流量監(jiān)測(cè)分析系統(tǒng)技術(shù)白皮書

1、一、前言.2二、以業(yè)務(wù)應(yīng)用為中心的監(jiān)測(cè)分析技術(shù) .32.1需求背景.32.2異常流量分析系統(tǒng)簡(jiǎn)介 .42.3系統(tǒng)架構(gòu)與流程.52.4系統(tǒng)特點(diǎn)與優(yōu)勢(shì).5三、功能.73.1核心功能.73.1.1流量統(tǒng)計(jì)分析 .83.1.2異常流量分析 .83.1.3報(bào)警與追蹤取證.93.1.4統(tǒng)計(jì)報(bào)表.93.2特色技術(shù).103.2.1快速流量數(shù)據(jù)處理技術(shù) .103.2.3先進(jìn)的流量分析技術(shù) .113.2.3靈活高效的異常分析 .123.2.4及時(shí)有效的處理機(jī)制 .123.2.5智能的跟蹤分析技術(shù) .133.3產(chǎn)品部署.133.4產(chǎn)品技術(shù)參數(shù).15四、硬件配置參數(shù) .16五、總結(jié).17一、刖曰業(yè)務(wù)安全是政府和企業(yè)安

2、全需求的核心。在信息化時(shí)代，越來越多的政府和企業(yè)業(yè)務(wù)由網(wǎng)絡(luò)化應(yīng)用系統(tǒng)承載。我們就不難理解，保障應(yīng)用系統(tǒng)的安全穩(wěn)定和高效運(yùn)行是IT管理部門的主要工作內(nèi)容和目標(biāo)。隨著信息化工作的推進(jìn)，越來越多的應(yīng)用系統(tǒng)交叉部署于網(wǎng)絡(luò)。從關(guān)鍵應(yīng)用（如PKI、基礎(chǔ)資源庫綜合查詢等）、一般應(yīng)用（如OA系統(tǒng)等）到未批準(zhǔn)的應(yīng)用（如網(wǎng)絡(luò)游戲、P2P程序）。未批準(zhǔn)的應(yīng)用對(duì)網(wǎng)絡(luò)、服務(wù)器等基礎(chǔ)設(shè)施資源的非受控使用導(dǎo)致網(wǎng)絡(luò)系統(tǒng)魚龍混雜、 性能難以提高、資源浪費(fèi)嚴(yán)重；并導(dǎo)致關(guān)鍵應(yīng)用系統(tǒng)對(duì)基礎(chǔ)設(shè)施的使用權(quán)被侵占，系統(tǒng)運(yùn)行的穩(wěn)定性和高效性難以保障，甚至故障頻發(fā)。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜化， 網(wǎng)絡(luò)行為越來越復(fù)雜且不易控制。 對(duì)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)

3、訪 問操作的合規(guī)性難以得到保障， 竊取、破壞數(shù)據(jù)等攻擊行為難以被檢測(cè)和發(fā)現(xiàn)。 政府和企業(yè) 的業(yè)務(wù)安全受到嚴(yán)重威脅。為保障應(yīng)用系統(tǒng)的安全、穩(wěn)定和高效運(yùn)行，IT管理部門需要監(jiān)測(cè)各個(gè)應(yīng)用系統(tǒng)流量和網(wǎng)絡(luò)行為，準(zhǔn)確把握各應(yīng)用系統(tǒng)的底層網(wǎng)絡(luò)狀況和內(nèi)部運(yùn)行情況，進(jìn)而評(píng)估應(yīng)用系統(tǒng)的健康狀況。當(dāng)異常發(fā)生時(shí)，還需要進(jìn)行追蹤審計(jì)、報(bào)警處理、聯(lián)動(dòng)阻斷等進(jìn)一步的操作?！爱惓?流量監(jiān)測(cè)分析系統(tǒng)”正是根據(jù)這些需求而設(shè)計(jì)。二、以業(yè)務(wù)應(yīng)用為中心的監(jiān)測(cè)分析技術(shù)2.1需求背景應(yīng)用系統(tǒng)是信息化時(shí)代政府和企業(yè)核心業(yè)務(wù)賴以開展的基礎(chǔ)。網(wǎng)絡(luò)基礎(chǔ)設(shè)施、軟硬件基礎(chǔ)設(shè)施和安全基礎(chǔ)設(shè)施都是為應(yīng)用系統(tǒng)服務(wù)的。為了安全、穩(wěn)定和高效地運(yùn)行應(yīng)用系統(tǒng)，IT

