​NTA(Network Traffic Analysis)网络流量分析技术以网络流量为基础，应用人工智能、大数据处理等先进技术，基于流量行为的实时分析，展示异常事件的客观事实。

　　随着网络应用愈加广泛，所承载的业务也越来越丰富，安全防御技术手段和思路面临着诸多挑战。NTA(Network Traffic Analysis)网络流量分析系统为用户提供一种可靠的、便利的网络流量分析解决方案。

　　NTA(Network Traffic Analysis)网络流量分析技术以网络流量为基础，应用人工智能、大数据处理等先进技术，基于流量行为的实时分析，展示异常事件的客观事实。

　　NTA的定义与发展

　　NTA最初是由Gartner创建与定义，是Gartner首次认可的新兴技术和产品类别。它使用网络通信作为检测和调查网络中安全威胁和异常或恶意行为的基础数据源，融合传统规则的检测技术，同时应用威胁情报、统计分析、内容检查、机器学习等多种高级分析技术，检测企业网络上的可疑活动，尤其是失陷后的痕迹。NTA通常部署在关键网络区域的南北向(跨越网络边界)/东西向(网络中横向移动)流量处进行检测分析。

　　NTA被Gartner评选为2017年十一大信息安全新兴技术之一，同时也被认为是五种检测高级威胁的手段之一。随着技术发展的日渐成熟，NTA技术已经直接或间接成为各类整体威胁防护解决方案的重要组成。今年2月份，Gartner发布了第一份《NTA市场指南》。在报告中，Gartner描述了NTA的技术前景与市场定位，这是NTA市场上第一个重要指南。

　　为什么NTA是新技术?与传统网络流量安全解决方案相比，又有什么不同呢?

　　虽然他们都是以流量数据为基础，但是传统的解决方案却很难与NTA媲美。传统设备如IDS在现代企业标准中已经是相当老派的技术：它仅关注跨网的南北向数据，而对内部流量的可见性则支持极差;IDS大多依赖于规则、签名等手段，却无法检测签名库之外不断演进的新威胁;传统设备中也无法执行事件的调查与响应。

　　这些棘手问题正是NTA带来的价值，此外，NTA基于2-7层的网络检测和响应，大量使用机器学习，通过对行为的探知和上下文的关联来寻找过去看不见的威胁，并检测低速、潜伏的高级持续型攻击。

　　NTA的定位与特点

　　近年来，随着攻击技术的发展，网络威胁形势变得更为严峻。隐蔽的黑客组织、各类漏洞策略、繁衍创新的利用工具和不断变化的新业务使得保护业务的工作难上加难。

　　Gartner在《NTA市场指南》中指出，NTA作为一种新兴的威胁检测技术，主要应用于网络流量的行为分析，帮助企业监测可疑流量，弥补其他安全工具的不足，NTA技术强调实时流量的行为检测，这样可以大大缩短感染和检测之间的时间，NTA解决方案在发生完全破坏之前告警修复攻击，让企业高枕无忧。

　　因此，NTA需具备以下特点：

　　网络全流量存储与检索

　　解析后的全流量网络协议数据会基于大数据技术进行存储，支持快速检索的能力，以满足对实时数据的在线分析与离线分析技术。

　　攻击行为检测

　　通过对协议进行特征识别，检测通用攻击行为的能力，如Web攻击、应用层攻击、端口/服务扫描攻击等。

　　异常行为检测

　　对协议数据进行行为分析，注重协议上下文的关联性，大量应用机器学习、数据分析等新技术识别异常行为与高级风险。

　　基线式检测

　　以海量数据为基础，构建安全基线场景，利用离线分析技术，检测低速及潜伏型安全威胁。

　　数据智能安全分析

　　基于保留的原始流量数据，结合数据挖掘、人工智能等相关大数据技术，更加智能地洞悉信息与网络安全态势，更主动、弹性地去应对新型复杂的威胁和未知多变的风险。

　　溯源与调查取证

　　应用大数据解析与检索技术，对协议上下文与协议内容进行调查取证，快速定位风险事件与协议事件的关系。

　　可视化威胁狩猎

　　应用可视化分析技术，关联异常事件的综合信息，降低安全支出，提升安全可见性。

　　NTA技术典型实践-网藤智能安全PRS

　　网藤PRS是斗象科技自主研发安全产品，通过旁路部署的网络流量监听结合AI和大数据分析技术，构建新一代以数据分析为核心的威胁检测与响应平台。

　　PRS解析

　　网藤PRS通过旁路部署镜像流量，实时采集并深度解析流量信息，采用大数据技术实现全流量存储与海量数据快速检索。

　　结合AI智能、统计模型与安全规则，对流量行为建模分析，识别流量的异常行为与隐蔽风险，应用事件关联与自定义实体网络分析，构建场景化的感知预警系统。配合大数据解析，对安全攻击事件可视溯源。

　　PRS特点

　　大数据架构，全流量存储

　　PRS采用大数据技术架构，高速、可靠智能分解OSI2-7层全网络流量;数据检索引擎支持对海量数据快速索引能力;协议数据全存储，为攻击溯源与离线分析提供基础数据能力，同时满足《网安法》对网络日志留存不少于六个月的要求。支持集群式管理，保障系统的高性能、高可用。

　　AI赋能智能威胁检测

　　PRS采用智能安全模型，统计分析模型与安全规则签名等多种方式结合，流量实时检测,识别网络流量中异常轨迹和攻击行为;大量智能安全模型的应用解决提升传统安全检出(如webshell等)与新型攻击事件(如隐蔽通信等);对海量数据进行智能建模，应用离线分析技术，识别高级安全风险，如基线检测、APT攻击等。

　　基于攻击链的场景化分析

　　通过多点攻击事件的追踪关联，结合攻击链安全模型，摒除单维依赖，依据风险的属性及危害，对风险威胁进行量化评估，帮助企业快速定位预警信息。

　　攻击回溯，威胁狩猎

　　基于攻击链场景的分析模式，为企业提供海量时间攻击的分析依据，面临潜在的异常事件，PRS提供IoC调查分析画布，结合大数据分析技术与攻击场景建模，清晰展示实体行为轨迹，实现攻击事件快速回溯。

　　资产测绘，智能管理

　　采用被动数据解析与主动资产补全模式，识别细粒度资产;自动绘制资产档案管理，建立资产基线，覆盖企业资产盲点，为企业构建自动化资产管理体系。

　　关于斗象科技

　　斗象科技创立于2014年，是国内领先的创新型网络安全提供商，旗下业务品牌包括：互联网安全新媒体“FreeBuf”，网络安全众测服务平台“漏洞盒子”，全息安全监测与数据分析产品“网藤智能安全平台”。

　　作为以技术创新驱动的网络安全提供商，斗象科技的产品及服务已被全球领先企业和顶级投资者认可，拥有600家核心客户，在金融、互联网、物联网、政府、教育等行业推出了优质服务和创新产品解决方案，是国家互联网应急中心(CNCERT)“省级支撑单位”、国家信息安全漏洞共享平台(CNVD)“漏洞报送突出贡献单位”、2018年度上海市网络安全工作 “先进支持单位”，多次参与国家级重大网络安全保障工作并做出突出贡献。曾荣获2016年红鲱鱼全球科技创新100强，亚洲地区唯一上榜的安全企业。

　　斗象科技目前已在上海、北京、深圳、南京等多地设立分支机构。斗象科技团队中，超过70%的成员是网络安全、大数据、人工智能等领域的资深专家。

来源：科技世界网