@怪人
1年前 提问
1个回答

有哪些异常流量检测方法

delay
1年前
官方采纳

针对几种实际应用中的流量异常,其检测方法主要有:分类过滤、统计分析、TOPN 排序、模式匹配等方法。由于网络流量本身具有突发性和快速变化的特点,因此,在实际使用时需要结合网络拓扑、流量特点、采集协议、监控目的等情况,适当选择相应方法。

  • 分类过滤:网络流量包含非常丰富的内容,出于不同的目的,一般会按不同标准将流量分类,并过滤出需要的部分重点分析。可以通过灵活的多层逻辑分析功能,将关心的流量从庞杂的流量中抽取出来,在此基础上再进一步分析。

  • 统计分析:在分类的基础上,对数据流量按照设定的标准进行统计,例如:求和、求差、求平均数等。历史数据可以用于对不同属性建立正常模型,常用的方法包括绝对值模型、移动平均模型、正态分布模型等。这些模型设定不同的上下限,超过限定值则触发报警。

  • TOP 排序:对流量速率、发包速率、流速率或者流量、发包数、流数进行排序。如果发现网络有问题,则排名在前的几项可能是问题所在。

  • 模式匹配:根据已有的异常数据库的规则,对特定的流属性进行匹配,可以判断发生的异常类型。常见的模式匹配包括特定端口匹配、IANA保留IP地址匹配、特定IP地址匹配等。