基於會話發起協議的網絡電話實時識別和過濾方法

2023-07-31 12:32:56

專利名稱：基於會話發起協議的網絡電話實時識別和過濾方法
技術領域：
本發明屬於網絡通信技術領域，尤其涉及一種基於會話發起協議的網絡 電話實時識別和過濾的方法。
背景技術：
網絡電話(VoIP， Voice over Internet Protocol)是一種基於IP語音傳 輸技術的電話系統，能廣泛地採用網際網路和全球IP互聯的環境，提供比傳 統業務更多、更好的服務，其憑藉低廉的話費價格和較好的語音質量得到大 眾的廣泛應用。VoIP有兩種常用的應用層控制(信令)協議， 一種為H.323 協議，另一種為會話發起協議(SIP， Session Initiation Protocol)。 SIP協 議是一個基於HTTP的IP網絡中實現實時通信應用的應用層控制信令協議。
在巨額利益的吸引下，大量非法VoIP運營充斥著正規的電信市場，不 僅導致合法運營商話務量流失，更打破了原有電信市場的競爭格局，給傳統 的話音業務帶來了巨大的衝擊。同時，由於非法VoIP缺乏必要的服務質量 保障，僅靠單純的低價吸引用戶，這在也在一定程度上損害了用戶的利益。
然而，傳統的對基於會話發起協議(SIP)的網絡電話進行過濾的方法， 並不能有效地過濾封鎖SIP電話的信息流。
比如傳統的IP位址過濾方法， 一旦過濾了用戶的IP位址，則用戶的包 括正常上網的其他所有業務都被禁止，這種方法是不可行的。
而傳統的埠檢測法，雖然協議規定了 SIP信令的默認埠，但多數應 用採用動態分配的埠，因此無法簡單地從埠來識別基於SIP的VoIP信 息流。
再如傳統的直路串聯流量控制方法，需要將檢測設備部署到網絡流量真 實路徑上，也有可能形成處理瓶頸和單點故障，會影響整體的網絡拓撲結構， 同時增加了整個網絡的傳輸時延，對原有網絡帶來一定不利的影響，但是並 聯方式又無法實際接觸到真實的數據流，無法對數據流進行直接的操作和控 制。

發明內容
本發明的目的是為了解決上述現有技術中的不足，提供一種對網絡電 話進行實時識別和過濾的方法，尤其針對基於會話發起協議SIP的網絡電
3話，在單向流量採集的基礎上準確識別實時的基於SIP信令的網絡電話信息
流，並在並聯模式下對其進行快速高效的過濾。
本發明的技術方案是
一種基於會話發起協議的網絡電話實時識別和過濾方法，包含數據採集
層1，協議分析層2和表現層3，還包括工作在單向流量採集方式下的流量 識別層4，以及工作在並聯模式下的流量控制層5，數據從下往上依次流經 數據採集層1、協議分析層2、流量識別層4、流量控制層5和表現層3，其 中，流量識別層4包含如下步驟
(1) 接收協議分析層提供的分組信息；
(2) 根據SIP的淨荷特徵進行淨荷深度檢測；
(3) 保存SIP會話信息，形成SIP的呼叫詳細記錄； 流量控制層5包含如下步驟
(1) 從SIP的呼叫詳細記錄中讀取本次會話的詳細信息；
(2) 偽造一個SIP的掛機信令，並將本次會話信息寫入信令中；
(3) 將偽造的掛機信令發送到被叫方；
(4) 被叫方接收到偽造的掛機信令，被叫方掛機，呼叫被過濾。 本發明更詳細的技術方案是其中，所述協議分析層2提供的分組信息
包括IP分組頭部和傳輸控制協議/用戶數據報協議的頭部信息及其淨荷信 息。所述流量識別層4保存的SIP會話信息包括主叫IP位址、被叫IP位址、 源埠、目的埠和IP分組的淨荷信息。所述流量識別層4中，當有其他 會話的分組數據到來時，更新SIP會話信息，並形成新的SIP的呼叫詳細記 錄。
本發明的有益效果是
1. 能夠快速、準確識別基於SIP信令的網絡電話信息流，對其他業務 和非SIP會話沒有影響；
2. 能使運營商對基於SIP信令的實時網絡電話業務實施有效的封鎖過 濾，以保障傳統話音業務和合法網絡電話運營的利益；
3. 能對基於SIP信令的實時網絡電話信息流量進行統計分析，便於掌 控SIP呼叫對傳統語音業務的影響；
