網(wǎng)絡(luò)行為審計(jì)技術(shù)深度解析_第1頁(yè)
網(wǎng)絡(luò)行為審計(jì)技術(shù)深度解析_第2頁(yè)
網(wǎng)絡(luò)行為審計(jì)技術(shù)深度解析_第3頁(yè)
網(wǎng)絡(luò)行為審計(jì)技術(shù)深度解析_第4頁(yè)
網(wǎng)絡(luò)行為審計(jì)技術(shù)深度解析_第5頁(yè)
已閱讀5頁(yè),還剩1頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

..網(wǎng)絡(luò)行為審計(jì),NetworkBehaviorAudit,國(guó)外更多的叫做NetworkBehaviorAnalysis〔網(wǎng)絡(luò)行為分析,NetworkBehaviorAnomalyDetection<NBAD,網(wǎng)絡(luò)行為異常檢測(cè)>。這是一個(gè)新生事物,即便國(guó)外,出現(xiàn)的年頭也不長(zhǎng)。無(wú)論怎么稱(chēng)呼,其目的都是通過(guò)分析網(wǎng)絡(luò)中的數(shù)據(jù)包、流量,借助協(xié)議分析技術(shù),或者異常流量分析技術(shù),來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常和違規(guī)行為,尤其是那些看似合法的行為。并且,有的產(chǎn)品在該技術(shù)上進(jìn)行擴(kuò)展,還具有網(wǎng)絡(luò)行為控制、流量控制的功能。

網(wǎng)絡(luò)行為審計(jì)是安全審計(jì)中較為重要的一種技術(shù)實(shí)現(xiàn),其他安全審計(jì)技術(shù)還包括日志審計(jì)技術(shù)、本機(jī)代理審計(jì)技術(shù)、遠(yuǎn)程代理審計(jì)技術(shù),具體可以參見(jiàn)這個(gè)文章。NBA的實(shí)現(xiàn)有多種方式,其中有兩個(gè)最重要的分支:基于*Flow流量分析技術(shù)的NBA:通過(guò)收集網(wǎng)絡(luò)設(shè)備的各種格式的Flow日志來(lái)進(jìn)行分析和審計(jì),發(fā)現(xiàn)違規(guī)和異常行為,傳統(tǒng)的網(wǎng)管廠商很多開(kāi)始以此為進(jìn)入安全的切入口;而安全廠商則將其歸入的范疇。基于抓包協(xié)議分析技術(shù)的NBA:通過(guò)偵聽(tīng)網(wǎng)絡(luò)中的數(shù)據(jù)包來(lái)進(jìn)行分析和審計(jì),發(fā)現(xiàn)違規(guī)和異常行為,傳統(tǒng)的安全廠商很多以此作為進(jìn)入審計(jì)領(lǐng)域的切入點(diǎn)?;谧グ鼌f(xié)議分析技術(shù)的NBA抓包型NBA技術(shù)及產(chǎn)品類(lèi)型說(shuō)明抓包型網(wǎng)絡(luò)行為審計(jì)〔NBA根據(jù)用途的不同、部署位置的不同,一般又分為兩種子類(lèi)型。上網(wǎng)審計(jì)型:審計(jì)網(wǎng)絡(luò)內(nèi)部用戶(hù)訪問(wèn)互聯(lián)網(wǎng)的行為和內(nèi)容、防止內(nèi)部信息泄漏、用戶(hù)違規(guī)行為,提升內(nèi)部網(wǎng)絡(luò)用戶(hù)互聯(lián)網(wǎng)上網(wǎng)行為的效率。