江蘇省網(wǎng)絡(luò)態(tài)勢監(jiān)管系統(tǒng)

許余川 江蘇省廣播電視監(jiān)測臺

1. 引言

“十三五”期間，我國廣播電視進(jìn)入“互聯(lián)網(wǎng)+”時代，廣電業(yè)務(wù)從廣播式向交互式發(fā)展、從單一化向多元化演變。云計算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、區(qū)塊鏈等新一代信息技術(shù)與廣播電視高度融合，推動了廣播電視的網(wǎng)絡(luò)化、智能化，但是新技術(shù)也給行業(yè)帶來了新課題、新挑戰(zhàn)，即如何提升廣電網(wǎng)絡(luò)的安全保障能力。

目前，一方面敲詐勒索病毒盛行、網(wǎng)絡(luò)攻擊“武器庫”泄露、APT組織依然活躍，另一方面，江蘇省廣播電視監(jiān)測臺現(xiàn)有監(jiān)測網(wǎng)絡(luò)覆蓋全省13個地市和61個縣(區(qū))，承載有線電視、IPTV、互聯(lián)網(wǎng)視聽節(jié)目、調(diào)頻廣播等監(jiān)測數(shù)據(jù)，覆蓋面廣、業(yè)務(wù)繁多。在如此嚴(yán)峻的形勢下，對全省廣電監(jiān)測網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)態(tài)勢監(jiān)管具有緊迫性、必要性，是提高我省廣播電視安全播出保障水平的重要之舉。

2.系統(tǒng)架構(gòu)

網(wǎng)絡(luò)態(tài)勢監(jiān)管系統(tǒng)不同于傳統(tǒng)的應(yīng)用開發(fā)，使用J2EE技術(shù)架構(gòu)。首先，J2EE是多層分布式模型，應(yīng)用邏輯按功能劃分為組件，各個應(yīng)用組件根據(jù)所在層分布在不同的機(jī)器上，具有很好的穩(wěn)定性、可靠性以及靈活性。其次，J2EE提供了一系列中間件來簡化諸多復(fù)雜問題，業(yè)務(wù)邏輯被封裝成可復(fù)用的組件，設(shè)計人員僅需關(guān)注業(yè)務(wù)實(shí)現(xiàn)，無需考慮容器實(shí)現(xiàn)，降低了系統(tǒng)的實(shí)現(xiàn)難度。

在硬件上，網(wǎng)絡(luò)態(tài)勢監(jiān)管系統(tǒng)的關(guān)鍵設(shè)備包括數(shù)據(jù)庫服務(wù)器、網(wǎng)絡(luò)交換機(jī)、負(fù)載均衡器等，且關(guān)鍵設(shè)備均采用熱備或群集方式，所以系統(tǒng)不存在單點(diǎn)故障，能夠保證系統(tǒng)7×24小時不間斷工作。此外，系統(tǒng)具有一定的擴(kuò)展性，當(dāng)用戶數(shù)和數(shù)據(jù)量增加時，可平滑地增加硬件設(shè)備數(shù)量，如數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、WEB服務(wù)器等，進(jìn)一步提高系統(tǒng)的處理能力和使用壽命。

3.總體功能

網(wǎng)絡(luò)態(tài)勢監(jiān)管系統(tǒng)是監(jiān)控常用網(wǎng)絡(luò)設(shè)備、交互數(shù)據(jù)的管理系統(tǒng)。通過網(wǎng)絡(luò)態(tài)勢監(jiān)管系統(tǒng)，我們可以實(shí)時監(jiān)控網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)狀態(tài)，及時發(fā)現(xiàn)網(wǎng)絡(luò)中的存在問題，方便我們對網(wǎng)絡(luò)的管理與監(jiān)控，提高監(jiān)管效率、降低人力成本。系統(tǒng)主要包括網(wǎng)絡(luò)設(shè)備管理、網(wǎng)絡(luò)流量分析、SYSLOG日志分析、集中告警、統(tǒng)計報表等幾個功能模塊。

