如何参照历史数据设定告警有效检测与异常流量

1、余毅颖2006-09-14NetScout应用技巧 案例分析2方法：方法： Longtime Analysis: 对用户网络环境的关键链路进行长时间的流量分析（一个业务周期如7天） Get Link Baseline: 获得用户网络骨干链路的基准资料 流量比特率基准线 数据包速率基准线 未知流量IP Other基准线 Create Alarm: 依据骨干链路的基准资料，建立针对异常流量的告警条件。目标：目标： Be foreign to normal traffic : 日常正常的通信不会导致告警 Abnormity traffic alarm : 当骨干链路上爆发病毒蠕虫或攻击流量时（包括已

2、知的与未知的）： 及时触发告警 通知管理员：发送SNMP Trap 到网管平台，同时发送邮件到指定地址 提供分析证据方法与目标方法与目标网络环境与部署示意简图网络环境与部署示意简图 Longtime Analysis & Get Link Baseline 观察链路层用量曲线周报表（或月报表） 链路层的数据包速率基准线最高值不超过5万个包/秒基准线（入基准线（入/出）出）基准线（总量）基准线（总量）数据包基准速率峰值数据包基准速率峰值3万个万个/秒（进秒（进/出方向）出方向）数据包基准速率峰值数据包基准速率峰值5万个万个/秒（流量总量）秒（流量总量）Create Alarm 告警类型可

3、以是链路层的数据包速率/利用率/应用数据包数量/基准线告警 在这里我们设定：链路层数据包速率如果在30秒内超过200万个，触发告警。持续时间告警类型量度单位阀值设定触发动作触发脚本发送邮件Abnormity traffic alarm告警时间告警触发触发告警的探针接口告警类型描述事件持续时间告警阀值实际事件数值 探针接口if3，2006年9月1日 下午14:43:17触发告警： 链路数据包数量在15秒内产生5,232,161个（五百万），远远超过设定的告警阀值105万/15秒 需要进一步确定流量异常，并深入分析流量异常的类型与源头直接获取告警证据直接获取告警证据 无需要复杂的操作，直接用鼠标双

4、击告警，系统立即弹出左边所示的链路层用量曲线图：流量行为特征分析 事件数值： 从图中可以直观看到，事件发生时，链路的数据包速率（流出方向）达到24万个/秒！ 基准数据： 最重要的是，系统长期分析的基准线显示，链路在该时段的数据包基准速率为2万个/秒，超过基准数值10倍。 方向比较： 蓝色流出方向的数据速率异常，而黄色表示的流入方向低于历史水平；流量行为特征符合异常流量大规模爆发特征。事件发生的数据包速率历史基准线获取异常流量的源头获取异常流量的源头 仍然无需要复杂的操作，直接用鼠标在链路层曲线上点右键，选择最高的网络层主机用量曲线，即获得左图所示的分析结果：确定流量异常，并获得异常源头 确定流

5、量异常： 系统显示，有一个IP在事件发生时间，流出方向数据包速率达到17000包/秒！没有比较就没有依据，（信息中心最繁忙的WEB服务器的数据包速率是2000包/秒） 获理异常源头： 如左图所示，直接把鼠标停留在数值最高的红点上，系统提示该源头IP是：19.109.163.23。 为什么“源头”的数据包速率低于链路层告警值： 同一时间有其他IP产生异常流量 整体异常流量大小超过探针设定的应用层处理能力参数获取异常流量的端口号获取异常流量的端口号端口号数据包数量流量总量 使用TCP/UDP Port Discover功能，可以获得所有未知流量的端口号、数据包数量、流量总量 从上图可以看出TCP端

6、口6786，共生产生28.43G流量，其数据包数量共3.6亿个！可以计算出，TCP6786端口产生的流量，每个数据包的大小为77字节，仅比以太网最小的数据包大13个字节，是比较典型的异常流量包大小。 历史数据追溯以及告警的重要性历史数据追溯以及告警的重要性 查询该骨干链路过去6小时的分析数据，我们发现： 在过去6小时来，链路上一直都有异常流量产生，如上图所示的19.109.27.116，在流出方向每秒种产生10000万个数据包；172.21.160.144在流入方向每秒种产生6000个数据包。 如上图所示，进而分析这些数据包的流量类型，我们发现全部是IP_Other未知流量，且只用在流入方向有流量而流入