[发明专利]一种基于VoIP行为特征的疑似有害网关发现方法及系统

说明书

本发明涉及一种基于VoIP行为特征的疑似有害网关发现方法及系统，所述一种基于VoIP行为特征的疑似有害网关发现方法包括：利用IP数据包获取SIP信令日志数据；利用所述SIP信令日志数据带入预先训练的网关判断模型得到网关判断模型结果；利用所述网关判断模型结果得到疑似有害网关判断结果，对筛选出的日志数据根据源IP地址进行聚类，结合信令网关节点的行为特性，配合IP网关的检测方法检测VoIP电话网关的危害度，从而分析发现网络中的疑似有害信令网关节点。

技术领域

本发明涉及通信技术领域，具体涉及一种基于VoIP行为特征的疑似有害网关发现方法及系统。

背景技术

近年来互联网的不断发展，借助成熟的IP语音处理技术和开发的互联网环境，以网络通讯介质为媒介的网络诈骗、非法言论等犯罪呈现了普遍蔓延的趋势，VoIP业务具备开放的应用环境和灵活的应用方式，使得VoIP网络的安全性和可管性越来越差，并且随着时间的推移，为了躲避监管，非法网关通常采用非标准端口或私有协议进行通信，常用的基于端口的检测方法逐渐难以适用，给防范和打击此类犯罪带来很大困难，部分电信诈骗电话、推销电话、非法言论通过接入VoIP电话网关实现改号，当被叫所属人被骗之后，往往无法通过诈骗电话追寻到诈骗者。

发明内容

针对现有技术的不足，本发明提供了一种基于VoIP行为特征的疑似有害网关发现方法，其特征在于，包括：利用IP数据包获取SIP信令日志数据；

利用所述SIP信令日志数据带入预先训练的网关判断模型得到网关判断模型结果；

利用所述网关判断模型结果得到疑似有害网关判断结果。

优选的，所述利用IP数据包获取SIP信令日志数据包括：

对初始SIP信令日志数据基于文本编码模式进行固定关键字字段命名后，利用IP数据基于固定关键字字段命名筛选得到SIP信令日志数据。

优选的，所述网关判断模型的训练包括：

利用SIP信令日志数据根据源IP地址、目的IP地址、主被叫账号进行筛选，得到待处理SIP信令日志数据；

利用所述待处理SIP信令日志数据根据源IP地址进行聚类得到聚类SIP信令日志数据；

利用所述聚类SIP信令日志数据基于网关IP行为特征获取聚类SIP信令数据的行为特征数据；

利用聚类SIP信令数据的行为特征数据基于网关判断模型参数进行分析得到网关判断模型；

其中，模型参数为话务量阈值范围、源IP来源地、发现工作时间段话务量占比阈值范围以及信令网关节点与被叫账号的对应关系。

优选的，所述利用网关判断模型结果得到疑似有害网关判断结果包括：

当所述网关判断模型结果为网关IP数据时，判断所述网关IP数据对应的话务量阈值是否大于m％，若是，则进行信令网关发现时间内的话务量判断获取疑似有害网关判断结果，否则，放弃处理；

当所述网关判断模型结果不为网关IP数据时，所述网关判断模型结果为非疑似有害网关。

进一步的，所述进行信令网关发现时间内的话务量判断获取疑似有害网关判断结果包括：

判断所述网关IP数据对应的信令网关发现时间内的话务量占比阈值是否大于n％，若是，则疑似有害网关判断结果为疑似有害网关，否则，为非疑似有害网关。

进一步的，所述n％与m％的取值范围均大于50％。

优选的，一种基于VoIP行为特征的疑似有害网关发现方法还包括：

利用所述网关判断模型结果对应的疑似有害网关建立疑似有害网关库；