网络可视化厂商行业报告（35页）

网络可视化技术最初衍生于传统网络安全市场。一般而言，传统的网络安全产品大致可分为三大子类别，分别是安全硬件（认证硬件、应用硬件）、安全软件、安全服务（咨询/实施/运维/培训等）。而传统的网络安全硬件包括防火墙、VPN、入侵检测与防御系统（IDS&IPS）以及统一威胁管理（UTM）。传统网络安全硬件负责网络安全第一关。主要负责限制非法数据通过，阻断网络攻击等任务。

假如将传统网络硬件产品比作“大门、门禁和门锁”，则网络可视化基础架构设备是网络流量的“监控摄像头”。随着网络技术的演进，针对Web 应用层的攻击威胁越来越大。一般的防火墙只能针对指定的IP 地址、端口、协议来进行防护，而恶意软件在盗窃个人隐私时或者接收外部攻击指令时，传统的防火墙并无法阻止。在2000 年左右，最初基于DPI 的网络可视化技术应运而生。

DPI 技术，即深度报文检测（Deep Packet Inspection），是网络可视化的核心。其中，报文是指数据传送的基本单位（Packet）。传统的报文检测仅分析IP 包的4 层以下元素，包括源地址、目的地址、源端口、目的端口及协议类型。当网络上的一些非法应用采用隐藏或假冒端口号的方式躲避检测和监管，进行仿冒合法报文时，L2~L4 层的传统检测方法无能为力，而DPI 增加了应用层分析，革命之处在于可以识别各种恶意应用及其内容。

网络数据是一种“图类”数据，体现了多个节点之间的关系。IP 网络运维存在三个“不可视”的黑匣子现象。网络可视化将网络数据以图形化的方式展示出来，最终需要利用人类视觉系统分析，因此不单只需要数据采集设备，而且需要快速直观地解释及概览网络结构数据的应用，包括1、辅助认识网络的内部结构；2、挖掘隐藏在网络内部有价值的信息。

狭义上的网络可视化市场由前端与后端市场组成的：通常我们将数据的采集、汇聚与预处理称为网络可视化产业的“前端”，而将数据还原、存储、分析与处理称为网络可视化的“后端”。网络可视化技术发展到现在，其下游应用领域已经不单只局限在网络网络安全领域，也可以向包括大数据分析、挖掘、网络优化、商业智能等领域延伸，可组成整体解决方案提供给客户。