SIG业务监控网关产品主打胶片V2-20070302-A.ppt

《SIG业务监控网关产品主打胶片V2-20070302-A.ppt》由会员分享，可在线阅读，更多相关《SIG业务监控网关产品主打胶片V2-20070302-A.ppt（68页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2/16/2023HUAWEI TECHNOLOGIES CO.,LTD内部公开SIG 业务监控网关汇报提纲汇报提纲l城域网业务安全分析lSIG 业务监控网关l商用案例HUAWEI TECHNOLOGIES CO.,LTD.城域网安全面临严峻考验城域网安全面临严峻考验DDOS配置错误设备漏洞 黑网吧 黑话吧 P2P长途话费收入怎么减少了？带宽好像不够了网络安全业务安全用户安全垃圾邮件黑客入侵蠕虫病毒业务中断业务中断业务流失业务流失用户投诉用户投诉VIP带宽保障DDOS 攻击宽带上网用户几乎没有增加？Page HUAWEI TECHNOLOGIES CO.,LTD.城域网流量城域网流量城域网业务

2、安全威胁城域网业务安全威胁非法VoIP流量宽带私接 P2P流量城域网IP骨干网GSR话音毒药话音毒药VoIPVoIP失控失控 冲击电信语音运营模式，长话、国际话务与收入均大幅下降用户漏斗用户漏斗宽带私接宽带私接 潜在用户流失，收入减少带宽杀手带宽杀手P2PP2P滥用滥用无序的P2P占用50%以上网络带宽，造成网络性能质量劣化和拥塞，带宽大量消耗而收益为零Page HUAWEI TECHNOLOGIES CO.,LTD.非法非法VoIPVoIP业务造成的损失业务造成的损失据信息产业部统计，2003年到2005年，固网运营商长话业务的流失额以每年40的速度增长，预计2006年长话流失额将超过100

3、0亿圆。根据某运营商的某个地方分公司在最近的一次检测行动中得到的数据，在持续7天的检测时间内，仅在该市的一个网络节点上采集的非法VoIP呼叫次数就接近21万个，话务量达到120万分钟M，按此推算该分公司全市所损失的VoIP收入可达6000万人民币。长途业务减收降低ARPU值用户流失Page HUAWEI TECHNOLOGIES CO.,LTD.非法共享上网非法共享上网造成的损失造成的损失某电信城域网共有24万宽带用户，检测到私接用户10161，约占总用户数的4.2%，现网主机数为300823台，其中共享上网主机49894台，占总主机数的16.6%。按照2/3是个人用户，1/3是企业或网吧用户

4、来推断：企业用户个人用户资费￥400/月￥70/月非法接入数3387个6774个保值收入￥135.5万/月￥47.5万/月每年损失收入达￥每年损失收入达￥22002200万万Page HUAWEI TECHNOLOGIES CO.,LTD.P2PP2P流量消耗带宽造成的损失流量消耗带宽造成的损失以BT业务为代表的P2P下载给运营商带来的后果是“增量不增收”，扩容的收益者是大量的SP服务商，而不是投资者本身。以Skype 为代表的P2P语音应用给运营商带来长途话费收入大量流失的严重后果。互联网上越来越多新应用基于P2P模式开展，运营商作为“管道供应商”业务收入被屏蔽，如QQLIVE，PPLive

5、等“视频直播”运营。P2P流量占用带宽越来越大！Page HUAWEI TECHNOLOGIES CO.,LTD.IP城域网Customer用户用户FamilyBusinessSP/CPSP/CP现金流信息流IP 网网络运运营商成商成为管道提供商？管道提供商？SP/CP运营商运营商运营商Page HUAWEI TECHNOLOGIES CO.,LTD.采用策略：精细化的业务运营部署位置：全网分层部署阶段目的：提供详尽的流量分析数据，为网络流量管理和业务运营提供管理手段；提供详尽的用户行为数据，基于行为数据，提供定制化的服务，改进运营手段，提高业务收入采用策略：初步业务运营部署位置：全网分层部署

6、阶段目的：提供较为详尽的各种业务流量和较粗粒度的用户行为分析数据，为基于业务以及流量的运营以及运营管理提供支撑数据和初步的管理手段，此外可运营和ICP/ISP的合作采用策略：非法业务的检测和抑制部署位置：省干/城域网出口阶段目的：发现并抑制当前比较严重业务滥用，积极引导转化用户行为，增加业务收入基于业务的基于业务的精细化运营是大势所趋精细化运营是大势所趋诸多问题，如何应对？诸多问题，如何应对？1业务监控阶段非法VOIP监控宽带私接监控P2P粗粒度监控粗粒度流量分析23业务运营初步阶段业务运营高级阶段粗粒度用户业务提供粗粒度用户行为分析P2P细粒度监控细粒度流量分析ICP业务推送管理细粒度用户行

