我们的网络侦测与响应系统(Network Detection and Response,简称NDR)的核心价值在于:它不依赖静态规则,而是通过对网络流量的持续监控和行为建模,检测那些绕过边界防御、已在网络内部活动的威胁。正如Gartner所定义,NDR通过行为分析技术监控南北向(内外网边界)和东西向(内网横向)流量,识别异常活动并自动或半自动地触发响应。
物理流量采集:通过物理网络分流器(TAP)或交换机端口镜像(SPAN)获取原始数据包(PCAP),实现线速级的全量数据捕获。TAP方式能保证数据完整性且不丢包,适合核心节点部署;SPAN方式部署灵活但需关注镜像端口的负载能力。
虚拟化流量采集:在VMware NSX、OpenStack等虚拟化环境中,通过虚拟交换机镜像或轻量级Agent获取虚拟机之间的东西向流量,实现对虚拟化工作负载的无盲区覆盖。云原生流量采集:支持AWS VPC流量镜像、Azure vTAP、Google Cloud数据包镜像等云原生流量导出能力,以Agent或NFV形态部署,解决多云和混合云环境的流量可见性问题。
流量元数据处理:除全量PCAP外,NDR还应支持NetFlow、sFlow、IPFIX等流协议数据采集,以降低全量存储压力并在骨干网实现轻量级监控。原始流量必须经过深度解码才能转化为可供分析的结构化数据。我们的NDR系统内置强大的协议解析引擎,支持对HTTP/HTTPS、DNS、SMB、LDAP、RDP、SMTP、FTP等3000种以上常见协议的深度识别与字段提取。
元数据提取的维度包括:五元组信息(源/目的IP、端口、协议)、会话时长、字节数/包数统计、应用层字段(如HTTP User-Agent、DNS查询域名、TLS证书指纹JA3/JA3S)、文件传输行为(文件名、MD5)等。这些元数据是后续行为分析和威胁狩猎的数据基础。加密流量可见性- TLS指纹识别:通过JA3/JA3S指纹识别TLS握手特征,发现恶意软件家族使用的特定加密库- 流特征分析:基于包长分布、连接时长、上下行比例等统计特征推断流量行为- SNI域外泄露检测:监控TLS SNI字段与加密隧道目标的域名一致性- 高性能解密:在合规前提下,支持通过导入证书私钥或代理方式实现SSL解密,最高性能可达100Gbps线速处理
更多功能模块,如有问题和需求欢迎联系我们咨询。感谢支持我们
#资产安全配置管理系统(SCMDB)
#终端侦测与响应系统(EDR)
#网络侦测与响应系统(NDR)
#企业网络资产攻击面管理系统(CAASM)
#资产暴露面管理系统(AEMS)
#网络安全蜜罐管理系统(HoneyPot)
#安全事件收集与告警管理系统(SIEM)
#扩展侦测与响应系统(XDR)
#多引擎脆弱性扫描系统(VAS)
#多源日志审计监测系统(LAS)
#网络安全威胁情报中心(TIS)
#网络安全漏洞库管理系统(VDBS)
#网络安全编排与自动化响应(SOAR)
#威胁狩猎系统(THS)
#数据库安全审计系统(DSAS)
#智能体安全态势管理系统(AISPM)
#Web防火墙(WAF)
#网站安全监测平台(WSM)
#网络安全态势感知平台(SSAP)
#网络安全自动化应急响应工具系统(NSRT)
#企业网络安全运维工具系统(SecTools)
#网络安全自动化等保测评系统(ASES)
#浏览器安全监测防护系统(BSMPS)
#网络安全用户实体行为分析系统(UEBA)
#互联网电信诈骗预警防护系统(TPFWS)
#云原生安全管理平台(CNAPP)
#自动化渗透测试系统(PTS)
#工业企业信息安全监测中心(IoT SOC)
#企业智能安全运营中心(AISOC)
