专利名称:基于流量特征的沸点网络电视业务识别方法
技术领域:
本发明是针对沸点网络电视业务识别的研究,主要研究如何基于流量特征有效识 别沸点网络电视,并设计了沸点网络电视的识别模型,涉及对等网络(P2P)和下一代互联 网业务感知以及服务质量监测、协议分析等技术领域。
背景技术:
近几年来P2P作为一项全新的Internet技术,以其独特的技术优势迅速发展,其 应用不断增长。据统计,P2P应用已占ISP业务总量的60X 80X,跃然成为网络带宽最 大的消费者。另一方面,P2P软件穿透现有防火墙和安全代理,通过并不安全的网络环境 获得应用程序和P2P协议,是的病毒和恶意代码得以躲过安全审查入侵内部网络。再加上 Internet重要性的日益提高和网络结构的日益复杂,网络的安全性、可管理性及传统应用 的可用性受到了挑战。人们意识到越来越有必要对P2P流量和网络行为进行深入的了解、 分析,为监控与管理P2P提供技术支持。 沸点网络电视是一款强大的免费网络电视收看软件,配合沸点官方网站对节目的 介绍、搜索、预告等服务,用户可以很方便的使用这款软件免费收看400多路新颖的电视 台、电视剧、电影及综艺节目频道,共计IOOO多个精彩的节目。该软件采用不断升级的版本 来保证稳定高效的系统内核;采用P2P传输、视频编解码技术以及分布式服务器部署,保证 用户能够更加流畅的收看高清晰视频内容。 为了能够对沸点网络电视进行准确识别,需要了解其所采用的通信协议。但由于 沸点网络电视协议为不公开协议,且目前对非标准网络电视协议的研究还不够完善,从而 不能对沸点网络电视业务进行准确的识别。针对沸点网络电视业务的识别具备一定的难 度,有如下原因 — 、沸点网络电视的协议不公开。 二、沸点网络电视采取软件运行前升级版本的方式,升级比较频繁,特征
三、不容易固定。 四、沸点网络电视的媒体流端口有变化,不容易确定和封堵。
发明内容
技术问题本发明的目的是建立一种基于数据流特征的沸点网络电视业务识别方 法,并设计其识别模型,通过对沸点网络电视业务的识别,将沸点网络电视信令流和媒体流 从网络数据流中分拣出来,便于分析主要服务器地址、运行流程等详细信息,从而可以根据 其数据流特征识别出此类业务。
技术方案本发明的基于流量特征的沸点网络电视业务信令识别方法为
a.初始化哈希表该哈希表是用于存储沸点网络电视业务信令流固定访问的IP 地址和域名,哈希表中所有的元素初始化为O,即所有沸点网络业务信令流固定访问的IP 地址,域名初始化为O;
b.给哈希表赋值把通过统计分析出来的沸点网络业务信令流固定访问的IP地 址和域名写入哈希表; c.接收数据包使用软件接收数据包,并转步骤d进行分析; d.根据IP数据包的格式,首先与哈希表进行匹配,如果匹配,转步骤f ;如果不匹 配,转步骤e ; e.对数据包进行深度净荷匹配,如果匹配,转步骤f ;如果不匹配,转步骤g ;
f.保存该沸点网络电视媒体流数据包; g.判断分组是否结束,若分组接收完毕则结束;否则转步骤C。
有益效果 通过对沸点网络电视信令流和媒体流的识别,能够解决以下问题 (1)对广播电视运营商来说,能够对沸点网络电视业务进行统计分析,便于掌控沸
点网络电视对传统电视业务的影响; (2)能够使得运营商对沸点网络电视实施良性监管,如制定合理的计费政策以保 障传统电视业务的利益; (3)从国家信息安全的角度考虑,可对沸点网络电视实施实时监听,有效防止非法 活动通过沸点网络电视作为通信媒介。
图1是沸点网络电视业务信令流识别流程图。图中给出了识别沸点网络电视业务 信令的各个处理过程。
具体实施例方式
