网络行为审计,Network Behavior Audit,国外更多的叫做Network Behavior Analysis(网络行为分析),Network Behavior Anomaly Detection (NBAD,网络行为异常检测)。这是一个新生事物,即便国外,出现的年头也不长。无论怎么称呼,其目的都是通过分析网络中的数据包、流量,借助协议分析技术,或者异常流量分析技术,来发现网络中的异常和违规行为,尤其是那些看似合法的行为。并且,有的产品在该技术上进行扩展,还具有网络行为控制、流量控制的功能。 网络行为审计是安全审计中较为重要的一种技术实现,其他安全审计技术还包括日志审计技术、本机代理审计技术、远程代理审计技术,具体可以参见这个文章。 NBA 的实现有多种方式,其中有两个最重要的分支: 基于*Flow 流量分析技术的NBA:通过收集网络设备的各种格式的Flow 日志来进行分析和审计,发现违规和异常行为,传统的网管厂商很多开始以此为进入安全的切入口;而安全厂商则将其归入的范畴。 基于抓包协议分析技术的NBA:通过侦听网络中的数据包来进行分析和审计,发现违规和异常行为,传统的安全厂商很多以此作为进入审计领域的切入点。 基于抓包协议分析技术的NBA 抓包型 NBA 技术及产品类型说明 抓包型网络行为审计(NBA)根据用途的不同、部署位置的不同,一般又分为两种子类型。 上网审计型:审计网络内部用户访问互联网的行为和内容、防止内部信息泄漏、用户违规行为,提升内部网络用户互联网上网行为的效率。 业务审计型:对网络中重要的业务系统(主机、服务器、应用软件、数据库等)进行保护,审计所有针对业务系统的网络操作,防止针对业务系统的违规操作和行为,提升核心业务系统的网络安全保障水平,尤其是信息和数据的安全保护能力,防止信息泄漏。 从上面按用途划分的定义可以看出,他们是两类不同的产品。上网审计的对象是用户及其上网行为,而业务审计的对象是核心业务系统及其远程操作。正因为如此,他们部署的位置有所不同。上网审计NBA 应该部署在互联网出口处,而业务审计NBA 则就近部署在核心业务安全域的边界(一般是核心业务系统所在的交换机处)。 下面是两类产品在技术层面的定义: 上网审计型:硬件设备,旁路/串路方式部署在用户互联网出口处。通过旁路侦听/数据报文截获的方式对内部网络连接到互联网(Internet)的数据流进行采集、分析和识别,基于应用层协议还原的行为和内容审计,例如针对网页浏览、网络聊天、收发邮件、P2P...
