VoIP特征識別研究與應(yīng)用

曾繁超

【摘要】 VoIP是用lP數(shù)據(jù)包代替?zhèn)鹘y(tǒng)的電路交換進(jìn)行語言數(shù)據(jù)傳輸?shù)囊环N技術(shù)。隨著這種技術(shù)日益廣泛的應(yīng)用，帶來了一些新的安全問題，必須進(jìn)行有效的識別。本文通過分析VoIP數(shù)據(jù)包的特性，給出了兩個(gè)基于網(wǎng)絡(luò)流量行為的統(tǒng)計(jì)特征，從而可以對Voip語音通訊進(jìn)行有效識別。

【關(guān)鍵字】 VoIP Skype 流量識別

一、引言

VOIP是一種網(wǎng)絡(luò)應(yīng)用，它利用分組交換網(wǎng)絡(luò)傳輸語音數(shù)據(jù)包。傳統(tǒng)的語音數(shù)據(jù)是通過電路交換網(wǎng)進(jìn)行傳輸?shù)模娐方粨Q網(wǎng)雖然可以提供更可靠通訊，但成本更昂貴。而利用分組交換網(wǎng)進(jìn)行聲音數(shù)據(jù)，成本更低，同樣也能提供比較可靠的通訊。現(xiàn)在有很多VOIP軟件，其中應(yīng)用比較廣泛的是Skype。在越來越廣泛應(yīng)用的同時(shí)，VOIP也嚴(yán)重增加了網(wǎng)絡(luò)營運(yùn)的設(shè)備負(fù)荷，同難于管理。要對其進(jìn)行控制，必須要對它的流量進(jìn)行監(jiān)測。

二、傳統(tǒng)的流量識別方法

當(dāng)前Internet中的流量依據(jù)應(yīng)用的不同可以分成不同類別。傳統(tǒng)的流量識別方法，大概分為三種：1、基于端口的流量識別方法；2、基于字符特征的流量識別方法；3、基于協(xié)議流程分析的流量識別方法。流量識別技術(shù)有如下要求：準(zhǔn)確性、實(shí)時(shí)性、可擴(kuò)展、健壯性。如何在這四個(gè)要求之間做到有效的權(quán)衡是流量識別方法研究要解決的問題。

三、基于數(shù)據(jù)包大小的概率分布特征

基于網(wǎng)絡(luò)流量行為的特征，進(jìn)行VOIP的流量識別，應(yīng)該是一種可行的方法。所謂網(wǎng)絡(luò)流量行為，就是指流量的一些主要要素所表現(xiàn)出來的相似性，或者穩(wěn)定性。比如，流量的數(shù)據(jù)包大小固定在某一范圍內(nèi)，再比如流量數(shù)據(jù)包大小，隨著時(shí)間的推移，有個(gè)明顯的變化等。這些都是流量行為的特征。voIP的數(shù)據(jù)包，數(shù)量巨大，用統(tǒng)計(jì)的方法對其網(wǎng)絡(luò)流量行為進(jìn)行分析，應(yīng)該是一個(gè)可行的方法。首先，每個(gè)數(shù)據(jù)包都有一些特性，包長，包到達(dá)時(shí)間等，其次數(shù)據(jù)包之間也有一些關(guān)聯(lián)特性，如包長的變化，前后兩個(gè)數(shù)據(jù)包的到達(dá)時(shí)間間隔等。根據(jù)這些特性，就可以不考慮數(shù)據(jù)包的負(fù)載數(shù)據(jù)的內(nèi)容，不通過字符特征進(jìn)行分析，直接對這些特性進(jìn)行分析，這樣可以顯著地提高識別的速度。當(dāng)抓取了一系列數(shù)據(jù)包后，數(shù)據(jù)包的大少的分布就確定了，根據(jù)這可以對這些數(shù)據(jù)包進(jìn)行分析。首先，數(shù)據(jù)包負(fù)載的大小必定大于等于O。而且，根據(jù)IP數(shù)據(jù)包的特性，其最大長度理論上為65535，但一般上遠(yuǎn)小于這一數(shù)值，一般小于1500字節(jié)。由于，skype主要使用UDP包進(jìn)行傳輸語音數(shù)據(jù)，所以這里先對UDP包進(jìn)行分析。對十次skype通話進(jìn)行抓包，得到五組UDP包，用a，b，c，d，e代表這五組數(shù)據(jù)。為了便于觀察，先劃分出以下區(qū)間[0，40），[40，50），[50，60），[60，80），[80，100），[100，130），[130，150），[150，200），[200，250）， [250，300），[300，350），[350，400），[400，512），[512，+∞）？skype的包長都處于這些區(qū)間中。skype通話的UDP數(shù)據(jù)包在包長分布上有比較相似的特性：主要為包長在[130，150），[100，130）這連個(gè)區(qū)間的數(shù)據(jù)包；而在[40，50）這個(gè)區(qū)間的數(shù)據(jù)包，是在skype通話雙方靜音時(shí)產(chǎn)生的，數(shù)量也比較巨大。

每一個(gè)到達(dá)的UDP數(shù)據(jù)包，其大小都是隨機(jī)的，而且為大于28，小于65535的整數(shù)。這樣，數(shù)據(jù)包的抓取，可以看作隨機(jī)試驗(yàn)E，事件A_i為抓到的IP數(shù)據(jù)包大小為i，所以隨機(jī)試驗(yàn)E有A₀到A₆₅₅₃₅，共65536個(gè)事件。事件A_i出現(xiàn)的概率為P_i，所以有以下等式（1）：

事件A_i的概率如何確定？每抓到一個(gè)數(shù)據(jù)包，就可以認(rèn)為完成了一次隨機(jī)試驗(yàn)E，當(dāng)抓了N次數(shù)據(jù)包，就認(rèn)為完成了N次隨機(jī)試驗(yàn)E。在這N次隨機(jī)試驗(yàn)中.ni表示事件Aj在這N次試驗(yàn)中出現(xiàn)的次數(shù)，所以 為事件Ai出現(xiàn)的頻率，當(dāng)N比較大時(shí)，該頻率就趨于穩(wěn)定，我們就認(rèn)為 是事件A_i的概率P_i，即公式（2）：

由以上分析可知，數(shù)據(jù)包的大小為一離散隨機(jī)變量X，其取值范圍為大于等于0，小于等于512的整數(shù)。隨機(jī)變量X的概率分布為公式（3）：

所以，必須分別統(tǒng)計(jì)出大小為x的數(shù)據(jù)包的個(gè)數(shù)，然后再計(jì)算X=x時(shí)的概率

四、結(jié)束語

本文從網(wǎng)絡(luò)流量行為的角度得到了SKYPE的兩個(gè)特征，都是根據(jù)數(shù)據(jù)包的統(tǒng)計(jì)數(shù)據(jù)進(jìn)行分析的。對其它的VOIP應(yīng)用，我們也可以同樣提取出它們的數(shù)據(jù)包包長的概率分布特征，從而對這些VOIP流量進(jìn)行識別。