流量系統(tǒng)需求分析

1、流n系統(tǒng)需求分析版本記錄項目名稱版本號日期作者流碩廣品需求文檔FSX 2.0流碩廣品需求文檔FSX 2.01、前言任務(wù)概述NetFlow V5/V9 ,又可以提供豐用戶目前急需成熟的流量分析產(chǎn)品，即能夠很好的支持 富的流量分析統(tǒng)計手段。他們對流量分析系統(tǒng)基本需求綜合為以下幾點：1. 能提供基于IP地址、Ip地址段、自治域（AS）、網(wǎng)絡(luò)協(xié)議、TOS等方式進行全面的流量/包數(shù)/SESSION數(shù)的分析和統(tǒng)計排名（例如要求提供分析對象內(nèi)部地址排名及分析對象外部地址排名）2. 能區(qū)分來自不同路由設(shè)備、不同地域（如省內(nèi)各地市）不同業(yè)務(wù)類型的流量，支持流量過濾（過濾掉鐵通內(nèi)部流量），能根據(jù)各地市流出或流入流

2、量進行費用分?jǐn)偤徒Y(jié) 算。3. 能支持NETFLOW V5、V9版本的數(shù)據(jù)格式。本文檔的目的是收集、 分析、定義流碩產(chǎn)品的需求。它主要定義開發(fā)能接受的和目標(biāo)客 戶想要的需求，以及為何這些需求存在。詳細(xì)描述如何實現(xiàn)這些需求不是本文檔的任務(wù)。2、簡介流量系統(tǒng)使用范圍：大型骨干網(wǎng)、中型骨干網(wǎng)、城域網(wǎng)、中小型局域網(wǎng)、IDC和網(wǎng)吧等。用戶應(yīng)用部門：網(wǎng)絡(luò)運營維護部門：不僅要取得網(wǎng)絡(luò)用量，還得分析流量的來源、目的、應(yīng)用及尖峰差異， 才能有效實現(xiàn)路由優(yōu)化、負(fù)載平衡分配、異常流量檢測、攻擊來源掌控、流量趨勢分析等復(fù)雜的維運工作。市場及業(yè)務(wù)推廣部門：多媒體業(yè)務(wù)是未來電信業(yè)務(wù)發(fā)展的必然方向，它將從根本上改變傳統(tǒng)的電信

3、業(yè)務(wù)以話音為主的特征，代之以融合話音、數(shù)據(jù)、圖像等多種內(nèi)容的傳輸業(yè)務(wù)。針對數(shù)據(jù)業(yè)務(wù)的市場推廣上特定區(qū)域、特定人群集中的特點，在細(xì)分客戶類型的基礎(chǔ)上， 針對不同的目標(biāo)客戶進行了市場細(xì)分， 把業(yè)務(wù)推廣與適用客戶群有機結(jié)合起來， 實施更有針 對性的市場營銷；更有效拓展數(shù)據(jù)業(yè)務(wù)市場。保證核心業(yè)務(wù)的帶寬及負(fù)載， 以及流量計費等目前的流量分析系統(tǒng)， 主要用于網(wǎng)絡(luò)流量的數(shù)據(jù)統(tǒng)計和分析的量化，為用戶展示網(wǎng)絡(luò)的實際流量情況，但如何從這些量化的數(shù)據(jù)中為用戶提出優(yōu)化網(wǎng)絡(luò)的方案，引導(dǎo)用戶對網(wǎng)絡(luò)進行優(yōu)化，并幫助決策者提出發(fā)展規(guī)劃（網(wǎng)絡(luò)規(guī)劃來源于市場和業(yè)務(wù)的規(guī)劃），則比較欠缺，而這些方面正是用戶使用流量分析系統(tǒng)更高層次的

4、需求，也是流量分析系統(tǒng)需要提高，也必須達到的目標(biāo)。流量系統(tǒng)的兩種使用需求：根據(jù)使用部門的不同， 其工作職責(zé)、關(guān)注流量的焦點不同， 使用流量系統(tǒng)出現(xiàn)兩種不同 需求： 針對網(wǎng)絡(luò)和設(shè)備的流量系統(tǒng)：針對設(shè)備及端口的采集、監(jiān)控、分析、報表，該需求以設(shè)備端口為中心，尤其以中小型 網(wǎng)絡(luò)環(huán)境比較明顯。該類需求應(yīng)該以設(shè)備及端口為導(dǎo)向，以設(shè)備和設(shè)備組進行監(jiān)控、分析和報表。目前流量系統(tǒng)多是該種形式的。針對運營和業(yè)務(wù)應(yīng)用的流量系統(tǒng)：針對用戶群及用戶業(yè)務(wù)的流量采集、 監(jiān)控、分析和報表，該需求以擁有大中性網(wǎng)絡(luò)環(huán)境， 市場業(yè)務(wù)多的用戶比較明顯，如費用攤分，應(yīng)用分析等。同時針對客戶資料，使用網(wǎng)絡(luò)資源的信息將是該系統(tǒng)的附加模塊

