信而泰電力行業(yè)網(wǎng)絡(luò)運(yùn)維新利器——全網(wǎng)流量可視，故障無(wú)所遁形

電力系統(tǒng)通信網(wǎng)是國(guó)家專用通信網(wǎng)之一，是電力系統(tǒng)不可缺少的重要組成部分，是電網(wǎng)調(diào)度自動(dòng)化、電網(wǎng)運(yùn)營(yíng)市場(chǎng)化和電網(wǎng)管理信息化的基礎(chǔ)，是確保電網(wǎng)安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行的重要手段。電力系統(tǒng)通信網(wǎng)的任務(wù)是為電網(wǎng)生產(chǎn)運(yùn)行、管理、基本建設(shè)等方面服務(wù)，主要功能應(yīng)滿足調(diào)度電話、行政電話、電網(wǎng)自動(dòng)化、繼電保護(hù)、安全自動(dòng)裝置、計(jì)算機(jī)聯(lián)網(wǎng)、傳真、圖像傳輸?shù)雀鞣N業(yè)務(wù)的需要。

本文介紹了信而泰網(wǎng)絡(luò)回溯分析平臺(tái)如何通過(guò)全流量回溯分析技術(shù)，助力電力行業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)故障的快速定位、安全威脅的實(shí)時(shí)發(fā)現(xiàn)與工控業(yè)務(wù)的精準(zhǔn)監(jiān)測(cè)，為保障電網(wǎng)安全穩(wěn)定運(yùn)行提供了一套高效的解決方案。

網(wǎng)絡(luò)安全可靠是電力通信網(wǎng)的運(yùn)維保障工作重中之重，圍繞著加強(qiáng)電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全、保證電力安全生產(chǎn)等方面，采取了許多有效措施保障各業(yè)務(wù)順利開(kāi)展，防止病毒傳播和入侵攻擊，總結(jié)如下：

網(wǎng)絡(luò)故障點(diǎn)實(shí)時(shí)監(jiān)測(cè)和快速定位

隨著智能電網(wǎng)等先進(jìn)業(yè)務(wù)開(kāi)展，網(wǎng)絡(luò)業(yè)務(wù)規(guī)模越來(lái)越大，網(wǎng)絡(luò)流量組成也愈發(fā)多樣化，網(wǎng)絡(luò)中斷或業(yè)務(wù)性能故障也隨之經(jīng)常出現(xiàn)。這些中斷可能會(huì)影響到數(shù)以萬(wàn)計(jì)的普通用戶的用電安全，是關(guān)系國(guó)計(jì)民生的大事。

當(dāng)前，針對(duì)業(yè)務(wù)部門(mén)反饋的網(wǎng)絡(luò)中斷問(wèn)題，多數(shù)網(wǎng)絡(luò)運(yùn)維人員依然使用ping工具來(lái)測(cè)量端到端的網(wǎng)絡(luò)連通性和延時(shí)，當(dāng)出現(xiàn)網(wǎng)絡(luò)中斷或業(yè)務(wù)故障時(shí)，無(wú)法快速定位故障點(diǎn)。尤其對(duì)偶發(fā)的網(wǎng)絡(luò)故障，由于缺乏有力回溯分析工具，故障定位費(fèi)時(shí)費(fèi)力，往往歷經(jīng)數(shù)月也無(wú)法解決問(wèn)題。例如，某省級(jí)電力單位的龐大網(wǎng)絡(luò)中，網(wǎng)絡(luò)阻塞，網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)甚至無(wú)法上網(wǎng)等情況都是經(jīng)常發(fā)生。在出現(xiàn)網(wǎng)絡(luò)故障時(shí)，往往要花費(fèi)較長(zhǎng)時(shí)間來(lái)解決問(wèn)題，有時(shí)雖然解決了問(wèn)題，但也不知道具體原因。

