《华为SIG业务监控网关介绍.ppt》由会员分享,可在线阅读,更多相关《华为SIG业务监控网关介绍.ppt(20页珍藏版)》请在三一办公上搜索。
1、Page 1,VoIP检测原理,以专利的媒体流检测为基础,结合信令流检测为辅助。保证检测高准确率和高性能,避免单纯信令流检测而产生漏检的情况,媒体流检测原理:一个VoIP通话即生成一条语音媒体流,通过检测承载在UDP之上的媒体流RTP连接数判断是否为虚拟运营的VoIP网关正常用户进行流媒体通话或者视频点播,不会占用过多的RTP接数虚拟VOIP运营的网关则同时存在少则几十多则上百个媒体流连接数,信令流检测原理:一个VoIP通话需要信令协议来支撑呼叫的建立和拆卸,通过检测VOIP呼叫建立和拆卸所使用的信令协议能判断出是否有非法的VoIP通话。依托华为在NGN/VOIP的积累,通过解析VOIP呼叫过
2、程中使用的信令协议(H.323、SIP、MGCP、MEGACO)来获取每次呼叫的详细信息,包括:主叫号码、被叫号码、VOIP网关、VOIP网守,Page 2,电话网关,发送控制包,SPS,L3或R,接入网,无源分光/镜像,上行流量,SIG系统,BAS,城域网,省干,PSTN,Internet,分流平台,SIG1000,控制,VoIP监控工作流程,用户发起VoIP语音电话请求SIG通过DPI(深度业务检测)方式监听到VoIP通话SIG根据后台业务分析服务器下的控制策略发数据包控制方式(噪音、回音、提示音、发送中止信令,强制拆卸呼叫)110级控制强度控制分时黑白名单用户VoIP语音通话质量降低,正
3、常情况下的通话,加噪音控制的通话,Page 3,检测全面,信息丰富,在线VoIP网关,在线VoIP呼叫,网关话单汇总,每日汇总统计,Page 4,SIG 功能模块,SIG,VoIP监控,P2P监控,WEB推送,用户行为分析,流量分析,共享接入监控,Page 5,功能描述监控一个帐号下多个用户利用NAT同时上网监控一个帐号下多个用户利用NAT分时上网监控一个帐号下多个用户利用Proxy同时上网监控一个帐号下多个用户利用Proxy分时上网黑白名单管理,共享接入监控功能,Page 6,非法共享接入的方式,Proxy共享,城域网,ADSL终端,分时共享、帐号重拨,ADSL用户,以太网用户,城域网,AD
4、SL终端,ADSL用户,以太网用户,帐号盗用、MAC、IP盗用,NAT共享,城域网,ADSL用户,以太网用户,有NAT功能的ADSL终端,有NAT功能的路由设备,城域网,ADSL用户,以太网用户,Proxy设备,Proxy设备,ADSL终端,Page 7,非法共享接入检测原理,针对地址盗用、帐号盗用、分时共用、私接用户等非法接入采用在BAS设备上进行“MAC+IP+VLAN/PVC+帐号”的绑定Radius支持限制一个帐号同时上线1次针对采用NAT、Proxy技术的非法接入,必须采用应用层检测技术时钟漂移检测(不需探测)IP包头Identification轨迹检测(不需探测)主机应用特征检测(
5、不需探测)流量/连接数统计(不需探测)TTL检测(不需探测)MAC地址检测(需探测)SNMP扫描(需探测),探测扫描型检测很容易被规避,而且对网络有影响,Page 8,检测技术之一:ID轨迹检测,Windows网络协议栈实现时,I字段的值随着发送IP报文数的增加而增加Identification的初始值是随机值,一般说来,不同主机的初始值有较大差距,优点:1)较准确地判断出是否为共享上网用户2)较准确的判断出在线共享上网主机数3)完全被动监听,不发送探测信息,缺点:1)需要一定时间的观察(建议两天以上)2)对分时上网,Proxy检测不准确,Page 9,检测技术之二:时钟偏移检测,不同主机物理
6、时钟偏移不同,网络协议栈时钟与物理时钟存在对应关系不同主机发送报文频率与时钟存在统计对应关系通过特定的频谱分析算法,发现不同的网络时钟偏移来确定不同主机,优点:1)非常准确地判断出是否为共享上网用户2)能够较准确的判断出共享上网主机数,缺点:1)需要复杂的计算方法进行处理分析2)需要一段时间的观察(建议两天以上),Page 10,检测技术之三:应用特征检测,HTTP包头HTTP报头中User-Agent字段、cookie字段不同操作系统、不同IE版本、不同补丁的User-Agent字段不同,MSN同一时间一般只能登录一个MSN帐号,Windows Update 信息windows会不定时发送U
