該發(fā)明涉及融合網(wǎng)通信技術(shù)領(lǐng)域，特別是涉及一種基于網(wǎng)關(guān)時空關(guān)聯(lián)分析的voip網(wǎng)絡(luò)拓撲檢測方法。

背景技術(shù)：

目前，多數(shù)詐騙電話通過voip網(wǎng)絡(luò)進行通信，虛擬運營商對自身網(wǎng)內(nèi)的voip業(yè)務(wù)采用私有協(xié)議進行通信，或者對通信過程進行加密，致使無法跟蹤到voip詐騙電話的呼叫流程。

voip主要由虛擬運營商建設(shè)運營，其依托互聯(lián)網(wǎng)，建立voip運營平臺，開展voip通信業(yè)務(wù)。由于目前國內(nèi)voip業(yè)務(wù)尚未正式開放運營，虛擬運營商無法取得合法運營身份，只能隱性地開展業(yè)務(wù)。為逃避追蹤和打擊，很多虛擬運營商對自身網(wǎng)內(nèi)的voip業(yè)務(wù)采用私有協(xié)議進行通信，或者對通信過程進行加密，以增強對抗電信監(jiān)管的能力。對電信監(jiān)管者而言，由于私有協(xié)議并不公開源碼和實現(xiàn)細節(jié)，甚至連可執(zhí)行代碼也難以獲得，即使采用逆向工程分析方法，也很難解析其通信過程，從而給電信監(jiān)管帶來困難。voip虛擬運營商并不建設(shè)物理網(wǎng)絡(luò)，其主要通過設(shè)置若干網(wǎng)關(guān)節(jié)點，或租用運營商提供的網(wǎng)關(guān)接口，打通各大運營商網(wǎng)絡(luò)，實現(xiàn)全網(wǎng)范圍內(nèi)的voip業(yè)務(wù)應(yīng)用。出于開放性考慮，電信運營商只會采用標(biāo)準(zhǔn)協(xié)議與虛擬運營商互聯(lián)互通，導(dǎo)致網(wǎng)關(guān)成為整個voip網(wǎng)絡(luò)的“暴露點”。

目前，多數(shù)詐騙電話通過voip網(wǎng)絡(luò)進行通信，虛擬運營商對自身網(wǎng)內(nèi)的voip業(yè)務(wù)采用私有協(xié)議進行通信，或者對通信過程進行加密，致使無法跟蹤到voip詐騙電話的呼叫流程，無從實施詐騙電話防護。

技術(shù)實現(xiàn)要素：

本發(fā)明克服了現(xiàn)有技術(shù)中，多數(shù)詐騙電話通過voip網(wǎng)絡(luò)進行通信，無法對采用私有協(xié)議的voip通信業(yè)務(wù)進行有效監(jiān)管的困境，而導(dǎo)致無法防護詐騙電話的問題，提供一種具有較好監(jiān)視管控能力的基于網(wǎng)關(guān)時空關(guān)聯(lián)分析的voip網(wǎng)絡(luò)拓撲檢測方法。

本發(fā)明的技術(shù)解決方案是，提供一種具有以下步驟的基于網(wǎng)關(guān)時空關(guān)聯(lián)分析的voip網(wǎng)絡(luò)拓撲檢測方法,含有以下步驟：步驟1：利用網(wǎng)關(guān)采用標(biāo)準(zhǔn)協(xié)議通信的特點，檢測出網(wǎng)關(guān)承載的voip通話流量；步驟2：然后根據(jù)voip通話在經(jīng)由路徑上流量呈現(xiàn)的時空一致性特點，得出通話的呼叫路由；步驟3：描繪出相應(yīng)的voip網(wǎng)絡(luò)拓撲關(guān)系圖。

所述步驟1中檢測出網(wǎng)關(guān)承載的voip通話的過程為：在準(zhǔn)確識別和分揀voip信令流量與媒體流量的基礎(chǔ)上，利用網(wǎng)關(guān)信令流量與媒體流量呈現(xiàn)集聚性的特點，準(zhǔn)確找出網(wǎng)絡(luò)中存在的voip信令網(wǎng)關(guān)和媒體網(wǎng)關(guān)。

所述步驟2的具體過程為：對網(wǎng)關(guān)所有流量進行時空一致性分析，檢索出該voip通話的關(guān)聯(lián)流量，得到該voip通話的上一跳設(shè)備的ip地址。

所述網(wǎng)關(guān)為上一跳網(wǎng)關(guān)，對上一跳網(wǎng)關(guān)設(shè)備的流量進行時空一致性分析，描繪出voip通話的全局路由情況，搜索到通話經(jīng)由的所有voip網(wǎng)關(guān)及業(yè)務(wù)設(shè)備。

