核心功能
OSI七层逐层深度分析 · 从物理链路到应用层全方位监控
OSI 七层逐层深度分析
按照OSI模型从L1物理层到L7应用层逐层独立分析。每个RX线程拥有独立的L1→L7分析Pipeline,覆盖接口速率、MAC/VLAN/ARP/STP、IP/DNS/ICMP/TTL、TCP会话性能/UDP抖动、TLS证书/JA3指纹、HTTP/SQL/域名流量等全方位监控。
1200+ 应用协议深度识别
集成nDPI深度包检测引擎,支持1200+应用协议识别(微信、YouTube、BitTorrent等),运行时可动态开关。三层递进识别策略:端口启发 → 载荷特征检测 → nDPI深度检测,确保最大覆盖率。
5Gbps 零丢包高性能引擎
基于DPDK事件驱动架构,SpscRing(65536×64B)无锁队列,每Worker独立Pipeline无锁处理。对称RSS哈希确保双向流亲和,避免TCP会话分裂。实测5Gbps+nDPI零丢包,SYN Flood 577K/s零丢包。
TCP 深度性能分析
精确测量SYN-RTT握手延迟、SRT服务器响应时间(P50/P95/P99百分位)、CTT客户端思考时间、TCP Timestamp RTT。重传按Fast/Timeout/Spurious三类细分。零窗口、乱序、重复ACK等异常实时检测。
12 种智能安全检测
内置12种告警检测器:端口扫描、TCP SYN扫描、SYN洪泛、ARP欺骗、DHCP冲突、MAC泛洪、JA3恶意指纹(Metasploit/CobaltStrike等)、证书过期、自签名证书、DNS隧道、明文密码、大数据外传。5分钟去重窗口防止告警风暴。
EMA 基线学习与异常检测
采用EMA指数移动平均 + K-Sigma算法自动建立流量行为基线。监控全局流量速率、包速率、重传率、RTT、活跃会话数等指标,100个采样点后进入稳定状态,3σ偏离自动触发异常告警。
AI 跨层故障诊断
自然语言描述故障现象,AI引擎自动跨L1~L7收集关联数据:链路错误、ARP异常、路由变化、TCP重传、HTTP错误、证书过期等,关联分析后输出故障根因和建议排查步骤。
网络拓扑自动发现
基于流量通信模式AI推断网络拓扑。自动识别设备角色:Host(少量对端)、Switch(大量L2转发)、Router(跨子网通信/TTL递减)、Server(被大量IP主动连接)。节点大小与流量成正比,可视化展示网络架构。
遥测集中管理平台
支持多台分析仪探针同时向遥测服务器推送域名级流量统计数据,集中存储和展示。一键生成PDF/Markdown流量报告,含Top10排行、峰值分析、趋势曲线。数据自动压缩,最长保留365天。Docker一键部署。
技术规格
| 分析架构 | OSI 七层逐层独立分析(L1物理层 → L7应用层) |
| 抓包引擎 | DPDK(高性能)/ libpcap(通用)/ PCAP文件回放 |
| 处理性能 | 5Gbps零丢包(nDPI开启),7Gbps丢包率<0.02% |
| SYN Flood处理 | 577K pps @ 2Gbps 零丢包 |
| 协议识别 | 1200+ 应用协议(nDPI集成,运行时可开关) |
| Worker架构 | Per-Worker无锁Pipeline,对称RSS哈希双向流亲和 |
| TCP性能指标 | SYN-RTT、SRT(P50/P95/P99)、CTT、TCP Timestamp RTT |
| 重传分析 | Fast重传 / Timeout重传 / Spurious虚假重传 三类细分 |
| 安全检测 | 12种检测器(端口扫描/SYN洪泛/ARP欺骗/JA3恶意指纹/DNS隧道等) |
| 基线学习 | EMA + K-Sigma算法,3σ异常检测,100采样点自动稳定 |
| TLS分析 | JA3/JA3S指纹、证书解析(CN/SAN/有效期)、版本/套件强度评估 |
| 域名识别 | HTTP Host + DNS缓存 + TLS SNI 三源聚合 |
| 时序存储 | 5级级联环形缓冲(10s→1m→10m→1h),最长30天 |
| 会话容量 | 50K活跃 + 100K归档,LRU双层驱逐(80%→70%) |
