【正文】 可達(dá)，就能夠?qū)崿F(xiàn)對被監(jiān)控的流量分析以及監(jiān)測。由于系統(tǒng)采用旁路監(jiān)測手段，避免了鏈路單點(diǎn)故障的可能性，從而對整個網(wǎng)絡(luò)的穩(wěn)定運(yùn)行的不會造成任何安全隱患。 2) 分布式拒 絕服務(wù)攻擊（ DDoS） DDoS 把 DoS 又發(fā)展了一步，將這種攻擊行為自動化，分布式拒絕服務(wù)攻擊可以協(xié)調(diào)多臺計(jì)算機(jī)上的進(jìn)程發(fā)起攻擊，在這種情況下，就會有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò)，可能使被攻擊目標(biāo)或網(wǎng)絡(luò)因過載而崩潰。 長遠(yuǎn)的發(fā)展 Arbor Networks 與 Cisco、 Juniper 和 Foudry公司具有良好的合作伙伴關(guān)系，因?yàn)橛兴伎茷楣咎峁┵Y金， Arbor 網(wǎng)絡(luò)直接涉及 NetFlow 標(biāo)準(zhǔn)的發(fā)展， Arbor 也是Juniper 高級合作伙伴 （得到這種身份唯一的公司）， Cisco 和 Juniper 都擁有 Arbor Networks 的股份。 這套系統(tǒng)還提供總體圖表和允許 網(wǎng)管人員把圖表放大以詳細(xì)觀看流量趨勢中細(xì)小的變化。通過下載 FingerPrint 數(shù)據(jù)庫，運(yùn)營商可以充分借鑒其它運(yùn)營商的經(jīng)驗(yàn)，并提高網(wǎng)絡(luò)的防攻擊能力。 DoS 平臺使用從運(yùn)營商網(wǎng)絡(luò)里的路由器收集的 Netflow數(shù)據(jù)來建立一個關(guān)于網(wǎng)絡(luò)流量的動態(tài)基線。可根據(jù)這一點(diǎn)將其內(nèi)容拿入到內(nèi)部，減少在 Peer上的花費(fèi)，同時提高內(nèi)部網(wǎng)絡(luò)的服務(wù)質(zhì)量。 多種屬性的相互關(guān)聯(lián)性分析 可真正實(shí)現(xiàn)從 AS、 IP 地址、應(yīng)用、指定用戶、指定路由器、指定設(shè)備端口、用戶指定屬性的感興趣點(diǎn)等以上各個用戶興趣點(diǎn)在全網(wǎng)內(nèi)的相互關(guān)聯(lián)性分析。從固化的操作系統(tǒng)到基于高速內(nèi)部核心的數(shù)據(jù)流收集子系統(tǒng)， Peakflow SP 是為符合可靠和大量數(shù)據(jù)處理能力的要求而設(shè)計(jì)。由于流量分析系統(tǒng)的結(jié)果已經(jīng)全部存儲到網(wǎng)管系統(tǒng)的統(tǒng)一數(shù)據(jù)庫，報表模塊不需要直接從流量分析系統(tǒng)采集原始數(shù)據(jù)，而可以直接從網(wǎng)管系統(tǒng)的數(shù)據(jù)庫中讀取數(shù)據(jù)，并將 Netflow分析結(jié)果與其它模塊的結(jié)果統(tǒng)一展現(xiàn)。 獲取路由器的 SNMP信息 Arbor 流量分析系統(tǒng)可以通過 SNMP 的方式獲取路由器上系統(tǒng)感興趣的信息，包括設(shè)備描述、 IOS 版本、端口索引、端口描述、端口流量情況、 CPU/Memory利用率等。通過對網(wǎng)絡(luò)流量分析， 可以發(fā)現(xiàn)潛在用戶群，為業(yè)務(wù)人員發(fā)展業(yè)務(wù)提供幫助。 5. 能夠?qū)M(jìn)入 XXXX 網(wǎng)通 互聯(lián)網(wǎng)的流量按照 PEER進(jìn)行分類和統(tǒng)計(jì)分析。通過在網(wǎng)絡(luò)的關(guān)鍵路由器 開啟 Netflow 來采集網(wǎng)絡(luò)流量，對網(wǎng)絡(luò)的作用主要體現(xiàn)在以下幾個方面： ? 