流量分析新贵-NetFlow

流量分析新贵:NetFlow

https://www.360docs.net/doc/265650938.html,/networks/ 2006年09月29日15：54 来源：厂商稿件作者:东软:姚伟栋字号：小 | 大

【文章摘要】IP网络承载能力与所提供的应用业务规模向来都是相辅相成的，一方面IP网络的建设将给新应用技术的推广提供有效的实施平台，另一方面应用业务也会随着自身系统发展需要而对现有IP网络提出更高的资源需求，从而推动IP网络基础建设进入新的建设周期。

IP网络承载能力与所提供的应用业务规模向来都是相辅相成的，一方面IP网络的建设将给新应用技术的推广提供有效的实施平台，另一方面应用业务也会随着自身系统发展需要而对现有IP网络提出更高的资源需求，从而推动IP网络基础建设进入新的建设周期。在这种类似于“鸡生蛋、蛋生鸡”的逻辑悖论中，另外一个问题却是毋庸置疑的凸现了出来，那就是如何把应用业务与其所占用的IP资源(如带宽)清晰、准确的对应起来，如何保证有限的IP资源能够被合理应用的到主要利润业务中。

以NetFlow为代表的Flow技术正是为响应这种挑战而出现的新型解决途径。

什么是Flow

在最开始，Flow是网络设备厂商为了在网元设备内部提高路由转发速度而引入的一个技术概念，其本意是将高CPU消耗的路由表软件查询匹配作业部分转移到硬件实现的快速转发模块上(如Cisco的CEF模式)。在这种功能模式中，数据包将通过几个给定的特征定义归并到特定的集合中，这个集合就是Flow。每个Flow的第一个数据包除了促使该Flow记录的产生以外，还要驱动网元三层模块完成路由查询并将查询结果同期放入Flow记录中，而该Flow集合的后续数据包将直接在Flow的已有记录中获得路由转发信息，从而提高了网元设备的路由转发效率。

作为网元设备内部路由机制优化的副产物，Flow记录能够提供传统SNMP MIB无法比拟的丰富信息，因此Flow数据被广泛用于高端网络流量测量技术的支撑，以提供网络监控、流量图式分析、应用业务定位、网络规划、快速排错、安全分析(如DDOS)、域间记帐等数据挖掘功能。

相对于会话(“Session”)而言，“Flow”具备更细致的标识特征，在传统的TCP/IP五元组的基础上增加了一些新的域值，至少包括以下几个字段：

-源IP地址

-目的IP地址

-源端口

-目的端口

-IP层协议类型

-ToS服务类型

-输入物理端口

以上七个字段可以唯一地确定任意一个数据包属于哪个特定的Flow，换而言之任何一个字段出现了差异都意味着一个新Flow的发生。

在实际软件实现中，Flow所包含的字段定义及数量将会随着厂商甚至协议版本的不同而出现变化(如包含AS信息、Next_Hop等)，业界因此也相应地出现了各种不同的实现版本。而在这些不同的Flow版本中，NetFlow得益于Cisco公司在网络设备行业内无与伦比的领袖地位而获得最大范围的认同。

有多少种Flow

Flow的版本差异通常直观的表现在其输出报文格式上。目前业内常见的主流Flow格式大致有以下几种：

随着IETF对IPFIX的标准化，网络流量分析的数据采集协议也将也将逐步转移到NetFlow V9/IPFIX 标准上来。因此，下文将以NetFlow V9为例介绍Flow的详细内容。

NetFlow的运行机制

NetFlow的运行可分解为以下几个关键功能单元，包括：

3.1 Cache缓存空间

NetFlow Cache是所有活跃Flow统计信息的存储位置，所有具备相同关键字段的数据包都将在该Cache 相应表项中进行数据累计，如数据包数量、字节数等。除了被称之为Main Cache的上述缓存之外，部分支持Aggregation机制的网元设备还需提供相应的聚合缓存(Aggregation Cache)，最终的输出报文将包含该聚合缓存的汇总结果，从而能够有效降低NetFlow流量对网络带宽的占用；

3.2 可配置的Cache维护机制

一般情况下Cache空间的占用是与所监控的Flow数量呈正比的，但是当链路中充斥着大量的短连接Session时，Flow表项数量可能会因为没有得到及时释放而过多占用有限的Cache空间。为此，NetFlow 提供了一种非常复杂、高效的算法以快速定位一个数据包在该Cache中的位置或判断是否应新建表项，并且通过管理员给定的阀值进行各类表项的超时导出，从而及时释放老的表项以容纳新建Flow信息。

Cache表项Timed-Out操作可由以下几项因素进行驱动：

-该表项已经空闲了指定的时间长度(Inactive Timer，缺省15 seconds)；

-长连接会话强制超时(Active Timer，缺省30 minutes)；

-缓存空间耗尽所触发的强制超时；

-TCP FIN/RST触发的超时。

3.3 规范的导出报文格式

NetFlow采用了主动式数据推送机制，当Cache表项超时后，网元设备中的NetFlow Agent将通过规范的报文格式将超时表项数据送往指定主机(须事前指定IP地址、协议和端口)。虽然NetFlow在设计中可以接受任何传输层协议作为承载协议，但在一般实现中通常采用UDP作为缺省选择，我们平时所看到的各种Flow协议版本主要描述了这种报文导出格式的定义。

NetFlow的封装格式分为1个Header和若干个Record：

-Header：主要包括版本号、序列号、后续Record数量、系统启动时间等；

-Record：提供对每个Flow的详细数据记录。

下文以NetFlow V9为例，输出报文Header与Record整体结构如下所示：

3.4 NetFlow V9的特色

相对于较老的V5而言，NetFlow V9作为最新版本，主要体现出了以下两个技术特色：

-Aggregation功能：在高端路由器上启用NetFlow时有可能产生较大的数据输出。为有效降低NetFlow 报文对资源的占用，其中一个有效的方法就是利用Aggregation的聚合作用(另外一个方法就是提高Sampling 抽样率)。NetFlow V9提供了11种Aggregation方案，分别基于AS、Destination_Prefix、Prefix、Protocol_Port、Source Prefix、AS_ToS、Destination_Prefix_T oS 、Prefix_T oS、Protocol_Port_T oS、Source Prefix_T oS、Prefix_Port 进行数据汇总，能够有效降低NetFlow数据对传输带宽和处理主机的资源占用，提高了NetFlow在高端网络中的适用性；

-T emplate功能：NetFlow V9是首先对T emplate进行支持的版本，通过T emplate功能NetFlow V9获得了前所未有的扩展灵活性。Template描述了NetFlow输出记录的各字段定义，无需改变现有规范即可支持

