calls) sowie einer Wahrscheinlichkeit basierend auf dem oben erwähnten sechsten Merkmal (B-seitiges Beenden der Kommunikationsverbindung, P_B_terminated_calls) berechnet.
  • Für ein zweites Szenario B wird eine Szenarien-spezifische Wahrscheinlichkeit P_B durch Minimumbildung über eine Wahrscheinlichkeit basierend auf dem oben erwähnten neunten Merkmal (Anzahl unterschiedlicher Ziele, P_nr_dest) sowie einer Wahrscheinlichkeit basierend auf dem oben erwähnten zehnten Merkmal (Anzahl anonymer Kommunikationsverbindungen, P_anonym_calls) berechnet.
  • Für ein drittes Szenario C wird eine Szenarien-spezifische Wahrscheinlichkeit P_C durch Minimumbildung über eine Wahrscheinlichkeit basierend auf dem oben erwähnten zweiten Merkmal (Tag-Werte am FROM-Header, P_nr_tags) sowie einer Wahrscheinlichkeit basierend auf dem oben erwähnten dritten Merkmal (Anzahl unterschiedlicher Verbindungs-Identifikationsnummern, P_nr_call_IDs) berechnet.
  • In einem dritten Schritt S73 wird mittels Maximumbildung über den Szenarien-spezifischen Wahrscheinlichkeiten die Teilnehmer bezogene SPIT-Wahrscheinlichkeit SP wie folgt bestimmt: SP = max (P_A, P_B, P_C)
  • In einem optionalen vierten Schritt S74 wird überprüft, ob die ermittelte Teilnehmer-bezogene SPIT-Wahrscheinlichkeit SP unterhalb eines definierbaren Schwellwertes liegt. Ist dies der Fall, wird die Teilnehmer-bezogene SPIT-Wahrscheinlichkeit SP auf Null gesetzt: if (SP < 0.3) SP = 0
  • In einer weiteren Ausprägung der Erfindung ist die ermittelte Teilnehmer-bezogene SPIT-Wahrscheinlichkeit in einer nach Teilnehmer-identifizierenden Merkmalen sortierten Liste in der Datenbank speicherbar. Für den Fall einer Teilnehmer-bezogenen SPIT-Wahrscheinlichkeit von Null wird kein Datenbankeintrag erzeugt. Dies hat insbesondere den Vorteil, dass die nach Teilnehmer-identifizierenden Merkmalen sortierte Liste effizient verwaltet werden kann.
  • In einer weiteren Ausprägung der Erfindung sind die Beobachtungsvorrichtung K1 und die Bewertungsvorrichtung K2 in Form einer Beobachtungs- und Bewertungsvorrichtung verwirklicht.
  • In einer weiteren Ausprägung der Erfindung stellt die Beobachtungsvorrichtung K1 einen SIP-Sniffer zur passiven Beobachtung von SIP-basiertem Kommunikationsverkehr, insbesondere Signalisierverkehr bestehend aus SIP-Datenpaketen, dar.
  • In einer weiteren Ausprägung der Erfindung stellt die Beobachtungsvorrichtung K1 einen SIP-Proxy zur aktiven Erfassung von SIP-basiertem Kommunikationsverkehr, insbesondere Signalisierverkehr bestehend aus SIP-Datenpaketen, dar.
  • In einer weiteren Ausprägung der Erfindung ist die Beobachtungsvorrichtung K1 in eine SPIT-Abwehrvorrichtung integrierbar.
  • In einer weiteren Ausprägung der Erfindung ist die Beobachtungsvorrichtung K1 in einen SIP-Server oder alternativ in einen SIP-Proxy integrierbar.
  • In einer weiteren Ausprägung der Erfindung basiert die Anzahl unterschiedlicher, von dem ersten Teilnehmer A zwecks einer Kommunikationsverbindung kontaktierten Vielzahl weiterer Teilnehmer auf der Beobachtung aller von dem ersten Teilnehmer A initiierten Kommunikationsverbindungen.
  • In einer weiteren Ausprägung der Erfindung basiert die Anzahl unterschiedlicher, von dem ersten Teilnehmer A zwecks einer Kommunikationsverbindung kontaktierten Vielzahl weiterer Teilnehmer auf der Beobachtung aller von dem ersten Teilnehmer A initiierten und erfolgreich aufgebauten Kommunikationsverbindungen.
  • In einer weiteren Ausprägung der Erfindung werden die erfindungsgemäßen Merkmale zur Ermittlung des statistisches Wertes auf der Basis aller von dem ersten Teilnehmer A initiierten initiierten Kommunikationsverbindungen ermittelt. Alternativ werden die erfindungsgemäßen Merkmale zur Ermittlung des statistisches Wertes auf der Basis aller Kommunikationsverbindungen, in die der erste Teilnehmer A involviert ist, ermittelt.
  • In einer weiteren Ausprägung der Erfindung werden die erfindungsgemäßen Merkmale zur Ermittlung des statistisches Wertes im Hintergrund auf Basis des beobachteten Signalisierverkehrs ermittelt. Alternativ sind die erfindungsgemäßen Merkmale zur Ermittlung des statistisches Wertes im direkten zeitlichen Zusammenhang mit einem Verbindungsaufbauwunsch ermittelbar, um auf diese Weise beispielsweise eine besondere Behandlung für den Verbindungsaufbauwunsch vornehmen zu können. Die besondere Behandlung besteht beispielsweise in einer Abweisung des Verbindungsaufbauwunsches oder alternativ in einer Umleitung auf eine Voicebox.
  • In einer weiteren Ausprägung der Erfindung ist ein als SPIT-versendender Teilnehmer erkannter erster Teilnehmer A einem Netzwerkbetreiber zwecks eines Eintrags in einer Schwarzen Liste vorschlagbar.

