10 元
下载资源

SIG业务监控网关介绍2

上传人:猪** 文档编号:242979075 上传时间:2024-09-13 格式:PPT 页数:20 大小:4.52MB
返回 下载 相关 举报
SIG业务监控网关介绍2_第1页
第1页 / 共20页
SIG业务监控网关介绍2_第2页
第2页 / 共20页
SIG业务监控网关介绍2_第3页
第3页 / 共20页
点击查看更多>>
资源描述
*,HUAWEI TECHNOLOGIES CO., LTD.,内部公开,汇报提纲,HUAWEI TECHNOLOGIES CO., LTD.,Page,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,Thank You,VoIP检测原理,以专利的,媒体流检测为基础,结合信令流检测,为辅助,。保证检测高准确率和高性能,避免单纯信令流检测而产生漏检的情况,媒体流检测,原理:一个,VoIP,通话即生成一条语音媒体流,通过检测承载在,UDP,之上的媒体流,RTP,连接数判断是否为虚拟运营的,VoIP,网关,正常用户进行流媒体通话或者视频点播,不会占用过多的,RTP,接数,虚拟,VOIP,运营的网关则同时存在少则几十多则上百个媒体流连接数,信令流检测,原理:一个,VoIP,通话需要信令协议来支撑呼叫的建立和拆卸,通过检测,VOIP,呼叫建立和拆卸所使用的信令协议能判断出是否有非法的,VoIP,通话。,依托华为在,NGN/VOIP,的积累,通过解析,VOIP,呼叫过程中使用的信令协议,(H.323,、,SIP,、,MGCP,、,MEGACO),来获取每次呼叫的详细信息,包括:主叫号码、被叫号码、,VOIP,网关、,VOIP,网守,Page,电话网关,发送控制包,SPS,L3,或,R,接入网,无源分光,/,镜像,上行流量,SIG,系统,BAS,城域网,省干,PSTN,Internet,分流平台,SIG1000,控制,VoIP,监控工作流程,用户发起,VoIP,语音电话请求,SIG,通过,DPI,(深度业务检测)方式监听到,VoIP,通话,SIG,根据后台业务分析服务器下的控制策略发数据包,控制方式(噪音、回音、提示音、发送中止信令,强制拆卸呼叫),1,10,级控制强度,控制分时,黑白名单,用户,VoIP,语音通话质量降低,正常情况下的通话,加噪音控制的通话,Page,检测全面,信息丰富,在线,VoIP,网关,在线,VoIP,呼叫,网关话单汇总,每日汇总统计,Page,SIG,功能模块,SIG,VoIP,监控,P2P,监控,WEB,推送,用户行为分析,流量分析,共享接入监控,Page,功能描述,监控一个帐号下多个用户利用,NAT,同时上网,监控一个帐号下多个用户利用,NAT,分时上网,监控一个帐号下多个用户利用,Proxy,同时上网,监控一个帐号下多个用户利用,Proxy,分时上网,黑白名单管理,共享接入监控功能,Page,非法共享接入的方式,Proxy,共享,城域网,ADSL,终端,分时共享、帐号重拨,ADSL,用户,以太网用户,城域网,ADSL,终端,ADSL,用户,以太网用户,帐号盗用、,MAC,、,IP,盗用,NAT,共享,城域网,ADSL,用户,以太网用户,有,NAT,功能的,ADSL,终端,有,NAT,功能的路由设备,城域网,ADSL,用户,以太网用户,Proxy,设备,Proxy,设备,ADSL,终端,Page,非法共享接入检测原理,针对地址盗用、帐号盗用、分时共用、私接用户等非法接入,采用在,BAS,设备上进行“,MAC+IP+VLAN/PVC+,帐号”的绑定,Radius,支持限制一个帐号同时上线,1,次,针对采用,NAT,、,Proxy,技术的非法接入,,必须采用应用层检测技术,时钟漂移检测(不需探测),IP,包头,Identification,轨迹检测(不需探测),主机应用特征检测(不需探测),流量,/,连接数统计(不需探测),TTL,检测(不需探测),MAC,地址检测(需探测),SNMP,扫描(需探测),探测扫描型检测很容易被规避,而且对网络有影响,Page,检测技术之一:ID轨迹检测,Windows,网络协议栈实现时,,I,字段的值随着发送,IP,报文数的增加而增加,Identification,的初始值是随机值,一般说来,不同主机的初始值有较大差距,优点:,1,),较准确地判断出是否为共享上网用户,2,)较准确的判断出在线共享上网主机数,3,)完全被动监听,不发送探测信息,缺点:,1,),需要一定时间的观察(建议两天以上),2,)对分时上网,,Proxy,检测不准确,Page,检测技术之二:时钟偏移检测,不同主机物理时钟偏移不同,网络协议栈时钟与物理时钟存在对应关系,不同主机发送报文频率与时钟存在统计对应关系,通过特定的频谱分析算法,发现不同的网络时钟偏移来确定不同主机,优点:,1,),非常准确地判断出是否为共享上网用户,2,)能够较准确的判断出共享上网主机数,缺点:,1,),需要复杂的计算方法进行处理分析,2,)需要一段时间的观察(建议两天以上),Page,检测技术之三:应用特征检测,HTTP,包头,HTTP,报头中,User-Agent,字段、,cookie,字段,不同操作系统、不同,IE,版本、不同补丁的,User-Agent,字段不同,MSN,同一时间一般只能登录一个,MSN,帐号,Windows