地下運營商智能發(fā)現(xiàn)與攔截系統(tǒng)

1、成果上報申請書（同2010年）成果名稱“地下運營商”智能發(fā)現(xiàn)與攔截系統(tǒng)成果申報單位 江蘇 ?。ㄗ灾螀^(qū)/直轄市）公司成果承擔部門/分公司網(wǎng)絡(luò)部 部門 / 分公司項目負責人姓名項目負責人聯(lián)系電話和email成果專業(yè)類別*核心網(wǎng)所屬專業(yè)部門*網(wǎng)絡(luò)線條成果研究類別*相關(guān)網(wǎng)絡(luò)解決方案省內(nèi)評審結(jié)果*優(yōu)秀關(guān)鍵詞索引（35個）回撥 天下通 免費通話手機 攔截 應(yīng)用投資10 萬元（指別的省引入應(yīng)用大致需要的投資金額）產(chǎn)品版權(quán)歸屬單位 中國移動通信集團江蘇有限公司 對企業(yè)現(xiàn)有標準規(guī)范的符合度：（按填寫說明5）符合如果該成果來源于研發(fā)項目，請?zhí)顚懷邪l(fā)項目的年度、名稱和類型（類型包括：集團重點研發(fā)項目、集團聯(lián)合研發(fā)項

2、目、省公司重點研發(fā)項目、其他研發(fā)項目），可填寫多個：成果簡介：簡要描述成果目的和意義，解決的問題，取得的社會和經(jīng)濟效益。背景：開展新型回撥業(yè)務(wù)(主叫用戶通過gprs網(wǎng)絡(luò)將被叫信息傳遞給wap網(wǎng)站，wap網(wǎng)站將相關(guān)信息傳遞給呼叫平臺，由呼叫平臺完成主被叫的雙路接續(xù))的地下運營商活動猖獗，高端用戶保有困難。由于新型回撥業(yè)務(wù)通過gprs網(wǎng)絡(luò)傳遞主被叫號碼，比傳統(tǒng)回撥業(yè)務(wù)更加隱蔽，使用傳統(tǒng)的從話音域進行攔截的方法比較困難；而本成果針對地下運營商的非法業(yè)務(wù)進行了深入的研究，開創(chuàng)出根據(jù)gprs網(wǎng)絡(luò)中地下運營商業(yè)務(wù)報文的特征碼對非法業(yè)務(wù)進行過濾和攔截的新方法，解決了新型回撥業(yè)務(wù)攔截困難的問題，取得了良好的社

3、會效益和經(jīng)濟效益。社會效益：1）有效切斷了個別社會敵對勢力利用voip技術(shù)危害國家和社會安全的通道；2）有力控制了地下運營商對傳統(tǒng)運營商攻擊和侵蝕的態(tài)勢，保持了運營商的美譽度。經(jīng)濟效益：1）目前通過該系統(tǒng)已發(fā)現(xiàn)的地下運營商每日呼叫總量在42660次左右，若不加以攔截，以每次通話3分鐘計，每日江蘇移動將話務(wù)損失42660*3*0.2=25596元；因此可減少損失超過800萬元/年；2）擴展至三大運營商層面，保守估計可減少損失3億元/年。省內(nèi)試運行效果：描述成果引入后在本省試運行方案、取得的效果、推廣價值和建議等。在本省的試運行方案：我們基于gprs信令監(jiān)測系統(tǒng)開發(fā)了一套專門針對地下運營商的智能發(fā)