Claims (21)

  1. Verfahren zur Erkennung von Spam over Internet Telephony-Nachrichten versendenden Teilnehmern, abgekürzt SPIT-Versender, in einem IP-Kommunikationsnetzwerk mit einer Vielzahl von durch einen ersten Teilnehmer (A) an eine Vielzahl weiterer Teilnehmer gerichteten Kommunikationsverbindungen, wobei zu den Kommunikationsverbindungen gehörender Signalisierverkehr beobachtet wird, dadurch gekennzeichnet, dass auf der Grundlage des beobachteten Signalisierverkehrs ein statistischer Wert hinsichtlich einer Wahrscheinlichkeit dafür, dass es sich bei dem ersten Teilnehmer (A) um einen SPIT-Versender und bei den Kommunikationsverbindungen um SPIT-Kommunikationsverkehr handelt, ermittelt wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der statistische Wert im Zuge einer Berechnung mindestens eines Merkmals ermittelt wird.
  3. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass anhand des ermittelten statistischen Wertes eine Behandlung von durch den ersten Teilnehmer (A) im Zuge der Kommunikationsverbindungen versendeten Nachrichten und/oder Verbindungsanfragen vorgenommen wird.
  4. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass eine Speicherung Teilnehmer- und Verbindungs-bezogener Daten und/oder des statistischen Wertes erfolgt.
  5. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die Speicherung der Teilnehmer- und Verbindungs- bezogenen Daten und/oder des statistischen Wertes in einer Datenbank erfolgt.
  6. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass Teilnehmer- und Verbindungs-bezogene Daten bezüglich einer Kommunikationsverbindung mit in der Datenbank gespeicherten Teilnehmer- und Verbindungs-bezogenen Daten bezüglich des ersten Teilnehmers (A) verglichen und/oder die in der Datenbank gespeicherten Teilnehmer- und Verbindungs bezogenen Daten bezüglich des ersten Teilnehmers (A) modifiziert werden.
  7. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass Teilnehmer-bezogene Daten bezüglich des ersten Teilnehmers (A) nach Maßgabe eines auf den ermittelten statistischen Wert bezogenen Schwellwertes in einer schwarzen Liste nicht vertrauenswürdiger Teilnehmer gespeichert werden.
  8. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass ein erstes Merkmal zur Ermittlung des statistisches Wertes für den Fall einer im Zuge einer Verbindungsanfrage des ersten Teilnehmers (A) signalisierten Netzbetreiberbestätigten Identität, englisch provider asserted identity, des ersten Teilnehmers (A) auf der Basis eines Vergleichs zwischen einer im Zuge der Verbindungsanfrage signalisierten Identitätsangabe und einer in den Teilnehmer- und Verbindungs-bezogenen Daten bezüglich des ersten Teilnehmers (A) gespeicherten Liste bekannter Identitätsangaben berechnet wird.
  9. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass ein zweites Merkmal zur Ermittlung des statistisches Wertes auf der Basis einer Auswertung von im Zuge der Verbindungsanfrage des ersten Teilnehmers (A) signalisierten, die Identitätsangabe ergänzenden Attribute hinsichtlich einer Variabilität der Attribute bezüglich einer Mehrzahl von zeitlich vor der Verbindungsanfrage erfolgten früheren Verbindungsanfragen berechnet wird.
  10. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass ein drittes Merkmal zur Ermittlung des statistisches Wertes auf der Basis einer Auswertung einer im Zuge der Verbindungsanfrage des ersten Teilnehmers (A) signalisierten Verbindungs-Identifikationsnummer hinsichtlich einer Variabilität der Verbindungs-Identifikationsnummer bezüglich einer Mehrzahl von zeitlich vor der Verbindungsanfrage erfolgten früheren Verbindungsanfragen berechnet wird.
  11. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass ein viertes Merkmal zur Ermittlung des statistisches Wertes auf der Basis einer Auswertung der Anzahl von gleichzeitig während eines Zeitintervalls bestehenden Kommunikationsverbindungen des ersten Teilnehmers (A) berechnet wird.
  12. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass ein fünftes Merkmal zur Ermittlung des statistisches Wertes auf der Basis einer Auswertung von im Zuge der Verbindungsanfrage signalisierten Informationen bezüglich senderseitig unterstützter Codierungsverfahren berechnet wird.