7、为分析异常流量分析和管理细粒度流量分析和管理Page 汇报提纲汇报提纲l城域网业务安全分析lSIG业务监控网关功能说明原理介绍典型组网产品特点l商用案例HUAWEI TECHNOLOGIES CO.,LTD.主机免疫系统（软件）华为安全产品系列系统层系统层应用层应用层管理层管理层网络层网络层基础层基础层Eudemon系列防火墙NIP系列入侵检测系统SIG 业务监控网关网络流量监测系统（软件）入侵防御系统NIPNIPSIGSIGSIMS日志审计系统（软件）SIMS SIMS eLogeLog终端安全管理系统（软件）NumenNumenSISSISNSC&NDANSC&NDATPTPEudemon

8、EudemonSSX31系列网络安全芯片Page HUAWEI TECHNOLOGIES CO.,LTD.SIG SIG 业务监控网关业务监控网关SIG（Service Inspection Gateway）业务监控网关是华为公司推出的针对城域网提供保值和增值业务的高性能核心产品，基于强大的硬件处理平台和获多项专利的DPI检测技术，提供VoIPVoIP业业务监控、务监控、P2PP2P业务监控、业务监控、共享接入共享接入监控监控、流量分析、用户行为分析、流量分析、用户行为分析、WEBWEB推送推送等功能。Page HUAWEI TECHNOLOGIES CO.,LTD.SSPSSP城域网Inte

9、rnetGSR分光交换机控制链路交换机SASSAS数据库服务器数据库服务器WEB WEB 服务器服务器SRSSRSSSP：业务分流平台SIG：业务监控网关SRS：业务路由服务器SAS：业务分析服务器 业务监控系统方案业务监控系统方案Radius服务器镜像或分光NE5000E/80E/40E NE5000E/80E/40E SIGSIGSIG1000SIG1000Page HUAWEI TECHNOLOGIES CO.,LTD.业务监控网关规格业务监控网关规格参数指标参数指标2个10/100/1000M以太网检测光/电接口1个10/100M以太网干挠电接口1个10/100M以太网业务管理电接口一

10、个配置串口功能特性功能特性支持3种业务的情况下提供线速监控两条千兆线路最大并发处理VoIP网关数16384个、VoIP会话数65536个最大并发处理P2P用户数65536个最大处理共享接入用户数65536个高效的电信级高可靠性的业务检测设备，支持双路供电及电源的冗余备份高效的电信级高可靠性的业务检测设备，支持双路供电及电源的冗余备份尺寸（尺寸（宽宽深深高）高）重量重量(满满配置配置)整机功耗整机功耗电电源源1U 高度(436 mm x420 mm x 44 mm)5.2kg86W输入电压：交流100V240V直流：-48VSIG1000Page HUAWEI TECHNOLOGIES CO.,

11、LTD.NE5000E/80ENE5000E/80E业务安全分流平台业务安全分流平台NE5000E/80ENE5000E/80E业务安全分流平台业务安全分流平台SSPSSP（Service Security PlatformService Security Platform）用于POS和10GE接口到GE口的协议及流量分配转换支持城域网出口流量是10GPOS、2.5GPOS或10GE的专用平台NE80E最大支持对8*10GPOS或8*10GE流量进行线速转化；NE5000E最大支持对16*10GPOS或16*10GE流量进行线速转化NE5000E/80ENE5000E/80ENE5000E/8

12、0E安全平台是一个流量引入、分流、负载分担的分流系统，通过引入分光或镜像过来的流量，根据事先配置的ACL进行匹配分流，同时按照规则将流量进行负载分担后送出供后级设备对流量进行检测分析和监视。NE40E安全分流平台2007年Q1推出。基于先进的硬件技术，实现所有字节线速转发 IPv4线速转发 IPv6线速转发 IPv4/IPv6线速转发 MPLS线速转Page HUAWEI TECHNOLOGIES CO.,LTD.业务监控系统服务器业务监控系统服务器业务路由服务器业务路由服务器接收并识别由SPS上报不同的业务数据，并转发到VoIP、NetS和P2P处理模块进行处理业务分析服务器业务分析服务器实

