如何進(jìn)行網(wǎng)絡(luò)行為分析

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

為什么應(yīng)用網(wǎng)絡(luò)行為分析?

網(wǎng)絡(luò)行為分析也稱(chēng)作網(wǎng)絡(luò)行為異常探測(cè)，是一種比較新的產(chǎn)品領(lǐng)域，利用被動(dòng)觀察和描述找出通訊高峰、不正常的應(yīng)用和違反政策的行為。傳統(tǒng)的入侵防御系統(tǒng)解決方案(如Snort和Intrusion.com)通過(guò)串聯(lián)通訊檢測(cè)、特征檢測(cè)和實(shí)時(shí)封鎖等手段保護(hù)你的網(wǎng)絡(luò)環(huán)境。然而，網(wǎng)絡(luò)行為分析解決方案觀察你的網(wǎng)絡(luò)內(nèi)部發(fā)生了什么事情，把來(lái)自許多點(diǎn)的流動(dòng)數(shù)據(jù)結(jié)合在一起支持在線行為分析、關(guān)系描述、異常身份識(shí)別和人類(lèi)輔助的“軟接觸”補(bǔ)救措施。

通過(guò)被動(dòng)的運(yùn)行，網(wǎng)絡(luò)行為分析避免了延遲或者稱(chēng)為性能的瓶頸。通過(guò)監(jiān)視你的網(wǎng)絡(luò)的通訊流，網(wǎng)絡(luò)行為分析能夠檢測(cè)到雇員使用被禁止的協(xié)議和被感染的筆記本電腦和可移動(dòng)存儲(chǔ)設(shè)備在防火墻后面的連接。通過(guò)把當(dāng)前的行為與以前的行為相比較，網(wǎng)絡(luò)行為分析能夠發(fā)現(xiàn)沒(méi)有使用補(bǔ)丁和病毒特征更新的零日攻擊和蠕蟲(chóng)爆發(fā)。通過(guò)采取長(zhǎng)期的觀點(diǎn)，網(wǎng)絡(luò)行為分析不僅支持縱深防御而且還能夠啟動(dòng)容量規(guī)劃和遵守法規(guī)的報(bào)告。

為你的網(wǎng)絡(luò)增加網(wǎng)絡(luò)行為分析

新興的網(wǎng)絡(luò)行為分析解決方案在術(shù)語(yǔ)和接口方面也許不同，但是，所有的解決方案都把傳感器設(shè)備(也就是監(jiān)視器或者收集器)分布到你的整個(gè)內(nèi)部網(wǎng)絡(luò)的通信量非常高的交匯處。網(wǎng)絡(luò)行為分析傳感器通常連接到局域網(wǎng)分接頭或者交換機(jī)鏡像端口。有些收集原始數(shù)據(jù)包，有些收集來(lái)自網(wǎng)絡(luò)交換機(jī)和路由器的流動(dòng)記錄。例如，大多數(shù)網(wǎng)絡(luò)行為分析產(chǎn)品能夠使用NetFlow或者sFlow記錄。這些記錄存儲(chǔ)了通過(guò)路由器或者交換機(jī)的每一個(gè)通訊流的IP地址、端口、協(xié)議和接口。

傳感器把觀察到的情況傳送給一個(gè)中央分析器設(shè)備(也就是管理器或者控制器)。中央分析器創(chuàng)建一個(gè)你的網(wǎng)絡(luò)的基線，觀察客戶(hù)機(jī)/服務(wù)器變化，它們使用的協(xié)議、數(shù)據(jù)速率、日期時(shí)間以及其它指標(biāo)。這個(gè)基線一旦建立起來(lái)之后，這個(gè)分析器就會(huì)觀察各種變化，如反應(yīng)蠕蟲(chóng)爆發(fā)的通訊速率高峰或者繞過(guò)防火墻規(guī)則在80端口傳送的不同尋常的P2P協(xié)議。大多數(shù)分析器都可以采用能夠發(fā)現(xiàn)違規(guī)行為的基于區(qū)域的政策進(jìn)行設(shè)置。否則，允許的通訊在許多系統(tǒng)的不同的工作組之間進(jìn)行交換，就違反數(shù)據(jù)隔離規(guī)則。

當(dāng)檢測(cè)到異常行為時(shí)，這些分析器發(fā)布警告?；谌蝿?wù)的控制臺(tái)讓操作員查看報(bào)警，提供實(shí)時(shí)服務(wù)和用戶(hù)行動(dòng)的可視化資料并且生成一個(gè)事件調(diào)查的詳細(xì)報(bào)告或者遵守法規(guī)的報(bào)告。由于它們不是在線運(yùn)行的，網(wǎng)絡(luò)行為分析產(chǎn)品并不自動(dòng)封鎖入侵。但是，一些網(wǎng)絡(luò)行為分析產(chǎn)品能夠采取止損行動(dòng)，如向你的路由器、交換機(jī)或者防火墻增加一個(gè)臨時(shí)的訪問(wèn)控制列表，隔離具有很大影響的蠕蟲(chóng)的明顯來(lái)源。

