0 引言

　　VoIP(Voice over Internet Protocol)業務成本低、部署方便，在語音通信業務中的比例持續上升，其發展帶來機遇的同時也給網絡安全運行帶來了巨大挑戰[1]。因此，對VoIP業務進行管控非常重要，高精度在線流量識別也成為眾多研究領域的熱點與難點。

　　目前，主流VoIP流量識別方法主要包括兩大類：基于流特征的VoIP流量識別與基于機器學習的VoIP流量識別。文獻[2]最早利用流特征進行流量分類，提出249種具體的流特征，并提供10組可用的流量數據集。文獻[3]針對數據流中一段時間內的數據包長和包時間間隔，統計其分布范圍、均值、中值與方差等特征作為VoIP流量識別的依據。上述文獻識別精度不高，基于流特征的識別方法對不同類型的網絡流量適應性也較低。基于機器學習的識別方法主要集中于離線識別，對于在線VoIP流量識別的研究并不多[4-7]。文獻[4]實現了基于WEKA庫文件的Skype流量在線檢測工具，但存在無netAI工具更新、無可視化界面、算法單一等缺陷。文獻[5]改進了支持向量機算法，能夠節省1/4的識別時間，但仍然無法滿足在線識別的實時性要求。文獻[6]基于流統計特征，利用機器學習算法構建分類器模型，系統在線識別精度為93%。其不足之處在于，沒有研究在線識別系統的實時性，并不是真正意義上的在線識別。文獻[7]基于開源數據挖掘工具WEKA中的機器學習算法，針對特定應用Skype提出并設計出一種基于決策理論的識別工具，然而只能達到82%的精度，無法滿足大流量環境下的高精度識別。從目前的研究成果來看，在線識別的難點主要在兩方面：一是無法滿足較高實時性要求，二是無法實現高精度識別。

　　針對以上問題，本文設計了VoIP流量在線識別系統，不僅能實現實時在線識別，且識別精度高達到92%。

1 VoIP流量在線識別系統

　　本文所設計的系統中，數據流定義為兩個主機之間交換的連續數據包。同一條流中所有數據包的五元組相同（五元組包括源地址、目的地址、源端口、目的端口和傳輸協議）。構建訓練集的過程需對數據包進行分流，根據思科分流定義，單條TCP流須包含完整語義的開始時刻（SYN）和結束時刻（FIN/RST），UDP流中兩個包之間的時間間隔不超過30 s[8]。

　　1.1 在線識別系統原理

　　在線識別系統分為離線分類器建模和在線識別。其中，離線分類器建模如圖1所示，預處理模塊對PCAP文件格式的數據集進行分流，并轉化為WEKA工具所能識別的CSV文件格式，同時統計每個數據流的流特征構建成訓練集。算法學習模塊采用Best first search算法和CSF算法去除候選特征中的冗余且不相關的流特征，獲得最優特征子集，再調用機器學習算法對訓練集進行學習并搭建分類器模型。最后，通過相關指標評估獲得最優分類器模型。

圖1  離線分類器框圖

　　如圖2所示，本文所設計的在線識別系統建立在獲得離線分類器的基礎上，提出JPcap邊抓包邊檢測機制，利用JPcap庫編寫探嗅器控制底層網卡抓取數據包，同時分流模塊對數據包分流并統計流特征。設定流量累積時間，每次達到閾值時間30 s，將統計好的數據流作為測試集送入離線狀態下構建好的分類器進行識別，并將識別出的VoIP流量以IP地址的形式輸出到系統界面，動態顯示網絡中VoIP電話狀態。

