异常流量分析与响应技术具备显著区别于其他传统安全防护设备的目标定位。在通常的一个安全解决方案中，防护对象往往局限于目标网络中较为关键的计算资源节点或其集合(如应用逻辑服务器系统、业务数据服务器系统等)，这些防护目标具备物理上可确定的拓扑位置，并以此为核心展开各种方式的对应保护。这些保护方式可包括：

    在安全区域边界点部署访问控制设备；

    在关键资源网段部署行为深度检测设备；

    为跨越不可信区域的高安全等级流量提供加密隧道；

    针对防护区域进行定时/不定时的安全评估分析；

    面向已知病毒传播设置查杀机制；

    通过收集设备已有事件日志进行二次关联分析；

    为提高防护作业效率而建立安全运维管理专家系统；

    ……

    但是林林总总的传统防护技术却无法解决高端网络骨干链路的安全需求，这主要是由于骨干链路作为横跨各个接入网络的过渡区域的特点而造成的：

    高端网络是Internet概念的主要实现载体，是各接入客户网络云团之间的唯一互联路径，不直接面向桌面系统提供网络接入服务，而是面向特定范围内一系列的客户整体网络系统统一的提供宽带接入；

    高端网络一般没有显著的计算资源存在，难以进行明确的访问窗口定义，因此无法设定各种显式的访问控制规则；

    高端网络关注的是如何实现客户所要求的服务质量承诺，而这种服务质量的首要特征是带宽和响应速度，并直接影响到网络提供商的业务收益；

    高端网络几乎不关注其接入用户究竟在传输什么样的应用层内容。

    由于以上种种原因，高端网络运维管理部门无法从现有传统安全技术中获得有效的解决方案，亟需一种能够促进其客户服务质量承诺条款兑现的全新安全机制。异常流量分析与响应技术正是在这种强大的市场需求推动下应时而出的革命性安全解决方案。

    项目详细描述

    由于高端网络骨干链路是为各接入客户网络高速互联而设立的交换通道，基本没有计算资源存在，因此无法得到显式的访问窗口界定和系统脆弱性描述，流量分析系统可供操作的信息几乎均来源于网络流量特征。所以，各流量分析系统厂商也相应地把工作重点基于流量统计及特征分析进行展开。

    在这种情形下，业内主要厂商将异常流量分析系统的数据采集几乎完全集中在流量数据抽样上，系统通过诸如NetFlow、Sflow、Cflowd、SNMP提交的数据进行建模统计分析，通过数据统计结果描述当前骨干网络中带宽资源的使用状况，并以模型分析结果力图反映出各类访问行为的合规性。

    在这种设计思路中，系统呈现出以下工作特点：

    完全的带外数据采集，对原有数据流向不造成任何影响；

    能够反映出骨干流量的统计特征，并以此作出网络整体层面上的访问行为合规判别；

    利用Flow技术体系的抽样机制，可灵活适应监控流量负载的变化；

    同时，由于系统仅限于对骨干链路进行抽样特征采集，因而缺少流量应用层信息的描述，无法判断应用层内容的合法性；

    另外，系统缺乏对网元设备的监控分析。网元设备作为网络拓扑中的节点单元，其运行状态和执行策略同样是影响骨干网络服务质量的关键因素，但并没有出现在系统分析范围中，因此造成片面依赖于流量统计分析数据的“一条腿走路”局面。