一、背景：
1.1现网概述
    当前某省公安网整体网络架构已经较为稳定，运行管理体系已基本建成。在新形势下，公安实战化的深入开展要求网络服务的提供更加快捷、高效，基础信息化的大力推进，对公安信息网络实施提出了更高的挑战和要求，需要更加及时全面的掌握全网网络状况，实时掌握网络节点运行情况、网络带宽使用情况，各类应用的服务情况等网络运行数据，提高网络可视化和服务保障能力。面对新形势、新需求，当前公安信息网络还存在诸多不足，如网络流量数据监测和分析利用手段有限、缺少快速故障定位能力、流量管控手段不灵活等。基于上述情况，拟规划建设覆盖全省公安信息网的流量数据分析与管控系统，提升网络整体化、精细化、智能化管理水平。本着明确目标，科学组织的原则，制定本升级改造方案。
1.2 问题与挑战
流量分布不均：主要体现在忙闲时流量差距较大、主备链路差距较大、流入流出差距较大。造成此类问题的主要原因不是链路资源不足，而是数据资源分布不均。
应用服务质量保障不到位：网络按照原有的网络设计承载能力和数据转发机制，无法充分利用现有网络传输能力和带宽资源利用率，易发生网络拥塞和服务质量下降等情况；业务系统的服务质量和服务要求已经不满足于畅通率的指标，同时对网络传输质量、带宽保障和延迟等提出了新的要求。
    网络管控手段有限、时效性不强：传统的QOS需要网络全程部署，精准度低、调整范围广、工作量大，无法满足现阶段网络精细化运营管理需求；尤其是针对突发流量导致的网络拥塞、网络设备或者链路故障导致传输能力下降、临时提出的固定时间固定区域的网络保障要求等问题时，没有高效的流量调度和管控手段；即使发现问题，无法第一时间精准管控和调度。
二、建设需求与全国建设现状：
    日前，公安部下发了各个省市关于“公安网络流量大数据分析与管控系统”的指导建设意见，根据该指导意见，XX省公安厅需要在原有平台的基础上，进行针对网络流量的升级改造。
    目前公安部的网络流量分析与管控系统已经建设完毕，目前项目处于验收阶段。从全国来看，各个省厅已经收到公安部下发的系统建设需求，20多个省厅已经完成技术交流，多个省厅正在紧锣密鼓的筹建中。
三、网络流量升级方案：
3.1实现功能
本次方案能够实现的功能如下图所示:

    关于网络分析模块，主要实现链路带宽趋势预测（根据大量历史链路带宽情况，精准预测将来链路带宽趋势），链路承载应用分布（对链路上的应用分布做到实时分析呈现和精准预测），链路容量规划（根据历史数据计算以下特性的容量变化趋势，并给出预警点、容量升级点，可监控的网络相关参数包括：链路带宽、端口利用、使用率、历史使用率趋势图、网络五元组、TOP实时排序、告警定位、解决方案等等），全网链路带宽利用率分析（将历史的全网链路使用情况做不同维度的分析、展示），全网链路利用率历史回溯（将历史全网链路利用情况以特定的形式做保存，可以以拉动时间轴的形式回溯）等新功能。
    关于应用分析模块，主要实现网络应用TOP10（流量的应用、访问量的应用、流量用户、访问量用户）展示，应用服务器端的监测参数（流量、吞吐量、访问量、用户量）展示，应用客户端侧的监测参数（流量、吞吐量、访问量、用户量、重传率、延时）展示，应用质量加权评价（总流量、流速、延迟、访问量、用户量），各区县应用质量比对分析等新功能。
    关于专项分析模块，主要实现应用流量路径回溯（将历史全网应用使用情况以特定的形式做保存，可以以拉动时间轴的形式回溯），应用上线前仿真（通过大量历史数据训练出一个流量模型，将该模型叠加到现有流量上用以仿真将来上线之后的流量），流量行为分析（机器学习，包括异常流量路径分析、异常行为用户分析、相似应用分析、未知应用分析）等新功能。
3.2方案优点
本次网络流量升级方案的优点在于：
①原有的netstream板卡仅能做到根据报文的源IP地址、目的IP地址、源端口号、目的端口号、MAC地址五元组来区分流信息，针对部分TCP报文的中少部分特定字段做有限的采集，采集粒度较高为200:1；而网络流量大数据分析采集器，能够在原来的五元组基础之上，增加对上行流量、下行流量、上行数据包、下行数据包、网络延迟等更多维度数据的区分，做到针对每个TCP会话报文中的所有可用字段做全面采集，采集粒度基本能做到1:1。
②该方案采用了流量采集器和网络流量分析系统专线连接，既保证了流量大数据分析对带宽的高性能要求，也极大地避免了对原有业务系统及链路中网络设备的影响；
③该方案中，采用了目前较先进的大数据并行处理架构对网络流量进行实时的精准分析、预测、轻量化展示等操作，其对网络流量的计算的细粒度远高于现有平台。因此，无论从最后展示的结果的准确性，还是从结果分析的广度深度都是较少有的。
④从运维方面看，现有细采集粒度网络流量大数据分析系统，能够非常好地完成事前预测报警（通过大量历史数据的精确性分析，预测问题出现的链路、设备、时间）、事中及时响应（在出现问题时，秒级快速定位并发出不同级别的告警）、事后总结分析（将每天的链路流量信息全量化记录，给出不同维度的链路情况展示图供运维人员使用，并通过大数据算法训练出数学模型供后续系统自身分析使用），从而大大减少问题定位时间、提升运维效率、降低运维管理难度。
四、产品介绍（相关产品：明网网络性能与故障分析解决方案）
网络应用性能分析系统是一款集成大容量存储的高性能数据包采集和智能分析硬件平台，可以分布部署在网络的关键节点，实现了对网络通讯数据包级的高性能实时智能分析。系统提供了对各种网络性能和应用性能的关键参数实时分析，同时还能够实时捕获并保存网络通讯流量，具备对长期的网络通讯数据进行快速数据挖掘和回溯分析能力，实现对关键业务系统中的网络异常、应用性能异常和网络行为异常的实时发现、以及异常原因的智能回溯分析，提升了对关键业 务系统的运行保障能力和问题处置效率。产品价值如下：
√  分析-以图形化方式直观的展现网络流量运行趋势，对160种网络流量参数进行监控和趋势展现；
√  发现- 实时智能分析关键网络通讯，及时发现网络性能异常、应用运行异常和异常网络行为;
√  追踪- 智能的数据挖掘和通讯分析，快速分析定位网络故障、应用的发生瓶颈根源；
√  定位-基于网络五元素和不用节点比对分析能力，对节点网络性能下降都能够及时反馈出，并定位问题所在；
√  梳理-梳理支撑每个业务系统的应用服务、主机系统和网络路径；以图形化的方式直观展现各个应用的关键性能指标和工作状态；
√  取证- 网络原始通讯数据的还原重现，还原各种网络性能问题、应用性能问题和安全事件的发生过程，提供分析依据。