流量监测分析系统技术白皮书

目录

一、前言 (2)

二、以业务应用为中心的监测分析技术 (3)

2.1 需求背景 (3)

2.2 异常流量分析系统简介 (4)

2.3 系统架构与流程 (5)

2.4 系统特点与优势 (5)

三、功能 (7)

3.1核心功能 (7)

3.1.1流量统计分析 (8)

3.1.2异常流量分析 (8)

3.1.3报警与追踪取证 (9)

3.1.4统计报表 (9)

3.2特色技术 (10)

3.2.1快速流量数据处理技术 (10)

3.2.3先进的流量分析技术 (11)

3.2.3灵活高效的异常分析 (12)

3.2.4及时有效的处理机制 (12)

3.2.5智能的跟踪分析技术 (13)

3.3产品部署 (13)

3.4产品技术参数 (15)

四、硬件配置参数 (16)

五、总结 (17)

一、前言

业务安全是政府和企业安全需求的核心。在信息化时代，越来越多的政府和企业业务由网络化应用系统承载。我们就不难理解，保障应用系统的安全稳定和高效运行是IT管理部门的主要工作内容和目标。

随着信息化工作的推进，越来越多的应用系统交叉部署于网络。从关键应用（如PKI、基础资源库综合查询等）、一般应用（如OA系统等）到未批准的应用（如网络游戏、P2P程序）。未批准的应用对网络、服务器等基础设施资源的非受控使用导致网络系统鱼龙混杂、性能难以提高、资源浪费严重；并导致关键应用系统对基础设施的使用权被侵占，系统运行的稳定性和高效性难以保障，甚至故障频发。

随着网络规模的扩大和复杂化，网络行为越来越复杂且不易控制。对应用系统的网络访问操作的合规性难以得到保障，窃取、破坏数据等攻击行为难以被检测和发现。政府和企业的业务安全受到严重威胁。

为保障应用系统的安全、稳定和高效运行，IT管理部门需要监测各个应用系统流量和网络行为，准确把握各应用系统的底层网络状况和内部运行情况，进而评估应用系统的健康状况。当异常发生时，还需要进行追踪审计、报警处理、联动阻断等进一步的操作。“异常流量监测分析系统”正是根据这些需求而设计。

二、以业务应用为中心的监测分析技术

2.1 需求背景

应用系统是信息化时代政府和企业核心业务赖以开展的基础。网络基础设施、软硬件基础设施和安全基础设施都是为应用系统服务的。为了安全、稳定和高效地运行应用系统，IT 管理部门也采取了各种管理手段，并投入了大量的运维工作。

防火墙、防病毒、入侵检测等安全产品作为传统安全基础设施的主要组成部分，提供了网络边界的访问控制、病毒木马的查杀和一般性网络攻击行为的防范等功能，主要起到保障网络和软硬件基础设施的作用。但是，要保障应用系统安全稳定运行，必须针对具体应用进行安全配置，对特定应用系统的网络访问操作进行特定监测分析和合规性检查。这种超越网络层安全和物理层安全，面向应用的可定制化安全措施是保障业务应用安全的重要手段，也是目前的安全基础设施难以达到的层面。

网管软件和流量分析管理软件专注于网络基础设施的运行状况。如通信线路的连通性、节点流量情况、以及各类协议在流量中的分布等。而IT管理部门关心的重点在于：哪些流量属于哪些应用系统、哪些协议在哪个应用系统中使用、以及注册运行的应用系统在总带宽中占有多少比例、哪些带宽被未注册或不合规的流量占用等。这些正是传统网管系统和流量分析管理系统难以做到。在带宽和流量方面，IT管理部门还希望掌握各个应用系统流量的时间分布、节点分布等信息。

入侵检测和入侵防范技术是根据通用策略库对网络上的数据模式和行为模式进行实时检测和报警的。其策略库不针对应用系统，因此难以检测网络上对应用系统的各种网络访问操作的合规性。例如，针对数据库的UPDATE TABLE操作在IDS/IPS看来是正常的，但是对于某些应用系统来说，数据库特定表的更新操作是不合规的，这也是IDS/IPS不能保障应用安全的实例。IT管理部门希望根据各应用系统的特点，对以应用系统为目标的网络访问操作行为进行合规性检查，来确保应用系统及其关键数据的安全。

2.2 异常流量分析系统简介

“异常流量监测分析系统”作为安全基础设施的进一步延伸和扩展，以应用系统为核心，监测和管理信息化基础设施资源（如网络带宽）的使用分配、流量分布与变化、网络访问操作的合规性，日益显现其直接保障业务应用安全的重要作用。

具体来讲，“异常流量监测与分析系统”主要起到以下作用：

●保障应用系统的带宽使用。监测带宽等资源使用的合规性，区分流量带宽中的注册

流量和非注册流量。通过流量识别，以各应用系统流量特征为依据对流量信息进行

分类归并，使流量带宽情况一目了然。具体包括：网络进出流量带宽中，注册的应

用系统占了多少带宽？各个应用系统的带宽分别是多少？随时间变化规律如何？

被违规使用的带宽占多少？是被谁使用的？等

●对应用系统所属流量数据的细节信息进行持续性统计和对比分析，描绘出各应用系

统的正常流量轮廓，快速发现流量异常变化情况。具体包括：每个应用系统的流量

细节如何？连接数、吞吐量、连接时间等按客户端节点排名情况如何？每个应用系

统流量的协议分布、节点分布、时间分布如何？等

●对应用系统的网络访问行为进行针对性监测，及时发现网络中的异常访问操作和攻

击行为，确保针对应用系统的网络使用和访问操作的合规性。如针对数据库管理系

统（SQL SERVER、Oracle、MySQL、SYBASE）的各种SQL语句和关键数据表名、邮

件发送及接收、WEB访问、文件传输等操作进行检测。

●追踪和审计异常网络行为，提供报警处理、报表等功能，通过联动对网络异常行为

进行阻断等进一步处理。如异常数据操作的时间、节点位置、负责人等情况的追踪

和报警，当月某应用系统的总体运行情况报告和健康状况评估报告等通过这些功能，IT管理部门能够准确把握各应用系统的底层网络状况和内部运行情况，对应用安全稳定运行可以做到心中有数，并可根据掌握的情况对应用系统的底层网络和内部结构进行优化，提高运行效率，最终达到保障应用系统的安全、稳定和高效运行的目标。