江苏省网络态势监管系统

许余川 江苏省广播电视监测台

1. 引言

“十三五”期间，我国广播电视进入“互联网+”时代，广电业务从广播式向交互式发展、从单一化向多元化演变。云计算、大数据、人工智能、物联网、区块链等新一代信息技术与广播电视高度融合，推动了广播电视的网络化、智能化，但是新技术也给行业带来了新课题、新挑战，即如何提升广电网络的安全保障能力。

目前，一方面敲诈勒索病毒盛行、网络攻击“武器库”泄露、APT组织依然活跃，另一方面，江苏省广播电视监测台现有监测网络覆盖全省13个地市和61个县(区)，承载有线电视、IPTV、互联网视听节目、调频广播等监测数据，覆盖面广、业务繁多。在如此严峻的形势下，对全省广电监测网络进行网络态势监管具有紧迫性、必要性，是提高我省广播电视安全播出保障水平的重要之举。

2.系统架构

网络态势监管系统不同于传统的应用开发，使用J2EE技术架构。首先，J2EE是多层分布式模型，应用逻辑按功能划分为组件，各个应用组件根据所在层分布在不同的机器上，具有很好的稳定性、可靠性以及灵活性。其次，J2EE提供了一系列中间件来简化诸多复杂问题，业务逻辑被封装成可复用的组件，设计人员仅需关注业务实现，无需考虑容器实现，降低了系统的实现难度。

在硬件上，网络态势监管系统的关键设备包括数据库服务器、网络交换机、负载均衡器等，且关键设备均采用热备或群集方式，所以系统不存在单点故障，能够保证系统7×24小时不间断工作。此外，系统具有一定的扩展性，当用户数和数据量增加时，可平滑地增加硬件设备数量，如数据库服务器、应用服务器、WEB服务器等，进一步提高系统的处理能力和使用寿命。

3.总体功能

网络态势监管系统是监控常用网络设备、交互数据的管理系统。通过网络态势监管系统，我们可以实时监控网络设备和网络状态，及时发现网络中的存在问题，方便我们对网络的管理与监控，提高监管效率、降低人力成本。系统主要包括网络设备管理、网络流量分析、SYSLOG日志分析、集中告警、统计报表等几个功能模块。

3.1 网络设备管理

对常用网络设备的监控管理，包括路由器、交换机、防火墙等。

（1）设备拓扑发现

自动发现网络中的设备，包括设备基本信息、接口信息、设备之间的连接关系等，被发现设备自动添加到管理系统中，如图1所示。

设备信息包括：设备名、设备IP地址、设备描述等。

图1 设备状态和性能监控

接口信息包括：MAC地址、IP地址、接口类型、带宽速率等。

设备之间的连接关系包括：源设备、源端口、目的设备、目的端口。

网络拓扑自动更新网络拓扑图中各网络节点的运行状态，协助网管人员进行全面监控，简化网络监控部署工作量。实时采集网络设备的状态和性能等信息，网管人员可以根据实际情况，灵活制定策略，关注网络设备性能指标、时间采集频率以及各个指标的告警阈值。

（2）动态网络拓扑图

网络态势监管系统可以展示网络实时负载分布、设备连续运行时间、流量分布等多种对管理有价值的信息。系统能在拓扑图上，以不同颜色实时反映网络节点间链路流量、丢包、错包、带宽、链路通断等信息。网管人员通过浏览器操作拓扑图功能，一方面可在界面上实际操作各种拓扑图的情况，如创建示意设备、示意链路，通过拖拽方式修改拓扑图内容等。另一方面可按设备类型、名称、IP地址等，快速定位网络拓扑图中的设备。此外，网络拓扑图的查看和修改是按照用户域和用户角色定义来严格限制的，不同用户拥有不同的权限。例如通过IPTV拓扑图，我们可以掌握IPTV设备的链路情况，如图2所示。

图2 网络拓扑图

（3）端口监控

系统能够监测指定路由器接口的标准带宽、入带宽利用率、出带宽利用率、入丢包率、出丢包率等，如图3所示。

端口性能指标包括：带宽、出入速率、出入利用率、出入丢包率、出入误码率等。

（4）设备性能阀值基线告警

图3 端口监控图

性能阀值告警常用的规则定义中阀值为固定值，需要增加基线告警，通过对历史数据的统计分析得出性能的时间基线，当性能指标超过基线的一定范围后，则会触发告警。性能基线支持日基线、周基线、月基线等，基线的触发方式支持超过基线、低于基线等，基线的触发值支持固定值、比例等。

