1、網絡安全產品技術能力驗證評估系列報告中國網絡流量監測與分析產品研究報告前言 HYPERLINK l _bookmark0 1隨著 NTA/NDRF 技術的發展，該技術已經逐漸應用于網絡威脅和異常行為的檢測，經過實際網絡環境的驗證和不斷的迭代，檢測的有效性和準確性都有了大幅度的提高，為網絡威脅和異常行為處置奠定了基礎，為產品的推廣和應用提供了廣闊的前景。為更好地滿足行業用戶在 5G 網絡、云計算、物聯網等新型業務場景下的實際需要，為其在網絡安全產品選型過程中提供技術能力參考，中國信息通信研究院安全研究所（以下簡稱“信通院安全所”）聯合FreeBuf 咨詢共同完成了此次NTA/NDR 類產品調研和

2、測試工作。本次測試主要是針對當前行業內主流企業的產品進行技術能力測試，測試內容和角度覆蓋全面且廣泛，測試內容包括產品功能、性能以及自身安全測試，覆蓋數十種技術能力指標測試項。本次測試并非是符合性或合規性測試，也并非是作為某項采購入圍的強制要求，而是作為NTA/NDR 類產品的“能力拔高測試”，以體現相關產品在某一個功能領域的真實技術實力。測試方案內容不僅基于現有相關標準，并且依據 Gartner 對 NTA/NDR 的能力定義以及綜合國內各安全企業的最佳實踐。到報名截止日期 2020 年 7 月 13 日為止，共有 28 個企業，28 個NTA/NDR 類產品報名參與此次測試，實際到場測試企業

3、和產品數量與報名情況一致。其中，有一款產品由兩個企業共同開發完成。另外，有一個企業受測產品為兩款。1 NTA：Network Traffic Analysis，指網絡流量分析。NDR：Network Detection & Response 指網絡檢測與響應。本報告對國內主流 NTA/NDR 類產品進行基本面測試評估，并輸出整體測試、分析結果與整體報告。由FreeBuf 咨詢通過現場走訪、資料整合及問卷調查的形式，對國內外近百家企業的使用情況進行對比分析, 總結國內NTA/NDR類產品的基本現狀, 并嘗試對其發展趨勢進行評估和預測。目錄 HYPERLINK l _bookmark1 一、國內網

4、絡流量監測與分析技術現狀1 HYPERLINK l _bookmark2 （一）國內網絡流量發展現狀1 HYPERLINK l _bookmark5 （二）新興流量監測與分析技術2 HYPERLINK l _bookmark12 （三）應用場景3 HYPERLINK l _bookmark20 二、國內 NTA/NDR 類產品應用現狀5 HYPERLINK l _bookmark21 （一）市場應用現狀5 HYPERLINK l _bookmark24 （二）行業應用現狀6 HYPERLINK l _bookmark26 （三）攻防對抗場景下的應用現狀7 HYPERLINK l _bookma

5、rk29 （四）企業對 NTA/NDR 類產品的預期8 HYPERLINK l _bookmark32 （五）企業期待 NTA/NDR 類產品的能力9 HYPERLINK l _bookmark34 三、NTA/NDR 類產品測試情況綜述10 HYPERLINK l _bookmark35 （一）測試基本情況10 HYPERLINK l _bookmark37 （二）測試環境介紹12 HYPERLINK l _bookmark40 （三）測試方法說明13 HYPERLINK l _bookmark42 （四）測試對象范圍14 HYPERLINK l _bookmark45 （五）測試內容簡介1

6、5 HYPERLINK l _bookmark47 四、NTA/NDR 類產品測試結果總體分析17 HYPERLINK l _bookmark48 （一）不同技術方向“劃分”企業能力陣營17 HYPERLINK l _bookmark50 （二）自動化處置能力有待落地和完善18 HYPERLINK l _bookmark56 （三）基于 IP 和主機的溯源功能不分軒輊20 HYPERLINK l _bookmark60 （四）產品自身管理能力總體較好22 HYPERLINK l _bookmark63 五、NTA/NDR 類產品流量識別能力分析23 HYPERLINK l _bookmark6

7、4 （一）網絡協議識別展示能力各有所長23 HYPERLINK l _bookmark68 （二）網絡流量識別還原內容因需而定25 HYPERLINK l _bookmark69 絕大多數產品可全字段還原 HTTP 協議25 HYPERLINK l _bookmark73 網絡文件是否識別多由文件風險決定27 HYPERLINK l _bookmark76 網絡正常文件內容還原仍需更加精準28 HYPERLINK l _bookmark79 （三）NTA/NDR 產品中資產發現能力一般30 HYPERLINK l _bookmark82 六、NTA/NDR 類產品安全分析能力分析31 HYPE

8、RLINK l _bookmark83 （一）具備各類網絡攻擊發現和分析能力31 HYPERLINK l _bookmark86 （二）基本具備多步驟攻擊關聯分析能力33 HYPERLINK l _bookmark91 （三）網絡惡意程序分析能力總體可用35 HYPERLINK l _bookmark94 七、NTA/NDR 類產品趨勢展望36 HYPERLINK l _bookmark95 （一）大規模攻防演練進一步催化 NTA/NDR 市場需求36 HYPERLINK l _bookmark96 （二）NTA/NDR 或著力產品差異化，打造核心賣點37 HYPERLINK l _bookm

