SIG流量分析原理.docVIP

流量流向分析全网流量分析就是判定IP网络流量数据包的协议类型、流向、流速和占用带宽，能够提供实际测量的字节数、当前带宽、峰值流量、新增连接数、最大并发连接数、当前并发连接数等一系列网络流量参数，并将其记录到数据库中。SIG不仅支持宏观上的全网业务流量分析，更可精确定位于指定区域内指定协议的分时流量信息，提供精细化的流量分析统计。SIG可直观显示网络流量的流向，提供市内、市外、省内、省外的流量分析统计，为IP网络的运营以及网络客户商业价值深度挖掘提供数据基础。管理员可以实时查看各种业务数据的上下行流量和所占的比例。对于历史数据，SIG系统生成丰富多样的报表，如柱状图、曲线图和饼图，帮助管理员了解网络流量，为制定控制策略提供强大的支持。流量分析业务可以帮助运营商了解非法用户占用带宽，同时推出自己的新业务。如有偿P2P传输业务，为用户保留部分带宽，既满足用户对传输质量的要求，又能增加宽带业务的收入。管理员可以配置流向目的区域的IP地址，并能把多个流向目的区域组合成一个流向目的区域群组，然后可以选择从本地区域到流向目的区域或者本地区域到流向目的区域群组做流向流量统计。从而掌握网络流量的分布情况，以决定是否需要进行如设备扩容、负载均衡、策略调整等深入处理。无线网络监控随着无线上网的普及，无线用户的账号、接入省市、接入地市、归属省市、归属地市、上网时长、上网流量等信息对运营商有着重要的意义。例如为无线用户提供上网信息查询等服务，通过用户的上网流量、时长来收费，当无线用户上线时向其推送信息，用户上线时收到欢迎信息（比如欢迎来自***的用户，您的上网时长为***等信息）。SIG系统支持对移动用户进行监控，解析IP地址与手机号或IMSI（International Mobile Station Identification Code）的对应关系。对于CDMA2000网络用户，SIG系统支持：信息推送对数据卡用户进行信息推送。网元流量统计和监控统计各网元的所有流量，控制各网元的P2P流量。漫游识别识别本地用户漫出、外地用户漫入、本地用户在省内各地市漫游。漫游用户统计统计识别出的漫游用户的上网信息，包括归属地、上网流量、上网时长和上网频次等信息。对于WCDMA、TD-SCDMA、GPRS网络用户，SIG系统支持：信息推送对数据卡用户进行信息推送。网元流量统计和监控统计各网元的所有流量，控制各网元的P2P流量。说明： 对于移动网络用户，SIG系统支持其他所有固网的特性。例如：P2P监控、共享接入监控、邮件监控业务等。VoIP监控虚拟运营VoIP造成电信运营商话费收入减少，特别是国际长途话费。SIG系统检测出虚拟运营VoIP，并自动对其进行限制，让使用虚拟运营VoIP服务的用户感到非法的VoIP不可靠，从而使用电信运营商的合法业务，以达到保护电信运营商正常话务业务的目的。SIG通过分析VoIP话务的媒体特征和信令特征，取得相应的通话信息，从媒体和信令的角度对VoIP通话进行控制。VoIP监控管理主要包括如下功能：实时显示VoIP网关/网守提供VoIP网关/网守详细信息查询提供VoIP通话详细话单提供更改VoIP网关/网守的干扰策略实时显示处理流量、控制流量和全部接收流量实施多种干扰策略采取多样的干扰方式和干扰强度黑白名单管理设置多级可疑VoIP通话数阈值全面的计费衡量丰富的统计、查询和报表功能账号检测协议检测DDoS攻击防范DDoS (Distributed Denial of Service) 攻击是指借助于客户/服务器的技术，将多个计算机联合起来作为攻击平台，对一个或者多个目标发动的DoS攻击。从而成倍地提高拒绝服务攻击的威力。DDoS是目前常出现的一种攻击方式，主要攻击目标是规模较大的站点，例如商业公司、搜索引擎和政府部门站点。危害如下：恶意用户使用大量数据包攻击系统，使系统无法接受正常用户的请求，或主机挂起不能正常工作。网络中充斥大量垃圾报文，消耗网络带宽，影响其他正常网络业务。SIG系统的DDoS监控检测技术有：深度报文检测DPI（Deep Packet Inspection）以数据包为单位，进行4～7层的应用级别的检测识别。深度流检测DFI（Deep Flow Inspection）以五元组流为单位，进行应用级别的检测识别。启发式行为分析当用户的某些行为（包速率、流量、新建流数目）达到指定阈值后，则对该用户进行深层次的行为分析。深层次的行为分析包括：攻击类型分析 攻击源分析 攻击特征指纹分析SIG系统的DDoS防御功能需要和防火墙Eudemon 8000/8000E系列设备协同完成。在DDoS攻击防范部署方案中，SIG作为检测中心、Eudemon 8000/8000E系列设备作为清洗中心，SIG-Server或ATIC-Server作为管理