《中国网络流量监测与分析产品研究报告(2020年)(52页).pdf》由会员分享,可在线阅读,更多相关《中国网络流量监测与分析产品研究报告(2020年)(52页).pdf(52页珍藏版)》请在三个皮匠报告上搜索。
1、网络安全产品技术能力验证评估系列报告网络安全产品技术能力验证评估系列报告 中国网络流量监测与分析 产品研究报告 中国网络流量监测与分析 产品研究报告 (2020 年)(2020 年) 中国信息通信研究院安全研究所 2020 年 09 月 中国信息通信研究院安全研究所 2020 年 09 月 版权声明版权声明 本报告版权属于中国信息通信研究院,并受法律保护。转载、 摘编或利用其它方式使用本报告文字或者观点的, 应注明“来 源: 中国信息通信研究院及 FreeBuf 咨询”。 违反上述声明者, 本院将追究其相关法律责任。 本报告版权属于中国信息通信研究院,并受法律保护。转载、 摘编或利用其它方式使
2、用本报告文字或者观点的, 应注明“来 源: 中国信息通信研究院及 FreeBuf 咨询”。 违反上述声明者, 本院将追究其相关法律责任。 qRtMrOqMqOtPqMnQsQrPpQ7NbPbRtRnNsQrRfQpPyReRtRvM9PpOoRMYsPnPNZrNmM 前言 随着 NTA/NDR 0 F 1技术的发展,该技术已经逐渐应用于网络威胁和 异常行为的检测,经过实际网络环境的验证和不断的迭代,检测的 有效性和准确性都有了大幅度的提高,为网络威胁和异常行为处置 奠定了基础,为产品的推广和应用提供了广阔的前景。 为更好地满足行业用户在 5G 网络、云计算、物联网等新型业务 场景下的实际需
3、要,为其在网络安全产品选型过程中提供技术能力 参考, 中国信息通信研究院安全研究所 (以下简称 “信通院安全所” ) 联合FreeBuf咨询共同完成了此次NTA/NDR类产品调研和测试工作。 本次测试主要是针对当前行业内主流企业的产品进行技术能力 测试,测试内容和角度覆盖全面且广泛,测试内容包括产品功能、 性能以及自身安全测试,覆盖数十种技术能力指标测试项。本次测 试并非是符合性或合规性测试,也并非是作为某项采购入围的强制 要求,而是作为 NTA/NDR 类产品的“能力拔高测试”,以体现相关 产品在某一个功能领域的真实技术实力。测试方案内容不仅基于现 有相关标准,并且依据 Gartner 对
4、NTA/NDR 的能力定义以及综合国 内各安全企业的最佳实践。 到报名截止日期 2020 年 7 月 13 日为止,共有 28 个企业,28 个 NTA/NDR 类产品报名参与此次测试,实际到场测试企业和产品数 量与报名情况一致。其中,有一款产品由两个企业共同开发完成。 另外,有一个企业受测产品为两款。 1 NTA:Network TrafficAnalysis,指网络流量分析。 NDR:Network Detection & Response 指网络检测与响应。 本报告由信通院安全所对国内主流 NTA/NDR 类产品进行基本面 测试评估,并输出整体测试、分析结果与整体报告。由 FreeBuf
5、 咨 询通过现场走访、资料整合及问卷调查的形式,对国内外近百家企 业的使用情况进行对比分析, 总结国内NTA/NDR类产品的基本现状, 并尝试对其发展趋势进行评估和预测。 在这里要特别感谢以下企业参与测试并为测试工作提供相关支 持(排名不分先后): 北京安博通科技股份有限公司、北京安态科技有限公司、北京 安天网络安全技术有限公司、 北京浩瀚深度信息技术股份有限公司、 北京华安普特网络科技有限公司、北京兰云科技有限公司、北京神 州绿盟信息技术有限公司、北京派网软件有限公司、北京微智信业 科技有限公司、北京知道创宇信息技术股份有限公司、成都科来软 件有限公司、成都深思科技有限公司、东巽科技(北京)
