如何参照历史数据设定告警有效检测与异常流量.ppt

* 如何参照历史数据设定告警 有效检测与分析异常流量 余毅颖 2006-09-14 NetScout应用技巧 — 案例分析2 方法： Longtime Analysis:  对用户网络环境的关键链路进行长时间的流量分析（一个业务周期如7天） Get Link Baseline: 获得用户网络骨干链路的基准资料 流量比特率基准线 数据包速率基准线 未知流量IP Other基准线 Create Alarm: 依据骨干链路的基准资料，建立针对异常流量的告警条件。 目标： Be foreign to normal traffic : 日常正常的通信不会导致告警 Abnormity traffic alarm : 当骨干链路上爆发病毒蠕虫或攻击流量时（包括已知的与未知的）： 及时触发告警 通知管理员：发送SNMP Trap 到网管平台，同时发送邮件到指定地址 提供分析证据 方法与目标 网络环境与部署示意简图 Longtime Analysis Get Link Baseline 观察链路层用量曲线周报表（或月报表） 链路层的数据包速率基准线最高值不超过5万个包/秒 基准线（入/出） 基准线（总量） 数据包基准速率峰值3万个/秒（进/出方向） 数据包基准速率峰值5万个/秒（流量总量） Create Alarm 告警类