IDC流量監(jiān)測(cè)與分析系統(tǒng)

1. 系統(tǒng)概述

IDC流量監(jiān)測(cè)與分析系統(tǒng)通過(guò)對(duì)IDC出入口前端進(jìn)行分流、匯聚、DPI采集解析及大數(shù)據(jù)挖掘分析能識(shí)別到網(wǎng)絡(luò)中所有類型的網(wǎng)絡(luò)流量，根據(jù)特征精確識(shí)別IDC流量自有應(yīng)用和非自有應(yīng)用，對(duì)全面了解流量流向、用戶行為特征、社情民意、做好網(wǎng)絡(luò)宣傳監(jiān)管工作具有重要意義，同時(shí)也是各IDC運(yùn)營(yíng)企業(yè)加強(qiáng)網(wǎng)絡(luò)安全管理的重要工具。

（系統(tǒng)工作流程圖）

2. 組網(wǎng)及部署方案

IDC流量監(jiān)測(cè)與分析系統(tǒng)主要分為兩種組網(wǎng)和部署方案，一種是并接，一種是串接。

• 并接部署方案

并接部署方式是將在IDC機(jī)房核心路由器的出口處，進(jìn)行分光割接，輸送一路數(shù)據(jù)到IDC流量檢測(cè)與分析系統(tǒng)中進(jìn)行分析，系統(tǒng)與現(xiàn)網(wǎng)是旁路關(guān)系，網(wǎng)絡(luò)拓?fù)淙缦隆?img loading="lazy" class="size-full wp-image-592 aligncenter" src="http://yuhe688.com/wp-content/uploads/2020/08/微信截圖_20200821110454.png" alt="" width="486" height="288" srcset="http://yuhe688.com/wp-content/uploads/2020/08/微信截圖_20200821110454.png 486w, http://yuhe688.com/wp-content/uploads/2020/08/微信截圖_20200821110454-300x178.png 300w" sizes="(max-width: 486px) 100vw, 486px" />

• 串接部署方案

串接部署方式是將在IDC機(jī)房核心路由器的出口處，部署bypass光保護(hù)設(shè)備，將IDC流量檢測(cè)與分析系統(tǒng)串接到現(xiàn)網(wǎng)當(dāng)中，網(wǎng)絡(luò)拓?fù)淙缦隆?img loading="lazy" class="aligncenter size-full wp-image-593" src="http://yuhe688.com/wp-content/uploads/2020/08/微信截圖_20200821110526.png" alt="" width="487" height="279" srcset="http://yuhe688.com/wp-content/uploads/2020/08/微信截圖_20200821110526.png 487w, http://yuhe688.com/wp-content/uploads/2020/08/微信截圖_20200821110526-300x172.png 300w" sizes="(max-width: 487px) 100vw, 487px" />

3. 系統(tǒng)主要功能及特色

?

• DPI應(yīng)用精準(zhǔn)識(shí)別

IDC流量監(jiān)測(cè)與分析系統(tǒng)同時(shí)支持基于IPv4和IPv6的應(yīng)用類型采集識(shí)別。各類應(yīng)用流量采集識(shí)別結(jié)果字段中詳細(xì)定義了不同類應(yīng)用所需識(shí)別的關(guān)鍵字段，關(guān)鍵字段滿足業(yè)界技術(shù)規(guī)范和要求。

IDC流量監(jiān)測(cè)與分析系統(tǒng)可以實(shí)現(xiàn)對(duì)特定用戶組的特定應(yīng)用進(jìn)行詳細(xì)數(shù)據(jù)采集。系統(tǒng)可監(jiān)測(cè)與分析用戶組信息和應(yīng)用信息，包括所屬BRAS、鏈路編號(hào)、流量類型、源目的IP和端口號(hào)、起始時(shí)間。

IDC流量監(jiān)測(cè)與分析系統(tǒng)持續(xù)跟蹤各種主流網(wǎng)絡(luò)應(yīng)用和其他應(yīng)用的發(fā)展和演進(jìn)，形成協(xié)議采集識(shí)別的標(biāo)準(zhǔn)流程，通過(guò)采用定期或是不定期方式更新IDC流量監(jiān)測(cè)與分析系統(tǒng)應(yīng)用識(shí)別能力。IDC流量監(jiān)測(cè)與分析系統(tǒng)能夠通過(guò)系統(tǒng)升級(jí)、導(dǎo)入新的應(yīng)用特征等方式對(duì)已知應(yīng)用變種和未知應(yīng)用進(jìn)行識(shí)別。

目前支持的業(yè)務(wù)種類包括：P2P業(yè)務(wù)、VoIP業(yè)務(wù)、安全、財(cái)經(jīng)、彩信、導(dǎo)航、動(dòng)漫、即時(shí)通信、瀏覽下載、其他業(yè)務(wù)、社交、視頻、音樂(lè)、應(yīng)用商店、郵箱、游戲、閱讀、支付等超過(guò)5000種。