防范系統(tǒng)漏洞利用和網(wǎng)絡(luò)攻擊事件

以蠕蟲(chóng)病毒為代表的系統(tǒng)漏洞利用，也常在電力通信網(wǎng)內(nèi)部肆虐。這些蠕蟲(chóng)病毒傳播雖然由于專網(wǎng)的物理隔離，避免信息泄密等高風(fēng)險(xiǎn)事件，但產(chǎn)生的端口掃描及ARP掃描流量往往對(duì)業(yè)務(wù)性能產(chǎn)生影響，進(jìn)而降低網(wǎng)絡(luò)效能，對(duì)電力安全生產(chǎn)造成嚴(yán)重影響。此外，互聯(lián)網(wǎng)網(wǎng)絡(luò)安全狀況日趨嚴(yán)峻，攻擊數(shù)量越來(lái)越多，攻擊方式越來(lái)越復(fù)雜，越難以發(fā)現(xiàn)，亟需從網(wǎng)絡(luò)流量痕跡進(jìn)行行為審計(jì)，及時(shí)發(fā)現(xiàn)異常網(wǎng)絡(luò)流量，對(duì)未知攻擊進(jìn)行識(shí)別和取證。

核心功能

信而泰網(wǎng)絡(luò)回溯分析平臺(tái)實(shí)現(xiàn)了軟件和硬件的完美結(jié)合，在單一的硬件平臺(tái)上實(shí)現(xiàn)了網(wǎng)絡(luò)全流量采集分析和留存，實(shí)時(shí)網(wǎng)絡(luò)及應(yīng)用性能監(jiān)測(cè)和調(diào)查取證一體化解決方案，滿足對(duì)應(yīng)用程序及其支持基礎(chǔ)架構(gòu)的性能進(jìn)行可視化管理、故障排除和優(yōu)化、安全事故早期發(fā)現(xiàn)、內(nèi)容審計(jì)和調(diào)查取證的需求。

信而泰網(wǎng)絡(luò)回溯分析平臺(tái)包括五個(gè)核心引擎：

1. 線速捕包引擎，線速捕獲網(wǎng)絡(luò)流量；

2. 海量存儲(chǔ)引擎，高速存儲(chǔ)原始數(shù)據(jù)包；

3. 流水線分析引擎，高性能分析網(wǎng)絡(luò)流量；

4. 數(shù)據(jù)包搜索引擎，快速回溯數(shù)據(jù)包；

5. 數(shù)據(jù)包重組引擎，應(yīng)用數(shù)據(jù)重組和內(nèi)容審計(jì)。

基于五個(gè)核心功能引擎，提供數(shù)據(jù)查詢和報(bào)表服務(wù)，提供歷史分析數(shù)據(jù)，網(wǎng)絡(luò)原始數(shù)據(jù)包，告警日志和應(yīng)用內(nèi)容等類(lèi)型數(shù)據(jù)的調(diào)查取證。

網(wǎng)絡(luò)數(shù)據(jù)包全流量采集、存儲(chǔ)和分析

信而泰網(wǎng)絡(luò)回溯分析平臺(tái)具備長(zhǎng)時(shí)間、大容量、高性能的數(shù)據(jù)包采集及存儲(chǔ)能力。支持線速的S2D (Stream to Disk)、數(shù)據(jù)包和會(huì)話事務(wù)分析能力。數(shù)據(jù)包智能存儲(chǔ)引擎充分發(fā)掘存儲(chǔ)硬件系統(tǒng)的能力。S2D 在較快地排除問(wèn)題故障方面，減少審計(jì)與合規(guī)要求所需的時(shí)間方面非常有價(jià)值。

信而泰網(wǎng)絡(luò)回溯分析平臺(tái)采用業(yè)界先進(jìn)的多級(jí)流水線技術(shù)實(shí)時(shí)分析數(shù)據(jù)包，支持網(wǎng)絡(luò)數(shù)據(jù)包七層協(xié)議的解碼分析，支持常見(jiàn)應(yīng)用協(xié)議的會(huì)話事務(wù)分析，支持常見(jiàn)應(yīng)用協(xié)議的內(nèi)容重現(xiàn)。支持對(duì)網(wǎng)絡(luò)連接質(zhì)量，數(shù)據(jù)傳輸質(zhì)量，應(yīng)用服務(wù)質(zhì)量，網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行實(shí)時(shí)監(jiān)測(cè)和預(yù)警，以及事后調(diào)查取證。

