SIG业务监控网关介绍2

1、HUAWEI TECHNOLOGIES CO., LTD.Page 1VoIPVoIP检测原理检测原理 以专利的以专利的。保证检测高准确率和高性能，避。保证检测高准确率和高性能，避免单纯信令流检测而产生漏检的情况免单纯信令流检测而产生漏检的情况媒体流检测媒体流检测原理：一个VoIP通话即生成一条语音媒体流，通过检测承载在UDP之上的媒体流RTP连接数判断是否为虚拟运营的VoIP网关正常用户进行流媒体通话或者视频点播，不会占用过多的RTP接数虚拟VOIP运营的网关则同时存在少则几十多则上百个媒体流连接数信令流检测信令流检测原理：一个VoIP通话需要信令协议来支撑呼叫的建立和拆卸，通过检测VOIP

2、呼叫建立和拆卸所使用的信令协议能判断出是否有非法的VoIP通话。依托华为在NGN/VOIP的积累，通过解析VOIP呼叫过程中使用的信令协议(H.323、SIP、MGCP、MEGACO)来获取每次呼叫的详细信息，包括：主叫号码、被叫号码、VOIP网关、VOIP网守HUAWEI TECHNOLOGIES CO., LTD.Page 2电话网关发送控制包SPSSPSL3L3或或R R接入网无源分光 / 镜像上行流量SIG系统BAS城域网省干Internet分流平台SIG1000SIG1000控制VoIP监控工作流程用户发起VoIP语音电话请求SIG通过DPI（深度业务检测）方式监听到VoIP通话SI

3、G根据后台业务分析服务器下的控制策略发数据包控制方式（噪音、回音、提示音、发送中止信令，强制拆卸呼叫）110级控制强度控制分时黑白名单用户VoIP语音通话质量降低正常情况下的通话加噪音控制的通话HUAWEI TECHNOLOGIES CO., LTD.Page 3检测全面，信息丰富检测全面，信息丰富在线VoIP网关在线VoIP呼叫网关话单汇总每日汇总统计HUAWEI TECHNOLOGIES CO., LTD.Page 4SIG SIG 功能模块功能模块SIGSIGVoIP监控监控P2P监控监控WEB推送推送用户行为分析用户行为分析流量分析流量分析共享接入监控共享接入监控HUAWEI TECH

4、NOLOGIES CO., LTD.Page 5功能描述功能描述监控一个帐号下多个用户利用NAT同时上网监控一个帐号下多个用户利用NAT分时上网监控一个帐号下多个用户利用Proxy同时上网监控一个帐号下多个用户利用Proxy分时上网黑白名单管理 共享接入监控功能HUAWEI TECHNOLOGIES CO., LTD.Page 6非法共享接入的方式非法共享接入的方式ProxyProxy共享共享城域网ADSL终端分时共享、帐号重拨分时共享、帐号重拨ADSL用户以太网用户城域网ADSL终端ADSL用户以太网用户帐号盗用、帐号盗用、MACMAC、IPIP盗用盗用NATNAT共享共享城域网ADSL用户

5、以太网用户有NAT功能的ADSL终端有NAT功能的路由设备城域网ADSL用户以太网用户Proxy设备Proxy设备ADSL终端HUAWEI TECHNOLOGIES CO., LTD.Page 7非法共享接入检测原理非法共享接入检测原理针对地址盗用、帐号盗用、分时共用、私接用户等非法接入针对地址盗用、帐号盗用、分时共用、私接用户等非法接入采用在BAS设备上进行“MAC+IP+VLAN/PVC+帐号”的绑定Radius支持限制一个帐号同时上线1次针对采用针对采用NATNAT、ProxyProxy技术的非法接入，技术的非法接入，必须采用应用层检测技术必须采用应用层检测技术时钟漂移检测（不需探测）I

6、P包头Identification轨迹检测（不需探测）主机应用特征检测（不需探测）流量/连接数统计（不需探测）TTL检测（不需探测）MAC地址检测（需探测）SNMP扫描（需探测）探测扫描型检测很容易被规避，而且对网络有影响探测扫描型检测很容易被规避，而且对网络有影响HUAWEI TECHNOLOGIES CO., LTD.Page 8检测技术之一：检测技术之一：IDID轨迹检测轨迹检测Windows网络协议栈实现时，I字段的值随着发送IP报文数的增加而增加Identification的初始值是随机值，一般说来，不同主机的初始值有较大差距较准确地判断出是否为共享上网用户2）较准确的判断出在线共享

7、上网主机数3）完全被动监听，不发送探测信息需要一定时间的观察（建议两天以上）2）对分时上网，Proxy检测不准确HUAWEI TECHNOLOGIES CO., LTD.Page 9检测技术之二：时钟偏移检测检测技术之二：时钟偏移检测不同主机物理时钟偏移不同，网络协议栈时钟与物理时钟存在对应关系不同主机发送报文频率与时钟存在统计对应关系通过特定的频谱分析算法，发现不同的网络时钟偏移来确定不同主机非常准确地判断出是否为共享上网用户2）能够较准确的判断出共享上网主机数需要复杂的计算方法进行处理分析2）需要一段时间的观察（建议两天以上）HUAWEI TECHNOLOGIES CO., LTD.Pag

8、e 10检测技术之三：应用特征检测检测技术之三：应用特征检测HTTPHTTP包头包头HTTP报头中User-Agent字段、cookie字段不同操作系统、不同IE版本、不同补丁的User-Agent字段不同MSN同一时间一般只能登录一个MSN帐号Windows Update Windows Update 信息信息windows会不定时发送Update信息能够实时判断出是否为共享上网用户2）完全被动监听，不发送探测信息3）对分时上网的共享用户同样有效如果用户安装多操作系统，会产生误报2）如果多台主机克隆安装，会产生漏报HUAWEI TECHNOLOGIES CO., LTD.Page 11其他检

