地下运营商智能发现与拦截系统.doc

成果上报申请书（同2010年）成果名称“地下运营商”智能发现与拦截系统成果申报单位 江苏 省（自治区/直辖市）公司成果承担部门/分公司网络部 部门 / 分公司项目负责人姓名项目负责人联系和Email成果专业类别*核心网所属专业部门*网络线条成果研究类别*相关网络解决方案省内评审结果*优秀关键词索引（3～5个）回拨 天下通 免费通话 拦截 应用投资10 万元（指别的省引入应用大致需要的投资金额）产品版权归属单位 中国移动通信集团江苏有限公司 对企业现有标准规范的符合度：（按填写说明5）符合如果该成果来源于研发项目，请填写研发项目的年度、名称和类型（类型包括：集团重点研发项目、集团联合研发项目、省公司重点研发项目、其他研发项目），可填写多个：成果简介：简要描述成果目的和意义，解决的问题，取得的社会和经济效益背景：开展新型回拨业务(主叫用户通过GPRS网络将被叫信息传递给WAP网站，WAP网站将相关信息传递给呼叫平台，由呼叫平台完成主被叫的双路接续)的地下运营商活动猖獗，高端用户保有困难由于新型回拨业务通过GPRS网络传递主被叫号码，比传统回拨业务更加隐蔽，使用传统的从话音域进行拦截的方法比较困难；而本成果针对地下运营商的非法业务进行了深入的研究，开创出根据GPRS网络中地下运营商业务报文的特征码对非法业务进行过滤和拦截的新方法，解决了新型回拨业务拦截困难的问题，取得了良好的社会效益和经济效益。

社会效益：1）有效切断了个别社会敌对势力利用VOIP技术危害国家和社会安全的通道；2）有力控制了地下运营商对传统运营商攻击和侵蚀的态势，保持了运营商的美誉度经济效益：1）目前通过该系统已发现的地下运营商每日呼叫总量在42660次左右，若不加以拦截，以每次通话3分钟计，每日江苏移动将话务损失42660*3*0.2=25596元；因此可减少损失超过800万元/年；2）扩展至三大运营商层面，保守估计可减少损失3亿元/年省内试运行效果：描述成果引入后在本省试运行方案、取得的效果、推广价值和建议等在本省的试运行方案：我们基于GPRS信令监测系统开发了一套专门针对地下运营商的智能发现和拦截系统：在Gn接口针对地下运营商用户通过GPRS网络发送的POST请求中的“特征码信息”进行匹配分析，定时输出非法回拨业务使用的WAP网址以及用户名单，根据得到的WAP网址和IP地址自动给WAP网关和CMNET省网下发命令进行拦截目前本成果已在江苏公司投入使用，对地下运营商的非法呼叫进行了有效地拦截，每日拦截的呼叫总量达42660次左右该系统的地下运营商发现和拦截系统均具有通用性，已在集团内推广，可适用至所有运营商。

文章主体（3000字以上，可附在表格后）：根据成果研究类别，主体内容的要求有差异，具体要求见表格后的“填写说明6”一、背景情况：回拨业务，是利用固定、小灵通、接听免费的特点，将主叫用户变为被叫用户，从而达到用户节省通话资费虚拟运营商赢利的目的 由于回拨号码传递不规范，可以随意虚拟号码，为犯罪分子及别有用心的人提供方便因此，回拨业务不仅扰乱了通信市场，严重侵害合法用户的权益，且给整个通信行业造成了不良影响 为此，通信管理部门曾经三令五申，经营回呼业务属违法行为尽管如此在利益的驱动下，一些投资商仍不停的变换手段，秘密、变相经营回拨业务2010年8月开始，宿迁分公司发现市场上出现“圣丰”和天下通等免费通话的宣传广告：以圣丰为例，广告宣称购买“圣丰”后，只要开通GPRS上网和免费接听的套餐，就可免费打了由此我们经过分析发现了地下运营商经营的新型回拨业务这种新型地下运营商的特征就是呼叫信息的上报与建立两个流程分开，利用移动互联网将呼叫信息送至非法网站的数据接受平台，然后由平台发起双路呼叫 举例：圣丰及天下通宣传材料 l 圣丰：免费通话。

2680元/台，可获赠三年免费拨打和接听全国不换卡，使用本人原卡号l 天下通：只要月消费在100元以上，并开通了GPRS包月功能，在不换号码不换卡的前提下，通过天下通终端拔打全国100元不限时全包通过进一步跟踪查询，我们发现这种新型回拨业务的地下运营商已有成百上千家，并已呈燎原之势蓬勃发展在搜索引擎上，对“免费”关键字进行搜索，排名第一的网站为，登录该网站可以看到“免费”呈燎原之势蓬勃发展，几乎每天都有新的“业务产品”在上面发布广告，已成为“免费”的集散地基于新型“回拨”业务的地下运营商活动日益猖獗，疯狂入侵高端用户领地，对各大运营商的正常经营造成了巨大影响二、技术方案：1、原理分析:地下运营商的运营原理如下图所示：（1）用户通过上的应用软件输入主被叫号码以及账号密码等信息，之后利用GPRS网络将主叫用户的注册帐号及主被叫号码发送到WAP服务器，WAP服务器将相关信息传递给呼叫平台 （2）呼叫平台发起原主叫号码的呼叫，通过电信关口局接续到移动网络 （3）呼叫平台对被叫用户号码发起呼叫，通过电信关口局接续到移动网络 由于呼叫平台对双方用户发起呼叫时使用的主叫号码均是虚拟的，可以随意定义成任何看似合法的号码。