5、。該類需求應(yīng)該以對象為導(dǎo)向，以對象和對象組為中心，制定各種策略來監(jiān)控、分析和報表。基于對象（設(shè)備、端口、 AS、IP段）制定策略，進行費用攤分、流量監(jiān)控【安全檢測】、流量分析、業(yè)務(wù)分析提供豐富的圖形化報表以量化的數(shù)據(jù)作為基礎(chǔ)，為市場決策與網(wǎng)絡(luò)規(guī)劃提供參考依據(jù)。3、需求模塊說明編P模塊子模塊描述1對象管理對象定義、管理、分組2數(shù)據(jù)處理數(shù)據(jù)米集（非netflow格式轉(zhuǎn)化）、數(shù)據(jù)處理、保存3費用攤分策略制定、費用攤分統(tǒng)計4流量監(jiān)控告警管理、報警策略管理、病毒特征庫管理5流量分析TOPK 名6報表固定報表，自定義報表管理系統(tǒng)7系統(tǒng)管理系統(tǒng)參數(shù)設(shè)置、權(quán)限管理、端口號與應(yīng)用層協(xié)議映射、IP地址與常用應(yīng)用映

6、射、重要客戶IP地址定義、A方與AV稱映射、內(nèi)網(wǎng)地址配置名詞解釋：元素：網(wǎng)絡(luò)設(shè)備（端口） 、AS號、IP段（IP段可以是大于 C類網(wǎng)的網(wǎng)段，也可以是小于 C 類網(wǎng)的網(wǎng)段，也可以是單個IP），元素應(yīng)該包含ID、名稱（AS號或IP范圍）、類型（專線、撥號、pppoe、其它）等對象：是針對某個用戶或某類應(yīng)用而聚合起來的元素組合。對象應(yīng)包含：ID ,對象名稱（用戶及使用類型，應(yīng)用名稱等），元素列表，訪問權(quán)限（用戶名和密碼）策略：為監(jiān)控、分析、攤分而制定的計算方法，比如攤分過濾內(nèi)網(wǎng)地址，3.1 對象管理通過對元素進行分組管理，能幫助用戶進行網(wǎng)絡(luò)資源組合，同時將NetFlow輸出到不同的類別，以便進行針對

7、性監(jiān)控，以及向用戶授予訪問權(quán)限。元素：網(wǎng)絡(luò)設(shè)備（端口） 、AS號、IP段（IP段可以是大于 C類網(wǎng)的網(wǎng)段，也可以是小于 C 類網(wǎng)的網(wǎng)段，也可以是單個IP），元素應(yīng)該包含ID、名稱（AS號或IP范圍）、類型（專線、撥號、pppoe、其它）等對象：是針對某個用戶或某類應(yīng)用而聚合起來的元素組合，通過對對象制定權(quán)限，可以讓客戶查看所屬對象的內(nèi)容。對象應(yīng)包含：ID，對象名稱（用戶及使用類型， 應(yīng)用名稱等），元素列表，訪問權(quán)限（用 戶名和密碼）每個對象包含以下內(nèi)容:1對象ID2對象名稱3類型設(shè)備、端口、 AS、IP段4登錄號5密碼6包含兀素可以包含多個設(shè)備或/和端口，幾個網(wǎng)段 但只能是選定的一種類型7描述

8、8創(chuàng)建時間9狀態(tài)管理功能：對象的建立、查詢、詳細(xì)查看、修改和刪除，后三者根據(jù)統(tǒng)一的查詢條件進 行定位。查詢條件包括：名稱和類型，修改和刪除作為查詢結(jié)果頁面鏈接。變更說明功能原版本新需求IP段定義1、將分析對象區(qū)分為IP對象和網(wǎng)段分析對象（NDA處理不同）流量監(jiān)控和流量分析模塊的“對象間”策略制訂時，只能從IP對象到IP對象、網(wǎng)段分析對象到網(wǎng) 段分析對象。這樣劃分給統(tǒng)計、監(jiān)控帶來的問題是：因為客戶管理的對象（比如一個地市地址集合）通常既有IP段又存在單IP,一個客戶管理的對象需要分成2個以上分析對象來統(tǒng)計。很不方便也不直觀。1、分析對象只定義IP段，IP 段可以是大于C類網(wǎng)的網(wǎng)段， 也可以是小于

