网络流量监测分析系统，国内网络流量监测与分析技术现状如何调研

一、国内网络流量监测与分析技术现状?

（一）国内网络流量发展现状

伴随着 IT 与互联网应用的快速发展，如物联网设备规模性增 长、5G 商业落地等，网络流量迎来爆炸性增长。根据 CNNIC1 发布的 第 45 次《中国互联网络发展状况统计报告》，截至 2020 年 3 月， 我国网民规模达 9.04 亿，互联网普及率达 64.5%。其中，移动互联 网流量大幅增长，2019 年 1 至 12 月，移动互联网接入流量消费达 1220.0 亿 GB。互联网流量日益增长的背后不仅仅是个人用户的移动 互联网使用持续深化，同时反映出大量企业的业务向线上转移、来 源复杂和所承载的信息多样化。网络流量中承载的庞大业务信息（支 付信息、账号信息等）所反映出来的数据是最为直观、真实和有效 的。安全方面，网络边界模糊对流量监测带来了一定的挑战，同时 网络流量的发展特性对企业安全也提出了一定的挑战，如恶意流量 和加密流量的发展。

（二）新兴流量监测与分析技术

网络流量分析技术 NTA 于 2013 年首次被提出，并且在 2016 年 逐渐兴起。2017 年，NTA 被 Gartner 评选为 2017 年十一大信息安全 新兴技术之一，同时也被认为是五种检测高级威胁的手段之一，开 始进入到更多企业视线里。在 Gartner 的定义里，NTA 是以网络流量 为基础，应用人工智能、大数据处理等先进技术，基于流量行为进 行实时分析并展示异常事件的客观事实。

在 NTA 提出伊始，重点在于网络流量与分析的能力，但随着 NTA 的不断发展，企业开始突破其技术的局限性，增加检测和响应的功 能，尤其是针对高级威胁的行为分析与快速响应。因此，“NTA”这 个术语已经不能够完全涵盖这些新的特征，由此，网络检测与响应 技术 NDR 应运而生。2020 年，Gartner 用全新发布的《NDR 全球市场 指南》替代了原有的《NTA 全球市场指南》，也标志着 NDR 正式进入 大众视野。在使用 NTA 的基础上，NDR 通过与防火墙、EDR7、NAC或 SOAR8平台的智能集成，添加了历史元数据用于调查、威胁搜寻和自 动威胁响应。

IDS1 8 /IPS1 9 和防火墙等其他系统，通常仅监视网络外围，如果攻 击者的行为成功地突破了网络范围而没有被发现，则攻击者的行为将不会被注意到。

NTA/NDR 主要分析南北向和东西向的流量，通过使用工具组合 来检测攻击，包括机器学习、行为分析、危害指标和回顾性分析。 使用这些工具，可以防止在网络范围内以及在攻击者已经获得对网 络基础结构的访问权限的情况下进行攻击。同时，NTA/NDR 可以记录 原始流量数据，这些数据对于检测和隔离攻击以及验证威胁搜寻假 设可能是宝贵的资源。

（二）行业应用现状

调研发现，政府和监管部门、金融、互联网、医疗、物联网行 业的安全需求推动了 NTA/NDR 类产品国内市场发展，这五个细分行 业共占据了 81.3%的市场应用份额。

分析原因，不难发现，这是目前对新兴技术、高级威胁以及攻防对抗最重视及关注的五个行业。未来随着新基建等政策持续落地， 网络流量监测与分析产品还将进一步增加市场应用占比。