業(yè)務(wù)審計(jì)型:對(duì)網(wǎng)絡(luò)中重要的業(yè)務(wù)系統(tǒng)〔主機(jī)、服務(wù)器、應(yīng)用軟件、數(shù)據(jù)庫(kù)等進(jìn)行保護(hù),審計(jì)所有針對(duì)業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)操作,防止針對(duì)業(yè)務(wù)系統(tǒng)的違規(guī)操作和行為,提升核心業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全保障水平,尤其是信息和數(shù)據(jù)的安全保護(hù)能力,防止信息泄漏。從上面按用途劃分的定義可以看出,他們是兩類(lèi)不同的產(chǎn)品。上網(wǎng)審計(jì)的對(duì)象是用戶(hù)及其上網(wǎng)行為,而業(yè)務(wù)審計(jì)的對(duì)象是核心業(yè)務(wù)系統(tǒng)及其遠(yuǎn)程操作。正因?yàn)槿绱?他們部署的位置有所不同。上網(wǎng)審計(jì)NBA應(yīng)該部署在互聯(lián)網(wǎng)出口處,而業(yè)務(wù)審計(jì)NBA則就近部署在核心業(yè)務(wù)安全域的邊界〔一般是核心業(yè)務(wù)系統(tǒng)所在的交換機(jī)處。下面是兩類(lèi)產(chǎn)品在技術(shù)層面的定義:上網(wǎng)審計(jì)型:硬件設(shè)備,旁路/串路方式部署在用戶(hù)互聯(lián)網(wǎng)出口處。通過(guò)旁路偵聽(tīng)/數(shù)據(jù)報(bào)文截獲的方式對(duì)內(nèi)部網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)〔Internet的數(shù)據(jù)流進(jìn)行采集、分析和識(shí)別,基于應(yīng)用層協(xié)議還原的行為和內(nèi)容審計(jì),例如針對(duì)網(wǎng)頁(yè)瀏覽、網(wǎng)絡(luò)聊天、收發(fā)郵件、P2P、網(wǎng)絡(luò)音視頻、文件傳輸?shù)鹊膶徲?jì)??梢灾贫ǜ鞣N控制策略,進(jìn)行統(tǒng)計(jì)分析。業(yè)務(wù)審計(jì)型:硬件設(shè)備,采用旁路偵聽(tīng)的方式對(duì)數(shù)據(jù)流進(jìn)行采集、分析和識(shí)別,實(shí)現(xiàn)對(duì)用戶(hù)操作數(shù)據(jù)庫(kù)、遠(yuǎn)程訪問(wèn)主機(jī)和網(wǎng)絡(luò)流量的審計(jì)。例如針對(duì)各種類(lèi)型的數(shù)據(jù)庫(kù)SQL語(yǔ)句、操作命令的審計(jì),針對(duì)Telnet、FTP、SSH、VNC、文件共享協(xié)議的審計(jì)。管理員可以指定各種控制策略,并進(jìn)行事后追蹤與審計(jì)取證。從上面的定義,可以很清楚的看出來(lái)兩種類(lèi)型的異同。從技術(shù)架構(gòu)上講,他們是一樣的,都是抓包引擎加管理器。但是從具體的技術(shù)細(xì)節(jié)來(lái)看,他們之間的差異是顯著的。差異分析上網(wǎng)審計(jì)型系統(tǒng)分析的協(xié)議都是互聯(lián)網(wǎng)上常用的應(yīng)用層協(xié)議,例如P2P、郵件、HTTP、音視頻、網(wǎng)絡(luò)游戲等,同時(shí),為了進(jìn)行更為精確的審計(jì),還需要再深入一步,分析協(xié)議的內(nèi)容,例如要能夠分析WEBMAIL和WEB聊天室的內(nèi)容,分析MSN的聊天內(nèi)容。因此,一個(gè)好的上網(wǎng)審計(jì)型NBA必須要有一個(gè)巨大的、不斷及時(shí)更新的協(xié)議分析庫(kù)。這個(gè)難度是挺大的,因?yàn)檫@些互聯(lián)網(wǎng)應(yīng)用協(xié)議具有種類(lèi)多、變化頻繁的特點(diǎn),并且不會(huì)提前通知開(kāi)發(fā)廠家,最明顯就是音視頻、網(wǎng)游、聊天室。