基于SIPVoIP流量识别方法研究.docVIP

基于SIPVoIP流量识别方法研究 　　摘要:分析了已有流量识别方面的主要方法,针对基于SIP的VoIP流量,提出一种结合协议特征和协议流程分析的综合流量识别方法,并基于Libpcap库实现了对应的识别工具#65377; 　　关键词:会话初始化协议; 语音互联网协议; 网络测量; 流量识别; 基于载荷分析 　　中图分类号:TP393文献标志码:A 　　文章编号:1001-3695(2007)04-0301-03 　　 　　0引言?? 　　 　　随着Internet带宽的增加,网络上多媒体应用越来越普遍,流媒体#65380;VoIP#65380;视频会议等多媒体新业务流量也越来越大#65377;新业务的出现,极大地促进了网络的发展,但同时也改变了已有的网络流量模型,给网络管理#65380;流量监测提出了新的挑战#65377;对于流量识别方法的研究,尤其是对日益增长的多媒体流量的识别方法研究,有助于帮助管理员了解网络中承载的流量分布情况,进一步了解多媒体流量的增长对网络性能的影响,协助更好地对网络进行规划设计#65377;同时,可以探索对不同业务的QoS需求以及新的计费模式#65377;?? 　　目前Internet上多媒体应用主要分为如下两大类,即面向内容发布的多媒体应用(如流媒体#65380;IPTV)和面向交互的多媒体应用(如IP电话#65380;视频会议)#65377;市场上流媒体解决方案的厂家有RealNetworks#65380;Apple和Microsoft#65377;其中RealNetworks的流媒体服务器有HelixServer,使用该公司私有的RDT协议;Apple公司有面向开源社区免费的DarwinStreaming,遵循RTSP协议标准;Microsoft有 MMS私有协议#65377;?? 　　视频会议和IP电话主要有ITU制定的H.323和IETF的制定的SIP[1,2](Session Initial Protocol,会话初始化协议)两大协议族#65377;H.323初始是面向电路交换的PSTN,它目前在小规模的PSTN交换网络中用于处理简单的电话呼叫和IP视频会议市场上占主要的市场份额#65377;SIP是一个基于文本的Internet协议,借鉴了HTTP#65380;SMTP等协议,在风格上遵循因特网一贯坚持的简练#65380;开放#65380;兼容和可扩展等原则,实现简单#65377;因此基于SIP的应用也越来越广泛#65377;?? 　　 　　1已有的流量识别方法分析?? 　　 　　当前Internet中的流量依据应用的不同可以分成不同类别[3],如表1所示#65377;?? 　　流量识别,就是将数据包与产生该数据包的应用对应起来的过程#65377;已有的流量识别方法,根据是否对协议载荷进行分析(即分析信息是否涉及到传输层上层信息)可分为载荷分析(Payload??based Analysis)和非载荷分析;根据识别所依据信息的不同可分为基于端口的流量识别#65380;基于特征的流量识别#65380;基于协议流程分析的流量识别方法#65377;?? 　　1.1基于端口的流量识别方法?? 　　最简单的流量识别方法是基于传输层端口的识别#65377;IANA分配的一些周知端口(Well??known Port),如21(FTP)#65380;23(Telnet)#65380;25(SMTP)#65380;110(POP)#65380;80(WWW)#65380;SIP(5060)#65377;这种方法简单,开销很小,易实现#65380;但最大的缺点是不准确,尤其是对一些新的应用,如P2P#65380;多媒体应用#65377;这些新应用为了能够穿透,防止被阻断,并不采用静态端口,而是通过动态分配#65377;?? 　　 　　1.2基于特征的流量识别方法?? 　　基于特征的流量识别方法是根据不同应用表现的不同特征(Signature)来识别数据包所对应的应用#65377;特征可以是报文中的特征字符串,也可以是应用行为特征,或者是一些统计特性#65377;表2列出了不同P2P协议的特征字符串[4]#65377;?? 　　以P2P的连接建立过程为例,介绍利用行为特征来识别P2P流量的应用[5]: P2P节点在加入P2P网络建立连接时,Peer之间一般会在某个时间间隔t内同时存在TCP和UDP流;而且,对于某个指定的Peer,它在P2P网络中的标志({IP,Port}二元组)经过传播后会被其他多个Peer学习到,后者会与该{IP,Port}所标志的主机交换数据#65377;在并发流中表现为对于某个指定的Peer,存在多个{IP,Port}与其进行交互,而且与