一种基于VoIP行为特征的疑似有害网关发现方法及系统技术方案

本发明专利技术涉及一种基于VoIP行为特征的疑似有害网关发现方法及系统，所述一种基于VoIP行为特征的疑似有害网关发现方法包括：利用IP数据包获取SIP信令日志数据；利用所述SIP信令日志数据带入预先训练的网关判断模型得到网关判断模型结果；利用所述网关判断模型结果得到疑似有害网关判断结果，对筛选出的日志数据根据源IP地址进行聚类，结合信令网关节点的行为特性，配合IP网关的检测方法检测VoIP电话网关的危害度，从而分析发现网络中的疑似有害信令网关节点。网关节点。网关节点。

【技术实现步骤摘要】
一种基于VoIP行为特征的疑似有害网关发现方法及系统


[0001]本专利技术涉及通信
，具体涉及一种基于VoIP行为特征的疑似有害网关发现方法及系统。

技术介绍

[0002]近年来互联网的不断发展，借助成熟的IP语音处理技术和开发的互联网环境，以网络通讯介质为媒介的网络诈骗、非法言论等犯罪呈现了普遍蔓延的趋势，VoIP业务具备开放的应用环境和灵活的应用方式，使得VoIP网络的安全性和可管性越来越差，并且随着时间的推移，为了躲避监管，非法网关通常采用非标准端口或私有协议进行通信，常用的基于端口的检测方法逐渐难以适用，给防范和打击此类犯罪带来很大困难，部分电信诈骗电话、推销电话、非法言论通过接入VoIP电话网关实现改号，当被叫所属人被骗之后，往往无法通过诈骗电话追寻到诈骗者。

