网络流量监测分析在宁夏电力IT系统的应用研究
2010-10-27   网络

[作者：李四勤 宁夏电力公司固原供电局, 宁夏 756000]

摘要： 本文主要针对宁夏电力公司信息化网络业务流量精细化监控管理的应用背景、现状及需求，及流量监测分析系统应用的重要意义等方面进行了阐述说明，并对网络流量监测系统的业务功能及其在电力行业中的应用前景做了说明。本文所研究的流量监测分析系统在电力网络中应用，不仅对电力信息化网络的运行维护管理具有技术指导意义，而且由于流量精细化的管理平台的应用，为电力企业信息化管理水平的提高，为电力网络的高可靠性通畅运行，以提高电力系统服务于社会的能力，具有广泛的社会意义。

关键词：NetFlow/NetStream、FlowAnalyer、电力网络、流量精细化管理

一、引言

宁夏电力公司是国家电网公司的全资子公司，是宁夏回族自治区内以输、配、售电为主营业务的特大型国有骨干企业，负责自治区境内主电网的规划、建设、运营和电力供应；担负着为自治区经济建设和人民生活提供基本能源的重任，是宁夏电网的经营主体和宁夏电力工业发展的主导力量。

电力行业实施信息化已有近20年的时间，企业信息化已涉及到电力生产、管理、经营和社会服务等各个环节，信息化在其中的各个子系统（子应用）、模块等方面都发挥了积极的、卓有成效的作用。但是从电力信息化的整体来看存在着一系列的问题，如应用性能、带宽利用、网络拥挤及用户与应用流量的适当优先化，通常仍然没有得到解决。另外，企业网络还在不断遭受拒绝服务（DoS）袭击、电子邮件滥传、病毒和蠕虫等网络管理问题的影响。

随着宁夏电力公司信息化的不断深入发展,信息化网络的规模越来越大, 网络应用也越来越广泛，对网络带宽资源、业务流量、用户访问量等方面都缺乏可见性和可控性。为了更好地管理网络运行状态, 提高公司信息化网络的业务管理效率，优化信息化网络的业务服务质量，降低运营成本，需要对信息网络从“流量”这个根本因素出发,进行精细化的监控管理。为整个网络的高效运行维护提供一个高可用性的管理平台，加强信息网络的业务优势，提高员工使用的满意度。

二、现状及问题

宁夏电力信息网络经过多年信息化建设，已具备了良好的基础架构。随着电力行业的改革深入，行业竞争的日益激烈，电力改革直接影响到电力行业企业信息化建设的内容。如何在最短的时间里，以最好的服务质量、最低的服务成本提供给用户服务是电力行业企业信息化要实现的目标。以前，国内电力行业企业较重视生产自动化过程的信息化；今后，管理信息化建设将成为重点内容。

在面对当前业务飞速发展、新服务不断出现和客户需求日益提高的情况下，省电力公司网络系统的运维管理面临着很大的挑战，业务子系统复杂，故障查找难度大，网络时而缓慢，在管理网络时普遍遭遇到以下问题：

1、网络资源利用率的问题：

对网络带宽资源、业务流量、用户访问量等方面都的缺乏可见性和可控性：

Û 网络带宽的利用率如何？

Û 如何体现带宽利用的合理性？

Û 业务应用的分布情况如何？

Û 哪些应用流量占用带宽资源？

Û 如何预警将要发生的网络拥塞？

Û 如何预防异常流量？

Û 如何快速定位网络故障？

Û 如何为优化网络效能提供依据?

