风险配置

主动检测 >风险对象

在风险对象页面,可以执行以下操作:

配置检测对象

配置检测对象,在风险对象页面点击『风险对象配置』,弹出<风险对象配置>对话框,在该对话框进行配置。对话框选项说明如下:

选项 说明
搜索条件

名称

按照检测对象名称进行搜索。

类型

按照检测对象类型进行搜索。

虚拟路由器

按照虚拟路由器进行搜索。

IP地址

按照IP地址进行搜索。

搜索

点击该按钮使系统按照指定的条件对检测对象进行搜索。搜索结果将显示在下方的检测对象列表中。

重置

点击该按钮清空搜索条件。

新建:点击该按钮弹出“风险对象配置”对话框,在该对话框配置检测对象。对话框选项说明如下:

基本信息

基本信息标签页选项说明如下:

  • 名称:指定检测对象的名称。
  • 虚拟路由器:指定检测对象所在的虚拟路由器。
  • 类型:指定检测对象的类型。系统当前支持三种类型,分别是子网、主机/服务器、服务。
  • IP地址:指定子网、主机/服务器或者服务的IP地址。
  • 掩码:当选择子网类型时,该选项用于指定子网的掩码。
  • 协议:当选择服务类型时,该选项用于指定服务的协议类型。
  • 端口:当选择服务类型时,该选项用于指定服务的端口号。
  • 描述:为检测对象指定描述信息。

对于服务类型检测对象,除可在此处配置外,为方便用户配置,系统会自动将在监控模块配置的服务网络节点添加到检测对象列表中,进行异常检测。

高级信息

高级信息标签页选项说明如下:

  • 检测周期:指定检测周期。指定周期后,系统将按照指定的周期获取检测对象的历史数据,并根据获取的历史数据计算基线值。通常情况下,该周期根据流量的变化周期来决定,即两个周期内的相同时间的流量情况基本相同。当该选项值指定为0时,表示无周期,此时,系统将按照流量的发展趋势计算基线值。无周期适用于无规律流量环境。
  • 应用:为检测对象指定应用。
  • 时间表:为检测对象指定时间表。系统将忽略检测对象在时间表时间范围内产生的异常。
  • 设置阈值:为检测对象设置阈值。当检测对象的参量实际数值高于上限阈值或者低于下限阈值时,系统将发出异常告警。如果不指定阈值,系统将根据检测对象的历史数据计算学习阈值。设置阈值,请按照以下步骤进行操作:
    1. 点击『设置阈值』,弹出<设置阈值>对话框。
    2. 如果检测对象已指定应用,从<应用>下拉菜单选择应用。
    3. 从<参量>下拉菜单选择参量。
    4. 分别在<上限>和<下限>文本框指定上限阈值以及下限阈值。
    5. 点击『添加』按钮将指定的阈值信息添加进系统。
    6. 重复以上步骤添加多条阈值信息。
编辑:从检测对象列表中选中需要编辑的对象,点击该按钮进行编辑。具体选项说明请参考新建检测对象部分。监控模块配置的服务网络节点在此处无法编辑。
删除:从检测对象列表中选中需要删除的对象,点击该按钮进行删除。监控模块配置的服务网络节点在此处无法删除。
检测对象列表

名称

显示检测对象名称。

类型

显示检测对象的类型。

虚拟路由器

显示检测对象所属的虚拟路由器。

IP地址

显示检测对象的IP地址。

协议 - 端口

显示检测对象的协议类型以及端口号。

定义类型

显示检测对象的定义类型,可以是在异常检测模块创建的检测对象(标识为“用户自定义”),也可以是在监控模块配置的服务网络监控对象(标识为“服务网络监控”)。

应用

显示检查对象的应用信息。

时间表

显示当定到检测对象的时间表。

表述

显示检测对象的描述信息。

操作

点击『设置阈值』对检测对象的上下限阈值进行配置。

查看风险对象概括信息

风险对象页面的检测对象信息列表显示各检测对象的异常以及健康评分情况,并提供详情查看入口以及检测对象的处理方法。具体说明如下:

选项 说明

检测对象

显示检测对象的名称。

类型

显示检测对象的类型。

行为描述

显示检测对象的异常概括统计信息。

健康评分

显示检测对象的健康评分。该评分根据检测对象的威胁状况(主机/服务器)、流量的异常情况(参量异常、行为异常)综合计算得出,体现检测对象最近一天内的健康状况。

健康状态

五角星直观显示检测对象当前的健康状态:

  • :危险(健康评分低于50分)
  • :亚健康(健康评分在50到80分之间)
  • :健康(健康评分在80到100分之间)

点击『查看综合信息』,进入综合信息页面查看检测对象的异常详情

点击『处理』,弹出<处理>对话框,用户可在该对话框执行以下操作:

  • 时间表:为检测对象指定时间表,指定时间表后,系统将忽略该检测对象在时间表范围内发生的异常。当用户的流量在某确定时间内发生波动,且可判断是正常行为时,可通过该方式忽略波动异常。
  • 清除历史数据:清除该检测对象的所有异常检测告警历史数据。
  • 重新建立基线:重新建立检测对象的基线。当对检测对象进行编辑后,例如将类型由子网改为主机/服务器,为保证更改后能够获得合理的检测结果,建议用户执行重新建立基线的操作。
  • 重置检测对象:彻底清除该检测对象的所有异常检测历史数据,并对该检测对象进行重新计算和统计。当对检测对象进行编辑后,例如将类型由子网改为主机/服务器,为保证更改后能够获得合理的检测结果,建议用户执行重置操作。