科来网络回溯产品介绍

科来回溯分析系统功能介绍之数据挖掘1. 数据挖掘技术简介 (1)1.1数据挖掘的背景 (1)1.2 什么是数据挖掘 (1)1.3 数据挖掘的功能 (2)1.4 数据挖掘技术 (2)1.5 数据挖掘的对象 (2)1.6 数据挖掘的处理流程 (2)2. 科来回溯系分析统的数据挖掘功能 (3)2.1 按时间挖掘 (3)2.2 按数据类型挖掘 (4)2.3 按端点、应用及会话挖掘 (5)2.4 总结 (6)1. 数据挖掘技术简介1.1数据挖掘的背景随着网络应用和规模的不断发展，网络随时都在产生海量数据，这些数据方便了网络管理者了解、管理网络。

但也带来了一些问题，如信息过量，难以消化；无法快速从海量数据中找到有用的信息等。

面对网络海量数据，如何理解、发现数据之间的关系和规则，快速对数据进行抽取、转换，并进行综合分析，从中挖掘岀有价值的信息，为管理者及时、准确的提供决策数据支撑已成为网络管理的重点。

所以，将数据挖掘技术引入到网络管理，并构建全局、智能、高效的网络管理解决方案已成为一个必然的趋势。

1.2什么是数据挖掘数据挖掘（Data Mining，DM）是指从数据库的大量数据中揭示岀隐含的、先前未知的并有潜在价值的信息的非平凡过程。

数据挖掘是一种决策支持过程，它主要基于人工智能、机器学习、模式识别、统计学、数据库、可视化技术等。

数据挖掘技术是面向应用的，它不仅对数据库进行检索、查询、调用，而且要对这些数据进行深入的统计、分析和推理，发掘数据问的相互关系，完成从业务数据到决策信息的转换。

在人工智能领域，数据挖掘又被称为数据库中知识发现(Knowledge Discovery in Database, KDD)，通常把数据挖掘视为数据库中知识发现过程的一个基本步骤。

1.3数据挖掘的功能常见的数据挖掘的功能包括分类( Classification)、估值(Estimation )、预言(Prediction)、相关性分组或关联规则(Affinity grouping or association rules)、聚集(Clustering)、描述和可视化(Description and Visualization八复杂数据类型挖掘仃ext, Web周形图像，视频，音频等)等七种。

科来网络回溯分析系统前端节点技术指标1.总体功能能够分布式部署在需要监控的网络节点，长期实时分析并捕获流量，发现网络中存在的窃密行为，同时对捕获到的网络通讯数据包进行长期存储，从而提供对任何时间点的通讯数据进行回溯分析的能力。