6、有限公司、 杭州安恒信息技术股份有限公司、恒安嘉新(北京)科技股份公司、 湖南友道信息技术有限公司、江苏省未来网络创新研究院、奇安信 科技集团股份有限公司、上海斗象信息科技有限公司、深信服科技 股份有限公司、神州灵云(北京)科技有限公司、是德科技(中国) 有限公司、腾讯科技(北京)有限公司、天津市国瑞数码安全系统 股份有限公司、亚信科技(成都)有限公司、中电福富信息科技有 限公司、中新网络信息安全股份有限公司、中移(杭州)信息技术 有限公司、珠海市一知安全科技有限公司。 目录目录 版权声明 一、国内网络流量监测与分析技术现状.1 (一)国内网络流量发展现状.1 (二)新兴流量监测与分析技术.2
7、 (三)应用场景.3 二、国内 NTA/NDR 类产品应用现状.5 (一)市场应用现状.5 (二)行业应用现状.6 (三)攻防对抗场景下的应用现状.7 (四)企业对 NTA/NDR 类产品的预期.8 (五)企业期待 NTA/NDR 类产品的能力.9 三、NTA/NDR 类产品测试情况综述.10 (一)测试基本情况.10 (二)测试环境介绍.12 (三)测试方法说明.13 (四)测试对象范围.14 (五)测试内容简介.15 四、NTA/NDR 类产品测试结果总体分析.17 (一)不同技术方向“划分”企业能力阵营.17 (二)自动化处置能力有待落地和完善.18 (三)基于 IP 和主机的溯源功能不
8、分轩轾.20 (四)产品自身管理能力总体较好.22 五、NTA/NDR 类产品流量识别能力分析.23 (一)网络协议识别展示能力各有所长.23 (二)网络流量识别还原内容因需而定.25 1.绝大多数产品可全字段还原 HTTP 协议.25 2.网络文件是否识别多由文件风险决定.27 3.网络正常文件内容还原仍需更加精准.28 (三)NTA/NDR 产品中资产发现能力一般.30 六、NTA/NDR 类产品安全分析能力分析.31 (一)具备各类网络攻击发现和分析能力.31 (二)基本具备多步骤攻击关联分析能力.33 (三)网络恶意程序分析能力总体可用.35 七、NTA/NDR 类产品趋势展望.36
9、(一)大规模攻防演练进一步催化 NTA/NDR 市场需求.36 (二)NTA/NDR 或着力产品差异化,打造核心卖点.37 (三)网络加密流量解析与分析成为新挑战.37 (四)联动攻击链的流量场景化分析需进一步落地.38 (五)流量分析转移到云上以实现可伸缩性成趋势.38 八、NTA/NDR 类产品发展建议.38 (一)深耕自身技术优势,实现技术能力互补.38 (二)围绕新型网络场景,满足业务安全需求.39 (三)夯实产品自身安全,保障可信可控可靠.39 九、NTA/NDR 类产品能力分组.40 (一)专业能力领域.40 (二)行业应用能力领域.41 图 目 录图 目 录 图 1移动互联网接入
10、流量.1 图 2NTA 逻辑示意图.5 图 3企业对于网络流量监测与分析产品的选择比例图.6 图 4企业对于网络流量监测与分析产品的选择比例图.6 图 5NTA/NDR 类产品的行业应用比例.3 图 6企业对 NTA/NDR 类产品特性的关注比例.7 图 7NTA/NDR 类产品在攻防演练中的作用.8 图 8NTA/NDR 类产品的用户综合评价比例.9 图 9企业对 NTA/NDR 类产品不满意的原因.9 图 10企业期望 NTA/NDR 类产品改进的能力.10 图 11测试网络拓扑图.12 图 12测试现场.13 图 13IXIA PerfectStorm ONE 流量发生器 Web 界面.