13、现前端业务数据的汇总和存储、计费信息统计、数据搜索和过滤、收集告警和日志信息等数据库服务器数据库服务器主要为SIG系统提供数据存储和查询的功能，包括系统日志、操作记录、告警信息、VoIP、P2P、非法共享接入流量统计、用户信息数据库服务器采用华为机架式PC服务器。检测与数据分离，保证安全性和可扩展性，存储量仅受硬盘空间限制WebWeb服务器服务器实时查询流量、实时查询VoIP、NETS、P2P用户、配置和管理SPS、管理和下发控制策略、报表管理系统管理Page HUAWEI TECHNOLOGIES CO.,LTD.SIG SIG 功能模块功能模块SIGVoIP监控监控P2P监控监控WEB推送

14、推送用户行为分析用户行为分析流量分析流量分析共享接入监控共享接入监控Page HUAWEI TECHNOLOGIES CO.,LTD.VoIP监控功能VoIPVoIP监控功能监控功能以专利的媒体流检测为基础，结合信令流检测为辅助依靠华为深厚的NGN/VoIP技术积累，提供H.323、SIP、MGCP和MEGACO等标准信令协议的检测 提供对目前网络主要VoIP使用的非标协议检测专职的研发团队时时跟踪互联网中新的VoIP协议，支持应用知识库在线升级网络设备SIG实现对新协议的监控可检测主流应用软件可检测主流应用软件 Skype、voxbar、Grid-Talk 贝贝通、Net2Phone、Web

15、2Phone、Teltel、e商通、爱可聆、IPN网上呼 UPhone、263 ET、中桥KONDGE-Card eTalk、8751、UUCall、尚阳VoIP网关 Page HUAWEI TECHNOLOGIES CO.,LTD.VoIPVoIP非法运营方式非法运营方式市话费用长途话费本地交换长途交换本地交换Phone to PhonePhone to Phone网关网关市话费用偷逃的长途话费偷逃的长途话费BASPC to PhonePC to Phone网关偷逃的长途话费偷逃的长途话费偷逃的市话费偷逃的市话费Page HUAWEI TECHNOLOGIES CO.,LTD.VOIPVOI

16、P检测技术检测技术VoIPVoIP协议族分析协议族分析IPIP流中流中TCPTCP与与UDPUDP比例大概为比例大概为9:19:1基于基于UDPUDP媒体流的检测性能高；媒体流的检测性能高；TCPTCPIPIPUDPUDPTCPTCPUDP信令流信令流媒体流媒体流VoIP流流VoIPVoIP流中，信令仅仅占到流中，信令仅仅占到2 2左右左右基于信令流检测的准确率低基于信令流检测的准确率低Page HUAWEI TECHNOLOGIES CO.,LTD.VoIPVoIP检测原理检测原理 以专利的以专利的媒体流检测为基础，结合信令流检测媒体流检测为基础，结合信令流检测媒体流检测为基础，结合信令流检

17、测媒体流检测为基础，结合信令流检测为辅助为辅助为辅助为辅助。保证检测高准确率和高性能，避。保证检测高准确率和高性能，避免单纯信令流检测而产生漏检的情况免单纯信令流检测而产生漏检的情况媒体流检测媒体流检测原理：一个VoIP通话即生成一条语音媒体流，通过检测承载在UDP之上的媒体流RTP连接数判断是否为虚拟运营的VoIP网关正常用户进行流媒体通话或者视频点播，不会占用过多的RTP接数虚拟VOIP运营的网关则同时存在少则几十多则上百个媒体流连接数信令流检测信令流检测原理：一个VoIP通话需要信令协议来支撑呼叫的建立和拆卸，通过检测VOIP呼叫建立和拆卸所使用的信令协议能判断出是否有非法的VoIP通话

18、。依托华为在NGN/VOIP的积累，通过解析VOIP呼叫过程中使用的信令协议(H.323、SIP、MGCP、MEGACO)来获取每次呼叫的详细信息，包括：主叫号码、被叫号码、VOIP网关、VOIP网守Page HUAWEI TECHNOLOGIES CO.,LTD.电话网关发送控制包SPSSPSL3L3或或R R接入网无源分光/镜像上行流量SIG系统BAS城域网省干PSTNInternet分流平台SIG1000SIG1000控制VoIP监控工作流程1.用户发起VoIP语音电话请求2.SIG通过DPI（深度业务检测）方式监听到VoIP通话3.SIG根据后台业务分析服务器下的控制策略发数据包控制方

