异常现象
NetInside流量分析系统在某教育平台监测过程中,5月14日发现明显的4次流量高峰(其中第1-2次产生时间距离较近),详细出现时间如下图。
由上图分析看到,引起流量高峰的IP地址是58.129.247.149,下图是该IP地址的独立流量分布状况。 
从应用端口信息看到,引起流量高峰的端口是443,即HTTPS应用。
连接分析
从连接XXX.XXX.247.149的IP地址信息来看,分别是由如下4个IP地址连接访问引起的流量高峰。这4个IP地址分别是:
XXX.XXX.81.241
XXX.XXX.117.138
XXX.XXX.115.193
XXX.XXX.164.133
会话分析
对XXX.XXX.247.149与以上4个地址会话分析。
发现是这4个IP地址分别在XXX.XXX.247.149下载大量文件。大小分别在4-6GB左右。
以下是XXX.XXX.115.193下载的流量分布。
以下是XXX.XXX.115.193与XXX.XXX.247.149的详细数据传输信息。
流量分析
以会话XXX.XXX.115.193与XXX.XXX.247.149为例,下面是这2个IP地址的流量传输信息,具体大小为5.93GB。
其它3个流量高峰现象与之类似。
结论
引起4处明显流量高峰的原因是,有4个IP地址(分别是XXX.XXX.81.241、XXX.XXX.117.138、XXX.XXX.115.193、XXX.XXX.164.133),通过XXX.XXX.247.149的443端口下载了大量文件,传输流量大小在4-6GB不等。
案例点评:本案例中,异常的4个地址中,有1个为已知地址,其中3个为未知地址。鉴于传输流量较大,可能存在风险,客户将对应地址和传输报文移交于相关司法机构,供进一步核实和备案。
