SIG業(yè)務(wù)監(jiān)控網(wǎng)關(guān)介紹2

1、HUAWEI TECHNOLOGIES CO., LTD.Page 1VoIPVoIP檢測(cè)原理檢測(cè)原理 以專利的以專利的。保證檢測(cè)高準(zhǔn)確率和高性能，避。保證檢測(cè)高準(zhǔn)確率和高性能，避免單純信令流檢測(cè)而產(chǎn)生漏檢的情況免單純信令流檢測(cè)而產(chǎn)生漏檢的情況媒體流檢測(cè)媒體流檢測(cè)原理：一個(gè)VoIP通話即生成一條語(yǔ)音媒體流，通過(guò)檢測(cè)承載在UDP之上的媒體流RTP連接數(shù)判斷是否為虛擬運(yùn)營(yíng)的VoIP網(wǎng)關(guān)正常用戶進(jìn)行流媒體通話或者視頻點(diǎn)播，不會(huì)占用過(guò)多的RTP接數(shù)虛擬VOIP運(yùn)營(yíng)的網(wǎng)關(guān)則同時(shí)存在少則幾十多則上百個(gè)媒體流連接數(shù)信令流檢測(cè)信令流檢測(cè)原理：一個(gè)VoIP通話需要信令協(xié)議來(lái)支撐呼叫的建立和拆卸，通過(guò)檢測(cè)VOIP

2、呼叫建立和拆卸所使用的信令協(xié)議能判斷出是否有非法的VoIP通話。依托華為在NGN/VOIP的積累，通過(guò)解析VOIP呼叫過(guò)程中使用的信令協(xié)議(H.323、SIP、MGCP、MEGACO)來(lái)獲取每次呼叫的詳細(xì)信息，包括：主叫號(hào)碼、被叫號(hào)碼、VOIP網(wǎng)關(guān)、VOIP網(wǎng)守HUAWEI TECHNOLOGIES CO., LTD.Page 2電話網(wǎng)關(guān)發(fā)送控制包SPSSPSL3L3或或R R接入網(wǎng)無(wú)源分光 / 鏡像上行流量SIG系統(tǒng)BAS城域網(wǎng)省干Internet分流平臺(tái)SIG1000SIG1000控制VoIP監(jiān)控工作流程用戶發(fā)起VoIP語(yǔ)音電話請(qǐng)求SIG通過(guò)DPI（深度業(yè)務(wù)檢測(cè)）方式監(jiān)聽到VoIP通話SI

3、G根據(jù)后臺(tái)業(yè)務(wù)分析服務(wù)器下的控制策略發(fā)數(shù)據(jù)包控制方式（噪音、回音、提示音、發(fā)送中止信令，強(qiáng)制拆卸呼叫）110級(jí)控制強(qiáng)度控制分時(shí)黑白名單用戶VoIP語(yǔ)音通話質(zhì)量降低正常情況下的通話加噪音控制的通話HUAWEI TECHNOLOGIES CO., LTD.Page 3檢測(cè)全面，信息豐富檢測(cè)全面，信息豐富在線VoIP網(wǎng)關(guān)在線VoIP呼叫網(wǎng)關(guān)話單匯總每日匯總統(tǒng)計(jì)HUAWEI TECHNOLOGIES CO., LTD.Page 4SIG SIG 功能模塊功能模塊SIGSIGVoIP監(jiān)控監(jiān)控P2P監(jiān)控監(jiān)控WEB推送推送用戶行為分析用戶行為分析流量分析流量分析共享接入監(jiān)控共享接入監(jiān)控HUAWEI TECH