所述步驟3的具體過程為：對若干voip通話累積形成的網(wǎng)絡(luò)節(jié)點及路由數(shù)據(jù)，采用統(tǒng)計方法獲得voip網(wǎng)關(guān)或業(yè)務(wù)設(shè)備的分布情況、邏輯連接關(guān)系以及設(shè)備之間的呼叫強度記錄，描繪出voip網(wǎng)絡(luò)拓撲圖。

與現(xiàn)有技術(shù)相比，本發(fā)明基于網(wǎng)關(guān)時空關(guān)聯(lián)分析的voip網(wǎng)絡(luò)拓撲檢測方法具有以下優(yōu)點：

1.該發(fā)明網(wǎng)關(guān)為突破點，適用于通信領(lǐng)域中詐騙電話的防護。

2.該發(fā)明適用于檢測發(fā)現(xiàn)采用公有協(xié)議和私有協(xié)議的voip網(wǎng)絡(luò)拓撲，利用網(wǎng)絡(luò)拓撲，既可有效分析網(wǎng)絡(luò)中的voip業(yè)務(wù)態(tài)勢，為監(jiān)控資源的合理部署提供科學(xué)指導(dǎo)，又可豐富voip信息監(jiān)測手段，增強系統(tǒng)面向不同公有、私有voip業(yè)務(wù)應(yīng)用的通用性。

3.可以統(tǒng)計分析出voip詐騙電話呼叫途經(jīng)的網(wǎng)關(guān)，進而描繪出網(wǎng)絡(luò)拓撲圖，根據(jù)voip網(wǎng)絡(luò)拓撲圖，選定適當(dāng)?shù)木W(wǎng)關(guān)位置進行通信管制，即可阻斷攔截voip詐騙電話，實現(xiàn)詐騙電話的防護。

4.通過掌握voip網(wǎng)絡(luò)拓撲，一方面為基于已知協(xié)議或明文的voip呼叫檢測提供指導(dǎo)，提升系統(tǒng)應(yīng)用效能；另一方面對基于未知協(xié)議或密文的voip呼叫進行追蹤、溯源或定位，選定適當(dāng)?shù)木W(wǎng)關(guān)位置進行通信管制，即可阻斷攔截voip詐騙電話，實現(xiàn)詐騙電話的防護，形成監(jiān)視管控能力。

附圖說明

圖1是本發(fā)明基于網(wǎng)關(guān)時空關(guān)聯(lián)分析的voip網(wǎng)絡(luò)拓撲檢測方法現(xiàn)有技術(shù)中典型的運營網(wǎng)絡(luò)構(gòu)成圖；

圖2是本發(fā)明基于網(wǎng)關(guān)時空關(guān)聯(lián)分析的voip網(wǎng)絡(luò)拓撲檢測方法的應(yīng)用示意圖；

圖3是本發(fā)明基于網(wǎng)關(guān)時空關(guān)聯(lián)分析的voip網(wǎng)絡(luò)拓撲檢測方法的voip網(wǎng)絡(luò)拓撲關(guān)系圖。

具體實施方式

下面結(jié)合附圖和具體實施方式對本發(fā)明基于網(wǎng)關(guān)時空關(guān)聯(lián)分析的voip網(wǎng)絡(luò)拓撲檢測方法作進一步說明：如圖所示，本實施例中含有以下步驟：

步驟1：利用網(wǎng)關(guān)采用標(biāo)準(zhǔn)協(xié)議通信的特點，檢測出網(wǎng)關(guān)承載的voip通話流量；步驟2：然后根據(jù)voip通話在經(jīng)由路徑上流量呈現(xiàn)的時空一致性特點，得出通話的呼叫路由；步驟3：描繪出相應(yīng)的voip網(wǎng)絡(luò)拓撲關(guān)系圖。

所述步驟1中檢測出網(wǎng)關(guān)承載的voip通話的過程為：在準(zhǔn)確識別和分揀voip信令流量與媒體流量的基礎(chǔ)上，利用網(wǎng)關(guān)信令流量與媒體流量呈現(xiàn)集聚性的特點，準(zhǔn)確找出網(wǎng)絡(luò)中存在的voip信令網(wǎng)關(guān)和媒體網(wǎng)關(guān)。

所述步驟2的具體過程為：對網(wǎng)關(guān)所有流量進行時空一致性分析，檢索出該voip通話的關(guān)聯(lián)流量，得到該voip通話的上一跳設(shè)備的ip地址。

所述網(wǎng)關(guān)為上一跳網(wǎng)關(guān)，對上一跳網(wǎng)關(guān)設(shè)備的流量進行時空一致性分析，描繪出voip通話的全局路由情況，搜索到通話經(jīng)由的所有voip網(wǎng)關(guān)及業(yè)務(wù)設(shè)備。

所述步驟3的具體過程為：對若干voip通話累積形成的網(wǎng)絡(luò)節(jié)點及路由數(shù)據(jù)，采用統(tǒng)計方法獲得voip網(wǎng)關(guān)或業(yè)務(wù)設(shè)備的分布情況、邏輯連接關(guān)系以及設(shè)備之間的呼叫強度記錄，描繪出voip網(wǎng)絡(luò)拓撲圖。

