报告发布｜数世咨询能力指南

报告发布｜数世咨询能力指南 - NDR

市场攻防

2月前

1　前言

在实网攻防演练与常态化安全运营等场景中，侦查与反侦察、渗透与反渗透、溯源与反溯源……攻防双方的博弈过程“道高一尺魔高一丈”。但由于天然的不对称性，防守方总是滞后于攻击方，因此防守方始终在寻找一个更为有利的技术战场。在这样的背景下，“流量不说谎”的特性，使得流量安全成为攻防双方共同关注的焦点领域。

这一焦点领域，随着业务的数字化依赖程度不断提高，不断发展出新的特点。例如，流量安全的对抗区域，从网络边界网关延伸到内网核心交换节点；流量安全的检测技术手段从基于特征的被动检测，发展为结合沙箱样本或威胁情报的主动发现；甚至针对加密流量也有了AI赋能的行为检测能力。由此，流量安全逐渐发展成为威胁检测与响应的核心技术手段。

在2020年数世咨询发布的报告《市场指南 - 威胁检测与响应TDR》中提到，威胁检测与响应“以全流量检测与分析技术为核心”，配合云主机(HDR)、PC终端(EDR)、应用(ADR)等更多维度的检测与响应能力，组成了以网络攻防对抗为主要场景的一体化解决方案。（详见https://www.dwcon.cn/post/64）

据数世咨询观察，经过近三年的发展，网络流量检测与响应(NDR)已经进一步成为安全运营团队的威胁检测与响应核心能力，因此，数世咨询以第三方中立调研咨询机构的身份，基于田野调查，撰写本报告，希望对NDR的市场份额、能力框架、未来趋势等内容做出客观、专业的阐述。

报告发布：数世咨询
主笔分析师：刘宸宇 数世咨询合伙人 | 高级分析师
勘误与合作联系：liuchenyu@dwcon.cn

2　关键发现

● 2022年国内NDR市场规模约为24.64亿元人民币，预计2023年将达到29亿元；

● NDR在各行业中的需求占比整体而言较为平均，排名前五的行业为金融、运营商、地方政府、互联网以及监管机构；

● NDR核心能力分为流量处理、威胁检测、溯源分析与联动响应四个部分；

● NDR产品的误报率仍然较高，如何有效降噪，实现精准告警是各厂商都在发力的重点；

● NDR 应基于风险视角，对安全事件以关联上下文、关键资产、特权账号等多个维度进行降噪；

● 除基础的五元组外，NDR要能够从业务优先级、网络访问关系、数字资产重要性、威胁风险场景、以及杀伤链攻击手法等多个维度提取元数据，提升元数据的质量；

● NDR的溯源分析能力，以辅助人工溯源、提升人工分析效率为主要标准；

● 场景化的威胁检测方案，可以有效提升检测的成功率与准确率；场景化的溯源分析建议，可以一定程度降低分析人员的成本与门槛；

● 场景化的playbook可以提升联动响应的自动化水平，提升响应时效；

● 场景化解决方案能够显著提升NDR能力框架的效率效果；

● 未来，大语言模型等AI技术可能为NDR带来突破性创新，NDR市场规模将持续增长。

3　市场概况

本次调研，共收到18家安全业的调研表，同时线下走访、线上调研十余家。据统计，国内NDR市场规模约为24.64亿元人民币，同比增长27.07%。参考各家对2023年的预期营收，以20%的增长率预计，2023年国内NDR市场规模将达到29亿元。

2022年度国内NDR市场规模统计及预测

注：考虑到上市企业的2023年度数据要到2024年4月底才公布，本次调研的数据仍以2022年的为准。

本报告将参与本次调研的企业，分别以横轴-市场执行力、竖轴-应用创新力两个维度，在数世咨询能力指南点阵图中加以呈现，如下图所示：

根据调研数据，作为一个相对成熟的产品，NDR以单一标准化产品交付的比例达到67%，以定制化产品交付运营的比例为24%，作为安全项目中的一个功能交付的比例只有9%。

国内NDR产品的交付模式占比

根据安全厂商在各行业的收入分布情况，本次调研也统计了NDR在各行业中的需求占比，整体而言较为平均，排名前五的行业为金融20%、运营商13%、地方政府10%、互联网8%以及监管机构7%。如下图所示：