11、14 图 14受测产品主要能力占比.18 图 15某产品告警能力测试结果截图.19 图 16某产品攻击链功能测试结果截图.20 图 17某产品攻击链功能测试结果截图.20 图 18某产品溯源能力测试结果截图.21 图 19基本溯源能力测试分数统计结果.21 图 20某产品管理功能测试结果截图.22 图 21产品自身管理功能结果比例图.23 图 22某产品协议识别能力测试结果截图 1.24 图 23某产品协议识别能力测试结果截图 2.24 图 24产品协议识别情况.25 图 25某产品 HTTP 协议还原测试结果截图 1.26 图 26某产品 HTTP 协议还原测试结果截图 2.26 图 27H
12、TTP 协议支持比例.27 图 28某产品文件识别功能测试结果截图.28 图 29产品还原文件类型数量.28 图 30某产品 HTTP 协议还原测试结果截图.29 图 31产品文件内容识别比例.29 图 32某产品资产识别功能测试结果截图.30 图 33产品资产识别功能比例.31 图 34某产品网络攻击识别能力测试结果截图 1.32 图 35某产品网络攻击识别能力测试结果截图 2.32 图 36某产品 APT 攻击识别能力测试结果截图 1.33 图 37某产品 APT 攻击识别能力测试结果截图 2.34 图 38产品 APT 识别能力比例.34 图 39某产品恶意程序识别能力测试结果截图.35
13、 图 40各产品恶意程序识别能力分值.36 图 41各受测产品安全漏洞情况.40 表 目 录表 目 录 表 1各企业到场测试产品台数.11 表 2NTA/NDR 类产品测试项目表.15 中国网络流量监测与分析产品研究报告(2020 年) 1 一、国内网络流量监测与分析技术现状 (一)国内网络流量发展现状(一)国内网络流量发展现状 伴随着 IT 与互联网应用的快速发展,如物联网设备规模性增 长、5G 商业落地等,网络流量迎来爆炸性增长。根据 CNNIC 1 F 2发布的 第 45 次中国互联网络发展状况统计报告,截至 2020 年 3 月, 我国网民规模达 9.04 亿,互联网普及率达 64.5
14、%。其中,移动互联 网流量大幅增长,2019 年 1 至 12 月,移动互联网接入流量消费达 1220.0 亿 GB。 互联网流量日益增长的背后不仅仅是个人用户的移动 互联网使用持续深化,同时反映出大量企业的业务向线上转移、来 源复杂和所承载的信息多样化。 网络流量中承载的庞大业务信息 (支 付信息、账号信息等)所反映出来的数据是最为直观、真实和有效 的。安全方面,网络边界模糊对流量监测带来了一定的挑战,同时 网络流量的发展特性对企业安全也提出了一定的挑战,如恶意流量 和加密流量的发展。 数据来源:工业和信息化部 图 1 移动互联网接入流量 2 CNNIC:China Internet Net
15、work Information Center,中国互联网络信息中心。是经国家主管部门批准,于 1997 年 6 月 3 日组建的管理和服务机构,行使国家互联网络信息中心的职责。 中国网络流量监测与分析产品研究报告(2020 年) 2 (二)新兴流量监测与分析技术(二)新兴流量监测与分析技术 网络流量分析技术 NTA 于 2013 年首次被提出,并且在 2016 年 逐渐兴起。2017 年,NTA 被 Gartner 评选为 2017 年十一大信息安全 新兴技术之一,同时也被认为是五种检测高级威胁 3的手段之一,开 始进入到更多企业视线里。 在 Gartner 的定义里, NTA 是以网络流量
