如何進(jìn)行網(wǎng)絡(luò)行為分析

申請免費試用、咨詢電話：400-8352-114

為什么應(yīng)用網(wǎng)絡(luò)行為分析?

網(wǎng)絡(luò)行為分析也稱作網(wǎng)絡(luò)行為異常探測，是一種比較新的產(chǎn)品領(lǐng)域，利用被動觀察和描述找出通訊高峰、不正常的應(yīng)用和違反政策的行為。傳統(tǒng)的入侵防御系統(tǒng)解決方案(如Snort和Intrusion.com)通過串聯(lián)通訊檢測、特征檢測和實時封鎖等手段保護(hù)你的網(wǎng)絡(luò)環(huán)境。然而，網(wǎng)絡(luò)行為分析解決方案觀察你的網(wǎng)絡(luò)內(nèi)部發(fā)生了什么事情，把來自許多點的流動數(shù)據(jù)結(jié)合在一起支持在線行為分析、關(guān)系描述、異常身份識別和人類輔助的“軟接觸”補救措施。

通過被動的運行，網(wǎng)絡(luò)行為分析避免了延遲或者稱為性能的瓶頸。通過監(jiān)視你的網(wǎng)絡(luò)的通訊流，網(wǎng)絡(luò)行為分析能夠檢測到雇員使用被禁止的協(xié)議和被感染的筆記本電腦和可移動存儲設(shè)備在防火墻后面的連接。通過把當(dāng)前的行為與以前的行為相比較，網(wǎng)絡(luò)行為分析能夠發(fā)現(xiàn)沒有使用補丁和病毒特征更新的零日攻擊和蠕蟲爆發(fā)。通過采取長期的觀點，網(wǎng)絡(luò)行為分析不僅支持縱深防御而且還能夠啟動容量規(guī)劃和遵守法規(guī)的報告。

為你的網(wǎng)絡(luò)增加網(wǎng)絡(luò)行為分析

新興的網(wǎng)絡(luò)行為分析解決方案在術(shù)語和接口方面也許不同，但是，所有的解決方案都把傳感器設(shè)備(也就是監(jiān)視器或者收集器)分布到你的整個內(nèi)部網(wǎng)絡(luò)的通信量非常高的交匯處。網(wǎng)絡(luò)行為分析傳感器通常連接到局域網(wǎng)分接頭或者交換機鏡像端口。有些收集原始數(shù)據(jù)包，有些收集來自網(wǎng)絡(luò)交換機和路由器的流動記錄。例如，大多數(shù)網(wǎng)絡(luò)行為分析產(chǎn)品能夠使用NetFlow或者sFlow記錄。這些記錄存儲了通過路由器或者交換機的每一個通訊流的IP地址、端口、協(xié)議和接口。

傳感器把觀察到的情況傳送給一個中央分析器設(shè)備(也就是管理器或者控制器)。中央分析器創(chuàng)建一個你的網(wǎng)絡(luò)的基線，觀察客戶機/服務(wù)器變化，它們使用的協(xié)議、數(shù)據(jù)速率、日期時間以及其它指標(biāo)。這個基線一旦建立起來之后，這個分析器就會觀察各種變化，如反應(yīng)蠕蟲爆發(fā)的通訊速率高峰或者繞過防火墻規(guī)則在80端口傳送的不同尋常的P2P協(xié)議。大多數(shù)分析器都可以采用能夠發(fā)現(xiàn)違規(guī)行為的基于區(qū)域的政策進(jìn)行設(shè)置。否則，允許的通訊在許多系統(tǒng)的不同的工作組之間進(jìn)行交換，就違反數(shù)據(jù)隔離規(guī)則。

當(dāng)檢測到異常行為時，這些分析器發(fā)布警告?；谌蝿?wù)的控制臺讓操作員查看報警，提供實時服務(wù)和用戶行動的可視化資料并且生成一個事件調(diào)查的詳細(xì)報告或者遵守法規(guī)的報告。由于它們不是在線運行的，網(wǎng)絡(luò)行為分析產(chǎn)品并不自動封鎖入侵。但是，一些網(wǎng)絡(luò)行為分析產(chǎn)品能夠采取止損行動，如向你的路由器、交換機或者防火墻增加一個臨時的訪問控制列表，隔離具有很大影響的蠕蟲的明顯來源。

