> **来源:[研报客](https://pc.yanbaoke.cn)** # 网络安全产品技术能力验证评估系列报告总结 ## 核心内容概述 本报告由中国信息通信研究院安全研究所联合FreeBuf咨询发布,旨在评估国内NTA/NDR类产品的技术能力,为行业用户提供参考。报告涵盖了国内网络流量监测与分析技术现状、NTA/NDR类产品应用现状、测试情况综述、测试结果分析、流量识别与安全分析能力评估、产品发展趋势及发展建议等方面内容。 ## 主要观点 - **网络流量发展迅猛**:随着物联网、5G等技术的发展,网络流量呈爆炸式增长,网络流量中包含大量业务信息,为安全分析提供了重要数据支持。 - **NTA/NDR技术发展迅速**:NTA技术自2013年提出后,逐渐演变为NDR,结合了人工智能、大数据等先进技术,以流量行为为基础进行实时分析。 - **市场应用广泛但不成熟**:NTA/NDR类产品在政府、金融、互联网、医疗、物联网等五大行业应用比例达81.3%,但整体市场仍处于发展阶段。 - **产品能力存在差异**:测试结果显示,NTA/NDR类产品在流量识别和安全分析能力上各有侧重,多数产品在识别能力上表现较好,但安全分析和自动化处置能力仍有待提升。 - **产品功能存在不足**:如自动化处置、加密流量分析、资产发现等能力,仍需进一步优化和加强。 - **产品发展趋势明确**:随着攻防演练的普及、云技术的应用,NTA/NDR产品将在网络流量分析、加密流量处理、场景化分析等方面迎来新的发展机遇。 ## 关键信息 ### 一、国内网络流量监测与分析技术现状 1. **国内网络流量发展现状** - 截至2020年3月,我国网民规模达9.04亿,移动互联网接入流量消费达1220.0亿GB。 - 网络流量的快速增长反映了企业业务向线上转移,以及网络安全需求的多样化。 2. **新兴流量监测与分析技术** - NTA技术自2013年提出,2016年兴起,2017年被Gartner列为十大信息安全新兴技术之一。 - NDR技术在2020年被Gartner引入,强调与防火墙、EDR、NAC等系统的集成,支持历史数据和自动威胁响应。 3. **应用场景** - **日常异常流量监测**:NTA/NDR产品能够帮助发现高级威胁、数据外泄、僵尸网络等。 - **攻防演练**:NTA/NDR产品被用于模拟攻击和检测,具备较强的威胁分析与溯源能力。 ### 二、国内NTA/NDR类产品应用现状 1. **市场应用现状** - 32.6%的企业已部署NTA/NDR类产品,14.8%计划部署。 - 流量采集区域主要集中在DMZ区、Web服务和生产区域。 2. **行业应用现状** - 主要应用于政府、金融、互联网、医疗、物联网等五个行业,占比达81.3%。 - 随着新基建政策的推进,NTA/NDR产品的市场应用将进一步扩大。 3. **攻防对抗场景下的应用现状** - 48.39%的企业认为NTA/NDR类产品在攻防演练中作用很大。 - 企业对威胁分析和溯源能力的关注比例为35.0%,对实时分析原始数据包流量的关注比例为27.0%。 4. **企业对NTA/NDR类产品的预期** - 企业希望提升威胁溯源、全流量监测、网络可视化等核心能力。 - 多数企业关注NTA/NDR产品在应对高级威胁和突发安全事件中的能力。 5. **企业期待NTA/NDR类产品的能力** - 提升威胁溯源、全流量监测、网络可视化、加密流量分析、攻击链分析等能力。 ### 三、NTA/NDR类产品测试情况综述 1. **测试基本情况** - 共有28家企业、28款产品参与测试,其中有一款产品由两个企业共同开发,有一家企业测试两款产品。 - 测试内容包括功能、性能和自身安全测试,覆盖数十种技术指标。 2. **测试环境介绍** - 使用IXIA PerfectStorm ONE流量发生器和分流设备进行测试,受测产品接入测试网络并进行全屏截图验证。 3. **测试方法说明** - 测试包括功能测试、性能测试和系统安全测试。 - 功能测试通过流量发生器生成流量并截图验证。 - 性能测试关注流量吞吐和资源使用情况。 - 自身安全测试由白帽子进行渗透测试。 4. **测试对象范围** - 测试对象主要为基于DPI/DFI技术的NTA/NDR产品。 - 测试内容涵盖流量采集、识别、分析、存储、管理、安全事件处置与溯源等多个方面。 5. **测试内容简介** - 测试包括六大产品能力:流量识别、安全分析、事件处置、事件溯源、管理能力、日志审计。 - 网络流量识别和安全分析能力是本次测试的重点。 ### 四、NTA/NDR类产品测试结果总体分析 1. **不同技术方向划分企业能力阵营** - 多数产品在流量识别和安全分析能力上有技术倾向性。 - 流量识别能力较强的有约50%的产品,安全分析能力较强的也有约50%的产品。 2. **自动化处置能力有待完善** - 多数产品具备基本告警功能,但自动化编排响应能力较弱。 - 仅有少数产品实现了基于攻击链的告警分析,SOAR能力仍需加强。 3. **基于IP和主机的溯源功能不分轩轾** - 多数产品具备基本的溯源能力,但精准溯源仍需提升。 - 70%的产品在基本溯源能力测试中表现良好。 