华为SIG业务监控网关介绍2.pptVIP

VoIP检测原理 VoIP监控工作流程 检测全面，信息丰富 共享接入监控功能 非法共享接入的方式 非法共享接入检测原理 检测技术之一：ID轨迹检测 检测技术之二：时钟偏移检测 检测技术之三：应用特征检测 其他检测技术 共享接入监控工作流程 详尽的数据分析 P2P业务监控功能 BT工作原理分析 安装BitTorrent下载软件； 通过WEB等形式下载.torrent文件； 运行BitTorrent下载软件； 连接Tracker服务器，注册并获得下载用户列表； 连接其他的下载用户，开始数据交互过程； P2P应用工作原理分析——SKYPE P2P检测和控制原理 P2P业务监控工作流程 详细的P2P检测数据 * HUAWEI TECHNOLOGIES CO., LTD. 内部公开 汇报提纲 HUAWEI TECHNOLOGIES CO., LTD. Thank You 以专利的媒体流检测为基础，结合信令流检测为辅助。保证检测高准确率和高性能，避免单纯信令流检测而产生漏检的情况 媒体流检测 原理：一个VoIP通话即生成一条语音媒体流，通过检测承载在UDP之上的媒体流RTP连接数判断是否为虚拟运营的VoIP网关 正常用户进行流媒体通话或者视频点播，不会占用过多的RTP接数 虚拟VOIP运营的网关则同时存在少则几十多则上百个媒体流连接数 信令流检测 原理：一个VoIP通话需要信令协议来支撑呼叫的建立和拆卸，通过检测VOIP呼叫建立和拆卸所使用的信令协议能判断出是否有非法的VoIP通话。 依托华为在NGN/VOIP的积累，通过解析VOIP呼叫过程中使用的信令协议(H.323、SIP、MGCP、MEGACO)来获取每次呼叫的详细信息，包括：主叫号码、被叫号码、VOIP网关、VOIP网守 电话网关 发送控制包 SPS L3或R 接入网 无源分光 / 镜像 上行流量 SIG系统 BAS 城域网 省干 PSTN Internet 分流平台 SIG1000 控制 用户发起VoIP语音电话请求 SIG通过DPI（深度业务检测）方式监听到VoIP通话 SIG根据后台业务分析服务器下的控制策略发数据包 控制方式（噪音、回音、提示音、发送中止信令，强制拆卸呼叫） 1－10级控制强度 控制分时 黑白名单 用户VoIP语音通话质量降低 正常情况下的通话 加噪音控制的通话 在线VoIP网关 在线VoIP呼叫 网关话单汇总 每日汇总统计 SIG 功能模块 SIG VoIP监控 P2P监控 WEB推送 用户行为分析 流量分析 共享接入监控 功能描述 监控一个帐号下多个用户利用NAT同时上网 监控一个帐号下多个用户利用NAT分时上网 监控一个帐号下多个用户利用Proxy同时上网 监控一个帐号下多个用户利用Proxy分时上网 黑白名单管理 …… Proxy共享 城域网 ADSL终端 分时共享、帐号重拨 ADSL用户 以太网用户 城域网 ADSL终端 ADSL用户 以太网用户 帐号盗用、MAC、IP盗用 NAT共享 城域网 ADSL用户 以太网用户 有NAT功能的ADSL终端 有NAT功能的路由设备 城域网 ADSL用户 以太网用户 Proxy设备 Proxy设备 ADSL终端 针对地址盗用、帐号盗用、分时共用、私接用户等非法接入 采用在BAS设备上进行“MAC+IP+VLAN/PVC+帐号”的绑定 Radius支持限制一个帐号同时上线1次 针对采用NAT、Proxy技术的非法接入，必须采用应用层检测技术 时钟漂移检测（不需探测） IP包头Identification轨迹检测（不需探测） 主机应用特征检测（不需探测） 流量/连接数统计（不需探测） TTL检测（不需探测） MAC地址检测（需探测） SNMP扫描（需探测） 探测扫描型检测很容易被规避，而且对网络有影响 Windows网络协议栈实现时，IＤ字段的值随着发送IP报文数的增加而增加 Identification的初始值是随机值，一般说来，不同主机的初始值有较大差距 优点： 1）较准确地判断出是否为共享上网用户 2）较准确的判断出在线共享上网主机数 3）完全被动监听，不发送探测信息 缺点： 1）需要一定时间的观察（建议两天以上） 2）对分时上网，Proxy检测不准确 不同主机物理时钟偏移不同，网络协议栈时钟与物理时钟存在对应关系 不同主机发送报文频率与时钟存在统计对应关系 通过特定的频谱分析算法，发现不同的网络时钟偏移来确定不同主机 优点： 1）非常准确地判断出是否为共享上网用户 2）能够较准确的判断出共享上网主机数 缺点： 1）需要复杂的计算方法进行处理分析 2）需要一段时间的观察（建议两天以上） HTTP包头 HTTP报头中User-Agent字段、cookie字段 不同操作系统、不同IE版