3.1 網(wǎng)絡(luò)設(shè)備管理

對常用網(wǎng)絡(luò)設(shè)備的監(jiān)控管理，包括路由器、交換機(jī)、防火墻等。

（1）設(shè)備拓?fù)浒l(fā)現(xiàn)

自動發(fā)現(xiàn)網(wǎng)絡(luò)中的設(shè)備，包括設(shè)備基本信息、接口信息、設(shè)備之間的連接關(guān)系等，被發(fā)現(xiàn)設(shè)備自動添加到管理系統(tǒng)中，如圖1所示。

設(shè)備信息包括：設(shè)備名、設(shè)備IP地址、設(shè)備描述等。

圖1 設(shè)備狀態(tài)和性能監(jiān)控

接口信息包括：MAC地址、IP地址、接口類型、帶寬速率等。

設(shè)備之間的連接關(guān)系包括：源設(shè)備、源端口、目的設(shè)備、目的端口。

網(wǎng)絡(luò)拓?fù)渥詣痈戮W(wǎng)絡(luò)拓?fù)鋱D中各網(wǎng)絡(luò)節(jié)點(diǎn)的運(yùn)行狀態(tài)，協(xié)助網(wǎng)管人員進(jìn)行全面監(jiān)控，簡化網(wǎng)絡(luò)監(jiān)控部署工作量。實(shí)時采集網(wǎng)絡(luò)設(shè)備的狀態(tài)和性能等信息，網(wǎng)管人員可以根據(jù)實(shí)際情況，靈活制定策略，關(guān)注網(wǎng)絡(luò)設(shè)備性能指標(biāo)、時間采集頻率以及各個指標(biāo)的告警閾值。

（2）動態(tài)網(wǎng)絡(luò)拓?fù)鋱D

網(wǎng)絡(luò)態(tài)勢監(jiān)管系統(tǒng)可以展示網(wǎng)絡(luò)實(shí)時負(fù)載分布、設(shè)備連續(xù)運(yùn)行時間、流量分布等多種對管理有價值的信息。系統(tǒng)能在拓?fù)鋱D上，以不同顏色實(shí)時反映網(wǎng)絡(luò)節(jié)點(diǎn)間鏈路流量、丟包、錯包、帶寬、鏈路通斷等信息。網(wǎng)管人員通過瀏覽器操作拓?fù)鋱D功能，一方面可在界面上實(shí)際操作各種拓?fù)鋱D的情況，如創(chuàng)建示意設(shè)備、示意鏈路，通過拖拽方式修改拓?fù)鋱D內(nèi)容等。另一方面可按設(shè)備類型、名稱、IP地址等，快速定位網(wǎng)絡(luò)拓?fù)鋱D中的設(shè)備。此外，網(wǎng)絡(luò)拓?fù)鋱D的查看和修改是按照用戶域和用戶角色定義來嚴(yán)格限制的，不同用戶擁有不同的權(quán)限。例如通過IPTV拓?fù)鋱D，我們可以掌握IPTV設(shè)備的鏈路情況，如圖2所示。

圖2 網(wǎng)絡(luò)拓?fù)鋱D

（3）端口監(jiān)控

系統(tǒng)能夠監(jiān)測指定路由器接口的標(biāo)準(zhǔn)帶寬、入帶寬利用率、出帶寬利用率、入丟包率、出丟包率等，如圖3所示。

端口性能指標(biāo)包括：帶寬、出入速率、出入利用率、出入丟包率、出入誤碼率等。

（4）設(shè)備性能閥值基線告警

圖3 端口監(jiān)控圖

性能閥值告警常用的規(guī)則定義中閥值為固定值，需要增加基線告警，通過對歷史數(shù)據(jù)的統(tǒng)計分析得出性能的時間基線，當(dāng)性能指標(biāo)超過基線的一定范圍后，則會觸發(fā)告警。性能基線支持日基線、周基線、月基線等，基線的觸發(fā)方式支持超過基線、低于基線等，基線的觸發(fā)值支持固定值、比例等。

