VoIP网络流量的层次化识别方法

摘要

一种VoIP网络流量层次化识别方法，首先与特殊IP和端口模版库匹配，若存在特殊IP和端口，则能实现快速识别；若没有特殊IP和端口，再进行传输层特征序列的收集，收集过程中会根据数据报文长度阈值快速标记明显的非VoIP应用；收集到指定数目的数据包后，对该双向网络流的特征序列做相应处理并与VoIP统计特征模版库中各标准依次匹配，标记出其应用类型，匹配过程中用到了互雷尼信息熵作为其中的标准之一。本方法仅利用网络流的前若干数据包的特征信息，可以实现在VoIP网络流量建立初期快速高效识别的效果。同时由于仅仅用到传输层的特征信息，无需逐报文检测，无复杂的计算处理过程，高效简单，系统开销小，可以实时在线应用。

主权项

VoIP网络流量的层次化识别方法，其特征在于，具有一个包括以下步骤的识别模块：步骤1：对接收到的数据包的包头进行解析，获得此数据包的协议类型、源IP、源端口、目的IP、目的端口、数据报文长度和数据包间隔；步骤2：判断接收到的数据包是否为UDP或TCP包，若不是，则转步骤1；若是，判断双向网络流表是否为空，若为空，则直接转步骤3；若不为空，则在双向网络流表中查询相同协议类型下是否存在双向网络流记录的源IP和目的IP与接收到数据包的源IP和目的IP相同，或者双向网络流记录的目的IP和源IP与接收到数据包的源IP和目的IP相同，若存在这样的双向网络流，转步骤4；若不存在这样的双向网络流，转步骤3；步骤3：根据接收到数据包的源IP和目的IP创建新的双向网络流，在双向网络流中记录此数据包的数据报文长度和源、目的端口对，置数据包间隔为0，然后与VoIP特殊IP和端口模版匹配，如果不存在特殊IP和端口，转向步骤1；如果存在特殊IP和（或）端口，标记此双向网络流的VoIP应用类型，转向步骤1；步骤4：判断此双向网络流的VoIP应用类型是否已经标定，如果没有标定，在此双向网络流中记录此数据包的数据报文长度、数据包间隔和源、目的端口对，转向步骤5；如果已经标定，转向步骤1；步骤5：判断此数据包的数据报文长度是否在设定的数据报文长度阈值M内，若大于设定的数据报文长度阈值M，则为非VoIP数据包，此双向网络流标记为非VoIP数据流，转向步骤1；若在设定的数据报文长度阈值M内，转向步骤6；步骤6：判断此双向网络数据流的数据包记录有没有达到设定的数据包数阈值N，如果没有，转向步骤1；如果已经达到设定的数据包数阈值N表示此双向网络流的统计特征已经收集完毕，统计最小报文值、最大报文值、平均数据包间隔、不同<源端口，目的端口>对的数目和报文值的概率分布，然后与VoIP统计特征模板库中相同协议类型下的统计特征模板依次进行匹配；前面几个统计特征只需直接与VoIP统计特征模板库中的对应项比较即可，报文值的概率分布是用来与VoIP统计特征模板库中的各VoIP应用的报文值概率分布模版计算互雷尼信息熵的，计算的熵值绝对值与设定的互雷尼信息熵阈值η进行比较，若小于设定的互雷尼信息熵阈值η则能匹配，否则匹配失败；若存在能够匹配的特 征模版，由此可以识别标记出该双向网络流对应的VoIP应用类型，转向步骤7；如果不存在能够匹配的特征模板，则此双向网络流为被监控VoIP应用外的其他网络应用的数据流，标记此双向网络流记录为其他类型，转向步骤1；步骤7：若该双向网络流所对应的两IP之间同时存在TCP和UDP两种协议的双向网络流，则直接把没有标记应用类型的那个双向网络流标记为与该双向网络流相同的应用类型，转向步骤1。