近几年来，新型攻击尤其是高级持续性攻击的出现，传统的安全防御体系出现了安全缺口。对于那些试图通过基于网络的方式去识别绕过了边界安全的高级攻击的企业而言，应该考虑使用NTA技术来帮助识别、分类和管理这些事件。

高级网络威胁检测系统（NTA）是一款旁路部署全流量威胁检测系统，具有全面、高效、专业、智能的威胁检测、攻击发现和溯源取证能力，使用行为分析、特征检测、威胁情报、机器学习和大数据建模等技术来发现网络中已知威胁和潜伏的高级未知入侵行为。

PCAP包检测&存储
· Pcap数据包特征分析：通过特征规则、语法语义、相似性分析等检测方案能够很好的检出如黑客工具、代码注入等安全风险；

· Pcap数据包存储：为用户提供了溯源取证分析，用户可以反复对历史数据进行分析调查，找到攻击者源头，发现潜在风险。

7层元数据分析【HTTP、HTTPS、DNS、RDP、SSH、IPsec等20+常见协议】
· HTTP元数据：user agent、cookie、host、refer，通过请求头响应头指纹发现webshell后门等风险；

· DNS元数据：标志位、qdcnt、qclases等，通过请求域名、响应内容，发现DNS隧道、DGA域名等风险；

· SMB协议：category、l3proto、rootpath等，通过用户名和登录状态发现SMB爆破等风险；

· SMTP元数据：smtp msg、login msg等，通过收发人、标题、内容主题发现病毒邮件、垃圾邮件等风险。

4层FLOW数据分析【TCP、UDP、ICMP协议，源iP、源端口、协议、数据包个数、会话开始时间、会话结束时间等】
· 统计分析：针对FLOW网络流量数据可以通过统计模型对该段时间内总流量行为进行分析，判断其是否为攻击行为，典型案例有端口扫描、暴力破解、主机扫描、DOS/DDOS攻击等入侵行为；

· 基线学习：同时针对FLOW数据采用机器学习技术，学习FLOW在一段时间内的流量数据，并根据相关特征参数建立成流量基线模型，当网络流量偏离基线时，则会，典型案例有:异常外联、异常登陆产生告警，发现潜在风险等主机异常行为；

· 威胁情报：根据攻击者IP情报信息发现攻击者。

提取加密流量中的指纹信息并通过流关联技术等方法进行加密流量检测，能够有效检测隐藏在加密流量中的攻击行为和恶意软件。

· Gartner估计HTTPS浏览将超过互联网总流量的80%。
· 根据Zscaler的新威胁研究报告，未来五年，针对绕过传统安全控制的加密流量（SSL）的攻击将增长260%。

方案一：解密。最能够清晰的检测恶意行为的方案，，流量侧进行解密一般都是中间人的方式。需要通过导入私钥和证书进行中间人解密，对稳定性要求比极高。
方案二：JA3指纹。对于特定恶意软件检测十分有效；存在恶意软件和正常软件指纹重叠情况，误报较高;无法检测未知威胁，可扩展性差。
方案三：有监督机器学习。Cisco以及国内友商主要宣传的方案，实验室场景下效果好但是真实客户环境更加复杂，很容易误报，并且难以举证。
方案四：无监督机器学习（Darktrace主推），类似UEBA，发现未知威胁的能力强但是与UEBA的主要问题类似，误报比较难控制，往往需要配合SIEM或者安服使用对响应能力要求高。

当NTA检出高可信网络攻击时，则NTA使用旁路阻断技术第一时间将威胁拦截，降低网络入侵风险。