什么是 Anyone-NDR

Anyone-NDR 是以开源项目 suricata 为基础构建的一款 NDR 产品，正如名字一样，我们希望 Anyone-NDR 能像大众熟知的杀毒软件一样，能让任何一个人轻松上手，发现自己网络中的攻击。

Anyone-NDR 通过直观 UI 和 AI 智能体，让任何人都能明白自己的网络此刻正发生什么攻击。依托 T-hunt 的全网威胁捕获能力，T-Atlas 闭环的检测规则为 Anyone-NDR 提供真实有效的检测能力。企业级多年的降噪方法论，保证 Anyone-NDR 不再因海量的误报而麻木。

为什么做这件事

从业者阴沟里翻船了？

去年年底我对家里的网络做了一次全面的升级，其中一项升级为增加 AdguardHome 作为家庭的 DNS 服务器，起初我只是希望对一些域名解析的自定义解析更方便一些，结果却发现自己阴沟里翻了船。在我将家庭网络所有的 DNS 解析指向 AdguardHome 一天后，我惊奇的发现，有一台设备一天之内发送了 3 万多次 DNS 请求。

第一时间通过 Adguard Home 配置了拦截规则后，我发现这台设备的请求还是没有停下来。

这些请求的域名看起来也不像 DGA 域名，我查看了请求的目标域名，看起来似乎是在收集用户信息，到这里我已经不太想深究下去了。

这台疯狂发出 DNS 请求的设备，是多年前我买过一款音箱，这款产品已经停售停产很久了，平时连着 wifi 我甚至都忘了它的存在，不知道你是否有感受，手机好像在偷听我们说话，我刚说了我想买什么，购物网站已经开始推送了，也许换个思路呢？家庭网络里面的智能家居设备，是不是也可能成为互联网巨头们绘制用户画像的手段之一呢？

做一个大家都能用的 NDR 吧！

投资圈里有一个“蟑螂理论”，当你在厨房看到一只蟑螂的时候，它背后还有更多。所以在经历过上述风波之后，我时常问自己一句：“我家里自托管的网络是否发生了攻击？”，我自己竟然也答不上来，企业级的设备太贵，开源的产品不好用，就没有一款产品能解决这个问题吗？

国内的网络安全企业，在产品研发上的投入远远大于安全研究，这导致很多企业在用做通用软件产品的思路在做安全产品。这似乎是很多企业/学者的思维定式，用复杂的算法，高深的技术，去解决本来很容易解决，很简单的问题。对于 NDR 这类网络安全产品而言，其产品的核心应该是能检测出攻击，一款杀毒软件杀不了毒那还能叫杀毒软件吗？NDR 产品高误报、高漏报你还用这东西干啥？

从 snort 到 suricata，即使是网络安全从业者，我也不太想自己部署这类产品，他们本身是非常优秀的项目，能否在他们走完 90 步的基础上，我来完成剩下的 10 步呢？