编者按：高端网络骨干链路在应对异常流量威胁时，所需要的既不是脆弱的传统DDoS过滤设备，也不能是简单粗暴的网络层ACL访问控制机制。高端网络需要的是一种既可保持网络系统健壮性又能提供较高检测命中率的新颖思路。为此，我们以东软的NTARS系统为例，分析其对带宽高达10G以上的流量是如何进行实时监测和异常分析、解决的。

　　1.1 骨干网络运维面临新课题

　　运营商业务承载类网络和行业客户骨干链路系统是高端网络的主要代表。而随着业务系统的逐年扩大，部分企业网络系统也越来越多的体现出高端网络的特征，包括电信运营商围绕承载网而建设的支撑类网络也逐步加入到高端网络阵营。

　　高端网络由于其独有的特点决定了其无法按照一般信息系统的安全建设思路进行安全防护体系建设，而完全没有安全防护的高端网络也同时失去了面向客户提供合格服务质量的基础保障：

　　* 高端网络最根本的运维要点在于如何向接入用户网络提供满足要求的服务质量承诺，尤其是带宽和响应延迟指标。但是，接入用户网络是作为一个完全的网络对等体出现的，高端网络无法确定该部分网络区域究竟需要什么样的访问控制策略，因此在接入链路近端(高端网络侧)无法设置访问控制点；

　　* 传统的安全建设都是在远端的接入网络内部(Stub网络)进行的，通常由接入单位出资建设并管理。相应的，其根本宗旨也仅局限于如何保障该接入网络不受来自其他网络的攻击，而从未考虑过(也无义务考虑)如何防范该接入端网络侵害高端网络所连接的其他网络部分；

　　* 接入用户网络除了发起正常业务流量之外，各类桌面系统也同时发出大量随机流量，如仅用作个人通信的P2P流量、易感蠕虫病毒的传播流量、吞噬带宽的BT类文件传输流量等，这些流量通常与接入用户网络应用业务无关。在这种情况下，接入用户网络发出的网络流量图式是非常不确定的。高端网络难以获知哪些流量是正常流量、哪些流量是不受欢迎的垃圾流量；

　　* 高端网络的实际带宽远远小于所有接入用户网络的承诺带宽总和。因此，当接入用户网络链路充斥着大量垃圾流量的时候，高端网络的交换能力将受到直接挑战，这种情况对接入客户比较关注的正常业务服务质量将造成严重影响。这是高端网络在运行维护方面的主要矛盾；
　　
　　* 同时，高端网络强调的是向接入用户网络提供高度稳定的网络带宽可用性，在高端网络区域边界点上进行访问控制设备、流量限制设备部署(如防火墙、流量管理设备)将直接降低高端网络系统整体的稳定性。因此，在高端网络上部署串联式控制设备是非常不明智的；
　　
　　* 为保证高端网络有限的带宽资源能够被合理使用，高端网络运维人员迫切需要一种旁路式的流量检测分析系统来提供较为直观的带宽占用情况监控能力，并且该系统能够将流量分析、应用检测、行为判定等特征与网络运行管理传统功能高度关联，从安全管理与网络管理两个层面多管齐下，以全局性的骨干网络运行维护视角为实现大范围的用户服务质量保证提供基础支撑；
　　
　　* 然而，在异常流量分析技术出现之前，运维人员却不幸地发现已有的各种旁路监测系统根本无法满足高端网络的流量分析需求，如IDS系统无法提供高速链路流量实时分析处理能力和网络管理维护概念、网络管理系统缺乏应用层分析能力和异常行为检测能力等。
　　
　　所以在新的异常流量分析与响应机制出现之前，由于技术手段的缺乏，高端网络处在一种安全建设的空白期，正常业务流量与垃圾流量争抢骨干链路有限的带宽资源，并且因为垃圾流量的分布性特点又往往使之在这种竞争中占据了上风。