配置基线学习任务

基线学习从启动时间开始按照指定周期学习防护对象中各服务类型的流量基线值，并按照学习任务的设置生成学习结果。

前提条件

已配置防护对象的基本策略并已部署到关联设备上，具体请参见配置防御模式。
防护对象的关联设备已绑定采集器，具体请参见关联采集器和设备。

背景信息

基线学习中的“当前值”指策略项的当前阈值；“基线值”是通过基线学习学到的策略项的流量值；“建议值”是对当前值和基线值经过一定计算得到的策略项的建议阈值。建议值下发到设备上后即变为当前值。建议值的具体计算方法如下：

如果当前已配置防御阈值，则建议值＝当前值×当前值权重+（基线值×容忍度）×(1–当前值权重)；如果当前未配置防御阈值，则建议值＝基线值×容忍度。容忍度取值请参见表1。

表1 容忍度取值
条件	容忍度取值
包速率的基线值<5000pps或带宽的基线值<5Mbit/s时	容忍度为200%
5000pps≤包速率的基线值<30,000pps、5Mbit/s≤带宽的基线值<20Mbit/s、0个≤目的IP地址并发连接数的基线值<5000个、0个≤目的IP地址新建连接数的基线值<1000个、0个≤源IP地址并发连接数的基线值<200个或0个≤源IP地址新建连接数的基线值<200个时	容忍度为160%
5000个≤目的IP地址并发连接数的基线值<30,000个、200个≤源IP地址并发连接数的基线值<300个或200个≤源IP地址新建连接数的基线值<300个时	容忍度为140%
30,000pps≤包速率的基线值<12,000,000pps、20Mbit/s≤带宽的基线值<10240Mbit/s、30,000个≤目的IP地址并发连接数的基线值<12,000,000个、1000个≤目的IP地址新建连接数的基线值<12,000,000个、300个≤源IP地址并发连接数的基线值<12,000,000个、300个≤源IP地址新建连接数的基线值<12,000,000个或SYN报文数阈值的基线值>10个时	容忍度为120%

由于阈值太小会引起误报，当出现下列条件的情况时，建议值取值请参见表2。

表2 建议值取值
条件	建议值取值
包速率的基线值<5000pps时	建议值取为5000pps
带宽的基线值<5Mbit/s时	建议值取为5Mbit/s
目的IP地址并发连接数的基线值<5000个时	建议值取为5000个
目的IP地址新建连接数的基线值<1000个时	建议值取为1000个
源IP地址并发连接数的基线值<200个时	建议值取为200个
源IP地址新建连接数的基线值<200个时	建议值取为200个
SYN报文数阈值的基线值<10个时	建议值取为10个

如果当前基线学习类型设置为“SYN-Ratio比例阈值”，建议值取值请参见表3。

表3 建议值取值
条件	建议值取值
SYN-Ratio比例阈值的基线值<40%时	建议值为50%
40%≤SYN-Ratio比例阈值的基线值<90%时	建议值=基线值+10%
90%≤SYN-Ratio比例阈值的基线值<100%时	建议值为100%

为消除不同区间边界计算出的建议值有重叠问题，ATIC有如下处理：当基线值*当前区间容忍度小于上个区间的最大基线值*上个区间的容忍度时，取上个区间的最大基线值*上个区间的容忍度的结果代入公式计算建议值。
在没有异常攻击的情况下，检测设备才可以进行基线学习。如果发生异常或者攻击，检测设备会停止基线学习，以避免学习到错误的基线数据。
初始使用系统时，建议配置较大的策略阈值，避免误报异常，无法进行基线学习。
清洗设备按照清洗后的转发流量来学习基线。
如遇促销等业务流量剧增的场景，请手动参与调整配置阈值，不可依赖基线学习实现流量突变的策略调整。
源IP地址的新建和并发连接数基线统计未区分目的IP地址，学习的基线值较基于单个目的IP地址的统计值偏大。

