NTA（Network Traffic Analysis，网络流量分析）提供了一种便捷的网络监控和分析的方法。利用机器学习技术、高级分析和基于规则的检测，监控和分析企业网络上所有类型的网络通信，全面进行安全分析，通过分析确定正常行为的基线，当检测到异常流量或不安全的网络行为时，将异常值标记为潜在威胁并发出相应警报。

NTA的重要性

随着科技发展，企业依赖网络实现数据传输，网络管理和网络安全变得尤为重要。通过NTA，自动检测网络异常、提高网络可用性、提高网络性能、确保最大程度的网络可观察性和可见性。

• 帮助用户快速定位网络异常：NTA可以实时监控全网流量，快速检测异常，根据检测结果展示和告警，实现网络应用可视、可控，帮助用户快速定位网络异常，提高网络运维效率。
• 提高网络带宽规划效率：NTA可以多维度展示网络流量状态，为网络带宽规划提供数据支持。提供多维度的流量分析报表，为容量规划提供科学的数据依据，提高网络可用性。
• 增强安全态势：NTA通过实时识别不稳定的资产行为，快速感知攻击者对网络资源的访问。有效的发现网络中的潜在威胁，实现企业内部的全网安全态势感知。便于企业结合解决方案进行威胁的处置闭环，防患于未然。
• 降低人员维护成本：NTA通过最大限度地减少对网络流量进行全天候监控和安全分析所需的人员需求，提高安全操作的效率。它通过自动化威胁检测来实现这一目标，从而减少威胁检测和分析的人员投入。

NTA的应用

为了全面了解网络流量的分布以及变化趋势，实现网络流量可视化，NTA可在网络接入的设备上，根据需求开启流量统计，完成全网流量的统计分析，并将这些分析结果应用于以下几个场景：

• 链路流量可视、可控：通过监控广域链路，提供详细的流量报表，提供各类业务流量分布和流向，及时全面了解各类业务流量的分布，识别出垃圾流量和不合理流量，确保合理流量有足够的带宽保证，充分利用宝贵的广域带宽资源。
• 网络带宽规划：通过报表来查看长期的流量数据，查看每个月关键链路上各个业务流量的分布，查看关键业务所分配的带宽是否合理，是否有非关键业务占用大量带宽，根据各个应用流量分布重新分配各个业务的带宽。
• 应用服务器访问异常分析：通过查看各个应用服务器的流量详细分布，提前发现网络风险，定位具体发生故障的服务器，并协助用户定位造成故障的原因，保障业务系统稳定运行。

NTA与SIEM的区别

NTA和SIEM（Security Information and Event Management，安全信息和事件管理）都可以进行信息收集和分析，但两者收集数据范围不同：

• SIEM通过对网络中的软件、系统和应用已产生的日志、告警等安全事件，进行统一的实时监控和历史分析，了解正常模式并在出现异常情况和事件时发出警报。
• NTA分析整个网络中的所有流量和流量记录，不仅仅是记录的事件。从网络中的用户、设备到应用程序等，记录所有点的操作和关系全面进行安全分析，帮助用户及时识别潜在威胁和可疑活动。

华为如何帮助您保障网络安全

针对日益复杂的网络环境和日趋增多的威胁，华为提供了丰富的安全产品进行流量监控和分析，能够帮助您及时发现安全风险，降低安全威胁的影响。

• HiSecEngine Probe1000系列网络流量威胁检测探针采用华为自研专用安全芯片、自研ASE引擎，具备强大的IPS、AV、恶意文件检测能力。可对HTTP、DNS、ICMP、TLS等协议流量解析，上送Metadata数据给HiSec Insight进行分析检测，支持还原主流文件，支持PCAP抓包等获取事件处理取证信息。
• HiSec Insight安全态势感知系统能够对网络中的流量及各类设备的网络、安全日志等海量网络基础数据执行有效采集，通过大数据实时及离线分析，结合机器学习技术、专家信誉、情报驱动，有效的发现网络中的潜在威胁和高级威胁，实现企业内部的全网安全态势感知，同时可以结合华为HiSec解决方案高效地完成威胁的处置闭环，防患未然。