【正文】 網(wǎng)通 互聯(lián)網(wǎng)流量分析系統(tǒng)的技術(shù)水平定位于一個較高的層次上，從而保證系統(tǒng)的先進性，以適應(yīng)未來數(shù)據(jù)發(fā)展的需要。我們認為，一種技術(shù)或產(chǎn)品，其商品化的程度，以及隨此技 術(shù)或產(chǎn)品而不斷推出的日趨完善的支持服務(wù)，是我們考察它是否真正成熟有效的主要參考標(biāo)準(zhǔn)。 本原則將貫徹整個設(shè)計過程。 安全性原則 在網(wǎng)絡(luò)分析系統(tǒng)中，安全性原則應(yīng)在各個方面予以高度重視，特別是 網(wǎng)絡(luò)中和其他不可信網(wǎng)絡(luò)進行了連接，有可能會發(fā)生這樣那樣的蓄意破壞事件，威脅到系統(tǒng)的可靠安全運行。 開放性和標(biāo)準(zhǔn)化原則 方案所采用的技術(shù)和設(shè)備等，都必須符合相應(yīng)的國際標(biāo)準(zhǔn)或國家標(biāo)準(zhǔn)，或者符合相關(guān)系統(tǒng)內(nèi)部的相應(yīng)規(guī)范。 但是，標(biāo)準(zhǔn)化本身也具有其相對性；真正標(biāo)準(zhǔn)化的東西，往往又會失去其先進性；因此需要我們做出權(quán)衡和選擇。 第三章 Arbor 流量分析系統(tǒng)功能介紹 基于 Netflow 技術(shù)的流量分析系統(tǒng) 目前國內(nèi)的各電信運營商的寬帶互聯(lián)網(wǎng)網(wǎng)管系統(tǒng)具備了一定的流量監(jiān)控功能，能夠?qū)ζ渚W(wǎng)絡(luò)中的路由設(shè)備的端口流量進行統(tǒng)一和一定的分析。由于不具備應(yīng)有的協(xié)議分析功能，所以電信運營商目前的網(wǎng)管系統(tǒng)無法對網(wǎng)絡(luò)的異常流量進行監(jiān)測和分析。 Netflow的比較典型的功能是對網(wǎng)絡(luò)數(shù)據(jù)的 源地址、目的地址的分析，對流量中各種應(yīng)用的分析（基于協(xié)議或者端口）或者路由器上各個端口的負載等的分析。通過流量分析，可以為多出口的流量負載均衡、重要鏈路的帶寬設(shè)置、路由選擇和設(shè)定 QoS 等 網(wǎng)絡(luò)優(yōu)化措施提供數(shù)據(jù)依據(jù)。 4. 對 XXXX 網(wǎng)通 互聯(lián)網(wǎng)每臺路由器設(shè)備的出入流量分析。 7. 對滿足定制條件的出入流量分析。 3. 能夠?qū)M XXXX 網(wǎng)通 互聯(lián)網(wǎng)的流量按照網(wǎng)絡(luò)層協(xié)議類型（如TCP/UDP/ICMP 等）進行分類和統(tǒng)計分析。 7. 通過 BGP 通告的 AS PATH、 Community、 Prefix 等屬性對進入 XXXX網(wǎng)通 互聯(lián)網(wǎng)的流量進行分析； 8. 能夠?qū)M入 XXXX 網(wǎng)通 互聯(lián)網(wǎng)的流量按照 IP 包長度進行分類和統(tǒng)計分析。 12. 能夠?qū)ο到y(tǒng) CPU、 Memory、硬盤等使用情況進行實時監(jiān)控和記錄，能夠?qū)ο到y(tǒng)的 Netflow處理量進行實時監(jiān)控和記錄。 流量分析系統(tǒng)的作用 流量分析系統(tǒng)能夠為對 XXXX 網(wǎng)通 互聯(lián)網(wǎng)提供業(yè)務(wù)決策和網(wǎng)絡(luò)維護上的幫助，主要表現(xiàn)在： 業(yè)務(wù)決策支持 l. 