IP网络上基于令牌的加密隧道语音流检测方案的比较与评估

Journalof King Saud University沙特国王大学沙特国王大学学报www.ksu.edu.sawww.sciencedirect.comIP网络上基于令牌的加密隧道语音流检测通用方案M.马扎尔大学Rathore巴基斯坦伊斯兰堡国立科技大学电气工程和计算机科学学院接收日期：2013年2月14日;修订日期：2014年5月24日;接受日期：2014年6月4日2015年6月18日在线发布摘要VoIP的使用正在迅速增长，由于其成本效益，戏剧性的功能，在传统的电话网络和它的兼容性与公共交换电话网络（PSTN）。在一些国家，如巴基斯坦，VoIP的商业用途是被禁止的。互联网服务提供商（ISP）和电信管理机构对检测VoIP呼叫感兴趣来阻止或优先处理它们。因此，VoIP呼叫的检测对于这两种类型的当局都很重要。基于签名、基于端口和基于模式的VoIP检测技术由于VoIP使用的复杂和保密的安全和隧道机制而效率低下。在本文中，我们提出了一个通用的，强大的，有效的，实际上可实现的基于统计分析的解决方案，以识别加密，非加密，或隧道VoIP媒体（语音）流使用阈值的VoIP统计参数。我们已与现有技术进行比较，并就准确性及效率评估我们的系统。本系统的直接识别率为97.54%，假阳性率为0.00015%2015作者制作和主办：Elsevier B.V.代表沙特国王大学 这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍互联网协议语音（VoIP）是一种通过基于IP的网络发送语音的机制。由于VoIP具有成本效益高、功能优于传统电话网以及与PSTN兼容等优点，其商业用途日益增多。VoIP呼叫设置中涉及的主要步骤是信令和媒体通道设置。该信令用于建立电子邮件地址：09msccsmrathore@seecs.edu.pk沙特国王大学负责同行审查两个通信方。媒体信道建立是在成功的信令之后在双方之间的实际语音传输信道;它包括语音的数字化、编码、分组化以及语音分组在分组交换网络上的传输。SIP和H.323是目前应用最多的信令协议，RTP是目前应用最多的媒体传输协议。一些检测方法应用于信令业务，而其他检测方法应用于媒体业务。还有一些方法可以同时检查信令和媒体流量。VoIP信令和媒体传输两者都可以被加密，或者任何一个可以仅被加密。媒体会话可以通过SRTP、SSL/TLS、IPSec 或 专 有 协 议 进 行 加 密 。 信 令 可 以 通 过 SIPS 、SSL/TLS 、SMIME、IPSec或专有协议来加密。基于端口、基于签名、基于模式的VoIP检测技术由于使用http://dx.doi.org/10.1016/j.jksuci.2014.06.0161319-1578？ 2015作者。制作和主办由爱思唯尔B.V.代表沙特国王大学。这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。制作和主办：Elsevier关键词IP语音;深度包检测;互联网服务提供商;电信作者;隧道306M.马扎尔大学Rathore通过VoIP。此外，这些技术专用于VoIP应用或协议。基于统计分析的技术是通用的，可以检测隐藏在安全隧道中的VoIP。因此，我们提出了一种基于统计分析的VoIP呼叫检测解决方案。VoIP流量的检测在两个方面很重要;一个是阻止或限制VoIP的商业使用，另一个是优先考虑它。在一些国家，如巴基斯坦，禁止将VoIP用于商业目的，因为它会给国家电信运营商带来大量资金损失。尽管如此，今天通过互联网传输的大量数据流量是商业VoIP。巴基斯坦电信管理局（PTA）是巴基斯坦的电信监管机构，有兴趣检测VoIP的商业使用并惩罚非法运营商。另一方面，ISP或其他服务提供商也可能希望为付费客户优先考虑VoIP。