将来可能出现的增强功能，从而无需重新编译、修改流量采集分析系统即可快速支持新增功能特征。

NetFlow与SNMP的不同

无论是MIB还是后来的RMON，SNMP所针对的信息一般都围绕网元设备展开，如Interface吞吐率、接收到的坏帧数量、CPU/RAM利用率等。而NetFlow正如同它的名字一样，其所关注的重点在于网络链路上所传输流量的特征信息，并且这些信息能够更直接的反映出当前网络上访问行为分布以及合同客户此时所得到的真实的服务质量水平。

NetFlow与SNMP的主要差异可以从以下几点得到说明：

-NetFlow关注流量特征，SNMP关注设备状态；

-NetFlow直接围绕Session会话连接进行数据提取，而SNMP则以物理接口为基本单位进行数据统计；

-从Agent角度来看，NetFlow采用数据主动推送技术，SNMP则主要采取被动轮询机制；

-NetFlow数据信息更为丰富、描述能力更强；

-NetFlow支持抽样操作，具备良好的扩展弹性，能够更好适应高端网络实际需求；

-SNMP功能通常随着设备销售而免费提供，而在很多现有设备中，NetFlow作为增值功能则需要额外购买许可License或特定软件包。

因此，在网络流量测量及分析系统中，如异常流量分析系统，NetFlow已经成为一个重要的数据提取方式，为高端网络骨干链路的实时流量采集分析提供高效、准确的数据摘要提取服务，是网络流量分析阵营不可或缺的基础技术。

NetFlow在流量分析技术中的应用

正是由于Flow技术突出的技术优势，在东软公司NT ars异常流量分析与响应系统中，NetFlow被作为基本的数据采集手段而获得支持，为NTars在电信运行商和其他高端行业用户流量分析市场的应用提供了重要的技术保障。

NT ars异常流量分析与响应系统是综合了流量采集、行为分析、实时监控、蠕虫监测、垃圾邮件监测、网络管理、设备管理、安全响应、应用审计、内容检测、路由分析等功能的复合体，覆盖了安全检测系统(如IDS)、安全防护系统(如防火墙)、网络管理系统(如通用网管系统)多个传统职能范围，是面向高端骨干网络提供跨越安全体系与网管体系的综合运行维护系统。

NetFlow、Sflow、Cflowd、NetStream是NT ars系统最基本的数据采集手段。得益于Flow技术的强大支持，NT ars充分体现了其在高端网络骨干链路中实时流量分析的适用性：

-Flow提供了NT ars与主流网络设备之间数据采集接口的规范性。无论是哪种Flow格式，都定义了数据交互的标准格式，NT ars系统能够通过这些格式规范支持业内几乎所有的主流网络设备，如Cisco、Foundry、

Extreme、Juniper、华为等，保证了对采集目标网元设备良好的兼容性；

-Flow使高速链路实时流量检测成为可能。相对于SNMP或者SPAN镜像方式，Flow允许对目标流量进行适当的抽样采集和汇总，如基于帧抽样、基于时间抽样、伪随机方式抽样以及Aggregation方案等，能够将原有高速流量进行几乎不失真的缩小处理，从而能够在不影响准确率的前提下有效降低对分析系统处理能力的要求，为NT ars在高端网络10G以上链路的部署提供了可能；

-Flow可有效支持监测目标网络的平滑扩展。Flow通过T emplate实现了对未来功能扩展的支持，允许分析系统在无需重编译的情况下快捷的实现功能扩充，而且Flow可变的抽样率和不失真的采样操作，能够满足监测目标网络包括容量、功能在内的多方面升级扩展需求；

-Flow提供实现针对性应用内容检测的可行性。NT ars在进行流量统计分析的同时，丝毫没有忽视对应用层内容安全的保护。SPAN是NT ars进行应用层内容检测的主要数据来源。由于SPAN是与物理/逻辑端口相关联的，而Flow能够告诉NT ars当前可疑会话的出入端口信息，从而为NT ars调整SPAN策略提供了信息支持；

-Flow具备更详尽的会话描述能力。在NetFlow V9中，缺省提供了多达89种字段类型，并允许通过Template和Aggregation机制进行任意组合、汇聚，能够详细描述流量分布的各类特征，为NT ars快速、准确的完成流量分析提供了坚实的数据基础。

虽然NT ars系统可通过Flow、SPAN/TAP/分光、SNMP多种方式实现数据信息采集，但正是由于Flow技术的上述特点才使得NTars系统真正具备了高端网络骨干链路实时监测能力，尤其是在未进行应用层内容检测的情况下，Flow几乎可以提供Ntars所需的全部检测流量特征信息，已经成为异常流量分析系统运行最基本的技术要求。

NETFLOW配置及软件

一、测试环境介绍 1、硬件1台6509交换机，1台3745路由器 IOS (tm) c6sup2_rp Software (c6sup2_rp-JS-M), Version 12.1(22)E6, RELEASE SOFTWARE (fc1) System image file is "disk0:c6sup22-js-mz.121-22.E6.bin" IOS (tm) 3700 Software (C3745-IS-M), Version 12.2(13)T5, RELEASE SOFTWARE (fc1) System image file is "flash:c3745-is-mz.122-13.T5.bin" 2、软件solarwinds NetFlow Traffic Analysis 3.0、 ManageEngine_NetFlowAnalyzer_7002、 二、硬件配置 1、NETFLOW配置文档。 2、6509配置 mls netflow mls flow ip destination-source mls nde sender version 5 (我们的设备只有版本5) ip flow-export source Loopback0 （如果有L0接口用其他接口也可以） ip flow-export version 5 ip flow-export destination 192.168.4.165 2055 （2055是SOLAR公司的NETFLOW端口，9996端口是manangeengine公司的端口。两个端口号都是UDP 协议） 到此配置结束通过下面命令显示配置结果 CAT6509_1#show mls nde Netflow Data Export enabled Exporting flows to 192.168.4.165 (2055) Exporting flows from 218.30.64.33 (57965) Version: 5 Include Filter not configured Exclude Filter not configured Total Netflow Data Export Packets are: 612381 packets, 0 no packets, 16537978 records Total Netflow Data Export Send Errors: IPWRITE_NO_FIB = 0

