一种基于网络监控的VoIP音视频审计方法
【专利摘要】本发明公开了一种基于网络监控的VoIP音视频审计方法,包括有网络嗅探设备,网络嗅探设备位于用户与用户之间,将网络报文镜像出来,网络嗅探设备将抓取的网络报文存储到云中,用户通过在存储云中选择抓去的报文进行回放。本发明解决了当前网络审计系统的局限性,通过网络报文的抓取、报文头部信息的编码及传递,成功解决了在不同的媒体流中分辨音视频编码的问题,能做到网络监控的同时对通信双方的音视频进行实时回放。
【专利说明】—种基于网络监控的VoIP音视频审计方法
【技术领域】
[0001]本发明主要涉及音视频审计领域,尤其涉及一种基于网络监控的VoIP音视频审计方法。
【背景技术】
[0002]随着计算机和网络技术的不断进步,现今网络的安全问题愈加凸显,大到互联网,小到公司或组织的内部网,如果对网络通信内容进行审核一直都是一个难题。传统的网络抓包工具可以记录网络中的所有报文,并通过各种过滤分析规则进行审核,但随着网络聊天工具音视频聊天的新起,愈来愈多的网络报文承载着聊天的音视频流。音视频流的编码格式多种多样,流行的就有G729、iLBC、iSAC、VP8等等,而音视频在网络传输中仅以流的形式进行传播,在数据流中并不包含编解码信息,因此传统的网络抓包分析工具虽然可以做到将这些音视频流保存下来,但无法获知流的编码格式,因此也就无法进行解码。如何做到在监控网络的同时可以对音视频聊天的双方聊天的内容进行实时回放,一直是一个技术难题。
[0003]现有技术只能在网络中抓取报文并对报文进行分析,但由于VoIP媒体种类多种多样,聊天的工具也是多样化,像Skype、QQ、MSN、阿里旺旺等等,所使用的音视频编码各有不同,现有技术难以在不同的媒体流中区分出各自的编码信息,因此也就无法做到实时回放音视频流,这样对于目前的网络审计系统来说存在着很大的局限性。
[0004]VoIP是一种透过互联网或其他使用IP技术的网络,来实现的新型电话通讯。
[0005]现有最好的技术也仅仅是在抓包时区分每条音视频流,将分属于不同音视频流的数据包分开保存,然后将属于同一条流的报文拼接,组合成一条完整的音频流或者视频流,在播放时从流的首部协商中获取该流的编码信息,然后对整条流进行回放,如果流缺少首部的编码信息,或仅仅获取流中间的一段报文,将无法正常回放音视频。
【发明内容】
[0006]本发明目的就是为了弥补已有技术的缺陷,提供一种基于网络监控的VoIP音视频审计方法,具有在互联网或局域网中对于使用VoIP聊天工具进行音视频通讯的实时监控功能。
[0007]本发明是通过以下技术方案实现的:
一种基于网络监控的VoIP音视频审计方法,其特征在于:包括有网络嗅探设备,网络嗅探设备位于用户与用户之间,将网络报文镜像出来,网络嗅探设备将抓取的网络报文存储到云中,用户通过在存储云中选择抓去的报文进行回放;具体步骤如下:
(O网络嗅探设备本身就是一个基于模式匹配的网络监测系统,网络嗅探设备对抓取的网络报文进行监测,监测过程包括以下几个步骤:1)对网络嗅探设备进行初始化配置:读取一些配置文件,系统初始化;初始化规则引擎;构造规则快速匹配引擎; 2)嗅探网络中的数据包;
3)拆包;
4)监测引擎进行规则匹配;
5)解析应用并输出需要的信息;
(2)网络嗅探设备对捕获的网络报文数据首先按链接保存在内存队列中,其中网络上的链接以源端的IP地址、端口号以及目的端IP地址、端口号作为唯一标识;按不同的链接分别保存,可以保证数据的完整性和准确性;其中内存队列是系统启动时预分配的,一般由100个至200个buf组成,capturethread将俘获的数据填写到buf中,workthread从buf中取出数据进行分析,内存队列读取网络报文,重组为snif格式,如果该网络报文为VoIP媒体,则在snif头中插入编码信息;snif结构的codec字段用于保存编码信息;
