叶永春
摘 要: 采用软硬件相结合的方法,将硬件识别语音视频网络常见的协议,软件识别网络复杂的网络协议,并结合端口、统计等多种识别技术的识别方案,提出语音视频流量监控架构的监控系统;详细对系统的架构和相关模块的设计进行分析,并通过实际试验环境对系统性能进行验证,结果表明该系统的语音视频流量监控客户端识别率都大于91%,没有误报,表明系统的识别性能可以满足用户需求。
关键词: DPI技术; 语音视频监控系统; 网络协议; 流量监控架构
中图分类号: TN948.4?34; TP309 文献标识码: A 文章编号: 1004?373X(2017)01?0067?03
Abstract: The method of combining software and hardware is used to propose the voice video traffic monitoring system with monitoring architecture, which is based on the protocol commonly used in voice video network recognized by hardware, network protocol recognizing network complexity by software, and recognition scheme combining port, statistics and various recognition technologies. The design of system architecture and related modules are analyzed in detail. The system performance was verified in the practical experiment environment. The results show that the client recognition rate of the voice video traffic monitoring system is higher than 91%, the system has no false alarm, and the recognition performance of the system can satisfy the users′ requirement.
Keywords: DPI technology; voice video monitoring system; network protocol; traffic monitoring architecture
0 引 言
隨着智能手机的普及,WiFi大面积覆盖,语音视频可随时随地实现,语音视频因快捷方便、价格合理,因此得到众多用户的喜爱,目前其发展速度相当快[1]。但网络应用在快速发展的同时,各种网络语音视频流量也变得越来越复杂化和多样化,导致网络安全事故频发[2?4]。网络语音视频流量分布不均匀,因此网络语音视频流量的安全状况急需管理和维护,网络流量的监控问题也同样变得十分重要[5]。深度包监测(DPI)是一种基于应用层的流量检测技术和控制技术[6]。使用单纯的软件监测系统速度较慢,难以满足网络高速数据包处理的要求;而单纯的硬件识别则占用大量的内存,一般的内存难以达到要求[7]。
本文采用软硬件相结合的方法,将硬件识别语音视频网络常见的协议,软件识别网络复杂的网络协议,在DPI技术的基础上,设计语音视频流量监控系统。
1 语音视频流量监控系统架构设计
本文设计的监控语音视频流量的系统架构主要包含三个模块,分别为语音视频特征库识别模块、语音视频策略配置模块、语音视频流量控制模块,设计的监控语音视频流量的系统架构,如图1所示。
用户使用语音视频时,其数据流先进入语音视频特征库模块,然后该模块对其匹配进行识别,主要检测用户的语音视频在特征库中是否有与之相匹配的协议,然后语音视频特征库模块将识别结果传递给语音视频策略配置模块,根据识别结果,该模块对本库进行查询,主要是看是否有对应的语音视频协议策略,如果有相关的语音视频策略,该模块就将结果传递到下个模块,即语音视频流量控制模块,根据用户下发的语音视频控制策略,该模块对达到用户预期的语音视频进行放行、限制流量和阻止隔断;如果语音视频流量控制模块未对语音视频策略进行任何传递,那么数据流在流出口直接传输。
1.1 语音视频特征库识别模块
特征库识别模块首先要对网络中各种协议的语音视频流量进行准确识别,并根据用户产生的语音视频流量大小,对其实时占有的百分比进行统计,实现对用户语音视频流量的监控。用户的语音视频流量如果传递到特征库识别模块,该模块就会对相关的语音视频报文进行解析,通过PushQueue操作将语音视频报文压入数据包;在PopQueue操作下,将该数据包送到引挚,在服务端口,引挚对语音视频流量进行初步协议判定,并将结果记录下来。引挚通过识别后,优先对判定的语音视频协议进行匹配,如果出现未能匹配的情况,引挚识别则由特征库识别模块直接进行。
经过初步端口识别后,特征库识别模块进行最核心部分的DPI识别,DPI识别中的协议特征库包含两个预设接口,在进行识别时,一个接口匹配解析引挚,另一个接口提供一个全局数组,这个数组主要对所有应用名进行存储,同时该接口还负责将数组传递到语音视频的策略配置模块,图2为DPI识别语音视频流程图。
1.2 语音视频策略配置模块
