2025年网络安全防护与防护技术手册.docxVIP

2025年网络安全防护与防护技术手册

第1章网络态势感知与风险研判

1.1全域流量分析与异常检测

全域流量分析是指利用驱动的机器学习算法，对全网所有进出流量的特征向量进行实时特征工程，重点识别偏离基线的正常行为模式。例如，系统会自动计算流量包的大小、时长、频率以及协议类型（如HTTP//TCP/UDP）的分布直方图，一旦发现某IP的流量突增且集中在非工作时间段，即触发警报。异常检测通过构建“基线模型”来区分正常与异常，当检测到流量特征与历史基线存在显著差异时，系统会立即告警。具体案例中，若某服务器在凌晨3点突然接收了1000个来自未知源域的大文件请求，且每个文件平