信而泰電力行業(yè)網(wǎng)絡運維新利器——全網(wǎng)流量可視，故障無所遁形

電力系統(tǒng)通信網(wǎng)是國家專用通信網(wǎng)之一，是電力系統(tǒng)不可缺少的重要組成部分，是電網(wǎng)調(diào)度自動化、電網(wǎng)運營市場化和電網(wǎng)管理信息化的基礎，是確保電網(wǎng)安全、穩(wěn)定、經(jīng)濟運行的重要手段。電力系統(tǒng)通信網(wǎng)的任務是為電網(wǎng)生產(chǎn)運行、管理、基本建設等方面服務，主要功能應滿足調(diào)度電話、行政電話、電網(wǎng)自動化、繼電保護、安全自動裝置、計算機聯(lián)網(wǎng)、傳真、圖像傳輸?shù)雀鞣N業(yè)務的需要。

本文介紹了信而泰網(wǎng)絡回溯分析平臺如何通過全流量回溯分析技術(shù)，助力電力行業(yè)實現(xiàn)網(wǎng)絡故障的快速定位、安全威脅的實時發(fā)現(xiàn)與工控業(yè)務的精準監(jiān)測，為保障電網(wǎng)安全穩(wěn)定運行提供了一套高效的解決方案。

網(wǎng)絡安全可靠是電力通信網(wǎng)的運維保障工作重中之重，圍繞著加強電力調(diào)度數(shù)據(jù)網(wǎng)絡安全、保證電力安全生產(chǎn)等方面，采取了許多有效措施保障各業(yè)務順利開展，防止病毒傳播和入侵攻擊，總結(jié)如下：

網(wǎng)絡故障點實時監(jiān)測和快速定位

隨著智能電網(wǎng)等先進業(yè)務開展，網(wǎng)絡業(yè)務規(guī)模越來越大，網(wǎng)絡流量組成也愈發(fā)多樣化，網(wǎng)絡中斷或業(yè)務性能故障也隨之經(jīng)常出現(xiàn)。這些中斷可能會影響到數(shù)以萬計的普通用戶的用電安全，是關系國計民生的大事。

當前，針對業(yè)務部門反饋的網(wǎng)絡中斷問題，多數(shù)網(wǎng)絡運維人員依然使用ping工具來測量端到端的網(wǎng)絡連通性和延時，當出現(xiàn)網(wǎng)絡中斷或業(yè)務故障時，無法快速定位故障點。尤其對偶發(fā)的網(wǎng)絡故障，由于缺乏有力回溯分析工具，故障定位費時費力，往往歷經(jīng)數(shù)月也無法解決問題。例如，某省級電力單位的龐大網(wǎng)絡中，網(wǎng)絡阻塞，網(wǎng)絡時斷時續(xù)甚至無法上網(wǎng)等情況都是經(jīng)常發(fā)生。在出現(xiàn)網(wǎng)絡故障時，往往要花費較長時間來解決問題，有時雖然解決了問題，但也不知道具體原因。

防范系統(tǒng)漏洞利用和網(wǎng)絡攻擊事件

以蠕蟲病毒為代表的系統(tǒng)漏洞利用，也常在電力通信網(wǎng)內(nèi)部肆虐。這些蠕蟲病毒傳播雖然由于專網(wǎng)的物理隔離，避免信息泄密等高風險事件，但產(chǎn)生的端口掃描及ARP掃描流量往往對業(yè)務性能產(chǎn)生影響，進而降低網(wǎng)絡效能，對電力安全生產(chǎn)造成嚴重影響。此外，互聯(lián)網(wǎng)網(wǎng)絡安全狀況日趨嚴峻，攻擊數(shù)量越來越多，攻擊方式越來越復雜，越難以發(fā)現(xiàn)，亟需從網(wǎng)絡流量痕跡進行行為審計，及時發(fā)現(xiàn)異常網(wǎng)絡流量，對未知攻擊進行識別和取證。