更加的,即使針對(duì)HTTP協(xié)議,還要分析出163郵箱、sina郵箱、yahoo郵箱之間的區(qū)別。這是一個(gè)苦力活。也是產(chǎn)品的核心技術(shù)點(diǎn)。業(yè)務(wù)審計(jì)型系統(tǒng)分析的協(xié)議基本上都是區(qū)域網(wǎng)中常見(jiàn)的應(yīng)用層協(xié)議,并且與業(yè)務(wù)系統(tǒng)密切相關(guān)。例如TDS、TNS等數(shù)據(jù)庫(kù)訪問(wèn)協(xié)議,FTP、TELNET協(xié)議,HTTP、企業(yè)郵箱協(xié)議〔IMAP、STMP等,等等。對(duì)于業(yè)務(wù)審計(jì)型NBA而言,協(xié)議種類(lèi)相對(duì)比較固定,并且協(xié)議版本比較穩(wěn)定,比較易于實(shí)現(xiàn)。對(duì)于上網(wǎng)審計(jì)型NBA,還有一個(gè)重要的技術(shù)點(diǎn)就是網(wǎng)頁(yè)分類(lèi)地址庫(kù),就是一個(gè)巨大的地址庫(kù),里面對(duì)互聯(lián)網(wǎng)的網(wǎng)址進(jìn)行分門(mén)別類(lèi)。用途就在于控制某些用戶(hù)可以訪問(wèn)哪些類(lèi)別的網(wǎng)站,不能訪問(wèn)哪些類(lèi)別的網(wǎng)站。例如:上班時(shí)間不能上游戲網(wǎng)站,而午休時(shí)間可以上,等等。對(duì)于業(yè)務(wù)審計(jì)型NBA而言,其核心技術(shù)不在于復(fù)雜的協(xié)議分析,而在于協(xié)議分析之后,對(duì)生成的歸一化的事件〔event進(jìn)行二次分析,通過(guò)關(guān)聯(lián)分析的技術(shù)手段,發(fā)現(xiàn)針對(duì)業(yè)務(wù)系統(tǒng)的違規(guī)行為,將事件變成真正的事件〔incident,或者叫告警。例如,發(fā)現(xiàn)某賬戶(hù)在某時(shí)間段內(nèi)頻繁的查詢(xún)核心的客戶(hù)資料數(shù)據(jù)庫(kù),從而及時(shí)告警,并告知管理員該異常賬戶(hù)的行為,可能該客戶(hù)正在下載客戶(hù)資料。要實(shí)現(xiàn)這種行為的發(fā)現(xiàn),光靠協(xié)議分析是不夠的。協(xié)議分析只能將這種行為對(duì)應(yīng)的零散的數(shù)據(jù)報(bào)文截獲出來(lái),并變成一條條的事件,可能是100條。而只有通過(guò)事件關(guān)聯(lián)分析,才能將這100條時(shí)間轉(zhuǎn)化為有意義的incident告警信息。關(guān)于數(shù)據(jù)庫(kù)審計(jì)可以說(shuō),數(shù)據(jù)庫(kù)審計(jì)是業(yè)務(wù)審計(jì)在實(shí)現(xiàn)功能上的子集。先看看業(yè)務(wù)系統(tǒng)的定義:"業(yè)務(wù)系統(tǒng)是由包括主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等在內(nèi)的多種IT資源有機(jī)組合而成的。"因此,針對(duì)業(yè)務(wù)的審計(jì)就要對(duì)構(gòu)成業(yè)務(wù)系統(tǒng)的各個(gè)IT資源之間的訪問(wèn)行為以及業(yè)務(wù)系統(tǒng)之間的操作的審計(jì)。只有通過(guò)審計(jì)構(gòu)成業(yè)務(wù)系統(tǒng)的各種IT資源的運(yùn)行行為才能真正反映出業(yè)務(wù)系統(tǒng)的安全狀態(tài)。