選擇正確的網(wǎng)絡(luò)行為分析設(shè)備

1.考慮在你的網(wǎng)絡(luò)的什么地方使用網(wǎng)絡(luò)行為分析傳感器設(shè)備。收集原始數(shù)據(jù)包的傳感器在非常大的網(wǎng)絡(luò)中是非常昂貴的。你可以圍繞高價值的資產(chǎn)創(chuàng)建“安全區(qū)”。收集來自路由器和交換機的記錄能夠讓你利用現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施以較少的傳感器提供覆蓋范圍更廣的網(wǎng)絡(luò)行為分析。

2.檢查傳感器與你現(xiàn)有網(wǎng)絡(luò)兼容性，比如在物理層、數(shù)據(jù)鏈路和網(wǎng)絡(luò)層的兼容性，包括與各種版本的NetFlow和sFlow的兼容性，支持專有的流動協(xié)議，局域網(wǎng)端口的數(shù)量/類型和驗證了兼容性的網(wǎng)絡(luò)設(shè)備。對于某些產(chǎn)品來說，不同的觀察模式需要不同型號的傳感器。

3.網(wǎng)絡(luò)行為分析傳感器和你的中央分析器要與你的網(wǎng)絡(luò)規(guī)模相匹配。例如，Mazu Network公司的“Profiler”以三種不同的配置銷售，根據(jù)監(jiān)視的主機數(shù)量(從2500臺至40萬臺)和觀察的數(shù)據(jù)流(從每分鐘100K至1M)。對于大型辦公室來說，考慮使用區(qū)域分析或者地區(qū)的流數(shù)據(jù)聚集。

4.分析器是任何網(wǎng)絡(luò)行為分析的核心和靈魂。認(rèn)真觀察一下威脅是如何被檢測到的，基線是如何在一段時間里進(jìn)行調(diào)整的，區(qū)域和政策是如何設(shè)置的，以及警報是如何報告的。例如，網(wǎng)絡(luò)行為分析應(yīng)該自動學(xué)習(xí)誰經(jīng)常與誰通話，以及他們多長時間進(jìn)行一次通話以及什么時間通話。如果你的業(yè)務(wù)有非常繁忙的時候，網(wǎng)絡(luò)行為分析會產(chǎn)生錯報嗎?當(dāng)繁忙的時期過去之后，它如何迅速進(jìn)行調(diào)整?它如何準(zhǔn)確地做你的系統(tǒng)之間的關(guān)系模型?它如何準(zhǔn)確地指出病毒爆發(fā)的根源?

5.網(wǎng)絡(luò)行為分析正在發(fā)展人機接口:擴大與NMS和SIM系統(tǒng)的整合，提供為每個人的工作優(yōu)化的客戶化窗口，滿足遵守法規(guī)的報告要求。例如，你的網(wǎng)絡(luò)行為分析設(shè)備能夠為你的路由器、交換機或者防火墻增加訪問控制表嗎?或者能夠通過NMS協(xié)調(diào)這個行動嗎?它能夠通過咨詢你的身份識別系統(tǒng)把報警與個人用戶聯(lián)系起來嗎?用于特別查詢和歷史報告的數(shù)據(jù)應(yīng)該保留多長時間?

6.同任何安全系統(tǒng)一樣，查找加密的/身份識別的管理接口、增強的平臺和高可用性。利用你的網(wǎng)絡(luò)行為分析把這種關(guān)心擴展到所有的流數(shù)據(jù)來源。使用你的網(wǎng)絡(luò)行為分析不僅是為了找到不應(yīng)該出現(xiàn)的數(shù)據(jù)流和高峰，而且還用于發(fā)現(xiàn)應(yīng)該在那里出現(xiàn)而沒有出現(xiàn)的通訊和丟失的數(shù)據(jù)。

一些ISP廠商(如位于馬里蘭州哥倫比亞的Sourcefire公司)目前正在向自己的產(chǎn)品中增加網(wǎng)絡(luò)行為分析功能以補充串聯(lián)防御。行為分析還正在緩慢進(jìn)入SIM產(chǎn)品中(如位于馬薩諸塞州Andover的Enterasys網(wǎng)絡(luò)公司)。但是，許多分析師認(rèn)為，網(wǎng)絡(luò)行為分析是一種截然不同的產(chǎn)品種類，在地點、任務(wù)和重點方面都有所不同。目前可用的網(wǎng)絡(luò)行為分析設(shè)備如下:

·Arbor Networks Peakflow

·GraniteEdge ESP

·Lancope StealthWatch

·Mazu Networks Profiler

·Q1 Labs QRadar

·Securify Monitor

翻譯:東緣