行为分析技术增强企业网络管理能力

　　随着通信网络技术的发展，网络能够提供的业务和应用也越来越复杂，特别是面向服务架构(SOA)的兴起、虚拟化基础结构的迅速采用，以及分布式和移动应用的增加等，使得网络管理需要面对一系列以前从未涉及的问题。例如，现有网络管理工具的管理对象主要是网络的基础架构设施，缺乏对网络中应用和用户行为的了解。由于网络用户行为的动态性、应用的分布式特性和基础架构的虚拟化等等，使得通过对基础架构进行监视来了解网络为最终用户所提供服务的质量几乎是不可能的。因此，网络管理系统也必须引入新的技术手段来适应技术和应用的持续变化。

　　行为分析工具可以对用户的交互行为进行建模分析，能够深入了解网络用户、网络设备和网络应用的历史和实时行为。通过使用行为分析工具，网络管理者可以预测应用的性能，了解网络用户的真实体验，并能够基于用户的行为对网络进行优化。因此，很多网络行为分析厂商已经将他们的解决方案应用到安全领域之外，用于监视和了解网络性能和用户的使用情况，以使管理员能够确认性能问题并快速优化网络。

　　美国杨基集团(Yankee Group)的一系列研究报告对结合网络行为分析的网络管理和监视的应用发展情况进行了研究。报告认为，行为分析为网络管理员提供了一种新的技术手段，增强了网络管理的能力，其价值已经逐渐为人们所发现，网络管理已经成为行为分析产品的一个新市场。

　　网络行为分析技术

　　网络行为分析(Network Behavior Analysis—NBA)也就是对网络行为异常的探测，主要是利用对网络的被动观察和描述找出通讯和应用中违反安全策略的行为。传统的入侵防御系统解决方案通过串联通讯检测、特征检测和实时封锁等手段保护网络环境。然而，网络行为分析解决方案可以观察网络内部发生了什么事情，把来自许多点的流动数据结合在一起，支持在线行为分析、关系描述、异常身份识别和辅助的“软接触”补救措施。

　　网络行为分析的优势在于它能够摘取关键性的网络行为信息，这些信息是被其他网络安全设备忽略而从不进行分析的。通过被动地监听路由器和传感器，网络行为分析避免了服务延迟或性能瓶颈。通过监视网络的通信流，网络行为分析能够检测到雇员是否使用被禁止的协议和被病毒感染的笔记本电脑和移动存储设备，并检测到这些违禁设施在防火墙后面的连接。通过把当前的行为与以前的行为相比较，网络行为分析能够发现没有使用补丁和病毒特征更新的零日攻击和蠕虫爆发。从长期使用效果来看，网络行为分析不仅支持网络纵深防御而且还能够启动容量规划和网络用户法规遵守情况的报告。

　　网络行为分析系统也能够提供网络使用的较具体的细节，包括：网络应用和系统是怎样被使用的;谁在使用这些应用和系统;哪些系统进行了相互连接;这些系统的连接使用了什么端口和协议等14l。目前的网络行为分析工具提供商包括：Arbor Networks、GraniteEdge Networks，Lancope、Mazu Networks和Ql Labs等。

　　网络行为分析的运行过程概括起来就是：利用路由器和交换机监听网络流量根据所有的端点和应用的模型，分析异常的行为，描述风险和威胁;识别威胁信息，用现有网络的机制减轻可能的损失。具体过程如下：

　　——为典型的网络活动建立一个基线，然后，网络行为分析工具根据基线来检测网络的异常行为。因为攻击可能会持续数小时或数天，这些异常可能是其他安全分析手段不会注意到的。网络行为分析工具还可以帮助确认那些防火墙和IDS/IDP不能单独发现的攻击对系统所造成的影响。

　　——接下来，网络行为分析工具对异常事件进行关联分析，去除无价值的干扰信息，减少安全分析员所必须要研究的信息的数量。

　　——当网络行为分析工具收集到信息并对其进行筛选后，这些输出信息基本上可以为观察用户的网络行为提供一个可视化窗口，接下来管理员就可以应用自己的知识对输出的数据进行解释和判断。

