简介

动态基线学习为用户配置防御阈值提供参考。

防御策略实质是针对各种协议类型的流量大小设置一个合理的阈值，作为正常流量的上限，当网络中的实际流量大小超过设置的阈值时，则认为流量发生异常，触发相应的攻击防御功能。

在配置防御策略前，用户经常会面临两个疑问：

异常流量清洗方案支持的攻击防御种类很多，用户应根据网络实际情况，开启相应的攻击防御功能，而不是将全部防御功能都打开。

在配置防御策略时，系统会提示配置各种策略的防御阈值。当到达防护对象某种类型的报文超过防御阈值时，系统启动针对这种报文的防御。防御阈值很难根据经验配置，如果配置不当可能会影响正常服务。建议用户先“动态基线学习”，再根据动态基线学习结果设置防御阈值。

攻击检测功能实质就是检测设备对流量进行分类统计，并和预先配置的阈值进行比较，如果超过阈值则认为流量异常，上报管理中心。所以，攻击判断是否准确取决于阈值设置的是否合理。然而，阈值的设置通常没有统一的经验值可循，不同的网络有不同的应用，每种应用又有不同的实际带宽。

因此用户在配置防御阈值前，应该先了解网络中流量的基本模型，根据网络中流量模型手工配置防御阈值。

异常流量清洗方案支持对流量的动态基线学习功能。动态基线学习是指对用户网络流量按时间进行统计，学习正常网络环境中一定时间间隔内的流量最高值，并以曲线形式在管理中心展现给管理员。

动态基线学习周期结束之前，建议用户不要配置防御阈值。动态基线学习完成后，用户手工下发学习结果作为防御阈值。阈值的设置应该略高于正常业务时流量峰值。

动态基线学习可以重复进行，以应对网络流量模型发生变化的场景。

AntiDDoS和AntiDDoS1820-N提供常用防御策略的基线学习功能，管理员可通过基线学习，了解现网的各种协议流量的日常基线值，以便配置合理的防御策略。AntiDDoS基线学习支持的类型详见表1所示。AntiDDoS1820-N基线学习支持的类型详见表2所示。

表2 AntiDDoS1820-N基线学习支持的类型
协议类型	策略项
TCP	Tcp Malformed Flood Bandwidth	Tcp Malformed Flood PacketRate
	TCP SYN Flood Bandwidth	TCP SYN Flood PacketRate
	TCP Fragment Flood Bandwidth	TCP Fragment Flood PacketRate
	TCP ACK Flood Bandwidth	TCP ACK Flood PacketRate
	TCP RST/FIN Flood Bandwidth	TCP RST/FIN Flood PacketRate
UDP	UDP Flood Bandwidth	UDP Flood PacketRate
UDP	UDP Fragment Flood Bandwidth	UDP Fragment Flood PacketRate
ICMP	ICMP Flood Bandwidth	ICMP Flood PacketRate
DNS	DNS Query Flood Bandwidth	DNS Query Flood PacketRate
DNS	DNS Reply Flood Bandwidth	DNS Reply Flood PacketRate
HTTP	HTTP Flood Bandwidth	HTTP Flood PacketRate
HTTPS	HTTPS Flood Bandwidth	HTTPS Flood PacketRate
SIP	SIP Flood Bandwidth	SIP Flood PacketRate
Other	Other Flood Bandwidth	Other Flood PacketRate