Понятие аномалий
17 апреля 2024
ID 203019
Аномалия – любое отклонение статистических значений трафика от номинальных значений. Само по себе наличие аномалии не является гарантированным признаком DDoS-атаки; лишь проанализировав характер аномалии, можно прийти к какому-либо определенному выводу.
Система регистрирует ряд параметров трафика Защищаемого ресурса, называемых также измеряемыми параметрами, и определяет их нормальные значения. Профиль трафика Защищаемого ресурса содержит вычисленные Системой нормальные значения некоторых измеряемых параметров, приведенные к астрономическому времени (каждому часу каждого дня недели). Профиль рассчитывается на основе статистических наблюдений. Перечень входящих в профиль параметров определяется на стадии подключения к Системе с учетом специфики Защищаемого ресурса.
Уровни внимания и тревоги определяются как значение профиля трафика, умноженное на некоторые коэффициенты (по умолчанию: 1.3 - для уровня внимания и 1.5 - для уровня тревоги).
Высокое значение параметра, превосходящее уровень тревоги, называется аномалией по данному параметру. Характерное поведение параметров (как правило, совокупность аномалий по нескольким параметрам, но в некоторых случаях их может и не быть) идентифицируется Системой как DDoS-атака на Защищаемый ресурс.
Отклонение реальных значений измеряемого параметра трафика Защищаемого ресурса более чем на 50% от установленного значения Профиля трафика длительностью более 30 минут называется Аномалией, предположительно свидетельствующей о возможной DDoS-атаке (существенной аномалией). Оповещение о таких аномалиях по email можно настроить на странице Портала Управление оповещениями.
Необходимый минимум наблюдений для построения профиля нормальной нагрузки — одна неделя, рекомендуемый — две недели. Обнаружение аномалий и отображение соответствующей информации в Мониторе состояния может быть начато только после построения профиля обнаружения аномалий, т.е. через неделю. Защита от атак, однако, может быть включена в любой момент, в том числе немедленно после подключения.
Система автоматически пересчитывает профили обнаружения не реже раза в месяц для поддержания их в актуальном состоянии.