基于行為檢測的非法VOIP探測研究

王鵬

中國人民公安大學 北京 100038

0 引言

自 2008年起，一種新型的網絡電話詐騙犯罪在國內悄然興起。至 2010年，這種犯罪喧囂塵上，大有越演越烈的趨勢。這些犯罪份子利用IP語音技術的靈活性、隱蔽性和透傳性的特點，隨意虛擬、修改來電顯示號碼，冒充公安、檢察院、法院、銀行、親友等的電話，騙取巨額匯款，再利用各類銀行卡在ATM機器上異地取款。這種詐騙的手段隱蔽，讓群眾難以判斷其真假，已經嚴重損害廣大人民群眾利益。經調查，這些VOIP的經營者都是沒有經過電信管理部門審核而非法開展的VOIP業務，他們設立網關都是沒有戶口的“黑網關”，是滋生電話詐騙的源泉。打擊這些非法設立的VOIP，保護人民利益和守法經營者的利益是當務之急，而在互聯網中有效檢測這些非法VOIP行為特征成為重中之重。

1 VOIP概述

VoIP是 Voice over Internet Protocol的縮寫，指的是將模擬的聲音訊號經過壓縮與封包之后，以數據封包的形式在IP 網絡的環境進行語音訊號的傳輸，通俗來說也就是互聯網電話、網絡電話或者簡稱IP電話的意思。VoIP技術是目前互聯網應用領域的一個熱門話題，中文意思“通過IP數據包發送實現的語音業務”，它使你可以通過互聯網免費或是資費很低地傳送語音、傳真、視頻和數據等業務。其基本原理就是通過語音壓縮設備對我們的語音進行壓縮編碼處理，然后再把這些語音數據根據相關的協議進行打包，經過IP網絡把數據包傳送到目的地后，再把這些語音數據包串起來，經過解壓解碼處理后，恢復成原來的信號，從而達到由IP網絡發送語音的目的。其數據傳送過程如圖1所示。

圖1 VOIP數據傳送模型圖

2 國內外狀況

國際上并沒有一個關于 VoIP的嚴格統一定義，不同國家對 VoIP的認識有所不同。相同點是全部的或部分的基于IP協議進行信息傳輸，不同點是業務集不同，單一語音業務還是多業務集合。ITU給出的定義則是VoIP是在全部或部分基于以IP協議為基礎的分組交換網絡上傳輸融合語音、傳真和其他相關業務的電信業務。各國政府對VOIP的管制政策差異較大。總體來看，允許 VoIP合法存在的國家要比禁止VoIP的國家數量更多。很多發達國家認為VoIP業務合法，并提出了明確的規定，近年來這些國家逐步出臺的各種規定，趨勢是要將VoIP和傳統電話一樣納入正常的社會管制政策要求范圍內。大部分的發展中國家依然禁止或者要求VoIP服務者獲得需要專門的業務許可。目前的應用現狀，按照語音終端的不同組合可分為 PC-PC、PC-Phone、Phone-Phone三種方式。

2.1 PC-PC

PC-PC方式的VoIP電話主要是通過即時通訊軟件和專用的語音聊天軟件來實現，用戶終端采用PC機，利用軟件實現語音的壓縮編碼和分組打包。這一業務屬于互聯網應用，國家管制政策對其沒有明確的限制，所以從政策角度來講，目前還不能將其定位于非法 VoIP業務。該方式應用的典型代表為即時通信軟件QQ、MSN等。

2.2 PC-Phone

PC-Phone方式的VoIP業務通過部署落地網關實現互聯網用戶到傳統電話用戶的通話功能落地網關部署的主要目的是為互聯網用戶提供對傳統電信網絡的呼叫，使得長途線路完全通過 Internet網提供，從而節省了大量的長途通話費用。PC-Phone方式的VoIP業務目前主要有兩種存在方式，第一種是基礎運營商在某些地區開展的試商用網絡部署，是經過工信部審批通過的；第二種是一些地下運營組織通過巧立名目向電信部門申請中繼線而經營的 VoIP業務，該方式是國家嚴令禁止的經營行為，屬于非法經營。

