收藏
下载资源 加入会员免费下载

2020年中国网络流量监测与分析产品研究报告.pdf

返回 相关 举报
2020年中国网络流量监测与分析产品研究报告.pdf_第1页
第1页 / 共52页
2020年中国网络流量监测与分析产品研究报告.pdf_第2页
第2页 / 共52页
2020年中国网络流量监测与分析产品研究报告.pdf_第3页
第3页 / 共52页
2020年中国网络流量监测与分析产品研究报告.pdf_第4页
第4页 / 共52页
2020年中国网络流量监测与分析产品研究报告.pdf_第5页
第5页 / 共52页
亲,该文档总共52页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
网 络 安 全 产 品 技 术 能 力 验 证 评 估 系 列 报 告 中 国 网 络 流 量 监 测 与 分 析 产 品 研 究 报 告 ( 2 0 2 0 年 ) 中 国 信 息 通 信 研 究 院 安 全 研 究 所 2 0 2 0 年 0 9 月版 权 声 明 本 报 告 版 权 属 于 中 国 信 息 通 信 研 究 院 , 并 受 法 律 保 护 。 转 载 、 摘 编 或 利 用 其 它 方 式 使 用 本 报 告 文 字 或 者 观 点 的 , 应 注 明 “ 来 源 : 中 国 信 息 通 信 研 究 院 及 F r e e B u f 咨 询 ” 。 违 反 上 述 声 明 者 , 本 院 将 追 究 其 相 关 法 律 责 任 。前 言 随 着 N T A / N D R 0 F 1 技 术 的 发 展 , 该 技 术 已 经 逐 渐 应 用 于 网 络 威 胁 和 异 常 行 为 的 检 测 , 经 过 实 际 网 络 环 境 的 验 证 和 不 断 的 迭 代 , 检 测 的 有 效 性 和 准 确 性 都 有 了 大 幅 度 的 提 高 , 为 网 络 威 胁 和 异 常 行 为 处 置 奠 定 了 基 础 , 为 产 品 的 推 广 和 应 用 提 供 了 广 阔 的 前 景 。 为 更 好 地 满 足 行 业 用 户 在 5 G 网 络 、 云 计 算 、 物 联 网 等 新 型 业 务 场 景 下 的 实 际 需 要 , 为 其 在 网 络 安 全 产 品 选 型 过 程 中 提 供 技 术 能 力 参 考 , 中 国 信 息 通 信 研 究 院 安 全 研 究 所 ( 以 下 简 称 “ 信 通 院 安 全 所 ” ) 联 合 F r e e B u f 咨 询 共 同 完 成 了 此 次 N T A / N D R 类 产 品 调 研 和 测 试 工 作 。 本 次 测 试 主 要 是 针 对 当 前 行 业 内 主 流 企 业 的 产 品 进 行 技 术 能 力 测 试 , 测 试 内 容 和 角 度 覆 盖 全 面 且 广 泛 ,测 试 内 容 包 括 产 品 功 能 、 性 能 以 及 自 身 安 全 测 试 , 覆 盖 数 十 种 技 术 能 力 指 标 测 试 项 。本 次 测 试 并 非 是 符 合 性 或 合 规 性 测 试 , 也 并 非 是 作 为 某 项 采 购 入 围 的 强 制 要 求 , 而 是 作 为 N T A / N D R 类 产 品 的 “ 能 力 拔 高 测 试 ” , 以 体 现 相 关 产 品 在 某 一 个 功 能 领 域 的 真 实 技 术 实 力 。 测 试 方 案 内 容 不 仅 基 于 现 有 相 关 标 准 , 并 且 依 据 G a r t n e r 对 N T A / N D R 的 能 力 定 义 以 及 综 合 国 内 各 安 全 企 业 的 最 佳 实 践 。 到 报 名 截 止 日 期 2 0 2 0 年 7 月 1 3 日 为 止 , 共 有 2 8 个 企 业 , 2 8 个 N T A / N D R 类 产 品 报 名 参 与 此 次 测 试 , 实 际 到 场 测 试 企 业 和 产 品 数 量 与 报 名 情 况 一 致 。 