本發(fā)明中涉及的voip網(wǎng)關(guān)包括信令網(wǎng)關(guān)和媒體網(wǎng)關(guān)兩類，網(wǎng)關(guān)檢測是在準(zhǔn)確識別和分揀voip信令流量與媒體流量的基礎(chǔ)上，利用網(wǎng)關(guān)信令流量與媒體流量呈現(xiàn)集聚性的特點，準(zhǔn)確找出網(wǎng)絡(luò)中存在的voip信令網(wǎng)關(guān)和媒體網(wǎng)關(guān)。

對于信令流量的識別，由于主要的voip信令協(xié)議為sip協(xié)議，采用文本編碼方式，消息字段均以固定關(guān)鍵字命名，如invite、call-id、via等，因此通過檢測ip數(shù)據(jù)包中是否出現(xiàn)協(xié)議的特征關(guān)鍵字，即可判斷該ip包是否承載sip協(xié)議。鑒于協(xié)議關(guān)鍵字在報文中出現(xiàn)位置并不固定，需要掃描報文內(nèi)容對所有可能的關(guān)鍵字匹配，在高達10gb/s速率的線路中，逐報文掃描所有關(guān)鍵字開銷巨大，項目組設(shè)計了基于分段匹配的voip信令流檢測算法，其利用sip協(xié)議消息按層次劃分為行、單詞和單個字符，且協(xié)議關(guān)鍵字都以單詞的形式存在的特點，根據(jù)分段間隔字符將協(xié)議消息劃分為若干單詞，將多關(guān)鍵字匹配算法轉(zhuǎn)化為單詞匹配算法，提高匹配算法的執(zhí)行速度，滿足高速流量下的實時處理要求。

對于媒體流量的識別，一是語音通信屬于實時交互業(yè)務(wù)，在整個會話過程中雙方一直都在以相同的編碼格式實時傳輸語音數(shù)據(jù)，因此在統(tǒng)計意義上語音通信的雙向流量具有一定的對稱性，相比而言網(wǎng)頁瀏覽、視頻點播、ftp文件傳輸?shù)葢?yīng)用的流量呈現(xiàn)較大的非對稱性；二是語音流量采用小包固定間隔發(fā)送模式，可以利用流的平均包間隔和包長作為識別voip媒體流的依據(jù)。為此，可定義fbw（flowbandwidth，流帶寬）、dfbwr（dualflowbandwidthratio，雙向流帶寬比）、mpai（meanpacketarrivalinterval，平均包到達間隔）、mpl（meanpacketlength，平均包長）等流特征參數(shù)，采用貝葉斯判決方法識別voip媒體流量。

準(zhǔn)確識別并分揀出信令流量和媒體流量后，利用網(wǎng)關(guān)對應(yīng)的voip流量聚集特性，可通過分析信令包與媒體包地址的統(tǒng)計特性，檢測發(fā)現(xiàn)當(dāng)前網(wǎng)絡(luò)中存在的voip信令網(wǎng)關(guān)和媒體網(wǎng)關(guān)。

本發(fā)明中voip網(wǎng)關(guān)完成不同voip網(wǎng)絡(luò)之間標(biāo)準(zhǔn)協(xié)議與私有協(xié)議的轉(zhuǎn)換功能。從網(wǎng)關(guān)流量視圖上看，一個voip通話在網(wǎng)關(guān)上產(chǎn)生兩個流量：采用標(biāo)準(zhǔn)協(xié)議的流量和采用私有協(xié)議的流量。由于voip通話是實時交互業(yè)務(wù)，網(wǎng)關(guān)并不緩存報文，因此兩個流量之間呈現(xiàn)出時空一致性特點，即：兩個流量具有相同的網(wǎng)關(guān)ip地址，具有相同的生命周期，對于某些網(wǎng)關(guān)，甚至報文數(shù)量也存在一致性。因此，通過標(biāo)準(zhǔn)協(xié)議檢測出網(wǎng)關(guān)的voip通話流量后，再對網(wǎng)關(guān)所有流量進行時空一致性分析，檢索出該voip通話的關(guān)聯(lián)流量，即可得到該voip通話的上一跳設(shè)備的ip地址。依此類推，對上一跳設(shè)備的流量進行時空一致性分析，可以描繪出voip通話的全局路由情況，搜索到通話經(jīng)由的所有voip網(wǎng)關(guān)及業(yè)務(wù)設(shè)備。最后對若干voip通話累積形成的網(wǎng)絡(luò)節(jié)點及路由數(shù)據(jù)，采用統(tǒng)計方法獲得voip網(wǎng)關(guān)或業(yè)務(wù)設(shè)備的分布情況、邏輯連接關(guān)系以及設(shè)備之間的呼叫強度記錄，描繪出voip網(wǎng)絡(luò)拓撲圖。