（三）应用场景

在市面上已经存在 IDS/IPS、WAF、防火墙等多种解决南北向 流量问题产品的情况下，NTA/NDR 等纯网络流量监测与分析产品依然 被企业关注并需要的原因在于其可以帮助企事业单位发现多个场景 下基于流量的威胁行为。一是日常异常流量监测应用场景。大多的 安全产品强调威胁可视化，网络流量正是黑客入侵及其它威胁行为 发生时会随之产生的重要特征。NTA/NDR 类产品主要应用于网络流量 的行为分析，强调对于异常流量行为的实时监测，更快发现威胁及 溯源，弥补其它安全工具的不足之处，例如高频攻击、恶意软件入 侵、内网横移、数据外泄、僵尸网络、恶意挖矿、网络蠕虫和高 级威胁所产生的恶意流量。二是攻防演练中的应用。攻防演练中， 不论攻击成功与否，攻击行为的载体只可能是网络流量。因此，网 络流量监测与分析技术也可以说是蓝军的一张王牌，通过对正常业 务与威胁行为模式进行建模，能够在第一时间发现入侵事件，甚至 还原整个攻击流程。

二、国内 NTA/NDR 类产品应用现状

（一）市场应用现状

近年来，随着攻击技术的发展，以高级持续性威胁（APT）为代 表的新型攻击手段渐渐兴起，网络威胁形势变得更为严峻。从调研 结果来看，针对网络流量监测与分析类产品的部署选择，有 32.6% 的企业已经部署 NTA/NDR 类产品，还有 14.8%的受访企业表示计划部 署此类产品。

此外，通过对企业部署 NTA/NDR 类产品的流量采集区域调研显 示，22.95%的企业选择部署在 DMZ 区，20.59%的企业选择部署在 Web 服务，20.39%的企业选择部署在生产区域。

（三）攻防对抗场景下的应用现状

近年来，为促进和推动国家重大活动网络安全和国家关键信息 基础设施安全防护工作，利用网络流量展开的攻防对抗逐渐成为趋 势，企业对于 NTA/NDR 类产品的应用需求也在不断聚焦于此。调研 发现，目前企业对 NTA/NDR 类产品特性的关注主要聚焦于以下两个 方面，其中提升威胁分析和溯源能力的关注比例为 35.0%，实时分析 原始网络数据包流量（NetFlow 记录等）的关注比例为 27.0%。

而这两项能力恰好是攻防对抗场景中极为重要的环节，NTA/NDR 类产品正是将机器学习、高级分析和基于规则的检测结合起来，根 据上下文收集的数据来确定后期的攻击行为，从而帮助企业最大化 扭转攻防不对等的不利局面。

针对产品部署在攻防演练场景的使用效果，调研数据显示： 48.39%的企业认为作用很大，37.46%的企业认为作用一般，14.15% 的企业认为没什么作用。

（四）企业对 NTA/NDR 类产品的预期

针对已部署 NTA/NDR 类产品的调研对象，23.7%的企业认为产品 符合预期效果，21.3%的企业对所部署的产品表示不满，仅有 7.1% 的企业认为产品防护效果超过预期。

根据调研，企业用户对现阶段 NTA/NDR 类产品不满意的问题主 要包括以下两个方面：23.48%的企业认为价格高昂，22.61%的企业 认为产品的事件误报率过高。

（五）企业期待 NTA/NDR 类产品的能力

针对 NTA/NDR 类产品的属性及应用场景，除了核心的威胁溯源 及全流量存储与监测能力外，还需提升网络可视化功能。在此基础 上，加密流量的分析、基于行为的数据分析能力也需着力增强。

超过 50%的企业认为目前的 NTA/NDR 类产品需要提升威胁溯源、 全流量监测及网络可视化这三项核心能力。

从调研情况来看，大多数企业非常关注 NTA/NDR 类产品的应用能力， 国内企业对此的技术投入比例也在不断增强。随着越来越多的企业 开始重视突发安全事件的应对能力和高级威胁的防护能力，国内 NTA/NDR 类产品的市场应用将进一步扩大。

