江蘇省網絡態勢監管系統

許余川 江蘇省廣播電視監測臺

1. 引言

“十三五”期間，我國廣播電視進入“互聯網+”時代，廣電業務從廣播式向交互式發展、從單一化向多元化演變。云計算、大數據、人工智能、物聯網、區塊鏈等新一代信息技術與廣播電視高度融合，推動了廣播電視的網絡化、智能化，但是新技術也給行業帶來了新課題、新挑戰，即如何提升廣電網絡的安全保障能力。

目前，一方面敲詐勒索病毒盛行、網絡攻擊“武器庫”泄露、APT組織依然活躍，另一方面，江蘇省廣播電視監測臺現有監測網絡覆蓋全省13個地市和61個縣(區)，承載有線電視、IPTV、互聯網視聽節目、調頻廣播等監測數據，覆蓋面廣、業務繁多。在如此嚴峻的形勢下，對全省廣電監測網絡進行網絡態勢監管具有緊迫性、必要性，是提高我省廣播電視安全播出保障水平的重要之舉。

2.系統架構

網絡態勢監管系統不同于傳統的應用開發，使用J2EE技術架構。首先，J2EE是多層分布式模型，應用邏輯按功能劃分為組件，各個應用組件根據所在層分布在不同的機器上，具有很好的穩定性、可靠性以及靈活性。其次，J2EE提供了一系列中間件來簡化諸多復雜問題，業務邏輯被封裝成可復用的組件，設計人員僅需關注業務實現，無需考慮容器實現，降低了系統的實現難度。

在硬件上，網絡態勢監管系統的關鍵設備包括數據庫服務器、網絡交換機、負載均衡器等，且關鍵設備均采用熱備或群集方式，所以系統不存在單點故障，能夠保證系統7×24小時不間斷工作。此外，系統具有一定的擴展性，當用戶數和數據量增加時，可平滑地增加硬件設備數量，如數據庫服務器、應用服務器、WEB服務器等，進一步提高系統的處理能力和使用壽命。

3.總體功能

網絡態勢監管系統是監控常用網絡設備、交互數據的管理系統。通過網絡態勢監管系統，我們可以實時監控網絡設備和網絡狀態，及時發現網絡中的存在問題，方便我們對網絡的管理與監控，提高監管效率、降低人力成本。系統主要包括網絡設備管理、網絡流量分析、SYSLOG日志分析、集中告警、統計報表等幾個功能模塊。

3.1 網絡設備管理

對常用網絡設備的監控管理，包括路由器、交換機、防火墻等。

（1）設備拓撲發現

自動發現網絡中的設備，包括設備基本信息、接口信息、設備之間的連接關系等，被發現設備自動添加到管理系統中，如圖1所示。

設備信息包括：設備名、設備IP地址、設備描述等。

圖1 設備狀態和性能監控

接口信息包括：MAC地址、IP地址、接口類型、帶寬速率等。

設備之間的連接關系包括：源設備、源端口、目的設備、目的端口。

網絡拓撲自動更新網絡拓撲圖中各網絡節點的運行狀態，協助網管人員進行全面監控，簡化網絡監控部署工作量。實時采集網絡設備的狀態和性能等信息，網管人員可以根據實際情況，靈活制定策略，關注網絡設備性能指標、時間采集頻率以及各個指標的告警閾值。

（2）動態網絡拓撲圖

網絡態勢監管系統可以展示網絡實時負載分布、設備連續運行時間、流量分布等多種對管理有價值的信息。系統能在拓撲圖上，以不同顏色實時反映網絡節點間鏈路流量、丟包、錯包、帶寬、鏈路通斷等信息。網管人員通過瀏覽器操作拓撲圖功能，一方面可在界面上實際操作各種拓撲圖的情況，如創建示意設備、示意鏈路，通過拖拽方式修改拓撲圖內容等。另一方面可按設備類型、名稱、IP地址等，快速定位網絡拓撲圖中的設備。此外，網絡拓撲圖的查看和修改是按照用戶域和用戶角色定義來嚴格限制的，不同用戶擁有不同的權限。例如通過IPTV拓撲圖，我們可以掌握IPTV設備的鏈路情況，如圖2所示。

圖2 網絡拓撲圖

（3）端口監控

系統能夠監測指定路由器接口的標準帶寬、入帶寬利用率、出帶寬利用率、入丟包率、出丟包率等，如圖3所示。

端口性能指標包括：帶寬、出入速率、出入利用率、出入丟包率、出入誤碼率等。

（4）設備性能閥值基線告警

圖3 端口監控圖

性能閥值告警常用的規則定義中閥值為固定值，需要增加基線告警，通過對歷史數據的統計分析得出性能的時間基線，當性能指標超過基線的一定范圍后，則會觸發告警。性能基線支持日基線、周基線、月基線等，基線的觸發方式支持超過基線、低于基線等，基線的觸發值支持固定值、比例等。

