DDOS和NETFLOW业务流程图

入路由器端口索引 等于 端口索引 并且 端口属性 等于 用户侧出路由器端口索引 等于 端口索引 并且 端口属性 等于 用户侧

提取数据: 路由器端口编号，端口名称，端口索引，端口IP，端口属性，路由器Loopback地址，所属城域网名

处理规则

计算规则：1:NetFlow开始时间大于等于DDOS告警事件开始时间 并且 NetFlow结束时间小于等于DDoS告警事件结束时间2:NetFlow目的IP地址 = DDoS的DIP1（目的IP）

数据处理

数据计算

提取规则

端口组配置信息

路由器信息

提取数据: 路由器名称，采样比例，厂商，路由器端口编号，端口名称，端口索引，端口IP，端口属性，路由器Loopback地址，所属城域网名

端口组配置信息路由器端口编号（等于） 路由器端口信息路由器端口编号

肉鸡数据表(提取字段)肉鸡IP地址（NetFlow中源IP地址）来源（默认2 分析结果）肉鸡状态（默认 1 疑似）备注为空

1：同一事件ID至少两条数据2：告警事件类型(Type=DDos)3：同一事件ID数据中必须有1-2条状态为Ongoing和一条状态为Recover

路由器端口信息

NetFlow原始日志

DDOS攻击安全事件信息表（提取字段）攻击源IP地址/IP地址段 （提取NetFlow中源IP地址）攻击目的IP地址/IP地址段 （提取NetFlow中目的IP地址）源端口 （提取NetFlow中源端口）目的端口 （提取NetFlow中目的端口）攻击起始时间 （提取DDoS告警事件开始时间）攻击结束时间 （提取DDoS告警事件结束时间）攻击流量大小 （提取DDoS触发的流量数值）攻击类型 （提取DDoS攻击类型）攻击告警级别 （提取DDoS告警级别）

路由器端口信息Loopback地址（等于） 路由器信息Loopback地址

DDos原始日志

攻击流量信息表（提取字段）攻击事件ID攻击起始时间 （提取NetFlow的开始时间）攻击持续时间 （计算得到）攻击结束时间 （提取NetFlow的结束时间）攻击源IP地址/IP地址段 （提取NetFlow中源IP地址）攻击目的IP地址/IP地址段 （提取NetFlow中目的IP地址）源端口 （提取NetFlow中源端口）目的端口 （提取NetFlow中目的端口）攻击源路由器 （提取入路由器的Loopback地址）入接口 （提取入路由器端口索引）攻击目的路由器 （提取出路由器的Loopback地址）出接口 （提取出路由器端口索引）攻击源城域网 （提取入路由器所属城域网）攻击目的城域网 （提取出路由器所属城域网）攻击流量数据包数 （提取netflow包数）攻击流量字节数 （提取netflow字节数）攻击类型 （提取DDoS攻击类型）攻击告警级别 （提取DDoS告警级别）