16、 为基础,应用人工智能、大数据处理等先进技术,基于流量行为进 行实时分析并展示异常事件的客观事实。 在 NTA 提出伊始, 重点在于网络流量与分析的能力, 但随着 NTA 的不断发展,企业开始突破其技术的局限性,增加检测和响应的功 能,尤其是针对高级威胁的行为分析与快速响应。因此,“NTA”这 个术语已经不能够完全涵盖这些新的特征,由此,网络检测与响应 技术 NDR 应运而生。2020 年,Gartner 用全新发布的NDR 全球市场 指南替代了原有的NTA 全球市场指南,也标志着 NDR 正式进入 大众视野。在使用 NTA 的基础上,NDR 通过与防火墙、EDR 7 F 4、NAC5或 SO
17、AR 8 F 6平台的智能集成,添加了历史元数据用于调查、威胁搜寻和自 动威胁响应。 IDS1 8F 7/IPS 1 9 F 8和防火墙等其他系统,通常仅监视网络外围,如果攻 击者的行为成功地突破了网络范围而没有被发现,则攻击者的行为 3 高级威胁:通常指高级可持续威胁攻击(APT:Advanced Persistent Threat),也称为定向威胁攻击,指 某组织对特定对象展开的持续有效的攻击活动。 4 Gartner 的 AntonChuvakin 于 2013 年 7 月首次创造了端点威胁检测和响应 (Endpoint Threat Detection and Response,ETD
18、R) 这一术语,用来定义一种“检测和调查主机/端点上可疑活动(及其痕迹)”的工具。后 来通常称为端点检测和响应 (EDR)。 5 NAC:Network access control,网络访问控制。 6 SOAR:Security Orchestration,Automation and Response,安全编排自动化与响应。 7 IDS:intrusion detection system,入侵检测系统。 8 IPS:Intrusion Prevention System 入侵防御系统。 中国网络流量监测与分析产品研究报告(2020 年) 3 将不会被注意到。 NTA/NDR 主要分析南北
19、向和东西向的流量 9,通过使用工具组合 来检测攻击,包括机器学习、行为分析、危害指标和回顾性分析。 使用这些工具,可以防止在网络范围内以及在攻击者已经获得对网 络基础结构的访问权限的情况下进行攻击。 同时, NTA/NDR 可以记录 原始流量数据,这些数据对于检测和隔离攻击以及验证威胁搜寻假 设可能是宝贵的资源。 (二)行业应用现状(二)行业应用现状 图 5 NTA/NDR 类产品的行业应用比例 调研发现,政府和监管部门、金融、互联网、医疗、物联网行 业的安全需求推动了 NTA/NDR 类产品国内市场发展,这五个细分行 业共占据了 81.3%的市场应用份额。 分析原因,不难发现,这是目前对新兴
20、技术、高级威胁以及攻 9南北向流量/东西向流量:一般南北(上下)是客户端与数据中心的流量。东西(左右)是各个数据中心中 的服务器之间的流量。 中国网络流量监测与分析产品研究报告(2020 年) 4 防对抗最重视及关注的五个行业。 未来随着新基建等政策持续落地, 网络流量监测与分析产品还将进一步增加市场应用占比。 (三)应用场景(三)应用场景 在市面上已经存在 IDS/IPS、WAF 2 0 F 10、防火墙等多种解决南北向 流量问题产品的情况下, NTA/NDR 等纯网络流量监测与分析产品依然 被企业关注并需要的原因在于其可以帮助企事业单位发现多个场景 下基于流量的威胁行为。一是日常异常流量监
21、测应用场景。大多的 安全产品强调威胁可视化,网络流量正是黑客入侵及其它威胁行为 发生时会随之产生的重要特征。 NTA/NDR 类产品主要应用于网络流量 的行为分析,强调对于异常流量行为的实时监测,更快发现威胁及 溯源,弥补其它安全工具的不足之处,例如高频攻击、恶意软件入 侵、内网横移 11、数据外泄、僵尸网络12、恶意挖矿13、网络蠕虫和高 级威胁所产生的恶意流量。二是攻防演练中的应用。攻防演练中, 不论攻击成功与否,攻击行为的载体只可能是网络流量。因此,网 络流量监测与分析技术也可以说是蓝军的一张王牌,通过对正常业 务与威胁行为模式进行建模,能够在第一时间发现入侵事件,甚至 还原整个攻击流程