9、 C類網(wǎng)的網(wǎng)段， 也可以是單個IP米集端口2、不區(qū)分物理端口無法針對端口流量進行記錄，無法做到端口的優(yōu) 化。部分省需要通過第二通道租用其它服務(wù)商，通過 端口鏈接不同服務(wù)商進行計費。區(qū)分物理端口，解決端口流量 統(tǒng)計，可應(yīng)用于端口計費（運 營商通過其它端口開辟第二 通道）、網(wǎng)絡(luò)優(yōu)化用戶授 權(quán)提供用戶名和密碼制定對象訪問權(quán)限，能幫助用 戶進行設(shè)備分組同時將 NetFlow輸出到不同的類別， 以便進彳仆對性監(jiān)控， 以及向 用戶授予訪問權(quán)限。某個客戶可能擁有不同類型元素的網(wǎng)絡(luò)資源（IP段、設(shè)備、端口、 AS）,就要制定不同的對象，也就是一個客戶可能針對幾個對象，如何有效查看客戶的網(wǎng)絡(luò)流量及使用情況。3.

10、2數(shù)據(jù)采集、處理、保存1. 全采集，采集分析所有數(shù)據(jù)，壓縮保存，保存所有原始數(shù)據(jù)記錄一段時間（半年）。優(yōu)點：可以通過制定查詢策略來完成數(shù)據(jù)的利用，便于數(shù)據(jù)挖掘，并根據(jù)客戶需求進行定制報表，或在使用過程中改變使用數(shù)據(jù)策略。缺點：對硬件要求高，系統(tǒng)性能低。2. 策略采集，采集分析所有數(shù)據(jù)，針對策略保存策略需要的統(tǒng)計數(shù)據(jù)數(shù)據(jù)，其他數(shù)據(jù)丟失。并針對策略定時匯聚數(shù)據(jù)，丟失原始數(shù)據(jù)記錄。優(yōu)點：數(shù)據(jù)采集有針對性，系統(tǒng)要求低，性能高。缺點：改變策略后，要重新開始采集數(shù)據(jù)，歷史數(shù)據(jù)不全且可能無法使用。出現(xiàn)安全問題或其他應(yīng)用需求時，無法對原始數(shù)據(jù)進行數(shù)據(jù)挖掘和分析。3. 采集點的顯示（divice group ）

11、列表顯示采集點，并可以分組管理，顯示當(dāng)前采集點狀態(tài)、輸入、輸出、通過鏈接顯示該采集點的詳細(xì)信息（字節(jié)、包、會話、應(yīng)用數(shù)）4. 數(shù)據(jù)處理：通過建立某些模型，可以將一些異常的具有某些特征的包進行合并，達到降低原始數(shù)據(jù)的目的，特別適合病毒監(jiān)控，可以在數(shù)據(jù)處理的時候就可以發(fā)出告警。5. 數(shù)據(jù)轉(zhuǎn)換將非netflow格式的流量數(shù)據(jù)轉(zhuǎn)換成netflow格式的數(shù)據(jù)，以便系統(tǒng)處理。這樣可以有效支持更多的設(shè)備類型和協(xié)議類型。變更說明:功能原版本新需求原始記錄 保存根據(jù)策略統(tǒng)計原始數(shù)據(jù)，其它數(shù) 據(jù)丟失。網(wǎng)絡(luò)出現(xiàn)異常，無法利用原始數(shù) 據(jù)進行深入分析造成異常的原因根據(jù)策略統(tǒng)計原始數(shù)據(jù)，保存原始數(shù)據(jù)文 件一段時間（根據(jù)系

12、統(tǒng)磁盤空間和網(wǎng)絡(luò)流 量確定保存多長時間）可以利用原始數(shù)據(jù)進行深入的分析和數(shù)據(jù) 挖掘，可以用在異常情況分析，策略的制 定和修改（一般客戶對策略制定完統(tǒng)計的 內(nèi)容并/、了解，看了統(tǒng)計后可能會修正策 略）關(guān)于分析界面參見流量分析界面數(shù)據(jù)轉(zhuǎn)換只支持 netflow 一種協(xié)議的 （v5/v9 ）。該格式只有Cisco、Enterasys、Juniper 等廠家。在省及中小型網(wǎng)絡(luò)中、設(shè)備廠家 更多，更復(fù)雜，而且多數(shù)為華為 設(shè)備，華為設(shè)備支持 netstream 協(xié)議通過數(shù)據(jù)轉(zhuǎn)換模塊來支持其它協(xié)議和方式采集的流量數(shù)據(jù)。應(yīng)支持的協(xié)議包括 netStream、sFlow、cFlow異常流量 統(tǒng)計未處理通過建立某

