目前在市面上以网络流量作为数据来源的安全产品和解决方案各式各样，近年来都是打着态势感知大旗到处吆喝。有的厂商强调IDS/IPS/APT的特征检测技术，有点厂商强调全流量采集、存储和分析技术。其实，根据工具和流量规模的不同，网络流量分析的主要分析方法可分为以下三种：1）流量分析（利用元数据理解攻击活动）；2）特征分析（查找已知的恶意模式）；3）完整内容分析（借助全部数据包数据理解攻击活动）。 1、流量分析 流量分析主要是根据元数据（不是通信内容本身）识别对手活动和通信模式，每条记录多达几兆字节的全部活动内容，可能只产生100字节的元数据，如端点（包括ip地址和域名）、端口、收发字节数、连接时长及… Read more网络安全态势感知中的三种网络流量分析技术