标签归档:山石

NDR(网络威胁检测及响应)技术介绍

从NTA到NDR,网络威胁响应再升级

NTA (Network Traffic Analysis) 网络流量分析技术,融合了传统的基于规则的检测技术、机器学习和其他高级分析技术,用以检测企业网络中的可疑行为。它于2013年被提出,2016年后逐渐在市场上兴起。据权威机构预测,2026年NTA产品的市场规模可达53亿美元。2016年以来,越来越多的厂商开始在网络流量分析的基础上,强调对高级网络威胁的检测和响应能力,NTA的“2.0版本”——NDR(Network Detection and Response)网络威胁检测及响应技术因此应运而生。

作为全球权威的IT研究与咨询机构,Gartner每年发布的《NTA全球市场指南》代表着全球NTA产品的最高水平和最新趋势,一直是该领域的风向标。2020年,Gartner用全新发布的《NDR全球市场指南》替代了原有的《NTA全球市场指南》,这标志着能在发现网络安全隐患的同时对威胁或异常流量进行追踪溯源,还能联动外围的安全设备进行响应拦截NDR技术,终于取代了NTA技术,真正成为了市场的主流。

入选《NDR全球市场指南》的产品及厂商,必须满足Gartner严格的评选标准:

  • 实时或接近实时的网络原始流量分析能力
  • 南北向、东西向的全方向流量采集、监控和分析能力
  • 能够建立网络行为模型并发现异常,不依赖于传统的签名指纹匹配技术
  • 支持手动或自动的威胁及异常处置能力

2019年,山石智·感(BDS)-智能内网威胁感知系统首次入选NTA指南,已经证明了山石网科在网络威胁及异常流量检测上的强大实力。此次山石智·感(BDS)再度成为中国唯一入选《NDR全球市场指南》的NDR产品,更是在全球舞台上展现了山石网科在产品研发上的前瞻性和领导性

全球权威IT研究与咨询机构Gartner发布了2020年《NDR全球市场指南》,山石网科连续两年成为中国唯一入选厂商。这一新闻引发了业界对NDR(网络威胁检测及响应)技术的新一轮关注热潮。无论用户还是厂商,都迫切地想要了解NDR技术何以被视为“NTA 2.0版本”?NDR产品能给用户带来哪些价值?NDR技术在等保2.0中有无用武之地?

接下来,就让山石网科带你回顾NDR技术的升级之路,深入浅出地为你解读NDR技术的创新之处和巨大价值,让你在最短的时间内搞懂NDR

Question 1:NDR技术对用户的价值体现在哪里?

Answer:NDR技术产品对于用户的网络安全建设将是一个非常重要的补充,也是网络威胁防护能力的一个提升。

利用NDR技术,能够帮助用户尽早地、有效地检测发现一些穿透网络边界防护进入到到内部网络,或是通过BYOD带入等其他途径进入到内部网络的新型变种威胁

因为新型变种威胁从出现,到安全厂商经过研究、特征提取、纳入特征库,再到用户完成特征库的升级更新往往需要一个较长的时间周期,很多网络威胁也正是利用了这个安全防护的空档期进行网络威胁的传播扩散,这种能力滞后所带来的安全风险是致命的。

所以NDR技术对于用户的安全价值就体现在,能够有效、尽早地发现新型变种威胁,并且能够根据业务情况和安全等级,在第一时间完成风险和异常的响应处置,避免威胁的持续传播和扩散。

Question 2:NDR产品和传统的IDS产品的部署方式很相似,它们的差别体现在哪里?
Answer:DR产品与IDS产品在部署方式和应用场景方面是比较类似的,主要的差别还是体现在安全检测技术的运用方面。

IDS产品技术主要是依赖于签名指纹匹配的检测方式,主要是针对当前已知的网络攻击进行检测。同时为了平衡威胁检出率和威胁检测效率的问题,IDS特征库往往会根据业务和资产情况进行不同程度的裁剪,这就意味着IDS产品的检测技术不仅仅是无法检测新型变种威胁,对于一些已知威胁也可能存在漏检的情况。同时对于安全管理员来说,一方面要求安全管理员具备非常全面安全背景和威胁分析能力,另一方面也要求安全管理员能够根据业务和资产的变化,即时调整IDS特征库开启策略。

所以NDR技术产品和IDS产品的差别就在于对于新型威胁的检出能力和安全运维效率方面,NDR技术不依赖于特征库,也不基于某个特定业务或资产对象,而是通过对于流量变化的监测来发现风险和异常,不需要安全管理员经常性的调整安全策略,极大的提高了安全运维效率,减少了人为操作所带来的安全隐患。

Question 3:能不能简单解释一下NDR技术,它的哪些功能是必须的?

