前几期我们介绍了关于主机的相关日志分析和威胁场景，介绍了基于账号登陆异常的检测，基于账号异常行为的检测，基于数据泄露/篡改的检测，基于进程异常的检测。本期我们将介绍对于网络设备中相关的日志进行分析。

告警发生场景：一般情况而言，交换机的端口在被使用时为UP状态，未使用时为Down状态。如果状态频繁改变，会给网络链路和数据传送带来影响。

攻击方式：交换机端口物理线路问题或端口工作方式以及或者为环路状态。

检测思路：可以通过人工查看原始的交换机内日志进行分析，或者通过日志审计工具解析原始日志，分析出存在端口状态频繁改变的情况，进行告警。

日志来源：对交换机的日志进行统计为例：