CN111757041B - 一种网络视频会议流量识别方法及装置 - Google Patents

Abstract

本发明公开了一种网络视频会议流量识别方法及装置，根据网络视频会议流量的特点，实时统计进入公司内网的UDP总流量，当进入内网的UDP总流量带宽超过所设带宽阈值时进行限流并触发检测，统计单个下行源IP地址的UDP流量带宽和响应流量带宽，找出符合网络视频会议流量特点的通信链路，接着对报文内容进行检测，最终确定网络视频会议流量。本发明能够能够快速识别出正常网络视频会议流量，在保证企业网络视频会议的正常进行的同时，不影响原有的网络安全防护强度，也不需要对现有网络安全设备进行大的大规模整改，避免当参会人数较多时网络视频流量超过阈值，网络边界安全设备将其误认为UDPFlood攻击而进行限流，造成网络视频会议卡顿。

Description

一种网络视频会议流量识别方法及装置

技术领域

本发明涉及互联网领域，具体涉及一种网络视频会议流量识别方法及装置。

背景技术

UDPFlood是一种流量型Dos攻击，常见的情况是利用大量用户数据报协议(UserDatagram Protocol，简称UDP)小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k bps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网络的瘫痪。网络视频会议系统是指两个或者两个以上不同地方的个人或群体，借助互联网，实现在地理上分散的用户可以共聚一处，通过图形、声音等多种方式交流信息。

随着互联网云技术的发展，基于云的视频会议系统视频直播系统越来越多。一些大型企业的远程视频会议应用也越来越频繁。当前众多视频会议系统都是采用UDP作为视频的传输协议，由于视频与声音的传输需要占用较大的网络带宽，会议用户超过一定数量时极易被网络边界设备识别为UDP攻击并进行限流，导致会议出现卡顿、掉线等现象，造成会议体验与效果很差。

发明内容

(一)发明目的

本发明一种网络视频会议流量识别方法及装置，适用于安装在企业网络边界的安全设备上，用来识别网络视频会议流量，解决网络视频会议流量被防火墙限流的问题。

(二)技术方案

为解决上述问题，本发明的第一方面提供了一种网络视频会议流量识别方法，包括以下步骤：

步骤A，实时统计进入内网的UDP总流量带宽，若UDP总流量带宽大于第一预设阈值，则限流并执行步骤B，否则放行；

步骤B，统计单个下行源IP地址的UDP流量带宽，若UDP流量带宽大于第二预设阈值则执行步骤C，否则放行；

步骤C，检测所述下行源IP地址对应的目的地址是否有响应流量，若有，执行步骤D，若无，将所述下行源IP地址加入黑名单，到达设定时间后从黑名单解除；

步骤D，统计所述目的地址的响应流量带宽，若响应流量带宽大于第三预设阈值则执行步骤E，否则对所述响应流量对应的下行流量进行限流；

步骤E，比较所述响应流量和对应的下行流量的带宽大小，若所述下行流量带宽大于等于所述响应流量带宽则执行步骤F；否则，对所述响应流量对应的上、下行流量进行限流；

步骤F，计算下行UDP报文内容的哈希值；

步骤G，将计算得到哈希值和前一次计算得到的哈希值进行比较；若有变化，则判断其为网络视频会议流量，放行流量或限流，并添加所述下行源IP地址到白名单；若无变化，则判断其为非正常业务流量，将所述下行源IP地址加入黑名单，到达设定时间后从黑名单解除。

根据本发明的第一方面，所述步骤A包括：

A1，接收到报文时判断报文类型是否为UDP报文，若是，则执行步骤A2；若不是，则放行；

A2，统计一定时间内的所有UDP报文长度，将所有UDP报文长度求和计算总长度，计算得到UDP总流量带宽。

根据本发明的第一方面，在步骤F中，检测下行UDP报文内容，若UDP报文长度小于等于256字节，则直接计算报文的哈希值，若UDP报文长度大于256字节则计算报文前128字节与末尾128字节的哈希值。

