葉永春

摘 要： 采用軟硬件相結(jié)合的方法，將硬件識別語音視頻網(wǎng)絡常見的協(xié)議，軟件識別網(wǎng)絡復雜的網(wǎng)絡協(xié)議，并結(jié)合端口、統(tǒng)計等多種識別技術(shù)的識別方案，提出語音視頻流量監(jiān)控架構(gòu)的監(jiān)控系統(tǒng)；詳細對系統(tǒng)的架構(gòu)和相關(guān)模塊的設計進行分析，并通過實際試驗環(huán)境對系統(tǒng)性能進行驗證，結(jié)果表明該系統(tǒng)的語音視頻流量監(jiān)控客戶端識別率都大于91%，沒有誤報，表明系統(tǒng)的識別性能可以滿足用戶需求。

關(guān)鍵詞： DPI技術(shù)； 語音視頻監(jiān)控系統(tǒng)； 網(wǎng)絡協(xié)議； 流量監(jiān)控架構(gòu)

中圖分類號： TN948.4?34； TP309 文獻標識碼： A 文章編號： 1004?373X（2017）01?0067?03

Abstract： The method of combining software and hardware is used to propose the voice video traffic monitoring system with monitoring architecture， which is based on the protocol commonly used in voice video network recognized by hardware， network protocol recognizing network complexity by software， and recognition scheme combining port， statistics and various recognition technologies. The design of system architecture and related modules are analyzed in detail. The system performance was verified in the practical experiment environment. The results show that the client recognition rate of the voice video traffic monitoring system is higher than 91%， the system has no false alarm， and the recognition performance of the system can satisfy the users′ requirement.

Keywords： DPI technology； voice video monitoring system； network protocol； traffic monitoring architecture

0 引 言

隨著智能手機的普及，WiFi大面積覆蓋，語音視頻可隨時隨地實現(xiàn)，語音視頻因快捷方便、價格合理，因此得到眾多用戶的喜愛，目前其發(fā)展速度相當快[1]。但網(wǎng)絡應用在快速發(fā)展的同時，各種網(wǎng)絡語音視頻流量也變得越來越復雜化和多樣化，導致網(wǎng)絡安全事故頻發(fā)[2?4]。網(wǎng)絡語音視頻流量分布不均勻，因此網(wǎng)絡語音視頻流量的安全狀況急需管理和維護，網(wǎng)絡流量的監(jiān)控問題也同樣變得十分重要[5]。深度包監(jiān)測（DPI）是一種基于應用層的流量檢測技術(shù)和控制技術(shù)[6]。使用單純的軟件監(jiān)測系統(tǒng)速度較慢，難以滿足網(wǎng)絡高速數(shù)據(jù)包處理的要求；而單純的硬件識別則占用大量的內(nèi)存，一般的內(nèi)存難以達到要求[7]。

本文采用軟硬件相結(jié)合的方法，將硬件識別語音視頻網(wǎng)絡常見的協(xié)議，軟件識別網(wǎng)絡復雜的網(wǎng)絡協(xié)議，在DPI技術(shù)的基礎(chǔ)上，設計語音視頻流量監(jiān)控系統(tǒng)。

1 語音視頻流量監(jiān)控系統(tǒng)架構(gòu)設計

本文設計的監(jiān)控語音視頻流量的系統(tǒng)架構(gòu)主要包含三個模塊，分別為語音視頻特征庫識別模塊、語音視頻策略配置模塊、語音視頻流量控制模塊，設計的監(jiān)控語音視頻流量的系統(tǒng)架構(gòu)，如圖1所示。

用戶使用語音視頻時，其數(shù)據(jù)流先進入語音視頻特征庫模塊，然后該模塊對其匹配進行識別，主要檢測用戶的語音視頻在特征庫中是否有與之相匹配的協(xié)議，然后語音視頻特征庫模塊將識別結(jié)果傳遞給語音視頻策略配置模塊，根據(jù)識別結(jié)果，該模塊對本庫進行查詢，主要是看是否有對應的語音視頻協(xié)議策略，如果有相關(guān)的語音視頻策略，該模塊就將結(jié)果傳遞到下個模塊，即語音視頻流量控制模塊，根據(jù)用戶下發(fā)的語音視頻控制策略，該模塊對達到用戶預期的語音視頻進行放行、限制流量和阻止隔斷；如果語音視頻流量控制模塊未對語音視頻策略進行任何傳遞，那么數(shù)據(jù)流在流出口直接傳輸。

