安全专家谈:网络行为审计技术深度解析
网络行为审计,Network
Behavior Audit,国外更多的叫做Network
Behavior Analysis(网络行为分析),Network
Behavior Anomaly Detection
(NBAD,网络行为异常检测)。这是一个新生事物,即便国外,出现的年头也不长。无论怎么称呼,其目的都是通过分析网络中的数据包、流量,借助协议分析技
网络行为审计,Network Behavior Audit,国外更多的叫做Network Behavior Analysis(网络行为分析),Network Behavior Anomaly Detection (NBAD,网络行为异常检测)。这是一个新生事物,即便国外,出现的年头也不长。无论怎么称呼,其目的都是通过分析网络中的数据包、流量,借助协议分析技术,或者异常流量分析技术,来发现网络中的异常和违规行为,尤其是那些看似合法的行为。并且,有的产品在该技术上进行扩展,还具有网络行为控制、流量控制的功能。
网络行为审计是安全审计中较为重要的一种技术实现,其他安全审计技术还包括日志审计技术、本机代理审计技术、远程代理审计技术,具体可以参见这个文章。
NBA的实现有多种方式,其中有两个最重要的分支:
基于*Flow流量分析技术的NBA:通过收集网络设备的各种格式的Flow日志来进行分析和审计,发现违规和异常行为,传统的网管厂商很多开始以此为进入安全的切入口;而安全厂商则将其归入的范畴。
基于抓包协议分析技术的NBA:通过侦听网络中的数据包来进行分析和审计,发现违规和异常行为,传统的安全厂商很多以此作为进入审计领域的切入点。
基于抓包协议分析技术的NBA
抓包型NBA技术及产品类型说明
抓包型网络行为审计(NBA)根据用途的不同、部署位置的不同,一般又分为两种子类型。
上网审计型:审计网络内部用户访问互联网的行为和内容、防止内部信息泄漏、用户违规行为,提升内部网络用户互联网上网行为的效率。
业务审计型:对网络中重要的业务系统(主机、服务器、应用软件、数据库等)进行保护,审计所有针对业务系统的网络操作,防止针对业务系统的违规操作和行为,提升核心业务系统的网络安全保障水平,尤其是信息和数据的安全保护能力,防止信息泄漏。
从上面按用途划分的定义可以看出,他们是两类不同的产品。上网审计的对象是用户及其上网行为,而业务审计的对象是核心业务系统及其远程操作。正因为如此,他们部署的位置有所不同。上网审计NBA应该部署在互联网出口处,而业务审计NBA则就近部署在核心业务安全域的边界(一般是核心业务系统所在的交换机处)。
下面是两类产品在技术层面的定义:
上网审计型:硬件设备,旁路/串路方式部署在用户互联网出口处。通过旁路侦听/数据报文截获的方式对内部网络连接到互联网(Internet)的数据流进行采集、分析和识别,基于应用层协议还原的行为和内容审计,例如针对网页浏览、网络聊天、收发邮件、P2P、网络音视频、文件传输等的审计。可以制定各种控制策略,进行统计分析。
业务审计型:硬件设备, 采用旁路侦听的方式对数据流进行采集、分析和识别,实现对用户操作数据库、远程访问主机和网络流量的审计。例如针对各种类型的数据库SQL语句、操作命令的审计,针对Telnet、FTP、SSH、VNC、文件共享协议的审计。管理员可以指定各种控制策略,并进行事后追踪与审计取证。
从上面的定义,可以很清楚的看出来两种类型的异同。从技术架构上讲,他们是一样的,都是抓包引擎加管理器。但是从具体的技术细节来看,他们之间的差异是显著的。
差异分析
上网审计型系统分析的协议都是互联网上常用的应用层协议,例如P2P、邮件、HTTP、音视频、网络游戏等,同时,为了进行更为精确的审计,还需要再深入一步,分析协议的内容,例如要能够分析WEBMAIL和WEB聊天室的内容,分析MSN的聊天内容。因此,一个好的上网审计型NBA必须要有一个巨大的、不断及时更新的协议分析库。这个难度是挺大的,因为这些互联网应用协议具有种类多、变化频繁的特点,并且不会提前通知开发厂家,最明显就是音视频、网游、聊天室。更加的,即使针对HTTP协议,还要分析出163邮箱、sina邮箱、yahoo邮箱之间的区别。这是一个苦力活。也是产品的核心技术点。
业务审计型系统分析的协议基本上都是区域网中常见的应用层协议,并且与业务系统密切相关。例如TDS、TNS等数据库访问协议,FTP、TELNET协议,HTTP、企业邮箱协议(IMAP、STMP等),等等。对于业务审计型NBA而言,协议种类相对比较固定,并且协议版本比较稳定,比较易于实现。
对于上网审计型NBA,还有一个重要的技术点就是网页分类地址库,就是一个巨大的地址库,里面对互联网的网址进行分门别类。用途就在于控制某些用户可以访问哪些类别的网站,不能访问哪些类别的网站。例如:上班时间不能上游戏网站,而午休时间可以上,等等。
对于业务审计型NBA而言,其核心技术不在于复杂的协议分析,而在于协议分析之后,对生成的归一化的事件(event)进行二次分析,通过关联分析的技术手段,发现针对业务系统的违规行为,将事件变成真正的事件(incident),或者叫告警。例如,发现某账户在某时间段内频繁的查询核心的客户资料数据库,从而及时告警,并告知管理员该异常账户的行为,可能该客户正在下载客户资料。要实现这种行为的发现,光靠协议分析是不够的。协议分析只能将这种行为对应的零散的数据报文截获出来,并变成一条条的事件,可能是100条。而只有通过事件关联分析,才能将这100条时间转化为有意义的incident告警信息。
关于数据库审计
可以说,数据库审计是业务审计在实现功能上的子集。先看看业务系统的定义:
“业务系统是由包括主机、网络设备、安全设备、应用系统、数据库系统等在内的多种IT资源有机组合而成的。”
因此,针对业务的审计就要对构成业务系统的各个IT资源之间的访问行为以及业务系统之间的操作的审计。只有通过审计构成业务系统的各种IT资源的运行行为才能真正反映出业务系统的安全状态。
我们说,面向业务的安全审计系统不单是一个主机审计系统、也不是一个单纯的网络审计或者数据库审计系统,而是他们的综合。而数据库审计主要就是针对业务的核心——数据库的审计。