4、NOLOGIES CO., LTD.Page 5功能描述功能描述監(jiān)控一個(gè)帳號(hào)下多個(gè)用戶利用NAT同時(shí)上網(wǎng)監(jiān)控一個(gè)帳號(hào)下多個(gè)用戶利用NAT分時(shí)上網(wǎng)監(jiān)控一個(gè)帳號(hào)下多個(gè)用戶利用Proxy同時(shí)上網(wǎng)監(jiān)控一個(gè)帳號(hào)下多個(gè)用戶利用Proxy分時(shí)上網(wǎng)黑白名單管理 共享接入監(jiān)控功能HUAWEI TECHNOLOGIES CO., LTD.Page 6非法共享接入的方式非法共享接入的方式ProxyProxy共享共享城域網(wǎng)ADSL終端分時(shí)共享、帳號(hào)重?fù)芊謺r(shí)共享、帳號(hào)重?fù)蹵DSL用戶以太網(wǎng)用戶城域網(wǎng)ADSL終端ADSL用戶以太網(wǎng)用戶帳號(hào)盜用、帳號(hào)盜用、MACMAC、IPIP盜用盜用NATNAT共享共享城域網(wǎng)ADSL用戶

5、以太網(wǎng)用戶有NAT功能的ADSL終端有NAT功能的路由設(shè)備城域網(wǎng)ADSL用戶以太網(wǎng)用戶Proxy設(shè)備Proxy設(shè)備ADSL終端HUAWEI TECHNOLOGIES CO., LTD.Page 7非法共享接入檢測(cè)原理非法共享接入檢測(cè)原理針對(duì)地址盜用、帳號(hào)盜用、分時(shí)共用、私接用戶等非法接入針對(duì)地址盜用、帳號(hào)盜用、分時(shí)共用、私接用戶等非法接入采用在BAS設(shè)備上進(jìn)行“MAC+IP+VLAN/PVC+帳號(hào)”的綁定Radius支持限制一個(gè)帳號(hào)同時(shí)上線1次針對(duì)采用針對(duì)采用NATNAT、ProxyProxy技術(shù)的非法接入，技術(shù)的非法接入，必須采用應(yīng)用層檢測(cè)技術(shù)必須采用應(yīng)用層檢測(cè)技術(shù)時(shí)鐘漂移檢測(cè)（不需探測(cè)）I

6、P包頭Identification軌跡檢測(cè)（不需探測(cè)）主機(jī)應(yīng)用特征檢測(cè)（不需探測(cè)）流量/連接數(shù)統(tǒng)計(jì)（不需探測(cè)）TTL檢測(cè)（不需探測(cè)）MAC地址檢測(cè)（需探測(cè)）SNMP掃描（需探測(cè)）探測(cè)掃描型檢測(cè)很容易被規(guī)避，而且對(duì)網(wǎng)絡(luò)有影響探測(cè)掃描型檢測(cè)很容易被規(guī)避，而且對(duì)網(wǎng)絡(luò)有影響HUAWEI TECHNOLOGIES CO., LTD.Page 8檢測(cè)技術(shù)之一：檢測(cè)技術(shù)之一：IDID軌跡檢測(cè)軌跡檢測(cè)Windows網(wǎng)絡(luò)協(xié)議棧實(shí)現(xiàn)時(shí)，I字段的值隨著發(fā)送IP報(bào)文數(shù)的增加而增加Identification的初始值是隨機(jī)值，一般說(shuō)來(lái)，不同主機(jī)的初始值有較大差距較準(zhǔn)確地判斷出是否為共享上網(wǎng)用戶2）較準(zhǔn)確的判斷出在線共享