4、管理部門也采取了各種管理手段，并投入了大量的運(yùn)維工作。防火墻、防病毒、入侵檢測(cè)等安全產(chǎn)品作為傳統(tǒng)安全基礎(chǔ)設(shè)施的主要組成部分，提供了網(wǎng)絡(luò)邊界的訪問控制、病毒木馬的查殺和一般性網(wǎng)絡(luò)攻擊行為的防范等功能，主要起到保障網(wǎng)絡(luò)和軟硬件基礎(chǔ)設(shè)施的作用。但是，要保障應(yīng)用系統(tǒng)安全穩(wěn)定運(yùn)行，必須針對(duì)具體應(yīng)用進(jìn)行安全配置，對(duì)特定應(yīng)用系統(tǒng)的網(wǎng)絡(luò)訪問操作進(jìn)行特定監(jiān)測(cè)分析和合規(guī)性檢查。這種超越網(wǎng)絡(luò)層安全和物理層安全， 面向應(yīng)用的可定制化安全措施是保障業(yè)務(wù)應(yīng)用安全的重要手段，也是目前的安全基礎(chǔ)設(shè)施難以達(dá)到的層面。網(wǎng)管軟件和流量分析管理軟件專注于網(wǎng)絡(luò)基礎(chǔ)設(shè)施的運(yùn)行狀況。如通信線路的連通性、 節(jié)點(diǎn)流量情況、以及各類協(xié)議在流量中

5、的分布等。而IT管理部門關(guān)心的重點(diǎn)在于：哪些流量屬于哪些應(yīng)用系統(tǒng)、哪些協(xié)議在哪個(gè)應(yīng)用系統(tǒng)中使用、以及注冊(cè)運(yùn)行的應(yīng)用系統(tǒng)在總帶寬中占有多少比例、哪些帶寬被未注冊(cè)或不合規(guī)的流量占用等。這些正是傳統(tǒng)網(wǎng)管系統(tǒng)和流量分析管理系統(tǒng)難以做到。在帶寬和流量方面，IT管理部門還希望掌握各個(gè)應(yīng)用系統(tǒng)流量的時(shí)間分布、節(jié)點(diǎn)分布等信息。入侵檢測(cè)和入侵防范技術(shù)是根據(jù)通用策略庫對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)模式和行為模式進(jìn)行實(shí)時(shí) 檢測(cè)和報(bào)警的。其策略庫不針對(duì)應(yīng)用系統(tǒng)，因此難以檢測(cè)網(wǎng)絡(luò)上對(duì)應(yīng)用系統(tǒng)的各種網(wǎng)絡(luò)訪問 操作的合規(guī)性。例如，針對(duì)數(shù)據(jù)庫的UPDATE TABL操作在IDS/IPS看來是正常的，但是對(duì)于某些應(yīng)用系統(tǒng)來說， 數(shù)據(jù)庫特定表的

6、更新操作是不合規(guī)的，這也是IDS/IPS不能保障應(yīng)用 安全的實(shí)例。IT管理部門希望根據(jù)各應(yīng)用系統(tǒng)的特點(diǎn)，對(duì)以應(yīng)用系統(tǒng)為目標(biāo)的網(wǎng)絡(luò)訪問操 作行為進(jìn)行合規(guī)性檢查，來確保應(yīng)用系統(tǒng)及其關(guān)鍵數(shù)據(jù)的安全。2.2異常流雖分析系統(tǒng)簡(jiǎn)介“異常流量監(jiān)測(cè)分析系統(tǒng)”作為安全基礎(chǔ)設(shè)施的進(jìn)一步延伸和擴(kuò)展，以應(yīng)用系統(tǒng)為核 心，監(jiān)測(cè)和管理信息化基礎(chǔ)設(shè)施資源（如網(wǎng)絡(luò)帶寬）的使用分配、流量分布與變化、網(wǎng)絡(luò)訪 問操作的合規(guī)性，日益顯現(xiàn)其直接保障業(yè)務(wù)應(yīng)用安全的重要作用。具體來講，“異常流量監(jiān)測(cè)與分析系統(tǒng)”主要起到以下作用：保障應(yīng)用系統(tǒng)的帶寬使用。 監(jiān)測(cè)帶寬等資源使用的合規(guī)性，區(qū)分流量帶寬中的注冊(cè)流量和非注冊(cè)流量。通過流量識(shí)別，以各應(yīng)

7、用系統(tǒng)流量特征為依據(jù)對(duì)流量信息進(jìn)行 分類歸并，使流量帶寬情況一目了然。具體包括：網(wǎng)絡(luò)進(jìn)出流量帶寬中，注冊(cè)的應(yīng)用系統(tǒng)占了多少帶寬？各個(gè)應(yīng)用系統(tǒng)的帶寬分別是多少？隨時(shí)間變化規(guī)律如何？ 被違規(guī)使用的帶寬占多少？是被誰使用的？等對(duì)應(yīng)用系統(tǒng)所屬流量數(shù)據(jù)的細(xì)節(jié)信息進(jìn)行持續(xù)性統(tǒng)計(jì)和對(duì)比分析，描繪出各應(yīng)用系統(tǒng)的正常流量輪廓，快速發(fā)現(xiàn)流量異常變化情況。具體包括：每個(gè)應(yīng)用系統(tǒng)的流量 細(xì)節(jié)如何？連接數(shù)、 吞吐量、連接時(shí)間等按客戶端節(jié)點(diǎn)排名情況如何？每個(gè)應(yīng)用系 統(tǒng)流量的協(xié)議分布、節(jié)點(diǎn)分布、時(shí)間分布如何？等對(duì)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)訪問行為進(jìn)行針對(duì)性監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常訪問操作和攻擊行為，確保針對(duì)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)使用和訪問操

