网络行为审计NBA（Network behavior auditing NBA）.docVIP

网络行为审计NBA（Network behavior auditing NBA） 网络行为审计，网络行为审计，国外更多的叫做网络行为分析（网络行为分析），网络行为异常检测（NBAD，网络行为异常检测）。这是一个新生事物，即便国外，出现的年头也不长。无论怎么称呼，其目的都是通过分析网络中的数据包、流量，借助协议分析技术，或者异常流量分析技术，来发现网络中的异常和违规行为，尤其是那些看似合法的行为。并且，有的产品在该技术上进行扩展，还具有网络行为控制、流量控制的功能。 网络行为审计是安全审计中较为重要的一种技术实现，其他安全审计技术还包括日志审计技术、本机代理审计技术、远程代理审计技术，具体可以参见这个文章。 NBA的实现有多种方式，其中有两个最重要的分支： 基于*流流量分析技术的NBA：通过收集网络设备的各种格式的流日志来进行分析和审计，发现违规和异常行为，传统的网管厂商很多开始以此为进入安全的切入口；而安全厂商则将其归入的范畴。 基于抓包协议分析技术的NBA：通过侦听网络中的数据包来进行分析和审计，发现违规和异常行为，传统的安全厂商很多以此作为进入审计领域的切入点。 基于抓包协议分析技术的NBA 抓包型NBA技术及产品类型说明 抓包型网络行为审计（NBA）根据用途的不同、部署位置的不同，一般又分为两种子类型。 上网审计型：审计网络内部用户访问互联网的行为和内容、防止内部信息泄漏、用户违规行为，提升内部网络用户互联网上网行为的效率。 业务审计型：对网络中重要的业务系统（主机、服务器、应用软件、数据库等）进行保护，审计所有针对业务系统的网络操作，防止针对业务系统的违规操作和行为，提升核心业务系统的网络安全保障水平，尤其是信息和数据的安全保护能力，防止信息泄漏。 从上面按用途划分的定义可以看出，他们是两类不同的产品。上网审计的对象是用户及其上网行为，而业务审计的对象是核心业务系统及其远程操作。正因为如此，他们部署的位置有所不同。上网审计应该部署在互联网出口处而业务审计NBA，NBA则就近部署在核心业务安全域的边界（一般是核心业务系统所在的交换机处）。 下面是两类产品在技术层面的定义： 上网审计型：硬件设备，旁路/串路方式部署在用户互联网出口处。通过旁路侦听/数据报文截获的方式对内部网络连接到互联网（互联网）的数据流进行采集、分析和识别，基于应用层协议还原的行为和内容审计，例如针对网页浏览、网络聊天、收发邮件、P2P、网络音视频、文件传输等的审计可以制定各种控制策略，进行统计分析。 业务审计型：硬件设备，采用旁路侦听的方式对数据流进行采集、分析和识别，实现对用户操作数据库、远程访问主机和网络流量的审计。例如针对各种类型的数据库SQL语句、操作命令的审计，针对Telnet、FTP、SSH、VNC、文件共享协议的审计管理员可以指定各种控制策略，并进行事后追踪与审计取证。 从上面的定义，可以很清楚的看出来两种类型的异同从技术架构上讲，他们是一样的， Is the capture engine plus manager. But from the specific technical details, the difference between them is significant. Difference analysis The internet protocol analysis system audit is the Internet common application layer protocol, such as P2P, e-mail, HTTP, audio and video, online games, at the same time, in order to make a more precise audit, also need further analysis, the content of the agreement, for example, to be able to analyze WEBMAIL and WEB chat room content analysis of chat MSN. Therefore, a good online audit NBA must have a huge and constantly updated protocol analysis library. This difficulty is very large, because these Internet application protocols have a variety of changes in the characteristics of frequent, and will not notify