操作步骤

选择“防御 > 策略配置 > 防护对象”。
单击“基线学习状态”列的具体状态。

创建基线学习任务，参数说明请参见表4。

表4 创建基线学习任务
参数	说明
基线名称	基线学习任务的名称。
学习周期 (天)	基线学习任务启动后，每五分钟刷新一次学习结果。当完成一个学习周期的学习时，才会将学习结果应用到防御策略中。
当前值权重	当前值在本次计算建议值时所占的比例。
开始时间	当前基线学习任务的开始时间，分为“马上启动”和“自定义时间”两种。马上启动：当前基线学习任务创建好后立即启动学习。自定义时间：自行定义当前基线学习任务的开始基线学习时间，到了设定的时间，此基线学习任务才开始基线学习。
结束时间	当前基线学习任务的结束时间，分为“手动停止”和“自定义时间”两种。手动停止：手动停止当前基线学习任务学习状态。说明：如果选择了“手动停止”，那么当前基线学习任务的结束时间状态显示为空。自定义时间：自定义当前基线学习任务的基线学习结束时间，到了设定的时间，此基线学习任务自动结束基线学习。说明：当“结束时间”晚于“学习周期”时，一个学习周期完成后，设备会自动进入下一个周期的学习，直到到达“结束时间”，停止基线学习。
自动生效	勾选“自动生效”并选中“任意情况下都生效”后，当完成一个周期的学习时，无论学习结果如何，系统均会自动将基线学习结果应用到防御策略中。勾选“自动生效”并选中“当建议值大于当前值时生效”后，当完成一个周期的学习时，如果建议值大于当前值，系统会自动将基线学习结果应用到防御策略中。如果不勾选“自动生效”，则基线学习结果不能自动生效，需要手动确认。

单击“启用”，启用当前防护对象的基线学习任务。
启用基线学习后，单击“停止”可以停止基线学习。

批量设置基线学习。

当多个防护对象的基线学习周期设置为一致时，选中需要配置基线学习的所有防护对象，单击，批量设置基线学习，参数说明请参见表5

表5 批量设置基线学习
参数	说明
共选择防护对象数量	选中需要配置基线学习的所有防护对象个数。
已开启基线学习的防护对象数量	选中防护对象中已经开启基线学习的所有防护对象个数。
开始时间	设置基线学习任务的开始时间，
结束时间	设置基线学习任务的结束时间，
学习周期 (天)	基线学习任务启动后，每五分钟刷新一次学习结果。当完成一个学习周期的学习时，才会将学习结果应用到防御策略中。
当前值权重	当前值在本次计算建议值时所占的比例。
自动生效	勾选“自动生效”并选中“任意情况下都生效”后，当完成一个周期的学习时，无论学习结果如何，系统均会自动将基线学习结果应用到防御策略中。勾选“自动生效”并选中“当建议值大于当前值时生效”后，当完成一个周期的学习时，如果建议值大于当前值，系统会自动将基线学习结果应用到防御策略中。如果不勾选“自动生效”，则基线学习结果不能自动生效，需要手动确认。
停止已经启用的基线学习任务	停止各防护对象中已经启用的基线学习任务。
手动应用建议值	将基线学习任务学习到的结果应用到防护策略中去。选中“任意情况下都生效”后，当完成一个周期的学习时，无论学习结果如何，系统均会自动将基线学习结果应用到防御策略中。选中“当建议值大于当前值时生效”后，当完成一个周期的学习时，如果建议值大于当前值，系统会自动将基线学习结果应用到防御策略中。

操作结果

启动基线学习后，第一个学习周期未完成前，基线学习结果中显示的是自启动时间至当前时间的学习结果；第一个学习周期完成后，基线学习结果中则显示最近完成的一个学习周期的学习结果。
1. 单击“基线学习状态”列的具体状态。
2. 在“基线学习”区域框中，点击“详细”，进入“基线学习结果”界面。
3. 单击“详情”列的，可查看基线学习近一年的历史流量曲线图，并可以直接修改“当前值”。
当基线学习任务中勾选“自动生效”并选中“任意情况下都生效”时，一个基线学习周期完成后，系统会自动将“建议值”应用到防御策略中。

只有防御策略中启用了相应的防御项，基线学习结果才会自动生效。

后续处理

当基线学习的确认方式为“自动生效”时，流量学习结果自动应用到防护对象策略并部署到AntiDDoS或AntiDDoS1820-N设备上。
当基线学习任务中未选中“自动生效”时，需要手动确认流量学习结果，具体请参见应用基线学习结果。