[工学]2-3网络监控技术_基于协议解码分析的业务识别.pptVIP

1 业务识别的主要方法 基于固定端口的业务识别 基于特征字的业务识别 基于协议解码分析的业务识别 基于流特征统计的业务识别 2 基于协议解码分析的业务识别 对业务报文进行协议解析 主要针对于标准协议定义的而且比较复杂的业务通信过程，如VoIP类业务。 主要问题 必须准确了解业务协议编码和协议过程 维护业务连接状态，资源耗费较大 对于加密协议难以进行分析 基于协议解码分析的业务识别 标准的语音编码，例如G.711、G.723、G.729、GSM等在语音帧长度、平均速率以及报文到达的均匀性都具有相对稳定的特征，对一个语音通信的持续观测和多次语音会话的长时观测可以很容易的发现VoIP通话过程。 非法VoIP 可疑名单 控制策略 正常VoIP 采集源IP地址、目的IP地址、源端口、目的端口号、用户注册名称、会话标志和会话发生时间等信息。 统计在某一个源IP在某一时间段内作为被叫方的话务量和作为主叫方的话务量；统计某一个目的IP在某一时间段内作为被叫方的话务量和作为主叫方的话务量。 3 基于协议解码分析的业务识别 4 5 6 两套标准体系: H.323：由ITU定义 SIP（Session Initiation Protocol ）：由IETF定义 H.323和SIP技术代表着两种相对独立、平行的发展趋势，是两种相对完善的具有语音业务信令体系的系统。 针对网关分解问题,由IETF制定的MGCP（媒体网关控制协议） VoIP网关可以分解为单纯的媒体网关MG和媒体网关控制器MGC，以便集中控制和管理。其间的控制协议是由IETF制定MGCP （媒体网关控制协议）。 MGCP只是设备控制协议,不是一种独立的VoIP信令体系技术。 在MGCP之上改进而成的Mecago/H.248 从VoIP结构和网关控制的关系来看，Megaco/H.248与MGCP在本质上相当相似，但是Megaco/H.248支持更广泛的网络，如ATM。 基于协议解码分析的业务识别 7 H.323信令的协议结构 H.225.0－RAS：定义了注册、接入、状态的信令控制； H.225.0－Call Signaling：部分地采用了Q.931（ISDN呼叫信令），实现终端之间的呼叫连接建立； H.245：多媒体通信控制协议，定义了媒体流端点能力交互、终端主从判断、逻辑信道控制和命令的发送； T.120：多媒体会议数据协议； G系列：音频编解码协议； H系列：视频编解码协议； RTP：实时传输协议，传输音频视频信息； RTCP：实时控制协议，对多媒体数据承载信道进行实时控制。 8 H.323系统的实体 终端 网关 网守 多点控制单元 9 终端 终端是H.323系统中面向用户的设备，它可以与其他终端设备、网关或多点控制单元进行通信，支持语音、数据和视频信息的交互。 功能：音频编解码、视频编解码、多媒体信息封装传送、终端接入控制、呼叫控制、逻辑信道控制等。 10 网关 网关是H.323系统与现有电路交换网的互通点。 功能：对不同系统的媒体信息和信令信息进行转换，以实现这些系统与H.323系统的互通。因此，除支持音视频编解码外，网关还要支持呼叫控制、逻辑信道控制等信令功能。 11 网守 网守是H.323系统中的管理实体，它提供对终端和呼叫的管理功能 。 功能：认证控制、地址解析、带宽管理等 。 当不存在网守时，两个终端是不需要经过认证就能直接通信。 两个终端的地址解析被分散到网关中，会加大网关的复杂度。 没有网守，扩充新功能（如添加带宽管理和路由控制）是比较困难的。 不便于运营商开展计费服务。 12 多点控制单元 MCU（多点控制单元）支持多点会议。 MCU包括一个MC（多点控制器）和一个或多个MP（多点处理器）。 功能：对参加会议的多个成员进行控制；接收参加会议成员的音视频信息，经过混合、交换等处理后回送给各成员。 在IP电话业务中一般不使用该设备。 13 H.323系统中的信令 H.323协议中有H.225.0 RAS信令、H.225.0呼叫信令、H.245控制信令三种信令。 RAS（Registration， Admission and Status）消息是H.323终端与网守间消息的总称，它主要用于查找网守、端点注册、端点定位、接入许可、带宽修改 、资源报告和状态报告等。 GRQ\GCF\GRJ(discovery) : 查找网守 RRQ\RCF\RRJ(registration)：注册 URQ\UCF\URJ(unregistration):注销 ARQ\ACF\ARJ(admission)：接入 LRQ\LCF\LRJ(location)：端点定位 DRQ\DCF\DRJ(disc