　　网络管理对网络行为分析的需求

　　传统意义上的网络管理主要是针对网络基础设施的，其管理的对象一般仅限于网络设备、主机，以及其上承载的网络业务等。随着应用和技术的发展，网络管理系统不但需要具有对网元和网络的管理功能，还需要具备对网络业务的端到端的管理功能。具体来说就是，网络管理需要了解用户、应用和设备的行为，包括用户之间的交互行为，用户与设备或系统的交互行为，通过了解和掌握用户的真实体验来优化网络性能。按照网络服务要以客户为中心的思想，为用户提供最佳的业务使用体验变得比关注基础架构的可用性更为关键。

　　目前，大多数网络并没有按用户和用户的使用要求来进行优化，这就导致了性能的下降，降低了用户的生产力，造成不可接受的安全风险和较长的故障排除时间。其根本原因是缺乏对用户的活动行为，以及用户与系统、应用和服务的交互行为的了解。网络复杂性的增加也对网络管理提出了更高的要求。对网络基础设施和网络进行优化需要了解网络用户当前和历史的行为，以及应用和设备的配置。另外，预测新应用可能带来的冲突，以及这些冲突对基础设施和服务水平有什么影响也同样很重要。当前的网络管理工具提供的主要功能是对网络基础设施的管理和报告其故障及性能。然而，由于网络的动态特性不断增强，如虚拟主机、分布式应用和移动办公等，都需要大量、深入地对网络行为进行了解，这样管理员才能按业务的实际工作方式来优化网络。没有这些网络行为方面的信息，管理员将面临以下一些问题.

　　——缺乏对最终用户使用网络情况的了解。网络的目的是要为每一个最终用户提供符合质量要求的服务，这就要求网络管理能够直接了解用户在使用网络时的情况，甚至了解用户的使用体验。对网络设备的监视能够及时发现网络基础设施的可用性问题，但对于最终用户的行为却知之甚少。现有的网管工具最多能够提供一些关于网络性能和用户行为的.不连续的片断信息。

　　——难以对网络变化造成的冲突进行管理。网络的应用和服务，以及支撑网络的基础设施都不是固定不变的，如果没有对用户典型网络行为和行为的变化进行深入的了解，网络(包括应用、服务和基础设施)的变化往往会与实际的应用情况相冲突而造成网络性能问题，并且很难找出问题的真正原因。

　　——性能故障的排除时间长。平均故障修复时间(MTTR)是进行网络维护的关键指标，如果维护人员不能对造成性能问题的行为有充分的了解，对故障的修复时间将会很长，性能问题对业务的影响也相应会增加。

　　——安全事件的风险。对网络安全操作和网络管理操作通常都不是同时进行的，安全措施不仅仅是保护数据不被窃取和丢失，还关系到网络的性能和可用性。用户网络行为的变化可能会引发性能问题或造成安全事件，让安全操作和网络操作协同工作对于性能闻题和安全事件的减少都是很莺要的。

　　网络行为分析解决方案起初只是应用在安全方面，但是网络管理员发现这种方法能够提供的价值已经超越了安全应用，它能够提供用户应用网络的详细和连续的信息，可以增强现有的网络管理工具能力，并且帮助管理员按用户的实际应用行为来优化网络。目前，许多网络管理员已经应用网络行为分析工具来增强对网络整体情况的了解，提升网络管理和监视的能力，实现了融合网络行为分析的管理和监视。这种解决方案是网络行为分析和网络管理的聚合，特别适用于对网络性能的管理。