19、式（噪音、回音、提示音、发送中止信令，强制拆卸呼叫）110级控制强度控制分时黑白名单4.用户VoIP语音通话质量降低正常情况下的通话加噪音控制的通话Page HUAWEI TECHNOLOGIES CO.,LTD.检测全面，信息丰富检测全面，信息丰富在线VoIP网关在线VoIP呼叫网关话单汇总每日汇总统计Page HUAWEI TECHNOLOGIES CO.,LTD.SIG SIG 功能模块功能模块SIGVoIP监控监控P2P监控监控WEB推送推送用户行为分析用户行为分析流量分析流量分析共享接入监控共享接入监控Page HUAWEI TECHNOLOGIES CO.,LTD.功能描述功能描述

20、监控一个帐号下多个用户利用NAT同时上网监控一个帐号下多个用户利用NAT分时上网监控一个帐号下多个用户利用Proxy同时上网监控一个帐号下多个用户利用Proxy分时上网黑白名单管理 共享接入监控功能Page HUAWEI TECHNOLOGIES CO.,LTD.非法共享接入的方式非法共享接入的方式ProxyProxy共享共享城域网ADSL终端分时共享、帐号重拨分时共享、帐号重拨ADSL用户以太网用户城域网ADSL终端ADSL用户以太网用户帐号盗用、帐号盗用、MACMAC、IPIP盗用盗用NATNAT共享共享城域网ADSL用户以太网用户有NAT功能的ADSL终端有NAT功能的路由设备城域网AD

21、SL用户以太网用户Proxy设备Proxy设备ADSL终端Page HUAWEI TECHNOLOGIES CO.,LTD.非法共享接入检测原理非法共享接入检测原理针对地址盗用、帐号盗用、分时共用、私接用户等非法接入针对地址盗用、帐号盗用、分时共用、私接用户等非法接入采用在BAS设备上进行“MAC+IP+VLAN/PVC+帐号”的绑定Radius支持限制一个帐号同时上线1次针对采用针对采用NATNAT、ProxyProxy技术的非法接入，技术的非法接入，必须采用应用层检测技术必须采用应用层检测技术时钟漂移检测（不需探测）IP包头Identification轨迹检测（不需探测）主机应用特征检测（

22、不需探测）流量/连接数统计（不需探测）TTL检测（不需探测）MAC地址检测（需探测）SNMP扫描（需探测）探测扫描型检测很容易被规避，而且对网络有影响探测扫描型检测很容易被规避，而且对网络有影响Page HUAWEI TECHNOLOGIES CO.,LTD.检测技术之一：检测技术之一：IDID轨迹检测轨迹检测Windows网络协议栈实现时，I字段的值随着发送IP报文数的增加而增加Identification的初始值是随机值，一般说来，不同主机的初始值有较大差距优点：优点：优点：优点：1 1）较准确地判断出是否为共享上网用户2）较准确的判断出在线共享上网主机数3）完全被动监听，不发送探测信息缺

23、点：缺点：缺点：缺点：1 1）需要一定时间的观察（建议两天以上）2）对分时上网，Proxy检测不准确Page HUAWEI TECHNOLOGIES CO.,LTD.检测技术之二：时钟偏移检测检测技术之二：时钟偏移检测不同主机物理时钟偏移不同，网络协议栈时钟与物理时钟存在对应关系不同主机发送报文频率与时钟存在统计对应关系通过特定的频谱分析算法，发现不同的网络时钟偏移来确定不同主机优点：优点：优点：优点：1 1）非常准确地判断出是否为共享上网用户2）能够较准确的判断出共享上网主机数缺点：缺点：缺点：缺点：1 1）需要复杂的计算方法进行处理分析2）需要一段时间的观察（建议两天以上）Page HUA

24、WEI TECHNOLOGIES CO.,LTD.检测技术之三：应用特征检测检测技术之三：应用特征检测HTTPHTTP包头包头HTTP报头中User-Agent字段、cookie字段不同操作系统、不同IE版本、不同补丁的User-Agent字段不同MSN同一时间一般只能登录一个MSN帐号Windows Update Windows Update 信息信息windows会不定时发送Update信息优点：优点：优点：优点：1 1）能够实时判断出是否为共享上网用户2）完全被动监听，不发送探测信息3）对分时上网的共享用户同样有效缺点：缺点：缺点：缺点：1 1）如果用户安装多操作系统，会产生误报2）如果

25、多台主机克隆安装，会产生漏报Page HUAWEI TECHNOLOGIES CO.,LTD.其他检测技术其他检测技术检测技术检测技术原理原理优点优点缺陷缺陷流量流量/连接数统计连接数统计统计某个IP打开的端口数或流量，超过一定阈值则认为是共享上网用户具有一定的参考意义对BT、网络病毒会误报，对少量共享主机的情况会漏报MAC地址检测地址检测在接入层交换机下检测MAC地址，同一个账号有多个MAC地址，则认为共享上网用户能够实时判断出是否为共享上网用户完全被动监听，不发送探测信息对分时上网的共享用户同样有效需要大规模部署在接入层对NAT/Proxy用户无效对一台主机多个网卡的情况会产生误报SNMP

