近些年，隨著企業上雲、5G落地、物聯網設備激增，網絡爆炸式發展，網絡流量海量化、復雜化成為常態，如何識別、監測、分析網絡流量成為重要研究方向和企業關註熱點。網絡流量監測分析既指特定用途的硬件設備（比如各傢安全廠商提供的NTA/NDR），也指基於網絡層的安全分析技術。不同於主機層、應用層是以日志、請求等為分析對象，流量分析面對的是更底層的網絡數據包，信息元素更多，分析更復雜。

2020年6月至9月，中國信息通信研究院安全研究所聯合FreeBuf咨詢共同完成NTA/NDR類產品調研和測試工作，最終輸出網絡安全產品技術能力驗證評估系列報告《中國網絡流量監測與分析產品研究報告》（2020年）。

其中，由中國信息通信研究院安全研究所對國內主流的NTA/NDR產品進行瞭全面的測試，並獨立提供報告的測試結果。測試的目的是通過調研與測試國內NTA網絡流量分析產品的基本技術能力，逐步推進形成國內NTA網絡流量分析產品國傢或行業標準。同時，為最終用戶提供NTA網絡流量分析產品選型的參考依據。

什麼是網絡流量分析技術（NTA）?

網絡流量分析技術（NTA – Network Traffic Analysis) 網絡流量分析，最早在2013年被提出，是一種威脅檢測的新興技術。2017年6月，網絡流量分析NTA技術入選瞭Gartner《2017年11大頂尖信息安全技術》。這個國際知名的權威咨詢機構是這樣解讀NTA技術的： NTA解決方案通過監控網絡流量、連接和對象來識別惡意的行為跡象。對於那些試圖通過基於網絡的方式去識別繞過邊界安全的高級攻擊的企業而言，可以考慮使用NTA技術來幫助識別、管理和分類這些事件，作出輔助決策。

NTA通過DFI和DPI技術來分析網絡流量，通常部署在關鍵的網絡區域對東西向和南北向的流量進行分析，既是流量監測與分析技術的落地產品，也可以理解為一種功能和能力。目前，很多NTA產品都集流量收集、分析、報告於一體，解決誰在什麼時間、什麼地方、執行什麼行為等安全流程中的重要問題，幫助企業全面瞭解網絡活動。而NDR是一類新的安全解決方案，實際能力與NTA幾乎相似。

國內NTA現狀以及本次報告簡介

根據《中國互聯網發展狀況統計報告》，截至2019年6月，我國網民規模達8.54億，互聯網普及率達61.2%。此外，移動互聯網流量大規模增長，2019年上半年達到553.9億GB，而用戶月均使用流量為全球水平的1.2倍。與此同時，這些流量成為各種威脅載體，致使攻防對抗形態逐漸成為局勢且愈演愈烈。

不管是在企業安全防禦者與黑客的實際對抗場景中，或是規模化攻防演練過程中，都表明企業對於網絡流量的監測與分析的需求正在持續增長，這也預示著NTA網絡流量分析可能也會順應潮流，在海量數據中實現巨大增長。

以下數據引用於《中國網絡流量監測與分析產品研究報告》（2020年），由FreeBuf咨詢調研完成。

NTA/NDR產品部署現狀：

部署NTA/NDR產品的主要原因：

企業部署NTA/NDR產品是否達到預期：

已經部署的NTA/NDR產品在攻防演練中的作用：

作用很大 48.39%

作用一般 37.46%

沒有作用 14.15%

NTA/NDR產品在後續開發中需增強哪些能力：

為瞭驗證和豐富以上調研結果，中國信息通信研究院安全研究所進行瞭測試工作，主要包括功能性測試、性能測試以及產品自身安全測試。涉及網絡流量識別能力、安全分析能力、安全事件處理能力、安全事件溯源能力、管理能力、日志審計自身安全、平臺性能等產品測試項。

測試方案

本次評測在中國信息通信研究院安全研究所（以下簡稱中國信通院）網絡安全實驗室利用測試儀表搭建的模擬測試環境中進行，並在真實的網絡流量數據與業務場景中，對參評企業產品的完備性、技術能力、實戰能力等開展評測考察，主要關註產品的實時流量處理能力和安全分析能力。