（5）設(shè)備Ping監(jiān)測

Ping狀態(tài)監(jiān)測：系統(tǒng)周期向管理對象的IP地址發(fā)起Ping測試，當(dāng)IP地址Ping不通時，系統(tǒng)生成告警信息。

Ping延時監(jiān)測：系統(tǒng)周期向管理對象的IP地址發(fā)起Ping測試，記錄每次的延時值，形成歷史變化趨勢，當(dāng)有抖動發(fā)生時可以自動生成告警信息。

（6）IP路由監(jiān)測

IP當(dāng)前路由查詢：可以查詢從服務(wù)器到指定IP地址之間的路由信息，記錄每一跳的IP地址、時延值、是否可達(dá)等信息。

IP標(biāo)準(zhǔn)路由采集：可以把采集到的路由信息設(shè)置為標(biāo)準(zhǔn)路由信息，作為以后比較的參照值。

IP異常路由告警：周期采集IP地址的路由信息，與之前設(shè)置的標(biāo)準(zhǔn)路由信息進(jìn)行比較，如果有異常則自動生成告警信息，如果某一跳的路由延時超過閥值或者不可達(dá)，則自動生成告警信息。

IP異常路由對比：當(dāng)指定的IP地址不可達(dá)時，可以自動比對當(dāng)前路由信息與標(biāo)準(zhǔn)路由信息之間的值，找出當(dāng)前路由從哪一跳開始異常。

3.2 網(wǎng)絡(luò)流量分析

（1）數(shù)據(jù)模型

網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)模型包含以下：

網(wǎng)絡(luò)數(shù)據(jù)包基礎(chǔ)數(shù)據(jù)：發(fā)送時間、包字節(jié)數(shù)。

二層協(xié)議數(shù)據(jù)：源MAC地址、目的MAC地址。

三層協(xié)議數(shù)據(jù)：源IP地址、目的IP地址、協(xié)議類型（ICMP、UDP、TCP）。

TCP協(xié)議數(shù)據(jù)：源端口、目的端口、TCP標(biāo)志位（SYN、PSUH、FIN）。

UDP協(xié)議：源端口、目的端口。

（2）統(tǒng)計數(shù)據(jù)

全網(wǎng)IP地址流量分布：統(tǒng)計指定時間段內(nèi)，全網(wǎng)IP地址流量排名情況，了解網(wǎng)內(nèi)流量最大的IP地址，如圖4所示。

圖4 IP流量分布圖

指定IP地址流量變化趨勢：統(tǒng)計指定IP地址流量和數(shù)據(jù)包數(shù)量的變化趨勢，了解流量和數(shù)據(jù)包數(shù)量的高峰值和時間點(diǎn)。

指定IP地址的對端IP地址流量分布：統(tǒng)計指定IP地址的對端IP地址流量排名情況，了解指定服務(wù)器最大流量的對端IP地址。

指定IP地址的應(yīng)用端口流量分布：統(tǒng)計指定IP地址的應(yīng)用端口流量排名情況，可以了解指定服務(wù)器的最大流量的應(yīng)用端口，如圖5所示。

指定IP地址對的流量變化趨勢：統(tǒng)計指定IP對之間的流量和數(shù)據(jù)包數(shù)量的變化趨勢，了解其高峰值和時間點(diǎn)。

（3）流量異常告警

圖5 端口流量監(jiān)控

異常IP告警：設(shè)置全網(wǎng)IP地址白名單，當(dāng)出現(xiàn)非白名單IP地址時，系統(tǒng)自動告警。

異常通訊端口告警：可以設(shè)置通訊端口白名單，當(dāng)有不在白名單里的通訊端口出現(xiàn)時，系統(tǒng)自動告警。

SYN攻擊告警：當(dāng)有頻繁的SYN請求時告警。

TCP重傳告警：當(dāng)有頻繁的TCP連接重傳時告警。

IP流量趨勢告警：可以針對單個IP或者IP對設(shè)置流量告警閥值，當(dāng)流量超過指定閥值時告警。

（4）告警IP統(tǒng)計告警報表按照IP地址分類，對告警信息進(jìn)行統(tǒng)計。網(wǎng)管人員通過餅圖、柱狀圖等，可以直觀看到系統(tǒng)中各IP對象的告警個數(shù)、所占比例，如圖6所示。

