网络安全监测与防护手册_1.docx

网络安全监测与防护手册

第一章网络安全监测基础理论

1.1网络流量特征与分类

网络流量是衡量网络安全态势的核心数据流，其特征决定了监测策略的有效性。流量大小直接反映了网络的负载水平，例如在正常业务高峰期，HTTP协议的TCP连接数可能达到5000个，而一旦该数值突增至10000以上，往往预示着DDoS攻击或内部服务过载。流量的时间分布特征至关重要，通过观察流量峰值是否集中在特定时间段（如凌晨3点至5点），可以区分正常办公时间内的零星访问与突发性的攻击扫描行为。流量的协议类型和端口分布是识别攻击的关键，例如，未经授权的扫描活动常表现为大量UDP数据包在4