10网络检测与响应（NDR）

## 概述

NDR 是一种专注于网络流量的安全技术。它通过持续监控和分析网络流量（包括东西向和南北向流量），来检测、调查并响应逃避了传统安全防护（如防火墙、IPS）的高级威胁。

其核心定位是：成为网络的“眼睛”和“侦探”。

- 眼睛：提供对整个网络活动的深度可见性，尤其是内部的横向移动流量。
- 侦探：不依赖已知特征，而是通过行为分析和大数据技术，从海量网络数据中挖掘出潜伏的攻击线索。

它与EDR、SIEM共同构成了Gartner提出的 “SOC可见性三要素” ，是现代安全运营中心的基石。

## 功能

| 核心功能             | 在行业解决方案中的体现                                       |
| -------------------- | ------------------------------------------------------------ |
| **高级威胁检测**     | 使用机器学习和无监督学习模型，建立网络行为基线，自动发现僵尸网络、数据窃取、DGA域名、横向移动等异常活动。 |
| **全流量记录与回溯** | 具备高性能数据包捕获能力，将原始网络流量（PCAP）存储数周甚至数月。当新的威胁指标（IoC）出现时，可以“时光倒流”般地回溯查询，确认是否受影响及影响范围。 |
| **威胁狩猎支持**     | 为威胁猎人提供交互式查询界面和丰富的API，允许他们基于自定义假设（如“找出所有使用非标准端口的HTTP通信”）在全网流量中进行探索性搜索。 |
| **失陷主机识别**     | 通过与云端威胁情报的集成，快速识别出与已知恶意IP/域名通信的主机，即便该主机上的EDR没有报警。 |
| **自动化响应与编排** | 通过与防火墙、交换机或NAC（网络访问控制）系统联动，实现自动化响应，如在检测到横向移动时，自动在交换机上关闭该主机的端口。 |

## 检测技术

签名检测：用于检测已知威胁，速度快。

异常检测：核心能力，通过机器学习建立流量、协议、会话行为的基线，发现偏离基线的活动。

恶意软件沙箱：将网络传输中的可疑文件送入沙箱进行动态分析。

威胁情报匹配：集成多源威胁情报，快速匹配已知的恶意指标。

## 部署模式

硬件探针：部署在核心交换机旁，通过端口镜像接收流量。性能高，适用于大型数据中心。

虚拟探针：部署在虚拟化环境或云中，保护云工作负载。

NDR即服务：由MSSP（托管安全服务提供商）运营，流量被引导至云端进行分析，降低企业自身运维成本。

## NDR、EDR、XDR

| 对比项       | **NDR**                                                      | **EDR**                      | **传统IPS**                |
| ------------ | ------------------------------------------------------------ | ---------------------------- | -------------------------- |
| **数据源**   | 网络流量                                                     | 终端行为                     | 网络流量                   |
| **检测重点** | 行为异常、横向移动、C&C通信                                  | 进程恶意行为、文件操作       | 已知漏洞利用               |
| **优势**     | 不受终端影响，全局视野，回溯能力强                           | 端点上细粒度可见性，精确响应 | 对已知威胁实时阻断，性能高 |
| **协同方式** | **“NDR告警触发EDR深度调查”**  **“EDR告警通过NDR追溯攻击范围”** |                              |                            |

**与XDR的关系**：NDR是构建**扩展检测与响应（XDR）** 平台的关键能力之一。一个真正的XDR平台会原生集成NDR的数据和检测能力，与EDR、云安全等数据实现跨域关联分析。