启明星辰NTA(网络流量分析)产品如何演化、创新、固安全!

本篇文章2267字，读完约6分钟

近年来，安全威胁形势越来越严峻，网络安全事件层出不穷:希拉里的邮件泄露，直接影响了美国的政治选举；大学信息泄露，导致大学生徐玉玉丧生；黑客事件，导致孟加拉银行损失8100万美元；国际原子能机构披露的德国核电站破坏性网络攻击等。引起了前所未有的关注。

作为网络安全实践者，随着黑客攻击的逐渐产业化、服务化和大众化，我们的防御机制也在向系统化和智能化方向发展，威胁情报、态势感知、行为分析和回溯取证成为新的解决方案。

然而，2016年8月，黑客组织“影子经济人”(Shadow Economic Man)窃取了大量nsa黑客工具和利用包，经专家证实，这些在互联网上公开销售的攻击工具能够成功突破国内外一流安全厂商的防火墙。也就是说，当我们投资一个巨大的安全防御系统时，我们正面临一个重大威胁。

在这种情况下，我们迫切需要知道这些问题的答案:“攻击者来了吗？”来还是走？你走的时候带了什么信息？另一个问题是:攻击者到底是什么时候进入我们的网络的？网络中收集信息的手段是什么？您是否已进入漏洞挖掘阶段？该漏洞是否已被成功利用？你提升你的权威了吗？能够为这些问题提供答案的全流程分析产品已经引起了安全行业的关注。

2017年6月，nta网络流量分析技术被Gartner评为2017年11大信息安全技术。这家国际知名的权威咨询机构对nta技术的解释如下:nta解决方案通过监控网络流量、连接和对象来识别恶意行为迹象。对于那些试图通过基于网络的方法识别绕过边境安全的高级攻击的企业，应考虑使用nta技术来帮助识别、管理和分类这些事件，并做出辅助决策。可见，在新的安全形势下，流量分析技术在威胁分析和恶意行为监控中的作用得到了进一步加强。现有的安全措施频频失败，人们迫切需要在普通网络三剑客——入侵防御系统+入侵检测系统+防火墙的基础上做进一步的补充。根据“只要有攻击，就会有流量”这一简单事实，这些措施的结合大大提高了防御能力。

第一代:nta专注于异常流量检测

在过去介绍nta产品的价值时，我们经常看到这样的解释:网络流量分析有助于网络管理者进行网络规划、网络优化、网络监控、流量趋势分析等。金星之星于2012年推出的nta专注于互联网网点的异常流量检测和网络流量分布分析。该产品为企业网络用户和运营商提供了多种型号。

第二代:nta专注于内部网合规性审计

近年来，内部网威胁的问题日益突出。为了解决攻击横向扩散的问题，金星之星在2013年推出了第二代nta产品(tsoc-NBA Network Behavior Analysis)，重点是内网的合规流量审计，解决基于黑、白、灰列表的内网订单问题。

第三代:集成外部网络检测和内部网络合规性，

Nta与回顾性取证同时进行

随着以高级持久威胁(Advanced Persistent，简称apt)为代表的新攻击方法的逐渐兴起，对流量分析产品提出了新的要求，它不仅在网络层面实时和接近实时地呈现网络流量，而且在受到攻击后(数天/数周)进行网络入侵取证。与此同时，随着云计算和大数据等新技术的出现，单位存储和单位计算的成本越来越低，这使得采用大样本空和智能分析算法的技术被应用到安全产品中，因此有必要收集原始流量、流量信息、应用协议元数据、持续监控网络连接对象、分析异常流量以及跟踪可疑行为的收集、存储、分析， nta技术的挖掘和可视化能力已经成为企业感知网络安全事件和应对信息安全挑战的可靠选择。

正是在这样的历史机遇下，金星之星的tsoc-nba再次进行了产品变革，并于2017年11月推出了第三代nta。它也是中国第一个集成了流程可视化和可追溯性取证的大数据架构全流程分析产品。

安全领域继续分化和融合，并被细分为十几个主要信息类别和50多个子类别。在《2016年安全牛统计分析安全全景》中，网络流量分析类别被归类为空.网络安全类别在2017年和2018年的安全全景中，nta交通分析产品仍在进行产品改进，以应对新的应用场景和解决新的安全问题。

金星之星一直密切关注世界上类似产品的开发和迭代，为什么siem (soc)产品需要如gartner分析报告中所解释的那样进行流程分析？整合交通数据和日志数据后，siem会带来哪些突破？”等问题已经讨论了很长时间，并得到了实际场景的验证，从而证实:

◆增加流量分析后，可以拓宽数据源，增强威胁检测和修正能力；

◆增加流量分析后，可以通过数据包捕获增强网络取证能力；

◆增加流量分析后，平均响应时间可以缩短；

同时，与交通信息集成的siem将在以下情况下极大地改善其功能:

◆具有网络可视性要求的场景；

◆检测没有特征的攻击；

◆情境意识；

◆情境意识；

不久前，金星之星通过部署的nta和siem产品，在用户的内部网中发现了一种新的采矿病毒变种msraminer。通过调查分析，追踪了这种挖掘病毒在用户内网主机中感染和传播的全过程。msraminer，一种新的挖掘病毒，使内部网陷入一个“矿井”！！

正是在这种理念下，网络流量分析产品和态势感知及soc(siem)产品的技术架构在多个项目的联动方案实践中不断融合，成为态势感知产品的交通态势引擎。通过交通分析产品和态势感知产品的无缝结合，增强了交通态势中全天候的态势感知能力，真正做到了1+1+2。2017年，作为第一个进入高德纳siem中国魔力象限的安全管理平台(tsoc-usm)，tsoc-nba作为其重要组成部分，也被写入了siem魔力象限报告。

nta产品的下一步是什么？请等着瞧吧！