4、現(xiàn)和攔截系統(tǒng)：在gn接口針對地下運營商用戶通過gprs網(wǎng)絡(luò)發(fā)送的post請求中的“特征碼信息”進行匹配分析，定時輸出非法回撥業(yè)務(wù)使用的wap網(wǎng)址以及用戶名單，根據(jù)得到的wap網(wǎng)址和ip地址自動給wap網(wǎng)關(guān)和cmnet省網(wǎng)下發(fā)命令進行攔截。目前本成果已在江蘇公司投入使用，對地下運營商的非法呼叫進行了有效地攔截，每日攔截的呼叫總量達42660次左右。該系統(tǒng)的地下運營商發(fā)現(xiàn)和攔截系統(tǒng)均具有通用性，已在集團內(nèi)推廣，可適用至所有運營商。文章主體（3000字以上，可附在表格后）：根據(jù)成果研究類別，主體內(nèi)容的要求有差異，具體要求見表格后的“填寫說明6”。一、背景情況：電話回撥業(yè)務(wù)，是利用固定電話、小靈通、手

5、機接聽免費的特點，將主叫用戶變?yōu)楸唤杏脩簦瑥亩_到用戶節(jié)省通話資費虛擬運營商贏利的目的。 由于回撥電話號碼傳遞不規(guī)范，可以隨意虛擬號碼，為犯罪分子及別有用心的人提供方便。因此，回撥業(yè)務(wù)不僅擾亂了通信市場，嚴重侵害合法用戶的權(quán)益，且給整個通信行業(yè)造成了不良影響 。為此，通信管理部門曾經(jīng)三令五申，經(jīng)營回呼業(yè)務(wù)屬違法行為。盡管如此在利益的驅(qū)動下，一些投資商仍不停的變換手段，秘密、變相經(jīng)營回撥業(yè)務(wù)。2010年8月開始，宿遷分公司發(fā)現(xiàn)市場上出現(xiàn)“圣豐”和天下通等免費通話手機的宣傳廣告：以圣豐為例，廣告宣稱購買“圣豐”手機后，只要開通gprs上網(wǎng)和免費接聽的套餐，就可免費打電話了。由此我們經(jīng)過分析發(fā)現(xiàn)了地

6、下運營商經(jīng)營的新型回撥業(yè)務(wù)。這種新型地下運營商的特征就是呼叫信息的上報與建立兩個流程分開，利用移動互聯(lián)網(wǎng)將呼叫信息送至非法網(wǎng)站的數(shù)據(jù)接受平臺，然后由平臺發(fā)起雙路呼叫。 舉例：圣豐及天下通宣傳材料 l 圣豐手機：免費通話手機。手機2680元/臺，可獲贈三年免費撥打和接聽全國電話。不換卡，使用本人原手機卡號。l 天下通：只要月消費在100元以上，并開通了gprs包月功能，在不換號碼不換卡的前提下，通過天下通手機終端拔打全國電話100元不限時全包。通過進一步跟蹤查詢，我們發(fā)現(xiàn)這種新型回撥業(yè)務(wù)的地下運營商已有成百上千家，并已呈燎原之勢蓬勃發(fā)展。在搜索引擎上，對“免費電話”關(guān)鍵字進行搜索，排名第一的網(wǎng)站

7、為，登錄該網(wǎng)站可以看到“免費電話”呈燎原之勢蓬勃發(fā)展，幾乎每天都有新的“業(yè)務(wù)產(chǎn)品”在上面發(fā)布廣告，已成為“免費電話”的集散地。基于新型“回撥”業(yè)務(wù)的地下運營商活動日益猖獗，瘋狂入侵高端用戶領(lǐng)地，對各大運營商的正常經(jīng)營造成了巨大影響。二、技術(shù)方案：1、原理分析:地下運營商的運營原理如下圖所示：（1）用戶通過手機上的應(yīng)用軟件輸入主被叫號碼以及賬號密碼等信息，之后手機利用gprs網(wǎng)絡(luò)將主叫用戶的注冊帳號及主被叫號碼發(fā)送到wap服務(wù)器，wap服務(wù)器將相關(guān)信息傳遞給呼叫平臺。 （2）呼叫平臺發(fā)起原主叫號碼的呼叫，通過電信關(guān)口局接續(xù)到移動網(wǎng)絡(luò)。 （3）呼叫平臺對被叫用戶號碼發(fā)起呼叫，通過電信關(guān)口局接續(xù)到移

