网络流量分析（NTA）解决方案市场规模将于2026年达到53亿美元

network

网络流量分析（NTA）解决方案市场规模将于2026年达到53亿美元

Karunesh91

2019-07-17 14:49:20

183602

5

网络流量分析（Network Traffic Analysis），也就是常说的NTA，是由Gartner创建与定义，并获其首次认可的新兴技术和产品类别。NTA入选了2017年十一大信息安全新兴技术，同时也被认为是五种检测高级威胁的手段之一。随着技术发展的日渐成熟，NTA技术已经直接或间接成为各类整体威胁防护解决方案的重要组成部分。

简而言之，NTA就是记录、审查和分析网络流量数据的过程。目的是为了检查网络在安全性、操作、管理或网络健康状况方面的表现。作为网络管理者，可以通过手动或自动化的技术、解决方案来执行网络流量分析，以查看网络流量统计信息和粒度级别的详细信息。安全研究员也可以使用相同的技术来分析网络流量模式，以便更快的发现漏洞。

不久前，Transparency Market Research针对2018-2026年内的全球网络流量分析市场进行了调研和展望，并发布了相关报告。

报告指出，2017年，全球范围内的网络流量分析解决方案具有非常大的市场潜力，整体价值约为15亿美元左右，根据推测，在接下来直到2026年，其每年的增长率将高达15.2%，也就是说到2026年左右，其市场规模将接近53亿美元左右。

网络世界不断增加的智能设备数量以及持续上涨的IT安全行业预算将成为NTA市场发展的主要推动因素。为了最大限度的减少/消除网络攻击的可能性，广大企业也不断的在安防方面增加投入和支出，整个互联网市场也会受到网络安全行业的进步和智能城市增加的影响而带来收益。

专家预计，未来几年产业向云计算迁移将成为大势所趋，而基于云的解决方案则需要托管服务，这便直接取消了内部IT技术支持的需要。此外，中小微企业的增长可能是未来几年推动NTA乃至整个互联网行业市场发展的关键因素。

与大型企业不同，中小型企业多数不具备完备的IT防护能力，因此会大量依赖于相关服务供应商，包括通信、网络使用以及网络安全等方面。

但是，由于仍然存在大量易受攻击的网络，以及出于对数据安全的担忧，NTA市场的发展也存在一定阻碍。

随着5G技术成为越来越多国家未来发展的核心，NTA可能也会顺应潮流，在5G市场所带来的海量数据中实现巨大增长。

目前，全球网络流量分析解决方案的市场动向多数由美国来推动。在对2018-2026这一时段的预测中，北美市场可能会占据最大份额，就行业收入而言，可能占据全球约三分之一的市场。而其中美国作为领头羊，大量的行业精英的存在，使其具备跨越多个垂直领域推动整个NTA市场的增长的能力。

并且，由于网络攻击愈发频繁，北美地区的整个网络安全行业也在持续扩张，北美地区将继续作为全球份额最大的网络安全市场被欧洲和亚太地区紧紧追赶。

*参考来源：Transparency Market Research，Karunesh91编译，转载请注明来自FreeBuf.COM

network

流量分析在安全攻防上的探索实践

腾讯安全平台部

2020-04-28 14:00:51

180405

1

导语

前段时间，lake2与大家分享了从网络流量层针对IDS/IPS进行绕过的一些尝试研究，其中埋了个坑“感谢宙斯盾的球头人牛长一起测试这个代号007的项目，后面的流量分析就交给他来跟进”，让我压力山大。从毕业进部门，一直从事DDoS网络攻防对抗工作，先后负责安全系统的后台开发和策略运营，近段时间也在基于流量层面对传统安全能力增强进行尝试。趁着某天下午一杯星巴克的劲，苦苦思索（其实是失眠）到凌晨三点，理出一些头绪，也算做下阶段性总结，暂时填上这个坑，更以期与业界同行交流学习。

传统基础安全领域，在通用产品能力上，一般分为三大件：网络层的防DDoS、主机层的防入侵和应用层的防漏洞。除了防DDoS之外，其他两个领域也给流量分析应用留下足够的想象空间。

网络流量分析既指特定用途的硬件设备（如绿盟的NTA），也指基于网络层的安全分析技术，在FW\IDS\IPS中很常见。相比于主机层、应用层是以日志、请求等为分析对象，流量分析面对的是更底层的网络数据包，所包含的信息元素更多，但是分析起来也更加生涩。流量分析已被应用于多个领域，如带宽资源的合理性管控、网络链路排障以及本文所要探索的安全攻防领域。

工具

网络流量一般都是传输的海量数据，可以旁路部署（如端口镜像、链路分光），也可以串行接入（如物理链路串联、BGP按需导流），无论是哪种模式都需要一个强大的计算后台来支撑，同时策略上结合实时+离线，达到对分析性能和覆盖功能的平衡。其中有几个关键组件：

