CN114221993B

CN114221993B - 移动式GoIP设备监测方法、装置、存储介质及电子设备

Info

Publication number: CN114221993B
Application number: CN202111527829.3A
Authority: CN
Inventors: 陈龙如; 张国新; 王哲
Original assignee: China Telecom Corp Ltd
Current assignee: China Telecom Corp Ltd
Priority date: 2021-12-14
Filing date: 2021-12-14
Publication date: 2024-06-28
Anticipated expiration: 2041-12-14
Also published as: CN114221993A

Abstract

本公开涉及移动通信网络安全领域，提供了一种移动式GoIP设备监测方法及装置、计算机存储介质、电子设备，方法包括：获取目标远程控制软件标识信息和目标报文信息；将所述远程控制软件标识信息与所述目标远程控制软件标识信息进行匹配，将所述报文信息与所述目标报文信息进行匹配，并根据匹配结果获取目标移动号码；根据所述目标移动号码确定基站信息，并根据所述基站信息确定所述GoIP设备的位置。本公开一方面能够在设备部署和调试阶段进行GoIP设备的监测，属于事前监测，可以早发现、早制止，有效避免广大用户的财产损失；另一方面该方法操作简单，成本低，易于推广应用，具有较大的实用价值。

Description

移动式GoIP设备监测方法、装置、存储介质及电子设备

技术领域

本公开涉及移动通信网络安全技术领域，特别涉及一种移动式GOIP 设备监测方法、移动式GOIP设备监测装置、计算机存储介质及电子设备。

背景技术

GoIP(GSM over Internet Protocol)设备是一种具备多条线路并可配备多达上百个手机SIM卡，支持手机电话卡接入并将传统电话信号转化为网络信号，实现多个手机号同时通话的网络通信硬件设备。使用GoIP设备，可以从境外任意切换手机号码拨打受害人电话，具有无人值守、双向通话、规避一般***不能回拨的弊端，隐匿犯罪分子位置的功能。

目前，监测GoIP设备的方法都是基于诈骗分子开始拨打诈骗电话产生的语音和流量，进行各种分析，进而发现GoIP设备，这些方法都是事后监测，存在滞后性，当执法人员赶到犯罪现场时诈骗分子已经不见了，另外对于移动式GoIP设备也不能进行有效监测，以至于打击GoIP找的难度更大。

鉴于此，本领域亟需开发一种针对移动式GoIP设备的监测方法及装置。

需要说明的是，上述背景技术部分公开的信息仅用于加强对本公开的背景的理解。

发明内容

本公开的目的在于提供一种移动式GOIP设备监测方法、移动式GOIP 设备监测装置、计算机存储介质及电子设备，进而至少在一定程度上实现对移动式GoIP设备进行事前监测，能更快地监测发现移动式GoIP设备，帮助执法部门及时掌握诈骗分子的作案地点，并在诈骗分子实施诈骗之前将其绳之以法，保护群众的财产安全。

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

根据本公开的第一方面，提供一种移动式GoIP设备监测方法，包括：

获取目标远程控制软件标识信息和目标报文信息，其中所述目标远程控制软件标识信息是与所述GoIP设备关联的远程控制软件所对应的标识信息，所述目标报文信息是所述GoIP设备与SIMBANK服务器通信所产生的固定报文信息；

获取通过移动网络传输的数据包，解析所述数据包以获取远程控制标识信息和报文信息；

将所述远程控制软件标识信息与所述目标远程控制软件标识信息进行匹配，将所述报文信息与所述目标报文信息进行匹配，并根据匹配结果获取目标移动号码；

根据所述目标移动号码确定基站信息，并根据所述基站信息确定所述GoIP设备的位置。

在本公开的示例性实施例中，所述远程控制软件标识信息为远程控制软件的域名信息；

所述解析所述数据包以获取远程控制软件标识信息，包括：

解析所述数据包，判断所述数据包中是否存在与远程控制软件的域名信息对应的字节；

若存在，则获取所述远程控制软件的域名信息。

在本公开的示例性实施例中，所述解析所述数据包以获取报文信息，包括：

判断所述数据包的类型；

当所述数据包的类型为心跳包时，解析所述数据包以获取所述报文信息。

在本公开的示例性实施例中，所述根据匹配结果获取目标移动号码，包括：

当所述远程控制标识信息与所述目标远程控制软件标识信息相同，且所述报文信息与所述目标报文信息相同时，获取与所述远程控制标识信息和所述报文信息对应的移动号码作为所述目标移动号码。

