华为SIG业务监控网关介绍1.ppt

1、Page 1,VoIP检测原理,以专利的媒体流检测为基础，结合信令流检测为辅助。保证检测高准确率和高性能，避免单纯信令流检测而产生漏检的情况,媒体流检测 原理：一个VoIP通话即生成一条语音媒体流，通过检测承载在UDP之上的媒体流RTP连接数判断是否为虚拟运营的VoIP网关 正常用户进行流媒体通话或者视频点播，不会占用过多的RTP接数 虚拟VOIP运营的网关则同时存在少则几十多则上百个媒体流连接数,信令流检测 原理：一个VoIP通话需要信令协议来支撑呼叫的建立和拆卸，通过检测VOIP呼叫建立和拆卸所使用的信令协议能判断出是否有非法的VoIP通话。 依托华为在NGN/VOIP的积累，通过解析VO

2、IP呼叫过程中使用的信令协议(H.323、SIP、MGCP、MEGACO)来获取每次呼叫的详细信息，包括：主叫号码、被叫号码、VOIP网关、VOIP网守,Page 2,电话网关,发送控制包,SPS,L3或R,接入网,无源分光 / 镜像,上行流量,SIG系统,BAS,城域网,省干,PSTN,Internet,分流平台,SIG1000,控制,VoIP监控工作流程,用户发起VoIP语音电话请求 SIG通过DPI（深度业务检测）方式监听到VoIP通话 SIG根据后台业务分析服务器下的控制策略发数据包 控制方式（噪音、回音、提示音、发送中止信令，强制拆卸呼叫） 110级控制强度 控制分时 黑白名单 用户

3、VoIP语音通话质量降低,正常情况下的通话,加噪音控制的通话,Page 3,检测全面，信息丰富,在线VoIP网关,在线VoIP呼叫,网关话单汇总,每日汇总统计,Page 4,SIG 功能模块,SIG,VoIP监控,P2P监控,WEB推送,用户行为分析,流量分析,共享接入监控,Page 5,功能描述 监控一个帐号下多个用户利用NAT同时上网 监控一个帐号下多个用户利用NAT分时上网 监控一个帐号下多个用户利用Proxy同时上网 监控一个帐号下多个用户利用Proxy分时上网 黑白名单管理 ,共享接入监控功能,Page 6,非法共享接入的方式,Proxy共享,城域网,ADSL终端,分时共享、帐号重拨

4、,ADSL用户,以太网用户,城域网,ADSL终端,ADSL用户,以太网用户,帐号盗用、MAC、IP盗用,NAT共享,城域网,ADSL用户,以太网用户,有NAT功能的ADSL终端,有NAT功能的路由设备,城域网,ADSL用户,以太网用户,Proxy设备,Proxy设备,ADSL终端,Page 7,非法共享接入检测原理,针对地址盗用、帐号盗用、分时共用、私接用户等非法接入 采用在BAS设备上进行“MAC+IP+VLAN/PVC+帐号”的绑定 Radius支持限制一个帐号同时上线1次 针对采用NAT、Proxy技术的非法接入，必须采用应用层检测技术 时钟漂移检测（不需探测） IP包头Identifi

5、cation轨迹检测（不需探测） 主机应用特征检测（不需探测） 流量/连接数统计（不需探测） TTL检测（不需探测） MAC地址检测（需探测） SNMP扫描（需探测）,探测扫描型检测很容易被规避，而且对网络有影响,Page 8,检测技术之一：ID轨迹检测,Windows网络协议栈实现时，I字段的值随着发送IP报文数的增加而增加 Identification的初始值是随机值，一般说来，不同主机的初始值有较大差距,优点： 1）较准确地判断出是否为共享上网用户 2）较准确的判断出在线共享上网主机数 3）完全被动监听，不发送探测信息,缺点： 1）需要一定时间的观察（建议两天以上） 2）对分时上网，Pr

6、oxy检测不准确,Page 9,检测技术之二：时钟偏移检测,不同主机物理时钟偏移不同，网络协议栈时钟与物理时钟存在对应关系 不同主机发送报文频率与时钟存在统计对应关系 通过特定的频谱分析算法，发现不同的网络时钟偏移来确定不同主机,优点： 1）非常准确地判断出是否为共享上网用户 2）能够较准确的判断出共享上网主机数,缺点： 1）需要复杂的计算方法进行处理分析 2）需要一段时间的观察（建议两天以上）,Page 10,检测技术之三：应用特征检测,HTTP包头 HTTP报头中User-Agent字段、cookie字段 不同操作系统、不同IE版本、不同补丁的User-Agent字段不同,MSN 同一时间