Û 如何科学地规划网络容量，为网络投资升级提供准确的数据依据？

Û 如何提升服务质量（服务品质）？

Û 如何实现网络的“透明化”、“可视化”？

2、资源优化的问题：

电力公司已经在建设 IT 系统方面投入了大量精力，积蓄了丰富的 IT 资源，在这种情况下，如何更好地利用现有 IT 资源、将 IT 资源的使用与业务目标相统一，迫切需要找到一种优化 IT 投资的方法，降低 IT 复杂度和 IT 成本，改善 IT 设备的利用率和生产力，以更加灵活的 IT 架构对业务机会和威胁做出快速响应，满足不断变化的业务需求。

3、有效监测异常流量的问题:

网络异常流量是网管人员最头痛的问题，异常流量分析也是网络性能管理重要的一环。异常流量发生的主要原因常为病毒发作与黑客攻击。随着网络越来越复杂，病毒与黑客有更多机会和空间去破坏与影响网络。

就目前电力行业网络而言，各个区的网络实现互连，各个分支网点反映网络速度慢、信息下载以及邮件转发速度迟缓，或者视频和流媒体应用程序传输质量差等相关问题，这些因素都严重影响了信息化发展和业务的拓展。具体表现如下：

1）非关键业务的数据缺乏目的性，无序的下载与连接（P2P使用）造成网络资源的占用，造成关键业务无法正常使用网络；

2）关键生产业务带宽不稳定，导致生产出现因网络应用的各种问题而产生生产业务，OA办公网业务以及其他关键生产系统的访问缓慢或拥塞；

3）日常的操作、有限的资源、有限的资金预算、网络性能问题、安全问题……

综上所述，建立一个网络流量监测分析系统十分重要。一方面需要了解网络带宽的具体应用情况，分析网络流量的流向，网络应用的组成，以及各个地市网络带宽的分布。另一方面监控网络中的Dos/DDos攻击行为，避免大的攻击行为直接影响到电力公司网络的稳定性。

三、需求分析

籍于上述问题的探究，要改善电力信息系统网络流量因素存在的问题，需要全面了解和掌握网络资源、业务应用流量流向、操作用户使用信息等情况，分析总体业务发展趋势和用户行为，对网络中各种应用协议所消耗的带宽有清晰的了解。

需要对业务系统进行全面分析，在分析量化的基础上，制定相应的优化策略，对关键性应用给予高带宽、高优先级的保障，对非关键性应用进行限制，对一些恶意的网络攻击行为进行抵御。需要对网络性能和性能趋势分析，为网络瓶颈排除和性能优化提供依据；优化系统布置以后根据需要可以对出/入网的流量进行控制，对每种应用占用带宽进行适量分配，从而缓解网络扩容压力。提供多样的历史资料条件查询和统计分析，便于指导IT环境的规划和资源优化；保障整个网络的稳定运行的同时实现网络性能和效率的最大化。最终实现对当前网络应用情况进行实时、长期的监控，实现网络的透明化管理。

四、网络流量监测分析系统

流量分析系统对全网流量实施监测并以图像化展现，提供对网络的实时流量分析、历史流量统计、流量异常告警、流量趋势分析等功能，把全面深入的低成本、高效益的可视性，和深入的应用透视能力，以及对关键网络的流量、服务和应用的分析有效地结合在一起，达到智能化流量工程、保护和管理包括语音、视频、数据、信息、文件共享、网页和邮件等关键业务应用，检测和报告应用流量的异常情况，从而有效的保护公司的网络，改善骨干网络的健康状况，优化网络业务的服务质量、业务的种类，很好的保障网络可靠性和安全性等。

网络流量监测分析管理系统可以实现对宁夏电力信息网络的实时流量分析、历史流量统计、流量异常告警、流量趋势分析等，从而更好的发现网络异常流量、有效监控用户上网行为，并为网络扩容投资提供科学的决策数据。

网络流量监测分析管理系统是基于NetFlow数据流和SNMP网络数据实时监控与分析的产品。采用软硬件结合的产品体系架构，应用Flow技术(NetFlow/NetStream/ sFlow/ cFlow等)，实时而长期的监控网络系统业务流量数据，对全网络流量实施监测并以图像化展现，以加强网络的可视性与可控性, 实现带宽成本分析、用户流量日志、流量基线、DOS/DDoS攻击检测、蠕虫病毒监测、异常流量检测、网络带宽优化等。