Answer:Gartner对于NDR技术给出了较为明确清晰的定义,这也是Gartner在选择NDR技术推荐厂商及产品的严格标准,NDR技术主要强调新型网络威胁和高级网络威胁的检测和即时响应能力

首先是对分析对象和实时性要求。NDR技术能够自主采集穿过边界的南北向流量和内网的东西向流量,不依赖于防火墙、SIEM等其他产品组件,并且能够针对原始网络流量进行实时或接近实时的分析,以检测发现流量中的风险和异常,再通过分析结果和取证信息,定位到风险和异常的主机对象。

然后是流量分析技术的要求。NDR技术不能够只是依赖于签名指纹匹配的传统网络威胁检测技术,而是针对原始网络流量一定时间的学习、训练和优化,形成相对准确且能动态调整的网络流量行为模型,以行为模型作为网络风险和异常判定的标准基线,在配合其他网络威胁检测技术,进行精细化溯源定位

最后是威胁处置方面的要求。承载NDR技术的网络安全产品需要具备和其他安全产品的联动能力,解决分布在不同区域的网络风险和异常问题,并且能够根据客户的业务情况和安全等级,由客户自由选择自动或手动进行威胁及异常响应处置。

Question 4:Gartner去年发布的是《NTA全球市场指南》,今年变成了《NDR全球市场指南》,请问是什么原因引发了这个变化?

Answer:NTA技术是NDR技术的前身,NDR技术在继承NTA技术的威胁检测能力的同时,又突出强调了影响处置能力。这个变化最本质的驱动力还是来自于客户,因为对于客户来说,无论部署什么安全产品,使用什么安全技术,最终的目的还是为了解决网络安全问题,同时还能最大程度的降低安全运维的成本,降低对网络安全管理员的能力要求,缓解其安全运维工作压力。

玩笑式地举个例子,去年的NTA技术相当于你去医院,医生只告诉你:“上呼吸道感染导致气管、支气管黏膜或胸膜受炎症;异物、物理或化学性刺激引起声门关闭、呼吸肌收缩、肺内压升高,声门张开,肺内空气喷射而出,并伴随声音;出现体内阴阳平衡失调。感受外邪,机能活动亢进,出现阳盛阴衰的热证证候。”求此刻你的心理阴影面积。

而今年的NDR技术相当于你去医院,医生告诉你:“感冒、上火、吃点感冒药多喝热水。” 如此说来,是什么引起这种变化就显而易见了。

Question 5:最后谈个接地气的话题。今年我们正式进入了等保2.0时代,相比等保1.0,等保2.0在防护思路上有着巨大的进步,那么NDR这样的技术在等保2.0中有用武之地吗?

Answer:这个答案是肯定的,在网络威胁检测及防范方面,等保2.0相比于等保1.0特别强调了新型网络攻击的行为分析能力,这也表明等保2.0要求各单位在进行网络安全建设时,要突破传统网络安全技术的限制,利用新型的网络安全技术去应对新型的网络攻击。

在等保2.0中,安全区域边界-入侵防范的控制项明确要求三级等保单位应具备以下能力:1.应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;2.应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;3.应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;4.当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵时间时应提供报警。

NDR技术能够完全覆盖这个控制项要求,在针对新型网络威胁的检测发现、溯源取证响应处置方面的能力甚至超过了这个控制的要求。

山石防火墙部署HA模式,保证业务不中断

本示例介绍如何配置HA Active-Passive工作模式,以提高网络可靠性,保证业务不中断。

如下图所示,组建HA AP模式的两台设备分别为Device A和Device B。配置后,Device A将被选举为主设备,进行流量转发;Device B为备份设备。Device A会将其配置信息以及状态数据同步到备份设备Device B。当主设备Device A出现故障不能正常转发流量时,备份设备Device B会在不影响用户通信的状态下切换为主设备,继续转发流量。

