网络行为审计,Network Behavior Audit,国外更多的叫做Network Behavior Analysis(网络行为分析),Network Behavior Anomaly Detection (NBAD,网络行为异常检测)
这是一个新生事物,即便国外,出现的年头也不长
无论怎么称呼,其目的都是通过分析网络中的数据包、流量,借助协议分析技术,或者异常流量分析技术,来发现网络中的异常和违规行为,尤其是那些看似合法的行为
并且,有的产品在该技术上进行扩展,还具有网络行为控制、流量控制的功能
网络行为审计是安全审计中较为重要的一种技术实现,其他安全审计技术还包括日志审计技术、本机代理审计技术、远程代理审计技术,具体可以参见这个文章
NBA 的实现有多种方式,其中有两个最重要的分支: 基于*Flow 流量分析技术的NBA:通过收集网络设备的各种格式的Flow 日志来进行分析和审计,发现违规和异常行为,传统的网管厂商很多开始以此为进入安全的切入口;而安全厂商则将其归入的范畴
基于抓包协议分析技术的NBA:通过侦听网络中的数据包来进行分析和审计,发现违规和异常行为,传统的安全厂商很多以此作为进入审计领域的切入点
基于抓包协议分析技术的NBA 抓包型 NBA 技术及产品类型说明 抓包型网络行为审计(NBA)根据用途的不同、部署位置的不同,一般又分为两种子类型
上网审计型:审计网络内部用户访问互联网的行为和内容、防止内部信息泄漏、用户违规行为,提升内部网络用户互联网上网行为的效率
业务审计型:对网络中重要的业务系统(主机、服务器、应用软件、数据库等)进行保护,审计所有针对业务系统的网络操作,防止针对业务系统的违规操作和行为,提升核心业务系统的网络安全保障水平,尤其是信息和数据的安全保护能力,防止信息泄漏
从上面按用途划分的定义可以看出,他们是两类不同的产品
