大家好,这篇文章主要为大家科普及介绍 *** 安全领域里,最新一代 *** 攻击检测技术NTA的相关信息,作为新一代 *** 安全检测手段,NTA技术使用了全新的检测维度,因此在检测高级威胁攻击入侵上是非常值得我们深入探究的。本文章主要参考资料为:《Market Guide for Network Traffic Analysis》by Gartner;《Network Traffic Analysis》 by awake;《NTA以及空间与时间的防御——山石网科的安全理解》by 山石网科;2020年1月,本人与Gartner分析师的现场讨论。最后,欢迎大家积极讨论。
本系列会有三个维度进行讨论,维度分别是基本概念,能力场景,技术分析。本文章属于系列的之一篇。
2. NTA是什么?
在 *** 中,发现 *** 安全威胁的方式有很多种,比如大家最为熟知的入侵检测系统(Intrusion-detection system,缩写为 IDS),这个概念最早出现在1980年,由James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告而提出。伴随着近30年的发展,入侵检测系统逐渐成为了发现 *** 安全威胁的重要手段。然而随着黑客攻击入侵技术的不断发展,在一些 *** 场景下入侵检测系统IDS并不能对 *** 威胁进行有效的发现,因此基于这种情况,NTA (Network Traffic Analysis) *** 流量分析这个概念在2013年被提出,NTA是一种 *** 威胁检测的新兴技术,并且在2016年逐渐在市场上兴起。
2.1 Gartner对NTA的定义
NTA使用机器学习、高级分析和特征分析来检测企业 *** 上的可疑行为。NTA不断地分析原始流量,以构建反映正常 *** 行为的模型。当NTA工具检测到异常的流量模式时,它们会发出警报。除了监视跨越企业边界的北/南通信量之外,NTA解决方案还接入东西流量。
2.2 Gartner提出NTA的两个结论
在技术上,NTA使用行为分析技术,帮助企业检测可疑流量,用以发现更多其他设备不能发现的安全问题。
在市场上,NTA市场门槛低,且市场很拥挤(原来传统安全厂商很容易就进入)
2.3 山石关于NTA定义的解读
NTA是一种功能和能力,而非纯粹的一个产品。NTA融合了传统的基于规则的检测技术,以及机器学习和其他高级分析技术,用以检测企业 *** 中的可疑行为,尤其是失陷后的痕迹。NTA通过DFI和DPI技术来分析 *** 流量,通常部署在关键的 *** 区域对东西向和南北向的流量进行分析,而不会试图对全网进行监测。
3. 个人分析
在第二段落中,我们看到了Gartner对NTA的定义以及国内厂商的声音,基于以上的内容,我会在下面的内容里从我个人的视角对NTA的定义进行重申,还会进行一些不同视角的解读。
3.1 个人对NTA的定义的重申
首先,我以自身的理解,先给出我对NTA的定义,大家可以由此有一些基本概念。
NTA是一种功能和能力。
NTA功能利用行为基线,进行安全问题分析。
NTA功能某些方面与 *** 性能管理类似,具有对当前 *** 的可视性。
NTA功能主流的分析 *** 是对比。
NTA功能与入侵检测功能逻辑等价,都会在边界类盒子产品中出现。
NTA功能要做的是定义 *** 行为,收集 *** 行为。
NTA功能要在核心节点进行收集行为,有南北向流量、也有东西向流量。
NTA功能要能有发现可疑流量的能力。
NTA功能要能有展示入侵证据的能力。
NTA功能要能有定义入侵事件的能力。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。