在本公开的示例性实施例中，所述将所述远程控制标识信息与所述目标远程控制软件标识信息进行匹配，将所述报文信息与所述目标报文信息进行匹配，并根据匹配结果获取目标移动号码，包括：

当所述远程控制软件标识信息与所述目标远程控制软件标识信息相同时，获取与所述远程控制软件标识信息对应的第一移动号码；

根据所述第一移动号码确定待处理数据包，获取所述待处理数据包中的所有心跳包，并解析所述心跳包以获取报文信息；

当所述报文信息与目标报文信息相同时，获取与所述报文信息对应的第二移动号码作为所述目标移动号码。

在本公开的示例性实施例中，所述根据所述目标移动号码确定基站信息，并根据所述基站信息确定所述GoIP设备的位置，包括：

根据所述目标移动号码发送的呼叫请求确定所述基站信息；

基于所述基站信息，通过三角定位法确定所述GoIP设备的位置。

在本公开的示例性实施例中，所述方法还包括：

获取与所述GoIP设备连接的MIFI设备；

监测是否存在通过所述MIFI设备进行网络通话的第三移动号码；

从所述目标移动号码中剔除所述第三移动号码，以获取第四移动号码；

根据所述第四移动号码确定基站信息，并根据所述基站信息确定所述GoIP设备的位置。

根据本公开的第二方面，提供一种移动式GoIP设备监测装置，包括：

信息获取模块，用于获取目标远程控制软件标识信息和目标报文信息，其中所述目标远程控制软件标识信息是与所述GoIP设备关联的远程控制软件所对应的标识信息，所述目标报文信息是所述GoIP设备与 SIMBANK服务器通信所产生的固定报文信息；

解析模块，用于获取通过移动网络传输的数据包，解析所述数据包以获取远程控制标识信息和报文信息；

匹配模块，用于将所述远程控制软件标识信息与所述目标远程控制软件标识信息进行匹配，将所述报文信息与所述目标报文信息进行匹配，并根据匹配结果获取目标移动号码；

位置确定模块，用于根据所述目标移动号码确定基站信息，并根据所述基站信息确定所述GoIP设备的位置。

根据本公开的第三方面，提供一种计算机存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现上述的移动式GoIP设备监测方法。

根据本公开的第四方面，提供一种电子设备，其特征在于，包括：

处理器；以及

存储器，用于存储所述处理器的可执行指令；

其中，所述处理器配置为经由执行所述可执行指令来执行上述的移动式GoIP设备监测方法。

由上述技术方案可知，本公开示例性实施例中的移动式GoIP设备监测方法、移动式GoIP设备监测装置、计算机存储介质及电子设备至少具备以下优点和积极效果：

本公开中的移动式GoIP设备监测方法，首先获取目标远程控制软件标识信息和目标报文信息，该目标远程控制软件标识信息是与GoIP设备关联的远程控制软件所对应的标识信息，目标报文信息是GoIP设备与 SIMBANK服务器通信所产生的固定报文信息；然后获取通过移动网络传输的数据包，通过解析以获取远程控制标识信息和报文信息；接着将远程控制标识信息与目标远程控制软件标识信息进行匹配，将报文信息与目标报文信息进行匹配，并根据匹配结果获取目标移动号码；最后根据目标移动号码确定基站信息，并根据基站信息确定GoIP设备的位置。本公开的移动式GoIP设备监测方法一方面能够在诈骗团伙进行设备部署和调试时就监测到移动式GoIP设备，属于事前监测，能有效打击移动式的电信诈骗，避免群众财产遭受损失；另一方面方法简单，成本低，易于推广应用，具有较大的实用价值。

