基于統(tǒng)計抽樣的高效基線比對

　　NTARS能夠通過流量基線和流量閥值兩種方式提供全局流量檢測服務(wù)，流量基線和流量閥值分別描述了目標鏈路流量分布的“正常”和“異常”：

　　a) 基線描述了正常情況下目標鏈路的流量分布和變化規(guī)律。NTars既可以根據(jù)收集到的信息自動生成流量基線，也允許管理員手工調(diào)整定制，使得基線更加貼近目標鏈路的實際情況。基線功能可以通過對一個指定時間周期內(nèi)各項流量圖式指標的定義(如總體網(wǎng)絡(luò)流量水平、流量波動、流量跳變等)，建立流量異常監(jiān)測的基礎(chǔ)模型，并可在運行中不斷自我修正以完成與實際運行特征的吻合，從而提高對異常流量報警的準確性;

　　b) 和流量基線相比，流量閥值則直接定義了目標鏈路中流量異常的情況。當指定范圍內(nèi)的流量指標超過該閥值時，系統(tǒng)則判定網(wǎng)絡(luò)中出現(xiàn)流量異常，并作出報警和安全響應(yīng)。

　　　 流量基線和流量閥值，分別從正常、異常兩種視角對目標鏈路的健康狀況進行描述，兩者的結(jié)合使用有效促進NTARS及時、準確的檢測和定位異常行為，并為系統(tǒng)自動響應(yīng)機制提供有關(guān)異常流量的規(guī)范性描述。

　　基于樣本描述的精準特征匹配

　　同時，為了將混雜在正常業(yè)務(wù)應(yīng)用流量中、大量消耗網(wǎng)絡(luò)帶寬的類DDoS異常行為(如Worm、Spam)準確識別出來，NTARS專門增加了基于樣本描述的特征匹配檢測引擎，為應(yīng)用層內(nèi)部的異常行為進行專項檢測，把DDoS防護范圍從單純的傳輸層以下進一步擴大到OSI所有層面。

　　　 NetEye安全實驗室提供持續(xù)更新的特征規(guī)則庫。NetEye特征庫采用了東軟公司自主產(chǎn)權(quán)的NEL語言對業(yè)內(nèi)已知有關(guān)網(wǎng)絡(luò)安全的異常行為進行了嚴格、精確的特征描述，是NTARS進行應(yīng)用層異常識別的技術(shù)基礎(chǔ)。

　　多種響應(yīng)手段

　　如果說基線概念的出現(xiàn)代表著網(wǎng)絡(luò)性能分析階段與異常行為檢測階段的臨界點，那NTARS系統(tǒng)所具備的多種響應(yīng)能力則把行為檢測與安全防護兩大職能分類進行了有機統(tǒng)一。

　　NTARS名字中的” R”(esponse)清晰地傳達出東軟公司對其防護能力所寄托的厚望。盡管采用旁路部署方式，NTARS卻輕松實現(xiàn)了對DDoS等異常行為的主動干預(yù)，從而將其與單純的檢測報警類設(shè)備涇渭分明的區(qū)別開來。

　　a) 黑洞路由導(dǎo)入:對于源目的IP或者服務(wù)類型較為確定的DDoS流量，NTARS能夠通過BGP、OSPF協(xié)議與指定路由設(shè)備進行通信或直接進行CLI靜態(tài)路由配置，設(shè)置Black hole黑洞路由，從而使路由設(shè)備將異常流量直接拋棄。相對于ACL訪問控制規(guī)則Deny操作而言，Black hole可實現(xiàn)更快的處理速度，避免NTARS所加載的反響抑制措施對路由設(shè)備造成額外的處理負荷。

　　b) 流量牽引及凈化:同時，NTARS支持與外掛安全過濾設(shè)備的協(xié)同，如FW、IPS、防病毒過濾網(wǎng)關(guān)等。安全過濾設(shè)備將為NTARS提供作為專業(yè)的流量過濾凈化服務(wù)。為此，NTARS在對異常流量作為正確判斷后，將通過BGP或CLI方式對可疑流量進行選擇性牽引，誘導(dǎo)路由設(shè)備將可疑流量轉(zhuǎn)發(fā)至特定安全過濾設(shè)備，憑借專業(yè)化檢測過略機制對可疑流量進行深度分析和控制。經(jīng)過濾凈化后的流量將按照管理員預(yù)設(shè)策略重新進入原有路由路徑中，從而實現(xiàn)對高帶寬流量有選擇、分層次的深度過濾分析作業(yè)?！　?/p>

