由于网络的部署方式各不相同,不同网络环境的流量特点也千差万别,在这种情况下,一个固定的 DDoS 防护模板无法适应流量多变的场景,而依靠管理员去实时去修改 DDoS 防护模板也几无可能。
ASF系统可以提供一种智能流量基线学习机制,帮助管理员学习网络和应用的流量基线特征,并支持基于学习结果动态刷新防护对象的自动 DDoS 防护模板,从而提供最准确的针对性防护。
01
功能描述
● 流量学习的实现
流量基线学习通过学习防护对象的重要数据指标来构建其流量模型,从而建立起防护对象的行为轮廓,当前周期的流量模型为下个周期的攻击检测提供预测性指导。
针对不同防护对象,流量基线学习可学习的数据指标不同,具体请参见下表。
● 刷新自动DDoS 防护模板
流量基线学习的结果可以用来刷新防护组和防护服务的自动 DDoS 防护模板中的防护规则。流量基线学习的结果为指定流量在本小时时段内数据指标的峰值,当流量超过该峰值时,系统将根据自动刷新的规则进行检查和防护。
● 刷新优先级
流量基线学习采用先学习后刷新的模式,依据当前流量基线学习所在的时段,选取刷新结果的优先级如下:
如果已完成 7*24 小时流量学习,系统将检查同一日期同一时段的学习结果状态是否为“ready”。如果是,将选择此时段的流量基线学习结果来刷新自动 DDoS 防护模板中的防护规则,否则进行下一步。
如果已学满 24 小时但未学满 7*24 小时,将依次检查之前最近一天同一时段的学习结果状态是否为“ready”。如果有状态为“ready”的学习结果,将用此结果刷新自动 DDoS 防护模板中的防护规则,否则进行下一步。
如果未学满 24 小时,检查当天上一时段的学习结果状态是否为“ready”。如果有状态为“ready”的学习结果,将用此结果刷新自动 DDoS 防护模板中的防护规则,否则进行下一步。
不刷新自动 DDoS 防护模板中的防护规则。
02
应用场景
流量基线学习适用于用户网络流量模型会出现周期性变化的场景。通过对用户网络流量周期性变化特征的基线学习,形成对网络和应用的DDoS防护的阈值。通过持续的流量基线学习,可以根据用户网络流量模型变化不断调整DDoS防护的阈值,从而实现精准的防护。
03
功能点价值
管理员可通过基线学习,了解现网的网络和应用的流量基线特征,可以为配置适当的防御策略提供参考。智能流量基线学习支持自动防护策略模板的属性,既减轻了管理员的人工干预,又提高了防护的准确性。
推荐阅读
|
|||
|
|||
|
华耀科技
北京华耀科技有限公司,专注于应用安全、应用交付、云及虚拟化解决方案,客户遍布10余个行业,覆盖8000家单位。主要产品有:应用交付控制器(APV)、远程安全接入网关(AG)、应用安全防火墙(ASF)、网络功能平台(NFP)、AMP集中管理平台等。
