如何有效部署网络行为异常检测（NBAD）设备？

　　就如我在《什么是网络行为异常检测（NBAD）？》（点击这里打开微信公众号链接）和《网络行为异常检测（NBAD）是如何工作的？》（点击这里打开微信公众号链接）中所介绍的，网络行为异常检测，NBAD设备的有效部署，是跟企业的内网环境有关系的。但我这里写的并不是技术性的观点，而是评论性的​观点。

笔者：国际认证信息系统审计师、软考系统分析师

　　这里先补一句，网络行为异常检测，在各种厂商那里会有各种不同的术语名称，比如“网络流量分析”、“网络行为分析”、“网络可视性分析”等等，所以还是要看产品具体实现的功能去辨别这产品是否NBAD设备，是否能达到自己对NBAD设备的使用预期。

　　比如某厂的产品描述大致为：（我司产品）是大容量、高性能的数据包采集和分析平台，分布部署在网络的关键节点，对网络通讯数据在包一级进行实时挖掘、分析，对关键业务中的网络异常、应用性能异常和网络行为异常实时发现，并提供异常原因的回溯分析等功能。

　　拿住关键词就知道产品的表面情况，然后再看产品白皮书，结合横向对比，基本上就能对产品功能性能有整体印象，最后就是看自己的预期和预算的匹配程度了。

　　和常规网络安全产品不同，NBAD设备本质上还是一套“软件”设备，很多厂商提供的NBAD产品实际就是一台高性能高配置专门优化过的X86服务器，在其上运行专有的软件。

　　但从设备能否良好工作角度出发去看，会发现网络产品厂商在NBAD设备上有天然优势。这是因为NBAD设备需要对整个内网的所有流量进行分析，而不像传统网络安全设备一般部署在网络边界出口，或者重点防御区域出口这些单点位置。

　　要对网络所有流量比如两台终端之间的点对点流量进行分析，就无法避开需要和网络设备有联动能力，而且联动能力越强越好。

　　加上NBAD设备的告警、主动应对、事后回放等等功能，都要能集成到企业内网的安全信息事件管理平台（SIEM），这对于能提供一揽子从网络到安全的解决方案的网络产品厂商来说，是巨大的整合优势。

　　所以，如果认真对比产商产品说明，可以看到有类似如下的描述，完全就是从网络结构角度出发的：

　　支持旁路部署，通过端口镜像采集网络流量数据；支持基于 VLAN、VXLAN、MPLS VLAN、QinQ等方式配置虚拟链路接口......

　　而有些产商更干脆直接地在产品说明上指出，配合我司某某型号路由器、交换机、某某安全设备，才能完整地实现只有我们有，别人无法提供的某些核心关键功能。这基本上就是在说我自家产品的联动能力是依赖于私有的网络协议，而不仅仅是通过流量镜像之类的常规做法去​获取流量和实现流量分析。

　　所以，归纳起来的结论是：只要预算允许，那就网络设备加上网络安全设备整套体系全上一个厂家的。如果预算不允许，着重考察网络安全设备比如NBAD设备与网络设备的互动能力。

本页网址二维码：