神马文学网网络行为分析:对付旧敌人的新思路
来源:百度文库 编辑:神马文学网 时间:2024/04/28 16:57:35
(计算机世界报 2008年02月04日第05期 50)
2008-02-03 22:09:45
一种新出现的安全武器——网络行为分析(Network Behavior Analysis,NBA)工具,宣称能阻止零日威胁,可监控网络流量,一旦发现网上的异常或者可疑行为,会发出实时警报,甚至会阻断相应的行为。一些专家声称,部署网络行为分析工具后,甚至可以替代入侵检测(IDS)产品。
这是怎样的一种安全工具?它的工作原理是什么?它真的能取代IDS吗?本期特组织了一组讨论NBA的专题。
■ 本报记者 胡镌芮 沈建
为什么需要
网络行为分析
近年来,全球许多大公司都将“法规遵从”列入了自己的工作议程中,其原因在于:全球的立法机关和政府部门为了应对网络世界日益增多的各种安全威胁,都在不断与时俱进,相应出台了许多新的法规,比如美国出台了《支付卡行业数据安全标准》、《萨班斯-奥克斯利法案》和《健康保险可携性及责任性法案》等标准,中国政府出台了信息安全等级保护条例、信息系统灾难恢复指南标准,等等。这些标准与法规要求企业必须懂得数据如何得到安全的处理。企业不仅要保护网络安全、信息安全,还要通过全面的报告机制来证明自己的网络是安全的。
这些新标准的出台,证明各国政府对信息安全的重视与积极应对的态度,但遗憾的是,这些标准中并没有建议企业应该采取哪些具体的技术措施来帮助维护数据安全,这导致了各种安全技术的流行。
防火墙、反病毒软件、内容过滤器和验证系统等常规的安全工具逐渐被越来越多的用户接受,成为许多公司安全武器库当中的必要部分。但是随着网络变得日益复杂起来,这些工具越来越不能迅速识别及挫败越来越狡猾的威胁。因此,最近出现的一个新的技术手段——网络行为分析(NBA)工具逐渐开始流行,正是因为它结合了基于网络流的异常检测和网络性能监控,可用来管理网络及安全。它不同于传统流量识别系统的地方在于: 它能检查流量的行为,而不是检查流量是什么模样。
传统安全措施
尚存不足
在PC和互联网得到广泛使用之前,公司网络通常使用专有的协议和专用硬件来进行内外网隔离。针对这种通过“黑盒子”方式提供安全的模式,黑客和病毒编写者为了攻击系统,不得不了解每个攻击目标存在的各种安全漏洞。因此,黑客对目标的攻击往往仅局限于单独的系统,很难发动大规模的攻击。而如今,我们生活在PC主导企业、互联网是公司业务必要组成部分的大环境下,这种技术的一致性在创造了便利的同时,也为黑客、病毒编写者及信息世界的其他不法分子提供了可乘之机。
一些安全应用软件(如反病毒软件)往往依靠特征引擎(signature engine)来识别威胁。特征引擎将产生的数据与病毒库中已有病毒特征进行对比。如果特征引擎发现两者匹配,那么它就会发出报警,或者采取某种措施来缓解威胁。基于特征的威胁识别对付已知威胁非常有效,但在识别未知威胁方面效果有限,这就暴露了特征引擎模式存在的巨大缺陷。变通办法是不断更新病毒特征库。但是在新威胁出现,反病毒软件厂商努力开发出合适的特征代码时,已经存在明显的时差了:不管停机还是被全面感染,用户的网络都可能面临惨重损失。而且许多病毒和蠕虫很容易伪装和变种,这样反病毒引擎在下一次特征更新之前很难发现它们。
传统的安全产品历来侧重于保护网络边界,因此很多公司在网络边界上使用了防火墙,但遗憾的是,现实普遍的情况是,网络的核心更不安全。因此,包括赛门铁克在内的很多安全产品提供商提出了端点防护的建议,端点安全似乎是堵住这种缺口的一种方法,但这种方法在大型网络上很不方便,因为用户往往有许多不同的应用,所以那些“一应俱全式”的单一桌面配置方法很难实现。更司空见惯的情况是,我们需要配置多个桌面及配置多个用户文件,所以公司需要很多端点安全策略。
很多防火墙厂商在防火墙中添加了反病毒和基于特征的内容过滤,但其效果也仅限于网络边界。大部分公司并没有采用内部防火墙来保护自己内部网或广域网(WAN)等其他专用的基础架构。即便使用了内部防火墙,这些技术仍受到特征库更新频率和准确性的局限。
NBA弥补不足
