CN101668034A - 实时识别Skype两类语音流的方法 - Google Patents
实时识别Skype两类语音流的方法 Download PDFInfo
- Publication number
- CN101668034A CN101668034A CN200910035458A CN200910035458A CN101668034A CN 101668034 A CN101668034 A CN 101668034A CN 200910035458 A CN200910035458 A CN 200910035458A CN 200910035458 A CN200910035458 A CN 200910035458A CN 101668034 A CN101668034 A CN 101668034A
- Authority
- CN
- China
- Prior art keywords
- stream
- skype
- udp
- message
- steps
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的实时识别Skype两类语音流的方法,提出了从网络流量中实时准确识别出Skype基于UDP的语音流方法IUSVF和实时准确识别出Skype基于TCP的语音流方法ITSVF。这两种方法都要按流序列逐报文进行处理,而IUSVF的识别过程则要经过识别Skype UDP特征和Skype VoIP特征两个阶段,ITSVF的识别过程则通过计算判别流序列报文的χ2值和识别Skype VoIP特征两个阶段。本发明具有实时识别效率较高,准确性好和降低识别开销的优点。
Description
技术领域
本发明属于网络数据通信领域,具体地讲是从网络流量中实时识别出Skype的基于UDP语音流和基于TCP语音流的方法。
背景技术
Skype是一种基于P2P(peer-to-peer)技术的经IP传送的语音(Voice-over-IP,VoIP)应用。它是一种网络即时讯息语音通信系统,同时具备视频、多人语音会议、多人聊天、文件传送和短信收发等功能。它的高质量、宽覆盖面的语音远优于其他VoIP系统,可支持PC到PC免费通信,并支持PC到国内国际固话和移动电话通信。其一经推出就迅速成长为世界上最大的网络电话系统和多媒体通信系统。
在日益方便了人们日常生活的同时,P2P应用也带来了许多的问题,如色情、暴力、反动软件/内容的分发扩散,盗版媒体的加速传播增加了知识产权保护难度等。Skype的流行也严重地影响了传统电信服务商的业务:原有的国际和国内长途电话业务被蚕食,赢利空间被极大压缩;传统因特网非对称流量模型被打破,以此理论为基础的包月收费方式不再合理;大量网络带宽和磁盘空间被消耗,严重时使网络系统性能降低甚至瘫痪,损害了因特网服务提供商(ISP)和其他网络用户的利益。ISP迫切需要搞清Skype语音流使用和分布现状,进而对它们实施有效管理措施,而这些工作的基础是建立在能够识别Skype语音流的基础上。
作为一种P2P应用,Skype采用了动态选取端口、伪装成其他流量、加密数据和匿名通信等策略来逃避常规流量识别机制的检测。此外,Skype使用了专用通信协议,并用高强度密码加密了通信内容和部分协议,至今为止没有公布过任何有关协议或其他技术专题的文档,使其蒙上了神秘的面纱。人们只能通过逆向工程的方法来剖析了解Skype的协议和机理,这使得识别Skype语音流成为世界性的难题,至今为止仍缺乏实时高效识别Skype语音流的方法。所谓Skype语音流是指用于传输Skype语音的报文集合,它们符合五元组{源IP地址,源端口号,目的IP地址,目的端口号,运输层协议类型}流规范和64秒超时定义的双向流[1]。分析表明,在Skype支持的PC到PC、PC到电话的两种通信方式中,具有基于UDP的Skype语音流和基于TCP的Skype语音流这两种语音流。基于UDP的Skype语音流为默认的语音流,而基于TCP的Skype语音流是当前者遇防火墙/网络地址转换器(NAT)无法通过而采用的语音流。在识别Skype这两种语音流方面,已经有了一些研究。例如,文献[2]提出了一种称为χ2统计检测Skype流量的技术CSC,以检测出Skype流量具有的加密特性;结合使用贝叶斯分类器的确定过程NBC,基于VoIP流量的统计特性,以此实时识别Skype两种语音流,但这些方法的准确性通常不高。
发明内容
本发明的目的是针对现有的识别方法中存在的准确性不高、效率低的问题,提出一种从网络流量中实时准确识别出Skype基于UDP语音流和基于TCP语音流的方法。
本发明的技术方案是:
1、一种识别基于UDP的Skype流的方法IUSVF,其特征在于,包括下列步骤:
A.对每个到达网络链路的新分组,若是TCP分组或周知端口的UDP分组则丢弃,否则继续。
B.对于其他UDP分组,由四元组{源IP地址,目的IP地址,源端口号,目的端口号}信息经散列函数判断其是否属于已有流;若该流记录不存在,则建立之,并初始化后返回;若该流记录已经存在,并没有确定类型,则继续;否则返回。
