中国网络流量监测与分析产品研究报告(2020年).pdfVIP

中国网络流量监测与分析产品研究报告

（2020年）

中国网络流量监测与分析产品研究报告（2020年）

一、国内网络流量监测与分析技术现状

（一）国内网络流量发展现状

伴随着IT与互联网应用的快速发展，如物联网设备规模性

增长、5G商业落地等，网络流量迎来爆炸性增长。根据CNNIC1发

布的第45次《中国互联网络发展状况统计报告》，截

至2020年3月，我国网民规模达9.04亿，互联网普及率达64.5%。

其中，移动互联网流量大幅增长，2019年1至12月，移动互联

网接入流量消费达1220.0亿GB。互联网流量日益增长的背后不

仅仅是个人用户的移动互联网使用持续深化，同时反映出大量

企业的业务向线上转移、来源复杂和所承载的信息多样化。网

络流量中承载的庞大业务信息（支付信息、账号信息等）所反

映出来的数据是最为直观、真实和有效的。安全方面，网络边

界模糊对流量监测带来了一定的挑战，同时网络流量的发展特

性对企业安全也提出了一定的挑战，如恶意流量和加密流量的

发展。

（二）新兴流量监测与分析技术

网络流量分析技术NTA于2013年首次被提出，并且

在2016年逐渐兴起。2017年，NTA被Gartner评选为2017年十

一大信息安全新兴技术之一，同时也被认为是五种检测高级威

胁的手段之一，开始进入到更多企业视线里。在Gartner的定义

里，NTA是以网络流量为基础，应用人工智能、大数据处理等先

进技术，基于流量行为进行实时分析并展示异常事件的客观事

实。

在NTA提出伊始，重点在于网络流量与分析的能力，但随

着NTA的不断发展，企业开始突破其技术的局限性，增加检测和

响应的功能，尤其是针对高级威胁的行为分析与快速响应。因

此，“NTA”这个术语已经不能够完全涵盖这些新的特征，由此，

网络检测与响应技术NDR应运而生。2020年，Gartner用全新

发布的《NDR全球市场指南》替代了原有的《NTA全球市场指南》，

也标志着NDR正式进入大众视野。在使用NTA的基础上，NDR

通过与防火墙、EDR7、NAC或SOAR8平台的智能集成，添加了

历史元数据用于调查、威胁搜寻和自动威胁响应。

IDS18/IPS19和防火墙等其他系统，通常仅监视网络外围，

如果攻击者的行为成功地突破了网络范围而没有被发现，则攻

击者的行为将不会被注意到。

NTA/NDR主要分析南北向和东西向的流量，通过使用工具组

合来检测攻击，包括机器学习、行为分析、危害指标和回顾性

分析。使用这些工具，可以防止在网络范围内以及在攻击者已

经获得对网络基础结构的访问权限的情况下进行攻击。同时，

NTA/NDR可以记录原始流量数据，这些数据对于检测和隔离攻

击以及验证威胁搜寻假设可能是宝贵的资源。

（二）行业应用现状

调研发现，政府和监管部门、金融、互联网、医疗、物联网

行业的安全需求推动了NTA/NDR类产品国内市场发展，这五个

细分行业共占据了81.3%的市场应用份额。

分析原因，不难发现，这是目前对新兴技术、高级威胁以及

攻防对抗最重视及关注的五个行业。未来随着新基建等政策持续

落地，网络流量监测与分析产品还将进一步增加市场应用占比。

（三）应用场景

在市面上已经存在IDS/IPS、WAF、防火墙等多种解决南北

向流量问题产品的情况下，NTA/NDR等纯网络流量监测与分析

产品依然被企业关注并需要的原因在于其可以帮助企事业单位

发现多个场景下基于流量的威胁行为。一是日常异常流量监测

应用场景。大多的安全产品强调威胁可视化，网络流量正是黑

客入侵及其它威胁行为发生时会随之产生的重要特征。NTA/NDR

类产品主要应用于网络流量的行为分析，强调对于异常流量行

为的实时监测，更快发现威胁及溯源，弥补其它安全工具的不

足之处，例如高频攻击、恶意软件入侵、内网横移、数据外泄、

僵尸网络、恶意挖矿、网络蠕虫和高级威胁所产生的恶意流量。

二是攻防演练中的应用。攻防演练中，不论攻击成功与否，攻

击行为的载体只可能是网络流量。因此，网络流量监测与分析

技术也可以说是蓝军的一张王牌，通过对正常业务与威胁行为

模式进行建模，能够在第一时间发现入侵