英国电商TOP10流量分析

外贸营销如何优化推广——英国电商TOP10流量分析越来越多做外贸的朋友开始布局外贸电商。布局外贸电商，尤其是手机配件，汽车配件，服装饰品等配件类的外贸出口产品，很多外贸朋友会选择在亚马逊，ebay,速卖通等外贸平台销售。 如何进行外贸营销优化推广，我们首先要了解我们进驻的外贸平台是否的适合我们的产品。我们通过平台获得流量，同时更要了解外贸平台上的流量是从哪些网络渠道和市场区域获取的？这些流量是否和你的目标市场、目标客户相吻合？我们通过以下数据做个大体的了解。 外贸营销如何优化优化推广——第一步，了解外贸平台亚马逊/阿里巴巴/速卖通/Ebay/环球资源等平台的流量是哪里获得。 下面我们就来了解一下英国电商TOP10的流量是从哪里获得的。

一．英国Shopping类网站排名（前10位） https://www.360docs.net/doc/265650938.html,(购物) https://www.360docs.net/doc/265650938.html,(百货) https://www.360docs.net/doc/265650938.html,（分类信息网站) https://www.360docs.net/doc/265650938.html,（百货) https://www.360docs.net/doc/265650938.html,（服饰） https://www.360docs.net/doc/265650938.html,（百货） https://www.360docs.net/doc/265650938.html,（百货） https://www.360docs.net/doc/265650938.html,（服饰） https://www.360docs.net/doc/265650938.html,（购物） https://www.360docs.net/doc/265650938.html,（家居） 二．英国Shopping类网站流量 https://www.360docs.net/doc/265650938.html,（电商平台） eBay是全球最大的国际贸易电子商务平台，Ebay英国（ebay.de）系Ebay在英国设立的分站点。 ebay英国站点新政策↓无论采用哪一种刊登方式，英国站点都将对卖家按照统一的标准收取费用，而不再根据物品刊登方式而有所区分。 除了时尚、汽车、家居园艺和宠物用品以外，橱窗展示大图更新后的收费标准为2.5英镑，在拍卖中添加一口价的收费为0.5英镑，添加副标题的收费为1英镑，页面魔法师的收费为0.3英镑。

法国电商TOP10流量分析

外贸营销如何优化推广——法国电商T op10流量分析越来越多做外贸的朋友开始布局外贸电商。布局外贸电商，尤其是手机配件，汽车配件，服装饰品等配件类的外贸出口产品，很多外贸朋友会选择在亚马逊，ebay,速卖通等外贸平台销售。 如何进行外贸营销优化推广，我们首先要了解我们进驻的外贸平台是否的适合我们的产品。我们通过平台获得流量，同时更要了解外贸平台上的流量是从哪些网络渠道和市场区域获取的？这些流量是否和你的目标市场、目标客户相吻合？我们通过以下数据做个大体的了解。 外贸营销如何优化优化推广——第一步，了解外贸平台亚马逊/阿里巴巴/速卖通/Ebay/环球资源等平台的流量是哪里获得。 下面我们就来了解一下法国电商T op10流量是从哪里获得的。

一．法国shopping类网站排名（前10） 1. amazon.fr 2. ebay.fr 3. https://www.360docs.net/doc/265650938.html, 4. https://www.360docs.net/doc/265650938.html, 5. laredoute.fr 6. https://www.360docs.net/doc/265650938.html, 7. https://www.360docs.net/doc/265650938.html, 8. https://www.360docs.net/doc/265650938.html, 9. rueducommerce.fr 10. https://www.360docs.net/doc/265650938.html, 二．法国Shopping类网站流量 1.Amazon.fr（电商平台） Amazon.fr系法国亚马逊，Amazon.fr提供图书、音乐、DVD、电子产品、软件和其它产品。 （1）总流量 截止到2014年7月，Similarweb数据显示，amazon.fr在购物类网站百货类排名第8，用户访问量265万/天，平均停留时间为6:15，平均停留页数为7.17，跳出率为39.61%

netflow安装过程

Netflow安装步骤 一、安装linux 操作系统，安装是要把apche(www服务器)组件和development tools(编译安装工具)选上 二、部署flow-statcgi Flow-statcgi是一个基于flow-tools的browse/server结构（cgi）的NetFlow数据分析工具。 2.1cisco设备的设置 cisco设备的NetFlow支持,首先要培植cisco设备，使之产生NetFlow数据，输出到服务器的2055端口上。 2.2安装flow-tools 0.56 使用flow-tools来接收NetFlow数据，并保存成文件。 为了顺利编译flow-statcgi，要将flow-tools的源文件解压缩到/root下： 1．将flow-tools-0.56.tar.gz复制到服务器的/root目录下。 2．cd /root ; tar zxvf flow-tools-0.56.tar.gz ; cd flow-tools-0.56(这是三个命令用一行执行) 3．./configure 4．make 5．make install 2.3安装apache server 使用apache server来做http服务器。 由于各apache server的配置不一样，在flow-statcgi中假设cgi-bin目录为/var/www/cgi-bin，www目录为/var/www/html。如果有变动，需要修改flow-statcgi.c中的“DEBUGFILENAME”、make_flow_cgi.sh中的“/var/www/cgi-bin/” 三、编译和安装flow-statcgi 3.1预处理 1．将flow-statcgi.c复制到/root/flow-tool-0.56/src/，将flow-statcgi.temple.html复制到/var/www/cgi-bin/（cgi所在目录），将flow-statcgi.log.html复制到 /var/www/html/（html所在目录），注意要在这里把flow-statcgi.log.html的属性 加个可写属性。 2．修改flow-statcgi.c中的“DEBUGFILENAME”（要改成html文件所在的位置）、“DataDir”（要改成flow-tool数据所在目录） 3．修改flow-statcgi.c中的“isip”部分，同时修改“ISIPCOUNT ”、“isipdesc”，“isip”。 详细说明见《Flow-statcgi使用说明》中的“预定义条件”。 3.2编译、安装 把make_flow_cgi.sh这个文件拷贝到/root目录下，修改make_flow_cgi.sh中的“/var/www/cgi-bin”为cgi所在目录。执行一下命令进行编译、安装“sh make_flow_cgi.sh flow-statcgi”，这样会在cgi目录下面生成一个flow-statcgi的cgi文件。其中编译之后会出现警告信息，可以忽略不管。 四、运行flow-tools 1．把startflowreceive.sh和starflowcapture.sh这两个shell命令文件拷到/root目录下2．执行“sh startflowreceive.sh”命令 3．执行“sh startflowcapture.sh”命令

异常流量产品分析

支持自定义流量异常阈值 支持基于自适应基线 P2P检测与控制 DOS/DDOS检测蠕虫检测其他攻击检测业务流量统计服务器流量统计传输层流量统计应用层流量统计IP流量统计告警类型分布攻击源统计串联旁路流级数据（NetFlow/sFLow） 流量镜像（SPAN） 主要功能 响应方式 部署方式 采集方式网络异常检测流量统计流量分析的目的 协议识别 带宽管理流量清洗主动响应被动响应告警统计