结合各个行业的普遍性需求，我们梳理出NDR的主要应用场景：

● 在等保2.0或部分行业更高标准的合规要求下，NDR作为IDS/IPS等产品的补充替代，提供基于合规、高于合规的能力；

● 实网攻防演练场景中，攻击队多以声东击西战术，从分支机构寻找突破点，该场景下通过异构部署NDR，可提供多点交叉验证能力；

● APT检测等场景下，基于全流量回放的溯源分析取证。相比NTA，该场景下NDR能够提供更加全面、实时的情报能力，从而以更长的时间维度进行持续分析；针对具体的APT组织，还可以进行针对性的溯源分析；

● 对于运营商、监管机构及部分特殊行业用户，部署在大网流量出口，可以加强总体的异常流量发现能力。

4　概念描述

4.1　网络流量检测与响应NDR

本报告将网络流量检测与响应（Network Detection and Response - NDR）描述为：针对实时或重放网络流量，以特征匹配、威胁情报、沙箱等安全检测手段发现网络环境中的威胁并加以响应的解决方案。

从概念描述中可以看到，NDR围绕网络流量开展检测与响应，因此NDR要采用镜像流量旁路部署的方式，不影响业务。在此前提下，首先NDR采集实时流量（需要时进行全流量存储），并对流量以资产、业务、运维等视角进行协议解析、访问关系、文件还原等自动化初步数据加工；在此基础上，NDR以多项安全检测手段结合精准发现流量中的威胁并实施告警；之后，NDR要为进一步的人工溯源分析，提供流量重放、可视化分析、扩展插件等提供平台化能力支撑；就发现的威胁，NDR进行旁路阻断，并联动边界网关、关键路由、域控或终端等安全能力做出有针对性的响应；最后生成报告。

NDR概念描述 – 主要步骤

4.2　NDR与其他流量安全产品的区别

从表中可以直观看出，IDS/IPS的能力要弱于NTA与NDR；而NTA与NDR相比，最显著的短板是不具备防护阻断等响应能力。

当然，NTA也有其优势，在“网络分析”等非安全检测的需求场景中，NTA可以用来：

● 做流量成分分析，如各协议的占比、流量Top 10 IP、会话数Top IP通讯对、流量Top IP通讯对等；

● 还支持一些非网络安全的异常检测，如设置网络性能基线、检测带宽使用量、发现网络异常、以及丢包重传等，这些NTA都可以发现。

4.3　NDR的短板与不足

虽然相比传统流量安全产品，NDR已有多项改进提升，但目前业内的NDR产品仍存在着短板与不足：

● 威胁检测与响应的覆盖范围有限。NDR主要部署在边界或核心路由区域，分子公司网络或数量众多的端点侧暂无法覆盖，还需要EDR与之配合，因此很难依靠单独部署NDR产品，满足整体安全防护要求；

● 溯源分析环节，目前仍较为依赖经验丰富的安全工程师，当一线用户缺少厂商的安全团队支持时，NDR的溯源分析效果会大打折扣；

● Response响应部分除了自身的旁路阻断能力外，联动响应需要安全运营中心或安全大脑总体调度协调，因此要充分发挥出NDR的效果，需要用户具备较为成熟的体系化安全建设与运营水平。

● 误报率仍然较高。据本次调研，小部分厂商目前依托威胁情报，在金融等安全水平与标准化程度都较高的行业中，已经将某些场景的检测误报率降至0.01%以下。接下来如何在APT更多高级威胁场景中实现有效降噪，实现精准告警是各厂商都在发力的重点；

● 恶意加密流量的检测效果仍有待提升。除了细分领域中2-3家专注于恶意加密流量检测的厂商外，大部分NDR产品的恶意加密流量检出率仍然较低。

5　NDR能力框架

NDR能力框架图

下面就流量处理、威胁检测、溯源分析、联动响应以及场景化、AI赋能等六个方面分别阐述。需要说明的是，这里只对相关能力点做简单阐述，不包含具体的能力指标。一线用户可以参考附录中的案例，或在实际NDR安全建设过程中，根据自身所在行业与业务场景，结合能力框架进行产品解决方案的测试与采购。

5.1　流量处理

流量处理包含对流量的采集、存储、识别、解析、提取、统计及富化等操作。该步骤为后续的威胁检测与响应提供基础数据，数据质量直接影响着后续各步骤的效果。

流量处理主要分为数据预处理、协议与处理两个步骤：

● 数据预处理主要解决的是数据的整合、清洗、去重、索引等工作，包括多源数据整合、数据清洗、数据归并、数据关联补全及数据标签化等；

● 协议预处理主要解决的是数据整合、清洗、索引后的协议解析还原工作，基于流量重组、协议识别、协议还原、IP 分析、域名分析、文件分析、元数据提取、数据包存储、资产识别、检测结果查询及资源监控引擎等，实现多源流量数据的预处理。

