NBA是另一種安全模型，不僅是為了滿足“法規遵從”的要求，還將成為企業深層防御架構中的一部分。

Brandon Greenwood是猶他州利哈伊生產營養添加劑的Xango公司的網絡操作和安全經理。他認為，NBA是另一種安全模型。對他們來說，采用NBA不僅僅是為了實施法規遵從計劃，還為了成為深層防御架構的一部分，一個最佳實踐。

Xango選擇了Sourcefire公司的一款NBA來幫助保護散布在全球各地的750個用戶。Greenwood表示，Sourcefire的產品安裝簡單、價位合理，每個主機起價為30美元，如果量大，還有折扣。

Greenwood認為，NBA工具能發現IDS/IPS發現不了的安全漏洞。舉例來說，某些人可能在不允許使用FTP服務的服務器上安裝了FTP服務。NBA設備看到控制流量后，就會發出警報。“甚至在用戶開始傳送數據之前，我就打電話給對方，確保這項服務是確實需要的；如果是這樣，我們就可以采取相應的變更管理措施，以便啟用這項服務。”Greenwood說。

全面了解

網絡運行情況

奧蘭多AirTran航空公司的數據安全經理Michelle Stewart介紹，他們公司在2007年4月部署了Lancope公司的NBA工具——StealthWatch。她說：“這讓我們可以全面了解人們在網絡上的行為，還使我們可要求對方為自己的行為負責。它還顯示了廣域網流量在http、文件共享和其他應用之間是如何共享的。這種流量的可見性大大簡化了非網絡工程師看清進出信用卡終端機和訂票中心的流量。”

據Stewart稱，AirTran公司有一個分布式網絡，支持在55個機場和幾個大學校園的業務運行。最初購買NBA的原因是為了遵從《PCI數據安全標準》，但結果證明，這款工具還是該公司的安全防御機制的有力補充。

Stewart舉了一個例子：NBA發現了“企圖但未遂的”遠程訪問活動，并發現了對方是誰、在哪臺計算機上實施企圖，而之前AirTran無法了解這些信息。

弗雷斯特研究公司的首席分析師Paul Stamp分析道，全面了解情況讓客戶可以在問題變得嚴重之前搶先行動。能證明NBA具有高效率的幾個典型案例包括: 它能發現通常很難發現的行為，比如偷偷潛入的蠕蟲、操作人員的配置錯誤和惡意的內部攻擊。

“部署了防火墻、合適地調整分析及補救流程后，識別安全威脅的工作交給了NBA工具。有了NBA技術，用戶就能比較清楚地了解‘正常行為’；如果出現‘異常行為’，它也會通知用戶。”Stamp說。

雖然NBA工具通常首先是為了安全或者遵從法規而部署的，但人們同時發現，這類產品還能讓IT人員更有效地控制應用性能。從某種意義上來說，NBA產品正開始變成高級的網絡管理工具。

Q1 Labs公司是一家提供NBA產品的公司，其營銷副總裁Tom Turner說：“了解應用情況是我們的產品QRadar與眾不同的一個特點。QRadar最初是一款專業的NBA產品，使用網絡流為網絡和安全操作人員提供可見性。但后來我們漸漸認識到，我們用來收集、存儲、處理及分析網絡流數據的架構同樣有助于運用到日志和事件數據的分析中。”

Q1 Labs已推出了QRadar的第5個版本，它實際上將安全信息管理（SIM）與NBA融為一體。該產品把來自網絡流的上下文信息運用到來自安全設備的事件流，最終生成的結果明確列出了優先次序、準確的數據，而這些數據對安全和網絡操作人員來說都很有用。

同樣，NitroSecurity公司的NitroView產品專門提高了可見性，以便了解信息安全的各個方面。其高級產品營銷經理Eric Knapp說：“網絡行為是需要可視化的，因為人們常常從拓撲結構方面來考慮網絡安全，但其他所有相關的流動數據需要可視化。”