  13. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass ein sechstes Merkmal zur Ermittlung des statistisches Wertes auf der Basis einer Auswertung einer Anzahl von durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendeten, von dem ersten Teilnehmer (A) an zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer gerichteten Kommunikationsverbindungen berechnet wird.
  14. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass ein siebtes Merkmal zur Ermittlung des statistisches Wertes auf der Basis einer Auswertung einer Anzahl von nach Ablauf eines kurzen Zeitintervalls durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendeten, von dem ersten Teilnehmer (A) an zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer gerichteten Kommunikationsverbindungen berechnet wird.
  15. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass ein achtes Merkmal zur Ermittlung des statistisches Wertes durch Berechnung eines Verhältniswertes zwischen – einer Gesamtdauer aller durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendeten, von dem ersten Teilnehmer (A) an zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer gerichteten Kommunikationsverbindungen und – der Anzahl von durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendeten, von dem ersten Teilnehmer (A) an zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer gerichteten Kommunikationsverbindungen berechnet wird.
  16. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass bezüglich des Verhältniswertes eine obere Kappungsgrenze verwendet wird zwecks Verhinderung einer Verfälschung des Verhältniswertes durch eine während eines überdurch schnittlich langen Zeitintervalls bestehende Kommunikationsverbindung des ersten Teilnehmers (A).
  17. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass ein neuntes Merkmal zur Ermittlung des statistisches Wertes auf der Basis einer Auswertung einer Anzahl unterschiedlicher, von dem ersten Teilnehmer (A) zwecks einer Kommunikationsverbindung kontaktierten Vielzahl weiterer Teilnehmer berechnet wird.
  18. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass ein zehntes Merkmal zur Ermittlung des statistisches Wertes auf der Basis einer Auswertung einer Anzahl von anonymen Kommunikationsverbindungen des ersten Teilnehmers (A) berechnet wird.
  19. Verfahren nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass der statistische Wert im Zuge einer Kombination einer Mehrzahl berechneter Merkmale ermittelt wird.
  20. Vorrichtung zur Erkennung von Spam over Internet Telephony-Nachrichten versendenden Teilnehmern, abgekürzt SPIT-Versender, in einem IP-Kommunikationsnetzwerk mit einer Vielzahl von durch einen ersten Teilnehmer (A) an eine Vielzahl weiterer Teilnehmer gerichteten Kommunikationsverbindungen, – mit Mitteln zur Beobachtung von zu den Kommunikationsverbindungen gehörendem Signalisierverkehr, und – mit Mitteln zur Ermittlung eines statistischen Wertes auf der Grundlage des beobachteten Signalisierverkehrs hinsichtlich einer Wahrscheinlichkeit dafür, dass es sich bei dem ersten Teilnehmer (A) um einen SPIT-Versender und bei den Kommunikationsverbindungen um SPIT-Kommunikationsverkehr handelt.
  21. Vorrichtung nach Anspruch 20 mit Mitteln zur Abweisung und/oder Umleitung einer durch einen als Spam over Internet Telephony-Nachrichten, abgekürzt SPIT, versendenden Teilnehmer erkannten ersten Teilnehmer (A) gesendeten SPIT-Nachricht.
DE200610012658 2006-03-20 2006-03-20 Verfahren und Vorrichtung zur Erkennung von Spam over Internet Telephony-Nachrichten versendenden Teilnehmern, abgekürzt SPIT-Versender, in einem IP-Kommunikationsnetzwerk Ceased DE102006012658A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE200610012658 DE102006012658A1 (de) 2006-03-20 2006-03-20 Verfahren und Vorrichtung zur Erkennung von Spam over Internet Telephony-Nachrichten versendenden Teilnehmern, abgekürzt SPIT-Versender, in einem IP-Kommunikationsnetzwerk
PCT/EP2007/052310 WO2007107473A1 (de) 2006-03-20 2007-03-12 Verfahren und vorrichtung zur erkennung von spam over internet telephony-nachrichten versendenden teilnehmern, abgekürzt spit-versender, in einem ip-kommunikationsnetzwerk