三、NTA/NDR 类产品测试结果总体分析

（一）不同技术方向“划分”企业能力阵营

通过测试结果发现，在不考虑受测企业的供测产品数量和产品 功能组合不同情况的影响下，多数受测产品具有技术能力倾向性， 其中，部分产品能力倾向于网络流量识别，主要包括各类网络协议 的识别、各类文件的识别与还原等，部分产品则倾向于安全分析能 力，主要包括网络攻击行为分析、恶意程序分析、APT 关联分析以及 综合态势展示能力等。

如图 14 所示，各产品网络流量识别能力和安全分析能力对比， 其中蓝色部分是网络流量识别能力测试项结果总和，红色部分为安 全分析测试项结果总和，蓝色占比多意味着产品网络流量识别能力 较强，红色占比多表示安全分析能力强。从整体上看，网络流量识 别和安全分析能力相对平衡，即两种能力各占比例 50%左右的受测产 品不足 10 家。

（二）自动化处置能力有待落地和完善

通过测试结果发现，大多数产品具备基本的告警功能，但自动 化编排响应能力有待提高。根据测试用例要求，受测产品在告警能 力方面，可进行实时有效告警，告警方式包括界面、邮件、短信、 站内信等，并且告警信息在系统中有详细记录。在联动能力方面， 具备与其他设备 API/Syslog/SNMP 等接口的配置，并且可以与企业 其他产品和其他企业或开源组件实现数据联动，以满足风险通知等其他扩展功能。

KillChain/ATT&CK技术落地仍需完善。通过测试结果发现， 仅有不足 8 款产品实现了基于各类攻击链的告警分析，以 ATT&CK 为 例，包括初始访问、执行、持久化、授权、防御规避、凭证访问等 全过程告警功能。但是在风险告警与攻击链构成防御策略方面仍需 不断完善。随着各企业在国家 APT 网络攻击对抗领域的不断深入研 究与实践，应持续完善产品能力，以在网络安全防御与应急响应工 作中起到实际效果

SOAR 能力缺乏在 NTA/NDR 类产品中落地。通过测试结果发现， 在工单管理能力方面，仅有 10款产品实现了最基本的事件状态管理， 其中 6 款产品具备工单流转与处置全过程管理能力，不足 4 款产品 具备完善的基于不同角色的处置流程全过程管理，但是在自动化判 断方面仍需不断研究改进。另外 18 款产品不具备工单管理功能。

在安全编排自动化与响应能力方面，绝大多数受测产品未体现 出相关优势，需要在实践中不断完善和改进。

（三）基于 IP 和主机的溯源功能不分轩轾

通过测试结果发现，虽距实现精准溯源仍有一定距离，但多数产品基本满足此次测试项。受测产品基本支持风险事件关联协议日 志进行联合检索、风险事件 PCAP流量包下载、恶意文件下载。支 持网络协议全文高级检索，对不同类型协议支持动态字段查询和展 示。可以留存全量网络文件数据，并提供文件解析及文件下载功能。 可以留存全量网络数据包，提供查询及 PCAP 包下载功能。

如图 19 所示，具有较好测试结果的受测产品有 20 款，约占受 测产品数量的 70%左右，仅有 1 款产品需在此方面重点完善。多数受 测企业具备在自身流量采集范围内，基于 IP 的攻击路径还原能力。

追踪溯源是网络安全技术能力难点，要想准确溯源攻击组织和 手段、攻击路径等，需要采集更多的数据，提高分析发现能力，结 合威胁情报平台等其他系统，同时，需要安全技术人员通过数据分 析逐步实现。因此，网络攻击追踪溯源仍然是需要网络安全企业不 断深入研究和实践的关键技术领域。

（四）产品自身管理能力总体较好

通过测试结果发现，绝大部分受测产品在监测配置方面，具备 包括不限于协议流量类型、文件类型、网络区域配置、风险监测配 置等功能。在存储配置方面，配置内容具备包括存储时间、存储范 围、存储数据类型等功能。在报告导出方面，具备基于攻击事件、 网络协议、资产内容等多维度灵活导出功能。在数据报表统计分析 方面，统计维度包括风险趋势、资产动态、实时动态等信息的展示 功能。在角色权限管理方面，具备权限划分、功能划分与角色划分 等功能。在升级管理方面，具备在线升级功能和离线升级功能，且 支持对系统和策略的分别升级。