C.根据Skype UDP特征进行流序列判别。只对每流的前n(通常n≤10)个报文进行;若某未知UDP流不符合Skype UDP特征,则将该流标记为非Skype流并返回;否则继续。
D.根据Skype VoIP特征继续判断每流的报文长度和报文间隔时间,对不同编码方式具有不同的识别参数(参见表1和表2);通常取每流前m1(通常m=100)个报文进行。
E.若某流符合Skype VoIP特征,进一步则判定其为PC到PC或者PC到电话的Skype电话;否则,根据是否具有PC到PC的特征,判定其为Skype流视频或文件共享或者为非Skype流。
2、一种识别基于TCP的Skype流的方法ITSVF,其特征在于,包括下列步骤:
A.对每个到达网络链路的新分组,若是UDP分组或周知端口的TCP分组则丢弃,否则继续。
B.对于其他TCP分组,由四元组{源IP地址,目的IP地址,源端口号,目的端口号}信息经散列函数判断其是否属于已有流;若该流记录不存在,则建立之,并初始化后存储该报文返回;若该流记录已经存在,并且已经确定了类型,则返回;否则继续。
C.当报文长度小于50字节则丢弃,否则存储报文并提取其报文长度和间隔参数。若报文数量小于窗口值m2(通常m2=100),继续该流的下一个报文;若报文数量等于窗口值m2,则继续。
D.计算报文序列的χ2统计值,若χ2统计值不符合要求,则判定该流为非Skype流;否则继续。
E.计算报文序列的报文长度和间隔统计量,若与Skype VoIP特征不吻合,则判定该流为非Skype流;否则判定该流为Skype流。
表1采用不同编码方式时流统计量(PC到PC通信方式)
编码方式 | 最大报文长度 | 最小报文长度 | 最大时间间隔 | 最小时间间隔 |
SVOPC | 294 | 78 | 66 | 15 |
SVOPCSB | 598 | 188 | 65 | 14 |
AMRWB | 74 | 36 | 23 | 15 |
G729 | 127 | 83 | 62 | 52 |
PCMA | 421 | 179 | 41 | 17 |
PCMU | 434 | 171 | 38 | 18 |
表2采用不同编码方式时流统计量(PC到电话通信方式)
编码方式 | 最大报文长度 | 最小报文长度 | 最大时间间隔 | 最小时间间隔 |
G729 | 86 | 53 | 22 | 16 |
PCMA | 190 | 180 | 22 | 16 |
PCMU | 388 | 90 | 22 | 16 |
其中,Skype语音流从网络链路中的分组集合中过滤聚合得到,即通过语音流的分组序列中的多个相继分组之间的一系列独特特征和/或这些分组具有的统计特征来识别。为此,可以采用如文献[3]类似的思路来解决流形成和按流分析等问题,并作为处理IUSVF和ITSVF方法共同的基础。将对前面符合特征序列的流保留下来,并对新到达的分组进行分析处理,直至完成识别方法为止。
Skype UDP特征是指Skype UDP语音报文结构具有的如下特征:报文结构可分为UDP首部信息、序列号字段、功能字段和加密内容。其中,序列号字段长度为两字节,位于UDP的负载前端,用来表示UDP报文的顺序,尽管有一定规律可循,但未呈明显的递增顺序;功能字段长度为5比特,它与3个随机比特一起放在负载的第三字节中,用来表示该报文的功能;加密内容,即话音等数据经过加密后放在报文的后面。更重要的是,采用协议分析仪对各种Skype流进行分析,对于PC到PC的UDP流,报文的第三个字节后半段首先会出现若干个连续的0x2,然后出现连续的0xd;对于PC到电话的UDP流,前两个报文的前4个字节均相同,而剩余报文的前4个字节也相同;对于不同的流,则前4个字节都不相同。
Skype VoIP特征是指Skype作为一种VoIP实例,具有下列分组话音的统计特征:报文长度相对固定且较短、连接速率较低、报文间隔相对固定,同时会话持续时间相对较长。
χ2统计是指优秀的加密技术将使被加密的内容具有随机性的特征,而采用χ2统计能够揭示这种随机性。基于TCP的Skype语音流正是采用了高强度加密技术来隐藏报文特征,通过计算报文内容的χ2统计值可验证TCP报文内容是否被加密。
本发明相对于现有技术具有以下优点:
1、效率较高,实时强。为了使识别方法能够实时在线及时处理完(不会积压)网络链路上所有分组,要求解决方案有较低的计算复杂性。本发明利用逆向工程分析出的Skype UDP特征设计了高效的识别方法,仅用前几个(约10个)就可以完成。本发明还用共同的流形成和按流分析机制,来支持同时识别Skype两类语音流,大大降低了识别开销。
2、识别率高。较之现有的识别方法,本发明有较高的识别率、较低的误报性率和漏报率。对于IUSVF方法而言,在高效识别Skype UDP特征的基础上,辅以Skype VoIP特征;对ITSVF方法而言,将χ2统计与Skype VoIP特征相结合,这些措施都有效地提高了Skype语音流识别率。
