日前，全球IT研究與咨詢機構Gartner®發布了2022年《Market Guide for Network Detection and Response》（《網絡檢測和響應（NDR）全球市場指南》）（以下簡稱《指南》），斗象科技被列入該指南。

斗象科技PRS-NTA全流量安全計算分析平臺（簡稱PRS），以旁路方式實時采集、協議解析和存儲網絡全流量日志，基于大數據和人工智能等技術，構建新一代以數據計算分析為核心的威脅檢測與響應平臺，對潛在的異常行為與隱蔽風險進行檢測、分析和回溯取證，助力企業提升安全運營效率，降低運營成本。

▲PRS功能架構圖

《指南》中指出：“網絡流量檢測和響應(NDR)市場仍以22.5%的速度增長，并擴展到IaaS基礎設施等新的應用場景。安全和風險管理者應優先考慮將NDR作為威脅檢測工具的補充，重點關注其他控制措施未涵蓋的漏報、誤報和異常檢測。”

在《指南》中，Gartner表示有競爭力的NDR解決方案必須包含以下能力：

1、支持實時或近實時的原始網絡流量包或協議日志分析（例如網絡會話IPFIX、協議日志/元數據）；

2、監聽和分析南北向流量（客戶端與服務器之間的流量），與東西向流量（當它在整個網絡中橫向移動產生的流量）；

3、能夠識別正常網絡流量，并高亮顯示南北向和東西向流量中超出正常范圍的可疑流量；

4、提供行為檢測技術（非基于簽名的檢測），如檢測網絡異常的機器學習或者高級分析技術；

5、聚合結構化事件中的單個告警（事件的聚合分析），來提升威脅調查效率；

6、對檢測到的可疑流量提供自動或手動的響應能力。

除了符合以上能力外

面對內外部威脅和大規模網絡流量時

斗象科技PRS是怎么做的呢？

斗象科技一直注重NDR/NTA產品的研發與應用，我們結合企業常態化安全運營管理需求，通過對網絡元數據存儲、建模計算和分析，構建企業網絡安全運營管理的核心，以“識別” => “檢測” => “分析調查” => “響應” => “溯源取證”的過程實現完整閉環，核心能力如下：

全流量采集與協議日志解析

PRS基于多NUMA包處理分析框架，實時對網絡雙向通信報文全文會話級采集、解析和存儲，性能達到40Gbps。

協議解析支持包括全量HTTP日志、DNS查詢日志、MySQL操作日志、登錄日志、郵件日志等50多種協議日志數據，日志具備結構化、輕量化、可機讀等特性，更適合安全檢測、調查分析和合規要求。

PB/EB級復合元數據存儲與秒級檢索技術

PRS基于大數據流處理引擎，支持百萬級EPS實時過濾、富化、關聯和分析，用戶可根據網絡區域、業務系統、存儲空間和周期等因素，對網絡會話、協議日志、文件和圖片等內容進行按需解析和存儲，幫助用戶實現高性能、低開銷、低成本的原始數據完整留存需求。

另外，PRS基于高速全文索引技術，滿足PB級數據量級下的秒級檢索，不僅可以實現無延遲的實時安全檢測，還可以高效完成非實時性的跨周期深度調查和溯源取證工作。

針對PCAP原始數據包留存需求，PRS采用自研高性能存儲架構，對PCAP數據進行塊狀壓縮存儲，通過會話標記、文件偏移量計算等方式實現PCAP數據微秒級的快速解壓讀取能力。另外采用高壓縮比技術，實現原始流量壓縮比小于60%，節省存儲費用支出。

基于數據計算框架，內置豐富的安全模型

PRS成熟應用了大數據計算框架和流計算平臺技術，內置數十種開箱即用的安全檢測和分析模型。通過對海量正/負樣本、專家特征選取以及算法，建立場景化安全模型，以長期真實數據的模型運營優化，實現針對高級網絡攻擊、0day漏洞利用、無特征攻擊等高級威脅進行有效監測，構建可演進的動態威脅監控體系。

安全模型即服務

PRS首創“安全模型即服務”理念和功能，支持自定義擴展，豐富數據挖掘安全分析場景?？苫跀祿M行自定義建模分析，以SAI-模型運營平臺為基座，實現數據集選取、特征工程、算法選擇、模型運行管理等功能。

提升檢測規則有效性，強化安全能力自運營

PRS基于大數據計算分析能力，使用已發布特征規則、自定義特征模型對歷史協議日志數據進行離線回溯檢測，挖掘歷史流量中隱蔽的攻擊行為。

PRS支持對各類檢測特征和模型的統計分析，包括各特征的檢出率、誤報率等，驗證規則有效性，滿足企業能力提升安全運營，更適應企業的實際運行環境。

場景化阻斷實現威脅精準處置

PRS支持TCP阻斷和HTTP重定向兩種模式，支持自定義多種阻斷場景，可針對關鍵業務隔離、攻擊抑制等場景配置策略，最大程度保障客戶業務可用性，縮短風險處置時間，遏制攻擊者對網絡的進一步威脅。

體系化、常態化的網絡安全防護體系成為應對新型網絡威脅的根本要求，有效的流量分析技術已經是網絡戰中重要的攻防手段，流量側的威脅檢測與響應能力也將成為提升實戰化能力的關鍵因素。斗象科技過去和未來都堅持深耕技術全面發展，圍繞著支撐用戶“可持續安全運營”技術理念，不斷提高自身研發能力與技術水平，更好地滿足網絡安全領域的需求。我們認為，此次被列入Gartner網絡檢測和響應（NDR）全球市場指南是對斗象科技技術實力和產品能力持續進步、不斷超越的又一肯定。

參考資料：Gartner, Market Guide for Network Detection and Response, December 2022.

免責聲明：Gartner未在其報告中支持任何廠商、產品或服務，也并不建議技術用戶只選擇有最高評分或其它特征的廠商。Gartner研究出版物代表的是Gartner研究機構的意見，不應解釋為對事實的陳述。Gartner對與本研究有關的所有明示或暗示的保證概不負責，包括對適銷性或特定用途的適用性的任何保證。Gartner是Gartner 有限公司和/或其附屬公司在美國及全球的注冊商標和服務商標，經許可在此使用。保留所有權利。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

關鍵詞：