众所周知,现代战争中雷达系统至关重要,攻守双方都要靠雷达系统实时获取战场情报,攻方靠雷达锁定攻击目标,守方靠雷达探测来犯之敌。雷达失灵,或技不如人,千军万马就会变成聋子瞎子,陷入被动挨打的悲惨境地。在网络安全防御体系中,腾讯高级威胁检测系统(又名“御界”,Network Traffic Analysis System,以下简称腾讯NTA)是网络安全防御系统“雷达”,是为了保护政府和企业机构的网络安全“眼睛”和“耳朵”。
腾讯NTA该系统是在企业网络出口或网络之间的核心位置部署流量探测器,分析整个网络进出流量或网络之间的水平流量。当攻击者突破终端防御和网络边界时,它会在网络流量中留下线索。
腾讯NTA的简单模型
腾讯NTA系统可以7*24小时分析网络流量,检测是否存在可疑的网络攻击活动,及时报警风险事件,为安全运维人员正确处置风险提供决策参考。NTA系统支持存储报警流量包,极大地促进了威胁可追溯性分析,提高了网络威胁感知能力。这对于长期发现和跟踪专业黑客组织的高价值目标APT攻击至关重要。旁路镜像流量检测不会对企业的正常业务和网络性能产生任何负面影响。目前,腾讯安全团队日常研究跟进APT100多个组织。
腾讯安全威胁情报中心发布的部分APT活动报告
腾讯NTA主要功能架构