【正文】 異?，F(xiàn)象的檢測 , 而這種功能也是非常獨(dú)特的。因此，在無需進(jìn)行大型的網(wǎng)絡(luò)升級或重新規(guī)劃的情況下，網(wǎng)絡(luò)管理人員就能夠得到整體網(wǎng)絡(luò)范圍的流量信息和拓?fù)湫畔⒌哪Ｐ?。因此? 網(wǎng)絡(luò)管理人員可以有效知道現(xiàn)有的安全威脅（如 ICMP Flood、 Syn Flood 等）以及全新、從未發(fā)現(xiàn)過的威脅， 即使攻擊是未知的，它將造成異常的網(wǎng)絡(luò)行為 ,， Peakflow 也具 有檢測和發(fā)現(xiàn)的能力。 在數(shù)據(jù)測量和報告方面， Peakflow SP 能夠?qū)崿F(xiàn)以下主要功能： ? 監(jiān)視和跟蹤網(wǎng)絡(luò)流量，所 有被監(jiān)視的路由器及關(guān)聯(lián)接口的網(wǎng)絡(luò)拓?fù)渥兓? 系統(tǒng)應(yīng)能產(chǎn)生一年內(nèi)任一時間段的這些圖表。 ? 提供一個自動一次或循環(huán)生成報告的機(jī)制。 ? 對特定的對等（ peer）、路由器、接口或者 profile 從最近的收集周期中提供Netflow 的實(shí)際采樣。 ? 展示進(jìn)出每個網(wǎng)絡(luò)對等（ peer）的協(xié)議和 TCP/UDP 端口號的數(shù)據(jù)細(xì)目。 ? 反映出流經(jīng)用戶網(wǎng)絡(luò)的數(shù)據(jù)中，主要的源／目的 AS 之間的流量水平．例如，多少流量是從 A1 到 A2，多少流量是從 A2 到 A1。 在資源統(tǒng)計(jì)方面， Peakflow SP 可以實(shí)現(xiàn)以下主要功能： 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì) 上海 春燕通信設(shè)備有限公司 第 32 頁 ? 提供進(jìn) /出每個跨越本地邊界（ local boundary）和本地 BGP 邊界（ local BGP boundary）的 profile 的 流量值。 ? 顯示針對某一個對等（ peer），有多少經(jīng)過網(wǎng)絡(luò)的流量， 下一個跳（ NextHop）地址是什么，以及它們之間有多少流量。 ? 提供必需的工具來評估 /比較存在的對等關(guān)系，并決定用于對等的可行的新的資源。 ? 針對出入每個網(wǎng)絡(luò)對等（ peer）的流量顯示 AS 距離特性。 ? 提供生成定制的網(wǎng)絡(luò)資源組“ profiles”，以 CIDR 塊（ block）、 AS regexp、 subAS或者 BGP munity 屬性，并指定什么接口形成這些網(wǎng)絡(luò)資源的邊界。 ? 提供能夠基于從 BGP 和 Netflow 提供的數(shù)據(jù)生成定制化的流量 /路由報告。 ? 提供對每一個網(wǎng)絡(luò)，每一個上游（ upstream）提供商 /對等（ peer），每一個路由器，以及每一個端口提供實(shí)時， 最大的，和平均的流量數(shù)據(jù)，使用戶能看到網(wǎng)絡(luò)容量的利用率及發(fā)現(xiàn)網(wǎng)絡(luò)通信的“熱點(diǎn)”。 Arbor Peakflow SP Peakflow SP的網(wǎng)絡(luò)范圍內(nèi)的異常檢測結(jié)構(gòu)可以被用作為用戶流量的詳細(xì)分析。由于 Peakflow 靈活的圖形化能力和基于 XML 的 schema，用戶能夠建立各種各樣的圖表和報表，包括從詳細(xì)的統(tǒng)計(jì)分析到管理報表 , 這樣可以使整個機(jī)構(gòu)的溝通變得容易。 