面向网络流量的实时VoLTE语音还原、检测方法和装置

本发明涉及网络信息安全领域，涉及一种面向网络流量的实时volte语音还原、检测方法和装置。

背景技术：

1、近年来，随着智能手机的普及和新一代网络快速发展，越来越多的手机支持高清语音volte通话，同时，层出不穷的广告推销电话也使用了volte通话，而且语音编码方式多种多样。为了快速高效的发现volte通话中的垃圾信息，及时的制止网络广告推销行为，需要能够从网络流量中实时还原出各种编码的volte语音信息，并对还原的语音信息进行分析和研判，做出响应动作。然而，普通的语音还原技术还存在一些问题：

2、(1)一般的语音还原技术只能基于离线的pcap包进行语音还原，不能对网络流量实时采集并检测还原其中的语音信息。

3、(2)基于网络流量的语音还原系统，只能对单一语音编码方式进行解析，难以支持复杂多样的语音编码。

4、(3)基于网络流量的语音还原系统，只能对语音进行还原和解码，难以实时的对语音内容进行分析并根据语音内容及时做出响应动作。

技术实现思路

1、针对上述存在的问题，本发明公开了一种面向网络流量的实时volte语音还原、检测方法和装置。该实时volte语音检测方法可以研判数据流中是否有电信广告推销等行为，使得相关人员发起语音中断信号以停止会话。

2、本发明的技术方案包括：

3、一种面向网络流量的实时volte语音文件还原方法，所述方法包括：

4、构建语音流表；所述语音流表包括：会话初始协议协商的四元组信息、语音编码信息、语音数据包序号和其他会话信息；

5、在网络流量中，捕获传输层协议是udp协议的数据包；

6、根据所述数据包的应用层协议和语音流表，判断所述数据包是否包含实时传输协议；

7、在所述数据包包含实时传输协议的情况下，获取与该数据包同源且包含实时传输协议的数据包，并基于所有数据包的实时传输协议中的payload字段，进行语音文件还原。

8、进一步地，所述构建语音流表，包括：

9、在网络流量中，捕获传输层协议是tcp和udp协议的数据包；

10、解析并还原数据包的应用层协议；

11、分析所述应用层协议中是否包含会话初始协议；

12、在所述应用层协议中包含会话初始协议的情况下，基于会话初始协议协商的会话信息，提取语音通话中实时传输协议使用的四元组信息、会话id、编码类型；其中，所述四元组信息包括：源ip、源端口、目的ip和目的端口；

13、提取会话初始协议的五元组信息，使用五元组信息或反转后五元组信息查询会话流表；

14、未在会话流表中查询到会话信息的情况下，将所述五元组信息插入会话流表，并返回至所述在网络流量中，捕获传输层协议是tcp和udp协议的数据包；

15、在会话流表中查询到会话信息的情况下，判断会话流表是否有完整的实时传输协议使用的四元组信息；

16、在会话流表没有完整的实时传输协议使用的四元组信息的情况下，返回至所述在网络流量中，捕获传输层协议是tcp协议和udp协议的数据包；

17、在会话流表有完整的实时传输协议使用的四元组信息的情况下，使用该四元组信息和反转四元组信息查询语音流表；

18、未在语音流表中查询到四元组信息的情况下，将四元组信息插入语音流表，并返回至所述在网络流量中，捕获传输层协议是tcp协议和udp协议的数据包；

19、在语音流表中查询到语音信息的情况下，返回至所述在网络流量中，捕获传输层协议是tcp协议和udp协议的数据包。

20、进一步地，所述在网络流量中，捕获传输层协议是udp协议的数据包，包括：

21、捕获网络流量中的数据包；

22、对所述数据包进行隧道剥离和分片重组之后，进行eth层、ip层、tcp/udp层的解析，判断所述数据包的传输层协议是否为udp协议的数据包。

23、进一步地，所述根据所述数据包的应用层协议和语音流表，判断所述数据包是否包含实时传输协议，包括：

24、解析并还原所述数据包的应用层协议；

25、分析所述应用层协议中是否包含会话初始协议；

26、在所述应用层协议中不包含会话初始协议的情况下，提取所述数据包的四元组信息，所述四元组信息包括：源ip、源端口、目的ip和目的端口；

27、使用所述四元组信息和反转四元组信息作为key查询语音流表；

28、在语音流表中未获取相关信息的情况下，则认为该数据包不包括实时传输协议，丢弃该数据包；

29、在语音流表中获取相关信息的情况下，判断所述数据包是包含实时传输协议的数据包。

30、进一步地，所述语音编码信息包括：媒体数据编码类型，所述其他会话信息包括：会话id、用户终端、接收与发送媒体数据的地址和支持的媒体数据编码类型列表。

31、进一步地，所述在所述数据包包含实时传输协议的情况下，获取与该数据包同源且包含实时传输协议的数据包，并基于所有数据包的实时传输协议中的payload字段，进行语音文件还原，包括

