2023-02-17 15:04:54 比特网
日前,全球IT研究与咨询机构Gartner®发布了2022年《Market Guide for Network Detection and Response》(《网络检测和响应(NDR)全球市场指南》)(以下简称《指南》),斗象科技被列入该指南。
斗象科技PRS-NTA全流量安全计算分析平台(简称PRS),以旁路方式实时采集、协议解析和存储网络全流量日志,基于大数据和人工智能等技术,构建新一代以数据计算分析为核心的威胁检测与响应平台,对潜在的异常行为与隐蔽风险进行检测、分析和回溯取证,助力企业提升安全运营效率,降低运营成本。
▲PRS功能架构图
《指南》中指出:“网络流量检测和响应(NDR)市场仍以22.5%的速度增长,并扩展到IaaS基础设施等新的应用场景。安全和风险管理者应优先考虑将NDR作为威胁检测工具的补充,重点关注其他控制措施未涵盖的漏报、误报和异常检测。”
在《指南》中,Gartner表示有竞争力的NDR解决方案必须包含以下能力:
1、支持实时或近实时的原始网络流量包或协议日志分析(例如网络会话IPFIX、协议日志/元数据);
2、监听和分析南北向流量(客户端与服务器之间的流量),与东西向流量(当它在整个网络中横向移动产生的流量);
3、能够识别正常网络流量,并高亮显示南北向和东西向流量中超出正常范围的可疑流量;
4、提供行为检测技术(非基于签名的检测),如检测网络异常的机器学习或者高级分析技术;
5、聚合结构化事件中的单个告警(事件的聚合分析),来提升威胁调查效率;
6、对检测到的可疑流量提供自动或手动的响应能力。
除了符合以上能力外
面对内外部威胁和大规模网络流量时
斗象科技PRS是怎么做的呢?
斗象科技一直注重NDR/NTA产品的研发与应用,我们结合企业常态化安全运营管理需求,通过对网络元数据存储、建模计算和分析,构建企业网络安全运营管理的核心,以“识别” => “检测” => “分析调查” => “响应” => “溯源取证”的过程实现完整闭环,核心能力如下:
全流量采集与协议日志解析
PRS基于多NUMA包处理分析框架,实时对网络双向通信报文全文会话级采集、解析和存储,性能达到40Gbps。
协议解析支持包括全量HTTP日志、DNS查询日志、MySQL操作日志、登录日志、邮件日志等50多种协议日志数据,日志具备结构化、轻量化、可机读等特性,更适合安全检测、调查分析和合规要求。
PB/EB级复合元数据存储与秒级检索技术
PRS基于大数据流处理引擎,支持百万级EPS实时过滤、富化、关联和分析,用户可根据网络区域、业务系统、存储空间和周期等因素,对网络会话、协议日志、文件和图片等内容进行按需解析和存储,帮助用户实现高性能、低开销、低成本的原始数据完整留存需求。
另外,PRS基于高速全文索引技术,满足PB级数据量级下的秒级检索,不仅可以实现无延迟的实时安全检测,还可以高效完成非实时性的跨周期深度调查和溯源取证工作。
针对PCAP原始数据包留存需求,PRS采用自研高性能存储架构,对PCAP数据进行块状压缩存储,通过会话标记、文件偏移量计算等方式实现PCAP数据微秒级的快速解压读取能力。另外采用高压缩比技术,实现原始流量压缩比小于60%,节省存储费用支出。
基于数据计算框架,内置丰富的安全模型
PRS成熟应用了大数据计算框架和流计算平台技术,内置数十种开箱即用的安全检测和分析模型。通过对海量正/负样本、专家特征选取以及算法,建立场景化安全模型,以长期真实数据的模型运营优化,实现针对高级网络攻击、0day漏洞利用、无特征攻击等高级威胁进行有效监测,构建可演进的动态威胁监控体系。
安全模型即服务
PRS首创“安全模型即服务”理念和功能,支持自定义扩展,丰富数据挖掘安全分析场景。可基于数据湖进行自定义建模分析,以SAI-模型运营平台为基座,实现数据集选取、特征工程、算法选择、模型运行管理等功能。
提升检测规则有效性,强化安全能力自运营
PRS基于大数据计算分析能力,使用已发布特征规则、自定义特征模型对历史协议日志数据进行离线回溯检测,挖掘历史流量中隐蔽的攻击行为。
PRS支持对各类检测特征和模型的统计分析,包括各特征的检出率、误报率等,验证规则有效性,满足企业能力提升安全运营,更适应企业的实际运行环境。
场景化阻断实现威胁精准处置
PRS支持TCP阻断和HTTP重定向两种模式,支持自定义多种阻断场景,可针对关键业务隔离、攻击抑制等场景配置策略,最大程度保障客户业务可用性,缩短风险处置时间,遏制攻击者对网络的进一步威胁。
体系化、常态化的网络安全防护体系成为应对新型网络威胁的根本要求,有效的流量分析技术已经是网络战中重要的攻防手段,流量侧的威胁检测与响应能力也将成为提升实战化能力的关键因素。斗象科技过去和未来都坚持深耕技术全面发展,围绕着支撑用户“可持续安全运营”技术理念,不断提高自身研发能力与技术水平,更好地满足网络安全领域的需求。我们认为,此次被列入Gartner网络检测和响应(NDR)全球市场指南是对斗象科技技术实力和产品能力持续进步、不断超越的又一肯定。
参考资料:Gartner, Market Guide for Network Detection and Response, December 2022.
免责声明:Gartner未在其报告中支持任何厂商、产品或服务,也并不建议技术用户只选择有最高评分或其它特征的厂商。Gartner研究出版物代表的是Gartner研究机构的意见,不应解释为对事实的陈述。Gartner对与本研究有关的所有明示或暗示的保证概不负责,包括对适销性或特定用途的适用性的任何保证。Gartner是Gartner 有限公司和/或其附属公司在美国及全球的注册商标和服务商标,经许可在此使用。保留所有权利。