任何网络活动必定会产生网络流量，而基于网络全流量记录、实时深度监测分析，用户可以了解网络中发生的任何情况，做到对未知威胁的第一时间发现、第一时间响应。

目前，伴随着物联网设备规模化增长、5G商业落地、云计算和边缘计算普及，网络流量也迎来爆炸性增长。一方面，网络流量中承载着庞大的业务信息（支付信息、账号信息等），能够反映出最为直观、真实和有效的数据。另一方面，日益复杂的IT环境则给流量监测与分析带来了更大的挑战。

在现实需求下，以网络流量为基础的NTA/NDR技术逐渐应用于网络威胁和异常网络行为的检测。经过实际网络环境的验证和不断的迭代，检测的有效性和准确性都有了大幅度的提高，这也进一步为网络威胁和异常行为处置奠定了基础。

因此，为更好地满足电信、互联网等行业用户在新型业务场景下的流量监测与分析需求，为其在网络安全产品选型过程中提供技术能力参考，中国信息通信研究院安全研究所联合FreeBuf咨询共同完成NTA/NDR类产品调研和测试工作，最终输出网络安全产品技术能力验证评估系列报告《中国网络流量监测与分析产品研究报告》（2020年）。

中国信息通信研究院安全研究所负责对国内主流NTA/NDR类产品进行基本面测试评估，并独立输出整体测试、分析结果与测试报告。

FreeBuf咨询主要进行现场走访、资料整合及问卷调查等调研，对国内外近百家企业的NTA/NDR使用情况进行对比分析, 总结产品基本现状, 并尝试对其发展趋势进行评估和预测。

报告目录

一、国内网络流量监测与分析技术现状

（一）国内网络流量发展现状

（二）新兴流量监测与分析技术

（三）应用场景

二、国内NTA/NDR类产品应用现状

（一）市场应用现状

（二）行业应用现状

（三）攻防对抗场景下的应用现状

（四）企业对NTA/NDR类产品的预期

（五）企业期待NTA/NDR类产品的能力

三、NTA/NDR类产品测试情况综述

（一）测试基本情况

（二）测试环境介绍

（三）测试方法说明

（四）测试对象范围

（五）测试内容简介

四、NTA/NDR类产品测试结果总体分析

（一）不同技术方向“划分”企业能力阵营

（二）自动化处置能力有待落地和完善

（三）基于IP和主机的溯源功能不分轩轾

（四）产品自身管理能力总体较好

五、NTA/NDR类产品流量识别能力分析

（一）网络协议识别展示能力各有所长

（二）网络流量识别还原内容因需而定

（三）NTA/NDR产品中资产发现能力一般

六、NTA/NDR类产品安全分析能力分析

（一）具备各类网络攻击发现和分析能力

（二）基本具备多步骤攻击关联分析能力

（三）网络恶意程序分析能力总体可用

七、NTA/NDR类产品趋势展望

（一）大规模攻防演练进一步催化NTA/NDR市场需求

（二）NTA/NDR或着力产品差异化，打造核心卖点

（三）网络加密流量解析与分析成为新挑战

（四）联动攻击链的流量场景化分析需进一步落地

（五）流量分析转移到云上以实现可伸缩性成趋势

八、NTA/NDR类产品发展建议

（一）深耕自身技术优势，实现技术能力互补

（二）围绕新型网络场景，满足业务安全需求

（三）夯实产品自身安全，保障可信可控可靠

九、NTA/NDR类产品能力分组

（一）专业能力领域

（二）行业应用能力领域

报告亮点

1、深度调研NTA/NDR的实际应用场景，将NTA/NDR产品的应用现状全面呈现。

2、由信通院独立提供NTA/NDR产品测试报告，并对参与测评的厂商进行能力领域分类，为甲方企业产品选型提供参考。

（1）测试环境

NTA/NDR网络流量分析产品模拟测试环境部署逻辑图：

图：测试网络拓扑图

现场测试环境：

图：测试设备现场环境

（2）测试结果

基于产品实测，《中国网络流量监测与分析产品研究报告》（2020年）对参与测评的产品进行产品专业能力和行业应用能力两大领域划分，并输出5大能力组。

* 如需查看报告完整版，可点击【下载报告】按钮

版权声明

本报告版权属于中国信息通信研究院，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院及FreeBuf咨询”。违反上述声明者，本院将追究其相关法律责任。

此外，FreeBuf咨询与信通院合作报道《2020安全信息和事件管理（SIEM）研究报告》已正式启动，有意向参与SIEM产品测评的乙方厂商，可联系FreeBuf 市场宋经理 ：

电话：021-60495134/15311422102（同微信）

邮箱：dandan.song@tophant.com