附图说明
图1为本发明实施例对应IUSVF方法流程图。
图2为本发明实施例对应ITSVF方法流程图。
图3为本发明实施例运行的环境。
具体实施方式
下边结合附图和具体实施方式对本发明作进一步地说明。
首先需要给出本发明提供的识别方法所需要的环境,如图1所示:在Intel-Linux架构的PC机上安装并运行具有的本发明的识别方法IUSVF和ITSVF的软件,将该PC机的100/1000Mb/s以太网卡连接到接入网络主干的局域网交换机上,并使之能够接收到链路上的所有流量。如果要在高速网络环境下应用本发明的识别方法,应当考虑用硬件实现相关识别方法。
运行本发明提供的分离P2P流的系统配置如下:在Intel-Linux架构的PC机上安装并运行基于本发明IUSVF和ITSVF的软件,PC机的100/1000Mb/s以太网卡与网络交换机相连。这些PC机硬件的主频3.0GHz及以上的Pentium双核CPU的PC机,内存≥2GB,硬盘80GB,运行Fedora 10操作系统。
图2给出了本发明IUSVF方法的工作流程图,该流程开始于步骤S101,然后在步骤S102中,对每个到达的新分组,若是TCP分组或周知端口的UDP分组则丢弃,否则转S103。
在步骤S103中对于其他UDP分组,由四元组{源IP地址,目的IP地址,源端口号,目的端口号}信息经散列函数判断其是否属于已有流;若该流记录不存在,则在步骤S104中建立之,并初始化后返回S101;否则转S105。
在步骤S105中,如流已经被识别,则返回S101;否则转S106。
在S106中,根据Skype UDP特征进行流序列判别。只对每流的前n(如10)个报文进行;若某未知UDP流不符合Skype UDP特征,则转S107将该流标记为非Skype流并返回S101;否则转S108。
在S108中,根据Skype VoIP特征继续判断每流的报文长度和报文间隔时间,对不同编码方式具有不同的识别参数;通常取每流前m(如m=100)个报文进行。若某流符合Skype VoIP特征,则转S109进一步则在S110判定其为PC到PC或者在S111判断为PC到电话的Skype电话;否则转S110,根据是否具有PC到PC的特征在S113中判定其为非Skype流,或者S114中判定为Skype流视频或文件共享。
本方法可以通过中断方式退出。
图3给出了本发明ITSVF方法的工作流程图,该流程开始于步骤S201,在S202中对每个到达的新分组,若是UDP分组或周知端口的TCP分组则丢弃,否则转S203;
在步骤S203中对于其他UDP分组,由四元组{源IP地址,目的IP地址,源端口号,目的端口号}信息经散列函数判断其是否属于已有流;若该流记录不存在,则在步骤S204中建立之,并初始化后返回S201;否则转S205;
在S205如流已经被识别,返回S201;否则转S206。在S206中,当报文长度小于50字节则转S207丢弃,在转S201;否则存储报文,转S208计算卡方、报文长度和间隔值,转S209。在S209,若报文数量小于窗口值(如100个),则转S201继续接收该流的下一个报文;若报文数量大于窗口值,则转S210;
在S210,若χ2统计值不符合要求,则判定该流为非Skype流,转S201;否则转S211;
在S211中,若Skype VoIP特征不符合要求,则判定该流为非Skype流,转S201;否则转S213判定该流为Skype流,转S201。
本方法可以通过中断方式退出。
实施例
本实施例给出了某ISP在PC上运行基于本发明识别方法的软件对某企业网接入因特网的Skype语音流进行识别,以掌握该企业网中Skype电话的应用情况,并为制定控制管理Skype语音流方案奠定基础。
假定该企业网经100/1000Mb/s速率的以太网链路与某因特网服务提供商的网络相连。在PC上运行基于本发明识别方法的软件,将该PC的100/1000Mb/s以太网卡连接到与因特网服务提供商网络连接的局域网交换机上,并将该交换机配置为能够监听与主干网相连的所有网络流量。
例如,当该企业网与因特网直接相连,所有机器都具有唯一的因特网IP地址,这时Skype将使用UDP协议传输语音流。因此,系统将调用IUSVF方法,识别出基于UDP的所有语音流。
当该企业网与因特网经防火墙/NAT相连,所有机器都通过某个因特网IP地址与因特网相连,这时Skype将使用TCP协议传输语音流。因此,系统将调用ITSVF方法,识别出基于TCP的所有语音流。
通过收集上述识别出来的Skype语音流信息,ISP就能统计出用户使用Skype电话的数量、时间长度、用户分布等情况等。据此,ISP就能够制定相应的策略管理和控制Skype电话了。
本发明未涉及部分均与现有技术相同或可采用现有技术加以实现。
参考文献
1.K.claffy.Internet traffic characterization.San Diego:University of California,1994.