9、ark97 （三）網絡加密流量解析與分析成為新挑戰37 HYPERLINK l _bookmark99 （四）聯動攻擊鏈的流量場景化分析需進一步落地38 HYPERLINK l _bookmark100 （五）流量分析轉移到云上以實現可伸縮性成趨勢38 HYPERLINK l _bookmark101 八、NTA/NDR 類產品發展建議38 HYPERLINK l _bookmark102 （一）深耕自身技術優勢，實現技術能力互補38 HYPERLINK l _bookmark105 （二）圍繞新型網絡場景，滿足業務安全需求39 HYPERLINK l _bookmark106 （三）夯實產品

10、自身安全，保障可信可控可靠39 HYPERLINK l _bookmark108 九、NTA/NDR 類產品能力分組40 HYPERLINK l _bookmark109 （一）專業能力領域40 HYPERLINK l _bookmark110 （二）行業應用能力領域41圖 目 錄 HYPERLINK l _bookmark3 圖 1移動互聯網接入流量1 HYPERLINK l _bookmark19 圖 2NTA 邏輯示意圖5 HYPERLINK l _bookmark22 圖 3企業對于網絡流量監測與分析產品的選擇比例圖6 HYPERLINK l _bookmark23 圖 4企業對于網絡

11、流量監測與分析產品的選擇比例圖6 HYPERLINK l _bookmark13 圖 5NTA/NDR 類產品的行業應用比例3 HYPERLINK l _bookmark27 圖 6企業對 NTA/NDR 類產品特性的關注比例7 HYPERLINK l _bookmark28 圖 7NTA/NDR 類產品在攻防演練中的作用8 HYPERLINK l _bookmark30 圖 8NTA/NDR 類產品的用戶綜合評價比例9 HYPERLINK l _bookmark31 圖 9企業對 NTA/NDR 類產品不滿意的原因9 HYPERLINK l _bookmark33 圖 10企業期望 NTA/

12、NDR 類產品改進的能力10 HYPERLINK l _bookmark38 圖 11測試網絡拓撲圖12 HYPERLINK l _bookmark39 圖 12測試現場13 HYPERLINK l _bookmark41 圖 13IXIA PerfectStorm ONE 流量發生器 Web 界面14 HYPERLINK l _bookmark49 圖 14受測產品主要能力占比18 HYPERLINK l _bookmark51 圖 15某產品告警能力測試結果截圖19 HYPERLINK l _bookmark54 圖 16某產品攻擊鏈功能測試結果截圖20 HYPERLINK l _book

13、mark55 圖 17某產品攻擊鏈功能測試結果截圖20 HYPERLINK l _bookmark57 圖 18某產品溯源能力測試結果截圖21 HYPERLINK l _bookmark58 圖 19基本溯源能力測試分數統計結果21 HYPERLINK l _bookmark61 圖 20某產品管理功能測試結果截圖22 HYPERLINK l _bookmark62 圖 21產品自身管理功能結果比例圖23 HYPERLINK l _bookmark65 圖 22某產品協議識別能力測試結果截圖 124 HYPERLINK l _bookmark66 圖 23某產品協議識別能力測試結果截圖 224

14、 HYPERLINK l _bookmark67 圖 24產品協議識別情況25 HYPERLINK l _bookmark70 圖 25某產品 HTTP 協議還原測試結果截圖 126 HYPERLINK l _bookmark71 圖 26某產品 HTTP 協議還原測試結果截圖 226 HYPERLINK l _bookmark72 圖 27HTTP 協議支持比例27 HYPERLINK l _bookmark74 圖 28某產品文件識別功能測試結果截圖28 HYPERLINK l _bookmark75 圖 29產品還原文件類型數量28 HYPERLINK l _bookmark77 圖 3

15、0某產品 HTTP 協議還原測試結果截圖29 HYPERLINK l _bookmark78 圖 31產品文件內容識別比例29 HYPERLINK l _bookmark80 圖 32某產品資產識別功能測試結果截圖30 HYPERLINK l _bookmark81 圖 33產品資產識別功能比例31 HYPERLINK l _bookmark84 圖 34某產品網絡攻擊識別能力測試結果截圖 132 HYPERLINK l _bookmark85 圖 35某產品網絡攻擊識別能力測試結果截圖 232 HYPERLINK l _bookmark87 圖 36某產品 APT 攻擊識別能力測試結果截圖

16、133 HYPERLINK l _bookmark89 圖 37某產品 APT 攻擊識別能力測試結果截圖 234 HYPERLINK l _bookmark90 圖 38產品 APT 識別能力比例34 HYPERLINK l _bookmark92 圖 39某產品惡意程序識別能力測試結果截圖35 HYPERLINK l _bookmark93 圖 40各產品惡意程序識別能力分值36 HYPERLINK l _bookmark107 圖 41各受測產品安全漏洞情況40表 目 錄 HYPERLINK l _bookmark36 表 1各企業到場測試產品臺數11 HYPERLINK l _bookm

17、ark46 表 2NTA/NDR 類產品測試項目表15一、國內網絡流量監測與分析技術現狀（一）國內網絡流量發展現狀 HYPERLINK l _bookmark4 2伴隨著 IT 與互聯網應用的快速發展，如物聯網設備規模性增長、5G 商業落地等，網絡流量迎來爆炸性增長。根據CNNICF 發布的第 45 次 HYPERLINK /2019-08/30/c_1124938750.htm h 中國互聯網絡發展狀況統計報告，截至 2020 年 3 月， 我國網民規模達 9.04 億，互聯網普及率達 64.5%。其中，移動互聯網流量大幅增長，2019 年 1 至 12 月，移動互聯網接入流量消費達1220

