网络行为分析:对付旧敌人的新思路
2008-02-20 13:13:14 来源:WEB开发网很多防火墙厂商在防火墙中添加了反病毒和基于特征的内容过滤,但其效果也仅限于网络边界。大部分公司并没有采用内部防火墙来保护自己内部网或广域网(WAN)等其他专用的基础架构。即便使用了内部防火墙,这些技术仍受到特征库更新频率和准确性的局限。
NBA弥补不足
而新出现的行为分析工具(NBA)则克服了这些传统安全产品的不足。但它不是取代后者,而是后者一个很好的补充。NBA技术可收集及分析网络中的数据,提供流量分析和网络流报告。这是通过对流量信息运用统计算法来实现的。网络探测程序归类的流量异常情况常常被认为是攻击的前兆。很容易从NetFlow或者sFlow数据流中识别主机或者端口侦测和扫描行为。比如,如果出现了一种未知蠕虫,在它还没有被传统的入侵检测/预防系统的特征识别出来之前,NBA系统则能立即识别这种蠕虫不同寻常的流量模式,这种行为模式往往会寻找网络上可以被感染的邻近主机。NBA系统可以监控这些行为,并且向网络管理员发出报警。
NBA最吸引人的一项功能在于,它不再与网络边界联系。一个NetFlow或者sFlow收集设备能同时监控网络上的多个内部和边界的节点。另外,NBA可与现有的身份管理解决方案融合在一起,把流量异常与相应的用户名称联系起来,从而全面了解这个用户的网络活动。几种解决方案的无缝集合不但满足了法规遵从的要求,还能够解析异常流量——一直到解析用户名称,而不是单单解析IP地址。这种机制还有可能实现双向操作,那样还可以通过解析用户名称来识别IP地址,从而确定可疑用户遭遇的攻击面。这无疑提高了故障排除能力,并且加快了补救与安全相关的问题。
NBA填补了防火墙和入侵检测/预防系统(IDS/IPS)等静态安全产品留下的空缺。防火墙只能执行之前就存在的策略;IDS/IPS只能根据已知特征来检测及阻止攻击。NBA工具则可以不断监控及分析网络流量,查出某个零日攻击、已经变成垃圾邮件发送工具的某台客户机、含有敏感信息并且试图在凌晨3点连接到互联网的某台服务器等等。
Gartner公司的调研副总裁Paul Proctor表示:“NBA关注的是异常行为,但不一定表明它们是好的行动还是坏的行为。这样一来,NBA算得上是用户网络安全的最后一道防线。我们预计,随着企业不断寻求新技术来填补自己在全方位监控方面的空缺,企业对NBA的需求会不断增长,这种趋势会一直持续到2010年。”
更多精彩
赞助商链接