动态基线学习为用户配置防御阈值提供参考。
防御策略实质是针对各种协议类型的流量大小设置一个合理的阈值,作为正常流量的上限,当网络中的实际流量大小超过设置的阈值时,则认为流量发生异常,触发相应的攻击防御功能。
在配置防御策略前,用户经常会面临两个疑问:
异常流量清洗方案支持的攻击防御种类很多,用户应根据网络实际情况,开启相应的攻击防御功能,而不是将全部防御功能都打开。
在配置防御策略时,系统会提示配置各种策略的防御阈值。当到达防护对象某种类型的报文超过防御阈值时,系统启动针对这种报文的防御。防御阈值很难根据经验配置,如果配置不当可能会影响正常服务。建议用户先“动态基线学习”,再根据动态基线学习结果设置防御阈值。
攻击检测功能实质就是检测设备对流量进行分类统计,并和预先配置的阈值进行比较,如果超过阈值则认为流量异常,上报管理中心。所以,攻击判断是否准确取决于阈值设置的是否合理。然而,阈值的设置通常没有统一的经验值可循,不同的网络有不同的应用,每种应用又有不同的实际带宽。
因此用户在配置防御阈值前,应该先了解网络中流量的基本模型,根据网络中流量模型手工配置防御阈值。
异常流量清洗方案支持对流量的动态基线学习功能。动态基线学习是指对用户网络流量按时间进行统计,学习正常网络环境中一定时间间隔内的流量最高值,并以曲线形式在管理中心展现给管理员。
动态基线学习周期结束之前,建议用户不要配置防御阈值。动态基线学习完成后,用户手工下发学习结果作为防御阈值。阈值的设置应该略高于正常业务时流量峰值。
动态基线学习可以重复进行,以应对网络流量模型发生变化的场景。