本发明的第二方面提供了一种网络视频会议流量识别装置，包括：

UDP带宽监测模块，用于监测UDP总流量带宽；

流量处理模块，用于统计单个下行源IP地址的UDP流量带宽并进行处理；

响应检测模块，用于检测所述下行源IP地址对应的目的地址是否有响应流量；

响应处理模块，用于统计所述目的地址的响应流量带宽并进行处理；

报文内容校验码计算模块，用于计算下行UDP报文内容的哈希值；

过滤判断模块，用于最终过滤判断。

根据本发明的第二方面，所述UDP带宽监测模块用于实时统计进入公司内网的UDP总流量带宽，若UDP总流量带宽超过第一预设阈值则限流并执行流量处理模块，否则放行。

根据本发明的第二方面，所述UDP带宽监测模块包括

报文类型检测模块，用于在接收到报文时判断报文类型是否为UDP报文，若是，则执行带宽计算模块；若不是，则放行；

带宽计算模块，用于统计一定时间内的所有UDP报文长度，将所有UDP报文长度求和计算总长度，计算得到UDP总流量带宽。

根据本发明的第二方面，所述流量处理模块用于统计单个下行源IP地址的UDP流量带宽，若带宽大于第二预设阈值则执行响应检测模块，若带宽小于第二预设阈值则放行。

根据本发明的第二方面，所述响应检测模块用于检测所述下行源IP地址对应的目的地址是否有响应流量，若有，则执行响应处理模块，若无，将所述下行源IP地址加入黑名单，到达设定时间后从黑名单解除。

根据本发明的第二方面，所述响应处理模块用于统计所述目的地址的响应流量带宽，若带宽大于第三预设阈值则执行报文内容校验码计算模块；若带宽小于第三预设阈值则对对应的下行流量进行限流。

根据本发明的第二方面，所述过滤判断模块用于将所述报文内容校验码计算模块得到的哈希值和前一次计算得到的哈希值进行比较；若有变化，则判断其为网络视频会议流量，放行流量或限流，并添加所述下行源IP地址到白名单；若无变化，则判断其为非正常业务流量，将所述下行源IP地址加入黑名单，到达设定时间后从黑名单解除。

(三)有益效果

本发明的上述技术方案具有如下有益的技术效果：

本发明根据网络视频会议流量的特点，实时统计进入公司内网的UDP总流量，当进入内网的UDP总流量超过所设带宽阈值时进行限流并触发检测，统计单个下行源IP地址的UDP流量带宽和响应流量带宽，找出符合网络视频会议流量特点的通信链路，接着对报文内容进行检测，最终确定网络视频会议流量，识别的网络视频会议流量下行源IP地址可能有多个，也是符合实际情况的。准确识别网络视频会议流量并放行，可以确保网络视频会议正常进行，避免当参会人数较多时网络视频流量超过阈值，网络边界安全设备将其误认为UDPFlood攻击而进行限流，造成网络视频会议卡顿。

附图说明

图1示出了根据本发明的一个实施例的一种网络视频会议流量识别方法的流程图；

图2示出了根据本发明的一个实施例的网络视频会议流量识别方法中步骤A的流程图；

图3示出了根据本发明的一个实施例的一种网络视频会议流量识别装置的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。

为解决网络视频会议流量经常被安全防火墙误认为UDPFlood攻击，防火墙对网络视频会议流量进行限流导致网络视频会议卡顿，影响正常工作，本发明提供了一种网络视频会议流量识别方法。图1示出了根据本发明的一个实施例的一种网络视频会议流量识别方法的流程图。在该实施例中，UDP总流量带宽阈值设为20Mbps，单个源IP地址下行UDP流量带宽阈值设为1Mbps，单个上行响应流量带宽阈值设为100Kbps。该识别方法包括以下步骤：

步骤A，实时统计进入公司内网的UDP总流量带宽，若UDP总流量带宽超过预设阈值，则限流并执行步骤B；若UDP总流量带宽小于等于预设阈值，则放行。

对通过安全设备进入内网的UDP总流量带宽进行实时监测，统计100ms内接收到的所有UDP报文长度，将所有UDP报文长度求和计算得到总长度n字节，计算得到带宽Mbps。当带宽没有超过阈值时正常放行通过，一旦检测到UDP总流量带宽超过阈值20Mbps，就限流通过，只允许通过20Mbps带宽的数据，丢弃掉超过带宽阈值的数据包，同时触发网络视频会议流量识别检测，对UDP流量进行进一步的检测。

步骤B，统计单个下行源IP地址的UDP流量带宽，若带宽大于阈值则执行步骤C，若带宽小于等于阈值则放行。

统计单个源IP地址要进入内网的下行流量带宽，由于网络视频会议参会人员在两人以上，内网里的参会者需要接收其他参会者的实时影像、声音等信息，所以网络视频会议下行流量带宽有一定的阈值，一般需要1Mbps以上的带宽，该实例中设阈值为1Mbps，当统计到单个下行源地址的流量带宽超过1Mbps时认为其有可能是网络视频会议下行流量，再对其进行进一步的检测；当单个下行源地址的流量带宽小于阈值1Mbps时，认为其不是网络视频会议流量，对其放行正常通过并进行进一步检测。