通过测试结果发现，绝大部分产品具有完善的自身管理能力。 如图 21 所示，其中 71%受测产品具有较为完善的自身管理能力，满 足测试功能要求，25%受测产品在自身管理功能方面有待提高，4%受 测产品不具备自身管理相关能力。

四、NTA/NDR 类产品流量识别能力分析

（一）网络协议识别展示能力各有所长

在本测试用例中，利用流量发生器构造了 100 余种协议和应用， 包括 SAP、SMTP、SNMPv2c、DNS、SMBv2、POP3、Twitter、SSH、Radius、 SOCKs5、Zoom meeting chat、TikTok、Baidu、IQiyi、HTTP、HTTPS、 FTP、TFTP 、MSSQL、MySQL、Whois、DCE RPC、IPP、NNTP、X11、 Mongodb、WebDav、RPC、MQTT、Amazon、Db2、NetBios、WhatsApp、 aim6、tacacs+、QQLive、classic stun、Gadu Gadu、Microsoft lync sipe、QQ 等，运行 5 分钟，通过受测产品查看是否完全识别并解析各类协议内容。

通过测试结果发现，各产品对协议和应用的识别数量差异较大， 如图 24 所示，识别出约 0-20 余种协议的产品有 8 个，识别出 20-40 余种协议的产品有 6 个，识别出 40-60 余种协议的产品有 4 个，识 别出 60-80 余种协议的产品有 3 个，识别出 80 以上种协议的产品有7 个。总体拉看，产品的流量识别能力分别趋向于“协议识别类别多” 和“精准识别还原部分协议内容”，猜测这是由于不同企业针对 NTA/NDR 类产品的能力侧重点不同，有的优势在全流量数据还原识 别，有的优势在于网络、Web 应用安全分析，仅识别了 HTTP、SMTP、 POP3、FTP 等协议。个别参与此次测试的产品方向侧重于各类互联网 应用和互联网游戏的流量识别和数据分析。

（二）网络流量识别还原内容因需而定

1.绝大多数产品可全字段还原 HTTP 协议

在本测试用例中，利用流量发生器构造了 HTTP 应用，每个 TCP 连接中包含一个 GET 和一个 POST 请求。通过受测产品查看 HTTP 协 议内容，筛选 HTTP 流量协议，查看协议中解析的字段信息，HTTP 协议应包含但不限于 HTTP 请求头（User-Agent、Referer、Host、 Content-Type、X-Forwarded-For 及其他自定义字段）、HTTP URL、 HTTP GET/POST 参数、HTTP 返回码、返回头、返回内容、HTTP 源/ 目的地址、HTTP 源/目的端口等信息。

通过测试结果发现，80%以上受测产品对 HTTP 协议全字段还原 完整。如图 27 所示，仅有 18%受测产品对 HTTP 协议解析不完整，仅包含五元组等少量字段信息。

HTTP 协议解析是用来分析各类 Web 应用攻击的必要原始数据， 如果受测产品功能侧重于攻击分析，则该协议的解析分析能力就为 必要条件。对于侧重于 WEB 安全分析、WEB 业务分析的企业均对 HTTP 协议分析字段内容还原全面且完整，对于部分侧重于全网流量态势 分析的企业，在 HTTP 协议解析细节方面并未做到完善。

2.网络文件是否识别多由文件风险决定

在本测试用例中，利用流量发生器构造 HTTP 应用，每个 GET 动 作请求一个文件，一共 50 余种文件类型，包括 mp3、pdf、jpg/jpeg、 zip、exe、htm/html/xhtml、css、flv、avi、js、wav、docx、rtf、 vxd、bmp、gif、png、xslx、vbe、vbs、ini、txt、dat、pem 等文 件格式。通过受测产品查看可以支持识别文件类型的种类、系统信 息、是否展示网络文件信息等