核心功能

信而泰網(wǎng)絡回溯分析平臺實現(xiàn)了軟件和硬件的完美結(jié)合，在單一的硬件平臺上實現(xiàn)了網(wǎng)絡全流量采集分析和留存，實時網(wǎng)絡及應用性能監(jiān)測和調(diào)查取證一體化解決方案，滿足對應用程序及其支持基礎架構(gòu)的性能進行可視化管理、故障排除和優(yōu)化、安全事故早期發(fā)現(xiàn)、內(nèi)容審計和調(diào)查取證的需求。

信而泰網(wǎng)絡回溯分析平臺包括五個核心引擎：

1. 線速捕包引擎，線速捕獲網(wǎng)絡流量；

2. 海量存儲引擎，高速存儲原始數(shù)據(jù)包；

3. 流水線分析引擎，高性能分析網(wǎng)絡流量；

4. 數(shù)據(jù)包搜索引擎，快速回溯數(shù)據(jù)包；

5. 數(shù)據(jù)包重組引擎，應用數(shù)據(jù)重組和內(nèi)容審計。

基于五個核心功能引擎，提供數(shù)據(jù)查詢和報表服務，提供歷史分析數(shù)據(jù)，網(wǎng)絡原始數(shù)據(jù)包，告警日志和應用內(nèi)容等類型數(shù)據(jù)的調(diào)查取證。

網(wǎng)絡數(shù)據(jù)包全流量采集、存儲和分析

信而泰網(wǎng)絡回溯分析平臺具備長時間、大容量、高性能的數(shù)據(jù)包采集及存儲能力。支持線速的S2D (Stream to Disk)、數(shù)據(jù)包和會話事務分析能力。數(shù)據(jù)包智能存儲引擎充分發(fā)掘存儲硬件系統(tǒng)的能力。S2D 在較快地排除問題故障方面，減少審計與合規(guī)要求所需的時間方面非常有價值。

信而泰網(wǎng)絡回溯分析平臺采用業(yè)界先進的多級流水線技術(shù)實時分析數(shù)據(jù)包，支持網(wǎng)絡數(shù)據(jù)包七層協(xié)議的解碼分析，支持常見應用協(xié)議的會話事務分析，支持常見應用協(xié)議的內(nèi)容重現(xiàn)。支持對網(wǎng)絡連接質(zhì)量，數(shù)據(jù)傳輸質(zhì)量，應用服務質(zhì)量，網(wǎng)絡安全態(tài)勢進行實時監(jiān)測和預警，以及事后調(diào)查取證。

信而泰網(wǎng)絡回溯分析平臺提供多重網(wǎng)絡分析數(shù)據(jù)，通過不斷地增加功能指標和優(yōu)化告警模型，確保告警的準確度和及時性。用戶無需掌握復雜和深奧的協(xié)議知識，僅僅簡單五步即可完成對性能故障和安全問題的回溯分析和調(diào)查取證，極大提高診斷效率，提升運維管理水平。

高精度時鐘同步技術(shù)的多段網(wǎng)絡傳輸質(zhì)量監(jiān)測

信而泰網(wǎng)絡回溯分析平臺支持基于PTP協(xié)議時鐘同步的多段網(wǎng)絡傳輸質(zhì)量系統(tǒng)采用統(tǒng)一管理中心和多個分布式網(wǎng)絡回溯分析設備協(xié)同工作。

多段網(wǎng)絡傳輸質(zhì)量監(jiān)測功能，具備以下特性：

1.高精度時鐘同步，滿足亞毫秒級單向時延測量精度要求

2.基于業(yè)務流的網(wǎng)絡傳輸路徑管理

3.提供時延、抖動、丟包和連通性等全方位網(wǎng)絡性能指標

4.迅速定位網(wǎng)絡故障點

5、多傳輸協(xié)議支持（TCP，UDP）

可疑流量實時監(jiān)測與事后回溯取證

信而泰網(wǎng)絡回溯分析平臺基于流量行為的告警模型，用于檢測和發(fā)現(xiàn)網(wǎng)絡中行為可疑的連接會話和訪問關系。利用長期部署和運用的經(jīng)驗總結(jié)，內(nèi)置60個以上預置告警模板，涵蓋運維保障和安全監(jiān)測兩方面需求，可用于發(fā)現(xiàn)和告警網(wǎng)絡中出現(xiàn)的性能故障，安全事件和異常流量等，包括：