7、一般只能登录一个MSN帐号,Windows Update 信息 windows会不定时发送Update信息,优点： 1）能够实时判断出是否为共享上网用户 2）完全被动监听，不发送探测信息 3）对分时上网的共享用户同样有效,缺点： 1）如果用户安装多操作系统，会产生误报 2）如果多台主机克隆安装，会产生漏报,Page 11,其他检测技术,Page 12,宽带接入网,无源分光 / 镜像,上行流量,BAS,城域网,省干,Internet,控制,用户通过帐号发起上网请求 SIG使用综合特征检测模型（采用ID 轨迹检测、时钟偏移分析、应用特征检测等）从网络3层至7层进行综合分析，不依赖于任何操作系统、主

8、机类型、浏览器准确识别共享用户数目 向共享接入用户发送警告页面或控制其网页浏览、FTP及网络游戏 可按某个时间段或某几天实施控制 控制频度 持续 间歇 随机,网站,http请求, http 重定向发送告警页面,Reset Http请求,共享接入监控工作流程,业务监控系统,分流平台,SIG1000,WEB 服务器,Page 13,详尽的数据分析,共享主机分布,Page 14,SIG 功能模块,SIG,VoIP监控,P2P监控,WEB推送,用户行为分析,流量分析,共享接入监控,Page 15,P2P监控功能 支持特征字检测、应用行为特征检测、端口检测等多种检测方式，可以进行深度数据包的内容探测 可

9、以同时提供基于总量、分协议总量和逐个用户的P2P流量管理，并提供分时段管理。 可检测主流应用软件 文件下载 BT、迅雷、Emule/Edonkey、GNUTella、Kazaa、irectConnect 、Kugoo 网络电视 PPLive、QQ Live、CCIPTV、PPStream、CoolStreaming 沸点网络电视 语音通讯 Skype,P2P业务监控功能,Page 16,BT工作原理分析,安装BitTorrent下载软件； 通过WEB等形式下载.torrent文件； 运行BitTorrent下载软件； 连接Tracker服务器，注册并获得下载用户列表； 连接其他的下载用户，开始

10、数据交互过程；,client,client,client,Web服务器,Tracker 服务器,1、下载种子文件.torrent,2、请求peer-list,返回Peer-list,3、请求文件,上传、下载文件,4、请求文件,上传、下载文件,Page 17,P2P应用工作原理分析SKYPE,SKYPE在其网络环境中存在3类实体： 普通节点:与超级节点连接，并向注册服务器注册的机器 超级节点:任何具有公网IP地址、足够的CPU，内存和带宽的机器均可能成为超级节点(动态服务器) 注册服务器:保存所有SKYPE用户的用户名称和密码，用户验证逻辑由注册服务器完成。 登录过程：登录流程可以选择多种通道(

11、隐蔽性极强) 1）验证用户名和密码； 2）寻找可通讯的超级节点； 3）判断所处的网络位置中是否存在NAT； 4）向其他节点和好友通知它的presence状态,Inernet,家庭NAT设备,家庭网络,ISP网络,ISP NAT设备,家庭NAT设备,家庭NAT设备,家庭网络,家庭网络,普通节点,超级节点,注册服务器,普通节点,普通节点,超级节点,超级节点,Page 18,P2P检测和控制原理,检测 原理： 数据包特征检测为主 端口检测：通过端口确定数据流的应用类型，Edonkey 4661-4662 BT 6881-6890 特征检测：根据数据报文的应用层内容特征进行检测 启发式行为分析为辅 行为检测：根据P2P应用协议的交互过程行为特征进行检测,控制 原理： 限流限连接数 传输层控制： 限流：减小TCP发送窗口值，控制流速 限连接数：发送TCP RST报文进行连接拆除 应用层控制： 限流：如BT协议的CHOCK消息 限连接数：如BT协议的Cancel消息,Page 19,用户发起P2P业务数据传输 SIG应用DPI检测技术，分别对上下行流量进行检测 采用数据包伪装技术，将伪装的控制数据包发到正在通信的TCP/UDP连接中，