网络威胁追踪溯源系统（NDR）与APT的功能区别.docxVIP

网络威胁追踪溯源系统（NDR)对比APT的区别 网络威胁追踪溯源系统（NDR)产品是属于攻击检测类的下一代产品，APT检测能力是（NDR）的最基本能力。 APT产品具备攻击性检测能力，通过一根网线，只能做到检测，而NDR是两根网线，一根网线做检测、一根网线做处置，“检测+响应“，除具备攻击检测能力外，还可实现攻击事件处置； NDR是可以对于网络威胁进行封堵的，也就是说NDR产品不仅仅是检测设备，具备处置能力的、还具备威胁处置能力、IT运维能力。 网络威胁追踪溯源系统（NDR）产品跟简单的APT检测类设备的最大的区别： NDR处置是旁路处置，不需要把设备串在网络里，也不会形成网络故障节点。 NDR的加密流量检测功能、配合跟ATTCK技术框架深度融合的沙箱功能，还有资产管理、业务互联梳理、违规外联检测等运维功能，形成了NDR独有的（安全+运维）的产品能力。 NDR检测能力更深入，尤其对于伪装过、隐蔽过的攻击发现能力要比现有的APT检测更强（主要体现为误报和漏报），NDR产品具备拦截这些网络威胁的功能。 APT产品溯源能力为事后溯源，即攻击发生后通过事件日志溯源攻击过程；NDR产品实现攻击链实时追踪，可在攻击过程中及时掐断攻击链；同时具备APT事后溯源能力；