如果说基线概念的出现代表着网络性能分析阶段与异常行为检测阶段的临界点，那东软NetEye异常流量分析与检测系统（NTARS）所具备的多种响应能力则把行为检测与安全防护两大职能分类进行了有机统一。

    李青山解释，为了将混杂在正常业务应用流量中、大量消耗网络带宽的类DDoS异常行为(如Worm、Spam)准确识别出来，NTARS专门增加了基于样本描述的特征匹配检测引擎，为应用层内部的异常行为进行专项检测，把DDoS防护范围从单纯的传输层以下进一步扩大到OSI所有层面。

    笔者发现，NetEye安全实验室提供持续更新的特征规则库。该特征库采用了东软公司自主产权的NEL语言对业内已知有关网络安全的异常行为进行了严格、精确的特征描述，是NTARS进行应用层异常识别的技术基础。

    尽管NTARS采用了旁路的部署方式，却轻松实现了对DDoS等异常行为的主动干预，从而将其与单纯的检测报警类设备泾渭分明的区别开来。

    中国移动通信集团公司某技术人员说，对于源目的IP或者服务类型较为确定的DDoS流量，NTARS能够通过BGP、OSPF协议与指定路由设备进行通信或直接进行CLI静态路由配置，设置Black hole黑洞路由，从而使路由设备将异常流量直接抛弃。相对于ACL访问控制规则Deny操作而言，Black hole可实现更快的处理速度，避免NTARS所加载的反响抑制措施对路由设备造成额外的处理负荷。

    NTARS在对异常流量作为正确判断后，将通过BGP或CLI方式对可疑流量进行选择性牵引，诱导路由设备将可疑流量转发至特定安全过滤设备，如防火墙、IPS或防病毒安全网关。

    经过滤净化后的流量将按照管理员预设策略重新进入原有路由路径中，从而实现对高带宽流量有选择、分层次的深度过滤分析作业，清除DDoS对业务的影响。