流量量变曲线简介
流量量变曲线是基于在分析时间窗口 (PTW) 收集的连接数据的网络流量图形。此测量可能表示正常网络流量。在学习期后,可以通过对照量变曲线评估新的流量来检测异常网络流量。
默认 PTW 是一周,但是,您可以将其更改为短至 1 小时或长至几周。默认情况下,流量量变曲线会生成系统在五分钟时间区间内生成的连接事件的统计数据。但是,可以将此采样率增加到长达 1 小时。
提示 |
思科建议 PTW 至少包含 100 个数据点。配置 PTW 和采样率,以便流量量变曲线包含足够的数据以具备统计意义。 |
下图显示了 PTW 为一天及采样率为五分钟的流量量变曲线。
您也可以在流量量变曲线中设置非活动周期。流量量变曲线在非活动周期内收集数据,但在计算量变曲线统计数据不使用该数据。一段时间内划分的流量量变曲线图可显示非活动周期为阴影区域。
例如,可以考虑所有工作站均在每晚午夜时备份的网络基础设施。备份大约需要 30 分钟,并将使网络流量达到峰值。可以为流量量变曲线配置周期性非活动周期,以与计划备份相符。
注 |
系统使用连接结束数据创建连接图和流量量变曲线。要使用流量量变曲线,请确保将连接结束事件记录到 管理中心数据库。 |
实施流量量变曲线
当激活流量量变曲线时,系统会收集并评估所配置的学习期 (PTW) 的连接数据。在学习期后,系统评估根据流量量变曲线编写的关联规则。
例如,您可写入当通过网络的数据量(单位为数据包、KB 或连接数)突然达到平均流量以上三个标准差的峰值时触发的规则,这可能表示出现攻击或其他安全策略违规。然后,您可以包括关联策略中的规则以警告您流量达到峰值或执行补救措施作为响应措施。
以流量量变曲线为目标
量变曲线条件和主机配置文件限定条件限制流量量变曲线。
使用量变曲线条件,可以分析所有网络流量,也可以将流量量变曲线限用于监控域、域内或跨域的子网或者单个主机。在多域部署中:
-
分叶域管理员可以分析其分叶域内的网络流量。
-
较高级别的域管理员可以在域内或跨域分析流量。
量变曲线条件还可以使用基于连接数据的条件来限制流量量变曲线。例如,可以设置量变曲线条件,以便流量量变曲线仅使用特定端口、协议或应用来分析会话。
最后,还可以使用有关被跟踪主机的信息来限制流量量变曲线。此类限制被称为主机配置条件限定条件。例如,可以仅收集具有高重要性的主机的连接数据。
注 |
将流量量变曲线限于较高级别的域可汇聚并分析每个后代分叶域中相同类型的流量。系统会为每个分叶域构建单独的网络映射。在多域部署中,跨域分析流量可能会出现意外结果。 |
流量量变曲线条件
您可以创建简单的流量量变曲线条件和主机配置文件限定条件,也可以通过结合和嵌套条件创建较复杂的结构。
条件有三部分:类别、运算符和值。
-
可以使用的类别取决于是构建流量量变曲线条件还是主机配置文件限定条件。
-
可以使用的运算符取决于选择的类别。
-
可用于指定条件值的语法取决于类别和运算符。有时侯,必须在文本字段键入值。有时候,可以从下拉列表中选择一个或多个值。
对于主机配置文件限定条件,还必须指定是否使用有关发起或响应主机的信息数据限制流量量变曲线。
当构建的结构不止一个条件时,必须使用 AND 或 OR 运算符将这些条件结合起来。相同级别的条件会被放在一起评估:
-
AND 运算符要求必须满足其控制的级别上的所有条件。
-
OR 运算符要求必须满足其控制的级别上的至少一个条件。
受限制的流量量变曲线
如果要创建为整个监控网段收集数据的流量量变曲线,可以创建一个非常简单的不带条件的流量量变曲线,如下图所示。
简单流量量变曲线
如果要仅为子网限制流量量变曲线和收集数据,可以添加单个条件,如下图所示。
复杂流量量变曲线
以下流量量变曲线包含以 AND 连接的两个条件。这意味着流量量变曲线仅会在两种条件均为真时收集连接数据。在本示例中,它会收集所有 IP 地址在特定子网中的主机的 HTTP 连接。
相反,在任意一个子网中收集 HTTP 活动连接数据的以下流量量变曲线有三个条件,最后一个构成复杂条件。
从逻辑上讲,上述流量量变曲线应如下进行评估:
(A and (B or C))
关键字 |
为陈述以下情况的条件...... |
---|---|
|
应用协议名称是 HTTP |
|
IP 地址为 10.4.0.0/16 |
|
IP 地址为 192.168.0.0/16 |