信而泰電力行業(yè)網絡運維新利器——全網流量可視，故障無所遁形

電力系統(tǒng)通信網是國家專用通信網之一，是電力系統(tǒng)不可缺少的重要組成部分，是電網調度自動化、電網運營市場化和電網管理信息化的基礎，是確保電網安全、穩(wěn)定、經濟運行的重要手段。電力系統(tǒng)通信網的任務是為電網生產運行、管理、基本建設等方面服務，主要功能應滿足調度電話、行政電話、電網自動化、繼電保護、安全自動裝置、計算機聯網、傳真、圖像傳輸等各種業(yè)務的需要。

本文介紹了信而泰網絡回溯分析平臺如何通過全流量回溯分析技術，助力電力行業(yè)實現網絡故障的快速定位、安全威脅的實時發(fā)現與工控業(yè)務的精準監(jiān)測，為保障電網安全穩(wěn)定運行提供了一套高效的解決方案。

網絡安全可靠是電力通信網的運維保障工作重中之重，圍繞著加強電力調度數據網絡安全、保證電力安全生產等方面，采取了許多有效措施保障各業(yè)務順利開展，防止病毒傳播和入侵攻擊，總結如下：

網絡故障點實時監(jiān)測和快速定位

隨著智能電網等先進業(yè)務開展，網絡業(yè)務規(guī)模越來越大，網絡流量組成也愈發(fā)多樣化，網絡中斷或業(yè)務性能故障也隨之經常出現。這些中斷可能會影響到數以萬計的普通用戶的用電安全，是關系國計民生的大事。

當前，針對業(yè)務部門反饋的網絡中斷問題，多數網絡運維人員依然使用ping工具來測量端到端的網絡連通性和延時，當出現網絡中斷或業(yè)務故障時，無法快速定位故障點。尤其對偶發(fā)的網絡故障，由于缺乏有力回溯分析工具，故障定位費時費力，往往歷經數月也無法解決問題。例如，某省級電力單位的龐大網絡中，網絡阻塞，網絡時斷時續(xù)甚至無法上網等情況都是經常發(fā)生。在出現網絡故障時，往往要花費較長時間來解決問題，有時雖然解決了問題，但也不知道具體原因。

防范系統(tǒng)漏洞利用和網絡攻擊事件

以蠕蟲病毒為代表的系統(tǒng)漏洞利用，也常在電力通信網內部肆虐。這些蠕蟲病毒傳播雖然由于專網的物理隔離，避免信息泄密等高風險事件，但產生的端口掃描及ARP掃描流量往往對業(yè)務性能產生影響，進而降低網絡效能，對電力安全生產造成嚴重影響。此外，互聯網網絡安全狀況日趨嚴峻，攻擊數量越來越多，攻擊方式越來越復雜，越難以發(fā)現，亟需從網絡流量痕跡進行行為審計，及時發(fā)現異常網絡流量，對未知攻擊進行識別和取證。

核心功能

信而泰網絡回溯分析平臺實現了軟件和硬件的完美結合，在單一的硬件平臺上實現了網絡全流量采集分析和留存，實時網絡及應用性能監(jiān)測和調查取證一體化解決方案，滿足對應用程序及其支持基礎架構的性能進行可視化管理、故障排除和優(yōu)化、安全事故早期發(fā)現、內容審計和調查取證的需求。

信而泰網絡回溯分析平臺包括五個核心引擎：

1. 線速捕包引擎，線速捕獲網絡流量；

2. 海量存儲引擎，高速存儲原始數據包；

3. 流水線分析引擎，高性能分析網絡流量；

4. 數據包搜索引擎，快速回溯數據包；

5. 數據包重組引擎，應用數據重組和內容審計。

基于五個核心功能引擎，提供數據查詢和報表服務，提供歷史分析數據，網絡原始數據包，告警日志和應用內容等類型數據的調查取證。

網絡數據包全流量采集、存儲和分析

信而泰網絡回溯分析平臺具備長時間、大容量、高性能的數據包采集及存儲能力。支持線速的S2D (Stream to Disk)、數據包和會話事務分析能力。數據包智能存儲引擎充分發(fā)掘存儲硬件系統(tǒng)的能力。S2D 在較快地排除問題故障方面，減少審計與合規(guī)要求所需的時間方面非常有價值。

