防御与运营
NDR(网络检测与响应)
别称: 网络流量分析, NTA
定义
通过对网络流量(含解密报文、元数据与流记录)进行行为分析与机器学习,检测威胁并联动响应的网络安全技术。
网络检测与响应(NDR)在关键网络位置(骨干、边界、云 VPC、东西向区段)部署传感器,检查数据包、流记录(NetFlow、IPFIX、Zeek 日志)以及解密流量。NDR 基于主机、用户和协议构建行为基线,结合机器学习、签名与威胁情报匹配,发现命令与控制、横向移动、数据外泄以及异常协议使用等端点工具难以察觉的活动。NDR 与 EDR/XDR、SIEM、SOAR 紧密集成,可通过 TAP 阻断、ACL 调整、主机隔离实现自动化响应。常见厂商包括 Vectra AI、Darktrace、ExtraHop 和 Corelight。
示例
- Vectra AI 检测到内部主机通过 HTTPS 向低信誉域名发起心跳通信。
- 基于 Zeek 的 NDR 在两个桌面子网之间发现 RDP 横向移动并发出告警。
相关术语
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
XDR(扩展检测与响应)
整合端点、网络、身份、邮件与云端遥测的安全平台,提供跨层关联的检测和一体化的响应能力。
SIEM
聚合、归一并关联企业全网安全遥测数据,以支持检测、调查、合规与报告的平台。
入侵检测系统(IDS)
一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。
深度包检测(DPI)
一种不仅检查报头还分析数据包整个负载的检测技术,用于识别应用、内容和威胁。
Threat Hunting
Threat Hunting — definition coming soon.