多种响应手段

    如果说基线概念的出现代表着网络性能分析阶段与异常行为检测阶段的临界点，那NTARS系统所具备的多种响应能力则把行为检测与安全防护两大职能分类进行了有机统一。

    NTARS名字中的” R”(esponse)清晰地传达出东软公司对其防护能力所寄托的厚望。尽管采用旁路部署方式，NTARS却轻松实现了对DDoS等异常行为的主动干预，从而将其与单纯的检测报警类设备泾渭分明的区别开来。

    黑洞路由导入:对于源目的IP或者服务类型较为确定的DDoS流量，NTARS能够通过BGP、OSPF协议与指定路由设备进行通信或直接进行CLI静态路由配置，设置Black hole黑洞路由，从而使路由设备将异常流量直接抛弃。相对于ACL访问控制规则Deny操作而言，Black hole可实现更快的处理速度，避免NTARS所加载的反响抑制措施对路由设备造成额外的处理负荷。

    流量牵引及净化:同时，NTARS支持与外挂安全过滤设备的协同，如FW、IPS、防病毒过滤网关等。安全过滤设备将为NTARS提供作为专业的流量过滤净化服务。为此，NTARS在对异常流量作为正确判断后，将通过BGP或CLI方式对可疑流量进行选择性牵引，诱导路由设备将可疑流量转发至特定安全过滤设备，凭借专业化检测过略机制对可疑流量进行深度分析和控制。经过滤净化后的流量将按照管理员预设策略重新进入原有路由路径中，从而实现对高带宽流量有选择、分层次的深度过滤分析作业。

    几乎所有主流防火墙、IPS、防病毒过滤网关等系统都可以成为NTARS外挂设备，NTARS将根据外挂设备的具体处理能力决定牵引流量的上限带宽，从而保证外挂过滤设备的介入不会对原有网络转发能力造成负面影响。除此之外，外挂设备处理能力的上限阀值也可以被NTARS作为重要参考因素，并据此完成同类别外挂设备之间的负载分流。

    自动调整ACL及traffic shaping：另外，NTARS还具备通过CLI调整指定路由设备配置文件的能力。NTARS可遵循由NEL语言预设的语法规则，完成与特定路由设备的命令行交互，按照各分析引擎的检测结果自动调整路由设备的ACL和流量整形策略，迫使路由设备拒绝相应DDoS流量或按照指定阀值自动抛弃超出部分流量，对DDoS流量进行有效抑制。

    通过NTARS的多种响应手段，网络运维人员得到的不再是令人眼花缭乱的空洞报警，而是系统针对DDoS流量自动采取控制机制的切实收益。

    博采众长，多技傍身

    东软NetEye NTARS不仅仅是网络性能/流量分析系统，而是更具网络安全特征的异常行为检测系统；NTARS也不仅仅是单纯的DDoS防护设备，而且还能够对蠕虫传播、垃圾邮件、P2P通信、应用层内容安全以及网元设备节点监控提供一站式的服务。

    其他网络滥用行为的检测：通过内置的样本特征库定义，NTARS可以通过行为分析、特征匹配等手段准确检测蠕虫、垃圾邮件或P2P通信的发生，并允许以此作为生成流量分析报告的过滤条件(Filter)。NetEye安全实验室为NTARS样本特征库提供在线升级服务；

    应用层内容监测：针对常见应用协议，如HTTP、FTP、Telnet、SMTP、POP3、NNTP、IMAP、DNS、Rlogin、Rsh、MSN、Yahoo Messenger等，NTARS均可对其进行关键指令、重要URL和敏感内容进行实时监测；

    网元设备监控：NTARS认为“链路”和“节点”是构成一张拓扑图的基本要素，因此“流量图式分析”和“网元状态监控”对于判断一个网络系统内部访问秩序都是必不可少的重要依据。NTARS通过内嵌的网络设备监控模块将系统分析对象从单纯的链路流量扩展到节点内部运行状态，为异常流量准确判断和定位提供了有效保证。

    总之，东软NetEye NTARS是集检测与响应于一身的混合型防护设备，不仅通过旁路部署的方式避免了对高端网络稳定性的影响，而且又利用BGP/CLI等方式完成了对可疑流量的反向抑制。