步骤一: 配置Device A的监测对象。监控主设备ethernet0/0的工作状态,一旦发现接口工作失败,则进行主备切换。
选择“对象 > 监测对象”,并点击“新建”。   名称:track1 警戒值:255 监测类型:选择<接口>单选按钮,并点击“添加”按钮。在弹出的<添加监测对象>对话框,指定接口为“ethernet0/0”,权值为“255”
步骤二: 配置HA组。 
Device A   选择“系统 > HA”,在<组0>处配置。 优先级:10 监测对象:track1
Device B   选择“系统 > HA”,在<组0>处配置。 优先级:100
步骤三: 配置Device A的接口及策略。 
选择”网络 > 接口”,双击ethernet0/0。   绑定安全域:三层安全域 安全域:untrust 类型:静态IP IP地址:100.1.1.4 网络掩码:29
选择”网络 > 接口”,双击ethernet0/1。   绑定安全域:三层安全域 安全域:trust 类型:静态IP IP地址:192.168.1.4 网络掩码:29
选择“策略 > 安全策略”,并点击“新建”按钮创建一条策略规则。   名称:policy 源信息 安全域:trust 地址:Any 目的信息 安全域:untrust 地址:Any 其他信息 服务/服务组:Any 行为:允许
步骤四:配置HA控制连接接口,并开启HA功能。 
Device A   选择“系统 > HA”。 HA控制连接接口1:ethernet0/4 HA控制连接接口2:ethernet0/8 IP地址:1.1.1.1/24 HA簇ID:1
Device B   选择“系统 > HA”。 HA控制连接接口1:ethernet0/4 HA控制连接接口2:ethernet0/8 IP地址:1.1.1.2/24 HA簇ID:1
步骤五:主备同步完成后,配置主设备与备份设备的管理IP。
Device A   选择”网络 > 接口”,双击ethernet0/1。在<接口配置>对话框<IP配置>处点击“高级选项”。 管理IP IP地址:192.168.1.253
Device B   选择”网络 > 接口”,双击ethernet0/1。在<接口配置>对话框<IP配置>处点击“高级选项”。 管理IP IP地址:192.168.1.254
步骤六:验证结果。 
配置完成后,点击“系统 > 系统信息”,两台设备的HA状态分别如下显示:   Device A HA状态:Master Device B HA状态:Backup Device A:   Device B:
当Device A出现故障不能正常转发流量或Device A的ethernet0/0接口断开时,Device B会在不影响用户通信的状态下切换为主设备,继续转发流量。   点击“系统 > 系统信息”,两台设备的HA状态分别如下显示: Device A HA状态:Monitor Failed Device B HA状态:Master Device A:   Device B:

山石防火墙工作原理

防火墙作为一种网络安全产品,通过控制进出网络的流量,保护网络的安全。防火墙的基本原理是通过分析数据包,根据已有的策略规则,允许或阻断数据流量。除此之外,防火墙也具有连通网络的功能,实现安全可信区域(内部网络)和不信任区域(外部网络)之间的桥接。

应用负载网关是山石网科面向电信运营商、广电市场、院校和大中型企业开发的负载均衡产品,能够使负载分担、安全与网络深度融合。用户可以将其部署在多ISP链路的出口,通过对链路状态的检测,采用对应的调度算法将数据合理、动态的分发到不同链路上,以提高链路利用率。

StoneOS 应用负载网关系统架构

组成StoneOS应用负载网关系统架构的基本元素包括:

