网络行为审计技术深度解析样本.docx
《网络行为审计技术深度解析样本.docx》由会员分享,可在线阅读,更多相关《网络行为审计技术深度解析样本.docx(7页珍藏版)》请在冰豆网上搜索。
网络行为审计技术深度解析样本
网络行为审计,NetworkBehaviorAudit,国外更多叫做NetworkBehaviorAnalysis(网络行为分析),NetworkBehaviorAnomalyDetection(NBAD,网络行为异常检测)。
这是一种新生事物,即便国外,浮现年头也不长。
无论怎么称呼,其目都是通过度析网络中数据包、流量,借助合同分析技术,或者异常流量分析技术,来发现网络中异常和违规行为,特别是那些看似合法行为。
并且,有产品在该技术上进行扩展,还具备网络行为控制、流量控制功能。
网络行为审计是安全审计中较为重要一种技术实现,其她安全审计技术还涉及日记审计技术、本机代理审计技术、远程代理审计技术,详细可以参见这个文章。
NBA实既有各种方式,其中有两个最重要分支:
基于*Flow流量分析技术NBA:
通过收集网络设备各种格式Flow日记来进行分析和审计,发现违规和异常行为,老式网管厂商诸多开始以此为进入安全切入口;而安全厂商则将其归入范畴。
基于抓包合同分析技术NBA:
通过侦听网络中数据包来进行分析和审计,发现违规和异常行为,老式安全厂商诸多以此作为进入审计领域切入点。
基于抓包合同分析技术NBA
抓包型NBA技术及产品类型阐明
抓包型网络行为审计(NBA)依照用途不同、布置位置不同,普通又分为两种子类型。
上网审计型:
审计网络内部顾客访问互联网行为和内容、防止内部信息泄漏、顾客违规行为,提高内部网络顾客互联网上网行为效率。
业务审计型:
对网络中重要业务系统(主机、服务器、应用软件、数据库等)进行保护,审计所有针对业务系统网络操作,防止针对业务系统违规操作和行为,提高核心业务系统网络安全保障水平,特别是信息和数据安全保护能力,防止信息泄漏。
从上面按用途划分定义可以看出,她们是两类不同产品。
上网审计对象是顾客及其上网行为,而业务审计对象是核心业务系统及其远程操作。
正由于如此,她们布置位置有所不同。
上网审计NBA应当布置在互联网出口处,而业务审计NBA则就近布置在核心业务安全域边界(普通是核心业务系统所在互换机处)。
下面是两类产品在技术层面定义:
上网审计型:
硬件设备,旁路/串路方式布置在顾客互联网出口处。
通过旁路侦听/数据报文截获方式对内部网络连接到互联网(Internet)数据流进行采集、分析和辨认,基于应用层合同还原行为和内容审计,例如针对网页浏览、网络聊天、收发邮件、P2P、网络音视频、文献传播等审计。
可以制定各种控制方略,进行记录分析。
业务审计型:
硬件设备,采用旁路侦听方式对数据流进行采集、分析和辨认,实现对顾客操作数据库、远程访问主机和网络流量审计。
例如针对各种类型数据库SQL语句、操作命令审计,针对Telnet、FTP、SSH、VNC、文献共享合同审计。
管理员可以指定各种控制方略,并进行事后追踪与审计取证。
从上面定义,可以很清晰看出来两种类型异同。
从技术架构上讲,她们是同样,都是抓包引擎加管理器。
但是从详细技术细节来看,她们之间差别是明显。
差别分析
上网审计型系统分析合同都是互联网上惯用应用层合同,例如P2P、邮件、HTTP、音视频、网络游戏等,同步,为了进行更为精准审计,还需要再进一步一步,分析合同内容,例如要可以分析WEBMAIL和WEB聊天室内容,分析MSN聊天内容。
