基于统计抽样的高效基线比对

    NTARS能够通过流量基线和流量阀值两种方式提供全局流量检测服务，流量基线和流量阀值分别描述了目标链路流量分布的“正常”和“异常”：

    基线描述了正常情况下目标链路的流量分布和变化规律。NTars既可以根据收集到的信息自动生成流量基线，也允许管理员手工调整定制，使得基线更加贴近目标链路的实际情况。基线功能可以通过对一个指定时间周期内各项流量图式指标的定义(如总体网络流量水平、流量波动、流量跳变等)，建立流量异常监测的基础模型，并可在运行中不断自我修正以完成与实际运行特征的吻合，从而提高对异常流量报警的准确性；

    和流量基线相比，流量阀值则直接定义了目标链路中流量异常的情况。当指定范围内的流量指标超过该阀值时，系统则判定网络中出现流量异常，并作出报警和安全响应。

    流量基线和流量阀值，分别从正常、异常两种视角对目标链路的健康状况进行描述，两者的结合使用有效促进NTARS及时、准确的检测和定位异常行为，并为系统自动响应机制提供有关异常流量的规范性描述。

    基于样本描述的精准特征匹配

    同时，为了将混杂在正常业务应用流量中、大量消耗网络带宽的类DDoS异常行为(如Worm、Spam)准确识别出来，NTARS专门增加了基于样本描述的特征匹配检测引擎，为应用层内部的异常行为进行专项检测，把DDoS防护范围从单纯的传输层以下进一步扩大到OSI所有层面。

    NetEye安全实验室提供持续更新的特征规则库。NetEye特征库采用了东软公司自主产权的NEL语言对业内已知有关网络安全的异常行为进行了严格、精确的特征描述，是NTARS进行应用层异常识别的技术基础。