32、在所述数据包包含实时传输协议的情况下，解析所述udp协议的payload字段中的实时传输协议信息，并提取所述udp协议的payload字段中的原始语音数据；所述实时传输协议信息包括：有效载荷类型、序号和同步源标识符；

33、基于所述同步源标识符，获取该数据包的同源数据包；

34、将所述数据包与所述同源数据包进行序号比对；

35、在比对结果显示所述数据包的序号为乱序的情况下，丢弃该数据包；

36、在比对结果显示所述数据包的序号正常的情况下，构建包含所述数据包与所述同源数据包的数据包集合；

37、针对数据包集合中每一数据包，提取所述实时传输协议的payload字段中的原始语音数据；

38、根据序号重组所述原始语音数据，且填充空缺数据包中的原始语音数据；

39、根据有效载荷类型对应编码类型的采样率、编码位数和通道数，对所述原始语音数据进行还原和解析后，添加音频头数据，以得到还原后的语音文件。

40、进一步地，所述在网络流量中，捕获传输层协议是udp协议的数据包之前，还包括：初始化硬件和初始化软件；其中，所述硬件包括：网卡、cpu核和内存，所述软件包括：软件主句柄、日志模块、配置管理模块、插件模块、会话流表和语音流表和通信队列。

41、一种面向网络流量的实时volte语音文件还原装置，所述装置包括：

42、构建模块，用于构建语音流表；所述语音流表包括：会话初始协议协商的四元组信息、语音编码信息和其他会话信息；

43、捕获模块，用于在网络流量中，捕获原始流量数据包；

44、判断模块，用于据所述数据包的应用层协议和语音流表，判断所述数据包是否包含实时传输协议；

45、还原模块，用于在所述数据包包含实时传输协议的情况下，获取与该数据包同源且包含实时传输协议的数据包，并基于所有数据包的实时传输协议中的payload字段，进行语音文件还原。

46、一种面向网络流量的实时volte语音文件检测方法，所述方法包括：

47、基于配置的检测规则，生成规则树；其中，每一检测规则包含一规则条件，且对应于一响应动作；

48、基于上述任一方法，还原语音文件；

49、将所述语音文件转换为文本信息；

50、将所述文本信息输入所述规则树，并在所述文本信息命中所述规则条件的情况下，执行对应的响应动作。

51、一种面向网络流量的实时volte语音文件检测装置，所述装置包括：

52、生成模块，用于基于配置的检测规则，生成规则树；

53、构建模块，用于构建语音流表；所述语音流表包括：会话初始协议协商的四元组信息、语音编码信息和其他会话信息；

54、捕获模块，用于在网络流量中，捕获原始流量数据包；

55、判断模块，用于据所述数据包的应用层协议和语音流表，判断所述数据包是否包含实时传输协议；

56、还原模块，用于在所述数据包包含实时传输协议的情况下，获取与该数据包同源且包含实时传输协议的数据包，并基于所有数据包的实时传输协议中的payload字段，进行语音文件还原。

57、转换模块，用于将所述语音文件转换为文本信息；

58、检测模块，用于将所述文本信息输入所述规则树，并在所述文本信息命中所述规则条件的情况下，执行对应的响应动作。

59、与现有技术相比，本发明具有如下的技术优势：

60、(1)本发明能够在高速骨干网络环境中，实时高效捕获数据口的lte移动网流量，快速检测还原流量中的volte语音信息。

61、(2)本发明支持对已知的20余种语音编码格式的音频文件进行解码分析，并转换为可以直接播放的语音文件。

62、(3)本发明可以对实时还原的语音信息进行分析，研判是否有电信广告推销行为，并实时做出切断语音的响应动作。