NDR(Network Detection and Response,网络检测响应)
定义
NDR 是基于网络流量分析(NTA / NetFlow / Packet)的检测响应品类。和 EDR 看端点行为不同,NDR 看南北向 + 东西向网络流量,识别异常通讯、横向移动、命令控制(C2)回连等。
核心技术
- 流量元数据分析 — NetFlow / IPFIX / Zeek 日志
- 机器学习基线 — 学习正常流量模式,发现偏离
- 加密流量分析 — 不解密前提下用元数据特征识别恶意
- 协议异常检测 — DNS Tunnel、Beacon、Lateral Movement
NDR vs EDR
| 维度 | EDR | NDR |
|---|---|---|
| 数据源 | 端点行为 | 网络流量 |
| 盲区 | 看不到无 Agent 设备(IoT / 摄像头 / 打印机) | 看不到加密内容 |
| 互补 | EDR + NDR + 日志 → XDR / SIEM |
关键玩家
- 国际:Darktrace(已私有化,AI NDR 先驱)/ ExtraHop(已被 Bain Capital 收购)/ Vectra AI / Cisco Secure Network Analytics(前 Stealthwatch)/ Corelight
- 中国:奇安信(威胁感知与响应)/ 启明星辰(入侵检测/防御长期领先)/ 绿盟科技 / 360 / 安恒信息
在 AI 基础设施安全中的位置
NDR 是 AI 集群东西向流量监控的关键 — GPU 训练集群、推理 API、数据管道大量内部流量,NDR 识别异常横向移动(如训练机被入侵后扫描其他训练机)。
关联
↑ up::XDR SIEM ∈ belongs_to::3-08-AI基础设施安全
增量补充(2026-05-29)
- Darktrace 私有化买方确认:Darktrace 由私募股权机构 Thoma Bravo 以约 $53 亿($5.3B)现金收购,2024-04-26 宣布、2024-10 正式完成退市(Thoma Bravo 官方公告 / Darktrace 官方公告,T1)。原文"已私有化"表述属实,此处补全买方与金额。