系统架构：

系统采用Web的界面，方便管理人员随时随地分析处理并生成报表，帮助用户更清晰地掌握流量流向和流量成分的分布，它通过统计流经网络的数据业务类型、用户来源、流量流向、区域分布等信息，掌握流量基线，网站访问量和应用排名、路由负载分析、以及业务带宽成本分析、网络带宽成本分析，从而对行业业务的成本和发展情况做出判断，最终为网络优化以及业务发展策略的制定提供科学的决策数据依据。并实时侦测异常流量（如蠕虫、DoS/DDoS攻击等），更好的发现网络异常流量、有效监控用户上网行为，能够快速提升网络的服务品质。管理员可根据报表分析出用户访问了哪里或被哪个IP地址访问过，用了什么服务，传了多少信息量以及用了多少时间等。用户可利用这一报表系统，研究企业的上网行为以及企业网站被外部访问的情况。以便问题产生时，为管理人员提供备查数据。提供网络的数据业务类型、用户来源、流量流向、区域分布等信息，掌握流量基线，网站访问量和应用排名、路由负载分析、以及业务带宽成本分析、网络带宽成本分析，从而对行业业务的成本和发展情况做出判断，最终为网络优化以及业务发展策略的制定提供科学的决策数据依据。

系统功能模块：

1、网络流量流向分析

了解不同属性流量分布，预测流量变化趋势，找出网络瓶颈，为网络规划、优化调整提供基础依据；对用户应用进行深入分析，我们可以清晰地掌握网络的应用行为，为设计实施更好的用户服务及产品提供了可靠的基层数据。

2、异常流量分析

当网络攻击发生时，从不同的层面，对异常流量攻击实施有效监控和定位；能够及时响应，对异常流量和一些非法应用进行控制，保证电力网的正常运行。

3、网络应用监控

通过建立健全安全监测管理系统，对IP网的流量及网上的各种应用协议进行统计分析，结合日常网络维护操作，重点对异常流量进行分析和预警，实现在IP网络上的网络安全预警。

4、网络流量报告

定期（可自定义时间）对网络流量自动进行收集、整理、保存、分析并自动生成相关网络使用情况报告，并能通过邮件的方式传递到相关管理人员。

5、图形化管理界面

支持中文界面为电力调度系统网络管理提供良好的管理方式，方便网络管理人员使用，帮助他们合理管制网络带宽的使用、快速定位故障的产生位置。

五、流量监测分析系统的应用功能

全网流量流向分析

对电力信息系统IT网络进行全网流量流向分析，多维度地展现业务流量分布情况和网络带宽资源的使用情况，了解网络不同属性流量分布，预测流量变化趋势，找出网络瓶颈，为网络规划、优化调整提供基础依据；对网络应用进行深入分析，可以清晰地掌握网络的应用行为，为设计实施更好的用户服务及产品提供了可靠的基层数据。

Ø 能够持续地采集网络中的流量信息，支持对历史流量数据进行深度挖掘，为网络规划、市场预测和客户服务的分析提供真实可靠的数据来源。

Ø 支持通过对重点服务器流量的监控，分析其网络流量变化趋势、业务成分组成，流量的流向、访问的来源等，保证这些关键服务的可用性和质量，提供业务评估依据。

Ø 支持对网内、网外Top N IP的自动选取与分析，跟踪、预测这些服务的流量的增长趋势。

Ø 支持自定义应用的流量监控规则。

Ø 支持对流量的实时监控，同时提供日报表、周报表、月报表等。

Ø 支持对网络的健康及性能状况进行实时监测和分析，建立网络基准。

业务应用监控

能够实现基于业务的流量分布和流量成分的分析性能，分析总体业务发展趋势，为网络瓶颈排除和性能优化提供依据。

具有网络应用行为分析能力，能预测新应用网络资源需求预测和在现有网络环境下运行可能存在的性能问题，并能为因网络系统规划设置提供信息。

对核心系统服务器的流量进行监控分析，掌握各种服务器的流量趋势，并可以对每台服务器中流量中的各种业务占多少比例进行定量分析。系统管理人员通过此功能可以掌握网络中的服务器的网络负载情况，以及每台服务器流量的分布比例。还可以通过此功能了解各个服务器流量的变化趋势，可以掌握网络忙时与闲时的负载情况，为规划网络容量提供数据基础。

