结合Netflow开发的一个网络监控和分析系统與侦测蠕虫不需Pattern(特征)

1.由第三层路由交换器的Netflow或S-Flow数据来收集分析报表，的确可以判断出IP被蠕虫感染的情况，但是要从报表判断出IP被蠕虫感染是要有深厚的网络概念，一般的管理者会吗？PS:常常会误判，因为产生大量Sessions数的原因有二种1.感染蠕虫2.Peer to Peer。
2.资料量很大时,从MRTG可得知;一般10~20Mbps，查询报表时间需要4~5分钟，如果是400Mbps以上一般需要20分钟以上，一般人坐在PC前等30秒都不耐繁更何况是4~5分钟。
3.如果說從MRTG可得知;流量大約在120 ~ 200 Mbps，且報表顯示速度在10秒內，這個市場需求大嗎？
4.一般Netflow的信息安全报表系统,最大缺点就是在大流量时显示时间非常慢,甚至于当机？
解决方式：
1. 报表是否可以直接显示出感染之IP、 Sessions、流量，不需要管理者靠经验来判断。
2. 储存Netflow或S-Flow资料不行使用SQL或MYSQL，须要自行开发算法，这样显示报表才会快，一般针对特定IP及特定时间查询报表需要30秒内，就算是对外流量超过400Mbps以上也是一样。