一、产品简介
网络探针是能够对网络流量进行采集、分析、信息提取的网络流量处理工具。该系统能够应用于百兆、千兆和万兆网络环境;能够自适应基于以太网的各类网络仿真;具备DPI功能,能够识别800种网络协议;支持百兆、千兆带宽的全包采集;支持基于复杂规则的定制化流量采集;支持针对TCP-SYN、UDP、ICMP的DDOS攻击检测;支持记录流量日志,支持DNS、HTTP、SSL等常见协议的信息采集。
二、主要功能
网络探针是网络流量智能分析平台的最基础环节,其主要功能包括:
n日志采集
日志采集将网络流量转化为结构化数据—Json格式的流量日志。日志内容分为连接基础信息、连接统计信息、协议元数据、负载数据信息、负载统计信息、负载文件及其索引等多个部分。目前,日志包括:双向MAC地址、连接五元组信息、连接上下行流量及包数、连接起止时间、前50个有效负载数据包的包长及协议类型、前16个有效负载数据包的前16字节、IP/TCP协议基础数据、DNS元数据、HTTP元数据、SSL元数据、SSL协议的负载分布情况、SSL证书文件及其索引。
n实时检测
某些网络行为具备实时性检测要求,或与负载内容高度相关,无法基于日志进行分析;此时,就需要实时检测模块基于实时的网络流量进行即时分析,得到分析结果,生成检测日志并采集相关流量。目前实时监测包括DDOS检测(包括TCP-SYN Flood、UDP Flood、DNS Flood、ICMP Flo