2.界面要求支持全中文界面和资料文档，要求提供全中文的分析界面，要求提供全中文的文档资料。

3.系统部署1.分布式部署，要求能够部署在远程网络中进行长期实时分析，通过专用的控制台软件过网络进行远程分析。

2.要求能支持流量镜像、分路器等方式部署。

3.在采用镜像方式进行部署时，能够通过设定本地网络，区分内部和外部地址，并分别统计上行和下行流量。

4.能够实现链路聚合功能，能将多网卡的流量聚合捕获分析。

5.支持多任务分析，能够针对某网络接口支持多个捕获和分析任务同时进行分析。

4.应用定义6.能够灵活的自定义应用，针对自定义的应用进行流量监测分析。

7.可根据端口或端口范围、端口组自定义应用。

8.可根据地址、地址组、地址范围自定义应用。

9.可根据地址端口自定义应用。

10.可根据网段、网段组自定义应用。

5.数据捕获保存11.能够实时捕获并保存网络中的通讯数据包。

12.网络中的通讯数据包能够长期保存，设备的存储容量不低于。

13.数据包以专用格式存储，只能采用专用的控制台软件读取和导出，不能用其他工具读取并导出。

14.数据包保存的性能要求能够实现线速保存能力，数据包处理性能不低于。

15.能实时长期保存网络中的所有的网络总体流量统计数据包括比特率（上下行）、数据包率（上下行）、网络中数量、数量、数量。

16.能实时分析并长期保存网络中的所有数据流统计数据，包括详细的会话流、会话流、会话流数据，数据精度到秒级。

17.捕获数据包时能够根据条件过滤捕获，包括根据地址、地址段、通讯协议、端口等条件过滤捕获。

6.数据检索分析要求18.能够和原有的科来网络回溯分析系统控制台配合，通过控制台方便的检索捕获的任意时间范围的网络通讯数据。

科来网络回溯分析技术解决方案2015年6月目录1项目背景随着信息化建设步伐的不断加快,信息网络技术在的应用日趋广泛,这些先进的技术给的管理带来了前所未有的便利,也提升了的管理质量和服务水平,同时对行业网络信息和数据的依赖程度也越来越高,因此也带来了不可忽视的网络系统安全问题。

例如:网络规模的不断扩大，网络越来越复杂，应用环境也越来越复杂，网络中的数据流量越来越大，如何保障网络的持续、安全、高效运行是网络运行维护人员面对的巨大挑战。

在这种情况下，网络运行维护人员必须对网络的流量占用、应用分布、通讯连接、数据包原始内容等所有网络行为以及整个网络的运行情况进行充分的了解和掌握，才能在网络出现性能和安全问题时，能够快速准确的分析问题原因，定位故障点和攻击点并将其排除，从而实现网络价值最大化。

2需求分析根据目前的应用及网络状况，需要部署专业的网络分析系统在的网络环境中,对网络中所有传输的数据进行检测、分析、诊断,帮助管理员排除网络事故,规避安全风险,提高网络性能,增大网络可用性价值。

使不用再担心网络事故难以解决,网络分析系统可以把网络故障和安全风险会降到最低,找到网络瓶颈逐步提升网络性能。

在网络日常运维中主要存在如下几个困扰：1) 信息网中运行着大量的服务和设备，一旦业务应用出现问题，需要快速区分是网络问题还是应用问题，而当前对网络和应用问题的分析手段相对缺乏，导致运维团队之间互相推诿责任，问题解决效率迟缓，如何快速定位问题已成为网络管理的迫切需求。

2) 需要掌握重要业务应用链路的流量趋势，流量利用率等情况。

针对性能优化、新业务部署、带宽规划、安全策略等提供科学的依据。

另外还需要对网络通讯按业务类型进行归类和分析，帮助管理人员有效地掌握业务通讯状态，提高管理策略依据。

3) 对影响网络安全的攻击或异常行为，无法及时发现与监控，避免网络出现重大故障甚至瘫痪。

4) 及时发现网络中存在的安全隐患（扫描攻击），以便网络管理人员及时加固和消除。

地铁-科来网络回溯分析解决方案建议书目录1.目前网络运维难点 (2)2.网络回溯分析实现运维目标 (2)3.网络回溯分析应用价值 (4)3.1.安全分析功能 (4)1.1.故障诊断 (5)1.2.网络预警 (5)1.3.决策依据 (5)1.4.责任界定 (6)1.5.业务梳理 (6)1.6.应用监控 (6)1.7.数字取证 (6)4.解决方案 (7)4.1.方案介绍 (7)4.2.网络回溯系统部署方案 (7)4.2.1.全网部署示意图（实现全网监控） (8)4.2.2.车站部署示意图 (10)4.2.3.中心部署示意图 (11)1.目前网络运维难点随着IT的高速发展，网络结构日新月异，云环境已经成为逐渐替换传统网络，成为网络中重要的一部分，但同样也带来了新的运维挑战、云环境的复杂性及未知性、传统网络网元的多样性（路由器、防火墙、WAF、负载均衡、IPS等等），给网络提供高效的传输和管理途径外，也带来了更多的运维难度；据统计，网络故障中75%是间歇性故障，在管理员响应后故障现象已经不再了，而这个故障隐患却一直潜伏着，同时据统计，目前网络故障定位平均时间为2天以上，而故障解决只需要2小时，而这里面还不包含无法定位而不了了之的故障，因此，快速定位故障是一项极为重要的事情。

