宋亞蘭

摘 要：隨著各類業(yè)務(wù)對網(wǎng)絡(luò)需求的不斷增加，網(wǎng)絡(luò)監(jiān)控工作在運維中所起的作用愈發(fā)明顯。傳統(tǒng)的流量監(jiān)控多是從電路的峰值流量、均值流量、最小值流量等幾個維度進行監(jiān)測的，雖然能對電路利用率提出有效預(yù)警，但是無法實現(xiàn)實時網(wǎng)絡(luò)性能監(jiān)控。本文提出了一種基于增量的流量監(jiān)測機制，同時結(jié)合自動告警平臺觸發(fā)告警工單提醒，能及時發(fā)現(xiàn)流量異常情況，實現(xiàn)對網(wǎng)絡(luò)運行情況及網(wǎng)絡(luò)安全性監(jiān)控。

關(guān)鍵詞：流量增量;網(wǎng)絡(luò)安全;網(wǎng)絡(luò)性能;網(wǎng)絡(luò)監(jiān)控

中圖分類號：TP393.08文獻標識碼：A文章編號：1003-5168（2020）22-0023-02

Abstract： With the increasing demand of various services for network， network monitoring plays an increasingly important role in operation and maintenance. Traditional traffic monitoring is based on the monitoring of the circuit's peak flow， average flow， minimum flow and other dimensions. Although it can provide an effective warning of circuit utilization， it cannot achieve real-time network performance monitoring. This paper proposed a traffic monitoring mechanism based on increment. Combined with the automatic alarm platform to trigger the alarm work order， it can detect the abnormal traffic in time and realize the monitoring of network operation and network security.

Keywords： traffic increment;network security;network performance;network monitoring

1 研究背景

隨著通信技術(shù)的發(fā)展，人們?nèi)粘；顒訉W(wǎng)絡(luò)的依賴性逐漸增強，對網(wǎng)絡(luò)運行質(zhì)量以及維護工作的要求越來越高。當前，網(wǎng)絡(luò)監(jiān)控工作從被動式的故障通報向主動故障發(fā)現(xiàn)、自動化維護轉(zhuǎn)變。網(wǎng)絡(luò)流量監(jiān)控作為網(wǎng)絡(luò)性能監(jiān)控的重要手段，為網(wǎng)絡(luò)運行情況及網(wǎng)絡(luò)安全分析提供了重要依據(jù)。傳統(tǒng)的網(wǎng)絡(luò)流量性能監(jiān)控方式，多是對電路的峰值流量、均值流量、最小值流量等維度進行監(jiān)測，無法對電路運行情況進行實時監(jiān)控[1]。本文提出一種基于增量的流量監(jiān)測機制。該機制能實時發(fā)現(xiàn)流量增量變化，通過設(shè)定增量閾值，當增量達到閾值時產(chǎn)生告警，并將告警信息通過短信發(fā)送給維護人員，從而實現(xiàn)對網(wǎng)絡(luò)運行穩(wěn)定性以及網(wǎng)絡(luò)安全的有效監(jiān)控。

2 方法介紹

基于增量的流量監(jiān)測機制，主要是通過對比前后兩個周期內(nèi)電路流量均值信息，以流量增量作為監(jiān)測目標，后臺服務(wù)器自動采集并對比流量信息，當流量增量大于設(shè)定閾值時，觸發(fā)告警。例如，以5 min為一個采集對比周期，當前統(tǒng)計周期為[T1]，流量均值為[F1]，上一個統(tǒng)計周期為[T2]，流量均值為[F2]，監(jiān)測目標值的計算公式為[2-4]：

設(shè)定告警閾值最大值為[Г]，最小值為[-Г]。

當流量增量[Δ>Г]時，說明流量存在突增現(xiàn)象。后臺服務(wù)器將告警信息自動發(fā)送給維護人員，維護人員要分析突增原因為正常訪問流量還是網(wǎng)絡(luò)攻擊，主動排查網(wǎng)絡(luò)性能是否受到影響，實現(xiàn)網(wǎng)絡(luò)異常狀態(tài)主動發(fā)現(xiàn)。

當流量增量[Δ<-Г]時，說明流量出現(xiàn)突降現(xiàn)象。后臺服務(wù)器將告警信息發(fā)送維護人員后，維護人員要主動排查電路狀態(tài)，并聯(lián)系客戶排查內(nèi)網(wǎng)，以及時發(fā)現(xiàn)故障、解決故障[5]。