其 中 , 有 一 款 产 品 由 两 个 企 业 共 同 开 发 完 成 。 另 外 , 有 一 个 企 业 受 测 产 品 为 两 款 。 1 N T A :N e t w o rk T ra f f i c A n a l y s i s ,指网络流量分析。 N D R :N e t w o rk D e t e c t i o n & R e s p o n s e 指网络检测与响应。本 报 告 由 信 通 院 安 全 所对 国 内 主 流 N T A / N D R 类 产 品 进 行 基 本 面 测 试 评 估 , 并 输 出 整 体 测 试 、 分 析 结 果 与 整 体 报 告 。 由 F r e e B u f 咨 询 通 过 现 场 走 访 、 资 料 整 合 及 问 卷 调 查 的 形 式 , 对 国 内 外 近 百 家 企 业 的 使 用 情 况 进 行 对 比 分 析 , 总 结 国 内 N T A / N D R 类 产 品 的 基 本 现 状 , 并 尝 试 对 其 发 展 趋 势 进 行 评 估 和 预 测 。 在 这 里 要 特 别 感 谢 以 下 企 业 参 与 测 试 并 为 测 试 工 作 提 供 相 关 支 持 ( 排 名 不 分 先 后 ) : 北 京 安 博 通 科 技 股 份 有 限 公 司 、 北 京 安 态 科 技 有 限 公 司 、 北 京 安 天 网 络 安 全 技 术 有 限 公 司 、 北 京 浩 瀚 深 度 信 息 技 术 股 份 有 限 公 司 、 北 京 华 安 普 特 网 络 科 技 有 限 公 司 、 北 京 兰 云 科 技 有 限 公 司 、 北 京 神 州 绿 盟 信 息 技 术 有 限 公 司 、 北 京 派 网 软 件 有 限 公 司 、 北 京 微 智 信 业 科 技 有 限 公 司 、 北 京 知 道 创 宇 信 息 技 术 股 份 有 限 公 司 、 成 都 科 来 软 件 有 限 公 司 、 成 都 深 思 科 技 有 限 公 司 、 东 巽 科 技 ( 北 京 ) 有 限 公 司 、 杭 州 安 恒 信 息 技 术 股 份 有 限 公 司 、 恒 安 嘉 新 ( 北 京 ) 科 技 股 份 公 司 、 湖 南 友 道 信 息 技 术 有 限 公 司 、 江 苏 省 未 来 网 络 创 新 研 究 院 、 奇 安 信 科 技 集 团 股 份 有 限 公 司 、 上 海 斗 象 信 息 科 技 有 限 公 司 、 深 信 服 科 技 股 份 有 限 公 司 、 神 州 灵 云 ( 北 京 ) 科 技 有 限 公 司 、 是 德 科 技 ( 中 国 ) 有 限 公 司 、 腾 讯 科 技 ( 北 京 ) 有 限 公 司 、 天 津 市 国 瑞 数 码 安 全 系 统 股 份 有 限 公 司 、 亚 信 科 技 ( 成 都 ) 有 限 公 司 、 中 电 福 富 信 息 科 技 有 限 公 司 、 中 新 网 络 信 息 安 全 股 份 有 限 公 司 、 中 移 ( 杭 州 ) 信 息 技 术 有 限 公 司 、 珠 海 市 一 知 安 全 科 技 有 限 公 司 。目 录 版权声明 一、国内网络流量监测与分析技术现状 . 1 (一)国内网络流量发展现状 . 1 (二)新兴流量监测与分析技术 . 2 (三)应用场景 . 3 二、国内 NTA/NDR 类产品应用现状 . 5 (一)市场应用现状 . 5 (二)行业应用现状 . 6 (三)攻防对抗场景下的应用现状 . 7 (四)企业对 NTA/NDR 类产品的预期 . 8 (五)企业期待 NTA/NDR 类产品的能力 . 9 三、NTA/NDR 类产品测试情况综述 . 10 (一)测试基本情况 . 10 (二)测试环境介绍 . 12 (三)测试方法说明 . 