1、 高性能的网络IO

无论是在业务服务器层还是机房出口层进行分析，都需要解决从网卡进行高速收包的问题。中断收包肯定是不能用的、协议栈肯定也是不能过的。常见的机制有Pcap（如网工必备应用tcpdump，但用作高性能收包现在已较少了）、Pfring（印象中是最早提出并实践了零拷贝Zero-Copy理念）、DPDK（Intel的解决方案，这几年使用非常流行），这些机制要么是基于linux内核的cBPF进行hook、要么是直接消除协议栈。而从3.17版本开始，内核引入了全新的eBPF（与老的cBPF相比，简直是鸟枪换炮，功能厉害得不行），由此诞生出了一个新的网络处理引擎XDP，近两年被业界颇为称道。与DPDK不同，XDP并不消除协议栈，而是工作在网卡收包与协议栈之间，甚至于是在内核分配skb之前。也就是经过XDP分析处理之后，数据包可以直接丢弃、直接发送，或者是继续送到协议栈处理。这对基于业务服务器层的卸载加速、流量管控、安全过滤有了更好的选择，目前国外大厂用的还比较多。

2、 特征匹配引擎

流量分析可以分为两种类型，一种是DFI（深度流检测）、一种是DPI（深度包检测），前者注重量的统计、后者注重内容的分析。而特征匹配是内容分析很重要的组成部分，虽然业界常说当前的攻防对抗已升级、传统基于黑特征的检测防御会悉数失效，但从实际现网来看，通过黑特征还是能解决很大一部分的通用性攻击威胁。传统的字符串匹配如KMP、Sunday和AC多模，正则匹配如Pcre、Re2和随DPDK广泛使用的Hyperscan。纯软件的方案毕竟会共消耗和共用机器CPU，因此也有基于硬件加速的方案，比如多插一张FPGA卡，用来专门做匹配查找计算；另外还有Mellonax BlueField直接在网卡上加一个处理芯片（智能网卡），做协议卸载和匹配加速。

3、 流重组

很多安全威胁都发生在TCP类的业务协议上（如Web漏洞、高危端口），黑客除了在业务处理逻辑层面对安全防护措施进行绕过，也会在更底层的网络传输进行尝试，比如lake2文章里所提到的一些思路。因此对于TCP的分段传输特性，流重组对提升安全对抗的检测覆盖能力起到重要作用。实际落地上，业界少有现成的开源方案，自研实现上需考虑对内存的合理高效使用、对算法的精心调优，而现网使用中，则需要平衡性能和功能，太考虑性能则某些场景覆盖不了、太考虑功能则会导致处理性能下降，需要根据具体业务场景来定。

场景

将流量分析应用于安全攻防领域，除了在网络层异常检测和拦截上的天然契合，对于主机安全、应用安全都能起到不错的能力补充增强。

1、 网络层

a) DDoS检测防护：目前应用最为成熟的领域，我们也自研了宙斯盾DDoS防护系统，有兴趣使用英雄联盟、王者荣耀同款防护软件的同学可以去腾讯云T-SEC DDoS防护产品体验，这里就不再赘述。

b) Web漏洞防护：基于机房出口的流量牵引，对业务接入成本最低，因为并不需要业务更改域名指向或者安装Agent插件。因此，在几年前，面对公有云业务的需求和场景，我们曾基于DDoS流量牵引回注整套体系实现了一套网络层WAF（具备流重组功能），提供给第三方客户使用。但后面随着使用场景的增多，这套方案的弊端也凸显，这个问题后面再说。

c) 基于网络层的阻断：理论上，所有基于IP的流量管控拦截都可以通过这套体系实现。比如针对特定端口请求的常态拦截，防止运维同学手抖操作开放了高危端口；针对0day漏洞的虚拟补丁机制，为下游业务升级版本赢得时间窗；甚至将能力开放给到业务自助操作，从机房入口层级屏蔽业务上来自某些恶意源的异常访问、请求限速等（图示为宙斯盾的网络流量阻断配置）。

2、 主机层

a) 入侵回溯：传统的主机安全检测响应EDR系统，通过Agent方式采集主机日志、命令操作等信息，然后上报到控制中心进行策略建模，从而发现主机入侵威胁。比如高风险命令注入执行，单纯基于主机端数据仅能知道发生了什么，若同时能在流量层面针对这些强特征命令字进行检测，进一步关联，就能溯源到攻击者是如何利用的。此外，流量层的检测能力，也能与主机层发现互补，形成多个铃铛的告警能力。

主机端发现命令执行并告警

流量层抓取到网络请求和路径，形成关联

b) 木马通信：比如ICMP木马，进程也不会监听端口，对主机层检测能力提出更大挑战，甚至如上面提过的XDP，在协议栈之前对流量进行劫持处理，主机端tcpdump也无法抓取。而作为中间管道，在流量层进行检测分析，会是更好的补充手段。

从源主机向目标主机129.226.x.x进行ping操作，可以正常ping通

在目标主机上使用tcpdump抓取源主机115.159.x.x的包，无法抓获

3、 应用层

a) 网络资产搜集：安全工作的前置步骤是对资产大盘的全面搜集和掌控。以漏洞扫描为例，传统方法是依靠流程和系统，让业务侧主动登记上报，再配以爬虫，但会存在漏的问题，影响覆盖率。而基于流量的访问采集可以确保只要CGI出现网络访问就可被记录，且对业务侧无感。这种方式部门的洞犀兄弟团队已运营多年，负责人马老在他之后的DevSecOps文章中会有详细分享（我也来挖坑）。

