大象流非常大（以总字节数为单位），由 TCP（或其他协议）设置的相对长运行的网络连接通过网络链路测量。默认情况下，大象流是速率大于每 10 秒 1GB 的流。它们可能会在 Snort 核心中造成性能威胁或问题。大象流很重要，因为它们可能会消耗过多的 CPU 资源，并影响检测资源的其他竞争流，并导致延迟增加或丢包等问题。

• 大象流配置允许自定义和绕过甚至限制大象流的选项。

• 您可以选择绕过或限制基于所选应用的流量，以提供可疑流量的 Snort 检查，同时绕过更受信任的流量。

• 大象流补救有助于根据您的特定要求确定优先级并为内部应用释放更多带宽。

当根据配置的参数检测到大量流时，您可以选择绕过或限制该流。当流量被绕过时，允许流量通过而不进行 Snort 检查。限制表示流量吞吐量降低。以 10% 的增量降低流量，直到 CPU 使用率降至配置的阈值以下。在识别大流并满足额外的 CPU 和时间窗口参数后，会发生绕行或限制。在识别大流之前，入侵策略会处理流，假设您已在“允许”规则中配置此流。这意味着不允许大量流在完全未经检查的情况下通过系统，因为大多数攻击都是在连接中很早就被检测到的。

要了解如何处理流，请参阅以下流程图。

除非系统检测到 Snort 强制条件（性能问题），否则不会执行任何操作。系统不会仅仅因为流量大而限制或绕过流量。此外，限制和旁路的操作是相互排斥的。这意味着您可以绕过或限制流，但不能同时绕过或限制流。

如果您不想绕过导致威胁的所有大流，可以将绕过选项限制为仅适用于特定应用。您可以优先考虑您信任的应用的连接，而不会限制性能。您可以配置必须绕过的应用，但剩余流量（导致威胁）将受到限制。这可确保其他不受信任的应用流仍会收到完整的 Snort 检测，尽管其带宽已减少。

在数据中心中，会发生多项活动，例如集群之间的数据复制、虚拟机集成和数据库备份。组织中的用户可能正在 OTT 上观看或下载视频。此类活动的带宽利用率可能会导致大量流量，降低网络速度并影响重要任务的性能。作为网络管理员（根据您的特定要求），您希望了解导致带宽问题的大型数据流并进行补救。

例如，让我们看看如何配置大流参数来绕过 WebEx 流量（您的组织用于实时视频会议）并限制其余应用或连接，包括视频、电影等。

• 确保您运行的是管理中心 7.2.0 或更高版本，并且托管威胁防御也是 7.2.0 或更高版本。

• 仅启用大象流检测不会生成其他连接事件。大象流检测将大象流表示法添加到已记录到管理中心的匹配连接。要记录这些事件，必须在访问控制策略中启用连接日志记录。您可以对特定规则执行此操作，也可以添加记录所有连接（包括大流）的监控规则。