圖2  在線識別系統

　　1.2 預處理模塊

　　預處理模塊在離線狀態進行，為系統搭建分類器提供完整訓練集。該模塊包括獲取數據集、文件格式轉換與分流統計構建訓練集。

　　1.2.1 獲取數據集

　　使用Wireshark軟件抓取PC中運行的特定應用類型流量獲取數據集，通過配置交換機鏡像端口將抓取單個PC產生的流量擴展為整個局域網產生的流量。同時使用文獻[4]中提到的Moore數據集與Tstat網[9]提供的Skype數據集。此外，在數據集中新增PC-PHONE端的VoIP類型流量，使系統同時具備PC-PC端與PC-PHONE端VoIP電話的識別能力。

　　1.2.2 文件格式轉換

　　Wireshark軟件數據包的存儲格式為PCAP格式。PCAP文件頭包括：數據鏈路層14 B包頭+20 B IP包頭+20 B TCP或UDP包頭。預處理模塊通過分析PCAP文件頭信息，編程實現五元組、時間戳及數據包長等流特征信息的提取，并轉換為WEKA能識別的CSV文件格式。

　　1.2.3 分流統計構建訓練集

　　首先在五元組相同且滿足思科分流定義的條件下，對Wireshark抓取的數據包進行分流，利用文獻[2]提供的fullstats分流器，在Linux系統中實現分流。完成數據包分流后，統計數據流的相關流特征，并將統計后的數據流作為最終訓練集。

　　1.3 流特征選擇

　　文獻[2]提出了249種流特征，若對每個特征進行統計，將耗費大量的計算時間，成本過高，且并不是所有流特征都適用于VoIP流量識別，因此需要去除不相關且冗余的流特征，以達到提高模型精確度，減少運行時間的目的。本設計根據VoIP語音電話特有的通信屬性對其進行初步篩選，得出20個候選流特征再進行特征選擇。特征選擇首先從候選特征集中產生一個特征子集，然后用評價函數對該特征子集進行評價，將評價的結果與停止準則進行比較，若評價結果比停止準則好就停止，否則就繼續產生下一組特征子集，直到獲得評價最高的特征子集。本文使用Best first search搜索算法從候選特征集中產生特征子集，然后用CFS（Correalation-based Feature Selection）算法進行評估，得到12個相關性最好、得分最高的特征子集，如表1所示。

　　1.4 機器學習算法

　　本文著重研究C4.5決策樹算法，為增強系統可擴展性，另在系統中集成了樸素貝葉斯算法（NaiveBayes）與支持向量機算法（SVM）。

　　C4.5決策樹是一種經典的分類與回歸算法。決策樹的數據結構由內部節點和葉子節點組成，內部節點代表一個特征屬性，葉子節點代表一個類別[10]。算法的處理過程分為以下幾個步驟：首先，計算數據集D的經驗熵H(D)，熵是一種不純度度量準則：

　　式中，pi是屬于第i類的概率。其次，計算特征A對數據集D的經驗條件熵H(D|A)：

　　進一步得出信息增益為：

　　信息增益比為：

　　式中HA(D)為屬性A的信息熵。依次選取信息增益比最大的特征Ag分割數據集D為Di，將Di中最大的類作為子節點再遞歸調用得到子樹Ti。最終經過“悲觀剪枝”修剪決策樹得到損失函數最小的子樹。

　　樸素貝葉斯是基于貝葉斯定理與特征條件獨立假設的分類方法。對于給定的訓練集，首先基于特征條件獨立假設學習輸入/輸出的聯合概率分布，再基于此模型，對給定的輸入x，利用貝葉斯定理求出后驗概率最大的輸出y。樸素貝葉斯的算法效率高，是一種常用的分類算法。

　　支持向量機是一種二分類模型，基本模型是定義在特征空間上的間隔最大的線性分類器。其學習策略是間隔最大化，可形式化為一個求解凸二次規劃的問題，也等價于正則化的合頁損失函數的最小化問題。

