剖析:在骨干网络中追查异常流量威胁
2.3.1 基于统计抽样的高效基线比对
NTARS能够通过流量基线和流量阀值两种方式提供全局流量检测服务,流量基线和流量阀值分别描述了目标链路流量分布的“正常”和“异常”:
* 基线描述了正常情况下目标链路的流量分布和变化规律。NTARS既可以根据收集到的信息自动生成流量基线,也允许管理员手工调整定制,使得基线更加贴近目标链路的实际情况。基线功能可以通过对一个指定时间周期内各项流量图式指标的定义(如总体网络流量水平、流量波动、流量跳变等),建立流量异常监测的基础模型,并可在运行中不断自我修正以完成与实际运行特征的吻合,从而提高对异常流量报警的准确性;
* 和流量基线相比,流量阀值则直接定义了目标链路中流量异常的情况。当指定范围内的流量指标超过该阀值时,系统则判定网络中出现流量异常,并作出报警和安全响应。
流量基线和流量阀值,分别从正常、异常两种视角对目标链路的健康状况进行描述,两者的结合使用有效促进NTARS及时、准确的检测和定位异常行为,并为系统自动响应机制提供有关异常流量的规范性描述。
0
第1页: 1.1 骨干网络运维面临新课题第2页: 1.2 传统技术的窘迫:不适用骨干网络的流量防护第3页: 1.2.2 无法准确界定DDOS第4页: 2.1 NTARS流量分析系统:新的应对之道第5页: 2.2 ICA复合采集机制:按需获得可疑流量信息第6页: 2.3 NTARS工作机理:针对目标系统的流量特征数据第7页: 2.3.1 基于统计抽样的高效基线比对第8页: 2.3.2 基于样本描述的精准特征匹配第9页: 2.4 把行为检测与安全防护有机统一第10页: 2.4.1 黑洞路由导入第11页: 2.4.2 流量牵引及净化第12页: 2.4.3 自动调整ACL及traffic shaping第13页: 3、 NTARS系统的适用性
相关文章