8、作的合規(guī)性。如針對(duì)數(shù)據(jù)庫管理系統(tǒng)（SQL SERVER Oracle、MySQL SYBASE的各種SQL語句和關(guān)鍵數(shù)據(jù)表名、郵 件發(fā)送及接收、WEBKf問、文件傳輸?shù)炔僮鬟M(jìn)行檢測(cè)。追蹤和審計(jì)異常網(wǎng)絡(luò)行為，提供報(bào)警處理、報(bào)表等功能，通過聯(lián)動(dòng)對(duì)網(wǎng)絡(luò)異常行為 進(jìn)行阻斷等進(jìn)一步處理。如異常數(shù)據(jù)操作的時(shí)間、節(jié)點(diǎn)位置、負(fù)責(zé)人等情況的追蹤 和報(bào)警，當(dāng)月某應(yīng)用系統(tǒng)的總體運(yùn)行情況報(bào)告和健康狀況評(píng)估報(bào)告等通過這些功能，IT管理部門能夠準(zhǔn)確把握各應(yīng)用系統(tǒng)的底層網(wǎng)絡(luò)狀況和內(nèi)部運(yùn)行情況， 對(duì)應(yīng)用安全穩(wěn)定運(yùn)行可以做到心中有數(shù)，并可根據(jù)掌握的情況對(duì)應(yīng)用系統(tǒng)的底層網(wǎng)絡(luò)和內(nèi)部 結(jié)構(gòu)進(jìn)行優(yōu)化，提高運(yùn)行效率，最終達(dá)到保障應(yīng)用系統(tǒng)

9、的安全、穩(wěn)定和高效運(yùn)行的目標(biāo)。2.3系統(tǒng)架構(gòu)與流程異常流量監(jiān)測(cè)分析系統(tǒng)采用監(jiān)聽方式從網(wǎng)絡(luò)的中心節(jié)點(diǎn)收集流量信息，對(duì)各網(wǎng)絡(luò)設(shè)備和節(jié)點(diǎn)的流量信息和網(wǎng)絡(luò)行為進(jìn)行持續(xù)性統(tǒng)計(jì)和對(duì)比分析，快速發(fā)現(xiàn)流量中的吞吐量和連接數(shù)等的異常變化、網(wǎng)絡(luò)行為中的異常訪問操作和攻擊操作，可追蹤異常網(wǎng)絡(luò)行為、 進(jìn)行安全審計(jì)，同時(shí)為管理員提供報(bào)警和處理功能，并可通過聯(lián)動(dòng)對(duì)網(wǎng)絡(luò)異常行為進(jìn)行阻斷等進(jìn)一步處理。系統(tǒng)架構(gòu)如圖所示：異常流量監(jiān)測(cè)分析系統(tǒng)通過“設(shè)置、報(bào)警、追蹤、取證、處理”五個(gè)步驟完成從一個(gè)異 常的發(fā)現(xiàn)到異常的處理完畢工作。其中，首先設(shè)置“關(guān)注主機(jī)”以及與之對(duì)應(yīng)的基于業(yè)務(wù)應(yīng) 用的策略，根據(jù)策略當(dāng)有異常流量發(fā)生時(shí)就會(huì)“報(bào)警”

10、，系統(tǒng)將引起“報(bào)警”的設(shè)備稱之為“嫌疑主機(jī)”，然后對(duì)“嫌疑主機(jī)”通過“追蹤取證”的工作，最終確定“嫌疑主機(jī)”引起 異常情況的事實(shí)。這里“主機(jī)”的概念是一臺(tái)擁有IP地址的設(shè)備。具體工作流程如下圖示所示:2.4系統(tǒng)特點(diǎn)與優(yōu)勢(shì)由于采用了以業(yè)務(wù)應(yīng)用為核心的設(shè)計(jì)方法， 相對(duì)于通用型的傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品，異常流 量監(jiān)測(cè)分析系統(tǒng)具備針對(duì)應(yīng)用進(jìn)行安全配置、保障應(yīng)用安全的特點(diǎn)。具體來說:1.傳統(tǒng)的安全產(chǎn)品采用通用性設(shè)計(jì)， 可以保證網(wǎng)絡(luò)的基礎(chǔ)安全， 無法針對(duì)具體業(yè)務(wù)操 作配置安全措施。 的不同點(diǎn)在于，可以針對(duì)應(yīng)用系統(tǒng)特點(diǎn)進(jìn)行針對(duì)性配置， 如對(duì)指定數(shù) 據(jù)的指定操作行為進(jìn)行記錄、報(bào)警2.IDS/IPS基于特征的檢測(cè)系統(tǒng)