1.1 語音視頻特征庫識別模塊

特征庫識別模塊首先要對網(wǎng)絡中各種協(xié)議的語音視頻流量進行準確識別，并根據(jù)用戶產(chǎn)生的語音視頻流量大小，對其實時占有的百分比進行統(tǒng)計，實現(xiàn)對用戶語音視頻流量的監(jiān)控。用戶的語音視頻流量如果傳遞到特征庫識別模塊，該模塊就會對相關(guān)的語音視頻報文進行解析，通過PushQueue操作將語音視頻報文壓入數(shù)據(jù)包；在PopQueue操作下，將該數(shù)據(jù)包送到引摯，在服務端口，引摯對語音視頻流量進行初步協(xié)議判定，并將結(jié)果記錄下來。引摯通過識別后，優(yōu)先對判定的語音視頻協(xié)議進行匹配，如果出現(xiàn)未能匹配的情況，引摯識別則由特征庫識別模塊直接進行。

經(jīng)過初步端口識別后，特征庫識別模塊進行最核心部分的DPI識別，DPI識別中的協(xié)議特征庫包含兩個預設接口，在進行識別時，一個接口匹配解析引摯，另一個接口提供一個全局數(shù)組，這個數(shù)組主要對所有應用名進行存儲，同時該接口還負責將數(shù)組傳遞到語音視頻的策略配置模塊，圖2為DPI識別語音視頻流程圖。

1.2 語音視頻策略配置模塊

語音視頻策略配置模塊主要由兩部分組成：一是全局數(shù)組。這個數(shù)組由存儲應用名的語音視頻特征庫識別模塊提供。二是語音視頻策略信息庫。全局數(shù)組提供了一個界面，該界面能使用戶查詢應用；根據(jù)查詢的結(jié)果，語音視頻策略信息庫至少提供一個配置策略，用戶將策略信息傳遞到下一個模塊，即語音視頻流量控制模塊，語音視頻控制模塊這時就會發(fā)出對應的干擾報文和控制報文。

1.3 語音視頻流量控制模塊

語音視頻流量控制模塊實質(zhì)上是一種阻斷的技術(shù)，該模塊限制特定的語音視頻速率，并將其完全阻斷，要很好地控制語音視頻流量，就必須先對具體協(xié)議進行準確的識別，識別精度決定控制精度，語音視頻流量控制模塊對特征庫識別模塊具有高度的依賴性，為很好地實現(xiàn)語音視頻流量控制模塊的核心技術(shù)，本文選用旁路干擾語音視頻流量控制。

1.3.1 旁路干擾實現(xiàn)語音視頻流量控制

旁路干擾語音視頻流量控制主要由主機、路由器、分光器、流控設備組成，旁路干擾利用的是偽裝技術(shù)，偽裝的數(shù)據(jù)包被發(fā)送到TCP，UDP后，出現(xiàn)兩種可能：一是降低數(shù)據(jù)傳輸速率；二是阻斷通信連接，這樣控制語音視頻流量的目的就達到了。

1.3.2 控制模塊的實現(xiàn)

控制模塊采用旁路干擾語音視頻流量的控制方式，在用戶下發(fā)相應的語音視頻策略后，控制模塊就會產(chǎn)生相應報文，成功地對用戶語音視頻流量實現(xiàn)控制，這是控制模塊的主要功能。控制模塊由策略接收器、報文緩存器、控制報文發(fā)送器組成，策略接收器接收由配置模塊發(fā)出的信息，并執(zhí)行命令送至報文緩存器和控制報文發(fā)送器；報文緩存器主要緩存和發(fā)送控制報文，并提供支持給控制報文發(fā)送器；控制報文發(fā)送器主要接收策略，并對控制報文進行發(fā)送。

2 語音視頻流量識別方案的設計

2.1 識別語音視頻具體流程

識別語音視頻流量流程圖如圖3所示，在對語音視頻流量進行識別時，采用DPI技術(shù)，對相關(guān)的信令流進行識別。當語音視頻被標記為信令流后，引摯便會對該語音視頻進行掃描，掃描包括數(shù)據(jù)包的全部負載內(nèi)容，本文通過對傳輸層協(xié)議類型、相關(guān)的IP地址、對應的端口號的解析，得到語音視頻的三元組信息，把三元組信息添加到關(guān)聯(lián)表項協(xié)議中，如果有后續(xù)的流匹配到此三元組信息就被標記為其數(shù)據(jù)流。對于沒有被識別的語音視頻，一般將其標記為unknown，這樣，關(guān)于語音視頻流量的識別就全部完成。