本发明提出了一种有效识别沸点网络电视业务的技术框架,如附图1所示。系统 分为四个层面,从下往上依次是数据采集层、协议分析层、流量识别(业务感知)层和沸点 网络电视业务应用层以及表现层。 本发明的关键方法在流量识别层,根据沸点网络电视的数据流的特型,先识别出 信令流和数据流。通过测试和分析,沸点网络电视中信令流主要采用TCP通信方式,数据流 采用UDP通讯方式,且UDP有大量数据通过53125/53124/53125端口 ,端口不固定。
沸点网络电视信令流识别引擎根据特定服务器哈希匹配制定,特定服务器域名和 IP地址表,见附表1。 沸点网络电视媒体流识别引擎策略 1)在沸点网络电视进行数据传输的过程中,客户端发送端UDP包的净荷起始位置 记录了 NAT出口地址的相关信息和用户端的IP地址。第17至20的四个字节0xlc lc 32 Ol为其UDP数据包的净荷特征; 2)在客户端接收到的UDP数据包,客户端收到的UDP数据包的净荷特征是净荷 起始位置第l-4字节位置上的的净荷特征为0xlc lc 32 01; 3)沸点网络电视在安装时给客户端分配一个用户ID,用于识别安装于不同机器
的客户端,该用户名在软件启动和关闭时用来进行身份验证。 以下详细介绍该设计的各个层面及其识别方法。
1.数据采集层 功能该层面提供对于不同链路的数据采集或复制技术,如100/1000M FE、 ATM、 SDH不同速率的采集或复制技术,以保障数据完整、可靠地传送至上一层面一协议分析层。
接口 该层面与上一层面的接口为比特流数据,向上层提供各种分组信息。
2.协议分析层 功能该层面提供对于TCP/IP数据的协议解析,目的是为了向上层提供足够的IP 分组头部和TCP/UDP的头部信息及其必要的分组净荷信息,以满足上一层面流量识别层对 业务的识别和感知。 接口 该层面的协议分析深度应当分析至TCP/IP协议栈的第四层,即传输层。其 向上层提供的接口为流(flow)。流应当由一个五元组来确定,即flow =(源IP,目的IP, 源端口,目的端口,协议类型)。此处的协议类型指代TCP或者UDP。如有必要,该流中还可 存放部分净荷,捕获的净荷大小可配置。 [OO38] 3.流量识别(业务感知)层 功能该层面是整个架构的核心层面,主要根据提供下层即协议分析层提供的IP 分组头部和TCP/UDP的头部信息及其净荷信息等特征有效识别出沸点网络电视业务,匹配 失败的分组则丢弃。 接口 向应用层面提供的接口应当是五元组,即(源IP,目的IP,源端口 ,目的端
口,应用详细信息)。
该层主要包含两个方法沸点网络电视业务信令识别方法和沸点网络电视媒体流 识别方法。通过首先识别出信令信息,再结合信令信息进一步识别出媒体流。
沸点网络电视业务信令识别方法。方法处理过程如附图1 。 (1)初始化哈希表。该哈希表是用于存储沸点网络电视业务信令流固定访问的IP 地址和域名。哈希表中所有的元素初始化为0,即所有沸点网络业务信令流固定访问的IP 地址,域名初始化为O。
(2)给哈希表赋值。把通过统计分析出来的沸点网络业务信令流固定访问的IP地
址和域名写入哈希表。
(3)接收分组。
(4)根据IP数据包的格式,首先与哈希表进行匹配,如果匹配保存该沸点网络电
视信令流数据包。转(l),若分组接收完毕则结束。 令沸点网络电视媒体流识别方法。方法流程如附图2所示。 (1)接收分组。该接收过程同信令识别是同一过程,只是同一分组复制之后用于不 同分组特征匹配。 (2)根据沸点网络电视媒体流净荷特征进行净荷深度检测。如果匹配成功,则转 (3);否则,丢弃分组,转(1)。
(3)保存该沸点网络电视媒体流数据包。转(l),若分组接收完毕则结束。
4.沸点网络电视业务应用层以及表现层 对于沸点网络电视的识别具有很广泛的意义和应用价值。主要可以应用在
沸点网络电视业务流量统计分析;
令沸点网络电视业务性能分析;
