攻防演练中，不论攻击成功与否，攻击行为的载体只可能是网络流量。因此，网络流量监测与分析技术可以说是蓝军的一张王牌，通过对正常业务与威胁行为模式进行建模，能够在第一时间发现入侵事件，甚至还原整个攻击流程。

逻辑示意图如下：

NTA关键能力

实际应用场景中，流量获取、协议解析、流量还原、异常分析、联动处置等关键能力，决定了NTA/NDR能否为蓝军带来最大化的防御效益。

流量获取能力：

对于中小型企业来说，能够访问核心生产系统的一般有两个区域：外部客户访问的“互联网接入域”，开发运维人员所在的“运维接入域”。前者携带从类似门户网站正面攻击的入侵流量，后者夹杂社工拿下内部终端后发起的异常流量，所以，这两部分流量缺一不可。

具体部署 NTA 产品时，可采用旁路分光或交换机镜像获取流量，由于采用旁路方式，所以即便 NTA 产品自身出现故障，也不会影响到生产系统的高可用。接收镜像流量的设备叫着探针，探针从负载设备下挂的交换机上镜像流量。比如，某门户业务系统，用户访问流量从外往内，分别经过互联网边界的防火墙、WAF、负载均衡器、交换机，最后到达 web 节点集群，如下：

协议解析能力：

协议解析是后续异常流量分析的根基，NTA 产品应从 ISO 七层模型和应用领域两个维度支持尽可能全的通讯协议，而非单纯追求 L2 到 L7 的协议数量。

经验来看，NTA 至少应具备如下协议解析能力：

OSI相关：L7 支持 HTTP、FTP、SMTP、POP3、IMAP4、telnet，L6 支持 LPP、XDP，L5 支持 TLS、LDAP、RPC，L4 支持 TCP、UDP，L3 支持 EGP、RPL，L2 支持 XTP、PPTP、L2TP；

微软相关：L7 支持 SOAP、named pipes、MS-RAP、MS-RPC，L6 支持 MS-CIFS、MS-SMB，L5 支持 netBIOS；

VPN/加密传输相关：L7 支持 SCP、SSH、GPRS 隧道 GTP，L6 支持 AES、DES、3DES，L5 支持 kerberos、SSL/TLS，L3 支持通用路由封装协议 GRE。

据了解，某些 NTA 产品将协议解析作能力视为核心技术，雇佣行业专家攻坚克难，识别协议类型达 800+ 种，解析协议超过 50+ 种。

科来：网络通讯协议图谱

流量还原能力：

系统沦陷后，要想取证或溯源，必须借助流量还原，这种网络流量深度记忆力，能够将流量数据以不同的统计维度进行透视分析，将 HTTP、DNS、SMTP、POP3、邮件等等数据还原，重演攻击流程、勾勒攻击路径。

比如，针对 web 访问，NTA 产品能够对 HTTP 的请求和应答进行基于五元组的重构，实现会话还原，类似如下效果：

异常分析能力：

对原始流量标准化处理之后，通过多维度统计分析，进行告警、态势、趋势预警输出，用于支撑网络威胁态势、安全告警监控展示。一般来说，借助大数据、行为分析、机器学习/深度学习（如 HMM、XGBOOST、CNN、 LSTM）等技术刻画重要资产应用系统的流量基线，再通过网络流量变化的特征来确定流量异常行为发生的时间点，分析流量行为特征参数，以找出异常行为对应的源 IP 及目的 IP；最后，根据攻击日志和行为日志，判定资产是否失陷。

异常流量分析应覆盖密码猜测攻击、WEB攻击、恶意扫描、web 异常访问分析、D