b) 高危资产主动发现：高危端口、高危组件和高危服务的对外开放占据了漏洞攻击的很大一部分口子，传统方法是靠主动扫描来感知，存在扫描周期和扫描被屏蔽的问题。而通过流量则可以较好的解决上述问题，内部团队曾经复盘一起安全事件，业务高危端口从对外开放到被探测利用的时间只有45秒，针对资产数量较多的大中型企业来说，很难在45秒内完成一轮扫描，而通过流量建立相关通信特征的检测，则可以实现秒级响应。及时的捕捉到这些高危通信行为，让安全团队迅速卷入，收敛风险。实现上单纯依靠入流量还不够，网络上的大量扫描和探测会带来误报，提高运营成本，结合出流量的回显关联，则能较好的解决误报问题。

c) 脆弱点/漏洞主动发现：漏洞扫描一般重点关注在对特征类漏洞的发现，发送特定构造参数或payload以触发是否存在漏洞，对于业务层面的不合规行为或者逻辑类漏洞则覆盖不足，比如敏感信息明文传输、越权、管理后台类等，这些场景却是流量分析大显身手的地方。在此以管理后台来说，存在弱口令、而又未做ACL访问控制的管理后台直接对外开放，一直是白帽黑客特别喜欢的入侵入口。传统扫描方法基于关键字，灵活性和可维护性不高，而通过流量分析，同时引入AI算法，模型可以自动学习页面特征，效果远超过传统方案。同时，引入正负反馈机制配合AI模型训练，提升模型识别率。此外这不但可以监测管理后台的对外开放问题，而且也可以对存在弱口令的管理后台进行告警。

JS生成的管理页面，若扫描器不能解析JS则不能主动发现

根据流量识别出的风险页面对外开放

4、 云时代安全能力

如果流量足够多、类型足够丰富，那基于流量层面进行威胁情报建设、pdns积累、0day发现等都有实践意义，目前我们也在进行相关尝试。

展望

流量是座大宝藏，对于传统安全场景，流量分析不是替换传统方法，而是互补和结合，“流量+”也会将企业的安全能力带上一个新台阶。但事无完美，流量层也存在硬伤：加密问题。随着https普及以及http2、QUIC特性的使用，传统网络层看到的将是一串加密二进制数据，不再是http下的明文字符，基于黑特征的检测拦截能力都将失效（上面我们提到的网络层WAF方案的弊端）。解决办法是将流量接入层下移，比如位于接入网关GW/LB解密卸载之后；同时对于某些场景，需要降低对黑特征、关键字的依赖，综合利用大数据、AI等手段，构建基于行为的检测机制，比如木马主控C&C行为的发现。

结语

流量分析助力安全能力提升，我们也在摸索中，上面内容也仅是一家之言，希望能和业界有更多的探讨交流。

*本文作者：腾讯安全平台部 球头人牛长，转载请注明来自FreeBuf.COM

network

回复 2# network

随着网络应用愈加广泛，所承载的业务也越来越丰富，安全防御技术手段和思路面临着诸多挑战。NTA（Network Traffic Analysis）网络流量分析系统为用户提供一种可靠的、便利的网络流量分析解决方案。

NTA的定义与发展

NTA（Network Traffic Analysis）网络流量分析技术以网络流量为基础，应用人工智能、大数据处理等先进技术，基于流量行为的实时分析，展示异常事件的客观事实。NTA的定义与发展NTA最初是由Gartner创建与定义，是Gartner首次认可的新兴技术和产品类别。它使用网络通信作为检测和调查网络中安全威胁和异常或恶意行为的基础数据源，融合传统规则的检测技术，同时应用威胁情报、统计分析、内容检查、机器学习等多种高级分析技术，检测企业网络上的可疑活动，尤其是失陷后的痕迹。NTA通常部署在关键网络区域的南北向（跨越网络边界）/东西向（网络中横向移动）流量处进行检测分析。

NTA被Gartner评选为2017年十一大信息安全新兴技术之一，同时也被认为是五种检测高级威胁的手段之一。随着技术发展的日渐成熟，NTA技术已经直接或间接成为各类整体威胁防护解决方案的重要组成。今年2月份，Gartner发布了第一份《NTA市场指南》。在报告中，Gartner描述了NTA的技术前景与市场定位，这是NTA市场上第一个重要指南。

为什么NTA是新技术？与传统网络流量安全解决方案相比，又有什么不同呢？

虽然他们都是以流量数据为基础，但是传统的解决方案却很难与NTA媲美。传统设备如IDS在现代企业标准中已经是相当老派的技术：

它仅关注跨网的南北向数据，而对内部流量的可见性则支持极差；

IDS大多依赖于规则、签名等手段，却无法检测签名库之外不断演进的新威胁；

传统设备中也无法执行事件的调查与响应。

这些棘手问题正是NTA带来的价值，此外，NTA基于2-7层的网络检测和响应，大量使用机器学习，通过对行为的探知和上下文的关联来寻找过去看不见的威胁，并检测低速、潜伏的高级持续型攻击。

NTA的定位与特点

近年来，随着攻击技术的发展，网络威胁形势变得更为严峻。隐蔽的黑客组织、各类漏洞策略、繁衍创新的利用工具和不断变化的新业务使得保护业务的工作难上加难。

Gartner在《NTA市场指南》中指出，NTA作为一种新兴的威胁检测技术，主要应用于网络流量的行为分析，帮助企业监测可疑流量，弥补其他安全工具的不足，NTA技术强调实时流量的行为检测，这样可以大大缩短感染和检测之间的时间，NTA解决方案在发生完全破坏之前告警修复攻击，让企业高枕无忧。