通过建立健全网络性能管理及优化系统，运营商网络的流量及网上的各种应用协议进行统计分析，结合日常网络维护操作，重点对异常流量进行分析和预警，实现在网络上的网络安全预警。

异常流量分析

对整个网络系统流量进行监控，并能够及时检测到网络中的一些异常流量。如Dos/DDos攻击、蠕虫病毒、冲击波等，对攻击的来源、目的、攻击的类型、攻击的规模、持续的时间、影响的范围进行及时的分析呈现，并支持多种方式告警。

Ø 能长期检测网络，一旦网络性能有所下降，能及时报警，以便提早采取相应的预防性措施，进行问题查找和网络性能调整，从而提高网络的无故障时间，做到防患于未然；

Ø 能在网络出现故障的时候协助快速的进行故障诊断，能提供辅助手段协助网络人员界定应用服务质量影响的因素（网络因素、系统因素），使网络故障能被迅速隔离并排除；

Ø 支持异常流量监控和报警；

Ø 快速定位和解决网络问题。

当网络攻击发生时，网络的各个层面，对异常流量攻击实施有效监控和定位；能够及时响应，对异常流量和非法应用进行控制，保证四川联通网络的正常运行，保证异常流量不会影响到整个系统的稳定运行。

1）发现网内异常流量，并对异常流量告警，并进行控制，使异常流量对网络的影响降到最低。

2）发现网络连接数和连接建立的速率的异常情况，并告警，然后进行控制。

3）发现网络安全威胁的具体session，源地址、目的地址，端口号等。

基线分析功能

流量集中分析管理设备中内置了独特的基线分析功能，基线分析通过一段时间的流量监测分析，建立ABM(Adaptive Baseline Model),不断稳定与修正ABM,流量与基线ABM有异常时，可以设置进行基线告警。

1）系统能够通过网络流量的信息采集，建立“基线”流量的模型。

2）系统应能根据网络流量的变化，做到“基线”流量模型的及时更新。

3）系统能通过人工设置的参数和阀值，计算并建立“基线”流量模型，在特殊时刻并可根据人工设置的参数和阀值及时调整“基线”流量模型，避免在异常网络流量持续一段时间后，影响到“基线”网络流量模型的计算分析结果。

4）系统能够在确定“基线”网络流量模型之后，对于采集的当前的网络流量数据，将其与“基线”网络流量模型进行匹配、比较，从而判断当前的网络流量是否异常。

六、电力IT实施网络流量分析管理的意义

u  掌握网络流量的特性、了解用户的网络行为。

u  透视网络流量状态，分析用户行为。

u  量化网络承载能力，为网络服务优化提供辅助决策依据。

u  检测分析异常流量，提升网络服务安全性。

通过使用流量监控管理系统，可以实现基于业务的流量流向和流量成分的分析性能，分析总体业务发展趋势和访问行为，为网络瓶颈排除和性能优化提供依据；可以对网络资源的使用情况进行精细化管理，避免因为资源使用过度或使用状况不明所导致的网络服务质量下降；可以实现性能统计和性能趋势分析，提供灵活的报表功能，提高网络运行维护水平；可以提供多样的历史资料条件查询和统计分析，便于指导网络的规划和资源优化，为网络业务发展提供数据依据；实现网络的统一调配。可以加强网络的流量安全防范，建立系统化的流量管理体系，提高网络访问质量，增强用户的自御能力。

- 建立可视化、量化、可管理的系统网络；

- 构筑和谐健康、稳定高效的网络系统；

- 提高用户满意度，提升企业竞争力。