7、上網(wǎng)主機(jī)數(shù)3）完全被動(dòng)監(jiān)聽，不發(fā)送探測(cè)信息需要一定時(shí)間的觀察（建議兩天以上）2）對(duì)分時(shí)上網(wǎng)，Proxy檢測(cè)不準(zhǔn)確HUAWEI TECHNOLOGIES CO., LTD.Page 9檢測(cè)技術(shù)之二：時(shí)鐘偏移檢測(cè)檢測(cè)技術(shù)之二：時(shí)鐘偏移檢測(cè)不同主機(jī)物理時(shí)鐘偏移不同，網(wǎng)絡(luò)協(xié)議棧時(shí)鐘與物理時(shí)鐘存在對(duì)應(yīng)關(guān)系不同主機(jī)發(fā)送報(bào)文頻率與時(shí)鐘存在統(tǒng)計(jì)對(duì)應(yīng)關(guān)系通過(guò)特定的頻譜分析算法，發(fā)現(xiàn)不同的網(wǎng)絡(luò)時(shí)鐘偏移來(lái)確定不同主機(jī)非常準(zhǔn)確地判斷出是否為共享上網(wǎng)用戶2）能夠較準(zhǔn)確的判斷出共享上網(wǎng)主機(jī)數(shù)需要復(fù)雜的計(jì)算方法進(jìn)行處理分析2）需要一段時(shí)間的觀察（建議兩天以上）HUAWEI TECHNOLOGIES CO., LTD.Pag

8、e 10檢測(cè)技術(shù)之三：應(yīng)用特征檢測(cè)檢測(cè)技術(shù)之三：應(yīng)用特征檢測(cè)HTTPHTTP包頭包頭HTTP報(bào)頭中User-Agent字段、cookie字段不同操作系統(tǒng)、不同IE版本、不同補(bǔ)丁的User-Agent字段不同MSN同一時(shí)間一般只能登錄一個(gè)MSN帳號(hào)Windows Update Windows Update 信息信息windows會(huì)不定時(shí)發(fā)送Update信息能夠?qū)崟r(shí)判斷出是否為共享上網(wǎng)用戶2）完全被動(dòng)監(jiān)聽，不發(fā)送探測(cè)信息3）對(duì)分時(shí)上網(wǎng)的共享用戶同樣有效如果用戶安裝多操作系統(tǒng)，會(huì)產(chǎn)生誤報(bào)2）如果多臺(tái)主機(jī)克隆安裝，會(huì)產(chǎn)生漏報(bào)HUAWEI TECHNOLOGIES CO., LTD.Page 11其他檢

9、測(cè)技術(shù)其他檢測(cè)技術(shù)檢測(cè)技術(shù)檢測(cè)技術(shù)原理原理優(yōu)點(diǎn)優(yōu)點(diǎn)缺陷缺陷流量流量/ /連接數(shù)統(tǒng)計(jì)連接數(shù)統(tǒng)計(jì)統(tǒng)計(jì)某個(gè)IP打開的端口數(shù)或流量，超過(guò)一定閾值則認(rèn)為是共享上網(wǎng)用戶具有一定的參考意義對(duì)BT、網(wǎng)絡(luò)病毒會(huì)誤報(bào)，對(duì)少量共享主機(jī)的情況會(huì)漏報(bào)MACMAC地址檢測(cè)地址檢測(cè)在接入層交換機(jī)下檢測(cè)MAC地址，同一個(gè)賬號(hào)有多個(gè)MAC地址，則認(rèn)為共享上網(wǎng)用戶能夠?qū)崟r(shí)判斷出是否為共享上網(wǎng)用戶完全被動(dòng)監(jiān)聽，不發(fā)送探測(cè)信息對(duì)分時(shí)上網(wǎng)的共享用戶同樣有效需要大規(guī)模部署在接入層對(duì)NAT/Proxy用戶無(wú)效對(duì)一臺(tái)主機(jī)多個(gè)網(wǎng)卡的情況會(huì)產(chǎn)生誤報(bào)SNMPSNMP掃描檢測(cè)掃描檢測(cè)掃描主機(jī)或ADSL Modem的SNMP信息，提取主機(jī)數(shù)在特定情況

