报告发布｜数世咨询：NDR能力指南

1　前言

在实网攻防演练与常态化安全运营等场景中，侦查与反侦察、渗透与反渗透、溯源与反溯源……攻防双方的博弈过程“道高一尺魔高一丈”。但由于天然的不对称性，防守方总是滞后于攻击方，因此防守方始终在寻找一个更为有利的技术战场。在这样的背景下，“流量不说谎”的特性，使得流量安全成为攻防双方共同关注的焦点领域。

这一焦点领域，随着业务的数字化依赖程度不断提高，不断发展出新的特点。例如，流量安全的对抗区域，从网络边界网关延伸到内网核心交换节点；流量安全的检测技术手段从基于特征的被动检测，发展为结合沙箱样本或威胁情报的主动发现；甚至针对加密流量也有了AI赋能的行为检测能力。由此，流量安全逐渐发展成为威胁检测与响应的核心技术手段。

在2020年数世咨询发布的报告《市场指南 - 威胁检测与响应TDR》中提到，威胁检测与响应“以全流量检测与分析技术为核心”，配合云主机(HDR)、PC终端(EDR)、应用(ADR)等更多维度的检测与响应能力，组成了以网络攻防对抗为主要场景的一体化解决方案。（详见https://www.dwcon.cn/post/64）

据数世咨询观察，经过近三年的发展，网络流量检测与响应(NDR)已经进一步成为安全运营团队的威胁检测与响应核心能力，因此，数世咨询以第三方中立调研咨询机构的身份，基于田野调查，撰写本报告，希望对NDR的市场份额、能力框架、未来趋势等内容做出客观、专业的阐述。

报告发布：数世咨询
主笔分析师：刘宸宇 数世咨询合伙人 | 高级分析师
勘误与合作联系：[email protected]

2　关键发现

3　市场概况

本次调研，共收到17家安全业的调研表，同时线下走访、线上调研十余家。据统计，国内NDR市场规模约为22.84亿元人民币，同比增长26.96%。参考各家对2023年的预期营收，以20%的增长率预计，2023年国内NDR市场规模将达到27亿元。

2022年度国内NDR市场规模统计及预测

注：考虑到上市企业的2023年度数据要到2024年4月底才公布，本次调研的数据仍以2022年的为准。

本报告将参与本次调研的企业，分别以横轴-市场执行力、竖轴-应用创新力两个维度，在数世咨询能力指南点阵图中加以呈现，如下图所示：

根据调研数据，作为一个相对成熟的产品，NDR以单一标准化产品交付的比例达到67%，以定制化产品交付运营的比例为24%，作为安全项目中的一个功能交付的比例只有9%。

国内NDR产品的交付模式占比

根据安全厂商在各行业的收入分布情况，本次调研也统计了NDR在各行业中的需求占比，整体而言较为平均，排名前五的行业为金融20%、运营商13%、地方政府10%、互联网8%以及监管机构7%。如下图所示：

结合各个行业的普遍性需求，我们梳理出NDR的主要应用场景：

4　概念描述

4.1　网络流量检测与响应NDR

本报告将网络流量检测与响应（Network Detection and Response - NDR）描述为：针对实时或重放网络流量，以特征匹配、威胁情报、沙箱等安全检测手段发现网络环境中的威胁并加以响应的解决方案。

从概念描述中可以看到，NDR围绕网络流量开展检测与响应，因此NDR要采用镜像流量旁路部署的方式，不影响业务。在此前提下，首先NDR采集实时流量（需要时进行全流量存储），并对流量以资产、业务、运维等视角进行协议解析、访问关系、文件还原等自动化初步数据加工；在此基础上，NDR以多项安全检测手段结合精准发现流量中的威胁并实施告警；之后，NDR要为进一步的人工溯源分析，提供流量重放、可视化分析、扩展插件等提供平台化能力支撑；就发现的威胁，NDR进行旁路阻断，并联动边界网关、关键路由、域控或终端等安全能力做出有针对性的响应；最后生成报告。

NDR概念描述 – 主要步骤

4.2　NDR与其他流量安全产品的区别

从表中可以直观看出，IDS/IPS的能力要弱于NTA与NDR；而NTA与NDR相比，最显著的短板是不具备防护阻断等响应能力。

当然，NTA也有其优势，在“网络分析”等非安全检测的需求场景中，NTA可以用来：

4.3　NDR的短板与不足

虽然相比传统流量安全产品，NDR已有多项改进提升，但目前业内的NDR产品仍存在着短板与不足：

5　NDR能力框架

NDR能力框架图

下面就流量处理、威胁检测、溯源分析、联动响应以及场景化、AI赋能等六个方面分别阐述。需要说明的是，这里只对相关能力点做简单阐述，不包含具体的能力指标。一线用户可以参考附录中的案例，或在实际NDR安全建设过程中，根据自身所在行业与业务场景，结合能力框架进行产品解决方案的测试与采购。