Update,信息,windows,会不定时发送,Update,信息,优点:,1,),能够实时判断出是否为共享上网用户,2,)完全被动监听,不发送探测信息,3,)对分时上网的共享用户同样有效,缺点:,1,),如果用户安装多操作系统,会产生误报,2,)如果多台主机克隆安装,会产生漏报,Page,其他检测技术,检测技术,原理,优点,缺陷,流量,/,连接数统计,统计某个,IP,打开的端口数或流量,超过一定阈值则认为是共享上网用户,具有一定的参考意义,对,BT,、网络病毒会误报,对少量共享主机的情况会漏报,MAC,地址检测,在接入层交换机下检测,MAC,地址,同一个账号有多个,MAC,地址,则认为共享上网用户,能够实时判断出是否为共享上网用户,完全被动监听,不发送探测信息,对分时上网的共享用户同样有效,需要大规模部署在接入层,对,NAT/Proxy,用户无效,对一台主机多个网卡的情况会产生误报,SNMP,扫描检测,扫描主机或,ADSL Modem,的,SNMP,信息,提取主机数,在特定情况下检测比较准确,如用户侧启用,SNMP,服务,极易通过修改,Modem,配置来躲避,需要扫描用户主机,招致用户察觉和不满,TTL,检测,经过一个,NAT,设备后,,TTL,会减一,如果某个用户,TTL,与正常的不一致,则认为是共享上网用户,具有一定的参考意义,需要大规模部署在接入层,由于操作系统处理不同,即使,TTL,不一致,也未必是共享上网用户,对,Proxy,无效,Page,宽带接入网,无源分光,/,镜像,上行流量,BAS,城域网,省干,Internet,控制,用户通过帐号发起上网请求,SIG,使用综合特征检测模型(采用,ID,轨迹检测、时钟偏移分析、应用特征检测等)从网络,3,层至,7,层进行综合分析,不依赖于任何操作系统、主机类型、浏览器,准确识别共享用户数目,向共享接入用户发送警告页面或控制其网页浏览、,FTP,及网络游戏,可按某个时间段或某几天实施控制,控制频度,持续,间歇,随机,网站,http,请求,http,重定向发送告警页面,Reset Http,请求,共享接入监控工作流程,业务监控系统,分流平台,SIG1000,WEB,服务器,Page,详尽的数据分析,共享主机分布,Page,SIG,功能模块,SIG,VoIP,监控,P2P,监控,WEB,推送,用户行为分析,流量分析,共享接入监控,Page,P2P,监控功能,支持,特征字检测、应用行为特征检测、端口检测,等多种检测方式,可以进行深度数据包的内容探测,可以同时提供基于总量、分协议总量和逐个用户的,P2P,流量管理,并提供分时段管理。,可检测主流应用软件,文件下载,BT,、迅雷、,Emule/Edonkey,、,GNUTella,、,Kazaa,、,irectConnect,、,Kugoo,网络电视,PPLive,、,QQ Live,、,CCIPTV,、,PPStream,、,CoolStreaming,沸点网络电视,语音通讯,Skype,P2P,业务监控功能,Page,BT,工作原理分析,安装,BitTorrent,下载软件;,通过,WEB,等形式下载,.torrent,文件;,运行,BitTorrent,下载软件;,连接,Tracker,服务器,注册并获得下载用户列表;,连接其他的下载用户,开始数据交互过程;,client,client,client,Web,服务器,Tracker,服务器,1,、下载种子文件,.torrent,2,、请求,peer-list,返回,Peer-list,3,、请求文件,上传、下载文件,4,、请求文件,上传、下载文件,Page,P2P,应用工作原理分析,SKYPE,SKYPE,在其网络环境中存在,3,类实体:,普通节点,:,与超级节点连接,并向注册服务器注册的机器,超级节点,:,任何具有公网,IP,地址、足够的,CPU,,内存和带宽的机器均可能成为超级节点,(,动态服务器,),注册服务器,:,保存所有,SKYPE,用户的用户名称和密码,用户验证逻辑由注册服务器完成。,登录过程:登录流程可以选择多种通道,(,隐蔽性极强,),1,)验证用户名和密码;,2,)寻找可通讯的超级节点;,3,)判断所处的网络位置中是否存在,NAT,;,4,)向其他节点和好友通知它的,presence,状态,Inernet,家庭,NAT,设备,家庭网络,ISP,网络,ISP NAT,设备,家庭,NAT,设备,家庭,NAT,设备,家庭网络,家庭网络,普通节点,超级节点,注册服务器,普通节点,普通节点,超级节点,超级节点,Page,P2P,检测和控制原理,检测,原理:,数据包特征检测为主,端口检测:,通过端口确定数据流的应用类型,,Edonkey,4661-4662 BT 6881-6890,特征检测:,根据数据报文的应用层内容特征进行检测,启发式行为分析为辅,行为检测:,根据,P2P,应用协议的交互过程行为特征进行检测,控制,原理:,限流限连接数,传输层控制:,限流:减小,TCP,发送窗口值,控制流速,限连接数:发送,TCP RST,报文进行连接拆除,应用层控制:,限流:如,BT,协议的,CHOCK,消息,限连接数:如,BT,协议的,Cancel,消息,Page,用户发起,P2P,业务数据传输,SIG,应用,DPI,检测,技术,分别对上下行流量进行检测,采用数据包伪装技术,将伪装的控制数据包发到正在通信的,TCP/UDP,连接中,达到降低数据传输速率或切断连接的目的,监控前后对比,宽带接入网,无源分光,/,镜像,双向流量,业务监控系统,BAS,城域网,省干,Internet,控制,P2P,业务监控工作流程,发送控制包,SIG1000,L3,或,R,分流平台,SIG1000,Page,实时,P2P,分协议流量,BT,QQLIVE,EDONKEY,详细的,P2P,检测数据,P2P,流量,TOPN,用户,单用户,P2P,流量日趋势,P2P,流量流向分析,Page,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 小学资料


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!