本公开应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出本公开示例性实施例中移动式GoIP设备监测***的架构示意图；

图2示出本公开示例性实施例中移动式GoIP设备监测方法的流程示意图；

图3示出本公开示例性实施例中采用移动式GoIP设备进行电信诈骗的诈骗***架构图；

图4示出本公开示例性实施例中获取目标移动号码的流程示意图；

图5示出本公开示例性实施例中另一种获取目标移动号码的流程示意图；

图6示出本公开示例性实施例中移动式GoIP设备监测装置的结构示意图；

图7示出本公开示例性实施例中计算机存储介质的结构示意图；

图8示出本公开示例性实施例中电子设备的结构示意图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中，提供许多具体细节从而给出对本公开的实施方式的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而省略所述特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。

本说明书中使用用语“一个”、“一”、“该”和“所述”用以表示存在一个或多个要素/组成部分/等；用语“包括”和“具有”用以表示开放式的包括在内的意思并且是指除了列出的要素/组成部分/等之外还可存在另外的要素/组成部分/等；用语“第一”和“第二”等仅作为标记使用，不是对其对象的数量限制。

此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。

图1示出了应用本公开实施例的技术方案的移动式GoIP设备监测方法的示例性***架构，如图1所示，***架构包括数据包抓取装置101、数据处理装置102和网络103。其中数据包抓取装置101用于从后台抓取通过移动网络传输的数据包，并将抓取的数据包通过网络103传输至数据处理装置102；数据处理装置102用于对数据包进行解析以获取包头、包体等，进而根据所获取的信息判断发送该数据包的移动用户是否为违法用户，具体地，可以对数据包进行解析获取其中可能包含的远程控制软件的标识信息和报文信息，通过将远程控制软件标识信息和报文信息分别与目标远程控制软件标识信息和目标报文信息进行匹配，当远程控制软件标识信息和报文信息与目标远程控制软件标识信息和目标报文信息相同时，即可获取对应的移动号码作为目标移动号码，该目标移动号码即为诈骗团伙所使用的移动号码；接着根据目标移动号码确定其所对应的基站信息，并根据基站信息确定移动式GoIP设备的位置；网络 103用于在数据包抓取装置101和数据处理装置102之间提供通信链路，其可以包括各种连接类型，例如有线通信链路、无线通信链路等等，在本公开实施例中，网络具体可以是移动网络。

应该理解，数据包抓取装置101、数据处理装置102和网络103的数目仅仅是示意性的。根据实现需要，可以具有任意数目的数据包抓取装置101、数据处理装置102和网络103。值得说明的是，本公开中的数据处理装置102可以是独立的服务器、终端设备或者是多个服务器形成的服务器集群。

在本公开的相关技术中，通常采用“事后监测”的方法识别GoIP 设备，事后监测主要是根据通过GoIP设备拨号产生的通话流量和语音进行监测，判断其是否违法。诈骗分子可能向固定电话或者移动电话进行拨号进行诈骗，相应的，通话后可以生成固话话单Mw和移动电话话单 Mc，通过分析固话话单Mw、移动电话话单Mc和通话流量即可发现GoIP 设备，但是该方法具有滞后性，执法部门掌握GoIP设备的位置后对犯罪分子进行逮捕也会存在延迟，进而使得犯罪分子逃之夭夭，对群众的财产安全造成了重大影响。另外，固定式的GoIP窝点会在短时间内被打掉，因此境内雇佣人员开始使用车载移动式GoIP设备进行诈骗活动，他们在车上放置GoIP设备，并用车供电，然后开车在高速公路行驶，这种方式对于执法部门和侦查机关来说，不仅仅是人机分离和卡分离，还有很强的流动性，以至于打击GoIP诈骗的难度更大。

