許余川 江蘇省廣播電視監(jiān)測(cè)臺(tái)

1. 引言

“十三五”期間，我國(guó)廣播電視進(jìn)入“互聯(lián)網(wǎng)+”時(shí)代，廣電業(yè)務(wù)從廣播式向交互式發(fā)展、從單一化向多元化演變。云計(jì)算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、區(qū)塊鏈等新一代信息技術(shù)與廣播電視高度融合，推動(dòng)了廣播電視的網(wǎng)絡(luò)化、智能化，但是新技術(shù)也給行業(yè)帶來(lái)了新課題、新挑戰(zhàn)，即如何提升廣電網(wǎng)絡(luò)的安全保障能力。

目前，一方面敲詐勒索病毒盛行、網(wǎng)絡(luò)攻擊“武器庫(kù)”泄露、APT組織依然活躍，另一方面，江蘇省廣播電視監(jiān)測(cè)臺(tái)現(xiàn)有監(jiān)測(cè)網(wǎng)絡(luò)覆蓋全省13個(gè)地市和61個(gè)縣(區(qū))，承載有線電視、IPTV、互聯(lián)網(wǎng)視聽節(jié)目、調(diào)頻廣播等監(jiān)測(cè)數(shù)據(jù)，覆蓋面廣、業(yè)務(wù)繁多。在如此嚴(yán)峻的形勢(shì)下，對(duì)全省廣電監(jiān)測(cè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)態(tài)勢(shì)監(jiān)管具有緊迫性、必要性，是提高我省廣播電視安全播出保障水平的重要之舉。

2.系統(tǒng)架構(gòu)

網(wǎng)絡(luò)態(tài)勢(shì)監(jiān)管系統(tǒng)不同于傳統(tǒng)的應(yīng)用開發(fā)，使用J2EE技術(shù)架構(gòu)。首先，J2EE是多層分布式模型，應(yīng)用邏輯按功能劃分為組件，各個(gè)應(yīng)用組件根據(jù)所在層分布在不同的機(jī)器上，具有很好的穩(wěn)定性、可靠性以及靈活性。其次，J2EE提供了一系列中間件來(lái)簡(jiǎn)化諸多復(fù)雜問(wèn)題，業(yè)務(wù)邏輯被封裝成可復(fù)用的組件，設(shè)計(jì)人員僅需關(guān)注業(yè)務(wù)實(shí)現(xiàn)，無(wú)需考慮容器實(shí)現(xiàn)，降低了系統(tǒng)的實(shí)現(xiàn)難度。

在硬件上，網(wǎng)絡(luò)態(tài)勢(shì)監(jiān)管系統(tǒng)的關(guān)鍵設(shè)備包括數(shù)據(jù)庫(kù)服務(wù)器、網(wǎng)絡(luò)交換機(jī)、負(fù)載均衡器等，且關(guān)鍵設(shè)備均采用熱備或群集方式，所以系統(tǒng)不存在單點(diǎn)故障，能夠保證系統(tǒng)7×24小時(shí)不間斷工作。此外，系統(tǒng)具有一定的擴(kuò)展性，當(dāng)用戶數(shù)和數(shù)據(jù)量增加時(shí)，可平滑地增加硬件設(shè)備數(shù)量，如數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器、WEB服務(wù)器等，進(jìn)一步提高系統(tǒng)的處理能力和使用壽命。

3.總體功能

網(wǎng)絡(luò)態(tài)勢(shì)監(jiān)管系統(tǒng)是監(jiān)控常用網(wǎng)絡(luò)設(shè)備、交互數(shù)據(jù)的管理系統(tǒng)。通過(guò)網(wǎng)絡(luò)態(tài)勢(shì)監(jiān)管系統(tǒng)，我們可以實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)狀態(tài)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的存在問(wèn)題，方便我們對(duì)網(wǎng)絡(luò)的管理與監(jiān)控，提高監(jiān)管效率、降低人力成本。系統(tǒng)主要包括網(wǎng)絡(luò)設(shè)備管理、網(wǎng)絡(luò)流量分析、SYSLOG日志分析、集中告警、統(tǒng)計(jì)報(bào)表等幾個(gè)功能模塊。

3.1 網(wǎng)絡(luò)設(shè)備管理

對(duì)常用網(wǎng)絡(luò)設(shè)備的監(jiān)控管理，包括路由器、交換機(jī)、防火墻等。

（1）設(shè)備拓?fù)浒l(fā)現(xiàn)

