专利名称:基于UDP统计指印混合模型的VoIP流量检测方法
技术领域:
本发明涉及一种VoIP流量检测方法,特别是涉及一种基于UDP统计指印混合模型的VoIP流量检测方法。
背景技术:
Voice over Internet Protocol (以下简称VoIP)技术是一种以IP电话为主,并推出相应的增值业务的技术。与传统的语音业务相比,VoIP能在同样带宽条件下使通话数量成倍增加,可以实现低成本的语音传送、传真等传统电信业务。应用较为广泛的VoIP技术主要有Skype和QQ语音等,在网络带宽中占有一定比例,VoIP流量的精确检测有助于提高网络服务质量,提升网络管理和控制的水平,并有助于维护网络安全。文献 I “SalmanA. Baset, Henning Schulzrinne. An Analysis of the SkypePeer-to-Peer Internet Telephony Protocol. IEEE06, Barcelona, Spain,Apr. 2006”对Skype协议进行了详细分析,发现Skype协议使用动态端口而且负载部分完全加密,传统的基于端口和DPI (Deep Packet Inspection)的协议识别方法已基本失效。文献2 “徐鹏,刘琼,林森.基于支持向量机的Internet流量分类研究[J].计算机研究与发展,2009,46 (3) :407_414” 公开了一种基于 SVM(Support Vector Machine)的流量分类方法,能有效降低冗余属性的干扰,有很好的分类准确率和稳定性,但目前这方面的研究并未考虑VoIP流量的识别。文献3 “Manuel Crotti, Maurizio Dusi. Traffic Classification throughSimple Statistical Fingerprinting, ACM SIGCOMM Computer Communication Review,Vol. 37,No. 1,pp. 5-16,Jan. 2007”使用统计指印方法实现对HTTP、POP3、SMTP等常用协议的识别,该方法基于TCP流的前四个包的统计特征建立相应的统计指印,并通过计算TCP流的相异度来判定流的协议类别,但文献中并未研究m)P指印的构造和应用。文献4 “D. Bonfiglio, M. Mellia, M. Meo. Revealing Skype Traffic ffhenRandomness Plays with You[C]//Proceedings of 2007ACM SIGCOMM ComputerCommunication Review,New York,USA ACM, 2007 :37_48”使用卡方检验和朴素贝叶斯的方法实现对Skype协议流量的识别,这也是目前在Skype流量识别方面最有效的方法,但该方法是根据Skype协议的编码方式和包头特征提出的,只能识别特定版本的Skype协议流量,无法识别QQ语音、MSN语音等其它VoIP流量,有一定的局限性。
发明内容
为了克服现有的方法对VoIP流量检测精确度差的不足,本发明提供一种基于UDP统计指印混合模型的VoiP流量检测方法。该方法将m)P流的统计特征与网络流的统计指印相异度结合共同训练一个支持向量机分类模型,把基于分类阈值点的分类转换到基于多维特征的高维空间中的分类面的分类,综合运用包层次和流层次统计特征,可以降低因网络不稳定造成的统计特征偏差对分类模型精确度的影响,提高对VoIP流量检测的精确度。
本发明解决其技术问题所采用的技术方案是一种基于UDP统计指印混合模型的VoIP流量检测方法,其特点是包括以下步骤(a)解析PCAP包文件,并根据五元组{源IP、源端口、目的IP、目的端口以及传输层协议}完成m)P流的组装。(b)使用17-fiIeter对组装后的UDP流进行标注,标注数据分为VoIP协议流和非VoIP协议流两类。(C)使用(b)中标注好的VoIP协议流的包特征建立VoIP协议的UDP指印,用矩阵表不网络流X ;
权利要求
1.一种基于UDP统计指印混合模型的VoIP流量检测方法,其特征在于包括以下步骤Ca)解析PCAP包文件,并根据五元组{源IP、源端口、目的IP、目的端口以及传输层协议}完成m)P流的组装; (b)使用17-fiIeter对组装后的UDP流进行标注,标注数据分为VoIP协议流和非VoIP协议流两类; (c)使用(b)中标注好的VoIP协议流的包特征建立VoIP协议的UDP指印,用矩阵表示网络流无
全文摘要
本发明公开了一种基于UDP统计指印混合模型的VoIP流量检测方法,用于解决现有的方法对VoIP流量检测精确度差的技术问题。技术方案是首先解析PCAP包文件并组装UDP流,再对组装后的UDP流进行标注,生成VoIP协议的UDP指印M,计算网络流与VoIP指印的相异度,生成训练集和测试集,采用训练集训练SVM分类器,采用测试集测试VoIP流量的精度。由于将UDP流的统计特征与网络流的统计指印相异度结合共同训练一个支持向量机分类模型,把基于分类阈值点的分类转换到基于多维特征的高维空间中的分类面的分类,综合运用包层次和流层次统计特征,降低了因网络不稳定造成的统计特征偏差对分类模型精确度的影响。检测结果表明,本发明对VoIP流量的检测精确度达到90%以上。
文档编号H04M7/00GK102821217SQ201210264260
公开日2012年12月12日 申请日期2012年7月29日 优先权日2012年7月29日
发明者蔡皖东, 丁要军, 张玉冲 申请人:西北工业大学