9、测技术其他检测技术检测技术检测技术原理原理优点优点缺陷缺陷流量流量/ /连接数统计连接数统计统计某个IP打开的端口数或流量，超过一定阈值则认为是共享上网用户具有一定的参考意义对BT、网络病毒会误报，对少量共享主机的情况会漏报MACMAC地址检测地址检测在接入层交换机下检测MAC地址，同一个账号有多个MAC地址，则认为共享上网用户能够实时判断出是否为共享上网用户完全被动监听，不发送探测信息对分时上网的共享用户同样有效需要大规模部署在接入层对NAT/Proxy用户无效对一台主机多个网卡的情况会产生误报SNMPSNMP扫描检测扫描检测扫描主机或ADSL Modem的SNMP信息，提取主机数在特定情况

10、下检测比较准确，如用户侧启用SNMP服务极易通过修改Modem配置来躲避需要扫描用户主机，招致用户察觉和不满TTLTTL检测检测经过一个NAT设备后，TTL会减一，如果某个用户TTL与正常的不一致，则认为是共享上网用户具有一定的参考意义需要大规模部署在接入层由于操作系统处理不同，即使TTL不一致，也未必是共享上网用户对Proxy无效HUAWEI TECHNOLOGIES CO., LTD.Page 12宽带接入网无源分光 / 镜像上行流量BAS城域网省干Internet控制用户通过帐号发起上网请求SIG使用综合特征检测模型（采用ID 轨迹检测、时钟偏移分析、应用特征检测等）从网络3层至7层进行

11、综合分析，不依赖于任何操作系统、主机类型、浏览器准确识别共享用户数目向共享接入用户发送警告页面或控制其网页浏览、FTP及网络游戏可按某个时间段或某几天实施控制控制频度持续间歇随机网站http请求 http 重定向发送告警页面Reset Http请求共享接入监控工作流程业务监控系统分流平台SIG1000SIG1000WEB 服务器HUAWEI TECHNOLOGIES CO., LTD.Page 13详尽的数据分析详尽的数据分析共享主机分布HUAWEI TECHNOLOGIES CO., LTD.Page 14SIG SIG 功能模块功能模块SIGSIGVoIP监控监控P2P监控监控WEB推送推

12、送用户行为分析用户行为分析流量分析流量分析共享接入监控共享接入监控HUAWEI TECHNOLOGIES CO., LTD.Page 15P2PP2P监控功能监控功能支持特征字检测、应用行为特征检测、端口检测等多种检测方式，可以进行深度数据包的内容探测 可以同时提供基于总量、分协议总量和逐个用户的P2P流量管理，并提供分时段管理。可检测主流应用软件可检测主流应用软件文件下载文件下载 BT、迅雷、Emule/Edonkey、GNUTella、Kazaa、irectConnect 、Kugoo网络电视网络电视 PPLive、QQ Live、CCIPTV、PPStream、CoolStreaming

13、 沸点网络电视语音通讯语音通讯 SkypeP2P业务监控功能HUAWEI TECHNOLOGIES CO., LTD.Page 16BTBT工作原理分析工作原理分析安装BitTorrent下载软件；通过WEB等形式下载.torrent文件；运行BitTorrent下载软件；连接Tracker服务器，注册并获得下载用户列表；连接其他的下载用户，开始数据交互过程；clientclientclientWeb服务器Tracker 服务器1、下载种子文件.torrent2、请求peer-list返回Peer-list3、请求文件上传、下载文件4、请求文件上传、下载文件HUAWEI TECHNOLOGIE

14、S CO., LTD.Page 17P2PP2P应用工作原理分析应用工作原理分析SKYPESKYPESKYPESKYPE在其网络环境中存在在其网络环境中存在3 3类实体：类实体：普通节点普通节点:与超级节点连接，并向注册服务器注册的机器超级节点超级节点:任何具有公网IP地址、足够的CPU，内存和带宽的机器均可能成为超级节点(动态服务器)注册服务器注册服务器:保存所有SKYPE用户的用户名称和密码，用户验证逻辑由注册服务器完成。登录过程：登录流程可以选择多种通道登录过程：登录流程可以选择多种通道( (隐隐蔽性极强蔽性极强) )1）验证用户名和密码；2）寻找可通讯的超级节点；3）判断所处的网络位置

15、中是否存在NAT；4）向其他节点和好友通知它的presence状态Inernet家庭NAT设备家庭网络ISP网络ISP NAT设备家庭NAT设备家庭NAT设备家庭网络家庭网络普通节点超级节点注册服务器普通节点普通节点超级节点超级节点HUAWEI TECHNOLOGIES CO., LTD.Page 18P2PP2P检测和控制原理检测和控制原理检测原理：数据包特征检测为主端口检测：端口检测：通过端口确定数据流的应用类型，Edonkey 4661-4662 BT 6881-6890特征检测：特征检测：根据数据报文的应用层内容特征进行检测启发式行为分析为辅1.行为检测：行为检测：根据P2P应用协议的交互过程行为特征进行检测控制原理：限流限连接数传输层控制：传输层控制：限流：减小TCP发送窗口值，控制流速限连接数：发送TCP RST报文进行连接拆除应用层控制：应用层控制：限流：如BT协议的CHOCK消息限连接数：如BT协议的Cancel消息HUAWEI TECHNOLOGIES CO., LTD.Page 19用户发起P2P业务数据传输SIG应用DPI检测技术，分别对上下行流量进行检测采用数据包伪装技术，将伪装的控制数据包发到正