网络安全 397 2.1 网络分析技术的概念 所谓网络分析，指的是通过对网络中传输的数 据包进行实时的采集、检测和分析，通过对原始数 据包的透视化解码，依据关键业务性能参数指标， 快速发现异常问题现象，从而达到快速诊断网络、 应用故障，评估网络性能及分析检测流量异常等多 功能于一体的技术。 2.2 网络分析技术的国内外研究现状 以美国为首的信息技术发达国家，为了在信息 浪潮中占据先机、打击网络犯罪和网络恐怖活动， 窃取他国机密和信息，搞信息霸权，实施网络监控 项目，对关键性的信息活动进行全球性的监视。如 “斯诺登事件”等典型的网络监控案例。谷歌、微 软、苹果等大型科技企业也利用网络分析技术获取 用户信息并进行信息预测，如谷歌通过搜索指令记 录，成功预测了 2009 年出现的流感病毒的传播路径 和速度。 目前我国网络安全已经上升到国家安全的高 度，我国于 2014 年 2 月 27 日成立网络安全与信息 化领导小组，2016 年 6 月 25 日，中俄两国发表关于 协助推进网络空间发展的声明。国内的网络分析监 控系统也取得不小成就并实现商业化应用，由国防 科技大学研制的“大规模网络安全监控数据库系统” 获得国家科技进步二等奖。 3 网络分析平台的部署 目前公司每月产生数据流量在 130TB 左右，网 络利用率均值 20%，流量约为 500Mbps，根据公司网 络架构划分和数据流分布特点，在数据中心服务器 区、外网访问区、用户访问区、广域网访问区部署 了网络分析平台。 网络分析平台部署及数据包获取方式 采用数据包镜像的方式在需要监控的网络链路 中部署分布式数据采集服务器用于网络流量的采 集，将所有数据采集服务器集中连接到分析中心进 行实时监控和回溯分析。这种采用“分布式部署、 集中管理”的方式可以减少主干链路流量过大对服 务器的压力。 图1 网络分析平台部署 关键区域流量镜像，历史数据存储需求 由于公司每天产生的数据量较大，故在每台采 集服务器后端挂载大容量的直连存储分别保存各区 域数据，考虑硬件设备存储容量限制，完整数据包 的存储时间大约在三天左右，包结构的存储时间大 约在半个月左右。