26、扫描检测扫描检测扫描主机或ADSL Modem的SNMP信息，提取主机数在特定情况下检测比较准确，如用户侧启用SNMP服务极易通过修改Modem配置来躲避需要扫描用户主机，招致用户察觉和不满TTL检测检测经过一个NAT设备后，TTL会减一，如果某个用户TTL与正常的不一致，则认为是共享上网用户具有一定的参考意义需要大规模部署在接入层由于操作系统处理不同，即使TTL不一致，也未必是共享上网用户对Proxy无效Page HUAWEI TECHNOLOGIES CO.,LTD.宽带接入网无源分光/镜像上行流量BAS城域网省干Internet控制1.用户通过帐号发起上网请求2.SIG使用综合特征检测模

27、型（采用ID 轨迹检测、时钟偏移分析、应用特征检测等）从网络3层至7层进行综合分析，不依赖于任何操作系统、主机类型、浏览器准确识别共享用户数目3.向共享接入用户发送警告页面或控制其网页浏览、FTP及网络游戏可按某个时间段或某几天实施控制控制频度持续间歇随机网站http请求 http 重定向发送告警页面Reset Http请求共享接入监控工作流程业务监控系统分流平台SIG1000SIG1000WEB 服务器Page HUAWEI TECHNOLOGIES CO.,LTD.详尽的数据分析详尽的数据分析共享主机分布Page HUAWEI TECHNOLOGIES CO.,LTD.SIG SIG 功能

28、模块功能模块SIGVoIP监控监控P2P监控监控WEB推送推送用户行为分析用户行为分析流量分析流量分析共享接入监控共享接入监控Page HUAWEI TECHNOLOGIES CO.,LTD.P2PP2P监控功能监控功能支持特征字检测、应用行为特征检测、端口检测等多种检测方式，可以进行深度数据包的内容探测 可以同时提供基于总量、分协议总量和逐个用户的P2P流量管理，并提供分时段管理。可检测主流应用软件可检测主流应用软件文件下载文件下载BT、迅雷、Emule/Edonkey、GNUTella、Kazaa、irectConnect、Kugoo网络电视网络电视PPLive、QQ Live、CCIPT

29、V、PPStream、CoolStreaming沸点网络电视语音通讯语音通讯SkypeP2P业务监控功能Page HUAWEI TECHNOLOGIES CO.,LTD.BTBT工作原理分析工作原理分析1.安装BitTorrent下载软件；2.通过WEB等形式下载.torrent文件；3.运行BitTorrent下载软件；4.连接Tracker服务器，注册并获得下载用户列表；5.连接其他的下载用户，开始数据交互过程；clientclientclientWeb服务器Tracker 服务器1、下载种子文件.torrent2、请求peer-list返回Peer-list3、请求文件上传、下载文件4、

30、请求文件上传、下载文件Page HUAWEI TECHNOLOGIES CO.,LTD.P2P应用工作原理分析应用工作原理分析SKYPESKYPESKYPE在其网络环境中存在在其网络环境中存在3 3类实体：类实体：普普通通节节点点:与超级节点连接，并向注册服务器注册的机器超超级级节节点点:任何具有公网IP地址、足够的CPU，内存和带宽的机器均可能成为超级节点(动态服务器)注注册册服服务务器器:保存所有SKYPE用户的用户名称和密码，用户验证逻辑由注册服务器完成。登登录录过过程程：登登录录流流程程可可以以选选择择多多种种通通道道(隐隐蔽性极强蔽性极强)1）验证用户名和密码；2）寻找可通讯的超级节

31、点；3）判断所处的网络位置中是否存在NAT；4）向其他节点和好友通知它的presence状态Inernet家庭NAT设备家庭网络ISP网络ISP NAT设备家庭NAT设备家庭NAT设备家庭网络家庭网络普通节点超级节点注册服务器普通节点普通节点超级节点超级节点Page HUAWEI TECHNOLOGIES CO.,LTD.P2PP2P检测和控制原理检测和控制原理检测原理：1.数据包特征检测为主端口检测：端口检测：通过端口确定数据流的应用类型，Edonkey 4661-4662 BT 6881-6890特征检测：特征检测：根据数据报文的应用层内容特征进行检测2.启发式行为分析为辅行为检测：行为检

