Подсистема позволяет собирать и накапливать информацию об использовании абонентом услуг передачи данных (мобильный интернет, ШПД) и телематических услуг. Собираются данные по следующим типам активности:

  • Передача данных (IP, TCP/UDP)
  • Доступ к интернет ресурсам (HTTP, WAP)
  • Почтовая переписка (SMTP, IMAP, POP3, Web mail для сервисов, не использующих шифрование)
  • Обмен мгновенными сообщениями (ICQ, MSN, Yahoo messenger, Jabber, Mail.ru Agent)
  • Передача файлов (FTP)
  • Передача звука (SIP, H323, IAX2)

Поддерживается ряд протоколов AAA (GTP-C, RADIUS и др.) и инкапсуляции (GTP, GRE, IEEE 802.1Q и др.), что позволяет использовать съемник на различных типах сетей.

Трафик передаётся для анализа по интерфейсам 1/10/100 Gigabit Ethernet. Анализаторы трафика доступны в конфигурациях 1*1GbE, 2*1GbE, 1*10GbE, 2*10GbE, 4*10GbE, 8*10GbE, 1*100GbE.

Анализатор трафика использует данные из протокола Netflow или аналогичного для получения инфорамации о NAT/PAT трансляции адресов. Корреляция трафика и событий трансляции происходит "на лету" в памяти, также "на лету" отдельные пакеты соотносятся с абонентскими и транспортными сессиями. Это позволяет сразу подготовить данные оптимальной для загрузки в хранилище структуры.

Также анализатор трафика принимает от приложения Спектр команды постановки на контроль и снятия с контроля, реализуя функционал отбора трафика в рамках СОРМ-2. Для отобранного трафика выполняется детальный анализ - классификация потоков, реассемблинг фрагментированных данных, вычленение и восстановление данных различных типов, сбор статистики. Это позволяет удобно визуализировать отобранные данные, в том числе веб страницы, почтовые и мгновенные сообщения.

Источником данных выступает трафик абонентов, копируемый на съемники с точек концентрации. Копирование может осуществляться через SPAN порты, пассивные ответвители, специализированное сетевое оборудование (Gigamon, NetOptics). Эти методы не требуют изменения топологии сети и не создают дополнительной нагрузки на сеть.

Еще одним источником данных выступают логи межсетевых экранов, передаваемые по протоколу Netflow, Syslog или аналогичному. Логи в реальном времени предобрабатываются специализированным коллектором для получения информации о транслированных IP-адресах и портах, затем эти данные соотносятся с трафиком. Поддерживается широкий спектр форматов логов таких вендоров сетевого оборудования, как Cisco, Huawei, Juniper.

Ниже приводится список данных, собираемых и хранимых системой для мобильного интернета. Для широкополосного интернета состав данных отличается идентификаторами пользователя и вспомогательной информацией, представленными на уровне пользовательской сессии. Конкретный список полей в этом случае зависит от архитектуры сети и используемых протоколов аутентификации.

Уровень пользовательской сессии:

  • Время начала
  • Продолжительность
  • MSISDN
  • IMSI
  • IMEI
  • Access Point Name
  • Location Area Code
  • Cell ID

Уровень сетевой (транспортной) сессии:

  • Время установления
  • Продолжительность
  • Внутренний IP-адрес
  • Внутренний порт
  • Транслированный (внешний) IP-адрес
  • Транслированный (внешний) порт
  • IP-адрес назначения
  • Порт назначения

Уровень событий прикладных протоколов:

  • Время события
  • HTTP Method, Version, Host, URI, Referer, Content-Type, User-Agent
  • E-mail отправителя и получателя(для SMTP, IMAP, POP)
  • UIN отправителя и получателя (для ICQ, MSN, AIM, Yahoo)
  • Идентификаторы VoIP
  • Логины и команды FTP

Выполнение запросов детализации возможно по:

  • Идентификаторам абонента (MSISDN, IMSI или IMEI для мобильной сети, логин для ШПД)
  • Внутреннему IP-адресу
  • Транслированному IP-адресу
  • IP-адресу назначения
  • HTTP Host
  • E-Mail адресу
  • Идентификатору VoIP
  • UIN
  • Логину FTP