基于統計抽樣的高效基線比對

　　NTARS能夠通過流量基線和流量閥值兩種方式提供全局流量檢測服務，流量基線和流量閥值分別描述了目標鏈路流量分布的“正常”和“異常”：

　　a) 基線描述了正常情況下目標鏈路的流量分布和變化規(guī)律。NTars既可以根據收集到的信息自動生成流量基線，也允許管理員手工調整定制，使得基線更加貼近目標鏈路的實際情況。基線功能可以通過對一個指定時間周期內各項流量圖式指標的定義(如總體網絡流量水平、流量波動、流量跳變等)，建立流量異常監(jiān)測的基礎模型，并可在運行中不斷自我修正以完成與實際運行特征的吻合，從而提高對異常流量報警的準確性;

　　b) 和流量基線相比，流量閥值則直接定義了目標鏈路中流量異常的情況。當指定范圍內的流量指標超過該閥值時，系統則判定網絡中出現流量異常，并作出報警和安全響應。

　　　 流量基線和流量閥值，分別從正常、異常兩種視角對目標鏈路的健康狀況進行描述，兩者的結合使用有效促進NTARS及時、準確的檢測和定位異常行為，并為系統自動響應機制提供有關異常流量的規(guī)范性描述。

　　基于樣本描述的精準特征匹配

　　同時，為了將混雜在正常業(yè)務應用流量中、大量消耗網絡帶寬的類DDoS異常行為(如Worm、Spam)準確識別出來，NTARS專門增加了基于樣本描述的特征匹配檢測引擎，為應用層內部的異常行為進行專項檢測，把DDoS防護范圍從單純的傳輸層以下進一步擴大到OSI所有層面。

　　　 NetEye安全實驗室提供持續(xù)更新的特征規(guī)則庫。NetEye特征庫采用了東軟公司自主產權的NEL語言對業(yè)內已知有關網絡安全的異常行為進行了嚴格、精確的特征描述，是NTARS進行應用層異常識別的技術基礎。

　　多種響應手段

　　如果說基線概念的出現代表著網絡性能分析階段與異常行為檢測階段的臨界點，那NTARS系統所具備的多種響應能力則把行為檢測與安全防護兩大職能分類進行了有機統一。

　　NTARS名字中的” R”(esponse)清晰地傳達出東軟公司對其防護能力所寄托的厚望。盡管采用旁路部署方式，NTARS卻輕松實現了對DDoS等異常行為的主動干預，從而將其與單純的檢測報警類設備涇渭分明的區(qū)別開來。

　　a) 黑洞路由導入:對于源目的IP或者服務類型較為確定的DDoS流量，NTARS能夠通過BGP、OSPF協議與指定路由設備進行通信或直接進行CLI靜態(tài)路由配置，設置Black hole黑洞路由，從而使路由設備將異常流量直接拋棄。相對于ACL訪問控制規(guī)則Deny操作而言，Black hole可實現更快的處理速度，避免NTARS所加載的反響抑制措施對路由設備造成額外的處理負荷。

　　b) 流量牽引及凈化:同時，NTARS支持與外掛安全過濾設備的協同，如FW、IPS、防病毒過濾網關等。安全過濾設備將為NTARS提供作為專業(yè)的流量過濾凈化服務。為此，NTARS在對異常流量作為正確判斷后，將通過BGP或CLI方式對可疑流量進行選擇性牽引，誘導路由設備將可疑流量轉發(fā)至特定安全過濾設備，憑借專業(yè)化檢測過略機制對可疑流量進行深度分析和控制。經過濾凈化后的流量將按照管理員預設策略重新進入原有路由路徑中，從而實現對高帶寬流量有選擇、分層次的深度過濾分析作業(yè)?！　?/p>

　　幾乎所有主流防火墻、IPS、防病毒過濾網關等系統都可以成為NTARS外掛設備，NTARS將根據外掛設備的具體處理能力決定牽引流量的上限帶寬，從而保證外掛過濾設備的介入不會對原有網絡轉發(fā)能力造成負面影響。除此之外，外掛設備處理能力的上限閥值也可以被NTARS作為重要參考因素，并據此完成同類別外掛設備之間的負載分流。

　　a) 自動調整ACL及traffic shaping：另外，NTARS還具備通過CLI調整指定路由設備配置文件的能力。NTARS可遵循由NEL語言預設的語法規(guī)則，完成與特定路由設備的命令行交互，按照各分析引擎的檢測結果自動調整路由設備的ACL和流量整形策略，迫使路由設備拒絕相應DDoS流量或按照指定閥值自動拋棄超出部分流量，對DDoS流量進行有效抑制。

　　通過NTARS的多種響應手段，網絡運維人員得到的不再是令人眼花繚亂的空洞報警，而是系統針對DDoS流量自動采取控制機制的切實收益。

　　博采眾長，多技傍身

　　東軟NetEye NTARS不僅僅是網絡性能/流量分析系統，而是更具網絡安全特征的異常行為檢測系統;NTARS也不僅僅是單純的DDoS防護設備，而且還能夠對蠕蟲傳播、垃圾郵件、P2P通信、應用層內容安全以及網元設備節(jié)點監(jiān)控提供一站式的服務。

　　a) 其他網絡濫用行為的檢測：通過內置的樣本特征庫定義，NTARS可以通過行為分析、特征匹配等手段準確檢測蠕蟲、垃圾郵件或P2P通信的發(fā)生，并允許以此作為生成流量分析報告的過濾條件(Filter)。NetEye安全實驗室為NTARS樣本特征庫提供在線升級服務;

　　b) 應用層內容監(jiān)測：針對常見應用協議，如HTTP、FTP、Telnet、SMTP、POP3、NNTP、IMAP、DNS、Rlogin、Rsh、MSN、Yahoo Messenger等，NTARS均可對其進行關鍵指令、重要URL和敏感內容進行實時監(jiān)測;

　　c) 網元設備監(jiān)控：NTARS認為“鏈路”和“節(jié)點”是構成一張拓撲圖的基本要素，因此“流量圖式分析”和“網元狀態(tài)監(jiān)控”對于判斷一個網絡系統內部訪問秩序都是必不可少的重要依據。NTARS通過內嵌的網絡設備監(jiān)控模塊將系統分析對象從單純的鏈路流量擴展到節(jié)點內部運行狀態(tài)，為異常流量準確判斷和定位提供了有效保證。

　　　 總之，東軟NetEye NTARS是集檢測與響應于一身的混合型防護設備，不僅通過旁路部署的方式避免了對高端網絡穩(wěn)定性的影響，而且又利用BGP/CLI等方式完成了對可疑流量的反向抑制。

yajing