  • 安全域:域是一个逻辑实体,将网络划分为不同部分,应用了安全策略的域称为“安全域”。例如,trust安全域通常为内网等可信任网络,untrust安全域通常为互联网等存在安全威胁的不可信任网络。
  • 接口:接口是流量进出安全域的通道,接口必须绑定到某个安全域才能工作。默认情况下,接口都不能互相访问,只有通过策略规则,才能允许流量在接口之间传输。
  • 虚拟交换机(VSwitch):具有交换机功能。VSwitch工作在二层,将二层安全域绑定到VSwitch上后,绑定到安全域的接口也被绑定到该VSwitch上。一个VSwitch就是一个二层转发域,每个VSwitch都有自己独立的MAC地址表,因此设备的二层转发在VSwitch中实现。并且,流量可以通过VSwitch接口,实现二层与三层之间的转发。
  • 虚拟路由器(VRouter):简称为VR。VRouter具有路由器功能,不同VR拥有各自独立的路由表。系统中有一个默认VR,名为trust-vr,默认情况下,所有三层安全域都将会自动绑定到trust-vr上。系统支持多VR功能且不同硬件平台支持的最大VR数不同。多VR将设备划分成多个虚拟路由器,每个虚拟路由器使用和维护各自完全独立的路由表,此时一台设备可以充当多台路由器使用。多VR使设备能够实现不同路由域的地址隔离与不同VR间的地址重叠,同时能够在一定程度上避免路由泄露,增加网络的路由安全。
  • 策略:策略是设备的基本功能,控制安全域间/不同地址段间的流量转发。默认情况下,设备会拒绝设备上所有安全域/接口/地址段之间的信息传输。策略规则(Policy Rule)决定从安全域到另一个安全域,或从一个地址段到另一个地址段的哪些流量该被允许,哪些流量该被拒绝。

StoneOS系统的架构中,安全域、接口、虚拟路由器和虚拟交换机之间具有从属关系,也称为“绑定关系”。

null

各个元素之间的关系为:接口绑定到安全域,安全域绑定到VSwitch或VRouter,进而,接口也就绑定到了某个VSwitch或VRouter。一个接口只能绑定到一个安全域上,一个安全域可以绑定多个接口。二层安全域只能绑定到VSwitch上,三层安全域只能绑定到VRouter上。

安全策略规则

默认情况下,所有的接口之间的流量都是拒绝的。不同的安全域之间、相同的安全域之内的接口流量均不能互访。要实现接口的互访,只有通过创建策略规则,才能将流量放行。 如果既有从源到目的的访问,又有反方向的主动访问,那么就要创建两条策略规则,允许双方向的流量通过;如果只有单方向的主动访问,而反方向只回包即可,那么只需要创建源到目的的一条单方向的策略。

根据接口所属的安全域、VSwtich或VRouter的不同,要创建不同的策略才能允许接口互访,具体的规则如下:

  • 属于同一个安全域的两个接口实现互访:
    需要创建一条源和目的均为该安全域的策略。
    例如,要实现上图中的eth0/0与eth0/1的互访,需要创建从L3-zone1到L3-zone1的允许流量通过的策略;或者,要实现eth0/3与eth0/4的互访,要创建源和目的均为L2-zone2的策略。
  • 两个二层接口所在的安全域属于同一VSwitch,实现接口互访:
    需要创建两条策略,第一条策略允许从一个安全域到另一个安全域流量放行,第二条策略允许反方向的流量通过。
    例如,要实现上图中的eth0/2与eth0/3的互访,需要创建从L2-zone1到L2-zone2的策略和L2-zone2到L2-zone1这两条策略。
  • 两个二层接口所在的安全域属于不同的VSwtich的,实现接口互访:
    每个VSwtich都具有唯一的一个VSwtich接口(VSwitchIF),该VSwtichIF与某个三层安全域绑定。要实现互访,需要创建放行策略,源是一个VswichIF所属的三层安全域,目的是另一个VSwtichIF所属的三层安全域。同时,还需要创建反方向的策略。
  • 两个三层接口所在的安全域属于同一VRouter,实现接口互访:
    需要创建策略允许从一个安全域到另一个安全域的流量放行。例如,要实现eth0/0和eth0/5的互访,要创建从L3-zone1到L3-zone2的允许流量通过的策略,然后再创建反方向的策略。
  • 两个三层接口所在的安全域从属于不同的VRouter的,实现接口互访:
    若要实现接口互访,需要创建策略规则,允许从一个VRouter到另一个VRouter之间的流量放行。
  • 同一VRouter下的二层接口和三层接口,实现互访:
    创建允许流量通过的策略,策略的源是二层接口的VSwtichIF所绑定的三层安全域,策略的目的是三层接口所属的三层安全域。然后,再创建反向策略。
    例如,要实现eth0/0与eth0/2的互访,需要创建从L3-zone1到L2-zone1的策略,以及反向策略。