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200610012658 DE102006012658A1 (de) 2006-03-20 2006-03-20 Verfahren und Vorrichtung zur Erkennung von Spam over Internet Telephony-Nachrichten versendenden Teilnehmern, abgekürzt SPIT-Versender, in einem IP-Kommunikationsnetzwerk

Publications (1)

Publication Number Publication Date
DE102006012658A1 true DE102006012658A1 (de) 2007-09-27

Family

ID=38006857

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200610012658 Ceased DE102006012658A1 (de) 2006-03-20 2006-03-20 Verfahren und Vorrichtung zur Erkennung von Spam over Internet Telephony-Nachrichten versendenden Teilnehmern, abgekürzt SPIT-Versender, in einem IP-Kommunikationsnetzwerk

Country Status (2)

Country Link
DE (1) DE102006012658A1 (de)
WO (1) WO2007107473A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2426907A1 (de) * 2009-04-30 2012-03-07 Nec Corporation Vorrichtung zur erkennung illegaler anrufe, verfahren zur erkennung illegaler anrufe und programm zur erkennung illegaler anrufe
DE102010013574B4 (de) * 2009-05-04 2013-10-10 Avaya Inc. Vorhersage und Verhinderung störender Telefonanrufe

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10326092B3 (de) * 2003-06-10 2005-02-17 Web.De Ag Verfahren zum Kategorisieren von Nachrichten und Vorrichtungen zur Durchführung desselben
WO2006000466A1 (en) * 2004-05-21 2006-01-05 Alcatel Detection and mitigation of unwanted bulk calls (spam) in voip networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10326092B3 (de) * 2003-06-10 2005-02-17 Web.De Ag Verfahren zum Kategorisieren von Nachrichten und Vorrichtungen zur Durchführung desselben
WO2006000466A1 (en) * 2004-05-21 2006-01-05 Alcatel Detection and mitigation of unwanted bulk calls (spam) in voip networks

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2426907A1 (de) * 2009-04-30 2012-03-07 Nec Corporation Vorrichtung zur erkennung illegaler anrufe, verfahren zur erkennung illegaler anrufe und programm zur erkennung illegaler anrufe
EP2426907A4 (de) * 2009-04-30 2013-01-02 Nec Corp Vorrichtung zur erkennung illegaler anrufe, verfahren zur erkennung illegaler anrufe und programm zur erkennung illegaler anrufe
US9338196B2 (en) 2009-04-30 2016-05-10 Nec Corporation Malicious call detection apparatus, malicious call detecting method and computer program for detecting malicious calls
DE102010013574B4 (de) * 2009-05-04 2013-10-10 Avaya Inc. Vorhersage und Verhinderung störender Telefonanrufe

