网络行为分析：对付旧敌人的新思路

很多防火墙厂商在防火墙中添加了反病毒和基于特征的内容过滤，但其效果也仅限于网络边界。大部分公司并没有采用内部防火墙来保护自己内部网或广域网（WAN）等其他专用的基础架构。即便使用了内部防火墙，这些技术仍受到特征库更新频率和准确性的局限。

NBA弥补不足

而新出现的行为分析工具（NBA）则克服了这些传统安全产品的不足。但它不是取代后者，而是后者一个很好的补充。NBA技术可收集及分析网络中的数据，提供流量分析和网络流报告。这是通过对流量信息运用统计算法来实现的。网络探测程序归类的流量异常情况常常被认为是攻击的前兆。很容易从NetFlow或者sFlow数据流中识别主机或者端口侦测和扫描行为。比如，如果出现了一种未知蠕虫，在它还没有被传统的入侵检测/预防系统的特征识别出来之前，NBA系统则能立即识别这种蠕虫不同寻常的流量模式，这种行为模式往往会寻找网络上可以被感染的邻近主机。NBA系统可以监控这些行为，并且向网络管理员发出报警。

NBA最吸引人的一项功能在于，它不再与网络边界联系。一个NetFlow或者sFlow收集设备能同时监控网络上的多个内部和边界的节点。另外，NBA可与现有的身份管理解决方案融合在一起，把流量异常与相应的用户名称联系起来，从而全面了解这个用户的网络活动。几种解决方案的无缝集合不但满足了法规遵从的要求，还能够解析异常流量——一直到解析用户名称，而不是单单解析IP地址。这种机制还有可能实现双向操作，那样还可以通过解析用户名称来识别IP地址，从而确定可疑用户遭遇的攻击面。这无疑提高了故障排除能力，并且加快了补救与安全相关的问题。

NBA填补了防火墙和入侵检测/预防系统（IDS/IPS）等静态安全产品留下的空缺。防火墙只能执行之前就存在的策略；IDS/IPS只能根据已知特征来检测及阻止攻击。NBA工具则可以不断监控及分析网络流量，查出某个零日攻击、已经变成垃圾邮件发送工具的某台客户机、含有敏感信息并且试图在凌晨3点连接到互联网的某台服务器等等。

Gartner公司的调研副总裁Paul Proctor表示：“NBA关注的是异常行为，但不一定表明它们是好的行动还是坏的行为。这样一来，NBA算得上是用户网络安全的最后一道防线。我们预计，随着企业不断寻求新技术来填补自己在全方位监控方面的空缺，企业对NBA的需求会不断增长，这种趋势会一直持续到2010年。”