Geralmente, há dois tipos de alterações nos padrões de tráfego. O aumento gradual à medida que você (esperançosamente) ganha popularidade e o súbito surto causado por algum evento.
O surto repentino é aquele que normalmente mantém as pessoas à noite. Isso pode ser causado pelo departamento de marketing que está promovendo uma nova promoção; ser pego em Dig.com ou site similar; ser atingido por algum tipo de ataque geral à Internet, por exemplo, o SQL Slammer [ link ]; ou mais assustador de todos um ataque dirigido contra você, seus sites e servidores.
A boa comunicação interna ajudará no primeiro, registrando os referenciadores no segundo, mantendo um ouvido no chão, o terceiro e um plano de ação abrangente no quarto.
Registre tendências e detecção de anomalias. Represente graficamente seus padrões de tráfego com uma ferramenta como MRTG, Cacti ou Nagios (entre outros) - preferencialmente incluindo números de porta e não apenas bits de entrada / saída. Procure por tentativas de hack 'sob o radar' que não desencadeiem o conjunto normal de alarmes (leia Detecção de Extrusão: link e livros similares).
Acima de tudo, comece a procurar agora enquanto as coisas estão normais e comece a ter uma ideia do que é "normal". Conheça o seu negócio - quando é o seu horário ocupado do dia / semana / mês / ano? Comece a representar gráficos e tendências para que você tenha um histórico para se referir - quanto mais, melhor.