11、是依靠人為的預(yù)先設(shè)定報(bào)警規(guī)則和不間斷的對(duì)樣本的升級(jí)來實(shí)現(xiàn)的，其樣本庫是通用的， 難以針對(duì)特定應(yīng)用系統(tǒng)的特點(diǎn)而設(shè)置?？梢栽诓渴鸬牡谝徊郊锤鶕?jù)用戶實(shí)際運(yùn)行的應(yīng)用系統(tǒng)進(jìn)行針對(duì)性配置，幫助管理人員及時(shí)了解到網(wǎng)絡(luò)的正常流量狀況、應(yīng)用系統(tǒng)的正常工作狀態(tài)，并通過對(duì)比監(jiān)測(cè)到網(wǎng)絡(luò)中的異常流量 和攻擊行為，及其導(dǎo)致的應(yīng)用系統(tǒng)異常等3.傳統(tǒng)的安全設(shè)備運(yùn)行規(guī)則可以簡(jiǎn)單理解為“是”或者“否”，例如典型的防火墻判斷并發(fā)連接數(shù)規(guī)則是“上限1000”，高于1000的連接就是非法的連接。無法對(duì)在這之間異常變化的情況做出記錄或判斷?？梢猿掷m(xù)跟蹤網(wǎng)絡(luò)的連接、 流量，對(duì)網(wǎng)絡(luò)的連接數(shù)、流量數(shù)量階躍進(jìn)行智能判斷。如某個(gè)時(shí)刻連接數(shù)突然從平

12、均值50躍升至900,這種異常情況將被迅速監(jiān)測(cè)到。采用異常流量監(jiān)測(cè)分析系統(tǒng)，用戶可以在以下方面獲得收益：1.準(zhǔn)確掌握網(wǎng)絡(luò)運(yùn)行概況、流量分布與變化、帶寬使用情況等，定位網(wǎng)絡(luò)瓶頸，優(yōu)化 網(wǎng)絡(luò)使用，為帶寬升級(jí)和網(wǎng)絡(luò)規(guī)劃提供可靠依據(jù)。2.各應(yīng)用系統(tǒng)的流量輪廓，包括參與節(jié)點(diǎn)、協(xié)議、連接數(shù)、連接時(shí)間、吞吐量等，并 通過對(duì)比分析評(píng)估應(yīng)用系統(tǒng)的健康狀況。3.針對(duì)應(yīng)用系統(tǒng)定義其敏感的網(wǎng)絡(luò)訪問操作行為，并進(jìn)行監(jiān)測(cè)分析，迅速定位應(yīng)用系統(tǒng)故障原因和引發(fā)故障的源節(jié)點(diǎn)，及時(shí)解決應(yīng)用系統(tǒng)運(yùn)行故障。4.對(duì)可疑網(wǎng)絡(luò)節(jié)點(diǎn)的行為進(jìn)行審計(jì)追蹤，便于事后取證和分析?？傊?，通過異常流量監(jiān)測(cè)分析系統(tǒng)， 用戶可以提高網(wǎng)絡(luò)運(yùn)行效率， 保障關(guān)鍵

13、業(yè)務(wù)系統(tǒng)和 關(guān)鍵數(shù)據(jù)的安全性， 迅速解決應(yīng)用系統(tǒng)的運(yùn)行故障并極大降低故障率，延長平均無故障時(shí)間間隔。二、功能3.1核心功能異常流量監(jiān)測(cè)分析系統(tǒng)便于管理員了解網(wǎng)絡(luò)運(yùn)行狀況、關(guān)鍵服務(wù)器的訪問情況、 網(wǎng)絡(luò)異常情況等，是網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)管理和安全運(yùn)營等工作的重要工具。功能包括：1.持續(xù)性的流量統(tǒng)計(jì)與對(duì)比分析持續(xù)統(tǒng)計(jì)并保存全網(wǎng)流量、 最高流量、平均流量等。根據(jù)需要查看當(dāng)前和歷史統(tǒng)計(jì)數(shù)據(jù)。2.應(yīng)用系統(tǒng)流量監(jiān)測(cè)可針對(duì)關(guān)鍵應(yīng)用系統(tǒng)進(jìn)行流量重點(diǎn)監(jiān)測(cè)。包括流量累計(jì)、流量階躍、連接數(shù)、連接持續(xù)時(shí)間和訪問數(shù)五大類監(jiān)測(cè)項(xiàng)目。如流量階躍監(jiān)測(cè)，當(dāng)被監(jiān)測(cè)對(duì)象本周期內(nèi)的流量達(dá)到上一周期的指定百分比時(shí)系統(tǒng)自動(dòng)產(chǎn)生一個(gè)報(bào)警。3.應(yīng)用

14、系統(tǒng)網(wǎng)絡(luò)行為監(jiān)測(cè)針對(duì)關(guān)鍵應(yīng)用系統(tǒng)進(jìn)行網(wǎng)絡(luò)行為重點(diǎn)監(jiān)測(cè)。包括數(shù)據(jù)庫操作行為監(jiān)測(cè)和指定協(xié)議操作行為監(jiān)測(cè)兩大類。數(shù)據(jù)庫操作行為監(jiān)測(cè)可對(duì)帶有指定關(guān)鍵字的指定數(shù)據(jù)庫類型的指定操作進(jìn)行監(jiān)測(cè)，并在指定時(shí)間內(nèi)該行為重復(fù)指定次數(shù)后進(jìn)行報(bào)警。指定協(xié)議操作行為監(jiān)測(cè)可對(duì)指定協(xié)議的帶有指定關(guān)鍵字的操作行為進(jìn)行監(jiān)測(cè)，并在指定時(shí)間內(nèi)該行為重復(fù)指定次數(shù)后進(jìn)行報(bào)警。4.異常行為追蹤審計(jì)針對(duì)可疑或異常的網(wǎng)絡(luò)行為，系統(tǒng)可以對(duì)其進(jìn)行解析、 重現(xiàn)和記錄，形成安全審計(jì)，供取證和備查?？捎涗洸⒅噩F(xiàn)數(shù)據(jù)庫訪問、郵件發(fā)送接收、文件傳輸以及WE改T問等網(wǎng)絡(luò)行為。5.報(bào)警和處理針對(duì)異常流量和異常網(wǎng)絡(luò)行為，系統(tǒng)可產(chǎn)生報(bào)警，并提供報(bào)警的審核、歸類、處