H3C AFC异常流量清洗产品 及时发现网络中各种DDOS威胁并实现对攻击流量的快速过滤√ 对应用层协议支持很少 √ √ × √ 支持对各种网络层和应用层的DOS/DDOS攻击的检测 × × √ √ √ √ √ √ × √ √ 流量的清洗与回注 √ √ √

天融信 TopFlow应用流量管理系统 专业的应用流量分析及控制系统 √ 支持的协议很多，偏重P2P类的协议√ √ 较弱，UDP Flood类垃圾包攻击检测× × √ √ √ √ √ √ √ ×

联想网域异常流量管理系统 网络流量可视，可控。 √ √ √ P2P应用的识别与阻断、带宽限制、连接数限制 √ 支持对各种网络层和应用层的DOS/DDOS攻击的检测√ × √ √ √ √ √ √ 黑洞路由导入、流量牵引及净化。 支持与异常流量过滤设备联动 √ 实时的邮件SNMP Trap及Syslog报警和日志 √ √ （集中部署/分布式部署） √

绿盟网络流量分析系统 解决与网络和业务规划相关的问题；解决与网络安全运营相关的问题。√ 支持默认端口的协议 √ √ √ P2P应用的识别 支持对各种网络层和应用层的DOS/DDOS攻击的检测 √ √ × √ √ √ √ √ √ × × √ 支持与异常流量过滤设备联动 √ 实时的邮件SNMP Trap及Syslog报警和日志 √ √ （集中部署/分布式部署） √

使用nfsen+sflow+netflow分析网络流量

使用nfsen+sflow+netflow分析网络流量 一.前言 因为发现有一台hp交换器的负载特别高，但要找出那个IP 造成的，单以tcpdump 分析起来会很难发现问题，因此想要利用hp 交换机具有的sflow功能并搭配nfsen 来分析sflow 结果，如此可以帮助我们分析网络中的流量组成，抓取实施带宽使用情况，帮我找出"hog"。最终也让我达到目的，感谢open source 相关组织及多位不计付出的IT 前辈。 需求系统及软件 OS: CentOS 6.8 X64 / CentOS 7.6 X64 nginx-1.9.15.tar.gz php-7.1.15.tar.bz2 nfdump-1.6.13.tar.gz nfsen-1.3.7.tar.gz 二.下载资源 https://www.360docs.net/doc/265650938.html,/download https://www.360docs.net/doc/265650938.html,/download/nginx-1.9.15.tar.gz https://www.360docs.net/doc/265650938.html,/nfsen/nfsen-1.3.7.tar.gz https://www.360docs.net/doc/265650938.html,/project/nfdump [注] https://www.360docs.net/doc/265650938.html,/nfsen预设下载的版本是 1.3.6p1 ，但这个版本我在centos 6.8 及7.3 都发生相同的错误，也许是运气不佳，但使用nfsen-1.3.7.tar.gz 到是没什么问题 三.ngnix 及php 的安装 相关rpm 安装 yum -y install gcc-c++ pcre pcre-devel zlib zlib-devel openssl openssl-devel yum -y install libxml2 install libxml2-devel openssl openssl-devel \ curl curl-devel libjpeg libjpeg-devel libjpeg libjpeg-devel libpng \ libpng-devel freetype freetype-devel pcre pcre-devel libxslt \ libxslt-devel bzip2 bzip2-devel libxslt libxslt-devel [ngnix 安装] useradd www tar -xvf nginx-1.9.15.tar.gz cd nginx-1.9.15 /configure --prefix=/ap/nginx ＃＃你可以不加--prefix这这参数，这样会安装在/usr/loca/ngnix 目录下 make && make install [ ngnix.conf 设定档修改] (1)user www www; ##必须加上group 否则会有nginx: [emerg] getgrnam("www") failed in ... 错误 (2)location / { root html; index index.php index.html index.htm;

基于NetFlow的网络流量采集技术和应用

第31卷　第23期 2009年12月武　汉　理　工　大　学　学　报JOURNA L OF WUHAN UNIVERSIT Y OF TECHN OLOG Y Vol.31　No.23　Dec.2009DOI :10.3963/j.issn.167124431.2009.23.037 基于N etFlow 的网络流量采集技术和应用 孟晓蓓 (武汉大学计算机中心,武汉430072) 摘　要:　针对计算机网络状况监控领域的实际需要,提出了基于Net Flow 的流量采集技术。相比其它的流量采集工具,Net Flow 的流量采集技术具有配置方便,费用低,占用资源小的优点。分析了Net Flow 交换技术采集网络流量信息的实现原理。并从计算机网络的网络层和传输层2个方面,讨论了Net Flow 网络流量采集技术在网络信息安全方面的相关应用。 关键词:　流量采集;　Net Flow ;　网络攻击 中图分类号:　TP 393.06文献标识码:　A 文章编号:167124431(2009)2320155204 N et work Flux Collection T echnique B ase on N etFlow and Its Application M EN G Xiao 2bei (Computer Center ,Wuhan University ,Wuhan 430072,China ) Abstract :　This paper proposes the network flux collection technique based on net flow according to practical requirements in the field of monitoring the status of computer https://www.360docs.net/doc/265650938.html,pared to other flux collection tools ,Net Flow has advantages of con 2venient configuration ,low cost and small occupied resources.This paper analyses the principle of realization of Net Flow ex 2change technique collecting network flux information.Then both from the network layer and transport layer ,the paper discuss 2es some relevant applications of Net Flow network flux collection technique using in network information security areas. K ey w ords :　flux collection ;　Net Flow ;　network attack 收稿日期:2009207209. 作者简介:孟晓蓓(19572),女,高级实验师.E 2mail :meng1025@https://www.360docs.net/doc/265650938.html, 随着Internet 和Intranet 的发展,网络用户、接入设备日益增长,对计算机网络的安全运行产生了压力。因此,计算机网络状况的实时监控的工作,显得十分必要。计算机网络状况的实时监控的一个重要环节,就是网络上的数据流量进行统计和分析。由于各种各样的应用对网络带宽的需求越来越高,传统的网络流量统计和数据采集方式开销大、对数据传输延时的影响大,已经不能满足现在的需求,因此,需要一种新的流量统计技术来适应现在的网络环境。Net Flow 技术正是这样的能适应新环境的流量采集方法。 1　网络流量采集的特点和方法 理想的数据采集方式应该具备以下一些特点[1]: 1)不影响数据流转发的速度　在整个数据流的采集过程中,不能有明显影响数据流转发速度的状况发生。如果在数据采集的过程中,数据流转发的速度明显下降,不能真实地反映网络流量状况,这违背数据采集的根本目的。 2)占用资源小　对数据流进行采集的过程中,可能需要在路由器(交换机)中进行流量统计,并且储存所

