什么是网络行为异常检测(NBAD)?

作者:Sender  来源:WaveCN.com  发布日期:2022-03-21  最后修改日期:2022-03-23

  笔者长期作为甲方网络安全人员,有充足的工作感悟在于如何能尽早发现网络上的异常情况。早发现,早处理,防患于未然。

  但人的时间和精力始终是有限的。所以要依靠有效的网络安全工具,实现对企业内网异常行为的检测发现和告警。

article banner

笔者:国际认证信息系统审计师、软考系统分析师

  这类网络安全工具(设备)通常称为NBAD设备,即Network Behavior Anomaly Detection (NBAD)。需要强调一下,NBAD设备不是IDS或IPS设备。IDS是入侵检查系统,IPS是入侵防御系统,都是针对“入侵”行为进行设计的。

  NBAD通常定义为对私有网络上的异常事件和趋势的持续监控。NBAD是网络行为分析的整合部分,在已经属于“传统”网络安全手段的防火墙、杀毒软件和间谍软件检测这些反威胁应用之外,提供了额外的安全防护层。

  NBAD设备的工作原理是基于对网络流的特征辨识。学过TCP/IP网络技术都知道,网络上每一个数据包都有自己本身的特征,而数据包所形成的数据流也具备相互区分、独立的特征。大规模的网络特性包括网络负荷增加、带宽用量增加、网络协议的运用情况等。

  企业通过运用NBAD设备可以基于这些特征去检查分辨出异常事件,然后再通过深入分析,对异常事件进行归纳统计,筛选过滤掉噪音和假阳性情况,最后形成有效的警告信息,发送到网络管理团队或信息安全团队进行快速响应处理。

  通过预先建立的分析模型、噪音门限、假阳性缓解措施等手段,NBAD设备能简化异常检测的过程。

  NBAD设备还具备分辨出能逃避传统终端安全软件检测能力的异常情况。通过对网络事件的监控,企业可以提高对安全异常情况的感知能力,更好地保护用户终端。

  NBAD设备还能监控每一个网络使用人的行为,通过预先设定网络使用人的在特定时间内的行为特性作为基准,NBAD设备就可以高效地进行比对分析,找出和正常指标值存在冲突的异常情况并进行提示告警。不过,NBAD设备和AC(面向终端用户的访问控制)设备也有着本质的区别。

  按现在的安全设备发展大整合的趋势,NBAD功能更多地会整合在单个安全设备中作为其中的一部分功能而出现。

  如何选型评估安全设备的NBAD功能,是每一个甲方网络安全管理者都需要认真考虑的问题。概括起来,应该从以下5点去比较和考虑:

1、是否支持持续不断的网络监控

  网络安全的性质决定了任何网络安全工具都必须是持续运行的。NBAD设备也毫不例外。也只有通过持续不断的网络行为监控过程,

2、是否支持对加密流量进行分析

  企业内网数据流一定程度上属于企业的无形资产,对数据的加密会使得对流量的检查增加了难度。如果NBAD设备无法对加密流量进行检查,则难以有效发现异常情况。

3、是否对网络行为有足够详细的认知

  仅仅基于网络事件的表面特征,而不考虑网络的实际背景情况去告警是毫无意义的。比如某个应用出现特别高但又是完全合理的带宽利用率,此时NBAD设备就不应将其视为异常情况。NBAD设备必须能对网络行为事件具备足够详细的认知能力,从而筛选出真正的异常。

4、是否支持实时告警

  这是NBAD设备的核心功能。实时警报功能使得网络管理团队在检测到潜在威胁后能立即接收到有关它的信息,而无需等待设备生成报告或人工检查仪表板。

  理想情况下,该工具应该与安全信息和事件管理(Security Information and Event Management, SIEM)系统集成,通过该系统可控地发送警报。

5、是否内置或能连接其它反应系统

  NBAD设备可以是、也应该是大规模网络检测和响应(Network Detection and Response, NDR)平台系统的一部分。这涉及到企业网络安全的整体能力。就如其他网络安全设备比如防火墙或入侵检测系统能自动向NDR平台系统发送警报一样,网络异常告警也应能自动发送到NDR平台系统。

  部分简化或高级程度的NBAD设备具有内置的NDR功能,因此用户可以在单一工作流程中进行异常情况调查和做出响应。NBAD设备也可以通过连接到第三方NDR平台系统或具有NDR功能的SIEM系统进行发送警报。

  由于本文不打算具体介绍厂商产品(没广告费啊),所以这里只针对以上5点罗列一下我所了解的厂商产品的特点:

对于1、是否支持持续不断的网络监控:

  • 是否支持监控物联网(IoT);
  • 是否支持监控远端SAAS服务;
  • 是否支持监控远端用户;
  • 是否支持监控尽可能多种类的网络基础设施;
  • 是否支持监控流量带宽无上限;
  • 是否支持有机调节的不同规模的网络。

对于2、是否支持对加密流量进行分析:

  • 是否具备主动式探针;
  • 是否提供被动式探针;
  • 是否支持通过IP地址分类、协议特征识别等方式进行不需要解密的流量分类辨识;
  • 是否支持通过机器学习进行特征归类。

对于3、是否对网络行为有足够详细的认知:

  • 是否提供大量预定义规则;
  • 是否支持从云端到终端的全网络种类;
  • 是否支持对僵尸网络、零日漏洞探测行为、潜在恶意软件、内部威胁、数据泄漏等情况的区分;
  • 是否支持通过机器学习实现网络行为分析归类。

对于4、是否支持实时告警:

  • 是否具备系统仪表板告警;
  • 是否支持多种手段的实时告警到人;
  • 是否可自定义告警情况;
  • 是否支持告警事件重放。

对于5、是否内置或能连接其它反应系统:

  • 是否内置基本的反应系统;
  • 是否提供反应功能的外联API;
  • 是否支持中心化的告警系统;
  • 是否提供预定义整合其它厂商(比如合作伙伴)设备或平台。
本栏目相关
  •  2024-03-05 点评软件供应链安全框架 in-toto 的审计结果
  •  2022-05-11 CIS-CAT 配置评估工具介绍及操作实践
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-08-28 网络攻防中的色彩象征
  •  2022-03-11 安装RHEL/CentOS时如何选择配置安全策略?
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-03-28 如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之一:总览
  •  2023-01-06 MSSQL数据库自动备份和自动复制转移备份
  • 微信订阅号二维码

    本页网址二维码: