省级融合媒体全域网络流量分析平台的设计与实现_张胜龙.pdf

1、广播与电视技术 2023年 第50卷 第3期110安全播出与监测监管 Safe Broadcasting&Monitoring and Supervision省级融合媒体全域网络流量分析平台的 设计与实现【摘 要】在媒体融合大力推进和网络安全严峻形势下，浙江广电集团在集团总部与萧山园区的网络空间中部署了网络流量分析平台。本文分析了该平台在网络空间中的组成部分与部署拓扑，介绍了网络流量分析平台的功能，并在实际使用过程中有效提升了安全防护能力。【关键词】广电网络安全，网络流量性能，网络流量安全【中图分类号】TN948.7 【文献标识码】B 【DOI编码】10.16171/ki.rtbe.20230

2、003021【本文献信息】张胜龙，张成，马伊龙.省级融合媒体全域网络流量分析平台的设计与实现J.广播与电视技术，2023,Vol.50(3).Design and Implementation of Provincial Converged Media Global Network Traffic Analysis PlatformZhang Shenglong,Zhang Cheng,Ma Yilong(Zhejiang Radio and Television Group,Zhejiang 310005,China)Abstract Under the vigorous promotion

3、 of media integration and the severe situation of network security,Zhejiang Radio and Television Group has deployed a network traffic analysis platform in the network space between the group headquarters and Xiaoshan Park.This paper analyzes the components and deployment topology of the platform in

4、the network space,introduces the functions of the network traffic analysis platform,and effectively improves the security protection capability in the actual use process.Keywords Radio and television network security,Network traffic performance,Network traffic security张胜龙，张成，马伊龙(浙江广播电视集团，浙江 310005)0

5、 引言随着近年来媒体融合的脚步加快，各类业务系统均需在网络上实现互联互通，因此，网络架构、业务种类和各类业务人员账号出现了急剧的扩张与增加。而对应的则是网络和服务器设备安全隐患、业务逻辑和业务产品漏洞、各类人员账号弱口令等问题也日益突出。随着更多的地县市融媒体中心接入中国蓝云实现融合发展，其融合业务的快速发展也需要一个强大、稳定、安全的网络环境。根据广电网络云等保1 和重大活动期间网络安全护网要求，需要在网络链路上对全域流量进行获取，并对网络链路性能和网络威胁进行监测，第一时间获取到安全事件信息，并进行跟踪分析与回溯。本次设计建设的全域网络流量分析平台涵盖了浙江广播电视集团总部和浙江国际影视中

6、心萧山园区两地的关键位置网络核心流量，对整个网络空间的流量进行实时采集、分析、统计和存储，依托大数据技术对采集到的流量进行对比分析统计，并对业务性能和业务安全进行详细的实时汇总与展示，最终目标是对业务性能受到影响和遭遇网络威胁时能够及时发现并进行修复。1 应用场景分析如图 1 所示为浙江广播电视集团总部和浙江国际影视中心萧山园区两地的全域网络逻辑拓扑图，图中通过关键网络设备的互联将地县市融媒体中心、中国蓝云平台、两地频道业务区和办公网进行互通。若对两地的网络流量进行全域获广播与电视技术 2023年 第50卷 第3期111Safe Broadcasting&Monitoring and Supe

7、rvision 安全播出与监测监管取与分析，则需要在核心互联网络设备上对流量进行镜像，并实时获取与分析，监测各类数据请求与响应。如图 2 所示为全域网络流量分析平台逻辑架构图，通过异地分布式部署流量镜像交换机，并按逻辑划分各业务区域的流量传输到不同的网络流量探针中，最终将所有网络实时流量汇聚到分析平台。2 网络流量分析平台网络流量分析平台主要由网络流量性能分析平台和网络流量安全分析平台组成。它们将共同对从异地分布式部署的网络流量探针中获取的流量进行分析，从端到端访问数据中分析流量行为是否属于异常行为，并能够对访问流量进行保存与回溯。为不影响到正式业务流量，网络流量分析平台相地县市融媒体中心接入

8、区业务区互联交换机萧山园区出口防火墙中国蓝云地县市核心汇聚交换机中国蓝云边界防火墙中国蓝云平台萧山园区办公网集团总部全台网、办公网新蓝网、好易购、IPTV等业务区集团总部出口防火墙萧山园区图1 全域网络逻辑拓扑图图2 全全域网络流量分析平台逻辑架构图 网络流量性能分析平台萧山园区网络流量探针2萧山园区网络流量探针3集团总部网络流量探针1集团总部网络流量探针2萧山园区流量镜像交换机集团总部流量镜像交换机网络流量安全分析平台集团总部全台网核心交换机办公网核心交换机中国蓝云平台核心交换机核心交换机业务交换机新蓝网、好易购、IPTV等业务区地县市融媒体中心接入区萧山园区办公网萧山园区中国蓝云地县市核心

