大家好，这篇文章主要为大家科普及介绍 *** 安全领域里，最新一代 *** 攻击检测技术NTA的相关信息，作为新一代 *** 安全检测手段，NTA技术使用了全新的检测维度，因此在检测高级威胁攻击入侵上是非常值得我们深入探究的。本文章主要参考资料为：《Market Guide for Network Traffic Analysis》by Gartner；《Network Traffic Analysis》 by awake；《NTA以及空间与时间的防御——山石网科的安全理解》by 山石网科；2020年1月，本人与Gartner分析师的现场讨论。最后，欢迎大家积极讨论。

本系列会有三个维度进行讨论，维度分别是基本概念，能力场景，技术分析。本文章属于系列的之一篇。

2. NTA是什么？

在 *** 中，发现 *** 安全威胁的方式有很多种，比如大家最为熟知的入侵检测系统（Intrusion-detection system，缩写为 IDS），这个概念最早出现在1980年，由James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告而提出。伴随着近30年的发展，入侵检测系统逐渐成为了发现 *** 安全威胁的重要手段。然而随着黑客攻击入侵技术的不断发展，在一些 *** 场景下入侵检测系统IDS并不能对 *** 威胁进行有效的发现，因此基于这种情况，NTA (Network Traffic Analysis) *** 流量分析这个概念在2013年被提出，NTA是一种 *** 威胁检测的新兴技术，并且在2016年逐渐在市场上兴起。

2.1 Gartner对NTA的定义

NTA使用机器学习、高级分析和特征分析来检测企业 *** 上的可疑行为。NTA不断地分析原始流量，以构建反映正常 *** 行为的模型。当NTA工具检测到异常的流量模式时，它们会发出警报。除了监视跨越企业边界的北/南通信量之外，NTA解决方案还接入东西流量。

2.2 Gartner提出NTA的两个结论

• 在技术上，NTA使用行为分析技术，帮助企业检测可疑流量，用以发现更多其他设备不能发现的安全问题。

• 在市场上，NTA市场门槛低，且市场很拥挤（原来传统安全厂商很容易就进入）

2.3 山石关于NTA定义的解读

NTA是一种功能和能力，而非纯粹的一个产品。NTA融合了传统的基于规则的检测技术，以及机器学习和其他高级分析技术，用以检测企业 *** 中的可疑行为，尤其是失陷后的痕迹。NTA通过DFI和DPI技术来分析 *** 流量，通常部署在关键的 *** 区域对东西向和南北向的流量进行分析，而不会试图对全网进行监测。

3. 个人分析

在第二段落中，我们看到了Gartner对NTA的定义以及国内厂商的声音，基于以上的内容，我会在下面的内容里从我个人的视角对NTA的定义进行重申，还会进行一些不同视角的解读。

3.1 个人对NTA的定义的重申

首先，我以自身的理解，先给出我对NTA的定义，大家可以由此有一些基本概念。

1. NTA是一种功能和能力。

2. NTA功能利用行为基线，进行安全问题分析。

3. NTA功能某些方面与 *** 性能管理类似，具有对当前 *** 的可视性。

4. NTA功能主流的分析 *** 是对比。

5. NTA功能与入侵检测功能逻辑等价，都会在边界类盒子产品中出现。

6. NTA功能要做的是定义 *** 行为，收集 *** 行为。

7. NTA功能要在核心节点进行收集行为，有南北向流量、也有东西向流量。

8. NTA功能要能有发现可疑流量的能力。

9. NTA功能要能有展示入侵证据的能力。

10. NTA功能要能有定义入侵事件的能力。