3 具體應(yīng)用

基于增量的流量監(jiān)測機制在運營商網(wǎng)絡(luò)出口流量監(jiān)控、重要客戶電路流量監(jiān)控中得到應(yīng)用，后臺服務(wù)器通過對流量增量數(shù)據(jù)進行記錄、比對，及時發(fā)現(xiàn)流量異常情況。當后臺流量增量超閾值后，主動觸發(fā)告警，向維護人員派發(fā)工單。維護人員根據(jù)工單內(nèi)容，具體分析流量走勢，預(yù)判故障類型，提前進行隱患排查。目前，洛陽電信已在城域網(wǎng)出口電路、IDC業(yè)務(wù)監(jiān)控中應(yīng)用了流量增量監(jiān)控功能，有助于發(fā)現(xiàn)網(wǎng)絡(luò)攻擊以及流量異常的情況，通過提前制定網(wǎng)絡(luò)策略、排查鏈路情況，有效提升了故障主動發(fā)現(xiàn)比例，縮短了故障處理時間。

城域網(wǎng)出口電路流量相對較大，從數(shù)據(jù)上看，波動情況不太明顯;但是通過分析異常流量發(fā)現(xiàn)存在網(wǎng)絡(luò)攻擊現(xiàn)象。IDC單一電路業(yè)務(wù)流量相對來說較小。由于用戶業(yè)務(wù)差異，流量存在正常波動。因此，具體應(yīng)用中流量閾值設(shè)置要結(jié)合業(yè)務(wù)需求進行調(diào)整，針對不同類型的業(yè)務(wù)專門設(shè)置閾值，才能起到監(jiān)控作用。

4 效果分析

以某客戶IDC電路為例，設(shè)定電路閾值[Г]=50%（該項指標可以設(shè)置為任意值，根據(jù)維護與測試經(jīng)驗值暫定50%），統(tǒng)計周期為5 min。若當前統(tǒng)計周期內(nèi)流量均值高于前5 min流量均值的50%，服務(wù)器會記錄當前時間、流量狀態(tài)并產(chǎn)生告警，并向網(wǎng)絡(luò)維護人員派發(fā)工單，維護人員收到工單后，主動排查網(wǎng)絡(luò)性能、設(shè)備日志，及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊以及設(shè)備性能擁塞問題;若當前流量均值低于前5 min流量均值的50%，后臺服務(wù)器會記錄當前時間、流量狀態(tài)并產(chǎn)生告警，并向監(jiān)控值班人員派發(fā)工單，維護人員收到工單后主動排查電路性能，及時聯(lián)系客戶處理故障。流量突降超閾值的情況和工單如圖1和圖2所示。

整個過程無須人工干預(yù)，自動進行7×24 h監(jiān)控，提升了故障主動發(fā)現(xiàn)率。當收到工單后，維護人員先排查側(cè)鏈路狀態(tài)，如果電信側(cè)電路正常，可繼續(xù)觀察流量走向，若流量持續(xù)下降，可提醒用戶排查用戶內(nèi)網(wǎng)是否存在異常。這不僅有效提升了網(wǎng)絡(luò)故障發(fā)現(xiàn)效率，縮短了障礙發(fā)現(xiàn)時長，而且為網(wǎng)絡(luò)攻擊監(jiān)測提供了有效手段。

參考文獻：

[1]孫斌，任喆.基于流量監(jiān)控數(shù)據(jù)的IPRAN網(wǎng)絡(luò)分析及診斷方法概述[J].科學(xué)與信息化，2017（27）：23-26，29.

[2] Ji Zhang， Shaoqing Meng. A design of NetFlow traffic statistic and analysis system for process of the transition of commercialization of IPV6[C]//International Conference on Computer Science & Service System. IEEE， 2011.

[3]魏平.利用開源網(wǎng)管軟件對網(wǎng)絡(luò)設(shè)備進行監(jiān)控管理探究[J].通信管理與技術(shù)，2016（3）：40-42.

[4]季瑩，趙志遠，章繼剛.全流量監(jiān)控：科來全流量分析實現(xiàn)數(shù)據(jù)中心智能運維[J].網(wǎng)絡(luò)安全和信息化，2018（5）：40.

[5]李春，王之一，楊爽，等.網(wǎng)絡(luò)流量實時監(jiān)控及安全分析系統(tǒng)的開發(fā)應(yīng)用[J].電子技術(shù)與軟件工程，2018（2）：47-48.