基于Winpcap的网络流媒体识别算法研究与实现

摘 要:网络流媒体的发现是网络流媒体服务质量监测等行为的前提和基础。通过对网络流媒体传输协议的分析,提出一个基于Winpcap的网络流媒体识别算法。经试验证明,该算法能够有效识别流媒体。

关键词:Winpcap; 流媒体; RTP/RTCP; P2P

中图分类号:TN919 文献标识码:A

文章编号:1004-373X(2010)11-0108-03

Study and Implementation of Network Streaming Media Recognition Algorithm

Based on Winpcap

SONG Xue1, CAI Yi-bing2, JIN Wei-xin2, WANG Meng2

(1. College of Communication Engineering, PLA University of Science and Technology, Nanjing 210007, China; 2. DECSEC, Beijing 100141, China)

Abstract: The discovery of network streaming media is the premise and foundation of network flow media service quality monitoring. The network flow media transport protocol is analyzed. A Winpcap-based network streaming media recognition algorithm is proposed according to the result of the protocol analysis. The test proves that the algorithm can effectively identify the streaming media.

Keywords: Winpcap; streaming media; RTP/RTCP; P2P

0 引 言

随着计算机网络、视频压缩等关键技术的快速发展,网络流媒体技术目前已成为继文字和图片之后,互联网信息传播的主要形式。通过网络流媒体技术,用户可以方便地存取、查阅和播放网络上的流媒体数据。如何从海量的网络数据中快速发现流媒体数据,是进行网络视频服务质量监测、网络流量统计、网络视频用户行为分析及视频内容监管等服务的前提和基础。

网络流媒体服务为应用层服务,其数据传输主要采用专有应用层协议RTP/RTCP[1]。因此,对网络视频数据流的发现首先是识别应用层协议。针对应用层协议的识别,文献[2]提出了一种以协议中出现频率最高的字段作为特征串来识别协议的方法,且采用一个特征串来标识一种协议。文献[3]提出了基于签名字串的方法来识别应用层协议,其主要针对的是P2P协议的范围,且需要对整个报文通过匹配多个特征串来识别一种P2P协议,时间效率偏低。文献[4]提出了基于先分类后分组的识别应用层协议及流量的方法,但此方法的本质还是基于某些固定端口的,若对于通过随机选择端口而实现的应用层协议,此方法就缺乏准确性和灵活性。

本文通过分析网络流媒体交互过程的特征,以应用层传输协议对应的关键特征字串为判断依据,设计了一种基于Winpcap的网络视频流识别算法,实现了对网络流媒体的发现,并通过实验对本文设计的算法性能进行了分析和验证。

1 Winpcap简介

Winpcap是由伯克利分组捕获库派生而来的分组捕获库,它在Windows 操作平台上实现对底层包的截取过滤。

Winpcap是BPF模型和Libpcap函数库在Windows平台下网络数据包捕获和网络状态分析的一种体系结构,这个体系结构是由一个核心的包过滤驱动程序,一个底层的动态连接库Packet.dll 和一个高层的独立于系统的函数库Libpcap组成。底层的包捕获驱动程序实际为一个协议网络驱动程序,通过对NDIS中函数的调用为Windows 95/98/NT/2000提供一类似于 UNIX 系统下Berkeley Packet Filter的捕获和发送原始数据包的能力。 Packet.dll 是对这个 BPF 驱动程序进行访问的 API 接口,同时它有一套符合 Libpcap 接口(UNIX 下的捕获函数库)的函数库[5]。

Winpcap包括三部分:第一个模块NPF(Netgroup Packet Filter),是一个虚拟设备驱动程序文件。它的功能是过滤数据包,并把这些数据包原封不动地传给用户态模块,这个过程中包括了一些操作系统特有的代码。第二个模块Packet.dll为Win32平台提供了一个公共的接口。不同版本的Windows系统都有自己的内核模块和用户层模块。Packet.dll用于解决这些不同。调用Packet.dll的程序可以运行在不同版本的Windows平台上,而无需重新编译。 第三个模块Wpcap.dll是不依赖于操作系统的,它提供了更加高层、抽象的函数。

Winpcap提供了一套标准的编程接口,与libpcap兼容,可使得原来许多UNIX平台下的网络分析工具快速移植过来便于开发各种网络分析工具,充分考虑了各种性能和效率的优化,包括对于NPF内核层次上的过滤器支持,支持内核态的统计模式,提供了发送数据包的能力。

2 应用层协议RTP/RTCP

RTP/RTCP是一种应用型的传输层协议,它没有连接的概念,既可以建立在面向连接的底层协议上,又可以建立在面向无连接的底层协议上,因此RTP对传输层是独立的。由于网络流媒体的传输实时性要求较高,UDP的传输延时低于TCP,能与音频和视频流很好地匹配,所以,在实际应用中,RTP/RTCP/UDP是流媒体传输的主要协议[6],其结构如图1所示。

