解決企業(yè)網(wǎng)絡(luò)的系統(tǒng)安全管理所面對(duì)的挑戰(zhàn)時(shí)刻存在著，是網(wǎng)絡(luò)日常管理工作中的重點(diǎn)工作，各類病毒的反復(fù)發(fā)作是絕大多數(shù)網(wǎng)絡(luò)問題的根源。由于病毒特征千變?nèi)f化，我們目前很難做出及時(shí)有效的事先防范。PC 服務(wù)器的后門、網(wǎng)絡(luò)的安全漏洞是永遠(yuǎn)補(bǔ)不完的，因此從網(wǎng)絡(luò)平臺(tái)上對(duì)病毒、后門等安全漏洞所產(chǎn)生的各種癥候進(jìn)行診斷和監(jiān)視，將各類可疑網(wǎng)絡(luò)行為分離出來，主動(dòng)巡查的效果遠(yuǎn)比各種補(bǔ)墻術(shù)更令人安心，有效的預(yù)防和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊與病毒的擴(kuò)散，防患于未然。

1  多探針分布式部署

網(wǎng)絡(luò)上可以在不同的地方部署多臺(tái)數(shù)據(jù)協(xié)同分析探針服務(wù)器，各個(gè)探針服務(wù)器可以在本地分析采集數(shù)據(jù)，并可以將統(tǒng)計(jì)數(shù)據(jù)匯總到核心服務(wù)器上，由核心服務(wù)器進(jìn)行匯總操作并將結(jié)果展現(xiàn)給用戶。

因此用戶可以實(shí)時(shí)查看到網(wǎng)絡(luò)上的全網(wǎng)（所有探針服務(wù)器探測到的范圍）的TOPN流量排序信息（而并不是一般的數(shù)據(jù)流分析系統(tǒng)只能分析某個(gè)網(wǎng)段內(nèi)的流量TOPN排序），并可以根據(jù)自己的要求查看詳細(xì)信息。

2   實(shí)時(shí)信息

網(wǎng)絡(luò)上應(yīng)用類別流量實(shí)時(shí)顯示，可以顯示當(dāng)前網(wǎng)絡(luò)上各種應(yīng)用的流量，如：FTP、WWW、SMTP、POP3、數(shù)據(jù)庫、內(nèi)部應(yīng)用….

可實(shí)現(xiàn)實(shí)時(shí)流量監(jiān)控分析功能，可以直觀地以圖形方式和數(shù)據(jù)表格方式顯示網(wǎng)絡(luò)流量信息，并可以方便地設(shè)定數(shù)據(jù)過濾條件，從不同的角度對(duì)數(shù)據(jù)流量進(jìn)行分析

濾取IP包內(nèi)高層協(xié)議指定的數(shù)據(jù)(Tcp/Udp/RSVP/OSPF/EIGRP等等)

濾取指定高層協(xié)議端口的數(shù)據(jù)(Telnet/Http/Echo/Smtp/Ftp等等)

濾取指定數(shù)據(jù)包大小的數(shù)據(jù)

可以直接關(guān)注某部門對(duì)Internet的訪問情況：細(xì)化到每個(gè)人；

可以關(guān)注各部門對(duì)特定應(yīng)用的使用情況：細(xì)化到每個(gè)部門；

可以關(guān)心網(wǎng)絡(luò)上特殊特征的數(shù)據(jù)流動(dòng)情況：觀察某一服務(wù)的用戶分布及流量狀況；(也可能是某病毒的特征，用來查源)

可以關(guān)心不同大小的數(shù)據(jù)幀的流量分布，提供評(píng)估網(wǎng)絡(luò)處理能力的依據(jù)；

可以觀察某類非IP數(shù)據(jù)幀流量情況；

在數(shù)據(jù)的圖形輸出上，支持按時(shí)間展開數(shù)據(jù)流，或按TopN排序方式展示各數(shù)據(jù)分量的即時(shí)比特流、幀流量、Sessions對(duì)話數(shù)；

在數(shù)據(jù)的表格輸出方式上支持將某時(shí)刻原始數(shù)據(jù)進(jìn)行全面展示，允許在原始數(shù)據(jù)基礎(chǔ)上進(jìn)行排序、歸類、過濾等分析操作；

在任何時(shí)刻均保留"此刻以前10分鐘原始數(shù)據(jù)"以供事后分析，避免了異常事件轉(zhuǎn)瞬即逝的困境，可以進(jìn)行"數(shù)據(jù)回放"分析。

可以將某一片刻數(shù)據(jù)流進(jìn)行“快照”，截下所有數(shù)據(jù)，展開所有相關(guān)項(xiàng)，讓時(shí)間"靜止"下來，慢慢分析，從各個(gè)角度重新組合條件，轉(zhuǎn)換視角，分析問題。

提供數(shù)據(jù)輸出功能，可以將指定的原始數(shù)據(jù)導(dǎo)出到EXCEL文件中。

圖1 實(shí)時(shí)分析

3  智能分析

BT下載：直接指出誰在進(jìn)行BT下載，并可以進(jìn)一步顯示分析的依據(jù)。

DOS攻擊：直接指出誰在進(jìn)行DOS攻擊，并可以進(jìn)一步顯示分析的依據(jù)。

沖擊波病毒：直接指出誰中了沖擊波病毒，并在進(jìn)行擴(kuò)散，并可以進(jìn)一步顯示分析的依據(jù)。

關(guān)于某臺(tái)關(guān)鍵服務(wù)器的當(dāng)前實(shí)時(shí)訪問情況分析。

幀流量異常情況分析。

IP地址掃描和IP協(xié)議端口掃描分析。

IP高層協(xié)議端口密集訪問分析。

圖2 多數(shù)據(jù)源對(duì)比分析

4  歷史記錄報(bào)表

網(wǎng)絡(luò)上各種服務(wù)的流量：

可以統(tǒng)計(jì)網(wǎng)絡(luò)上各種應(yīng)用的流量及占總流量的百分比，可以幫助用戶清楚的了解網(wǎng)絡(luò)上應(yīng)用流量情況。并可以定時(shí)生成報(bào)表發(fā)送到指定郵箱中。

指定服務(wù)器的訪問情況：

用戶的網(wǎng)絡(luò)上都有多臺(tái)關(guān)鍵的服務(wù)器，這些服務(wù)器的流量如何？到底是誰在訪問服務(wù)器？它們的流量如何？原先用戶對(duì)此可能是一無所知，現(xiàn)在可以通過設(shè)置數(shù)據(jù)流歷史記錄的方式將服務(wù)器的流量情況保存在數(shù)據(jù)庫中，用戶可以隨時(shí)進(jìn)行查詢和統(tǒng)計(jì)操作。并可以定時(shí)生成報(bào)表發(fā)送到指定郵箱中。