针对相关技术中存在的问题，本公开提出了一种移动式GoIP设备监测方法，该移动式GoIP设备监测方法可以由数据处理装置执行，如图1 中所示的数据处理装置102。图2示出了移动式GoIP设备监测方法的流程图，如图2所示，移动式GoIP设备监测方法包括：

步骤S210：获取目标远程控制软件标识信息和目标报文信息，其中所述目标远程控制软件标识信息是与所述GoIP设备关联的远程控制软件所对应的标识信息，所述目标报文信息是所述GoIP设备与SIMBANK 服务器通信所产生的固定报文信息；

步骤S220：获取通过移动网络传输的数据包，解析所述数据包以获取远程控制软件标识信息和报文信息；

步骤S230：将所述远程控制软件标识信息与所述目标远程控制软件标识信息进行匹配，将所述报文信息与所述目标报文信息进行匹配，并根据匹配结果获取目标移动号码；

步骤S240：根据所述目标移动号码确定基站信息，并根据所述基站信息确定所述GoIP设备的位置。

本公开的移动式GoIP设备监测方法通过将解析得到的远程控制软件标识信息和报文信息与目标远程控制软件标识信息和目标报文信息进行匹配，以获取目标移动号码，然后根据目标移动号码确定基站信息，最后根据基站信息确定移动式GoIP设备的位置。本公开的移动式GoIP 设备监测方法一方面能够基于远程控制软件标识信息和报文信息定位移动式GoIP设备的位置，在设备的部署和调试阶段即可完成，属于事前监测，能够保证时效性；另一方面能够精准定位GoIP设备的位置，能够有效侦查流动式诈骗活动，及早部署，将犯罪分子绳之于法，保障群众的财产安全；再一方面，该方法操作简单，移动式GOIP设备监测装置的制造成本低，易于推广应用，具有较大的实用价值。

下面对图2所示的移动式GoIP设备监测方法的各个步骤进行详细说明。

在步骤S210中，获取目标远程控制软件标识信息和目标报文信息，其中所述目标远程控制软件标识信息是与所述GoIP设备关联的远程控制软件所对应的标识信息，所述目标报文信息是所述GoIP设备与 SIMBANK服务器通信所产生的固定报文信息。

在本公开的示例性实施例中，虽然使用GoIP设备可以从境外任意切换手机号码拨打受害人电话，但是诈骗分子身在境外，就需要通过某种方式来对移动式GoIP设备进行远程遥控。三大运营商的4G/5G移动网络只允许终端IP主动往外网发起访问，禁止外网主动访问终端IP，因此境外诈骗分子想要远程遥控移动式GoIP设备，就需要在GoIP设备所在的网络下配置一台笔记本电脑，且安装远程控制软件，连通境外网络和移动网络，从而远程操控GoIP设备。

图3示出了采用移动式GoIP设备进行电信诈骗的诈骗***架构图，如图3所示，该***包括远端电脑301、VoIP平台302、猫池303、 SIMBANK服务器304、近端电脑305、MIFI306、GOIP网关307、基站 308、电话终端309。

其中，VoIP平台302、猫池303和SIMBANK服务器304均设置于云端，VoIP平台302具体为一台虚拟机，VoIP(Voice over Internet Protocol) 就是将模拟信号(Voice)数字化，以数据封包的形式在IP网络(IP Network)上做实时传递；猫池303中存储有多张SIM卡的信息，通过SIMBANK 服务器304可以将猫池303中的SIM卡信息发送至GoIP网关307，以便GoIP网关307与基站308连接后，进行拨号呼叫；远端电脑301和近端电脑305中安装有远程控制软件，境外犯罪分子通过在远端电脑301 中的远程控制软件的登陆界面中输入近端电脑305中的远程控制软件的识别码，即可与近端电脑305连接，并远程操控近端电脑305，进而可以控制GoIP网关307与基站308连接，并拨号与被叫用户的电话终端 309进行连接，然后境外犯罪分子即可通过VoIP平台303和GoIP网关 307进行电话诈骗；MIFI 306是移动路由器，可以为近端电脑305、GoIP 网关307提供网络环境，保证其可通过移动网络进行数据传输，在本公开的实施例中，MIFI 306具体可以是4G MIFI，也可以是5G MIFI，当然还可以是其它类型的移动路由器，本公开实施例对此不做具体限定。

