Beschreibung

Verfahren und Vorrichtung zur Erkennung von Spam over Internet Telephony-Nachrichten versendenden Teilnehmern, abgekürzt SPIT-Versender, in einem IP-Kommunikationsnetzwerk

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Erkennung von Spam over Internet Telephony-Nachrichten versendenden Teilnehmern, abgekürzt SPIT-Versender, in einem IP-Kommunikationsnetzwerk, basierend auf einer Beobachtung von zu Kommunikationsverbindungen gehörigem Signalisierverkehr .

Der Begriff „Spamming" bezeichnet die massenweise Versendung unerwünschter Nachrichten („Spam"). Begünstigt wird „Spamming" durch den einfachen und günstigen Zugang zu elektronischen Medien, die in der Regel bei geringem Zeit- und Kostenaufwand den Versand von Nachrichten an eine große Zahl von Empfängern ermöglichen. Der Inhalt derartiger „Spam"- Nachrichten ist häufig kommerzieller Art, wobei vor allem „Spam" zweifelhaften Inhalts überwiegt. Eine sehr bekannte Form von „Spam" ist der massenhafte Versand von E-Mails zu Werbezwecken. Neben E-Mail-„Spam" existieren weitere Formen wie zum Beispiel „Spam" bezüglich Instant Messaging, Usenet newsgroups, WWW-Suchmaschinen, Weblogs oder Mobilfunk.

Wie schon erwähnt wird „Spam" dadurch begünstigt, dass den Verursachern, zum Beispiel Werbetreibenden, nahezu keine effektiven Kosten abgesehen von der Verwaltung entsprechender E-Mail-Adressenlisten durch das „Spamming" entstehen. Neben den offensichtlichen Nachteilen, die durch den Versand unerwünschter Nachrichten für die jeweiligen Empfänger entstehen, verursacht „Spamming" mittlerweile hohe Kosten, die von der Allgemeinheit zu tragen sind. Dies sind zum einen indirekte Kosten, die zum Beispiel durch Produktivitätsverlust oder ü- berfüllte elektronische Briefkästen entstehen. Schwerwiegender sind noch die Kosten, die von den jeweils betroffenen

Infrastrukturanbietern, zum Beispiel Internet Service- Providern (ISP), entstehen: Häufig ist eine Aufstockung der Bandbreitenkapazitäten notwendig, da die vorhandenen Bandbreiten nicht mehr ausreichen, um die Flut von „Spams" zu be- wältigen.

Obwohl „Spamming" von der Allgemeinheit geächtet ist und die Rechtslage in Deutschland und anderen Ländern derzeit ange- passt wird, nimmt das „Spamming" eher noch zu, da die Hürde für diese Art des Nachrichtenversandes sehr gering ist.

Mit der zunehmenden Verbreitung der Internettelefonie (Voice over IP, kurz VoIP) wird erwartet, dass VoIP-Teilnehmer in zunehmendem Ausmaß sogenanntem SPIT (SPAM over Internet Te- lephony) ausgesetzt sein werden. Derzeit werden Werbeanrufe zu konventionellen PSTN-Teilnehmern (PSTN für Public Switched Telephone Network) normalerweise immer zu Lasten des Anrufenden vergebührt. Anrufe zu VoIP-Teilnehmern können hingegen aufgrund des abweichenden Vergebührungsmodells für den Anru- fenden nahezu kostenfrei geführt werden, was ein massives

SPIT-Aufkommen für die Zukunft erwarten lässt. Insbesondere die Möglichkeit, aufgezeichnete Sprachdateien in Massen zu versenden, dürfte für Werbetreibende interessant sein. Es ist davon auszugehen, dass die betroffenen VoIP-Teilnehmer ihren jeweiligen VoIP-Provider zu geeigneten Maßnahmen auffordern werden, um vor unerwünschten Anrufen geschützt zu sein.

Während im PSTN Verbindungen leitungsvermittelt sind beziehungsweise im Mobilfunk eine Identifizierung über die SIM- Karte des Anrufenden vorgenommen werden kann, ist eine Identifizierung eines Anrufers in der IP-Telefonie problematisch: Die Kommunikation zwischen zwei Teilnehmern erfolgt hier nur noch virtuell von Endpunkt zu Endpunkt, da es sich um paketvermittelte Verbindungen handelt.

Als Gegenmaßnahme gegen SPIT werden unter anderem so genannte Weiße Listen (englisch: White lists) und/oder Schwarze Listen

(englisch: Black lists) eingesetzt. Eine Weiße Liste enthält für einen Teilnehmer X teilnehmerspezifische Informationen zu solchen anderen Teilnehmern Y im Kommunikationsnetz, die als vertrauenswürdig eingestuft wurden und somit berechtigt sind, Teilnehmer X anzurufen. Eine Schwarze Liste enthält die gleichen teilnehmerspezifische Informationen wie eine Weiße Liste, jedoch werden in einer Schwarzen Liste vertrauensunwürdige Teilnehmer eingetragen, deren Anrufe grundsätzlich automatisch abgewiesen werden.

Derartige Weiße und Schwarze Listen bieten jedoch keinen Schutz vor SPIT, wenn ein SPIT-Verursacher beispielsweise seine Absenderadresse fälscht, indem er beispielsweise eine Absenderadresse aus der Weißen Liste des angerufenen Teilneh- mers X missbräuchlich als seine Absenderadresse verwendet. Zudem ist die Pflege derartiger Listen sehr aufwändig, da SPIT-Verursacher häufig ihre Absenderadressen wechseln.