信而泰網(wǎng)絡(luò)回溯分析平臺(tái)提供多重網(wǎng)絡(luò)分析數(shù)據(jù)，通過(guò)不斷地增加功能指標(biāo)和優(yōu)化告警模型，確保告警的準(zhǔn)確度和及時(shí)性。用戶無(wú)需掌握復(fù)雜和深?yuàn)W的協(xié)議知識(shí)，僅僅簡(jiǎn)單五步即可完成對(duì)性能故障和安全問(wèn)題的回溯分析和調(diào)查取證，極大提高診斷效率，提升運(yùn)維管理水平。

高精度時(shí)鐘同步技術(shù)的多段網(wǎng)絡(luò)傳輸質(zhì)量監(jiān)測(cè)

信而泰網(wǎng)絡(luò)回溯分析平臺(tái)支持基于PTP協(xié)議時(shí)鐘同步的多段網(wǎng)絡(luò)傳輸質(zhì)量系統(tǒng)采用統(tǒng)一管理中心和多個(gè)分布式網(wǎng)絡(luò)回溯分析設(shè)備協(xié)同工作。

多段網(wǎng)絡(luò)傳輸質(zhì)量監(jiān)測(cè)功能，具備以下特性：

1.高精度時(shí)鐘同步，滿足亞毫秒級(jí)單向時(shí)延測(cè)量精度要求

2.基于業(yè)務(wù)流的網(wǎng)絡(luò)傳輸路徑管理

3.提供時(shí)延、抖動(dòng)、丟包和連通性等全方位網(wǎng)絡(luò)性能指標(biāo)

4.迅速定位網(wǎng)絡(luò)故障點(diǎn)

5、多傳輸協(xié)議支持（TCP，UDP）

可疑流量實(shí)時(shí)監(jiān)測(cè)與事后回溯取證

信而泰網(wǎng)絡(luò)回溯分析平臺(tái)基于流量行為的告警模型，用于檢測(cè)和發(fā)現(xiàn)網(wǎng)絡(luò)中行為可疑的連接會(huì)話和訪問(wèn)關(guān)系。利用長(zhǎng)期部署和運(yùn)用的經(jīng)驗(yàn)總結(jié)，內(nèi)置60個(gè)以上預(yù)置告警模板，涵蓋運(yùn)維保障和安全監(jiān)測(cè)兩方面需求，可用于發(fā)現(xiàn)和告警網(wǎng)絡(luò)中出現(xiàn)的性能故障，安全事件和異常流量等，包括：

1.蠕蟲(chóng)病毒

2.端口掃描

3.TCP SYN DDOS攻擊

4.UDP放大攻擊

5.ARP攻擊

6.異常流量告警

7.可疑應(yīng)用服務(wù)告警

8.網(wǎng)絡(luò)性能故障告警

9.應(yīng)用性能故障告警

10.滲透攻擊實(shí)時(shí)告警

工控應(yīng)用交易分析和回溯取證

在工業(yè)控制網(wǎng)絡(luò)部署信而泰網(wǎng)絡(luò)回溯分析設(shè)備，幫助用戶及時(shí)發(fā)現(xiàn)、報(bào)告并處理網(wǎng)絡(luò)攻擊或異常行為，同時(shí)要求能夠保護(hù)現(xiàn)場(chǎng)，以便進(jìn)行調(diào)查取證。采用基于全流量采集和實(shí)時(shí)分析的架構(gòu)，可以為工控系統(tǒng)性能管理和信息安全提供強(qiáng)大技術(shù)手段：

1.全流量采集和存儲(chǔ)，提供數(shù)據(jù)回溯和取證能力

2.實(shí)時(shí)性能分析和監(jiān)測(cè)，掌控關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量

3.工控協(xié)議操作指令分析，具備事后回溯和審計(jì)能力

4.實(shí)時(shí)安全監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)攻擊流量和異常流量

5.實(shí)時(shí)性能和安全告警，提升主動(dòng)運(yùn)維能力

數(shù)據(jù)重組和內(nèi)容重現(xiàn)