13 (四)测试对象范围 . 14 (五)测试内容简介 . 15 四、NTA/NDR 类产品测试结果总体分析 . 17 (一)不同技术方向“划分”企业能力阵营 . 17 (二)自动化处置能力有待落地和完善 . 18 (三)基于 IP 和主机的溯源功能不分轩轾 . 20 (四)产品自身管理能力总体较好 . 22 五、NTA/NDR 类产品流量识别能力分析 . 23 (一)网络协议识别展示能力各有所长 . 23 (二)网络流量识别还原内容因需而定 . 25 1.绝大多数产品可全字段还原 HTTP 协议 . 25 2.网络文件是否识别多由文件风险决定 . 27 3.网络正常文件内容还原仍需更加精准 . 28(三)NTA/NDR 产品中资产发现能力一般 . 30 六、NTA/NDR 类产品安全分析能力分析 . 31 (一)具备各类网络攻击发现和分析能力 . 31 (二)基本具备多步骤攻击关联分析能力 . 33 (三)网络恶意程序分析能力总体可用 . 35 七、NTA/NDR 类产品趋势展望 . 36 (一)大规模攻防演练进一步催化 NTA/NDR 市场需求 . 36 (二)NTA/NDR 或着力产品差异化,打造核心卖点 . 37 (三)网络加密流量解析与分析成为新挑战 . 37 (四)联动攻击链的流量场景化分析需进一步落地 . 38 (五)流量分析转移到云上以实现可伸缩性成趋势 . 38 八、NTA/NDR 类产品发展建议 . 38 (一)深耕自身技术优势,实现技术能力互补 . 38 (二)围绕新型网络场景,满足业务安全需求 . 39 (三)夯实产品自身安全,保障可信可控可靠 . 39 九、NTA/NDR 类产品能力分组 . 40 (一)专业能力领域 . 40 (二)行业应用能力领域 . 41图 目 录 图 1 移动互联网接入流量 . 1 图 2 NTA 逻辑示意图 . 5 图 3 企业对于网络流量监测与分析产品的选择比例图 . 6 图 4 企业对于网络流量监测与分析产品的选择比例图 . 6 图 5 NTA/NDR 类产品的行业应用比例 . 3 图 6 企业对 NTA/NDR 类产品特性的关注比例 . 7 图 7 NTA/NDR 类产品在攻防演练中的作用 . 8 图 8 NTA/NDR 类产品的用户综合评价比例 . 9 图 9 企业对 NTA/NDR 类产品不满意的原因 . 9 图 10 企业期望 NTA/NDR 类产品改进的能力 . 10 图 11 测试网络拓扑图 . 12 图 12 测试现场 . 13 图 13 IXIA PerfectStorm ONE 流量发生器 Web 界面 . 14 图 14 受测产品主要能力占比 . 18 图 15 某产品告警能力测试结果截图 . 19 图 16 某产品攻击链功能测试结果截图 . 20 图 17 某产品攻击链功能测试结果截图 . 20 图 18 某产品溯源能力测试结果截图 . 21 图 19 基本溯源能力测试分数统计结果 . 21 图 20 某产品管理功能测试结果截图 . 22 图 21 产品自身管理功能结果比例图 . 23 图 22 某产品协议识别能力测试结果截图 1 . 24 图 23 某产品协议识别能力测试结果截图 2 . 24 图 24 产品协议识别情况 . 25 图 25 某产品 HTTP 协议还原测试结果截图 1 . 26 图 26 某产品 HTTP 协议还原测试结果截图 2 . 26 图 27 HTTP 协议支持比例 . 27图 28 某产品文件识别功能测试结果截图 . 28 图 29 产品还原文件类型数量 . 28 图 30 某产品 HTTP 协议还原测试结果截图 . 29 图 31 产品文件内容识别比例 . 29 图 32 某产品资产识别功能测试结果截图 . 30 图 33 产品资产识别功能比例 . 31 图 34 某产品网络攻击识别能力测试结果截图 1 . 32 图 35 某产品网络攻击识别能力测试结果截图 2 . 