流量分析和監(jiān)控 ? 根據(jù)流量計(jì)費(fèi) ? 網(wǎng)絡(luò)加速 ? 用于安全分析 下表是基于 SNMP 輪詢技術(shù)和 NETFLOW 采集技術(shù)的比較： SNMP 輪詢 NETFLOW 采集 采集端口流量統(tǒng)計(jì) 是 否 采集端到端流量 否 是 采集業(yè)務(wù)層流量 否 是 采集完整用戶業(yè)務(wù)流量 否 是 消耗網(wǎng)絡(luò)設(shè)備資源 較小 較多（但對高端設(shè)備性能影響不大） 適用電路 各種速率 GE、 POS 、POS 10Gbit/s 及以下 適用范圍 網(wǎng)絡(luò)各個層次 網(wǎng) 絡(luò)匯聚層和核心層 采集數(shù)據(jù)全面程度 較少 較全面 通過基于 NETFLOW 技術(shù)的流量分析系統(tǒng)對網(wǎng)絡(luò)流量的長期監(jiān)控，有助于網(wǎng)管人員了解網(wǎng)絡(luò)的流量模型，所形成的基準(zhǔn)數(shù)據(jù)，可供網(wǎng)管人員正確分析網(wǎng)絡(luò)使用狀況，并可及時發(fā)布異常警訊，在故障事件爆發(fā)或擴(kuò)大前實(shí)施防范措施，進(jìn)而提升整體網(wǎng)絡(luò)的質(zhì)量及效能。 在總體設(shè)計(jì)中，應(yīng)采用開放式的體系結(jié)構(gòu) ，使網(wǎng)絡(luò)分析系統(tǒng)易于擴(kuò)展，使相對獨(dú)立的分系統(tǒng)易于進(jìn)行組合和調(diào)整。 但由于市場競爭的需要，各廠家對新產(chǎn)品，新技術(shù)的發(fā)布總是要遠(yuǎn)遠(yuǎn)先于其實(shí)際成熟期的；對任何一個用戶而言，選擇一種不成熟的技術(shù)或產(chǎn)品，總是要冒一定的風(fēng)險的；尤其是對那些實(shí)用性要求高的用戶來說，更是如此；因此，當(dāng)先進(jìn)性的要求與成熟性要求發(fā)生矛盾時，成熟性則應(yīng)是優(yōu)先考慮的原則。 重點(diǎn)采集 IDC 的 flow數(shù)據(jù) . P a g e 3 C o m p a n y C o n f i d e n t i a l3部署拓?fù)銪ack b o n eOff On n etT r ansit互聯(lián)節(jié)點(diǎn)分布層CM CCIDCCTIDC 大客戶河北網(wǎng)通分布層骨干 同時 增加針對 DDoS 的流量清洗設(shè)備 TMS 遠(yuǎn)期： 實(shí)現(xiàn)全網(wǎng)的數(shù)據(jù)采集， 可以分析全網(wǎng)所有流量流向。既要考慮原有投資的保護(hù)，又要兼顧未來的發(fā)展 和變化。 可靠性原則 鑒于 XXXX 網(wǎng)通 互聯(lián)網(wǎng)規(guī)模較大，設(shè)備類型復(fù)雜，要求網(wǎng)絡(luò)分析系統(tǒng)必須具有較高的可靠性，和良好的網(wǎng)絡(luò)分析能力，這就要求充分考慮設(shè)備和線路的冗余備份。而且由于 SNMP 采集的數(shù)據(jù)是基于端口的，無法提供端到端的準(zhǔn)確的流量信息，因此對流向的統(tǒng)計(jì)手段不明確 。能夠根據(jù)用戶的地址范圍、互聯(lián)端口、 AS 號、 Community等靈活的設(shè)定用戶范圍，并能夠反映用戶的業(yè)務(wù)使用情況、訪問熱點(diǎn)地區(qū)、 Transit 流量以及用戶內(nèi)部的 TOP N Talker 等。 16. 流量分析系統(tǒng)支持分級分權(quán)管理功能，支持用戶根據(jù)需要進(jìn)行自定義的授權(quán)，開放相應(yīng)的權(quán)限和功能。