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì) 上海 春燕通信設(shè)備有限公司 第 29 頁 圖： Peakflow 系統(tǒng)平臺 測量 Peakflow 對穿越整個網(wǎng)絡(luò)的流量 數(shù)據(jù)和路由數(shù)據(jù)進(jìn)行定時采樣，并且匯集和關(guān)聯(lián)這些數(shù)據(jù)以建立一個分布式，但卻包含全網(wǎng)的分析角度。 這些報表使包括對等評選、網(wǎng)絡(luò)容量計(jì)劃、路由安全、網(wǎng)絡(luò)應(yīng)用的監(jiān)控、和協(xié)議使用等許多較大的網(wǎng)絡(luò)功能的實(shí)施變 得容易。這種異?，F(xiàn)象檢測方法提供一種非?？煽康耐緩絹頇z測和追蹤源于惡意攻擊 , 網(wǎng)絡(luò)配置而造成的合法流量變化，以及新服務(wù)的啟動等原因所導(dǎo)致的網(wǎng)絡(luò)變化。 Arbor Networks PeakflowTM 解決方案為大規(guī)模 IP 網(wǎng)絡(luò)提供實(shí)時監(jiān)控和異常現(xiàn)象的檢測。 Arbor 研究人員最新和進(jìn)行中的研究 （在同行評審的雜志里出版，在 NANOG、 IETF等會議中發(fā)表） 繼續(xù)在 BGP 協(xié)議行為的知識、數(shù)據(jù)流采樣技術(shù)和因特網(wǎng)蠕蟲和保安方面保持領(lǐng)先的技術(shù)水平。 長遠(yuǎn)的發(fā)展 Arbor Networks 與 Cisco、 Juniper 和 Foudry 公司具有良好的合作伙伴關(guān)系，因?yàn)橛兴伎茷楣咎峁┵Y金， Arbor 網(wǎng)絡(luò)直接涉及 NetFlow 標(biāo)準(zhǔn)的發(fā)展， Arbor 也是 Juniper高級合作伙伴 （得到這種身份唯一的公司）， Cisco 和 Juniper 都擁有 Arbor Networks 的股份。用戶可以非常方便的以 EXCEL 等格式下載歷史結(jié)果，并通過簡單的 OFFICE 操作得到需要的圖表，并可以查詢得到每個具體時間段（具體到5 分鐘）的實(shí)際數(shù)據(jù)。 系統(tǒng)支持對不同業(yè)務(wù)質(zhì)量等級的業(yè)務(wù)按照其 TOS 值進(jìn)行分析。為了能夠?qū)⒘髁糠治鱿到y(tǒng)融合到運(yùn)營商現(xiàn)有的網(wǎng)管系統(tǒng)中，系統(tǒng)提供了 SNMP MIB 可供運(yùn)營商現(xiàn)有的網(wǎng)管系統(tǒng)調(diào)用。 這套系統(tǒng)還提供總體圖表和允許網(wǎng)管人員把圖表放大以詳細(xì)觀看流量趨勢中細(xì)小的變化。 與需要數(shù)周時間作額外配置或?qū)?Scripts 的免費(fèi)軟件和其他系統(tǒng)不一樣， Peakflow系統(tǒng)所提供數(shù)據(jù)立即可用，適用于關(guān)鍵業(yè)務(wù)和工程流量決定所需要的報表。 完善的系統(tǒng)功能 統(tǒng)一的系統(tǒng)管理界面 與其它設(shè)備廠家的系統(tǒng)不同， Arbor Peakflow 系統(tǒng)能夠通過分析服務(wù)器（ Controller）管理系統(tǒng)中 的所有設(shè)備，而不需要逐一對所有設(shè)備進(jìn)行配置。 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì) 上海 春燕通信設(shè)備有限公司 第 25 頁 自動生成防攻擊控制策略 Arbor Peakflow 系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊后，提出報警，實(shí)現(xiàn)源追蹤（包括源地址和物理的入網(wǎng)源頭），可以根據(jù)攻擊的來源和攻擊方式根據(jù)設(shè)備類型（ Cisco， Juniper 或 Foudry）自動生成 Cisco、 Juniper 等設(shè)備的 ACL/ratelimit 等防攻擊建議配置文件，并提示網(wǎng)絡(luò)管理員應(yīng)將該 配置部署到網(wǎng)絡(luò)中某臺設(shè)備的具體端口。