22、。 10WAF:WebApplication Firewall Web 应用防护系统,也称为:网站应用级入侵防御系统。 11内网横移:攻击者获取到某台内网机器的控制权限之后,进一步在内网进行横向移动,以及攻击域控服务 器。 12僵尸网络:是指采用一种或多种传播手段,将大量主机感染僵尸病毒,从而在控制者和被感染主机之间所 形成的一个可一对多控制的网络。 13恶意挖矿:在用户不知情或未经允许的情况下,占用用户终端设备的系统资源和网络资源进行挖矿,从而 获取虚拟币牟利。 中国网络流量监测与分析产品研究报告(2020 年) 5 图 2 NTA 逻辑示意图 二、国内 NTA/NDR 类产品应用现状 (一
23、)市场应用现状(一)市场应用现状 近年来,随着攻击技术的发展,以高级持续性威胁(APT)为代 表的新型攻击手段渐渐兴起,网络威胁形势变得更为严峻。从调研 结果来看,针对网络流量监测与分析类产品的部署选择,有 32.6% 的企业已经部署 NTA/NDR 类产品, 还有 14.8%的受访企业表示计划部 署此类产品。 中国网络流量监测与分析产品研究报告(2020 年) 6 图 3 企业对于网络流量监测与分析产品的选择比例图 此外,通过对企业部署 NTA/NDR 类产品的流量采集区域调研显 示,22.95%的企业选择部署在 DMZ 区 2 4 F 14,20.59%的企业选择部署在 Web 服务,20
24、.39%的企业选择部署在生产区域。 图 4 企业对于网络流量监测与分析产品的选择比例图 14 DMZ:demilitarized zone 的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防 火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的 缓冲区。 中国网络流量监测与分析产品研究报告(2020 年) 7 (三)攻防对抗场景下的应用现状(三)攻防对抗场景下的应用现状 近年来,为促进和推动国家重大活动网络安全和国家关键信息 基础设施安全防护工作,利用网络流量展开的攻防对抗逐渐成为趋 势,企业对于 NTA/NDR 类产品的应用需求也在不
25、断聚焦于此。调研 发现,目前企业对 NTA/NDR 类产品特性的关注主要聚焦于以下两个 方面, 其中提升威胁分析和溯源能力的关注比例为 35.0%, 实时分析 原始网络数据包流量(NetFlow 记录等)的关注比例为 27.0%。 图 6 企业对 NTA/NDR 类产品特性的关注比例 而这两项能力恰好是攻防对抗场景中极为重要的环节, NTA/NDR 类产品正是将机器学习、高级分析和基于规则的检测结合起来,根 据上下文收集的数据来确定后期的攻击行为,从而帮助企业最大化 扭转攻防不对等的不利局面。 中国网络流量监测与分析产品研究报告(2020 年) 8 图7 NTA/NDR 类产品在攻防演练中的作
26、用 针对产品部署在攻防演练场景的使用效果,调研数据显示: 48.39%的企业认为作用很大,37.46%的企业认为作用一般,14.15% 的企业认为没什么作用。 (四)企业对 NTA/NDR 类产品的预期(四)企业对 NTA/NDR 类产品的预期 针对已部署 NTA/NDR 类产品的调研对象, 23.7%的企业认为产品 符合预期效果,21.3%的企业对所部署的产品表示不满,仅有 7.1% 的企业认为产品防护效果超过预期。 中国网络流量监测与分析产品研究报告(2020 年) 9 图 8 NTA/NDR 类产品的用户综合评价比例 根据调研,企业用户对现阶段 NTA/NDR 类产品不满意的问题主 要包