如果路由器配置的采樣比過高（如 1000： 1 或更高），流量分析的誤差將加大，尤其對小數(shù)據(jù)流或混雜在大流量中的部分關(guān)鍵的小數(shù)據(jù)流的分析，更容易產(chǎn)生比較大的誤差。綜合網(wǎng)管平臺更加強(qiáng)調(diào)面向業(yè)務(wù)、面向用戶以及系統(tǒng)數(shù)據(jù)的綜合和統(tǒng)一。當(dāng)網(wǎng)絡(luò)擴(kuò)容時，隨著網(wǎng)絡(luò)中路由氣臺數(shù)的增加通過增加 Collector 方式即可實(shí)現(xiàn)擴(kuò)展，保護(hù)用戶的 投資。 單臺 Arbor Peakflow設(shè)備在配置大量監(jiān)控條件，并學(xué)習(xí) Inter 全部國際路由的情況下，能夠處理 50,000session/s（ 150 萬 session/分鐘）的 Netflow原始數(shù)據(jù)。 這些模型很好的 為 Peakflow 提供統(tǒng)計(jì)能力，超越以往只測量接口或者個別路由器的技術(shù)水平。運(yùn)營商的大客戶可以對自己的流量進(jìn)行監(jiān)控，并 自己配置監(jiān)控條件對其關(guān)心的內(nèi)容進(jìn)行分析。如果只找到源地址而無法知道病毒從哪里近來的話，現(xiàn)在大多數(shù)病毒都是通過地址欺騙來偽造的源地址，將無法實(shí)現(xiàn)病毒源頭的有效監(jiān)控。并且用戶可以通過一個界面了解到系統(tǒng)管理的所有設(shè)備和網(wǎng)絡(luò)的情況。 系統(tǒng)監(jiān)控 Arbor Peakflow系統(tǒng)能夠自動監(jiān)測系統(tǒng)所用設(shè)備的運(yùn)行情況， 以及系統(tǒng)監(jiān)控的Netflow Session數(shù)量，并能夠監(jiān)控各個設(shè)備的 CPU/Memory/磁盤等使用情況。網(wǎng)絡(luò)管理人員往往無法預(yù)先發(fā)現(xiàn)這些潛在的病毒與攻擊，一直要到有重大攻擊或者是大量病毒散播時才會收到告警開始處理，而此時電信運(yùn)營商或企業(yè)已經(jīng)因網(wǎng)絡(luò)中斷或性能下降遭受重大的損失。通過異常流量監(jiān)測系統(tǒng)的流量自學(xué)習(xí)功能掌握正常流量模型，同時利用系統(tǒng)的異常流量特征庫技術(shù)，及時發(fā)現(xiàn)和定位來自網(wǎng)絡(luò)內(nèi)部或外部的蠕蟲攻 擊、 DDOS 攻擊、網(wǎng)絡(luò)濫用行為等安全問題，分析和判斷異常流量、病毒或攻擊類型（例如 SQL、 Slammer 等大量占用鏈路資源的蠕蟲病毒攻擊）。 如下圖所示： “異常流量監(jiān)測系統(tǒng) IS”與“智能 流量過濾系統(tǒng) TMS”相配合共同對網(wǎng)絡(luò)流量的異常行為進(jìn)行監(jiān)測與控制的具體過程如下： 1) 由“異常流量監(jiān)測系統(tǒng)”實(shí)時的對全網(wǎng)流量進(jìn)行監(jiān)測； 2) “異常流量監(jiān)測系統(tǒng)”一旦發(fā)現(xiàn)異常流量事件，準(zhǔn)確的對該異常流量進(jìn)行定位，用戶可選擇使用“智能流量過濾系統(tǒng) TMS”進(jìn)行過濾； 3) “異常流量監(jiān)測系統(tǒng)”觸發(fā)“智能流量過濾系統(tǒng) TMS”的保護(hù)機(jī)制； 4) “智能流量過濾系統(tǒng) TMS”根據(jù)預(yù)先設(shè)定保護(hù)機(jī)制，向目標(biāo)路由器發(fā)送流量轉(zhuǎn)移路由策略，將該“異常流量”引至“ 智能流量過濾系統(tǒng) TMS”之中； 5) “ 智能流量過濾系統(tǒng) TMS”智 能對引入的流量進(jìn)行分析與識別，智能過濾所有攻擊或病毒流量； 6) 過濾后的“干凈”流量從“ 智能流量過濾系統(tǒng) TMS”出來，繼續(xù)對目標(biāo)網(wǎng)絡(luò)進(jìn)行正常訪問。 ? 實(shí)時提供網(wǎng)絡(luò)中熱點(diǎn)應(yīng)用分析，幫助運(yùn)營商掌握網(wǎng)絡(luò)的各類業(yè)務(wù)應(yīng)用的狀況。 ? 能夠提供 詳細(xì)的異常流量行為分析報告， 包括嚴(yán)重程度、起 /止時間、持續(xù)時間、異常類型、出 /入網(wǎng)方向、源 /目的地址、協(xié)議號、源 /目的端口、 TCP flag 信息、包大小、攻擊入 /出的設(shè)備端口，影響 的網(wǎng)絡(luò)設(shè)備 、攻擊流量的統(tǒng)計(jì)圖、平均速率、最大速率等信息。 ? 能夠?qū)崿F(xiàn)對指定大用戶和網(wǎng)絡(luò)中運(yùn)營商較為關(guān)心的 地區(qū)如 IDC 等的安全監(jiān)控和掃描，提供安全報告，保證重要用戶的安全。 ? 提供網(wǎng)絡(luò)中熱點(diǎn)應(yīng)用的流向特征和源頭分析，幫助運(yùn)營商找到應(yīng)用特征 和熱點(diǎn)地區(qū)，有助于運(yùn)營商的應(yīng)用發(fā)展決策，提高用戶服務(wù)。一旦發(fā)現(xiàn)“異常流量”，兩套系統(tǒng)間可實(shí)現(xiàn)聯(lián)動，準(zhǔn)確的將異常流量進(jìn)行引導(dǎo)。 SP IS 安全 解決方案 Peakflow SP IS 是 Arbor Networks 為運(yùn)營商度身定做的一套異常流量智能監(jiān)測系統(tǒng)。 電信運(yùn)營商網(wǎng)絡(luò)作為互聯(lián)網(wǎng)的載體和服務(wù)提供商，為廣大用戶綜合提供互聯(lián)網(wǎng)接入業(yè)務(wù)、信息業(yè)務(wù)、和增值業(yè)務(wù)。 精確的數(shù)據(jù)查詢和結(jié)果輸出 用戶通過 Arbor Peakflow系統(tǒng)可以以日 /周 /月 /年方式查詢歷史結(jié)果，同時還可以查詢一年內(nèi)任意時間段的分析結(jié)果。 先進(jìn)的報表能力 Peakflow SP 提供內(nèi)置最大和最尖端的流量特征化和網(wǎng)絡(luò)使用報表 —— 全部 為實(shí)時。 真正的 DDOS 攻擊分析 Peakflow SP 解決方案通過分析明顯的攻擊行為（ TCP Syn、 IP null、 TCP null、 Fragement、 TCP RST等明顯的攻擊行為）， 這些行為是明顯針對網(wǎng)絡(luò)中的服務(wù)器的攻擊事件，通過簡單的流量分析將無法分析出來，流量雖小，一旦針對某個重要服務(wù)器，如內(nèi)部提供內(nèi)容的 IDC 或 服務(wù)器，這些攻擊將是致命的。 Peakflow系統(tǒng)持續(xù)學(xué)習(xí)和對網(wǎng)絡(luò)流量和拓?fù)涞恼Ｇ闆r建立模型。 Peakflow 系統(tǒng)有獨(dú)特的能力分辨進(jìn)入，出外和骨干流量。 因此一臺 Arbor Peakflow設(shè)備就能夠完成 。 目前 Arbor Peakflow系列產(chǎn)品在國外的大型運(yùn)營商的網(wǎng)絡(luò)中已經(jīng)得到了廣泛的應(yīng)用，其中包括 ATamp。 結(jié)合 TMN 和 TOM 功能模型， IP 網(wǎng)管系統(tǒng)功能分為網(wǎng)元層、網(wǎng)絡(luò)層、業(yè)務(wù)層、事務(wù)處理層和客戶層，還包括系統(tǒng)自身的管理。因此在路由設(shè)備的 NETFLOW 采樣比率設(shè)置時，應(yīng)根據(jù)設(shè)備上需要打開 Netflow功能的板卡的主要類型并結(jié)合設(shè)備上開通的電路的流量情況重要程度，靈活 的設(shè)置路由設(shè)備的 NETFLOW 采樣比率，包括 100： 1， 500： 1，1000： 1 和 3000： 1 等。