名列前茅 | 中睿天下入选数世咨询《NDR能力指南》 - 新鲜讯息

近日，国内数字化产业知名第三方调研与咨询机构数世咨询发布《NDR能力指南》报告，并根据主要能力企业绘制了“NDR能力点阵图”,中睿天下凭借突出的应用创新力和良好的市场表现在点阵图中名列前茅。

在2020年数世咨询发布的报告《市场指南 - 威胁检测与响应TDR》中提到，威胁检测与响应“以全流量检测与分析技术为核心”，配合云主机(HDR)、PC终端(EDR)、应用(ADR)等更多维度的检测与响应能力，组成了以网络攻防对抗为主要场景的一体化解决方案。

据数世咨询观察，经过近三年的发展，网络流量检测与响应(NDR)已经进一步成为安全运营团队的威胁检测与响应核心能力，因此，数世咨询以第三方中立调研咨询机构的身份，基于田野调查，撰写本报告，希望对NDR的市场份额、能力框架、未来趋势等内容做出客观、专业的阐述。

中睿天下网络威胁检测综合防护方案

中睿天下围绕网络层面打造了网络攻击溯源、Web攻击溯源、邮件攻击溯源、全流量回溯、资产风险监测、账号安全监测、链接及文件沙箱、SSL解密网关、邮件网关在内的加密和非加密网络流量检测溯源系统，形成了中睿NDR产品矩阵。

在流量采集、流量处理、流量存储方面

系统可根据五元组、网络活动方向，所属国家，时间等多维度进行便捷检索，利用大数据构架，实现秒级检索亿级日志数据，助力用户在海量数据中精准且的获取所需数据；

同时，支持数据批量导出，便于用户二次分析利用。支持主流协议识别和解析，支持TCP、UDP等主流协议完整解析，可识别1000余种协议或应用，并支持500余种协议的解码识别分析，通用应用层协议（RFC完全认可的标准协议）解析率不低于95%。

在威胁检测引擎核心技术方面

目前可以检测的攻击类型有二十余大类，共计千余种入侵行为识别。

支持检测48类的威胁类型，包括但不限于业务安全定制化规则检测、端口探测、信息探测行为检测、身份认证攻击检测、蠕虫病毒检测、挖矿检测、黑客指令执行检测、溢出类攻击检测、会话攻击检测、可疑文件的异常传统检测、隐秘隧道检测、脚本工具攻击检测、木马攻击检测、拒绝服务攻击检测、应用漏洞攻击检测、内网渗透痕迹检测、数据库异常行为检测，SQL注入攻击、弱口令攻击、网络扫描、僵尸网络、勒索软件、流氓推广、后门程序等；

总的攻击行为识别能力不低于1000个，典型行为包括：WannaCry勒索软件、勒索蠕虫、勒索软件挖矿蠕虫、僵尸网络挖矿、Cobaltstrike远控木马、Struts RCE漏洞攻击、Tomcat远程代码执行等。

针对恶意加密流量的威胁检测能力

具备检测恶意加密流量包括命令与控制通信、数据窃取、恶意软件更新、加密隧道和代理、加密挖矿以及加密勒索等类型的能力，关键的检测技术包括：基于单维特征流量分析、基于多维特征流量分析、基于密码学的特征分析、基于密码学的特征分析、基于黑客画像的特征分析。

针对文件样本的检测能力

病毒检测：集成多个杀毒引擎来检测文件中是否包含已知的病毒、恶意软件或恶意代码。

恶意软件检测：识别文件中的恶意软件，包括间谍软件、广告软件、木马等。

文件包含恶意代码的检测：可以分析文件中的代码或脚本，以检测是否包含恶意代码或已知的安全漏洞。

文件行为分析：可以分析文件的行为，例如文件的执行过程、与其他文件的交互、对系统资源的访问等。它可以检测到文件的异常行为，如未经授权的系统访问、文件的自我复制等。

支持全面的文件类型：包括可执行文件以及压缩文件

智能化响应能力

在网络检测中大量的采用了机器学习/深度学习等智能化技术，大大提高了产品的响应能力。通过机器学习和深度学习结合，将恶意代码转化为灰度图像，建立强大检测模型，识别恶意代码及其变种。这方法不仅规避反追踪和逆向工程策略，还检测使用封装工具打包的恶意代码。

对于未知协议的恶意流量，采用相同原理映射为流量基因图谱，通过深度学习技术识别恶意代码，协助沙箱检测威胁。