更新时间:2025-12-04 GMT+08:00
基本概念
检测插件
安装在业务主机上,可以对主机网卡流经的南北向和东西向流量,开展全流量威胁检测。
南北向流量
指业务主机网络与外部网络(如互联网)之间流入和流出的流量,NDR会对此类流量进行威胁检测。
东西向流量
指云环境内部业务主机之间,或者跨VPC之间传输的流量,NDR会对此类流量进行威胁检测。
加密流量检测
业务之间访问、传输、存储和交换等过程,经过了加密操作,保障数据安全。NDR可以对此类加密流量进行威胁检测。
威胁入侵防御
对网络流量进行收集、分析和监控,以发现潜在的威胁、入侵、恶意活动或异常行为。
横向移动
攻击者在攻陷一个系统后,在网络内部移动以扩大控制范围。
取证分析
在安全事件发生后,收集分析证据以确定攻击路径、范围和影响。
威胁特征库
特征库是网络安全中的一个关键组成部分,用于存储和管理网络安全事件中的特征数据。 这些特征涵盖了各种网络活动、攻击行为、异常模式等,为安全团队提供了强大的工具来检测、分析和应对威胁。
威胁情报库
基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。
CVE编号
CVE (Common Vulnerabilities and Exposures,通用漏洞披露) 是安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号。
威胁检测类型
NDR可对网络流量中的多种威胁进行检测,其中包括SQL注入、webshell、暴力破解、代码执行、恶意程序、反弹shell、黑客工具、缓冲区溢出、拒绝服务、跨站脚本、目录遍历、请求伪造、恶意扫描、恶意提权、挖矿行为、未授权访问、文件包含、信息泄露、异常连接和异常协议等。