1.蠕蟲病毒

2.端口掃描

3.TCP SYN DDOS攻擊

4.UDP放大攻擊

5.ARP攻擊

6.異常流量告警

7.可疑應用服務告警

8.網(wǎng)絡性能故障告警

9.應用性能故障告警

10.滲透攻擊實時告警

工控應用交易分析和回溯取證

在工業(yè)控制網(wǎng)絡部署信而泰網(wǎng)絡回溯分析設備，幫助用戶及時發(fā)現(xiàn)、報告并處理網(wǎng)絡攻擊或異常行為，同時要求能夠保護現(xiàn)場，以便進行調(diào)查取證。采用基于全流量采集和實時分析的架構(gòu)，可以為工控系統(tǒng)性能管理和信息安全提供強大技術(shù)手段：

1.全流量采集和存儲，提供數(shù)據(jù)回溯和取證能力

2.實時性能分析和監(jiān)測，掌控關鍵業(yè)務的服務質(zhì)量

3.工控協(xié)議操作指令分析，具備事后回溯和審計能力

4.實時安全監(jiān)測，及時發(fā)現(xiàn)攻擊流量和異常流量

5.實時性能和安全告警，提升主動運維能力

數(shù)據(jù)重組和內(nèi)容重現(xiàn)

信而泰網(wǎng)絡回溯分析平臺內(nèi)置了功能強大的數(shù)據(jù)包分析引擎(Analyzer)，用于協(xié)議解碼、故障診斷和內(nèi)容重現(xiàn)，提供近2000種協(xié)議解碼，可從數(shù)據(jù)流快速定位到對應的數(shù)據(jù)包高級的挖掘?qū)Ш焦δ�，定位問題快速便捷，支持7種數(shù)據(jù)包過濾器。提供以下協(xié)議的內(nèi)容審計：

1.DNS，重現(xiàn)請求的域名及相應的IP地址

2.HTTP，重現(xiàn)請求的URL信息及相應的返回碼

3.FTP，重現(xiàn)FTP操作指令

4.TELNET，重現(xiàn)TELNET操作指令

5.SMTP，重現(xiàn)發(fā)送的郵件內(nèi)容

6.POP3，重現(xiàn)接收的郵件內(nèi)容

7.SIP/RTP，重現(xiàn)信令呼叫過程及語音/視頻回放

8.QQ（賬戶關聯(lián)），重現(xiàn)QQ賬號及對應的主機IP地址

信而泰網(wǎng)絡回溯分析平臺是一種被動網(wǎng)絡監(jiān)測設備，通過TAP或鏡像端口等旁路方式接入監(jiān)測網(wǎng)絡，收集網(wǎng)絡的使用信息和運行狀況，可實現(xiàn)對網(wǎng)絡流量進行監(jiān)控、分析和故障診斷。網(wǎng)絡回溯分析平臺不會對監(jiān)測網(wǎng)絡產(chǎn)生任何影響，不會被黑客攻擊，能 7*24 小時不間斷地安全工作。常見的部署位置：

1.核心交換機

2.防火墻出口

3.負載均衡器前置

4.服務器接入交換機

信而泰網(wǎng)絡回溯分析平臺能夠為電力通信網(wǎng)絡安全可靠運行保駕護航：

1.全流量留存及歷史數(shù)據(jù)回溯取證功能為定位偶發(fā)的業(yè)務故障及安全事件提供真實數(shù)據(jù)證據(jù)，減少故障診斷時間；

