|
| 流量检测技术 | 行为分析技术 | 网络探测技术 |
| 适用数据 | 网络流量、网络基础信息、 网络资产信息 | 日志数据、人员信息、样本文件 | 网络基础信息、资产信息、威胁情报、安全知识 |
| 技术原理 | 基于流量镜像和协议还原,检测流量中包含的攻击行为或异常活动 | 对网络会话、用户、样本等对象的 行为进行建模和异常检测 | 主动探测网络中包含的资产、拓扑、脆弱性、威胁情报等安全相关信息 |
| 商业产品 | 入侵检测系统、防火墙 | 沙箱、网络审计系统 | 漏洞扫描器、Web扫描器 |
| 发展现状 | 从早期的数据包过滤和数据流检测技术,发展到目前的深度包检测(DPI)和加密流量检测技术 | 从基于统计的异常流量检测和异常会话检测,发展到当前针对样本文件的APT攻击检测,以及利用人工智能实现用户行为分析(UEBA) | 从简单的主机探测、端口扫描、漏洞扫描,发展到当前针对互联网空间的资产测绘和网络测绘 |
| 发展趋势 | 利用人工智能技术实现针对未知威胁行为和零日漏洞利用行为的检测 | 构建网络安全知识图谱,形成网络安全目标画像,实现智能推理 | 实现跨地理空间和网络空间的网络空间地理全域测绘 |