基本目标
时发现异常的流量攻击事件,并且自动上报清洗平台,完成流量清洗
攻击检测
Syn flood
基于检测对象,对pps做汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,目标IP,目标端口
Ack flood
基于检测对象,对pps或bps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,bps,目标IP,目标端口
Udp flood
基于检测对象,对pps或bps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,bps,目标IP,目标端口
ICMP flood
基于检测对象,对pps或bps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,bps,目标IP,目标端口
Http get flood
基于检测对象,对pps或bps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps、bps,目标IP,目标端口
Http post flood
基于检测对象,对pps或bps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,目标IP,目标端口
Https
基于检测对象,对就445端口的psh+ack报文pps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,目标IP,目标端口
DNS Flood
基于检测对象,对bps或pps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps、bps,目标IP,目标端口
NTP 放大攻击
基于检测对象,对源端口123 的报文pps汇聚统计,超过阈值告警触发,告警内容包括:攻击类型、起始时间、流量大小pps、bps,目标IP,目标端口
HTTP慢速攻击
基于检测对象,对http访问异常的报文数据进行统计,发现异常产生告警。
连接攻击
基于检测对象,当并发和累计连接数超出阈值时产生告警
空路由
基于防护对象,当流量超过设备阈值,产生空路由告警,并通知第三方设备完成黑洞路由流量清洗的功能
智能检测
自动检测到payload异常,并能够形成防护规则
关于检测对象的定义:
对象可以是一个IP、或一组IP、或网段也可以是离散的IP,检测策略应用到防护对象
统计周期,包括5分钟,最近3小时,最近24小时,1周,1月,一年
流量基线学习
基于防护对象流量的学习,包括bps,pps,学习
基于防护对象tcp协议各种标记位的学习,包括syn,ack,rst,fin, psh+ack,单位pps
基于防护对象各种协议流量的学习,包括tcp,udp,icmp,other ,单位bps,pps
基于防护对象应用层防护流量的学习,包括http get, dns query, 单位qps,pps
基于防护对象包长比例的学习,0-64,,74-100,100-500,500-1000,1000-15000
流量自学习能够自动生成防护对象的策略参数上传到管理平台,并应用防护设备
HTTP协议分析
基于防护对象统计周期内的get,post,put各种方法的统计
基于防护对象在统计周期内response的各种返回的code统计,包括1xx,2xx,3xx,4xx,5xx,other
基于防护对象TOPn URL访问统计分析
基于防护对象TOPN 源IP流量访问统计,包括bps,pps,total
DNS协议分析
基于防护对象在统计周期内dns query统计,单位bps/pps
基于防护对象在攻击周期内容dns reponse报文类型统计
连接分析
基于防护对象在统计周期内的并发连接数和新建连接数的统计分析
基于防护对象长连接的流量分析,显示连接的5元组信息以及bps,pps流量数据,并topn排序
源IP流量分析
基于防护对象源IP流量在统计周期内的topn分析
策略管理
2级防护策略,基于检测对象和全局对象进行策略管理
CLI接口对检测策略进行管理,直接应用到防护引擎
restful接口,能够接受集中管理平台的管理
数据上传
检测器定期输出流量和日志数据上传给管理平台,用于生成报表和实时状态监控
联动方式
将判断是攻击的IP相关信息通告给管理平台,通讯方式包括
- Http post
- 内部自定义通讯协议
- 攻击告警发生后,检测设备能够将告警信息同步给防护设备完成流量牵引,或者是通知第三方设备进行黑洞空路由
扫一扫
6409
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
