揭秘未来网络安全：国舜NDR如何成为企业防御新前线

NDR是什么？

非基于签名的技术（例如，机器学习或其他分析技术）通过持续分析企业内部网络（东西向）和外部网络（南北向）之间的原始网络数据包或流量元数据来检测企业网络上的可疑流量。通过构建反映正常网络行为的模型，实时自动监测网络异常行为，并进行自动预警处置的产品。

NDR需要具备哪些能力？

根据Gartner 2020年发布的NDR网络检测和响应市场指南，NDR必须具备：

· 实时分析原始流量或flow(例NetFlow记录)

· 监测和分析南北+东西向流量

· 基于正常网络流量建模，识别异常的可疑流量

· 利用基于非签名的检测技术，例如机器学习技术、行为分析

· 将单个告警聚合为结构化事件，促进威胁调查

· 自动或手动响应，对可疑网络流量的检测做出反应

国舜天眸NDR有哪些关键特性与优势？

国舜天眸NDR的技术核心在于其能够实时监测企业网络中的全部数据流量，通过对网络活动的深度分析，及时发现潜在的威胁和异常行为，利用先进的机器学习和人工智能算法，能够快速识别出传统安全工具可能遗漏的隐蔽性攻击和高级持续性攻击，具有以下几个显著特点：

实时监测：

自主采集穿过边界的南北向流量和内网的东西向流量并针对原始流量进行持续、实时地监控，及时捕捉到流量中的任何异常活动，无论是内部的还是外部的威胁。

深度分析：

通过利用深度包检测（DPI）和流量分析技术，能够对网络报文的有效载荷进行深度检测和详细的分析，可快速识别出可能隐藏在正常流量中的恶意活动。

智能分析：

国舜天眸NDR运用机器学习和人工智能算法，通过构建正常网络行为的基线模型，并检测与其偏离的网络活动，快速识别潜在的攻击行为或异常。

高效响应：

当系统检测到威胁时，系统能够迅速、精准地采取行动（如阻断恶意流量或触发响应流程），减少威胁的影响范围和持续时间。

行为建模：

系统通过收集和分析网络中的大量数据，包括流量模式、连接请求、数据传输、协议使用等，构建行为模型，可有效识别未知的或零日攻击等新型威胁。

多源数据整合：

系统通过采集核心数据流量能够获取包含传感器、现有防火墙、入侵防御/检测系统等多源数据进行处理分析，快速构建全面的数据视图，提供全网络可见性。

结构化告警事件：

通过分析告警之间的关联性，将多个相关的告警合并成一个结构化事件，并结合威胁情报、历史信息等对事件富化及优先级排序，确保最紧急的事件优先处理。

持续优化和学习：

系统的自动化学习机制使其能够根据新的威胁情报和历史数据持续不断的优化检测算法，通过不断的学习网络环境和威胁形势，保持其检测和响应能力的有效性。

自动化与人工结合：

系统可对已知威胁或预定义威胁模式进行自动化执行阻断动作，对于复杂的、未知的或首次出现的威胁可通过人工分析+预定义响应策略对其进行预定义处置。

报告与可视化：

系统提供历史数据的对比分析，及安全态势的趋势报告，同时将检测到的威胁以热力图形式标记出活跃的攻击源和目标，或通过时间线展示攻击过程。

为什么选择国舜天眸NDR？

国舜天眸NDR致力于解决可能绕过防护措施的高级威胁和未被识别、分类或完全理解的网络攻击行为，帮助企业解决以下几类核心安全问题：

未知威胁检测：

系统通过分析网络流量中的异常行为模式，能够识别那些基于签名的传统安全措施可能遗漏的未知或0day攻击。包含针对企业网络的新型恶意软件、APT（高级持续性威胁）攻击以及内部威胁。

实时监测与响应：

系统能够实时监控网络流量，即时检测到异常活动并快速响应，减少了从威胁出现到被发现和响应的时间差，解决了所谓的“检测时间”和“响应时间”。

东西向流量分析：

系统重点关注企业内部网络之间的通信，可快速捕捉攻击者在网络内部的渗透和扩展，减少事件的影响范围。

加密流量分析：

系统具备对加密流量进行深度分析的能力，可快速识别隐藏在其中的威胁，解决了传统安全工具在处理加密数据时的盲点。

威胁行为模式识别：

系统利用机器学习和人工智能算法，能够识别和建立正常网络行为的基线，从而发现偏离这些基线的异常活动，进而实现对全网络的监控和检测。

全量网络行为日志：

系统通过采集全量网络行为日志并进行深度分析与检测，识别网络中的异常通信模式，如未知的网络连接、非工作时间的数据传输、异常的大流量传输，通过提供全面的网络活动视图，增强了组织的安全防护能力，同时也可作为态势感知、安全运营平台的流量侧探针，以其深层次的分析检测能力为安全态势感知和事件响应系统提供详细的数据通信分析结果。

自动化响应：

系统支持自动化响应策略设定，一旦检测到威胁，可以自动执行预设的响应措施，如阻断恶意通信路径，或触发安全工作流。

增强现有安全生态：

系统支持与SIEM（安全信息和事件管理）、SOAR（安全编排、自动化和响应）以及其他安全工具集成，增强整个安全生态的效能。

合规性和审计支持：

系统支持生成详细的网络活动日志可以用于满足合规性要求和审计需求，帮助组织证明其网络环境的安全状态。

降低误报率：

通过深度学习和行为分析，系统能够更精准地识别威胁，从而减少误报，避免不必要的警报和资源消耗。

总之，国舜天眸NDR为企业提供了一个动态、智能且响应迅速的网络防御层，它不仅能够检测和响应已知威胁，更能及时发现和抵御未知威胁，为网络系统提供更强的安全保障，为用户提供多层次和全面的立体防护体系。

NDR与传统网络防御系统的主要区别在哪？

NDR代表了一种更加主动和动态的网络防御策略，它超越了传统防御系统的限制，提供了更高级别的威胁检测和响应能力，主要体现如下：

综上所述，国舜天眸NDR不仅仅是技术上的升级，更是企业安全战略的重要组成部分，它能够显著提升企业的网络安全水平，保护企业免受日益复杂的网络威胁，让企业实现真正意义上的网络安全主动防御。