15、理和記錄工具。緊急情況下的報(bào)警，系統(tǒng)可以通過郵件和短信實(shí)時(shí)發(fā)送給管理員。6.網(wǎng)絡(luò)攻擊檢測(cè)防范和聯(lián)動(dòng)處理通過擴(kuò)展入侵監(jiān)測(cè)模塊，系統(tǒng)可以根據(jù)策略庫對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)模式和行為模式進(jìn)行實(shí)時(shí)報(bào)警，起到IDS的作用；通過與基礎(chǔ)信息庫和“終端管理系統(tǒng)”等聯(lián)動(dòng)處理，可以進(jìn)行節(jié)點(diǎn)定位、連接阻斷、控制可疑主機(jī)等高級(jí)功能。3.1.1流雖統(tǒng)計(jì)分析系統(tǒng)可對(duì)監(jiān)聽到的數(shù)據(jù)流量進(jìn)行統(tǒng)計(jì)分析。統(tǒng)計(jì)分析內(nèi)容包括全網(wǎng)數(shù)據(jù)的流量總和，可按最高、最低和平均流量進(jìn)行分析，或按歷史流量、IP流量、非IP流量等進(jìn)行分析，并且以實(shí)時(shí)動(dòng)態(tài)的餅圖或柱狀圖或趨勢(shì)圖形式進(jìn)行展現(xiàn)，還可按網(wǎng)絡(luò)廣播、多播、單播和總數(shù)據(jù)包的形式進(jìn)行分析。對(duì)流量統(tǒng)計(jì)分析出某臺(tái)設(shè)

16、備或主機(jī)使用的是傳輸層或應(yīng)用層的具體什么協(xié)議，發(fā)送和接收的數(shù)據(jù)流量。兩個(gè)通信設(shè)備使用什么協(xié)議、在什么端口通信、發(fā)起和結(jié)束會(huì)話的時(shí)間點(diǎn)、 在這一時(shí)間內(nèi)傳輸?shù)臄?shù)據(jù)流量大小、最近24小時(shí)所有主機(jī)或設(shè)備數(shù)據(jù)流量總和、最近1小時(shí)活躍主機(jī)通信的起始時(shí)間、 發(fā)送和接收數(shù)據(jù)包的總和、 發(fā)送和接收的數(shù)據(jù)流量等詳細(xì)信息。 通過詳實(shí)的流量分析結(jié)果、多樣的分析形式、實(shí)時(shí)動(dòng)態(tài)的展示方式， 有效的幫助用戶對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行準(zhǔn)確的把握。3.1.2異常流雖分析系統(tǒng)幫助用戶制定主機(jī)策略和應(yīng)用策略，實(shí)現(xiàn)什么是網(wǎng)絡(luò)異常流量的自定義，并對(duì)其進(jìn)行分析。用戶可將網(wǎng)絡(luò)對(duì)象可分成“關(guān)注主機(jī)”、“嫌疑主機(jī)”、“追蹤主機(jī)”、“可信主機(jī)”進(jìn)

17、行區(qū)別處理；對(duì)網(wǎng)絡(luò)行為實(shí)施細(xì)致的流量及連接策略、數(shù)據(jù)庫策略、端口及關(guān)鍵字策略、以及專門針對(duì)“嫌疑主機(jī)”的追蹤策略。通過策略實(shí)施，對(duì)應(yīng)用系統(tǒng)的數(shù)據(jù)流量累計(jì)和、流量 階躍、連接數(shù)、訪問數(shù)、連接時(shí)間等進(jìn)行分析，對(duì)ORACLE、MYSQL、SQLSERVER、SYBASE等多種數(shù)據(jù)庫的SELECT、UPDATE、DROP、INSERT以及自定義操作進(jìn)行分析，對(duì)特定 應(yīng)用端口設(shè)置關(guān)鍵字策略，如通過此端口傳輸?shù)拿舾凶址M(jìn)行分析。3.1.3報(bào)警與追蹤取證通過用戶異常流量自定義策略，系統(tǒng)可對(duì)異常流量的訪問進(jìn)行密切監(jiān)測(cè)，能對(duì)實(shí)時(shí)觸發(fā)策略流量的事件提供控制臺(tái)、短信、郵件等多種報(bào)警方式。靈活多樣的報(bào)警策略，詳細(xì)的

