充分应用行为分析（NBA）工具

核心提示： Proctor说：“网络行为分析工具填补了像防火墙、入侵检测系统、入侵预防系统和安全信息及事件管理这些基于策略和特征的单点解决方案留下的空缺；如果没有专门进行配置以便发现威胁，那些单点方案是无法发现这些威胁的，充分应用行为分析（NBA）工具(4)，NBA技术是一种决策支持系统，

Proctor说：“网络行为分析工具填补了像防火墙、入侵检测系统、入侵预防系统和安全信息及事件管理这些基于策略和特征的单点解决方案留下的空缺；如果没有专门进行配置以便发现威胁，那些单点方案是无法发现这些威胁的。NBA技术是一种决策支持系统，它为网络知识丰富的操作人员提供了可视化的流量分析，那样他就能解释及分析网络上的各种可疑活动，并采取合适的响应措施。”

目前，提供NBA产品的厂商包括：Arbor Networks、思科、GraniteEdge Networks、Lancope、Mazu Networks、NitroSecurity、Q1 Labs、网捷网络和Sourcefire等。

说明

NBA的工作原理

扬基集团企业研究部门的高级分析师Phil Hochmuth这样分析NBA的工作原理：“NBA产品使用的是收集器，这可能是独立的服务器，也可能是专门的设备；然后将网络流（Netflow）、IP流信息（IPFIX）导出，或者将sFlow等数据发送到该收集器。”

将Netflow数据发送到收集器后，由网络节点处理的所有数据包的报头信息基本上会被收集并被发送出去，这好比是这个网络设备的航运日志。NBA产品收集来自支持网络流数据的所有网络设备的数据后，就会了解全面的情况，了解网络上的活动，比如哪些IP地址彼此联系、网络上在运行哪些应用等等。

除了基本的网络流数据收集外，NBA工具还提供了其他功能：它能发现及测绘IP网络上的所有设备（从客户机、服务器、交换机到路由器等等）。由于所有网络设备都作了说明，而且拥有从路由器和交换机收集的所有“航运日志”，NBA工具还能够进行复杂的网络流量分析。用户可以为网络行为建立基准性能模型、确认哪些方面存在网络拥塞或者利用率不足等问题；而且对安全人士来说最重要的是:它还能发现流量的异常情况。

Gartner公司的分析师Paul Proctor则从另一个角度解释NBA：NBA系统可以利用从思科公司的NetFlow或Juniper公司的cFlow等来源、或者从支持sFlow标准的来源收集的数据，进行网络流量的分析，还可以直接联系来自数据包分析的数据。这种系统可以结合使用确定性（特征）检测和非确定性（异常）检测，通知网络和安全操作人员出现的可疑活动，并且提供有关网络活动的情况，以便分析及响应。从根本上来说，NBA是让人们了解网络行为的一扇窗口，需要网络知识丰富的操作人员解读分析结果。