网络威胁追踪溯源系统（NDR）与APT的功能区别.docx

网络威胁追踪溯源系统（NDR）与APT的功能区别 网络威胁追踪溯源系统（NDR）是一种高级的攻击检测和响应系统，它与APT（Advanced Persistent Threat，高级持久威胁）检测产品有许多不同的功能区别。下面我们将对NDR和APT进行深入的比较和分析。 NDR是一种攻击检测类的下一代产品，其最基本的能力是APT检测能力。与APT产品不同，NDR不仅可以检测攻击，还可以实现攻击事件的处置，这是NDR产品的核心功能之一。NDR可以通过两根网线来实现检测和处置，一个网线用于检测，另一个网线用于处置，实现“检测+响应”的功能。 NDR产品跟简单的APT检测类设备的最大区别在于处置方式。NDR的处置是旁路处置，不需要把设备串在网络里，也不会形成网络故障节点。这使得NDR产品更加灵活和可靠。同时，NDR还具备加密流量检测功能、配合跟ATT&CK技术框架深度融合的沙箱功能、资产管理、业务互联梳理、违规外联检测等运维功能，形成了NDR独有的（安全+运维）的产品能力。 再次，NDR检测能力更深入，尤其对于伪装过、隐蔽过的攻击发现能力要比现有的APT检测更强。NDR产品具备拦截这些网络威胁的功能，并且可以实时追踪攻击链，及时掐断攻击链。同时，NDR还具备APT事后溯源能力，可以追溯攻击过程，实现攻击事件的溯源和处置。 NDR产品的溯源能力不仅限于事后溯源，还可以在攻击过程中实时追踪攻击链，实现攻击链的实时溯源和处置。这使得NDR产品在攻击检测和响应方面具有更强的能力。 NDR产品与APT检测产品的功能区别在于检测和处置能力、处置方式、检测能力和溯源能力等方面。NDR产品的高级功能和能力使其在网络威胁追踪溯源系统中扮演着重要的角色。