因而,一种好上网审计型NBA必要要有一种巨大、不断及时更新合同分析库。
这个难度是挺大,由于这些互联网应用合同具备种类多、变化频繁特点,并且不会提前告知开发厂家,最明显就是音视频、网游、聊天室。
更加,虽然针对HTTP合同,还要分析出163邮箱、sina邮箱、yahoo邮箱之间区别。
这是一种苦力活。
也是产品核心技术点。
业务审计型系统分析合同基本上都是区域网中常用应用层合同,并且与业务系统密切有关。
例如TDS、TNS等数据库访问合同,FTP、TELNET合同,HTTP、公司邮箱合同(IMAP、STMP等),等等。
对于业务审计型NBA而言,合同种类相对比较固定,并且合同版本比较稳定,比较易于实现。
对于上网审计型NBA,尚有一种重要技术点就是网页分类地址库,就是一种巨大地址库,里面对互联网网址进行分门别类。
用途就在于控制某些顾客可以访问哪些类别网站,不能访问哪些类别网站。
例如:
上班时间不能上游戏网站,而午休时间可以上,等等。
对于业务审计型NBA而言,其核心技术不在于复杂合同分析,而在于合同分析之后,对生成归一化事件(event)进行二次分析,通过关联分析技术手段,发现针对业务系统违规行为,将事件变成真正事件(incident),或者叫告警。
例如,发现某账户在某时间段内频繁查询核心客户资料数据库,从而及时告警,并告知管理员该异常账户行为,也许该客户正在下载客户资料。
要实现这种行为发现,光靠合同分析是不够。
合同分析只能将这种行为相应零散数据报文截获出来,并变成一条条事件,也许是100条。
而只有通过事件关联分析,才干将这100条时间转化为故意义incident告警信息。
关于数据库审计
可以说,数据库审计是业务审计在实现功能上子集。
先看看业务系统定义:
“业务系统是由涉及主机、网络设备、安全设备、应用系统、数据库系统等在内各种IT资源有机组合而成。
”
因而,针对业务审计就要对构成业务系统各个IT资源之间访问行为以及业务系统之间操作审计。
只有通过审计构成业务系统各种IT资源运营行为才干真正反映出业务系统安全状态。
咱们说,面向业务安全审计系统不单是一种主机审计系统、也不是一种单纯网络审计或者数据库审计系统,而是她们综合。
而数据库审计重要就是针对业务核心——数据库审计。
关于运维审计(堡垒主机)
运维审计,也叫做堡垒主机,重要是针对网络内部人员访问重要服务器、主机、网络及安全设备行为(特别是加密合同访问行为)进行审计技术。
除了进行访问操作行为及内容审计,还具备顾客授权、访问控制、单点登录功能,可以大大减轻服务器及设备管理人员帐号维护承担,并可以实现基于自然人操作审计和责任认定。
运维审计产品可以看作是业务审计在技术实现上一种变种。
老式业务审计都以旁路布置方式来进行网络包侦听、合同解析还原和审计分析。
而运维审计则是以应用层代理服务器方式进行布置,获取应用层网络合同,进行还原分析,在重新打包提交给目的主机。
她们都是基于应用层合同分析DPI,只是布置方式有区别。
真是由于代理布置方式,使得运维审计可以对SSH、RDP、SFTP等加密合同进行解析还原(由于有密钥),从而扩大了老式业务审计审计范畴。
综合网络安全审计解决方案
在真实案例中,上网审计NBA和业务审计NBA(涉及数据库审计、运维审计等)可以联合布置,达到综合安全审计效果。
上网审计布置在整个网络安全域边界,业务审计布置在核心业务系统安全域边界。
然后,通过一种统一管理中心,将这个系统告警信息汇总到一起,让管理员实现全网统一网络安全审计。
上网审计和业务审计融合
那么,两类产品可以融合到一起,变成一种产品吗?