13、些模型，可以將一些異常的具 有杲些特征的包進行合并，達到降低原始 數(shù)據(jù)的目的，特別適合病毒監(jiān)控，可以在 數(shù)據(jù)處理的時候就可以發(fā)出告警。3.3 流雖監(jiān)控設(shè)備端口流量監(jiān)控：以設(shè)備和端口為中心進行流量監(jiān)控，監(jiān)控內(nèi)容如下:米集點列表序號路由器 名稱端口名稱（展開/隱 藏）流入流量流出流量詳細(xì)名稱及端口名稱列取大圖示值圖標(biāo)鏈圖示米集狀態(tài)表及圖示米 集狀態(tài)平均圖示, 值 現(xiàn)在圖示值接詳細(xì) 頁面說明:1、端口展開，則顯示每個端口的流量及百分比值，如果選擇隱藏，則不顯示端口，匯總顯示設(shè)備的流量及百分比值2、每個流量都顯示最大、平均、現(xiàn)在（最近 30分鐘，粒度待定）的值和百分比，百分比是流量/端口速度，流量值采

14、樣 kbps為單位。bps（調(diào)制速率）：bps指的是單位時間（秒）內(nèi)傳輸?shù)淖止?jié)位數(shù)。3、 要求用戶配置采集的IP、路由器名稱、端口名稱、4、圖示詳細(xì)頁面參見設(shè)備流量監(jiān)控內(nèi)容5、 建議通過SNMP來采集路由器名稱、端口名稱、 心的其它數(shù)據(jù)，如系統(tǒng)運行時間等6、因為目前多數(shù)網(wǎng)絡(luò)設(shè)備只提供物理端口入流量的NetFlow數(shù)據(jù)之前，首先要判斷異常流量的流向，7、MRTG通過SNMP協(xié)議從設(shè)備處獲得流量信息, /流出流量；并可以取得路由器其它關(guān)鍵數(shù)據(jù)如端口速度端口速度等名稱，同時可以列出用戶關(guān)NetFlow數(shù)據(jù)，所以采集異常流量 進而選擇合適的物理端口去采集數(shù)據(jù)。分析路由設(shè)備各個接口的物理流入CPU等端口

15、流量監(jiān)控詳細(xì)（默認(rèn)）設(shè)備端口名稱報表空成按鈕統(tǒng)計時間間隔（1小時、今天、24小時）統(tǒng)計時間段選擇：2wm2,£J統(tǒng)計內(nèi)容選擇：流量、速度、利用率（流量/端口速度） 列表內(nèi)容不便，只是圖片可以在流量、速度、利用率切換。CategoryTotalMaxMinAvgTraffic IN10960.19 MB879.7 MB14.49 MB405.93 MBTraffic OUT10948.33 MB878.76 MB14.47 MB405.49 MBApplicationIN 10960.19 MBApplicationTrafficTraffic Percentagekazaa7975.

16、73 MB73%smtp1257.8 MB11%SourcelN 10960.19 MBApplication Out 10960.19 MBSourceTrafficTraffic Percentage191.32 MB2%166.92 MB2%SourceOut10960.19 MBDestinationIN 10960.19 MBDestinationTrafficTraffic Percentage161.56 MB1%160.96 MB1%DestinationIN 10960.19 MB策略監(jiān)控

17、（業(yè)務(wù)監(jiān)控）針對某項應(yīng)用制定策略進行監(jiān)控，可以監(jiān)控核心業(yè)務(wù)的網(wǎng)絡(luò)應(yīng)用和異常情況。產(chǎn)生滿足監(jiān)控條件的類似mrtg的流量圖。監(jiān)控策略包括內(nèi)容：1策略ID2策略名稱3監(jiān)控范圍全網(wǎng)、某個對象、源對象到目的對象，對象（AS,IP段，設(shè)備、物理端口）4監(jiān)控項目協(xié)議：單個或一組協(xié)議業(yè)務(wù)服務(wù)：協(xié)議和端口的組合，需要在系統(tǒng)管理中定義TOS取小費用、取小延時、正甬、取大吞吐重、取高可靠性協(xié)議類型：tcp、udp、icmp5過濾條件用戶可以通過對定制過濾器對上述監(jiān)控項目進行單獨或通過AND、OR、NOT等邏輯運算組合成復(fù)合條件進行監(jiān)控6報警策略選擇建立好的報警策略說明：1、業(yè)務(wù)服務(wù)監(jiān)控，通過系統(tǒng)管理可以設(shè)置常用應(yīng)用