众所周知，不论是传统物理网络还是云虚拟环境，只要存在网络活动、一定会产生网络行为，而网络行为的基本元素就是数据包，因此网络抓包是网络运维管理的终极手段，无论是网络故障、应用系统故障、安全威胁都能够通过抓包分析得到最终定位，而科来则将数据包“可视化”做到了极致效果，使运维的终极手段能够直接运用到网络管理中。

网络回溯分析系统是一款集网络七层协议分析技术、高性能数据存储和智能数据挖据技术、分布式数据处理技术的高性能硬件平台，实现全天候7*24小时不间断抓包监控，能够为用户提供其他网络和安全产品所不可替代的价值。

2.网络回溯分析实现运维目标主动性网络管理，减少网络瘫痪和性能下降的时间减少网络故障，缩短网络系统宕机时间，避免无法估量的经济损失；减少解决网络故障的时间通过使用全流量分析系统监控可以更快捷、更有效的诊断网络故障，大幅度减少解决网络故障的时间。

科来网络安全分析
科来网络安全是一家专注于网络安全领域的企业，致力于为客户提供全方位的网络安全解决方案。

通过深入分析网络威胁和风险，科来网络安全帮助客户发现和防御各种网络攻击，并确保其网络系统和数据的安全。

为了满足客户的不同需求，科来网络安全提供了多种服务和产品。

其服务包括网络安全评估与威胁情报分析、漏洞扫描与修复、网络流量监测与分析、安全事件响应等。

从网络安全评估开始，科来网络安全会通过对客户的网络系统进行深入分析，识别潜在的风险和漏洞，并提供相应的解决方案。

其威胁情报分析团队会时刻关注全球网络威胁动态，及时提供最新的威胁情报，帮助客户做好威胁预防和应对工作。

此外，科来网络安全还提供了高效可靠的漏洞扫描与修复服务。

通过对客户的网络系统进行全面扫描，科来网络安全能够及时发现和修复潜在的漏洞，减少潜在的攻击威胁。

网络流量监测与分析是科来网络安全的另一个核心服务，通过对客户网络的流量进行实时监测和分析，科来网络安全能够帮助客户快速发现异常行为和潜在威胁，并采取相应的措施进行防御。