18、.0 億GB。互聯網流量日益增長的背后不僅僅是個人用戶的移動互聯網使用持續深化，同時反映出大量企業的業務向線上轉移、來源復雜和所承載的信息多樣化。網絡流量中承載的龐大業務信息（支付信息、賬號信息等）所反映出來的數據是最為直觀、真實和有效的。安全方面，網絡邊界模糊對流量監測帶來了一定的挑戰，同時網絡流量的發展特性對企業安全也提出了一定的挑戰，如惡意流量和加密流量的發展。數據來源：工業和信息化部圖 1 移動互聯網接入流量2 CNNIC：China Internet Network Information Center，中國互聯網絡信息中心。是經國家主管部門批準，于1997 年 6 月 3 日組建的

19、管理和服務機構，行使國家互聯網絡信息中心的職責。（二）新興流量監測與分析技術網絡流量分析技術 NTA 于 2013 年首次被提出，并且在 2016 年逐漸興起。2017 年，NTA 被Gartner 評選為 2017 年十一大信息安全新興技術之一，同時也被認為是五種檢測高級威脅 HYPERLINK l _bookmark6 3的手段之一，開始進入到更多企業視線里。在 Gartner 的定義里，NTA 是以網絡流量為基礎，應用人工智能、大數據處理等先進技術，基于流量行為進行實時分析并展示異常事件的客觀事實。 HYPERLINK l _bookmark7 4 HYPERLINK l _bookma

20、rk8 5 HYPERLINK l _bookmark9 6在NTA 提出伊始，重點在于網絡流量與分析的能力，但隨著 NTA 的不斷發展，企業開始突破其技術的局限性，增加檢測和響應的功能，尤其是針對高級威脅的行為分析與快速響應。因此，“NTA”這個術語已經不能夠完全涵蓋這些新的特征，由此，網絡檢測與響應技術NDR 應運而生。2020 年，Gartner 用全新發布的NDR 全球市場指南替代了原有的NTA 全球市場指南，也標志著 NDR 正式進入大眾視野。在使用NTA 的基礎上，NDR 通過與防火墻、EDRF 、NAC 或 SOARF 平臺的智能集成，添加了歷史元數據用于調查、威脅搜尋和自動威脅

21、響應。 HYPERLINK l _bookmark10 7 HYPERLINK l _bookmark11 8IDS F /IPSF 和防火墻等其他系統，通常僅監視網絡外圍，如果攻擊者的行為成功地突破了網絡范圍而沒有被發現，則攻擊者的行為3 高級威脅：通常指高級可持續威脅攻擊（APT：Advanced Persistent Threat），也稱為定向威脅攻擊，指某組織對特定對象展開的持續有效的攻擊活動。4 Gartner 的 AntonChuvakin 于 2013 年 7 月首次創造了端點威脅檢測和響應 (Endpoint Threat Detection and Response，ETDR

22、) 這一術語，用來定義一種“檢測和調查主機/端點上可疑活動（及其痕跡）”的工具。后來通常稱為端點檢測和響應 (EDR)。5 NAC：Network access control，網絡訪問控制。6 SOAR：Security Orchestration, Automation and Response，安全編排自動化與響應。7 IDS：intrusion detection system，入侵檢測系統。8 IPS：Intrusion Prevention System 入侵防御系統。將不會被注意到。NTA/NDR 主要分析南北向和東西向的流量 HYPERLINK l _bookmark14 9，

23、通過使用工具組合來檢測攻擊，包括機器學習、行為分析、危害指標和回顧性分析。使用這些工具，可以防止在網絡范圍內以及在攻擊者已經獲得對網絡基礎結構的訪問權限的情況下進行攻擊。同時，NTA/NDR 可以記錄原始流量數據，這些數據對于檢測和隔離攻擊以及驗證威脅搜尋假設可能是寶貴的資源。（二）行業應用現狀圖 5 NTA/NDR 類產品的行業應用比例調研發現，政府和監管部門、金融、互聯網、醫療、物聯網行業的安全需求推動了NTA/NDR 類產品國內市場發展，這五個細分行業共占據了 81.3%的市場應用份額。分析原因，不難發現，這是目前對新興技術、高級威脅以及攻9南北向流量/東西向流量：一般南北（上下）是客戶

24、端與數據中心的流量。東西（左右）是各個數據中心中的服務器之間的流量。防對抗最重視及關注的五個行業。未來隨著新基建等政策持續落地， 網絡流量監測與分析產品還將進一步增加市場應用占比。（三）應用場景 HYPERLINK l _bookmark15 10在市面上已經存在 IDS/IPS、WAFF 、防火墻等多種解決南北向流量問題產品的情況下，NTA/NDR 等純網絡流量監測與分析產品依然被企業關注并需要的原因在于其可以幫助企事業單位發現多個場景下基于流量的威脅行為。一是日常異常流量監測應用場景。大多的安全產品強調威脅可視化，網絡流量正是黑客入侵及其它威脅行為發生時會隨之產生的重要特征。NTA/NDR

25、 類產品主要應用于網絡流量的行為分析，強調對于異常流量行為的實時監測，更快發現威脅及溯源，彌補其它安全工具的不足之處，例如高頻攻擊、惡意軟件入侵、內網橫移 HYPERLINK l _bookmark16 11、數據外泄、僵尸網絡 HYPERLINK l _bookmark17 12、惡意挖礦 HYPERLINK l _bookmark18 13、網絡蠕蟲和高級威脅所產生的惡意流量。二是攻防演練中的應用。攻防演練中， 不論攻擊成功與否，攻擊行為的載體只可能是網絡流量。因此，網絡流量監測與分析技術也可以說是藍軍的一張王牌，通過對正常業務與威脅行為模式進行建模，能夠在第一時間發現入侵事件，甚至還原整

