NTA（Network Traffic Analysis）在2017年被Gartner選為十一大資訊安全技術之一，同時NTA也被認為是五種檢測高級威脅的手段之一。

 本文主要介紹《2019 Gartner NTA市場指南》中具有代表性的NTA廠商及其所使用主要科技和筆者個人對於NTA的理解！

目錄：

1.什麼是NTA？

2.筆者理解的NTA

3.通用NTA工具架構

4.具有代表性的NTA產品一覽

1.什麼是NTA？

2.筆者理解的NTA

1.Raw trafficand/or NetFlow，以構建反映正常網絡行為的模型。

2.融合了傳統的基於簽名/特徵、規則、行為（流量基線、機器學習、其他高級分析科技）、沙箱、威脅情報。

3.NTA通過DFI和DPI科技來分析網路流量，通常部署在關鍵的網絡區域對東西向和南北向的流量進行分析，而不會試圖對全網進行監測。

4.網絡攻擊殺鏈分析，洛克希德·馬丁& ATT&CK

5.取證、主動響應

6.其他

3.通用NTA工具架構

4.具有代表性的NTA產品一覽

總計：32 = 17 + 2（IoT）+ 3（NTA as a Feature）+ 5 + 5（國內）

主要從以下七個維度分析：

-底層科技

-簽名/特徵

-機器學習

-加密流量威脅檢測（SSL/TLS）

-威脅情報

-沙箱

-聯動

-其他

1.Awake Security

-機器學習

有監督和無監督

-加密流量威脅檢測（SSL/TLS）

支持：機器學習方式

2.Bricata

-底層

Suricata and Zeek（Bro）

-沙箱：

Cylance’s INFINITY

-機器學習

監督

-加密流量威脅檢測（SSL/TLS）

JA3

-聯動

IPS等

3.Cisco Stealthwatch

-簽名/特徵

Snort

-機器學習

有監督和無監督

- 加密流量威脅檢測（SSL/TLS）

Encrypted Traffic Analytics（ETA） 

-其他

統計方法

4.Corelight

-簽名

通過Signatures Framework

-底層

Zeek（Bro）

-機器學習

有監督和無監督（通過Python機器學習庫）

- 加密流量威脅檢測（SSL/TLS）

JA3

-其他

啟發式分析和統計分析

5.Corvil

-簽名/特徵

Snort

-威脅情報

ET Pro（IP和功能變數名稱）

-機器學習

有監督和無監督

- 加密流量威脅檢測（SSL/TLS）

支持解密& JA3

-其他

80 Gbps line rate

6.Darktrace

-機器學習

有監督和無監督（超過50個模型）

7.ExtraHop Reveal（x）

-機器學習

無監督

-威脅情報

支持

- 加密流量威脅檢測（SSL/TLS）

SSL/TLS and perfect forward secrecy（PFS）traffic decryption at line rate（非inline和用戶端安裝root證書，應用場景有限）

-其他

100 Gbps line rate

8.Fidelis Cybersecurity

-機器學習

有監督和無監督

-威脅情報

支持

9.FireEye’s SmartVision

-簽名/特徵

支持

-機器學習

支持

-沙箱

支持

-聯動

支持

-其他

啟發式

10.GREYCORTEX MENDEL

-簽名/特徵

ETPro

-機器學習

有監督和無監督

- 加密流量威脅檢測（SSL/TLS）

支持解密SSL/TLS

11.Hillstone Networks（山石網科）

-機器學習

無監督

-聯動

IPS

-沙箱

支持

12.HPE-Aruba

-機器學習

有監督和無監督

-其他

啟發式分析和統計分析

13.IronNet Cybersecurity

-簽名/特徵

支持

-機器學習

支持

- 加密流量威脅檢測（SSL/TLS）

However，they can analyze the SSL/TLS traffic and identify malicious activity during a session.

14.Lastline

-機器學習

有監督和無監督，深度學習

-沙箱

支持

- 加密流量威脅檢測（SSL/TLS）

Lastline can inspect SSL/TLS traffic when deployed in-line as an explicit proxy.

-其他

 NetFlow

15.Plixer

-簽名/特徵

支持

-威脅情報

支持

-其他

啟發式分析和統計分析

16.HighBar SS8

-機器學習

無監督

17.Vectra

-機器學習

有監督和無監督，深度學習（RNN和LSTM）

-威脅情報

支持

其他廠商：

國外：

IoT and OT Specialization

• Armis

Armis

• Cyberbit

Cyberbit

NTA as a Feature

• IBM QRadar（Network Insights）

IBM QRadar（Network Insights）

• LogRhythm（NetMon）

LogRhythm（NetMon）

• Palo Alto Networks（Cortex XDR）

Palo Alto Networks（Cortex XDR）

Others

• AizoOn

AizoOn

• Gigamon（ICEBRG acquisition）

Gigamon（ICEBRG acquisition）

• ProtectWise

ProtectWise

• SecBI

SecBI

• Vehere

Vehere

國內：

-瀚思安信

- 360天眼

- 思睿嘉得

-騰訊禦界

- 金睛雲華

-等等