因此，NTA需具备以下特点：

1.网络全流量存储与检索

解析后的全流量网络协议数据会基于大数据技术进行存储，支持快速检索的能力，以满足对实时数据的在线分析与离线分析技术。

2.攻击行为检测

通过对协议进行特征识别，检测通用攻击行为的能力，如Web攻击、应用层攻击、端口/服务扫描攻击等。

3.异常行为检测

对协议数据进行行为分析，注重协议上下文的关联性，大量应用机器学习、数据分析等新技术识别异常行为与高级风险。

4.基线式检测

以海量数据为基础，构建安全基线场景，利用离线分析技术，检测低速及潜伏型安全威胁。

5.数据智能安全分析

基于保留的原始流量数据，结合数据挖掘、人工智能等相关大数据技术，更加智能地洞悉信息与网络安全态势，更主动、弹性地去应对新型复杂的威胁和未知多变的风险。

6.溯源与调查取证

应用大数据解析与检索技术，对协议上下文与协议内容进行调查取证，快速定位风险事件与协议事件的关系。

7.可视化威胁狩猎

应用可视化分析技术，关联异常事件的综合信息，降低安全支出，提升安全可见性。

network

回复 3# network

根据ESG调查显示，87%的公司企业使用网络流量分析(NTA)工具进行威胁检测与响应，43%认为网络流量分析是威胁检测与响应的第一道防线。

随着黑客攻击入侵技术的不断发展，在一些网络场景下入侵检测系统无法对网络威胁进行有效的发现。基于这种情况，NTA (Network Traffic Analysis)网络流量分析于2013年首次被提出，并且在2016年逐渐兴起。此后，越来越多厂商进入流量监测与分析市场，NTA也在原本的网络流量分析的基础上，突破了技术局限性，开始强调针对高级威胁的检测和响应能力，由此，“NTA”（网络流量分析）这个描述已经不能够完全涵盖发展中的新的特征，NDR（网络检测与响应）逐渐成为NTA新的代名词。

被Gartner评选为2017年十一大信息安全新兴技术之一的NTA究竟是什么？

NTA/NDR的关键能力有哪些？

网络流量监测与分析在攻防演练中如何有效应用？

有哪些行业、多少企业部署了NTA/NDR？

NTA/NDR还需要改进哪些功能？

……

带着这些问题，FreeBuf咨询通过现场走访、资料整合及问卷调查的形式，调查了数百家企业，结合定量分析与定性分析，最终完成《2020中国网络流量监测与分析产品研究报告》。

报告从国内网络流量发展现状，到NTA/NDR为代表的流量监测与分析技术的发展与关键能力介绍，再到NTA/NDR的产品化落地及其在日常流量监测场景和攻防演练场景中的实践，最后，围绕NTA/NDR产品在国内的应用情况，对其产品化发展提出了一些可改进的方向。

[img=635,10454]https://image.3001.net/images/20200603/15911710042655.png!small[/img]

关于 FreeBuf 咨询

FreeBuf.COM是斗象科技旗下国内领先的互联网安全新媒体，每日发布专业的安全资讯、技术剖析，分享国内外安全资源与行业洞见，是深受安全从业者与爱好者关注的网络安全网站与社区。

FreeBuf 咨询集结安全行业经验丰富的安全专家和分析师，常年对信息安全技术、行业动态保持追踪，洞悉安全行业现状和趋势，呈现最专业的研究与咨询服务。

network

回复 3# network
NDR产品设计二三事安全运营 DJ的札记 2018-11-25




本篇概述了笔者在设计NDR/NTA产品过程中参考的国外领先产品界面，讲讲如何在满足行业共识基本要求的同时，体现自身技术优势以突出亮点。

安全行业产品经理的要求很高，不能盲目跟风炒作新概念却无视新技术能力局限。时下各大厂不惜代价高薪招聘，效果均差强人意，市场供给严重不足可见一斑。笔者今年面试了不少产品经理候选人，十个里面居然有九个会大谈特谈分析师制造的概念，想见其行业炒作热度。毫无疑问，知识自然有价值，预测趋势也能提升逼格，概念是市场宣传有力推手。问题是有些虚无缥缈高大上的概念，连炮制源头分析师都还不知道怎么落地，行业里也没见可行思路，一线产品管理者若夸夸其谈，难免让人担心是给自己挖坑、给公司挖坑、甚或是给客户挖坑。产品经理唯有脚踏实地才能真正创造价值。

行业真相是，安全产品的创新，全都来自于厂商或是大甲方，分析师只不过是做了些总结工作。因此，与其浮躁炒作各种报告，不如埋头研究其它厂商产品细节。产品经理必备基础能力之一是竞品分析，本篇概述了笔者在设计NDR/NTA产品过程中参考的国外领先产品界面，讲讲如何在满足行业共识基本要求的同时，体现自身技术优势以突出亮点。笔者也希望借此一文分享心得，有助于业内厂商全面提升网络流量安全分析产品的水平。

网络检测响应NDR和网络流量分析NTA看起来虽有差别，但能力几乎雷同，而NDR名称更符合安全能力发展趋势，今年来逐渐被更多厂商所接受。本文中提到的产品俱都来自全球范围内领先明星厂商。Darktrace目前估值超过16亿美元，主打无监督机器学习。Vectra宣称只用AI分析流量元数据就能获得卓越成效。ProtectWise为2016年RSAC创新沙盒十强，Awake则为2018年十强。JASK今年曾击败Splunk赢得政府大单。ExtraHop、Plixer、和Endace是流量分析老牌厂商，之前在运维方向颇有建树，近期发力安全分析。还有部分厂商如Skybox并不属于此领域，只是略微提了提功能界面。

