流量采集模式

通过分光器将流量直接镜像到攻击检测器，收包采用DPDK库。

当前整机流量、源IP信息、连接数 、连接内容(五元组等)的信息汇聚

当发生告警时采样原始数据包， 采用固定采样算法

基于检测对象的TCP syn ack psh ack established的个数、流量信息汇聚

基于检测对象的UDP 流量 报文数

基于检测对象的DNS query response数量的汇聚信息

基于检测对象的NTP数量信息汇聚

基于检测对象的http get post 、响应码、url信息汇聚

基于检测对象的ICMP 流量、报文数、信息汇聚

抓包取证

攻击检测

Syn flood

对pps做汇聚统计，当超过阈值时触发告警,告警内容包括：攻击类型、起始时间、流量大小pps，目标IP，目标端口

Ack flood

对pps或bps汇聚统计，当超过阈值时触发告警，告警内容包括：攻击类型、起始时间、流量大小pps，bps，目标IP，目标端口

Udp flood

对pps或bps汇聚统计，当超过阈值时触发告警，告警内容包括：攻击类型、起始时间、流量大小pps，bps，目标IP，目标端口

ICMP flood

对pps或bps汇聚统计，当超过阈值时触发告警，告警内容包括：攻击类型、起始时间、流量大小pps，bps，目标IP，目标端口

Http get flood

对pps或bps汇聚统计，当超过阈值时触发告警，告警内容包括：攻击类型、起始时间、流量大小pps、bps，目标IP，目标端口

Http post flood

对pps或bps汇聚统计，当超过阈值时触发告警，告警内容包括：攻击类型、起始时间、流量大小pps，目标IP，目标端口

Https

对就445端口的psh+ack报文pps汇聚统计，当超过阈值时触发告警，告警内容包括：攻击类型、起始时间、流量大小pps，目标IP，目标端口

DNS Flood

对bps或pps汇聚统计，当超过阈值时触发告警，告警内容包括：攻击类型、起始时间、流量大小pps、bps，目标IP，目标端口

NTP 放大攻击

对源端口123 的报文pps汇聚统计，超过阈值告警触发，告警内容包括：攻击类型、起始时间、流量大小pps、bps，目标IP，目标端口

HTTP慢速攻击

对http访问异常的报文数据进行统计，发现异常产生告警。

连接攻击

当并发和累计连接数超出阈值时产生告警

空路由

当流量超过设备阈值，产生空路由告警，并通知第三方设备完成黑洞路由流量清洗的功能

智能检测

自动检测到payload异常，并能够形成防护规则

流量基线学习

流量学习包括bps，pps

tcp协议各种标记位的学习，包括syn，ack，rst，fin， psh+ack，单位pps

各种协议流量的学习，包括tcp，udp，icmp，other ，单位bps，pps

应用层防护流量的学习，包括http get, dns query, 单位qps，pps

包长比例的学习，0-50，50-100，100-500，500-1000，1000-15000

流量自学习能够自动生成防护对象的策略参数上传到管理平台

HTTP协议分析

统计周期内的get，post，put各种方法的统计

在统计周期内response的各种返回的code统计，包括1xx,2xx,3xx,4xx,5xx,other

TOPn URL访问统计分析

TOPN 源IP流量访问统计，包括bps，pps，total

DNS协议分析

统计周期内dns query统计，单位bps/pps

攻击周期内容dns reponse报文类型统计

连接分析

在统计周期内的并发连接数和新建连接数的统计分析

长连接的流量分析，显示连接的5元组信息以及bps，pps流量数据，并topn排序

源IP流量分析

基于防护对象源IP流量在统计周期内的topn分析

联动方式

将判断是攻击的IP相关信息通告给管理平台，能够将告警信息同步给防护引擎完成流量牵引和检测，或者是通知第三方设备进行黑洞空路由。