26、個攻擊流程。10WAF：Web Application Firewall Web 應用防護系統，也稱為：網站應用級入侵防御系統。11內網橫移：攻擊者獲取到某臺內網機器的控制權限之后，進一步在內網進行橫向移動，以及攻擊域控服務器。12僵尸網絡：是指采用一種或多種傳播手段，將大量主機感染僵尸病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。13惡意挖礦：在用戶不知情或未經允許的情況下，占用用戶終端設備的系統資源和網絡資源進行挖礦，從而獲取虛擬幣牟利。圖 2 NTA 邏輯示意圖二、國內 NTA/NDR 類產品應用現狀（一）市場應用現狀近年來，隨著攻擊技術的發展，以高級持續性威脅（AP

27、T）為代表的新型攻擊手段漸漸興起，網絡威脅形勢變得更為嚴峻。從調研結果來看，針對網絡流量監測與分析類產品的部署選擇，有 32.6% 的企業已經部署NTA/NDR 類產品，還有 14.8%的受訪企業表示計劃部署此類產品。圖 3 企業對于網絡流量監測與分析產品的選擇比例圖 HYPERLINK l _bookmark25 14此外，通過對企業部署NTA/NDR 類產品的流量采集區域調研顯示，22.95%的企業選擇部署在 DMZ 區 F ，20.59%的企業選擇部署在Web 服務，20.39%的企業選擇部署在生產區域。圖 4 企業對于網絡流量監測與分析產品的選擇比例圖14 DMZ：demilitari

28、zed zone 的縮寫，中文名稱為“隔離區”，也稱“非軍事化區”。它是為了解決安裝防火墻后外部網絡的訪問用戶不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區。（三）攻防對抗場景下的應用現狀近年來，為促進和推動國家重大活動網絡安全和國家關鍵信息基礎設施安全防護工作，利用網絡流量展開的攻防對抗逐漸成為趨勢，企業對于 NTA/NDR 類產品的應用需求也在不斷聚焦于此。調研發現，目前企業對NTA/NDR 類產品特性的關注主要聚焦于以下兩個方面，其中提升威脅分析和溯源能力的關注比例為 35.0%，實時分析原始網絡數據包流量（NetFlow 記錄等）的關注比例為 27.0%。圖

29、 6 企業對 NTA/NDR 類產品特性的關注比例而這兩項能力恰好是攻防對抗場景中極為重要的環節，NTA/NDR 類產品正是將機器學習、高級分析和基于規則的檢測結合起來，根據上下文收集的數據來確定后期的攻擊行為，從而幫助企業最大化扭轉攻防不對等的不利局面。圖 7 NTA/NDR 類產品在攻防演練中的作用針對產品部署在攻防演練場景的使用效果，調研數據顯示： 48.39%的企業認為作用很大，37.46%的企業認為作用一般，14.15% 的企業認為沒什么作用。（四）企業對 NTA/NDR 類產品的預期針對已部署NTA/NDR 類產品的調研對象，23.7%的企業認為產品符合預期效果，21.3%的企業對

30、所部署的產品表示不滿，僅有 7.1% 的企業認為產品防護效果超過預期。圖 8 NTA/NDR 類產品的用戶綜合評價比例根據調研，企業用戶對現階段NTA/NDR 類產品不滿意的問題主要包括以下兩個方面：23.48%的企業認為價格高昂，22.61%的企業認為產品的事件誤報率過高。圖 9 企業對 NTA/NDR 類產品不滿意的原因（五）企業期待 NTA/NDR 類產品的能力針對NTA/NDR 類產品的屬性及應用場景，除了核心的威脅溯源及全流量存儲與監測能力外，還需提升網絡可視化功能。在此基礎上，加密流量的分析、基于行為的數據分析能力也需著力增強。圖 10 企業期望 NTA/NDR 類產品改進的能力超

31、過 50%的企業認為目前的NTA/NDR 類產品需要提升威脅溯源、全流量監測及網絡可視化這三項核心能力。從調研情況來看，大多數企業非常關注 NTA/NDR 類產品的應用能力， 國內企業對此的技術投入比例也在不斷增強。隨著越來越多的企業開始重視突發安全事件的應對能力和高級威脅的防護能力，國內NTA/NDR 類產品的市場應用將進一步擴大。三、NTA/NDR 類產品測試情況綜述（一）測試基本情況本次 NTA/NDR 類網絡安全技術能力測試在信通院安全所網絡安全實驗室進行，開始于 2020 年 6 月 22 日，結束于 2020 年 7 月 31 日。各參測企業根據測試方案分別組合了自身的產品模塊和技

32、術能力。各參測企業參與受測的產品數量不同，如表 1 所示，每個參測企業產品數量從一臺至五臺數量不等，但普遍為一臺至兩臺，通常一臺設備作為流量采集探針，另外一臺設備作為安全分析和展示系統，對于采用兩臺以上設備的企業通常是將安全分析模塊進行了能力拆分，例如安全攻擊分析模塊、惡意文件沙箱分析模塊以及總體分析和展示模塊幾個部分。所有參與測試的產品均采用了標準 1U 或2U 標準服務器，少部分企業采用了專用定制設備。表 1 各企業到場測試產品臺數企業簡稱臺數企業簡稱臺數斗象科技5湖南友道1綠盟科技4安態科技1深信服3中移杭研院1奇安信3一知安全1安天科技2安博通1安恒信息2深思科技1恒安嘉新2國瑞數碼1

