На данном этапе нам необходимо выявить начало DDoS атаки.
Администратору системы необходимо установить порог:
Если характеристика
превышает заданный параметр, то атака возможна и требуется её дальнейшее исследование.
Данный анализ необходим до того, как приложение перестало отвечать. Анализ количества данных переданному
приложению необходим для того, чтобы понять соответствует ли они нормальному распределению, в случае если атакующие вытесняют легитимных пользователей и запрашивают одни и те же ресурсы.
В случае,
если время ответа растет, а количество пользователей падает, то детектируем атаку и ставим маркер тревоги.