最后，科来网络安全还提供安全事件响应服务，通过快速响应和处理网络安全事件，科来网络安全能够帮助客户减少损失和恢复网络系统的正常运行。

科来网络安全拥有一支专业的安全团队，具备丰富的经验和深厚的技术实力，能够有效应对各种网络安全挑战。

总之，科来网络安全通过提供全方位的网络安全解决方案，帮助客户保护其网络系统和数据的安全。

无论是网络安全评估、威胁情报分析、漏洞扫描与修复、网络流量监测与分析，还是安全事件响应，科来网络安全都能够为客户提供专业的支持和服务。

客户可以放心地将网络安全交给科来网络安全，专注于自身的核心业务发展。

开始使用选择网卡网络数据包是通过网卡进行转发的，对数据包的捕获需要利用网卡进行采集，在进行工程运行之前，需要选择分析的网卡。

科来网络分析系统支持多网卡进行数据采集，同时也支持拨号的上网和本地环回。

本地环回是指客户端和访问的服务器端都是本机，此时的网络数据并不经过网卡，科来网络分析系统同样支持以类数据的监测分析。

在工程设置中，科来网络分析系统会自动列出所有可用到的网卡类型，用户可以根据实际情况进行选择。

设置显示选项科来网络分析系统的每一个视图都为用户提供了非常丰富的统计字段，为了适合查看，并没有所有的字段都显示出来。

用户可以通过列表选项来设置显示的数据，右键点击每个视图字段标题，将可以打开显示选项。

软件界面菜单下面的表格是菜单命令以及相应说明：节点浏览器节点浏览器最大的用途，就是能快速的选择需要查看的节点，通过选择节点，用户可以查看该节点对应的网络数据。

节点浏览器由三个类组成，分别是协议节点，物理节点，IP 节点。

用户可以很方便的定位到整个网络，也可以定位到某个 IP段，或是某个 IP。

而右边的数据会根据选择的节点显示相关的数据。

工程状态栏我们为每个工程都提供一个状态栏，用户可以查看当前工程的执行情况和配置状态。

包括使用的过滤器，捕获到的数据包，数据包缓存的占用情况等。

缓存使用率的颜色条默认情况下是蓝色，超过 80%，将变为橙色，超过 90%，则显示为红色。

主视图区网络分析的主要数据结果，都放置在主视图区。

科来网络分析系统 5.0 包含以下视图，每个视图都包含不同的分析结果。

数据排序功能是一个对数据查看很有用的功能，用户对于想查看的数据排序，只需要单击一下列表的字段，就可以进行正序或倒序的排列，如下图所示。

查找带宽占用最大的 IP，或查找数据包发送最多的 IP，利用数据排序将是非常容易的方法。

科来网络分析系统的每一个视图都为用户提供了非常丰富的统计字段，为了适合查看，并没有所有的字段都显示出来。

用户可以通过列表选项来设置显示的数据，右键点击每个视图字段标题，将可以打开显示选项。

科来网络分析简介科来网络分析系统通过还原网络原始数据包，并进行从网络链路层到网络应用层的全面解析分析，透视网络运行内容，建立可视化的网络全景信息，帮助网络管理者打造安全高效的网络。

科来网络分析系统2010是一个集数据包采集、解码、协议分析、统计、图表、报表等多种功能为一体的综合网络分析平台。

它可以帮助网络管理员排查网络安全隐患、网络流量监控、定位网络故障。

主要功能数据采集∙实时捕捉以太网数据包∙捕捉本机自循环IP数据包∙从拨号适配器捕捉数据包∙支持同时从多个网卡捕捉数据包∙支持多个工程同时使用一个网卡∙从多种格式的文件导入数据包数据过滤∙简单过滤器可设置地址、端口、协议等参数∙高级过滤器支持更强大的过滤规则和条件∙图形化地表现高级过滤器内部逻辑关系∙设定新建工程确省过滤器列表∙支持过滤器导入导出∙同时启用接受过滤器和拒绝过滤器协议分析∙采用基于CSPAE分析引擎地实时网络数据包和协议分析∙实时的分析和重组TCP数据流∙HTTP高级分析模块∙Email高级分析模块∙FTP高级分析模块∙HTTP请求、邮件以及FTP传输日志∙图形显示分析结果数据统计∙概要统计∙端点统计∙协议统计∙图形化统计数据和历史采样∙支持分析模块动态注册统计计数器专家诊断∙智能化的故障分析∙实时提供诊断结果∙按照OSI七层协议对错误信息进行分组∙诊断结果按照安全级别提醒用户∙提供事件的解释，起因，以及可能采用的解决方法实时监控∙实时监测TCP链接状态∙提供2D/3D图表化实时监测∙实时监测网络流量和利用率∙实时监测错误数据包∙实时监测网络数据包大小分布数据包解码∙采用CSPDE解码引擎实时解码∙数据包概要解码∙数据包详细解码∙解码器管理（启用、禁用解码器）∙数据包十六进制解码（HEX, ASCII,.EBCDIC）数据输出∙生成统计报表∙生成日志文件∙保存工程文件∙导出数据包为多种格式的数据包文件∙打印及打印预览λ故障诊断：自动诊断40多种网络故障，自动定位故障点，科来网络分析系统自动分析故障产生的原因并推荐解决方法；λ流量分析：多达42种的流量分析数据，能对整个网络、单个部门、单个VLAN、单个IP和单个MAC进行统计分析；λ安全分析：查找网络中存在的安全风险；λ性能分析：查找网络性能瓶颈；λ协议分析：深入分析网络中的所有应用；λ网络连接和通讯监视：直观反映网络中机器的连接情况，监视网络活动。