10、下檢測(cè)比較準(zhǔn)確，如用戶側(cè)啟用SNMP服務(wù)極易通過(guò)修改Modem配置來(lái)躲避需要掃描用戶主機(jī)，招致用戶察覺(jué)和不滿TTLTTL檢測(cè)檢測(cè)經(jīng)過(guò)一個(gè)NAT設(shè)備后，TTL會(huì)減一，如果某個(gè)用戶TTL與正常的不一致，則認(rèn)為是共享上網(wǎng)用戶具有一定的參考意義需要大規(guī)模部署在接入層由于操作系統(tǒng)處理不同，即使TTL不一致，也未必是共享上網(wǎng)用戶對(duì)Proxy無(wú)效HUAWEI TECHNOLOGIES CO., LTD.Page 12寬帶接入網(wǎng)無(wú)源分光 / 鏡像上行流量BAS城域網(wǎng)省干Internet控制用戶通過(guò)帳號(hào)發(fā)起上網(wǎng)請(qǐng)求SIG使用綜合特征檢測(cè)模型（采用ID 軌跡檢測(cè)、時(shí)鐘偏移分析、應(yīng)用特征檢測(cè)等）從網(wǎng)絡(luò)3層至7層進(jìn)行

11、綜合分析，不依賴于任何操作系統(tǒng)、主機(jī)類型、瀏覽器準(zhǔn)確識(shí)別共享用戶數(shù)目向共享接入用戶發(fā)送警告頁(yè)面或控制其網(wǎng)頁(yè)瀏覽、FTP及網(wǎng)絡(luò)游戲可按某個(gè)時(shí)間段或某幾天實(shí)施控制控制頻度持續(xù)間歇隨機(jī)網(wǎng)站http請(qǐng)求 http 重定向發(fā)送告警頁(yè)面Reset Http請(qǐng)求共享接入監(jiān)控工作流程業(yè)務(wù)監(jiān)控系統(tǒng)分流平臺(tái)SIG1000SIG1000WEB 服務(wù)器HUAWEI TECHNOLOGIES CO., LTD.Page 13詳盡的數(shù)據(jù)分析詳盡的數(shù)據(jù)分析共享主機(jī)分布HUAWEI TECHNOLOGIES CO., LTD.Page 14SIG SIG 功能模塊功能模塊SIGSIGVoIP監(jiān)控監(jiān)控P2P監(jiān)控監(jiān)控WEB推送推

12、送用戶行為分析用戶行為分析流量分析流量分析共享接入監(jiān)控共享接入監(jiān)控HUAWEI TECHNOLOGIES CO., LTD.Page 15P2PP2P監(jiān)控功能監(jiān)控功能支持特征字檢測(cè)、應(yīng)用行為特征檢測(cè)、端口檢測(cè)等多種檢測(cè)方式，可以進(jìn)行深度數(shù)據(jù)包的內(nèi)容探測(cè) 可以同時(shí)提供基于總量、分協(xié)議總量和逐個(gè)用戶的P2P流量管理，并提供分時(shí)段管理?？蓹z測(cè)主流應(yīng)用軟件可檢測(cè)主流應(yīng)用軟件文件下載文件下載 BT、迅雷、Emule/Edonkey、GNUTella、Kazaa、irectConnect 、Kugoo網(wǎng)絡(luò)電視網(wǎng)絡(luò)電視 PPLive、QQ Live、CCIPTV、PPStream、CoolStreaming

13、 沸點(diǎn)網(wǎng)絡(luò)電視語(yǔ)音通訊語(yǔ)音通訊 SkypeP2P業(yè)務(wù)監(jiān)控功能HUAWEI TECHNOLOGIES CO., LTD.Page 16BTBT工作原理分析工作原理分析安裝BitTorrent下載軟件；通過(guò)WEB等形式下載.torrent文件；運(yùn)行BitTorrent下載軟件；連接Tracker服務(wù)器，注冊(cè)并獲得下載用戶列表；連接其他的下載用戶，開始數(shù)據(jù)交互過(guò)程；clientclientclientWeb服務(wù)器Tracker 服務(wù)器1、下載種子文件.torrent2、請(qǐng)求peer-list返回Peer-list3、請(qǐng)求文件上傳、下載文件4、請(qǐng)求文件上傳、下載文件HUAWEI TECHNOLOGIE