網絡流量分析技術（NTA）網絡流量分析產品模擬測試環境部署邏輯圖如下圖所示：

圖：測試環境部署邏輯

本次測試環境準備過程包括打流、分流和接收。

圖：測試設備現場環境

是德科技應用與安全測試方案

本次測評采用是德科技“BreakPoint測試方案”構建模擬環境。該方案是一個統一集成的解決方案：一個測試例，一個GUI，多用戶同時操作，並且在一個測試端口上完成瞭混合2層至7層，攻擊、惡意代碼、病毒和Fuzzing流量的能力，最後提供一個集成的測試報告。每個季度會進行OS升級；每兩個星期進行“ATI”發佈(包括新協議，新的攻擊手法和新的軟件特性)。

數據鏈路層測試(L2 Tests)，通過發送數據鏈路層（L2）流量並分析相關數據，用來測試系統的數據鏈路層（L2）層轉發功能和性能；

網絡層測試(L3 Tests)，通過發送網絡層（L3）流量並分析相關數據，用來測試系統的網絡層（L3）層轉發功能和性能等；

傳輸層測試(L4 Tests)，通過發送傳輸層（L4）流量並分析，用來測試設備傳輸層（L4）的相關數據，如TCP的新建連接數、並發連接數等，可以用來評估防火墻、負載均衡、入侵防禦/檢測等設備及相關系統的功能及性能等；

應用層測試(L7 Tests)，通過可視化編輯的方式，模擬超過300多種的真實應用協議，可以構建出非常復雜的真實網絡流量，部分協議列表：HTTP，FTP，RTSP，SIP，SMTP，POP3，Telnet，DNS，SNMPv1，IPP，NetBIOS，PPLive，QQLive，MSNP，NetFlix，Streaming，NFS，RPC BIND，RPC Mount，Rsh (Remote Shell)， SMB，SMBv2，Vmware，Vmotion WebMimic，Citrix，Vmware Vmotion， DCE/RPC，DCE/RPC Endpoint，Mapper， DCE/RPC Exchange Directory，DCE/RPC，MAPI，SAP，RDP，RFB，Rlogin，Finger，IDENT，IPMI (Intelligent Platform Mgmt. Interface)，LDAP，LPD (Line Printer Deamon)， NTP Rexec (Remote Exec)，Ruser，SNMPv2c， SNMPv2c，Sun RPC，Syslog，Time，BICC (Bearer Independent Call Control)，Gtalk，Gtalk- UDP Helper，H.225，H.225，RAS，H.245，H.248，MMS，MM1，RTCP，RTP，SCCP，Skype，Skype UDP Helper，STUN，STUNv2，TR-069 (CPE Management)，TFTP， NNTP，Rsync，Gopher，FIX，FIXT，HTTPS- Simulated，SSH，BGP，RIPv1，SMPP， Chargen，Daytime，Discard，Echo，OWAMP Control，TWAMP Control，TWAMP Test Modbus；

服務器測試 (Real server test module)，可以用來測試真實的服務器，支持的協議有DNS，HTTP，HTTPs，POP3，SMTP，IMAP，MS-SQL，MySQL，SMB等；

數據報文回放測試 (L2/L4 Traffic Replay module)，回放用戶L2到L4的網絡流量抓包，支持TCP/UDP多路流且有狀態的同時回放；

安全攻擊病毒測試(Security Module)，通過發送和分析超過8000多種有CVE-ID， BugTraqID，OSVD等的真實應用攻擊，借助180多種的逃逸手段，用來評估入侵防禦、入侵檢測、防火墻等安全系統的防護能力等；

3G/LTE測試，通過模擬3G/LTE用戶端（UEs和eNodeBs）和PDN端，來對SGSN和GGSN等3G關鍵核心網組件、MME和SGW，支持GTP、SCTP、S1AP等LTE關鍵核心網組件進行性能和安全測試；

協議模糊性測試 (Fuzzing)，通過Fuzzering技術發送和分析協議字段異常報文(checksum，protocol options等) ，用來評測相關設備和系統的安全性、健壯性等。

需要更多信息，您可訪問：