如何參照歷史數(shù)據(jù)設(shè)定告警有效檢測與分析異常流量

1、余毅穎2006-09-14NetScout應(yīng)用技巧 案例分析2方法：方法： Longtime Analysis: 對用戶網(wǎng)絡(luò)環(huán)境的關(guān)鍵鏈路進(jìn)行長時(shí)間的流量分析（一個(gè)業(yè)務(wù)周期如7天） Get Link Baseline: 獲得用戶網(wǎng)絡(luò)骨干鏈路的基準(zhǔn)資料 流量比特率基準(zhǔn)線 數(shù)據(jù)包速率基準(zhǔn)線 未知流量IP Other基準(zhǔn)線 Create Alarm: 依據(jù)骨干鏈路的基準(zhǔn)資料，建立針對異常流量的告警條件。目標(biāo)：目標(biāo)： Be foreign to normal traffic : 日常正常的通信不會(huì)導(dǎo)致告警 Abnormity traffic alarm : 當(dāng)骨干鏈路上爆發(fā)病毒蠕蟲或攻擊流量時(shí)（包括已

2、知的與未知的）： 及時(shí)觸發(fā)告警 通知管理員：發(fā)送SNMP Trap 到網(wǎng)管平臺(tái)，同時(shí)發(fā)送郵件到指定地址 提供分析證據(jù)方法與目標(biāo)方法與目標(biāo)網(wǎng)絡(luò)環(huán)境與部署示意簡圖網(wǎng)絡(luò)環(huán)境與部署示意簡圖 Longtime Analysis & Get Link Baseline 觀察鏈路層用量曲線周報(bào)表（或月報(bào)表） 鏈路層的數(shù)據(jù)包速率基準(zhǔn)線最高值不超過5萬個(gè)包/秒基準(zhǔn)線（入基準(zhǔn)線（入/出）出）基準(zhǔn)線（總量）基準(zhǔn)線（總量）數(shù)據(jù)包基準(zhǔn)速率峰值數(shù)據(jù)包基準(zhǔn)速率峰值3萬個(gè)萬個(gè)/秒（進(jìn)秒（進(jìn)/出方向）出方向）數(shù)據(jù)包基準(zhǔn)速率峰值數(shù)據(jù)包基準(zhǔn)速率峰值5萬個(gè)萬個(gè)/秒（流量總量）秒（流量總量）Create Alarm 告警類型可以是鏈路

3、層的數(shù)據(jù)包速率/利用率/應(yīng)用數(shù)據(jù)包數(shù)量/基準(zhǔn)線告警 在這里我們設(shè)定：鏈路層數(shù)據(jù)包速率如果在30秒內(nèi)超過200萬個(gè)，觸發(fā)告警。持續(xù)時(shí)間告警類型量度單位閥值設(shè)定觸發(fā)動(dòng)作觸發(fā)腳本發(fā)送郵件Abnormity traffic alarm告警時(shí)間告警觸發(fā)觸發(fā)告警的探針接口告警類型描述事件持續(xù)時(shí)間告警閥值實(shí)際事件數(shù)值 探針接口if3，2006年9月1日 下午14:43:17觸發(fā)告警： 鏈路數(shù)據(jù)包數(shù)量在15秒內(nèi)產(chǎn)生5,232,161個(gè)（五百萬），遠(yuǎn)遠(yuǎn)超過設(shè)定的告警閥值105萬/15秒 需要進(jìn)一步確定流量異常，并深入分析流量異常的類型與源頭直接獲取告警證據(jù)直接獲取告警證據(jù) 無需要復(fù)雜的操作，直接用鼠標(biāo)雙擊告警，

4、系統(tǒng)立即彈出左邊所示的鏈路層用量曲線圖：流量行為特征分析 事件數(shù)值： 從圖中可以直觀看到，事件發(fā)生時(shí)，鏈路的數(shù)據(jù)包速率（流出方向）達(dá)到24萬個(gè)/秒！ 基準(zhǔn)數(shù)據(jù)： 最重要的是，系統(tǒng)長期分析的基準(zhǔn)線顯示，鏈路在該時(shí)段的數(shù)據(jù)包基準(zhǔn)速率為2萬個(gè)/秒，超過基準(zhǔn)數(shù)值10倍。 方向比較： 藍(lán)色流出方向的數(shù)據(jù)速率異常，而黃色表示的流入方向低于歷史水平；流量行為特征符合異常流量大規(guī)模爆發(fā)特征。事件發(fā)生的數(shù)據(jù)包速率歷史基準(zhǔn)線獲取異常流量的源頭獲取異常流量的源頭 仍然無需要復(fù)雜的操作，直接用鼠標(biāo)在鏈路層曲線上點(diǎn)右鍵，選擇最高的網(wǎng)絡(luò)層主機(jī)用量曲線，即獲得左圖所示的分析結(jié)果：確定流量異常，并獲得異常源頭 確定流量異常：

5、 系統(tǒng)顯示，有一個(gè)IP在事件發(fā)生時(shí)間，流出方向數(shù)據(jù)包速率達(dá)到17000包/秒！沒有比較就沒有依據(jù)，（信息中心最繁忙的WEB服務(wù)器的數(shù)據(jù)包速率是2000包/秒） 獲理異常源頭： 如左圖所示，直接把鼠標(biāo)停留在數(shù)值最高的紅點(diǎn)上，系統(tǒng)提示該源頭IP是：19.109.163.23。 為什么“源頭”的數(shù)據(jù)包速率低于鏈路層告警值： 同一時(shí)間有其他IP產(chǎn)生異常流量 整體異常流量大小超過探針設(shè)定的應(yīng)用層處理能力參數(shù)獲取異常流量的端口號獲取異常流量的端口號端口號數(shù)據(jù)包數(shù)量流量總量 使用TCP/UDP Port Discover功能，可以獲得所有未知流量的端口號、數(shù)據(jù)包數(shù)量、流量總量 從上圖可以看出TCP端口678

6、6，共生產(chǎn)生28.43G流量，其數(shù)據(jù)包數(shù)量共3.6億個(gè)！可以計(jì)算出，TCP6786端口產(chǎn)生的流量，每個(gè)數(shù)據(jù)包的大小為77字節(jié)，僅比以太網(wǎng)最小的數(shù)據(jù)包大13個(gè)字節(jié)，是比較典型的異常流量包大小。 歷史數(shù)據(jù)追溯以及告警的重要性歷史數(shù)據(jù)追溯以及告警的重要性 查詢該骨干鏈路過去6小時(shí)的分析數(shù)據(jù)，我們發(fā)現(xiàn)： 在過去6小時(shí)來，鏈路上一直都有異常流量產(chǎn)生，如上圖所示的19.109.27.116，在流出方向每秒種產(chǎn)生10000萬個(gè)數(shù)據(jù)包；172.21.160.144在流入方向每秒種產(chǎn)生6000個(gè)數(shù)據(jù)包。 如上圖所示，進(jìn)而分析這些數(shù)據(jù)包的流量類型，我們發(fā)現(xiàn)全部是IP_Other未知流量，且只用在流入方向有流量而流入方