一、网络流量分析技术介绍
1.1什么是网络流量分析？
网络流量分析是记录和分析网络流量以出于性能、安全性、网络操作、管理和排障为目的分析网络流量的过程。它是使用自动技术检查网络流量中的详细级别细节和统计信息的过程。
1.2网络流量分析技术的作用
网络流量分析技术的主要目的是深入了解流经网络的流量、网络数据包或数据的类型。通常，网络流量分析是通过采集收集的流量方式进行分析网络带宽利用率、网络性能质量、协议分布、应用程序传输质量。网络流量分析的流量分析信息有助于：
了解和评估网络利用率；
下载/上传速度；
数据包的类型，大小，来源和目的地以及内容/数据；
网络传输性能；
使用的协议、端口；
应用程序交互性能；
网络安全人员使用网络流量分析来识别流量中的任何恶意或可疑数据包。同样，网络管理员分析下载/上传速度，吞吐量，内容、网络传输性能、应用程序交互能力等，以了解网络操作和流量行为；
攻击者/入侵者还使用网络流量分析来分析网络流量模式并识别任何侵入或检索敏感数据的漏洞或手段。

1.3数据包分析如何工作
该方法很简单。在进行流量分析的情况下，我们从路由器、交换机收集数据时，使用SPAN端口（也称为镜像端口）或者TAP（网络分路器）收集数据。收集的数据是实际数据流的拷贝，然后对其进行分析。
1.4网络流量分析技术和网络取证的关联性
网络取证是为了进行信息收集法律证据或入侵过程而监视和分析计算机网络流量有关的数字取证。网络取证分析涉及网络活动的收集，监视和分析，以发现网络故障或网络流量中发生的攻击，病毒，入侵或安全漏洞的来源。
网络取证通常有两个用途。第一个涉及安全性，涉及监视网络中的异常流量并识别入侵。攻击者能够删除受感染主机上的所有日志文件，但是通过网络分析系统采集存储的流量，无法删除，因此，基于网络的证据是唯一可用于分析的证据。第二种涉及执法，在这种情况下，对采集捕获的网络流量的分析包括诸如重新组合传输的文件，搜索关键字以及解析诸如电子邮件或聊天会话之类的人类通信之类的任务。因此，网络取证分析与移动取证或数字图像取证一起被认为是数字取证的保护。
网络流量分析系统是采集收集网络流量，并存储在分析设备存储系统中。可以回溯重现事件发生的过程和操作行为。就相当于摄像头记录事件发生的过程一样。
二、网络应用性能分析系统NAPM
为了跟上当今网络的复杂性和多样性，明辰智航为网络专业人员提供了第一款网络智能分析系统，分析系统的设计使得运维团队有更加方便处理大规模的运营工作。
网络应用性能分析系统使用大数据收集引擎、关联和机器学习来实时发现潜在问题，因此可以快速，准确地响应事件，主动识别并防止问题影响服务和业务，并专注于优化和快速的故障定位。
2.1网络应用性能分析系统介绍
网络应用性能分析系统，全方位实时监控网络流量，对流量分布、应用服务交互过程的质量、异常协议等异常流量进行检测，即时呈现用户实时流量，服务器实时流量。具备长时间，大容量的储存能力，实现对网络中的通信数据包的完整保存，做到数据包级的溯源取证。帮助用户提升对核心业务的运行保障能力。
2.2网络应用性能分析系统功能
灵活的部署方式
为了能够全方位监视网络的健康状况，网络应用性能分析系统以旁路方式部署在网络的关键节点上，实现对重要链路的实时监测分析，具备多网卡捕捉，同时汇聚分析多路网络流量能力。并且支持交换机镜像、分光器、网络分流器等部署方式；以及单机部署或者多级分布式部署。
长时间大容量的全流量储存能力
方案具备长期保存完整的网络流量，网络流量包括比特率、数据包率、网络中TCP SYN数量、TCP SYN ACK数量、TCP SYN RST数量、协议单独分类、端口单独分类、MAC单独分类、IP单独分类、会话单独分类、专家分析系统等，数据精确到秒级别，为运维事件和安全事件回溯、取证提供完整的原始数据包。并且满足等保2.0中相关要求以及相关法律法规要求。
回溯取证及安全分析
借助网络应用性能分析系统全流量存储分析能力，支持基于1秒、10秒、1分钟、10分钟几种颗粒度进行回溯展示。支持多接口数据捕抓，同时汇聚分析多路网络流量，对已知的攻击行为进行多角度、全方位、反复回溯的深度检测分析，不断增强未知威胁的检测。
精确的拨测监控能力
支持基于应用层/网络层探测，如ICMP、TCP、Tracert网络层探测，HTTP探测以及DNS解析时延、TCP三次握手时延，HTTP下载时延、应用程序交易过程等，判断整个业务各个阶段交互时延、抖动、丢包、重传，智能分析网络故障及业务故障。
海量应用协议识别及解码
具备强大的网络协议识别和离线报文本地解码能力，支持常见的各类网络协议，视频协议，1500种解码协议，以及支持大于170种应用分类1800+种预定义应用识别，包含局域网应用与互联网应用，及时帮助用户透视各个层次的通信状况。
全方位高效的数据捕捉
方案具备高效，多路流量的数据捕捉分析能力，具备直观的逐级数据分析展示，做到真正的数据流量回溯，流量可视化，可根据时间、IP、协议、应用、会话等进行逐级数据捕捉，方便高效的捕捉所需分析数据。
三、网络应用性能分析系统方案价值—明辰智航云安
事前征兆预警。及时发现未知威胁，为传统的安全检测机制弥补不足，减低网络被攻陷的风险。
事中精确分析。针对网络中的故障、攻击、病毒等影响网络传输性能的有问题数据流，快速定位解决，避免影响核心业务，帮助网络管理人员及时发现和分析问题根本原因，有针对性加以管理和优化。
事后溯源取证。还原攻击过程，溯源历史事件，针对多种时间细粒度进行回溯展示，提供网络故障和安全问题的回溯及取证能力，掌握网络流经每个中间件的过程、流量的来源、方式等信息，为保障网络的稳定性、可靠性防护提供全方位的数据依据。
紧跟国家政策要求，满足网络安全等级保护2.0中相关发文要求。