忽略无关的流。例如忽略 DNS 流。被忽略的流将不再被记录。这不但可以节省宝 贵的存储空间，使被分析的数据更聚焦，更有助于提高查询分析效率。
控制会话内容的解析。系统默认不存储应用的会话内容，如需存储会话内容，可通 过配置策略实现。会话内容可读性强，对于流量的初步分析十分有帮助。
控制原始流量的存储。系统默认不存储原始流量，如需存储原始流量，也可通过配 置策略实现。原始流量对专家分析、回溯、取证等必不可少。
连接时长、互联方向（国际和省际有效）、源和目的 IP 地址、源和目的 IP 分组、源 和目的 IP 归属地、连接状态等。 灵活的分组条件。支持对查询结果按照源 IP、目的 IP、源 IP 所属分组、目的 IP 所 属分组、源 IP 归属地、目的 IP 归属地、端口、传输层协议、服务单独或组合分组。 灵活的排序条件。支持对查询结果按照源 IP、目的 IP、频次、流量、时长排序，排 序优先级可配置，支持升序和降序排列。 用户还可以对互联查询汇总结果进行下钻，这样可以看到具体的明细。 系统还支持将查询结果导出为 excel、csv，供离线分析使用。
未知资产发现
系统支持未知 IT 资产的自动发现和告警。未知 IT 资产是指那些没有在本系统注册的， 不明身份的 IT 资产。对未知 IT 资产，系统会报告该 IT 资产的 IP 地址、访问频次、最近活跃 时间、所属 IP 分组等关联信息，辅助用户分析未知 IT 资产的合法性。对于确认合法的 IT 资 产，用户可以将其注册到本系统，使之成为合法 IT 资产。
启明星辰
3
FlowEye 安全域流监控系统
启明星辰
系统支持通过 excel 模板导入和导出资产。对于那些已经有第三方资产管理系统并能导 出资产列表的用户，资产导入的方式为用户在本系统建立资产列表提供了便利。另一方面， 通过导出本系统的资产信息，也可以提供给第三方系统使用。
开放端口检测
资产管理
系统支持对资产开放端口的自动检测。用户可以很方便地掌握每个 IT 资产的开放端口 情况，从而确定端口开放的合法性。
研究分析发现，当前的木马行为从流量特征看，普遍具有反向连接（被植入木马的机器 主动连接控制端）、上户数据，流量大。这也是木马区别蠕虫、病毒的一个显著特征）、数据加 密（逃避基于内容特征的检测）、心跳（告知控制端被控端已上线）等行为特征。
目前，系统已成功应用于运营商、金融、能源、军队、公安、政府 、烟草、教育等多个 领域，成功帮助众多客户实现了安全运维管理工作从被动向主动、安全建设路线从合规化向 合规与实际需求相结合、网络威胁从被动响应向主动感知、主动干预的转变。
二、 功能介绍
数据存储
无论是“数据驱动安全”的观点，还是“大数据胜于好算法”的观点，都越来越强调数 据对于安全的重要性。系统可提供海量的数据存储能力。支持流信息 、会话内容、原始流量 的存储，并提供灵活的存储策略。
原始流量
支持以 pcap 格式存储原始网络流量，并可通过 Web 界面下载到本地，用常见的抓包分 析工具（如 wireshark、tcpdump 等）进行离线分析。
启明星辰
2
FlowEye 安全域流监控系统
启明星辰
存储策略
支持灵活的存储策略。系统默认存储所有捕获和解析出的流数据。用户也可以通过配置 策略让系统只存储特定的数据。特别值得一提的是，策略的地址对象支持地理区域的配置， 如境外、某国、某省等。这对于那些无法用 IP 地址精确描述的场合十分有用。典型地，用 户通过策略配置可以：
FlowEye 安全域流监控系统
北京启明星辰信息安全技术有限公司 启明星辰 2015-11-18
FlowEye 安全域流监控系统
启明星辰
一、 二、
三、 四、 五、
目录
产品概述..................................................................................................... 2 功能介绍..................................................................................................... 2 数据存储..................................................................................................... 2 资产管理..................................................................................................... 3 流量分析..................................................................................................... 4 异常检测..................................................................................................... 7 流量监控..................................................................................................... 9 防火墙策略管理 ........................................................................................ 11 系统管理................................................................................................... 14 关键技术................................................................................................... 15 产品部署................................................................................................... 16 产品优势................................................................................................... 17 无干扰式部署............................................................................................ 17 数据丰富................................................................................................... 17 分析灵活................................................................................................... 17 名单策略配置灵活..................................................................................... 17 未知木马流量检测..................................................................................... 17 可视化展现 ............................................................................................... 17 操作简单................................................................................................... 17
流信息
包括基本的 MAC 地址、IP 地址、端口、传输协议、服务类型、起止时间、上下行流量 等，还包括 IP 地理位置，以及由用户配置的所属分组、设备名称、业务系统名称等扩展信 息。
会话内容
支持 Oracle、MS-SQL、Sybase、Telnet、HTTP、FTP 等应用的内容解析和存储。用户可 以透过解析出的内容直观地看到更易于理解的细节，如登录账号、操作类型、操作对象等。
存储策略配置
资产管理
系统支持资产分组管理、开放端口检测、未知资产的自动发现，并提供报表。
分组管理
系统支持用户根据自身的资产管理方式对 IT 资产进行分组管理。例如，用户可以按照 业务系统、子网、组织结构的划分建立分组。一个分组下还可以进行细分，建立子分组。系 统支持用户建立 4 级分组。分组管理方式的支持，在方便用户管理资产的同时，也提供了用 户从分组视角进行流量分析的手段。
启明星辰
4
FlowEye 安全域流监控系统
启明星辰
互联查询
系统内置国际互联、省际互联、本地互联、自定义互联四个查询接口。 国际互联是指境外 IP 与本地网络发生的互联。省际互联是指国内它省与本地网络发生 的互联。本地互联是指本地网络内部发生的互联。自定义互联用于用户自己灵活制定查询条 件、分组和排序条件。 系统提供灵活的查询分析能力，体现在： 丰富的查询条件。查询条件包括时间范围、端口、采集引擎、服务、频次、流量、
国际互联查询
省际互联查询
启明星辰