多个解决方案（Li等人，2010; Li等人，2010; Idrees和Aslam Khan，2008; Freire 等 人 ， 2008; Yildirim 和 Radcliffe ， 2010;Maiolini等人，2009; Nguyen和Armitage，2008; Yildirim和Radcliffe ， 2010; Lin 等 人 ， 2009; Dusi 等 人 ， 2009;Alshammari和Zincir-Heywood，2011; Li等人，2007; Rossi等人，2008;Bon figlio等人，2008年; Alshammari和Zincir-Heywood，2010年）存在用于检测加密的VoIP，但它们既不适合电信当局和ISP检测VoIP呼叫，而不管VoIP应用，也不适合在加密和隧道VoIP检测的情况下具有良好的结果。其中一些不是通用的，其他的不能提供实时检测。在本文中，我们提出了一种基于统计分析的解决方案，使用阈值的VoIP媒体（语音）码流的统计参数来识别。该解决方案是通用的，有效的，准确的和实时的（在某种程度上），并检测加密，非加密和隧道VoIP。它独立于任何VoIP应用程序、协议、安全机制或隧道机制，并且实际上可在认证机构或ISP网关处实施，以阻止或优先考虑VoIP流量。图1显示了我们提出的解决方案的网络模型。我们的解决方案可以在任何网络设备上实现，如路由器、电信/ISP网关、服务器等，如图1所示。(IP电话1，D2）和（C3，D4）是IP对其余的终端发送非语音业务。我们的解决方案将检测IP电话1：D2和C3：D4流作为语音流。本文的其余部分组织如下。第二节讨论了VoIP检测中所做的工作。第3节表示分析和测试的数据集。第4节介绍了统计分析。第5节讨论了拟议的系统。评价和结果见第6节，并进行了比较。第7章结束工作2. 背景和相关工作如Rathore和Mehmood（2012）所述，VoIP检测技术基本上有4种类型，即基于端口、基于签名、基于模式和基于统计分析的技术。通过基于端口的分析技术，通过检查传输层的端口号来对流量进行分类。IANA为特定应用指定了一些标准端口，例如VoIP使用5060、5061端口用于SIP信令，1718至1720端口用于H.323信令，2427、2944端口用于媒体网关控制协议（MGCP）、H.248和Megaco协议 。 在 Leung 和 Chan （ 2007 ） ， Baset 和 Schulzrinne（2006）中，基于端口的分析被用作检测VoIP的帮助信息。由Renals和Reynby（2009），Skype VoIP流量检测通过匹配不同的Skype关键字，端口和内容。端口的非标准和动态分配使得基于端口的检测效率低下。基于签名的技术通过匹配数据包有效载荷内的特定字符串，使用深度数据包检测来检测VoIP。SIP数据包在数据包有效载荷内具有字符串“sip”。RTP头通常以0x80，0x81开 头 。 ZRTP 数 据 包 在 有 效 负 载 开 始 处 包 含“1000xxxx5a525450”（ZRTP报头）。在Renals和Quebby（2009）中，Skype VoIP流量也通过匹配不同的内容来检测。由Renals和Alberby（2009）Skype数据包有时包含关键字''/getla测试版本？ver =''或''/getnewestversion ''与''/ui/''字符串组合。由Renals和Alberby（2009），Skype的传出数据包包含内容ing数据包的内容为图 1基于阈值的IP网络上加密和隧道语音检测通用方案的网络模型。IP网络上基于令牌的加密隧道语音流检测通用方案307包含01 17 03 01 00“。在Adami等人（2009）、Lu等人（2009）中检测VoIP。（2010），Birke et al.（2010）也使用了基于签名的技术。VoIP中加密和隧道机制的使用使得基于签名的技术不准确。此外，签名因应用和协议而异。通过基于模式的分析，将识别不同VoIP应用的信令通信的特定模式。许多研究（Leung和Chan，2007; Baset和Schulzrinne ， 2006; Lu 等 人 ， 2010; Peranyi 和 Molnar ，2007）已经通过模式分析检测Skype流量。通过对Skype的研究，Leung和Chan，2007年的论文讨论了Skype通信从开始到结束的15个基本阶段，如启动、注册等，并且还揭示了参与会话的所有实体和节点，如Skype客户端、超级节点（SN）等。基于模式的技术依赖于信令机制，该信令机制因应用和协议而异。基于统计分析的技术是通用的，可用于加密和隧道传输。统计分析主要是通过将诸如分组大小、到达时间等的流特征作为输入来对语音数据执行的。