2.D.Bonfiglio,et al.,Revealing Skype Traffic:When Randomness Plays with You,presented at SIGCOMM′07,Kyoto,Japan.,2007.
3.N.Brownlee,C.Mills,and G.Ruth.,Traffic Flow Measurement:Architecture.RFC2722,1999.
Claims (2)
1、一种识别基于UDP的Skype流的方法IUSVF,其特征在于,包括下列步骤:
A.对每个到达网络链路的新分组,若是TCP分组或周知端口的UDP分组则丢弃,否则属于其他UDP分组,继续;
B.对于该分组,由四元组{源IP地址,目的IP地址,源端口号,目的端口号}信息经散列函数判断其是否属于已有流;若该四元组与已有记录的流的四元组不一致,则该流记录的信息不存在,建立该流的信息散列函数,并初始化然后返回至步骤A;若该流记录的信息已经存在,并且没有确定类型,则继续;否则返回至步骤A;
C.根据Skype UDP特征对该已存在记录的流序列的前n个报文进行识别;若该未知类型的UDP流不符合Skype UDP特征,则将该流标记为非Skype流并返回至步骤A;否则继续;
D.根据Skype VoIP特征继续判断该已存在记录的流序列的报文长度和报文间隔时间,对不同编码方式具有不同的识别参数;取该流前m1个报文进行识别;
E.若该未知类型的UDP流符合Skype VoIP特征,进一步判定该流是否符合PC到PC的特征,如果符合,则判定为PC到PC的Skype流,如果不符合,则判定为PC到电话的Skype流;若该未知类型的UDP流不符合Skype VoIP特征,进一步判定该流是否符合PC到PC的特征,如果符合,则判定为Skype流视频或文件共享,如果不符合,则判定为非Skype流。
2、一种识别基于TCP的Skype流的方法ITSVF,其特征在于,包括下列步骤:
A.对每个到达网络链路的新分组,若是UDP分组或周知端口的TCP分组则丢弃,否则属于其他TCP分组,继续;
B.对于该分组,由四元组{源IP地址,目的IP地址,源端口号,目的端口号}信息经散列函数判断其是否属于已有流;若该四元组与已有记录的流的四元组不一致,则该流记录的信息不存在,建立该流的信息散列函数,并初始化然后返回至步骤A;若该流记录的信息已经存在,并且已经确定了类型,则返回至步骤A;否则继续;
C.当该未知类型的已存在记录的流序列的报文长度小于50字节时,丢弃返回至步骤A,否则存储报文并提取其报文长度和间隔参数;若报文数量小于窗口值m2,则返回至步骤A继续接收该流的下一个报文,若报文数量等于窗口值m2,则继续;
D.计算该流报文序列的x2统计值,若x2统计值不符合Skype流特征,则判定该流为非Skype流;否则继续;
E.计算该流报文序列的报文长度和间隔统计量,若与Skype VoIP流特征不吻合,则判定该流为非Skype流返回至步骤A;否则判定该流为Skype流返回至步骤A。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910035458A CN101668034B (zh) | 2009-09-28 | 2009-09-28 | 实时识别Skype两类语音流的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910035458A CN101668034B (zh) | 2009-09-28 | 2009-09-28 | 实时识别Skype两类语音流的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101668034A true CN101668034A (zh) | 2010-03-10 |
CN101668034B CN101668034B (zh) | 2012-10-03 |
Family
ID=41804474
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910035458A Expired - Fee Related CN101668034B (zh) | 2009-09-28 | 2009-09-28 | 实时识别Skype两类语音流的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101668034B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103036773A (zh) * | 2012-12-21 | 2013-04-10 | 清华大学 | 网络即时通信工具流量识别系统及识别方法 |
CN105681389A (zh) * | 2015-12-18 | 2016-06-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于Skype不同功能通信流的识别方法及装置 |
CN108259488A (zh) * | 2018-01-11 | 2018-07-06 | 网宿科技股份有限公司 | 一种识别报文的协议类型的方法和装置 |
CN110225213A (zh) * | 2019-06-17 | 2019-09-10 | 华为技术有限公司 | 一种语音通话场景的识别方法以及音频策略服务端 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005278152A (ja) * | 2004-02-25 | 2005-10-06 | Matsushita Electric Ind Co Ltd | 映像音声再生装置及び映像音声再生方法 |
CN100484091C (zh) * | 2005-05-20 | 2009-04-29 | 上海卓誉数码科技有限公司 | 视频信息在互联网中的实时传输、存储及还原装置及方法 |
-
2009