8、動網(wǎng)絡(luò)。 由于呼叫平臺對雙方用戶發(fā)起呼叫時使用的主叫號碼均是虛擬的，可以隨意定義成任何看似合法的號碼。因此這種實現(xiàn)方式簡單快捷、十分隱蔽，在移動話音網(wǎng)上幾乎看不到明顯特征。如果從gprs網(wǎng)絡(luò)內(nèi)著手，只要我們發(fā)現(xiàn)了地下運營商的網(wǎng)站和域名，對這種地下運營商的業(yè)務(wù)攔截很容易。但是由于地下運營商的域名和網(wǎng)站及其繁多，不停變化，這個發(fā)現(xiàn)的過程十分困難。2、攔截思路分析:既然話音網(wǎng)絡(luò)上無法進行跟蹤發(fā)現(xiàn)，我們只能從分組域gprs網(wǎng)絡(luò)上尋找突破口。通過對大量地下運營商業(yè)務(wù)的抓包分析，我們發(fā)現(xiàn)不論地下運營商的域名和網(wǎng)站如何變化，基本的流程都是通過手機向地下運營商的服務(wù)器發(fā)起一個http/wap2.0 的post

9、請求，而這個post請求幾乎都包括用戶的用戶名、密碼，主叫號碼被叫號碼相關(guān)的信息，并且對于每個地下運營商的業(yè)務(wù)來說這條post請求的消息都有著相對固定的格式，我們只要將這種相對固定的格式提取出來，將其做為篩選地下運營商消息的“特征碼信息”就可以有效地去查詢地下運營商使用的域名，由此實現(xiàn)對這些域名的攔截。這種攔截方法的優(yōu)點： 1.通過對地下運營商的存量用戶進行監(jiān)測，及時豐富特征碼信息，可實現(xiàn)對地下運營商的智能檢測。 2.除非地下運營商修改終端程序，否則無論怎么變換網(wǎng)站，均能被系統(tǒng)有效攔截。3、網(wǎng)絡(luò)解決方案：l 我們的想法是利用gprs信令監(jiān)測系統(tǒng)在gn接口，對用戶訪問地下運營商服務(wù)器的post請

10、求中的“特征碼信息”進行匹配分析，由智能發(fā)現(xiàn)系統(tǒng)定時輸出非法回撥業(yè)務(wù)使用的wap網(wǎng)址以及用戶名單，根據(jù)得到的wap網(wǎng)址和ip地址自動下發(fā)給wap網(wǎng)關(guān)和cmnet省網(wǎng)下發(fā)命令進行攔截。4、設(shè)備及系統(tǒng)改造/建設(shè)要求只需基于已有的gprs信令監(jiān)測系統(tǒng)開發(fā)一個專門針對地下運營商的智能發(fā)現(xiàn)與攔截系統(tǒng)，無需更改網(wǎng)絡(luò)架構(gòu)或添加新的網(wǎng)元設(shè)備。5、碼號要求不涉及新的碼號要求三、效果1、圣豐的覆滅過程我們從圣豐宣傳單頁上的宣傳號碼入手，順藤摸瓜進行分析。根據(jù)分析，通過分析用戶的歷史上網(wǎng)記錄可以清楚地看到該手機登陸的wap網(wǎng)站：，以及相關(guān)傳送信息：包括用戶名密碼、主被叫號碼?？紤]到用戶名和密碼的消息格式比較普遍，我