信而泰網(wǎng)絡(luò)回溯分析平臺(tái)內(nèi)置了功能強(qiáng)大的數(shù)據(jù)包分析引擎(Analyzer)，用于協(xié)議解碼、故障診斷和內(nèi)容重現(xiàn)，提供近2000種協(xié)議解碼，可從數(shù)據(jù)流快速定位到對(duì)應(yīng)的數(shù)據(jù)包高級(jí)的挖掘?qū)Ш焦δ埽�定位�?wèn)題快速便捷，支持7種數(shù)據(jù)包過(guò)濾器。提供以下協(xié)議的內(nèi)容審計(jì)：

1.DNS，重現(xiàn)請(qǐng)求的域名及相應(yīng)的IP地址

2.HTTP，重現(xiàn)請(qǐng)求的URL信息及相應(yīng)的返回碼

3.FTP，重現(xiàn)FTP操作指令

4.TELNET，重現(xiàn)TELNET操作指令

5.SMTP，重現(xiàn)發(fā)送的郵件內(nèi)容

6.POP3，重現(xiàn)接收的郵件內(nèi)容

7.SIP/RTP，重現(xiàn)信令呼叫過(guò)程及語(yǔ)音/視頻回放

8.QQ（賬戶關(guān)聯(lián)），重現(xiàn)QQ賬號(hào)及對(duì)應(yīng)的主機(jī)IP地址

信而泰網(wǎng)絡(luò)回溯分析平臺(tái)是一種被動(dòng)網(wǎng)絡(luò)監(jiān)測(cè)設(shè)備，通過(guò)TAP或鏡像端口等旁路方式接入監(jiān)測(cè)網(wǎng)絡(luò)，收集網(wǎng)絡(luò)的使用信息和運(yùn)行狀況，可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控、分析和故障診斷。網(wǎng)絡(luò)回溯分析平臺(tái)不會(huì)對(duì)監(jiān)測(cè)網(wǎng)絡(luò)產(chǎn)生任何影響，不會(huì)被黑客攻擊，能 7*24 小時(shí)不間斷地安全工作。常見(jiàn)的部署位置：

1.核心交換機(jī)

2.防火墻出口

3.負(fù)載均衡器前置

4.服務(wù)器接入交換機(jī)

信而泰網(wǎng)絡(luò)回溯分析平臺(tái)能夠?yàn)殡娏νㄐ啪W(wǎng)絡(luò)安全可靠運(yùn)行保駕護(hù)航：

1.全流量留存及歷史數(shù)據(jù)回溯取證功能為定位偶發(fā)的業(yè)務(wù)故障及安全事件提供真實(shí)數(shù)據(jù)證據(jù)，減少故障診斷時(shí)間；

2.多段網(wǎng)絡(luò)傳輸質(zhì)量監(jiān)測(cè)功能能夠迅速發(fā)現(xiàn)和確定網(wǎng)絡(luò)故障點(diǎn)；

3.可疑流量告警功能能夠及時(shí)發(fā)現(xiàn)和告警進(jìn)行中的網(wǎng)絡(luò)攻擊事件；

4.工控應(yīng)用分析功能能夠發(fā)現(xiàn)和告警業(yè)務(wù)故障和事后操作審計(jì)；

5.全流量數(shù)據(jù)重組和內(nèi)容重現(xiàn)，為研究和分析網(wǎng)絡(luò)用戶行為特征提供多維度數(shù)據(jù)支撐。

HTTP應(yīng)用性能監(jiān)測(cè)功能幫助某電網(wǎng)診斷業(yè)務(wù)故障

某電網(wǎng)客戶在日常使用信而泰網(wǎng)絡(luò)回溯分析平臺(tái)時(shí)，發(fā)現(xiàn)其某個(gè)業(yè)務(wù)系統(tǒng)存在性能故障，在故障時(shí)間段內(nèi)，該業(yè)務(wù)的服務(wù)響應(yīng)時(shí)間突增，達(dá)10秒級(jí)，正常狀態(tài)下，該業(yè)務(wù)的響應(yīng)時(shí)間為幾十毫秒左右，性能故障嚴(yán)重影響該業(yè)務(wù)的使用體驗(yàn)，對(duì)生產(chǎn)工作產(chǎn)生較大影響。