Also Published As

Publication number Publication date
WO2007107473A1 (de) 2007-09-27

Similar Documents

Publication Publication Date Title
DE602005002340T2 (de) Entdeckung von unerwünschten elektronischen Nachrichten (Spam)
DE102005046965B3 (de) Verfahren und Anordnung zur Verifikation einer im Zuge einer Verbindungsanfrage zum Zweck des Aufbaus einer Sprach-Kommunikationsverbindung übermittelten Absenderadresse in einem IP-Kommunikationsnetzwerk
EP2005699B1 (de) Verfahren für lawful interception bei anrufweiterschaltung in einem paketorientierten telekommunikationsnetz
DE102006023924A1 (de) Verfahren zur Identifizierung von unerwünschten Telefonanrufen
DE10358333A1 (de) Verfahren, Netzelement und Netzanordnung zur Telekommunikationsüberwachung
DE102006004202A1 (de) Verfahren zum Schutz von SIP basierten Anwendungen
DE102005046375B3 (de) Verfahren und Vorrichtungen zur Vermeidung des Empfangs unerwünschter Nachrichten in einem IP-Kommunikationsnetzwerk
DE102006012439B4 (de) Verfahren und Vorrichtungen zur Vermeidung einer fehlerhaften Klassifizierung von erwünschten Nachrichten als Spam over Internet Telephony-Nachrichten, abgekürzt SPIT-Nachrichten, in einem Kommunikationsnetzwerk
DE102006012658A1 (de) Verfahren und Vorrichtung zur Erkennung von Spam over Internet Telephony-Nachrichten versendenden Teilnehmern, abgekürzt SPIT-Versender, in einem IP-Kommunikationsnetzwerk
DE102005046376B4 (de) Verfahren und Vorrichtung zur Vermeidung des Empfangs unerwünschter Nachrichten in einem IP-Kommunikationsnetzwerk
WO2007017408A1 (de) Verfahren und anordnung zur automatischen aktualisierung einer weissen liste
DE102006010538A1 (de) Verfahren und Vorrichtungen zu einer selektiven Behandlung unerwünschter Nachrichten, insbesondere sogenannter Spam over Internet Telephony-Nachrichten, abgekürzt SPIT-Nachrichten, in einem Kommunikationsnetzwerk
DE102006027386A1 (de) Verfahren und Vorrichtung zur Abwehr von ungewünschten Telefonanrufen
EP1911248A1 (de) Verfahren zur erhebung von nutzerverhalten zur laufzeit im mobilen 3gpp ip basierten multimedia subsystem (ims)
DE102006026924A1 (de) Verfahren und Vorrichtung zur Abwehr von störenden Telefonanrufen
DE102005046377B3 (de) Verfahren und Vorrichtung zur Vermeidung des Empfangs unerwünschter Nachrichten in einem IP-Kommunikationsnetzwerk
DE102006047275A1 (de) Verfahren zum Aufbau einer verbindungsorientierten Kommunikation
EP2198580B1 (de) Verfahren und anordnung zum bereitstellen von voip-kommunikation
EP3226527B1 (de) Telefonie-kommunikationssystem zur missbrauchserkennung in einem öffentlichen telefonnetz
EP2036281B1 (de) Verfahren zum automatisierten aufnehmen von adressen in eine liste akzeptierter sender in einem kommunikationssystem
WO2007039350A1 (de) Verfahren und vorrichtungen zur vermeidung des empfangs unerwünschter nachrichten in einem ip-kommunikationsnetzwerk
WO2007113106A1 (de) Verfahren und vorrichtungen zur reduzierung des empfangs unerwünschter nachrichten, insbesondere sogenannter spam over internet telephony-nachrichten, abgekürzt spit-nachrichten, in einem kommunikationsnetzwerk
DE102005046939A1 (de) Verfahren und Vorrichtungen zur Vermeidung des Empfangs unerwünschter Nachrichten in einem IP-Kommunikationsnetzwerk
DE102006017477A1 (de) Verfahren zum Ermitteln von unerwünschten Anrufen
DE102006016295A1 (de) Verfahren und Vorrichtung zur Erkennung unerwünschter Nachrichten, insbesondere sogenannter Spam over Internet Telephony-Nachrichten, abgekürzt SPIT-Nachrichten, in einem Kommunikationsnetzwerk

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8131 Rejection