了解網(wǎng)絡(luò)中的真實的業(yè)務(wù)使用 情況，傳統(tǒng)的手段只能知道網(wǎng)絡(luò)的實時流量情況，卻無法了解網(wǎng)絡(luò)中實時的業(yè)務(wù)使用情況。 3. 了解大客戶的流量情況，掌握大客戶的業(yè)務(wù)使用情況和熱點訪問地區(qū)等情況，并可以將流量分析的結(jié)果作為增值服務(wù)提供給大客戶。網(wǎng)管人員需要定期的對網(wǎng)絡(luò)進行分析并制作大量的網(wǎng)絡(luò)運行情況報告和各種報表。當(dāng)網(wǎng)絡(luò)中發(fā)現(xiàn)大量的垃圾流量或安全攻擊時，網(wǎng)管人員可以通過網(wǎng)絡(luò)分析系統(tǒng)對流量的實時監(jiān)控發(fā)現(xiàn)垃圾 流量和攻擊的類型和來源，從而為網(wǎng)管人員處理故障提供輔助手段。 根據(jù) Cisco 和 Juniper 設(shè)備的配置原理，每臺設(shè)備只能夠配置一個全局的采樣比率，并可以選擇打開 Netflow功能的端口（在 Juniper 路由器上還可以選擇在入 /出方向打開 Netflow功能）。流量分析系統(tǒng)能夠利用 BGP 路由信息中的 AS PATH， Origin AS， Next Hop，Community 等屬性對流量進行深層次的分析。 流量分析系統(tǒng)的硬件部署 網(wǎng)絡(luò)的安全是一個系統(tǒng)的工程，其構(gòu)成要素包 括：管理策略、技術(shù)策略、業(yè)務(wù)策略。系統(tǒng)的 控制 器能夠?qū)π略龅?收 集器進行統(tǒng)一的管理，并可以在增加 收集器 時將原配置在其它 收集器 的路由器無縫移植到新增的收集器 中以減少原有 收集器 的負載，原有的數(shù)據(jù)和結(jié)果并不會丟失。 一個綜合的 IP 網(wǎng)網(wǎng)管系統(tǒng)的主要功能應(yīng)該包括資源配置管理、故障管理、性能管理、流量管理、路由管理、安全管理和對業(yè)務(wù)、客戶管理等。同時還可以充分利用網(wǎng)管系統(tǒng)磁盤陣列 的容量、可靠性以及大容量數(shù)據(jù)庫軟件的效率。 方案優(yōu)勢及特點 Arbor Peakflow網(wǎng)絡(luò)流量分析解決方案是一個面向大型 IP 寬帶網(wǎng)絡(luò)、基于實用的信息采集和傳輸?shù)慕鉀Q方案。分析服務(wù)器可以網(wǎng)絡(luò)中的全 部采集機進行管理，負責(zé)對各個收集器進行統(tǒng)一的配置并將采集機采集的數(shù)據(jù)進行匯總并進行全網(wǎng)的關(guān)聯(lián)性分析，并將結(jié)果統(tǒng)一展現(xiàn)和存儲。在應(yīng)用網(wǎng)絡(luò)中存在規(guī)模超過 150 臺 GSR的實際應(yīng)用案例。 與其他商業(yè)和免費流量統(tǒng)計軟件相比， Peakflow SP 在可靠性和擴展性方面提供顯著的改善。 Arbor 公司提供的方案為整體實時監(jiān)控全部網(wǎng)絡(luò)設(shè)備的全部實時流量的解決方案，而并非間斷性監(jiān)控網(wǎng)絡(luò)不同部分的流量分析方案，同時方案本身由于采用了分布式處理的解決方案，可真正實現(xiàn)高擴展性和高性能。系統(tǒng)的分析服務(wù)器能夠?qū)π略龅氖占鬟M行統(tǒng)一的管理，并可以在增加收集器時將原配置在其它收集器的路由器無縫移植到新增的收集器中以減少原有收集器的負載，原有的數(shù)據(jù)和結(jié)果并不會丟失。