数据包处理流程

二层转发域中的转发规则

在一个VSwitch,即一个二层转发域中,应用负载网关StoneOS通过源地址学习建立MAC地址转发表。每个VSwitch都有自己的MAC地址转发表。StoneOS根据数据包的类型(IP数据包、ARP包和非IP且非ARP包),分别进行不同的处理。

对于IP数据包,StoneOS遵循以下转发规则:

  1. 收到数据包。
  2. 学习源地址,更新MAC地址转发表。
  3. 如果目的MAC地址是单播地址,则根据目的MAC地址查找出接口。这时又有以下两种情况:
    • 如果目的MAC地址为VSwitch接口的MAC地址,并且VSwitch接口有IP地址,则按照路由转发规则进行转发;若VSwitch接口没有IP地址,则丢弃。
    • 根据目的MAC地址找到出接口。如果找到的出接口是数据包的源接口,则丢弃该数据报,否则从出接口继续转发数据包。
    • 如果在MAC地址表中没有找到出接口(未知单播),直接跳到第6步。
  4. 根据入接口和出接口确定源域和目的安全域。
  5. 查找策略规则。如果策略规则允许则转发数据包;如果策略规则不允许,则丢弃数据包。
  6. 如果在MAC地址转发表中没有找到出接口(未知单播),StoneOS则尝试将数据包发给VSwitch中的所有其它二层接口,此时的操作流程为:把其它的每一个二层接口做为出接口,二层接口所在的二层安全域作为目的域,查询策略规则,如果策略允许,则在该二层接口转发数据包,如果策略不允许,则丢弃数据包。概括地说,对未知单播的转发即为策略限制下的广播。对于广播和多播IP包的处理类似于对未知单播的处理,不同的是广播和多播IP包会被同时拷贝一份进行三层处理。

对于ARP包,广播包和未知单播包转发到VSwitch中的其它所有接口,同时,复制一份由ARP模块进行处理。

三层转发域的转发规则

null
  1. 识别数据包的逻辑入接口,可能是一般无标签接口,也可能是子接口。从而确定数据包的源安全域。
  2. StoneOS对数据包进行合法性检查。如果源安全域配置了攻击防护功能,系统会在这一步同时进行攻击防护功能检查。
  3. 会话查询。如果该数据包属于某个已建立会话,则跳过4到10,直接进行第11步。
  4. 目的NAT(DNAT)操作。如果能够查找到相匹配的DNAT规则,则为包做DNAT标记。因为路由查询需要DNAT转换的IP地址,所以先进行DNAT操作。
    *说明:如果系统配置静态一对一BNAT规则,那么先查找匹配的BNAT规则。数据包匹配了BNAT规则之后,按照BNAT的设定进行处理,不再查找普通的DNAT规则。
  5. 路由查询。系统的路由查询顺序从前到后依次为:策略路由(PBR)> 源接口路由(SIBR)> 源路由(SBR)> 目的路由(DBR)> ISP路由。此时,系统得到了数据包的逻辑出接口和目的安全域。
  6. 源NAT(SNAT)操作。如果能够查找到相匹配的SNAT规则,则为包做SNAT标记。
    *说明:如果系统配置静态一对一BNAT规则,那么先查找匹配的BNAT规则。数据包匹配了BNAT规则之后,按照BNAT的设定进行处理,不再查找普通的DNAT规则。
  7. 下一跳VR查询。如果下一跳为VR,则继续查看指定的下一跳VR是否超出最大VR数限制(当前版本系统仅允许数据包最多通过3个VR),如果超过则丢弃数据包,如果未超过,返回4;如果下一跳不是VR,则继续进行下一步策略查询。
  8. 策略查询。系统根据数据包的源安全域、目的安全域、源IP地址和端口号、目的IP地址和端口号以及协议,查找策略规则。如果找不到匹配的策略规则,则丢弃数据包;如果找到匹配的策略规则,则根据规则指定的行为进行处理,分别是:
    • 允许(Permit):允许数据包通过。
    • 拒绝(Deny):拒绝数据包通过。
    • 隧道(Tunnel):将数据包转发到指定的隧道。
    • 是否来自隧道(Fromtunnel):检查数据包是否来自指定的隧道,如果是,则允许通过,如果不是,则丢弃。
    • Web认证(WebAuth):对符合条件的流量进行Web认证。
  1. 第一次应用类型识别。系统根据策略规则中配置的端口号和服务,尝试识别应用类型。
  2. 会话建立。
  3. 如果需要,进行第二次应用类型识别。根据数据包的内容和流量行为再次对应用类型进行精确识别。
  4. 应用层行为(ALG)控制。为特定的复杂协议实施自适应处理。
  5. 根据会话中记录的信息,例如NAT标记等,执行相应的处理操作。
  6. 将数据包转发到出接口。