2010; Li等人，2010; Idrees 和 Aslam Khan ， 2008; Freire 等 人 ， 2008;Yildirim和Radcliffe，2010;Maiolini等人，2009; Nguyen和Armitage ， 2008; Yildirim 和 Radcliffe ， 2010; Lin 等 人 ，2009; Dusi等人，2009;Alshammari和Zincir-Heywood，2011;Li等人，2007;Rossi等人，2008; Bon figlio等人，2008;Alshammari和Zincir-Heywood，2010）是检测VoIP的统计方法。在Li等人（2010）中，检查了IP地址和端口。在主机行为分析中，特定数据流的源端口和目的端口之间的差异D必须小于阈值。此外，在检测VoIP数据流时使用了到达间隔时间测量。这种方法的主要缺点是它不能为VoIP检测提供实时解决方案;首先，您必须计算用于特定源目的地对的源和目的地端口的数量。在某些情况下，假阳性率超过10%，仍然很大。此外，它不能处理VoIP到IPSec隧道。Fauzia和Uzma（Idrees和Aslam Khan，2008）通过使用流量特征分离VoIP流量，这些流量特征很难改变，例如数据包间隔时间，数据包大小，交换速率。该技术仅考虑UDP流量。当UDP被阻止时，某些VoIP应用程序可能会使用TCP进行语音传输，而SSL/TLS VoIP也使用TCP。此外，有许多VoIP应用程序传输大小小于100字节的语音分组，因此在这种情况下，这种统计技术无法检测到VoIP流。它也不能处理IPSec VoIP。Freire和Ziviani描述了一种方案（Freire等人，2008），通过使用Web请求大小，Web响应大小，请求之间的间隔到达时间，每页请求数，页面检索时间，在端口80和443上检测隐藏在Web流量中的VoIP呼叫。他们使用拟合优度测试、Kolmogorov-Smirnov（KS）距离和卡方值，并获得识别网络流量中VoIP的指标。这项技术效果很好，但它是特定于使用端口80，443隐藏在Web流量中的VoIP。它只支持HTTP 1.1版本。另外，它也不是实时检测的，需要更多的先验数据来分析和检测，Freire等人不能检测出隐藏在IPSec隧道中的VoIP。（ 2008年）。耶尔德勒姆和拉德克利夫提出了一种统计技术（Yildirim和Radcliffe，2010），通过使用加密隧道中的概率信息和分组大小分布（PSD）来识别加密隧道中的协议，例如VoIP。该技术只考虑了一个VoIP应用程序（Skype）进行分析和测试。该技术仅分析了3种语音编解码方案。此外，只有数据包大小被用作识别VoIP流量的基本参数，因此更多的误报。与其他技术类似，该技术也不能用于IPSec隧道VoIP。 英达和陆春楠（Lin等人，2009）还提出了一种通用技术，通过使用分组大小分布（PSD）和端口关联将网络流量分类为不同的应用类型。在VoIP分类的情况下，它只分析了两个VoIP应用程序MSN和Skype。类似于先前的技术，该技术也仅取决于分组大小，因此结果可能不会更精确。结果表明，在MSNVoIP检测的情况下，有9%的假阳性，在Skype VoIP检测的情况下，有18%的假阴性。Riyad（Alshammari和Zincir-Heywood，2010）通过使用大小和时间等特征来检测VoIP流量 ，并 评估三 种不同 的机器 学习（ ML ） 技术， 即C4.5 ， AdaBoost 和 SBB-GP 。 该 技 术 只 分 析 了 Gtalk 和Skype，其他重要的应用如Yahoo、MSN、Zfone等没有被重视。所有结果都适用于这两种应用。Toshiya Okabe在Okabe等人（2006）中提出了低水平行为（FLB）VoIP检测技术，该技术使用数据包大小和到达间隔时间来测量VoIP检测的平均值、中值和分布。 Yildirim 和Radcliffe（2010）提出了一种最简单的统计技术，通过仅考虑数据包大小来识别隐藏在IPSec隧道中的VoIP。这种技术识别数据包大小在一定范围内的VoIP数据包。它不能用于检测目的，以阻止VoIP呼叫，因为它有更多的误报和漏报。