网络行为分析可以加快解决网络问题的速度

      网络行为分析防火墙、反病毒软件、内容过滤器和验证系统等常规的安全工具逐渐被越来越多的用户接受，成为许多公司安全武器库当中的必要部分。但是随着网络变得日益复杂起来，这些工具越来越不能迅速识别及挫败越来越狡猾的威胁。因此，最近出现的一个新的技术手段——网络行为分析（NBA）工具逐渐开始流行，正是因为它结合了基于网络流的异常检测和网络性能监控，可用来管理网络及安全。它不同于传统流量识别系统的地方在于: 它能检查流量的行为，而不是检查流量是什么模样。
NBA弥补不足

     而新出现的网络行为分析工具（NBA）则克服了这些传统安全产品的不足。但它不是取代后者，而是后者一个很好的补充。NBA技术可收集及分析网络中的数据，提供流量分析和网络流报告。这是通过对流量信息运用统计算法来实现的。网络探测程序归类的流量异常情况常常被认为是攻击的前兆。很容易从NetFlow或者sFlow数据流中识别主机或者端口侦测和扫描行为。比如，如果出现了一种未知蠕虫，在它还没有被传统的入侵检测/预防系统的特征识别出来之前，NBA系统则能立即识别这种蠕虫不同寻常的流量模式，这种行为模式往往会寻找网络上可以被感染的邻近主机。NBA系统可以监控这些行为，并且向网络管理员发出报警。

    NBA最吸引人的一项功能在于，网络行为分析它不再与网络边界联系。一个NetFlow或者sFlow收集设备能同时监控网络上的多个内部和边界的节点。另外，NBA可与现有的身份管理解决方案融合在一起，把流量异常与相应的用户名称联系起来，从而全面了解这个用户的网络活动。几种解决方案的无缝集合不但满足了法规遵从的要求，还能够解析异常流量——一直到解析用户名称，而不是单单解析IP地址。这种机制还有可能实现双向操作，那样还可以通过解析用户名称来识别IP地址，从而确定可疑用户遭遇的攻击面。这无疑提高了故障排除能力，并且加快了补救与安全相关的问题。
　　

　　网络行为分析也称作网络行为异常探测，是一种比较新的产品领域，利用被动观察和描述找出通讯高峰、不正常的应用和违反政策的行为。传统的入侵防御系统解决方案(如Snort和Intrusion.com)通过串联通讯检测、特征检测和实时封锁等手段保护你的网络环境。然而，网络行为分析解决方案观察你的网络内部发生了什么事情，把来自许多点的流动数据结合在一起支持在线行为分析、关系描述、异常身份识别和人类辅助的“软接触”补救措施。

　　通过被动的运行，网络行为分析避免了延迟或者称为性能的瓶颈。通过监视你的网络的通讯流，网络行为分析能够检测到雇员使用被禁止的协议和被感染的笔记本电脑和可移动存储设备在防火墙后面的连接。通过把当前的行为与以前的行为相比较，网络行为分析能够发现没有使用补丁和病毒特征更新的零日攻击和蠕虫爆发。通过采取长期的观点，网络行为分析不仅支持纵深防御而且还能够启动容量规划和遵守法规的报告。

网络行为分析尚存不足

    网络行为分析在PC和互联网得到广泛使用之前，公司网络通常使用专有的协议和专用硬件来进行内外网隔离。针对这种通过“黑盒子”方式提供安全的模式，黑客和病毒编写者为了攻击系统，不得不了解每个攻击目标存在的各种安全漏洞。因此，黑客对目标的攻击往往仅局限于单独的系统，很难发动大规模的攻击。而如今，我们生活在PC主导企业、互联网是公司业务必要组成部分的大环境下，这种技术的一致性在创造了便利的同时，也为黑客、病毒编写者及信息世界的其他不法分子提供了可乘之机。

       一些安全应用软件（如反病毒软件）往往依靠特征引擎（signature engine）来识别威胁。特征引擎将产生的数据与病毒库中已有病毒特征进行对比。如果特征引擎发现两者匹配，那么它就会发出报警，或者采取某种措施来缓解威胁。基于特征的威胁识别对付已知威胁非常有效，但在识别未知威胁方面效果有限，这就暴露了特征引擎模式存在的巨大缺陷。变通办法是不断更新病毒特征库。但是在新威胁出现，反病毒软件厂商努力开发出合适的特征代码时，已经存在明显的时差了：不管停机还是被全面感染，用户的网络都可能面临惨重损失。而且许多病毒和蠕虫很容易伪装和变种，这样反病毒引擎在下一次特征更新之前很难发现它们。

　　1.网络行为分析考虑在你的网络的什么地方使用网络行为分析传感器设备。收集原始数据包的传感器在非常大的网络中是非常昂贵的。你可以围绕高价值的资产创建“安全区”。收集来自路由器和交换机的记录能够让你利用现有的网络基础设施以较少的传感器提供覆盖范围更广的网络行为分析。

　　2.检查传感器与你现有网络兼容性，比如在物理层、数据链路和网络层的兼容性，包括与各种版本的NetFlow和sFlow的兼容性，支持专有的流动协议，局域网端口的数量/类型和验证了兼容性的网络设备。对于某些产品来说，不同的观察模式需要不同型号的传感器。

　　3.网络行为分析传感器和你的中央分析器要与你的网络规模相匹配。例如，Mazu Network公司的“Profiler”以三种不同的配置销售，根据监视的主机数量(从2500台至40万台)和观察的数据流(从每分钟100K至1M)。对于大型办公室来说，考虑使用区域分析或者地区的流数据聚集。

　　4.分析器是任何网络行为分析的核心和灵魂。认真观察一下威胁是如何被检测到的，基线是如何在一段时间里进行调整的，区域和政策是如何设置的，以及警报是如何报告的。例如，网络行为分析应该自动学习谁经常与谁通话，以及他们多长时间进行一次通话以及什么时间通话。如果你的业务有非常繁忙的时候，网络行为分析会产生错报吗?当繁忙的时期过去之后，它如何迅速进行调整?它如何准确地做你的系统之间的关系模型?它如何准确地指出病毒爆发的根源?

　　5.网络行为分析正在发展人机接口:扩大与NMS和SIM系统的整合，提供为每个人的工作优化的客户化窗口，满足遵守法规的报告要求。例如，你的网络行为分析设备能够为你的路由器、交换机或者防火墙增加访问控制表吗?或者能够通过NMS协调这个行动吗?它能够通过咨询你的身份识别系统把报警与个人用户联系起来吗?用于特别查询和历史报告的数据应该保留多长时间?