33、中新網安2華安普特1微智信業2中電福富1派網軟件2知道創宇1科來2東巽科技1蘭云科技2神州靈云1浩瀚深度2江蘇未來網絡創新研究院1騰訊科技2亞信TDA1亞信SpiderFlow1/（二）測試環境介紹圖 11 測試網絡拓撲圖本次測試主要采用IXIA PerfectStormONE 流量發生器模擬網絡流量、攻擊以及惡意程序等，采用 IXIA Vision E40 分流設備進行多路模擬流量生成。如圖 11 所示測試環境拓撲情況，流量發生器與分流設備相連接，并配置流量策略，分流設備將模擬的測試流量同時下發多份，受測產品的采集口（或通過交換機轉發）與分流設備相連。管理口交換機連接所有產品管理口進行統一管

34、理。受測產品需要配置 網段IP 作為管理IP，并接入到受測網絡中。為了保障在對測試結果進行截圖并說明過程中的真實性，管理口 IP 以及其他相關采集分析設備被分配的 IP 不可以私自改變，在測試結果截圖中應包含頁面全屏，顯示出管理IP，以明確該測試截圖內容為現場測試結果截圖。圖 12 測試現場（三）測試方法說明本次測試包括產品功能測試、性能測試和系統自身安全測試。在功能測試方面，由IXIA PerfectStormONE 流量發生器生成相關流量，隨后在產品找到采集或分析結果相應界面，對滿足測試內容的部分進行截圖和說明，證明該產品對該測試項的滿足程度。對于不需要專門利用流量發生器的測試項，直接在產

35、品界面截圖中進行描述說明。在性能測試方面，根據產品型號（千兆或萬兆），由IXIA PerfectStormONE 流量發生器進行最大量生成混合流量，受測產品記錄流量采集峰值以及峰值期間 CPU 或內存資源的消耗情況。在自身安全測試方面，由專業白帽子滲透測試工程師利用各類 Web 檢測工具，結合手工測試對設備系統和應用層面進行全面滲透測試。圖 13 IXIA PerfectStorm ONE 流量發生器 Web 界面（四）測試對象范圍 HYPERLINK l _bookmark43 15 HYPERLINK l _bookmark44 16常用的網絡流量監測技術主要包括主機內嵌軟件監測、基于SN

36、MP 協議的流量監測、基于NetFlow 的流量監測、基于硬件探針的檢測等。而網絡流量分析則從帶寬、網絡協議、基于網段的業務、網絡異常流量、應用服務異常等方面著手。近年來，業界則主要使用DPI 和DFIF 來進行流量分析，尤其是 DPI 技術可以大幅增強流量識別的精度。總體來說，DFI 注重量的統計、DPI 注重內容的分析。目前，網絡流量監測和分析既指特定用途的硬件設備（比如各家安全企業提供的NTA/NDR 類產品），也指基于網絡層的安全分析技術。不同于主機層、應用層是以日志、請求等為分析對象，流量分析面對的是更底層的網絡數據包，信息元素更多，分析更為復雜。15 DPI：Deep Packet

37、 Inspection，是一種基于數據包的深度檢測技術，針對不同的網絡應用層載荷（例如HTTP、DNS 等）進行深度檢測，通過對報文的有效載荷檢測決定其合法性。16 DFI：Deep Flow Inspection，是一種基于流量行為的應用識別技術，以流為基本研究對象，從龐大的網絡流數據中提取流的特征，比如流大小、流速度等。也就是不同的應用類型體現在會話連接或者數據流上的狀態不同。本次測試對象范圍要求以 DPI/DFI 流量采集技術為主的NTA/NDR 類產品，不限于網絡全流量監測與安全分析系統、網絡異常行為監測系統、流量威脅探針系統、高級可持續性安全威脅監測系統、大數據智能安全分析系統、態勢

38、感知威脅預警系統等。（五）測試內容簡介本次測試內容范圍覆蓋從原始網絡流量采集、還原，并進行網絡攻擊、惡意程序、APT 等安全分析并告警，生成結果報告，并對風險進行處置和溯源等網絡流量全生命周期分析能力測試。如表 2 所示，測試內容包括產品功能測試、產品性能測試和產品自身安全測試三個方向。其中產品功能測試包括網絡流量識別能力、安全分析能力、安全事件處置能力、安全事件溯源能力、自身管理能力、自身日志審計能力六大產品能力，其中網絡流量識別能力和安全分析能力是本次測試的重點方向。產品性能測試包括網絡流量吞吐能力和系統資源使用情況測試。自身安全測試包括針對系統的 Web 應用安全和業務邏輯安全測試。表

39、2 NTA/NDR 類產品測試項目表測試大項測試小項網絡流量識別能力流量采集方式識別網絡協議類型識別網絡協議內容識別網絡文件類型識別網絡文件內容網絡資產識別網絡資產批量導入網絡資產主動識別識別網絡資產內容流量數據統計能力安全分析能力安全分析能力安全事件分析安全關聯分析能力自定義網絡行為分析惡意文件分析方式惡意文件分析能力結果數據可視化能力安全事件處置能力告警能力聯動能力應急處置流程和工單處理能力安全事件溯源能力風險描述調查溯源管理能力監測配置能力存儲配置報告導出數據報表與統計用戶角色權限管理升級管理日志審計審計日志生成日志可理解性審計日志可查閱自身安全網絡訪問控制Web 應用&邏輯業務平臺性能