Branch and But（2012）在这一领域使用统计分析的最新工作。彼等描述能够识别可变速率VoIP串流的分类器的构造及表现。他们使用机器学习技术，通过使用J48算法构建C4.5决策树来对VoIP流进行分类，就像Li等人所做的那样 。 （ 2007 ） 以 及 Alshammari 和 Zincir-Heywood（2010）。 它们使用诸如每个方向上的数据包长度的最小平均值、两个方向上的字节数的归一化比率以及绝对一个数据包差异等流统计参数作为分类器的输入。该技术（Branch and But，2012）虽然只需要语音分类流程的一部分，但仍然需要训练分类器。此外，这种技术只能在双向接口上实现，因为它需要双向流量来进行VoIP流检测。本文作者仅对两个VoIP应用痕迹进行了分析和测试，这是不够的。表1显示了使用统计方法、功能和参数所做的工作，以及所使用的技术和VoIP应用程序，其中系统进行了测试。表2显示了这些技术之间的比较研究，考虑了它们是否是通用的（也不依赖于任何VoIP应用程序/协议），它们是否可以在单向或双向接口上实现，它们是否可以检测IPSec隐藏的VoIP，以及它们是否专用于VoIP检测。我们已经看到，这些统计技术既不符合通用，有效，更准确，独立于VoIP应用程序/协议和安全机制的要求，也不是308M.马扎尔大学Rathore表2现代统计技术。技术通用（w.r.t VoIP支持的接口IPSec VoIP应用程序或协议）？ （单向、双向） 侦查HFBA（Li等人，（ 2010年）是的统计阈值（Idrees和Aslam Khan，2008年）是的VoIP隐藏在网络交易中（Freire等人，（2008年）IPSec VoIP检测（Yildirim和Radioline，2010）K均值分类器（Maiolini等人，（2009年）PDF-PSD（Yildirim和Radiodine，2010）（2009年）J48，REP树（Li等人，（2007年）C4.5、AdaBoost、SBB-GB（Alshammari和Zincir-Heywood，2010）没有是否是否双向双向双向没有否否是否是否否VoIP专用侦查是否否是不（具体到某些人）VoIP应用程序）是两没有是的RGIPVTF（Branch and But，2012）双向是（但未检测） 是的表1现代统计技术。参考文献使用的参数使用的技术RGIPVTF（Branch and But，2012）2012Xpkt大小（每个方向），归一化比率（双向），数据包差异。2010年端口数，数据包时间C4.5决策树，J48算法VoIP应用测试Skype、GtalkHFBA（Li等人，（ 2010年）PDF-PSD（Yildirim和Radiodiodae，（2010年）IPSec VoIP检测（Yildirim和Radiodiodie，2010年）C4.5，AdaBoost，SBB-GB（Alshammari和Zincir-Heywood，2010）PSD-PA（Lin等人，（ 2009年）K-means分类器（Maiolini等人，（2009年）统计阈值（Idrees和Aslam Khan，2008年）VoIP隐藏在网络交易中（Freire等人，（2008年）2010数据包大小、数据包时间端口数量的差异大小包到达时间概率密度函数，数据包大小分布（PSD）数据包大小仅限SkypeSkype2010包大小自己的VoIP设置2010数据包大小，时间，平均值，S.D，max-time等。C4.5、adaBoost、SBB-GB分类器Gtalk、Skype2009数据包大小，端口2009数据包大小、时间、方向PSD，端口Skype，MSNK-means classifier（仅前几个Nilpkts）阈值的平均值和S.D2008包大小，汇率2008请求和响应大小、时间、请求数目2007数据包大小、时间、数据流持续时间2006数据包大小、时间拟合优度检验距离，卡方J48，REP树流量水平特性（FLB）Skype、MSN、雅虎、GtalkSkype、GtalkMSN、SkypeSIPSoftphone，Netmeeting，Skype，Kaza实际上可在电信管理局的网关处实现以阻止VoIP呼叫或对VoIP呼叫进行优先级排序。在本文中，我们将讨论这些限制。3. 