Die Aufgabe der Erfindung besteht darin, ein Verfahren und eine Vorrichtung zur Erkennung von Spam over Internet Te- lephony-Nachrichten versendenden Teilnehmern, abgekürzt SPIT- Versender, in einem IP-Kommunikationsnetzwerk, auszugestalten, wobei die Erkennung von SPIT-Versendern durch Beobachtung von zu Kommunikationsverbindungen gehörigem Signalisier- verkehr erfolgt.

Diese Aufgabe wird durch die Merkmale des Patentanspruchs 1 hinsichtlich des Verfahrens durch die Merkmale des Patentanspruchs 20 hinsichtlich der Vorrichtung gelöst. Weiterbildun- gen der Erfindung sind in den abhängigen Ansprüchen angegeben .

Gegenstand der Erfindung ist ein Verfahren zur Erkennung von Spam over Internet Telephony-Nachrichten versendenden Teil- nehmern, abgekürzt SPIT-Versender, in einem IP- Kommunikationsnetzwerk mit einer Vielzahl von durch einen ersten Teilnehmer an eine Vielzahl weiterer Teilnehmer ge-

richteten Kommunikationsverbindungen, wobei zu den Kommunikationsverbindungen gehörender Signalisierverkehr beobachtet wird. Auf der Grundlage des beobachteten Signalisierverkehrs wird ein statistischer Wert hinsichtlich einer Wahrschein- lichkeit dafür ermittelt, dass es sich bei dem ersten Teilnehmer um einen SPIT-Versender und bei den Kommunikationsverbindungen um SPIT-Kommunikationsverkehr handelt, ermittelt.

Weiterhin betrifft die Erfindung eine Vorrichtung zur Ausfüh- rung des dargestellten Verfahrens.

Die Erfindung bringt den Vorteil mit sich, dass der Empfang unerwünschter Nachrichten erheblich reduziert wird.

Ein Ausführungsbeispiel der Erfindung ist in den Zeichnungen dargestellt und wird im folgenden näher beschrieben.

Es zeigen:

Fig. 1: Kommunikationsnetzwerk mit Teilnetzwerken Nl, N2 mit Beobachtungsvorrichtung Kl, Bewertungsvorrichtung K2 und Proxysystem K3, Betrieb der Beobachtungsvorrichtung Kl an einer Schnittstelle zwischen den Teilnetzwerken Nl, N2

Fig. 2: Kommunikationsnetzwerk mit Teilnetzwerken Nl, N2 mit Beobachtungsvorrichtung Kl, Bewertungsvorrichtung K2 und Proxysystem K3, Betrieb der Beobachtungsvorrichtung Kl an dem Proxysystem K3

Fig. 3: Grafische Darstellung der SPIT-Wahrscheinlichkeit in Abhängigkeit von der Anzahl unterschiedlicher Tag-Werte einer SIP-Nachricht und der Anzahl beobachteter Kommunikationsverbindungen

Fig. 4: Auswertung der Anzahl gleichzeitig bestehender Kommunikationsverbindungen für einen Teilnehmer

Fig. 5: Tabelle mit einer Auswertung von B-terminated calls

Fig. 6: Ablaufdiagramm für die Zuordnung von Nachrichten zu Kommunikationsverbindungen und die Aktualisierung der Daten- bankeinträge

Fig. 7: Eine Auswertung der SPIT-Wahrscheinlichkeit für einen Teilnehmer

In Figur 1 ist ein Beispiel für ein Kommunikationsnetzwerk mit zwei Teilnetzwerken Nl, N2 sowie einer Beobachtungsvorrichtung Kl, vorzugsweise einem SIP-Sniffer zur Beobachtung von SIP-Nachrichten, und einer Bewertungsvorrichtung K2 dargestellt. Weiterhin zeigt Figur 1 ein Proxysystem K3. Im dar- gestellten Szenario wird der SIP-Sniffer an einer Schnittstelle zwischen den Teilnetzwerken Nl, N2 betrieben. Ein Sniffer ist eine Vorrichtung mit Mitteln zum Beobachten, das heißt insbesondere Empfangen, Aufzeichnen, Darstellen und/oder Auswerten eines Kommunikationsverkehrs in einem Kom- munikationsnetzwerk . In dem in Figur 1 dargestellten Szenario handelt es sich um einen SIP-Sniffer zur Beobachtung von SIP- basiertem Kommunikationsverkehr, insbesondere Signalisierverkehr bestehend aus SIP-Datenpaketen .

Die hier dargestellte Ausprägung der Erfindung stellt hinsichtlich des zugrunde liegenden Kommunikationsprotokolls nur eine mögliche Ausprägung dar. Neben dem hier zugrunde gelegten Session Internet Protocol, kurz SIP, sind andere Varianten denkbar wie beispielsweise H.248, H.323 oder Media Gate- way Control Protocol.

Figur 2 zeigt ein ähnliches Kommunikationsnetzwerk wie Figur 1 mit dem Unterschied, dass die Beobachtungsvorrichtung Kl an dem Proxysystem K3 betrieben wird.

Die in Figur 1 und 2 dargestellten Szenarien stellen nur zwei Ausprägungen eines Kommunikationsnetzwerkes zur Ausführung

des erfindungsgemäßen Verfahrens dar. Weitere Ausprägungen sind möglich.