自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中的設(shè)備，包括設(shè)備基本信息、接口信息、設(shè)備之間的連接關(guān)系等，被發(fā)現(xiàn)設(shè)備自動(dòng)添加到管理系統(tǒng)中，如圖1所示。

設(shè)備信息包括：設(shè)備名、設(shè)備IP地址、設(shè)備描述等。

圖1 設(shè)備狀態(tài)和性能監(jiān)控

接口信息包括：MAC地址、IP地址、接口類型、帶寬速率等。

設(shè)備之間的連接關(guān)系包括：源設(shè)備、源端口、目的設(shè)備、目的端口。

網(wǎng)絡(luò)拓?fù)渥詣?dòng)更新網(wǎng)絡(luò)拓?fù)鋱D中各網(wǎng)絡(luò)節(jié)點(diǎn)的運(yùn)行狀態(tài)，協(xié)助網(wǎng)管人員進(jìn)行全面監(jiān)控，簡(jiǎn)化網(wǎng)絡(luò)監(jiān)控部署工作量。實(shí)時(shí)采集網(wǎng)絡(luò)設(shè)備的狀態(tài)和性能等信息，網(wǎng)管人員可以根據(jù)實(shí)際情況，靈活制定策略，關(guān)注網(wǎng)絡(luò)設(shè)備性能指標(biāo)、時(shí)間采集頻率以及各個(gè)指標(biāo)的告警閾值。

（2）動(dòng)態(tài)網(wǎng)絡(luò)拓?fù)鋱D

網(wǎng)絡(luò)態(tài)勢(shì)監(jiān)管系統(tǒng)可以展示網(wǎng)絡(luò)實(shí)時(shí)負(fù)載分布、設(shè)備連續(xù)運(yùn)行時(shí)間、流量分布等多種對(duì)管理有價(jià)值的信息。系統(tǒng)能在拓?fù)鋱D上，以不同顏色實(shí)時(shí)反映網(wǎng)絡(luò)節(jié)點(diǎn)間鏈路流量、丟包、錯(cuò)包、帶寬、鏈路通斷等信息。網(wǎng)管人員通過(guò)瀏覽器操作拓?fù)鋱D功能，一方面可在界面上實(shí)際操作各種拓?fù)鋱D的情況，如創(chuàng)建示意設(shè)備、示意鏈路，通過(guò)拖拽方式修改拓?fù)鋱D內(nèi)容等。另一方面可按設(shè)備類型、名稱、IP地址等，快速定位網(wǎng)絡(luò)拓?fù)鋱D中的設(shè)備。此外，網(wǎng)絡(luò)拓?fù)鋱D的查看和修改是按照用戶域和用戶角色定義來(lái)嚴(yán)格限制的，不同用戶擁有不同的權(quán)限。例如通過(guò)IPTV拓?fù)鋱D，我們可以掌握IPTV設(shè)備的鏈路情況，如圖2所示。

圖2 網(wǎng)絡(luò)拓?fù)鋱D

（3）端口監(jiān)控

系統(tǒng)能夠監(jiān)測(cè)指定路由器接口的標(biāo)準(zhǔn)帶寬、入帶寬利用率、出帶寬利用率、入丟包率、出丟包率等，如圖3所示。

端口性能指標(biāo)包括：帶寬、出入速率、出入利用率、出入丟包率、出入誤碼率等。

（4）設(shè)備性能閥值基線告警

圖3 端口監(jiān)控圖

性能閥值告警常用的規(guī)則定義中閥值為固定值，需要增加基線告警，通過(guò)對(duì)歷史數(shù)據(jù)的統(tǒng)計(jì)分析得出性能的時(shí)間基線，當(dāng)性能指標(biāo)超過(guò)基線的一定范圍后，則會(huì)觸發(fā)告警。性能基線支持日基線、周基線、月基線等，基線的觸發(fā)方式支持超過(guò)基線、低于基線等，基線的觸發(fā)值支持固定值、比例等。

（5）設(shè)備Ping監(jiān)測(cè)

Ping狀態(tài)監(jiān)測(cè)：系統(tǒng)周期向管理對(duì)象的IP地址發(fā)起Ping測(cè)試，當(dāng)IP地址Ping不通時(shí)，系統(tǒng)生成告警信息。