通過下載 FingerPrint 數(shù)據(jù)庫，運(yùn)營商可以充分借鑒其它運(yùn)營商的經(jīng)驗(yàn)，并提高網(wǎng)絡(luò)的防攻擊能力。一旦出現(xiàn)這種攻擊，普通的流量分析由于流量太小根本無法監(jiān)控，而通過 Arbor 的安全分析手段將能夠在出現(xiàn)傷害之前馬上定位攻擊的源頭并提出控制建議，避免造成傷害．這個方案同簡單通過流量分析方式發(fā)現(xiàn)攻擊病毒的方案 存在很大的本質(zhì)不同。 真正實(shí)現(xiàn)的攻擊病毒的源追蹤 通過異常流量的觀察分析病毒源和攻擊源，這里分析的源不但包括病毒的源地址和目的地址、上層端口、協(xié)議類型等特點(diǎn) ，同時包括進(jìn)入整體網(wǎng)絡(luò)的物理源頭，方便實(shí)現(xiàn)控制。 Peakflow DoS 然后匯集從被監(jiān)控路由器所收集的數(shù)據(jù)以提供所有異常的總結(jié)，而且提供對受影響網(wǎng)絡(luò)部件的追蹤資料。 DoS 平臺使用從運(yùn)營商網(wǎng)絡(luò)里的路由器收集的 Netflow 數(shù)據(jù)來建立一個關(guān)于網(wǎng)絡(luò)流量的動態(tài)基線。 例如，與一個接口相關(guān)的正常對等和 IP 子網(wǎng)范圍是什么？用來到達(dá)這些前綴塊通常的 AS 路徑是什么？ 網(wǎng)絡(luò)服務(wù)器流量突然下降 40%的根本原因 – 是因?yàn)?5,000 個 BGP 前綴的丟失嗎？ 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì) 上海 春燕通信設(shè)備有限公司 第 23 頁 Peakflow SP 提供重要的異常檢測和事件獲取能力，包括對于流量變化的告警（每個對等、每個用戶、每個路由器、等等）。 Arbor Networks 目前已經(jīng)開發(fā)了 Management Portal 模塊（目前正在北美的商用網(wǎng)絡(luò)上進(jìn)行測試，并計(jì)劃在明年一季度正式商用），用來給運(yùn)營商的大客戶提供增值自服務(wù)功能。Arbor Peakflow 能夠?qū)\(yùn)營商的用戶的流量進(jìn)行詳細(xì)的分析?？筛鶕?jù)這一點(diǎn)將其內(nèi)容拿入到內(nèi)部，減少在 Peer 上的花費(fèi)，同時提高內(nèi)部網(wǎng)絡(luò)的服務(wù)質(zhì)量。 Peakflow Traffic 自動學(xué)習(xí)并且區(qū)分面向?qū)Φ?、骨干和面向用戶?接口。與那些單點(diǎn)解決方案或其他基于數(shù)據(jù)流收集的產(chǎn)品不一樣， Peakflow Traffic 連續(xù)跟蹤并且關(guān)聯(lián)骨干路由器上的網(wǎng)絡(luò)流量，而且使用非常詳細(xì)的拓?fù)淠Ｐ汀? 增強(qiáng) BGP 功能分析 Netflow 的原始數(shù)據(jù)中只提供 IP 包的原始 AS 號，并沒有對其經(jīng)過的所有 AS 進(jìn)行記錄。 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì) 上海 春燕通信設(shè)備有限公司 第 21 頁 多種屬性的相互關(guān)聯(lián)性分析 可真正實(shí)現(xiàn)從 AS、 IP 地址、應(yīng)用、指定用戶、指定路由器、指定設(shè)備端口、用戶指定屬性的感興趣點(diǎn)等以上各個用戶興趣點(diǎn)在全網(wǎng)內(nèi)的相互關(guān)聯(lián)性分析。 