這樣的學習方式得到的結果雖然避免了固定閾值的“一刀切”式防護，但仍然存在不可避免的缺陷：無法針對單個IP進行流量分析、學習間隙過長導致模型粗糙、特殊時間段(如凌晨、午休時間等)流量數據無參考價值、正常流量增長誤報為攻擊等。

對此迪普科技對自學習算法進行了優化，從IP流量、高頻采樣以及多維度流量特征三個維度展開學習，提升檢測策略與用戶業務的粘合度。

■ IP流量自學習

該用戶的業務包含A、B、C三個IP，Probe3000產品可以對各IP的流量趨勢進行單點學習并生成對應的檢測閾值：

對比后不難發現，基于整體流量趨勢計算得到的檢測閾值偏向C地址，該閾值對于A和B并沒有實質性的效果。通過對單IP的流量分析和學習，可以給出更具體的檢測閾值。

■ 高頻采樣 精確學習

為了解決學習間隙過長導致采樣頻率過低，從而導致模型粗糙的問題，Probe3000產品憑借精確的檢測算法和高性能硬件架構，將采樣頻率提高到分鐘級別，同時對于某些時間段內不具備學習價值的流量，可以進行相應過濾，保證流量學習的精確性。

以下圖為例，在8:00到9:00期間，Probe3000產品采用每5分鐘學習一次的頻率對地址C制定的檢測閾值如下，經對比后發現，在明顯發現縮短學習頻率后，生成的檢測閾值在業務流量未達到默認上限前設備策略始終在不斷進行自我完善，很大程度降低了誤報的概率。

■ 多維度流量特征

互聯網應用流量是由多種流量成分構成的，僅基于總流量來描述流量模型是不精確的，可能會存在不超過總流量閾值但某特定流量成分發起的拒絕服務攻擊。如：正常應用總流量為100M時，SYN流量突增20M，雖然不會對總流量產生沖擊，但可能對TCP新建連接的性能產生影響。針對這樣的問題，Probe3000產品可以深入到流量成分和協議層面進行學習，生成精確到具體流量類型的檢測閾值。

繼續以C地址為例，流向該地址的各類流量組成如下：

通過深入剖析流量組成類型，當Probe3000產品發現某種流量突增時，會主動停止對該部分異常流量的學習并產生告警信息，準確定位隱藏在正常流量下的攻擊，通過對不同類型流量設定相應的流量閾值，可以降低漏報概率，避免檢測結果中出現漏網之魚。

通過高頻度、多維度、細粒度的流量自學習功能，可以幫助運營商的運維工程師解決異常流量檢測閾值難調整，策略定制不準確等問題。在日常使用中，將固定檢測策略模版與自學習功能有效結合使用，可以更大程度的降低運維難度，提高檢測精度，提升用戶使用滿意度。

目前，迪普科技異常流量檢測&清洗設備廣泛應用于三大運營商，并于2019年獨家中標中國移動抗DDoS設備集中采購、獨家中標中國聯通“云盾抗DDoS平臺”新建工程項目。一直以來，迪普科技始終致力于對自身產品功能及性能進行優化，同時不斷提高產品服務質量，為客戶創造更大價值。