32、测：根据P2P应用协议的交互过程行为特征进行检测控制原理：限流限连接数传输层控制：传输层控制：限流：减小TCP发送窗口值，控制流速限连接数：发送TCP RST报文进行连接拆除应用层控制：应用层控制：限流：如BT协议的CHOCK消息限连接数：如BT协议的Cancel消息Page HUAWEI TECHNOLOGIES CO.,LTD.1.用户发起P2P业务数据传输2.SIG应用DPI检测技术，分别对上下行流量进行检测3.采用数据包伪装技术，将伪装的控制数据包发到正在通信的TCP/UDP连接中，达到降低数据传输速率或切断连接的目的监控前后对比宽带接入网无源分光/镜像双向流量业务监控系统BAS城域网

33、省干Internet控制P2P业务监控工作流程发送控制包SIG1000SIG1000L3L3或或R R分流平台SIG1000SIG1000Page HUAWEI TECHNOLOGIES CO.,LTD.实时P2P分协议流量BTQQLIVEEDONKEY详细的详细的P2P检测数据检测数据 P2P流量TOPN用户单用户P2P流量日趋势P2P流量流向分析Page HUAWEI TECHNOLOGIES CO.,LTD.SIG SIG 功能模块功能模块SIGVoIP监控监控P2P监控监控WEB推送推送用户行为分析用户行为分析流量分析流量分析共享接入监控共享接入监控Page HUAWEI TECHNO

34、LOGIES CO.,LTD.流量分析功能流量分析功能全网流量分析全网流量分析提供网络流量类型，字节数、当前带宽、峰值、新增连接数、最大并发连接数、当前并发连接数等现网参数，定时刷新并将其记录到数据库中。实时监视当前网络流量，了解各种网络应用的现状及发展，能够查询30天内历史流量变化，监控特定用户的流量行为等等。全网流向分析全网流向分析支持宏观上的全网业务流量分析支持IP地址段导入，精确定位于指定区域内指定协议的分时流量信息提供市内、市外、省内、省外的流量分析统计支持分析的协议类型支持分析的协议类型FTP、P2P、DNS、RPC、Http、ICMP、Ridus、Telnet、Netbios；M

35、ail：SMTP、POP、POP2、POP3、IMAP；游戏：CS、联众、传奇；流媒体：RTP、RDT、MMS、RTSP；即时通讯软件：QQ、MSN、ICQ、OICQ、AIM；Page HUAWEI TECHNOLOGIES CO.,LTD.分协议带宽实时统计应用带宽统计总带宽占用趋势流向分析带宽、流量、流向分析带宽、流量、流向分析Page HUAWEI TECHNOLOGIES CO.,LTD.SIG SIG 功能模块功能模块SIGVoIP监控监控P2P监控监控WEB推送推送用户行为分析用户行为分析流量分析流量分析共享接入监控共享接入监控Page HUAWEI TECHNOLOGIES CO

36、.,LTD.用户行为分析用户行为分析用户行为分析应用用户行为分析应用实时了解网络流量组成，调整运营策略及时发现新业务，发掘业务增长点了解用户个体和群体的行为和兴趣为个性化运营提供依据功能描述功能描述统计全用户分协议流量：每个用户根据不同的协议类型分类统计流量统计各流量下排名TOPN的用户：可查询各流量下排名TOPN的用户信息统计用户兴趣：根据用户对按兴趣分类的网站的访问率划分用户兴趣类型统计各种兴趣下用户数：查看当前网络热点；TOPN网站统计：小时报表、日报、周报、月报；特定网站访问统计及趋势图：小时报表、日报、周报、月报；兴趣管理特定网站管理区域策略配置Page HUAWEI TECHNOL

37、OGIES CO.,LTD.支持基于单设备或者单用户跟踪统计，也可以统计支持基于单设备或者单用户跟踪统计，也可以统计TOP NTOP N访问网站等访问网站等用户行为分析截图用户行为分析截图Page HUAWEI TECHNOLOGIES CO.,LTD.SIG SIG 功能模块功能模块SIGVoIP监控监控P2P监控监控WEB推送推送用户行为分析用户行为分析流量分析流量分析共享接入监控共享接入监控Page HUAWEI TECHNOLOGIES CO.,LTD.Web推送功能推送功能 WebWeb推送系统应用推送系统应用通知（业务变更、系统切换、缴费通知等）广告（新业务、商业广告）业务及服务调

