青海联通网站扫描与流量监测项目建议书2011061(8)

2.3.2 流量分析监控

通过分光器，将10G网络流量引入分流器，分流成多个千兆端口作为流量分析器的数据源。

多台流量分析器以群组方式工作，对网络流量进行IP协议分析，内置两种模式的异常流量监测引擎（特征模式、异常模式）、并可基于L3~L7层的信息匹配和过滤；实时统计流量，流量最小颗粒度（源IP，目的IP，协议，端口，分钟）。

基于历史流量统计，生成动态流量基线。流量基线包括： 1）

一天当中忙时、闲时、正常时段流量基线、各种节假日各时段流量基线、周流量基线、月流量基线；

2）

上、下行流量基线、基于物理端口的流量基线、基于地理位置的流量基线、基于IP/IP网段的流量基线；

3）

基于应用的流量基线：P2P、HTTP、WAP、FTP、SIP、IM（QQ、MSN等）、POP3等各类常见网络应用；

4）

自定义的网络流量基线；

根据基线分类，在实时流量偏离基线上下浮动范围时，发出告警，并提供详细的流量分析结果和对应基线值。

生成各类流量报告：全网流量变化及趋势报告、全网应用流量变化及趋势报告、网站访问量排名报告、网络带宽使用情况报告、网络异常监测报告等。

2.3.3 网站监控

网站监控通过采用爬虫技术定期抓取网站内容进行分析达到监测目的。 主要由安装爬虫搜索软件的服务器构成，它需要借助DNS日志信息 （采集DNS服务器镜像流量或DNS系统开放反查接口），根据目标网段/主机的IP地址反查出网站域名，并以此作为关联搜索的入口抓取网站信息内容，从而实现对信息内容的检查。