网络流量分析技术(NTA)- 你不知道的事网络流量分析技术(NTA - Network Traffic Analysis)是一种威胁检测的新兴技术,近年来随着企业上云、5G落地以及物联网设备的激增,网络爆炸式发展,网络流量海量化、复杂化成为常态,如何识别、监测、分析网络流量成为重要研究方向和企业关注热点。以下是关于NTA的一些深入解析,包括其定义、应用现状、测试评估以及未来发展等方面。一、NTA的定义与原理NTA最早在2013年被提出,通过监控网络流量、连接和对象来识别恶意的行为迹象。它利用DFI(深度流检测)和DPI(深度包检测)技术来分析网络流量,通常部署在关键的网络区域对东西向和南北向的流量进行分析。NTA既是流量监测与分析技术的落地产品,也可以理解为一种功能和能力,能够解决“谁在什么时间、什么地方、执行什么行为”等安全流程中的重要问题,帮助企业全面了解网络活动。二、国内NTA应用现状根据《中国互联网发展状况统计报告》显示,截至2019年6月,我国网民规模达8.54亿,互联网普及率达61.2%。移动互联网流量大规模增长,这些流量成为各种威胁载体,致使攻防对抗形态愈演愈烈。企业对于网络流量的监测与分析需求持续增长,NTA网络流量分析技术在此背景下应运而生,并在海量数据中实现了巨大增长。调研数据显示,已部署NTA/NDR(网络流量监测与分析/网络检测与响应)产品的企业占比39.6%,计划部署的企业占比18.8%,显示出NTA技术在企业中的广泛应用前景。同时,企业在部署NTA/NDR产品时,主要出于提升威胁分析和溯源能力(35%)、实时分析原始网络数据包流量(27%)等目的。然而,也有21.3%的企业表示部署的产品没有达到预期效果,这反映出NTA技术在应用过程中仍存在一定的挑战和不足。三、NTA产品的测试评估为了验证和丰富NTA产品的性能和应用效果,中国信息通信研究院安全研究所进行了全面的测试工作。测试主要包括功能性测试、性能测试以及产品自身安全测试等方面,涉及网络流量识别能力、安全分析能力、安全事件处理能力、安全事件溯源能力、管理能力、日志审计自身安全、平台性能等产品测试项。测试环境采用模拟测试方式,利用测试仪表搭建模拟测试环境,并在真实的网络流量数据与业务场景中开展评测考察。测试过程中,通过发送不同层次的流量(如数据链路层、网络层、传输层、应用层等)来测试系统的功能和性能。同时,还采用是德科技的“BreakPoint测试方案”构建模拟环境,该方案能够模拟超过300多种的真实应用协议和超过8000多种有CVE-ID的真实应用攻击,用于评估入侵防御、入侵检测、防火墙等安全系统的防护能力。四、NTA技术的未来发展尽管NTA技术在企业中的应用已经取得了一定的成效,但仍存在诸多需要改进和增强的方面。调研数据显示,企业在后续开发中希望NTA/NDR产品能够增强威胁溯源能力(21.13%)、全流量存储与监测(18.38%)、加密流量分析(13.19%)等能力。这些需求反映了企业在面对日益复杂的网络威胁时,对于NTA技术的期望和期待。未来,随着网络技术的不断发展和网络威胁的不断演变,NTA技术也将不断升级和完善。一方面,NTA技术将更加注重实时性和准确性,提高对于网络流量的监测和分析能力;另一方面,NTA技术还将与其他安全技术进行融合和联动,形成更加完善的安全防护体系。同时,随着人工智能、大数据等技术的不断发展,NTA技术也将借助这些先进技术实现更加智能化和自动化的威胁检测和响应。五、总结网络流量分析技术(NTA)作为一种新兴的威胁检测技术,在企业安全防御中发挥着越来越重要的作用。通过监控和分析网络流量,NTA技术能够帮助企业及时发现和应对网络威胁,提高安全防护能力。然而,NTA技术的应用和发展仍面临诸多挑战和不足,需要不断升级和完善。未来,随着技术的不断进步和应用场景的不断拓展,NTA技术将在企业安全防御中发挥更加重要的作用。