我以为没有必要,由于她们针对需求定位是不同,技术细节也是有区别,如果合一,不好布置,只能布置到核心互换机上,同步审计顾客上网行为和保护核心业务系统,对设备性能是个挑战,会力不从心,简朴问题反而变复杂了。
我观点是:
只要做到方案级别整合就够了,毕竟两类产品可以独立发挥功能,满足客户某一方面需求。
抓包型NBA与IDS联系
国内网络安全业界多采用抓包方式来实现NBA,与IDS工作方式很相像。
因而,在国外,诸多人将这种NBA叫做EDS:
ExtrusionDetectionSystem。
这个名词比较形象地表白了NBA和IDS之间联系和区别。
她们都是采用抓包工作方式,采用旁路侦听方式进行工作,布置十分以便,即插即用,不必对业务网络配备做任何更改,对业务网络没有任何影响。
工作时候都需要用到合同分析技术、特性/方略匹配技术,遇到威胁可以实时阻断,违规/违规过程可以回放取证。
NBA和IDS产品架构比较类似,普通都分为引擎和管理器两个某些,引擎负责抓包、合同分析、特性/方略匹配等底层功能;而管理器则负责数据分析、规则定义、告警设立、界面交互等上层功能。
两个某些普通分开为两个实体构成。
但是,随着顾客需求发展,有一种趋势是将上述两个某些合到一起,即一体化NBA设备。
对于顾客而言,产品实行无疑更加便捷。
抓包型NBA与IDS区别
一方面,此种NBA是应用层合同分析,由于她关注是对被保护对象资产各种违规业务操作,例如telent、FTP、数据库访问、HTTP访问,等等。
而(老式)IDS重要是应用层之下合同分析,由于她关注是对被保护对象资产各种袭击行为。
诚然,当前IDS也开始进行应用层合同分析,但是分析应用层合同目是为了发现袭击行为,例如MSN钓鱼行为,等等。
因而,她们最本质区别就在于IDS是检测袭击,而NBA是审计顾客/远程操作。
IDS有一种袭击特性库,需要不断被动升级;而NBA定义了一种顾客操作规范库,阐明什么是合法行为,那么只要是违背这个规范行为就会被发现。
通俗地讲,IDS规则库是一套黑名单库,写满了什么是不对,总是后发制人;而NBA规则库是一套白名单库,简洁列出了什么是容许,保证先发制人。
下面是两条NBA规则库表述性示例:
1)单位规定:
所有对数据库访问只能来自于中间件系统所在IP1,并且只能通过midware账户进行访问,而管理员admin账户只能从维护终端IP2访问数据库,其她行为都是违规。
2)单位规定:
任何数据库管理员帐号都不能读取数据库中工资表员工工资字段,只有财务小李可以从她机器(IP)通过工资管理系统进行访问。
很显然,NBA在工作时候,会分析应用层合同,并将不符合规则库操作行为记录下来。
这种分析效率将会很高,由于白名单技术保证了规则不会诸多,并且相对保持稳定,普通只会跟随业务变化、或者是顾客权限变化而变化。
正是由于上述本质区别,使得NBA更加贴近顾客业务系统,唯有如此才干真正保护顾客业务系统不受违规行为干扰,而这些违规行为往往来自网络内部!