信而泰網絡回溯分析平臺采用業(yè)界先進的多級流水線技術實時分析數據包，支持網絡數據包七層協(xié)議的解碼分析，支持常見應用協(xié)議的會話事務分析，支持常見應用協(xié)議的內容重現。支持對網絡連接質量，數據傳輸質量，應用服務質量，網絡安全態(tài)勢進行實時監(jiān)測和預警，以及事后調查取證。

信而泰網絡回溯分析平臺提供多重網絡分析數據，通過不斷地增加功能指標和優(yōu)化告警模型，確保告警的準確度和及時性。用戶無需掌握復雜和深奧的協(xié)議知識，僅僅簡單五步即可完成對性能故障和安全問題的回溯分析和調查取證，極大提高診斷效率，提升運維管理水平。

高精度時鐘同步技術的多段網絡傳輸質量監(jiān)測

信而泰網絡回溯分析平臺支持基于PTP協(xié)議時鐘同步的多段網絡傳輸質量系統(tǒng)采用統(tǒng)一管理中心和多個分布式網絡回溯分析設備協(xié)同工作。

多段網絡傳輸質量監(jiān)測功能，具備以下特性：

1.高精度時鐘同步，滿足亞毫秒級單向時延測量精度要求

2.基于業(yè)務流的網絡傳輸路徑管理

3.提供時延、抖動、丟包和連通性等全方位網絡性能指標

4.迅速定位網絡故障點

5、多傳輸協(xié)議支持（TCP，UDP）

可疑流量實時監(jiān)測與事后回溯取證

信而泰網絡回溯分析平臺基于流量行為的告警模型，用于檢測和發(fā)現網絡中行為可疑的連接會話和訪問關系。利用長期部署和運用的經驗總結，內置60個以上預置告警模板，涵蓋運維保障和安全監(jiān)測兩方面需求，可用于發(fā)現和告警網絡中出現的性能故障，安全事件和異常流量等，包括：

1.蠕蟲病毒

2.端口掃描

3.TCP SYN DDOS攻擊

4.UDP放大攻擊

5.ARP攻擊

6.異常流量告警

7.可疑應用服務告警

8.網絡性能故障告警

9.應用性能故障告警

10.滲透攻擊實時告警

工控應用交易分析和回溯取證

在工業(yè)控制網絡部署信而泰網絡回溯分析設備，幫助用戶及時發(fā)現、報告并處理網絡攻擊或異常行為，同時要求能夠保護現場，以便進行調查取證。采用基于全流量采集和實時分析的架構，可以為工控系統(tǒng)性能管理和信息安全提供強大技術手段：

1.全流量采集和存儲，提供數據回溯和取證能力

2.實時性能分析和監(jiān)測，掌控關鍵業(yè)務的服務質量

3.工控協(xié)議操作指令分析，具備事后回溯和審計能力

4.實時安全監(jiān)測，及時發(fā)現攻擊流量和異常流量

5.實時性能和安全告警，提升主動運維能力

數據重組和內容重現

信而泰網絡回溯分析平臺內置了功能強大的數據包分析引擎(Analyzer)，用于協(xié)議解碼、故障診斷和內容重現，提供近2000種協(xié)議解碼，可從數據流快速定位到對應的數據包高級的挖掘導航功能，定位問題快速便捷，支持7種數據包過濾器。提供以下協(xié)議的內容審計：