11、們將過濾的特征碼設(shè)定為“*tel2= *tel1=*”，果然搜索出大量的用戶使用記錄。之后我們又根據(jù)查出的圣豐業(yè)務(wù)用戶號碼查找用戶的上網(wǎng)記錄進行了反向驗證，結(jié)果證明我們設(shè)定的特征碼可以查出目前圣豐業(yè)務(wù)的所有wap記錄，沒有遺漏。2、讓“天下通”無路可通根據(jù)同樣的思路，我們從天下通網(wǎng)站上宣傳的網(wǎng)址“”入手對“天下通”的回撥業(yè)務(wù)進行了分析。url的規(guī)律更為明顯，均為/gprs/register.php和/gprs/call.php兩種。.我們選定以此兩者為匹配特征碼進行了過濾查詢，攔截之后，天下通不斷地變化域名，目前已先后發(fā)現(xiàn)了近100個不同的x-online-host域名。因此與地下運營商的斗爭

12、還將長期持續(xù)下去。使用同樣的方法，我們分析了uucall,vivicall，阿里通等等數(shù)十種地下運營商業(yè)務(wù)，也都發(fā)現(xiàn)了相應(yīng)的不同特征碼。因此，地下運營商的wap請求都是有規(guī)律可循的，只要我們分析得出特征碼就可以過濾出這家地下運營商的所有域名加以攔截。面對攔截，地下運營商必然會不斷地變化域名甚至消息格式，此時我們可以根據(jù)歷史查詢結(jié)果得出用戶數(shù)據(jù)庫，只要用戶繼續(xù)使用，我們就可以分析出新的特征碼。3、效益分析本成果針對地下運營商的非法業(yè)務(wù)進行了深入的研究，開創(chuàng)出根據(jù)gprs網(wǎng)絡(luò)中地下運營商業(yè)務(wù)報文的特征碼對非法業(yè)務(wù)進行過濾和攔截的新方法，解決了新型回撥業(yè)務(wù)攔截困難的問題，取得了良好的社會效益和經(jīng)濟效

13、益。【經(jīng)濟效益】：1）目前通過智能發(fā)現(xiàn)系統(tǒng)已發(fā)現(xiàn)的地下運營商業(yè)務(wù)請求情況業(yè)務(wù)名稱次數(shù)/天域名阿里通2450kc16000;:2009uucall15000; vivicall會友通710易音達700圣豐1300:80:80:80天下通6500:8871:99.根據(jù)此表測算通過該系統(tǒng)已發(fā)現(xiàn)的地下運營商每日呼叫總量在42660次左右，若不加以攔截，以每次通話3分鐘計，每日江蘇移動將話務(wù)損失42660*3*0.2=25596元；因此可減少損失超過800萬元/年2）擴展至三大運營商層面，保守估計可減少損失3億元/年?！旧鐣б妗浚?）有效切斷了個別社會敵

14、對勢力利用voip技術(shù)危害國家和社會安全的通道；2）有力控制了地下運營商對傳統(tǒng)運營商攻擊和侵蝕的態(tài)勢，保持了運營商的美譽度。四、 本省應(yīng)用推廣情況在本省的試運行方案：我們基于gprs信令監(jiān)測系統(tǒng)開發(fā)了一套專門針對地下運營商的智能發(fā)現(xiàn)和攔截系統(tǒng)：在gn接口針對地下運營商用戶通過gprs網(wǎng)絡(luò)發(fā)送的post請求中的“特征碼信息”進行匹配分析，定時輸出非法回撥業(yè)務(wù)使用的wap網(wǎng)址以及用戶名單，根據(jù)得到的wap網(wǎng)址和ip地址自動給wap網(wǎng)關(guān)和cmnet省網(wǎng)下發(fā)命令進行攔截。l 這張圖顯示的是我們整個系統(tǒng)的原理圖。系統(tǒng)分為智能發(fā)現(xiàn)與攔截兩大功能模塊。首先，我們在信令監(jiān)測系統(tǒng)的基礎(chǔ)上開發(fā)一個智能發(fā)現(xiàn)系統(tǒng)：針