18、報(bào) 警信息、多種實(shí)用的報(bào)警方式，可幫助用戶及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)異常情況，快速處理網(wǎng)絡(luò)故障。根據(jù)流量監(jiān)控或報(bào)警信息， 發(fā)現(xiàn)“嫌疑主機(jī)”后， 用戶可將該“主機(jī)”設(shè)置為“追蹤主 機(jī)”， 通過對(duì)“追蹤主機(jī)”設(shè)置追蹤策略，追蹤類型有WEB訪問、文件傳輸、郵件發(fā)送接收、數(shù)據(jù)庫操作等多種形式。通過對(duì)“追蹤主機(jī)”上述應(yīng)用行為進(jìn)行實(shí)時(shí)監(jiān)控，可詳細(xì)記錄“追蹤主機(jī)”在訪問了具體哪個(gè)應(yīng)用服務(wù)器的具體時(shí)間和具體服務(wù)類型。追蹤取證這一功能，可有效幫助用戶解決“誰動(dòng)了我的設(shè)備”，做了什么操作的問題，為管理員進(jìn)一步解決網(wǎng)絡(luò)故障提供了有力的佐證。3.1.4統(tǒng)計(jì)報(bào)表系統(tǒng)可對(duì)系統(tǒng)信息、用戶信息、主機(jī)信息、異常報(bào)警信息、流量信息、策略信息等

19、進(jìn)行報(bào)表統(tǒng)計(jì)，其中的報(bào)表對(duì)象包括系統(tǒng)信息、流量和報(bào)警信息、日志信息等。各種報(bào)表按照統(tǒng)計(jì)周期的不同，可以分為年報(bào)表、月報(bào)表、周報(bào)表、日?qǐng)?bào)表。每類報(bào)表都包含多種報(bào)表模板，這些模板基本可以滿足用戶的全部需求。在生成報(bào)表之前，允許用戶從界面選擇一些報(bào)表?xiàng)l件，如時(shí)間范圍、統(tǒng)計(jì)周期、報(bào)表類型等，選定好條件之后就可以生成報(bào)表了。在流量分析頁面中可以選擇特定監(jiān)控對(duì)象和時(shí)間范圍，然后把查詢結(jié)果輸出HTML、EXCEL等格式的文檔。詳細(xì)的統(tǒng)計(jì)信息，豐富的報(bào)表功能可幫助用戶進(jìn)行數(shù)據(jù)分析和挖掘，幫助用戶進(jìn)行流量趨勢(shì)的把握，完成網(wǎng)絡(luò)規(guī)劃和優(yōu)化的工作。3.2特色技術(shù)3.2.1快速流雖數(shù)據(jù)處理技術(shù)零拷貝(zero-copy

20、)zero-copy)傳統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)處理， 需要經(jīng)過網(wǎng)絡(luò)設(shè)備到系統(tǒng)內(nèi)存空間再到用戶應(yīng)用程序空間的兩次拷貝，同時(shí)還占用用戶向系統(tǒng)發(fā)出的系統(tǒng)調(diào)用。而系統(tǒng)采用的零拷貝技術(shù)首先利用DMA技術(shù)將網(wǎng)絡(luò)數(shù)據(jù)報(bào)直接傳遞到系統(tǒng)內(nèi)核預(yù)先分配的地址空間中，避免CPU的參與；同時(shí)將系統(tǒng)內(nèi)核中存儲(chǔ)數(shù)據(jù)報(bào)的內(nèi)存區(qū)域映射到檢測(cè)程序的應(yīng)用程序空間，檢測(cè)程序直接對(duì)這塊內(nèi)存進(jìn)行訪問，從而減少了系統(tǒng)內(nèi)核向用戶空間的內(nèi)存拷貝和系統(tǒng)調(diào)用的開銷，實(shí)現(xiàn)了真正的零拷貝”，大大提升了數(shù)據(jù)報(bào)文處理性能。并行快速協(xié)議棧分析(FastFast match)match)系統(tǒng)所采用的并行快速協(xié)議棧分析技術(shù)可以快速的實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容分析，為實(shí)時(shí)大容

21、量網(wǎng)絡(luò)數(shù)據(jù)分析提供了技術(shù)基礎(chǔ)。數(shù)據(jù)處理流程圖如下：采取并行協(xié)議棧取代傳統(tǒng)串行協(xié)議棧，充分發(fā)揮SMP架構(gòu)的性能，給多內(nèi)核CPU足夠的施展空間。選取硬件分流器中流行的IP+PORT分流策略，保證在大流量的情況下并行處理線程之間工作量均等，有效避免過載線程的出現(xiàn)。同時(shí)配合特有的大流量數(shù)據(jù)捕獲模塊， 取消傳統(tǒng)協(xié)議棧軟中斷的開銷，進(jìn)一步地提高系統(tǒng)并行處理的能力。先進(jìn)硬件優(yōu)化技術(shù)支持 SEESEE 4 4 指令集SEE 4指令集除擴(kuò)展了Intel 64指令集架構(gòu)外，還加入有關(guān)圖形、視頻編碼及處理、三維成像等指令，在應(yīng)用速度上比傳統(tǒng)的SSE2指令集快23倍，而TopOS系統(tǒng)支持SSE4指令集，可有效改善編譯