38、查功能描述功能描述在用户正常WWW浏览时，替换、插入、弹出指定页面，实现业务推广和通知等功能可以设置指定时间、频率、次数，对特定的用户或用户组推送不同的广告广告/通知页面由管理员自定义；完善的广告管理机制高准确率不受防弹出限制到达率统计用户组导入基于用户行为分析结果的关联推送Page HUAWEI TECHNOLOGIES CO.,LTD.Web推送工作流程推送工作流程1.用户发起的WEB访问请求2.SIG监听到WEB请求，推送指定的通告给用户3.通告显示5秒（可指定）后，自动关闭4.用户IE自动接收到的正常访问页面5.也可以推出指定弹出窗口的页面Page HUAWEI TECHNOLOGIE

39、S CO.,LTD.Web推送系统机制推送系统机制SIG监控Web连接，直到用户GET请求SIG伪造服务器进行应答，将用户的请求重定向到广告Server，并携带必要的状态信息SIG发TCP RST向服务器终止该Web连接用户的请求被重定向到广告服务器，从而推送广告和通知广告完毕后，服务器将用户请求重新定向到原来访问的Web服务器用户继续访问原来的服务器Page 汇报提纲汇报提纲l城域网业务安全分析lSIG业务监控网关功能说明原理介绍典型组网产品特点l商用案例HUAWEI TECHNOLOGIES CO.,LTD.业务监控系统部署业务监控系统部署-出口集中式部署方式出口集中式部署方式优点：投资较

40、少，部署集中，管理维护方便。优点：投资较少，部署集中，管理维护方便。缺点：无法监控城域网内部的流量。缺点：无法监控城域网内部的流量。无源分光器无源分光器100%100%70%70%30%30%衰衰耗：耗：10*log 0.3=-5.2 dB10*log 0.3=-5.2 dB衰衰耗：耗：10*log 0.7=-1.5 dB10*log 0.7=-1.5 dB城域网Internet城域网出口分光链路分光链路SIGSIGRadius服务器镜像或分光SSPSSPSPSSPSSRS/SAS/DBSRS/SAS/DB控制链路控制链路Page HUAWEI TECHNOLOGIES CO.,LTD.业务监

41、控系统部署业务监控系统部署-汇聚层分布式部署汇聚层分布式部署优点：用户绝大部分流量和行为都可以得到监控。优点：用户绝大部分流量和行为都可以得到监控。缺点：需在城域网内各个节点部署，投资巨大。缺点：需在城域网内各个节点部署，投资巨大。端口镜像端口镜像通信口通信口AA网络数据流网络数据流镜像口：复制通信口A的所有上行或下行数据分光或镜像分光或镜像SIGSPSSRS/SAS/DB控制链路控制链路汇聚层城域网出口InternetPage HUAWEI TECHNOLOGIES CO.,LTD.业务监控系统部署业务监控系统部署-防火墙联动式部署防火墙联动式部署分光分光SIGSPSSRS/SAS/DB联动

42、通道联动通道防火墙城域网出口Internet联动通道联动通道优点：既可以准确定位所有应用类型流量，分析用户行为与兴趣，优点：既可以准确定位所有应用类型流量，分析用户行为与兴趣，又能够精确控制网络流量带宽。又能够精确控制网络流量带宽。缺点：只适用于部分规模小的缺点：只适用于部分规模小的GEGE链路。链路。Page HUAWEI TECHNOLOGIES CO.,LTD.认证、计费数据在BAS和Radius之间交换，上行数据中包含：业务监控系统部署业务监控系统部署-IP地址与帐号对应地址与帐号对应Radius服务器SIG1000SIG1000城域网城域网InternetInternet将送往Rad

43、ius的数据，镜像到预处理服务器Radius数据处理后，再分发给SAS服务器宽带接入网用户帐号对应的IP地址Page 汇报提纲汇报提纲l城域网业务安全分析lSIG业务监控网关功能说明原理介绍典型组网产品特点l商用案例HUAWEI TECHNOLOGIES CO.,LTD.华为华为SIG特色特色软件功能丰富软件功能丰富支持对国内特有P2P、VoIP协议监控、控制；支持最全的VOIP（目前超过30种）和P2P（目前超过20种）协议的业务包分析；灵活的VoIP控制策略（自动实施10级噪音、回音或提示音控制。具备16路语音取证功能）和可运营的P2P策略（分时段、分区域、细粒度），为电信运营自身业务提供

