解码丨NTA企业级典型实践-网藤智能安全PRS

随着网络应用愈加广泛，所承载的业务也越来越丰富，安全防御技术手段和思路面临着诸多挑战。NTA（Network Traffic Analysis）网络流量分析系统为用户提供一种可靠的、便利的网络流量分析解决方案。

NTA的定义与发展

NTA（Network Traffic Analysis）网络流量分析技术以网络流量为基础，应用人工智能、大数据处理等先进技术，基于流量行为的实时分析，展示异常事件的客观事实。NTA的定义与发展NTA最初是由Gartner创建与定义，是Gartner首次认可的新兴技术和产品类别。它使用网络通信作为检测和调查网络中安全威胁和异常或恶意行为的基础数据源，融合传统规则的检测技术，同时应用威胁情报、统计分析、内容检查、机器学习等多种高级分析技术，检测企业网络上的可疑活动，尤其是失陷后的痕迹。NTA通常部署在关键网络区域的南北向（跨越网络边界）/东西向（网络中横向移动）流量处进行检测分析。

NTA被Gartner评选为2017年十一大信息安全新兴技术之一，同时也被认为是五种检测高级威胁的手段之一。随着技术发展的日渐成熟，NTA技术已经直接或间接成为各类整体威胁防护解决方案的重要组成。今年2月份，Gartner发布了第一份《NTA市场指南》。在报告中，Gartner描述了NTA的技术前景与市场定位，这是NTA市场上第一个重要指南。

为什么NTA是新技术？与传统网络流量安全解决方案相比，又有什么不同呢？

虽然他们都是以流量数据为基础，但是传统的解决方案却很难与NTA媲美。传统设备如IDS在现代企业标准中已经是相当老派的技术：

它仅关注跨网的南北向数据，而对内部流量的可见性则支持极差；

IDS大多依赖于规则、签名等手段，却无法检测签名库之外不断演进的新威胁；

传统设备中也无法执行事件的调查与响应。

这些棘手问题正是NTA带来的价值，此外，NTA基于2-7层的网络检测和响应，大量使用机器学习，通过对行为的探知和上下文的关联来寻找过去看不见的威胁，并检测低速、潜伏的高级持续型攻击。

NTA的定位与特点

近年来，随着攻击技术的发展，网络威胁形势变得更为严峻。隐蔽的黑客组织、各类漏洞策略、繁衍创新的利用工具和不断变化的新业务使得保护业务的工作难上加难。

Gartner在《NTA市场指南》中指出，NTA作为一种新兴的威胁检测技术，主要应用于网络流量的行为分析，帮助企业监测可疑流量，弥补其他安全工具的不足，NTA技术强调实时流量的行为检测，这样可以大大缩短感染和检测之间的时间，NTA解决方案在发生完全破坏之前告警修复攻击，让企业高枕无忧。

因此，NTA需具备以下特点：

1.网络全流量存储与检索

解析后的全流量网络协议数据会基于大数据技术进行存储，支持快速检索的能力，以满足对实时数据的在线分析与离线分析技术。

2.攻击行为检测

通过对协议进行特征识别，检测通用攻击行为的能力，如Web攻击、应用层攻击、端口/服务扫描攻击等。

3.异常行为检测

对协议数据进行行为分析，注重协议上下文的关联性，大量应用机器学习、数据分析等新技术识别异常行为与高级风险。

4.基线式检测

以海量数据为基础，构建安全基线场景，利用离线分析技术，检测低速及潜伏型安全威胁。

5.数据智能安全分析

基于保留的原始流量数据，结合数据挖掘、人工智能等相关大数据技术，更加智能地洞悉信息与网络安全态势，更主动、弹性地去应对新型复杂的威胁和未知多变的风险。

6.溯源与调查取证

应用大数据解析与检索技术，对协议上下文与协议内容进行调查取证，快速定位风险事件与协议事件的关系。

7.可视化威胁狩猎

应用可视化分析技术，关联异常事件的综合信息，降低安全支出，提升安全可见性。

NTA技术典型实践

网藤智能安全PRS

网藤PRS是斗象科技自主研发安全产品，通过旁路部署的网络流量监听结合AI和大数据分析技术，构建新一代以数据分析为核心的威胁检测与响应平台。

PRS解析

网藤PRS通过旁路部署镜像流量，实时采集并深度解析流量信息，采用大数据技术实现全流量存储与海量数据快速检索。