斗象科技被列入Gartner《网络检测和响应(NDR)全球市场指南》

日前,全球IT研究与咨询机构Gartner®发布了2022年《Market Guide for Network Detection and Response》(《网络检测和响应(NDR)全球市场指南》)(以下简称《指南》),斗象科技被列入该指南。

斗象科技PRS-NTA全流量安全计算分析平台(简称PRS),以旁路方式实时采集、协议解析和存储网络全流量日志,基于大数据和人工智能等技术,构建新一代以数据计算分析为核心的威胁检测与响应平台,对潜在的异常行为与隐蔽风险进行检测、分析和回溯取证,助力企业提升安全运营效率,降低运营成本。

▲PRS功能架构图

《指南》中指出:“网络流量检测和响应(NDR)市场仍以22.5%的速度增长,并扩展到IaaS基础设施等新的应用场景。安全和风险管理者应优先考虑将NDR作为威胁检测工具的补充,重点关注其他控制措施未涵盖的漏报、误报和异常检测。”

在《指南》中,Gartner表示有竞争力的NDR解决方案必须包含以下能力:

1、支持实时或近实时的原始网络流量包或协议日志分析(例如网络会话IPFIX、协议日志/元数据);

2、监听和分析南北向流量(客户端与服务器之间的流量),与东西向流量(当它在整个网络中横向移动产生的流量);

3、能够识别正常网络流量,并高亮显示南北向和东西向流量中超出正常范围的可疑流量;

4、提供行为检测技术(非基于签名的检测),如检测网络异常的机器学习或者高级分析技术;

5、聚合结构化事件中的单个告警(事件的聚合分析),来提升威胁调查效率;

6、对检测到的可疑流量提供自动或手动的响应能力。

除了符合以上能力外

面对内外部威胁和大规模网络流量时

斗象科技PRS是怎么做的呢?

斗象科技一直注重NDR/NTA产品的研发与应用,我们结合企业常态化安全运营管理需求,通过对网络元数据存储、建模计算和分析,构建企业网络安全运营管理的核心,以“识别” => “检测” => “分析调查” => “响应” => “溯源取证”的过程实现完整闭环,核心能力如下:

全流量采集与协议日志解析

PRS基于多NUMA包处理分析框架,实时对网络双向通信报文全文会话级采集、解析和存储,性能达到40Gbps。

协议解析支持包括全量HTTP日志、DNS查询日志、MySQL操作日志、登录日志、邮件日志等50多种协议日志数据,日志具备结构化、轻量化、可机读等特性,更适合安全检测、调查分析和合规要求。

PB/EB级复合元数据存储与秒级检索技术

PRS基于大数据流处理引擎,支持百万级EPS实时过滤、富化、关联和分析,用户可根据网络区域、业务系统、存储空间和周期等因素,对网络会话、协议日志、文件和图片等内容进行按需解析和存储,帮助用户实现高性能、低开销、低成本的原始数据完整留存需求。

另外,PRS基于高速全文索引技术,满足PB级数据量级下的秒级检索,不仅可以实现无延迟的实时安全检测,还可以高效完成非实时性的跨周期深度调查和溯源取证工作。

针对PCAP原始数据包留存需求,PRS采用自研高性能存储架构,对PCAP数据进行块状压缩存储,通过会话标记、文件偏移量计算等方式实现PCAP数据微秒级的快速解压读取能力。另外采用高压缩比技术,实现原始流量压缩比小于60%,节省存储费用支出。

基于数据计算框架,内置丰富的安全模型

PRS成熟应用了大数据计算框架和流计算平台技术,内置数十种开箱即用的安全检测和分析模型。通过对海量正/负样本、专家特征选取以及算法,建立场景化安全模型,以长期真实数据的模型运营优化,实现针对高级网络攻击、0day漏洞利用、无特征攻击等高级威胁进行有效监测,构建可演进的动态威胁监控体系。

安全模型即服务

PRS首创“安全模型即服务”理念和功能,支持自定义扩展,丰富数据挖掘安全分析场景。可基于数据湖进行自定义建模分析,以SAI-模型运营平台为基座,实现数据集选取、特征工程、算法选择、模型运行管理等功能。

提升检测规则有效性,强化安全能力自运营

PRS基于大数据计算分析能力,使用已发布特征规则、自定义特征模型对历史协议日志数据进行离线回溯检测,挖掘历史流量中隐蔽的攻击行为。

PRS支持对各类检测特征和模型的统计分析,包括各特征的检出率、误报率等,验证规则有效性,满足企业能力提升安全运营,更适应企业的实际运行环境。

场景化阻断实现威胁精准处置

PRS支持TCP阻断和HTTP重定向两种模式,支持自定义多种阻断场景,可针对关键业务隔离、攻击抑制等场景配置策略,最大程度保障客户业务可用性,缩短风险处置时间,遏制攻击者对网络的进一步威胁。

体系化、常态化的网络安全防护体系成为应对新型网络威胁的根本要求,有效的流量分析技术已经是网络战中重要的攻防手段,流量侧的威胁检测与响应能力也将成为提升实战化能力的关键因素。斗象科技过去和未来都坚持深耕技术全面发展,围绕着支撑用户“可持续安全运营”技术理念,不断提高自身研发能力与技术水平,更好地满足网络安全领域的需求。我们认为,此次被列入Gartner网络检测和响应(NDR)全球市场指南是对斗象科技技术实力和产品能力持续进步、不断超越的又一肯定。

参考资料:Gartner, Market Guide for Network Detection and Response, December 2022.

免责声明:Gartner未在其报告中支持任何厂商、产品或服务,也并不建议技术用户只选择有最高评分或其它特征的厂商。Gartner研究出版物代表的是Gartner研究机构的意见,不应解释为对事实的陈述。Gartner对与本研究有关的所有明示或暗示的保证概不负责,包括对适销性或特定用途的适用性的任何保证。Gartner是Gartner 有限公司和/或其附属公司在美国及全球的注册商标和服务商标,经许可在此使用。保留所有权利。

(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )