[发明专利]一种网络视频会议流量识别方法及装置

说明书

本发明公开了一种网络视频会议流量识别方法及装置，根据网络视频会议流量的特点，实时统计进入公司内网的UDP总流量，当进入内网的UDP总流量带宽超过所设带宽阈值时进行限流并触发检测，统计单个下行源IP地址的UDP流量带宽和响应流量带宽，找出符合网络视频会议流量特点的通信链路，接着对报文内容进行检测，最终确定网络视频会议流量。本发明能够能够快速识别出正常网络视频会议流量，在保证企业网络视频会议的正常进行的同时，不影响原有的网络安全防护强度，也不需要对现有网络安全设备进行大的大规模整改，避免当参会人数较多时网络视频流量超过阈值，网络边界安全设备将其误认为UDPFlood攻击而进行限流，造成网络视频会议卡顿。

技术领域

本发明涉及互联网领域，具体涉及一种网络视频会议流量识别方法及装置。

背景技术

UDPFlood是一种流量型Dos攻击，常见的情况是利用大量用户数据报协议(UserDatagram Protocol，简称UDP)小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k bps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网络的瘫痪。网络视频会议系统是指两个或者两个以上不同地方的个人或群体，借助互联网，实现在地理上分散的用户可以共聚一处，通过图形、声音等多种方式交流信息。

随着互联网云技术的发展，基于云的视频会议系统视频直播系统越来越多。一些大型企业的远程视频会议应用也越来越频繁。当前众多视频会议系统都是采用UDP作为视频的传输协议，由于视频与声音的传输需要占用较大的网络带宽，会议用户超过一定数量时极易被网络边界设备识别为UDP攻击并进行限流，导致会议出现卡顿、掉线等现象，造成会议体验与效果很差。

发明内容

(一)发明目的

本发明一种网络视频会议流量识别方法及装置，适用于安装在企业网络边界的安全设备上，用来识别网络视频会议流量，解决网络视频会议流量被防火墙限流的问题。

(二)技术方案

为解决上述问题，本发明的第一方面提供了一种网络视频会议流量识别方法，包括以下步骤：

步骤A，实时统计进入内网的UDP总流量带宽，若UDP总流量带宽大于第一预设阈值，则限流并执行步骤B，否则放行；

步骤B，统计单个下行源IP地址的UDP流量带宽，若UDP流量带宽大于第二预设阈值则执行步骤C，否则放行；

步骤C，检测所述下行源IP地址对应的目的地址是否有响应流量，若有，执行步骤D，若无，将所述下行源IP地址加入黑名单，到达设定时间后从黑名单解除；

步骤D，统计所述目的地址的响应流量带宽，若响应流量带宽大于第三预设阈值则执行步骤E，否则对所述响应流量对应的下行流量进行限流；

步骤E，比较所述响应流量和对应的下行流量的带宽大小，若所述下行流量带宽大于等于所述响应流量带宽则执行步骤F；否则，对所述响应流量对应的上、下行流量进行限流；

步骤F，计算下行UDP报文内容的哈希值；

步骤G，将计算得到哈希值和前一次计算得到的哈希值进行比较；若有变化，则判断其为网络视频会议流量，放行流量或限流，并添加所述下行源IP地址到白名单；若无变化，则判断其为非正常业务流量，将所述下行源IP地址加入黑名单，到达设定时间后从黑名单解除。

根据本发明的第一方面，所述步骤A包括：

A1，接收到报文时判断报文类型是否为UDP报文，若是，则执行步骤A2；若不是，则放行；

A2，统计一定时间内的所有UDP报文长度，将所有UDP报文长度求和计算总长度，计算得到UDP总流量带宽。