语音视频策略配置模块主要由两部分组成:一是全局数组。这个数组由存储应用名的语音视频特征库识别模块提供。二是语音视频策略信息库。全局数组提供了一个界面,该界面能使用户查询应用;根据查询的结果,语音视频策略信息库至少提供一个配置策略,用户将策略信息传递到下一个模块,即语音视频流量控制模块,语音视频控制模块这时就会发出对应的干扰报文和控制报文。
1.3 语音视频流量控制模块
语音视频流量控制模块实质上是一种阻断的技术,该模块限制特定的语音视频速率,并将其完全阻断,要很好地控制语音视频流量,就必须先对具体协议进行准确的识别,识别精度决定控制精度,语音视频流量控制模块对特征库识别模块具有高度的依赖性,为很好地实现语音视频流量控制模块的核心技术,本文选用旁路干扰语音视频流量控制。
1.3.1 旁路干扰实现语音视频流量控制
旁路干扰语音视频流量控制主要由主机、路由器、分光器、流控设备组成,旁路干扰利用的是伪装技术,伪装的数据包被发送到TCP,UDP后,出现两种可能:一是降低数据传输速率;二是阻断通信连接,这样控制语音视频流量的目的就达到了。
1.3.2 控制模块的实现
控制模块采用旁路干扰语音视频流量的控制方式,在用户下发相应的语音视频策略后,控制模块就会产生相应报文,成功地对用户语音视频流量实现控制,这是控制模块的主要功能。控制模块由策略接收器、报文缓存器、控制报文发送器组成,策略接收器接收由配置模块发出的信息,并执行命令送至报文缓存器和控制报文发送器;报文缓存器主要缓存和发送控制报文,并提供支持给控制报文发送器;控制报文发送器主要接收策略,并对控制报文进行发送。
2 语音视频流量识别方案的设计
2.1 识别语音视频具体流程
识别语音视频流量流程图如图3所示,在对语音视频流量进行识别时,采用DPI技术,对相关的信令流进行识别。当语音视频被标记为信令流后,引挚便会对该语音视频进行扫描,扫描包括数据包的全部负载内容,本文通过对传输层协议类型、相关的IP地址、对应的端口号的解析,得到语音视频的三元组信息,把三元组信息添加到关联表项协议中,如果有后续的流匹配到此三元组信息就被标记为其数据流。对于没有被识别的语音视频,一般将其标记为unknown,这样,关于语音视频流量的识别就全部完成。
2.2 监控语音视频流量方案的设计与部署
2.2.1 进行网络部署
实验室监控语音视频流量的组网环境如图4所示,在同一个局域网,为了避免语音视频流量不经过供应商的服务器,采用不同的两个公网,由路由器Route1和 Route2分别进行连接,服务器为Server,进行双网卡配置, Linux為本研究系统,语音视频流量在经过服务器后,在Server服务器中,语音视频从一个网卡传递到另一个网卡,两个网卡之间分别嵌入识别引挚、控制引挚。网关通过PC和WiFi被设置成一个网卡IP地址,这个网卡归属于Server服务器。语音视频在流经PC和WiFi后,能顺利通过Server服务器,利用PC对服务器进行远程控制;由MobilePhone1,MobilePhone2产生的语音视频流量通过PC可使用Wiershark的混杂模式抓取,便于分析各应用的相关协议。
2.2.2 语音视频流量监控系统引挚架构
语音视频流量监控系统引挚架构如图5所示,语音视频流量监控系统引挚由语音视频流量识别、流量控制、特征库、数据库、前台控制模块五部分组成。通过对语音视频特征的分析和提取,最后得到特征模块库文件,语音视频进入引挚后,结合特征库模块,识别模块对语音视频流量进行模式匹配,并对语音视频做出标记,将识别结果送至数据库模块,然后送至前台控制模块。根据语音视频流量监控系统的识别结果,对语音视频流量控制模块进行相关操作,从而实现对语音视频流量的控制。
3 本系统功能实行
本系统的主要目的是实现对语音视频流量的监控,系统的识别准确率由识别率、误报率组成。识别率越大,系统监控性能越好,误报率越小,系统监控准确率越高。为了对本系统的识别准确度进行验证,对常用的媒体客户端、视频网站进行测试,测试结果见表1。
从表1中可以看出,这些常用语音视频流量监控客户端的识别率都大于91%,同时没有误报,这表明系统识别性能可以满足用户需求。
4 结 语
本文采用软件和硬件相结合的方法,设计了一种基于DPI技术的语音视频流量监控系统,将硬件识别语音视频网络常见的协议,软件识别网络复杂的网络协议,结合端口、统计等多种识别技术的识别方案,对语音视频流量监控进行架构,同时对各种场景的应用和采用不同协议的情况进行了细致的分析,通过实际试验环境对系统性能进行验证。测试结果表明,本系统的语音视频流量监控客户端的识别率都大于91%,没有误报,系统的识别性能可以满足用户需求。
参考文献
[1] 陈先灏.DPI技术应用发展研究[J].无线互联科技,2015(21):32?33.
[2] 武光达,蒋朝惠.基于DPI的流量识别系统的研究[J].技术研究,2014(10):44?49.
[3] 吴军,杜泽华.一种以DPI为核心的网络流量识别方案[J].软件导刊,2014,13(1):23?26.
[4] 程博,辛阳.基于VOIP的语音视频流量监控方案设计与实施[J].技术研究,2014(6):53?58.
[5] 曾传璜,陈景忠.基于DPI的流媒体流量监控系统的分析与设计[J].电视技术,2014,38(9):136?138.
[6] 周振勇,杨华.DPI技术在IP网流量经营中的应用研究[J].电信网技术,2015(7):34?37.
[7] 张艳荣,张治中,姜明志.基于DPl的移动分组网络流量分析技术的研究与实现[J].电信科学,2014(4):88?92.