SIG业务监控网关介绍2.ppt

Page1 VoIP检测原理 以专利的媒体流检测为基础 结合信令流检测为辅助 保证检测高准确率和高性能 避免单纯信令流检测而产生漏检的情况 媒体流检测原理 一个VoIP通话即生成一条语音媒体流 通过检测承载在UDP之上的媒体流RTP连接数判断是否为虚拟运营的VoIP网关正常用户进行流媒体通话或者视频点播 不会占用过多的RTP接数虚拟VOIP运营的网关则同时存在少则几十多则上百个媒体流连接数 信令流检测原理 一个VoIP通话需要信令协议来支撑呼叫的建立和拆卸 通过检测VOIP呼叫建立和拆卸所使用的信令协议能判断出是否有非法的VoIP通话 依托华为在NGN VOIP的积累 通过解析VOIP呼叫过程中使用的信令协议 H 323 SIP MGCP MEGACO 来获取每次呼叫的详细信息 包括 主叫号码 被叫号码 VOIP网关 VOIP网守 Page2 电话网关 发送控制包 SPS L3或R 接入网 无源分光 镜像 上行流量 SIG系统 BAS 城域网 省干 PSTN Internet 分流平台 SIG1000 控制 VoIP监控工作流程 用户发起VoIP语音电话请求SIG通过DPI 深度业务检测 方式监听到VoIP通话SIG根据后台业务分析服务器下的控制策略发数据包控制方式 噪音 回音 提示音 发送中止信令 强制拆卸呼叫 1 10级控制强度控制分时黑白名单用户VoIP语音通话质量降低 正常情况下的通话 加噪音控制的通话 Page3 检测全面 信息丰富 在线VoIP网关 在线VoIP呼叫 网关话单汇总 每日汇总统计 Page4 SIG功能模块 SIG VoIP监控 P2P监控 WEB推送 用户行为分析 流量分析 共享接入监控 Page5 功能描述监控一个帐号下多个用户利用NAT同时上网监控一个帐号下多个用户利用NAT分时上网监控一个帐号下多个用户利用Proxy同时上网监控一个帐号下多个用户利用Proxy分时上网黑白名单管理 共享接入监控功能 Page6 非法共享接入的方式 Proxy共享 城域网 ADSL终端 分时共享 帐号重拨 ADSL用户 以太网用户 城域网 ADSL终端 ADSL用户 以太网用户 帐号盗用 MAC IP盗用 NAT共享 城域网 ADSL用户 以太网用户 有NAT功能的ADSL终端 有NAT功能的路由设备 城域网 ADSL用户 以太网用户 Proxy设备 Proxy设备 ADSL终端 Page7 非法共享接入检测原理 针对地址盗用 帐号盗用 分时共用 私接用户等非法接入采用在BAS设备上进行 MAC IP VLAN PVC 帐号 的绑定Radius支持限制一个帐号同时上线1次针对采用NAT Proxy技术的非法接入 必须采用应用层检测技术时钟漂移检测 不需探测 IP包头Identification轨迹检测 不需探测 主机应用特征检测 不需探测 流量 连接数统计 不需探测 TTL检测 不需探测 MAC地址检测 需探测 SNMP扫描 需探测 探测扫描型检测很容易被规避 而且对网络有影响 Page8 检测技术之一 ID轨迹检测 Windows网络协议栈实现时 I 字段的值随着发送IP报文数的增加而增加Identification的初始值是随机值 一般说来 不同主机的初始值有较大差距 优点 1 较准确地判断出是否为共享上网用户2 较准确的判断出在线共享上网主机数3 完全被动监听 不发送探测信息 缺点 1 需要一定时间的观察 建议两天以上 2 对分时上网 Proxy检测不准确 Page9 检测技术之二 时钟偏移检测 不同主机物理时钟偏移不同 网络协议栈时钟与物理时钟存在对应关系不同主机发送报文频率与时钟存在统计对应关系通过特定的频谱分析算法 发现不同的网络时钟偏移来确定不同主机 优点 1 非常准确地判断出是否为共享上网用户2 能够较准确的判断出共享上网主机数 缺点 1 需要复杂的计算方法进行处理分析2 需要一段时间的观察 建议两天以上 Page10 检测技术之三 应用特征检测 HTTP包头HTTP报头中User