(3)回放
回放设备所需要的VoIP音视频数据以插件的形式存在,之所以使用插件,一方面方便定制出需要的数据,另一方面可以提供许多协议解析组件,方便用户根据自己的需要进行有效的选择;既然是以插件的形式存在,那么在实际调用之前,就需要先进行初始化;
1)对回放设备进行初始化,主要分为两个阶段:
(A)初始化:完成检测数据包前的所有准备工作;
a)打开数据包获取接口;
b)插件初始化;
c)规则链表初始化;
d)规则快速匹配引擎初始化;
e)前期一些初始化工作;
(B)数据包处理:完成数据包从嗅探设备到协议输出等主要工作;
a)数据包截获;
b)数据包拆包/解码以及TCP/UDP会话处理;
c)数据包检测即监测引擎进行规则匹配;
d)协议解析输出;
2)回放设备在读取snif格式的报文时,取snif头部的codec字段,根据codec字段的值判断调用哪种解码器对媒体解码;
3)回放设备分为两个单元,具体步骤是:
(A)解码器库:用于解码snif数据包;
a)将snif文件解码为原始的Raw音视频流;
b)根据payload选择相应的解码器解码为PCM/YUV,其中PCM需要混音;
c)根据界面选择将文件编码为需要输出的格式;
(B)界面回放框架:用于回放PCM/YUV;
a)视频回放单元:用于播放、暂停、画面缩放、全屏等;
b)音频回放单元:用于播放、暂停、音量调节、静音等。
[0008]本发明的原理是:
网络监控程序在VoIP双方协商编码信息时记录编码;网络监控程序在保存流数据包时将记录的编码信息写入数据包报文头部;回放审核系统在回放音视频流时通过数据包的报文头部获取音视频编码信息调用相应的解码器解码。
[0009]本发明的优点是:
本发明解决了当前网络审计系统的局限性,通过网络报文的抓取、报文头部信息的编码及传递,成功解决了在不同的媒体流中分辨音视频编码的问题,能做到网络监控的同时对通信双方的音视频进行实时回放。
【专利附图】
【附图说明】
[0010]图1为本发明的整体流程图。
[0011]图2为网络嗅探设备与存储云进行交互的工作流程图。
[0012]图3为回放设备处理流程图。
【具体实施方式】
[0013]如图1所示,一种基于网络监控的VoIP音视频审计方法,包括有网络嗅探设备,网络嗅探设备位于用户与用户之间,将网络报文镜像出来,网络嗅探设备将抓取的网络报文存储到云中,用户通过在存储云中选择抓去的报文进行回放;具体步骤如下:
(O网络嗅探设备本身就是一个基于模式匹配的网络监测系统,网络嗅探设备对抓取的网络报文进行监测,监测过程包括以下几个步骤:
1)对网络嗅探设备进行初始化配置:读取一些配置文件,系统初始化;初始化规则引擎;构造规则快速匹配引擎;
2)嗅探网络中的数据包;
3)拆包;
4)监测引擎进行规则匹配;
5)解析应用并输出需要的信息;
(2)如图2,网络嗅探设备对捕获的网络报文数据首先按链接保存在内存队列中,其中网络上的链接以源端的IP地址、端口号以及目的端IP地址、端口号作为唯一标识;按不同的链接分别保存,可以保证数据的完整性和准确性;其中内存队列是系统启动时预分配的,一般由100个至200个buf组成,capturethread将俘获的数据填写到buf中,workthread从buf中取出数据进行分析,内存队列读取网络报文,重组为snif格式,如果该网络报文为VoIP媒体,则在snif头中插入编码信息;snif结构的codec字段用于保存编码信息;
(3)回放
如图3,回放设备所需要的VoIP音视频数据以插件的形式存在,之所以使用插件,一方面方便定制出需要的数据,另一方面可以提供许多协议解析组件,方便用户根据自己的需要进行有效的选择;既然是以插件的形式存在,那么在实际调用之前,就需要先进行初始化;