某银行安全审计综合管理平台建设方案详细

某银行 安全审计综合管理平台建设方案 V1.2二○○九年三月 目录 1背景 (2) 2安全审计管理现状 (4) 2.1安全审计基本概念 (4) 2.2总行金融信息管理中心安全审计管理现状 (5) 2.2.1日志审计 (5) 2.2.2数据库和网络审计 (7) 2.3我行安全审计管理办法制定现状 (7) 2.4安全审计产品及应用现状 (8) 3安全审计必要性 (8) 4安全审计综合管理平台建设目标 (8) 5安全审计综合管理平台需求 (9) 5.1日志审计系统需求 (9) 5.1.1系统功能需求 (9) 5.1.2 系统性能需求 (12) 5.1.3 系统安全需求 (12) 5.1.4 系统接口需求 (13) 5.2数据库和网络审计系统需求 (13) 5.2.1审计功能需求 (13) 5.2.2报表功能需求 (15) 5.2.3审计对象及兼容性支持 (15) 5.2.4系统性能 (15) 5.2.5审计完整性 (15)

6安全审计综合管理平台建设方案 (16) 6.1日志审计系统建设方案 (16) 6.1.1 日志管理建议 (16) 6.1.2 日志审计系统整体架构 (18) 6.1.3 日志采集实现方式 (19) 6.1.4 日志标准化实现方式 (20) 6.1.5 日志存储实现方式 (22) 6.1.6 日志关联分析 (22) 6.1.7 安全事件报警 (23) 6.1.8 日志报表 (23) 6.1.9系统管理 (24) 6.1.10 系统接口规 (24) 6.2数据库和网络审计系统建设方案 (25) 6.2.1数据库和网络行为综合审计 (25) 6.2.2审计策略 (26) 6.2.3审计容 (27) 6.2.4告警与响应管理 (29) 6.2.5报表管理 (29) 7系统部署方案 (29) 7.1安全审计综合管理平台系统部署方案 (29) 7.2系统部署环境要求 (30) 7.2.1日志审计系统 (30) 7.2.2数据库和网络审计系统 (31) 7.3系统实施建议 (31) 7.4二次开发 (32) 1背景 近年来，XX银行信息化建设得到快速发展，央行履行金融调控、金融稳定、

流量宝产品分析v1

电信流量宝产品分析以及我司流量 红包发展建议 1流量宝产品简介 流量宝是以流量币为核心的互联网流量经营平台，是由中国电信综合开发运营中心所开发，一点接入，三网覆盖，采用APP作为用户入口，到目前为止，流量宝注册用户已经超过千万，并共享2亿的天翼账号用户。目前支持部分省份的电信、移动和联通用户。 2014年11月21日广东互联网大会期间，正式发布“流量宝3.0”，主打流量券、流量红包两大核心功能。流量宝3.0具有流量可赚取、可转赠、可兑换、跨三网、不清零等特点。通过和其他两大基础运营商合作，流量宝赚取的免费流量能够通兑三网，还可以兑换部分海外流量卡；而且使用不完的流量可以储存，永不过期。 中国电信综合平台开发运营中心是2013年8月中国电信集团设立，并与中国电信全资子公司——世纪龙信息网络有限责任公司（简称“21CN”）合一运作。 流量宝以流量币作为核心，实现流量的流通，可积累流量币兑换运营商的流量充值卡。 流量币相当于一种虚拟货币，你可以通过装应用、玩竞猜、玩拼图游戏、签到等等的方式赚取流量币，流量币永久有效，可以赠送、可以支付、可以兑换成三网手机流量或者WIFI上网时长及其他虚拟商品。 2流量宝功能分解 以流量币为核心，以牛为单位（1牛对应1M流量），可以通过多种方式获取流量币，然后可以兑换运营商的流量充值卡。 流量宝APP提供四个模块： 1）流量宝：提供赚流量、兑流量、赠流量、求流量、查流量、买流量、流量券、海外卡模块。

2）免费WIFI：可查询周边WIFI热点，可使用流量币兑换电信和移动的WIFI上网时长，1牛可兑换10分钟。 3）发现：流量在哪（赚流量）、流量红包（赠流量）、游戏（疯狂拼图和猜一猜）、扫一扫、网址导航。 4）自我管理：我的流量券、我的消息、我的账单、签到、邀请、帮助、设置。

关于ip route-cache flow 和netflow

利用ip route-cache flow这个接口配置命令，可以为IP路由启用NetFlow交换，为了禁用NetFlow交换，可以利用该命令的“no”格式进行。 ip route-cache flow no ip route-cache flow 句法描述 该命令没有变量或关键词 默认情况 禁用 命令模式 接口配置模式 操作要点 该命令第一次出现时是在Cisco IOS 11.1版中。 NetFlow交换是一个高性能的网络层交换路径。作为其交换功能的一部分，它还可以获取丰富的统计信息。这些统计信息包括：用户、协议、端口和服务类型等数据，这些信息用途很广，可以用来进行网络分析和规划，还可以进行记费、结帐等。为了输出NetFlow数据，可以利用ip flow-export这个全局配置命令进行。 对于所有的接口类型，IP数据或IP封装的数据都支持NetFlow交换，但ATM LANE封装不支持NetFlow交换。当在接口上使用多个输入访问控制列表时，ISL/VLAN、ATM、帧中继封装不支持NetFlow交换。 网络层上的常规交换中，每个进入的数据包都要单独处理，利用一系列函数去检查访问列表、获取记帐数据、交换该数据包。而在NetFlow交换中，如果已经标识了信息流，而且对信息流中第一个数据包已进行了访问列表处理，那么后面所有的数据包都作为信息流的一部分，在面向连接的基础上进行处理，这样就绕过了访问列表的检查，进而依次对数据包进行交换和获取统计信息。 NetFlow 被标识为源头和目的地之间的一个单向的数据包流，而源头和目的地都定义了网络层的IP地址和传输层的端口号。特别地，一个信息流（flow）被标识成下列字段的组合：·源头IP地址 ·目的地IP地址

Netflow网络流量分析手册

Netflow网络流量 分析手册 作者：聂晓亮（毛蛋哥）

目录 一、作者简介 (4) 二、为什么会有这本书 (5) 三、流量分析原理 (6) (一)原始流量分析方式 (6) (二)Netflow分析方式 (6) 四、流量采样 (8) (一)在网络设备上开启Netflow功能 (8) (二)网络设备不支持Netflow (9) 1.部署方式 (9) 2.安装Fprobe (11) 3.启动Fprobe (11) 4.镜像流量至Fprobe服务器 (12) 5.检测是否收到Netflow数据 (12) 五、部署服务器 (13) (一)硬件需求 (13) (二)安装FreeBSD (13) (三)安装Nfsen (14) 1.安装apache22 (14) 2.安装php5 (14) 3.安装nfsen (15) (四)安装PortTracker (15)

