试读版《2020中国网络流量监测与分析产品研究报告》_【黑客与极客】

FreeBuf咨询携手中国信息通信研究院安全研究所，于6月22-7月31日联合举办「2020 NTA/NDR类网络安全产品能力评测」...

随着黑客攻击入侵技术的不断发展，在一些网络场景下入侵检测系统无法对网络威胁进行有效的发现。基于这种情况，NTA (Network Traffic Analysis)网络流量分析于2013年首次被提出，并且在2016年逐渐兴起。

此后，越来越多厂商进入流量监测与分析市场，NTA也在原本的网络流量分析的基础上，突破了技术局限性，开始强调针对高级威胁的检测和响应能力，由此，“NTA”（网络流量分析）这个描述已经不能够完全涵盖发展中的新的特征，NDR（网络检测与响应）逐渐成为NTA新的代名词。

NTA/NDR发展火热的背景下，FreeBuf咨询通过现场走访、资料整合及问卷调查的形式，调查了数百家企业，结合定量分析与定性分析，最终完成《2020中国网络流量监测与分析产品研究报告》。

此外，因为本次报告在调研、数据分析、产品研究等阶段受到广大甲方、乙方厂商以及相关研究机构的关注和支持，秉持着进一步深化报告内容，提升整体质量的想法，FreeBuf 咨询携手中国信息通信研究院（以下简称信通院）安全研究所，于6月22-7月31日联合举办「2020 NTA/NDR类网络安全产品能力评测」，并以测评结果进一步丰富报告整体内容。

注：本报告的测试结果由信通院独立提供。通过制定测试标准、搭建测试环境，信通院对国内主流的NTA/NDR产品进行了全面的测试，以产品基础能力和拓展能力为参考，充分调研产品流量采集、安全分析等方面的能力，并将逐步推进形成国内NTA/NDR国家或行业标准。

报告目录

报告试读节选

为了便于大家对《2020中国网络流量监测与分析产品研究报告》有更清晰的认知，特提供以下节选内容作为试读：

NTA/NDR应用场景：日常异常流量监测

1.高频攻击

现如今，绝大部分恶意流量都来自自动化程序，能够在短时间发起大量的请求或者攻击。例如常见的DDoS攻击或者黑灰产中高频业务访问，其中必然会产生不正常的网络流量。在应对此类攻击，可以利用机器学习训练大量正常访问时产生的行为、流量记录，当出现异常流量就进行判断是否是自动化工具导致的高频访问。

2.恶意软件入侵

恶意软件入侵是企业遭受的最常见的威胁之一，通过建立网络异常监控模型，实时监控如SMB、445、RDP、3389等特殊协议与端口，对网络流量进行识别与解析，建立流量监控模型，对特定端口、特定协议、特定资产的流量监控，并依据波峰、或异于常态的流量峰值时参考以往的监控结果，判断是否可能遭到是未知病毒入侵。

3.内网横移

企业在应对网络攻击时需要重点提防入侵者在内网扩散行为，一旦单个主机被攻破，攻击者往往会利用相同的手段或者利用恶意软件、蠕虫等手段去感染内网中其它主机。不同的内网扩散手段所体现出来的特征是不一样的，以勒索病毒为例，其在传播时首先需要通过TCP/ARP等扫描手段发现目标主机，确定其可利用的漏洞高危端口后进行攻击载荷的投递。在此期间病毒宿主主机需向外界发送不同于正常终端的大量TCP或ARP请求，其行为模式在网络层已具备明显异常特征。

4.数据外泄

随着核心数据所体现出来的价值越来越大，使其成为黑客重点窃取的目标。非正常的数据流通也会伴随着异常流量或者访问记录产生。通过对核心系统与数据访问用户、地域、时间、次数、结果等进行分析，实施检测核心数据异常访问；对数据访问路径、数据流向的监控，也能够尽早发现泄密事件。

5.僵尸网络

在基于网络的僵尸网络检测策略中，通过观察不同参数下的网络流量来捕获恶意流量，这些参数包括网络流量行为、流量模式、响应时间、网络负载和链接特征。

基于网络的方法进一步分为两种类型，主动监视和被动监视。主动监控：在主动监控僵尸网络检测策略中，为了检测恶意活动，会向网络注入新的数据包。被动监视：在被动监视中，当数据通过介质时，网络流量被嗅探。应用不同的异常检测技术对网络流量进行分析。

6.恶意挖矿

挖矿行为的识别可以通过很多方面进行判断，终端层面监控硬件资源的使用率及相关进程分析；流量层面通过识别挖矿行为的流量特征，从流量中识别出挖矿行为。stratum协议是目前主流的矿机和矿池之间的TCP通讯协议，通过对具体通信数据包进行相应特征字符串检测，以此来发现挖矿行为的存在。

7.网络蠕虫

蠕虫病毒是传播速度最快的手段之一，一台主机感染蠕虫病毒，若防护不当，会导致由于大量感染病毒的计算机不断向网络中发送数据包，使网络的效率非常低，大大影响网络的性能。可以留意应用排名，对比正常情况下，感染蠕虫病毒后HTTP占用资源会比正常更高；其次，分析每台计算机的流量情况，按源IP、目的IP、源协议端口、目的协议端口，如果某个地址所在的主机试图同网络中非常多的主机建立HTTP连接，而且查看那些地址且根本不是HTTP服务器，而且发出这些包的时间间隔非常短，为毫秒级，判定非人为发出，基本可以断定其感染了某种采用HTTP协议传播的病毒。

8.高级威胁

高级威胁呈现快速增长趋势，社会工程攻击增长率持续升高，恶意软件和社工在安全事件中的次数呈现指数级增长，以静态特征的安全手段面对高级威胁时，难以有效保护网络安全，主要表现在检测响应机制能力不够。

然而，NTA可以覆盖APT攻击链的检测，检测信息系统存在的弱点，遭受了哪些攻击，是否被远程恶意控制，是被利用进行黑产牟利，还是继续扫描内网，横向扩散，影响其他的系统，同时还检测重要敏感数据被窃取等。同时，基于基于不同的阶段检测出不同的安全事件和攻击，并通过关联分析准确定位威胁源头，给出详细的安全威胁分析、风险危害、处置建议，结合知识库了解攻击原理。

NTA/NDR应用场景：攻防演练之蓝军实践

攻防演练中，不论攻击成功与否，攻击行为的载体只可能是网络流量。因此，网络流量监测与分析技术可以说是蓝军的一张王牌，通过对正常业务与威胁行为模式进行建模，能够在第一时间发现入侵事件，甚至还原整个攻击流程。

完整攻击链大概包括信息搜集、建立据点、权限维持、权限提升、横向移动、战果扩大、痕迹清除等七个阶段，每个阶段存在多种手法。

对抗信息搜集：告警自动化工具扫描行为。这个阶段采用自动化工具扫描的行为最为常见，NTA可对该行为进行告警。

比如，针对用 Nmap、dirbruter 等常见工具刺探信息的行为，NTA 通过识别工具的指纹（采用的字典，或请求中的 UA、cookie、URI首部），快速发现扫描行为：

对抗获取据点：定位 webshell 上传。通过双向解析网络流量，对请求和应答的数据进行分析，发现其中的 webshell 上传行为，及时预警 webshell 访问行为，定位到网站服务器、路径和具体页面。甚至，将分析到的 webshell 联动防火墙、WAF 等安全防御设备进行 IP 封堵，帮助快速解决问题。

比如，下图为利用 thinkphp 5.x 的命令执行漏洞上传 webshell 的告警截图：

对抗权限维持：识别 C2 流量。NTA 基于威胁情报和主动外联、行为模型、会话反弹等流量特征，可侦测后门反弹时使用信道，识别 C2 流量。

比如，识别 MSF、CS 这类红军常用攻击框架的 C2 流量：

又如，识别 HTTP 这类明文隐藏信道的 C2 流量：

对抗权限提升：发现高权操作。NTA 基于流量统计分析、基于应用元数据统计分析，通过这两种手段可实现对网络中高权操作的检测及分析。

比如，应用服务器以特权账号连接数据库的行为：

对抗横向移动：分析内网资产/服务探测动作。攻击者在横向移动前势必先做内网资产和访问探测，NTA 可分析出内网探测动作。

比如，内网服务探测：

对抗战果扩大：阻止数据拖取。攻击者拖取数据时，NTA 可更加敏感信息特征，发现并阻拦数据盗取行为。利用平台敏感信息识别引擎，并配合识别策略，对还原后的 HTTP 流量进行分析，判断是否含有敏感信息，及敏感信息类型。

比如，非法存放敏感信息：

对抗痕迹清除：溯源入侵流程。NTA通过聚合关联利用攻击链各阶段的流量，将告警之间的时序关系、因果关系进行关联分析，从而还原整个攻击流程。

攻击溯源分析对攻击行为在防护体系内外部的路径进行分析，并对相关联的行为进行相关性组合。在安全事件发生后，能够对攻击事件下钻到原始日志进行分析取证，对回溯到的攻击源，可以利用威胁信息进行验证的能力；攻击链模型对攻击事件进行溯源分析，通过将产生的安全事件按攻击过程分类，不限于信息收集、网络入侵、命令控制、横向渗透、目标达成、痕迹清理。在真实的攻击事件发生后，通过攻击链模型结合人工分析判断，找到真实攻击源的能力。

综合来看，NTA 因其先天流量优势，可对网络中全部的流量进行全量记录、实时深度监测分析，了解网络中发生的任何事情。在攻防演练中，通过对网络中流量行为的监测与分析，发现攻击行为并且快速协同进行响应，提升检测精度，减少误报率。而基于溯源分析，不仅可以还原整个攻击流程，企业还可以进一步完善自身在事前的攻击模型建模，进一步优化整体安全能力。

内容不止于此

对于NTA/NDR，企业依然存在很多困惑，而《2020中国网络流量监测与分析产品研究报告》还将带来：

一份前所未有的国内主流的NTA/NDR产品的真实、全面的测试结果

深入展现的甲方企业对于NTA/NDR产品的综合评价

聚焦金融行业，NTA/NDR产品的实际部署情况

探究NTA/NDR在攻防演练中的真实效果

……

这些将为乙方企业优化产品能力提供方向，为甲方企业选择产品提供参考的数据和结论，最终，都将在《2020中国网络流量监测与分析产品研究报告》完整版中一一呈现。

完整版报告，敬请期待！

关于 FreeBuf 咨询

FreeBuf.COM是斗象科技旗下国内网络安全行业门户，每日发布专业的安全资讯、技术剖析，分享国内外安全资源与行业洞见，是深受安全从业者与爱好者关注的网络安全网站与社区。

FreeBuf 咨询集结安全行业经验丰富的安全专家和分析师，常年对信息安全技术、行业动态保持追踪，洞悉安全行业现状和趋势，呈现最专业的研究与咨询服务。

*FreeBuf 咨询荣誉出品，未经许可严禁转载使用，欲合作请联系 FreeBuf 市场宋经理：