有哪些異常流量檢測方法

針對幾種實際應用中的流量異常，其檢測方法主要有：分類過濾、統計分析、TOPN 排序、模式匹配等方法。由于網絡流量本身具有突發性和快速變化的特點，因此，在實際使用時需要結合網絡拓撲、流量特點、采集協議、監控目的等情況，適當選擇相應方法。

• 分類過濾：網絡流量包含非常豐富的內容，出于不同的目的，一般會按不同標準將流量分類，并過濾出需要的部分重點分析。可以通過靈活的多層邏輯分析功能，將關心的流量從龐雜的流量中抽取出來，在此基礎上再進一步分析。

• 統計分析：在分類的基礎上，對數據流量按照設定的標準進行統計，例如：求和、求差、求平均數等。歷史數據可以用于對不同屬性建立正常模型，常用的方法包括絕對值模型、移動平均模型、正態分布模型等。這些模型設定不同的上下限，超過限定值則觸發報警。

• TOP 排序：對流量速率、發包速率、流速率或者流量、發包數、流數進行排序。如果發現網絡有問題，則排名在前的幾項可能是問題所在。

• 模式匹配：根據已有的異常數據庫的規則，對特定的流屬性進行匹配，可以判斷發生的異常類型。常見的模式匹配包括特定端口匹配、IANA保留IP地址匹配、特定IP地址匹配等。

回答所涉及的環境：聯想天逸510S、Windows 10。