2.多段網(wǎng)絡傳輸質(zhì)量監(jiān)測功能能夠迅速發(fā)現(xiàn)和確定網(wǎng)絡故障點；

3.可疑流量告警功能能夠及時發(fā)現(xiàn)和告警進行中的網(wǎng)絡攻擊事件；

4.工控應用分析功能能夠發(fā)現(xiàn)和告警業(yè)務故障和事后操作審計；

5.全流量數(shù)據(jù)重組和內(nèi)容重現(xiàn)，為研究和分析網(wǎng)絡用戶行為特征提供多維度數(shù)據(jù)支撐。

HTTP應用性能監(jiān)測功能幫助某電網(wǎng)診斷業(yè)務故障

某電網(wǎng)客戶在日常使用信而泰網(wǎng)絡回溯分析平臺時，發(fā)現(xiàn)其某個業(yè)務系統(tǒng)存在性能故障，在故障時間段內(nèi)，該業(yè)務的服務響應時間突增，達10秒級，正常狀態(tài)下，該業(yè)務的響應時間為幾十毫秒左右，性能故障嚴重影響該業(yè)務的使用體驗，對生產(chǎn)工作產(chǎn)生較大影響。

由于該業(yè)務由一組服務器池負載分擔，我們進一步排查各個服務器的性能狀態(tài)，發(fā)現(xiàn)IP地址為“xxx.xxx.xxx.54”的這臺服務器的服務響應時間長，其他服務器的服務響應時間正常。

此外，從HTTP應用性能分析模塊回溯數(shù)據(jù)，發(fā)現(xiàn)同一個URL有的不同服務器提供服務，對比各個服務器的響應時間，發(fā)現(xiàn)只有“xxx.xxx.xxx.54”這個服務器的響應時間異常。

于是建議用戶對服務器“xxx.xxx.xxx.54”這臺服務器進行日志排查，經(jīng)調(diào)查發(fā)現(xiàn)，該服務器在故障時間段內(nèi)，服務器管理人員進行每月例行的文件查殺和日志審計，造成系統(tǒng)運行出現(xiàn)緩慢。

MODBUS交易分析功能幫助某電網(wǎng)診斷連接故障

某電網(wǎng)客戶反映，其工控網(wǎng)某子系統(tǒng)偶發(fā)出現(xiàn)連接重置問題。網(wǎng)絡運維部門使用ping等診斷工具進行故障定位，沒有發(fā)現(xiàn)故障原因。該問題困擾業(yè)務部門達數(shù)月之久，業(yè)務部門一直認為連接重置是由于網(wǎng)絡閃斷導致，但網(wǎng)絡部門通過設備日志檢查，網(wǎng)絡診斷工具長期ping測試等方式，一直沒有找到網(wǎng)絡存在閃斷，但也無法提供有效證據(jù)，證明網(wǎng)絡傳輸沒有問題，運維人員苦不堪言。

我們在工控網(wǎng)交換機進行流量采集，對工控網(wǎng)絡進行長期監(jiān)測。由于該故障為偶發(fā)故障，無法掌控問題的產(chǎn)生，好在信而泰網(wǎng)絡回溯分析平臺具備長時間采集和回溯能力，這樣我們可以在業(yè)務部門報告問題后，進行歷史數(shù)據(jù)的回查。通過工控應用分析我們看到了，連接重置前，客戶端發(fā)送的操作指令。

然后，我們選擇一次失敗的操作，提取原始數(shù)據(jù)包，獲取操作指令字節(jié)流，做好數(shù)據(jù)取證工作。

最后，我們協(xié)助和配合用戶及有關設備廠家，進行數(shù)據(jù)取證，出具故障分析和定位報告。在各單位齊心配合下，設備廠家很快定位故障原因，發(fā)現(xiàn)故障是由一臺設備的版本過低導致，升級該設備的版本后，故障消除。經(jīng)過信而泰網(wǎng)絡回溯分析平臺的長期監(jiān)測，該故障現(xiàn)象沒有再發(fā)生，問題得到解決。