IDC流量监测与分析系统
- 系统概述
IDC流量监测与分析系统通过对IDC出入口前端进行分流、汇聚、DPI采集解析及大数据挖掘分析能识别到网络中所有类型的网络流量,根据特征精确识别IDC流量自有应用和非自有应用,对全面了解流量流向、用户行为特征、社情民意、做好网络宣传监管工作具有重要意义,同时也是各IDC运营企业加强网络安全管理的重要工具。
(系统工作流程图)
IDC流量监测与分析系统主要分为两种组网和部署方案,一种是并接,一种是串接。
- 并接部署方案
并接部署方式是将在IDC机房核心路由器的出口处,进行分光割接,输送一路数据到IDC流量检测与分析系统中进行分析,系统与现网是旁路关系,网络拓扑如下。
- 串接部署方案
串接部署方式是将在IDC机房核心路由器的出口处,部署bypass光保护设备,将IDC流量检测与分析系统串接到现网当中,网络拓扑如下。
- DPI应用精准识别
IDC流量监测与分析系统同时支持基于IPv4和IPv6的应用类型采集识别。各类应用流量采集识别结果字段中详细定义了不同类应用所需识别的关键字段,关键字段满足业界技术规范和要求。
IDC流量监测与分析系统可以实现对特定用户组的特定应用进行详细数据采集。系统可监测与分析用户组信息和应用信息,包括所属BRAS、链路编号、流量类型、源目的IP和端口号、起始时间。
IDC流量监测与分析系统持续跟踪各种主流网络应用和其他应用的发展和演进,形成协议采集识别的标准流程,通过采用定期或是不定期方式更新IDC流量监测与分析系统应用识别能力。IDC流量监测与分析系统能够通过系统升级、导入新的应用特征等方式对已知应用变种和未知应用进行识别。
目前支持的业务种类包括:P2P业务、VoIP业务、安全、财经、彩信、导航、动漫、即时通信、浏览下载、其他业务、社交、视频、音乐、应用商店、邮箱、游戏、阅读、支付等超过5000种。
支持对特定用户、用户组、全部用户等多个维度的流量实时识别和数据采集,统计其在一定的时间维度内(如5分钟)用户浏览不同网站类型的次数,统计其在一些搜索网站的搜索关键词等信息,以对用户的偏好分析并进行关联信息的推送。
支持针对用户偏好进行信息识别分析,包括数据统计开始、结束时间、用户组、用户感兴趣的网站类型、用户感兴趣的关键词等。
支持对其他运营商利用IDC流量网络资源进行非法二次运营的行为的检测。检测结果括数据统计开始、结束时间,非法路由接入点的位置,所接入的非法用户IP地址及所属运营商,通过该非法路由接入点产生的流量等信息。
支持从特定用户、用户组、全部用户等多个维度对检测应用层的攻击:如TCP SYN FLOOD、ICMP攻击、 CC攻击、HTTP Get Flood、HTTP Post Flood、 SIP Flood、DNS Query Flood、DNS Reply Flood、Connection Flood等。检测结果可统计一定周期(如5分钟内)的攻击开始、结束时间,被攻击的IP地址,应用层攻击类型,应用层攻击流量,应用层攻击速率,攻击源所在区域数,攻击源地址数。
支持针对网络层和应用层DDoS攻击流量进行限速或者进行智能镜像的管理方式,支持针对指定目标地址的应用进行限速或者进行流量牵引等的管理方式。
支持从AAA系统获取用户上下线的RADIUS信息,系统中由特定设备完成相关功能。当网络支持将RADIUS报文分光或镜像时,设备支持监听模式获取RADIUS报文中的用户上线信息。
通过监测用户上下线信令所经过的物理链路,检测其中的信令交互过程,及时识别出其中的关键字段(必含字段:UserName、Framed-IP-Address 、NAS-IP-Address、NAS-Identifier)。
IDC流量监测与分析系统符合RFC 4271-BGP4 协议中规定的支持基本BGP功能和要求。
BGP类消息包OPEN、UPDATE、KEEPALIVE、NOTIFICATION格式规定,消息包含的基本要求。支持ROUTE- REFRESH 消息类型格式规定。
支持根据需求将本地范围的区域【静态下发的IP地址库对应表的区域或BGP路由的AS号(AS组)区域】与对方范围区域【静态下发的IP地址库对应表的区域或BGP路由的AS号(AS组)区域】间,任意两个区域间进行流量流向的统计。
安全管理提供有效的控制机制,对用户接入、访问即时消息业务服务平台进行限制,确保每个合法用户能够正常登录、使用已授权的软件模块、操作合法级别的命令,防止越权访问的情况发生,以保障网络设备的安全运行,并对系统中发生的认证,授权访问等操作进行记账,使操作具有不可否认性。
系统将实现各自系统、组件程序的集中配置管理,对系统、服务程序的运行状态进行实时监控,为系统的正常运行提供保障。