Das erfindungsgemäße Verfahren beobachtet den aus SIP- Datenpaketen bestehenden Signalisierverkehr beispielsweise auf einer Leitung oder an mehreren Stellen im Kommunikationsnetzwerk. Im Zuge der Verfahrens wird auf der Grundlage des beobachteten Signalisierverkehrs ein statistischer Wert hinsichtlich einer Wahrscheinlichkeit dafür ermittelt, dass es sich bei einem Teilnehmer um einen SPIT-Versender handelt. Der statistische Wert wird im Zuge einer Berechnung einer Mehrzahl von Merkmalen ermittelt. Die Beobachtung des Signalisierverkehrs lässt Rückschlüsse auf das Teilnehmerverhalten des Teilnehmers zu, wodurch der Teilnehmer beispielsweise als SPIT-verursachender Teilnehmer erkennbar ist.

In einer Ausprägung der Erfindung werden Teilnehmer- und Ver- bindungs-bezogene Daten und/oder der jeweils berechnete statistische Wert gespeichert, vorzugsweise in einer Datenbank.

Im folgenden werden die Merkmale beschrieben, die auf Basis des beobachteten Signalisierverkehrs berechnet werden. Für die beschriebene Merkmale gilt, dass ein erster Teilnehmer A eine Vielzahl von Verbindungsanfragen an eine Vielzahl weite- rer Teilnehmer sendet. Zu diesen Verbindungsanfragen gehörende sowie zu im Zuge daraufhin zustande kommender Kommunikationsverbindungen gehörende SIP-Datenpakete werden von dem SIP- Sniffer Kl beobachtet und in Hinblick auf das betreffende Merkmal ausgewertet.

Ein erstes Merkmal ist für den Fall einer im Zuge der Verbindungsanfrage des ersten Teilnehmers A signalisierten Netz- betreiber-bestätigten Identität, englisch provider asserted identity, des ersten Teilnehmers A auf der Basis eines Ver- gleichs zwischen einer im Zuge der Verbindungsanfrage signalisierten Identitätsangabe und einer in Teilnehmer- und Ver- bindungs-bezogenen Daten bezüglich des ersten Teilnehmers A

gespeicherten Liste bekannter Identitätsangaben berechenbar: Wenn der erste Teilnehmer A die Verbindungsanfrage auslöst und die Bewertungsvorrichtung K2 eine Netzbetreiber- bestätigte Identität in einer zu der Verbindungsanfrage gehö- renden SIP-INVITE-Nachricht identifiziert, wird ein Datenbankeintrag in der Datenbank eingerichtet, der die Netz- betreiber-bestätigte Identität mit einer in einem From-Header der SIP-INVITE-Nachricht enthaltenen Identitätsangabe bezüglich des ersten Teilnehmers A verknüpft. Der Datenbankeintrag kann eine Liste von Identitätsangaben zu dem ersten Teilnehmer A enthalten. Wenn in einer zu einer späteren Verbindungsanfrage gehörenden SIP-INVITE-Nachricht die gleiche Netz- betreiber-bestätigte Identität identifiziert wird, wird die Liste von Identitätsangaben in dem Datenbankeintrag um even- tuelle neue Einträge aus dem From-Header der betreffenden

SIP-INVITE-Nachricht ergänzt. Im Zuge regelmäßiger Auswertungen ist die Anzahl unterschiedlicher Identitäten entsprechend den jeweiligen Angaben aus den From-Headern zu der Netz- betreiber-bestätigten Identität feststellbar. Eine geringe Anzahl von beobachteten, auf Angaben aus den From-Headern basierenden Identitäten für eine Netzbetreiber-bestätigte Identität (in der Regel genau eine) lässt auf einen normalen Teilnehmer schließen, während eine größere Anzahl von beobachteten, auf Angaben aus den From-Headern basierenden Iden- titäten für eine Netzbetreiber-bestätigte Identität (beispielsweise mehr als fünf) ein Indiz dafür sein kann, dass ein SPIT-verursachender Teilnehmer versucht, fremde Identitäten vorzuspiegeln und dadurch eine Verfolgung zu erschweren.

Ein zweites Merkmal zur Ermittlung des statistisches Wertes ist auf der Basis einer Auswertung von im Zuge der Verbindungsanfrage des ersten Teilnehmers A signalisierten, die I- dentitätsangabe ergänzenden Attribute hinsichtlich einer Variabilität der Attribute bezüglich einer Mehrzahl von zeit- lieh vor der Verbindungsanfrage erfolgten früheren Verbindungsanfragen berechenbar: Wenn der erste Teilnehmer A die Verbindungsanfrage auslöst, wird ein Datenbankeintrag in der

Datenbank eingerichtet, der die im From-Header der zu der Verbindungsanfrage gehörenden SIP-INVITE-Nachricht enthaltene Identitätsangabe bezüglich des ersten Teilnehmers A speichert. Weiterhin wird in dem Datenbankeintrag eine Liste von an den From-Header angehängten Tag-Werten gespeichert. Im Zuge regelmäßiger Auswertungen ist die Anzahl unterschiedlicher Tag-Werte pro From-Header für ein wählbares Zeitintervall feststellbar. Da entsprechend dem Session Initiation Protocol für jede Verbindungsanfrage ein neuer Tag-Wert für den jewei- ligen From-Header verwendet werden muss, sollte die Anzahl beobachteter Tag-Werte pro From-Header für den ersten Teilnehmer A der Anzahl der beobachteten Verbindungsanfragen entsprechen. Falls die Anzahl der Tag-Werte geringer ist als die Anzahl beobachteter Verbindungsanfragen, kann dies beispiels- weise als Hinweis auf einen nicht standardkonformen Software- Client dienen. Da ein SPIT-verursachender Teilnehmer, insbesondere für den Falle eines per Internet-Wurm oder -Trojaner verteilten Software-Clients, vorzugsweise eine minimalisierte Software-Lösung implementiert, kann eine geringe Anzahl von Tag-Werten als Hinweis auf einen SPIT-Verursacher dienen.