• 用戶行為采集識(shí)別與分析

支持對(duì)特定用戶、用戶組、全部用戶等多個(gè)維度的流量實(shí)時(shí)識(shí)別和數(shù)據(jù)采集，統(tǒng)計(jì)其在一定的時(shí)間維度內(nèi)(如5分鐘)用戶瀏覽不同網(wǎng)站類型的次數(shù)，統(tǒng)計(jì)其在一些搜索網(wǎng)站的搜索關(guān)鍵詞等信息，以對(duì)用戶的偏好分析并進(jìn)行關(guān)聯(lián)信息的推送。

支持針對(duì)用戶偏好進(jìn)行信息識(shí)別分析，包括數(shù)據(jù)統(tǒng)計(jì)開始、結(jié)束時(shí)間、用戶組、用戶感興趣的網(wǎng)站類型、用戶感興趣的關(guān)鍵詞等。

支持對(duì)其他運(yùn)營(yíng)商利用IDC流量網(wǎng)絡(luò)資源進(jìn)行非法二次運(yùn)營(yíng)的行為的檢測(cè)。檢測(cè)結(jié)果括數(shù)據(jù)統(tǒng)計(jì)開始、結(jié)束時(shí)間，非法路由接入點(diǎn)的位置，所接入的非法用戶IP地址及所屬運(yùn)營(yíng)商，通過(guò)該非法路由接入點(diǎn)產(chǎn)生的流量等信息。

• DDOS異常流量檢測(cè)與管理

支持從特定用戶、用戶組、全部用戶等多個(gè)維度對(duì)檢測(cè)應(yīng)用層的攻擊：如TCP SYN FLOOD、ICMP攻擊、 CC攻擊、HTTP Get Flood、HTTP Post Flood、 SIP Flood、DNS Query Flood、DNS Reply Flood、Connection Flood等。檢測(cè)結(jié)果可統(tǒng)計(jì)一定周期(如5分鐘內(nèi))的攻擊開始、結(jié)束時(shí)間，被攻擊的IP地址，應(yīng)用層攻擊類型，應(yīng)用層攻擊流量，應(yīng)用層攻擊速率，攻擊源所在區(qū)域數(shù)，攻擊源地址數(shù)。

支持針對(duì)網(wǎng)絡(luò)層和應(yīng)用層DDoS攻擊流量進(jìn)行限速或者進(jìn)行智能鏡像的管理方式，支持針對(duì)指定目標(biāo)地址的應(yīng)用進(jìn)行限速或者進(jìn)行流量牽引等的管理方式。

• AAA信息采集識(shí)別功能

支持從AAA系統(tǒng)獲取用戶上下線的RADIUS信息，系統(tǒng)中由特定設(shè)備完成相關(guān)功能。當(dāng)網(wǎng)絡(luò)支持將RADIUS報(bào)文分光或鏡像時(shí)，設(shè)備支持監(jiān)聽模式獲取RADIUS報(bào)文中的用戶上線信息。

通過(guò)監(jiān)測(cè)用戶上下線信令所經(jīng)過(guò)的物理鏈路，檢測(cè)其中的信令交互過(guò)程，及時(shí)識(shí)別出其中的關(guān)鍵字段(必含字段：UserName、Framed-IP-Address 、NAS-IP-Address、NAS-Identifier)。

• BGP路由檢測(cè)與識(shí)別

IDC流量監(jiān)測(cè)與分析系統(tǒng)符合RFC 4271-BGP4 協(xié)議中規(guī)定的支持基本BGP功能和要求。

BGP類消息包OPEN、UPDATE、KEEPALIVE、NOTIFICATION格式規(guī)定，消息包含的基本要求。支持ROUTE- REFRESH 消息類型格式規(guī)定。

• 流量流向采集識(shí)別

支持BGP功能，通過(guò)BGP獲取AS和IP路由對(duì)應(yīng)關(guān)系。

支持根據(jù)需求將本地范圍的區(qū)域【靜態(tài)下發(fā)的IP地址庫(kù)對(duì)應(yīng)表的區(qū)域或BGP路由的AS號(hào)（AS組）區(qū)域】與對(duì)方范圍區(qū)域【靜態(tài)下發(fā)的IP地址庫(kù)對(duì)應(yīng)表的區(qū)域或BGP路由的AS號(hào)（AS組）區(qū)域】間，任意兩個(gè)區(qū)域間進(jìn)行流量流向的統(tǒng)計(jì)。

• 安全管理

安全管理提供有效的控制機(jī)制，對(duì)用戶接入、訪問(wèn)即時(shí)消息業(yè)務(wù)服務(wù)平臺(tái)進(jìn)行限制，確保每個(gè)合法用戶能夠正常登錄、使用已授權(quán)的軟件模塊、操作合法級(jí)別的命令，防止越權(quán)訪問(wèn)的情況發(fā)生，以保障網(wǎng)絡(luò)設(shè)備的安全運(yùn)行，并對(duì)系統(tǒng)中發(fā)生的認(rèn)證，授權(quán)訪問(wèn)等操作進(jìn)行記賬，使操作具有不可否認(rèn)性。

• 運(yùn)行維護(hù)

系統(tǒng)將實(shí)現(xiàn)各自系統(tǒng)、組件程序的集中配置管理，對(duì)系統(tǒng)、服務(wù)程序的運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，為系統(tǒng)的正常運(yùn)行提供保障。