我們說(shuō),面向業(yè)務(wù)的安全審計(jì)系統(tǒng)不單是一個(gè)主機(jī)審計(jì)系統(tǒng)、也不是一個(gè)單純的網(wǎng)絡(luò)審計(jì)或者數(shù)據(jù)庫(kù)審計(jì)系統(tǒng),而是他們的綜合。而數(shù)據(jù)庫(kù)審計(jì)主要就是針對(duì)業(yè)務(wù)的核心——數(shù)據(jù)庫(kù)的審計(jì)。關(guān)于運(yùn)維審計(jì)〔堡壘主機(jī)運(yùn)維審計(jì),也叫做堡壘主機(jī),主要是針對(duì)網(wǎng)絡(luò)內(nèi)部人員訪問(wèn)重要服務(wù)器、主機(jī)、網(wǎng)絡(luò)及安全設(shè)備的行為〔尤其是加密協(xié)議訪問(wèn)行為進(jìn)行審計(jì)的技術(shù)。除了進(jìn)行訪問(wèn)操作的行為及內(nèi)容審計(jì),還具備用戶(hù)授權(quán)、訪問(wèn)控制、單點(diǎn)登錄的功能,能夠大大減輕服務(wù)器及設(shè)備管理人員的帳號(hào)維護(hù)負(fù)擔(dān),并能夠?qū)崿F(xiàn)基于自然人的操作審計(jì)和責(zé)任認(rèn)定。運(yùn)維審計(jì)產(chǎn)品可以看作是業(yè)務(wù)審計(jì)在技術(shù)實(shí)現(xiàn)上的一個(gè)變種。傳統(tǒng)的業(yè)務(wù)審計(jì)都以旁路部署的方式來(lái)進(jìn)行網(wǎng)絡(luò)包偵聽(tīng)、協(xié)議解析還原和審計(jì)分析。而運(yùn)維審計(jì)則是以應(yīng)用層代理服務(wù)器的方式進(jìn)行部署,獲取應(yīng)用層網(wǎng)絡(luò)協(xié)議,進(jìn)行還原分析,在重新打包提交給目標(biāo)主機(jī)。他們都是基于應(yīng)用層協(xié)議分析DPI的,只是部署方式有區(qū)別。真是由于代理的部署方式,使得運(yùn)維審計(jì)能夠?qū)SH、RDP、SFTP等加密協(xié)議進(jìn)行解析還原〔因?yàn)橛忻荑€,從而擴(kuò)大了傳統(tǒng)業(yè)務(wù)審計(jì)的審計(jì)范圍。綜合網(wǎng)絡(luò)安全審計(jì)的解決方案在真實(shí)的案例中,上網(wǎng)審計(jì)NBA和業(yè)務(wù)審計(jì)NBA〔包括數(shù)據(jù)庫(kù)審計(jì)、運(yùn)維審計(jì)等可以聯(lián)合部署,達(dá)到綜合安全審計(jì)的效果。上網(wǎng)審計(jì)部署在整個(gè)網(wǎng)絡(luò)安全域的邊界,業(yè)務(wù)審計(jì)部署在核心業(yè)務(wù)系統(tǒng)安全域邊界。然后,通過(guò)一個(gè)統(tǒng)一的管理中心,將這個(gè)系統(tǒng)的告警信息匯總到一起,讓管理員實(shí)現(xiàn)全網(wǎng)統(tǒng)一的網(wǎng)絡(luò)安全審計(jì)。上網(wǎng)審計(jì)和業(yè)務(wù)審計(jì)的融合那么,兩類(lèi)產(chǎn)品可以融合到一起,變成一個(gè)產(chǎn)品嗎?我認(rèn)為沒(méi)有必要,因?yàn)樗麄冡槍?duì)的需求定位是不同的,技術(shù)細(xì)節(jié)也是有區(qū)別的,如果合一,不好部署,只能部署到核心交換機(jī)上,同時(shí)審計(jì)用戶(hù)上網(wǎng)行為和保護(hù)核心業(yè)務(wù)系統(tǒng),對(duì)設(shè)備性能是個(gè)挑戰(zhàn),會(huì)力不從心,簡(jiǎn)單的問(wèn)題反而變復(fù)雜了。