　　1.5 在線識別——JPcap邊抓包邊檢測機制

　　在線識別的關鍵技術是實現在線抓包同時短時間內識別出目標流量。本文致力于尋找一個能實現Window系統下在線抓包的工具，而JPcap庫正是實現這一想法的重要類庫。

　　JPcap庫是Keita Fujiiy開發的一套能夠捕獲、發送網絡數據包的Java類庫[11]。Java語言雖然在TCP/UDP傳輸方面給予了良好的定義，但對于網絡層以下的控制卻無能為力。JPcap類庫給Java語言提供一個公共接口，類庫使用libpcap和原始套接字API，調用Jini獲得JavaAPI中的數據，實現Java語言對底層網卡的控制與鏈路層數據包的獲取。

　　本文提出JPcap邊抓包邊檢測機制，基于JPcap庫編寫探嗅器實現在線抓包。利用JPcap庫所抓取的數據包對象是單個數據包。因此，系統在抓包的同時能實現對單個數據包按五元組分流并統計其流特征。每當統計時間達到所設置的閾值時間30 s時，便將這段時間內統計好的數據流作為測試集送入分類器進行識別，輸出識別的VoIP流IP地址，動態顯示網絡中VoIP的狀態，實現真正意義上的VoIP流量實時在線識別系統。

2 實驗結果與分析

　　實驗環境：新西蘭懷卡托大學基于Java開發的開源數據挖掘平臺weka3.6、一臺裝有Windows 7操作系統和Eclipes的個人PC、一臺華為S5000交換機。

　　2.1 評價指標

　　評價二分類類型的分類器性能指標為：精度（precision）、召回率（recall）、F1值。實驗以VoIP類為正類，非VoIP類為負類，分類器在測試集上預測結果為正確或錯誤。可能出現的4種情況記：TP，將正類預測為正類數；FN，將正類預測為負類數；FP，將負類預測為正類數；TN，將負類預測為負類數。進一步，得到精度：

　　召回率為：

　　F1值為精度和召回率的調和均值：

　　2.2 實驗數據

　　本次實驗使用1.5G Skype流，包含了Skype 10個版本，共計1 371條流，其中371條為PC-PHONE端VoIP流量。非VoIP流量1G，使用文獻[2]中提到的Moore數據集與通過鏡像端口抓取到的數據集。整個訓練集共34 371條數據流，覆蓋14種流量類型，具體見表2。

　　2.3 離線分類器模型結果分析

　　系統識別結果如圖3所示。離線建模過程如圖3上半部分所示，步驟包括打開訓練集文件、選擇機器學習算法、建模，圖中所示J48即C4.5決策樹算法，結果框為分類器識別結果，具體如圖4所示。

圖3  系統識別結果

圖4  分類器識別結果

　　實驗使用10折交叉驗證法評估出平均測試誤差最小的分類器，由圖4可知，分類器識別精度為99.9%，召回率為99.6%。圖4最下方為混淆矩陣，對于二分類問題，用2×2矩陣表示，正對角線上表示正確分類的樣本，反對角線表示被錯誤分類的樣本數，結果顯示有2個非VoIP樣本被分類成VoIP類，6個Skype樣本被分類成非VoIP類。實驗結果表明，本文所選取的最優特征子集大幅提高了分類器的性能指標。由于本文針對VoIP流包長、時間間隔等關鍵屬性對流特征進行篩選，增強了機器學習算法的學習能力，從而使得分類器識別性能大大提高。

　　同樣地，對NaiveBayes和SVM算法分別進行實驗，3個算法搭建的分類器識別結果對比圖如圖5所示。可知，基于C4.5決策樹算法分類器的3個評價指標均最高。這是因為C4.5決策樹算法建模時不依賴于網絡流量類型的分布，對于不同類型的流量數據有更強的適應能力，在分析較大訓練集時優于依賴先驗概率的NaiveBayes算法，且內存需求小于SVM算法，因此得到了最好的識別精度。

