实战聚焦：NDR组件赋能Open XDR网络威胁实时狩猎

用NDR重塑安全运营‌

当网络攻击日益隐蔽，企业如何破局？‌

数字化转型浪潮下，网络威胁正以更复杂、更隐蔽的形式渗透企业防线。APT攻击、零日漏洞、横向移动、加密流量逃逸……传统安全工具在应对新型威胁时往往力不从心：检测滞后、告警过载、数据孤岛、响应迟缓，成为企业安全运营的致命痛点。

山石网科‌BDS网络威胁检测与响应系统‌，作为Open XDR架构的核心 NDR 组件，正在重新定义威胁检测的时效边界，为企业构建‌实时、精准、主动‌的威胁狩猎能力，让攻击无所遁形。

‌NDR的核心价值：从“被动防御”到“实时狩猎”‌

全维度实时威胁透视：打破内网“黑盒”

山石网科BDS 通过旁路部署于服务器区、办公网、云环境等核心节点，实时捕获东西向流量中的异常行为 —— 从 SMB 暴力破解、DNS 隧道隐蔽通信到加密流量中的恶意载荷，甚至基于ATT&CK框架标记攻击链的每个战术步骤（如权限提升、内网扩散）。某政府案例中，BDS 通过流量基线学习，精准识别出服务器间异常互访流量，成功阻断潜伏数月的APT攻击。

AI 驱动狩猎引擎：从“已知规则”到“未知发现”

通过机器学习等AI技术驱动的异常行为检测模块，山石网科BDS 能自动建立业务流量基线，对偏离业务流量基线的行为（如突发的高频请求、非授权外连）实时告警。例如，某企业核心系统中，BDS 通过 UEBA 分析发现某终端高频访问企业服务器，结合威胁情报联动，锁定为钓鱼邮件引发的横向移动攻击，全程耗时仅数分钟。

Open XDR架构适配：打造攻击链还原最佳实践

山石网科BDS以开放式接口与标准化数据格式，无缝对接SIEM、SOAR、EDR等安全组件，实现跨系统数据聚合与自动化响应。在Open XDR架构中，BDS作为‌网络层威胁检测中枢‌，与端点、日志、云环境数据联动，融合”流量、资产、行为、情报“多个数据维度共同还原攻击链：

• 流量：捕获攻击源IP、目的端口、协议特征信息（如加密隧道、异常TCP连接）

• 资产：关联不同受攻击资产的脆弱性信息（如未打补丁的服务、弱口令账号）

• 行为：分析异常行为模式（如同一个IP在短时间内尝试访问多个敏感端口）

• 情报：匹配云端威胁情报（如IOC黑名单、恶意域名解析记录）

山石网科BDS把碎片化的威胁信息转化为可理解、可处置的“攻击剧本”，帮助安全团队快速复盘攻击过程，提前识别类似攻击的早期迹象，实现从“被动防御”到“主动狩猎”的智能升级。

‌未来已来：用NDR重塑安全运营‌

在威胁狩猎从“人工研判”走向“智能运营”的今天，山石网科BDS网络威胁检测与响应系统不仅是一款NDR产品，更是企业构建主动防御体系的核心引擎。通过‌实时威胁可视、AI驱动狩猎、攻击链还原‌三大能力，BDS正在帮助金融、能源、医疗、政府等数百家客户实现安全运营效能的跨越式升级。

山石网科是中国网络安全行业的技术创新领导厂商，由一批知名网络安全技术骨干于2007年创立，并以首批网络安全企业的身份，于2019年9月登陆科创板（股票简称：山石网科，股票代码：688030）。

现阶段，山石网科掌握30项自主研发核心技术，申请560多项国内外专利。山石网科于2019年起，积极布局信创领域，致力于推动国内信息技术创新，并于2021年正式启动安全芯片战略。2023年进行自研ASIC安全芯片的技术研发，旨在通过自主创新，为用户提供更高效、更安全的网络安全保障。目前，山石网科已形成了具备“全息、量化、智能、协同”四大技术特点的涉及基础设施安全、云安全、数据安全、应用安全、安全运营、工业互联网安全、信息技术应用创新、安全服务、安全教育等九大类产品服务，50余个行业和场景的完整解决方案。