網絡可視化技術最初衍生于傳統網絡安全市場。一般而言,傳統的網絡安全產品大致可分為三大子類別,分別是安全硬件(認證硬件、應用硬件)、安全軟件、安全服務(咨詢/實施/運維/培訓等)。而傳統的網絡安全硬件包括防火墻、VPN、入侵檢測與防御系統(IDS&IPS)以及統一威脅管理(UTM)。傳統網絡安全硬件負責網絡安全第一關。主要負責限制非法數據通過,阻斷網絡攻擊等任務。
假如將傳統網絡硬件產品比作“大門、門禁和門鎖”,則網絡可視化基礎架構設備是網絡流量的“監控攝像頭”。隨著網絡技術的演進,針對Web 應用層的攻擊威脅越來越大。一般的防火墻只能針對指定的IP 地址、端口、協議來進行防護,而惡意軟件在盜竊個人隱私時或者接收外部攻擊指令時,傳統的防火墻并無法阻止。在2000 年左右,最初基于DPI 的網絡可視化技術應運而生。
DPI 技術,即深度報文檢測(Deep Packet Inspection),是網絡可視化的核心。其中,報文是指數據傳送的基本單位(Packet)。傳統的報文檢測僅分析IP 包的4 層以下元素,包括源地址、目的地址、源端口、目的端口及協議類型。當網絡上的一些非法應用采用隱藏或假冒端口號的方式躲避檢測和監管,進行仿冒合法報文時,L2~L4 層的傳統檢測方法無能為力,而DPI 增加了應用層分析,革命之處在于可以識別各種惡意應用及其內容。
網絡數據是一種“圖類”數據,體現了多個節點之間的關系。IP 網絡運維存在三個“不可視”的黑匣子現象。網絡可視化將網絡數據以圖形化的方式展示出來,最終需要利用人類視覺系統分析,因此不單只需要數據采集設備,而且需要快速直觀地解釋及概覽網絡結構數據的應用,包括1、輔助認識網絡的內部結構;2、挖掘隱藏在網絡內部有價值的信息。
狹義上的網絡可視化市場由前端與后端市場組成的:通常我們將數據的采集、匯聚與預處理稱為網絡可視化產業的“前端”,而將數據還原、存儲、分析與處理稱為網絡可視化的“后端”。網絡可視化技術發展到現在,其下游應用領域已經不單只局限在網絡網絡安全領域,也可以向包括大數據分析、挖掘、網絡優化、商業智能等領域延伸,可組成整體解決方案提供給客戶。
