1、高校IT管理数据统一管理平台解决方案目录1、IT融合管理概念及框架2、IT管理数据统一管理平台3、网络行为数据模型4、实践成果展示高校网络中心职能-IT管理规划建设运行服务资源在线资源哑资源网络设备虚拟化IP地址域名备品备件机房设备间综合布线路由管井教学办公系统教学系统财务系统科研网络环境实验平台托管主机生活日常上网一卡通无线网用途合理分配动态调度分配&调度监控&测量综合分析完美展现分析&展现统一监控全面测量需求资源有效利用动态调配IT规模庞大高校IT管理的难点、矛盾及应对方案建设周期长,异构组网用户流动性大常规与科研需求并存管理自动化管理统一化提升易用性策略灵活化四大难点+一个矛盾应对方案功
2、能展现IT管理能力与发展趋势集中分散n 配置机房与配线管理自动化配置管理IT资产管理域名分配与管理IP地址分配与管理资源发布与管理虚拟化管理NAT管理n 监控IT资源综合监控分布式探针测量DPI/行为审计n 服务WAF 堡垒机 VPNn 安全n 分析数据分析管理平台流程管理用户自助服务平台准入准出认证当前状态历史报表变化趋势综合成果硬件软件网络设备虚拟化数据库应用/服务中间件动环安全设备服务器存储报修申请查询业务入口管理门户用户门户数据统一管理平台IT融合管理:统一入口、整合服务、融合数据机房/布线资产DNSDHCP反向代理WebVPN综合监控流程AAA认证WAF堡垒机IT管理数据统一管理平台
3、非标准数据私有数据SyslogEventlogTrapagent日志统一管理平台标准化日志采集存储关联索引分析FlowLogstash建模平台高性能可扩展架构实时采集数据建模关联查询分析报表Rsyslog定义脚本文件上传LogstashTCPElasticSearchDHCP综合监控系统认证系统 DPI设备NAT设备Source网络行为数据模型行为数据NAT标签数据位置信息账号信息安全事件用户URL服务器URL终端类型关联干什么?谁?在哪里?用什么?NAT设备IP外网IP目的IP流量协议时间 认证系统账号 IP流量上下线时间网管系统IP位置信息MACDPI设备IPURL时间DHCP系统IP终端
4、类型MAC安全设备IP安全事件时间反向代理IPURL时间行为数据的标识从IP变为了账号+终端网络行为数据分析实践分享NAT综合网管AAA认证6T*62.1GHz16核64G配置反向代理DHCPDNSDPI设备每天日志量:125G,6.35亿条 海量URL关联搜索用户账号内网IP外网IP目的IP终端位置域名访问参数协议流量时间2016*8810.205.17.5233.71.185.216205.123.98.26Apple-ios11学五7*205.123.98.26/i?p=XF8ljxef3SlSUfglTE2wHTTP12kB/40kB15:37:092016*8810.205.17.5
5、114.255.41.133123.125.18.235Apple-ios11学五7* 15:23:20-15:38:20用户账号 2016213188内网IP目的IPURL查询某用户某天的访问记录,6亿条记录中检索,0.83秒返回结果11-12月常用域名就业网数字后勤网新闻中心物理实验室搜狗输入法 QQ腾讯大王卡(免流量)最受欢迎微信最受欢迎本科生填写就业信息时期物理实验:爱学习的搜狗输入法普遍使用腾讯大王卡广受欢迎移动终端56%44%650054420340.7%PC终端中Win10占绝大多数11-12月使用过校园网的终端非移动终端51075移动终端中有68%的IOS上一周出口入流量分布周
6、出入流量图在团结湖!?西土城校区团结湖宏福校区沙河校区探索异常原因团结湖? 从一个在团结湖的IP开始 分析异常一台windows主机发出的广告请求http:/ 携带参数mac=142D276A0CD7imei=352966063727297os=android推断安卓的imei号和伪装的地理位置信息导致定位问题发现此形式和用户对其它域名的访问行为有明显差异四型流量特征模型浏览3-5个左右的页面后离开偶发性(baidu) 严格周期性访问固定URL常见于网站和应用程序的信息更新规律频发(360)某段时间内浏览较为频繁,例如网上购物、刷社交软件等段内频发(微博)不严格周期高频(恶意) 广义周期频繁访问URL,且URI中携带用户敏感信息 怀疑为恶意流量数据分析趋势 快速识别 海量日志自动发现 网络中仍然存在着大量的安全问题和信息泄露问题安全问题专业的分析对网络行为数据的全量存储和高速检索提出了新的要求新挑战 恶意流量的行为方式越来越隐蔽,需要更加专业的分析能力隐蔽团结湖?谢谢