18、的端口和協(xié)議，以確定服務(wù)，也可以自定義服務(wù)（端口 +服務(wù)）2、制定好策略，通過策略可以看到（流量、包、會話）趨勢曲線圖，可以生成報表下圖是flow-tools生成的一組協(xié)議端口和服務(wù)的監(jiān)控圖表，由于可以分端口顯示流量，從這個圖里面我們非常容易可以看到19點的時候有一個6667 （IRCUDP）的大流量攻擊;Pnypr by Viifiing Craig ; WpII Kmwtt PiTirnrnl VrviiPU055SAL。14；0Oie： odismo20; DO 曲 0000； OD02: CO04：(Reuter:撬1 P34EEsre * F34C3(Et 0.13(cutBE in

19、口 mssre 督邱tilt0*皿. ix m £MTfere 船 ；MTf(1st0. ?<Cut。.次 tnsre + F3158d$t 土(Kcutom in町sre # FT煩17. 3K OUT5. 6£ Il心®sre +心 ULPtuto.sk insre >B nvpooM1stQ.1»fout.OK in口 BEADLEsre * EEAdLE(ht。.慎Cut。皿Tn HTTPsre *卜 TTPdst 24hB« Outw.&t n口 I ECsre *冰dst D.1KOut.3% En Wsre 甘

20、 CAMEiht£ Ou t7. 5 11 POPSere 卜 FOP?dst d.mouta.1Sf In口 IKU 睇sre * :RCWP1st 土寶Qito.ok inOthtr 氾nhc洛44.咤:out鄴.6% ；n TOTAL事件中心告警策略管理定制告警的策略，可以將相同的告警條件應(yīng)用于多個策略。策略針對監(jiān)控指標(biāo)制定閥值并配合時間策略和告警方式結(jié)合。應(yīng)實現(xiàn)對告警策略的列表顯示、新增、修改、刪除告警策略管理：1策略ID2策略名稱3時間策略時間策略制定（不同時間段不同門限值設(shè)置）4報警條件（流量、字節(jié)/包、包數(shù)）（大于、 *、小于） 值持續(xù)時間遇到一次，持續(xù)10分鐘，持續(xù)6

21、0分鐘5告警方式系統(tǒng)可在圖形上進行顏色告警、郵件、短信報警6告警級別7創(chuàng)建時間說明：1、根據(jù)時間策略制定報警閥值、告警方式；2、同一告警策略可以制定多個時間策略組合；3、在告警策略列表中應(yīng)顯示哪些監(jiān)控策略使用了該告警策略 告警監(jiān)視管理確認(rèn)處理，查詢統(tǒng)計，實現(xiàn)對一段時間內(nèi)的告警事件進行分析排名，找出網(wǎng)絡(luò)薄弱環(huán)節(jié),可以生成報表。通過首頁或固定位置，可以查看監(jiān)控到所有的實時報警信息。告警ID告警名稱策略+來源策略名稱類型發(fā)生時間確認(rèn)時間責(zé)任人級別描述狀態(tài)原始、確認(rèn)病蠹監(jiān)控報警通過人工分析病毒特征，手動增加病毒包特征知識庫，以及發(fā)現(xiàn)該病毒時采取的處理方 式（告警、調(diào)用程序處理等），合并包，降低原始記錄

22、數(shù)，提高系統(tǒng)性能。包特征知識庫。在針對分析網(wǎng)絡(luò)的異常原因的一些產(chǎn)品中，都提供了某些對特征包（病毒）進行分析的功能。對于我們目前的系統(tǒng)而言，分析病毒并不是我們的要針對的，但是通過建立某些模型，可以將一些異常的具有某些特征的包進行合并，達到降低原始數(shù)據(jù)的目的，其作用還是非常明顯的。比如通過 worm red code 在netflow中表現(xiàn)的特征就是 dstport=80,packet=3,size=120。 如果對于這種包在預(yù)處理時就能將其統(tǒng)計出來，匯總成一個記錄，將大大降低系統(tǒng)負(fù)擔(dān)，提高系統(tǒng)性能，同時能夠?qū)σ阎《竞凸暨M行統(tǒng)計分析，對提升系統(tǒng)的可靠性和功能性都有很大好處。從其他產(chǎn)品來看，已經(jīng)

23、有很多產(chǎn)品提供了類似功能。第一步：通過人的分析，寫過濾器，系統(tǒng)可動態(tài)加入過濾器類。第二步：自動對數(shù)據(jù)進行分析歸類。關(guān)于網(wǎng)絡(luò)異常流量的匯聚模型A可以給出匯聚模型B模型可以統(tǒng)計總流量、總包數(shù)、總 session數(shù)C模型有基于session/單ip（匯聚后將只統(tǒng)計該單IP,對端IP被替換后匯聚），單位時間對單IP訪問的源ip或目的ip數(shù)量，（匯聚后將只統(tǒng)計該單IP,對端IP被替換后匯聚）D模型制定應(yīng)足夠靈活，提供源 ip、目的ip、源端口、目的端口、packet/每session、bytes/每packet、protol、的組合策略（與 /或/非/大于/小于/等于/any）插件方式加入過濾類byte