- 2009-09-28 CN CN200910035458A patent/CN101668034B/zh not_active Expired - Fee Related
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103036773A (zh) * | 2012-12-21 | 2013-04-10 | 清华大学 | 网络即时通信工具流量识别系统及识别方法 |
CN103036773B (zh) * | 2012-12-21 | 2015-08-12 | 清华大学 | 网络即时通信工具流量识别系统及识别方法 |
CN105681389A (zh) * | 2015-12-18 | 2016-06-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于Skype不同功能通信流的识别方法及装置 |
WO2017101693A1 (zh) * | 2015-12-18 | 2017-06-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于Skype不同功能通信流的识别方法及装置 |
CN105681389B (zh) * | 2015-12-18 | 2019-03-26 | 北京神州绿盟信息安全科技股份有限公司 | 一种基于Skype不同功能通信流的识别方法及装置 |
CN108259488A (zh) * | 2018-01-11 | 2018-07-06 | 网宿科技股份有限公司 | 一种识别报文的协议类型的方法和装置 |
CN110225213A (zh) * | 2019-06-17 | 2019-09-10 | 华为技术有限公司 | 一种语音通话场景的识别方法以及音频策略服务端 |
Also Published As
Publication number | Publication date |
---|---|
CN101668034B (zh) | 2012-10-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8102879B2 (en) | Application layer metrics monitoring | |
KR100402979B1 (ko) | 유입 속도 감시에 바탕한 대기행렬 관리를 통한 데이터네트워크에서의 시스템 성능 개선 | |
Xiang et al. | Flexible deterministic packet marking: An IP traceback system to find the real source of attacks | |
Tammaro et al. | Exploiting packet‐sampling measurements for traffic characterization and classification | |
CN102271068A (zh) | 一种dos/ddos攻击检测方法 | |
CN106921637A (zh) | 网络流量中的应用信息的识别方法和装置 | |
US11108801B2 (en) | Low-complexity detection of potential network anomalies using intermediate-stage processing | |
EP2053783A1 (en) | Method and system for identifying VoIP traffic in networks | |
CN101668034B (zh) | 实时识别Skype两类语音流的方法 | |
Molnár et al. | Three-dimensional characterization of internet flows | |
CN102571946A (zh) | 一种基于对等网络的协议识别与控制系统的实现方法 | |
CN111586075B (zh) | 基于多尺度流分析技术的隐蔽信道检测方法 | |
CN110266726B (zh) | 一种识别ddos攻击数据流的方法及装置 | |
CN102130792A (zh) | 通信量监视系统 | |
CN108667804B (zh) | 一种基于SDN架构的DDoS攻击检测及防护方法和系统 | |
CN101355585B (zh) | 一种分布式架构数据通信设备的消息保护系统及方法 | |
CN101420336A (zh) | 在网络中识别网络电话流量的方法及其系统 | |
Freire et al. | On metrics to distinguish skype flows from http traffic | |
US8284764B1 (en) | VoIP traffic behavior profiling method | |
Yuan et al. | Harvesting unique characteristics in packet sequences for effective application classification | |
JP4814270B2 (ja) | トラヒック変動量推定方法およびその装置とプログラム | |
CN106817268B (zh) | 一种ddos攻击的检测方法及系统 | |
JP2008135871A (ja) | ネットワーク監視システム、ネットワーク監視方法及びネットワーク監視プログラム | |
KR101466895B1 (ko) | VoIP 불법 검출 방법, 이를 수행하는 VoIP 불법 검출 장치 및 이를 저장하는 기록매체 | |
Liu et al. | Broadband network traffic analysis and study in various types of applications |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121003 Termination date: 20130928 |