众所周知,现代战争中雷达系统至关重要,攻守双方都要靠雷达系统实时获取战场情报,攻方靠雷达锁定攻击目标,守方靠雷达探测来犯之敌。雷达失灵,或技不如人,千军万马就会变成聋子瞎子,陷入被动挨打的悲惨境地。在网络安全防御体系中,腾讯高级威胁检测系统(又名“御界”,Network Traffic Analysis System,以下简称腾讯NTA)就是网络安全防御体系的“雷达”,是守护政企机构网络安全的“眼睛”和“耳朵”。
腾讯NTA系统是在企业网络出口或网络间的核心位置部署流量探针,对整个网络出入流量,或网络间的横向流量进行镜像分析,当攻击者突破终端防御和网络边界时,就会在网络流量中留下蛛丝马迹。
腾讯NTA的简单模型
腾讯NTA系统可以7*24小时分析网络流量,检测是否存在任何可疑的网络攻击活动,对风险事件及时告警,给安全运维人员正确处置风险提供决策参考。腾讯NTA系统支持存储告警流量包,极大地方便了威胁回溯分析,提升网络威胁感知能力。这对发现、跟踪专业黑客组织对高价值目标长期进行的APT攻击必不可少。采用旁路镜像流量检测,对企业正常业务、网络性能等不会产生任何负面影响。目前,腾讯安全团队日常研究跟进的APT组织超过100个。
腾讯安全威胁情报中心发表的部分APT活动报告
腾讯NTA的主要功能架构
