首页 > 技术

斗象科技被列入Gartner《网络检测和响应(NDR)全球市场指南》

2023-02-17 15:04:54      比特网   


  日前,全球IT研究与咨询机构Gartner®发布了2022年《Market Guide for Network Detection and Response》(《网络检测和响应(NDR)全球市场指南》)(以下简称《指南》),斗象科技被列入该指南。

  斗象科技PRS-NTA全流量安全计算分析平台(简称PRS),以旁路方式实时采集、协议解析和存储网络全流量日志,基于大数据和人工智能等技术,构建新一代以数据计算分析为核心的威胁检测与响应平台,对潜在的异常行为与隐蔽风险进行检测、分析和回溯取证,助力企业提升安全运营效率,降低运营成本。

▲PRS功能架构图

  《指南》中指出:“网络流量检测和响应(NDR)市场仍以22.5%的速度增长,并扩展到IaaS基础设施等新的应用场景。安全和风险管理者应优先考虑将NDR作为威胁检测工具的补充,重点关注其他控制措施未涵盖的漏报、误报和异常检测。”

  在《指南》中,Gartner表示有竞争力的NDR解决方案必须包含以下能力:

  1、支持实时或近实时的原始网络流量包或协议日志分析(例如网络会话IPFIX、协议日志/元数据);

  2、监听和分析南北向流量(客户端与服务器之间的流量),与东西向流量(当它在整个网络中横向移动产生的流量);

  3、能够识别正常网络流量,并高亮显示南北向和东西向流量中超出正常范围的可疑流量;

  4、提供行为检测技术(非基于签名的检测),如检测网络异常的机器学习或者高级分析技术;

  5、聚合结构化事件中的单个告警(事件的聚合分析),来提升威胁调查效率;

  6、对检测到的可疑流量提供自动或手动的响应能力。

  除了符合以上能力外

  面对内外部威胁和大规模网络流量时

  斗象科技PRS是怎么做的呢?

  斗象科技一直注重NDR/NTA产品的研发与应用,我们结合企业常态化安全运营管理需求,通过对网络元数据存储、建模计算和分析,构建企业网络安全运营管理的核心,以“识别” => “检测” => “分析调查” => “响应” => “溯源取证”的过程实现完整闭环,核心能力如下:

  全流量采集与协议日志解析

  PRS基于多NUMA包处理分析框架,实时对网络双向通信报文全文会话级采集、解析和存储,性能达到40Gbps。

  协议解析支持包括全量HTTP日志、DNS查询日志、MySQL操作日志、登录日志、邮件日志等50多种协议日志数据,日志具备结构化、轻量化、可机读等特性,更适合安全检测、调查分析和合规要求。

  PB/EB级复合元数据存储与秒级检索技术

  PRS基于大数据流处理引擎,支持百万级EPS实时过滤、富化、关联和分析,用户可根据网络区域、业务系统、存储空间和周期等因素,对网络会话、协议日志、文件和图片等内容进行按需解析和存储,帮助用户实现高性能、低开销、低成本的原始数据完整留存需求。

  另外,PRS基于高速全文索引技术,满足PB级数据量级下的秒级检索,不仅可以实现无延迟的实时安全检测,还可以高效完成非实时性的跨周期深度调查和溯源取证工作。

  针对PCAP原始数据包留存需求,PRS采用自研高性能存储架构,对PCAP数据进行块状压缩存储,通过会话标记、文件偏移量计算等方式实现PCAP数据微秒级的快速解压读取能力。另外采用高压缩比技术,实现原始流量压缩比小于60%,节省存储费用支出。

  基于数据计算框架,内置丰富的安全模型

  PRS成熟应用了大数据计算框架和流计算平台技术,内置数十种开箱即用的安全检测和分析模型。通过对海量正/负样本、专家特征选取以及算法,建立场景化安全模型,以长期真实数据的模型运营优化,实现针对高级网络攻击、0day漏洞利用、无特征攻击等高级威胁进行有效监测,构建可演进的动态威胁监控体系。

  安全模型即服务

  PRS首创“安全模型即服务”理念和功能,支持自定义扩展,丰富数据挖掘安全分析场景。可基于数据湖进行自定义建模分析,以SAI-模型运营平台为基座,实现数据集选取、特征工程、算法选择、模型运行管理等功能。

  提升检测规则有效性,强化安全能力自运营

  PRS基于大数据计算分析能力,使用已发布特征规则、自定义特征模型对历史协议日志数据进行离线回溯检测,挖掘历史流量中隐蔽的攻击行为。

  PRS支持对各类检测特征和模型的统计分析,包括各特征的检出率、误报率等,验证规则有效性,满足企业能力提升安全运营,更适应企业的实际运行环境。

  场景化阻断实现威胁精准处置

  PRS支持TCP阻断和HTTP重定向两种模式,支持自定义多种阻断场景,可针对关键业务隔离、攻击抑制等场景配置策略,最大程度保障客户业务可用性,缩短风险处置时间,遏制攻击者对网络的进一步威胁。

  体系化、常态化的网络安全防护体系成为应对新型网络威胁的根本要求,有效的流量分析技术已经是网络战中重要的攻防手段,流量侧的威胁检测与响应能力也将成为提升实战化能力的关键因素。斗象科技过去和未来都坚持深耕技术全面发展,围绕着支撑用户“可持续安全运营”技术理念,不断提高自身研发能力与技术水平,更好地满足网络安全领域的需求。我们认为,此次被列入Gartner网络检测和响应(NDR)全球市场指南是对斗象科技技术实力和产品能力持续进步、不断超越的又一肯定。

  参考资料:Gartner, Market Guide for Network Detection and Response, December 2022.

  免责声明:Gartner未在其报告中支持任何厂商、产品或服务,也并不建议技术用户只选择有最高评分或其它特征的厂商。Gartner研究出版物代表的是Gartner研究机构的意见,不应解释为对事实的陈述。Gartner对与本研究有关的所有明示或暗示的保证概不负责,包括对适销性或特定用途的适用性的任何保证。Gartner是Gartner 有限公司和/或其附属公司在美国及全球的注册商标和服务商标,经许可在此使用。保留所有权利。

相关阅读