阈值过滤:统计异常控制
统计异常控制检查多数据流信息以侦测到反常的流量情况。那些过滤能够侦测到分布式拒绝服务攻击或未知的产生不寻常网络模式的攻击。
TippingPoint阈值过滤通过持续数小时或数天的对于网络流量的监控来建立一个“正常”网络的基准。阈值过滤用来当流量超过或低于某个阈值时进行指定的操作。在最大灵活性的情况下,允许四个阈值:低于或高于正常的“主要”或“次要”的阈值。
比如,假设正常水平的ICMP流量为2 Mbps。管理者可以设置两个阈值:一个是当流量达到正常流量的200%时发送邮件至管理者页面;另一个是当流量达到正常流量的350%时调整流量的速率。下面的图显示了当ICMP流量增加时TippingPoint IPS的效果。
R实例场景: Nachi蠕虫病毒通过用ICMP流量来泛洪网络,使核心路由器到达了它的工作极限。在一个销售程序调入中,TippingPoint被紧急调用来满足计算机服务机构的需要,并要求在客户网络中安装了一个计算部件因为网络每30分钟就由于路由器过高的CPU负荷(≥95%)而崩溃一次。在客户网络中安装了TippingPoint IPS之后,路由器的CPU占用率降到了3%,网络的稳定得到了恢复。
