一、what
简单的来说,网络流量分析就是捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量、分析、统计等,协助发现网络运行过程中出现的问题。通过监控和分析网络环境中的流量,来判断流量是用在哪个系统或者哪个应用,并对流量做相应的分析统计。
二、作用
第一,维护网络持续、高效和安全运行,加深对内部网络环境的了解。通过网络流量分析,可以更好地了解流量动向,对自身的网络环境也会更加了解。
第二,协助网管人员快速发现并定位网络环境中的问题。比如网络在运行过程中,突然出现了卡顿或延迟问题,通过流量分析,可以查看流量的走向,或者在某个时间段高低波动,方便快速地定位问题。
第三,辅助上网行为管理部分功能,了解经过该设备的数据包流向。网络流量分析主要是基于网络设备,基本看具体流向是走向了哪个设备,或者走向了哪些应用。
第四,基于该功能可以获取网络五元组。(源IP地址、源端口、目的IP地址、目的端口和传输层协议)
三、AI
近年来,AI 的发展得益于 3 个主要驱动力:(1)特征降维、人工神经网络、概率图形模型、强化学习和元学习等方面的新理论和新技术层出不穷,在学术和工业领域都取得明显突破;(2)计算能力的进步使许多计算资源消耗型机器学习算法可以大规模普及;(3)在大数据时代,数据资源的极大丰富可以让机器学习模型泛化能力更强,尤其是深度学习技术使学者们能够基于更多数据来构建合理的 AI模型,让机器发挥更大的潜力,也让各种任务取得更好的结果 。
数据采集模块收取探针发送的流量数据,实现网络全流量采集功能;数据处理模块对收取的流量数据进行预处理,包括标准化和格式化,保证数据的完整性和可用性。智能分析模块负责提供智能分析的基本方法,即作为系统内置的智能分析工具箱,提供包括但不限于关联分析、检索分析、机器学习、行为分析、AI 分析、可视化建模分析等分析方法。异常行为监测模块对各种异常行为的特征进行深入研究,融合构建出异常行为数据模型,实现对网络内违规行为的识别,可以识别的网络的违规行为包括但不限于失窃密检测、失陷账号分析、离群分析、虚拟专用网络(Virtual Private Network,VPN)登陆地域账号分析、合规分析、异常账号登录分析、特权滥用分析、资产外联分析等。威胁监测模块对收取到的全流量数据基于数据特征进行智能分析,识别当前网络中存在的威胁。针对复杂的安全场景,首先可基于单条数据特征、周期、频率等简单分析逻辑进行分析建模,发现潜在威胁;其次,通过基于时间序列的多条数据关联分析建模,对数据和数据之间的因果依赖、发生顺序、上下文进行分析以发现潜在威胁。可以识别的威胁包括但不限于外联流量攻击、异常流量、暴力破解,僵尸主机、结构化查询语言(Structured Query Language,SQL)注入攻击等。此外,支持自学习的流量分析模型,能够动态优化或修正模型的参数、阈值,能够识别流量型攻击和应用型攻击等。数据共享配置管理模块接收管理系统下发的策略,进行软件配置、状态检测和信息收集上报,并为了满足多个系统之间的数据交互与共享,制定数据共享规范,对数据外发的接口、参数、协议进行标准化,从而实现多系统流量数据共享。
网友评论