技术实现思路

[0003]针对现有技术的不足，本专利技术提供了一种基于VoIP行为特征的疑似有害网关发现方法，其特征在于，包括：利用IP数据包获取SIP信令日志数据；
[0004]利用所述SIP信令日志数据带入预先训练的网关判断模型得到网关判断模型结果；
[0005]利用所述网关判断模型结果得到疑似有害网关判断结果。
[0006]优选的，所述利用IP数据包获取SIP信令日志数据包括：
[0007]对初始SIP信令日志数据基于文本编码模式进行固定关键字字段命名后，利用IP数据基于固定关键字字段命名筛选得到SIP信令日志数据。
[0008]优选的，所述网关判断模型的训练包括：
[0009]利用SIP信令日志数据根据源IP地址、目的IP地址、主被叫账号进行筛选，得到待处理SIP信令日志数据；
[0010]利用所述待处理SIP信令日志数据根据源IP地址进行聚类得到聚类SIP信令日志数据；
[0011]利用所述聚类SIP信令日志数据基于网关IP行为特征获取聚类SIP信令数据的行为特征数据；
[0012]利用聚类SIP信令数据的行为特征数据基于网关判断模型参数进行分析得到网关判断模型；
[0013]其中，模型参数为话务量阈值范围、源IP来源地、发现工作时间段话务量占比阈值范围以及信令网关节点与被叫账号的对应关系。
[0014]优选的，所述利用网关判断模型结果得到疑似有害网关判断结果包括：
[0015]当所述网关判断模型结果为网关IP数据时，判断所述网关IP数据对应的话务量阈值是否大于m％，若是，则进行信令网关发现时间内的话务量判断获取疑似有害网关判断结
果，否则，放弃处理；
[0016]当所述网关判断模型结果不为网关IP数据时，所述网关判断模型结果为非疑似有害网关。
[0017]进一步的，所述进行信令网关发现时间内的话务量判断获取疑似有害网关判断结果包括：
[0018]判断所述网关IP数据对应的信令网关发现时间内的话务量占比阈值是否大于n％，若是，则疑似有害网关判断结果为疑似有害网关，否则，为非疑似有害网关。
[0019]进一步的，所述n％与m％的取值范围均大于50％。
[0020]优选的，一种基于VoIP行为特征的疑似有害网关发现方法还包括：
[0021]利用所述网关判断模型结果对应的疑似有害网关建立疑似有害网关库；
[0022]利用网关判断模型基于所述疑似有害网关库进行训练。
[0023]基于同一专利技术构思，本专利技术还提供了一种基于VoIP行为特征的疑似有害网关发现系统，其特征在于，包括：
[0024]获取模块，用于利用IP数据包获取SIP信令日志数据；
[0025]判断模块，用于利用所述SIP信令日志数据带入预先训练的网关判断模型得到网关判断模型结果；
[0026]分析模块，用于利用所述网关判断模型结果得到疑似有害网关判断结果。
[0027]与最接近的现有技术相比，本专利技术具有的有益效果：
[0028]本专利技术的基于VoIP行为特征的疑似有害网关发现方法通过采集SIP信令日志数据，检测IP数据包中是否出现协议的特征关键字，获取SIP信令日志数据，从日志中筛选出包含源IP地址、目的IP地址、主被叫账号的信令日志数据，对筛选出的日志数据根据源IP地址进行聚类，结合信令网关节点的行为特性，配合IP网关的检测方法检测VoIP电话网关的危害度，从而分析发现网络中的疑似有害信令网关节点。
附图说明
[0029]图1是本专利技术提供的一种基于VoIP行为特征的疑似有害网关发现方法流程图；
[0030]图2是本专利技术提供的一种基于VoIP行为特征的疑似有害网关发现系统示意图；
[0031]图3是本专利技术提供的一种基于VoIP行为特征的疑似有害网关发现方法具体实施流程图。
具体实施方式
[0032]下面结合附图对本专利技术的具体实施方式作进一步的详细说明。
[0033]为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本专利技术保护的范围。
[0034]实施例1：
[0035]本专利技术提供了一种基于VoIP行为特征的疑似有害网关发现方法，如图1所示，包括：
[0036]利用IP数据包获取SIP信令日志数据；
[0037]利用所述SIP信令日志数据带入预先训练的网关判断模型得到网关判断模型结果；
[0038]利用所述网关判断模型结果得到疑似有害网关判断结果。
[0039]所述利用IP数据包获取SIP信令日志数据包括：
[0040]对初始SIP信令日志数据基于文本编码模式进行固定关键字字段命名后，利用IP数据基于固定关键字字段命名筛选得到SIP信令日志数据。
[0041]所述网关判断模型的训练包括：
[0042]利用SIP信令日志数据根据源IP地址、目的IP地址、主被叫账号进行筛选，得到待处理SIP信令日志数据；
[0043]利用所述待处理SIP信令日志数据根据源IP地址进行聚类得到聚类SIP信令日志数据；
[0044]利用所述聚类SIP信令日志数据基于网关IP行为特征获取聚类SIP信令数据的行为特征数据；
[0045]利用聚类SIP信令数据的行为特征数据基于网关判断模型参数进行分析得到网关判断模型；
[0046]其中，模型参数为话务量阈值范围、源IP来源地、发现工作时间段话务量占比阈值范围以及信令网关节点与被叫账号的对应关系。
[0047]所述利用网关判断模型结果得到疑似有害网关判断结果包括：
[0048]当所述网关判断模型结果为网关IP数据时，判断所述网关IP数据对应的话务量阈值是否大于m％，若是，则进行信令网关发现时间内的话务量判断获取疑似有害网关判断结果，否则，放弃处理；
[0049]当所述网关本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于VoIP行为特征的疑似有害网关发现方法，其特征在于，包括：利用IP数据包获取SIP信令日志数据；利用所述SIP信令日志数据带入预先训练的网关判断模型得到网关判断模型结果；利用所述网关判断模型结果得到疑似有害网关判断结果。2.如权利要求1所述方法，其特征在于，所述利用IP数据包获取SIP信令日志数据包括：对初始SIP信令日志数据基于文本编码模式进行固定关键字字段命名后，利用IP数据基于固定关键字字段命名筛选得到SIP信令日志数据。3.如权利要求1所述方法，其特征在于，所述网关判断模型的训练包括：利用SIP信令日志数据根据源IP地址、目的IP地址、主被叫账号进行筛选，得到待处理SIP信令日志数据；利用所述待处理SIP信令日志数据根据源IP地址进行聚类得到聚类SIP信令日志数据；利用所述聚类SIP信令日志数据基于网关IP行为特征获取聚类SIP信令数据的行为特征数据；利用聚类SIP信令数据的行为特征数据基于网关判断模型参数进行分析得到网关判断模型；其中，模型参数为话务量阈值范围、源IP来源地、发现工作时间段话务量占比阈值范围以及信令网关节点与被叫账号的对应关系。4.如权利要求1所述方法，其特征在于，所述利用网关判断模型结果得到疑似有害网关判断结果包括...

【专利技术属性】
技术研发人员：温志斌，吴冠标，张钧勃，
申请(专利权)人：天津市国瑞数码安全系统股份有限公司，
类型：发明
国别省市：