无论是操作系统、应用软件、网络设备还是业务系统都普遍存在未知的漏洞，这使得在网络*火军**民用化、网络攻击组织化的大背景下，网络安全面临更加严峻的挑战。传统的安全监测方法大都是基于已知规则库进行监测，可检测出已知安全威胁，但对未知威胁则无能为力，且对正在发生或已造成损失的入侵行为无法做到完整的溯源取证和损失评估。

“网络全流量分析是行之有效的手段，因为再高级的攻击，都会留下网络痕迹。网络攻击者的行为和我们正常的网络访问行为是不一样的”。现在市面上也有很多TSA安全分析系统，目前中国移动也推出一个全流量安全监测平台，该平台集DDOS、数据防火墙、IDS等为一体作为基础威胁分析器（探针），在网络出口处部署流量采集工具，通过分光/镜像手段获取网络实时流量，同时通过Ftp、Syslog等协议方式采集安全设备日志及文件数据； 采集到的流量、日志及文件数据经DPI、DFI解析及文件还原等方式提取出行为元数据，并将元数据交由端侧分析引擎进行规则检测、沙箱检测及相关的数据统计，该环节采用传统网络流量分析手段，能及时发现已知威胁；端侧分析引擎将上述检测结果和统计数据发送给平台侧分析引擎，平台侧分析引擎利用大数据行为建模、深度溯源关联分析等手段，在识别已知威胁的基础上，进一步识别未知威胁，还原整个安全事件，并结合前端输出，最终向客户展示可视化的安全事件分析结果

全天候全方位实时地识别网络流量数据，通过与威胁情报、行为模型匹配，发现未知威胁、木马通讯、隐蔽信道等异常行为。利用流量可视化能力，看见资产、看清安全洼地、看透安全隐患，为用户构建灵敏的网络威胁感知能力，展示全方位的网络安全态势通过安全事件关联分析，完整拓线各类事件数据，判断告警的准确性、严重性及威胁事件的结果，帮助用户进行影响面评估，发现安全弱点和盲点，并及时采取相应处置措施，阻止事态继续发展。对网络原始通讯数据进行全流量完整保存，通过秒级提取海量历史流量数据，还原网络安全事件发生时的全部网络通讯内容，实现数据包级的数据取证和责任判断，并对攻击事件的影响和处置效果进行长期跟踪与评估。