5.1　流量处理

流量处理包含对流量的采集、存储、识别、解析、提取、统计及富化等操作。该步骤为后续的威胁检测与响应提供基础数据，数据质量直接影响着后续各步骤的效果。

流量处理主要分为数据预处理、协议与处理两个步骤：

其中，元数据的质量很重要，即NDR要能够从业务优先级、网络访问关系、数字资产重要性、威胁风险场景、以及杀伤链攻击手法等多个维度，从原始流量中自动化解析、还原出威胁检测、溯源分析、联动响应可能用到的元数据。

在调研过程中，笔者也看到有厂商将AI/ML应用于提升元数据的质量。例如借助AI对流量进行“白业务+灰异常+黑威胁”的分类、提取、加工，有效提升了后续威胁检测的效率和效果。

除此以外，各安全企业的能力差异点还体现在单机高速大流量的处理、流量全包存储、海量数据的快速检索等方面。

值得一提的是“全流量存储”。在本报告中，笔者倾向于将其定义成一个市场化概念，而非必须的技术能力点。即仅存储威胁日志流量还是以真正的全包流量进行存储，具体要根据用户所在行业、场景需求、预算情况再确定。总体而言，面临APT威胁场景为主的行业用户，更倾向于真正的全包流量存储。

5.2　威胁检测

流量处理完毕后，NDR从中重点针对以下威胁进行检测：

针对常见已知威胁

针对入侵攻击行为

针对最新出现的威胁

针对可疑payload 

针对恶意加密流量检测

5.3　溯源分析

要说明的是，就本次调研来看，溯源分析环节目前仍然要依靠有经验的安全分析人员。因此，首先NDR对检测到的可疑事件并非全部都要告警（告警风暴等于没有告警），而是需要结合事件关联的上下文、关键资产、特权账号等多个维度，基于风险视角赋予优先级，即重点将“降噪”后的高优先级事件以告警形式通知运营人员，再进行后续的人工溯源分析。

回到NDR方案的溯源分析能力，不难看出，该部分要以辅助人工溯源、提升人工分析效率为主要标准。

笔者建议行业用户首先考量NDR是否具备业务视角，如业务逻辑关系、业务系统互访关系、业务流程、业务画像等业务关系梳理能力。深入的业务视角可以大大提升溯源分析的效率效果。

接下来，笔者将业内各安全厂商目前NDR解决方案在溯源分析方面的能力要点梳理如下：

5.4　联动响应

在本次调研中，部分NDR产品设备自身具备一定的旁路阻断能力，即通过发送RST报文，对源/目的IP进行旁路阻断，更多NDR解决方案则通过安全运营平台或安全大脑，具备与其他安全产品的联动阻断能力：

对于响应时效要求较高的行业用户，部分厂商的NDR产品还提供可扩展API，并支持用户自定义脚本或playbook。

无论采用何种响应方式，该部分能力应当与“威胁检测”部分一样，结合关键资产、特权账号、事件上下文等维度，支持配置不同的响应优先级与自动化响应程度。

5.5　场景化

能力框架的上述四个核心部分，笔者是分开描述的，但NDR解决方案在实际应用时则是一体化运转。以“威胁检测”部分为例，上文提到的各类威胁，往往不会单独出现，多数时候攻击者会将多种威胁手段相结合。因此，目前业内厂商都已根据攻击威胁场景总结出场景化的NDR解决方案，常见场景有：

场景化的威胁检测方案，可以有效提升检测的成功率与准确率；除此以外，场景化的溯源分析建议，可以一定程度降低分析人员的成本与门槛；场景化的playbook可以提升联动响应的自动化水平，提升响应时效。综上，场景化解决方案能够显著提升能力框架的效率效果。