In Figur 3 ist eine grafische Darstellung der SPIT- Wahrscheinlichkeit in Abhängigkeit von der Anzahl unterschiedlicher Tag-Werte und der Anzahl beobachteter Anrufe dargestellt. Die y-Achse gibt den statistischen Wert für die SPIT-Wahrscheinlichkeit eines Teilnehmers an, auf der x-Achse ist der Quotient aus der Anzahl unterschiedlicher Tag-Werte eines From-Headers NFT (für number of From tags) und der Anzahl von Verbindungsanfragen des betreffenden Teilnehmers NR (für number of calls) aufgetragen. Die in Figur abgebildete Kurve stellt nur eine mögliche Kurve für die SPIT- Wahrscheinlichkeit in Abhängigkeit von der Anzahl unterschiedlicher Tag-Werte und der Anzahl beobachteter Anrufe dar. Weitere Ausprägungen der Kurve sind möglich, beispiels- weise ist eine nicht-lineare oder abschnittweise lineare Kurve denkbar.

Ein drittes Merkmal zur Ermittlung des statistisches Wertes ist auf der Basis einer Auswertung einer im Zuge der Verbindungsanfrage des ersten Teilnehmers A signalisierten Verbindungs-Identifikationsnummer hinsichtlich einer Variabilität der Verbindungs-Identifikationsnummer bezüglich einer Mehrzahl von zeitlich vor der Verbindungsanfrage erfolgten früheren Verbindungsanfragen berechenbar: Wenn der erste Teilnehmer A die Verbindungsanfrage auslöst, wird ein Datenbankeintrag in der Datenbank eingerichtet, der die im From-Header der zu der Verbindungsanfrage gehörenden SIP-INVITE-Nachricht enthaltene Identitätsangabe bezüglich des ersten Teilnehmers A speichert. Weiterhin wird in dem Datenbankeintrag eine Liste von Verbindungs-Identifikationsnummern gespeichert. Im Zuge regelmäßiger Auswertungen ist die Anzahl unterschiedlicher Verbindungs-Identifikationsnummern für den ersten Teilnehmer A und für ein wählbares Zeitintervall feststellbar. Da entsprechend dem Session Initiation Protocol für jede Verbindungsanfrage eine neue Verbindungs-Identifikationsnummer verwendet werden muss, sollte die Anzahl beobachteter, unter- schiedlicher Verbindungs-Identifikationsnummern der Anzahl der beobachteten Verbindungsanfragen entsprechen. Falls die Anzahl der unterschiedlichen Verbindungs- Identifikationsnummern geringer ist als die Anzahl beobachteter Verbindungsanfragen, kann dies beispielsweise als Hinweis auf einen nicht standardkonformen Software-Client dienen. Da ein SPIT-verursachender Teilnehmer, insbesondere für den Falle eines per Internet-Wurm oder -Trojaner verteilten Software-Clients, vorzugsweise eine minimalisierte Software- Lösung implementiert, kann eine geringe Anzahl von unter- schiedlichen Verbindungs-Identifikationsnummern als Hinweis auf einen SPIT-Verursacher dienen.

Ein viertes Merkmal zur Ermittlung des statistisches Wertes ist auf der Basis einer Auswertung einer maximalen Anzahl von gleichzeitig während eines Zeitintervalls bestehenden Kommunikationsverbindungen des ersten Teilnehmers A berechenbar: Die maximale Anzahl gleichzeitig bestehender Kommunikations-

Verbindungen wird aus der Beobachtung aller dem ersten Teilnehmer A zuzuordnenden Signalisierungsnachrichten ermittelt. Figur 4 zeigt beispielhaft eine mögliche Auswertung der Anzahl gleichzeitig bestehender Kommunikationsverbindungen des ersten Teilnehmers A über die Zeit. Entscheidend für die Auswertung sind SIP-Nachrichten INVITE, BYE und CANCEL, die Beginn und Ende einer Kommunikationsverbindung kennzeichnen. Auf der y-Achse des in Figur 4 abgebildeten Diagramms ist die Anzahl gleichzeitig bestehender Kommunikationsverbindungen NC (für number of calls) aufgetragen, auf der x-Achse ist die Zeit t aufgetragen.

Ein fünftes Merkmal zur Ermittlung des statistisches Wertes ist auf der Basis einer Auswertung von im Zuge der Verbin- dungsanfrage signalisierten Informationen bezüglich sender- seitig unterstützter Codierungsverfahren berechenbar: Im SDP- Teil einer SIP-INVITE-Nachricht wird beschrieben, welche Codierungsverfahren der Sender unterstützt. Charakteristisch für einen SPIT-verursachenden Teilnehmer, der zur Performan- ce-Steigerung des Absendersystems eine SPIT darstellende

Sprachnachricht nicht beim Absenden codiert, sondern diese in Form von vorgefertigten RTP-Pakete zur Versendung vorrätig hält, ist die Unterstützung eines einzigen Codecs, nämlich desjenigen, mit dem die vorgefertigten RTP-Pakete erzeugt wurden. In der Regel wird ein SPIT-verursachender Teilnehmer für die vorgefertigten RTP-Pakete einen niederratigen Codec einsetzen, um möglichst viele Kommunikationsverbindungen gleichzeitig aufbauen zu können. Daher können in den zu den jeweiligen Kommunikationsverbindungen gehörenden SIP- Nachrichten vorhandene Codec-Listen mit nur einer Codec- Angabe zu einem Codec, der zudem besonders niederratig ist, als Indiz für eine SPIT-Nachricht verwendet werden. Dieses Indiz muss aber mit dem üblichen Verhalten gängiger Endgeräte verglichen werden, damit nicht auch ein ein typisches nieder- ratiges Endgerät, beispielsweise ein Mobiltelefon, verwendender Teilnehmer fälschlicherweise bereits aufgrund der Codec- Liste als SPIT-verursachender Teilnehmer klassifiziert wird.