出色的統(tǒng)計(jì)分析能力 全網(wǎng)關(guān)聯(lián)性分析 通過核心 Controller 對網(wǎng)絡(luò)中流量情況進(jìn)行匯總，實(shí)現(xiàn)全網(wǎng)關(guān)聯(lián)的關(guān)聯(lián)性流量分析，滿足運(yùn)營商角度對全網(wǎng)流量狀況的整體把握。在實(shí)際的網(wǎng)絡(luò)中存在一個 collector 同時實(shí)時性的分析管理多臺高端網(wǎng)絡(luò)設(shè)備，每個設(shè)備可擁有多個高帶寬鏈路（ OC192/STM64）。 單個 收集器 就能從網(wǎng)絡(luò)中多個路由器收集數(shù)據(jù) 而且沒有對網(wǎng)絡(luò)增加任何故障點(diǎn)。從固化的操作系統(tǒng)到基于高速內(nèi)部核心的數(shù)據(jù)流收集子系統(tǒng)， Peakflow SP 是為符合可靠和大量數(shù)據(jù)處理能力的要求而設(shè)計(jì)。T、 Quest、 NTT 等著名運(yùn)營商。 采用 Collector 對多臺路由設(shè)備進(jìn)行實(shí)時分析，通過核心 Controller 對 Collector 進(jìn)行管理和對 Collector 分析到的數(shù)據(jù)進(jìn)行匯總關(guān)聯(lián)。它具有以下特點(diǎn)及優(yōu)勢： 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì) 上海 春燕通信設(shè)備有限公司 第 19 頁 適用于大型運(yùn)營商 IP網(wǎng)絡(luò) Arbor 公司的 Peakflow 系列產(chǎn)品采用了分布式的體系結(jié)構(gòu)，具有良好的擴(kuò)展性，能夠支持對大型電信運(yùn)營商網(wǎng)絡(luò)的流量分析和安全監(jiān)控。由于流量分析系統(tǒng)的結(jié)果已經(jīng)全部存儲到網(wǎng)管系統(tǒng)的統(tǒng)一數(shù)據(jù)庫，報表模塊不需要直接從流 量分析系統(tǒng)采集原始數(shù)據(jù)，而可以直接從網(wǎng)管系統(tǒng)的數(shù)據(jù)庫中讀取數(shù)據(jù)，并將 Netflow 分析結(jié)果與其它模塊的結(jié)果統(tǒng)一展現(xiàn)。 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì) 上海 春燕通信設(shè)備有限公司 第 18 頁 從圖中可以看到， Netflow 流量分析系統(tǒng)位于網(wǎng)管系統(tǒng)的網(wǎng)元層，直接從網(wǎng)元設(shè)備采集數(shù)據(jù)，并將分析結(jié)果提供各上層模塊使用。 流量分析系統(tǒng)在網(wǎng)管系統(tǒng)中的定位 隨著網(wǎng)絡(luò)的發(fā)展和業(yè)務(wù)的需要，目前國內(nèi)電信運(yùn)營商的網(wǎng)管系統(tǒng)正逐漸從 面向面向網(wǎng)元的各專業(yè)網(wǎng)管系統(tǒng)和網(wǎng)管模塊向多專業(yè)的綜合網(wǎng)管平臺方向發(fā)展。這樣既滿足了用戶當(dāng)前的需求，又為用戶節(jié)省了投資。因此，安全系統(tǒng)是一個多維、多因素、多層次、多目標(biāo)的系統(tǒng)，不是僅僅靠一、兩臺設(shè)備就可以做到，安全系統(tǒng)中應(yīng)該包含多種功能的設(shè)備，如防火墻、 IDS、流量分析、防 DOS 攻擊設(shè)備等，這些設(shè)備既能完成獨(dú)立的安全功能，又能夠有機(jī)的結(jié)合在一起形成一個完整的安全體系，這樣才能有效的保障整個 XX 電信公司 骨干互聯(lián)網(wǎng)安全穩(wěn)定地運(yùn)行，滿足運(yùn)營商在安全上的最終需求。 