I)对回放设备进行初始化,主要分为两个阶段:
(A)初始化:完成检测数据包前的所有准备工作;
a)打开数据包获取接口;
b)插件初始化;
c)规则链表初始化; d)规则快速匹配引擎初始化;
e)前期一些初始化工作;
(B)数据包处理:完成数据包从嗅探设备到协议输出等主要工作;
a)数据包截获;
b)数据包拆包/解码以及TCP/UDP会话处理;
c)数据包检测即监测引擎进行规则匹配;
d)协议解析输出;
2)回放设备在读取snif格式的报文时,取snif头部的codec字段,根据codec字段的值判断调用哪种解码器对媒体解码;
3)回放设备分为两个单元,具体步骤是:
(A)解码器库:用于解码snif数据包;
a)将snif文件解码为原始的Raw音视频流;
b)根据payload选择相应的解码器解码为PCM/YUV,其中PCM需要混音;
c)根据界面选择将文件编码为需要输出的格式;
(B)界面回放框架:用于回放PCM/YUV;
a)视频回放单元:用于播放、暂停、画面缩放、全屏等;
b)音频回放单元:用于播放、暂停、音量调节、静音等。
【权利要求】
1.一种基于网络监控的VoIP音视频审计方法,其特征在于:包括有网络嗅探设备,网络嗅探设备位于用户与用户之间,将网络报文镜像出来,网络嗅探设备将抓取的网络报文存储到云中,用户通过在存储云中选择抓去的报文进行回放;具体步骤如下: (O网络嗅探设备本身就是一个基于模式匹配的网络监测系统,网络嗅探设备对抓取的网络报文进行监测,监测过程包括以下几个步骤: 1)对网络嗅探设备进行初始化配置:读取一些配置文件,系统初始化;初始化规则引擎;构造规则快速匹配引擎; 2)嗅探网络中的数据包; 3)拆包; 4)监测引擎进行规则匹配; 5)解析应用并输出需要的信息; (2)网络嗅探设备对捕获的网络报文数据首先按链接保存在内存队列中,其中网络上的链接以源端的IP地址、端口号以及目的端IP地址、端口号作为唯一标识;其中内存队列是系统启动时预分配的,一般由100个至200个buf组成,capturethread将俘获的数据填写到buf中,workthread从buf中取出数据进行分析,内存队列读取网络报文,重组为snif格式,如果该网络报文为VoIP媒体,则在snif头中插入编码信息;snif结构的codec字段用于保存编码信息; (3)回放 1)对回放设备进行初始化,主要分为两个阶段: (A)初始化:完成检测数据包前的所有准备工作; a)打开数据包获取接口; b)插件初始化; c)规则链表初始化; d)规则快速匹配引擎初始化; e)前期一些初始化工作; (B)数据包处理:完成数据包从嗅探设备到协议输出等主要工作; a)数据包截获; b)数据包拆包/解码以及TCP/UDP会话处理; c)数据包检测即监测引擎进行规则匹配; d)协议解析输出; 2)回放设备在读取snif格式的报文时,取snif头部的codec字段,根据codec字段的值判断调用哪种解码器对媒体解码; 3)回放设备分为两个单元,具体步骤是: (A)解码器库:用于解码snif数据包; a)将snif文件解码为原始的Raw音视频流; b)根据payload选择相应的解码器解码为PCM/YUV,其中PCM需要混音; c)根据界面选择将文件编码为需要输出的格式; (B)界面回放框架:用于回放PCM/YUV; a)视频回放单元:用于播放、暂停、画面缩放、全屏等;b)音频回放单元 :用于播放、暂停、音量调节、静音等。
【文档编号】H04L12/26GK104079448SQ201410186321
【公开日】2014年10月1日 申请日期:2014年5月5日 优先权日:2014年5月5日
【发明者】高彬燕 申请人:北京华博科讯信息技术有限公司