Dieses fünfte Merkmal bietet den Vorteil, dass es sich auch zur Erkennung von SPIT-Nachrichten von zuvor unbekannten Teilnehmern eignet, wenn beispielsweise die Codec-Liste ein einer neuen INVITE-Nachricht eines bisher unbekannte Teilneh- mers als kennzeichnend für SPIT-verursachende Teilnehmer erkannt wird.

Ein sechstes Merkmal zur Ermittlung des statistisches Wertes ist auf der Basis einer Auswertung einer Anzahl von durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendeten, von dem ersten Teilnehmer A an zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer gerichteten Kommunikationsverbindungen berechenbar: Die Anzahl der durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendeten, von dem ersten Teilnehmer A an zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer gerichteten Kommunikationsverbindungen, englisch number of B-terminated calls, wird durch Beobachtung der Signalisierungsnachrichten zwischen dem ersten Teilnehmer A und mindestens einem zu der Vielzahl weiterer Teilnehmer gehörenden Teilnehmer bestimmt. Nach dem Aufbau einer Kommunikationsverbindung zwischen dem ersten Teilnehmer A und dem mindestens einen zu der Vielzahl weiterer Teilnehmer gehörenden Teilnehmer wird beobachtet, ob der erste Teilnehmer A oder der mindestens eine zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer die Kommunikationsverbindung beispielsweise durch Initiieren einer SIP-BYE- oder SIP- CANCEL-Nachricht die Kommunikationsverbindung beendet. Falls der mindestens eine zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer die Kommunikationsverbindung beendet, wird beispielsweise ein Zähler für B-terminated calls um eins erhöht. Die Auswertung der Anzahl der B-terminated calls oder alternativ des Verhältnisses zwischen der Anzahl der B- terminated calls und der Anzahl aller durch den ersten Teilnehmer A initiierten Kommunikationsverbindungen kann Hinweise ergeben, dass der erste Teilnehmer A ein SPIT-verursachender Teilnehmer sein könnte, falls beispielsweise die Anzahl der B-terminated calls sehr hoch ist im Verhältnis zu der Anzahl

anderer, nicht SPIT-verursachenden Teilnehmern zugeordneter B-terminated calls.

Ein siebtes Merkmal zur Ermittlung des statistisches Wertes ist auf der Basis einer Auswertung einer Anzahl von nach Ablauf eines kurzen Zeitintervalls durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendeten, von dem ersten Teilnehmer A an zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer gerichteten Kommunikationsverbindungen berechen- bar: Im Vergleich zu dem oben beschriebenen sechsten Merkmal wird für das siebte Merkmal das Zeitintervall zwischen Aufbau und Beenden der Kommunikationsverbindungen gemessen und der Zähler für B-terminated calls um eins erhöht, wenn dieses Zeitintervall sehr kurz ist, ein zu der Vielzahl weiterer Teilnehmer gehörender Teilnehmer also sehr schnell die betreffende Kommunikationsverbindung beendet hat, weil er beispielsweise auf Anhieb einen SPIT-Versuch erkannt hat. Abhängig beispielsweise von einem zeitlichen Schwellwert werden alle ausgehenden Kommunikationsverbindungen des ersten Teilnehmers A gezählt, deren zeitliche Dauer unterhalb des zeitlichen Schwellwerts liegt und die B-seitig beendet werden. Zu diesem Zweck wird beispielsweise zu jeder beobachteten Kommunikationsverbindung nach vollständigem Aufbau der Kommunikationsverbindung (beispielsweise nach einer erfolg- reichen SIP-INVITE-Nachricht und einer entsprechenden SIP- Nachricht „200 OK", bestätigt durch eine SIP-ACK-Nachricht) ein erster Zeitstempel erfasst. Zum Zeitpunkt der Beendigung der Kommunikationsverbindung (beispielsweise durch eine SIP- BYE-Nachricht) wird ein zweiter Zeitstempel erfasst. Für den Fall, dass die Kommunikationsverbindung B-seitig beendet wurde und die Differenz zwischen erstem Zeitstempel und zweitem Zeitstempel unterhalb des zeitlichen Schwellwertes liegt, wird der Zähler für B-terminated calls um eins erhöht.

Ein achtes Merkmal zur Ermittlung des statistisches Wertes ist durch Berechnung eines Verhältniswertes zwischen

einer Gesamtdauer aller durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendeten, von dem ersten Teilnehmer A an zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer gerichteten Kommunikationsverbindungen und der Anzahl von durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendeten, von dem ersten Teilnehmer A an zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer gerichteten Kommunikationsverbindungen berechenbar: Die Gesamtdauer aller von durch zu der Vielzahl weiterer Teilnehmer ge- hörende Teilnehmer beendeten Kommunikationsverbindungen DBTC (für duration of B-terminated calls) wird berechnet als Summe der Dauer der Kommunikationsverbindungen, die durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendet wurden. Zusammen mit der Anzahl der B-terminated calls NBTC lässt sich so eine mittlere Dauer B-seitig beendeter Kommunikationsverbindungen ermitteln, beispielsweise als Quotient aus der Gesamtdauer aller von durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendeten Kommunikationsverbindungen DBTC und der Anzahl der B-terminated calls NBTC. Falls die mittlere Dauer B-seitig beendeter Kommunikationsverbindungen für den ersten Teilnehmer A deutlich geringer ist als die mittlere Dauer B-seitig beendeter Kommunikationsverbindungen aller erfassten Teilnehmer, kann dies als Hinweis dienen, dass es sich bei dem ersten Teilnehmer A um ei- nen SPIT-verursachenden Teilnehmer handelt.