山石网科创新产品入选 2019 Gartner NTA 指南

山石网科携山石智·感——智能内网威胁感知系统,成为《指南》中唯一中国网络安全厂商,被Gartner认可为全球范围内具有代表性的NTA产品提供商。山石网科获中国厂商唯一殊荣 2月28日,Gartner发布了《网络流量分析(NTA)市场指南》,山石网科携山石智·感——智能内网威胁感知系统,成为《指南》中唯一的中国网络安全厂商,被Gartner认可为全球范围内具有代表性的NTA产品提供商。 

《指南》中收录的大多是专注在NTA领域的创新型厂商,山石网科和思科是为数不多的综合型网络安全厂商。

能够入选这一新兴技术品类指南,再次证明了山石网科在基于人工智能的网络安全威胁检测领域前瞻创新能力,以及全球市场的突出表现,得到了业界认可。什么是NTA

“NTA是一种功能和能力,而非纯粹的一个产品。”——Gartner

NTA (Network Traffic Analysis) 网络流量分析,最早在2013年被提出,是一种威胁检测的新兴技术,2016年逐渐在市场上兴起。

根据Gartner的定义,NTA——融合了传统的基于规则的检测技术,以及机器学习和其他高级分析技术,用以检测企业网络中的可疑行为,尤其是失陷后的痕迹。NTA通过DFI和DPI技术来分析网络流量,通常部署在关键的网络区域对东西向和南北向的流量进行分析,而不会试图对全网进行监测。

NTA做为五种检测高级威胁的手段之一,连续两年被Gartner选为十一大信息安全技术之一。在NTA入选11大技术的解说词中,Gartner说到——“NTA解决方案通过监测网络的流量、连接和对象来识别恶意的行为迹象。对于那些试图通过基于网络的方式去识别绕过边界安全的高级攻击的企业而言,可以考虑将NTA作为一种备选方案。”

随着人们越来越关注威胁检测与响应,出现了很多新兴的威胁检测技术,包括欺骗技术,以及同在11大技术之列的NTA、EDR,还有UEBA,等等。山石智·感 :国内首款获奖NTA网络安全产品 2017年,山石网科发布山石智·感,是国内首个引入NTA技术理念的网络安全产品,产品同时也融入了山石网科在利用人工智能领域,发现高级威胁上积累多年的工程技术。 

山石智·感自2017年发布之后,在多次勒索病毒爆发初期,业界尚未明确病毒特征时,利用山石网科的人工智能技术,通过分析内网通信流量和主机访问行为,发现异常高危网络行为、刻画异常互访链条、定位高危主机。

“当下,在不可预测的网络安全领域,保护核心信息,对所有企业来说都是一项重大挑战,”山石网科首席技术官兼联合创始人刘向明表示,“借助山石网科基于人工智能的NTA解决方案,山石网科可为企业的核心资产和信息提供全面、有效的安全防护。”

山石智·感:智能内网威胁感知系统 山石智·感是智能的内网威胁感知系统,设计目标是发现和定位精心伪装或绕过网络边界防护,进入用户内部网络的高级威胁。 

山石智·感通过旁路部署监听服务器区的核心交换机流量,利用人工智能、行为分析、蜜罐等多种技术手段,检测内网中的网络威胁,定位风险服务器,最终完成内网风险的评估。

山石智·感发布以来,得到了国内外金融、大企业、教育、政府等客户的广泛认可。山石网科AI基因 山石智·感产品继承了山石网科多年来在利用人工智能领域,积累的高级网络威胁的工程技术经验。早在2013年,山石网科发布智能下一代防火墙时(产品型号:iNGFW),就引入了利用机器智能学习技术,建立了网络通信基线。通过多维度分析发现异常访问,定位高级威胁。 

基于iNGFW的技术创新,山石网科在2014年入选Gartner魔力象限时,就位列前瞻性维度全球第三