4. 對基於SIP信令的實時網絡電話業務進行性能分析、流量控制、呼叫跟蹤和流量異常檢測等；
5.對基於SIP信令的實時網絡電話信息進行安全監控。


下面結合附圖及實施例對本發明作進一歩描述-圖1是本發明的優選實施例的總體系統流程圖； 圖2是本發明的優選實施例中協議分析層的流程圖； 圖3是本發明的優選實施例中流量識別層的流程圖； 圖4是本發明的優選實施例中流量控制層的流程圖。
其中l數據採集層；2協議分析層；3表現層；4流量識別層；5流量 控制層。
具體實施例方式
實施例如圖l所示，系統分為5個層面，按數據流向從下往上分別為 數據採集層1、協議分析層2、流量識別層4、流量控制層5和表現層3。當 有網絡電話正在通信時，首先經過數據採集層1，對網絡電話的信息流數據 進行數據採集和複製，向上一層協議分析層提供各種分組信息，保障數據完 整、可靠。此層與上一層協議分析層的接口為比特流數據。
協議分析層2的工作流程如圖2中所示，對從數據採集層傳輸過來的數 據首先進行鏈路層的協議分析，然後提供對TCP/IP (傳輸控制協議/網際協 議，Transmission Control Protocol/Internet Protocol)數據的協議進行解析， 得到足夠的IP分組頭部信息和TCP/UDP(用戶數據報協議User Datagram Protocol)的頭部信息以及必要的分組淨荷信息，用以提供給上一層流量識 別層，滿足流量識別層對業務的識別和感知需求。此層的協議分析深度應分 析至TCP/IP協議棧的第四層，即傳輸層。此層與流量識別層的接口為流 (Flow),流的信息包括主叫IP位址、被叫IP位址、源埠、目的埠和 協議類型，其中協議類型有TCP或者UDP兩種，該流中還存放部分淨荷。 此分析層所存儲的分組淨荷信息的多少可以根據需要配置。
流量識別層4是整個架構的核心層，它根據下層協議分析層提供的IP 分組頭信息和TCP/UDP的頭部信息以及淨荷信息等特徵來有效識別出基於 SIP信令的網絡電話業務，並將匹配失敗的分組信息丟棄不處理。此層對單 向流量進行採集，並採用基於淨荷深度檢測(DPI, Deep Packet Inspection)的識別方法，識別得到的信息提供給流量控制層，提供的接口數據包括主叫 IP位址、被叫IP位址、源埠、目的埠和應用詳細信息。其中，應用詳 細信息包括除了 IP分組的IP頭部、TCP/UDP頭部之外的內容信息，即IP 分組的淨荷信息。
流量識別層4的工作流程如圖3所示，包括以下步驟
(1) 接收協議分析層提供的分組信息；
(2) 根據SIP淨荷的特徵進行淨荷深度檢測，如果匹配成功，繼續執 行步驟3，否則丟棄分組，不做操作，然後轉至步驟l;
(3) 保存SIP會話信息，將SIP會話的關鍵信息保存，SIP會話信息 包括主叫IP位址、被叫IP位址、埠、語音編解碼類型、呼叫發起時間、 呼叫結束時間。當有其他會話的分組信息到來時，更新相應信息，形成SIP 的呼叫詳細記錄(CDR， Call Detail Record)。
以一個具體信令包為例，來說明第2步"根據SIP淨荷的特徵進行淨荷 深度檢測"的具體實施方式
，典型的SIP INVITE的信令包淨荷明文如下-
..INVITEsip:[email protected]:5060SIP/2.0..Via:SIP/2.0/UDP181. 26.66.5:5060;branch=z9hGrbK60058..From:;tag=60056;Wenqent=Wenqeiitsipstack;index=0;ver=l..To:..CaU-ID:[email protected]:20..INVITE..Cont act: ..max-forwards:50..user-agent: tenqe nt-VQQ..subject:Hello...Allow: INVITE, ACK， CANCEL, BYE."
