全流量检测探针系统架构详解

已于 2024-01-03 22:39:04 修改
阅读量2.6k 收藏 6
点赞数 3
分类专栏: 网络安全 文章标签: 网络 网络安全
于 2023-07-28 14:57:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44983560/article/details/131980408
版权
本文详细介绍了全流量检测探针的系统架构,包括数据采集、解析、存储和检测模块,以及业务模块。数据采集模块利用先进技术优化捕获性能;解析模块实现L1-L4层及应用层协议的精准识别;存储模块保存原始流量信息;检测模块涵盖多种安全检测引擎;业务模块提供威胁告警、响应和资产管理功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

全流量检测探针系统架构详解

系统架构

流量采集探针主要实现流量数据的采集和解析工作,可以对流量数据进行逐层解码,将解析后的流量元数据上传至大数据平台,将原始流量pcap数据留存在本地硬盘。同时,流量探针上也包含入侵检测、病毒检测及吸星等各类安全探针,可以提供安全威胁的检测能力。
在这里插入图片描述

数据采集模块

数据采集模块将千兆口/万兆口输入的分光/镜像流量进行实时采集,同时利用零拷贝、轮询、大页缓存、无锁执行等技术对数据包的捕获性能进行优化,以达到在高带宽下对流量数据高速捕获的性能要求。

数据解析模块

L1-L4层提取五元组信息,应用层通过深度DPI检测能力对应用层协议进行高效、精准识别与解析,通过全流量特征识别,针对接入的全部会话流,进行元数据解析及文件还原,输出相关元数据及传输文件信息。