NDR作为必备安全基础能力的论点已被广泛接受。早在2015年，Forrester已经指出：SIEM作为检测工具的有效性已触碰到天花板，即使是在为其提供了正确全面的日志和安全事件数据、并拥有足够资源投入运营的企业也是如此。而Ovum描绘的xDR市场发展趋势与笔者思路不谋而合，不只是针对端点和网络，针对数据和用户也都需要检测和响应能力。在笔者看来，xDR将是未来SOC运营平台的支柱模块。

NDR基础平台能力包括流量采集还原以及海量数据存储索引：类NetFlow的元数据采集早已远远不够安全团队施展开拳脚，至少要留存所有PCAP；大数据平台业已是主流厂商标配，无法作为亮点。如果迄今还在挣扎提供这些能力，那连入围的资格都没有。所以此部分内容就不赘述了。

---

流量调查取证

显然地，传统安全设备日志丢失了大量信息，无法从中寻找出未知威胁的蛛丝马迹。对于正计划构建下一代SOC的组织来说，要实现超越基于传统IoC和签名特征方法、全面补充不依赖有关对手先验知识而能发现识别恶意活动行为的检测能力。因此，全量行为数据的调查取证需求迫在眉睫。

无论是载荷投递、C2通讯、还是内网横向移动，都不可避免会在网络流量中留下痕迹。即使是无文件攻击手段，不会在硬盘文件系统中存储木马以绕过端点杀毒，安全人员也能在流量中发现蛛丝马迹。全流量PCAP下载对SOC运营团队十分必要。大部分高级分析师都熟悉Wireshark等类似软件的使用，在研判未知威胁或疑似入侵时，也习惯于自行分析流量数据。不过，载荷文件还原，对于高级安全人员来讲也是比较麻烦的任务，毕竟网络协议众多，文件格式也十分复杂，若NDR有能力自动还原，则可大大降低工作量并显著提高效率。

DarkTrace可以另存流量为PCAP文件，但没有载荷文件还原功能。Darktrace的界面虽然酷炫，但显然功能比流量运维厂商产品的实用性和便捷度差了很多，后期调查时需要用户自行拆分，会非常麻烦。

ExtraHop Reveal(x)也能导出PCAP，有多个维度可供选择，十分方便分析师后续工作；但其同样不具备载荷文件还原能力。

因此，在设计自己的NDR产品时，提供PCAP选择组合便十分必要。例如下图会话调查界面，可以根据时间、源IP、目的IP、协议等灵活查找并下载。

除此之外，受益于我们成熟DLP产品的多年积累，我们能够提供广泛的载荷文件还原能力，这是分析师十分喜爱的常用功能，比国外产品更加出色。如下图所示。无论是利用Word宏命令的鱼叉攻击邮件、还是下载PowerShell脚本、外传盗取的敏感数据、捆绑木马的Android应用、压缩文件等等，浏览一下立知大概情况，并可随时下载获取，调查取证变得十分轻松。

细心的读者在上图中还可发现快捷一键查询威胁情报的功能，将鼠标移到TI标志上便会列出当前可用的情报来源。我们内置了多个开源威胁情报链接，无论是URL、IP、还是文件等，都可快速获取丰富情报信息。同时，若企业已经自建威胁情报管理平台，或是外购付费服务，也可通过API轻松接入。如果想把文件扔入沙箱跑跑看，也可通过API一键导出。

作为对比，让我们看看国外明星产品。ExtraHop提供有限的威胁情报集成，只可查询域名和IP等的基本信息。

而JASK的威胁情报集成显然略好，有VirusTotal的数据。应该也能接入其它供应商数据。

Plixer和Endace的界面看起来像是十年前的产品，这里就不浪费读者的宝贵时间了。

---

IoC搜索匹配

没在SOC一线体验过的产品经理往往不知道简单的IoC搜索功能用起来会有多么顺手方便。当安全工程师读完一篇APT分析文章，好奇手痒想查查自己管辖范围内有没有中招时，NDR若配备强大的搜索功能，便可立竿见影赢得好评。

Darktrace名气这么大，居然只能查设备、子网、IP、主机…… 界面搜索框内的省略号很好地表达了笔者使用时无语的心情。

我们当然要提供更强大的功能，为威胁调查和响应工作提供更好的支撑。

首先，如果有木马样本的散列值，如SHA256，可以直接在搜索框内输入。

如果想搜索一个特定文件名中关键词，或者用后缀查询一类文件，或者想看到某IP收到所有邮件eml查找钓鱼，都可以使用搜索框快速达成目标。

也许是受到Drive-by攻击不小心访问了某个特定网站被种马，也许是向某个被入侵WordPress当作C&C服务器上传数据，也许想看看员工是不是违规访问了某些网站，等等，只需要输入部分URL即可迅速得到结果列表。

而Vectra不保留流量全包自然也无法还原所有载荷。在笔者看来，这在未来会是流量分析产品的硬伤：你检测技术做得再先进，也难免有落网之鱼，不能回放未知威胁的攻击过程，不能辅助真正的威胁猎捕实践，很难提升整体安全运营水平，长期来讲会导致对抗能力的持续下降。