32 图 36 某产品 APT 攻击识别能力测试结果截图 1 . 33 图 37 某产品 APT 攻击识别能力测试结果截图 2 . 34 图 38 产品 APT 识别能力比例 . 34 图 39 某产品恶意程序识别能力测试结果截图 . 35 图 40 各产品恶意程序识别能力分值 . 36 图 41 各受测产品安全漏洞情况 . 40表 目 录 表 1 各企业到场测试产品台数 . 11 表 2 NTA/NDR 类产品测试项目表 . 15中国网络流量监测与分析产品研究报告(2 0 2 0 年) 1 一 、 国 内 网 络 流 量 监 测 与 分 析 技 术 现 状 ( 一 ) 国 内 网 络 流 量 发 展 现 状 伴 随 着 I T 与 互 联 网 应 用 的 快 速 发 展 , 如 物 联 网 设 备 规 模 性 增 长 、 5 G 商 业 落 地 等 , 网 络 流 量 迎 来 爆 炸 性 增 长 。 根 据 C N N I C 1 F 2 发 布 的 第 4 5 次 中 国 互 联 网 络 发 展 状 况 统 计 报 告 , 截 至 2 0 2 0 年 3 月 , 我 国 网 民 规 模 达 9 . 0 4 亿 , 互 联 网 普 及 率 达 6 4 . 5 % 。 其 中 , 移 动 互 联 网 流 量 大 幅 增 长 , 2 0 1 9 年 1 至 1 2 月 , 移 动 互 联 网 接 入 流 量 消 费 达 1 2 2 0 . 0 亿 G B 。 互 联 网 流 量 日 益 增 长 的 背 后 不 仅 仅 是 个 人 用 户 的 移 动 互 联 网 使 用 持 续 深 化 , 同 时 反 映 出 大 量 企 业 的 业 务 向 线 上 转 移 、 来 源 复 杂 和 所 承 载 的 信 息 多 样 化 。 网 络 流 量 中 承 载 的 庞 大 业 务 信 息 ( 支 付 信 息 、 账 号 信 息 等 ) 所 反 映 出 来 的 数 据 是 最 为 直 观 、 真 实 和 有 效 的 。 安 全 方 面 , 网 络 边 界 模 糊 对 流 量 监 测 带 来 了 一 定 的 挑 战 , 同 时 网 络 流 量 的 发 展 特 性 对 企 业 安 全 也 提 出 了 一 定 的 挑 战 , 如 恶 意 流 量 和 加 密 流 量 的 发 展 。 数 据 来 源 : 工 业 和 信 息 化 部 图 1 移动互联网接入流量 2 C N N IC : C h i n a In t e rn e t N e t w o rk In f o rm a t i o n C e n t e r , 中国互联网络信息中心。 是经国家主管部门批准, 于 1 9 9 7 年 6 月 3 日组建的管理和服务机构,行使国家互联网络信息中心的职责。中国网络流量监测与分析产品研究报告(2 0 2 0 年) 2 ( 二 ) 新 兴 流 量 监 测 与 分 析 技 术 网 络 流 量 分 析 技 术 N T A 于 2 0 1 3 年 首 次 被 提 出 , 并 且 在 2 0 1 6 年 逐 渐 兴 起 。 2 0 1 7 年 , N T A 被 G a r t n e r 评 选 为 2 0 1 7 年 十 一 大 信 息 安 全 新 兴 技 术 之 一 , 同 时 也 被 认 为 是 五 种 检 测 高 级 威 胁 3 的 手 段 之 一 , 开 始 进 入 到 更 多 企 业 视 线 里 。 在 G a r t n e r 的 定 义 里 , N T A 是 以 网 络 流 量 为 基 础 , 应 用 人 工 智 能 、 大 数 据 处 理 等 先 进 技 术 , 基 于 流 量 行 为 进 行 实 时 分 析 并 展 示 异 常 事 件 的 客 观 事 实 。 