40、最大實時吞吐CPU、內存使用率監測四、NTA/NDR 類產品測試結果總體分析（一）不同技術方向“劃分”企業能力陣營通過測試結果發現，在不考慮受測企業的供測產品數量和產品功能組合不同情況的影響下，多數受測產品具有技術能力傾向性， 其中，部分產品能力傾向于網絡流量識別，主要包括各類網絡協議的識別、各類文件的識別與還原等，部分產品則傾向于安全分析能力，主要包括網絡攻擊行為分析、惡意程序分析、APT 關聯分析以及綜合態勢展示能力等。圖 14 受測產品主要能力占比數據來源：測試結果如圖 14 所示，各產品網絡流量識別能力和安全分析能力對比， 其中藍色部分是網絡流量識別能力測試項結果總和，紅色部分為安全分

41、析測試項結果總和，藍色占比多意味著產品網絡流量識別能力較強，紅色占比多表示安全分析能力強。從整體上看，網絡流量識別和安全分析能力相對平衡，即兩種能力各占比例 50%左右的受測產品不足 10 家。（二）自動化處置能力有待落地和完善通過測試結果發現，大多數產品具備基本的告警功能，但自動化編排響應能力有待提高。根據測試用例要求，受測產品在告警能力方面，可進行實時有效告警，告警方式包括界面、郵件、短信、站內信等，并且告警信息在系統中有詳細記錄。在聯動能力方面， 具備與其他設備 API/Syslog/SNMP 等接口的配置，并且可以與企業其他產品和其他企業或開源組件實現數據聯動，以滿足風險通知等其他擴展

42、功能。圖 15 某產品告警能力測試結果截圖 HYPERLINK l _bookmark52 17 HYPERLINK l _bookmark53 18KillChain F /ATT&CK F 技術落地仍需完善。通過測試結果發現， 僅有不足 8 款產品實現了基于各類攻擊鏈的告警分析，以 ATT&CK 為例，包括初始訪問、執行、持久化、授權、防御規避、憑證訪問等全過程告警功能。但是在風險告警與攻擊鏈構成防御策略方面仍需不斷完善。隨著各企業在國家 APT 網絡攻擊對抗領域的不斷深入研究與實踐，應持續完善產品能力，以在網絡安全防御與應急響應工作中起到實際效果。17 KillChain：指洛克希德-馬

43、丁公司的網絡殺傷鏈，也稱網絡攻擊生命周期。它是一個描述攻擊環節的六階段模型，該理論也可以用來反制此類攻擊（即反殺傷鏈）。殺傷鏈共有“發現-定位-跟蹤-瞄準-打擊-達成目標”六個環節。18 ATTRCK&CK：Adversarial Tactics, Techniques, and Common Knowledge 縮寫。它是一個站在攻擊者的視角來描述攻擊中各階段用到的技術的模型。該模型由 MITRE 公司提出，這個公司一直以來都在為美國軍方做威脅建模，之前著名的STIX 模型也是由該公司提出的。圖 16 某產品攻擊鏈功能測試結果截圖SOAR 能力缺乏在NTA/NDR 類產品中落地。通過測試結果

44、發現， 在工單管理能力方面，僅有10 款產品實現了最基本的事件狀態管理， 其中 6 款產品具備工單流轉與處置全過程管理能力，不足 4 款產品具備完善的基于不同角色的處置流程全過程管理，但是在自動化判斷方面仍需不斷研究改進。另外 18 款產品不具備工單管理功能。圖 17 某產品攻擊鏈功能測試結果截圖在安全編排自動化與響應能力方面，絕大多數受測產品未體現出相關優勢，需要在實踐中不斷完善和改進。（三）基于 IP 和主機的溯源功能 HYPERLINK /idiom/2222/ h 不分軒輊通過測試結果發現，雖距實現精準溯源仍有一定距離，但多數 HYPERLINK l _bookmark59 19產品基

45、本滿足此次測試項。受測產品基本支持風險事件關聯協議日志進行聯合檢索、風險事件 PCAP F 流量包下載、惡意文件下載。支持網絡協議全文高級檢索，對不同類型協議支持動態字段查詢和展示。可以留存全量網絡文件數據，并提供文件解析及文件下載功能。可以留存全量網絡數據包，提供查詢及PCAP 包下載功能。圖 18 某產品溯源能力測試結果截圖如圖 19 所示，具有較好測試結果的受測產品有 20 款，約占受測產品數量的 70%左右，僅有 1 款產品需在此方面重點完善。多數受測企業具備在自身流量采集范圍內，基于IP 的攻擊路徑還原能力。數據來源：測試結果圖 19 基本溯源能力測試分數統計結果19 PCAP：一種

46、網絡抓包的文件格式。給抓包系統提供了一個高層次的接口。所有網絡上的數據包，甚至是那些發送給其他主機的，通過這種機制，都是可以捕獲的。它也支持把捕獲的數據包保存為本地文件和從本地文件讀取信息。追蹤溯源是網絡安全技術能力難點，要想準確溯源攻擊組織和手段、攻擊路徑等，需要采集更多的數據，提高分析發現能力，結合威脅情報平臺等其他系統，同時，需要安全技術人員通過數據分析逐步實現。因此，網絡攻擊追蹤溯源仍然是需要網絡安全企業不斷深入研究和實踐的關鍵技術領域。（四）產品自身管理能力總體較好通過測試結果發現，絕大部分受測產品在監測配置方面，具備包括不限于協議流量類型、文件類型、網絡區域配置、風險監測配置等功能