1.DNS，重現請求的域名及相應的IP地址

2.HTTP，重現請求的URL信息及相應的返回碼

3.FTP，重現FTP操作指令

4.TELNET，重現TELNET操作指令

5.SMTP，重現發(fā)送的郵件內容

6.POP3，重現接收的郵件內容

7.SIP/RTP，重現信令呼叫過程及語音/視頻回放

8.QQ（賬戶關聯），重現QQ賬號及對應的主機IP地址

信而泰網絡回溯分析平臺是一種被動網絡監(jiān)測設備，通過TAP或鏡像端口等旁路方式接入監(jiān)測網絡，收集網絡的使用信息和運行狀況，可實現對網絡流量進行監(jiān)控、分析和故障診斷。網絡回溯分析平臺不會對監(jiān)測網絡產生任何影響，不會被黑客攻擊，能 7*24 小時不間斷地安全工作。常見的部署位置：

1.核心交換機

2.防火墻出口

3.負載均衡器前置

4.服務器接入交換機

信而泰網絡回溯分析平臺能夠為電力通信網絡安全可靠運行保駕護航：

1.全流量留存及歷史數據回溯取證功能為定位偶發(fā)的業(yè)務故障及安全事件提供真實數據證據，減少故障診斷時間；

2.多段網絡傳輸質量監(jiān)測功能能夠迅速發(fā)現和確定網絡故障點；

3.可疑流量告警功能能夠及時發(fā)現和告警進行中的網絡攻擊事件；

4.工控應用分析功能能夠發(fā)現和告警業(yè)務故障和事后操作審計；

5.全流量數據重組和內容重現，為研究和分析網絡用戶行為特征提供多維度數據支撐。

HTTP應用性能監(jiān)測功能幫助某電網診斷業(yè)務故障

某電網客戶在日常使用信而泰網絡回溯分析平臺時，發(fā)現其某個業(yè)務系統(tǒng)存在性能故障，在故障時間段內，該業(yè)務的服務響應時間突增，達10秒級，正常狀態(tài)下，該業(yè)務的響應時間為幾十毫秒左右，性能故障嚴重影響該業(yè)務的使用體驗，對生產工作產生較大影響。

由于該業(yè)務由一組服務器池負載分擔，我們進一步排查各個服務器的性能狀態(tài)，發(fā)現IP地址為“xxx.xxx.xxx.54”的這臺服務器的服務響應時間長，其他服務器的服務響應時間正常。

此外，從HTTP應用性能分析模塊回溯數據，發(fā)現同一個URL有的不同服務器提供服務，對比各個服務器的響應時間，發(fā)現只有“xxx.xxx.xxx.54”這個服務器的響應時間異常。

于是建議用戶對服務器“xxx.xxx.xxx.54”這臺服務器進行日志排查，經調查發(fā)現，該服務器在故障時間段內，服務器管理人員進行每月例行的文件查殺和日志審計，造成系統(tǒng)運行出現緩慢。

MODBUS交易分析功能幫助某電網診斷連接故障

某電網客戶反映，其工控網某子系統(tǒng)偶發(fā)出現連接重置問題。網絡運維部門使用ping等診斷工具進行故障定位，沒有發(fā)現故障原因。該問題困擾業(yè)務部門達數月之久，業(yè)務部門一直認為連接重置是由于網絡閃斷導致，但網絡部門通過設備日志檢查，網絡診斷工具長期ping測試等方式，一直沒有找到網絡存在閃斷，但也無法提供有效證據，證明網絡傳輸沒有問題，運維人員苦不堪言。

我們在工控網交換機進行流量采集，對工控網絡進行長期監(jiān)測。由于該故障為偶發(fā)故障，無法掌控問題的產生，好在信而泰網絡回溯分析平臺具備長時間采集和回溯能力，這樣我們可以在業(yè)務部門報告問題后，進行歷史數據的回查。通過工控應用分析我們看到了，連接重置前，客戶端發(fā)送的操作指令。

然后，我們選擇一次失敗的操作，提取原始數據包，獲取操作指令字節(jié)流，做好數據取證工作。

最后，我們協(xié)助和配合用戶及有關設備廠家，進行數據取證，出具故障分析和定位報告。在各單位齊心配合下，設備廠家很快定位故障原因，發(fā)現故障是由一臺設備的版本過低導致，升級該設備的版本后，故障消除。經過信而泰網絡回溯分析平臺的長期監(jiān)測，該故障現象沒有再發(fā)生，問題得到解決。