如何进行网络行为分析已确保网络安全运行过滤系统

如何进行网络行为分析已确保网络安全运行

如何进行网络行为分析已确保网络安全运行 2011年12月09日 来源： 尽管向防火墙、入侵防御和杀毒投入了大量的资金，企业网络继续遭受内部滥用和攻击的灾祸。内部滥用和病毒爆发连续七年在CSI/FBI(计算机安全协会/联邦调查局)计算机犯罪与安全调查中排在榜首。网络运行中心 的工作人员对于安全周边警报应接不暇，不能以老的方式与内部威胁作斗争。现在也许是考虑一种新方法的时候了，就是实施网络行为分析(NBA)。

为什么应用网络行为分析?

网络行为分析也称作网络行为异常探测，是一种比较新的产品领域，利用被动观察和描述找出通讯高峰、不正常的应用和违反政策的行为。传统的入侵防御系统解决方案(如Snort和Intrusion.com)通过串联通讯检测、特征检测和实时封锁等手段保护你的网络环境。然而，网络行为分析解决方案观察你的网络内部发生了什么事情，把来自许多点的流动数据结合在一起支持在线行为分析、关系描述、异常身份识别和人类辅助的“软接触”补救措施。 通过被动的运行，网络行为分析避免了延迟或者称为性能的瓶颈。通过监视你的网络的通讯流，网络行为分析能够检测到雇员使用被禁止的协议和被感染的笔记本电脑和可移动存储设备在防火墙后面的连接。通过把当前的行为与以前的行为相比较，网络行为分析能够发现没有使用补丁和病毒特征更新的零日攻击和蠕虫爆发。通过采取长期的观点，网络行为分析不仅支持纵深防御而且还能够启动容量规划和遵守法规的报告。

为你的网络增加网络行为分析

新兴的网络行为分析解决方案在术语和接口方面也许不同，但是，所有的解决方案都把传感器设备(也就是监视器或者收集器)分布到你的整个内部网络的通信量非常高的交汇处。网络行为分析传感器通常连接到局域网分接头或者交换机镜像端口。有些收集原始数据包，有些收集来自网络交换机和路由器的流动记录。例如，大多数网络行为分析产品能够使用NetFlow或者sFlow记录。这些记录存储了通过路由器或者交换机的每一个通讯流的IP地址、端口、协议和接口。

传感器把观察到的情况传送给一个中央分析器设备(也就是管理器或者控制器)。中央分析器创建一个你的网络的基线，观察客户机/服务器变化，它们使用的协议、数据速率、日期时间以及其它指标。这个基线一旦建立起来之后，这个分析器就会观察各种变化，如反应蠕虫爆发的通讯速率高峰或者绕过防火墙规则在80端口传送的不同寻常的P2P协议。大多数分析器都可以采用能够发现违规行为的基于区域的政策进行设置。否则，允许的通讯在许多系统的不同的工作组之间进行交换，就违反数据隔离规则。

当检测到异常行为时，这些分析器发布警告。基于任务的控制台让操作员查看报警，提供实时服务和用户行动的可视化资料并且生成一个事件调查的详细报告或者遵守法规的报告。由于它们不是在线运行的，网络行为分析产品并不自动封锁入侵。但是，一些网络行为分析产品能够采取止损行动，如向你的路由器、交换机或者防火墙增加一个临时的访问控制列表，隔离具有很大影响的蠕虫的明显来源。

选择正确的网络行为分析设备

1.考虑在你的网络的什么地方使用网络行为分析传感器设备。收集原始数据包的传感器在非常大的网络中是非常昂贵的。你可以围绕高价值的资产创建“安全区”。收集来自路由器和交换机的记录能够让你利用现有的网络基础设施以较少的传感器提供覆盖范围更广的网络行为分析。

2.检查传感器与你现有网络兼容性，比如在物理层、数据链路和网络层的兼容性，包括与各种版本的NetFlow和sFlow的兼容性，支持专有的流动协议，局域网端口的数量/类型和验证了兼容性的网络设备。对于某些产品来说，不同的观察模式需要不同型号的传感器。

3.网络行为分析传感器和你的中央分析器要与你的网络规模相匹配。例如，Mazu Network公司的“Profiler”以三种不同的配置销售，根据监视的主机数量(从2500台至40万台)和观察的数据流(从每分钟100K至1M)。对于大型办公室来说，考虑使用区域分析或者地区的流数据聚集。

4.分析器是任何网络行为分析的核心和灵魂。认真观察一下威胁是如何被检测到的，基线是如何在一段时间里进行调整的，区域和政策是如何设置的，以及警报是如何报告的。例如，网络行为分析应该自动学习谁经常与谁通话，以及他

工具扭转测试机厂

弹簧疲劳试验机品牌

拉力试验机多少钱

花键轴静扭强度试验机价格