2.3 Phone-Phone

Phone-Phone方式通過本地接入網關和遠端落地網關的配合，實現本地PSTN電話與普通異地PSTN電話的語音通信。該應用的主要特點為，用戶通過一個IP電話接入號碼將PSTN話音引入IP網絡進行傳輸，實現長途語音業務IP化，從而使長途通話費用大大降低。該方式的VoIP技術于99年被傳統運營商引入，并進行了大規模的商業部署，成為到目前為止最成功的商用VoIP部署模式。目前，只有6家傳統電信運營商擁有合法的Phone-Phone IP電話業務經營權，但是實際上也有一些非法運營商在經營此類業務，直接導致了合法運營商長話收入的降低。另外由于互聯網缺乏流量控制的機制，非法VoIP業務侵蝕了大量的互聯網帶寬資源，使互聯網合法用戶的帶寬得不到保證。Phone-Phone方式的IP電話還有一種形態，即企業內部點對點的IP電話，一般運用在公司總部與分支機構的語音通信中，終端仍采用傳統電話機，通話兩端分別架設IP語音網關，通過租用的IP專網實現語音通信，從而降低了龐大的企業通信費用。這種方式目前應用廣泛，由于其不涉及運營性質，所以它是一種合法的VoIP應用。

綜上所述，所謂非法 VoIP業務，主要是指未經國家監管部門允許而開展的與傳統電話網有接駁的 PC-Phone或Phone-Phone VoIP業務，而利用VOIP實施犯罪的，全部存在于非法的VOIP業務中。

3 VOIP技術特性

目前，VOIP廣泛使用的協議是H323協議和SIP協議，其中世界上最大的VOIP運營商中國聯通使用的是H323協議，美國則使用SIP協議。這兩種協議在VOIP中特點如下：

3.1 基于H.323協議的VoIP的特點：

(1) H.323協議族大體分為媒體傳輸協議RTP/RTCP、信令控制H.225.0和RAS，其中RAS基于UDP傳輸，H.225.0基于TCP傳輸，它們使用知名端口號1718、1719、1720。

(2) H.323協議的VoIP，每次通話前都有一個呼叫建立的過程，在呼叫的消息中帶有建立呼叫的所有信息，包括被叫電話號碼、遠端網關地址等，語音數據通過RTP承載。

(3) H.225.0/Q.931的首字節是0816H，Setup消息的消息類型是05H。

3.2 基于SIP協議的VoIP的特點：

(1) SIP協議可以用TCP承載，也可以用UDP承載，建立使用UDP承載。無論是TCP還是UDP承載，使用的端口號都是：5059、5060、5061；

(2) SIP協議采用文本傳輸，每行以CRLF結束；

(3) SIP協議的VoIP與H.323協議的VoIP一樣，每次通話前都有一個呼叫建立的過程，在呼叫的消息中帶有建立呼叫的所有信息，包括被叫電話號碼、本地網關地址、遠端網關地址等，語音數據也是通過RTP承載；

(4) SIP協議的呼叫過程總體上由請求消息和響應消息構成，其原因是SIP協議建議承載在UDP報文上，而UDP在傳輸層不提供確認機制，必須由應用層來負責，因此每一個請求都要有響應。

4 基于行為檢測的非法VOIP探測

VOIP數據包在互聯網上傳輸時，遵循網絡傳輸協議。其TCP/UDP報文使用的端口號是相對固定的1718、1719、1720和5059、5060、5061六個端口。通過對其使用端口的檢測及信令解析有無被叫電話號碼，可以確定是否為 VOIP數據包。前面談到非法VOIP定性是制度定性，即沒有通過工信部審批而設立的VOIP網關。因此，合法的VOIP網關地址一定是在管理部門備案的，將合法VOIP網關地址生成數據庫，以此對照上面檢測出的設立網關地址，即可知其所設立的VOIP是否合法。具體流程如圖2。

圖2 流程圖

5 結束語

基于行為檢測的非法 VOIP探測只是開啟了非法 VOIP防控及打擊利用非法VOIP技術實施犯罪的第一步，對于非法 VOIP的定位和利用 VOIP 實施犯罪的取證及對非法VOIP的阻斷、干擾等方面仍然面臨許多技術難點和制度阻礙，因此對非法VOIP及利用非法VOIP實施犯罪的打擊防控道路任重而道遠。

[1]馮衛國.試論網絡犯罪及其控制對策[J].2002.

[2]趙秉志.新千年刑法熱點問題研究與適用(上).中國檢察出版社.2001.

[3]郭潔.網絡犯罪的刑法制衡[J].甘肅政法學院學報.2004.

[4]金其高.犯罪學[M].中國方正出版社.2006.