我的觀點(diǎn)是:只要做到方案級(jí)別的整合就夠了,畢竟兩類(lèi)產(chǎn)品可以獨(dú)立發(fā)揮功效,滿(mǎn)足客戶(hù)某一方面的需求。抓包型NBA與IDS的聯(lián)系國(guó)內(nèi)網(wǎng)絡(luò)安全業(yè)界多采用抓包方式來(lái)實(shí)現(xiàn)NBA,與IDS的工作方式很相像。因此,在國(guó)外,很多人將這種NBA叫做EDS:ExtrusionDetectionSystem。這個(gè)名詞比較形象地表明了NBA和IDS之間的聯(lián)系和區(qū)別。他們都是采用抓包的工作方式,采用旁路偵聽(tīng)的方式進(jìn)行工作,部署十分方便,即插即用,不必對(duì)業(yè)務(wù)網(wǎng)絡(luò)配置做任何更改,對(duì)業(yè)務(wù)網(wǎng)絡(luò)沒(méi)有任何影響。工作的時(shí)候都需要用到協(xié)議分析技術(shù)、特征/策略匹配技術(shù),遇到威脅可以實(shí)時(shí)阻斷,違規(guī)/違規(guī)過(guò)程可以回放取證。NBA和IDS的產(chǎn)品架構(gòu)比較類(lèi)似,一般都分為引擎和管理器兩個(gè)部分,引擎負(fù)責(zé)抓包、協(xié)議分析、特征/策略匹配等底層功能;而管理器則負(fù)責(zé)數(shù)據(jù)分析、規(guī)則定義、告警設(shè)置、界面交互等上層功能。兩個(gè)部分通常分開(kāi)為兩個(gè)實(shí)體組成。不過(guò),隨著用戶(hù)需求的發(fā)展,有一種趨勢(shì)是將上述兩個(gè)部分合到一起,即一體化的NBA設(shè)備。對(duì)于用戶(hù)而言,產(chǎn)品實(shí)施無(wú)疑更加便捷。抓包型NBA與IDS的區(qū)別首先,此種NBA是應(yīng)用層協(xié)議分析,因?yàn)樗P(guān)注的是對(duì)被保護(hù)對(duì)象資產(chǎn)的各種違規(guī)業(yè)務(wù)操作,例如telent、FTP、數(shù)據(jù)庫(kù)訪問(wèn)、HTTP訪問(wèn),等等。而〔傳統(tǒng)的IDS主要是應(yīng)用層之下的協(xié)議分析,因?yàn)樗P(guān)注的是對(duì)被保護(hù)對(duì)象資產(chǎn)的各種攻擊行為。誠(chéng)然,現(xiàn)在的IDS也開(kāi)始進(jìn)行應(yīng)用層協(xié)議分析,但是分析應(yīng)用層協(xié)議的目的是為了發(fā)現(xiàn)攻擊行為,例如MSN的釣魚(yú)行為,等等。因此,他們最本質(zhì)的區(qū)別就在于IDS是檢測(cè)攻擊,而NBA是審計(jì)用戶(hù)/遠(yuǎn)程操作。IDS有一個(gè)攻擊特征庫(kù),需要不斷被動(dòng)的升級(jí);而NBA定義了一個(gè)用戶(hù)操作規(guī)范庫(kù),說(shuō)明什么是合法的行為,那么只要是違反這個(gè)規(guī)范的行為就會(huì)被發(fā)現(xiàn)。通俗地講,IDS的規(guī)則庫(kù)是一套黑名單庫(kù),寫(xiě)滿(mǎn)了什么是不對(duì)的,總是后發(fā)制人;而NBA的規(guī)則庫(kù)是一套白名單庫(kù),簡(jiǎn)潔的列出了什么是允許的,保證先發(fā)制人。下面是兩條NBA規(guī)則庫(kù)的表述性示例:1單位規(guī)定:所有對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)只能來(lái)自于中間件系統(tǒng)所在的IP1,并且只能通過(guò)midware賬戶(hù)進(jìn)行訪問(wèn),而管理員admin賬戶(hù)只能從維護(hù)終端IP2訪問(wèn)數(shù)據(jù)庫(kù),其他行為都是違規(guī)的。