流量識別層接收來自協議分析層的數據信息，若僅能採集到正向的、比 如省內到省外的數據，則檢測數據中是否含有SIP INVITE呼叫的特徵字符 串，即"INVITE SIP:";若僅能採集到反向的、比如省外到省內的數據，那 麼檢測所有數據包中是否含有SIP 100 TRYING呼叫的特徵字符串，即 "100TRYING"。若沒有，則丟棄此分組信息不做處理；若有，即說明此呼 叫是SIP會話。提取該分組中的源SIP位址SIP FROM URI、目標SIP位址 SIP TO URI、 SIP主叫網關地址和SIP被叫網關地址以及CSeq (Command sequence)通用頭域。凡具備相同SIP FROM URI、 SIP TO URI、 SIP主叫 網關地址和SIP被叫網關地址以及CSeq域的分組都屬於同一個SIP會話。 至此，基於SIP淨荷的特徵進行淨荷深度檢測完成。
6SIP會話的非法與否由運營商用戶進行定義，流量控制層對流量識別層 識別出的非法SIP會話進行實時過濾，在並聯偵聽模式下採用信令偽裝技術
來實現，即採用旁路幹擾的方式，以第三方的方式，偽裝成主叫用戶，向被 叫用戶發送掛機信令，使得被叫用戶誤以為是主叫用戶發送來的掛機信號， 從而掛線。
流量控制層5實施過濾的步驟為
(1) 從SIP的呼叫詳細記錄中讀取本次會話的詳細信息；
(2) 偽造一個SIP的掛機信令，並將本次會話信息寫入信令中；
(3) 將偽造的掛機信令發送到被叫方；
(4) 被叫方接收到偽造的掛機信令，被叫方掛機，呼叫被過濾。 本實施例實施過濾的具體步驟為
從SIP的呼叫詳細記錄CDR中讀取本次會話的詳細信息，獲得此次SIP 呼叫中的SIP FROM URI、 SIP TO URI、 SIP主叫網關地址和SIP被叫網關 地址以及CSeq域。然後偽造一個SIP BYE命令，偽造方法為根據SIP INVITE信令包的數據，替換三個部分，第一是方法名，即將INVITE替換 為BYE，第二是更改CSeq的序號數值，在原有值基礎上加l，第三是改變 CSeq的方法名，改為BYE;然後將這個更改後的BYE分組信息根據被叫 IP位址發送給被叫終端。被叫終端收到BYE信息，誤以為是原主叫用戶發 送來的掛機信號，從而掛機。
處於最上層的表現層3，為現有技術，對於SIP電話實時業務的識別具 有很廣泛的意義和應用價值，可以應用於SIP實時電話業務流量統計分析， SIP實時電話業務性能分析，SIP實時電話流量控制和呼叫跟蹤，SIP實時 電話流量異常檢測和SIP實時電話信息安全監控等領域。
以上內容是結合具體的實施方式對本發明所做的進一步的詳細說明，不 能認定本發明的具體實施只局限於這些說明。對於本發明所屬技術領域的普 通技術人員來說，在不脫離本發明構思的前提下，還可以做出若干簡單推演 或替換，都應當視為屬於本發明的保護範圍。
權利要求
1.一種基於會話發起協議的網絡電話實時識別和過濾方法，包括數據採集層(1)，協議分析層(2)和表現層(3)，其特徵在於還包括工作在單向流量採集方式下的流量識別層(4)，以及工作在並聯模式下的流量控制層(5)，數據從下往上依次流經數據採集層(1)、協議分析層(2)、流量識別層(4)、流量控制層(5)和表現層(3)，其中，流量識別層(4)包含以下步驟(4.1)接收協議分析層提供的分組信息；(4.2)根據SIP的淨荷特徵進行淨荷深度檢測；(4.3)保存SIP會話信息，形成SIP的呼叫詳細記錄；流量控制層(5)包含以下步驟(5.1)從SIP的呼叫詳細記錄中讀取本次會話的詳細信息；(5.2)偽造一個SIP的掛機信令，並將本次會話信息寫入信令中；(5.3)將偽造的掛機信令發送到被叫方；(5.4)被叫方接收到偽造的掛機信令，被叫方掛機，呼叫被過濾。
2. 根據權利要求1中所述的基於會話發起協議的網絡電話實時識別和 過濾方法，其特徵在於所述協議分析層(2)提供的分組信息包括IP分組 頭部和傳輸控制協議/用戶數據報協議的頭部信息及其淨荷信息。
3. 根據權利要求1或2中所述的基於會話發起協議的網絡電話實時識 別和過濾方法，其特徵在於所述流量識別層(4)保存的SIP會話信息包 括主叫IP位址、被叫IP位址、源埠、目的埠和IP分組的淨荷信息。
4. 根據權利要求1或2中所述的基於會話發起協議的網絡電話實時識 別和過濾方法，其特徵在於所述流量識別層(4)中，當有其他會話的分 組數據到來時，更新SIP會話信息，並形成新的SIP的呼叫詳細記錄。
全文摘要
本發明公開了一種基於會話發起協議的網絡電話實時識別和過濾方法，根據數據流向依次包括數據採集層、協議分析層、流量識別層、流量控制層和表現層，其中流量識別層工作在單向流量採集方式下，對接收的分組信息根據SIP的淨荷特徵進行淨荷深度檢測，並將SIP會話信息傳給流量控制層，流量控制層工作在並聯模式下，通過信令偽裝技術對非法SIP會話實現過濾。本發明能快速準確識別基於SIP信令的網絡電話信息流，並對非法SIP會話實施有效的封鎖過濾。
文檔編號H04M7/00GK101631174SQ20091011598
公開日2010年1月20日 申請日期2009年8月14日 優先權日2009年8月14日
發明者張順頤, 攀 王, 嬌 許 申請人:蘇州銳創通信有限責任公司