In einer weiteren Ausprägung der Erfindung ist pro Kommunikationsverbindung eine obere Kappungsgrenze definierbar zur Verhinderung einer Verfälschung der mittleren Dauer B-seitig beendeter Kommunikationsverbindungen des ersten Teilnehmers A durch eine während eines überdurchschnittlich langen Zeitintervalls bestehende Kommunikationsverbindung des ersten Teilnehmers A.

Figur 5 zeigt eine Tabelle mit einer Auswertung von B- terminated calls. Im gezeigten Beispiel ist die Kappungsgren- ze auf 300 Sekunden gesetzt. In der ersten Spalte der Tabelle ist eine fortlaufende Nummer RN einer Kommunikationsverbindung angegeben. In der zweiten Spalte ist die Dauer D der je-

weiligen Kommunikationsverbindung in Sekunden angegeben. In der dritten Spalte ist der die Kommunikationsverbindung beendende Teilnehmer angegeben; dies ist entweder der erste Teilnehmer A oder ein zu der Vielzahl weiterer Teilnehmer gehö- render, von dem ersten Teilnehmer A kontaktierter Teilnehmer B. Die vierte Spalte gibt den jeweiligen Wert des Zählers für B-terminated calls NBTC an. Die fünfte Spalte gibt die Gesamtdauer aller von durch zu der Vielzahl weiterer Teilnehmer gehörende Teilnehmer beendeten Kommunikationsverbindungen DBTC in Sekunden an.

Ein neuntes Merkmal zur Ermittlung des statistisches Wertes ist auf der Basis einer Auswertung einer Anzahl unterschiedlicher, von dem ersten Teilnehmer A zwecks einer Kommunikati- onsverbindung kontaktierten Vielzahl weiterer Teilnehmer berechenbar. Werden mehrere Kommunikationsverbindungen zu demselben Ziel aufgebaut, wird dieses nur einmal gezählt.

Ein zehntes Merkmal zur Ermittlung des statistisches Wertes ist auf der Basis einer Auswertung einer Anzahl von anonymen Kommunikationsverbindungen des ersten Teilnehmers A berechenbar: Die Anzahl von Kommunikationsverbindungen, bezüglich derer der erste Teilnehmer A eine Unterdrückung seiner Identität zwecks Anonymität wünscht, wird durch eine Analyse ent- sprechender Header-Felder, beispielsweise des Eintrages „pri- vacy: id", der zu den Kommunikationsverbindungen gehörenden SIP-INVITE-Nachrichten ermittelt. Vorteilhaft ist die Berechnung des zehnten Merkmals insbesondere in Hinblick auf Teilnehmer, deren Identität im Kommunikationsnetzwerk bekannt und im Zuge eines entsprechenden Eintrages in einem Header-Feld der SIP-INVITE-Nachricht als Netzwerkbetreiber-bestätigte I- dentität angegeben ist.

Figur 6 zeigt ein beispielhaftes Ablaufdiagramm für das er- findungsgemäße Verfahren in Hinblick auf eine durch den ersten Teilnehmer A initiierte Kommunikationsverbindung. Darge-

stellt sind Aktionen Al bis A6 und Entscheidungen Dl bis D7, die im folgenden näher erläutert werden.

Im Zuge einer ersten Aktion Al werden identifizierende Merkmale aus zur Kommunikationsverbindung gehörenden Signalisie- rungsnachrichten, insbesondere aus einer SIP-INVITE-

Nachricht, extrahiert. Dies sind beispielsweise Angaben aus einem zu der SIP-INVITE-Nachricht gehörenden SIP-Header, insbesondere Angaben aus einem FROM-Header, Angaben aus einem TO-Header sowie mindestens ein an den FROM-Header angehängter Tag-Wert.

Im Zuge einer ersten Entscheidung Dl wird basierend auf den identifizierenden Merkmalen geprüft, ob bereits ein Datenbankeintrag zu dem ersten Teilnehmer A in der Datenbank vorhanden ist. Ist dies nicht der Fall, wird im Zuge einer zwei- ten Aktion A2 ein entsprechender Datenbankeintrag angelegt. Ist bereits ein entsprechender Datenbankeintrag vorhanden, wird im Zuge einer zweiten Entscheidung D2 geprüft, ob die Kommunikationsverbindung zwischenzeitlich beendet wurde. Ist dies der Fall, wird in einer dritten Entscheidung D3 über- prüft, ob eine SIP-Nachricht „200 OK" empfangen wurde. Ist dies nicht der Fall, wird im Zuge einer dritten Aktion A3 ein Protokollfehler erfasst.