通过测试结果发现，60%以上受测产品还原文件类型不超过 30 种。由于现网的业务环境复杂，传输中的文件类型较多且存在自身 占用空间较大，产品要对各类文件进行判断识别需要占用大量系统 资源，而对于以网络攻击能力为主的产品通过识别文件类型并不能 对分析网络攻击有更多的帮助，因此，未将有限的系统资源应用在 此功能上，如果受测产品主要功能为信息内容或数据安全方面，则 在此功能测试中应当会有较好表现。

3.网络正常文件内容还原仍需更加精准

在本测试用例中，利用流量发生器构造了 HTTP 应用，每个 GET动作请求一个 PDF文件，文件内容随机生成，包含关键词“CAICTNTA”。 同时解析内容包括文件名、文件大小、文件格式、来源 IP、目的 IP、 MD5 值、HASH 等信息。

通过测试结果发现，仅有部分受测产品完整还原出文件，并识 别出文件中的关键词。47%的受测产品能够满足该测试用例，其中 部分产品需要提前配置好关键词策略，由流量发生器重新发起测试 流量进行功能复测，可实现该功能。39%受测产品能识别出基本文 件信息，包括文件名、文件大小、文件格式、来源和目的 IP、MD5 值、HASH 值等。14%的受测企业识别不到文件。

通过和企业技术人员沟通得知，多数受测产品仅对有攻击特征 的流量进行文件还原，以进一步利用沙箱分析，而作为普通的正常 文件则不进行还原。

（三）NTA/NDR 产品中资产发现能力一般

在本测试用例中，利用流量发生器构造了四种应用协议，分别 为 HTTP、SMB、FTP 和 SMTP 协议，并在流量中包含了服务器操作系 统、软件组件、软件框架、数据库等资产信息，受测产品需要实现 如下功能，一是查看受测产品是否能够准确对资产指纹识别。二是 具有资产识别的独立功能且能从流量中获取资产信息的能力，三是 能通过导入模板，对进行资产数据编写。四是通过 API 接口或导入 功能进行资产数据上传。五是具备网络资产自动化补全等相关功能。

通过测试结果发现，多数 NTA/NDR 类产品在资产识别方面能力 表现平平。61%受测产品识别出部分服务器、操作系统、软件组件、 软件框架、数据库等资产信息。28%受测产品仅识别出了流量中资产 五元组基本信息。11%受测产品不支持资产发现功能。多数 NTA/NDR类产品并未将资产探测与管理作为主要能力。据了解，部分企业具 有独立的网络空间资产测绘和管理产品，用于资产识别探测和管理。

五、NTA/NDR 类产品安全分析能力分析

（一）具备各类网络攻击发现和分析能力

在本测试用例中，利用流量发生器构造了 8000 余种类型网络攻 击，其中包括 Web 应用攻击、数据库攻击、内网渗透、通用应用漏 洞攻击、后门识别、异常协议等，验证受测系统的网络攻击识别和 分析能力。

通过测试结果发现，多数企业可对网络攻击特征基本识别，需 加强机器学习、数据图谱等高级关联分析和溯源展示能力。在网络 攻击识别方面，多数受测产品能识别出 Web 应用攻击、弱口令、暴 力破解、扫描与爬虫、数据库攻击、敏感信息泄露、恶意通信流量、 内网渗透、通用应用漏洞攻击、恶意软件、后门识别、异常协议等 攻击行为。

在攻击分析手段方面，少部分企业具备安全分析模型配置、机 器学习引擎配置等。在攻击路径展示方面，少部分企业支持多形式 数据图谱关联分析。在威胁溯源方面，多数产品可基本实现基于 IP 的行为路径追踪。

