尽管向防火墙、入侵防御和杀毒投入了大量的资金，企业网络继续遭受内部滥用和攻击的灾祸。内部滥用和病毒爆发连续七年在CSI/FBI（计算机安全协会/联邦调查局）计算机犯罪与安全调查中排在榜首。网络运行中心的工作人员对于安全周边警报应接不暇，不能以老的方式与内部威胁作斗争。现在也许是考虑一种新方法的时候了，就是实施网络行为分析（NBA）。

　　为什么应用网络行为分析？

　　网络行为分析也称作网络行为异常探测，是一种比较新的产品领域，利用被动观察和描述找出通讯高峰、不正常的应用和违反政策的行为。传统的入侵防御系统解决方案（如Snort和Intrusion.com）通过串联通讯检测、特征检测和实时封锁等手段保护你的网络环境。然而，网络行为分析解决方案观察你的网络内部发生了什么事情，把来自许多点的流动数据结合在一起支持在线行为分析、关系描述、异常身份识别和人类辅助的“软接触”补救措施。

　　通过被动的运行，网络行为分析避免了延迟或者称为性能的瓶颈。通过监视你的网络的通讯流，网络行为分析能够检测到雇员使用被禁止的协议和被感染的笔记本电脑和可移动存储设备在防火墙后面的连接。通过把当前的行为与以前的行为相比较，网络行为分析能够发现没有使用补丁和病毒特征更新的零日攻击和蠕虫爆发。通过采取长期的观点，网络行为分析不仅支持纵深防御而且还能够启动容量规划和遵守法规的报告。

　　为你的网络增加网络行为分析

　　新兴的网络行为分析解决方案在术语和接口方面也许不同，但是，所有的解决方案都把传感器设备（也就是监视器或者收集器）分布到你的整个内部网络的通信量非常高的交汇处。网络行为分析传感器通常连接到局域网分接头或者交换机镜像端口。有些收集原始数据包，有些收集来自网络交换机和路由器的流动记录。例如，大多数网络行为分析产品能够使用NetFlow或者sFlow记录。这些记录存储了通过路由器或者交换机的每一个通讯流的IP地址、端口、协议和接口。

　　传感器把观察到的情况传送给一个中央分析器设备（也就是管理器或者控制器）。中央分析器创建一个你的网络的基线，观察客户机/服务器变化，它们使用的协议、数据速率、日期时间以及其它指标。这个基线一旦建立起来之后，这个分析器就会观察各种变化，如反应蠕虫爆发的通讯速率高峰或者绕过防火墙规则在80端口传送的不同寻常的P2P协议。大多数分析器都可以采用能够发现违规行为的基于区域的政策进行设置。否则，允许的通讯在许多系统的不同的工作组之间进行交换，就违反数据隔离规则。

　　当检测到异常行为时，这些分析器发布警告。基于任务的控制台让操作员查看报警，提供实时服务和用户行动的可视化资料并且生成一个事件调查的详细报告或者遵守法规的报告。由于它们不是在线运行的，网络行为分析产品并不自动封锁入侵。但是，一些网络行为分析产品能够采取止损行动，如向你的路由器、交换机或者防火墙增加一个临时的访问控制列表，隔离具有很大影响的蠕虫的明显来源。

　　选择正确的网络行为分析设备

　　1.考虑在你的网络的什么地方使用网络行为分析传感器设备。收集原始数据包的传感器在非常大的网络中是非常昂贵的。你可以围绕高价值的资产创建“安全区”。收集来自路由器和交换机的记录能够让你利用现有的网络基础设施以较少的传感器提供覆盖范围更广的网络行为分析。

　　2.检查传感器与你现有网络兼容性，比如在物理层、数据链路和网络层的兼容性，包括与各种版本的NetFlow和sFlow的兼容性，支持专有的流动协议，局域网端口的数量/类型和验证了兼容性的网络设备。对于某些产品来说，不同的观察模式需要不同型号的传感器。

　　3.网络行为分析传感器和你的中央分析器要与你的网络规模相匹配。例如，Mazu Network公司的“Profiler”以三种不同的配置销售，根据监视的主机数量（从2500台至40万台）和观察的数据流（从每分钟100K至1M）。对于大型办公室来说，考虑使用区域分析或者地区的流数据聚集。

　　4.分析器是任何网络行为分析的核心和灵魂。认真观察一下威胁是如何被检测到的，基线是如何在一段时间里进行调整的，区域和政策是如何设置的，以及警报是如何报告的。例如，网络行为分析应该自动学习谁经常与谁通话，以及他们多长时间进行一次通话以及什么时间通话。如果你的业务有非常繁忙的时候，网络行为分析会产生错报吗？当繁忙的时期过去之后，它如何迅速进行调整？它如何准确地做你的系统之间的关系模型？它如何准确地指出病毒爆发的根源？

　　5.网络行为分析正在发展人机接口：扩大与NMS和SIM系统的整合，提供为每个人的工作优化的客户化窗口，满足遵守法规的报告要求。例如，你的网络行为分析设备能够为你的路由器、交换机或者防火墙增加访问控制表吗？或者能够通过NMS协调这个行动吗？它能够通过咨询你的身份识别系统把报警与个人用户联系起来吗？用于特别查询和历史报告的数据应该保留多长时间？

　　6.同任何安全系统一样，查找加密的/身份识别的管理接口、增强的平台和高可用性。利用你的网络行为分析把这种关心扩展到所有的流数据来源。使用你的网络行为分析不仅是为了找到不应该出现的数据流和高峰，而且还用于发现应该在那里出现而没有出现的通讯和丢失的数据。

　　一些ISP厂商（如位于马里兰州哥伦比亚的Sourcefire公司）目前正在向自己的产品中增加网络行为分析功能以补充串联防御。行为分析还正在缓慢进入SIM产品中（如位于马萨诸塞州Andover的Enterasys网络公司）。但是，许多分析师认为，网络行为分析是一种截然不同的产品种类，在地点、任务和重点方面都有所不同。目前可用的网络行为分析设备如下：

• Arbor Networks Peakflow
  
• GraniteEdge ESP
  
• Lancope StealthWatch
  
• Mazu Networks Profiler
  
• Q1 Labs QRadar
  
• Securify Monitor