回溯追踪ARP扫描攻击----------科来网络回溯分析系统1. 科来网络回溯分析系统产品概述科来网络回溯分析系统是能够长期记录网络通讯数据，并提供基于时间的数据挖掘分析系统。

它拥有独特的网络管理能力，实现了数据的海量存储及快速的历史数据回溯分析功能，使网络分析突破时间的限制，在数据挖掘、追踪定位以及安全取证等方面更精确、高效，从而帮助用户解决当今最困难的网络问题。

科来网络回溯分析系统由分析服务器、分析控制台和分析管理控制中心组成，实现了从庞大的本地网到跨地域跨分支的广域网的方便、快捷的数据采集、分析和解码，快速完成网络故障诊断、网络应用分析、性能分析以及协议分析等功能。

科来网络回溯分析系统（部署图示）2. ARP扫描攻击追踪性分析上面介绍了科来网络回溯分析系统，有些回溯产品的用户在反馈说科来的回溯产品很强大，但在查找、定位起来感觉有些困难。

其实科来网络回溯分析系统已经充分考虑了这些问题，并提供了相应的解决办法。

由于之前大家都习惯了使用科来便携式分析系统的分析模式，感觉通过诊断和安全分析方案即可很方便的对网络问题进行发现并定位，其实回溯的产品更加准确、方便、实用。

下面我来说一下上周一个客户遇到的问题。

该用户在网络中部署了科来网络回溯分析系统，监控的内容包括：DMZ区应用服务器、分支机构VPN流量、内网的上网流量。

该用户在一些设备上报出了Arp攻击的错误信息，最终去没有找到相关的异常设备。

其实目前对ARP的问题存在两个问题：1、故障产生，并且有大量机器能显示报错，但是没有保存下有效数据，进行定位分析及取证2、数据太多，无法快速查找、定位，并且进行追溯性分析。

现在就来介绍一些如何通过科来网络回溯分析系统进行ARP故障的诊断、定位。

1、选择分析的时间，回溯数据至故障时间段。

2、选择窗口的显示单位，由于我们尽量多的去查找ARP，在这里我们选择10天窗口。

3、选择数据的呈现方式。

虽然科来能提供多种呈现方式，在这里我们选择根据物理地址进行显示。

安装部署科来网络分析系统可以进行内网以及内网与外网的数据检测分析，甚至可以跨VLAN进行数据监测。

只安装在一台管理机器上即可，不用安装到局域网的每台机器。

管理人员可以根据需要，来决定网络的安装位置，安装位置的不同，捕获到的网络数据也差异很大。

为了更全面的监测网络数据，我们建议最好将产品部署的设备直接连接到中心交换设备上，这样可以更多的数据信息；您也可利用网络分接器，来分析任意网段的数据。

下面我们介绍几种常见产品部署。

1. 共享网络- 通过Hub连接上网2. 交换式网络- 交换机具备管理功能（端口镜像）3. 交换式网络- 交换机不具备管理功能（无端口镜像）- 使用网络分接器(Taps)- 使用集线器(Hub)4. 定点分析某个网段共享网络- 通过Hub连接上网使用集线器（Hub）作为网络中心交换设备的网络即为共享式网络，集线器（Hub）以共享模式工作在OSI层次的物理层。