具体来说， NDR在不同典型场景中的能力点包括但不限于：

APT威胁检测场景

HVV/重保事件溯源研判场景

钓鱼邮件溯源场景

“僵木蠕”、挖矿病毒等排查场景

（上述部分场景化能力由锐服信提供）

5.6　AI赋能

AI赋能安全目前已成为业内共识，具体到本次调研的NDR领域，AI对流量处理、威胁检测、溯源分析与联动响应等几个方面都有明显提升。

更多的AI赋能部分，数世咨询正在调研中的“安全大语言模型”报告即将发布，欢迎关注。

6　未来展望

未来NDR市场规模将持续增长

NDR作为威胁检测与响应的主要手段，是安全分析溯源，乃至安全运营体系中必不可少的技术手段，随着国内安全建设的不断推进，安全运营水平的整体提升，未来NDR的持续增长是必然的，但是增长的幅度更易受到甲方用户预算调整的直接影响，以及宏观经济环境、实网攻防演练甚至地缘冲突等外部条件的间接影响。

大语言模型等AI技术可能为NDR带来突破性创新

特别是随着加密流量越来越多，恶意加密流量的行为愈加隐蔽，目前基于“加密流量特征”的威胁检测效果仍然达不到一线用户的理想要求，AI技术的进一步发展和突破可能会改变这一现状。

降低误报率、漏报率

目前减少误报和漏报仍然是流量威胁检测的重要目标，这对所有NDR产品都是一项技术挑战。未来能够率先实现精准降噪，降低运营成本的厂商，将有更多机会得到一线用户的认可。

对云环境、5G网络等新场景的支持

随着企业越来越多地采用云原生架构和混合云环境，NDR产品将更注重在这些环境中的适应性和可扩展性，以确保对整个网络生态的全面覆盖。同样的，随着5G的发展普及，流量带宽越来越巨大，单位时间内需要处理的流量数据会不断增高，简单通过硬件堆砌提升性能的成本过高，更好的选择是在协议解析、大数据处理等能力上寻求技术突破。

自动化、体系化的响应闭环

NDR的溯源分析与联动响应，目前仍较多依赖于人工经验，有安全技术水平的原因也有部门间的沟通成本原因。想要实现有效的自动化能力，需要具备威胁狩猎能力的团队持续输出数据分析经验，并能够将经验转化为数据分析思路和产品能力，这一方面需要技术团队具备高级网络攻击的实战经验，另一方面还需要提高产品研发能力，能够在全流量数据预处理的基础上，尽可能的融合多种离线模型，才能让NDR产品具备自动化、体系化的响应闭环，发挥出更大价值。

附录：NDR行业用户案例

某运营商用户NDR案例
该案例由奇安信提供

场景介绍

某运营商省公司作为该运营商最大的省级分公司之一，下辖包括近20个市分公司，服务网点覆盖城市和乡村。作为内部支撑业务的“数据通信网”，该省运营商DCN网络组网方式随意性很强，网络区域之间边界不清晰，互通控制管理难度大，一旦遭遇网络攻击很容易扩散。因此，省公司为了确保看清所有分公司DCN网络出口的威胁，保障各类通信业务系统安全运转，亟需部署统一的流量威胁感知系统，来提升省、市公司网络安全协同联防的能力及通信网络安全风险整体管理水平。

客户需求

安全设备老旧，缺乏发现高级威胁的能力

该省运营商下辖分公司网络安全设备相对单一、老旧，已经无法满足复杂通信网络下的网络安全需求，更不能及时发现网络中的异常事件，尤其是未知威胁和高级威胁。

无法掌握全局安全态势，全省各市缺乏协同联防的能力

当网络资源比较分散的近20个市公司DCN网络受到攻击的时候，省公司很难做到无一遗漏的进行全面感知、可视监测、统一指挥。

威胁数据不能贯通，无法追溯到攻击源头

部署在省运营商公司和下辖市分公司的各类安全设备之间的数据相对割裂，形成信息孤岛，既不能有效协同发现深层次的安全问题，而且当任一家单位遭受攻击时，分析人员无法构建出完整的攻击链条，无法溯源攻击者源头，因此只能任其攻击者再次入侵其他分支单位。

解决方案

基于该省运营商的网络安全现状，以及下属市分公司整体情况，奇安信与该省运营商达成合作。奇安信天眼威胁监测与分析系统，以分布式集群部署的模式，对该省运营商公司DCN出口、互联网出口、云平台出口，以及省内20余个地市公司DCN出口总计约150G大流量实时监测，帮助该运营商实现省公司、各地市公司流量的全面采集与威胁检测，最终达到告警在省平台统一分析和展示的目标，提升了省、市公司网络安全协同联防的能力。同时，为了帮助运维人员更好地管理部署的几十台天眼设备，又在省公司部署了“天眼集中管理平台”。