其中，元数据的质量很重要，即NDR要能够从业务优先级、网络访问关系、数字资产重要性、威胁风险场景、以及杀伤链攻击手法等多个维度，从原始流量中自动化解析、还原出威胁检测、溯源分析、联动响应可能用到的元数据。

在调研过程中，笔者也看到有厂商将AI/ML应用于提升元数据的质量。例如借助AI对流量进行“白业务+灰异常+黑威胁”的分类、提取、加工，有效提升了后续威胁检测的效率和效果。

除此以外，各安全企业的能力差异点还体现在单机高速大流量的处理、流量全包存储、海量数据的快速检索等方面。

值得一提的是“全流量存储”。在本报告中，笔者倾向于将其定义成一个市场化概念，而非必须的技术能力点。即仅存储威胁日志流量还是以真正的全包流量进行存储，具体要根据用户所在行业、场景需求、预算情况再确定。总体而言，面临APT威胁场景为主的行业用户，更倾向于真正的全包流量存储。

5.2　威胁检测

流量处理完毕后，NDR从中重点针对以下威胁进行检测：

针对常见已知威胁

基于规则、特征、情报库、病毒库等，集合多个检测引擎实现。

针对入侵攻击行为

基于恶意行为模型，对暴力破解、反弹 Shell、本地提权、恶意命令执行、SOL 注入、XSS 注入、跨站请求伪造、Webshell 上传、文件包含漏洞、远程代码执行漏洞等行为进行实时监测并告警。

针对最新出现的威胁

引入威胁情报。建议行业用户重点关注情报的质量、更新时效与情报的消费效率。这里的“消费效率”是指NDR设备要注意可加载的情报数量，情报消费不能影响NDR设备（特别是相对老旧NDR设备）的性能与稳定度。

针对可疑payload

结合动态沙箱进行检测。对于沙箱，除了支持的操作系统、文件种类、威胁检测引擎等基本指标外，笔者建议行业用户还可以关注沙箱的逃逸对抗、内存马不落盘等高级威胁检测能力，以及针对国产化终端环境的支持适配。

针对恶意加密流量检测

加密流量检测重点对恶意软件、攻击行为、APT家族的恶意加密流量的握手、证书、时空、背景流量、payload分布、时间分布等特征进行检测。加密流量检测能力可以很好的弥补加密威胁检测的空白，与传统全流量产品是互相补充的关系。

5.3　溯源分析

要说明的是，就本次调研来看，溯源分析环节目前仍然要依靠有经验的安全分析人员。因此，首先NDR对检测到的可疑事件并非全部都要告警（告警风暴等于没有告警），而是需要结合事件关联的上下文、关键资产、特权账号等多个维度，基于风险视角赋予优先级，即重点将“降噪”后的高优先级事件以告警形式通知运营人员，再进行后续的人工溯源分析。

回到NDR方案的溯源分析能力，不难看出，该部分要以辅助人工溯源、提升人工分析效率为主要标准。

笔者建议行业用户首先考量NDR是否具备业务视角，如业务逻辑关系、业务系统互访关系、业务流程、业务画像等业务关系梳理能力。深入的业务视角可以大大提升溯源分析的效率效果。

接下来，笔者将业内各安全厂商目前NDR解决方案在溯源分析方面的能力要点梳理如下：

● 全包检索能力，特别是是否支持字段级检索，以及大流量场景下的快速检索能力；

● 流量重放能力，特别是针对APT威胁，具备长时间跨度的完整数据包重放；

● 协议识别能力，即支持的协议数量要广，呈现在分析人员面前的数据要全面，不能有遗漏；

● 场景化分析能力，能够对口令爆破、内网扫描、勒索软件、挖矿病毒、钓鱼邮件、漏洞利用等常见威胁，进行有针对性场景化的溯源分析，让非高级安全分析人员能够快速溯源，定位至失陷主机或终端；

● APT威胁识别能力，对高级威胁及其变种的分析要深，例如能够识别全球各区域APT家族的加密流量、隐秘隧道特征；

● 各类情报库的支持，除了刚刚提到的APT家族，还有DNS数据、IP库数据、国际社工库等等；

● 溯源分析平台易用性，如自动化、可视化、智能化关联会话、关联互访关系、关联报文等，这些易用性功能点，在基于元数据快速回查定位相关原始流量等常用场景下，可以大大提升溯源分析的效率。

