Аномалия — это любое отклонение статистических значений трафика от нормальных (номинальных) параметров. Само по себе наличие аномалии не означает, что происходит DDoS-атака. Вывод о наличии атаки можно сделать только после анализа характера отклонений.
Система регистрирует параметры трафика Защищаемого ресурса и рассчитывает их нормальные значения. Эти данные формируют профиль трафика — набор эталонных значений параметров, привязанных ко времени (по часам каждого дня недели).
Профиль строится на статистических наблюдениях и учитывает особенности конкретного ресурса.
Перечень параметров, включенных в профиль, определяется на этапе подключения ресурса к Системе.
Система использует два пороговых уровня:
- Уровень внимания — профильное значение × 1.3
- Уровень тревоги — профильное значение × 1.5
Если значение параметра превышает уровень тревоги, это фиксируется как аномалия по параметру.
Совокупность аномалий или характерное поведение трафика может быть признано Системой как DDoS-атака на Защищаемый ресурс.
Если измеряемый параметр отклоняется от значения профиля более чем на 50% и сохраняется дольше 30 минут, Система определяет это как существенную аномалию, которая может свидетельствовать о возможной DDoS-атаке.
Настройку email-уведомлений об таких аномалиях можно выполнить на странице
«Управление оповещениями» в Портале.
Для корректной работы обнаружения аномалий требуется:
- минимум 1 неделя наблюдений для построения профиля,
- рекомендуется 2 недели для большей точности.
Отображение аномалий в Мониторе состояния становится доступно только после построения профиля.
При этом включить защиту от атак можно сразу, без ожидания формирования профиля.
Система автоматически пересчитывает профили обнаружения не реже одного раза в месяц, обеспечивая актуальность данных и повышение точности выявления атак.