在本公开的示例性实施例中，由于通过远程控制软件将远端电脑与近端电脑连通、SIMBANK服务器和GoIP设备之间的连通是实现远程电信诈骗的必要条件，因此在设备的部署和调试阶段，可以根据远程控制软件的流量特征以及GoIP设备和SIMBANK服务器之间的通信流量特征对移动式GoIP设备进行监测。

为了有效监测移动式GoIP设备，可以预先搭建一个与图3所示的诈骗***架构相同的模拟诈骗***，通过重现诈骗场景，拉取并分析各个设备的流量特征，以获取实施诈骗时远程控制软件的流量特征以及GoIP 设备和SIMBANK服务器之间的通信流量特征。

在本公开的实施例中，远程控制软件的流量特征具体为远程控制软件的标识信息，根据模拟诈骗***所获取的远程控制软件的标识信息记为目标远程控制软件标识信息，GoIP设备和SIMBANK服务器之间的通信流量特征具体为数据包中的固定报文，根据模拟诈骗***所获取的报文信息记为目标报文信息，进而可以将目标远程控制软件标识信息和目标报文信息作为参考标准，用于识别诈骗活动，并监测移动式GoIP设备。

在本公开的示例性实施例中，远程控制软件可以是现有的远程控制软件，例如向日葵、Teamviewer等等，目标远程控制软件标识信息可以是远程控制软件的专用域名，例如向日葵的专用域名为oray.com， Teamviewer的专用域名为teamviewer.com。值得注意的是，目标远程控制软件标识信息还可以是其它的目标远程控制软件的专有信息，包括且不限于上述的专用域名。

在本公开的示例性实施例中，SIMBANK服务器和移动式GoIP设备之间的连接为长连接，长连接是指不管有无数据包的发送都长期保持建立的连接。为了保持长连接，在SIMBANK服务器和移动式GoIP设备之间传输的数据包通常为心跳包，该心跳包是在移动式GoIP设备和 SIMBANK服务器间定时通知对方自己状态的一个自己定义的命令字，按照一定的时间间隔发送，类似于心跳，因此在本公开的实施例中，可以通过筛选心跳包，并根据心跳包的内容判断所侦查的设备是否为GoIP 设备。

在本公开的示例性实施例中，SIMBANK服务器设置于云端，通过 TCP协议或者UDP协议与移动式GoIP设备进行信息传输，在传输的心跳包中通常包含有固定报文信息，例如：TCP Data：OOAABBCC，因此在本公开的实施例中可以将心跳包中所包含的固定报文信息作为目标报文信息，并根据目标报文信息对后续解析得到的报文信息进行识别，进而实现对移动式GoIP设备进行监测。

在步骤S220中，获取通过移动网络传输的数据包，解析所述数据包以获取远程控制软件标识信息和报文信息。

在本公开的示例性实施例中，在获取目标远程控制软件标识信息和目标报文信息后，可以实时获取通过移动网络传输的数据包，并对数据包进行解析，以获取其中包含的远程控制软件标识信息和报文信息。接着可以根据目标远程控制软件标识信息、目标报文信息以及获取的远程控制软件标识信息和报文信息判断该数据包是否是由包含移动式GoIP设备的诈骗***生成，进而实现对移动式GoIP设备的监测。

值得注意的是，实时获取的数据包数量庞大，有的数据包可能既包含远程控制软件的标识信息又包含报文信息，有的数据包可能只包含报文信息不包含远程控制软件的标识信息，因此可以在获取通过移动网络传输的数据包后，首先判断数据包中是否存在对应远程控制软件的标识信息的字节，如果没有则将该数据包剔除掉，只保留既包含远程控制软件标识信息又包含报文信息的数据包；然后再对既包含远程控制软件的标识信息又包含报文信息的数据包逐个进行解析，以获取其中的远程控制软件标识信息和报文信息；接着将远程控制软件标识信息和报文信息分别与目标远程控制软件标识信息和目标报文信息进行匹配，以判断所解析的数据包是否是违法用户发出的。