以上都是些起步能力，但做到扎实就可以为后面的高级功能打好地基。笔者个人并不喜欢产品经理去讲啥Hadoop和Spark之类的优势，或是用哪些开源项目能搭个啥高大上的平台；这里面有个很基本的经济学原理，投入资源才能创造价值：你用一周时间搭起来的平台，别人就算再笨也能用一个月时间搭起来，那什么才是你的竞争优势？所以我们内部要求产品经理更多地去关注使用场景，理解用户面临何种难题，然后发挥创造力贡献可以解决的办法，兼顾技术实现难度与资源投入管理，最后当然要形成产品固化能力。

---

攻击面缩减

攻击面是IT基础架构容易受到网络威胁入侵的所有方式的总和，攻击者可以利用各种维度的潜在攻击向量发起行动。系统暴露在外的界面和功能，都有可能存在弱点被攻击者利用。缩减攻击者能接触到暴露面，自然会增加系统安全性。在建造一个软件系统时，如何清晰了解评价A架构设计是否比B架构更加安全，攻击面即可作为一种靠谱的评判标准。正规集团军方式管理的红队，渗透测试前总会系统梳理对方暴露的攻击面，并据此制定战略任务分解。

Skybox产品主打一个亮点宣传便是攻击面可视化展现：其采集各种安全设备和软件的日志，自动绘出下图供安全团队参考使用。

但笔者认为上图界面固然有用，但对安全团队并不直观，效果有限。直接针对防火墙、负载、网关、IPS等设备的攻击少之又少，而那些真正危险的潜在攻击面并没有显示出来。也完全可以理解，Skybox只采集设备日志，就算吹出个花来，充其量做成个有特长的缩减版SIEM。当然Skybox的漏洞管理和路径分析还不错。不过这里还是让我们正视实际需求，一起看看真正的攻击面评估。

例如最近泛滥的GandCrab和GlobeImposter勒索病毒通过爆破RDP弱口令进行攻击，那么安全团队若能知道网络中存在哪些设备私自开放RDP服务便可以提前准备防患于未然。又如影响范围极广的Drupal CVE-2018-7600/2远程代码执行漏洞，安全团队希望能随时掌控对外提供HTTP服务的设备有哪些未报备，属于私自搭设不在管理范围之内，然后点击按钮便可确定其使用了哪些组件，是否使用了Drupal。这样是不是很方便很期待？我们需要找到一种恰到好处的展现方式。

当笔者看到ExtraHop的界面时顿觉眼前一亮，Reveal(x)中描述网络活跃度的汇总界面十分直观清晰。

上图虽然不是描述攻击面的界面，但笔者认为比Skybox中可视化过度的攻击面界面更直观简洁：花花绿绿大圈小圈对提高SOC团队效率并无帮助。因此，在我们的产品中，也采用了类似ExtraHop的展现方式，不过做了本质的修改：不再强调网络流量种类和活跃度，更关注暴露在外的应用服务、设备、与协议。这些结果都是通过网络流量被动发现，没有进行主动扫描，所以至少都是有其它人在使用的服务。点击每条会有更详细列表和进一步操作功能。

安全人员可以调查每个风险应用的详情，例如HTTP服务器的组件构成。看看下图，果然有使用Drupal的，接下来就需要去问询所有者部门或责任人是不是打好漏洞补丁了。

正如上文所说，未经备案的不在管理范围之内的RDP、HTTP、CIFS、DB等服务都是潜在可被利用的攻击面，NDR提供了让安全团队时时掌握潜在风险的能力，获取主动优势。更多关于攻击面缩减的功能也已在产品路线图的计划中。

---

行为画像和异常发现

ExtraHop批评Darktrace没有提供足够的流量可见性，只是笼统地告诉用户，你这台设备发生过异常流量行为，对安全运营价值不大。此评价自然有一定道理，不过笔者认为不同厂商产品侧重点不同各有千秋，片面追求大而全也难免丧失特点，客户选择适合自己的便好，厂商也没必要太过纠结。所谓无监督机器学习是有这个问题，难以解释机器给出的结果的原因，不能给SOC团队明确的行动线索。

Darktrace对自己的算法历来都是语焉不详，见不到任何论文，会议演讲也都是售前套路，委实有些不可思议。笔者也只能多次在展台前把玩演示环境并且与工作人员仔细交流，进而推测其背后使用了什么数学方法。还有一点神奇之处在于，读者们都知道，一般来说同一个产品方向总会有几个团队同时前进互相竞争，但放眼望去，整个安全行业没有另外一家使用与Darktrace类似宣传口径，这不免令人啧啧称奇。让我们一起看看Darktrace产品界面，下图右侧画出了风险设备的历史活动趋势曲线。

关于行为画像与用户意图预测，我们在DLP产品里早已大规模应用。贝叶斯估计算法也并没有多高的技术门槛，简单的回归算法如果工程化好往往也有意想不到的称心效果。我们先搬来一部分能力加入NDR，例如下图的三维立体展现，从IP流量、IP连接数、和应用流量等维度分析，底层蓝色是算法基于历史数据预测出的正常区间，上层是实际发生的超出正常的倍数，这种可视化辅助安全团队观测很直观，发现异常也很轻松，比上图界面更加有说服力。

