網(wǎng)絡(luò)行為審計技術(shù)深度解析

..網(wǎng)絡(luò)行為審計,NetworkBehaviorAudit,國外更多的叫做NetworkBehaviorAnalysis〔網(wǎng)絡(luò)行為分析,NetworkBehaviorAnomalyDetection<NBAD,網(wǎng)絡(luò)行為異常檢測>。這是一個新生事物,即便國外,出現(xiàn)的年頭也不長。無論怎么稱呼,其目的都是通過分析網(wǎng)絡(luò)中的數(shù)據(jù)包、流量,借助協(xié)議分析技術(shù),或者異常流量分析技術(shù),來發(fā)現(xiàn)網(wǎng)絡(luò)中的異常和違規(guī)行為,尤其是那些看似合法的行為。并且,有的產(chǎn)品在該技術(shù)上進(jìn)行擴(kuò)展,還具有網(wǎng)絡(luò)行為控制、流量控制的功能。

網(wǎng)絡(luò)行為審計是安全審計中較為重要的一種技術(shù)實現(xiàn),其他安全審計技術(shù)還包括日志審計技術(shù)、本機(jī)代理審計技術(shù)、遠(yuǎn)程代理審計技術(shù),具體可以參見這個文章。NBA的實現(xiàn)有多種方式,其中有兩個最重要的分支：基于*Flow流量分析技術(shù)的NBA：通過收集網(wǎng)絡(luò)設(shè)備的各種格式的Flow日志來進(jìn)行分析和審計,發(fā)現(xiàn)違規(guī)和異常行為,傳統(tǒng)的網(wǎng)管廠商很多開始以此為進(jìn)入安全的切入口；而安全廠商則將其歸入的范疇?；谧グ鼌f(xié)議分析技術(shù)的NBA：通過偵聽網(wǎng)絡(luò)中的數(shù)據(jù)包來進(jìn)行分析和審計,發(fā)現(xiàn)違規(guī)和異常行為,傳統(tǒng)的安全廠商很多以此作為進(jìn)入審計領(lǐng)域的切入點。基于抓包協(xié)議分析技術(shù)的NBA抓包型NBA技術(shù)及產(chǎn)品類型說明抓包型網(wǎng)絡(luò)行為審計〔NBA根據(jù)用途的不同、部署位置的不同,一般又分為兩種子類型。上網(wǎng)審計型：審計網(wǎng)絡(luò)內(nèi)部用戶訪問互聯(lián)網(wǎng)的行為和內(nèi)容、防止內(nèi)部信息泄漏、用戶違規(guī)行為,提升內(nèi)部網(wǎng)絡(luò)用戶互聯(lián)網(wǎng)上網(wǎng)行為的效率。業(yè)務(wù)審計型：對網(wǎng)絡(luò)中重要的業(yè)務(wù)系統(tǒng)〔主機(jī)、服務(wù)器、應(yīng)用軟件、數(shù)據(jù)庫等進(jìn)行保護(hù),審計所有針對業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)操作,防止針對業(yè)務(wù)系統(tǒng)的違規(guī)操作和行為,提升核心業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全保障水平,尤其是信息和數(shù)據(jù)的安全保護(hù)能力,防止信息泄漏。從上面按用途劃分的定義可以看出,他們是兩類不同的產(chǎn)品。上網(wǎng)審計的對象是用戶及其上網(wǎng)行為,而業(yè)務(wù)審計的對象是核心業(yè)務(wù)系統(tǒng)及其遠(yuǎn)程操作。正因為如此,他們部署的位置有所不同。上網(wǎng)審計NBA應(yīng)該部署在互聯(lián)網(wǎng)出口處,而業(yè)務(wù)審計NBA則就近部署在核心業(yè)務(wù)安全域的邊界〔一般是核心業(yè)務(wù)系統(tǒng)所在的交換機(jī)處。下面是兩類產(chǎn)品在技術(shù)層面的定義：上網(wǎng)審計型：硬件設(shè)備,旁路/串路方式部署在用戶互聯(lián)網(wǎng)出口處。