异常流量检测也能“定制化”？——迪普科技Probe3000助您精准定位检测阈值

■ 背景介绍

面对日益严峻的DDoS攻击，政企、金融、教育等用户为确保业务的稳定运行，往往会购买抗DDoS服务。运营商作为最大的异常流量清洗服务提供商，可以通过基于流量阈值、报文特征等方式进行大流量DDoS攻击防护，同时也需要针对不同的用户制定细粒度的检测策略并提供相应的防护，为用户提供更好的流量清洗服务。

在为用户定制防护策略的过程中，流量检测的阈值设定是重要的一环，为此迪普科技Probe3000异常流量检测产品在提供检测策略模版的同时推出基于多维度的流量自学习功能，旨在提升流量检测效率，为防护策略的制定提供可靠的数据支撑。

常见的流量自学习功能普遍将用户的所有应用视为一个整体防护对象，根据一天中整个防护对象的流量趋势筛选出峰值流量进行自学习计算。下图为某传统的检测设备通过该算法得到的某用户业务整体流量趋势和相应检测阈值：

这样的学习方式得到的结果虽然避免了固定阈值的“一刀切”式防护，但仍然存在不可避免的缺陷：无法针对单个IP进行流量分析、学习间隙过长导致模型粗糙、特殊时间段(如凌晨、午休时间等)流量数据无参考价值、正常流量增长误报为攻击等。

对此迪普科技对自学习算法进行了优化，从IP流量、高频采样以及多维度流量特征三个维度展开学习，提升检测策略与用户业务的粘合度。

■ IP流量自学习

该用户的业务包含A、B、C三个IP，Probe3000产品可以对各IP的流量趋势进行单点学习并生成对应的检测阈值：

对比后不难发现，基于整体流量趋势计算得到的检测阈值偏向C地址，该阈值对于A和B并没有实质性的效果。通过对单IP的流量分析和学习，可以给出更具体的检测阈值。

■ 高频采样 精确学习

为了解决学习间隙过长导致采样频率过低，从而导致模型粗糙的问题，Probe3000产品凭借精确的检测算法和高性能硬件架构，将采样频率提高到分钟级别，同时对于某些时间段内不具备学习价值的流量，可以进行相应过滤，保证流量学习的精确性。

以下图为例，在8:00到9:00期间，Probe3000产品采用每5分钟学习一次的频率对地址C制定的检测阈值如下，经对比后发现，在明显发现缩短学习频率后，生成的检测阈值在业务流量未达到默认上限前设备策略始终在不断进行自我完善，很大程度降低了误报的概率。

■ 多维度流量特征

互联网应用流量是由多种流量成分构成的，仅基于总流量来描述流量模型是不精确的，可能会存在不超过总流量阈值但某特定流量成分发起的拒绝服务攻击。如：正常应用总流量为100M时，SYN流量突增20M，虽然不会对总流量产生冲击，但可能对TCP新建连接的性能产生影响。针对这样的问题，Probe3000产品可以深入到流量成分和协议层面进行学习，生成精确到具体流量类型的检测阈值。

继续以C地址为例，流向该地址的各类流量组成如下：

通过深入剖析流量组成类型，当Probe3000产品发现某种流量突增时，会主动停止对该部分异常流量的学习并产生告警信息，准确定位隐藏在正常流量下的攻击，通过对不同类型流量设定相应的流量阈值，可以降低漏报概率，避免检测结果中出现漏网之鱼。

通过高频度、多维度、细粒度的流量自学习功能，可以帮助运营商的运维工程师解决异常流量检测阈值难调整，策略定制不准确等问题。在日常使用中，将固定检测策略模版与自学习功能有效结合使用，可以更大程度的降低运维难度，提高检测精度，提升用户使用满意度。

目前，迪普科技异常流量检测&清洗设备广泛应用于三大运营商，并于2019年独家中标中国移动抗DDoS设备集中采购、独家中标中国联通“云盾抗DDoS平台”新建工程项目。一直以来，迪普科技始终致力于对自身产品功能及性能进行优化，同时不断提高产品服务质量，为客户创造更大价值。