2單位規(guī)定:任何數(shù)據(jù)庫(kù)管理員帳號(hào)都不能讀取數(shù)據(jù)庫(kù)中工資表的員工工資字段,只有財(cái)務(wù)的小李可以從他的機(jī)器〔IP通過(guò)工資管理系統(tǒng)進(jìn)行訪問(wèn)。很顯然,NBA在工作的時(shí)候,會(huì)分析應(yīng)用層協(xié)議,并將不符合規(guī)則庫(kù)的操作行為記錄下來(lái)。這種分析的效率將會(huì)很高,因?yàn)榘酌麊渭夹g(shù)確保了規(guī)則不會(huì)很多,并且相對(duì)保持穩(wěn)定,通常只會(huì)跟隨業(yè)務(wù)的變化、或者是用戶(hù)權(quán)限的變化而變化。正是由于上述本質(zhì)區(qū)別,使得NBA更加貼近用戶(hù)的業(yè)務(wù)系統(tǒng),唯有如此才能真正保護(hù)用戶(hù)的業(yè)務(wù)系統(tǒng)不受違規(guī)行為的干擾,而這些違規(guī)行為往往來(lái)自網(wǎng)絡(luò)的內(nèi)部!而一旦與業(yè)務(wù)掛鉤,NBA系統(tǒng)的復(fù)雜度就立刻上升,尤其是NBA的管理器部分遠(yuǎn)比IDS的管理器要復(fù)雜。首先是規(guī)則更加復(fù)雜,不是簡(jiǎn)單的字符串匹配,而是更為復(fù)雜的匹配,涉及到多個(gè)變量,不僅包括源IP、目的IP、源端口、目的端口、用戶(hù)名、帳號(hào)、〔協(xié)議操作類(lèi)型、操作內(nèi)容,等等。其次是匹配之后的數(shù)據(jù)分析更加復(fù)雜,不是簡(jiǎn)單的告警和阻斷,而是需要進(jìn)行二次數(shù)據(jù)分析,也就是針對(duì)引擎產(chǎn)生出來(lái)的各種歸一化的事件信息進(jìn)行實(shí)時(shí)事件關(guān)聯(lián)分析realtimeeventcorrelationanalysis。這種關(guān)聯(lián)分析,不是一般的關(guān)系型數(shù)據(jù)查詢(xún)語(yǔ)言能夠完全達(dá)成的?;?FLOW流量分析技術(shù)的NBA這類(lèi)NBA技術(shù)和產(chǎn)品通過(guò)采集網(wǎng)絡(luò)中〔尤其是核心網(wǎng)絡(luò)交換機(jī)、路由器等的flow流量日志,進(jìn)行行為分析,發(fā)現(xiàn)違規(guī)和入侵。一個(gè)Flow〔流日志里面包括了Flow的起止時(shí)刻、包字節(jié)數(shù)、源/目的IP、源/目的端口,以及其他一些TCP報(bào)文信息。通過(guò)分析這些Flow日志,可以以建模的形式建立起網(wǎng)絡(luò)中的行為模型,從而得知某個(gè)IP的應(yīng)用層協(xié)議流量分布,找尋網(wǎng)絡(luò)中某個(gè)IP的非法或者違規(guī)行為。Flow有多種格式,最典型的有三種:NetFlow、SFlow和IPFIX。在國(guó)內(nèi),還有就是華為、H3C的NetStream流。這些流日志格式各有不同,但是承載的內(nèi)容都大致相同。為什么需要Flow分析,它與抓包型NBA的異同因?yàn)閷?duì)于核心的路由、交換設(shè)備而言,他們每天工作過(guò)程中收發(fā)的數(shù)據(jù)報(bào)文量是巨大的,通過(guò)采集這些設(shè)備產(chǎn)生的摘要性報(bào)文信息〔Flow日志,可以以一種比較經(jīng)濟(jì)的方式獲得網(wǎng)絡(luò)行為數(shù)據(jù),從而進(jìn)行行為建模、分析和審計(jì)。而如果通過(guò)抓包方式去做的話,那么這個(gè)用來(lái)做抓包分析的設(shè)備的硬件性能將可能需要與核心路由交換設(shè)備相當(dāng),成本一定會(huì)很高。