通過旁路偵聽/數(shù)據(jù)報文截獲的方式對內(nèi)部網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)〔Internet的數(shù)據(jù)流進(jìn)行采集、分析和識別,基于應(yīng)用層協(xié)議還原的行為和內(nèi)容審計,例如針對網(wǎng)頁瀏覽、網(wǎng)絡(luò)聊天、收發(fā)郵件、P2P、網(wǎng)絡(luò)音視頻、文件傳輸?shù)鹊膶徲?。可以制定各種控制策略,進(jìn)行統(tǒng)計分析。業(yè)務(wù)審計型：硬件設(shè)備,采用旁路偵聽的方式對數(shù)據(jù)流進(jìn)行采集、分析和識別,實現(xiàn)對用戶操作數(shù)據(jù)庫、遠(yuǎn)程訪問主機(jī)和網(wǎng)絡(luò)流量的審計。例如針對各種類型的數(shù)據(jù)庫SQL語句、操作命令的審計,針對Telnet、FTP、SSH、VNC、文件共享協(xié)議的審計。管理員可以指定各種控制策略,并進(jìn)行事后追蹤與審計取證。從上面的定義,可以很清楚的看出來兩種類型的異同。從技術(shù)架構(gòu)上講,他們是一樣的,都是抓包引擎加管理器。但是從具體的技術(shù)細(xì)節(jié)來看,他們之間的差異是顯著的。差異分析上網(wǎng)審計型系統(tǒng)分析的協(xié)議都是互聯(lián)網(wǎng)上常用的應(yīng)用層協(xié)議,例如P2P、郵件、HTTP、音視頻、網(wǎng)絡(luò)游戲等,同時,為了進(jìn)行更為精確的審計,還需要再深入一步,分析協(xié)議的內(nèi)容,例如要能夠分析WEBMAIL和WEB聊天室的內(nèi)容,分析MSN的聊天內(nèi)容。因此,一個好的上網(wǎng)審計型NBA必須要有一個巨大的、不斷及時更新的協(xié)議分析庫。這個難度是挺大的,因為這些互聯(lián)網(wǎng)應(yīng)用協(xié)議具有種類多、變化頻繁的特點,并且不會提前通知開發(fā)廠家,最明顯就是音視頻、網(wǎng)游、聊天室。更加的,即使針對HTTP協(xié)議,還要分析出163郵箱、sina郵箱、yahoo郵箱之間的區(qū)別。這是一個苦力活。也是產(chǎn)品的核心技術(shù)點。業(yè)務(wù)審計型系統(tǒng)分析的協(xié)議基本上都是區(qū)域網(wǎng)中常見的應(yīng)用層協(xié)議,并且與業(yè)務(wù)系統(tǒng)密切相關(guān)。例如TDS、TNS等數(shù)據(jù)庫訪問協(xié)議,FTP、TELNET協(xié)議,HTTP、企業(yè)郵箱協(xié)議〔IMAP、STMP等,等等。對于業(yè)務(wù)審計型NBA而言,協(xié)議種類相對比較固定,并且協(xié)議版本比較穩(wěn)定,比較易于實現(xiàn)。對于上網(wǎng)審計型NBA,還有一個重要的技術(shù)點就是網(wǎng)頁分類地址庫,就是一個巨大的地址庫,里面對互聯(lián)網(wǎng)的網(wǎng)址進(jìn)行分門別類。用途就在于控制某些用戶可以訪問哪些類別的網(wǎng)站,不能訪問哪些類別的網(wǎng)站。例如：上班時間不能上游戲網(wǎng)站,而午休時間可以上,等等。對于業(yè)務(wù)審計型NBA而言,其核心技術(shù)不在于復(fù)雜的協(xié)議分析,而在于協(xié)議分析之后,對生成的歸一化的事件〔event進(jìn)行二次分析,通過關(guān)聯(lián)分析的技術(shù)手段,發(fā)現(xiàn)針對業(yè)務(wù)系統(tǒng)的違規(guī)行為,將事件變成真正的事件〔incident,或者叫告警。例如,發(fā)現(xiàn)某賬戶在某時間段內(nèi)頻繁的查詢核心的客戶資料數(shù)據(jù)庫,從而及時告警,并告知管理員該異常賬戶的行為,可能該客戶正在下載客戶資料。要實現(xiàn)這種行為的發(fā)現(xiàn),光靠協(xié)議分析是不夠的。協(xié)議分析只能將這種行為對應(yīng)的零散的數(shù)據(jù)報文截獲出來,并變成一條條的事件,可能是100條。而只有通過事件關(guān)聯(lián)分析,才能將這100條時間轉(zhuǎn)化為有意義的incident告警信息。