数据集收集数据集在不同时间从不同环境和位置收集，用于分析和测试。数据集收集自（1）NUST SEECS WISNET实验室（2）家庭用户Wireshark网站（http://wiki.wireshark.org/SampleCaptures）的网站上进行了介绍。(5)Skype语音跟踪从tstat网站下载（http://tstat.tlc.polito.it/traces-skype.shtml）（6）通过使用Asterisk作为VoIP服务器和Zfone，X-lite，Eyebeam，Blink作为客户端制作自己的简单加密和非加密VoIP设置。表3给出了我们自己的VoIP设置跟踪的信息，例如最小大小、捕获的跟踪数量和跟踪的最短持续时间。例如，此外，还捕获了使用SSL/TLS和IPSec隧道声音IP网络上基于令牌的加密隧道语音流检测通用方案309表3VoIP设置跟踪。跟踪大小（MB）编号文件的持续时间（秒）A-RTP-RTP 1.5 4478B-RTP-SRTP.5 4 66C-SRTP-RTP. 5 4 82D-SRTP-SRTP 1.5 4 151Zfone-X-lite.25 1 32Asterisk voice 4.5 1 151表6Skype tstat跟踪。跟踪编解码器粤ICP备14060606号-1E2E-140606-2E2E-140606-3电话：+86-21 -260906电话：+86-21 -260906Internet-E2XG729iLBCiSACG729运输尺寸协议（MB）UDP 8UDP 11UDP 12TCP 9持续时间（秒）90510031116919G729UDP7910TCPUDPUDPUDP2122643.5GB6GB343,562343,562344,700344,700交通的持续时间。这些跟踪包含UDP和TCP语音会话。此外，还从PTA网关收集了2- 4GB的大容量转储，从PTCL网关收集了数百个1GB的转储。这些大的痕迹包括来自有线和无线网络的流量。来自不同VoIP应用程序的流量跟踪，例如Gtalk beta版本，Skype 4.0.0.215，Skype 5.5.0.119和Skype 5.5.59.124，雅虎 9.0.0.2152, 雅虎 10.0, 雅虎测试版，Yahoo 11.0、MSN 7.0、MSN 8.5、MSN 15.4.3538.0513和Windows Live Messenger将被用于分析。这些交通轨迹如表 4 所 示 。 非 VoIP 应 用 程 序 跟 踪 也 被 捕 获 ， 例 如YouTube、种子、防病毒更新、视频、在线直播电视、音频歌曲、FTP下载、在线游戏、Web邮件（例如Gmail、Yahoo mail、Hotmail）、蓝牙、聊天、DNS流量、文档检索、帧中继、远程访问、SMTP、SSH和远程登录跟踪。此外，亦收集VoIP及非VoIP流量踪迹的混合以供测试。表5中描述了分析和测试的主要非VoIP应用程序跟踪。tstatSkype跟踪（tstat.tlc.polito.it/traces-skype.shtml）的详细信息如表6所示，包括编解码器、使用的传输协议、跟踪大小和时间表5非VoIP跟踪。微量最小尺寸号的最小持续时间（MB）文件（秒）Gmail-Yahoomail35156Hotmail33101混合（VoIP-非VoIP）6541023非VoIP混合11261331Torrent-YouTube-11431GmailYouTube9697在线电视2188比托朗150520434. 统计分析我们的统计分析的目的是找到语音流统计参数的不同阈值。Wireshark用于简单的分析和捕获流量。C语言用于复杂的分析。该代码是用C语言编写的，使用Winpcap 4.1.2库来分析邮件以及在线流量。该算法还开发了C使用Winpcap。通过两种方式对轨迹进行统计分析;首先，针对完整会话计算和分析每个轨迹的统计参数，并且在第二阶段中，通过为每个轨迹获取不同的秒流量块来我们注意到，当我们考虑每个子流的流量块小于5 s时，系统无法给出更好的结果，但当我们考虑超过5 s的流量块，它往往会降低系统的性能。因此，为了保持准确性和效率之间的平衡，我们选择了5.5 s的流量块来分析VoIP呼叫检测的每个流量。所有VoIP和非VoIP应用程序都以这种方式进行统计分析。