14、S CO., LTD.Page 17P2PP2P應(yīng)用工作原理分析應(yīng)用工作原理分析SKYPESKYPESKYPESKYPE在其網(wǎng)絡(luò)環(huán)境中存在在其網(wǎng)絡(luò)環(huán)境中存在3 3類實(shí)體：類實(shí)體：普通節(jié)點(diǎn)普通節(jié)點(diǎn):與超級(jí)節(jié)點(diǎn)連接，并向注冊(cè)服務(wù)器注冊(cè)的機(jī)器超級(jí)節(jié)點(diǎn)超級(jí)節(jié)點(diǎn):任何具有公網(wǎng)IP地址、足夠的CPU，內(nèi)存和帶寬的機(jī)器均可能成為超級(jí)節(jié)點(diǎn)(動(dòng)態(tài)服務(wù)器)注冊(cè)服務(wù)器注冊(cè)服務(wù)器:保存所有SKYPE用戶的用戶名稱和密碼，用戶驗(yàn)證邏輯由注冊(cè)服務(wù)器完成。登錄過(guò)程：登錄流程可以選擇多種通道登錄過(guò)程：登錄流程可以選擇多種通道( (隱隱蔽性極強(qiáng)蔽性極強(qiáng)) )1）驗(yàn)證用戶名和密碼；2）尋找可通訊的超級(jí)節(jié)點(diǎn)；3）判斷所處的網(wǎng)絡(luò)位置

15、中是否存在NAT；4）向其他節(jié)點(diǎn)和好友通知它的presence狀態(tài)Inernet家庭NAT設(shè)備家庭網(wǎng)絡(luò)ISP網(wǎng)絡(luò)ISP NAT設(shè)備家庭NAT設(shè)備家庭NAT設(shè)備家庭網(wǎng)絡(luò)家庭網(wǎng)絡(luò)普通節(jié)點(diǎn)超級(jí)節(jié)點(diǎn)注冊(cè)服務(wù)器普通節(jié)點(diǎn)普通節(jié)點(diǎn)超級(jí)節(jié)點(diǎn)超級(jí)節(jié)點(diǎn)HUAWEI TECHNOLOGIES CO., LTD.Page 18P2PP2P檢測(cè)和控制原理檢測(cè)和控制原理檢測(cè)原理：數(shù)據(jù)包特征檢測(cè)為主端口檢測(cè)：端口檢測(cè)：通過(guò)端口確定數(shù)據(jù)流的應(yīng)用類型，Edonkey 4661-4662 BT 6881-6890特征檢測(cè)：特征檢測(cè)：根據(jù)數(shù)據(jù)報(bào)文的應(yīng)用層內(nèi)容特征進(jìn)行檢測(cè)啟發(fā)式行為分析為輔1.行為檢測(cè)：行為檢測(cè)：根據(jù)P2P應(yīng)用協(xié)議的交互過(guò)程行為特征進(jìn)行檢測(cè)控制原理：限流限連接數(shù)傳輸層控制：傳輸層控制：限流：減小TCP發(fā)送窗口值，控制流速限連接數(shù)：發(fā)送TCP RST報(bào)文進(jìn)行連接拆除應(yīng)用層控制：應(yīng)用層控制：限流：如BT協(xié)議的CHOCK消息限連接數(shù)：如BT協(xié)議的Cancel消息HUAWEI TECHNOLOGIES CO., LTD.Page 19用戶發(fā)起P2P業(yè)務(wù)數(shù)據(jù)傳輸SIG應(yīng)用DPI檢測(cè)技術(shù)，分別對(duì)上下行流量進(jìn)行檢測(cè)采用數(shù)據(jù)包偽裝技術(shù)，將偽裝的控制數(shù)據(jù)包發(fā)到正