大家好,这篇文章主要为大家科普及介绍 *** 安全领域里,最新一代 *** 攻击检测技术NTA的相关信息,作为新一代 *** 安全检测手段,NTA技术使用了全新的检测维度,因此在检测高级威胁攻击入侵上是非常值得我们深入探究的。本文章主要参考资料为:《Market Guide for Network Traffic Analysis》by Gartner;《Network Traffic Analysis》 by awake;《NTA以及空间与时间的防御——山石网科的安全理解》by 山石网科;2020年1月,本人与Gartner分析师的现场讨论。最后,欢迎大家积极讨论。
本系列会有三个维度进行讨论,维度分别是基本概念,能力场景,技术分析。本文章属于系列的之一篇。
2. NTA是什么?
在 *** 中,发现 *** 安全威胁的方式有很多种,比如大家最为熟知的入侵检测系统(Intrusion-detection system,缩写为 IDS),这个概念最早出现在1980年,由James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告而提出。伴随着近30年的发展,入侵检测系统逐渐成为了发现 *** 安全威胁的重要手段。然而随着黑客攻击入侵技术的不断发展,在一些 *** 场景下入侵检测系统IDS并不能对 *** 威胁进行有效的发现,因此基于这种情况,NTA (Network Traffic Analysis) *** 流量分析这个概念在2013年被提出,NTA是一种 *** 威胁检测的新兴技术,并且在2016年逐渐在市场上兴起。
2.1 Gartner对NTA的定义
NTA使用机器学习、高级分析和特征分析来检测企业 *** 上的可疑行为。NTA不断地分析原始流量,以构建反映正常 *** 行为的模型。当NTA工具检测到异常的流量模式时,它们会发出警报。除了监视跨越企业边界的北/南通信量之外,NTA解决方案还接入东西流量。
在技术上,NTA使用行为分析技术,帮助企业检测可疑流量,用以发现更多其他设备不能发现的安全问题。
在市场上,NTA市场门槛低,且市场很拥挤(原来传统安全厂商很容易就进入)
NTA是一种功能和能力,而非纯粹的一个产品。NTA融合了传统的基于规则的检测技术,以及机器学习和其他高级分析技术,用以检测企业 *** 中的可疑行为,尤其是失陷后的痕迹。NTA通过DFI和DPI技术来分析 *** 流量,通常部署在关键的 *** 区域对东西向和南北向的流量进行分析,而不会试图对全网进行监测。
在第二段落中,我们看到了Gartner对NTA的定义以及国内厂商的声音,基于以上的内容,我会在下面的内容里从我个人的视角对NTA的定义进行重申,还会进行一些不同视角的解读。
首先,我以自身的理解,先给出我对NTA的定义,大家可以由此有一些基本概念。
NTA是一种功能和能力。
NTA功能利用行为基线,进行安全问题分析。
NTA功能某些方面与 *** 性能管理类似,具有对当前 *** 的可视性。
NTA功能主流的分析 *** 是对比。
NTA功能与入侵检测功能逻辑等价,都会在边界类盒子产品中出现。
NTA功能要做的是定义 *** 行为,收集 *** 行为。
NTA功能要在核心节点进行收集行为,有南北向流量、也有东西向流量。
NTA功能要能有发现可疑流量的能力。
NTA功能要能有展示入侵证据的能力。
NTA功能要能有定义入侵事件的能力。
雷锋网消息,历时3个多月后,微软昨晚宣布截至周五已经完成对GitHub的收购,新任CEO Nat Friedman将于下周一正式上任。今年6月4日,微软在官方博客宣布以75 亿美元的价格收购代码托管平...
STAMINA深度学习用来检测把恶意软件转换成图片,用来分类恶意软件,近来,微软和英特尔团结开辟了一个斩新的人工智能钻研项目--耐力,对歹意应用举行检验和分类。Static Malware-as-Im...
本文主要介绍的是金鹰核心资源混合基金净值、210009历史基金净值、基金成立日期、基金的管理费率、托管费率、风险等级等基本内容介绍! 金鹰核心资源混合210009基金净值(2019年09月09日) 净...
缓存投毒,听起来就是寻找和利用都很困难的一类漏洞利用。但在了解了原理以及实际体验过之后,你会发现,过程很神奇,结果很美好~ 这篇文章算是对缓存投毒的一个小总结,以便后面的复习。内容浅尝即止,师傅们轻喷...
前言 近期,安天CERT(安全研究与应急处理中心)接收到来自客户反映的收到自己邮件地址发送给自己的恐吓邮件,勒索比特币的事件,经分析发现这是自10月份以来新的诈骗手法。 一、概述 由于邮件信头的...