22、器效率及提高向量化整 數(shù)及單精度代碼的運(yùn)算能力，提升緩沖區(qū)的讀取數(shù)據(jù)頻寬。支持 SMPSMP 技術(shù) 對(duì)稱多處理技術(shù)(SMP可實(shí)現(xiàn)所有處理器對(duì)內(nèi)存、I/O、外部中斷和系統(tǒng)資源的平等訪問。而TopOS系統(tǒng)支持SM敏術(shù)，并可將任務(wù)隊(duì)列對(duì)稱地 分布于所有可用處理器上， 實(shí)現(xiàn)工作負(fù)載均勻地分配， 從而極大地提高了整個(gè)系統(tǒng) 的數(shù)據(jù)處理能力。支持超線程技術(shù)超線程技術(shù)就是利用特殊的硬件指令，把多線程處理器內(nèi)部的兩個(gè)邏輯內(nèi)核模擬成兩個(gè)物理芯片，從而使單個(gè)處理器能在某一時(shí)刻同步并行處理更多指令和數(shù)據(jù)的處理器技術(shù)。通過在支持多線程的TopOS系統(tǒng)和軟件上的運(yùn)用，有效提高處理器30%以上的數(shù)據(jù)處理能力。3.2.3先進(jìn)

23、的流雖分析技術(shù)先進(jìn)數(shù)據(jù)挖掘技術(shù)遺傳算法技術(shù)遺傳算法技術(shù)直接對(duì)自定義網(wǎng)絡(luò)對(duì)象進(jìn)行操作，具有內(nèi)在的隱并行性和更好的全局尋優(yōu)能力； 其內(nèi)置的概率化尋優(yōu)方法可自動(dòng)獲取指導(dǎo)優(yōu)化搜索空間和調(diào)整搜索方向。系統(tǒng)采用遺傳算法的生物系統(tǒng)模擬檢測(cè)技術(shù)，可有效快速對(duì)網(wǎng)絡(luò)操作行為和流量數(shù)據(jù)內(nèi)容進(jìn)行分析，方便用戶在大量數(shù)據(jù)流中找到符合異常策略流量。神經(jīng)網(wǎng)絡(luò)模型神經(jīng)網(wǎng)絡(luò)模型是對(duì)大腦系統(tǒng)的模擬，可根據(jù)輸入和輸出不斷地調(diào)節(jié)自己的各節(jié)點(diǎn)之間的權(quán)值來滿足輸入和輸出需要，適合分析入復(fù)雜輸入數(shù)據(jù)。 采用神經(jīng)網(wǎng)絡(luò)模型的系統(tǒng)，通過在用戶實(shí)際環(huán)境輸入和輸出“訓(xùn)練”，可根據(jù)自己已調(diào)節(jié)好的權(quán)值計(jì)算出輸出，方便用戶對(duì)歷史流量數(shù)據(jù)進(jìn)行預(yù)測(cè)和分析。聚

24、類分析技術(shù)聚類分析基于“物以類聚”的樸素思想，根據(jù)事物的特征對(duì)其進(jìn)行聚類或分類。采用聚類分析技術(shù)，系統(tǒng)可實(shí)現(xiàn)對(duì)流量數(shù)據(jù)進(jìn)行分類和定性歸納，也可以作為一個(gè)單獨(dú)使用的工具，來幫助分析數(shù)據(jù)的分布、了解各數(shù)據(jù)類的特征、 確定所感興趣的數(shù)據(jù)類以便作進(jìn)一步分析?？焖贆z測(cè)分析技術(shù)快速協(xié)議分析技術(shù)系統(tǒng)采用的快速協(xié)議分析技術(shù)有效利用了網(wǎng)絡(luò)協(xié)議的層次性和相關(guān)協(xié)議的知識(shí)，通過數(shù)據(jù)包的協(xié)議解碼、數(shù)據(jù)重組、命令解析快速地判斷流量應(yīng)用類型，便于及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)流量異常。 對(duì)不同的協(xié)議類型采用模塊化插件支持，用戶增加、刪除和修改協(xié)議檢測(cè)方法都很方便。自適應(yīng)模式匹配技術(shù)模式匹配算法是一種快速搜索異常特征的方法，系統(tǒng)所采用的自適應(yīng)

25、模式匹配技術(shù)集合多個(gè)模式匹配算法，系統(tǒng)可根據(jù)異常策略和協(xié)議變量特征靈活選擇合適的模式匹配算法，在關(guān)鍵字符匹配速度上達(dá)到最優(yōu)。深度包檢測(cè)技術(shù)（DPI ） DPI是一種應(yīng)用層的流量檢測(cè)技術(shù)，通過深入分析TCP和UDP通信流量的內(nèi)容，與后臺(tái)應(yīng)用數(shù)據(jù)庫進(jìn)行特征碼的匹配，確定應(yīng)用類型。網(wǎng)絡(luò)流量經(jīng)過時(shí)，系統(tǒng)使用DPI技術(shù)將其重新組合，從而得到整個(gè)應(yīng)用程序的內(nèi)容， 用戶可按照自定義的策略，通過隊(duì)列等技術(shù)對(duì)應(yīng)用程序進(jìn)行分析操作。3.2.3靈活高效的異常分析網(wǎng)絡(luò)對(duì)象和策略的異常分類分析系統(tǒng)主要應(yīng)用二維的分析：網(wǎng)絡(luò)對(duì)象（object）方式和策略（policy）方式?；诰W(wǎng)絡(luò)對(duì)象的異常分析主要指當(dāng)網(wǎng)絡(luò)中某個(gè)系統(tǒng)、應(yīng)