由于該業(yè)務(wù)由一組服務(wù)器池負(fù)載分擔(dān)，我們進(jìn)一步排查各個(gè)服務(wù)器的性能狀態(tài)，發(fā)現(xiàn)IP地址為“xxx.xxx.xxx.54”的這臺(tái)服務(wù)器的服務(wù)響應(yīng)時(shí)間長(zhǎng)，其他服務(wù)器的服務(wù)響應(yīng)時(shí)間正常。

此外，從HTTP應(yīng)用性能分析模塊回溯數(shù)據(jù)，發(fā)現(xiàn)同一個(gè)URL有的不同服務(wù)器提供服務(wù)，對(duì)比各個(gè)服務(wù)器的響應(yīng)時(shí)間，發(fā)現(xiàn)只有“xxx.xxx.xxx.54”這個(gè)服務(wù)器的響應(yīng)時(shí)間異常。

于是建議用戶對(duì)服務(wù)器“xxx.xxx.xxx.54”這臺(tái)服務(wù)器進(jìn)行日志排查，經(jīng)調(diào)查發(fā)現(xiàn)，該服務(wù)器在故障時(shí)間段內(nèi)，服務(wù)器管理人員進(jìn)行每月例行的文件查殺和日志審計(jì)，造成系統(tǒng)運(yùn)行出現(xiàn)緩慢。

MODBUS交易分析功能幫助某電網(wǎng)診斷連接故障

某電網(wǎng)客戶反映，其工控網(wǎng)某子系統(tǒng)偶發(fā)出現(xiàn)連接重置問(wèn)題。網(wǎng)絡(luò)運(yùn)維部門(mén)使用ping等診斷工具進(jìn)行故障定位，沒(méi)有發(fā)現(xiàn)故障原因。該問(wèn)題困擾業(yè)務(wù)部門(mén)達(dá)數(shù)月之久，業(yè)務(wù)部門(mén)一直認(rèn)為連接重置是由于網(wǎng)絡(luò)閃斷導(dǎo)致，但網(wǎng)絡(luò)部門(mén)通過(guò)設(shè)備日志檢查，網(wǎng)絡(luò)診斷工具長(zhǎng)期ping測(cè)試等方式，一直沒(méi)有找到網(wǎng)絡(luò)存在閃斷，但也無(wú)法提供有效證據(jù)，證明網(wǎng)絡(luò)傳輸沒(méi)有問(wèn)題，運(yùn)維人員苦不堪言。

我們?cè)诠た鼐W(wǎng)交換機(jī)進(jìn)行流量采集，對(duì)工控網(wǎng)絡(luò)進(jìn)行長(zhǎng)期監(jiān)測(cè)。由于該故障為偶發(fā)故障，無(wú)法掌控問(wèn)題的產(chǎn)生，好在信而泰網(wǎng)絡(luò)回溯分析平臺(tái)具備長(zhǎng)時(shí)間采集和回溯能力，這樣我們可以在業(yè)務(wù)部門(mén)報(bào)告問(wèn)題后，進(jìn)行歷史數(shù)據(jù)的回查。通過(guò)工控應(yīng)用分析我們看到了，連接重置前，客戶端發(fā)送的操作指令。

然后，我們選擇一次失敗的操作，提取原始數(shù)據(jù)包，獲取操作指令字節(jié)流，做好數(shù)據(jù)取證工作。

最后，我們協(xié)助和配合用戶及有關(guān)設(shè)備廠家，進(jìn)行數(shù)據(jù)取證，出具故障分析和定位報(bào)告。在各單位齊心配合下，設(shè)備廠家很快定位故障原因，發(fā)現(xiàn)故障是由一臺(tái)設(shè)備的版本過(guò)低導(dǎo)致，升級(jí)該設(shè)備的版本后，故障消除。經(jīng)過(guò)信而泰網(wǎng)絡(luò)回溯分析平臺(tái)的長(zhǎng)期監(jiān)測(cè)，該故障現(xiàn)象沒(méi)有再發(fā)生，問(wèn)題得到解決。