网络行为异常检测（NBAD）是如何工作的？

　　继《什么是网络行为异常检测（NBAD）？》（点击这里打开微信公众号链接）之后，我们详细看看什么是“网络行为异常检测”，Network Behavior Anomaly Detection, 缩写NBAD。

笔者：国际认证信息系统审计师、软考系统分析师

　　NBAD技术的定义是监控企业内部网络，持续检测异常行为的过程。

　　一旦异常行为被发现，NBAD设备会执行自动响应措施，或者通知网络安全团队进行处理。

　　一图顶千言，如下是典型的NBAD设备的系统设计图：

　　在当前形势下，网络安全威胁已经完全难以预测。新型恶意软件、高级持续威胁（APT）组织都采取了各种旁路、低特征的方法，悄无声息地渗透企业网络，穿透传统的防御手段，实施攻击和盗取企业数据。

　　很长一段时间以来，网络安全工作一般都聚焦在“点线面”三种企业内网主要要素上，也就是核心设备、网络边界和终端用户三大类。但时至今日，“点线面”的防御方式已经不能应对新型威胁。因为这种防御模式忽略了企业内网上的数据流，

　　网络行为异常检测系统则弥补了“点线面”防御体系的空白。这个概念的明显特点是针对网络数据流，从中提取、分析数据流特征，并基于预定义规则或自学习能力，区分异常情况。

　　需要强调的是，简单的预定义规则、正则式匹配等“静态”分析手段在NBAD领域是完全没有意义的。网络行为天然具有不可预见性，要有效实施异常检测，必须通过人工智能和机器学习等新兴技术手段才能有效排除噪音、区分假阳性/假阴性情况。

　　另外，NBAD并不取代原有的各种传统的网络安全设备。这些传统手段依然有其独到的一面。NBAD设备补齐了传统安全设备的短板，提高了企业的整体网络安全防御能力。

　　网络行为异常检测设备通过全面地对网络流量基于特征进行大数据分析。这些特征包括有数据包结构、包头特征、数据流带宽、数据流内容、具体协议特征、端口、时间戳等等。

　　所有的分析过程都是实时进行，实时告警。可以对网络整体或单个用户进行分析。而且，关键在于被记录的任何可疑事件都能回放分析。

　　NBAD设备的典型工作原理是对企业内网进行“全覆盖”的流量分析，在路由器、交换机等设备的流量诊断功能，以及设备自身的网络探测功能相互配合下进行工作。通过分析网络流量的流模式、分析流量内容、分析网络性能等手段，试图找出以下几种异常的网络行为：

• 未经授权的应用程序或已知的应用对端口的异常使用行为。这通常是木马程序之类的情况。
• 数据泄露行为，大规模的数据直接对外输出，或通过背景流量实施的数据外泄。这通常是勒索组织的行为。
• 隐藏在正常流量中的其它特殊数据流。这通常是高级恶意软件和组织的行为。

　　由于每一个企业其内网流量特征都不同，因此NBAD设备要能良好工作，首先都要根据企业内网流量情况，通过人工智能和机器学习去建立网络行为基线作为“正常”情况，并在随后以行为基线为主要依据分析排查异常行为。

　　NBAD设备实际上不仅仅是网络安全用途。在其他方面也能发挥出作用，典型如分析网络应用的性能情况，帮助开发、测试、运维人员优化网络应用，提高用户满意度。

　　通过设定网络应用的基准性能指标，依靠NBAD设备的长期运行和动态分析、告警，可以更好地适配网络应用开发的DevOps和DevSecOps工作模式，同时兼顾应用功能开发和应用的效率提升等关键要求。这种用途已经在电子商务、电信、网络广告、在线游戏、金融信息服务等行业开始应用。

本页网址二维码：