24、 = M packet = N Sport = K dPort = L protocol = TCP/UDPsIP = XXX.XXX.XXX.XXX dIP = XXX.XXX.XXX.XXX對sIP或dIP進行替換，并統(tǒng)計替換的IP數(shù)變更說明:功能原版本新需求設(shè)備端口 監(jiān)控未提供默認(rèn)設(shè)置1、列表顯示所有采集點，2、顯示每個端口的流量快照策略監(jiān)控已經(jīng)提供1、可以定義協(xié)議組合2、增加協(xié)議類型監(jiān)控，針對安全很重要3、可以盡快常用應(yīng)用平臺和服務(wù)告警條件提供流量、字節(jié)/包兩 個指標(biāo)的上下閥值通過告警策略設(shè)置，提供持續(xù)時間配置，與時間段組合 的告警條件配置；告警策略可以顯示哪些監(jiān)控策略使用了本告警策略

25、事件管理在每個策略中顯示告 警提供統(tǒng)一的事件監(jiān)視管理中心，可以實現(xiàn)事件查詢統(tǒng)計 功能，應(yīng)統(tǒng)計出事件（類型，來源，級別）的排名3.4流H分析流量分析按時間分為實時流量分析和歷史流量分析兩個功能模塊。按類型分為設(shè)備流量分析、業(yè)務(wù)流量分析，異常流量分析。一般設(shè)備流量分析為實時流量分析，并提供一定時間的歷史統(tǒng)計。業(yè)務(wù)流量分析多為歷史流量分析。流量分析子系統(tǒng)主要是為用戶提供了多種流量分析手段，為用戶及時有效地掌握網(wǎng)絡(luò)運行情況提供了重要依據(jù)?？梢酝ㄟ^定制策略來實現(xiàn)上述流量分析的，分析的內(nèi)容由用戶自己定義， 策略內(nèi)容包括:策略ID策略名稱兀素類型設(shè)備、端口、 IP段、AS號對象范圍單個對象或?qū)ο蠼M， 對象組

26、要有合計，所有對象或全 網(wǎng)，通過列表選擇監(jiān)控內(nèi)容流量、包、會話、協(xié)議類型，TOS類型，源地址，目的地址，應(yīng)用匯總方式按流入、流出匯總或按雙向匯總時間段本天、本月、本年、自定義匯總周期天、周、月經(jīng)由路由器TOPN 數(shù)創(chuàng)建時間這個模塊的輸出內(nèi)容為長條圖和類excel的表格。比如，監(jiān)控網(wǎng)絡(luò)中TOP 10目的端口的上述7項指標(biāo)，每5分種刷新并根據(jù)歷史總和進行排名。Top nppgation in ReportUtilizationStart Tlmei 2005-04-14 23: 36訪王睫.£二E陌H dnihix auth 5祁Omde HirrTip rny$t|il doEaini

27、 ftp nelbmesmEnd Time 2005 = M-15 00:33Show Tun L0 喝苫曲號 1| ApplicationTraffic (ToUI: 17.42 MB)Percentage of totall traffickag7.5 MB43%SE6.5 MB37%887.5 KBii目tui弓ssn500.D KBchmairi437 5 KBSe1J.5KBml*11.25 xeauffi8.62 KB伽的|B.25KB1.55 MB實時流量分析實現(xiàn)的是對取得的（全網(wǎng)或單個設(shè)備）數(shù)據(jù)的即時快照功能，這個模塊就是對 as號/ip段 /ip地址/端口 /協(xié)議/route

28、rd的interface這6個netflow 即時排序。主要分為：指定IP流量分析、指定協(xié)議流量分析、指定 AS號流量分析、指定對象流量 分析、設(shè)備端口流量分析。業(yè)務(wù)流量分析分析數(shù)據(jù)以天、周、月的周期統(tǒng)計后存儲自動識別多數(shù)企業(yè)的應(yīng)用，如Oracle、PeopleSoft等，另外結(jié)合所用的特定端口和協(xié)議還能輕易識別自定義的應(yīng)用。通過制定各種策略，可以實現(xiàn)以下業(yè)務(wù)流量的TOPN分析序號分類名稱分析內(nèi)容應(yīng)用1對象協(xié)議（應(yīng)用）分 析指定對象（IP地址、IP段、 單個IP、端口、設(shè)備、AS） 協(xié)議排名分析，占用出口 流量的帶寬以及占用比 例流向（源、目的）；在網(wǎng)間流向（流入、流 出、雙向）；分析指標(biāo)（流