而新出现的行为分析工具(NBA)则克服了这些传统安全产品的不足。但它不是取代后者,而是后者一个很好的补充。NBA技术可收集及分析网络中的数据,提供流量分析和网络流报告。这是通过对流量信息运用统计算法来实现的。网络探测程序归类的流量异常情况常常被认为是攻击的前兆。很容易从NetFlow或者sFlow数据流中识别主机或者端口侦测和扫描行为。比如,如果出现了一种未知蠕虫,在它还没有被传统的入侵检测/预防系统的特征识别出来之前,NBA系统则能立即识别这种蠕虫不同寻常的流量模式,这种行为模式往往会寻找网络上可以被感染的邻近主机。NBA系统可以监控这些行为,并且向网络管理员发出报警。
NBA最吸引人的一项功能在于,它不再与网络边界联系。一个NetFlow或者sFlow收集设备能同时监控网络上的多个内部和边界的节点。另外,NBA可与现有的身份管理解决方案融合在一起,把流量异常与相应的用户名称联系起来,从而全面了解这个用户的网络活动。几种解决方案的无缝集合不但满足了法规遵从的要求,还能够解析异常流量——一直到解析用户名称,而不是单单解析IP地址。这种机制还有可能实现双向操作,那样还可以通过解析用户名称来识别IP地址,从而确定可疑用户遭遇的攻击面。这无疑提高了故障排除能力,并且加快了补救与安全相关的问题。
NBA填补了防火墙和入侵检测/预防系统(IDS/IPS)等静态安全产品留下的空缺。防火墙只能执行之前就存在的策略;IDS/IPS只能根据已知特征来检测及阻止攻击。NBA工具则可以不断监控及分析网络流量,查出某个零日攻击、已经变成垃圾邮件发送工具的某台客户机、含有敏感信息并且试图在凌晨3点连接到互联网的某台服务器等等。
Gartner公司的调研副总裁Paul Proctor表示:“NBA关注的是异常行为,但不一定表明它们是好的行动还是坏的行为。这样一来,NBA算得上是用户网络安全的最后一道防线。我们预计,随着企业不断寻求新技术来填补自己在全方位监控方面的空缺,企业对NBA的需求会不断增长,这种趋势会一直持续到2010年。”
2008-02-03 22:09:45
一种新出现的安全武器——网络行为分析(Network Behavior Analysis,NBA)工具,宣称能阻止零日威胁,可监控网络流量,一旦发现网上的异常或者可疑行为,会发出实时警报,甚至会阻断相应的行为。一些专家声称,部署网络行为分析工具后,甚至可以替代入侵检测(IDS)产品。
这是怎样的一种安全工具?它的工作原理是什么?它真的能取代IDS吗?本期特组织了一组讨论NBA的专题。
■ 本报记者 胡镌芮 沈建
为什么需要
网络行为分析
近年来,全球许多大公司都将“法规遵从”列入了自己的工作议程中,其原因在于:全球的立法机关和政府部门为了应对网络世界日益增多的各种安全威胁,都在不断与时俱进,相应出台了许多新的法规,比如美国出台了《支付卡行业数据安全标准》、《萨班斯-奥克斯利法案》和《健康保险可携性及责任性法案》等标准,中国政府出台了信息安全等级保护条例、信息系统灾难恢复指南标准,等等。这些标准与法规要求企业必须懂得数据如何得到安全的处理。企业不仅要保护网络安全、信息安全,还要通过全面的报告机制来证明自己的网络是安全的。
这些新标准的出台,证明各国政府对信息安全的重视与积极应对的态度,但遗憾的是,这些标准中并没有建议企业应该采取哪些具体的技术措施来帮助维护数据安全,这导致了各种安全技术的流行。
防火墙、反病毒软件、内容过滤器和验证系统等常规的安全工具逐渐被越来越多的用户接受,成为许多公司安全武器库当中的必要部分。但是随着网络变得日益复杂起来,这些工具越来越不能迅速识别及挫败越来越狡猾的威胁。因此,最近出现的一个新的技术手段——网络行为分析(NBA)工具逐渐开始流行,正是因为它结合了基于网络流的异常检测和网络性能监控,可用来管理网络及安全。它不同于传统流量识别系统的地方在于: 它能检查流量的行为,而不是检查流量是什么模样。
传统安全措施
尚存不足
在PC和互联网得到广泛使用之前,公司网络通常使用专有的协议和专用硬件来进行内外网隔离。针对这种通过“黑盒子”方式提供安全的模式,黑客和病毒编写者为了攻击系统,不得不了解每个攻击目标存在的各种安全漏洞。因此,黑客对目标的攻击往往仅局限于单独的系统,很难发动大规模的攻击。而如今,我们生活在PC主导企业、互联网是公司业务必要组成部分的大环境下,这种技术的一致性在创造了便利的同时,也为黑客、病毒编写者及信息世界的其他不法分子提供了可乘之机。