9、汇聚交换机萧山园区网络流量探针1业务区互联交换机广播与电视技术 2023年 第50卷 第3期112安全播出与监测监管 Safe Broadcasting&Monitoring and Supervision关设备均是通过旁路模式进行部署。2.1 网络流量性能分析平台网络流量经流量探针进行采集、分析、统计和存储，并对各网络对象进行详细的数据统计后，通过管理接口上报到分析中心平台，因此，需要将流量探针部署到关键网络链路上，才能实现全面的网络通讯监控。并且，分析平台与流量探针通过定期的心跳进行数据交互，能够实现数据时 效性。如图 3 所示展示了该平台的主要功能，其中主要分为业务、网络、链路、终端、异

10、常行为和网络日志相关模块。当出现网络安全事件时，可以利用相关模块定位到事件发生具体时间点，并进行网络流量的详细回溯。同时，该平台能够支持对过去 3 个月内已发生的网络安全事件进行回溯分析，并支持网络安全人员对安全事件网络流量进行下载 分析。2.2 网络流量安全分析平台如图 4 所示，通过流量镜像交换机对网络核心流量进行过滤和去重后，网络流量探针首先对网络流量进行解码，并提取相关数据包的头部信息与重要负载信息，最终将这些信息输入至网络流量安全分析平台进行存储和预处理，并能够检索全域网络流量中的威胁安全事件2。该平台主要是通过基于大数据分析的威胁情报技术、基于多引擎沙箱的检测技术和基于搜索引擎的分

11、析技术进行实现3。其主要功能有监测中心、威胁感知、分析中心、响应处置、资产感知、报表报告等功能，实现了从威胁发现到响应流程处置再到报表生成的整个闭环过程。3 实际应用面对巨大的网络流量，分析平台能够精准对网络性能与网络安全进行实时分析，包括地县市到中国蓝云平台、萧山图3 网络流量性能分析平台主要功能图4 网络流量处理流程图业务汇聚区到集团总部、中国蓝云平台到出口防火墙等的网络性能与访问流量数据。网络安全分析平台根据大数据情报能够分析出哪些流量属于异常网络流量，并针对这些异常流量进行分类归纳，类别包括：端口扫描、远控木马、弱口令、SQL 注入、命令执行、跨站脚本攻击、文件上传与下载等 方式。在整

12、个平台中起到承上启下重要支撑作用的网络设备当属于平台的网络流量探针，如图 5 所示为网络流量探针获取的 24 小时网络流量数据，如图 6 所示为网络流量探针获取的 24 小时应用流量数据，这些都能对不同类别的流量带宽数据进行实时掌握。在实际使用过程中，该平台帮助安全运维人员发现了一些潜在问题，比如应用平台中业务人员的弱口令与中间件的漏洞问题、办公网系统中个人桌面中毒问题等都能第一时间被发现并得以解决，有效快速地扼杀在摇篮中，业务集中监控业务性能分析业务性能警报业务指标分析链路流量分析链路流量警报应用对象分析链路阻断日志网络性能监控网络性能分析网络性能警报网络拓扑监控网络拓扑警报业务性能监控网络

13、日志相关终端监控终端分析异常行为监控异常行为警报终端警报基于大数据分析的威胁情报技术网络流量安全分析平台（存储、预处理、检索）网络流量探针（解码、信息提取）流量镜像交换机（过滤和去重）基于多引擎沙箱的检测技术基于搜索引擎的分析技术网络核心流量广播与电视技术 2023年 第50卷 第3期113Safe Broadcasting&Monitoring and Supervision 安全播出与监测监管避免了被恶意人员进一步利用的安全事件发生。4 结束语省级融合媒体全域网络流量分析平台能够通过对核心汇聚交换机和业务互联交换机上的流量镜像至各分布式部署的流量探针中，最终传送至网络流量分析平台中进行分析

14、，有效帮助安全运维人员做到事前监测、事中防护和事后审计，并能够持续为浙江广播电视集团和中国蓝云平台的网络安全进行保驾护航。图5 24小时网络流量数据图6 24小时应用流量数据参考文献：1 周丹丹.广电网络云安全等保的研究与实现J.广播与电视技术，2018,45(5):97-101.2 翟国太.构建安全防护新体系J.广播电视信息,2017(1):21-23.3 雷远东.360天眼系统J.网络安全和信息化,2016(5):34-36.第一作者简介：张胜龙（1992），男，浙江广播电视集团融媒体技术中心工程师，硕士。主要从事云计算、存储、网络安全方面的研究，曾参与建设中国蓝云的底层虚拟化搭建和云媒资存储等重大项目。