摘要：# 高防CDN里的“动态基线”算法：它怎么知道流量不对劲？ 先说个真实情况：我见过不少用高防CDN的站点，防护规则设得密密麻麻，真被打的时候，该瘫还是瘫。问题出在哪？很多时候不是防护没开，而是**“正常”和“异常”的界线根本没划对**。你让系统去防“异常…

高防CDN里的“动态基线”算法：它怎么知道流量不对劲？

先说个真实情况：我见过不少用高防CDN的站点，防护规则设得密密麻麻，真被打的时候，该瘫还是瘫。问题出在哪？很多时候不是防护没开，而是“正常”和“异常”的界线根本没划对。你让系统去防“异常”，它连什么是“正常”都搞不清，这仗还怎么打？

今天咱们就聊一个在高防CDN里真正干活的底层技术——动态基线算法。这名字听起来挺学术，说白了，它就是系统里那个24小时不睡觉的“老保安”。它不靠死记硬背的规则（比如“每秒1000次请求就是攻击”），而是靠学习你的业务常态，从而在海量流量里，瞬间揪出那个“不对劲”的家伙。

一、为什么固定阈值不行了？先看两个翻车现场

咱们先吐槽一下过去那种“拍脑袋”定阈值的防护方式，那真是PPT上很美好，实战中很脆弱。

场景A：电商大促，误杀一片 你给CC防护设了个固定阈值：单IP每秒请求超过50次就拉黑。平时风平浪静，没问题。结果大促零点，无数真实用户疯狂刷新抢购，瞬间触发规则。好家伙，防护系统比攻击者还敬业，把最活跃的那批真实用户全给封了。运营那边直接炸锅：攻击没来，业务先挂了。这叫什么？自毁长城。

场景B：低频慢打，悠然过闸 攻击者学精了，不搞洪水猛兽，改成“文火慢炖”。每个IP每秒就发10次请求，远低于你的固定阈值。但他搞来10万个代理IP，慢慢耗你。系统看着每个IP都“挺正常”，结果聚合起来，源站CPU一点点被啃到100%。等你察觉不对劲，业务已经卡成PPT了。

看到没？固定阈值就像一把刻度固定的尺子，而业务流量是活的，会呼吸、会起伏。 用死尺子量活物，能不闹笑话吗？

二、动态基线：给每个业务画一张“心电图”

那怎么办？动态基线算法的思路就聪明多了：我不预定义什么是“异常”，我先搞清楚你平时什么样。

你可以把它理解成一个持续学习的“流量画像师”。它会从好几个维度，长时间（比如过去30天）观察你的业务流量，并总结出规律：

1. 时间规律（它比你更懂你的作息）：

   • 它知道你的站每天上午10点有个访问小高峰（大家摸鱼时间）。
   • 它知道每周五下午流量会开始下滑（心都飞了谁还上班）。
   • 它甚至能学到每个月1号凌晨，因为有个定时报表任务，会产生一波固定的数据请求脉冲。
   • 这样一来，同样是流量上涨，周五上午10点的上涨和周六凌晨3点的上涨，在系统眼里意义完全不同。前者可能是正常上班，后者？多半是“鬼”来了。

2. 流量构成规律（它熟悉你家客人的模样）：

   • 正常时候，访问/product/123.html（产品页）和访问/api/submit_order（提交订单接口）的比例是大致稳定的。
   • 攻击来了，可能全是冲着登录接口/api/login疯狂爆破，或者对着一个静态页疯狂刷新。请求类型的比例瞬间失调，动态基线一眼就能看出来：“哎？今天怎么全是来敲前门的，后门送货的一个人没有？不对劲。”