客户价值

全面感知威胁

省公司通过统一的天眼分析平台，可视化查看和掌握全省及所有地市公司的安全态势，包括威胁事件态势、资产态势、脆弱性态势等各类展现攻击情况的态势。

深入溯源分析

通过将省、市公司天眼搜集的数据，与其他安全设备的数据进行碰撞和综合关联分析，自动将数以万亿的零散告警形成智能化的攻击事件链条，帮助安全人员研判出攻击者都做过什么手脚，留了哪些后门，造成了哪些破坏及隐患，以更好地对攻击者入侵途径和攻击源头进行追溯和分析分析。

快速处置威胁

该省运营商的分析人员通过天眼，在1秒内可以快速联动终端、防火墙等设备下发处置操作，及时阻断威胁，并定位感染主机的位置，大大提升了威胁响应和处置的效率。

高效安全运维

安全人员通过一台天眼集中管理平台，轻松统一管理和监测各分公司的所有天眼设备，并统一完成天眼设备版本升级、漏洞补丁升级、漏洞规则升级；还能实时发现设备故障，并通过邮件及时通知客户。

某省卫健委NDR解决方案
该案例由绿盟科技提供

案例背景

卫生健康是重要民生领域，群众在就医过程中产生大量的医疗数据，涉及到国家安全和个人隐私、涉及民生的数据安全敏感性强，社会影响大，是国内外黑客攻击破坏的重点领域。一定要站位大局，认清形势，洞察网络潜藏的危机，未雨绸缪、积极应对。

近几年针对卫生健康行业的网络安全事件直线上升，据统计，某省二级以上医疗机构以上全年产生数百起以上的网络安全事件，涵盖恶意劫持、勒索、服务宕机、数据泄露等方面，网络安全形势不容乐观，而且网络安全事件的发生影响着社会稳定、造成经济损失阻碍地方经济发展。

结合网络安全国家战略，贯彻网络强国的重要思想，某省卫健委将做好网络安全保障作为头等大事和政治任务，构建了网络资产纳管、感知监管、监测预警、运维管控、应急管理“五位一体”网络信息安全综合体系，对全省卫生健康行业施政履职和推进各项工作高效运转提供了重要保障。

解决方案

建立行业监测监管体系

在该项目中，采用了多维态势感知平台和全流量安全监测装置（NDR）构建了全行业的监测监管体系，做到从宏观到细节的分层分级呈现，全天候全方位进行实时检测，安全可视、风险可控、态势可感，助力全省卫健行业安全“防控”能力的全方位提升。

全天候全方位安全实时监测

全省各类医疗卫生健康服务机构按照统一标准将相关安全威胁数据对接上传至“一体化监管服务平台-感知监管系统”。

依靠大数据分析技术对安全数据进行关联分析，可以及时发现、识别网络攻击威胁，对接入机构进行全方位安全监测，为快速通报处置提供数据支撑。

统一规范，协同防范

按照标准先行的原则，专项整治工作专班组织业内外专家经过广泛研讨、征求意见、专家论证，形成xx态势感知数据采集规范，一方面实现接入机构上报数据的关联分析，及时发现和预警安全风险，进而协同责任单位进行响应处置和安全整改，建立常态化、全覆盖的网络安全监测体系。

推进专项整治，建立长效保护机制

全省行业范围内积极宣导，将专项整治工作的工作原则、要求、目标等上通下达，做到事前梳理、事中响应和事后回溯的闭环管理，打造“资产可管控，风险可感知，防护可持续”的综合防护体系，并构建了长效规范和安全管控机制，从技术和管理两方面完善了安全防范体系。

用户价值

主管部门

建立了行业防控体系，主体责任、监管责任工作留痕，有效履行监管职责，畅通优化行业工作机制，降低行业风险，优化发展生态。

各类医疗机构

统一提升威胁发现能力，消除潜在的安全风险，进一步提升安全防护水平，更快速的威胁处置，将风险消弭于无形。

案例点评

该项目采用全流量监测装置在医疗机构侧采集流量，协同多维态势感知平台构建“五位一体”信息安全综合体系。积极响应专项整治工作的同时，也进一步提高了医疗机构的威胁发现能力。搭载多重检测引擎，帮助用户发现潜在的威胁。按照规范无缝对接五位一体平台，上报所需数据。防患于未萌，消祸于未形。

《数世咨询能力指南NDR》获取方式如下：

1、关注“数世咨询”公众号

2、后台回复“能力指南NDR”获取下载链接或点击阅读全文下载

本文为原创内容，版权归#数世咨询#所有。欢迎文末分享、点赞、在看三连！转载请联系后台。

— 【 THE END 】—