2.2 監(jiān)控語音視頻流量方案的設計與部署

2.2.1 進行網(wǎng)絡部署

實驗室監(jiān)控語音視頻流量的組網(wǎng)環(huán)境如圖4所示，在同一個局域網(wǎng)，為了避免語音視頻流量不經(jīng)過供應商的服務器，采用不同的兩個公網(wǎng)，由路由器Route1和 Route2分別進行連接，服務器為Server，進行雙網(wǎng)卡配置， Linux為本研究系統(tǒng)，語音視頻流量在經(jīng)過服務器后，在Server服務器中，語音視頻從一個網(wǎng)卡傳遞到另一個網(wǎng)卡，兩個網(wǎng)卡之間分別嵌入識別引摯、控制引摯。網(wǎng)關(guān)通過PC和WiFi被設置成一個網(wǎng)卡IP地址，這個網(wǎng)卡歸屬于Server服務器。語音視頻在流經(jīng)PC和WiFi后，能順利通過Server服務器，利用PC對服務器進行遠程控制；由MobilePhone1，MobilePhone2產(chǎn)生的語音視頻流量通過PC可使用Wiershark的混雜模式抓取，便于分析各應用的相關(guān)協(xié)議。

2.2.2 語音視頻流量監(jiān)控系統(tǒng)引摯架構(gòu)

語音視頻流量監(jiān)控系統(tǒng)引摯架構(gòu)如圖5所示，語音視頻流量監(jiān)控系統(tǒng)引摯由語音視頻流量識別、流量控制、特征庫、數(shù)據(jù)庫、前臺控制模塊五部分組成。通過對語音視頻特征的分析和提取，最后得到特征模塊庫文件，語音視頻進入引摯后，結(jié)合特征庫模塊，識別模塊對語音視頻流量進行模式匹配，并對語音視頻做出標記，將識別結(jié)果送至數(shù)據(jù)庫模塊，然后送至前臺控制模塊。根據(jù)語音視頻流量監(jiān)控系統(tǒng)的識別結(jié)果，對語音視頻流量控制模塊進行相關(guān)操作，從而實現(xiàn)對語音視頻流量的控制。

3 本系統(tǒng)功能實行

本系統(tǒng)的主要目的是實現(xiàn)對語音視頻流量的監(jiān)控，系統(tǒng)的識別準確率由識別率、誤報率組成。識別率越大，系統(tǒng)監(jiān)控性能越好，誤報率越小，系統(tǒng)監(jiān)控準確率越高。為了對本系統(tǒng)的識別準確度進行驗證，對常用的媒體客戶端、視頻網(wǎng)站進行測試，測試結(jié)果見表1。

從表1中可以看出，這些常用語音視頻流量監(jiān)控客戶端的識別率都大于91%，同時沒有誤報，這表明系統(tǒng)識別性能可以滿足用戶需求。

4 結(jié) 語

本文采用軟件和硬件相結(jié)合的方法，設計了一種基于DPI技術(shù)的語音視頻流量監(jiān)控系統(tǒng)，將硬件識別語音視頻網(wǎng)絡常見的協(xié)議，軟件識別網(wǎng)絡復雜的網(wǎng)絡協(xié)議，結(jié)合端口、統(tǒng)計等多種識別技術(shù)的識別方案，對語音視頻流量監(jiān)控進行架構(gòu)，同時對各種場景的應用和采用不同協(xié)議的情況進行了細致的分析，通過實際試驗環(huán)境對系統(tǒng)性能進行驗證。測試結(jié)果表明，本系統(tǒng)的語音視頻流量監(jiān)控客戶端的識別率都大于91%，沒有誤報，系統(tǒng)的識別性能可以滿足用戶需求。

參考文獻

[1] 陳先灝.DPI技術(shù)應用發(fā)展研究[J].無線互聯(lián)科技，2015（21）：32?33.

[2] 武光達，蔣朝惠.基于DPI的流量識別系統(tǒng)的研究[J].技術(shù)研究，2014（10）：44?49.

[3] 吳軍，杜澤華.一種以DPI為核心的網(wǎng)絡流量識別方案[J].軟件導刊，2014，13（1）：23?26.

[4] 程博，辛陽.基于VOIP的語音視頻流量監(jiān)控方案設計與實施[J].技術(shù)研究，2014（6）：53?58.

[5] 曾傳璜，陳景忠.基于DPI的流媒體流量監(jiān)控系統(tǒng)的分析與設計[J].電視技術(shù)，2014，38（9）：136?138.

[6] 周振勇，楊華.DPI技術(shù)在IP網(wǎng)流量經(jīng)營中的應用研究[J].電信網(wǎng)技術(shù)，2015（7）：34?37.

[7] 張艷榮，張治中，姜明志.基于DPl的移動分組網(wǎng)絡流量分析技術(shù)的研究與實現(xiàn)[J].電信科學，2014（4）：88?92.