2.3 NTARS工作机理:针对目标系统的流量特征数据
NTARS综合采用Flow分析技术、安全响应抑制技术和传统网络管理部分功能,以旁路部署方式提取流量摘要,对帧数、帧长、协议、端口、标志位、IP路由、物理路径、CPU/RAM消耗、带宽占用等直接特征进行监测并基于时间、拓扑、节点等进行统计分析,建立现行流量分布数学模型(Current Traffic Pattern),并与已知模型(Unified Traffic Pattern)进行实时比对分析,以期发现统计意义上的流量分布异常情况亦即流量图式偏离(Pattern Deviation)。
针对每种比对结果,NTARS系统都力争将其落在已知的异常流量模型(Abnormity Model)范围中,并以此给出告警解释或进一步提供智能化的策略响应。
以上所提及的各类流量模型是NTARS系统的运算工具,而系统的工作对象是目标系统的流量特征数据。