關(guān)于數(shù)據(jù)庫審計可以說,數(shù)據(jù)庫審計是業(yè)務(wù)審計在實現(xiàn)功能上的子集。先看看業(yè)務(wù)系統(tǒng)的定義："業(yè)務(wù)系統(tǒng)是由包括主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等在內(nèi)的多種IT資源有機(jī)組合而成的。"因此,針對業(yè)務(wù)的審計就要對構(gòu)成業(yè)務(wù)系統(tǒng)的各個IT資源之間的訪問行為以及業(yè)務(wù)系統(tǒng)之間的操作的審計。只有通過審計構(gòu)成業(yè)務(wù)系統(tǒng)的各種IT資源的運(yùn)行行為才能真正反映出業(yè)務(wù)系統(tǒng)的安全狀態(tài)。我們說,面向業(yè)務(wù)的安全審計系統(tǒng)不單是一個主機(jī)審計系統(tǒng)、也不是一個單純的網(wǎng)絡(luò)審計或者數(shù)據(jù)庫審計系統(tǒng),而是他們的綜合。而數(shù)據(jù)庫審計主要就是針對業(yè)務(wù)的核心——數(shù)據(jù)庫的審計。關(guān)于運(yùn)維審計〔堡壘主機(jī)運(yùn)維審計,也叫做堡壘主機(jī),主要是針對網(wǎng)絡(luò)內(nèi)部人員訪問重要服務(wù)器、主機(jī)、網(wǎng)絡(luò)及安全設(shè)備的行為〔尤其是加密協(xié)議訪問行為進(jìn)行審計的技術(shù)。除了進(jìn)行訪問操作的行為及內(nèi)容審計,還具備用戶授權(quán)、訪問控制、單點登錄的功能,能夠大大減輕服務(wù)器及設(shè)備管理人員的帳號維護(hù)負(fù)擔(dān),并能夠?qū)崿F(xiàn)基于自然人的操作審計和責(zé)任認(rèn)定。運(yùn)維審計產(chǎn)品可以看作是業(yè)務(wù)審計在技術(shù)實現(xiàn)上的一個變種。傳統(tǒng)的業(yè)務(wù)審計都以旁路部署的方式來進(jìn)行網(wǎng)絡(luò)包偵聽、協(xié)議解析還原和審計分析。而運(yùn)維審計則是以應(yīng)用層代理服務(wù)器的方式進(jìn)行部署,獲取應(yīng)用層網(wǎng)絡(luò)協(xié)議,進(jìn)行還原分析,在重新打包提交給目標(biāo)主機(jī)。他們都是基于應(yīng)用層協(xié)議分析DPI的,只是部署方式有區(qū)別。真是由于代理的部署方式,使得運(yùn)維審計能夠?qū)SH、RDP、SFTP等加密協(xié)議進(jìn)行解析還原〔因為有密鑰,從而擴(kuò)大了傳統(tǒng)業(yè)務(wù)審計的審計范圍。綜合網(wǎng)絡(luò)安全審計的解決方案在真實的案例中,上網(wǎng)審計NBA和業(yè)務(wù)審計NBA〔包括數(shù)據(jù)庫審計、運(yùn)維審計等可以聯(lián)合部署,達(dá)到綜合安全審計的效果。上網(wǎng)審計部署在整個網(wǎng)絡(luò)安全域的邊界,業(yè)務(wù)審計部署在核心業(yè)務(wù)系統(tǒng)安全域邊界。然后,通過一個統(tǒng)一的管理中心,將這個系統(tǒng)的告警信息匯總到一起,讓管理員實現(xiàn)全網(wǎng)統(tǒng)一的網(wǎng)絡(luò)安全審計。上網(wǎng)審計和業(yè)務(wù)審計的融合那么,兩類產(chǎn)品可以融合到一起,變成一個產(chǎn)品嗎？我認(rèn)為沒有必要,因為他們針對的需求定位是不同的,技術(shù)細(xì)節(jié)也是有區(qū)別的,如果合一,不好部署,只能部署到核心交換機(jī)上,同時審計用戶上網(wǎng)行為和保護(hù)核心業(yè)務(wù)系統(tǒng),對設(shè)備性能是個挑戰(zhàn),會力不從心,簡單的問題反而變復(fù)雜了。我的觀點是：只要做到方案級別的整合就夠了,畢竟兩類產(chǎn)品可以獨立發(fā)揮功效,滿足客戶某一方面的需求。