Ping延時(shí)監(jiān)測(cè)：系統(tǒng)周期向管理對(duì)象的IP地址發(fā)起Ping測(cè)試，記錄每次的延時(shí)值，形成歷史變化趨勢(shì)，當(dāng)有抖動(dòng)發(fā)生時(shí)可以自動(dòng)生成告警信息。

（6）IP路由監(jiān)測(cè)

IP當(dāng)前路由查詢：可以查詢從服務(wù)器到指定IP地址之間的路由信息，記錄每一跳的IP地址、時(shí)延值、是否可達(dá)等信息。

IP標(biāo)準(zhǔn)路由采集：可以把采集到的路由信息設(shè)置為標(biāo)準(zhǔn)路由信息，作為以后比較的參照值。

IP異常路由告警：周期采集IP地址的路由信息，與之前設(shè)置的標(biāo)準(zhǔn)路由信息進(jìn)行比較，如果有異常則自動(dòng)生成告警信息，如果某一跳的路由延時(shí)超過(guò)閥值或者不可達(dá)，則自動(dòng)生成告警信息。

IP異常路由對(duì)比：當(dāng)指定的IP地址不可達(dá)時(shí)，可以自動(dòng)比對(duì)當(dāng)前路由信息與標(biāo)準(zhǔn)路由信息之間的值，找出當(dāng)前路由從哪一跳開始異常。

3.2 網(wǎng)絡(luò)流量分析

（1）數(shù)據(jù)模型

網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)模型包含以下：

網(wǎng)絡(luò)數(shù)據(jù)包基礎(chǔ)數(shù)據(jù)：發(fā)送時(shí)間、包字節(jié)數(shù)。

二層協(xié)議數(shù)據(jù)：源MAC地址、目的MAC地址。

三層協(xié)議數(shù)據(jù)：源IP地址、目的IP地址、協(xié)議類型（ICMP、UDP、TCP）。

TCP協(xié)議數(shù)據(jù)：源端口、目的端口、TCP標(biāo)志位（SYN、PSUH、FIN）。

UDP協(xié)議：源端口、目的端口。

（2）統(tǒng)計(jì)數(shù)據(jù)

全網(wǎng)IP地址流量分布：統(tǒng)計(jì)指定時(shí)間段內(nèi)，全網(wǎng)IP地址流量排名情況，了解網(wǎng)內(nèi)流量最大的IP地址，如圖4所示。

圖4 IP流量分布圖

指定IP地址流量變化趨勢(shì)：統(tǒng)計(jì)指定IP地址流量和數(shù)據(jù)包數(shù)量的變化趨勢(shì)，了解流量和數(shù)據(jù)包數(shù)量的高峰值和時(shí)間點(diǎn)。

指定IP地址的對(duì)端IP地址流量分布：統(tǒng)計(jì)指定IP地址的對(duì)端IP地址流量排名情況，了解指定服務(wù)器最大流量的對(duì)端IP地址。

指定IP地址的應(yīng)用端口流量分布：統(tǒng)計(jì)指定IP地址的應(yīng)用端口流量排名情況，可以了解指定服務(wù)器的最大流量的應(yīng)用端口，如圖5所示。

指定IP地址對(duì)的流量變化趨勢(shì)：統(tǒng)計(jì)指定IP對(duì)之間的流量和數(shù)據(jù)包數(shù)量的變化趨勢(shì)，了解其高峰值和時(shí)間點(diǎn)。

（3）流量異常告警

圖5 端口流量監(jiān)控

異常IP告警：設(shè)置全網(wǎng)IP地址白名單，當(dāng)出現(xiàn)非白名單IP地址時(shí)，系統(tǒng)自動(dòng)告警。

異常通訊端口告警：可以設(shè)置通訊端口白名單，當(dāng)有不在白名單里的通訊端口出現(xiàn)時(shí)，系統(tǒng)自動(dòng)告警。

SYN攻擊告警：當(dāng)有頻繁的SYN請(qǐng)求時(shí)告警。

TCP重傳告警：當(dāng)有頻繁的TCP連接重傳時(shí)告警。

IP流量趨勢(shì)告警：可以針對(duì)單個(gè)IP或者IP對(duì)設(shè)置流量告警閥值，當(dāng)流量超過(guò)指定閥值時(shí)告警。

（4）告警IP統(tǒng)計(jì)告警報(bào)表按照IP地址分類，對(duì)告警信息進(jìn)行統(tǒng)計(jì)。網(wǎng)管人員通過(guò)餅圖、柱狀圖等，可以直觀看到系統(tǒng)中各IP對(duì)象的告警個(gè)數(shù)、所占比例，如圖6所示。