在本公开的示例性实施例中，在解析数据包获取远程控制软件标识信息时，可以先判断数据包中是否存在远程控制软件的域名信息所对应的字节，如果存在则获取远程控制软件的域名信息；在解析数据包获取报文信息时，可以先判断数据包的类型，当数据包的类型为心跳包时，则解析该数据包以获取其中的报文信息。

在步骤S230中，将所述远程控制软件标识信息与所述目标远程控制软件标识信息进行匹配，将所述报文信息与所述目标报文信息进行匹配，并根据匹配结果获取目标移动号码。

在本公开的示例性实施例中，在根据目标远程控制软件标识信息、目标报文信息以及解析获取的远程控制软件标识信息和报文信息进行移动式GoIP设备的监测时，可以将远程控制软件标识信息和目标远程控制软件标识信息进行匹配，并将报文信息和目标报文信息进行匹配，当远程控制软件标识信息和目标远程控制软件标识信息相同，且报文信息和目标报文信息相同时，说明所解析的数据包对应的移动用户为违法用户，其所使用的移动号码为可疑号码，该可疑号码即为目标移动号码。根据该目标移动号码可以确定为其提供通信链接的基站，并根据基站信息确定移动式GoIP设备的位置。

在本公开的示例性实施例中，可以通过两种不同的方式获取目标移动号码。

图4示出了获取目标移动号码的流程示意图，如图4所示：

在步骤S401中，对获取的数据包进行解析，以获取远程控制软件标识信息和报文信息；

在步骤S402中，同时对远程控制软件标识信息和报文信息进行匹配；

在步骤S403中，当远程控制软件标识信息和目标远程控制软件标识信息相同，且报文信息和目标报文信息相同时，确定目标数据包，并获取目标数据包所对应的移动号码；

在步骤S404中，将步骤S403中所确定的移动号码作为目标移动号码。

图5示出了另一种获取目标移动号码的流程示意图，如图5所示：

在步骤S501中，对获取的数据包进行解析，以获取远程控制软件标识信息；

在步骤S502中，将远程控制软件标识信息和目标远程控制软件标识信息进行匹配；

在步骤S503中，当二者相同时，获取与该远程控制软件标识信息对应的第一移动号码，并根据第一移动号码确定待处理数据包；

在步骤S504中，获取待处理数据包中的所有心跳包，并解析心跳包以获取报文信息；

在步骤S505中，将报文信息与目标报文信息进行匹配；

在步骤S506中，当二者相同时，获取与该报文信息对应的第二移动号码，并将该第二移动号码作为目标移动号码。

在步骤S240中，根据所述目标移动号码确定基站信息，并根据所述基站信息确定所述GoIP设备的位置。

在本公开的示例性实施例中，在确定目标移动号码后，可以通过定位***对该目标移动号码进行定位追踪，以获取与该目标移动号码连接的基站，在确定基站信息后，可以根据基站信息确定移动式GoIP设备的位置。具体地，可以根据目标移动号码发送的呼叫信号或与目标移动号码相关的话单确定与目标移动号码连接的基站，并根据基站信息通过三角定位法定位到位于该基站覆盖范围内的移动式GoIP设备。

在本公开的示例性实施例中，如图2所示，包含移动式GoIP设备的诈骗***中还包括MIFI设备，MIFI设备集调制解调器、路由器和接入器三者功能于一身，其不仅可以作为热点为移动式GoIP设备和近端电脑提供网络环境，还可以在***SIM卡后进行上网和网络通话，比如微信语音通话等，但是在本公开的实施例中，只需MIFI设备提供网络环境，进行数据传输，并不需要其所能提供的通话功能，因此在获取目标移动号码后，还可以将通过MIFI设备进行网络通话的第三移动号码从目标移动号码中剔除掉，以获取第四移动号码作为最终的目标移动号码，进而可以根据最终确定的目标移动号码确定基站信息，并根据基站信息定位移动式GoIP设备的位置。通过剔除MIFI设备产生的通话记录所对应的移动用户，可以保证所获取的目标移动号码对应的移动用户必然是使用移动式GoIP设备进行诈骗的违法分析，提高了侦查的精准度。