Agent字段 cookie字段不同操作系统 不同IE版本 不同补丁的User Agent字段不同 MSN同一时间一般只能登录一个MSN帐号 WindowsUpdate信息windows会不定时发送Update信息 优点 1 能够实时判断出是否为共享上网用户2 完全被动监听 不发送探测信息3 对分时上网的共享用户同样有效 缺点 1 如果用户安装多操作系统 会产生误报2 如果多台主机克隆安装 会产生漏报 Page11 其他检测技术 Page12 宽带接入网 无源分光 镜像 上行流量 BAS 城域网 省干 Internet 控制 用户通过帐号发起上网请求SIG使用综合特征检测模型 采用ID轨迹检测 时钟偏移分析 应用特征检测等 从网络3层至7层进行综合分析 不依赖于任何操作系统 主机类型 浏览器准确识别共享用户数目向共享接入用户发送警告页面或控制其网页浏览 FTP及网络游戏可按某个时间段或某几天实施控制控制频度持续间歇随机 网站 http请求 http重定向发送告警页面 ResetHttp请求 共享接入监控工作流程 业务监控系统 分流平台 SIG1000 WEB服务器 Page13 详尽的数据分析 共享主机分布 Page14 SIG功能模块 SIG VoIP监控 P2P监控 WEB推送 用户行为分析 流量分析 共享接入监控 Page15 P2P监控功能支持特征字检测 应用行为特征检测 端口检测等多种检测方式 可以进行深度数据包的内容探测可以同时提供基于总量 分协议总量和逐个用户的P2P流量管理 并提供分时段管理 可检测主流应用软件文件下载BT 迅雷 Emule Edonkey GNUTella Kazaa irectConnect Kugoo网络电视PPLive QQLive CCIPTV PPStream CoolStreaming沸点网络电视语音通讯Skype P2P业务监控功能 Page16 BT工作原理分析 安装BitTorrent下载软件 通过WEB等形式下载 torrent文件 运行BitTorrent下载软件 连接Tracker服务器 注册并获得下载用户列表 连接其他的下载用户 开始数据交互过程 client client client Web服务器 Tracker服务器 1 下载种子文件 torrent 2 请求peer list 返回Peer list 3 请求文件 上传 下载文件 4 请求文件 上传 下载文件 Page17 P2P应用工作原理分析 SKYPE SKYPE在其网络环境中存在3类实体 普通节点 与超级节点连接 并向注册服务器注册的机器超级节点 任何具有公网IP地址 足够的CPU 内存和带宽的机器均可能成为超级节点 动态服务器 注册服务器 保存所有SKYPE用户的用户名称和密码 用户验证逻辑由注册服务器完成 登录过程 登录流程可以选择多种通道 隐蔽性极强 1 验证用户名和密码 2 寻找可通讯的超级节点 3 判断所处的网络位置中是否存在NAT 4 向其他节点和好友通知它的presence状态 Inernet 家庭NAT设备 家庭网络 ISP网络 ISPNAT设备 家庭NAT设备 家庭NAT设备 家庭网络 家庭网络 普通节点 超级节点 注册服务器 普通节点 普通节点 超级节点 超级节点 Page18 P2P检测和控制原理 检测原理 数据包特征检测为主端口检测 通过端口确定数据流的应用类型 Edonkey4661 4662BT6881 6890特征检测 根据数据报文的应用层内容特征进行检测启发式行为分析为辅行为检测 根据P2P应用协议的交互过程行为特征进行检测 控制原理 限流 限连接数传输层控制 限流 减小TCP发送窗口值 控制流速限连接数 发送TCPRST报文进行连接拆除应用层控制 限流 如BT协议的CHOCK消息限连接数 如BT协议的Cancel消息 Page19 用户发起P2P业务数据传输SIG应用DPI检测技术 分别对上下行流量进行检测采用数据包伪装技术 将伪装的控制数据包发到正在通信的TCP UDP连接中 达到降