如果读者最近看过一篇翻译自Darktrace的软文，也许还记得其中描述的检测场景，摘录如下：

Darktrace在一家医疗技术公司发现了这样的案例：数据分批小量慢速地渗漏出去，传统安全工具完全察觉不到，根本不会发出警报。被感染设备多次连接外部IP地址，每次连接都少于1MB，但发送的数据总量竟然达到了15GB。

所谓这样的检测能力，如果不想花钱，Bro + Kibana也能快速可视化展现。不过要想从数千台服务器中找出异常风险，可不是简单堆叠开源模块就能搞定的，需要投入资源进行二次开发，且不说成本并不低，先得招聘到市场上严重匮乏的合适产品和研发经理。此外，只发现流量异常显然不够，我们希望画像是多维度立体的，例如新增端口和新增IP对于中后台服务器来说也是风险行为，我们产品界面表现得十分清楚，如下图。

说到行为画像，还有种可行方法：界定某种类型威胁场景，然后组合多种恶意行为，综合评估风险。例如下图JASK定义“内部威胁 – 横向移动伴随流量增加”，表现行为包括短URL连接、无效服务器SSL证书、主机匹配威胁情报、发现SMB扫描、SMB文件读取、垂直端口扫描等。前三条其实跟横向移动半毛钱关系都没有，但确实贡献了此资产的风险数值。

对此，笔者倒觉得没必要自作主张追求创新，老老实实按照ATT&CK模型去设计便好。行业大多数工程师接受且熟悉的框架，更容易上手，学习成本较低，何乐而不为。

---

威胁猎捕

许多大型企业已经敏感地意识到威胁猎捕是SOC的重要职能：主动调查发现攻击者痕迹以尽早拦截、追踪、和清除入侵者行动。这需要安全团队完成大量数据调查和分析工作才有可能发现未知威胁。传统SIEM或大数据平台将原始数据和日志采集并建立索引后，并不能主动给出线索或假设，分析人员需要依据个人经验和逻辑自行发挥，工作效率难以提高。采用机器学习和自动化数据处理的NDR可为SOC提供准确高效的威胁狩猎能力。

以一台被入侵终端作为线索或假设，探究对手在内网的活动范围，是安全分析工程师日常进行威胁猎捕的典型任务，因此有很多固定操作流程以发现特定类别的表征。支持可视化发现的方便程度，便是衡量产品优劣的重要标准，几乎所有NDR产品都会提供。例如，通过SMB漏洞横向移动，便会产生入侵终端与多个PC间CIFS网络流量；同一个botnet的木马，在某时间段会与特定C&C服务器联系，等等。例如下图Awake的界面是很常见的范例：

但是上图有个明显缺陷：只在小规模网络中效果不错；大规模企业网络中，终端数量高达数万个，很可能造成节点与连线十分拥挤，难以辨识操作。同样的问题在产品界面中经常出现，产品经理往往只注重酷炫美观，而为此故意忽视实用性与操作难度。笔者去年第一次去Veriflow展台看产品演示时，一看到类似界面便询问过相同疑惑，有位核心团队成员坦承下一版会加以改进。更好的设计是先筛选，过滤掉风险概率极低的网络连接和设备，只显示存在可疑行为的节点与连接。笔者更喜欢Vectra的界面，作为检测很直观，但它缺少了外部连接，不能一眼看出来线索，无法对威胁猎捕形成有效支撑。

来看看我们产品的界面设计。

上图中192.168.30.167存在攻击链多个阶段入侵行为表征，已被确认攻陷。读者们应该都知道8.8.8.8是Google公共DNS服务。透过8.8.8.8连接47.94.129.64是DNS隐蔽隧道的攻击手段，被熟知的地址经常被安全工程师忽略。我们可以看到，192.168.100.89拥有类似现象，那么工程师下一步就应该详细调查此设备。而221.8.69.25也是个外网DGA解析出的地址，内网中还有192.168.100.31也与此IP有网络活动，显然此设备也存在风险。此外，192.168.30.167与192.168.30.62有SMB连接，有可能是横向移动，也需要看看。

看起来晕晕的ProtectWise界面，信息量太大，真是难为了产品经理和界面设计师，恐怕用户也很发愁，总感觉不懂应该点击哪里，不知道怎么评论好。

时间轴也是重要可视化能力，有助于工程师理清纷繁复杂入侵活动，理解攻击者意图和手法。如下图所示，整个攻击流程十分清晰：先使用鱼叉诱使用户运行downloader，利用文件混淆下载payload，然后出现DGA域名解析请求、以及DNS隐蔽隧道，后面还出现了SMB横向移动以及RAR加密分卷外发。安全分析员每天处理高达数百上千条报警事件的追查，常常需要自行推测并还原黑客对手的攻击思路和入侵路线，亟需有效的辅助工具。筛选高风险的潜在被入侵设备，按照发生时间先后顺序将针对性攻击手段汇总到一处，剥茧抽丝，辅助还原攻击手法路径，能大幅提高响应团队的工作效率。

时间轴还能辅助安全团队发现缺失的攻击步骤，这些步骤往往是利用能绕过现有防护措施的弱点，所以没能被现有检测机制识别，例如0-day或者新流程逻辑漏洞等等。在对抗过程中及时发现弱点并加以改进，是安全团队的重要日常任务。