本公开实施例中的移动式GoIP设备监测方法，通过对后台抓取的数据包进行解析，以获取其中的远程控制软件标识信息和报文信息，然后将远程控制软件标识信息和报文信息分别与目标远程控制软件标识信息和目标报文信息进行匹配，当二者均相同时，获取与远程控制软件标识信息和报文信息对应的目标移动号码，进而根据目标移动号码确定与其连接的基站信息，进而根据基站信息定位移动式GoIP设置。本公开实施例所提供的移动式GoIP设备的监测方法，一方面能够在设备部署和调试阶段进行GoIP设备的监测，属于事前监测，可以早发现、早制止，有效避免广大用户的财产损失；另一方面该方法操作简单，成本低，易于推广应用，具有较大的实用价值。

本公开还提供了一种移动式GoIP设备监测装置，图6示出了移动式 GoIP设备监测装置的结构示意图，如图6所示，移动式GoIP设备监测装置600可以包括信息获取模块601、解析模块602、匹配模块603和位置确定模块604。其中：

信息获取模块601，用于获取目标远程控制软件标识信息和目标报文信息，其中所述目标远程控制软件标识信息是与所述GoIP设备关联的远程控制软件所对应的标识信息，所述目标报文信息是所述GoIP设备与 SIMBANK服务器通信所产生的固定报文信息；

解析模块602，用于获取通过移动网络传输的数据包，解析所述数据包以获取远程控制软件标识信息和报文信息；

匹配模块603，用于将所述远程控制软件标识信息与所述目标远程控制软件标识信息进行匹配，将所述报文信息与所述目标报文信息进行匹配，并根据匹配结果获取目标移动号码；

位置确定模块604，用于根据所述目标移动号码确定基站信息，并根据所述基站信息确定所述GoIP设备的位置。

在本公开的一个实施例中，所述远程控制软件标识信息为远程控制软件的域名信息；所述解析模块602配置为：

若存在，则获取所述远程控制软件的域名信息。

在本公开的一个实施例中，所述解析模块602还配置为：

判断所述数据包的类型；

在本公开的一个实施例中，所述匹配模块603配置为：

在本公开的一个实施例中，所述匹配模块603还配置为：

在本公开的一个实施例中，所述位置确定模块604配置为：

根据所述目标移动号码发送的呼叫请求或者与所述目标移动号码相关的话单确定所述基站信息；

在本公开的示例性实施例中，所述移动式GoIP设备监测装置600 还包括：

获取模块，用于获取与所述GoIP设备连接的MIFI设备；

监测模块，用于监测是否存在通过所述MIFI设备进行网络通话的第三移动号码；

更新模块，用于从所述目标移动号码中剔除所述第三移动号码，以获取第四移动号码；

定位模块，用于根据所述第四移动号码确定基站信息，并根据所述基站信息确定所述GoIP设备的位置。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

此外，尽管在附图中以特定顺序描述了本公开中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等) 执行根据本公开实施方式的方法。

在本公开的示例性实施例中，还提供了一种能够实现上述方法的电子设备。

所属技术领域的技术人员能够理解，本发明的各个方面可以实现为***、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“***”。

下面参照图7来描述根据本发明的这种实施方式的电子设备700。图 7显示的电子设备700仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图7所示，电子设备700以通用计算设备的形式表现。电子设备700 的组件可以包括但不限于：上述至少一个处理单元710、上述至少一个存储单元720、连接不同***组件(包括存储单元720和处理单元710)的总线730和显示单元740。