并对RTP、SRTP、ZRTP、SSL、TLS、IPSec语音业务进行了深入分析。这些协议的流量通过签名检测，然后从PTA和PTCL转储中进行分析。数据流由4个元组源IP、目的地IP、源端口和目的地端口（S-IP、D-IP、S-Port、D-Port）区分，因为每个数据包都具有这些属性。在IPSec的情况下，传输层信息被加密，因此通过源IP、目的地IP和安全参数索引（S-IP、D-IP、SPI）的3个元组来区分IPSec。用于分析每个分组流的主要统计参数是以分组/秒为单位的分组速率（pkt-rate）、以字节为单位的分组大小的平均值（XS.D（diff-time）），均以秒为单位。IP层数据包大小被认为是适用于所有测量。表4VoIP测试痕迹。VoIP版本最小尺寸最小持续时间应用（MB）（秒）Gtalk1.0.0.104 beta，Gmail 3504声音Skype4.0.0.215，5.5.0.119，您可以访问以下网址：36645.5.0.124MSN7.5,8.0,15.4188雅虎（SSL9.0、10.1、beta、11.02332隧道）ooVoo3.5.9.44123QQ信使1.6157Trillian IM3.1.12.02133310M.马扎尔大学RathoreVoIP不能容忍影响语音质量的延迟、延迟、抖动和数据包丢失。语音分组总时延由分组创建时间、网络传输超时时间、接收缓冲和解码时间组成。延迟是数据包传输的延迟。延迟的变化称为抖动。更多的延迟、抖动和数据包丢失会降低语音质量。语音分组的总延迟是分组大小的递增函数。如果数据包的大小较大，更多的语音被编码在一个数据包中，这将需要更多的数据包创建时间，传输时间和解码时间，从而增加了总的数据包延迟。为了保持语音质量，延迟应该是最小的，并且分组大小也应该在限制之内。此外，在语音的情况下，大尺寸分组的丢失意味着更多语音的丢失，这是不可容忍的。由于这些事实，语音分组长度必须在一定限度内以保持质量。抖动也会影响语音质量，因为分组延迟的较大变化不会在接收器侧产生清晰的语音。在语音分组的情况下，延迟应该是可变的，以保持语音质量。考虑到这些事实，我们使用IP层数据包大小作为统计分析的基本参数。我们分析了数据包大小分布（PSD）和数据包速率的流程图。不同VoIP应用的分组大小分布和分组速率在图2中示出。我们观察到语音VoIP具有更高的分组速率，因此我们考虑具有更高分组速率的非VoIP应用，然后通过考虑PSD来分析它们，如图3所示。我们注意到，具有更高分组速率的VoIP流和非VoIP流的PSD图是完全不同的。因此，在这些分析的基础上，我们选择了第一个三个参数，即分组速率，X（大小）和S.D（大小）作为VoIP流量分析的统计参数，以区分语音流。此外，ITU-T建议将20-30 ms的语音封装在一个数据包中，以获得更好的性能和质量保证。它缩短了数据包的大小，并增加了数据包的速率，即更多的数据包每秒相比，其他应用程序。这也是选择分组速率作为统计分析参数的另一个原因。这也是一个事实，语音具有连续的行为，因为当一个人在VoIP电话上说话时，语音包会连续发送。在电流和电流之间经过很短的时间，和先前的语音分组。我们考虑到这一事实，并采取最大差异时间，X（差异时间），和S.D（差异时间）作为统计措施，基于时间的分析，以区分语音流。表7中通过考虑每个VoIP流的5.5s业务块，示出了不同VoIP应用上的语音VoIP流的参数和对应值范围。我们还观察到，一些VoIP应用程序，如Gtalk，MSN在媒体会话开始时发送少量数据包。这些数据包的范围是在前10-15秒内2-15个数据包。有时max-diff-time非常高，即对于第一个或最后一个数据包，max-diff-time大于1。在这种 情况 下 ， 差 值的 绝 对值 （ X （ diff-time ） -S.D （ diff-time ））也超出正常范围。其他非VoIP流量跟踪，如YouTube，Torrent，防病毒更新，FTP下载，在线直播电视，邮件服务器流量（Gmail，Yahoo mail，Hotmail），在线游戏跟踪也在这些参数上进行分析。统计参数的值对于VoIP和非VoIP流是相当不同的。因此，在这些参数的基础上，我们可以有效地识别VoIP码流，并具有更高的准确性。5. 