基于行为检测的非法VOIP探测研究

2013-09-17王鹏

网络安全技术与应用 2013年1期

王鹏

中国人民公安大学北京 100038

0 引言

自 2008年起，一种新型的网络电话诈骗犯罪在国内悄然兴起。至 2010年，这种犯罪喧嚣尘上，大有越演越烈的趋势。这些犯罪份子利用IP语音技术的灵活性、隐蔽性和透传性的特点，随意虚拟、修改来电显示号码，冒充公安、检察院、法院、银行、亲友等的电话，骗取巨额汇款，再利用各类银行卡在ATM机器上异地取款。这种诈骗的手段隐蔽，让群众难以判断其真假，已经严重损害广大人民群众利益。经调查，这些VOIP的经营者都是没有经过电信管理部门审核而非法开展的VOIP业务，他们设立网关都是没有户口的“黑网关”，是滋生电话诈骗的源泉。打击这些非法设立的VOIP，保护人民利益和守法经营者的利益是当务之急，而在互联网中有效检测这些非法VOIP行为特征成为重中之重。

1 VOIP概述

VoIP是 Voice over Internet Protocol的缩写，指的是将模拟的声音讯号经过压缩与封包之后，以数据封包的形式在IP 网络的环境进行语音讯号的传输，通俗来说也就是互联网电话、网络电话或者简称IP电话的意思。VoIP技术是目前互联网应用领域的一个热门话题，中文意思“通过IP数据包发送实现的语音业务”，它使你可以通过互联网免费或是资费很低地传送语音、传真、视频和数据等业务。其基本原理就是通过语音压缩设备对我们的语音进行压缩编码处理，然后再把这些语音数据根据相关的协议进行打包，经过IP网络把数据包传送到目的地后，再把这些语音数据包串起来，经过解压解码处理后，恢复成原来的信号，从而达到由IP网络发送语音的目的。其数据传送过程如图1所示。

图1 VOIP数据传送模型图

2 国内外状况

国际上并没有一个关于 VoIP的严格统一定义，不同国家对 VoIP的认识有所不同。相同点是全部的或部分的基于IP协议进行信息传输，不同点是业务集不同，单一语音业务还是多业务集合。ITU给出的定义则是VoIP是在全部或部分基于以IP协议为基础的分组交换网络上传输融合语音、传真和其他相关业务的电信业务。各国政府对VOIP的管制政策差异较大。总体来看，允许 VoIP合法存在的国家要比禁止VoIP的国家数量更多。很多发达国家认为VoIP业务合法，并提出了明确的规定，近年来这些国家逐步出台的各种规定，趋势是要将VoIP和传统电话一样纳入正常的社会管制政策要求范围内。大部分的发展中国家依然禁止或者要求VoIP服务者获得需要专门的业务许可。目前的应用现状，按照语音终端的不同组合可分为 PC-PC、PC-Phone、Phone-Phone三种方式。

2.1 PC-PC

PC-PC方式的VoIP电话主要是通过即时通讯软件和专用的语音聊天软件来实现，用户终端采用PC机，利用软件实现语音的压缩编码和分组打包。这一业务属于互联网应用，国家管制政策对其没有明确的限制，所以从政策角度来讲，目前还不能将其定位于非法 VoIP业务。该方式应用的典型代表为即时通信软件QQ、MSN等。

2.2 PC-Phone

PC-Phone方式的VoIP业务通过部署落地网关实现互联网用户到传统电话用户的通话功能落地网关部署的主要目的是为互联网用户提供对传统电信网络的呼叫，使得长途线路完全通过 Internet网提供，从而节省了大量的长途通话费用。PC-Phone方式的VoIP业务目前主要有两种存在方式，第一种是基础运营商在某些地区开展的试商用网络部署，是经过工信部审批通过的；第二种是一些地下运营组织通过巧立名目向电信部门申请中继线而经营的 VoIP业务，该方式是国家严令禁止的经营行为，属于非法经营。

2.3 Phone-Phone

Phone-Phone方式通过本地接入网关和远端落地网关的配合，实现本地PSTN电话与普通异地PSTN电话的语音通信。该应用的主要特点为，用户通过一个IP电话接入号码将PSTN话音引入IP网络进行传输，实现长途语音业务IP化，从而使长途通话费用大大降低。该方式的VoIP技术于99年被传统运营商引入，并进行了大规模的商业部署，成为到目前为止最成功的商用VoIP部署模式。目前，只有6家传统电信运营商拥有合法的Phone-Phone IP电话业务经营权，但是实际上也有一些非法运营商在经营此类业务，直接导致了合法运营商长话收入的降低。另外由于互联网缺乏流量控制的机制，非法VoIP业务侵蚀了大量的互联网带宽资源，使互联网合法用户的带宽得不到保证。Phone-Phone方式的IP电话还有一种形态，即企业内部点对点的IP电话，一般运用在公司总部与分支机构的语音通信中，终端仍采用传统电话机，通话两端分别架设IP语音网关，通过租用的IP专网实现语音通信，从而降低了庞大的企业通信费用。这种方式目前应用广泛，由于其不涉及运营性质，所以它是一种合法的VoIP应用。

综上所述，所谓非法 VoIP业务，主要是指未经国家监管部门允许而开展的与传统电话网有接驳的 PC-Phone或Phone-Phone VoIP业务，而利用VOIP实施犯罪的，全部存在于非法的VOIP业务中。

3 VOIP技术特性

目前，VOIP广泛使用的协议是H323协议和SIP协议，其中世界上最大的VOIP运营商中国联通使用的是H323协议，美国则使用SIP协议。这两种协议在VOIP中特点如下：

3.1 基于H.323协议的VoIP的特点：

(1) H.323协议族大体分为媒体传输协议RTP/RTCP、信令控制H.225.0和RAS，其中RAS基于UDP传输，H.225.0基于TCP传输，它们使用知名端口号1718、1719、1720。

(2) H.323协议的VoIP，每次通话前都有一个呼叫建立的过程，在呼叫的消息中带有建立呼叫的所有信息，包括被叫电话号码、远端网关地址等，语音数据通过RTP承载。

(3) H.225.0/Q.931的首字节是0816H，Setup消息的消息类型是05H。

3.2 基于SIP协议的VoIP的特点：

(1) SIP协议可以用TCP承载，也可以用UDP承载，建立使用UDP承载。无论是TCP还是UDP承载，使用的端口号都是：5059、5060、5061；

(2) SIP协议采用文本传输，每行以CRLF结束；

(3) SIP协议的VoIP与H.323协议的VoIP一样，每次通话前都有一个呼叫建立的过程，在呼叫的消息中带有建立呼叫的所有信息，包括被叫电话号码、本地网关地址、远端网关地址等，语音数据也是通过RTP承载；

(4) SIP协议的呼叫过程总体上由请求消息和响应消息构成，其原因是SIP协议建议承载在UDP报文上，而UDP在传输层不提供确认机制，必须由应用层来负责，因此每一个请求都要有响应。

4 基于行为检测的非法VOIP探测

VOIP数据包在互联网上传输时，遵循网络传输协议。其TCP/UDP报文使用的端口号是相对固定的1718、1719、1720和5059、5060、5061六个端口。通过对其使用端口的检测及信令解析有无被叫电话号码，可以确定是否为 VOIP数据包。前面谈到非法VOIP定性是制度定性，即没有通过工信部审批而设立的VOIP网关。因此，合法的VOIP网关地址一定是在管理部门备案的，将合法VOIP网关地址生成数据库，以此对照上面检测出的设立网关地址，即可知其所设立的VOIP是否合法。具体流程如图2。