在Inter 上，如果 Netflow采樣比定為 500： 1，每 10Gb/s 的流量平均每秒產(chǎn)生 (101024 1024)/(500 384 1 8)＝ 6990session/s 的 Netflow原始數(shù)據(jù)。 Arbor 的 Peakflow 解決方案完全通過分析 BGP 路由來分析互連流量的 AS 屬性，這樣做可以避免采用 NetflowV8 造成當(dāng)流量大的情況下造成分析 AS 特征流量不準(zhǔn)的情況，同時也可以避免開啟 NetflowV8 對路由器造成的額外負擔(dān)。 針對互連路徑和流量的詳細分析 通過 Peer Evaluation功能分析到各個 peer 的流量情況，是否存在 transit。系統(tǒng)能夠充分利用網(wǎng)絡(luò) BGP 信息對網(wǎng)絡(luò)與每個 PEER和每個 AS 之間的流量進行深入的分析。 Peakflow 從多個接口、路由器、用戶自定模板和對等匯集流量統(tǒng)計資料?；诮涌趯哟瘟髁磕Ｐ?， Peakflow 將準(zhǔn)確測量進入和外出的流量，即使在嚴重 BGP 路由不對稱的情況下。同時系統(tǒng)還能自動記錄網(wǎng)絡(luò) BGP 路由的振蕩情況。 通過分析大型用戶的業(yè)務(wù)特點，提供運營商最需要的重要用戶的應(yīng)用特點和最多應(yīng)用 IP 的分析。 強大的安全功能 異常流量檢測 Peakflow SP 的核心包括一種尖端的拓撲和流量模型引擎。與 Peakflow DoS 系統(tǒng)相配合，能提供業(yè)界領(lǐng)先的拒絕服務(wù)攻擊檢測和防衛(wèi)。系統(tǒng)保存成千上萬種不同網(wǎng)絡(luò)模板并且使用它們與實際的流量采樣作比較。這種方法對于新型和 /或變種的攻擊是完全無效的。 自動發(fā)現(xiàn)偽造地址攻擊 同樣，我們自動發(fā)現(xiàn)私有 IP、 Dark IP 地址欺騙事件并追蹤到物理的設(shè)備源頭，在這種情況下如果只發(fā)現(xiàn)源地址 而不發(fā)現(xiàn)物理進入網(wǎng)絡(luò)的物理源頭，是不可能有效控制的， Arbor 的產(chǎn)品將會定位物理的源頭，提供有效的控制。 Arbor 公司在美國部署了一套 FingerPrint（安全攻擊指紋特征）數(shù)據(jù)庫服務(wù)器。 真正的網(wǎng)絡(luò)安全設(shè)備 基于自身獨特的流量模型以及分析策略，能夠發(fā)現(xiàn)小流量但是致命的安全攻擊。 在 ATamp。因此，多臺 Arbor Peakflow組成的是真正面向大型的運營商網(wǎng)絡(luò)的系統(tǒng)，而不是孤立的多臺設(shè)備。全部統(tǒng)計資料 都能從每個接口、每個路由器、每個對等、每個配置模板、和全網(wǎng)范圍的基礎(chǔ)上得到。系統(tǒng)能夠提供指定時間的流量分析結(jié)果，提供指定時間段，指定時間周期的報告，方便進行分析。 系統(tǒng)還 能夠通過 Email、 SNMP TRAP、 SYSLOG等方式直接將不同級別的告警按照系統(tǒng)管理員的配置發(fā)送給系統(tǒng)管理員、日志服務(wù)器或者直接發(fā)送給網(wǎng)絡(luò)用戶。系統(tǒng)管理員能夠非常方便的了解系統(tǒng)運行的情況，并對系統(tǒng)的歷史運行情況進行查詢。 Arbor Peakflow系統(tǒng)本身內(nèi)置字典功能并支持用戶自定義字典，能夠自動將這些數(shù)字翻譯成實際的業(yè)務(wù)名稱，如將 TCP 的 80 端口翻譯成 WWW， AS4134 翻譯成 ChinaNET等。