如果您局域网的中心交换设备是集线器（Hub），可将科来网络分析系统可安装在局域网中任意一台主机上，此时科来网络分析系统可以捕获整个网络中所有的数据通讯。

交换式网络- 交换机具备管理功能（端口镜像）使用交换机（Switch）作为网络的中心交换设备的网络即为交换式网络。

交换机（Switch）工作在OSI模型的数据链接层，交换机各端口之间能有效地分隔冲突域，由交换机连接的网络会将整个网络分隔成很多小的网域。

大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能，当您网络中的交换机具备此功能时，可在交换机上配置好端口镜像（关于交换机镜像端口），再将科来网络分析系统可安装在连接镜像端口的主机上即可，此时科来网络分析系统可以捕获整个网络中所有的数据通讯。

交换式网络- 交换机不具备管理功能（无端口镜像）一般简易型的交换机不具备管理功能，不能通过端口镜像来实现网络的监控分析。

如果您的中心交换或网段的交换没有端口镜像功能，一般可采取串接集线器（Hub）或分接器（Tap）的方法进行部署。

某电信IDC机房——托管服务器异常行为监控一、案例背景某电信IDC机房为数千家政企用户提供服务器托管业务，有些用户却利用托管服务器为跳板从事一些非业务流量，比如代理上网、视频或下载，这不仅增加了IDC出口的负担，也为IDC内部网络的安全带来了隐患。

而IDC机房现有的网管及分析工具，对用户的这种用户非业务行为往往是事后才能发现，而且缺乏足够的历史数据对过去发生的网络事件进行回溯，无法快速的通过量化的证据对这些用户的行为进行通告和规范。

科来网络分析系统通过数据包层面的分析，能够对用户的网络行为进行的可视化的监控、分析，并支持7*24小时不间断的长期分析，掌握接入流量的负载及每日、每周的流量基准、变化趋势，为用户异常行为发现提供基准，从而及时的发现网络的流量突发与拥塞，快速的定位到造成异常流量的IP源头，并对其行为进行深入分析，提供历史事件的证据，及时发现危害网络的病毒、攻击行为，避免网络瘫痪。

二、设备部署在交换机上启动镜像功能，由科来网络回溯分析服务器采集用户接入IDC机房网络的流量,部署示意图如下：通过网络分析对网络进行可视性分析和专家级的诊断，对VPN接入用户的网络行为进行7*24小时不间断的实时监控与分析，快速的发现异常行为的用户，并对潜在的安全隐患进行预警，并将关键的网络参数指标及原始数据包保存、记录，同时提供方便快捷的数据挖掘功能快速的对历史事件进行追溯，并能够通过智能专家诊断系统，快速的发现问题.三、托管服务器异常行为监控IDC机房主要业务为托管web服务器等业务，其他代理上网、P2P下载都是非业务行为，而且将消耗出口带宽资源，影响正常业务的效率。

通过科来网络回溯分析系统，我们可以快速的定位异常主机，通过其流量行为特征判断是否在从事非业务行为；通过一段时间的流量监控后，可以获取各种网络参数的监控基准，从而设置合理的告警阀值，实现对网络异常主动预警。

快速的发现异常主机我们可以找出任意时间段所有主机的流量统计，统计参数包括流量大小、数据包量、收发流量及TCP层关键参数，如下图所示：通过上图，我们把流量最大的四台机器几个关键参数提取出来，如下所示：关键参数解读：流量：传输数据的大小，直接影响到总出口带宽，通过该参数，我们能够快速的发现对IDC出口影响最大的IP主机流量发收比：上传流量和下载流量的比值，托管机房里的服务器，一般都是提供网络服务供他人下载，正常情况下，上传流量应该大于下载流量，而“流量发收比”=上传流量/下载流量，该比值应该大于1。

科来网络回溯分析系统前端节点技术指标1.总体功能能够分布式部署在需要监控的网络节点，长期实时分析并捕获流量，发现网络中存在的窃密行为，同时对捕获到的网络通讯数据包进行长期存储，从而提供对任何时间点的通讯数据进行回溯分析的能力。