47、。在存儲配置方面，配置內容具備包括存儲時間、存儲范圍、存儲數據類型等功能。在報告導出方面，具備基于攻擊事件、網絡協議、資產內容等多維度靈活導出功能。在數據報表統計分析方面，統計維度包括風險趨勢、資產動態、實時動態等信息的展示功能。在角色權限管理方面，具備權限劃分、功能劃分與角色劃分等功能。在升級管理方面，具備在線升級功能和離線升級功能，且支持對系統和策略的分別升級。圖 20 某產品管理功能測試結果截圖通過測試結果發現，絕大部分產品具有完善的自身管理能力。如圖 21 所示，其中 71%受測產品具有較為完善的自身管理能力，滿足測試功能要求，25%受測產品在自身管理功能方面有待提高，4%受測產品不具

48、備自身管理相關能力。數據來源：測試結果圖 21 產品自身管理功能結果比例圖五、NTA/NDR 類產品流量識別能力分析（一）網絡協議識別展示能力各有所長在本測試用例中，利用流量發生器構造了 100 余種協議和應用， 包括SAP、SMTP、SNMPv2c、DNS、SMBv2、POP3、Twitter、SSH、Radius、SOCKs5、Zoom meeting chat、TikTok、Baidu、IQiyi、HTTP、HTTPS、FTP、TFTP 、MSSQL、MySQL、Whois、DCE RPC、IPP、NNTP、X11、Mongodb、WebDav、RPC、MQTT、Amazon、Db2、N

49、etBios、WhatsApp、aim6、tacacs+、QQLive、classic stun、Gadu Gadu、Microsoft lync sipe、QQ 等，運行 5 分鐘，通過受測產品查看是否完全識別并解析各類協議內容。圖 22 某產品協議識別能力測試結果截圖 1圖 23 某產品協議識別能力測試結果截圖 2通過測試結果發現，各產品對協議和應用的識別數量差異較大， 如圖 24 所示，識別出約 0-20 余種協議的產品有 8 個，識別出 20-40余種協議的產品有 6 個，識別出 40-60 余種協議的產品有 4 個，識別出 60-80 余種協議的產品有 3 個，識別出 80 以上種協

50、議的產品有7 個。總體拉看，產品的流量識別能力分別趨向于“協議識別類別多” 和“精準識別還原部分協議內容”，猜測這是由于不同企業針對NTA/NDR 類產品的能力側重點不同，有的優勢在全流量數據還原識別，有的優勢在于網絡、Web 應用安全分析，僅識別了HTTP、SMTP、POP3、FTP 等協議。個別參與此次測試的產品方向側重于各類互聯網應用和互聯網游戲的流量識別和數據分析。數據來源：測試結果圖 24 產品協議識別情況（二）網絡流量識別還原內容因需而定1.絕大多數產品可全字段還原HTTP 協議在本測試用例中，利用流量發生器構造了HTTP 應用，每個TCP 連接中包含一個 GET 和一個 POST

51、 請求。通過受測產品查看 HTTP 協議內容，篩選 HTTP 流量協議，查看協議中解析的字段信息，HTTP 協議應包含但不限于 HTTP 請求頭（User-Agent、Referer、Host、Content-Type、X-Forwarded-For 及其他自定義字段）、HTTP URL、HTTP GET/POST 參數、HTTP 返回碼、返回頭、返回內容、HTTP 源/ 目的地址、HTTP 源/目的端口等信息。圖 25 某產品 HTTP 協議還原測試結果截圖 1圖 26 某產品 HTTP 協議還原測試結果截圖 2通過測試結果發現，80%以上受測產品對 HTTP 協議全字段還原完整。如圖 27

52、 所示，僅有 18%受測產品對HTTP 協議解析不完整，僅包含五元組等少量字段信息。圖 27 HTTP 協議支持比例數據來源：測試結果HTTP 協議解析是用來分析各類Web 應用攻擊的必要原始數據， 如果受測產品功能側重于攻擊分析，則該協議的解析分析能力就為必要條件。對于側重于 WEB 安全分析、WEB 業務分析的企業均對 HTTP 協議分析字段內容還原全面且完整，對于部分側重于全網流量態勢分析的企業，在HTTP 協議解析細節方面并未做到完善。網絡文件是否識別多由文件風險決定在本測試用例中，利用流量發生器構造 HTTP 應用，每個 GET 動作請求一個文件，一共 50 余種文件類型，包括 mp

53、3、pdf、jpg/jpeg、zip、exe、htm/html/xhtml、css、flv、avi、js、wav、docx、rtf、vxd、bmp、gif、png、xslx、vbe、vbs、ini、txt、dat、pem 等文件格式。通過受測產品查看可以支持識別文件類型的種類、系統信息、是否展示網絡文件信息等。圖 28 某產品文件識別功能測試結果截圖通過測試結果發現，60%以上受測產品還原文件類型不超過 30 種。由于現網的業務環境復雜，傳輸中的文件類型較多且存在自身占用空間較大，產品要對各類文件進行判斷識別需要占用大量系統資源，而對于以網絡攻擊能力為主的產品通過識別文件類型并不能對分析網絡攻