拟议系统在VoIP的情况下，VoIP流由3个元组（即源IP、目的地IP、安全参数索引（S-IP、D-IP、SPI））和4个元组（即源IP、目的地IP和源端口、目的地端口（S-IP、D-IP、S-port、D-port））来区分。根据表7中的参数值这些规则是：1. pkt-rate> 13 packets/sec2. 566X（大小）6210字节3. 06 S.D（大小）675字节4. X（尺寸）PS.D（尺寸）5. 0最大差异时间6.8 s<6. 0X（差分时间）6.09 s<图 2不同VoIP应用的分组速率和分组大小分布。IP网络上基于令牌的加密隧道语音流检测通用方案311表7微量VoIP应用的统计参数值范围，考虑每个VoIP的5.5秒流量包率 X（尺S.D（尺寸） Max-di时间 X（二次-时间） S.D. (di时间） jX-标准差J(di时间）SkypeGtalkYahooMSN16–5017–3712–3717–5060–14090–17064–170.38-275–651–75星号跟踪与Zfone，X-lie，Eyebeam客户端 17–30120190.075-.393.101-.426.065-.49.06-.74.02-.410.0190.0270.0260.0200.0100-.070-.020-.030-.020-.032图 3非VoIP应用的分组速率和分组大小分布。7. 0 S.D（差分时间）6.25 s<8. 0jX-S.D（差分时间）j6.1 s<当且仅当前4条规则为真，并且最后4条规则中至少有3条规则得到满足时，VoIP流才是VoIP流，因为在第4节的最后一段中给出了发现。如果速率规则为真，但规则2、3、4中的任何一个规则为假，则确认VoIP为非VoIP。如果VoIP既不是VoIP也不是非VoIP，则它是可疑的VoIP或尚未确定。如果在第一个5 s流量中怀疑该VoIP流，则在接下来的5 s流量中重新检测该VoIP流，如果它仍然被怀疑3次，则将其检测为非VoIP VoIP VoIP流。算法伪代码为：1. 对于每个数据包，确定它所属的数据流。如果未找到任何数据流，则将其注册为新的数据流，对于IPSec，通过（S-IP，D-IP，SPI）进行唯一区分，对于其他流量，通过（S-IP，D-IP，S-port，D-port）进行唯一区分，并计算参数。2. 捕获前80个数据包或在5秒内捕获每个数据流的所有数据包。3. 只有在5秒内数据包总数>65的情况下，才能调查VoIP的数据流。(a) 如果（所有前4个规则==真）和如果（规则5、6、7、8中至少有3个规则==真），则该流是VoIP流。(b) 如果（所有前4个规则==true）和如果（规则5，6，7，8中少于3个规则== true），则怀疑存在错误对可疑的偷渡者进行重新调查，以便进入下一阶段（下一个5秒交通）。(c) 如果（raterule== true）并且如果（来自规则2、3、4的任何规则==false），则确认VoIP为非VoIP。(d) 如果（怀疑P3时间短），那么它是非VoIP流.6.评价和比较我们评估系统的准确性和效率，并将结果与现有系统进行比较。我们使用典型参数，如真阳性（TP）、假阴性（FN）、真阴性（TN）、假阳性（FP）、直接率（DR）和假阳性率（FPR），这些参数主要用于测量系统的准确性。TP是被正确识别为VoIP流的流的度量。FN是被错误地识别为非VoIP流的流的度量。TN是被正确识别为非VoIP组播的组播的度量。FP是被错误地识别为VoIP流的流的度量。DR反映有多少VoIP数据流被正确识别为VoIP数据流，并由公式计算1.一、FPR反映了多少非VoIP流被错误地识别为VoIP流，并由公式计算。二、理想的解决方案是100% DR和0%FPR。312M.马扎尔大学Rathore表8总体准确度结果。