图1 网络流媒体数据包结构

MAC headerIP headerUDP headerRTP header流媒体数据

图1 网络流媒体数据包结构

实时传输协议RTP是为实时数据提供端到端传递服务的协议,能够传递时间信息和实现流同步。但RTP本身并不能为按顺序传送数据包提供可靠的传输机制,也不提供流量控制或拥塞控制,它依靠RTP控制协议RTCP配合实现控制服务。在RTP会话期间,各参与者周期性地交互RTCP包,RTCP包中含有己发送的数据包的数量、丢失的数据包的数量等统计资料,会话方可以利用这些信息动态地改变传输速率,甚至改变有效型。RTP数据包结构如图2所示[7]。

图2 RTP数据包结构图

从图2可以看出,RTP数据包由12个字节的固定RTP头和不定长的连续多媒体数据组成,其中的多媒体数据可以是压缩后数据。

其中比较重要的几个域及其意义如下:

版本(V):2 b,此域定义了RTP的版本,此协议定义的版本是2。

填料(P):1 b,填料可能用于某些具有固定长度的加密算法,或者在底层数据单元中传输多个RTP包。

扩展(X):1 b,若设置扩展比特,表示固定头(仅)后面跟随一个头扩展。

CSRC计数(CC):4 b,CSRC计数包含了跟在固定头后面CSRC识别符的数目。

标志(M):1 b,标志用来允许在比特流中标记重要的事件,如帧范围。

负载类型(PT):7 b,此域定义了负载的格式,由具体应用决定其解释。协议可以规定负载类型码和负载格式之间一个默认的匹配。其他的负载类型码可以通过非RTP方法动态定义,RTP发射机在任意给定时间发出一个单独的RTP负载类型。

序列号(SN):16 b,每发送一个RTP数据包,序列号加一,接收机可以据此检测丢包和重建包。序列号的初始值是随机的。

时间标志:32 b,时间标志反映了RTP数据包中第一个比特的抽样瞬间。时间标志的起始值是随机的。

SSRC:32 b,SSRC域用以识别同步源。标识符被随机生成,以使在同一个RTP会话期中没有任何两个同步源有相同的SSRC识别符。

CSRC列表:0~15项,每项32 b。CSRC列表识别在此包中负载的有贡献源。识别符的数目在CC域中给定[8]。

通过对RTP协议的分析,总结出以下几条“流特征”:

(1) UDP负荷头两个比特是0x10(RTP的版本号是2)。

(2) RTP流负载类型PT值保持不变。即同一流媒体数据包RTP头的9～15 b的值保持不变。

(3) RTP流的SN值为递增。

(4) RTP包的SSRC值为定值,同一流媒体数据各包的SSRC值保持不变。

3 算法实现

首先通过Winpcap过滤器[9]对数据包进行捕获,识别其中的握手数据包,然后分析呼叫信令的内容,获取传输流媒体的源、目的地址和端口号,再通知给过滤器针对该源、目的地址和端口号进行数据捕捉;识别其中的UDP数据包进行分析,根据“流特征”进行分析,确定所要捕捉的RTP数据流。

采用以上4条作为判断RTP流量的必要条件,当对每一个UDP数据流,如能连续检出4个包符合上述策略,则认定其满足为RTP数据流的充分条件。

经过大量实际数据的测试,该算法可以有效识别网络流媒体。

4 结 语

在分析网络流媒体传输协议的基础上,利用Winpcap实现了一个网络流媒体识别算法。 经试验证明,该算法能够有效识别流媒体,对网络流媒体的应用具有积极的作用。

参考文献

[1]吴永英,周淼,陈晓苏.基于数据包分析的多媒体信息还原方法研究[J].华中科技大学学报:自然科学版,2007,35(9):101-103.

[2]陈亮,龚俭,徐选.基于特征串的应用层协议识别[J].计算机工程与应用,2006(24):16-19.

[3]SEN S, SPATSCHECK O, WANG D M. Accurate, scalable in-network identification of P2P traffic using application signatures[C]//www.Proceedings of the 13th International Conference on World Wide Web. New York: WWW, 2004:512-521.

[4]KIM Myung-Sup,WON Yong J, HONG Won-Ki. Application-lecel traffic monitoring and analysis on IP networks[J]. ETRI Journal, 2005,27(1):1-22.

[5]付强,左仁辉.基于Winpcap实现网络监听技术[J].电脑知识与技术,2008(13):25-28.

[6]李慧彬.基于QoS组播的RTP协议的研究与实现[D].太原:中北大学,2007.

[7]盛先刚.基于RTP的H.264视频传输系统研究[D].西安:西安电子科技大学,2006.

[8]SCHULZRINNE Henning, CASNER S L, FREDERCK Ron, et al. RFC1889-RTP: A transport protocol for real-time applications[M]. Berlin: \, 2007.

[9]谭献海.网络编程技术及应用(计算机科学与技术)[M].北京:清华大学出版社,2006.

[10]孙钦东,郭晓军,黄新波.基于多模式匹配的网络视频流识别与分类[J].电子与信息学报,2009,31(3):759-762.