(五)访问Nfsen (16) 六、抓贼攻略 (18) (一)了解网络运行状况 (18) (二)什么协议吞了带宽 (22) (三)抓出罪魁祸首 (25) 七、感谢 (30)

一、作者简介 本书作者聂晓亮，网名毛蛋哥。2004 年毕业于北京联合大学信息工程学院，热 爱网络相关知识及摄影，机缘巧合参加了 Cisco认证培训，并获得了一些成绩。本 书写于2008年10月，作者目前状态工 作较为舒适，故有空闲时间完成此书。 聂晓亮（毛蛋哥）拥有自己的Blog及Wiki空间，其中记录了作者的工作、生活、学习。作者希望通过此书以及Blog、Wiki同全世界的网络爱好者分享其知识与快乐。 聂晓亮（毛蛋哥）的Blog：https://www.360docs.net/doc/265650938.html, 聂晓亮（毛蛋哥）的Wiki：https://www.360docs.net/doc/265650938.html, 欢迎交流：pharaohnie@https://www.360docs.net/doc/265650938.html,

网站流量来源和分析

1.网站流量来源和分析 现在开始入手分析流量从哪里来 淘宝店铺一般比较合理的流量比例是：自然流量35-50%丶直接点击流量15-20%丶直通车流量35-40%丶淘宝客5-10%，其它少到乎略不计;这里没有包含钻展丶硬广丶活动流量，因为这些使用的不多，也没有固定的频率，暂不统计(大卖家会占到一定的比例)。目前比较靠谱的流量来源有活动流量丶搜索流量丶直接点击流量丶硬广或钻展流量丶直通车流量丶淘宝客流量。 首先要从以下五个大分类去了解： 自然流量：：所有宝贝，占搜索的70-80%【相关性丶上下架时间(最高权重)丶DSR评分】人气排名【相关性丶转化率(收藏丶成交量丶回头客等（最高权重)丶DSR评分】;选择适合自身的关键字去竞争排名; 直接点击流量：做好店铺收藏，客服可建议买家进行收藏;会员管理是重点; 直通车：把握一个关键点，你给淘宝交的广告费越多，你就越会排在前面(这是出价与点击率的关系，还有如果你直通车每天给

淘宝上交10000，与每天上交1000的比，相同出价情况下，你会排在前面，为什么呢因为直通车系统会给你高的质量得分)，除了出价外还与相关性丶点击率丶时间积累性有关。具体策略与方法有很多高手的文章，看看就会了! 淘宝客：引导淘宝客推广店铺主推商品(主推商品高拥金)，寻大淘客合作(多去联盟，或可以和淘宝达人以淘宝客的形式进行合作)，报淘宝客活动(帮派或类目群经常会有淘宝客活动报名消息)活动流量：产品有竞争力(小二不傻)丶活动多报(尽量第一时间报名)丶帮派多去丶和小二常联系 钻展或硬广：第一位置(有大量流量的位置首焦丶商焦丶首页一屏BANNER丶首页二屏BANNER丶每日焦点右侧BANNER丶首页底通丶淘宝LIST搜索右BANNER丶商城一通丶二通丶促销频道焦点与通栏丶聊天窗口BANNER);第二点击率(第一眼有吸引力丶第二眼知道是卖什么的丶第三眼促销信息，这三个信息让买家在3秒内接收到)，不仅仅是卖货，建议考虑到品牌(品牌标识与广告位置尽量不要有大的变化，这样利于形成品牌)

商业银行综合业务系统解决方案

系统基本功能 商业银行综合业务系统提供从储蓄业务到对公业务的一揽子银行业务解决方案，采用崭新的充满创意的设计思想理念，有机地整合了30多个业务/管理模块，涵盖了银行业的各个方面。同时，系统也提供网上银行和电话银行等拓展业务领域的各种应用。 整个系统以总帐、客户管理、额度控制为核心模块，由核心模块向基本业务模块提供接口（元操作调用），而对外挂业务组件，提供批量和实时通讯调用接口，以保证大会计的实现。 应用系统结构图 整个核心帐务系统包括核心模块及基本业务 在系统中实现的基本业务模块包括： 结算业务 对公存款业务 内部帐务处理 贷款业务 个人存款业务 凭证管理 现金管理 个人借记卡业务 系统内资金清算 外汇业务 系统管理

系统业务特点 全行业务数据集中式处理，实时交易库与查询交易库相分离； 稳定的核心业务系统，支持多元化、多币种业务； 从以帐户为中心到以客户为中心，实现经营策略的转变； 全行统一的授权中心，所有信用评定及额度管理在总行统一进行； 统一了全行的帐务核算体系，取消了所有过渡性结算科目； 营业机构和柜员服务功能综合化； 支持所有业务的7*24小时服务； 面向管理和决策，通过对系统数据仓库的建立和挖掘，形成MIS，并结合外部数据，应用先进的分析工具，建立智能型、学习型的DSS，实现银行业务管理科学化、动态化； 方便灵活的、界面统一的银行服务及接入门户，实现金融服务个性化及网络业务新型化。 系统技术特点 对每个业务品种采用了面向对象的设计思路，使每个业务品种更具模块化、插件化和私密性； 所有业务品种原子化设计，即由各元操作组成。整个产品提供了约500种元操作，使业务品种的开发变得更为方便； 各业务程序之间的关联性大大减少，系统的性能得到进一步提高； 日终批量采用并行处理方式，使整个日终批处理效率大大提高，节约了一半以上的时间； 支持各种主流的开放式平台，如IBM AIX、HP Unix、SUN Unix、TANDEM NOSTOP Unix等； 支持各种主流的数据库产品，如INFORMIX、ORACLE等。 华腾产品及解决方案 消息交换平台TOPLink； 业务处理平台 BAL； 终端界面开发工具TOPSmartTeller等。 系统应用成效 石家庄市商业银行综合业务系统工程。 整个系统管理百万的个人帐户和近六万的企业帐户信息，日均交易量达到50000笔以上，柜台交易响应时间控制在2秒内。数据备份与日终处理控制在30分钟内完成，批量结息约45分钟，年终决算60-90分钟内完成