26、用的流量和通常的情況不一致時(shí)，系統(tǒng)辨別該未知流量是否是操作相關(guān)的威脅并登記該威脅，網(wǎng)絡(luò)對(duì)象可以分為“關(guān)注主機(jī)”、“嫌疑主機(jī)”、“追蹤主機(jī)”、“可信主機(jī)”，并相應(yīng)加載的不同分析方式策略。而基于策略的異常分析則是 檢驗(yàn)網(wǎng)絡(luò)中系統(tǒng)、應(yīng)用或用戶的當(dāng)前網(wǎng)絡(luò)行為是否符合相關(guān)策略，如訪問策略、使用策略、 應(yīng)用系統(tǒng)策略等，該策略通過依附在具體的網(wǎng)絡(luò)對(duì)象上進(jìn)行具體分析?；诓呗阅Ｊ降能浖O(shè)計(jì)系統(tǒng)異常策略分析設(shè)計(jì)上采用面向?qū)ο蟮牟呗阅Ｊ剑瑢⒕W(wǎng)絡(luò)對(duì)象角色（環(huán)境變量）與具體的應(yīng)用策略（行為）分開。針對(duì)各種異常流量的過濾算法可以在具體策略中進(jìn)行自定義， 具體策略的增加、刪除、修改不會(huì)影響到網(wǎng)絡(luò)對(duì)象（網(wǎng)絡(luò)主機(jī)），正是這種

27、特性使得具體流量策略的傳遞、繼承、引用更加靈活，由用戶自己決定在什么情況下使用什么具體策略角色。 策略模式僅僅封裝算法（具體策略角色內(nèi)容），提供新算法插入到已有系統(tǒng)中，以及老算法從系統(tǒng)中”退休”的方便。3.2.4及時(shí)有效的處理機(jī)制完善的處理流程通過報(bào)警分析引擎對(duì)輸入流量進(jìn)行分析，實(shí)時(shí)監(jiān)控對(duì)象流量與策略對(duì)比狀況，如有異常則以不同的形式進(jìn)行報(bào)警；按流量、連接數(shù)、訪問數(shù)、數(shù)據(jù)庫異常操作、關(guān)鍵字過濾等進(jìn)行 分類和歸總，可提供短信、控制臺(tái)、郵件等多種方式的報(bào)警信息。通過進(jìn)行取證、電話報(bào)警、向上匯報(bào)進(jìn)行處理，也可以修改或增加追蹤策略對(duì)異常進(jìn)行跟蹤取證和深層次的挖掘，處理過程還可以參考報(bào)警處理知識(shí)庫。報(bào)警處

28、理流程圖如下所示：基于Service Desk流程系統(tǒng)通過采用特有的Service Desk流程來記錄和協(xié)調(diào)報(bào)警處理，分別為：報(bào)警發(fā)現(xiàn)和 記錄、初步歸類和初步支持、報(bào)警調(diào)查和解決、報(bào)警中止。IT管理人員可通過控制臺(tái)記錄 相關(guān)報(bào)警細(xì)節(jié)，系統(tǒng)自動(dòng)會(huì)對(duì)報(bào)警進(jìn)行歸類活動(dòng)，其中包括確定報(bào)警發(fā)生的原因和與之相對(duì)應(yīng)的解決辦法，也就是提供在線知識(shí)庫查找針對(duì)常見問題的解決方案和方法，避免重復(fù)工作提高效率；接下來的活動(dòng)就是評(píng)估報(bào)警，并追蹤取證對(duì)報(bào)警的具體信息和操作進(jìn)行記錄，并給予解決；最后管理員將報(bào)警狀態(tài)更新為：“處理完畢”，整個(gè)流程結(jié)束。3.2.5智能的跟蹤分析技術(shù)系統(tǒng)監(jiān)控過程中，系統(tǒng)采用智能分析技術(shù)提取網(wǎng)絡(luò)目標(biāo)的狀態(tài)、會(huì)話信息、數(shù)據(jù)流向、應(yīng)用信息等數(shù)據(jù)，截取目標(biāo)的網(wǎng)絡(luò)操作行為，解析網(wǎng)絡(luò)協(xié)議，重現(xiàn)目標(biāo)的網(wǎng)絡(luò)操作內(nèi)容，依 據(jù)訪問的協(xié)議類型，可還原的信息包括：郵件內(nèi)容、數(shù)據(jù)庫操作命令、FTP訪問的操作命令以及瀏覽過的WEB頁面。智能跟蹤分