Für den Fall, das die zweite Entscheidung D2 negativ ausgefallen ist, wird im Zuge einer vierten Entscheidung D4 der Empfang einer weiteren SIP-Nachricht, insbesondere einer SIP- INVITE-Nachricht, überprüft sowie sichergestellt, dass kein Timeout vorliegt. Fällt die vierte Entscheidung D4 negativ aus, wird entsprechend der dritten Aktion A3 ein Protokollfehler erfasst. Fällt die vierte Entscheidung D4 positiv aus, wird im Zuge einer fünften Entscheidung D5 überprüft, ob eine SIP-Nachricht „200 OK" nach Eintreffen der SIP-INVITE- Nachricht empfangen wurde. Fällt die fünfte Entscheidung D5 positiv aus, wird im Zuge einer vierten Aktion A4 ein erster Zeitstempel, markierend den Beginn der Kommunikationsverbin- düng, gesetzt. Fällt die fünfte Entscheidung D5 negativ aus, wird im Zuge einer sechsten Entscheidung D6 überprüft, ob eine SIP-BYE-Nachricht empfangen wurde. Fällt die sechste Ent-

Scheidung D6 positiv aus, wird im Zuge einer fünften Aktion A5 ein zweiter Zeitstempel, markierend das Ende der Kommunikationsverbindung, gesetzt. Fällt die sechste Entscheidung D6 negativ aus, wird im Zuge einer siebten Entscheidung D7 über- prüft, ob eine SIP-CANCEL-Nachricht empfangen wurde. Fällt die siebte Entscheidung D7 positiv aus, wird im Zuge einer sechsten Aktion A6 die Kommunikationsverbindung als beendet markiert .

In einer weiteren Ausprägung der Erfindung ist eine Auswertung anonymer aus einem externen Kommunikationsnetzwerk gesendeter Kommunikationsverbindungen durchführbar. Auf diese Weise ist das externe Kommunikationsnetzwerk als Quelle von SPIT-Kommunikationsverbindungen identifizierbar, beispiels- weise basierend auf einer Statistik über alle anonymen Kommunikationsverbindungen, die aus dem externen Kommunikationsnetzwerk gesendet werden.

In einer weiteren Ausprägung der Erfindung wird das erfin- dungsgemäße Verfahren mit einem Verfahren zum Einfügen einer SPIT-Wahrscheinlichkeit in eine Signalisierungsnachricht kombiniert .

In einer weiteren Ausprägung der Erfindung ist das erfin- dungsgemäße Verfahren Bestandteil eines Systems zu einer automatischen Blockierung oder Umleitung einer von einem als SPIT-verursachenden Teilnehmer bekannten ersten Teilnehmer gesendeten Nachricht: Die nach dem erfindungsgemäßen Verfahren für den ersten Teilnehmer ermittelte Teilnehmer- spezifische SPIT-Wahrscheinlichkeit ist dabei mit einem einstellbaren Schwellwert zur Abweisung von SPIT-Nachrichten vergleichbar. Die Nachricht wird beispielsweise abgewiesen oder alternativ auf eine Voicebox umgelenkt, wenn die für den ersten Teilnehmer ermittelte Teilnehmer-spezifische SPIT- Wahrscheinlichkeit oberhalb des einstellbaren Schwellwertes zur Abweisung von SPIT-Nachrichten liegt.

In einer weiteren Ausprägung der Erfindung wird der statistische Wert im Zuge einer geeigneten Kombination der berechneten Mehrzahl von Merkmalen ermittelt: Die Kombination der berechneten Mehrzahl von Merkmalen zu einer Teilnehmer- bezogenen SPIT-Wahrscheinlichkeit erfolgt vorzugsweise in

Form einer Kombination einer Anzahl der Mehrzahl von Merkmalen zu Szenarien. Für jedes Szenario werden für das jeweilige Szenario typische Merkmale durch ein UND-Verknüpfung oder im Falle von den Merkmalen zugeordneten Einzelwahrscheinlichkei- ten durch eine Minimumbildung zusammengefasst . Vor einer Ermittlung der Teilnehmer-bezogenen SPIT-Wahrscheinlichkeit ist optional überprüfbar, ob der betreffende Teilnehmer eine Mindestanzahl von Kommunikationsverbindungen initiiert hat. In einer Ausprägung der Erfindung ist die Teilnehmer-bezogene SPIT-Wahrscheinlichkeit auf Null setzbar, wenn die ermittelte Teilnehmer-bezogene SPIT-Wahrscheinlichkeit unterhalb eines definierbaren Schwellwertes liegt.

Figur 7 zeigt eine beispielhafte Auswertung der SPIT- Wahrscheinlichkeit für einen Teilnehmer: In einem ersten Schritt S71 wird im Falle einer seitens des Teilnehmers initiierten Kommunikationsverbindung geprüft, ob für diesen Teilnehmer eine Mindestanzahl von Kommunikationsverbindungen beobachtet wurden. Für den Fall, dass die Mindestanzahl von Kommunikationsverbindungen dieses Teilnehmers beobachtet wurde, werden in einem zweiten Schritt S72 verschiedene Merkmale zu Szenarien zusammengefasst und Szenarien-spezifische Wahrscheinlichkeiten durch Minimumbildung bestimmt. Eine mögliche Berechnung der Szenarien-spezifischen Wahrscheinlichkeiten für drei Szenarien A, B, C ist im fol- genden dargestellt:

P A = min (P short calls, P B terminated calls) P_B = min (P_nr_dest, P_anonym_calls) P C = min (P nr tags, P nr call IDs)

Für ein erstes Szenario A wird eine Szenarien-spezifische Wahrscheinlichkeit P A durch Minimumbildung über eine Wahr-

scheinlichkeit basierend auf dem oben erwähnten siebten Merkmal (B-seitiges Beenden der Kommunikationsverbindung nach kurzem Zeitintervall, P_short_calls) sowie einer Wahrscheinlichkeit basierend auf dem oben erwähnten sechsten Merkmal (B-seitiges Beenden der Kommunikationsverbindung, P_ B_terminated_calls) berechnet.

