基于DPI技术的VoIP流量识别.docVIP

基于DPI技术的VoIP流量识别 　　摘要：由于IP网络的开放性和自由性，VoIP接入技术的简单易行，在电信市场中存在着大量非法的VOIP业务，网络运营商对网络流量缺少有效的监管方案，结果是合法运营商的话务量流失，利润下降。该文重点研究了运用DPI技术检测VoIP流量的方法，深入分析了各种基于VoIP协议流行的应用软件，设计和实现了一个网络流量检测识别系统，能够满足对VoIP网络流量的识别和记录。 　　关键词：流量检测；DPI；VoIP 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）27-6094-05 　　随着互联网技术的快速发展，网络已经成为人们生活中不可分割的组成部分，通过网络人们的工作、生活都变得便捷，欣欣向荣的宽带业务，给运营商带来机遇的同时也带来了挑战。大量非法VOIP运营充斥着正规电信市场，导致合法运营商话务量流失，利润减少。造成这些结果的主要原因是运营商对网络流量缺少一个有效的技术监管方案，对网络上的流量没有进行有效的分析。技术的进步是由市场的需求推动的，在这种情况下，深度包检测技术（DPI）就随后产生了，DPI是一种基于应用层的流量检测和控制技术。 　　本文研究的目的就是提出一种基于深度包检测技术的网络流量识别方案，并在此基础上实现一个网络流量识别系统，该系统可以满足对网络中各种流量的识别和记录。 　　1 VoIP协议简介 　　自从1995年以色列的VocalTec公司开发出了世界上第一个可以实时通话的软件“Internet Phone”后，VoIP技术经过十几年的快速发展，这项技术已经得到了广泛的应用。在网络上出现了大量的VoIP软件，例如腾讯QQ、YY语音、Skype、MSN、KC网络电话、UUCall网络电话等。当前大部分VoIP软件的呼叫控制协议都遵循H.323协议和SIP协议。例如：SIP通话主要包括3个过程：终端注册过程、呼叫建立过程和呼叫释放过程。检测过程为，首先采集用户的流量，分析流量中的信令流，采集SIP发送方的呼叫建立信令信息和响应方的同意建立通话信令信息，就可以通过这些信令信息分析是否有用户在使用或者提供基于SIP协议的VoIP服务。采集呼叫释放的信令就可以知道用户是否已经结束通话。H.323协议的检测过程和SIP协议类似。主流的VoIP软件的通话的网络流量都可以通过这种方法被检测出来是否属于VoIP协议。但是，这种检测方法在现在的环境下已经不具有普遍性。为了逃避监管部门的监管，一些非法经营者经常会采取一些改变协议的方式来逃避管控，如改变标准通信端口、修改协议内容或制定私有协议等。这就使通过SIP协议和H.323协议的检测方法不能检测出非标准和私有协议的VoIP业务，这就需要通过系统抓包分析，分析出VoIP协议特征之后就可以实现对该标准协议的监测。现在DPI检测技术的出现可以实现对各种标准和非标准VoIP业务的检测。 　　2 VoIP流量检测技术 　　2.1 端口检测法 　　大多数早期的VoIP应用程序使用的都是固定端口号，比如： 　　1） RTSP服务器的缺省端口是554； 　　2） RTP/UDP/16384-32768； 　　3）H.323协议栈需使用的端口号：RAS/UDP/1719；H225.0/TCP/1720；H245/TCP/1800-1820； 　　这种检测方法需要在网络中收集数据流量并进行分组，然后检查报文的运输层首部信息，将端口信息和特定的协议的端口进行匹配。如果匹配上，就可以证明该分流量即为VoIP类流量，便可以按照识别的结果对VoIP流量进行管理控制。 　　这种检测方法的优点是简单和识别效率高，但是随着VoIP应用技术的快速发展，一些VoIP应用改变了端口信息，这种方法开始变得不再普遍适用，但是针对一些特殊的VoIP协议还存在一定的适用性。这就需要更具有普遍性的DPI检测技术。 　　2.2 基于深度报文的流量检测技术 　　随着计算机网络技术的发展，一种检测性能更加强大的检测技术DPI技术出现了。DPI全称为“Deep Packet Inspection”，称为“深度包检测”。所谓“深度”是和普通的报文分析层次相比较而言的，“普通报文检测仅分析IP包的层4以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型，而DPI除了对前面的层次分析外，还增加了应用层分析，就是通过对应用流中的数据报文内容进行探测，从而确定数据报文的真正应用。DPI的识别技术可以分为以下几大类： 　　1） 基于“特征字的识别技术 　　基于“特征字的识别技术这是一种简单而又高效的网络流量检测技术。不同网络应用的协议都有独特的特征，这些特征一般被称为“特征字”。该检测技术就是通过模式匹配算法（Pattern-Matc