Поддержка

Поддержка приложений для бизнеса

Kaspersky DDoS Protection

DDoS-атака

Понятие аномалий
Kaspersky DDoS Protection
Онлайн-справка
FAQ Скачать Форум Запрос в поддержку Утилиты для лечения Видео о продуктах

Понятие аномалий

17 апреля 2024

ID 203019

Аномалия – любое отклонение статистических значений трафика от номинальных значений. Само по себе наличие аномалии не является гарантированным признаком DDoS-атаки; лишь проанализировав характер аномалии, можно прийти к какому-либо определенному выводу.

Система регистрирует ряд параметров трафика Защищаемого ресурса, называемых также измеряемыми параметрами, и определяет их нормальные значения. Профиль трафика Защищаемого ресурса содержит вычисленные Системой нормальные значения некоторых измеряемых параметров, приведенные к астрономическому времени (каждому часу каждого дня недели). Профиль рассчитывается на основе статистических наблюдений. Перечень входящих в профиль параметров определяется на стадии подключения к Системе с учетом специфики Защищаемого ресурса.

Уровни внимания и тревоги определяются как значение профиля трафика, умноженное на некоторые коэффициенты (по умолчанию: 1.3 - для уровня внимания и 1.5 - для уровня тревоги).

Высокое значение параметра, превосходящее уровень тревоги, называется аномалией по данному параметру. Характерное поведение параметров (как правило, совокупность аномалий по нескольким параметрам, но в некоторых случаях их может и не быть) идентифицируется Системой как DDoS-атака на Защищаемый ресурс.

Отклонение реальных значений измеряемого параметра трафика Защищаемого ресурса более чем на 50% от установленного значения Профиля трафика длительностью более 30 минут называется Аномалией, предположительно свидетельствующей о возможной DDoS-атаке (существенной аномалией). Оповещение о таких аномалиях по email можно настроить на странице Портала Управление оповещениями.

Необходимый минимум наблюдений для построения профиля нормальной нагрузки — одна неделя, рекомендуемый — две недели. Обнаружение аномалий и отображение соответствующей информации в Мониторе состояния может быть начато только после построения профиля обнаружения аномалий, т.е. через неделю. Защита от атак, однако, может быть включена в любой момент, в том числе немедленно после подключения.

Система автоматически пересчитывает профили обнаружения не реже раза в месяц для поддержания их в актуальном состоянии.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!