网络安全产品技术能力验证评估系列报告 中国网络流量监测与分析 产品研究报告 （2020 年） 中国信息通信研究院安全研究所 2020 年 09 月 版权声明 本报告版权属于中国信息通信研究院，并受法律保护。转载、 摘编或利用其它方式使用本报告文字或者观点的，应注明“来 源：中国信息通信研究院及 FreeBuf 咨询”。违反上述声明者， 本院将追究其相关法律责任。 前 言 1 随着 NTA/NDR 技术的发展，该技术已经逐渐应用于网络威胁和 0 F 异常行为的检测，经过实际网络环境的验证和不断的迭代，检测的 有效性和准确性都有了大幅度的提高，为网络威胁和异常行为处置 奠定了基础，为产品的推广和应用提供了广阔的前景。 为更好地满足行业用户在 5G 网络、云计算、物联网等新型业务 场景下的实际需要，为其在网络安全产品选型过程中提供技术能力 参考，中国信息通信研究院安全研究所（以下简称“信通院安全所” ） 联合 FreeBuf 咨询共同完成了此次 NTA/NDR 类产品调研和测试工作。 本次测试主要是针对当前行业内主流企业的产品进行技术能力 测试，测试内容和角度覆盖全面且广泛，测试内容包括产品功能、 性能以及自身安全测试，覆盖数十种技术能力指标测试项。本次测 试并非是符合性或合规性测试，也并非是作为某项采购入围的强制 要求，而是作为 NTA/NDR 类产品的“能力拔高测试”，以体现相关 产品在某一个功能领域的真实技术实力。测试方案内容不仅基于现 有相关标准，并且依据 Gartner 对 NTA/NDR 的能力定义以及综合国 内各安全企业的最佳实践。 到报名截止日期 2020 年 7 月 13 日为止，共有 28 个企业，28 个 NTA/NDR 类产品报名参与此次测试，实际到场测试企业和产品数 量与报名情况一致。其中，有一款产品由两个企业共同开发完成。 另外，有一个企业受测产品为两款。 1 NTA：Network Traffic Analysis，指网络流量分析。 NDR：Network Detection & Response 指网络检测与响应。 本报告由信通院安全所对国内主流 NTA/NDR 类产品进行基本面 测试评估，并输出整体测试、分析结果与整体报告。由 FreeBuf 咨 询通过现场走访、资料整合及问卷调查的形式，对国内外近百家企 业的使用情况进行对比分析, 总结国内 NTA/NDR 类产品的基本现状, 并尝试对其发展趋势进行评估和预测。 在这里要特别感谢以下企业参与测试并为测试工作提供相关支 持（排名不分先后）： 北京安博通科技股份有限公司、北京安态科技有限公司、北京 安天网络安全技术有限公司、北京浩瀚深度信息技术股份有限公司、 北京华安普特网络科技有限公司、北京兰云科技有限公司、北京神 州绿盟信息技术有限公司、北京派网软件有限公司、北京微智信业 科技有限公司、北京知道创宇信息技术股份有限公司、成都科来软 件有限公司、成都深思科技有限公司、东巽科技（北京）有限公司、 杭州安恒信息技术股份有限公司、恒安嘉新（北京）科技股份公司、 湖南友道信息技术有限公司、江苏省未来网络创新研究院、奇安信 科技集团股份有限公司、上海斗象信息科技有限公司、深信服科技 股份有限公司、神州灵云（北京）科技有限公司、是德科技（中国） 有限公司、腾讯科技（北京）有限公司、天津市国瑞数码安全系统 股份有限公司、亚信科技（成都）有限公司、中电福富信息科技有 限公司、中新网络信息安全股份有限公司、中移（杭州）信息技术 有限公司、珠海市一知安全科技有限公司。 目 录 版权声明 一、国内网络流量监测与分析技术现状.................................................................... 1 （一）国内网络流量发展现状............................................................................ 1 （二）新兴流量监测与分析技术........................................................................ 2 （三）应用场景.................................................................................................... 3 二、国内 NTA/NDR 类产品应用现状............................................................................ 5 （一）市场应用现状............................................................................................ 5 （二）行业应用现状............................................................................................ 6 （三）攻防对抗场景下的应用现状.................................................................... 7 （四）企业对 NTA/NDR 类产品的预期................................................................ 8 （五）企业期待 NTA/NDR 类产品的能力............................................................ 9 三、NTA/NDR 类产品测试情况综述........................................................................... 10 （一）测试基本情况.......................................................................................... 10 （二）测试环境介绍.......................................................................................... 12 （三）测试方法说明.......................................................................................... 13 （四）测试对象范围.......................................................................................... 14 （五）测试内容简介.......................................................................................... 15 四、NTA/NDR 类产品测试结果总体分析................................................................... 17 （一）不同技术方向“划分”企业能力阵营.................................................. 17 （二）自动化处置能力有待落地和完善.......................................................... 18 （三）基于 IP 和主机的溯源功能不分轩轾.................................................... 20 （四）产品自身管理能力总体较好.................................................................. 22 五、NTA/NDR 类产品流量识别能力分析................................................................... 23 （一）网络协议识别展示能力各有所长.......................................................... 23 （二）网络流量识别还原内容因需而定.......................................................... 25 1.绝大多数产品可全字段还原 HTTP 协议................................................ 25 2.网络文件是否识别多由文件风险决定.................................................. 27 3.网络正常文件内容还原仍需更加精准.................................................. 28 （三）NTA/NDR 产品中资产发现能力一般....................................................... 30 六、NTA/NDR 类产品安全分析能力分析................................................................... 31 （一）具备各类网络攻击发现和分析能力...................................................... 31 （二）基本具备多步骤攻击关联分析能力...................................................... 33 （三）网络恶意程序分析能力总体可用.......................................................... 35 七、NTA/NDR 类产品趋势展望................................................................................... 36 （一）大规模攻防演练进一步催化 NTA/NDR 市场需求.............