复合采集机制 破解高端网络安全迷题

    网络流量分析与安全响应系统NTARS确实是一种全新的安全思维。

    对此李青山介绍说，NTARS主要定位于运营商骨干等高端网络的检测分析，通过对骨干流量信息的提取、分析，实时检测网络中DoS/DDoS攻击、P2P通信、Worm、Spam等网络滥用事件，进而驱动响应系统进行阻断防御。同时，面向管理员提供流量图式、趋势预警、关键应用服务质量等各类关于骨干网络运行状况的统计分析数据，帮助管理员监控和掌握骨干链路及关键资源的运行情况。

    在防护目标上，与防火墙、IPS（Intrusion Prevention System入侵防御系统）等传统安全设备相比，NTARS的保护对象不再是例如内网区域、关键服务器等有形资产，而是将主要关注以链路带宽、网元处理能力为代表的无形资产上。

    据悉，NTARS技术的关键，在于所实现的复合采集机制ICA，可以广泛吸取Netflow、Sflow、Cflowd、NetStream、Port Mirroring、SNMP等各项技术的综合优势，通过多种渠道获得采集对象的传输层以下各协议层特征甚至可按需获得可疑流量应用层完整信息，为准确检测海量背景压力下混杂的DDoS流量提供多元化的基础数据。

    需要指出的是，复合采集机制完全通过旁路接入方式实现对监控网络的分析采集，能够彻底排除串联式DDoS防护机制给原有网络稳定性所引入的负面影响。另外，复合采集机制所支持的各种采集方式不再是简单的并列平行运作，而是能够按照检测策略要求在彼此之间进行智能化的复合关联，一种数据采集方式所产生的分析结果能够智能驱动其他数据采集方式的启用，自动引导数据进入不同层次的分析引擎中。

    从目前的技术发展来看，多种采集方式直接对应到NTARS不同的分析引擎，各分析引擎提供针对不同层面的专项作业分工。通过不同引擎的配合，NTARS不仅可以成功发现分布在传输层以下的DDoS流量，并且还有能力对应用层内部的DDoS行为进行准确检测。各引擎之间既分工独立又可智能协同，能够广泛适用于网络性能分析、异常流量检测、服务质量监控、应用层安全过滤等多种环境中。

    换句话说，NTARS是集检测与响应于一身的混合型防护技术，不仅通过旁路部署的方式避免了对高端网络稳定性的影响，而且又利用BGP/CLI等方式完成了对可疑流量的反向抑制。对于高端网络运维而言，NTARS综合提供了统计分析、异常检测和反向抑制三大部分功能，是对DDoS、Spam等进行有效反制的不二之选。■<