江苏省IPv6综合监测平台——东南大学互联网协议第六版（IPv6）规模部署和应用优秀案例

2022年01月14日 08:50 来源：中国网信网

一、案例概述

1.背景

江苏省IPv6综合监测平台是在中国教育和科研计算机网（CERNET）和江苏省教育网关于推进IPv6全面部署的规划下，开发完成的包括IPv6网络行为观测、安全事件检测、IPv6部署进度监测等功能，并在IPv6环境中已部署应用的分布式开放平台。目前该平台已经部署于东南大学CERNET华东（北）地区网络中心和江苏省电化教育馆。

2.目标

平台针对IPv6网络，主要实现网络行为观测、安全事件检测、IPv6部署进度监测等三个方面的功能，同时平台需要支持不同规模的网络、多种协议和标准，能够提供开放接口和可视化工具。平台的设计目标包括：

基于SDN框架和Markov模型，提供具有自适应资源调度能力的网络追踪对象活跃状态预测方法；

并行支持对多个不同规模网络的监测，包括城域网、企业网和校园网等；

支持多种数据协议和标准，包括IPFIX、sFlow和流量镜像等；

支持检测各类安全事件，包括异常流量、异常热点、扫描、拒绝服务攻击等，并提供安全事件浏览和统计分析；

提供开放的编程接口，支持测试各种检测算法；

提供可视化工具，从多种角度和时间粒度展示监测状态和检测结果。

二、做法与经验

1.做法

（1）IPv6地址归属库

设计融合多种类型网络的地址归属库，支持为特定网络定制专用地址归属库。例如，针对某个单位的IPv6地址分配策略，提供只在该单位内部使用的地址归属库，并支持多个专用地址归属库的任意组合，满足不同应用场景的需求。

（2）IPv6活跃地址统计分析

针对IPv6地址的海量规模和地址分配策略的多样性，设计活跃地址统计分析算法，更加准确和高效地获取IPv6网络使用状态。

（3）IPv6网络与IPv4网络行为对比分析

从网络流量、网络丢包、网络延时、应用分量等多种角度比较分析IPv6网络与IPv4网络在网络基础行为和网络安全问题上的差异，为IPv6网络的建设和部署提供数据支持。

（4）服务质量评估和异常监测

基于网络区域的划分，计算全网不同网络互联级别的性能测度（带宽、时延和丢包），并将测度计算结果存入相应的测度数据库。统计各被管单位以及全网内的流量热点（热点主机、活跃前缀和热连接等），并基于对热点测度历史数据的分析，以发现流量异常。

（5）安全事件分析

基于黑名单技术，检测各被管单位以及全网内的安全事件（僵尸网络、恶意网页、DDOS攻击等），并根据过去一段时间内安全测度的历史数据，采用层次化的分析方法对事件进行融合归并，从更高的层面评估整个网络的宏观安全态势。

（6）可视化

系统采用B/S架构（即浏览器/服务器结构），以Web方式呈现给用户，既展示系统当前宏观运行概况，又提供详细信息描述和历史数据检索。借助饼图、柱状图、曲线图、表格等内容表达方式展现具体页面，增加了系统界面的美观性，并支持用户输入内容的合法性检测，提高人机交互的能力。

2.经验

（1）平台的设计和建设注重研究IPv4和IPv6在网络基础行为和网络安全方面的差异，为IPv6的分析提供基础数据支撑。

（2）平台的总体设计考虑平台后续的持续升级，注重对多种数据协议和标准的兼容，并提供开放编程接口，支持核心算法的升级。

（3）平台提供多个层面的统计数据，提供展现宏观/微观运行状态的可视化界面，有力支撑了IPv6全面部署的推进。

三、成效与亮点

1.成效

江苏省IPv6综合监测平台首先部署于东南大学CERNET华东（北）地区网络中心，配合东南大学网络空间安全学院的教学科研活动，并持续进行系统升级至今。2020年3月起部署于江苏省电化教育馆，有效支撑江苏省网IPv6的平稳运行和部署工作推动，受到一致好评。平台还提供了江苏省教育行业IPv6部署和运维监控，周期性向教育主管部门提供IPv6部署进度数据（目前江苏省关于IPv6部署工作教育行业的数据均来自于该平台的支撑）。

2.亮点

（1）提出了一种网络追踪对象的活跃状态预测方法，以合理利用流表项资源。首先分析预测需求，之后基于追踪对象的历史流量数据对活跃状态预测问题进行建模，最后设计出网络追踪对象活跃状态预测方法，有效解决了多任务和有限资源场景下威胁行为追踪的难题；

（2）从多个层面上融合江苏省教育行业IPv6网站和信息系统的部署和运维监控信息，周期性地向教育主管部门提供IPv6部署进度数据，有力支撑了江苏省教育行业和江苏省网IPv6的平稳运行和部署工作的推进。

四、平台部分功能展示

1.平台网络行为观测模块