2.界面要求支持全中文界面和资料文档，要求提供全中文的分析界面，要求提供全中文的文档资料。

3.系统部署1.分布式部署，要求能够部署在远程网络中进行长期实时分析，通过专用的控制台软件过网络进行远程分析。

2.要求能支持流量镜像、分路器等方式部署。

3.在采用镜像方式进行部署时，能够通过设定本地网络，区分内部和外部IP地址，并分别统计上行和下行流量。

4.能够实现链路聚合功能，能将多网卡的流量聚合捕获分析。

5.支持多任务分析，能够针对某网络接口支持多个捕获和分析任务同时进行分析。

4.应用定义6.能够灵活的自定义应用，针对自定义的应用进行流量监测分析。

7.可根据TCP/UDP端口或端口范围、端口组自定义应用。

8.可根据IP地址、地址组、地址范围自定义应用。

9.可根据IP地址+端口自定义应用。

10.可根据网段、网段组自定义应用。

5.数据捕获保存11.能够实时捕获并保存网络中的通讯数据包。

12.网络中的通讯数据包能够长期保存，设备的存储容量不低于4Tbytes。

13.数据包以专用格式存储，只能采用专用的控制台软件读取和导出，不能用其他工具读取并导出。

14.数据包保存的性能要求能够实现1000Mbps线速保存能力，数据包处理性能不低于200,000pps。

15.能实时长期保存网络中的所有的网络总体流量统计数据包括比特率（上下行）、数据包率（上下行）、网络中TCP SYN数量、TCP SYN ACK数量、TCP SYN RST数量。

16.能实时分析并长期保存网络中的所有数据流统计数据，包括详细的IP会话流、TCP会话流、UDP会话流数据，数据精度到秒级。

17.捕获数据包时能够根据条件过滤捕获，包括根据IP地址、地址段、通讯协议、TCP/UDP端口等条件过滤捕获。

⽹络流量收集与分析流量回溯分析系统-Moloch-科来⽹络流量收集与分析/回溯分析系统2019/10/14 ChenxinMoloch简介MolochMoloch is a large scale, open source, indexed packet capture and search system.谈及 Moloch, 想必⼤家都知道” moloch 是⼀个开源的、⼤规模的 IPv4 数据包捕获（PCAP），索引数据库系统。

“ 它以标准 pcap 格式存储和索引⽹络流量提供快速的索引访问，从⽽减少可疑事件的分析时间。

收集所有⽹络流量信息,存储,分析,图标展⽰.有点类似sniffer的统计预览功能.存储的PCAP⽂件,进⾏分析,图形化展⽰源于⽬的的访问关系.展⽰流量图等.节选:在⼯作中，我使⽤的是国内某家公司的全流量分析系统，相⽐之下，我认为 Moloch 作为⼀款开源系统，其对流量数据的解析功能⾮常强⼤，可以花式构造过滤语句。

但毕竟以流量为主，不具备基于⾏为或特征之类的常见检测机制，如果需要，可以配合 Snort、Bro、Suricata 等检测系统。

（Moloch 可将 Suricata作为插件结合，有兴趣的朋友可以试试）流量回溯系统通常都会⾯临这样⼏个问题：1、数据包的存取和协议的分析；2、数据量很⼤的时候检索的速度。

我们设想⼀下使⽤ tshark 、Wireshark 对⼀个⼏⼗ GB 的数据包进⾏分析时，包的加载都会是⼀个很头疼的问题，更不⽤说过滤表达式的应⽤。

⽽ Moloch 在这⽅⾯就具备了独特的优势安装部署数据的来源是交换机的镜像端⼝，moloch 系统主要涉及三个组件 Capture，elasticsearch 和 Viewer .Capture （绑定 interface 运⾏的单线程 C 语⾔应⽤）⽤来抓取流量并以 pcap 的格式存储到硬盘上⾯，还会存⼀份对应关系到elasticsearch （moloch 的数据检索驱动）中，Viewer（运⾏在 capture 主机上的 node.js web应⽤）提供 web 界⾯，以下为 Moloch 的单个主机部署架构图。