15、對在gn口的報文對預(yù)設(shè)的特征碼進行匹配過濾的智能檢測，生成包含用戶號碼和用戶使用wap網(wǎng)址/域名的報表，并將結(jié)果保存進數(shù)據(jù)庫。同時根據(jù)智能檢測得到的輸出結(jié)果，我們的智能攔截系統(tǒng)將自動根據(jù)預(yù)設(shè)的指令制作腳本下發(fā)給wap網(wǎng)關(guān)等網(wǎng)元進行攔截，同時輸出執(zhí)行日志備查。通過這樣的方式我們實現(xiàn)了”智能發(fā)現(xiàn)，快速攔截”的目的。實現(xiàn)界面截圖：目前本成果已在江蘇公司投入使用，對地下運營商的非法呼叫進行了有效地攔截，每日攔截的呼叫總量達42660次左右，攔截成功率達99%以上。攔截之后，各地下運營商均不斷地變化域名，以天下通業(yè)務(wù)為例，目前已先后發(fā)現(xiàn)了近100個不同的x-online-host域名。因此與地下運營商的

16、斗爭還將長期持續(xù)下去。本成果的地下運營商發(fā)現(xiàn)和攔截系統(tǒng)均具有通用性，可在集團內(nèi)推廣，并可適用至所有運營商?！俺晒蠄笊暾垥钡奶顚懻f明：1、“成果專業(yè)類別”指：核心網(wǎng)、無線、傳輸、ip、網(wǎng)管、業(yè)務(wù)支撐、管理信息系統(tǒng)、市場研究、數(shù)據(jù)業(yè)務(wù)、數(shù)據(jù)網(wǎng)絡(luò)、通信電源、空調(diào)、其他。2、“成果研究類別”指：超前研究、新產(chǎn)品開發(fā)、相關(guān)網(wǎng)絡(luò)解決方案、現(xiàn)有業(yè)務(wù)優(yōu)化、其他。3、“所屬專業(yè)部門”指：完成該成果的單位在省公司或地市分公司所屬的專業(yè)部門線條?？商顚懀阂?guī)劃計劃線條、網(wǎng)絡(luò)線條、業(yè)務(wù)支撐線條、管理信息系統(tǒng)線條、數(shù)據(jù)線條、市場線條、集團客戶線條、其他。4、“省內(nèi)評審結(jié)果”指：優(yōu)秀、通過。5、“對企業(yè)現(xiàn)有標準規(guī)范的符

17、合度”指：列舉該成果使用并符合的中國移動統(tǒng)一發(fā)布的企業(yè)標準的名稱和編號，詳細描述該成果在現(xiàn)有的企業(yè)標準基礎(chǔ)上所需新增的功能要求（如業(yè)務(wù)流程的改變、設(shè)備新增的功能要求等）。6、“文章主體”：根據(jù)不同科技成果分類實施不同的主體要求，具體如下：1）超前研究類成果主體包括： 背景情況 技術(shù)特點分析 標準化情況 其他運營商應(yīng)用情況（可選） 技術(shù)發(fā)展趨勢 引入策略分析2）相關(guān)網(wǎng)絡(luò)解決方案類成果主體包括： 背景情況 技術(shù)方案：概述、網(wǎng)絡(luò)解決方案（如果涉及到網(wǎng)絡(luò)方面的改造，信令改造，路由改造等，應(yīng)有詳細的描述）、設(shè)備及系統(tǒng)改造/建設(shè)要求、碼號資源需求 效果（解決了哪些問題） 本省應(yīng)用推廣情況3）新產(chǎn)品開發(fā)類成果主體包括： 業(yè)務(wù)及功能簡介：業(yè)務(wù)概述、業(yè)務(wù)主要功能介紹 技術(shù)實現(xiàn)方案：包括業(yè)務(wù)實現(xiàn)組網(wǎng)結(jié)構(gòu)圖、相關(guān)系統(tǒng)（平臺、終端）功能和要求、業(yè)務(wù)實現(xiàn)流程、碼號要求等 業(yè)務(wù)申請和開通：包括用戶范圍及業(yè)務(wù)使用范圍、