[发明专利]一种基于网络监控的VoIP音视频审计方法

摘要

本发明公开了一种基于网络监控的VoIP音视频审计方法，包括有网络嗅探设备，网络嗅探设备位于用户与用户之间，将网络报文镜像出来，网络嗅探设备将抓取的网络报文存储到云中，用户通过在存储云中选择抓去的报文进行回放。本发明解决了当前网络审计系统的局限性，通过网络报文的抓取、报文头部信息的编码及传递，成功解决了在不同的媒体流中分辨音视频编码的问题，能做到网络监控的同时对通信双方的音视频进行实时回放。

主权项

一种基于网络监控的VoIP音视频审计方法，其特征在于：包括有网络嗅探设备，网络嗅探设备位于用户与用户之间，将网络报文镜像出来，网络嗅探设备将抓取的网络报文存储到云中，用户通过在存储云中选择抓去的报文进行回放；具体步骤如下：（1）网络嗅探设备本身就是一个基于模式匹配的网络监测系统，网络嗅探设备对抓取的网络报文进行监测，监测过程包括以下几个步骤：1）对网络嗅探设备进行初始化配置：读取一些配置文件，系统初始化；初始化规则引擎；构造规则快速匹配引擎；2）嗅探网络中的数据包；3）拆包；4）监测引擎进行规则匹配；5）解析应用并输出需要的信息；（2）网络嗅探设备对捕获的网络报文数据首先按链接保存在内存队列中，其中网络上的链接以源端的IP地址、端口号以及目的端IP地址、端口号作为唯一标识；其中内存队列是系统启动时预分配的，一般由100个至200个buf组成，capturethread将俘获的数据填写到buf中，workthread从buf中取出数据进行分析，内存队列读取网络报文，重组为snif格式，如果该网络报文为VoIP媒体，则在snif头中插入编码信息；snif结构的codec字段用于保存编码信息；（3）回放  1）对回放设备进行初始化，主要分为两个阶段：（A）初始化：完成检测数据包前的所有准备工作；a）打开数据包获取接口；b）插件初始化；c）规则链表初始化；d）规则快速匹配引擎初始化；e）前期一些初始化工作；（B）数据包处理：完成数据包从嗅探设备到协议输出等主要工作；a）数据包截获；b）数据包拆包/解码以及TCP/UDP会话处理；c）数据包检测即监测引擎进行规则匹配；d）协议解析输出；2）回放设备在读取snif格式的报文时，取snif头部的codec字段，根据codec字段的值判断调用哪种解码器对媒体解码；3）回放设备分为两个单元，具体步骤是：（A）解码器库：用于解码snif数据包；a）将snif文件解码为原始的Raw音视频流；b）根据payload选择相应的解码器解码为PCM/YUV，其中PCM需要混音；c）根据界面选择将文件编码为需要输出的格式；（B）界面回放框架：用于回放PCM/YUV；a）视频回放单元：用于播放、暂停、画面缩放、全屏等；b）音频回放单元：用于播放、暂停、音量调节、静音等。