這也是Flow分析型NBA存在價(jià)值。當(dāng)然,Flow分析型NBA的審計(jì)深度不如抓包型NBA,因?yàn)镕low日志是摘要數(shù)據(jù),信息不全,同時(shí),行為建模的過(guò)程中存在很多模糊匹配的過(guò)程,不夠精確。因而,Flow型NBA適合做全網(wǎng)行為的統(tǒng)計(jì)分析和趨勢(shì)分析,而要針對(duì)某個(gè)安全域中特定的網(wǎng)絡(luò)行為〔例如上網(wǎng)行為、數(shù)據(jù)庫(kù)操作行為,等等進(jìn)行審計(jì)的話,抓包型NBA則更勝一籌。我們進(jìn)一步加以闡述。Flow日志是摘要數(shù)據(jù),應(yīng)該好理解。既然是摘要,信息一定不全,就會(huì)影響到審計(jì)的精確性,也不難理解。Flow型NBA的行為建模過(guò)程的模糊性是指在通過(guò)Flow日志進(jìn)行行為建模的時(shí)候,需要通過(guò)一個(gè)特征庫(kù)來(lái)進(jìn)行匹配,以便將TCP流信息轉(zhuǎn)換成應(yīng)用層行為信息。例如,Flow日志不會(huì)說(shuō)某個(gè)數(shù)據(jù)包是HTTP協(xié)議還是SMTP協(xié)議,但是會(huì)提供一個(gè)TCP端口號(hào)。因此,通過(guò)一個(gè)相對(duì)固定的端口知識(shí)庫(kù),可以將某個(gè)數(shù)據(jù)包映射為HTTP包,另一個(gè)數(shù)據(jù)庫(kù)包映射為SMTP協(xié)議包,以此類(lèi)推。再高級(jí)一些,通過(guò)分析連續(xù)時(shí)間內(nèi)的多個(gè)數(shù)據(jù)包之間的關(guān)系,可以判斷出一些異常的數(shù)據(jù)流,從而推測(cè)出某些異常的行為??傊?Flow型NBA的分析審計(jì)過(guò)程是存在模糊性的,不能確保準(zhǔn)確。這也是為何適于做行為統(tǒng)計(jì)和整體趨勢(shì)分析的原因。另外,Flow型NBA是地道的行為審計(jì),而抓包型NBA除了可以做行為審計(jì),還能夠做內(nèi)容審計(jì)。也就是說(shuō),抓包型NBA不僅知道誰(shuí)在執(zhí)行HTTP操作,還知道他訪問(wèn)了那個(gè)URL,甚至網(wǎng)頁(yè)的內(nèi)容也能知道。因此,Flow型NBA與抓包型NBA適用于不同的場(chǎng)合。技術(shù)應(yīng)用本質(zhì)上講,NBA技術(shù)是一類(lèi)跨網(wǎng)管、安管的技術(shù),是網(wǎng)管與安管融合的一個(gè)具體例證。目前,Flow型NBA更多是傳統(tǒng)的網(wǎng)管廠商在做,而國(guó)內(nèi)的安管廠商則利用其在IDS上面的技術(shù)積累從事抓包型NBA的研制。國(guó)外的情況也大致相同。最后,我們要提一下,NBA和SIM產(chǎn)品具有很多相似性和共通性,他們天生就是一對(duì),協(xié)作實(shí)現(xiàn)了全網(wǎng)的事件〔日志收集、分析和審計(jì)。國(guó)內(nèi)外的NBA技術(shù)與市場(chǎng)走勢(shì)國(guó)外NBA這個(gè)詞最早就是被老外提出來(lái)的。在國(guó)外,NBA中的A一般都稱(chēng)作Analysis,比較中性。我能夠找到的就是20XX9月9日Gartner出版的一份報(bào)告《UseNetworkBehavior.AnalysisforBetterVisibilityIntoSecurityandOperationsEvents》。為此,Gartner還為它專(zhuān)門(mén)建立了一個(gè)分類(lèi)。