(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111660544.7 (22)申请日 2021.12.3 0 (71)申请人 天津市国瑞数码安全系统股份有限 公司 地址 300000 天津市滨 海新区华苑产业区 海泰绿色产业基地K1-1- 601室 (72)发明人 温志斌　吴冠标　张钧勃　 (74)专利代理 机构 天津玺名知识产权代理有限 公司 12237 专利代理师 刘畅 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/14(2022.01) (54)发明名称 一种基于VoIP行为特征的疑似有害网关发 现方法及系统 (57)摘要 本发明涉及一种基于VoIP行为特征的疑似 有害网关发现方法及系统， 所述一种基于VoIP行 为特征的疑似有害网关发现方法包括： 利用IP数 据包获取SIP信令日志数据； 利用所述SIP信令日 志数据带入预先训练的网关判断模型得到网关 判断模型结果； 利用所述网关判断模 型结果得到 疑似有害网关判断结果， 对筛选出的日志数据根 据源IP地址进行聚类， 结合信令网关节点的行为 特性， 配合IP网关的检测方法检测VoIP电话网关 的危害度， 从而分析发现网络中的疑似有害信令 网关节点。 权利要求书1页 说明书6页 附图2页 CN 114499996 A 2022.05.13 CN 114499996 A 1.一种基于Vo IP行为特 征的疑似有 害网关发现方法， 其特 征在于， 包括： 利用IP数据包获取SIP信令日志数据； 利用所述SIP信令日志数据带入预 先训练的网关判断模型 得到网关判断模型 结果； 利用所述网关判断模型 结果得到疑似有 害网关判断结果。 2.如权利要求1所述方法， 其特 征在于， 所述利用IP数据包获取SIP信令日志数据包括： 对初始SIP信令日志数据基于文本编码模式进行固定关键字字段命名后， 利用IP数据 基于固定关键 字字段命名筛 选得到SIP信令日志数据。 3.如权利要求1所述方法， 其特 征在于， 所述网关判断模型的训练包括： 利用SIP信令日志数据根据源IP地址、 目的IP地址、 主被叫账号进行筛选， 得到待处理 SIP信令日志数据； 利用所述待处 理SIP信令日志数据根据源IP地址进行聚类得到聚类SIP信令日志数据； 利用所述聚类SIP信令日志数据基于网关IP行为特征获取聚类SIP信令数据的行为特 征数据； 利用聚类SIP信 令数据的行为特征数据基于网关判断模型参数进行分析得到网关判断 模型； 其中， 模型参数为话务量阈值范围、 源IP来源地、 发现工作时间段话务量占比阈值范围 以及信令网关节点与被叫账号的对应关系。 4.如权利要求1所述方法， 其特征在于， 所述利用网关判断模型结果得到疑似有害网关 判断结果包括： 当所述网关判断模型结果为网关IP数据时， 判断所述网关IP数据对应的话务量阈值是 否大于m％， 若是， 则进行信令网关发现时间内的话务量判断获取疑似有害网关判断结果， 否则， 放弃处 理； 当所述网关判断模型结果不为网关IP数据时， 所述网关判断模型结果为非疑似有害网 关。 5.如权利要求4所述方法， 其特征在于， 所述进行信 令网关发现时间内的话务量判断获 取疑似有 害网关判断结果包括： 判断所述网关IP数据对应的信令网关发现时间内的话务量占比阈值是否大于n％， 若 是， 则疑似有 害网关判断结果 为疑似有 害网关， 否则， 为非疑似有 害网关。 6.如权利要求5所述方法， 其特 征在于， 所述 n％与m％的取值范围均大于 50％。 7.如权利要求1所述方法， 其特征在于， 一种基于VoIP行为特征的疑似有害网关发现方 法还包括： 利用所述网关判断模型 结果对应的疑似有 害网关建立疑似有 害网关库； 利用网关判断模型基于所述疑似有 害网关库进行训练。 8.一种基于Vo IP行为特 征的疑似有 害网关发现系统， 其特 征在于， 包括： 获取模块， 用于利用IP数据包获取SIP信令日志数据； 判断模块， 用于利用所述SIP信令日志数据带入预先训练的网关判断模型得到网关判 断模型结果； 分析模块， 用于利用所述网关判断模型 结果得到疑似有 害网关判断结果。权　利　要　求　书 1/1 页 2 CN 114499996 A 2一种基于VoIP行为特征的疑似有害 网关发现方 法及系统 技术领域 [0001]本发明涉及通信技术领域， 具体涉及一种基于VoIP行为特征的疑似有害网关发现 方法及系统。 背景技术 [0002]近年来互联网的不断发展， 借助成熟的IP语音处理技术和开发的互联网环境， 以 网络通讯介质为媒介的网络诈骗、 非法言论等犯罪呈现了普遍蔓延的趋势， VoIP业务具备 开放的应用环境和 灵活的应用方式， 使得VoIP网络的安全性和可管性越来越差， 并且随着 时间的推移， 为了躲避监管， 非法 网关通常采用非标准端口或私有协 议进行通信， 常用的基 于端口的检测方法逐渐难以适用， 给防范和打击此类犯罪带来很大困难， 部分电信诈骗电 话、 推销电话、 非法言论通过接入VoIP电话网关实现改号， 当被叫所属人被骗之后， 往往无 法通过诈骗电话追寻到诈骗者。 发明内容 [0003]针对现有技术的不足， 本 发明提供了一种基于VoIP行为特征的疑似有害网关发现 方法， 其特 征在于， 包括： 利用IP数据包获取SIP信令日志数据； [0004]利用所述SIP信令日志数据带入预先训练的网关判断模型得到网关判断模型结 果； [0005]利用所述网关判断模型 结果得到疑似有 害网关判断结果。 [0006]优选的， 所述利用IP数据包获取SIP信令日志数据包括： [0007]对初始SIP信令日志数据基于文本编码模式进行固定关键字字段命名后， 利用IP 数据基于固定关键 字字段命名筛 选得到SIP信令日志数据。 [0008]优选的， 所述网关判断模型的训练包括： [0009]利用SIP信令日志数据根据源IP地址、 目的IP地址、 主被叫账号进行筛选， 得到待 处理SIP信令日志数据； [0010]利用所述待处理SIP信令日志数据根据源IP地址进行聚类得到聚类SIP信令日志 数据； [0011]利用所述聚类SIP信令日志数据基于网关IP行为特征获取聚类SIP信令数据的行 为特征数据； [0012]利用聚类SIP信令数据的行为特征数据基于网关判断模型参数进行分析得到网关 判断模型； [0013]其中， 模型参数为话务量阈值范围、 源IP来源地、 发现工作时间段话务量占比阈值 范围以及信令网关节点与被叫账号的对应关系。 [0014]优选的， 所述利用网关判断模型 结果得到疑似有 害网关判断结果包括： [0015]当所述网关判断模型结果为网关IP数据时， 判断所述网关IP数据 对应的话务量阈 值是否大于 m％， 若是， 则进行信令网关发现时间内的话务量判断获取疑似有害网关判断结说　明　书 1/6 页 3 CN 114499996 A 3