因此这种实现方式简单快捷、十分隐蔽，在移动话音网上几乎看不到明显特征如果从GPRS网络内着手，只要我们发现了地下运营商的网站和域名，对这种地下运营商的业务拦截很容易但是由于地下运营商的域名和网站及其繁多，不停变化，这个发现的过程十分困难2、拦截思路分析:既然话音网络上无法进行跟踪发现，我们只能从分组域GPRS网络上寻找突破口通过对大量地下运营商业务的抓包分析，我们发现不论地下运营商的域名和网站如何变化，基本的流程都是通过向地下运营商的服务器发起一个HTTP/WAP2.0 的POST请求，而这个POST请求几乎都包括用户的用户名、密码，主叫号码被叫号码相关的信息，并且对于每个地下运营商的业务来说这条POST请求的消息都有着相对固定的格式，我们只要将这种相对固定的格式提取出来，将其做为筛选地下运营商消息的“特征码信息”就可以有效地去查询地下运营商使用的域名，由此实现对这些域名的拦截这种拦截方法的优点：Ÿ 1.通过对地下运营商的存量用户进行监测，及时丰富特征码信息，可实现对地下运营商的智能检测Ÿ 2.除非地下运营商修改终端程序，否则无论怎么变换网站，均能被系统有效拦截3、网络解决方案：l 我们的想法是利用GPRS信令监测系统在Gn接口，对用户访问地下运营商服务器的POST请求中的“特征码信息”进行匹配分析，由智能发现系统定时输出非法回拨业务使用的WAP网址以及用户名单，根据得到的WAP网址和IP地址自动下发给WAP网关和CMNET省网下发命令进行拦截。

4、设备及系统改造/建设要求只需基于已有的GPRS信令监测系统开发一个专门针对地下运营商的智能发现与拦截系统，无需更改网络架构或添加新的网元设备5、码号要求不涉及新的码号要求三、效果1、圣丰的覆灭过程我们从圣丰宣传单页上的宣传号码入手，顺藤摸瓜进行分析根据分析，通过分析用户的历史上网记录可以清楚地看到该登陆的WAP网站：，以及相关传送信息：包括用户名密码、主被叫号码考虑到用户名和密码的消息格式比较普遍，我们将过滤的特征码设定为“*tel2= *tel1=*”，果然搜索出大量的用户使用记录之后我们又根据查出的圣丰业务用户号码查找用户的上网记录进行了反向验证，结果证明我们设定的特征码可以查出目前圣丰业务的所有WAP记录，没有遗漏2、让“天下通”无路可通根据同样的思路，我们从天下通网站上宣传的网址“”入手对“天下通”的回拨业务进行了分析URL的规律更为明显，均为/gprs/register.php和/gprs/call.php两种我们选定以此两者为匹配特征码进行了过滤查询，拦截之后，天下通不断地变化域名，目前已先后发现了近100个不同的X-online-host域名因此与地下运营商的斗争还将长期持续下去。

使用同样的方法，我们分析了uucall,vivicall，阿里通等等数十种地下运营商业务，也都发现了相应的不同特征码因此，地下运营商的WAP请求都是有规律可循的，只要我们分析得出特征码就可以过滤出这家地下运营商的所有域名加以拦截面对拦截，地下运营商必然会不断地变化域名甚至消息格式，此时我们可以根据历史查询结果得出用户数据库，只要用户继续使用，我们就可以分析出新的特征码3、效益分析本成果针对地下运营商的非法业务进行了深入的研究，开创出根据GPRS网络中地下运营商业务报文的特征码对非法业务进行过滤和拦截的新方法，解决了新型回拨业务拦截困难的问题，取得了良好的社会效益和经济效益经济效益】：1）目前通过智能发现系统已发现的地下运营商业务请求情况业务名称次数/天域名阿里通KC;:2009U; vivicall会友通易音达圣丰:::80天下通:88116.204.65.171:99.....根据此表测算通过该系统已发现的地下运营商每日呼叫总量在42660次左右，若不加以拦截，以每次通话3分钟计，每日江苏移动将话务损失42660*3*0.2=25596元；因此可减少损失超过800万元/年2）扩展至三大运营商层面，保守估计可减少损失3亿元/年。

社会效益】：1）有效切断了个别社会敌对势力利用VOIP技术危害国家和社会安全的通道；2）有力控制了地下运营商对传统运营商攻击和侵蚀的态势，保持了运营商的美誉度四、 本省应用推广情况在本省的试运行方案：我们基于GPRS信令监测系统开发了一套专门针对地下运营商的智能发现和拦截系统：在Gn接口针对地下运营商用户通过GPRS网络发送的POST请求中的“特征码信息”进行匹配分析，定时输出非法回拨业务使用的WAP网址以及用户名单，根据得到的WAP网址和IP地址自动给WAP网关和CMNET省网下发命令进行拦截l 这张图显示的是我们整个系统的原理图系统分为智能发现与拦截两大功能模块首先，我们在信令监测系统的基础上开发一个智能发现系统：针对在Gn口的报文对预设的特征码进行匹配过滤的智能检测，生成包含用户号码和用户使用WAP网址/域名的报表，并将结果保存进数据库同时根据智能检测得到的输出结果，我们的智能拦截系统将自动根据预设的指令制作脚本下发给WAP网关等网元进行拦截，同时输出执行日志备查通过这样的方式我们实现了”智能发现，快速拦截”的目的实现界面截图：目前本成果已在江。