7、pdate信息,优点:1)能够实时判断出是否为共享上网用户2)完全被动监听,不发送探测信息3)对分时上网的共享用户同样有效,缺点:1)如果用户安装多操作系统,会产生误报2)如果多台主机克隆安装,会产生漏报,Page 11,其他检测技术,Page 12,宽带接入网,无源分光/镜像,上行流量,BAS,城域网,省干,Internet,控制,用户通过帐号发起上网请求SIG使用综合特征检测模型(采用ID 轨迹检测、时钟偏移分析、应用特征检测等)从网络3层至7层进行综合分析,不依赖于任何操作系统、主机类型、浏览器准确识别共享用户数目向共享接入用户发送警告页面或控制其网页浏览、FTP及网络游戏可按某个时间段
8、或某几天实施控制控制频度持续间歇随机,网站,http请求,http 重定向发送告警页面,Reset Http请求,共享接入监控工作流程,业务监控系统,分流平台,SIG1000,WEB 服务器,Page 13,详尽的数据分析,共享主机分布,Page 14,SIG 功能模块,SIG,VoIP监控,P2P监控,WEB推送,用户行为分析,流量分析,共享接入监控,Page 15,P2P监控功能支持特征字检测、应用行为特征检测、端口检测等多种检测方式,可以进行深度数据包的内容探测 可以同时提供基于总量、分协议总量和逐个用户的P2P流量管理,并提供分时段管理。可检测主流应用软件文件下载BT、迅雷、Emule
9、/Edonkey、GNUTella、Kazaa、irectConnect、Kugoo网络电视PPLive、QQ Live、CCIPTV、PPStream、CoolStreaming沸点网络电视语音通讯Skype,P2P业务监控功能,Page 16,BT工作原理分析,安装BitTorrent下载软件;通过WEB等形式下载.torrent文件;运行BitTorrent下载软件;连接Tracker服务器,注册并获得下载用户列表;连接其他的下载用户,开始数据交互过程;,client,client,client,Web服务器,Tracker 服务器,1、下载种子文件.torrent,2、请求peer-l
10、ist,返回Peer-list,3、请求文件,上传、下载文件,4、请求文件,上传、下载文件,Page 17,P2P应用工作原理分析SKYPE,SKYPE在其网络环境中存在3类实体:普通节点:与超级节点连接,并向注册服务器注册的机器超级节点:任何具有公网IP地址、足够的CPU,内存和带宽的机器均可能成为超级节点(动态服务器)注册服务器:保存所有SKYPE用户的用户名称和密码,用户验证逻辑由注册服务器完成。登录过程:登录流程可以选择多种通道(隐蔽性极强)1)验证用户名和密码;2)寻找可通讯的超级节点;3)判断所处的网络位置中是否存在NAT;4)向其他节点和好友通知它的presence状态,Iner
11、net,家庭NAT设备,家庭网络,ISP网络,ISP NAT设备,家庭NAT设备,家庭NAT设备,家庭网络,家庭网络,普通节点,超级节点,注册服务器,普通节点,普通节点,超级节点,超级节点,Page 18,P2P检测和控制原理,检测原理:数据包特征检测为主端口检测:通过端口确定数据流的应用类型,Edonkey 4661-4662 BT 6881-6890特征检测:根据数据报文的应用层内容特征进行检测启发式行为分析为辅行为检测:根据P2P应用协议的交互过程行为特征进行检测,控制原理:限流限连接数传输层控制:限流:减小TCP发送窗口值,控制流速限连接数:发送TCP RST报文进行连接拆除应用层控制
12、:限流:如BT协议的CHOCK消息限连接数:如BT协议的Cancel消息,Page 19,用户发起P2P业务数据传输SIG应用DPI检测技术,分别对上下行流量进行检测采用数据包伪装技术,将伪装的控制数据包发到正在通信的TCP/UDP连接中,达到降低数据传输速率或切断连接的目的,监控前后对比,宽带接入网,无源分光/镜像,双向流量,业务监控系统,BAS,城域网,省干,Internet,控制,P2P业务监控工作流程,发送控制包,SIG1000,L3或R,分流平台,SIG1000,Page 20,实时P2P分协议流量,详细的P2P检测数据,P2P流量TOPN用户,单用户P2P流量日趋势,P2P流量流向分析,