相比之下,Yankee集團(tuán)對(duì)NBA的研究更加熱衷一些。作為對(duì)IDS的必要補(bǔ)充,NBA一開(kāi)始就是針對(duì)DLP〔數(shù)據(jù)泄漏保護(hù),DataLeakageProtection這個(gè)話題。NBA是一種跨安全管理和網(wǎng)絡(luò)管理的技術(shù),它借鑒了網(wǎng)絡(luò)管理中的流量分析技術(shù),又借鑒了安全領(lǐng)域常用的協(xié)議分析技術(shù),成為了傳統(tǒng)網(wǎng)絡(luò)安全檢測(cè)設(shè)備的有益補(bǔ)充。下面這幅圖是20XXYankee集團(tuán)對(duì)NBA技術(shù)發(fā)展趨勢(shì)的分析判斷。在業(yè)界的追捧下,NBA技術(shù)得到了很快的發(fā)展。由于NBA自身技術(shù)的多樣性,很快形成了各種分支。尤其因?yàn)镹BA技術(shù)跨網(wǎng)管和安管的特性,加入這個(gè)市場(chǎng)的玩家既有網(wǎng)管廠商,也有安管廠商。天生地由于思路上的差異,各自推出的產(chǎn)品差別還是很大的。很快,由于防范內(nèi)部威脅的需求不斷增強(qiáng),NBA出現(xiàn)了一個(gè)重要的分支——DAM〔DatabaseActivityMonitoring。DAM技術(shù)起初就是通過(guò)網(wǎng)絡(luò)抓包來(lái)分析基于網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)操作行為,漸漸地,為了更加全面的保護(hù)數(shù)據(jù)庫(kù),DAM技術(shù)又增加了通過(guò)數(shù)據(jù)庫(kù)日志、數(shù)據(jù)庫(kù)代理等技術(shù)來(lái)完善對(duì)數(shù)據(jù)庫(kù)的保護(hù)。到后來(lái)〔20XX開(kāi)始,DAM已經(jīng)脫離了NBA,和NBA地位平齊了。在20XX,Gartner發(fā)布了一個(gè)名為《SelecttheRightMonitoringandFraudDetectionTechnology》的重要報(bào)告。Gartner的幾個(gè)領(lǐng)域的分析師們湊在一塊寫(xiě)出了這個(gè)報(bào)告。相關(guān)的技術(shù)被分為了五類(lèi):1數(shù)據(jù)庫(kù)行為監(jiān)控〔DAM:NBA的衍生,從普遍協(xié)議分析到數(shù)據(jù)庫(kù)協(xié)議分析;2內(nèi)容監(jiān)控和過(guò)濾〔ContentMonitoringandFiltering,簡(jiǎn)稱(chēng)CMF:也是NBA的衍生,從行為深入到內(nèi)容;3NBA:〔注:這個(gè)報(bào)告中對(duì)利用NBA進(jìn)行數(shù)據(jù)庫(kù)操作分析的闡述我并不是完全認(rèn)同的4欺詐檢測(cè)5SIEM〔NBA和SIEM也是親戚,這個(gè)我們以后還會(huì)詳談根據(jù)這份報(bào)告,NBA的定義成形了〔NBAallowssecurityandnetworkpersonnelandinlinedevicestomonitorandalertonnetworktrafficorpacketanomalies。并且,DAM被從NBA中分離了出去,Gartner也為DAM專(zhuān)門(mén)建立了一個(gè)分類(lèi)。說(shuō)到NBA的定義,這個(gè)不錯(cuò)。從20XX開(kāi)始,NBA技術(shù)逐漸成熟,并且不斷地衍生,成為

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論