27、括以下两个方面:23.48%的企业认为价格高昂,22.61%的企业 认为产品的事件误报率过高。 图 9 企业对 NTA/NDR 类产品不满意的原因 (五)企业期待 NTA/NDR 类产品的能力(五)企业期待 NTA/NDR 类产品的能力 针对 NTA/NDR 类产品的属性及应用场景,除了核心的威胁溯源 及全流量存储与监测能力外,还需提升网络可视化功能。在此基础 上,加密流量的分析、基于行为的数据分析能力也需着力增强。 中国网络流量监测与分析产品研究报告(2020 年) 10 图 10 企业期望 NTA/NDR 类产品改进的能力 超过 50%的企业认为目前的 NTA/NDR 类产品需要提升威胁溯
28、源、 全流量监测及网络可视化这三项核心能力。 从调研情况来看, 大多数企业非常关注 NTA/NDR 类产品的应用能力, 国内企业对此的技术投入比例也在不断增强。随着越来越多的企业 开始重视突发安全事件的应对能力和高级威胁的防护能力,国内 NTA/NDR 类产品的市场应用将进一步扩大。 三、NTA/NDR 类产品测试情况综述 (一)测试基本情况(一)测试基本情况 本次 NTA/NDR 类网络安全技术能力测试在信通院安全所网络安 全实验室进行,开始于 2020 年 6 月 22 日,结束于 2020 年 7 月 31 日。各参测企业根据测试方案分别组合了自身的产品模块和技术能 力。 各参测企业参与
29、受测的产品数量不同,如表 1 所示,每个参测 企业产品数量从一台至五台数量不等,但普遍为一台至两台,通常 一台设备作为流量采集探针,另外一台设备作为安全分析和展示系 统,对于采用两台以上设备的企业通常是将安全分析模块进行了能 力拆分,例如安全攻击分析模块、恶意文件沙箱分析模块以及总体 分析和展示模块几个部分。 所有参与测试的产品均采用了标准 1U 或 2U 标准服务器,少部分企业采用了专用定制设备。 中国网络流量监测与分析产品研究报告(2020 年) 11 表 1 各企业到场测试产品台数 企业简称企业简称台数台数企业简称企业简称台数台数 斗象科技5湖南友道1 绿盟科技4安态科技1 深信服3中移
30、杭研院1 奇安信3一知安全1 安天科技2安博通1 安恒信息2深思科技1 恒安嘉新2国瑞数码1 中新网安2华安普特1 微智信业2中电福富1 派网软件2知道创宇1 科来2东巽科技1 兰云科技2神州灵云1 浩瀚深度2江苏未来网络创新研究院1 腾讯科技2亚信 TDA1 亚信 SpiderFlow1/ 中国网络流量监测与分析产品研究报告(2020 年) 12 (二)测试环境介绍(二)测试环境介绍 图 11 测试网络拓扑图 本次测试主要采用 IXIA PerfectStormONE 流量发生器模拟网络 流量、攻击以及恶意程序等,采用 IXIA Vision E40 分流设备进行 多路模拟流量生成。如图 1
31、1 所示测试环境拓扑情况,流量发生器与 分流设备相连接,并配置流量策略,分流设备将模拟的测试流量同 时下发多份,受测产品的采集口(或通过交换机转发)与分流设备 相连。管理口交换机连接所有产品管理口进行统一管理。 受测产品需要配置 172.16.5.0 网段 IP 作为管理 IP,并接入到 受测网络中。为了保障在对测试结果进行截图并说明过程中的真实 性,管理口 IP 以及其他相关采集分析设备被分配的 IP 不可以私自 改变,在测试结果截图中应包含页面全屏,显示出管理 IP,以明确 该测试截图内容为现场测试结果截图。 中国网络流量监测与分析产品研究报告(2020 年) 13 图 12 测试现场 (三)测试方法说明(三)测试方法说明 本次测试包括产品功能测试、性能测试和系统自身安全测试。 在功能测试方面,由 IXIA PerfectStormONE 流量发生器生成相关流 量,随后在产品找到采集或分析结果相应界面,对满足测试内容的 部分进行截图和说明,证明该产品对该测试项的满足程度。对于不 需要专门利用流量发生器的测试项,直接在产品界面截图中进行描 述说明。在性能测试方面,根据产品型号(千兆或万兆),由 IXIA PerfectStormONE 流量发生器进行最大量生成混合流量, 受测产品记 录流