4. **产品自身管理能力总体较好** - 71%的产品具备较为完善的自身管理能力,包括配置、存储、报告导出、报表分析、权限管理、升级管理等。 - 仅有4%的产品不具备自身管理能力。 ### 五、NTA/NDR类产品流量识别能力分析 1. **网络协议识别展示能力各有所长** - 产品对协议和应用的识别能力差异较大,识别协议数量从0到80余种不等。 - 多数产品在HTTP协议识别方面表现良好,80%以上产品可全字段还原HTTP协议。 2. **网络文件是否识别多由文件风险决定** - 60%以上产品还原文件类型不超过30种。 - 部分产品仅对有攻击特征的文件进行还原,普通文件则不进行还原。 3. **网络正常文件内容还原仍需更加精准** - 仅47%的产品能够完整还原文件并识别出关键词“CAICTNTA”。 - 39%的产品能识别基本文件信息,14%的产品无法识别文件内容。 ### 六、NTA/NDR类产品安全分析能力分析 1. **具备各类网络攻击发现和分析能力** - 多数产品能识别Web应用攻击、数据库攻击、内网渗透、后门识别、异常协议等攻击行为。 - 仅有部分产品具备机器学习、数据图谱等高级分析能力。 2. **基本具备多步骤攻击关联分析能力** - 18%的产品能识别勒索行为并绘制攻击路径,43%的产品具备多步骤关联分析功能但未识别勒索行为。 - 39%的产品不具备相关功能,需依赖人工分析。 3. **网络恶意程序分析能力总体可用** - 多数产品能识别恶意文件,但检测能力参差不齐。 - 测试效果较好的产品通常采用流量识别分析与沙箱一体化方式。 ### 七、NTA/NDR类产品趋势展望 1. **大规模攻防演练进一步催化市场需求** - 随着攻防演练常态化,NTA/NDR产品将发挥更大作用。 2. **产品差异化与核心卖点打造** - NTA/NDR产品需提升差异化能力,如威胁溯源、多数据源分析、多逻辑报警等。 3. **加密流量解析与分析成为新挑战** - 加密流量检测成为当前NTA/NDR产品面临的重要问题,需结合AI与人工分析。 4. **场景化分析与联动能力需进一步落地** - 需构建基于攻击链的场景化分析模型,提升攻击识别与响应能力。 5. **流量分析转移至云平台** - 云平台提供更好的可伸缩性,适合处理海量流量数据。 ### 八、NTA/NDR类产品发展建议 1. **深耕自身技术优势,实现能力互补** - 建议企业加强核心技术能力,打造具有竞争力的产品,避免同质化。 2. **围绕新型网络场景,满足业务安全需求** - 随着5G、物联网、云计算等技术发展,NTA/NDR产品需适应新型业务场景,实现内生安全。 3. **夯实产品自身安全,保障可信可控** - 建议加强产品全生命周期安全管理,重点关注Web应用漏洞和第三方组件安全性。 ### 九、NTA/NDR类产品能力分组 1. **专业能力领域** - 创宇云图威胁检测系统、兰眼下一代威胁感知系统、金睛企业安全威胁感知系统、PRS-NTA全流量存储与分析系统、绿盟全流量威胁分析系统、深信服安全感知平台、腾讯T-Sec高级威胁检测系统等。 2. **行业应用能力领域** - **运营商行业应用组**:安博通网络流量分析系统、HDS2000系列产品流量分析系统、微智互联网威胁感知系统、亚信网络流量分析系统SpiderFlow、亚信安全深度威胁发现设备TDA、福富全流量分析监控系统、中移网络入侵检测分析系统等。 - **政府行业应用组**:深思全流量威胁极速检测系统、安态网络安全威胁感知系统、大圣网络威胁预警平台、钛石网络安全流量监测分析系统、中新金盾高级持续性威胁防御平台等。 --- ### 图表说明 - **图1**:移动互联网接入流量(数据来源:工业和信息化部) - **图2**:NTA逻辑示意图 - **图3**:企业选择NTA/NDR产品比例 - **图4**:企业选择NTA/NDR产品比例 - **图5**:NTA/NDR产品行业应用比例 - **图6**:企业关注NTA/NDR产品特性比例 - **图7**:NTA/NDR产品在攻防演练中的作用 - **图8**:用户综合评价比例 - **图9**:企业对NTA/NDR产品不满的原因 - **图10**:企业期望改进的能力 - **图11**:测试网络拓扑图 - **图12**:测试现场 - **图13**:IXIA流量发生器Web界面 - **图14**:受测产品主要能力占比 - **图15-17**:告警、攻击链功能测试结果 - **图18-21**:溯源、管理功能测试结果 - **图22-27**:协议识别、HTTP还原测试结果 - **图28-31**:文件识别、内容还原测试结果 - **图32-33**:资产识别测试结果 - **图34-37**:网络攻击识别测试结果 - **图38**:APT识别能力比例 - **图39-40**:恶意程序识别测试结果 - **图41**:受测产品安全漏洞情况 --- ### 附录 - **中国信息通信研究院简介**:成立于1957年,是工信部直属科研机构。 - **中国信息通信研究院安全研究所简介**:专注于ICT领域安全技术研究,提供技术支撑。 - **FreeBuf咨询简介**:提供网络安全行业研究与咨询服务,关注行业动态与趋势。