上文提到的文件载荷还原与索引、以及IoC匹配查询也是威胁猎捕的重要支撑能力，这里就不举例说明了。

---

攻击行为检测

市面上NDR产品检测入侵几乎没有采用特征规则、沙箱、威胁情报匹配技术的，一般都是以识别攻击行为作为卖点。前几年还鲜有落地的DGA、DNS隧道、内网横向移动等使用机器学习才可有满意效果的先进检测技术，目前已是标配。国外厂商中，传统做流量分析的这部分能力较弱，缺乏亮点，我们主要看看新兴专注安全那几家。攻击行为检测内容太多，限于篇幅，笔者简单摘录一些界面供读者参考，以后有时间按实际场景再展开细说。

首先，让我们看看Awake里风险设备的界面，左侧是实体信息，包括设备属性，右侧按时间列出了威胁检出项目。这种展示方式有个严重的问题，安全人员需要花费很多时间上下滚动列表才能得知发生了些什么事件，然后需要再花很多时间自行归纳总结。界面看起来漂亮，该有的似乎也都有，但总是有种雾里看花的感觉。想要做出好用的产品来，必须要加以改进。

笔者十分认同Awake强调实体的提法，虽然其宣传的知识图谱概念不过是个噱头。以风险实体为核心，一直是我们内部产品设计的重要思路。从DLP产品开始，我们便力图多维度展现“数据 – 设备 – 员工”三个实体各自属性，以及三者之间发生的关系，强调数据资产的全局分布可视化，清楚表述每台设备中拥有的数据，并将“员工”作为实体检测其行为风险与恶意意图。我们的NDR产品延续了此设计思路，用户可以在界面中处处查询相关实体的属性与关系图谱。

改进Awake界面的方向，是提供实体风险概述页面，让安全人员一览便可得知此设备出现过何种异常。针对一个高风险设备实体的攻击行为，我们的产品界面如下图所示：

左侧是攻击手段列表，安全工程师扫一眼便可大致掌握情况。点击任何一项可以看到概述。上图可以看到恶意域名请求一类行为中出现的DGA。右上角的溯源按钮点击后会弹出新页面，详细列出与此设备相关联的此攻击行为细节。注意，是经过流量还原且数据处理分析后的细节。例如，下载PowerShell脚本，可以看到具体的ps1文件；又如，邮件攻击，可以看到具体邮件内容，包括发件人、标题、正文、和附件等。如下图所示，在左侧选择DNS隐蔽隧道，再点击溯源按钮，我们会看到具体的经过还原的DNS查询请求细节。

Awake居然还让用户自己写正则表达式发现DNS隐蔽隧道，如下图，笔者十分不理解这种设计——就算写不出来机器学习识别模块，也可以做成预置正则规则，降低用户工作量。

Awake后台数据字段设计十分精妙，查询语言也很漂亮，感兴趣的读者不妨自己去研究。但是笔者觉得让一线安全人员花费大量时间去学习和熟悉一种新格式语言，去自己总结场景规则，有悖于提高效率的目标；而且对于总是招不到人的小团队来讲，负担过重。这也是笔者并不看好小安全团队自建Elastic Stack的做法：平台易搭，规则难产；只有熟悉攻防对抗的有经验的资深员工才能写出场景相关的检测模型，还需产品管理能力做总体规划并恰当展现，否则很容易沦为吹牛用的摆设。

我们看到，国外NDR产品里，也有识别攻击手段不用高级数据分析技术机器学习的，例如下图JASK短域名链接检测，只是这种方法的实际意义不大，需要辅以其它行为检测才能降低误报。

说起来，攻击行为检测深度与载荷还原能力也有关系，例如我们的产品可以识别出IMAP协议收到邮件里的RAR压缩包里是不是有IQY文件，显然只采集元数据的产品无法还原整个拼图。不了解IQY危害性的读者可以去查查关于FlawedAmmyy的威胁报告。

下图是ProtectWise的产品，笔者有轻微密集恐惧症，总是看类似界面不顺眼，不知道页面焦点在哪里，一眼看上去都是重要信息，再细看却又觉得都不重要，产品经理到底要通过这个页面告诉用户啥呢？

这是ProtectWise官方宣传材料里的界面截图。读者可以仔细看看，检测事件流按时间排列，内网不同设备实体混杂在一起，不同攻击手段混杂在一起，上面红色箭头标记的地方写着34.7千条结果，如此体积庞大的“干草堆”，是打算给SOC响应团队一个下马威吗？

下图的事件项目列表显示了ProtectWise的检测能力。不知道读者有没有同感，虽然界面很酷很漂亮，但是产品经理貌似不懂应该如何组织展现结果，总是乱糟糟堆在一起，让人头大。

---

本文篇幅已经过长，就到这里戛然而止吧。最后，上面提到的国外产品俱为行业明星，非常有竞争力，特点明显优势突出。反正这些厂商也进不来国门，欠缺之处可以随便说，大家看完开心一笑而过。做产品有很多难关要渡过，设计时便需考虑技术可行性，后面工程障碍更是数不胜数。笔者对自己家产品的吐槽更加凶猛，能正视缺点不足才能持续改良进步，总比盲目自大吹嘘炒作要好。高标准带来的好处便是，无论你觉得我们的产品目前是垃圾或是优秀，半年之后再看都会让你感觉有了大幅飞跃提升。同时也要感谢甲方同学的包容与鞭策。