NitroView從多個來源收集數據，并加以規范，那樣數據可以“融合起來可視化”。所有這些數據可以通過圖表、圓形分析圖、分布曲線圖以及/或者拓撲圖來查看。

防止虛假的安全感

據Proctor聲稱，NBA系統存在的缺點是誤報率很高，除非你能有效地建立正確的模型。影響網絡行為建模的幾個因素是：網絡行為的數量、事件類型的數量、環境及網絡活動的強度和一致性、壞行為的可靠度以及用戶的技能和體驗等。

美國芝加哥TransUnion公司的安全架構主管Jason L. Stradley是Sourcefire的客戶，他說：“與這種類型的所有解決方案一樣，NBA也會出現誤報。成功地解決誤報問題褥加以分析。要是企業沒有這種方法，部署任何產品都無濟于事。

揚基集團的分析師Phil Hochmuth說，NBA產品的關鍵在于，它們本身并不處理威脅，而是處理網絡流量中偏離標準行為模式的異常情況。“一個明顯的例子就是: 如果一臺個人電腦受到蠕蟲的感染，潮水般的‘端口掃描’流量突然來自這臺機器，那么不管出現在這臺電腦上的是哪一種蠕蟲，NBA都能夠識別這種情況，然后通知IT人員。一個不大明顯的例子是: 如果某臺服務器的IP地址聯系企業外面的某個未知IP地址，NBA也能發現，因為它已為這臺服務器的正常網絡行為建立了基準。”

Proctor說：“網絡行為分析工具填補了像防火墻、入侵檢測系統、入侵預防系統和安全信息及事件管理這些基于策略和特征的單點解決方案留下的空缺；如果沒有專門進行配置以便發現威脅，那些單點方案是無法發現這些威脅的。NBA技術是一種決策支持系統，它為網絡知識豐富的操作人員提供了可視化的流量分析，那樣他就能解釋及分析網絡上的各種可疑活動，并采取合適的響應措施。”

目前，提供NBA產品的廠商包括：Arbor Networks、思科、GraniteEdge Networks、Lancope、Mazu Networks、NitroSecurity、Q1 Labs、網捷網絡和Sourcefire等。

說明

NBA的工作原理

揚基集團企業研究部門的高級分析師Phil Hochmuth這樣分析NBA的工作原理：“NBA產品使用的是收集器，這可能是獨立的服務器，也可能是專門的設備；然后將網絡流（Netflow）、IP流信息（IPFIX）導出，或者將sFlow等數據發送到該收集器。”

將Netflow數據發送到收集器后，由網絡節點處理的所有數據包的報頭信息基本上會被收集并被發送出去，這好比是這個網絡設備的航運日志。NBA產品收集來自支持網絡流數據的所有網絡設備的數據后，就會了解全面的情況，了解網絡上的活動，比如哪些IP地址彼此聯系、網絡上在運行哪些應用等等。

除了基本的網絡流數據收集外，NBA工具還提供了其他功能：它能發現及測繪IP網絡上的所有設備（從客戶機、服務器、交換機到路由器等等）。由于所有網絡設備都作了說明，而且擁有從路由器和交換機收集的所有“航運日志”，NBA工具還能夠進行復雜的網絡流量分析。用戶可以為網絡行為建立基準性能模型、確認哪些方面存在網絡擁塞或者利用率不足等問題；而且對安全人士來說最重要的是:它還能發現流量的異常情況。

Gartner公司的分析師Paul Proctor則從另一個角度解釋NBA：NBA系統可以利用從思科公司的NetFlow或Juniper公司的cFlow等來源、或者從支持sFlow標準的來源收集的數據，進行網絡流量的分析，還可以直接聯系來自數據包分析的數據。這種系統可以結合使用確定性（特征）檢測和非確定性（異常）檢測，通知網絡和安全操作人員出現的可疑活動，并且提供有關網絡活動的情況，以便分析及響應。從根本上來說，NBA是讓人們了解網絡行為的一扇窗口，需要網絡知識豐富的操作人員解讀分析結果。