Tra dec DR= TP/(TP+FN）%实时传输92.5O-线交通96.56FPR= FP/(FP+TN）%.0002.00013Tstat Skype跟踪97.78–整体97.54.00015DR ¼ TP =0.0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000FPR ¼ FP =0.000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000表8显示了第3节中提供的所有数据集的总体准确性结果，例如实时流量、网络捕获的跟踪、样本流量（http：//www.example.comwiki.wireshark.org/SampleCaptures ） 和tstatSkype跟踪（http：//www.example.comtstat.tlc.polito.it/traces-skype.shtml ） 以及VoIP和非VoIP流量跟踪的混合。我们的系统具有97.54%的DR，这是相当高的，0.00015%的FPR，这是相当低的。VoIP应用程序跟踪的准确性结果如图4（a）所示。Gtalk、MSN、Zfone、X-lite和Asterisk，使用Eyebeam和Blink作为客户端，提供100% TP和0% FN。只有Skype和Yahoo的TP略低于100%。tstat Skype跟踪的准确性结果如图4（b）所示。只有使用TCP的Skype语音跟踪“SKYPE-TCP-E2 X”具有相当高的FN，接近17%，但这些跟踪的总体准确性性能更好。不同语音编解码器的结果如图所示。 4（c）. 所有这些编解码器都有100%的TP。效率以VoIP流检测时间来衡量。语音呼叫的检测时间小于6秒;因为我们只考虑VoIP检测的一小部分流流量（即前60个数据包或每个流5秒内的数据包）。图图4（d）示出了在不同的VoIP应用。这些结果是通过使用不同的VoIP应用程序进行语音通信来实时实现的。MSN、Yahoo和Skype语音流在5秒内被检测到，Gtalk、Gmail语音流需要超过5秒才能被识别，因为它们在5秒内发送的数据包数量较少。我们将我们的技术与宿主和宿主行为分析（HFBA）技术（Li等人，2010）、基于阈值的检测（Idrees和AslamKhan ， 2008 ） 和 IPSec 隧 道 VoIP 检 测 （ Yildirim 和Radcliffe，2010）、低水平行为（FLB）技术（Okabe等人，2006年，在TP、FP和FN 方面。HFBA （Li等人，2010）、基于阈值的检测（Idrees和Aslam Khan，2008）和FLB（Okabe例如，2006）技术在分析和测试中更重视Skype语音流量，因此我们考虑更大的3.5 GB tstat Skype跟踪tstat.tlc.polito.it/traces-skype.shtml“ I n t e r n e t -S k y p e - U D P - E 2E ”（h t t p：/ / w w w . e x a m p l e . c o m ） 来 比 较 这 些 V o I P 检测 技 术 与 我 们 的 技 术 。表9显示了tstat 3.5GB Skype跟踪的结果和比较。我们的技术是一种基于阈值的统计分析技术，也可以检测IPSec隧道语音呼叫，因此我们将我们的技术与Idrees和Aslam Khan（2008）中提出的基于阈值的VoIP检测技术以及第3节中收集和提出的所有数据集上的IPSec VoIP检测技术（Yildirim和Radcliffe，2010）进行了比较。表10显示了总体比较。我们观察到，我们的系统性能在准确性和效率方面优于现有技术。此外，我们的系统是通用的，可以检测VoIP流量，无论VoIP应用程序，协议，编解码器和安全机制。该系统可以检测隧道VoIP，如SSL/TLS和IPSec VoIP。该系统可以在单向或双向网络接口处实现。它满足了电信管理局和ISPIP网络上基于令牌的加密隧道语音流检测通用方案313图 4测试结果314M.马扎尔大学Rathore表10我们的技术与现有技术技术在不同捕获的迹线上的精确度技术基于阈值的检测（Idrees和Aslam Khan，2008）IPSec VoIP检测（Yildirim和Radiodiodae，2010年）我们的技术奥雷辛·特拉克TP %35.7FP.0001732596.56.00013表9我们的技术和现有技术在3.5 GB tstat Skype跟踪上的准确性比较。技术TP%FN%宿主和宿主行为分析（HFBA）90.289.72（Li等人，（2010年）基于指针的检测79.220.8（Idrees和Aslam Khan，2008