圖6 IP告警報表

3.3 SYSLOG日志分析

實(shí)時顯示收集到的SYSLOG日志信息，每2秒自動刷新頁面，顯示最新的日志信息?？梢愿鶕?jù)IP地址、設(shè)施名、重要度和關(guān)鍵字進(jìn)行查詢?nèi)罩拘畔ⅲ鐖D7所示。

圖7 SYSLOG日志監(jiān)控

SYSLOG歷史查詢：SYSLOG收集的日志數(shù)據(jù)全量存儲到系統(tǒng)，可以根據(jù)相關(guān)條件查詢歷史日志信息。如查詢指定IP地址的日志信息、查詢指定級別的日志信息、查詢指定設(shè)施名的日志信息等。

SYSLOG告警設(shè)置：可以設(shè)置SYSLOG告警規(guī)則，當(dāng)滿足指定條件時系統(tǒng)自動生成告警信息。

3.4 集中告警

通過集中告警功能，我們可以直觀地看到系統(tǒng)中的告警情況，如存在Ping測試告警、SYSLOG日志告警、模擬測試告警、網(wǎng)絡(luò)核心交換設(shè)備告警、網(wǎng)絡(luò)流量分析告警等，以及這些告警類型的比例、這些告警所在的網(wǎng)絡(luò)區(qū)域、這些告警類型所對應(yīng)的具體原因等。針對特定告警，系統(tǒng)可以給出具體告警的詳細(xì)信息，并快速定位到產(chǎn)生告警的機(jī)房、設(shè)備、端口，從而協(xié)助技術(shù)人員對網(wǎng)絡(luò)故障進(jìn)行精準(zhǔn)定位和及時排除。

3.5 統(tǒng)計報表

通過統(tǒng)計報表功能，我們可以對系統(tǒng)中的告警情況進(jìn)行統(tǒng)計分析，如按監(jiān)管類型進(jìn)行統(tǒng)計分析，可以看出告警的類型分布；按級別進(jìn)行統(tǒng)計分析，可以看出告警的級別分布情況；按所屬業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)計分析，可以看出告警的業(yè)務(wù)系統(tǒng)分布情況；按所屬區(qū)域進(jìn)行統(tǒng)計分析，可以看出告警的區(qū)域分布情況，如圖8所示。此外，還可對告警信息按時間段進(jìn)行統(tǒng)計分析，以直觀地看到系統(tǒng)的告警趨勢圖；對告警信息按照IP地址進(jìn)行統(tǒng)計分析，可以看到系統(tǒng)中告警最多的前N位IP對象，從而有針對性地展開網(wǎng)絡(luò)安全排查工作。

4.結(jié)束語

網(wǎng)絡(luò)態(tài)勢監(jiān)管系統(tǒng)可以為關(guān)鍵業(yè)務(wù)系統(tǒng)的安全運(yùn)行提供多方位技術(shù)支撐，可以協(xié)助技術(shù)人員全方位了解和掌握全省監(jiān)測網(wǎng)絡(luò)的運(yùn)行態(tài)勢，發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的安全隱患，并及時進(jìn)行安全策略調(diào)整和核心設(shè)備的維護(hù)，能夠為上級行政管理部門提供有效管理手段，提高了省監(jiān)測臺信息安全能力，進(jìn)一步提升了我省廣播電視安全播出保障水平。此外，省監(jiān)測臺借助該系統(tǒng)，完成多期《網(wǎng)絡(luò)態(tài)勢監(jiān)管月報》，清晰展現(xiàn)了全省監(jiān)測網(wǎng)絡(luò)的安全態(tài)勢。

圖8 告警區(qū)域統(tǒng)計