2.3.1 基于统计抽样的高效基线比对
NTARS能够通过流量基线和流量阀值两种方式提供全局流量检测服务,流量基线和流量阀值分别描述了目标链路流量分布的“正常”和“异常”:
* 基线描述了正常情况下目标链路的流量分布和变化规律。NTARS既可以根据收集到的信息自动生成流量基线,也允许管理员手工调整定制,使得基线更加贴近目标链路的实际情况。基线功能可以通过对一个指定时间周期内各项流量图式指标的定义(如总体网络流量水平、流量波动、流量跳变等),建立流量异常监测的基础模型,并可在运行中不断自我修正以完成与实际运行特征的吻合,从而提高对异常流量报警的准确性;
* 和流量基线相比,流量阀值则直接定义了目标链路中流量异常的情况。当指定范围内的流量指标超过该阀值时,系统则判定网络中出现流量异常,并作出报警和安全响应。
流量基线和流量阀值,分别从正常、异常两种视角对目标链路的健康状况进行描述,两者的结合使用有效促进NTARS及时、准确的检测和定位异常行为,并为系统自动响应机制提供有关异常流量的规范性描述。