（二）基本具备多步骤攻击关联分析能力

在本测试用例中，利用流量发生器构造具有完整攻击链的 APT 攻击，其中包括利用 Maze Ransomware、AZORult、Neutrino等勒 索病毒等恶意程序进行攻击，攻击方 IP 为 1.0.0.0 网段，查看受测 产品是否具备针对网络勒索行为的自定义攻击场景、风险关联分析 功能、是否具备自定义关联事件模板，按照既定事件以“与”关系 进行组合，构建的攻击流量是否能触发自定义事件模板且能按预期 输出安全场景告警。

通过测试结果发现，多数受测产品虽具备基本关联分析能力， 但能够准确分析测试用例中的网络勒索行为过程的较少。如图 38 所 示，18%受测企业发现测试流量中的攻击并绘制出勒索行为的多步骤 攻击过程，43%受测企业虽然具备多步骤攻击的关联分析功能，但未 识别测试流量中的网络勒索行为，39%受测企业不具备相关功能。对 于无法自动识别出的网络勒索行为攻击链条的受测产品，多数可以 通过各攻击特征的自定义查询功能和人工关联分析实现对网络勒索 行为记录的关联查询。

（三）网络恶意程序分析能力总体可用

在本测试用例中，利用流量发生器生成并发送了近七年 （2014-2020 年）恶意程序攻击 6000 余种，其中包括多种文件类型、 多种操作行为，以及多态病毒等各类变种攻击。受测产品查看系统 是否能识别恶意文件能力，通过检出报告并和原厂人员进行访谈， 确认恶意文件的检测方式，验证恶意文件的分析方式，不限于静态 规则、动态沙箱、机器学习、威胁情报等。

通过测试结果发现，如图 40 所示，纵轴的分值为产品识别出的 恶意程序占全部测试流量中恶意程序比例，其中有 15 个受测产品不 具备或仅检测出少量恶意程序，其余产品检测出的恶意程序较多。 测试效果表现较好的企业主要采用了流量识别分析和沙箱一体机， 或者单独配备了专门的沙箱产品参与本次测试。

六、NTA/NDR 类产品趋势展望 ?

2016 年以来，国内外陆续有一些企业进入到网络流量分析产品 市场，但从国内企业使用以 NTA/NDR 为主的网络流量监测与分析产 品的实际调研情况来看，市场仍然不够成熟。作为一个相对新兴的 技术，需要在市场上完成产品的落地和被广泛采用，NTA/NDR 仍需要 一定的时间积累，但从技术和产品能力上看，其发展依然值得期待 和持续关注。

（一）大规模攻防演练进一步催化 NTA/NDR 市场需求

随着攻防演练的规模化、常态化发展，未来将有越来越多的高 级攻击以及基于零日漏洞的攻击，对企业防御能力提出更高的要求。 NTA/NDR 基于流量的天然威胁检测优势，使其具备优秀的威胁感知和 响应能力，能够在攻防演练乃至攻防实战中发挥足够作用，符合企业的关键需求。因此，预计 NTA/NDR 的市场需求将快速增加。

（二）NTA/NDR 或着力产品差异化，打造核心卖点

简单地监测来自 SPAN端口的流量不能成为网络流量监测与分 析产品的核心竞争力和卖点，在这一功能上，已经有多种成熟的产 品都可以实现，而 NTA/NDR 等主打网络流量监测与分析的产品需要 进一步强调差异化和产品突出优势。溯源能力的提升、分析数据的 广度（获取网络分析以外的更多数据，实现更大范围的威胁检测）、 整多重逻辑的报警判断、事件响应能力将成为其突破重点。

（三）网络加密流量解析与分析成为新挑战

加密流量发展对于流量监测与分析提出了更大的挑战。目前市 面上的 NTA/NDR 类产品大多不支持直接的加密流量解析，但加密流 量趋势背景下，市场对此的需求是切实存在的。因此，企业或有三 个方向。一是面对业务侧加密流量，选择 NTA+外部流量解密产品/ 技术的辅助来应对。二是面对恶意加密流量，进行有监督的 AI 行为 学习，并结合人工介入分析。一方面，加密的出站流量标记为可疑 流量，可以通过 NTA 报警，人工介入分析。另一方面加密流量的三 次握手行为对 NTA 而言是可见的，通过与感知分析集成并结合威胁 情况，可在一定程度评估、分析是否为恶意加密流量。