　　幾乎所有主流防火墻、IPS、防病毒過濾網(wǎng)關(guān)等系統(tǒng)都可以成為NTARS外掛設(shè)備，NTARS將根據(jù)外掛設(shè)備的具體處理能力決定牽引流量的上限帶寬，從而保證外掛過濾設(shè)備的介入不會對原有網(wǎng)絡(luò)轉(zhuǎn)發(fā)能力造成負面影響。除此之外，外掛設(shè)備處理能力的上限閥值也可以被NTARS作為重要參考因素，并據(jù)此完成同類別外掛設(shè)備之間的負載分流。

　　a) 自動調(diào)整ACL及traffic shaping：另外，NTARS還具備通過CLI調(diào)整指定路由設(shè)備配置文件的能力。NTARS可遵循由NEL語言預(yù)設(shè)的語法規(guī)則，完成與特定路由設(shè)備的命令行交互，按照各分析引擎的檢測結(jié)果自動調(diào)整路由設(shè)備的ACL和流量整形策略，迫使路由設(shè)備拒絕相應(yīng)DDoS流量或按照指定閥值自動拋棄超出部分流量，對DDoS流量進行有效抑制。

　　通過NTARS的多種響應(yīng)手段，網(wǎng)絡(luò)運維人員得到的不再是令人眼花繚亂的空洞報警，而是系統(tǒng)針對DDoS流量自動采取控制機制的切實收益。

　　博采眾長，多技傍身

　　東軟NetEye NTARS不僅僅是網(wǎng)絡(luò)性能/流量分析系統(tǒng)，而是更具網(wǎng)絡(luò)安全特征的異常行為檢測系統(tǒng);NTARS也不僅僅是單純的DDoS防護設(shè)備，而且還能夠?qū)θ湎x傳播、垃圾郵件、P2P通信、應(yīng)用層內(nèi)容安全以及網(wǎng)元設(shè)備節(jié)點監(jiān)控提供一站式的服務(wù)。

　　a) 其他網(wǎng)絡(luò)濫用行為的檢測：通過內(nèi)置的樣本特征庫定義，NTARS可以通過行為分析、特征匹配等手段準確檢測蠕蟲、垃圾郵件或P2P通信的發(fā)生，并允許以此作為生成流量分析報告的過濾條件(Filter)。NetEye安全實驗室為NTARS樣本特征庫提供在線升級服務(wù);

　　b) 應(yīng)用層內(nèi)容監(jiān)測：針對常見應(yīng)用協(xié)議，如HTTP、FTP、Telnet、SMTP、POP3、NNTP、IMAP、DNS、Rlogin、Rsh、MSN、Yahoo Messenger等，NTARS均可對其進行關(guān)鍵指令、重要URL和敏感內(nèi)容進行實時監(jiān)測;

　　c) 網(wǎng)元設(shè)備監(jiān)控：NTARS認為“鏈路”和“節(jié)點”是構(gòu)成一張拓撲圖的基本要素，因此“流量圖式分析”和“網(wǎng)元狀態(tài)監(jiān)控”對于判斷一個網(wǎng)絡(luò)系統(tǒng)內(nèi)部訪問秩序都是必不可少的重要依據(jù)。NTARS通過內(nèi)嵌的網(wǎng)絡(luò)設(shè)備監(jiān)控模塊將系統(tǒng)分析對象從單純的鏈路流量擴展到節(jié)點內(nèi)部運行狀態(tài)，為異常流量準確判斷和定位提供了有效保證。

　　　 總之，東軟NetEye NTARS是集檢測與響應(yīng)于一身的混合型防護設(shè)備，不僅通過旁路部署的方式避免了對高端網(wǎng)絡(luò)穩(wěn)定性的影響，而且又利用BGP/CLI等方式完成了對可疑流量的反向抑制。

yajing