VoIP监测系统分析

硬件系统

硬件的结构,其中数据从光纤数据接口经过模块转化为实际的数据包,由于大多数光纤的速度为OC48(2.5G)或者OC192(10G)的接口,对于这样高速度的数据进行缓存然后分析按照目前SDRAM的速度来说是不可能实现的,同时网络VoIP数据的特点就是VoIP只占整个网络流量的很少一部分,而且在分析的过程中只需要分析协议的开始于结尾信息(经过实际分析发现只有百万分之二一下的流量)。于是我们在设备中加入了一个并行硬件过滤系统,来将整个网络流量的绝大多数过滤。

（２）并行硬件过滤系统结构

这个系统模拟人的思维过程。在我们长期对于人类思维模式的分析中我们发现有时候我们不能准确的记住某个画面或者某个人物(相比计算机来说)。但是当情景再现或者整个人出现在我们面前的时候我们就能立刻认出来。同时这种认出也是一种在很少概率情况下允许错误的。BloomFilter的出现模拟了人的思维过程,BloomFilter在可调整的允许地范围内设定匹配错误的几率,通过少量的存储来完成搜索的过滤。

但是对于电信级的应用来说,需要达到线速的处理,而且准确率需要达到99.999%的情况下使用BloomFilter已经意义不大,而且BloomFilter实现起来仍然需要大量设备与存取器件,我们设计出一种新的算法:并行硬件过滤算法,同时采用硬件实现了该算法。

（３）算法介绍

令表示一串字符表,我们将整个字符分段.下面的表1给出了一个例子,其中m=6。

下面我们将纵向上的一个串放到一个环形数字图上进行分析。令分别表示的纵向方向上存在最大空袭的最大值和最小值。以表1的第一个串为例,按照从小到大,在构成环的方式。其中可以看出01010101与11000011之间的空隙最大,因此max()=11000011,min()=01010101.由于空隙的出现有可能在两端(例如:00000000和11111111之间),我们设置一个位寄存器flag来记录是否存在这样的现象。

对于任何进行匹配的字符串,取出相应的字段K,然后按照下面的伪码来进行分析。

if(min

if(flag=0)丢弃该包

else本节匹配

else

if(flag=0)本节匹配

else丢弃该包

（４）硬件实现

硬件的实现结构,改结构实现上面的伪码算法.值得注意的是该硬件结构需要硬件少,而且都是高速器件,因此完全可以满足OC192的百万包/秒的速度。

由于这种查找具有并行的特点,因此采用硬件复制的方法进行并行查找,同时在查找结果进行逻辑乘的运算,输出就是匹配结果。

（５）算法分析的试验结果

算法的第一个特点就是算法构造简单、实现硬件简单、高速。第二个特点就是排除的可能性很好。假设某个字段排除的可能性为,那么对于n个并行器件的排除的可能性为,当时 。这个结果表明有98.65%的数据包将不经过分析而直接被排除。

将现有的VoIP协议关键字段放入查找结构,在匹配的过程中只有百分之二的数据包进入缓冲,OC192的网络流量只有204.8Mb的流量进入缓冲分析,采用嵌入式系统进行分析是低端设备就可以完成的。

五、效果评价

当前我们已经成功实现VoIP监测系统，并且在福建各地市电信的骨干网进行应用。这个系统核心技术部件包括：

（１）并行硬件过滤系统，这个系统模拟人的记忆思维模式，在利用少量并行器件进行网络海量数据包的过滤。这个系统能够保证被过滤的数据包不是需要协议，而过滤后的数据允许部分错误判断地特点，快速将网络流量的95％以上进行过滤，从而在低端嵌入式系统就能实现线速分析骨干网络数据。

（２）设备利用低端器件完成骨干网络的监测任务,对于设备的价格降低十分有利,相比其他OC192的设备相比价格比同类设备低一个数量级。

通过在实际部署、采集和分析，发现我省IP网络上确实存在一定的VoIP话务量，部分地区VoIP分流的长途话务量较大。以厦门本地网测试为例说明测试情况及控制效果。

经过对厦门城域网汇聚层交换机Cisco6509的一条上行千兆链路连续一天的测试，发现了20多个语音网关在利用厦门电信的互联网进行语音业务，呼叫量共计1157次。其中至台湾的几个VoIP网关（台湾Savecom公司）呼叫量占90%以上，由于测试设备为100M端口，抽样率为10%左右，该中继上实际产生的呼叫应该约为11570次左右，大量分流了厦门的长途电话业务。目前，厦门分公司已针对分析结果，对台湾的VOIP网关IP地址进行了封堵。

六、结论

VoIP监测系统利用VoIP协议本身特点,采用新型算法和硬件结构,来完成网络数据的过滤,在达到高比率过去的情况下保证电信级的应用。在采用低端设备来完成高速网络数据分析的任务,降低了设备的成本,为大面积,多层次的布置分析系统奠定了基础。