　　行为分析技术在网络管理中的应用优势

　　网络行为分析系统的最初目的是用于识别已经通过了防火墙和其他早期安全设备的安全威胁，这些设备包括IDS/IPS、安全事件管理(SEM)和脆弱性管理等。这些设备依赖于签名，它们只能对已知的问题进行观察，限制了未来对其进行复杂部署的应用，这使得每个网络段都必须有独立的设备。许多网络管理员在应用中发现，他们用于解决如信任用户威胁、恶意软件和误配置等安全相关的工具(如网络行为分析系统等)，非常适合解决许多网络管理方面的问题。

　　利用网络行为分析技术可以对用户的活动行为，以及用户与网络应用、网络基础设施之间的交互情况进行监视和分析，使用户的行为对管理员可见。这些信息对网络管理具有极大的利用价值，将网络管理工具与行为分析能力相结合为网络行为分析提供了一个新的应用领域。

　　将行为分析工具和已有的网络和系统管理工具相结合可以提供对网络故障和性能事件的深入了解，网络行为分析是对已有网络管理工具的补充。将网络行为分析应用在网络管理中可以带来以下一些好处：

　　第一，可以根据用户体验来进行网络的优化。将网络管理工具用于监视被管节点基础设施的运行情况，而行为分析则用于监视用户以及节点的交互使用情况。使用网络行为分析可以深入了解用户之间，以及用户和网络系统间的真实交互情况，网络管理员能够知道谁访问了什么，是什么时候和怎样访问的。这样，网络管理员就可以根据用户的实际使用情况来调整和优化网络。

　　第二，能够增强对网络的管理和监视能力。采用网络能会产生大量冗余的事件和噪声，而采用了网络行为分析工具的管理员可以更好地了解用户行为，并快速发现由于部署新的应用和服务而造成的冲突。

　　第三，可以加快解决网络问题的速度。通过对网络行为的建模和分析，可以准确地了解发生性能问题时所造成的网络变化。网络管理员可以更快地发现故障的根源，以减少故障的恢复时间。另外，当网络管理员面对系统所给出的多个告警时，可以依据网络行为进行故障诊断，优先处理对业务造成影响的事件。

　　第四，可以更有效地对网络基础设施及其变化进行管理。网络上的各种应用和服务越来越复杂，例如：数据中心、业务连续性保证和灾难恢复系统、统一通信解决方案等，都使网络的基础设施变得庞大和复杂且经常变化，难以管理。通过网络行为分析对网络的实时和历史行为进行深入的了解能够帮助管理员对网络基础设施的调整进行规划，发现基础设施的隐患，了解用户使用情况，使管理员做出的决策更加科学。

　　最后，可以在网络性能和网络安全两方面进行平衡。网络的性能和网络安全策略经常是冲突的，也就是说，执行了更严格的安全策略就有可能引起网络性能的下降，反之亦然。行为分析将对网络的监视和管理结合起来，可以在同一个系统上进行安全操作和网络操作，这样就可以在进行安全管理和网络配置时进行统一的权衡，可以尽量在满足网络性能需求的同时不降低网络的安全级别。

　　结论

　　网络行为分析作为一种有效的安全工具，具有对网络的深入分析能力，其最初目的是通过对网络行为深入的分析来发现那些难以检测到的攻击。网络行为分析的优势在于通过分析数据流来解释网络行为，能够发现其他安全系统和网络管理工具不能了解到的深层次网络问题。目前的网络管理解决方案虽然对用户行为异常检测和安全分析方面的能力比较缺乏，但是具有在网络和业务层次上的分析和报告能力，具备对网络基础设施进行管理和控制的功能。将网络行为分析技术应用于网络管理，利用网络行为分析来深入了解网络用户、网络设备和网络应用的历史和实时行为，结合网络管理工具对网络基础设施进行管理和控制，可以基于用户使用网络的实际行为来优化和调整网络，弥补了常规网络管理工具的不足，实现了真正以用户为中心行为分析，能够对典型的网络行为和用户行为进行实时的的网络服务和网络管理。

　　将行为分析技术应用于网络管理的研究和应用才刚刚起步，但它对网络管理能力的提高却是显而易见的，值得进一步的关注和研究。