Когда вы просматриваете свои журналы, какие критерии вы используете, чтобы определить, являетесь ли вы им (например: вам нужно усилить свой сервер / серверы) или их (например, они находятся на грани DoS)? Сколько соединений в секунду вы считаете разумным и почему? Есть ли у вас какое-то другое правило (например: с учетом IP-адресов, которые также используют реферальный спам?)
В идеале вам не нужно вручную просматривать журналы для этих признаков, они должны быть установлены в качестве пороговых значений предупреждений, которые генерируют автоматические ловушки SNMP / Mail и в некоторых случаях инициируют превентивные меры.
Что касается конкретных правил, количество подключений в секунду или аналогичные будут зависеть от оборудования, но постоянная высокая загрузка ЦП (80% +) обычно вызывает беспокойство, то же самое для памяти и длины очереди диска.
У предыдущего работодателя мы использовали сценарий для отслеживания роста файлов журналов и предупреждали команду системных администраторов, если рост был необычным для этого времени суток. Он выдавал несколько ложных срабатываний, пока нам не удалось его настроить (то есть выяснить, что было обычным для определенного времени дня / сезона), но через некоторое время все прошло гладко.
Обычно есть два типа изменений схем трафика. Постепенный рост по мере того, как вы (надеюсь) набираете популярность, и внезапный всплеск, вызванный каким-то событием.
Внезапный всплеск обычно не дает людям спать по ночам. Это могло быть вызвано тем, что ваш отдел маркетинга выпустил новую рекламу; попадание на Dig.com или аналогичный сайт; попадание под какую-то обычную интернет-атаку, например SQL Slammer [ http://en.wikipedia.org/wiki/SQL_slammer_(computer_worm) ]; или, что самое страшное, направленная атака против вас, ваших сайтов и серверов.
Хорошая внутренняя коммуникация поможет с первым, регистрация рефереров - вторым, прислушиваясь к третьему - и подробный план действий - четвертым.
Сделайте журнал тенденций и обнаружение аномалий. Постройте график шаблонов трафика с помощью таких инструментов, как MRTG, Cacti или Nagios (среди прочих) - желательно, включая номера портов, а не только входящие / исходящие биты. Ищите попытки взлома "из-под радара", которые не вызовут нормальный набор сигналов тревоги (см. Обнаружение выдавливания: http://www.amazon.com/Extrusion-Detection-Security-Monitoring-Intrusions/dp/0321349962 и подобные книги).
Прежде всего начните искать сейчас, когда все в порядке, и начните ощущать, как выглядит «нормально». Знаешь свой бизнес - когда у тебя самое загруженное время дня / недели / месяца / года? Начните строить графики и отслеживать тенденции, чтобы у вас была история, на которую можно ссылаться - чем дольше, тем лучше.