绵绵的大箩筐

IDS （入侵检测系统）可以发现各种入侵事件，但是海量的报警信息，加上IDS 的报警消息的描述过于专业化，使得非“行家”看不懂，很多IDS 管理员对报警“麻木”以待，一些严重的攻击事件也就“瞒天过海”，这也是“IDS 无用论”产生的重要因素。所以 在解决了IDS报警细、全、准的同时，推出宏观的入侵监测模块——异常流量监测系统就显得非常重要了，以图形化的方式呈现整个网络的流量，用户只需关注流量异常的节点就可以发现重大规模的网络攻击事件，如自动化攻击的蠕虫、恶意代码 等。

大规模网络攻击一般表现前兆期、爆发期、稳定期以及消亡期四个阶段，特别是自动化攻击的蠕虫、恶意代码，如果能够在爆发期以前就能够及时发现、预警，对于后期的治理和降低损失是非常有利的。自动化蠕虫、恶意代码等在爆发前需要做大量的探测，扩大其可利用传染、控制途径，因此特定的网络流量时间走势和流量分布会发生明显的变化，就能够在第一时间迅速发现网络流量的异常，并做出及时而准确的流量异常报警和安全响应。

异常流量监测系统通过旁路侦听的方式对网络数据流进行采集、分析和识别，实时监视网络系统的运行状态，并记录网络中的实时流量信息，发现网络流量的异常变化，并可以对带有具体特征的恶意流量进行有效提取和连续性监测，对于用户把握具体的攻击事件产生的异常流量的威胁程度或地址分布具有独特的价值。网络流量的变化过程的相关信息自动进行存储，通过分析可以形成详细的分析报表。

例如，一般的网络带宽占用都比较均匀，假如通过流量监测系统发现某一IP 的流量突然剧增，则可能是该主机在进行网络扫描，或者该主机正在对外大量传播网络蠕虫，这样管理员即可针对性的对该主机进行检查，以避免恶意扫描攻击或者大规模蠕虫传播等事件的发生。

异常流量监测系统可以通过使用单独的硬件化流量引擎来进行流量监测，也可以作为网络入侵检测系统的附加模块进行结合使用，是对网络入侵检测系统的有效补充，也是入侵管理中一个重要组成部分。

对异常流量监测系统的管理控制是可以和网络入侵检测系统的管理控制中心进行同台管理。针对流量监测所需要的连续性观测是通过单独的流量监测中心来完成，提供了多样化的流量显示方式，并产生异常流量的报警信息和异常流量查看。