目前， Arbor 已經(jīng)先于其它廠家完成了對 Netflow V9 的支持，從而實現(xiàn)了對MPLS 業(yè)務(wù)的支持（ Cisco 設(shè)備打開 MPLS 后只能發(fā)送 Netflow V9 格式的數(shù)據(jù)），這在很大程度上就得益于 Arbor 和 Cisco 的良好合作關(guān)系。異常流量分析是電信運營商網(wǎng)絡(luò)性能管理重要的一環(huán)。 網(wǎng)絡(luò)中的異常流量 異常流量有許多可能的來源，包括新的應(yīng)用系統(tǒng)與業(yè)務(wù)上線、計算機病毒、黑客入侵、網(wǎng)絡(luò)蠕蟲、拒絕網(wǎng)絡(luò)服務(wù)、使用非法軟件、網(wǎng)絡(luò)設(shè)備故障、非法占用網(wǎng)絡(luò)帶寬等。 目前主要有以下異常流量類型對電信運營商網(wǎng)絡(luò)性能影響較大： 1) 拒絕服務(wù)攻擊（ DoS） DoS 攻擊使用非正常的數(shù)據(jù)流量攻擊網(wǎng)絡(luò)設(shè)備或其接入的服務(wù)器，致使網(wǎng)絡(luò)設(shè)備或服務(wù)器的性能下降，或占用網(wǎng)絡(luò)帶寬，影響其它相關(guān)用戶流量的正常通信，最 終可能導(dǎo)致網(wǎng)絡(luò)服務(wù)的不可用。近年來， Red Code、 SQL Slammer、沖擊波、振蕩波等病毒的相繼爆發(fā)，不但對用戶主機造成影響，而且對網(wǎng)絡(luò)的正常運行也構(gòu)成了的危害，因為這些病毒具有掃描網(wǎng)絡(luò)，主動傳播病毒的能力，會大量占用網(wǎng)絡(luò)帶寬或網(wǎng)絡(luò)設(shè)備系統(tǒng)資源。因此，目前蠕蟲病毒攻擊和分布式拒絕服務(wù)攻擊是對運營商網(wǎng)絡(luò)最大 的安全威脅，如何檢測和防范該類型異常行為是當(dāng)前電信運營商面臨的一大挑戰(zhàn)。在部署異常流量監(jiān)測系統(tǒng)的同時，還可以將異常流量智能過濾系統(tǒng)納入其中，在發(fā)現(xiàn)異常流量的同時，采取必要的防護和過濾手段，提高響應(yīng)速度。 Peakflow SP IS 系統(tǒng)采用二層分布式結(jié)構(gòu)，分為控制器（ Controller）和采集器（ Collector）兩種模式，采集器（ collector）負責(zé)收集各被監(jiān)測設(shè)備的流量數(shù)據(jù)，對收集的流量數(shù)據(jù)做本地分析處理；控制器（ Controller）能夠?qū)⑺胁杉O(shè)備的數(shù)據(jù)進行統(tǒng)一的匯總、處理和關(guān)聯(lián)分析，單臺控制器（ Controller）能夠?qū)崿F(xiàn)控制器（ Controller）和采集器（ collector）兩種功能；用戶可以通過一個統(tǒng)一的WEB 界面了解所有的數(shù)據(jù)分析結(jié)果，并管理系統(tǒng)內(nèi)部所有設(shè)備。進一步通過對動態(tài)基線和實時網(wǎng)絡(luò)行為進行比較，Peakflow SP IS 有能力發(fā)現(xiàn)網(wǎng)絡(luò)各類異?，F(xiàn)象（包括新型攻擊和病毒類型）的安全威脅。 Peakflow SP IS 通過“監(jiān)測” — “識別” — “分析” — “定位”等一系列流線化技術(shù)手段，準(zhǔn)確的為電信運營商提供網(wǎng)絡(luò)內(nèi)部 80％～ 90％的異常流量（已知或未知）的監(jiān)測分析報告，并提供多類型緩解防范措施（過濾、限速、路由黑洞或與第三方過濾產(chǎn)品聯(lián)動等），阻斷攻擊源，保護攻擊目標(biāo)，防治病毒擴散，維護整個基礎(chǔ)網(wǎng)絡(luò)的安全。 