NTA（Network Traffic Analysis）中文称为网络流量行为分析，是一个记录，审查和分析网络流量的过程，用于性能，安全性，网络等的操作和管理技术。在2019年2月底，Gartner发布了针对NTA的研究报告《Market Guide for Network Traffc Analysis》，其中建议采用行为分析作为规则匹配的补充，同时也建议防火墙等安全产品融合NTA-as-a-feature作为解决方案，提升异常流量检测的能力。

在实际使用过程中，深信服将NTA作为失陷主机检测的主要技术手段。深信服下一代防火墙本地具备130万主流失陷主机特征，通过特征规则匹配的方式检测并定位已知非法外联的失陷主机。由于攻击者为防止非法外联行为被发现，通常对C&C通信进行加密操作，例如使用DGA随机域名生成算法。此时，深信服防火墙通过云端威胁检测中心中的NTA异常流程检测引擎识别并发现内网失陷主机的非法外联行为。

NTA异常流量行为分析引擎基于AI+规则的闭环迭代发现异常流量，定位未知威胁。AI算法被越来越广泛的应用到安全检测中，其主要优势在于：

（1）当一个安全问题需要很多条特征才能准确描述时，AI算法能够通过统计分析为每条规则分配合适的权重；

（2）AI算法能够提取更高层次的特征，具备很强的泛化能力，能够挖掘出易被人工分析忽略的异常点。AI算法应用到安全检测领域最大的问题是可解释性比较差（特别是深度神经网络），而如何将检出结果清晰、准确的呈现给客户又是安全检测非常重要的一环。因此，单纯依赖AI算法并不能很好的解决安全检测问题。规则加阈值的方式具有很强的可解释性，却不具备AI算法处理复杂问题场景的能力以及发现未知异常的（泛化）能力。因此，有机的将AI与规则结合到一起，能够将二者形成互补，提升检测未知威胁的能力。

下图展示了如何有机的将AI算法与启发式规则进行结合，发挥安全专家与数据专家的能力，持续的发现未知的威胁。

数据专家利用AI算法的泛化能力将潜在的威胁发掘出来，然后安全专家通过对安全问题与场景的分析与理解，制定可解释强的规则对威胁进行定位。对于那些当前规则能够准确定位的威胁，报出安全事件，对客户进行告警。对于那些当前规则不能准确定位的异常，则会通过运营反馈到安全专家那里，如果是AI算法新发现的异常，安全专家对规则进行更新，从而能够准确定位出更多类型的异常行为.如果发现未能定位的异常是误报（包括不能准确向客户解释的场景），则会反馈给数据专家，对AI模型进行更新，从而提升AI算法的准确性。