5.4　联动响应

在本次调研中，部分NDR产品设备自身具备一定的旁路阻断能力，即通过发送RST报文，对源/目的IP进行旁路阻断，更多NDR解决方案则通过安全运营平台或安全大脑，具备与其他安全产品的联动阻断能力：

● 与边界防火墙等其他网关设备联动阻断
● 与DNS服务器联动，对恶意DNS实施阻断
● 与Radius协议相关设备联动，进行溯源或阻断
● 与终端EDR联动，对文件、终端进行隔离阻断
● 与蜜罐等安全产品配合，对APT攻击、HVV等场景下的威胁进行诱捕或阻断

对于响应时效要求较高的行业用户，部分厂商的NDR产品还提供可扩展API，并支持用户自定义脚本或playbook。

无论采用何种响应方式，该部分能力应当与“威胁检测”部分一样，结合关键资产、特权账号、事件上下文等维度，支持配置不同的响应优先级与自动化响应程度。

5.5　场景化

能力框架的上述四个核心部分，笔者是分开描述的，但NDR解决方案在实际应用时则是一体化运转。以“威胁检测”部分为例，上文提到的各类威胁，往往不会单独出现，多数时候攻击者会将多种威胁手段相结合。因此，目前业内厂商都已根据攻击威胁场景总结出场景化的NDR解决方案，常见场景有：

● APT攻击
● HVV/重保
● 钓鱼邮件
● “挖矿”
● 勒索病毒
● 僵木蠕
● 其他场景

场景化的威胁检测方案，可以有效提升检测的成功率与准确率；除此以外，场景化的溯源分析建议，可以一定程度降低分析人员的成本与门槛；场景化的playbook可以提升联动响应的自动化水平，提升响应时效。综上，场景化解决方案能够显著提升能力框架的效率效果。

具体来说， NDR在不同典型场景中的能力点包括但不限于：

APT威胁检测场景

● 支持双向数据包检测，特别是出向流量的回连检测；

● 针对告警事件，会存储对应的数据包，可供研判人员分析；

● 不同维度进行网络流量分析及攻击行为检测，通过内置行为检测模型，或自定义模型，检测传统特征规则无法检测的安全事件；

● 提供多维度的溯源分析报告，如安全评级、攻击者数量、检测攻击数、成功攻击事件及APT组织的攻击趋势、攻击类型分布、攻击资产统计、恶意IP分布等统计。

HVV/重保事件溯源研判场景

● 提供全流量会话PCAP文件形式的存储，还原攻击事件和异常行为，供用户随时调取；

● 以时间为主线，分析黑客行为。要能清晰完整呈现攻击IP的攻击次数、攻击手法、攻击工具，为溯源提供数据支撑；

● 接到监管单位、上级单位的预警通知，以及安全告警事件后，溯源分析关键时间点的数据包上下文，还原当时的攻击场景，为分析研判提供支撑；

● 威胁情报关联分析，即对流量数据与内部威胁情报进行联动分析。通过匹配黑IP、黑域名的外部威胁情报库，记录告警资产与黑客的会话连接数据，同时，记录黑客在资产区的全部活动轨迹。

钓鱼邮件溯源场景

● 支持SMTP、IMAP、POP3协议还原，及加密通讯协议SMTPS、IMAPS、POP3S的协议还原；

● 支持提取流量中的“发件人”、“主题”、“源IP”、“附件名”、“附件类型”、邮件文本中含带的URL等，供分析是否为钓鱼邮件；

● 能够还原附件文件，对附件进行沙箱检测，分析附件是否有异常；

● 能够发现账号邮箱的弱口令、异常登录、爆破、多账号登录等异常情况；

● 联动威胁情报，回查历史数据中，是否出现过标注为恶意（钓鱼邮件）的URL、文件MD5等。

“僵木蠕”、挖矿病毒等排查场景

● 通过情报碰撞识别，排查“僵木蠕”病毒、挖矿病毒是否已感染，如果已感染，确定其扩散范围；

● 特征流量匹配结合资产数据，确定具体感染的区域及主机；

● 清除病毒后，通过流量进行复查，确保清除效果。

（上述部分场景化能力由锐服信提供）

5.6　AI赋能

AI赋能安全目前已成为业内共识，具体到本次调研的NDR领域，AI对流量处理、威胁检测、溯源分析与联动响应等几个方面都有明显提升。

● 在流量处理部分，AI可以在基线学习（业务白流量）、流量数据统计、日志流处理、存储性能优化等方面提供赋能；

● 在威胁检测部分，对已知威胁，AI能够帮助提升如特征提取、降噪优化、趋势对比与预测等方面的效率效果，对未知威胁，AI能够在基线白流量的基础上，帮助提升未知威胁的检出率；