数据包存储模块

该模块记录原始流量中的全部信息,会将整个包的内容1:1地存储下来,主要用于pcap包溯源和取证。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
网络流量采集(二)——基于硬件探针流量采集网络
yilun的专栏
09-20 5931
目录 引言 分光器 SPAN 网络分流器(TAP) 引言 网络流量采集分析是获得第一手网络用户行为指标和参数的最有效手段。随着数据中心运维精细化要求不断提高,网络流量采集分析已经成为数据中心基础设施不可缺少的一部分。从目前行业使用来看,网络流量采集大多利用网络设备支持旁路流量镜像的方式实现,流量采集需要建立一个覆盖面、合理有效的流量采集网络,这样的流量采集才能有助于优化网络和业务性能指标,减少故障发生概率。 流量采集网络可以看作是一张由流量采集设备组成的,与生产网络平行部...
网络流量探针流量分析系统:面指南
Johnstons的博客
05-28 4575
网络流量探针(Network Traffic Probe)是一种用于捕获和监测网络数据包的设备或软件。它通过实时或近实时的方式收集网络流量数据,为网络管理员提供详细的网络行为分析。数据包捕获:实时捕获通过网络的所有数据包。数据包解码:将捕获的数据包解码为可读的格式,以便分析。流量过滤:根据特定的规则或协议对流量进行过滤,以便关注特定类型的数据包。实时监控:提供实时的流量监控数据,帮助网络管理员及时发现异常流量或潜在的网络问题。
zeek:一款流量分析探针
猪肉炖白菜
09-25 1808
关于Zeek日志文件的介绍,方便你了解zeek。Zeek是一个被动的开源网络流量分析器。许多运营商将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安领域以外的各种流量分析任务,包括性能评估和故障排除。.........
常见安设备及运营分享,从零基础到精通,收藏这篇就够了!
最新发布
喜欢Python编程的程序员柚柚呀
04-17 838
终端是用户接触网络的第一线,也是最容易被攻击的地方。但终端安设备,真的能靠得住吗?号称能主动发现威胁,听起来很厉害。但它会不会把你的电脑搞得卡死?会不会误报一堆?别到时候杀毒软件没防住病毒,先把你的工作效率给杀死了。每个主机都装个agent,听起来就很麻烦。而且agent本身会不会成为新的安漏洞?别到时候防狼不成反被狼骑。集中管理听起来很美好,但如果管控系统本身被攻破了呢?那岂不是盘皆输?身份验证、访问控制、实时监测、动态授权,听起来很安。但实施起来有多复杂?成本有多高?
流影---开源网络流量分析平台(二)(功能部署--流量探针
sveewg的博客
03-28 2091
小编们可以自行研究部署,也可以看我部署功能部署包:通过网盘分享的文件:liuying整合包链接: https://pan.baidu.com/s/1cWFJjXyu6eskj-g1rY0mzg?pwd=jjpg 提取码: jjpg。
网络流量探针流量回溯分析:提升网络性能的关键工具
Johnstons的博客
05-21 1624
网络流量探针是一种用于捕获和分析网络数据包的设备或软件工具。它能够监测网络中的实时流量,记录数据包的详细信息,包括源IP地址、目的IP地址、端口号、协议类型和数据负载等。这些信息可以帮助网络管理员了解网络流量的分布和变化趋势,识别异常行为,定位网络瓶颈,优化网络性能。
zeek系列之:流量数据采集流量探针zeek-脚本入门
g5703129的博客
08-11 3428
zeek解析pcap流量文件 解析pcap文件 zeek -C -r /home/1.pcap json格式解析pcap文件到当前目录下 zeek -C -r /home/1.pcap LogAscii::use_json=T 注意:需要zeek运行状态下 zeek脚本 概述 概述扩展名为.zeek 默认目录:share/zeek 放在share/zeek/site的不会在升级时被覆盖或者修改 zeek生成的事件可以参考:base/bif/event.bif.zeek *.bif是z
zeek系列之:流量数据采集流量探针zeek安装部署
g5703129的博客
08-11 9783
zeek介绍 Zeek是一个被动的开源网络流量分析器。它主要是一种安监视器,可深入检查链接上的所有流量以查找可疑活动的迹象。使用Zeek最直接的好处是生成大量日志文件。这些日志不仅包括对网络上每个连接的面记录,还包括应用程序层记录,例如所有HTTP会话及其请求的URI,密钥标头,MIME类型和服务器响应;带回复的DNS请求;SSL证书;SMTP会话的关键内容;以及更多。默认情况下,Zeek将所有这些信息写入结构合理的制表符分隔的日志文件中,这些文件适用于使用外部软件进行后处理。 另外,在名称上,3.
雅黑科技php探针,雅黑PHP探针参数详解
weixin_30672649的博客
03-28 1440
选择虚拟主机的时候,我们常常要想知道如下内容:1,服务器配置如何?2,这个空间在服务器上的绝对地址是多少,在哪个文件夹?3,这个系统版本是什么,操作系统是什么,PHP的版本是什么?4,空间有多大,能够承受多大的流量压力?5,空间的速度如何?……那么如何判断购买的空间和空间商提供的信息一致呢?我们经常使用的一种检测方法,那就是空间探针。如果想检测一下PHP虚拟主机,那么我就要去下载PHP探针探针就...
入侵检测系统 DIDSystem 8.0
03-04
**入侵检测系统DIDSystem 8.0详解** 入侵检测系统(DIDSystem 8.0)是一种关键的网络安全工具,其主要目标在于实时监控网络流量,识别潜在的违规行为和未经授权的访问尝试。该系统位于内部网络和外部不安网络之间,...
Mercury:唯品会链路应用监控系统解决方案详解(含PPT)
weixin_45583158的博客
08-08 1067
导读:高可用架构 7 月 30 日在上海举办了『互联网架构的基石』专题沙龙,进行了闭门私董会研讨及对外开放的四个专题的演讲,期望能促进业界对互联网基础服务及工具的建设及发...
kubernetes 核心技术-探针
m0_61787196的博客
01-27 782
kubernetes 核心技术-探针
Mail-Probe:邮箱探针后台管理系统
02-03
Mail-Probe:邮箱探针后台管理系统
流量检测探针:揭秘网络故障背后的真相
Johnstons的博客
05-17 671
企业使用AnaTraf网络流量分析仪对网络流量进行分析,发现某个特定IP地址正在占用大量的网络带宽,导致网站无法访问。例如,我们可以通过流量回溯分析发现某个特定IP地址或某个特定应用程序正在占用大量的网络带宽,从而导致网络速度缓慢。流量检测探针是一种用于网络流量分析的工具,它可以实时监控网络流量,并对流量进行分析和诊断。通过分析流量数据,我们可以了解网络的运行状况,识别网络故障的原因,并采取措施进行修复。AnaTraf网络流量分析仪是一款功能强大的流量检测探针,它可以帮助您解决各种网络故障问题。
天眼-流量传感器(使用部署)
qq_53218512的博客
06-10 3696
天眼流量传感器采用旁路部署模式对网络镜像流量进行采集,解码还原转换为流量日志并加密传输给天眼分析平台,镜像流量中的文件还原后加密传输给天眼文件威胁鉴定器进行检测。传感器中应用的自主知识产权的协议分析模块,可以在IPv4/IPv6网络环境下,支持HTTP/HTTPS 、FTP、TFTP、SMB、NFS.SMTP/POP3/IMAP/WEBMAIL等主流协议的高性能分析。
极客信安流量探针系统
m0_66538286的博客
03-18 399
基本上快做到已有页面,局组件化了;组件和变体的分类和命名有点随意,后面肯定还要花时间规范命名; 另外依然还有很多细节和规范需要细化,但总算是像点样了;
奇安信天眼_探针/分析平台部署及联动
热门推荐
呦菜呦爱玩的博客
03-10 2万+
奇安信天眼主要包括威胁情报(软件)、分析平台(硬件)、传感器(硬件)和文件威胁鉴定器(硬件)四个模块组成。一般仅需分析平台,流量传感器(探针)这2台设备配合使用。天眼分析平台用于存储传感器提交的流量日志、告警日志以及文件威胁鉴定器提交的告警日志。天眼传感器主要负责对网络流量的镜像流量进行采集并还原,还原后的流量日志会加密传输给天眼分析平台。
流影---开源网络流量可视化分析平台(一)
idealion的博客
07-23 8963
流影是国内第一款开源的轻量级网络安全态势感知与可视化分析平台,集成了流量探针网络行为分析引擎、威胁检测引擎和交互式可视化分析引擎四个核心模块,本期实验将对流影进行部署与测试。
网络安全设备——探针
Nove1205的博客
07-04 1万+
网络安全中的探针是什么?
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

“萌面大虾”

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值