3. 源站响应模式（它知道你家“服务员”平时的脾气）：

   • 在基线学习期，系统会记录源站正常响应时的状态码分布（比如200成功占95%，404不到1%）、响应延迟（平均50毫秒）。
   • 当攻击试探开始，即使流量绝对值没爆，但源站返回404的比例突然飙升，或者延迟涨到500毫秒，动态基线就会预警：“注意，虽然客人数量没变，但咱们‘服务员’已经累得开始出错了！”

三、算法怎么工作？一个接地气的比喻

别被“算法”吓到，咱们打个比方。

你有个鱼塘，动态基线就是塘边装了智能摄像头的老看守。

• 学习期（头一个月）： 老看守每天看。哦，早上（时间规律）来投喂的伙计，走路快，拎着桶（行为规律），鱼群会聚到东边（响应规律）。傍晚来散步的游客，走路慢，喜欢拍照，鱼群散开。他脑子里形成了“常态”。
• 检测期： 有一天，凌晨两点（时间偏离），一群人鬼鬼祟祟跑到塘边，不是喂食也不是拍照，而是拿着网兜猛捞（行为偏离），鱼群吓得乱窜炸窝（响应偏离）。
• 判断： 虽然老看守没规定“凌晨不能来塘边”，但结合时间、行为、鱼的反应全部严重偏离他学了一个月的“常态”，他立刻就能断定：这不是正常访客，这是来偷鱼的！ 然后马上报警（触发防护规则）。

在高防CDN里，这个过程是实时、全自动的。算法通过时间序列分析、机器学习模型（比如统计你的流量均值和标准差，识别周期性模式），7x24小时地画这张“常态心电图”，并实时比对最新流量。

四、实战价值：它解决了什么真问题？

1. 告别误杀，尤其保护了“好用户”的突发热情。 明星突然转发你的链接，带来一波真实流量洪峰。动态基线一看：这流量虽大，但来源分散、行为模式与历史热门内容传播一致、源站响应健康。OK，判断为正常热点，放行！业务蹭蹭涨，老板笑开花。

2. 精准捕捉“低慢小”和“脉冲式”攻击。 那种每秒只超一点阈值、或者每隔几分钟来一次秒级脉冲的攻击，在固定阈值眼里是“良民”，在动态基线眼里却是“心跳紊乱”，结合其他维度（如IP聚集度、URI异常等）很容易被关联判定为攻击。

3. 为其他防护模块提供“智能上下文”。 WAF规则、CC防护的挑战难度，都可以参考动态基线的异常评分来动态调整。基线显示“当前极度异常”，防护策略就可以自动收紧；显示“一切正常”，策略可以放宽，减少对用户的干扰。

说白了，动态基线让高防CDN从“机械卫兵”进化成了“智能侦探”。它不再只会数数，而是学会了看门道。

五、一个提醒：别把它当万能神药

当然，这东西也不是完美的。它最怕两种场景：

• 业务毫无规律，天生“心电图”就乱。 比如你刚上线的新业务，没有历史数据可供学习，基线就难建。这时候通常需要结合一段时间的“观察模式”和人工经验规则来过渡。
• 攻击者完美模拟了你的所有历史规律。 这种高级APT攻击成本极高，一般针对的不是普通网站。对于绝大多数场景，动态基线已经能挡住99%的“流量伪装者”了。

所以，如果你在选型高防CDN，别再只盯着“多少T的防护带宽”这种数字了。多问一句：“你们的异常流量识别，用的是固定阈值，还是动态基线算法？学习周期多长？支持哪些维度的基线建模？”

问倒客服没关系，但这个问题能帮你筛掉一堆还在用“死规则”应付新威胁的厂商。

最后说句大实话：安全防护，本质上是一场关于“正常”与“异常”的认知竞赛。谁能更精准、更动态地定义“正常”，谁就能在攻击到来时，更快地锁定“异常”。 动态基线算法，就是帮你赢下这场竞赛的关键一步棋。

行了，技术就聊这么多。下次再看到流量报表波动，不妨想想，你家的“老看守”，是不是真的认识你家的“鱼塘”。