29、量、包數(shù)、會話 數(shù)）經(jīng)由路由器可選擇一項或多項，可選擇每 項全部或指定的輸入、輸出端口；圖表類型（分為曲線圖、餅圖、柱狀圖、 拆線圖、區(qū)域圖），各種協(xié)議占用帶寬， 網(wǎng)絡(luò)應(yīng)用使用 情況分析。2協(xié)議（應(yīng)用）對象分析指定單個協(xié)議，在全網(wǎng)或 指定對象中分析使用該 協(xié)議的IP地址排名指定協(xié)議，分析各個單位 時間的流里IP協(xié)議或IP協(xié)議字段（協(xié)議名稱、IP協(xié)議 字段），網(wǎng)間流向（流入、流出、雙向）； 分析指標(biāo)（流量、包數(shù)、會話數(shù)）；經(jīng)由路 由器可選擇一項或多項，可選擇每項全部 或指7E的輸入、輸出端口；圖表類型土要 用于數(shù)據(jù)表示形式（分為曲線圖、餅圖、 柱狀圖）鎖定寬帶用戶的出向流量，依據(jù)流量率進行實時排

30、序， 找出最高的來 源地址，實現(xiàn)非法網(wǎng)站和垃圾郵件 檢測判斷網(wǎng)絡(luò)應(yīng)用使用情況3流量（字 節(jié)數(shù)、包 數(shù)、會話 數(shù)）分析指定對象（IP段、設(shè)備、 端口 ）,對象內(nèi)流量最大的IP地址分析以及占用比例各類用戶出口流量的平 均值，峰值，峰值時間分 析指定端口，分析使用該端 口的IP地址排名、使用流 量和占用比率在網(wǎng)間流向（流入、流出、雙向）經(jīng)由路由器可選擇一項或多項，可選擇每 項全部或指定的輸入、輸出端口通過對不問地址塊或不問用戶的 流量監(jiān)測，來做為出口路由的調(diào)整 依據(jù)通過監(jiān)測數(shù)據(jù)，在重要鏈路上對一 些非重要客戶，或非重要應(yīng)用的帶 寬做出限制。提供流量數(shù)據(jù)為內(nèi)優(yōu)化路由或設(shè) 定Qos提供服務(wù)。4用戶分析各

31、類用戶占用出口流量 的比例、流量曲線根據(jù)不問流量占用的比率，來進行成本的分析，分析這些業(yè)務(wù)和用戶 的網(wǎng)絡(luò)成本可分析網(wǎng)絡(luò)中的源和目的信息， 可 以指導(dǎo)用戶采取擴容的方式， 擴容 的對象，擴容的地點5AS流量分析本網(wǎng)與其它AS之間的流 量排名分析分析本網(wǎng)與指定 AS號之 間流量曲線源AS虧與目的AS v;分析指標(biāo)（流里、 包數(shù)、會話數(shù)）；經(jīng)由路由器可選擇一項或 多項，可選擇每項全部或指定的輸入、輸 出端口；圖表類型（分為曲線圖、餅圖、 柱狀圖），默認(rèn)情況為曲線圖IP地址塊或根據(jù)應(yīng)用端 口，來長期監(jiān)測業(yè)務(wù)和用 戶的流里狀況，分析/、問 的業(yè)務(wù)占用的流量狀況， 分析大的客戶、合作運營 伙伴的流量狀況，

32、長期的監(jiān)測網(wǎng)絡(luò)中的各 種流量數(shù)據(jù)，并能提供流 量的趨勢分析報表關(guān)鍵應(yīng)用的流量對時延敏感的流量與業(yè)務(wù)無關(guān)的流量自定義條件分析（有效的數(shù)據(jù)挖掘）從安全角度考慮，對采集的來的歷史數(shù)據(jù)進行挖掘， 從中分析和跟蹤安全事件的諸多細(xì)節(jié)應(yīng)該是安全產(chǎn)品中非常重要的一塊，提供任何形式的詳單（如：指定時間段內(nèi)滿足定制條件的網(wǎng)絡(luò)連接的詳單）。管理員可以調(diào)出符合分析條件的某個指定時間的數(shù)據(jù)統(tǒng)計結(jié)果。對原始數(shù)據(jù)進行數(shù)據(jù)挖掘和分析，在發(fā)生了安全事件后就給分析/追查提供了極大的方便?？梢蕴峁┑牡牟樵冞x擇條件對象 范圍指定對象，源對象、目的對象（AS號、設(shè)備、端口、IP段、IP地址）協(xié)議指定IP協(xié)議字段 指定協(xié)議時間 范圍開始