抓包型NBA與IDS的聯(lián)系國內(nèi)網(wǎng)絡(luò)安全業(yè)界多采用抓包方式來實現(xiàn)NBA,與IDS的工作方式很相像。因此,在國外,很多人將這種NBA叫做EDS：ExtrusionDetectionSystem。這個名詞比較形象地表明了NBA和IDS之間的聯(lián)系和區(qū)別。他們都是采用抓包的工作方式,采用旁路偵聽的方式進(jìn)行工作,部署十分方便,即插即用,不必對業(yè)務(wù)網(wǎng)絡(luò)配置做任何更改,對業(yè)務(wù)網(wǎng)絡(luò)沒有任何影響。工作的時候都需要用到協(xié)議分析技術(shù)、特征/策略匹配技術(shù),遇到威脅可以實時阻斷,違規(guī)/違規(guī)過程可以回放取證。NBA和IDS的產(chǎn)品架構(gòu)比較類似,一般都分為引擎和管理器兩個部分,引擎負(fù)責(zé)抓包、協(xié)議分析、特征/策略匹配等底層功能；而管理器則負(fù)責(zé)數(shù)據(jù)分析、規(guī)則定義、告警設(shè)置、界面交互等上層功能。兩個部分通常分開為兩個實體組成。不過,隨著用戶需求的發(fā)展,有一種趨勢是將上述兩個部分合到一起,即一體化的NBA設(shè)備。對于用戶而言,產(chǎn)品實施無疑更加便捷。抓包型NBA與IDS的區(qū)別首先,此種NBA是應(yīng)用層協(xié)議分析,因為他關(guān)注的是對被保護(hù)對象資產(chǎn)的各種違規(guī)業(yè)務(wù)操作,例如telent、FTP、數(shù)據(jù)庫訪問、HTTP訪問,等等。而〔傳統(tǒng)的IDS主要是應(yīng)用層之下的協(xié)議分析,因為他關(guān)注的是對被保護(hù)對象資產(chǎn)的各種攻擊行為。誠然,現(xiàn)在的IDS也開始進(jìn)行應(yīng)用層協(xié)議分析,但是分析應(yīng)用層協(xié)議的目的是為了發(fā)現(xiàn)攻擊行為,例如MSN的釣魚行為,等等。因此,他們最本質(zhì)的區(qū)別就在于IDS是檢測攻擊,而NBA是審計用戶/遠(yuǎn)程操作。IDS有一個攻擊特征庫,需要不斷被動的升級；而NBA定義了一個用戶操作規(guī)范庫,說明什么是合法的行為,那么只要是違反這個規(guī)范的行為就會被發(fā)現(xiàn)。通俗地講,IDS的規(guī)則庫是一套黑名單庫,寫滿了什么是不對的,總是后發(fā)制人；而NBA的規(guī)則庫是一套白名單庫,簡潔的列出了什么是允許的,保證先發(fā)制人。下面是兩條NBA規(guī)則庫的表述性示例：1單位規(guī)定：所有對數(shù)據(jù)庫的訪問只能來自于中間件系統(tǒng)所在的IP1,并且只能通過midware賬戶進(jìn)行訪問,而管理員admin賬戶只能從維護(hù)終端IP2訪問數(shù)據(jù)庫,其他行為都是違規(guī)的。2單位規(guī)定：任何數(shù)據(jù)庫管理員帳號都不能讀取數(shù)據(jù)庫中工資表的員工工資字段,只有財務(wù)的小李可以從他的機(jī)器〔IP通過工資管理系統(tǒng)進(jìn)行訪問。很顯然,NBA在工作的時候,會分析應(yīng)用層協(xié)議,并將不符合規(guī)則庫的操作行為記錄下來。這種分析的效率將會很高,因為白名單技術(shù)確保了規(guī)則不會很多,并且相對保持穩(wěn)定,通常只會跟隨業(yè)務(wù)的變化、或者是用戶權(quán)限的變化而變化。正是由于上述本質(zhì)區(qū)別,使得NBA更加貼近用戶的業(yè)務(wù)系統(tǒng),唯有如此才能真正保護(hù)用戶的業(yè)務(wù)系統(tǒng)不受違規(guī)行為的干擾,而這些違規(guī)行為往往來自網(wǎng)絡(luò)的內(nèi)部！而一旦與業(yè)務(wù)掛鉤,NBA系統(tǒng)的復(fù)雜度就立刻上升,尤其是NBA的管理器部分遠(yuǎn)比IDS的管理器要復(fù)雜。