更新时间:2025-12-03 GMT+08:00
异常流量排查
应用场景
基于流量统计数据,分析流量异常情况,定位业务问题或者网络威胁。
前提条件
NDR检测插件已经安装到业务主机上,开启了防护功能。
步骤一:整体流量情况检视
- 典型流量分析场景
流量激增或跳变:可通过流量趋势折线图,了解特定时间段内存在流量突变情况。协助分析开展分析,研判是业务变化,或者网络攻击行为。
如果是业务变化,反馈业务团队,是否要进行业务资源调整。
如果是网络DoS攻击行为,要开展进一步的分析研判,确定是否要进行威胁处置。
步骤二:详细流量日志分析
- 单击击日志审计>日志分析功能菜单。
- 然后单击流量日志选项卡,可查看一段时间内的流量统计数据。
一分钟会基于五元组维度,生成一条统计数据,统计数据中会记录时间、源/目的IP,端口,字节数和报文数等信息。支持按照多条件筛选,协助分析人员在第一步的统计报表基础上,进一步分析在特定时间段内的激增流量到底是哪些,然后开展业务应对或风险处置。