（5）设备Ping监测

Ping状态监测：系统周期向管理对象的IP地址发起Ping测试，当IP地址Ping不通时，系统生成告警信息。

Ping延时监测：系统周期向管理对象的IP地址发起Ping测试，记录每次的延时值，形成历史变化趋势，当有抖动发生时可以自动生成告警信息。

（6）IP路由监测

IP当前路由查询：可以查询从服务器到指定IP地址之间的路由信息，记录每一跳的IP地址、时延值、是否可达等信息。

IP标准路由采集：可以把采集到的路由信息设置为标准路由信息，作为以后比较的参照值。

IP异常路由告警：周期采集IP地址的路由信息，与之前设置的标准路由信息进行比较，如果有异常则自动生成告警信息，如果某一跳的路由延时超过阀值或者不可达，则自动生成告警信息。

IP异常路由对比：当指定的IP地址不可达时，可以自动比对当前路由信息与标准路由信息之间的值，找出当前路由从哪一跳开始异常。

3.2 网络流量分析

（1）数据模型

网络数据包的数据模型包含以下：

网络数据包基础数据：发送时间、包字节数。

二层协议数据：源MAC地址、目的MAC地址。

三层协议数据：源IP地址、目的IP地址、协议类型（ICMP、UDP、TCP）。

TCP协议数据：源端口、目的端口、TCP标志位（SYN、PSUH、FIN）。

UDP协议：源端口、目的端口。

（2）统计数据

全网IP地址流量分布：统计指定时间段内，全网IP地址流量排名情况，了解网内流量最大的IP地址，如图4所示。

图4 IP流量分布图

指定IP地址流量变化趋势：统计指定IP地址流量和数据包数量的变化趋势，了解流量和数据包数量的高峰值和时间点。

指定IP地址的对端IP地址流量分布：统计指定IP地址的对端IP地址流量排名情况，了解指定服务器最大流量的对端IP地址。

指定IP地址的应用端口流量分布：统计指定IP地址的应用端口流量排名情况，可以了解指定服务器的最大流量的应用端口，如图5所示。

指定IP地址对的流量变化趋势：统计指定IP对之间的流量和数据包数量的变化趋势，了解其高峰值和时间点。

（3）流量异常告警

图5 端口流量监控

异常IP告警：设置全网IP地址白名单，当出现非白名单IP地址时，系统自动告警。

异常通讯端口告警：可以设置通讯端口白名单，当有不在白名单里的通讯端口出现时，系统自动告警。

SYN攻击告警：当有频繁的SYN请求时告警。

TCP重传告警：当有频繁的TCP连接重传时告警。

IP流量趋势告警：可以针对单个IP或者IP对设置流量告警阀值，当流量超过指定阀值时告警。

（4）告警IP统计告警报表按照IP地址分类，对告警信息进行统计。网管人员通过饼图、柱状图等，可以直观看到系统中各IP对象的告警个数、所占比例，如图6所示。

图6 IP告警报表

3.3 SYSLOG日志分析

实时显示收集到的SYSLOG日志信息，每2秒自动刷新页面，显示最新的日志信息。可以根据IP地址、设施名、重要度和关键字进行查询日志信息，如图7所示。

图7 SYSLOG日志监控

SYSLOG历史查询：SYSLOG收集的日志数据全量存储到系统，可以根据相关条件查询历史日志信息。如查询指定IP地址的日志信息、查询指定级别的日志信息、查询指定设施名的日志信息等。

SYSLOG告警设置：可以设置SYSLOG告警规则，当满足指定条件时系统自动生成告警信息。

3.4 集中告警

通过集中告警功能，我们可以直观地看到系统中的告警情况，如存在Ping测试告警、SYSLOG日志告警、模拟测试告警、网络核心交换设备告警、网络流量分析告警等，以及这些告警类型的比例、这些告警所在的网络区域、这些告警类型所对应的具体原因等。针对特定告警，系统可以给出具体告警的详细信息，并快速定位到产生告警的机房、设备、端口，从而协助技术人员对网络故障进行精准定位和及时排除。

3.5 统计报表

通过统计报表功能，我们可以对系统中的告警情况进行统计分析，如按监管类型进行统计分析，可以看出告警的类型分布；按级别进行统计分析，可以看出告警的级别分布情况；按所属业务系统进行统计分析，可以看出告警的业务系统分布情况；按所属区域进行统计分析，可以看出告警的区域分布情况，如图8所示。此外，还可对告警信息按时间段进行统计分析，以直观地看到系统的告警趋势图；对告警信息按照IP地址进行统计分析，可以看到系统中告警最多的前N位IP对象，从而有针对性地展开网络安全排查工作。

4.结束语

网络态势监管系统可以为关键业务系统的安全运行提供多方位技术支撑，可以协助技术人员全方位了解和掌握全省监测网络的运行态势，发现网络中潜在的安全隐患，并及时进行安全策略调整和核心设备的维护，能够为上级行政管理部门提供有效管理手段，提高了省监测台信息安全能力，进一步提升了我省广播电视安全播出保障水平。此外，省监测台借助该系统，完成多期《网络态势监管月报》，清晰展现了全省监测网络的安全态势。

图8 告警区域统计