首先是規(guī)則更加復(fù)雜,不是簡單的字符串匹配,而是更為復(fù)雜的匹配,涉及到多個變量,不僅包括源IP、目的IP、源端口、目的端口、用戶名、帳號、〔協(xié)議操作類型、操作內(nèi)容,等等。其次是匹配之后的數(shù)據(jù)分析更加復(fù)雜,不是簡單的告警和阻斷,而是需要進(jìn)行二次數(shù)據(jù)分析,也就是針對引擎產(chǎn)生出來的各種歸一化的事件信息進(jìn)行實時事件關(guān)聯(lián)分析realtimeeventcorrelationanalysis。這種關(guān)聯(lián)分析,不是一般的關(guān)系型數(shù)據(jù)查詢語言能夠完全達(dá)成的。基于*FLOW流量分析技術(shù)的NBA這類NBA技術(shù)和產(chǎn)品通過采集網(wǎng)絡(luò)中〔尤其是核心網(wǎng)絡(luò)交換機(jī)、路由器等的flow流量日志,進(jìn)行行為分析,發(fā)現(xiàn)違規(guī)和入侵。一個Flow〔流日志里面包括了Flow的起止時刻、包字節(jié)數(shù)、源/目的IP、源/目的端口,以及其他一些TCP報文信息。通過分析這些Flow日志,可以以建模的形式建立起網(wǎng)絡(luò)中的行為模型,從而得知某個IP的應(yīng)用層協(xié)議流量分布,找尋網(wǎng)絡(luò)中某個IP的非法或者違規(guī)行為。Flow有多種格式,最典型的有三種：NetFlow、SFlow和IPFIX。在國內(nèi),還有就是華為、H3C的NetStream流。這些流日志格式各有不同,但是承載的內(nèi)容都大致相同。為什么需要Flow分析,它與抓包型NBA的異同因為對于核心的路由、交換設(shè)備而言,他們每天工作過程中收發(fā)的數(shù)據(jù)報文量是巨大的,通過采集這些設(shè)備產(chǎn)生的摘要性報文信息〔Flow日志,可以以一種比較經(jīng)濟(jì)的方式獲得網(wǎng)絡(luò)行為數(shù)據(jù),從而進(jìn)行行為建模、分析和審計。而如果通過抓包方式去做的話,那么這個用來做抓包分析的設(shè)備的硬件性能將可能需要與核心路由交換設(shè)備相當(dāng),成本一定會很高。這也是Flow分析型NBA存在價值。當(dāng)然,Flow分析型NBA的審計深度不如抓包型NBA,因為Flow日志是摘要數(shù)據(jù),信息不全,同時,行為建模的過程中存在很多模糊匹配的過程,不夠精確。因而,Flow型NBA適合做全網(wǎng)行為的統(tǒng)計分析和趨勢分析,而要針對某個安全域中特定的網(wǎng)絡(luò)行為〔例如上網(wǎng)行為、數(shù)據(jù)庫操作行為,等等進(jìn)行審計的話,抓包型NBA則更勝一籌。我們進(jìn)一步加以闡述。Flow日志是摘要數(shù)據(jù),應(yīng)該好理解。既然是摘要,信息一定不全,就會影響到審計的精確性,也不難理解。Flow型NBA的行為建模過程的模糊性是指在通過Flow日志進(jìn)行行為建模的時候,需要通過一個特征庫來進(jìn)行匹配,以便將TCP流信息轉(zhuǎn)換成應(yīng)用層行為信息。例如,Flow日志不會說某個數(shù)據(jù)包是HTTP協(xié)議還是SMTP協(xié)議,但是會提供一個TCP端口號。因此,通過一個相對固定的端口知識庫,可以將某個數(shù)據(jù)包映射為HTTP包,另一個數(shù)據(jù)庫包映射為SMTP協(xié)議包,以此類推。再高級一些,通過分析連續(xù)時間內(nèi)的多個數(shù)據(jù)包之間的關(guān)系,可以判斷出一些異常的數(shù)據(jù)流,從而推測出某些異常的行為。總之,Flow型NBA的分析審計過程是存在模糊性的,不能確保準(zhǔn)確。這也是為何適于做行為統(tǒng)計和整體趨勢分析的原因。另外,Flow型NBA是地道的行為審計,而抓包型NBA除了可以做行為審計,還能夠做內(nèi)容審計。也就是說,抓包型NBA不僅知道誰在執(zhí)行HTTP操作,還知道他訪問了那個URL,甚至網(wǎng)頁的內(nèi)容也能知道。因此,Flow型NBA與抓包型NBA適用于不同的場合。