网络行为审计技术深度解析汇报.doc

实用标准文案 精彩文档 网络行为审计，Network Behavior Audit，国外更多的叫做Network Behavior Analysis（网络行为分析），Network Behavior Anomaly Detection (NBAD，网络行为异常检测)。这是一个新生事物，即便国外，出现的年头也不长。无论怎么称呼，其目的都是通过分析网络中的数据包、流量，借助协议分析技术，或者异常流量分析技术，来发现网络中的异常和违规行为，尤其是那些看似合法的行为。并且，有的产品在该技术上进行扩展，还具有网络行为控制、流量控制的功能。 网络行为审计是安全审计中较为重要的一种技术实现，其他安全审计技术还包括日志审计技术、本机代理审计技术、远程代理审计技术，具体可以参见这个文章。 NBA的实现有多种方式，其中有两个最重要的分支： 基于*Flow流量分析技术的NBA：通过收集网络设备的各种格式的Flow日志来进行分析和审计，发现违规和异常行为，传统的网管厂商很多开始以此为进入安全的切入口；而安全厂商则将其归入的范畴。 基于抓包协议分析技术的NBA：通过侦听网络中的数据包来进行分析和审计，发现违规和异常行为，传统的安全厂商很多以此作为进入审计领域的切入点。 基于抓包协议分析技术的NBA 抓包型NBA技术及产品类型说明 抓包型网络行为审计（NBA）根据用途的不同、部署位置的不同，一般又分为两种子类型。 上网审计型：审计网络内部用户访问互联网的行为和内容、防止内部信息泄漏、用户违规行为，提升内部网络用户互联网上网行为的效率。 业务审计型：对网络中重要的业务系统（主机、服务器、应用软件、数据库等）进行保护，审计所有针对业务系统的网络操作，防止针对业务系统的违规操作和行为，提升核心业务系统的网络安全保障水平，尤其是信息和数据的安全保护能力，防止信息泄漏。 从上面按用途划分的定义可以看出，他们是两类不同的产品。上网审计的对象是用户及其上网行为，而业务审计的对象是核心业务系统及其远程操作。正因为如此，他们部署的位置有所不同。上网审计NBA应该部署在互联网出口处，而业务审计NBA则就近部署在核心业务安全域的边界（一般是核心业务系统所在的交换机处）。 下面是两类产品在技术层面的定义： 上网审计型：硬件设备，旁路/串路方式部署在用户互联网出口处。通过旁路侦听/数据报文截获的方式对内部网络连接到互联网（Internet）的数据流进行采集、分析和识别，基于应用层协议还原的行为和内容审计，例如针对网页浏览、网络聊天、收发邮件、P2P、网络音视频、文件传输等的审计。可以制定各种控制策略，进行统计分析。 业务审计型：硬件设备， 采用旁路侦听的方式对数据流进行采集、分析和识别，实现对用户操作数据库、远程访问主机和网络流量的审计。例如针对各种类型的数据库SQL语句、操作命令的审计，针对Telnet、FTP、SSH、VNC、文件共享协议的审计。管理员可以指定各种控制策略，并进行事后追踪与审计取证。 从上面的定义，可以很清楚的看出来两种类型的异同。从技术架构上讲，他们是一样的，都是抓包引擎加管理器。但是从具体的技术细节来看，他们之间的差异是显著的。 差异分析 上网审计型系统分析的协议都是互联网上常用的应用层协议，例如P2P、邮件、HTTP、音视频、网络游戏等，同时，为了进行更为精确的审计，还需要再深入一步，分析协议的内容，例如要能够分析WEBMAIL和WEB聊天室的内容，分析MSN的聊天内容。因此，一个好的上网审计型NBA必须要有一个巨大的、不断及时更新的协议分析库。这个难度是挺大的，因为这些互联网应用协议具有种类多、变化频繁的特点，并且不会提前通知开发厂家，最明显就是音视频、网游、聊天室。更加的，即使针对HTTP协议，还要分析出163邮箱、sina邮箱、yahoo邮箱之间的区别。这是一个苦力活。也是产品的核心技术点。 业务审计型系统分析的协议基本上都是区域网中常见的应用层协议，并且与业务系统密切相关。例如TDS、TNS等数据库访问协议，FTP、TELNET协议，HTTP、企业邮箱协议（IMAP、STMP等），等等。对于业务审计型NBA而言，协议种类相对比较固定，并且协议版本比较稳定，比较易于实现。 对于上网审计型NBA，还有一个重要的技术点就是网页分类地址库，就是一个巨大的地址库，里面对互联网的网址进行分门别类。用途就在于控制某些用户可以访问哪些类别的网站，不能访问哪些类别的网站。例如：上班时间不能上游戏网站，而午休时间可以上，等等。 对于业务审计型NBA而言，其核心技术不在于复杂的协议分析，而在于协议分析之后，对生成的归一化的事件（event）进行二次分析，通过关联分析的技术手段，发现针对业务系统的违规行为，将事件变成真正的事件（incident），或者叫告警。例如，发