而一旦与业务挂钩,NBA系统复杂度就立即上升,特别是NBA管理器某些远比IDS管理器要复杂。
一方面是规则更加复杂,不是简朴字符串匹配,而是更为复杂匹配,涉及到各种变量,不但涉及源IP、目IP、源端口、目端口、顾客名、帐号、(合同)操作类型、操作内容,等等。
另一方面是匹配之后数据分析更加复杂,不是简朴告警和阻断,而是需要进行二次数据分析,也就是针对引擎产生出来各种归一化事件信息进行实时事件关联分析realtimeeventcorrelationanalysis。
这种关联分析,不是普通关系型数据查询语言可以完全达到。
基于*FLOW流量分析技术NBA
此类NBA技术和产品通过采集网络中(特别是核心网络)互换机、路由器等flow流量日记,进行行为分析,发现违规和入侵。
一种Flow(流)日记里面涉及了Flow起止时刻、包字节数、源/目IP、源/目端口,以及其她某些TCP报文信息。
通过度析这些Flow日记,可以以建模形式建立起网络中行为模型,从而得知某个IP应用层合同流量分布,找寻网络中某个IP非法或者违规行为。
Flow有各种格式,最典型有三种:
NetFlow、SFlow和IPFIX。
在国内,尚有就是华为、H3CNetStream流。
这些流日记格式各有不同,但是承载内容都大体相似。
为什么需要Flow分析,它与抓包型NBA异同
由于对于核心路由、互换设备而言,她们每天工作过程中收发数据报文量是巨大,通过采集这些设备产生摘要性报文信息(Flow日记),可以以一种比较经济方式获得网络行为数据,从而进行行为建模、分析和审计。
而如果通过抓包方式去做话,那么这个用来做抓包分析设备硬件性能将也许需要与核心路由互换设备相称,成本一定会很高。
这也是Flow分析型NBA存在价值。
固然,Flow分析型NBA审计深度不如抓包型NBA,由于Flow日记是摘要数据,信息不全,同步,行为建模过程中存在诸多模糊匹配过程,不够精准。
因而,Flow型NBA适合做全网行为记录分析和趋势分析,而要针对某个安全域中特定网络行为(例如上网行为、数据库操作行为,等等)进行审计话,抓包型NBA则更胜一筹。
咱们进一步加以阐述。
Flow日记是摘要数据,应当好理解。
既然是摘要,信息一定不全,就会影响到审计精准性,也不难理解。
Flow型NBA行为建模过程模糊性是指在通过Flow日记进行行为建模时候,需要通过一种特性库来进行匹配,以便将TCP流信息转换成应用层行为信息。
例如,Flow日记不会说某个数据包是HTTP合同还是SMTP合同,但是会提供一种TCP端标语。
因而,通过一种相对固定端口知识库,可以将某个数据包映射为HTTP包,另一种数据库包映射为SMTP合同包,以此类推。
再高档某些,通过度析持续时间内各种数据包之间关系,可以判断出某些异常数据流,从而推测出某些异常行为。
总之,Flow型NBA分析审计过程是存在模糊性,不能保证精确。
这也是为什么适于做行为记录和整体趋势分析因素。
此外,Flow型NBA是地道行为审计,而抓包型NBA除了可以做行为审计,还可以做内容审计。
也就是说,抓包型NBA不但懂得谁在执行HTTP操作,还懂得她访问了那个URL,甚至网页内容也能懂得。
因而,Flow型NBA与抓包型NBA合用于不同场合。
技术应用
本质上讲,NBA技术是一类跨网管、安管技术,是网管与安管融合一种详细例证。
当前,Flow型NBA更多是老式网管厂商在做,而国内安管厂商则运用其在IDS上面技术积累从事抓包型NBA研制。
国外状况也大体相似。
最后,咱们要提一下,NBA和SIM产品具备诸多相似性和共通性,她们天生就是一对,协作实现了全网事件(日记)收集、分析和审计。
国内外NBA技术与市场走势
国外
NBA这个词最早就是被老外提出来。
在国外,NBA中A普通都称作Analysis,比较中性。
我可以找到就是9月9日Gartner出版一份报告《UseNetworkBehavior.AnalysisforBetterVisibilityIntoSecurityandOperationsEvents》。
为此,Gartner还为它专门建立了一种分类。
相比之下,Yankee集团对NBA研究更加热衷某些。
作为对IDS必要补充,NBA一开始就是针对DLP(数据泄漏保护,DataLeakageProtection)这个话题。
NBA是一种跨安全管理和网络管理技术,它借鉴了网络管理中流量分析技术,又借鉴了安全领域惯用合同分析技术,成为了老式网络安全检测设备有益补充。
下面这幅图是Yankee集团对NBA技术发展趋势分析判断。
在业界追捧下,NBA技术得到了不久发展。
由于NBA自身技术多样性,不久形成了各种分支。
特别由于NBA技术跨网管和安管特性,加入这个市场玩家既有网管厂商,也有安管厂商。
天生地由于思路上差别,各自推出产品差别还是很大。
不久,由于防范内部威胁需求不断增强,NBA浮现了一种重要分支——DAM(DatabaseActivityMonitoring)。
DAM技术起初就是通过网络抓包来分析基于网络数据库操作行为,徐徐地,为了更加全面保护数据库,DAM技术又增长了通过数据库日记、数据库代理等技术来完善对数据库保护。
到日后(开始),DAM已经脱离了NBA,和NBA地位平齐了。
在,Gartner发布了一种名为《SelecttheRightMonitoringandFraudDetectionTechnology》重要报告。
Gartner几种领域分析师们凑在一块写出了这个报告。
有关技术被分为了五类:
1)数据库行为监控(DAM):
NBA衍生,从普遍合同分析到数据库合同分析;
2)内容监控和过滤(ContentMonitoringandFiltering,简称CMF):
也是NBA衍生,从行为进一步到内容;
3)NBA:
(注:
这个报告中对运用NBA进行数据库操作分析阐述我并不是完全认同)
4)欺诈检测
5)SIEM(NBA和SIEM也是亲戚,这个咱们后来还会详谈)
依照这份报告,NBA定义成形了(NBAallowssecurityandnetworkpersonnelandinlinedevicestomonitorandalertonnetworktrafficorpacketanomalies)。
并且,DAM被从NBA中分离了出去,Gartner也为DAM专门建立了一种分类。
说到NBA定义,这个不错。
从开始,NBA技术逐渐成熟,并且不断地衍生,成为其她新产品必要技术构成某些。
Q1Labs将它与SIEM结合,而Mazu则被Riverbed收购。
徐徐,Gartner不再将NBA列为热门技术,转而大力研究DAM、SIEM和CMF了。
但是,NBA实质内涵和技术作用始终没有消褪,这项技术当前仍旧很有用。
Yankee在一项调查显示,被访者(美国公司)中有38%已经布置了NBA。
国内
回到国内,基于NBA抓包技术,国内最火就是独具特色上网行为审计/管理产品,国情使然。
此外,基于NBA数据库抓包技术,DAM(国内叫数据库审计)产品也浮现了。
尚有,网管厂商从Flow日记入手,开发出了轻量级NBA产品(流量日记分析产品)。
可以看到,虽然没有明确NBA产品,但是它变种很壮大,上网行为审计市场没有人分析记录过,我想必定不小。
由于国内技术总体发展滞后于国外,国内NBA兴起时候,国外NBA技术已经开始分化,因而,国内就没有形成过稳定NBA定义,一开始就是花样繁多。
当前,上网行为审计、数据库审计产品所包括技术特性已经超越了NBA基本技术,融合了更多其她技术。
例如网关控制技术、日记分析技术,等等。
关于将来
NBA会成为一种基本性技术,其本质DPI、DFI技术会被其她各类产品所广泛采用。
国外,独立NBA产品恐怕会越来越少,有也很也许是准备被收购。
大型和专业安全厂家以及网络厂家会拥有这项技术,并体当前其产品中。
NBA会成为网管和安管一种技术交汇点。
并且,网管和安管厂家应用这项技术目的一定会有差别。
网络管理员和安全管理员都需要做网络行为分析,但是目是不同。
在国内,NBA会幻化为各种产品形态,核心就是上网行为审计(或上网行为管理)和数据库审计(或叫业务审计)。
为了加强控制性,还会浮现网关型产品,例如针相应用层合同分析流控产品,一种与老式QoS流控不太相似产品。
升级会员 