（四）联动攻击链的流量场景化分析需进一步落地

从攻防对抗中提炼典型，通过追踪关联多点攻击事件，建立与 之对应的分析模型并最终输出具有场景化的对抗能力，是 NTA/NDR 在未来一段时间内仍需进一步落地实现的。

（五）流量分析转移到云上以实现可伸缩性成趋势

在收集和分析海量的流量数据过程中，中小型企业面临流量处 理或储存能力受限的问题，而将分析转移到云上给出了更好的解决 方案。基于云的流量分析有利于企业的数据处理和存储，并且在分 析引擎添加和更换上有更好的灵活性。

七、NTA/NDR 类产品发展建议

（一）深耕自身技术优势，实现技术能力互补

在新冠肺炎疫情的影响与推动下，2020 年全球网络安全相关硬 件、软件、服务市场的总投资将达到 1252.1 亿美元，较 2019 年同 比增长 6.0%，与上期预测保持了较高的一致性。未来，我国将培 育形成一批年营收超过 20 亿的网络安全企业，形成若干具有国际竞 争力的网络安全骨干企业，网络安全产业规模超过 2000 亿。高市 场份额的产业意味着会吸引更多的企业进入 NTA/NDR 类产品领域， 建议各企业发挥自身产品优势，“深挖”自身技术能力，打造具有 核心竞争力产品，避免产品同质化。推进产品核心技术能力创新，加强 NTA/NDR 技术领域产品优势互补，共同做大做强 NTA/NDR 类产 品市场份额，引领行业市场良性发展。

（二）围绕新型网络场景，满足业务安全需求

随着 5G、工业物联网、物联网、云计算、大数据和人工智能等 技术推动着信息化的发展，不同行业的核心业务也已经高度依赖信 息化，但是信息化环境的复杂性也带来了不可预知的安全风险，网 络安全的内涵和外延也在不断扩大。网络安全的目标逐渐由防止数 据被破坏、被泄漏和网络瘫痪，进一步升级为保护网络空间安全， 确保关键基础设施的安全，提升网络安全防护与对抗能力，保障数 字化业务发展，从而确保生产安全、社会安全、和国家安全。因此， NTA/NDR 类网络安全产品也将经历从外到内的进化。“从流量采集与 识别到开始运用大数据做到看见、看清威胁，再到开始逐渐从外部 向内部进化，触及网络安全的本质。必须将 NTA/NDR 类网络安全产 品能力建设于内部的业务系统之上，使信息化系统天生具备“免疫 力”，进一步从根源解决网络安全问题，从而形成与信息化紧密融 合的“内生安全”能力。

（三）夯实产品自身安全，保障可信可控可靠

通过对本次 NTA/NDR 类产品的渗透测试，发现多数受测产品均 或多或少存在 WEB 安全漏洞。如图 41 所示，受测产品仅有 3 款产品 暂未发现安全漏洞，接近 90%受测产品具有高危和中危漏洞的 WEB 应用漏洞，其中包括 XSS 跨站脚本漏洞、CSRF 跨站请求伪造、重要 信息泄露、越权访问等问题。

在自身产品安全管理方面，建议加强针对自身产品的全生命周 期安全管理，重点应当加强出货设备安全管理，对于出货的设备， 无论是正式供货产品还是试用或测试产品，均应进行安全加固，将 自身安全作为出货标准的一道“红线”。在自身产品安全漏洞方面， 建议重点关注第三方开源组件或接口的安全性，使用第三方组件或 接口前，产品应当通过全面渗透测试和安全加固。

……