通過對網(wǎng)絡(luò)中業(yè)務(wù)情況的分析，了解用戶的使用習(xí)慣和訪問熱點(diǎn)，以便于更好的為用戶提供服務(wù)。流量分析系統(tǒng)應(yīng)能夠根據(jù)（源 /目的） IP 地址段 /自治域號 /Community/接入端口 /協(xié)議端口號 /BGP 屬性等定制流量分析內(nèi)容，并完成針對性的流量分析。同時電信運(yùn)營商目前的網(wǎng)管系統(tǒng)不具備業(yè)務(wù)層面的協(xié)議分析能力，對增值業(yè)務(wù)的開拓?zé)o法提供有力的依據(jù)和方案。用戶身份的假冒、應(yīng)用程序的非授權(quán)使用和損害或破壞性程序引入都是邏輯方面的威脅。這主要指： “從實(shí)際出發(fā)，講求實(shí)效” 業(yè)內(nèi)人士一致公認(rèn)，計(jì)算機(jī)技術(shù)，尤其是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展速度往往超乎人們的想象；每年新推出的技術(shù)和產(chǎn)品層出不窮；人們永遠(yuǎn)希望利用新技術(shù)，新產(chǎn)品，不要落后，但是，成熟的新產(chǎn)品也可能會對應(yīng)用環(huán)境提出新的要求，如果環(huán)境的改造不能同步，再新的技術(shù)和產(chǎn)品，也不能真正發(fā)揮起自身的優(yōu)勢；因此設(shè)計(jì)者必須根據(jù)投資的強(qiáng)度以及運(yùn)行條 件的可能，對所建系統(tǒng)、以及所用技術(shù)和產(chǎn)品進(jìn)行客觀地評估。 目前 IP 網(wǎng)絡(luò)的不斷發(fā)展對原有網(wǎng)絡(luò)可視化的管理提出了更高的要求， 主要如下： 由網(wǎng)絡(luò)攻擊的實(shí)時告警自動生成黑洞路由和 ACL模版 . BGP路由的穩(wěn)定行分析 更加靈活的 Flow監(jiān)控技術(shù)，用戶自定義 flow的采樣比或系統(tǒng)自學(xué)習(xí)采樣比的變化 支持多方的流量清洗設(shè)備互動 系統(tǒng)自動識別網(wǎng)內(nèi)網(wǎng)間互聯(lián)端口 被管理對象流量模型的靈活門限值設(shè)定 更加靈活的自定 蠕蟲傳播的實(shí)時發(fā)現(xiàn)與報告 . XMLSOAP 開發(fā)接口 Active Threat Feed 全球網(wǎng)絡(luò)指紋實(shí)時更新 針對 MPLS, IPv6, 和匯聚端口的豐富報表： 1) Visibility into VPN traffic, especially site x site. 2) BGPVPN route analytics (subset of BGP features). High Availability高可靠性的實(shí)時主備方案 最新的 Inter 匿名攻擊統(tǒng)計(jì) 流量清洗 方案必要性 本方案的必要性主要體現(xiàn)在以下幾個方面： (1) 通過本工程的建設(shè)，可以更好的實(shí)現(xiàn)基于業(yè)務(wù)流的性能測試和資源可用性監(jiān)測，分析總體業(yè)務(wù)發(fā)展趨勢和客戶行為，為網(wǎng)絡(luò)瓶頸排除和性能優(yōu)化提供依據(jù)； (2) 可以對網(wǎng)絡(luò)資源的使用情況進(jìn)行管理，避免因?yàn)橘Y源使用過度或使用狀況不明所導(dǎo)致的網(wǎng)絡(luò)服務(wù)質(zhì)量下 降； (3) 可以實(shí)現(xiàn)性能統(tǒng)計(jì)和性能趨勢分析，提供靈活的報表功能，提高網(wǎng)絡(luò)運(yùn)行維護(hù)水平；