33、時間截止時間時間粒度分析 內(nèi)容包數(shù)、流量、會話數(shù)其它排名數(shù)：5, 10, 15排名指標(biāo)：IP地址，流量，變更說明序號老版本新版本3.5費用攤分?jǐn)偡质菍⒁欢ǖ?流量通過一定的策略（計算方法）分派給下屬的幾個對象，方便計算流量和進行收費計算，針對鐵通的一個特定應(yīng)用。攤分策略內(nèi)容包括:1策略ID2策略名稱3包含對象通過對象列表選擇4備注5創(chuàng)建時間6統(tǒng)計時間可以按日或按時間段統(tǒng)計（多日）7結(jié)算方式選擇發(fā)包口，按費率或總金額進行攤分8統(tǒng)計范圍按費用（兀）和/或流量（G）,并分別指定范圍9統(tǒng)計粒度按對象或按對象兀素10排序方式流量升降，費用升降管理內(nèi)容：策略的建立、查詢、詳細(xì)查看、修改和刪除，后三者根據(jù)統(tǒng)

34、一的查詢條件進行定位。查詢條件包括：名稱和時間，修改和刪除作為查詢結(jié)果頁面鏈接。通過制定攤分策略來管理攤分費用，按月報表的方式將數(shù)據(jù)展示給用戶，可以按策略查看月詳細(xì)報表、年（每月）匯總報表。報表數(shù)據(jù)包括：表頭、數(shù)據(jù)內(nèi)容。數(shù)據(jù)內(nèi)容如下圖：分析對象流入流量統(tǒng)計報表對象發(fā)包口專線流量（G）PPPOE流量(G)窄帶撥號流量（G ）其它流量（G）小計合計流量(G)費用（元）流量(G)費用（元）3.6報表所有的監(jiān)控和分析結(jié)果，都可以作為報表輸出，輸出并保存PDF格式的報表和圖表，將報表存檔用于以后參考。如果全部是列表形式的數(shù)據(jù)，可以輸出EXCEL報表。其它固定報表：用戶資源報表、監(jiān)控點報表、3.7系統(tǒng)管理

35、TOPN設(shè)置：設(shè)置N （5、10、50）值內(nèi)網(wǎng)地址配置：管理過濾器需要過濾掉的IP地址協(xié)議端口設(shè)置：設(shè)置協(xié)議對應(yīng)的端口（端口號，IP層協(xié)議字段，應(yīng)用層協(xié)議名稱）采集端口設(shè)置：列表顯示所有采集的端口，可以取消或啟用端口數(shù)據(jù)的接受，也可以作為系統(tǒng)容量的限制，IP地址與常用應(yīng)用映射：IP地址或IP段與常用應(yīng)用、協(xié)議（端口）的映射，方便分析 業(yè)務(wù)應(yīng)用。重要客戶IP地址定義：重要客戶網(wǎng)絡(luò)資源定義AS號與AS名稱映射:日志再己置：針對用戶登錄、對象數(shù)據(jù)增減修改的操作記錄日志客戶管理：客戶資料，使用網(wǎng)絡(luò)資源情況角色權(quán)限管理：系統(tǒng)使用者的權(quán)限，系統(tǒng)管理員，管理員，一般用戶系統(tǒng)備份：自動備份界面（包括NetFLow原始文件和流量分析系統(tǒng)數(shù)據(jù)庫備份）可設(shè)定備份時間、備份路徑、備份數(shù)據(jù)保留時間、提供備份數(shù)據(jù)庫恢復(fù)4可操作性要求批量數(shù)據(jù)要能夠批量輸入指定或可選擇數(shù)據(jù)項排序方式固定時間段選擇和自定義時間選擇復(fù)制功能增加，類似多輸入時復(fù)制功能，然后修改時間選擇可以自適應(yīng) （如自動保持用戶登陸該界面后選擇的了一個時間段，切換該界面時時間缺省使用該時間） 幫助頁面5性能要求流量系統(tǒng)采集數(shù)據(jù)對網(wǎng)絡(luò)造成的負(fù)荷不同數(shù)量級的流量對系統(tǒng)的 CPU、內(nèi)存、磁盤空間的要求監(jiān)控點個數(shù)的要求支持的策略數(shù)量6備注以上內(nèi)容為現(xiàn)有理解下的初稿內(nèi)容，供初步討論使用，將在討論學(xué)習(xí)中不斷補充完善。附錄Netflow 格式：61.121.