在 N T A 提 出 伊 始 , 重 点 在 于 网 络 流 量 与 分 析 的 能 力, 但 随 着 N T A 的 不 断 发 展 , 企 业 开 始 突 破 其 技 术 的 局 限 性 , 增 加 检 测 和 响 应 的 功 能 , 尤 其 是 针 对 高 级 威 胁 的 行 为 分 析 与 快 速 响 应。 因 此 , “ N T A ” 这 个 术 语 已 经 不 能 够 完 全 涵 盖 这 些 新 的 特 征 , 由 此 , 网 络 检 测 与 响 应 技 术 N D R 应 运 而 生 。 2 0 2 0 年 , G a r t n e r 用 全 新 发 布 的 N D R 全 球 市 场 指 南 替 代 了 原 有 的 N T A 全 球 市 场 指 南 , 也 标 志 着 N D R 正 式 进 入 大 众 视 野 。 在 使 用 N T A 的 基 础 上 , N D R 通 过 与 防 火 墙 、 E D R 7 F 4 、 N A C 5 或 S O A R 8 F 6 平 台 的 智 能 集 成 , 添 加 了 历 史 元 数 据 用 于 调 查 、 威 胁 搜 寻 和 自 动 威 胁 响 应 。 I D S 1 8 F 7 / I P S 1 9 F 8 和 防 火 墙 等 其 他 系 统 , 通 常 仅 监 视 网 络 外 围 , 如 果 攻 击 者 的 行 为 成 功 地 突 破 了 网 络 范 围 而 没 有 被 发 现 , 则 攻 击 者 的 行 为 3 高级威胁:通常指高级可持续威胁攻击(A P T :A d v a n c e d P e rs i s t e n t T h re a t ),也称为定向威胁攻击,指 某组织对特定对象展开的持续有效的攻击活动。 4 G a rt n e r 的 A n t o n C h u v a k i n 于 2 0 1 3 年 7 月首次创造了端点威胁检测和响应 (E n d p o i n t T h re a t D e t e c t i o n a n d R e s p o n s e , E T D R ) 这一术语, 用来定义一种 “检测和调查主机 / 端点上可疑活动 ( 及其痕迹) ” 的工具。 后 来通常称为端点检测和响应 (E D R ) 。 5 N A C :N e t w o rk a c c e s s c o n t ro l ,网络访问控制。 6 S O A R :S e c u ri t y O rc h e s t ra t i o n , A u t o m a t i o n a n d R e s p o n s e ,安全编排自动化与响应。 7 ID S :i n t ru s i o n d e t e c t i o n s y s t e m ,入侵检测系统。 8 IP S :In t ru s i o n P re v e n t i o n S y s t e m 入侵防御系统。中国网络流量监测与分析产品研究报告(2 0 2 0 年) 3 将 不 会 被 注 意 到 。 N T A / N D R 主 要 分 析 南 北 向 和 东 西 向 的 流 量 9 , 通 过 使 用 工 具 组 合 来 检 测 攻 击 , 包 括 机 器 学 习 、 行 为 分 析 、 危 害 指 标 和 回 顾 性 分 析 。 使 用 这 些 工 具 , 可 以 防 止 在 网 络 范 围 内 以 及 在 攻 击 者 已 经 获 得 对 网 络 基 础 结 构 的 访 问 权 限 的 情 况 下 进 行 攻 击 。 同 时 , N T A / N D R 可 以 记 录 原 始 流 量 数 据 , 这 些 数 据 对 于 检 测 和 隔 离 攻 击 以 及 验 证 威 胁 搜 寻 假 设 可 能 是 宝 贵 的 资 源 。 ( 二 ) 行 业 应 用 现 状 图 5 NTA/NDR 类产品的行业应用比例 调 研 发 现 , 政 府 和 监 管 部 门 、 金 融 、 互 联 网 、 医 疗 、 物 联 网 行 业 的 安 全 需 求 推 动 了 N T A / N D R 类 产 品 国 内 市 场 发 展 , 这 五 个 细 分 行 业 共 占 据 了 8 1 . 3 % 的 市 场 应 用 份 额 。 分 析 原 因 , 不 难 发 现 , 这 是 目 前 对 新 兴 技 术 、 高 级 威 胁 以 及 攻 9 南北向流量/ 东西向流量: 一般南北 (上下) 是客户端与数据中心的流量。 东西 ( 左右) 是各个数据中心中 的服务器之间的流量。中国网络流量监测与分析产品研究报告(2 0 2 0 年) 4 防 对 抗 最 重 视 及 关 注 的 五 个 行 业 。 未 来 随 着 新 基 建 等 政 策 持 续 落 地 , 网 络 流 量 监 测 与 分 析 产 品 还 将 进 一 步 增 加 市 场 应 用 占 比 。 ( 三 ) 应 用 场 景 在 市 面 上 已 经 存 在 I D S / I P S 、 W A F 2 0 F 1 0 、 防 火 墙 等 多 种 解 决 南 北 向 流 量 问 题 产 品 的 情 况 下 , N T A / N D R 等 纯 网 络 流 量 监 测 与 分 析 产 品 依 然 被 企 业 关 注 并 需 要 的 原 因 在 于 其 可 以 帮 助 企 事 业 单 位 发 现 多 个 场 景 下 基 于 流 量 的 威 胁 行 为 。一 是 日 常 异 常 流 量 监 测 应 用 场 景 。 大 多 的 安 全 产 品 强 调 威 胁 可 视 化 , 网 络 流 量 正 是 黑 客 入 侵 及 其 它 威 胁 行 为 发 生 时 会 随 之 产 生 的 重 要 特 征 。 N T A / N D R 类 产 品 主 要 应 用 于 网 络 流 量 的 行 为 分 析 , 强 调 对 于 异 常 流 量 行 为 的 实 时 监 测 , 更 快 发 现 威 胁 及 溯 源 , 弥 补 其 它 安 全 工 具 的 不 足 之 处 , 例 如 高 频 攻 击 、 恶 意 软 件 入 侵 、 内 网 横 移 1 1 、 数 据 外 泄 、 僵 尸 网 络 1 2 、 恶 意 挖 矿 1 3 、 网 络 蠕 虫 和 高 级 威 胁 所 产 生 的 恶 意 流 量 。二 是 攻 防 演 练 中 的 应 用 。 攻 防 演 练 中 , 不 论 攻 击 成 功 与 否 , 攻 击 行 为 的 载 体 只 可 能 是 网 络 流 量 。 因 此 , 网 络 流 量 监 测 与 分 析 技 术 也 可 以 说 是 蓝 军 的 一 张 王 牌 , 通 过 对 正 常 业 务 与 威 胁 行 为 模 式 进 行 建 模 , 能 够 在 第 一 时 间 发 现 入 侵 事 件 , 甚 至 还 原 整 个 攻 击 流 程 。 1 0 W A F : W e b A p p l i c a t i o n F i re w a l l W e b 应用防护系统,也称为:网站应用级入侵防御系统。 1 1 内网横移: 攻击者获取到某台内网机器的控制权限之后, 进一步在内网进行横向移动, 以及攻击域控服务 器。 1 2 僵尸网络: 是指采用一种或多种传播手段, 将大量主机感染僵尸病毒, 从而在控制者和被感染主机之间所 形成的一个可一对多控制的网络。 1 3 恶意挖矿: 在用户不知情或未经允许的情况下, 占用用户终端设备的系统资源和网络资源进行挖矿, 从而 获取虚拟币牟利。中国网络流量监测与分析产品研究报告(2 0 2 0 年) 5 图 2 NTA 逻辑示意图 二 、 国 内 N T A / N D R 类 产
展开阅读全文
相关资源
相关搜索
资源标签

copyright@ 2017-2022 报告吧 版权所有
经营许可证编号:宁ICP备17002310号 | 增值电信业务经营许可证编号:宁B2-20200018  | 宁公网安备64010602000642