边界网络异常流量监控方案

公安系统业务内网肩负着重要的国家安全的重要使命。然而由于业务网内部过于庞大,连接了全国的网络,因此较为容易产生各种突发的的异常流量。这些异常流量将直接的影响业务系统的正常使用。
异常流量管理难点分析:

问题
原因分析
解决思路
1
难以定义异常流量
缺少全局,个人历史的连接数留存,难以进行连接异常比较
记录每人每天的连接汇总,全局的连接汇总的设备,自定义当天连接数和历史连接数的告警关系,定位异常流量
缺少全局,个人历史的流量累计数据,难以进行流量累计的阶跃比较
记录每人每天的流量汇总,全局的流量汇总的设备,自定义当天流量汇总数和历史流量汇总数的告警关系,定位异常流量
缺少对数据库访问流量单独的统计能力
针对数据库的主机单独进行连接数,流量的统计,确定异常流量。更深入的可针对数据库的表名单独的统计连接数,流量汇总确定更精细的异常流量。
2
难以定位异常流量
只能以IP方式标识用户,在动态地址下无法定位真实用户
采用流量分析系统和认证系统联动,认证系统将IP信息和用户名传送至流量分析系统。
3
业务质量难以感知,业务质量差时不能告警
无法感知用户使用关键业务系统的质量体验,只能管理部门自己测试,效果不真实
采用被动质量采集技术,获取业务质量的客户真实体验,在超过管理员设置的告警阈值时提供质量体验告警。

网康科技解决方案
1- 通过网康流量管理设备对个人以及全局的连接数,累计流量数,数据库访问连接及流量进行每日比较,对超过告警阈值的流量进行告警。
(例如可定义前10天的平均值为基线值,也可以手工指定极限值,当当日的统计超过基线设定的告警阈值后进行告警,例如超过基线50%)
2- 通过业务分析技术,DPI/DFI技术对造成异常流量的应用进行分析,定位异常流量的成因,便于问题责任人改进。
3- 利用网康流量管理设备对业务网中的关键业务进行被动质量检测,感知用户的使用体验,对感知差的业务及时告警,及时改善。
组网建议
1- 在省厅与部委线路旁路部署网康智能流量管理系统,进行流量的分析与记录。
2- 设备的管理接口接入到局域网中用于管理员进行设备配置和日志查看
3- 通过数据中心集中所有日志的存放,全局日志检索

思路综述:通过上图的拓扑部署,每一个边界接入点对用户,总体的流量,连接,突变等进行记录和质量告警,确保异常流量的快速发现和快速定位。
方案特点:
1- 便于试点,立竿见影:
由于设备仅仅需要单独镜像旁路,部署十分简单,便于操作,部署快速,部署后立刻可以见到效果
2- 风险小:
采用镜像旁路方式部署,对业务质量没有任何风险
3- 可扩展性高:
由于设备自身具备管理功能,当发现部分地区的边界网络需要流量管理时,可直接将设备直路串联到网络中,对连接数,速率,等进行保障与控制。
4- 可提供基于软件名称的异常流量告警
可精确的定位造成异常流量的应用名称,对于暂时不能识别的应用可以在3天内进行快速补充。
专业的流量分析与流量管理可以有效的减少业务内网的异常流量,并尽早的发现业务质量问题,进行改进,提升业务系统的质量,提高工作效率。