步骤C，检测对应的目的地址是否有响应流量，若有，执行步骤D，若无，下行源地址加入黑名单。

网络视频会议肯定有响应流量的产生，比如图像的变化、说话的语音等，不可能没有响应流量，所以对上一步通过检测，认为可能是网络视频会议流量的单个源地址流量检测其响应流量，检测目的地址是否有响应流量产生，如果没有响应流量产生则对应的下行流量可能是UDP攻击，立即将源地址拉入黑名单20分钟后解除黑名单；如果目的地址有响应流量产生，该链路属于正常通信链路，有可能是网络视频会议流量，也有可能是业务通信流量，需要进一步检测。

步骤D，统计目的地址响应流量带宽，若带宽大于所设阈值则执行步骤E；若带宽小于所设阈值则对对应的下行流量进行限流。

网络视频会议的响应流量可能是图像的变化，也有可能是说话的语音，其带宽都不会特别小，在该实例中设响应上行流量阈值100Kbps，对上一步放行的需要进一步检测的响应流量计算带宽，若带宽大于阈值100Kbps，认为有可能是网络视频会议流量并进行进一步检测；若带宽小于100Kbps，认为其不是网络视频会议流量，有可能是业务流量，对其上、下行流量带宽都限流通过。

步骤E，比较单个下行流量带宽和其响应流量带宽大小，若下行流量带宽大于等于响应流量带宽则执行步骤F；若下行流量带宽小于响应流量带宽，则对其上、下行流量进行限流。

步骤F，检测下行UDP报文内容，若UDP报文长度小于等于256字节，则直接计算报文的哈希值；若udp报文长度大于256字节则计算报文前128字节与末尾128字节的哈希值。

网络视频会议时不会同一个场景重现两次，视频会议的图像、所讨论的内容都不完全相同，所以报文也应该不相同，对通过上一步检测的上、下行链路检测其下行报文，计算下行报文的哈希值，若报文长度小于等于256字节，则直接计算其哈希值；若报文长度超过256字节，则取前128字节加上末尾128字节报文计算其哈希值。

步骤G，和前一次计算得到的哈希值进行比较；若有变化，则判断其为网络视频会议流量，放行流量并添加该下行源地址到白名单；若无变化，则判断其为非正常业务流量，将下行源地址加入黑名单，20分钟后从黑名单解除。

将计算得到的哈希值与已存储的值做比较，若不相同认为该下行流量是网络视频会议流量，放行该流量并将该下行源地址加入白名单；若哈希值相同，认为其是非正常业务流量，将该源地址添加黑名单冻结20分钟。

进一步的，在识别出视频流量后，可以采用限流的方式替代放行。

进一步的，该网络视频会议流量识别方法还可以用于其他类似UDP的无连接协议。

进一步的，该网络视频会议流量识别方法既可以用在防火墙，又可以用在入侵检测等其他网络边界安全防护设备上。

图2示出了根据本发明的一个实施例的网络视频会议流量识别方法中步骤A的流程图。步骤A可分为以下步骤：

步骤A1，接收到报文时判断报文类型是否为UDP报文，若是，则执行步骤A2；若不是，则放行。

步骤A2，统计100ms内接收到的所有UDP报文长度，将所有报文长度求和计算总长度n字节，计算得到UDP总流量带宽。

图3示出了根据本发明的一个实施例的一种网络视频会议流量识别装置的结构示意图，该识别装置包括UDP带宽监测模块1、流量处理模块2、响应检测模块3、响应处理模块4、报文内容校验码计算模块5和过滤判断模块6。

UDP带宽监测模块1，用于监测UDP总流量带宽，实时统计进入公司内网的UDP总流量带宽，若UDP总流量带宽超过预设阈值则限流并执行流量处理模块，否则放行。

流量处理模块2，用于统计单个下行源地址的UDP流量带宽并进行处理。统计单个下行源IP地址的UDP流量带宽，若带宽大于所设阈值则执行响应检测模块；若带宽小于所设阈值则放行。

响应检测模块3，用于检测目的地址是否有响应流量。检测对应的目的地址是否有响应流量，若有，则执行响应处理模块；若无，将下行源地址加入黑名单，到达设定时间后从黑名单解除。

响应处理模块4，用于统计目的地址响应流量带宽并进行处理。统计目的地址响应流量带宽，若带宽大于所设阈值则执行报文内容校验码计算模块；若带宽小于所设阈值则对对应的下行流量进行限流。

报文内容校验码计算模块5，用于计算报文哈希值，检测下行UDP报文内容哈希值；

过滤判断模块6，用于最终过滤判断，和前一次计算得到的哈希值进行比较；若有变化，则判断其为网络视频会议流量，放行流量并添加该下行源地址到白名单；若无变化，则判断其为非正常业务流量，将下行源地址加入黑名单，到达设定时间后从黑名单解除。