| 会话生命周期 | Active(完整跟踪)→ Condensing(精简)→ Archived(~104B) |
| L2分析 | MAC/VLAN/ARP/STP/LACP/LLDP/QoS/EtherType/帧大小分布 |
| L3分析 | IP资产/DNS/ICMP/子网/双栈/IP矩阵/TTL路径变化/分片统计 |
| AI诊断 | 自然语言输入,跨L1~L7关联分析,输出根因和排查建议 |
| 网络拓扑 | AI推断设备角色(Host/Switch/Router/Server),可视化拓扑图 |
| 遥测平台 | 多探针集中监控,PDF/Markdown报告,365天数据保留,Docker部署 |
| Web界面 | React 19 + TailwindCSS + ECharts,WebSocket秒级实时推送 |
| API接口 | REST API (:8080) + WebSocket (:8081) 实时推送 |
| 数据导出 | 全页面CSV导出,支持PCAP文件下载 |
应用场景
企业网络全流量可视化
旁路部署在核心交换机,OSI七层逐层分析全网流量。实时展示链路利用率、设备通信关系、IP流量排行、应用协议分布、域名访问热度。通过自动拓扑发现呈现网络架构全貌,为网络规划和容量管理提供数据支撑。
TCP/应用性能精准诊断
精确测量每条TCP连接的SRT服务器响应时间(P50/P95/P99)、握手延迟、RTT往返延迟、重传率。快速定位应用访问慢的根因:是网络延迟(RTT高)还是服务端处理慢(SRT高)。HTTP状态码和SQL慢查询分析辅助应用层性能优化。
网络安全威胁实时检测
12种内置安全检测器7x24实时监控:端口扫描、SYN洪泛攻击、ARP欺骗、MAC泛洪、JA3恶意指纹(识别Metasploit/CobaltStrike等工具)、DNS隧道数据外传、证书异常、明文密码传输。EMA基线学习自动发现流量异常偏离。
AI智能故障排查
用自然语言描述故障现象(如"192.168.1.0网段访问外网很慢"),AI引擎自动跨七层收集关联数据进行分析。跨层钻取功能可针对单个IP汇聚其MAC、VLAN、DNS、TCP会话、HTTP事务、TLS证书、告警记录到一个视图,大幅缩短故障排查时间。
多站点集中监控与报告
通过遥测服务器接收多台分析仪探针推送的域名级流量数据,在一个平台集中监控所有监测点。支持一键生成PDF/Markdown格式流量分析报告,含流量Top10排行、峰值速率分析、趋势变化曲线。数据自动压缩保留365天。
加密流量安全监测
无需解密即可分析TLS加密流量:提取JA3/JA3S客户端指纹与内置恶意工具指纹库比对,解析证书信息检测过期和自签名异常,通过SNI识别访问域名。TLS版本和加密套件强度评估帮助发现使用弱加密的连接。
产品对比
与主流网络流量分析产品对比
| 功能特性 | 流光猎影 | 科来网络分析 | ntopng (开源) |
|---|---|---|---|
| 分析模型 | OSI七层逐层独立分析 | 应用层分析为主 | NetFlow/sFlow |
| 协议识别 | 1200+(nDPI集成) | 3000+应用 | 开源规则库 |
| 处理性能 | 5Gbps零丢包(DPDK) | 依赖硬件 | 千兆级 |
| TCP性能分析 | SRT/RTT P50-P99百分位 | 基础统计 | 无 |
| 安全检测器 | 12种(含JA3恶意指纹) | 规则库 | 基础 |
| 基线学习 | EMA+3σ自动异常检测 | 有限 | |
| AI故障诊断 | 自然语言跨层分析 | ||
| 网络拓扑 | AI自动推断设备角色 | 手动配置 | 基础 |
| 加密流量分析 | JA3指纹+证书+SNI | JA3 | |
| 遥测集中管理 | 多探针+PDF报告+365天 | 需额外产品 | |
| 时序数据保留 | 5级级联,最长30天 | 依赖外部存储 | 有限 |
| 实时推送 | WebSocket秒级刷新 | ||
| 国产自主可控 | 开源 | ||
| 参考价格 | 极具竞争力 | $50,000+ | 免费 |