● 在溯源分析与联动响应部分，问答式的大语言模型能够帮助运营人员降低分析门槛，提高分析效率，提升响应时效。

更多的AI赋能部分，数世咨询正在调研中的“安全大语言模型”报告即将发布，欢迎关注。

6　未来展望

未来NDR市场规模将持续增长

NDR作为威胁检测与响应的主要手段，是安全分析溯源，乃至安全运营体系中必不可少的技术手段，随着国内安全建设的不断推进，安全运营水平的整体提升，未来NDR的持续增长是必然的，但是增长的幅度更易受到甲方用户预算调整的直接影响，以及宏观经济环境、实网攻防演练甚至地缘冲突等外部条件的间接影响。

大语言模型等AI技术可能为NDR带来突破性创新

特别是随着加密流量越来越多，恶意加密流量的行为愈加隐蔽，目前基于“加密流量特征”的威胁检测效果仍然达不到一线用户的理想要求，AI技术的进一步发展和突破可能会改变这一现状。

降低误报率、漏报率

目前减少误报和漏报仍然是流量威胁检测的重要目标，这对所有NDR产品都是一项技术挑战。未来能够率先实现精准降噪，降低运营成本的厂商，将有更多机会得到一线用户的认可。

对云环境、5G网络等新场景的支持

随着企业越来越多地采用云原生架构和混合云环境，NDR产品将更注重在这些环境中的适应性和可扩展性，以确保对整个网络生态的全面覆盖。同样的，随着5G的发展普及，流量带宽越来越巨大，单位时间内需要处理的流量数据会不断增高，简单通过硬件堆砌提升性能的成本过高，更好的选择是在协议解析、大数据处理等能力上寻求技术突破。

自动化、体系化的响应闭环

NDR的溯源分析与联动响应，目前仍较多依赖于人工经验，有安全技术水平的原因也有部门间的沟通成本原因。想要实现有效的自动化能力，需要具备威胁狩猎能力的团队持续输出数据分析经验，并能够将经验转化为数据分析思路和产品能力，这一方面需要技术团队具备高级网络攻击的实战经验，另一方面还需要提高产品研发能力，能够在全流量数据预处理的基础上，尽可能的融合多种离线模型，才能让NDR产品具备自动化、体系化的响应闭环，发挥出更大价值。

附录：NDR行业用户案例

某运营商用户NDR案例该案例由奇安信提供

场景介绍

某运营商省公司作为该运营商最大的省级分公司之一，下辖包括近20个市分公司，服务网点覆盖城市和乡村。作为内部支撑业务的“数据通信网”，该省运营商DCN网络组网方式随意性很强，网络区域之间边界不清晰，互通控制管理难度大，一旦遭遇网络攻击很容易扩散。因此，省公司为了确保看清所有分公司DCN网络出口的威胁，保障各类通信业务系统安全运转，亟需部署统一的流量威胁感知系统，来提升省、市公司网络安全协同联防的能力及通信网络安全风险整体管理水平。

客户需求

安全设备老旧，缺乏发现高级威胁的能力

该省运营商下辖分公司网络安全设备相对单一、老旧，已经无法满足复杂通信网络下的网络安全需求，更不能及时发现网络中的异常事件，尤其是未知威胁和高级威胁。

无法掌握全局安全态势，全省各市缺乏协同联防的能力

当网络资源比较分散的近20个市公司DCN网络受到攻击的时候，省公司很难做到无一遗漏的进行全面感知、可视监测、统一指挥。

威胁数据不能贯通，无法追溯到攻击源头

部署在省运营商公司和下辖市分公司的各类安全设备之间的数据相对割裂，形成信息孤岛，既不能有效协同发现深层次的安全问题，而且当任一家单位遭受攻击时，分析人员无法构建出完整的攻击链条，无法溯源攻击者源头，因此只能任其攻击者再次入侵其他分支单位。

解决方案

基于该省运营商的网络安全现状，以及下属市分公司整体情况，奇安信与该省运营商达成合作。奇安信天眼威胁监测与分析系统，以分布式集群部署的模式，对该省运营商公司DCN出口、互联网出口、云平台出口，以及省内20余个地市公司DCN出口总计约150G大流量实时监测，帮助该运营商实现省公司、各地市公司流量的全面采集与威胁检测，最终达到告警在省平台统一分析和展示的目标，提升了省、市公司网络安全协同联防的能力。同时，为了帮助运维人员更好地管理部署的几十台天眼设备，又在省公司部署了“天眼集中管理平台”。