選擇正確的網(wǎng)絡(luò)行為分析設(shè)備

1.考慮在你的網(wǎng)絡(luò)的什么地方使用網(wǎng)絡(luò)行為分析傳感器設(shè)備。收集原始數(shù)據(jù)包的傳感器在非常大的網(wǎng)絡(luò)中是非常昂貴的。你可以圍繞高價(jià)值的資產(chǎn)創(chuàng)建“安全區(qū)”。收集來(lái)自路由器和交換機(jī)的記錄能夠讓你利用現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施以較少的傳感器提供覆蓋范圍更廣的網(wǎng)絡(luò)行為分析。

2.檢查傳感器與你現(xiàn)有網(wǎng)絡(luò)兼容性，比如在物理層、數(shù)據(jù)鏈路和網(wǎng)絡(luò)層的兼容性，包括與各種版本的NetFlow和sFlow的兼容性，支持專(zhuān)有的流動(dòng)協(xié)議，局域網(wǎng)端口的數(shù)量/類(lèi)型和驗(yàn)證了兼容性的網(wǎng)絡(luò)設(shè)備。對(duì)于某些產(chǎn)品來(lái)說(shuō)，不同的觀察模式需要不同型號(hào)的傳感器。

3.網(wǎng)絡(luò)行為分析傳感器和你的中央分析器要與你的網(wǎng)絡(luò)規(guī)模相匹配。例如，Mazu Network公司的“Profiler”以三種不同的配置銷(xiāo)售，根據(jù)監(jiān)視的主機(jī)數(shù)量(從2500臺(tái)至40萬(wàn)臺(tái))和觀察的數(shù)據(jù)流(從每分鐘100K至1M)。對(duì)于大型辦公室來(lái)說(shuō)，考慮使用區(qū)域分析或者地區(qū)的流數(shù)據(jù)聚集。

4.分析器是任何網(wǎng)絡(luò)行為分析的核心和靈魂。認(rèn)真觀察一下威脅是如何被檢測(cè)到的，基線是如何在一段時(shí)間里進(jìn)行調(diào)整的，區(qū)域和政策是如何設(shè)置的，以及警報(bào)是如何報(bào)告的。例如，網(wǎng)絡(luò)行為分析應(yīng)該自動(dòng)學(xué)習(xí)誰(shuí)經(jīng)常與誰(shuí)通話，以及他們多長(zhǎng)時(shí)間進(jìn)行一次通話以及什么時(shí)間通話。如果你的業(yè)務(wù)有非常繁忙的時(shí)候，網(wǎng)絡(luò)行為分析會(huì)產(chǎn)生錯(cuò)報(bào)嗎?當(dāng)繁忙的時(shí)期過(guò)去之后，它如何迅速進(jìn)行調(diào)整?它如何準(zhǔn)確地做你的系統(tǒng)之間的關(guān)系模型?它如何準(zhǔn)確地指出病毒爆發(fā)的根源?

5.網(wǎng)絡(luò)行為分析正在發(fā)展人機(jī)接口:擴(kuò)大與NMS和SIM系統(tǒng)的整合，提供為每個(gè)人的工作優(yōu)化的客戶(hù)化窗口，滿足遵守法規(guī)的報(bào)告要求。例如，你的網(wǎng)絡(luò)行為分析設(shè)備能夠?yàn)槟愕穆酚善鳌⒔粨Q機(jī)或者防火墻增加訪問(wèn)控制表嗎?或者能夠通過(guò)NMS協(xié)調(diào)這個(gè)行動(dòng)嗎?它能夠通過(guò)咨詢(xún)你的身份識(shí)別系統(tǒng)把報(bào)警與個(gè)人用戶(hù)聯(lián)系起來(lái)嗎?用于特別查詢(xún)和歷史報(bào)告的數(shù)據(jù)應(yīng)該保留多長(zhǎng)時(shí)間?

6.同任何安全系統(tǒng)一樣，查找加密的/身份識(shí)別的管理接口、增強(qiáng)的平臺(tái)和高可用性。利用你的網(wǎng)絡(luò)行為分析把這種關(guān)心擴(kuò)展到所有的流數(shù)據(jù)來(lái)源。使用你的網(wǎng)絡(luò)行為分析不僅是為了找到不應(yīng)該出現(xiàn)的數(shù)據(jù)流和高峰，而且還用于發(fā)現(xiàn)應(yīng)該在那里出現(xiàn)而沒(méi)有出現(xiàn)的通訊和丟失的數(shù)據(jù)。

一些ISP廠商(如位于馬里蘭州哥倫比亞的Sourcefire公司)目前正在向自己的產(chǎn)品中增加網(wǎng)絡(luò)行為分析功能以補(bǔ)充串聯(lián)防御。行為分析還正在緩慢進(jìn)入SIM產(chǎn)品中(如位于馬薩諸塞州Andover的Enterasys網(wǎng)絡(luò)公司)。但是，許多分析師認(rèn)為，網(wǎng)絡(luò)行為分析是一種截然不同的產(chǎn)品種類(lèi)，在地點(diǎn)、任務(wù)和重點(diǎn)方面都有所不同。目前可用的網(wǎng)絡(luò)行為分析設(shè)備如下:

·Arbor Networks Peakflow

·GraniteEdge ESP

·Lancope StealthWatch

·Mazu Networks Profiler

·Q1 Labs QRadar

·Securify Monitor

翻譯:東緣