5
沸点网络电视媒体流流量控制和呼叫跟踪;
令沸点网络电视自费影响权重估计;
令沸点网络电视流量异常检测;
令沸点网络电视信息安全监控。 根据本方法开发出的骨干互联网业务检测系统在IOG省级骨干网上得到了具体 的验证。系统采用分光方式将IOG流量负载均衡分流至若干台业务识别处理机上,业务识 别处理机完成核心算法的实现,从纷繁复杂的分组中提取、分析、识别沸点网络电视业务。
通过在省级10G骨干网的实际运行和现场测试,能识别出沸点网络电视的信令和 媒体流信息,很好的体现了该方法实施效果,验证了该方法的准确性。 沸点网络电视业务识别系统分为分光设备、监控设备、核心数据库服务器和应用
服务器等实体。10G流量由分光设备分往若干台监控服务器设备,监控服务器设备承载千兆
的流量,识别出业务流量之后,将业务信息实时传送至核心数据库,并由应用服务器发布。 系统接入方式分为两种一种为串联模式,即将沸点网络电视业务监测系统串联
入骨干网中实施检测和控制;另一种为并联模式,即采用监听的方式完成检测和控制。串联
模式会影响整体的网络拓扑,且多多少少会为原有网络带来隐患,因此更推荐对原有网络
无任何影响的并联模式接入。 系统的分光设备从10G链路上实时的分光下来之后,将其分为若干路流量指向若 干台监控设备,监控设备采用高性能的流量采集技术接收所有的流量,并自动调用沸点网 络电视业务识别引擎对流量进行实时的识别,并根据用户自定义的策略进行控制,如封堵、 干扰或者放行等。 表1为沸点网络电视服务器地址列表
域名IP地址
www. sohu. com222.73.123.17/18/20/24/26/37/38/40/
www. sohu. com222. 73. 123. 2/3/4/6/7/8
config. feidian. com220.181.19.154/130
p3p.sogou. com220.181.19. 148/149/155
ping, feidian. com220.181.19.130/154
Snapshot, feidian. com220.181.19.130/154
权利要求
一种基于流量特征的沸点网络电视业务信令识别方法,其特征在于该方法的具体步骤为a.初始化哈希表该哈希表是用于存储沸点网络电视业务信令流固定访问的IP地址和域名,哈希表中所有的元素初始化为0,即所有沸点网络业务信令流固定访问的IP地址,域名初始化为0;b.给哈希表赋值把通过统计分析出来的沸点网络业务信令流固定访问的IP地址和域名写入哈希表;c.接收数据包使用软件接收数据包,并转步骤d进行分析;d.根据IP数据包的格式,首先与哈希表进行匹配,如果匹配,转步骤f;如果不匹配,转步骤e;e.对数据包进行深度净荷匹配,如果匹配,转步骤f;如果不匹配,转步骤g;f.保存该沸点网络电视媒体流数据包;g.判断分组是否结束,若分组接收完毕则结束;否则转步骤c。
全文摘要
基于净荷深度检测的沸点网络电视识别方法是针对沸点网络电视业务识别的研究,主要研究如何基于流量特征有效识别沸点网络电视,并设计了沸点网络电视的识别模型,涉及对等网络(P2P)和下一代互联网业务感知以及服务质量监测、协议分析等技术领域。该方法由沸点网络电视业务信令识别方法和沸点网络电视业务媒体流识别方法组成,首先通过沸点网络电视业务信令识别方法将沸点网络电视业务识别出来,然后再根据沸点网络电视媒体流的净荷特性识别出所有可能的沸点网络电视业务,保证了该系统的识别完整性。
文档编号H04L29/06GK101714973SQ20081015626
公开日2010年5月26日 申请日期2008年10月8日 优先权日2008年10月8日
发明者张顺颐, 徐辉银, 王攀 申请人:南京邮电大学