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì) 上海 春燕通信設(shè)備有限公司 第 16 頁 獲取路由器的 SNMP信息 Arbor 流量分析系統(tǒng)可以通過 SNMP 的方式獲取路由器上系統(tǒng)感興趣的信息，包括設(shè)備描述、 IOS 版本、端口索引、端口描述、端口流量情況、 CPU/Memory 利用率等。 獲取路由信息 為利用 BGP 路由信息中的屬性對流量進(jìn)行深層次的分析，流量分析系統(tǒng)需要掌握XX 電信公司 骨干互聯(lián)網(wǎng) 的 BGP 路由情況。 在 Cisco 路由器上開啟 Netflow 會消耗一些設(shè)備資源，特別是需要占用一些 CPU 和 Memory 等重要資源。當(dāng)網(wǎng)絡(luò)中發(fā)現(xiàn)大量的垃圾流量或安全攻擊時，網(wǎng)管人員可以通過網(wǎng)絡(luò)分析系統(tǒng)對流量的實(shí)時監(jiān)控發(fā)現(xiàn)垃圾流量和攻擊的類型和來源，從而為網(wǎng)管人員處理故障提供輔助手段。網(wǎng)管人員需要定期的對網(wǎng)絡(luò)進(jìn)行分析并制作大量的網(wǎng)絡(luò)運(yùn)行情況報告和各種報表。 3. 了解大客戶的流量情況，掌握大客戶的業(yè)務(wù)使用情況和熱點(diǎn)訪問地區(qū)等情況，并可以將流量分析的結(jié)果作為增值服務(wù)提供給大客戶。 流量分析系統(tǒng)的作用 流量分析系統(tǒng)能夠?yàn)?對 XX 電信公司 骨干互聯(lián)網(wǎng) 提供業(yè)務(wù)決策和網(wǎng)絡(luò)維護(hù)上的幫助，主要表現(xiàn)在： 業(yè)務(wù)決策支持 l. 了解網(wǎng)絡(luò)中的真實(shí)的業(yè)務(wù)使用情況，傳統(tǒng)的手段只能知道網(wǎng)絡(luò)的實(shí)時流量情況，卻無法了解網(wǎng)絡(luò)中實(shí)時的業(yè)務(wù)使用 情況。 12. 能夠?qū)ο到y(tǒng) CPU、 Memory、硬盤等使用情況進(jìn)行實(shí)時監(jiān)控和記錄，能夠?qū)ο到y(tǒng)的 Netflow 處理量進(jìn)行實(shí)時監(jiān)控和記錄。 網(wǎng)絡(luò)詳細(xì)設(shè)計(jì) 上海 春燕通信設(shè)備有限公司 第 12 頁 7. 通過 BGP 通告的 AS PATH、 Community、 Prefix 等屬性對進(jìn)入 XX 電信公司骨干互聯(lián)網(wǎng) 的流量進(jìn)行分析； 8. 能夠?qū)M(jìn)入 XX 電信公司 骨干互聯(lián)網(wǎng) 的流量按照 IP 包長度進(jìn)行分類和統(tǒng)計(jì)分析。 3. 能夠?qū)M(jìn) XX 電信公司 骨干互聯(lián)網(wǎng) 的流量按照網(wǎng)絡(luò)層協(xié)議類型（如TCP/UDP/ICMP 等）進(jìn)行分類和統(tǒng)計(jì)分析。 7. 對滿足定制條件的出入流量分析。 4. 對 XX 電信公司 骨干互聯(lián)網(wǎng) 每臺路由器設(shè)備的出入流量分析。通過流量分析，可以為多出口的流量負(fù)載均衡、重要鏈路的帶寬設(shè)置、路由選擇和設(shè)定 QoS等網(wǎng)絡(luò)優(yōu)化措施提供數(shù)據(jù)依據(jù)。 Netflow 的比較典型的功能是對網(wǎng)絡(luò)數(shù)據(jù)的源地址、目的地址的分析，對流量中各種應(yīng)用的分析（基于協(xié)議或者端口）或者路由器上各個端口的負(fù)載等的分析。由于不具備應(yīng)有的協(xié)議分析功能，所以電信運(yùn)營商目前的網(wǎng)管系統(tǒng)無法對網(wǎng)絡(luò)的異