其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元710执行，使得所述处理单元710执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如，所述处理单元 710可以执行如图2中所示的步骤S210：获取目标远程控制软件标识信息和目标报文信息，其中所述目标远程控制软件标识信息是与所述GoIP设备关联的远程控制软件所对应的标识信息，所述目标报文信息是所述GoIP 设备与SIMBANK服务器通信所产生的固定报文信息；步骤S220：获取通过移动网络传输的数据包，解析所述数据包以获取远程控制软件标识信息和报文信息；步骤S230：将所述远程控制软件标识信息与所述目标远程控制软件标识信息进行匹配，将所述报文信息与所述目标报文信息进行匹配，并根据匹配结果获取目标移动号码；步骤S240：根据所述目标移动号码确定基站信息，并根据所述基站信息确定所述GoIP设备的位置。

存储单元720可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(RAM)7201和/或高速缓存存储单元7202，还可以进一步包括只读存储单元(ROM)7203。

存储单元720还可以包括具有一组(至少一个)程序模块7205的程序/实用工具7204，这样的程序模块7205包括但不限于：操作***、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线730可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、***总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备700也可以与一个或多个外部设备1400(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备700 交互的设备通信，和/或与使得该电子设备700能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口750进行。并且，电子设备700还可以通过网络适配器760与一个或者多个网络(例如局域网(LAN)，广域网(WAN) 和/或公共网络，例如因特网)通信。如图所示，网络适配器760通过总线 730与电子设备700的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备700使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储***等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是 CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。

在本公开的示例性实施例中，还提供了一种计算机存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。

参考图8所示，描述了根据本发明的实施方式的用于实现上述方法的程序产品800，其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行***、装置或者器件使用或者与其结合使用。

所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如 Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

此外，上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其他实施例。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由权利要求指出。

Claims

1.一种移动式GoIP设备监测方法，其特征在于，包括：

获取通过移动网络传输的数据包，解析所述数据包以获取远程控制软件标识信息和报文信息；

2.根据权利要求1所述的方法，其特征在于，所述远程控制软件标识信息为远程控制软件的域名信息；

所述解析所述数据包以获取远程控制软件标识信息，包括：

若存在，则获取所述远程控制软件的域名信息。

3.根据权利要求1所述的方法，其特征在于，所述解析所述数据包以获取报文信息，包括：

判断所述数据包的类型；

4.根据权利要求1所述的方法，其特征在于，所述根据匹配结果获取目标移动号码，包括：

当所述远程控制软件标识信息与所述目标远程控制软件标识信息相同，且所述报文信息与所述目标报文信息相同时，获取与所述远程控制软件标识信息和所述报文信息对应的移动号码作为所述目标移动号码。

5.根据权利要求1所述的方法，其特征在于，所述将所述远程控制软件标识信息与所述目标远程控制软件标识信息进行匹配，将所述报文信息与所述目标报文信息进行匹配，并根据匹配结果获取目标移动号码，包括：

当所述报文信息与所述目标报文信息相同时，获取与所述报文信息对应的第二移动号码作为所述目标移动号码。

6.根据权利要求1-5中任一项所述的方法，其特征在于，所述根据所述目标移动号码确定基站信息，并所述基站信息确定所述GoIP设备的位置，包括：

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

获取与所述GoIP设备连接的MIFI设备；

8.一种移动式GoIP设备监测装置，其特征在于，包括：

信息获取模块，用于获取目标远程控制软件标识信息和目标报文信息，其中所述目标远程控制软件标识信息是与所述GoIP设备关联的远程控制软件所对应的标识信息，所述目标报文信息是所述GoIP设备与SIMBANK服务器通信所产生的固定报文信息；

解析模块，用于获取通过移动网络传输的数据包，解析所述数据包以获取远程控制软件标识信息和报文信息；

9.一种计算机存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1～7中任意一项所述的移动式GoIP设备监测方法。

10.一种电子设备，其特征在于，包括：

处理器；以及

存储器，用于存储所述处理器的可执行指令；

其中，所述处理器配置为经由执行所述可执行指令来执行权利要求1～7中任意一项所述的移动式GoIP设备监测方法。