一些安全应用软件(如反病毒软件)往往依靠特征引擎(signature engine)来识别威胁。特征引擎将产生的数据与病毒库中已有病毒特征进行对比。如果特征引擎发现两者匹配,那么它就会发出报警,或者采取某种措施来缓解威胁。基于特征的威胁识别对付已知威胁非常有效,但在识别未知威胁方面效果有限,这就暴露了特征引擎模式存在的巨大缺陷。变通办法是不断更新病毒特征库。但是在新威胁出现,反病毒软件厂商努力开发出合适的特征代码时,已经存在明显的时差了:不管停机还是被全面感染,用户的网络都可能面临惨重损失。而且许多病毒和蠕虫很容易伪装和变种,这样反病毒引擎在下一次特征更新之前很难发现它们。
传统的安全产品历来侧重于保护网络边界,因此很多公司在网络边界上使用了防火墙,但遗憾的是,现实普遍的情况是,网络的核心更不安全。因此,包括赛门铁克在内的很多安全产品提供商提出了端点防护的建议,端点安全似乎是堵住这种缺口的一种方法,但这种方法在大型网络上很不方便,因为用户往往有许多不同的应用,所以那些“一应俱全式”的单一桌面配置方法很难实现。更司空见惯的情况是,我们需要配置多个桌面及配置多个用户文件,所以公司需要很多端点安全策略。
很多防火墙厂商在防火墙中添加了反病毒和基于特征的内容过滤,但其效果也仅限于网络边界。大部分公司并没有采用内部防火墙来保护自己内部网或广域网(WAN)等其他专用的基础架构。即便使用了内部防火墙,这些技术仍受到特征库更新频率和准确性的局限。
NBA弥补不足
而新出现的行为分析工具(NBA)则克服了这些传统安全产品的不足。但它不是取代后者,而是后者一个很好的补充。NBA技术可收集及分析网络中的数据,提供流量分析和网络流报告。这是通过对流量信息运用统计算法来实现的。网络探测程序归类的流量异常情况常常被认为是攻击的前兆。很容易从NetFlow或者sFlow数据流中识别主机或者端口侦测和扫描行为。比如,如果出现了一种未知蠕虫,在它还没有被传统的入侵检测/预防系统的特征识别出来之前,NBA系统则能立即识别这种蠕虫不同寻常的流量模式,这种行为模式往往会寻找网络上可以被感染的邻近主机。NBA系统可以监控这些行为,并且向网络管理员发出报警。
NBA最吸引人的一项功能在于,它不再与网络边界联系。一个NetFlow或者sFlow收集设备能同时监控网络上的多个内部和边界的节点。另外,NBA可与现有的身份管理解决方案融合在一起,把流量异常与相应的用户名称联系起来,从而全面了解这个用户的网络活动。几种解决方案的无缝集合不但满足了法规遵从的要求,还能够解析异常流量——一直到解析用户名称,而不是单单解析IP地址。这种机制还有可能实现双向操作,那样还可以通过解析用户名称来识别IP地址,从而确定可疑用户遭遇的攻击面。这无疑提高了故障排除能力,并且加快了补救与安全相关的问题。
NBA填补了防火墙和入侵检测/预防系统(IDS/IPS)等静态安全产品留下的空缺。防火墙只能执行之前就存在的策略;IDS/IPS只能根据已知特征来检测及阻止攻击。NBA工具则可以不断监控及分析网络流量,查出某个零日攻击、已经变成垃圾邮件发送工具的某台客户机、含有敏感信息并且试图在凌晨3点连接到互联网的某台服务器等等。
Gartner公司的调研副总裁Paul Proctor表示:“NBA关注的是异常行为,但不一定表明它们是好的行动还是坏的行为。这样一来,NBA算得上是用户网络安全的最后一道防线。我们预计,随着企业不断寻求新技术来填补自己在全方位监控方面的空缺,企业对NBA的需求会不断增长,这种趋势会一直持续到2010年。”
网络行为分析:对付旧敌人的新思路
网络行为分析可以加快解决网络问题的速度
资本主义对付中国的“十条诫令”(旧文)
远程网络教学中学习者行为间隔的量化分析与反思
远程网络教学中学习者行为间隔的量化分析与反思
远程网络教学中学习者行为间隔的量化分析与反思
远程网络教学中学习者行为间隔的量化分析与反思 - netbig.com
网络中美丽的行为
网络中美丽的行为
偷窃行为的经济学分析
爱情行为的经济学分析
博彩行为的经济分析
腐败行为的动机分析
女性的行为、性格分析
腐败行为的动机分析
【转】我对付行为困难生学生的几招
美国中情局对付中国的“十条诫令”分析
美国中情局对付中国的“十条诫令”分析
黔驴技穷的美国:与昔日的敌人越南合作对付中国
组图 :*网络中最美丽的行为*
网络中最美丽的行为
网络中最美丽的行为
网络中最美丽的行为
网络中最美丽的行为