流量分析新贵-NetFlow

流量分析新贵:NetFlow https://www.360docs.net/doc/265650938.html,/networks/ 2006年09月29日15：54 来源：厂商稿件作者:东软:姚伟栋字号：小 | 大 【文章摘要】IP网络承载能力与所提供的应用业务规模向来都是相辅相成的，一方面IP网络的建设将给新应用技术的推广提供有效的实施平台，另一方面应用业务也会随着自身系统发展需要而对现有IP网络提出更高的资源需求，从而推动IP网络基础建设进入新的建设周期。 IP网络承载能力与所提供的应用业务规模向来都是相辅相成的，一方面IP网络的建设将给新应用技术的推广提供有效的实施平台，另一方面应用业务也会随着自身系统发展需要而对现有IP网络提出更高的资源需求，从而推动IP网络基础建设进入新的建设周期。在这种类似于“鸡生蛋、蛋生鸡”的逻辑悖论中，另外一个问题却是毋庸置疑的凸现了出来，那就是如何把应用业务与其所占用的IP资源(如带宽)清晰、准确的对应起来，如何保证有限的IP资源能够被合理应用的到主要利润业务中。 以NetFlow为代表的Flow技术正是为响应这种挑战而出现的新型解决途径。 什么是Flow 在最开始，Flow是网络设备厂商为了在网元设备内部提高路由转发速度而引入的一个技术概念，其本意是将高CPU消耗的路由表软件查询匹配作业部分转移到硬件实现的快速转发模块上(如Cisco的CEF模式)。在这种功能模式中，数据包将通过几个给定的特征定义归并到特定的集合中，这个集合就是Flow。每个Flow的第一个数据包除了促使该Flow记录的产生以外，还要驱动网元三层模块完成路由查询并将查询结果同期放入Flow记录中，而该Flow集合的后续数据包将直接在Flow的已有记录中获得路由转发信息，从而提高了网元设备的路由转发效率。 作为网元设备内部路由机制优化的副产物，Flow记录能够提供传统SNMP MIB无法比拟的丰富信息，因此Flow数据被广泛用于高端网络流量测量技术的支撑，以提供网络监控、流量图式分析、应用业务定位、网络规划、快速排错、安全分析(如DDOS)、域间记帐等数据挖掘功能。 相对于会话(“Session”)而言，“Flow”具备更细致的标识特征，在传统的TCP/IP五元组的基础上增加了一些新的域值，至少包括以下几个字段： -源IP地址 -目的IP地址 -源端口 -目的端口 -IP层协议类型

NETFLOW技术介绍

1. 流量流向监测技术 1.1 概述 传统的网络流量监测技术的局限性 SNMP采集端口的数据主要是在网元层用来监控网络流量和设备的性能，而且SNMP采集的数据是基于端口的，无法提供端到端的准确的流量信息，因此对流向的统计手段不明确。 利用RMON探针对运营商网络进行流量和流向管理可以部分弥补SNMP的技术局限性，其业务分析和协议分析功能较强。但是，采用RMON探针建设的流量监测系统也有处理性能不足和难以在大型网络普遍部署的局限性。 提出新的流量监测技术 为克服现有网管系统对网络流量和流向分析功能的技术局限性，运营商迫切需要寻找一种功能丰富、成熟稳定的新技术，对现有管理系统中流量信息的采集和分析方式进行改造和升级。新的流量信息采集和分析技术应具备对运营商的运行网络影响小、无需对网络拓扑进行改变就能平滑升级的技术特征，既可以对网络中各个链路的带宽使用率进行统计，又可以对每条链路上不同类型业务的流量和流向进行分析和统计。 本文主要介绍应用广泛的Cisco NetFlow技术、华为Netstream技术、Sflow 、Cflowd 和IPFIX 以及支持上述流监测技术的厂家和设备情况。 1.2 相关厂家及设备

2Netflow 2.1 流原理 netflow 的信息单元是flow。flow是一个单向的带有唯一标识字节组的传输流。基本的标识为：source-IP-address, source-port, destination-IP-address, destination-port, IP-protocol, TOS, input interface ID。当路由器接收到一个没有flow入口的数据包时，一个flow的结构将被初始化以保存其状态信息如：交换的字节数、IP地址、端口、自治区域等。随后所有满足这个flow结构的数据包都将增加flow结构的字节计数和包计数，直至这个flow中止并输出。 Netflow功能是在一个路由器内独立完成，它不涉及路由器之间的任何连接设置协议，也不要求对数据包本身或其它任何网络设备进行任何外部修改。Netflow交换中要创建一个信息高速缓存，第一个数据包到来时，路由器利用标准的快速交换处理信息包，同时生成一个Netflow高速缓存，随后到来的数据包即可以依据高速缓存信息被交换，对于所有活动信息流，在Netflow高速缓存中保留相应的信息流信息。当一定时间内没有相应的数据包通过，则结束这个数据流的交换和统计，并释放高速缓存，数据输出的条件在后续部分描述。 在netflow中到期的flow被绑在UDP数据报中发出。在V5的版本中最多30个flow记录，V1中25个记录，V8中28个记录。至少每秒钟发一次flow。

渠道流量分析手册

GrowingIO 数据分析电子书系列 数据分析公司 GrowingIO 推出的系列电子书，以『数据分析』为主题，聚焦于『用户增长』，覆盖增长黑客、运营、产品经理、市场营销等人群。目前已经推出 4 本，累计下载达 5 W多人次，深受好评。

GrowingIO – 新一代用户行为数据分析产品 GrowingIO 是基于用户行为的新一代数据分析产品，吸取国内外数据分析的最佳实践，颠覆传统数据采集流程漫长、耗时耗力的弊病，创新一套秒级数据采集和分析解决方案，为用户获取全量、实时用户行为数据，并提供业内领先增长咨询服务，为产品和用户增长提供决策支持，用数据驱动企业增长。 实时统计 热图分析 漏斗分析 用户细查 留存分析 用户分群

目录 序言：如何提升渠道 ROI ？ / 1 0.用户旅程的 6 大核心接触点 / 3 1.站外渠道 / 5 2.广告创意 / 6 3.投放 URL？ / 7 4.落地页 / 9 5.辅助转化文案及 CTA / 11 6.产品转化流 / 14 7.案例分析 / 17 8.总结 / 22

