网络行为分析：对付旧敌人的新思路

核心提示：一种新出现的安全武器——网络行为分析（Network Behavior Analysis，NBA）工具，网络行为分析：对付旧敌人的新思路，宣称能阻止零日威胁，可监控网络流量，可用来管理网络及安全，它不同于传统流量识别系统的地方在于: 它能检查流量的行为，一旦发现网上的异常或者可疑行为，会发出实时

一种新出现的安全武器——网络行为分析（Network Behavior Analysis，NBA）工具，宣称能阻止零日威胁，可监控网络流量，一旦发现网上的异常或者可疑行为，会发出实时警报，甚至会阻断相应的行为。一些专家声称，部署网络行为分析工具后，甚至可以替代入侵检测（IDS）产品。

这是怎样的一种安全工具？它的工作原理是什么？它真的能取代IDS吗？本期特组织了一组讨论NBA的专题。

为什么需要网络行为分析

近年来，全球许多大公司都将“法规遵从”列入了自己的工作议程中，其原因在于：全球的立法机关和政府部门为了应对网络世界日益增多的各种安全威胁，都在不断与时俱进，相应出台了许多新的法规，比如美国出台了《支付卡行业数据安全标准》、《萨班斯－奥克斯利法案》和《健康保险可携性及责任性法案》等标准，中国政府出台了信息安全等级保护条例、信息系统灾难恢复指南标准，等等。这些标准与法规要求企业必须懂得数据如何得到安全的处理。企业不仅要保护网络安全、信息安全，还要通过全面的报告机制来证明自己的网络是安全的。

这些新标准的出台，证明各国政府对信息安全的重视与积极应对的态度，但遗憾的是，这些标准中并没有建议企业应该采取哪些具体的技术措施来帮助维护数据安全，这导致了各种安全技术的流行。

防火墙、反病毒软件、内容过滤器和验证系统等常规的安全工具逐渐被越来越多的用户接受，成为许多公司安全武器库当中的必要部分。但是随着网络变得日益复杂起来，这些工具越来越不能迅速识别及挫败越来越狡猾的威胁。因此，最近出现的一个新的技术手段——网络行为分析（NBA）工具逐渐开始流行，正是因为它结合了基于网络流的异常检测和网络性能监控，可用来管理网络及安全。它不同于传统流量识别系统的地方在于: 它能检查流量的行为，而不是检查流量是什么模样。