（5）設備Ping監測

Ping狀態監測：系統周期向管理對象的IP地址發起Ping測試，當IP地址Ping不通時，系統生成告警信息。

Ping延時監測：系統周期向管理對象的IP地址發起Ping測試，記錄每次的延時值，形成歷史變化趨勢，當有抖動發生時可以自動生成告警信息。

（6）IP路由監測

IP當前路由查詢：可以查詢從服務器到指定IP地址之間的路由信息，記錄每一跳的IP地址、時延值、是否可達等信息。

IP標準路由采集：可以把采集到的路由信息設置為標準路由信息，作為以后比較的參照值。

IP異常路由告警：周期采集IP地址的路由信息，與之前設置的標準路由信息進行比較，如果有異常則自動生成告警信息，如果某一跳的路由延時超過閥值或者不可達，則自動生成告警信息。

IP異常路由對比：當指定的IP地址不可達時，可以自動比對當前路由信息與標準路由信息之間的值，找出當前路由從哪一跳開始異常。

3.2 網絡流量分析

（1）數據模型

網絡數據包的數據模型包含以下：

網絡數據包基礎數據：發送時間、包字節數。

二層協議數據：源MAC地址、目的MAC地址。

三層協議數據：源IP地址、目的IP地址、協議類型（ICMP、UDP、TCP）。

TCP協議數據：源端口、目的端口、TCP標志位（SYN、PSUH、FIN）。

UDP協議：源端口、目的端口。

（2）統計數據

全網IP地址流量分布：統計指定時間段內，全網IP地址流量排名情況，了解網內流量最大的IP地址，如圖4所示。

圖4 IP流量分布圖

指定IP地址流量變化趨勢：統計指定IP地址流量和數據包數量的變化趨勢，了解流量和數據包數量的高峰值和時間點。

指定IP地址的對端IP地址流量分布：統計指定IP地址的對端IP地址流量排名情況，了解指定服務器最大流量的對端IP地址。

指定IP地址的應用端口流量分布：統計指定IP地址的應用端口流量排名情況，可以了解指定服務器的最大流量的應用端口，如圖5所示。

指定IP地址對的流量變化趨勢：統計指定IP對之間的流量和數據包數量的變化趨勢，了解其高峰值和時間點。

（3）流量異常告警

圖5 端口流量監控

異常IP告警：設置全網IP地址白名單，當出現非白名單IP地址時，系統自動告警。

異常通訊端口告警：可以設置通訊端口白名單，當有不在白名單里的通訊端口出現時，系統自動告警。

SYN攻擊告警：當有頻繁的SYN請求時告警。

TCP重傳告警：當有頻繁的TCP連接重傳時告警。

IP流量趨勢告警：可以針對單個IP或者IP對設置流量告警閥值，當流量超過指定閥值時告警。

（4）告警IP統計告警報表按照IP地址分類，對告警信息進行統計。網管人員通過餅圖、柱狀圖等，可以直觀看到系統中各IP對象的告警個數、所占比例，如圖6所示。

圖6 IP告警報表

3.3 SYSLOG日志分析

實時顯示收集到的SYSLOG日志信息，每2秒自動刷新頁面，顯示最新的日志信息?？梢愿鶕蘒P地址、設施名、重要度和關鍵字進行查詢日志信息，如圖7所示。

圖7 SYSLOG日志監控

SYSLOG歷史查詢：SYSLOG收集的日志數據全量存儲到系統，可以根據相關條件查詢歷史日志信息。如查詢指定IP地址的日志信息、查詢指定級別的日志信息、查詢指定設施名的日志信息等。

SYSLOG告警設置：可以設置SYSLOG告警規則，當滿足指定條件時系統自動生成告警信息。

3.4 集中告警

通過集中告警功能，我們可以直觀地看到系統中的告警情況，如存在Ping測試告警、SYSLOG日志告警、模擬測試告警、網絡核心交換設備告警、網絡流量分析告警等，以及這些告警類型的比例、這些告警所在的網絡區域、這些告警類型所對應的具體原因等。針對特定告警，系統可以給出具體告警的詳細信息，并快速定位到產生告警的機房、設備、端口，從而協助技術人員對網絡故障進行精準定位和及時排除。

3.5 統計報表

通過統計報表功能，我們可以對系統中的告警情況進行統計分析，如按監管類型進行統計分析，可以看出告警的類型分布；按級別進行統計分析，可以看出告警的級別分布情況；按所屬業務系統進行統計分析，可以看出告警的業務系統分布情況；按所屬區域進行統計分析，可以看出告警的區域分布情況，如圖8所示。此外，還可對告警信息按時間段進行統計分析，以直觀地看到系統的告警趨勢圖；對告警信息按照IP地址進行統計分析，可以看到系統中告警最多的前N位IP對象，從而有針對性地展開網絡安全排查工作。

4.結束語

網絡態勢監管系統可以為關鍵業務系統的安全運行提供多方位技術支撐，可以協助技術人員全方位了解和掌握全省監測網絡的運行態勢，發現網絡中潛在的安全隱患，并及時進行安全策略調整和核心設備的維護，能夠為上級行政管理部門提供有效管理手段，提高了省監測臺信息安全能力，進一步提升了我省廣播電視安全播出保障水平。此外，省監測臺借助該系統，完成多期《網絡態勢監管月報》，清晰展現了全省監測網絡的安全態勢。

圖8 告警區域統計