如何提高渠道 ROI？ 根据 KPCB 2017年互联网报告显示，中国移动互联网用户的增长速度正在从2009年的70% 跌到2016年的10% 左右。中国互联网发展到了一个新的阶段，用户存量已经接近天花板，用户增长乏力是不争的事实。 图片来源：https://www.360docs.net/doc/265650938.html,/internet-trends 大家都知道马太效应，弱者越弱，强者越强。现在的互联网流量就是这个情况，头部流量集中在 BAT 三家企业中，剩下给中小企业的机会越来越少，流量的价格也越来越贵。下面是一段来自36氪的深度报道内容： 买流量已经成了一个玩不起的游戏。 每过一段时间，线上流量价格就上跳一个数字——无论是来自展示广告、点击付费还是分成付费广告。做海外旅行的海玩网2013年刚成立时，市面上获得一个付费用户的成本大约是230元上下；过了一年，当海玩开始投广告时，价格上涨到300块，当时，这家公司

澳大利亚电商TOP10流量分析

外贸营销如何优化推广——澳大利亚电商TOP10流量分析越来越多做外贸的朋友开始布局外贸电商。布局外贸电商，尤其是手机配件，汽车配件，服装饰品等配件类的外贸出口产品，很多外贸朋友会选择在亚马逊，ebay,速卖通等外贸平台销售。 如何进行外贸营销优化推广，我们首先要了解我们进驻的外贸平台是否的适合我们的产品。我们通过平台获得流量，同时更要了解外贸平台上的流量是从哪些网络渠道和市场区域获取的？这些流量是否和你的目标市场、目标客户相吻合？我们通过以下数据做个大体的了解。 外贸营销如何优化优化推广——第一步，了解外贸平台亚马逊/阿里巴巴/速卖通/Ebay/环球资源等平台的流量是哪里获得。 下面我们就来了解一下澳大利亚电商TOP10的流量是从哪里获得的。

一．澳大利亚Shopping类网站排名（前10位） https://www.360docs.net/doc/265650938.html,.au(购物) https://www.360docs.net/doc/265650938.html,.au（分类信息网站) https://www.360docs.net/doc/265650938.html,（百货) https://www.360docs.net/doc/265650938.html,（购物) https://www.360docs.net/doc/265650938.html,（购物） https://www.360docs.net/doc/265650938.html,.au（购物） https://www.360docs.net/doc/265650938.html,（购物） https://www.360docs.net/doc/265650938.html,.au（消费电子） https://www.360docs.net/doc/265650938.html,.au（购物） https://www.360docs.net/doc/265650938.html,（服饰） 二．澳大利亚Shopping类网站流量 1.Ebay.co.au（电商平台） eBay是全球最大的国际贸易电子商务平台，Ebay澳大利亚（ebay.co.au）系Ebay 在澳大利亚设立的分站点。 （1）总流量 截止到2014年7月，Ebay.co.au在购物类(shopping)网站排名第26，用户访问量200万/天，平均停留时间为10:28，平均停留页数为12.08，跳出率为23.78%。（2）各国流量占比（2013年8月-2014年7月，前5） 国家百分比时间页数跳出率 澳大利亚85.1312:1213.1516.56 美国 5.182:34 3.6847.11

Netflow技术白皮书

烽火网络Netflow技术白皮书 目录 烽火网络NETFLOW技术白皮书 (1) 1.概述 (1) 2.参考标准 (1) 3.技术介绍 (2) 3.1. 常用术语 (2) 3.2. Netflow的应用场合 (2) 4.系统容量 (2) 5.配置命令 (3) 5.1. 全局配置命令 (3) 5.2. 执行命令 (3) 5.3. DEBUG命令 (3) 6.组网应用 (4) 7.故障分析 (5) 1. 概述 随着Internet应用的蓬勃发展，企业可及时的将分散与世界各地的有用资源统筹串连起来，所有林林总总的网络活动，无不显示着网络已成功的成为资讯来源以及电子商务的作业平台。由于图形、广播、给视频科技越来越普及，网络的资料约每天成长一倍，获取网络效率的提升并不乐观，网络的带宽，网站服务器的性能，同时间上网的人数，某些特殊事件造成网络的拥塞等，这些都会影响到网络流畅与否。使用者期望得到有效率及快速的使用，但常因为连线时间不稳或反应时间慢，因而令使用者感到失望。因此网络对外的连接品质和网络性能受到很大冲击，在此期间，已迫切的需要能够评估构建一个可满足目前需求、同时要兼顾未来的成长空间的网络环境。此时，可利用路由器的监视功能（Netflow）来 收集网络的带宽使用信息，从获得的流量数据中可以获取以下信息：(1)何种网络协议是流量的瓶颈所在；（2）满足使用者对网络的需求，提高客户满意度；（3）通过网络应用服务的使用者的IP进行排名，查看是否有无不同的使用；（4）获得内部流量和外部流量的对比，来了解网络的使用状况和未来的发展方向。 2. 参考标准 ? NetFlow Services Solutions Guide，Cisco 2001

关于全流量分析产品的重要性

近年来，以高级持续性威胁（APT）为代表的新型攻击手段渐渐兴起，谷歌、RSA、索尼等业界巨头接连爆出被入侵的新闻，引起了整个社会的极大关注。与此同时，为了应对APT，信息安全产业界也浮现了一批新兴的安全检测产品，这些产品的技术原理和实现方式都与传统安全产品有显著的区别，全流量存储分析产品就是其中的典型代表。 ?与传统的以特征匹配为基础的实时检测产品相比，全流量存储分析产品的最大特点是对原始流量的存储，以及采用以异常检测为主的判断机制。有了原始流量的存储，就能够将当前检测到的攻击行为与历史流量进行关联，实现完整的攻击溯源和取证分析；有了异常检测方法，就能够通过对各类正常网络行为建模，实现对未知攻击行为的检测。可以说，全流量存储分析产品的出现，恰好弥补了传统检测技术在应对APT挑战方面的不足。 全流量存储分析产品是随着信息技术发展而产生的。回顾入侵检测系统的发展史，在上个世纪90年代“入侵检测”概念出现的早期，当时著名的入侵检测系统大都产生于大学实验室和科研机构，采用的主流技术就是以数据挖掘、神经网络技术为代表的异常检测技术；后来随着应用的推广，安全企业受限于异常检测技术的高漏报和高误报，纷纷采用了以特征匹配为主的误用检测技术，这也是目前成熟入侵检测产品的通用技术；近年来随着以云计算、大数据为代表的新技术的涌现，单位计算和存储的成本越来越低，这使得采用更大的样本空间、更智能的分析算法降低异常检测的误报率和漏报率成为可能，从而使得异常检测技术真正在安全产品中得到实际应用，并最终促成了全流量存储分析产品的产生。 本文介绍了几款当前业界领先的全流量存储分析产品，总结了该类产品的共同点，并展望了该类产品的应用前景。 当前主流产品介绍 RSA NetWitness RSA NetWitness是安全产业巨头RSA公司推出的企业级安全分析产品体系。RSA将其描述为“一个革命性的网络安全监控平台，帮助企业