圖5  3種算法分類器結果對比

　　2.4 在線分類器識別結果分析

　　在線識別如圖3下半部分所示。首先打開本地網卡開始抓包，設定混雜模式抓取流經本地網卡的所有數據包，同時對數據包進行分流并統計流特征。每達到設定的30 s閾值時，選擇對應算法的分類器對測試集進行在線識別，識別出VoIP類型流量并以IP地址形式輸出到圖示結果框。圖3僅是一次測試結果，3個IP地址均為VoIP通話主機地址，結果表明系統實時準確識別出了當前網絡中的VoIP通話。

　　接下來，累積進行100次在線實驗，對比3種分類器在線識別精度，結果如表3所示。由表3可知，在線識別精度最高的分類器為基于C4.5算法的分類器。

　　而作為在線識別系統，除精度以外，還需考慮第二個核心指標——實時性。這里也對3種算法的建模時間與識別時間進行對比，結果如表4所示。由表4可得，基于C4.5算法的在線識別時間最短，建模時間略低于NaiveBayes算法，而NaiveBayes在線識別時間低于C4.5算法，SVM建模與識別時間均最長。由于C4.5決策樹模型處理樣本時，僅需根據網絡流流特征值自頂向下進行比較，找到相應葉節點即可，處理簡單，處理效率更高，因此識別速度更快。

　　結合表3、表4的結果對精度與實時性指標進行分析，得到C4.5決策樹算分類器識別精度最高，且在線實時性最好；NaiveBayes分類器雖然建模時間短，但在線實時性略差，且精度較低；SVM分類器精度與實時性均不佳。在實際應用中應同時保證高識別精度與實時性，因此本文選擇C4.5決策樹為系統的核心算法。實驗結果表明，本文所設計的VoIP流量在線識別系統確實能同時滿足高精度與實時性。

3 結束語

　　本文設計并實現了基于機器學習的VoIP流量在線識別系統，在大幅提高VoIP流量識別精度的同時保證了系統的實時性，且有良好可視化界面。實驗結果表明，本文所設計的VoIP流量在線識別系統離線識別精度達99.9%，在線識別精度達92%，且識別時間短，能夠快速識別出目標流量并顯示VoIP流量活動的IP地址。不過，本文的訓練集未能涵蓋更多種類的流量類型，對未知流量識別仍有待提高。未來的工作旨在建立一種更優化的在線識別系統，繼續增強樣本容量，增加更多種類的流量類型并支持更多的算法。

　　參考文獻

　　[1] 梁偉，陳福才，李海濤.一種基于C4.5決策樹的VoIP流量識別方法[J].計算機應用研究，2012，29(9)：3418-3421.

　　[2] MOORE A，ZUEV D，CROGAN M.Discriminators for use in flow-based classification[M].Queen Mary and Westfield College，Department of Computer Science，2005.

　　[3] OKABE T，KITAMURA T，SHIZUNO T.Statistical traffic identification method based on flow-level behavior for fair VoIP service[C].VoIP Management and Security，2006.1stIEEE Workshop on.IEEE，2006：35-40.

　　[4] CALCHAND A O，DINH V T，BRANCH P，et al.Skype

　　[5] 魯剛，張宏莉，葉麟.P2P流量識別[J].軟件學報，2011，22(6)：1281-1298.

　　[6] GU C，ZHANG S，SUN Y.Realtime encrypted traffic identification using machine learning[J].Journal of Software，2011，6(6)：1009-1016.

　　[7] DI MAURO M，LONGO M.Skype traffic detection：A decision theory based tool[C].Security Technology(ICCST)，2014International Carnahan Conference on.IEEE，2014：1-6.

　　[8] 魯剛，張宏莉，葉麟.P2P流量識別[J].軟件學報，2011，22(6)：1281-1298.

　　[9] TCP statistic and analysis tool.[EB/OL].[2016-01-02].http：//tstat.tlc.polito.it/.

　　[10] 李航. 統計學習方法[M].北京：清華大學出版社，2012.

　　[11] 石慧慧.基于Jpcap的網絡流量采集監控系統研究與設計[D].南京：南京林業大學，2010.