圖6 IP告警報(bào)表

3.3 SYSLOG日志分析

實(shí)時(shí)顯示收集到的SYSLOG日志信息，每2秒自動(dòng)刷新頁(yè)面，顯示最新的日志信息?？梢愿鶕?jù)IP地址、設(shè)施名、重要度和關(guān)鍵字進(jìn)行查詢?nèi)罩拘畔ⅲ鐖D7所示。

圖7 SYSLOG日志監(jiān)控

SYSLOG歷史查詢：SYSLOG收集的日志數(shù)據(jù)全量存儲(chǔ)到系統(tǒng)，可以根據(jù)相關(guān)條件查詢歷史日志信息。如查詢指定IP地址的日志信息、查詢指定級(jí)別的日志信息、查詢指定設(shè)施名的日志信息等。

SYSLOG告警設(shè)置：可以設(shè)置SYSLOG告警規(guī)則，當(dāng)滿足指定條件時(shí)系統(tǒng)自動(dòng)生成告警信息。

3.4 集中告警

通過(guò)集中告警功能，我們可以直觀地看到系統(tǒng)中的告警情況，如存在Ping測(cè)試告警、SYSLOG日志告警、模擬測(cè)試告警、網(wǎng)絡(luò)核心交換設(shè)備告警、網(wǎng)絡(luò)流量分析告警等，以及這些告警類型的比例、這些告警所在的網(wǎng)絡(luò)區(qū)域、這些告警類型所對(duì)應(yīng)的具體原因等。針對(duì)特定告警，系統(tǒng)可以給出具體告警的詳細(xì)信息，并快速定位到產(chǎn)生告警的機(jī)房、設(shè)備、端口，從而協(xié)助技術(shù)人員對(duì)網(wǎng)絡(luò)故障進(jìn)行精準(zhǔn)定位和及時(shí)排除。

3.5 統(tǒng)計(jì)報(bào)表

通過(guò)統(tǒng)計(jì)報(bào)表功能，我們可以對(duì)系統(tǒng)中的告警情況進(jìn)行統(tǒng)計(jì)分析，如按監(jiān)管類型進(jìn)行統(tǒng)計(jì)分析，可以看出告警的類型分布；按級(jí)別進(jìn)行統(tǒng)計(jì)分析，可以看出告警的級(jí)別分布情況；按所屬業(yè)務(wù)系統(tǒng)進(jìn)行統(tǒng)計(jì)分析，可以看出告警的業(yè)務(wù)系統(tǒng)分布情況；按所屬區(qū)域進(jìn)行統(tǒng)計(jì)分析，可以看出告警的區(qū)域分布情況，如圖8所示。此外，還可對(duì)告警信息按時(shí)間段進(jìn)行統(tǒng)計(jì)分析，以直觀地看到系統(tǒng)的告警趨勢(shì)圖；對(duì)告警信息按照IP地址進(jìn)行統(tǒng)計(jì)分析，可以看到系統(tǒng)中告警最多的前N位IP對(duì)象，從而有針對(duì)性地展開網(wǎng)絡(luò)安全排查工作。

4.結(jié)束語(yǔ)

網(wǎng)絡(luò)態(tài)勢(shì)監(jiān)管系統(tǒng)可以為關(guān)鍵業(yè)務(wù)系統(tǒng)的安全運(yùn)行提供多方位技術(shù)支撐，可以協(xié)助技術(shù)人員全方位了解和掌握全省監(jiān)測(cè)網(wǎng)絡(luò)的運(yùn)行態(tài)勢(shì)，發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的安全隱患，并及時(shí)進(jìn)行安全策略調(diào)整和核心設(shè)備的維護(hù)，能夠?yàn)樯霞?jí)行政管理部門提供有效管理手段，提高了省監(jiān)測(cè)臺(tái)信息安全能力，進(jìn)一步提升了我省廣播電視安全播出保障水平。此外，省監(jiān)測(cè)臺(tái)借助該系統(tǒng)，完成多期《網(wǎng)絡(luò)態(tài)勢(shì)監(jiān)管月報(bào)》，清晰展現(xiàn)了全省監(jiān)測(cè)網(wǎng)絡(luò)的安全態(tài)勢(shì)。

圖8 告警區(qū)域統(tǒng)計(jì)