Für ein zweites Szenario B wird eine Szenarien-spezifische Wahrscheinlichkeit P_B durch Minimumbildung über eine Wahr- scheinlichkeit basierend auf dem oben erwähnten neunten Merkmal (Anzahl unterschiedlicher Ziele, P_nr_dest) sowie einer Wahrscheinlichkeit basierend auf dem oben erwähnten zehnten Merkmal (Anzahl anonymer Kommunikationsverbindungen, P anonym calls) berechnet.

Für ein drittes Szenario C wird eine Szenarien-spezifische Wahrscheinlichkeit P_C durch Minimumbildung über eine Wahrscheinlichkeit basierend auf dem oben erwähnten zweiten Merkmal (Tag-Werte am FROM-Header, P_nr_tags) sowie einer Wahr- scheinlichkeit basierend auf dem oben erwähnten dritten Merkmal (Anzahl unterschiedlicher Verbindungs- Identifikationsnummern, P nr call IDs) berechnet.

In einem dritten Schritt S73 wird mittels Maximumbildung über den Szenarien-spezifischen Wahrscheinlichkeiten die Teilneh- mer-bezogene SPIT-Wahrscheinlichkeit SP wie folgt bestimmt:

SP = max (P_A, P_B, P_C)

In einem optionalen vierten Schritt S74 wird überprüft, ob die ermittelte Teilnehmer-bezogene SPIT-Wahrscheinlichkeit SP unterhalb eines definierbaren Schwellwertes liegt. Ist dies der Fall, wird die Teilnehmer-bezogene SPIT- Wahrscheinlichkeit SP auf Null gesetzt:

if (SP < 0.3) SP = 0

In einer weiteren Ausprägung der Erfindung ist die ermittelte Teilnehmer-bezogene SPIT-Wahrscheinlichkeit in einer nach Teilnehmer-identifizierenden Merkmalen sortierten Liste in der Datenbank speicherbar. Für den Fall einer Teilnehmerbezogenen SPIT-Wahrscheinlichkeit von Null wird kein Datenbankeintrag erzeugt. Dies hat insbesondere den Vorteil, dass die nach Teilnehmer-identifizierenden Merkmalen sortierte Liste effizient verwaltet werden kann.

In einer weiteren Ausprägung der Erfindung sind die Beobachtungsvorrichtung Kl und die Bewertungsvorrichtung K2 in Form einer Beobachtungs- und Bewertungsvorrichtung verwirklicht.

In einer weiteren Ausprägung der Erfindung stellt die Beobachtungsvorrichtung Kl einen SIP-Sniffer zur passiven Beobachtung von SIP-basiertem Kommunikationsverkehr, insbesondere Signalisierverkehr bestehend aus SIP-Datenpaketen, dar.

In einer weiteren Ausprägung der Erfindung stellt die Beobachtungsvorrichtung Kl einen SIP-Proxy zur aktiven Erfassung von SIP-basiertem Kommunikationsverkehr, insbesondere Signalisierverkehr bestehend aus SIP-Datenpaketen, dar.

In einer weiteren Ausprägung der Erfindung ist die Beobachtungsvorrichtung Kl in eine SPIT-Abwehrvorrichtung integrierbar .

In einer weiteren Ausprägung der Erfindung ist die Beobach- tungsvorrichtung Kl in einen SIP-Server oder alternativ in einen SIP-Proxy integrierbar.

In einer weiteren Ausprägung der Erfindung basiert die Anzahl unterschiedlicher, von dem ersten Teilnehmer A zwecks einer Kommunikationsverbindung kontaktierten Vielzahl weiterer

Teilnehmer auf der Beobachtung aller von dem ersten Teilnehmer A initiierten Kommunikationsverbindungen.

In einer weiteren Ausprägung der Erfindung basiert die Anzahl unterschiedlicher, von dem ersten Teilnehmer A zwecks einer Kommunikationsverbindung kontaktierten Vielzahl weiterer Teilnehmer auf der Beobachtung aller von dem ersten Teilnehmer A initiierten und erfolgreich aufgebauten Kommunikationsverbindungen .

In einer weiteren Ausprägung der Erfindung werden die erfin- dungsgemäßen Merkmale zur Ermittlung des statistisches Wertes auf der Basis aller von dem ersten Teilnehmer A initiierten initiierten Kommunikationsverbindungen ermittelt. Alternativ werden die erfindungsgemäßen Merkmale zur Ermittlung des statistisches Wertes auf der Basis aller Kommunikationsverbin- düngen, in die der erste Teilnehmer A involviert ist, ermittelt.

In einer weiteren Ausprägung der Erfindung werden die erfindungsgemäßen Merkmale zur Ermittlung des statistisches Wertes im Hintergrund auf Basis des beobachteten Signalisierverkehrs ermittelt. Alternativ sind die erfindungsgemäßen Merkmale zur Ermittlung des statistisches Wertes im direkten zeitlichen Zusammenhang mit einem Verbindungsaufbauwunsch ermittelbar, um auf diese Weise beispielsweise eine besondere Behandlung für den Verbindungsaufbauwunsch vornehmen zu können. Die besondere Behandlung besteht beispielsweise in einer Abweisung des Verbindungsaufbauwunsches oder alternativ in einer Umleitung auf eine Voicebox.

In einer weiteren Ausprägung der Erfindung ist ein als SPIT- versendender Teilnehmer erkannter erster Teilnehmer A einem Netzwerkbetreiber zwecks eines Eintrags in einer Schwarzen Liste vorschlagbar.