如何进行网络行为分析
为什么应用网络行为分析?
网络行为分析也称作网络行为异常探测,是一种比较新的产品领域,利用被动观察和描述找出通讯高峰、不正常的应用和违反政策的行为。传统的入侵防御系统解决方案(如Snort和Intrusion.com)通过串联通讯检测、特征检测和实时封锁等手段保护你的网络环境。然而,网络行为分析解决方案观察你的网络内部发生了什么事情,把来自许多点的流动数据结合在一起支持在线行为分析、关系描述、异常身份识别和人类辅助的“软接触”补救措施。
通过被动的运行,网络行为分析避免了延迟或者称为性能的瓶颈。通过监视你的网络的通讯流,网络行为分析能够检测到雇员使用被禁止的协议和被感染的笔记本电脑和可移动存储设备在防火墙后面的连接。通过把当前的行为与以前的行为相比较,网络行为分析能够发现没有使用补丁和病毒特征更新的零日攻击和蠕虫爆发。通过采取长期的观点,网络行为分析不仅支持纵深防御而且还能够启动容量规划和遵守法规的报告。
为你的网络增加网络行为分析
新兴的网络行为分析解决方案在术语和接口方面也许不同,但是,所有的解决方案都把传感器设备(也就是监视器或者收集器)分布到你的整个内部网络的通信量非常高的交汇处。网络行为分析传感器通常连接到局域网分接头或者交换机镜像端口。有些收集原始数据包,有些收集来自网络交换机和路由器的流动记录。例如,大多数网络行为分析产品能够使用NetFlow或者sFlow记录。这些记录存储了通过路由器或者交换机的每一个通讯流的IP地址、端口、协议和接口。
传感器把观察到的情况传送给一个中央分析器设备(也就是管理器或者控制器)。中央分析器创建一个你的网络的基线,观察客户机/服务器变化,它们使用的协议、数据速率、日期时间以及其它指标。这个基线一旦建立起来之后,这个分析器就会观察各种变化,如反应蠕虫爆发的通讯速率高峰或者绕过防火墙规则在80端口传送的不同寻常的P2P协议。大多数分析器都可以采用能够发现违规行为的基于区域的政策进行设置。否则,允许的通讯在许多系统的不同的工作组之间进行交换,就违反数据隔离规则。
当检测到异常行为时,这些分析器发布警告。基于任务的控制台让操作员查看报警,提供实时服务和用户行动的可视化资料并且生成一个事件调查的详细报告或者遵守法规的报告。由于它们不是在线运行的,网络行为分析产品并不自动封锁入侵。但是,一些网络行为分析产品能够采取止损行动,如向你的路由器、交换机或者防火墙增加一个临时的访问控制列表,隔离具有很大影响的蠕虫的明显来源。
选择正确的网络行为分析设备
1.考虑在你的网络的什么地方使用网络行为分析传感器设备。收集原始数据包的传感器在非常大的网络中是非常昂贵的。你可以围绕高价值的资产创建“安全区”。收集来自路由器和交换机的记录能够让你利用现有的网络基础设施以较少的传感器提供覆盖范围更广的网络行为分析。
2.检查传感器与你现有网络兼容性,比如在物理层、数据链路和网络层的兼容性,包括与各种版本的NetFlow和sFlow的兼容性,支持专有的流动协议,局域网端口的数量/类型和验证了兼容性的网络设备。对于某些产品来说,不同的观察模式需要不同型号的传感器。
3.网络行为分析传感器和你的中央分析器要与你的网络规模相匹配。例如,Mazu Network公司的“Profiler”以三种不同的配置销售,根据监视的主机数量(从2500台至40万台)和观察的数据流(从每分钟100K至1M)。对于大型办公室来说,考虑使用区域分析或者地区的流数据聚集。
4.分析器是任何网络行为分析的核心和灵魂。认真观察一下威胁是如何被检测到的,基线是如何在一段时间里进行调整的,区域和政策是如何设置的,以及警报是如何报告的。例如,网络行为分析应该自动学习谁经常与谁通话,以及他们多长时间进行一次通话以及什么时间通话。如果你的业务有非常繁忙的时候,网络行为分析会产生错报吗?当繁忙的时期过去之后,它如何迅速进行调整?它如何准确地做你的系统之间的关系模型?它如何准确地指出病毒爆发的根源?
5.网络行为分析正在发展人机接口:扩大与NMS和SIM系统的整合,提供为每个人的工作优化的客户化窗口,满足遵守法规的报告要求。例如,你的网络行为分析设备能够为你的路由器、交换机或者防火墙增加访问控制表吗?或者能够通过NMS协调这个行动吗?它能够通过咨询你的身份识别系统把报警与个人用户联系起来吗?用于特别查询和历史报告的数据应该保留多长时间?
6.同任何安全系统一样,查找加密的/身份识别的管理接口、增强的平台和高可用性。利用你的网络行为分析把这种关心扩展到所有的流数据来源。使用你的网络行为分析不仅是为了找到不应该出现的数据流和高峰,而且还用于发现应该在那里出现而没有出现的通讯和丢失的数据。
一些ISP厂商(如位于马里兰州哥伦比亚的Sourcefire公司)目前正在向自己的产品中增加网络行为分析功能以补充串联防御。行为分析还正在缓慢进入SIM产品中(如位于马萨诸塞州Andover的Enterasys网络公司)。但是,许多分析师认为,网络行为分析是一种截然不同的产品种类,在地点、任务和重点方面都有所不同。目前可用的网络行为分析设备如下:
·Arbor Networks Peakflow
·GraniteEdge ESP
·Lancope StealthWatch
·Mazu Networks Profiler
·Q1 Labs QRadar
·Securify Monitor
翻译:东缘
- 1移动OA研究:企业应用不深 重点集中在事务处理
- 2选型OA切忌眼光过分“长远”
- 3四种方式搭建网络电视直播系统
- 42013年OA办公系统流程管理发展展望
- 5为什么网络只发不收?
- 610项Windows Live功能
- 7不同的人对OA的认识是不同的
- 8“弃本逐末”只会令OA市场方寸大乱
- 9OA办公系统选购法则:理性、务实,永远
- 10白领叫苦不迭?OA系统让工作事半功倍
- 11用EJB 3.0简化企业Java开发
- 12好OA软件的标准单位在选择前明确吗?
- 13网络管理员避免10种愚蠢行为
- 14移动OA 外出碎片时间也可创效益
- 15OA系统全解:信息发布变通途
- 16从辅助品到必需品 信息化背景下OA华丽转身
- 17大数据时代下 企业信息化还有多远要走
- 18泛普软件:OA软件业进入“加强版”竞争阶段
- 19OA系统将审批自动化
- 20吉安建设OA办公系统
- 21核心网网络测试技术
- 226款千兆防火墙产品横向比较评测
- 23七种IP拥塞控制算法需改进
- 24网络入侵两种思路
- 25泛普软件:智能化扑面而来 智OA蓄势崛起
- 26手机智能化有所为 OA办公系统价值延伸
- 27IP基础网络的新发展
- 28OA让二手房企业信息化畅通无阻
- 29间谍软件的惯用手法
- 30OA系统为企业创造更多的价值