返回
网络行为审计技术深度解析汇报

网络行为审计技术深度解析汇报

ID:30217441

大小:67.00 KB

页数:8页

时间:2018-12-28

网络行为审计技术深度解析汇报_第1页
网络行为审计技术深度解析汇报_第2页
网络行为审计技术深度解析汇报_第3页
网络行为审计技术深度解析汇报_第4页
网络行为审计技术深度解析汇报_第5页
资源描述:

《网络行为审计技术深度解析汇报》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、实用标准文案网络行为审计,NetworkBehaviorAudit,国外更多的叫做NetworkBehaviorAnalysis(网络行为分析),NetworkBehaviorAnomalyDetection(NBAD,网络行为异常检测)。这是一个新生事物,即便国外,出现的年头也不长。无论怎么称呼,其目的都是通过分析网络中的数据包、流量,借助协议分析技术,或者异常流量分析技术,来发现网络中的异常和违规行为,尤其是那些看似合法的行为。并且,有的产品在该技术上进行扩展,还具有网络行为控制、流量控制的功能。 网络行为审计是安全审计中较为重要的一种技

2、术实现,其他安全审计技术还包括日志审计技术、本机代理审计技术、远程代理审计技术,具体可以参见这个文章。NBA的实现有多种方式,其中有两个最重要的分支:基于*Flow流量分析技术的NBA:通过收集网络设备的各种格式的Flow日志来进行分析和审计,发现违规和异常行为,传统的网管厂商很多开始以此为进入安全的切入口;而安全厂商则将其归入的范畴。基于抓包协议分析技术的NBA:通过侦听网络中的数据包来进行分析和审计,发现违规和异常行为,传统的安全厂商很多以此作为进入审计领域的切入点。基于抓包协议分析技术的NBA抓包型NBA技术及产品类型说明抓包型网络行为

3、审计(NBA)根据用途的不同、部署位置的不同,一般又分为两种子类型。上网审计型:审计网络内部用户访问互联网的行为和内容、防止内部信息泄漏、用户违规行为,提升内部网络用户互联网上网行为的效率。业务审计型:对网络中重要的业务系统(主机、服务器、应用软件、数据库等)进行保护,审计所有针对业务系统的网络操作,防止针对业务系统的违规操作和行为,提升核心业务系统的网络安全保障水平,尤其是信息和数据的安全保护能力,防止信息泄漏。从上面按用途划分的定义可以看出,他们是两类不同的产品。上网审计的对象是用户及其上网行为,而业务审计的对象是核心业务系统及其远程操作

4、。正因为如此,他们部署的位置有所不同。上网审计NBA应该部署在互联网出口处,而业务审计NBA则就近部署在核心业务安全域的边界(一般是核心业务系统所在的交换机处)。下面是两类产品在技术层面的定义:上网审计型:硬件设备,旁路/串路方式部署在用户互联网出口处。通过旁路侦听/数据报文截获的方式对内部网络连接到互联网(Internet)的数据流进行采集、分析和识别,基于应用层协议还原的行为和内容审计,例如针对网页浏览、网络聊天、收发邮件、P2P、网络音视频、文件传输等的审计。可以制定各种控制策略,进行统计分析。精彩文档实用标准文案业务审计型:硬件设备,

5、采用旁路侦听的方式对数据流进行采集、分析和识别,实现对用户操作数据库、远程访问主机和网络流量的审计。例如针对各种类型的数据库SQL语句、操作命令的审计,针对Telnet、FTP、SSH、VNC、文件共享协议的审计。管理员可以指定各种控制策略,并进行事后追踪与审计取证。从上面的定义,可以很清楚的看出来两种类型的异同。从技术架构上讲,他们是一样的,都是抓包引擎加管理器。但是从具体的技术细节来看,他们之间的差异是显著的。差异分析上网审计型系统分析的协议都是互联网上常用的应用层协议,例如P2P、邮件、HTTP、音视频、网络游戏等,同时,为了进行更为精

6、确的审计,还需要再深入一步,分析协议的内容,例如要能够分析WEBMAIL和WEB聊天室的内容,分析MSN的聊天内容。因此,一个好的上网审计型NBA必须要有一个巨大的、不断及时更新的协议分析库。这个难度是挺大的,因为这些互联网应用协议具有种类多、变化频繁的特点,并且不会提前通知开发厂家,最明显就是音视频、网游、聊天室。更加的,即使针对HTTP协议,还要分析出163邮箱、sina邮箱、yahoo邮箱之间的区别。这是一个苦力活。也是产品的核心技术点。业务审计型系统分析的协议基本上都是区域网中常见的应用层协议,并且与业务系统密切相关。例如TDS、TN

7、S等数据库访问协议,FTP、TELNET协议,HTTP、企业邮箱协议(IMAP、STMP等),等等。对于业务审计型NBA而言,协议种类相对比较固定,并且协议版本比较稳定,比较易于实现。对于上网审计型NBA,还有一个重要的技术点就是网页分类地址库,就是一个巨大的地址库,里面对互联网的网址进行分门别类。用途就在于控制某些用户可以访问哪些类别的网站,不能访问哪些类别的网站。例如:上班时间不能上游戏网站,而午休时间可以上,等等。对于业务审计型NBA而言,其核心技术不在于复杂的协议分析,而在于协议分析之后,对生成的归一化的事件(event)进行二次分析

8、,通过关联分析的技术手段,发现针对业务系统的违规行为,将事件变成真正的事件(incident),或者叫告警。例如,发现某账户在某时间段内频繁的查询核心的客户资料数据

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。