NTA网络流量安全分析系统是智网安云推出的边界安全解决方案，以流量作为分析源头，并从流量中识别协议，还原文件，融入沙箱分析系统发起恶意分析鉴定；其次依托大数据与深度学习，综合流量特征、以及资产访问关系等，对异常或加密流量进行识别鉴定，及时感知未知风险；并且结合高性能的特征引擎，对网络攻击进行精准鉴定；最后结合威胁情报库对威胁进行智能关联与攻击溯源。

平台架构  >>>

平台特色  >>>

流量解析能力

通过把NTA系统软硬件部署到企业核心交换，完成边界流量的监控和解析，最终实现文件还原、协议分析。包括IP、URL、端口、协议、MAC等基本信息。

对文件类型进行精准识别，可以甄别图片、压缩包、可执行文件、网页文件、脚本文件等多种文件类型并进行针对性处理，对于压缩包会尝试解压并提取其中的子文件进一步分析，甚至对于一些加密的压缩包也具备一定破解解密的能力。

沙箱分析模块

沙箱检测模块是兼具静态规则与动态分析的独立的高仿真沙箱系统。流量解析模块提取到可疑文件，提交到沙箱分析模块分析。沙箱分析模块自动化解析附件文件类型，对于可执行文件类型（EXE、OFFICE各类型、网页文件、脚本等），进入沙箱会触发到的各种敏感行为，如密码窃取、网络访问、系统破坏等都会被捕捉到，这些都会作为后续判定基本数据。

智能风险感知模块

行为日志分析

行为日志分析模块对行为沙箱产出的样本动态行为、静态信息等日志，进行智能聚类和规则判定。行为日志分析模块通过各种模式匹配算法，启发式行为鉴定规则，对样本进行全面鉴别，具备很强的恶意样本识别能力，在保证检测覆盖面的同时， 降低误报率、漏报率。

异常流量分析

异常流量分析模块将网络数据流作为数据输入源，利用机器学习与大数据的技术，鉴定数据流背后的行为企图，及时发现潜在的网络攻击行为。该模块将资产关系自动识别纳入到学习范畴，并结合管理员指定的资产信息，利用资产属性及相互关系，智能识别非法访问流量，对不符合资产属性及访问关系的网络流量，进行敏感协议检查，有效提升风险警示能力。采用多种聚类分析，结合时间特性、资产特性和行为特性，有效甄别蠕虫类网络攻击的攻击源和被攻击方，并通过协议图谱及报文图谱识别非规则类的潜在问题。

技术优势  >>>

全面的协议支持

NTA系统可以针对网络主流的协议进行识别，包括但不限于：

a) 常用电子邮件协议（SMTP/ POP3/IMAP）；

b) 常用应用协议（HTTP/FTP/WEBMAIL/SMB）；

c) 常用远程控制工具协议（MSRDP/VNC/TEAMVIEWER/TELNET）；

d) 常用基础网络协议（DNS/ARP）；

e) 常见VPN协议（PPTP/L2TP/IPSec/SSL）；

f) 其它常用应用程序通讯协议。

全面的文件类型支持

NTA系统可识别的文件类型包括但不限于:

可执行程序：exe,dll, sys, msi。

压缩包：7z, rar, zip, gz, tar, iso, jar, appletjar, ace, r17, z, arj。

脚本：wsf, js, vbs, bat, cmd, ps1, swf, lnk, com, scr, jse, hta。

文档类：pdf, html, chm, rtf, doc, slx, ppt, docx, docm, dotm, xlsx, xlsm, xlsb, xltm, pptx，potx, ppsx, pptm, potm, ppsm, wps, wpt, et, ett, dps, dpt。

密码保护和加密的文件

流量中嵌入的URL

未知的操作系统、浏览器和应用程序的漏洞

嵌入流量中的恶意代码

APT威胁行为检测

NTA系统通过静态文件特征提取和沙箱动态行为分析和软件环境仿真培养技术，智能化分析行为日志和智能感知技术融合，有效预测未知程序的恶意行为。

恶意漏洞扫描行为检测

NTA系统可以检测到web漏洞扫描、钓鱼攻击、地址欺骗，系统漏洞攻击、应用服务器漏洞攻击、系统应用软件漏洞攻击等。针对文件格式漏洞攻击包括microsoft office漏洞、wps office漏洞、adobe reader等。可检测的恶意web漏洞扫描行为包括但不限于SQL注入、XSS跨站攻击、CGI漏洞攻击等。完善的漏洞检测手段/规则可以有效预防大部分主流的攻击行为和恶意执行行为。

异常网络行为检测

NTA系统根据历史规律和对特定协议的分类检测，有效识别非常规的网络访问通信。比如对于办公机，在夜间异常的网络流量将会被检测到，对于服务器，网络流量上升比较明显，超过了服务器历史水平，达到某阈值后将会告警，同时在其流量非常规回落也将被检测，用于告警服务器是否运行故障等。

逃避检测行为检测

NTA系统对非常规网络数据包加强检测的敏感度，对符合网络协议但非常规的报文有重点的检查，比如检查报文分片行为，在使用场景下的网络环境中几乎不存在网络分片，当发生频繁的网络分片行为，则有可能发生了分片攻击或者企图通过分片传输恶意信息，系统可以对分片进行重组，并检测异常的分片行为。

硬件隔离的沙箱系统

沙箱系统利用全虚拟化技术，达到仿真物理硬件隔离，沙箱系统运行在独立的物理硬件中，隔离网络等任何通用的通信设备，可疑文件运行时不可逃逸不可发生网络攻击破坏，即使将沙箱环境破坏掉，也不会对外部的网络和系统产生任何不良危害。

AI流量检测引擎

NTA网络流量安全分析系统加入了基于深度学习的智能异常检测模型，通过对网络中流量的多维度信息，加之以图谱分析等学习算法，可实现对网络蠕虫攻击、DDOS攻击、设备非常规流量、设备非法访问操作等其他潜在的网络攻击或入侵行为进行高精度的检测。随着系统运行时间增长，机器学习越智能，检测结果更准确，误报率将大大降低。

用户收益  >>>

检测“空间”范围更大

入向（入侵流量）+出向（失陷流量）；

在获取到东西向流量时，可以作横向扩散检测（内网扫描、内网入侵）。

检测“时间”范围更长

IDS：实时，一去不复返；

NTA审计系统：除了实时检测外，有留存日志，可以回溯分析（实时+离线）。

关注的“内容”范围更多

含沙箱，关注流量中传输的文件是否恶意；

关注Payload；

跨会话分析。

能发现更多安全风险

入侵和利用（大部分NIDS专做这个，不再赘述）；

C2连接到已知恶意源；

C2连接到未知恶意源（NIDS做不到）；

勒索软件；

数据外泄；

横向移动（需要部分东西向流量）；

失陷资产；

内部权限滥用。