如下圖所示： 從上述過程中我們可以看出，“異常流量監(jiān)測系統(tǒng)”主要負責(zé)對全網(wǎng)流量進行實時的監(jiān)測，而平時“ 智能流量過濾系統(tǒng) TMS”在“和平”時期沒有任何負載，可對用戶網(wǎng)絡(luò)多個區(qū)域進行保護，實現(xiàn)設(shè)備的復(fù)用，提高“ 智能流量過濾系統(tǒng) TMS”的利用率，節(jié)省投資。通過 Peakflow SP 系統(tǒng)對整個網(wǎng)絡(luò)流量的分析處理 ，運營商能夠得到網(wǎng)絡(luò)內(nèi)部用戶和業(yè)務(wù)流量行為的特征以及變化，及時有效的調(diào)整網(wǎng)絡(luò)運行目標(biāo)。 Arbor Peakflow SP系統(tǒng) 采用二層分布式結(jié) 構(gòu)，分為 控制器（ Controller） 和 采集器（ Collector） 兩種模式，采集器 （ collector）負責(zé)收集各被監(jiān)測設(shè)備的流量數(shù)據(jù)，對收集的流量數(shù)據(jù)做本地分析處理；控制器 （ Controller）能夠?qū)⑺胁杉O(shè)備 的數(shù)據(jù)進行統(tǒng)一的匯總、處理和關(guān)聯(lián)分析，單臺控制器 （ Controller） 能夠?qū)崿F(xiàn)控制器（ Controller） 和采集器 （ collector）兩種功能； 用戶可以通過一個統(tǒng)一的 WEB界面了解 所有的數(shù)據(jù)分析結(jié)果，并管理系統(tǒng)內(nèi)部所有設(shè)備 。 ? 提供全網(wǎng) 流量分析狀況 以及網(wǎng)絡(luò)中的應(yīng)用情況的 實時匯報 ，幫助運營商把握整體的網(wǎng)絡(luò)流量行為情況。 ? 從網(wǎng)絡(luò)、路由器、路由器接口、用戶以及特殊流量等多個網(wǎng)絡(luò)視角對整體流量模型進行分別闡述，從而為運營商提供多種類型的流量分析報告。 ? 提供網(wǎng)絡(luò)中流量到各個網(wǎng)絡(luò)設(shè)備以端口間的流量流向分析，可為運營商下一步的網(wǎng)絡(luò)擴容及優(yōu)化提供良好的數(shù)據(jù)依據(jù)。 Peakflow SP IS 產(chǎn)品在骨干網(wǎng)范圍內(nèi)對對整個網(wǎng)絡(luò)的流量行為進行監(jiān)控，捕捉網(wǎng)絡(luò)病毒 /蠕蟲 /攻擊事件并加以深入分析和追蹤，功能上與 Firewall、 IDS 不同，性能上優(yōu)于各類傳統(tǒng)安全產(chǎn)品。 ? 通過獨特的流量行為特征分析可分析網(wǎng)絡(luò)中存在的病毒，如擴散性的蠕蟲。 ? 系統(tǒng)能夠鑒定針對運營商網(wǎng)絡(luò) 的 異常行為 進入網(wǎng)絡(luò)的 入口 ， 可生成針對病毒以及攻擊的過濾建議，簡化網(wǎng)管人員的工作量，使網(wǎng)管人員能夠快速發(fā)現(xiàn)并進行處理。 Arbor Peakflow SP TMS (threat management system) － 今后中期部署 威脅管理 amp。 TMS 主要 提供兩大功能， 針對 網(wǎng)絡(luò)種各類 安全 威脅以及異常流量 進行監(jiān)測，并提供強大的安全過濾功能： ? Bots ? DNS attacks ? DDoS ? Worms ? Phishing ? SPAM ? Spyware ? Et