技術(shù)應(yīng)用本質(zhì)上講,NBA技術(shù)是一類跨網(wǎng)管、安管的技術(shù),是網(wǎng)管與安管融合的一個具體例證。目前,Flow型NBA更多是傳統(tǒng)的網(wǎng)管廠商在做,而國內(nèi)的安管廠商則利用其在IDS上面的技術(shù)積累從事抓包型NBA的研制。國外的情況也大致相同。最后,我們要提一下,NBA和SIM產(chǎn)品具有很多相似性和共通性,他們天生就是一對,協(xié)作實現(xiàn)了全網(wǎng)的事件〔日志收集、分析和審計。國內(nèi)外的NBA技術(shù)與市場走勢國外NBA這個詞最早就是被老外提出來的。在國外,NBA中的A一般都稱作Analysis,比較中性。我能夠找到的就是20XX9月9日Gartner出版的一份報告《UseNetworkBehavior.AnalysisforBetterVisibilityIntoSecurityandOperationsEvents》。為此,Gartner還為它專門建立了一個分類。相比之下,Yankee集團(tuán)對NBA的研究更加熱衷一些。作為對IDS的必要補(bǔ)充,NBA一開始就是針對DLP〔數(shù)據(jù)泄漏保護(hù),DataLeakageProtection這個話題。NBA是一種跨安全管理和網(wǎng)絡(luò)管理的技術(shù),它借鑒了網(wǎng)絡(luò)管理中的流量分析技術(shù),又借鑒了安全領(lǐng)域常用的協(xié)議分析技術(shù),成為了傳統(tǒng)網(wǎng)絡(luò)安全檢測設(shè)備的有益補(bǔ)充。下面這幅圖是20XXYankee集團(tuán)對NBA技術(shù)發(fā)展趨勢的分析判斷。在業(yè)界的追捧下,NBA技術(shù)得到了很快的發(fā)展。由于NBA自身技術(shù)的多樣性,很快形成了各種分支。尤其因為NBA技術(shù)跨網(wǎng)管和安管的特性,加入這個市場的玩家既有網(wǎng)管廠商,也有安管廠商。天生地由于思路上的差異,各自推出的產(chǎn)品差別還是很大的。很快,由于防范內(nèi)部威脅的需求不斷增強(qiáng),NBA出現(xiàn)了一個重要的分支——DAM〔DatabaseActivityMonitoring。DAM技術(shù)起初就是通過網(wǎng)絡(luò)抓包來分析基于網(wǎng)絡(luò)的數(shù)據(jù)庫操作行為,漸漸地,為了更加全面的保護(hù)數(shù)據(jù)庫,DAM技術(shù)又增加了通過數(shù)據(jù)庫日志、數(shù)據(jù)庫代理等技術(shù)來完善對數(shù)據(jù)庫的保護(hù)。到后來〔20XX開始,DAM已經(jīng)脫離了NBA,和NBA地位平齊了。在20XX,Gartner發(fā)布了一個名為《SelecttheRightMonitoringandFraudDetectionTechnology》的重要報告。Gartner的幾個領(lǐng)域的分析師們湊在一塊寫出了這個報告。相關(guān)的技術(shù)被分為了五類：1數(shù)據(jù)庫行為監(jiān)控〔DAM：NBA的衍生,從普遍協(xié)議分析到數(shù)據(jù)庫協(xié)議分析；2內(nèi)容監(jiān)控和過濾〔ContentMonitoringandFiltering,簡稱CMF：也是NBA的衍生,從行為深入到內(nèi)容；3NBA：〔注：這個報告中對利用NBA進(jìn)行數(shù)據(jù)庫操作分析的闡述我并不是完全認(rèn)同的4欺詐檢測5SIEM〔NBA和SIEM也是親戚,這個我們以后還會詳談根據(jù)這份報告,NBA的定義成形了〔NBAallowssecurityandnetworkpersonnelandinlinedevicestomonitorandalertonnetworktrafficorpacketanomalies。并且,DAM被從NBA中分離了出去,Gartner也為DAM專門建立了一個分類。說到NBA的定義,這個不錯。從20XX開始,NBA技術(shù)逐漸成熟,并且不斷地衍生,成為