危险一目了然 异常流量监测系统详解

二、天阗网络异常流量监测系统

　　作为国内IDS行业的领导厂商，启明星辰公司在解决高速入侵检测和实现IDS报警的细、全、准的基础上，推出了用于对网络流量进行宏观监测的产品——天阗异常流量监测系统。天阗异常流量监测系统基于网络流量全镜像的监测技术，同时采用高速的网络流量采集技术、全面的协议识别和分析技术、流量统计和排名分析技术、恶意流量的分析提取技术、流量事件的定义描述技术和自学习的异常检测和发现技术等，天阗异常流量监测系统能够全面地统计和分析网络流量状况，显示网络中不同流量信息的变化和分布趋势，并采用自学习的异常发现模型，及时发现由于蠕虫、拒绝服务攻击等安全事件带来的流量异常并及时报警。

　　系统特点

　　天阗异常流量监测系统是三层分布式结构，由管理控制中心、流量监测中心、流量监测引擎组成。管理控制中心提供集中化的组件管理、图形化的拓扑显示、灵活的流量事件自定义和参数调整以及全面严格的用户管理和审计功能。流量监测中心支持多样化的流量显示方式，并自动生成异常流量的报警信息和异常流量图谱以供查看。流量监测引擎是一台软件与硬件紧密集成的设备，适合部署在千兆级高速网络环境中，全面采集网络流量并形成流量事件上报。

　　天阗异常流量监测系统通过旁路侦听的方式对网络数据流进行采集、分析和识别，实时监视网络系统的运行状态，记录网络中的实时流量信息，发现网络流量的异常变化，并对带有具体特征的恶意流量进行有效提取和连续性监测。系统自动存储网络流量的变化过程的相关信息，并通过分析形成详细的分析报表。这对于用户把握具体攻击事件产生的异常流量的威胁程度或地址分布具有独特的价值。

　　一般的网络带宽占用都比较均匀，如果通过流量监测系统发现某一个IP的流量突然剧增，则原因可能是该主机在进行网络扫描，或者是该主机正在对外大量传播网络蠕虫。如此一来，网络管理员就可以有针对性地对该主机进行检查，以避免恶意扫描攻击或大规模蠕虫传播等事件的发生。以下是天阗异常流量监测系统在实际应用中对网络流量监控的效果图。
 
图一：正常网络流量
 
 
图二：异常网络流量

图三：IP流量排名

图四：蠕虫爆发导致的流量异常