54、擊有更多的幫助，因此，未將有限的系統資源應用在此功能上，如果受測產品主要功能為信息內容或數據安全方面，則在此功能測試中應當會有較好表現。數據來源：測試結果圖 29 產品還原文件類型數量網絡正常文件內容還原仍需更加精準在本測試用例中，利用流量發生器構造了HTTP 應用，每個GET動作請求一個PDF文件，文件內容隨機生成，包含關鍵詞“CAICTNTA”。同時解析內容包括文件名、文件大小、文件格式、來源 IP、目的 IP、MD5 值、HASH 等信息。圖 30 某產品 HTTP 協議還原測試結果截圖通過測試結果發現，僅有部分受測產品完整還原出文件，并識別出文件中的關鍵詞。47%的受測產品能夠滿足該測

55、試用例，其中部分產品需要提前配置好關鍵詞策略，由流量發生器重新發起測試流量進行功能復測，可實現該功能。39%受測產品能識別出基本文件信息，包括文件名、文件大小、文件格式、來源和目的IP、MD5 值、HASH 值等。14%的受測企業識別不到文件。圖 31 產品文件內容識別比例數據來源：測試結果通過和企業技術人員溝通得知，多數受測產品僅對有攻擊特征的流量進行文件還原，以進一步利用沙箱分析，而作為普通的正常文件則不進行還原。（三）NTA/NDR 產品中資產發現能力一般在本測試用例中，利用流量發生器構造了四種應用協議，分別為HTTP、SMB、FTP 和 SMTP 協議，并在流量中包含了服務器操作系統、

56、軟件組件、軟件框架、數據庫等資產信息，受測產品需要實現如下功能，一是查看受測產品是否能夠準確對資產指紋識別。二是具有資產識別的獨立功能且能從流量中獲取資產信息的能力，三是能通過導入模板，對進行資產數據編寫。四是通過API 接口或導入功能進行資產數據上傳。五是具備網絡資產自動化補全等相關功能。圖 32 某產品資產識別功能測試結果截圖通過測試結果發現，多數 NTA/NDR 類產品在資產識別方面能力表現平平。61%受測產品識別出部分服務器、操作系統、軟件組件、軟件框架、數據庫等資產信息。28%受測產品僅識別出了流量中資產五元組基本信息。11%受測產品不支持資產發現功能。多數NTA/NDR類產品并未將

57、資產探測與管理作為主要能力。據了解，部分企業具有獨立的網絡空間資產測繪和管理產品，用于資產識別探測和管理。數據來源：測試結果圖 33 產品資產識別功能比例六、NTA/NDR 類產品安全分析能力分析（一）具備各類網絡攻擊發現和分析能力在本測試用例中，利用流量發生器構造了 8000 余種類型網絡攻擊，其中包括Web 應用攻擊、數據庫攻擊、內網滲透、通用應用漏洞攻擊、后門識別、異常協議等，驗證受測系統的網絡攻擊識別和分析能力。圖 34 某產品網絡攻擊識別能力測試結果截圖 1通過測試結果發現，多數企業可對網絡攻擊特征基本識別，需加強機器學習、數據圖譜等高級關聯分析和溯源展示能力。在網絡攻擊識別方面，多

58、數受測產品能識別出 Web 應用攻擊、弱口令、暴力破解、掃描與爬蟲、數據庫攻擊、敏感信息泄露、惡意通信流量、內網滲透、通用應用漏洞攻擊、惡意軟件、后門識別、異常協議等攻擊行為。圖 35 某產品網絡攻擊識別能力測試結果截圖 2在攻擊分析手段方面，少部分企業具備安全分析模型配置、機器學習引擎配置等。在攻擊路徑展示方面，少部分企業支持多形式數據圖譜關聯分析。在威脅溯源方面，多數產品可基本實現基于 IP 的行為路徑追蹤。（二）基本具備多步驟攻擊關聯分析能力在本測試用例中，利用流量發生器構造具有完整攻擊鏈的 APT 攻擊，其中包括利用 Maze Ransomware F 、AZORult F 、Neut

59、rino F 等勒索病毒等惡意程序進行攻擊，攻擊方 IP 為 網段，查看受測產品是否具備針對網絡勒索行為的自定義攻擊場景、風險關聯分析功能、是否具備自定義關聯事件模板，按照既定事件以“與”關系進行組合，構建的攻擊流量是否能觸發自定義事件模板且能按預期輸出安全場景告警。圖 36 某產品 APT 攻擊識別能力測試結果截圖 120 Maze Ransomware、AZORult31F、Neutrino：一些竊取信息的惡意程序、勒索病毒。圖 37 某產品 APT 攻擊識別能力測試結果截圖 2通過測試結果發現，多數受測產品雖具備基本關聯分析能力， 但能夠準確分析測試用例中的網絡勒索行為過程的較少。如圖

60、38 所示，18%受測企業發現測試流量中的攻擊并繪制出勒索行為的多步驟攻擊過程，43%受測企業雖然具備多步驟攻擊的關聯分析功能，但未識別測試流量中的網絡勒索行為，39%受測企業不具備相關功能。對于無法自動識別出的網絡勒索行為攻擊鏈條的受測產品，多數可以通過各攻擊特征的自定義查詢功能和人工關聯分析實現對網絡勒索行為記錄的關聯查詢。圖 38 產品 APT 識別能力比例數據來源：測試結果（三）網絡惡意程序分析能力總體可用在本測試用例中， 利用流量發生器生成并發送了近七年（2014-2020 年）惡意程序攻擊 6000 余種，其中包括多種文件類型、多種操作行為，以及多態病毒等各類變種攻擊。受測產品查看