综上所述，本发明公开了一种网络视频会议流量识别方法及装置，根据网络视频会议流量的特点，实时统计进入公司内网的UDP总流量，当进入内网的UDP总流量超过所设带宽阈值时进行限流并触发检测，统计单个下行源IP地址的UDP流量带宽和响应流量带宽，找出符合网络视频会议流量特点的通信链路，接着对报文内容进行检测，最终确定网络视频会议流量，识别的网络视频会议流量下行源IP地址可能有多个，也是符合实际情况的。本发明能够能够快速识别出正常网络视频会议流量，在保证企业网络视频会议的正常进行的同时，不影响原有的网络安全防护强度，也不需要对现有网络安全设备进行大的大规模整改，避免当参会人数较多时网络视频流量超过阈值，网络边界安全设备将其误认为UDPFlood攻击而进行限流，造成网络视频会议卡顿。

应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。

Claims (5)

1.一种网络视频会议流量识别方法，其特征在于，包括以下步骤：

步骤A，实时统计进入内网的UDP总流量带宽，若UDP总流量带宽大于第一预设阈值，则限流并执行步骤B，否则放行；

步骤B，统计单个下行源IP地址的UDP流量带宽，若UDP流量带宽大于第二预设阈值则执行步骤C，否则放行；

步骤C，检测所述下行源IP地址对应的目的地址是否有响应流量，若有，执行步骤D，若无，将所述下行源IP地址加入黑名单，到达设定时间后从黑名单解除；

步骤D，统计所述目的地址的响应流量带宽，若响应流量带宽大于第三预设阈值则执行步骤E，否则对所述响应流量对应的下行流量进行限流；

步骤E，比较所述响应流量和对应的下行流量的带宽大小，若所述下行流量带宽大于等于所述响应流量带宽则执行步骤F；否则，对所述响应流量对应的上、下行流量进行限流；

步骤F，计算下行UDP报文内容的哈希值；

步骤G，将计算得到哈希值和前一次计算得到的哈希值进行比较；若有变化，则判断其为网络视频会议流量，放行流量或限流，并添加所述下行源IP地址到白名单；若无变化，则判断其为非正常业务流量，将所述下行源IP地址加入黑名单，到达设定时间后从黑名单解除。

2.根据权利要求1所述的网络视频会议流量识别方法，其特征在于，所述步骤A包括：

A1，接收到报文时判断报文类型是否为UDP报文，若是，则执行步骤A2；若不是，则放行；

A2，统计一定时间内的所有UDP报文长度，将所有UDP报文长度求和计算总长度，计算得到UDP总流量带宽。

3.根据权利要求1所述的网络视频会议流量识别方法，其特征在于，在步骤F中，检测下行UDP报文内容，若UDP报文长度小于等于256字节，则直接计算报文的哈希值，若UDP报文长度大于256字节则计算报文前128字节与末尾128字节的哈希值。

4.一种网络视频会议流量识别装置，其特征在于，包括：

UDP带宽监测模块，用于监测UDP总流量带宽，实时统计进入公司内网的UDP总流量带宽，若UDP总流量带宽超过第一预设阈值则限流并执行流量处理模块，否则放行；

流量处理模块，用于统计单个下行源IP地址的UDP流量带宽并进行处理：若带宽大于第二预设阈值则执行响应检测模块，若带宽小于第二预设阈值则放行；

响应检测模块，用于检测所述下行源IP地址对应的目的地址是否有响应流量，若有，则执行响应处理模块，若无，将所述下行源IP地址加入黑名单，到达设定时间后从黑名单解除；

响应处理模块，用于统计所述目的地址的响应流量带宽并进行处理：若带宽大于第三预设阈值则执行报文内容校验码计算模块；若带宽小于第三预设阈值则对对应的下行流量进行限流；

报文内容校验码计算模块，用于计算下行UDP报文内容的哈希值，检测下行UDP报文内容哈希值；

过滤判断模块，用于最终过滤判断，将所述报文内容校验码计算模块得到的哈希值和前一次计算得到的哈希值进行比较；若有变化，则判断其为网络视频会议流量，放行流量或限流，并添加所述下行源IP地址到白名单；若无变化，则判断其为非正常业务流量，将所述下行源IP地址加入黑名单，到达设定时间后从黑名单解除。

5.根据权利要求4所述的网络视频会议流量识别装置，其特征在于，

所述UDP带宽监测模块包括：

报文类型检测模块，用于在接收到报文时判断报文类型是否为UDP报文，若是，则执行带宽计算模块；若不是，则放行；

带宽计算模块，用于统计一定时间内的所有UDP报文长度，将所有UDP报文长度求和计算总长度，计算得到UDP总流量带宽。

Images