44、有力的工具。用户行为分析可以统计用户群、单用户以及ICP业务流量分布，分析其兴趣和上网习惯，为决策支持提供详细的数据支撑拥有长期跟踪新协议及协议变种的团队，已跟踪超过500种的协议种类，可随时根据市场应用规模更新知识库,建立了中国首个“网络及应用攻防实验室”，具备对非法业务快速检测及响应的能力可持续发展的宽带可运营解决方案可持续发展的宽带可运营解决方案按照“分析控制精细运营”的演进步骤，业务监控网关（SIG）与多业务控制点（BRAS、FW、GGSN、SR、SBC等）联动，构成基于业务和应用的宽带精细化运营方案Page HUAWEI TECHNOLOGIES CO.,LTD.华为华为SIG特色特

45、色硬件结构先进、处理性能优异硬件结构先进、处理性能优异领先的高性能网络处理器（NP）技术，嵌入式实时操作系统，单设备2GE线速转发，小包吞吐率超过120万pps；支持分布式集群部署，处理能力以2GE*N线性增长灵活的软件升级灵活的软件升级支持知识库在线更新完善的服务体系完善的服务体系提供7*24小时服务和本地备件库，第一时间响应客户需求Page HUAWEI TECHNOLOGIES CO.,LTD.SIG方案未来发展方案未来发展-IP 业务的精细化运营业务的精细化运营SIGSIG和和MSCGMSCG、GGSNGGSN相结合，提供相结合，提供完整的业务流量检测和控制方案完整的业务流量检测和控制

46、方案VoIP/WEB/IPTV/Skype/BT 等网络业务分析、识别与控制非法运营检测（非法VOIP、非法接入、非法P2P、攻击行为检测）异常流量检测流量统计分析用户行为分析IP网络WEB TVSoftSwitch/P-CSCFPCSTBPhoneInternet用户：用户：xxx用户：张三用户：张三PCSTBPhoneSIG分布式检测联动控制Policy Server用户：李四总带宽：2M定制服务：VoIP:金牌Mail/WebPPLiveP2P:铜牌(256K)用户：张三总带宽：2M定制服务：VoIP:金牌Mail/WebPPLiveP2P:铜牌(256K)Page HUAWEI TEC

47、HNOLOGIES CO.,LTD.SIG路标规划路标规划2004200420052005200620062007200720082008Page 汇报提纲汇报提纲l城域网业务安全分析lSIG业务监控网关l商用案例HUAWEI TECHNOLOGIES CO.,LTD.电信集团三地国际出口电信集团三地国际出口VoIP&P2PVoIP&P2P监控监控部署位置部署位置北京国际出口上海国际出口广州国际出口监控对象监控对象三条2.5G上下行VoIPP2P集团内部网Internet分光链路分光链路SIGSIGSSPSSPSPSSPSSRS/SAS/DBSRS/SAS/DB控制链路控制链路北京北京集团内部

48、网Internet分光链路分光链路SSPSSPSPSSPS控制链路控制链路上上海海集团内部网Internet分光链路分光链路SSPSSPSPSSPS控制链路控制链路广广州州Page HUAWEI TECHNOLOGIES CO.,LTD.10台SIG路由服务器分析服务器Web服务器NE80ES3526Internet控制链路S3526城域网Radius服务器1、同时监控10G链路的上行和下行2、业务功能包括流量流向分析、P2P流量检测与控制、VoIP检测控制、非法共享接入检测与控制某电信省干出口业务控制项目某电信省干出口业务控制项目 Page HUAWEI TECHNOLOGIES CO.,L

49、TD.某网通城域网出口某网通城域网出口应用案例05年09月S网通运营商部署SIG系统系统监测城域网核心层两条10GE出口，在现场应用中共检测到VoIP网关300多个，按照估算VoIP每年对造成话务量流失为6000万分钟以上。IPIP地址地址用户名用户名一周通话时长（分钟）一周通话时长（分钟）控制前控制前控制后控制后61.1*.35.66*科技公司（350）5396128218.*.72.171*鼎胜科技信息咨询有限公司(ADSL专线)34621227218.*.92.112*公司103298218.*.43.194*蓝国际实业有限公司91069218.*.37.3*纪元网吧(*化工学院)906

50、0218.*.122.245*星际网络科技公司19900Page HUAWEI TECHNOLOGIES CO.,LTD.巴基斯坦电信国家出口巴基斯坦电信国家出口SIGSIGSwitchSwitchSASSASDBDBSRSSRSIPLCIPLCADMADMInternationalGEGEInternationalGEGESIGSIGInternationalIPLCIPLCADMADMPakistan DomesticSIGSIGSASSASejr01ejr02Karachi,Marston Rd.FE DisturbingPage HUAWEI TECHNOLOGIES CO.,LTD.