什么是网络行为异常检测（NBAD）？

作者：Sender Su 来源：原创内容发布日期：2022-03-21 最后修改日期：2022-03-23

　　笔者长期作为甲方网络安全人员，有充足的工作感悟在于如何能尽早发现网络上的异常情况。早发现，早处理，防患于未然。

　　但人的时间和精力始终是有限的。所以要依靠有效的网络安全工具，实现对企业内网异常行为的检测发现和告警。

笔者：国际认证信息系统审计师、软考系统分析师

　　这类网络安全工具（设备）通常称为NBAD设备，即Network Behavior Anomaly Detection (NBAD)。需要强调一下，NBAD设备不是IDS或IPS设备。IDS是入侵检查系统，IPS是入侵防御系统，都是针对“入侵”行为进行设计的。

　　NBAD通常定义为对私有网络上的异常事件和趋势的持续监控。NBAD是网络行为分析的整合部分，在已经属于“传统”网络安全手段的防火墙、杀毒软件和间谍软件检测这些反威胁应用之外，提供了额外的安全防护层。

　　NBAD设备的工作原理是基于对网络流的特征辨识。学过TCP/IP网络技术都知道，网络上每一个数据包都有自己本身的特征，而数据包所形成的数据流也具备相互区分、独立的特征。大规模的网络特性包括网络负荷增加、带宽用量增加、网络协议的运用情况等。

　　企业通过运用NBAD设备可以基于这些特征去检查分辨出异常事件，然后再通过深入分析，对异常事件进行归纳统计，筛选过滤掉噪音和假阳性情况，最后形成有效的警告信息，发送到网络管理团队或信息安全团队进行快速响应处理。

　　通过预先建立的分析模型、噪音门限、假阳性缓解措施等手段，NBAD设备能简化异常检测的过程。

　　NBAD设备还具备分辨出能逃避传统终端安全软件检测能力的异常情况。通过对网络事件的监控，企业可以提高对安全异常情况的感知能力，更好地保护用户终端。

　　NBAD设备还能监控每一个网络使用人的行为，通过预先设定网络使用人的在特定时间内的行为特性作为基准，NBAD设备就可以高效地进行比对分析，找出和正常指标值存在冲突的异常情况并进行提示告警。不过，NBAD设备和AC（面向终端用户的访问控制）设备也有着本质的区别。

　　按现在的安全设备发展大整合的趋势，NBAD功能更多地会整合在单个安全设备中作为其中的一部分功能而出现。

　　如何选型评估安全设备的NBAD功能，是每一个甲方网络安全管理者都需要认真考虑的问题。概括起来，应该从以下5点去比较和考虑：

1、是否支持持续不断的网络监控

　　网络安全的性质决定了任何网络安全工具都必须是持续运行的。NBAD设备也毫不例外。也只有通过持续不断的网络行为监控过程，

2、是否支持对加密流量进行分析

　　企业内网数据流一定程度上属于企业的无形资产，对数据的加密会使得对流量的检查增加了难度。如果NBAD设备无法对加密流量进行检查，则难以有效发现异常情况。

3、是否对网络行为有足够详细的认知

　　仅仅基于网络事件的表面特征，而不考虑网络的实际背景情况去告警是毫无意义的。比如某个应用出现特别高但又是完全合理的带宽利用率，此时NBAD设备就不应将其视为异常情况。NBAD设备必须能对网络行为事件具备足够详细的认知能力，从而筛选出真正的异常。

4、是否支持实时告警

　　这是NBAD设备的核心功能。实时警报功能使得网络管理团队在检测到潜在威胁后能立即接收到有关它的信息，而无需等待设备生成报告或人工检查仪表板。

　　理想情况下，该工具应该与安全信息和事件管理(Security Information and Event Management, SIEM)系统集成，通过该系统可控地发送警报。

5、是否内置或能连接其它反应系统

　　NBAD设备可以是、也应该是大规模网络检测和响应(Network Detection and Response, NDR)平台系统的一部分。这涉及到企业网络安全的整体能力。就如其他网络安全设备比如防火墙或入侵检测系统能自动向NDR平台系统发送警报一样，网络异常告警也应能自动发送到NDR平台系统。

　　部分简化或高级程度的NBAD设备具有内置的NDR功能，因此用户可以在单一工作流程中进行异常情况调查和做出响应。NBAD设备也可以通过连接到第三方NDR平台系统或具有NDR功能的SIEM系统进行发送警报。

　　由于本文不打算具体介绍厂商产品（没广告费啊），所以这里只针对以上5点罗列一下我所了解的厂商产品的特点：

对于1、是否支持持续不断的网络监控：