如今实战攻防对抗的形势下,基于全流量的安全分析技术扮演着越来越重要的角色。尽管NTA技术已在市场中得到广泛认同,但用户在对NTA与全流量技术的理解上依然存在差异。
Gartner提出并定义网络流量分析(Network Traffic Analysis, NTA)技术成为流量分析领域的新宠,它被认为是五种检测高级威胁的重要手段之一。
Gartner 对NTA定义:以网络流量为基础,应用人工智能、大数据处理等先进技术,基于流量行为的实时分析,展示异常事件的客观事实。
新一代NTA技术,强调对大数据和人工智能技术的深度应用,具备满足对更复杂网络环境的精准探测能力。
目前市场上对NTA流量分析类产品的主流应用主要包括以下几种形态:
- 第一代:传统单机流量设备
以IDS为代表的单机流量设备,通常为维持流量采集性能,协议解析种类与粒度浅,数据采集选择性缺失,仅留存报警信息,无法实现上下文关联分析、事件溯源分析和历史数据留存。单纯依赖特征规则进行检测,误报和漏报相对较高。
- 第二代:可横向扩展的传统流量设备
为应对大流量、高并发的刚性需求,第二代NTA支持了横向扩展,通过多台流量设备级联,在一定程度上提升了性能和存储。但在企业实际应用中,横向扩展的级联设备随着大流量的长期接入,数据量不断累积,最终只能在性能和质量之间做取舍:如只检测网络数据包头信息,只分析少量网络协议…进而使得网络会话级分析缺失,有效“分析材料”留存时间短(PCAP原始凭证难以规模性分析)&