网络行为分析与异常检测

构建防火墙和使用简单的安全解决方案不足以保护网络免受网络异常或攻击，因为DDoS攻击、未知恶意软件和其他安全威胁一直在上升，改变了网络安全格局。网络管理员必须积极主动地分析网络，获得对网络的完全控制，并全面了解网络流量活动。

网络安全攻击可以是被动的，即攻击者访问、监控或窃取敏感数据，也可以是主动的，攻击者不仅可以访问这些数据，还可以对其进行加密、更改或永久删除，这些可能是端点攻击、恶意软件、漏洞利用或高级持续性威胁。可能使网络处于危险之中的最常见安全威胁包括：

• DoS攻击：在拒绝服务（DoS）攻击中，攻击者通过短暂或无限期地破坏连接主机的服务，使计算机或网络资源的目标用户无法访问，这种网络攻击是通过向预期的目标计算机或资源发送大量请求来使系统过载来执行的。
• DDoS 攻击：分布式拒绝服务（DDoS）攻击是 DoS 攻击的一种更严重的形式，其中受害者的流量来自多个不同的来源，因此实际上不可能通过简单地阻止单个来源来阻止攻击。
• 端口扫描：端口扫描是攻击者用来监视和识别目标计算机上运行的易受攻击的服务和端口的方法，以便他们可以计划对它们的攻击，这是最常见的网络探测类型。
• 僵尸网络：僵尸网络是采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。一旦设备或网络遭到入侵，它们就可用于窃取数据、发送垃圾邮件、允许攻击者访问设备及其连接或执行 DDoS 攻击。

网络行为分析与异常检测方案

大多数企业都依赖于传统的安全系统，如防火墙和入侵检测系统。不幸的是，安全威胁每天都在变得越来越强大和复杂，并且可以轻松绕过这些解决方案，传统的安全工具通常也会忽略内部威胁，这些威胁可能对网络造成同样损害。在这些攻击影响网络和最终用户之前，及时检测和缓解这些攻击的唯一解决方案是利用网络行为分析的完整网络流量监控解决方案，而不仅仅是网络异常检测软件。

网络行为分析（NBA）系统，也称为网络行为异常检测（NBAD）系统，提供了一种更高级的网络安全方法，它通过提供对网络行为模式的深入可见性来补充安全分析系统。网络异常检测工具或系统密切监视网络，以分析对话、诊断网络异常并识别可能绕过防火墙的任何攻击或威胁。

NetFlow Analyzer通过其高级安全分析模块（ASAM）和取证报告为检测网络异常的挑战提供了答案，它分析网络行为，并使用内置算法建立性能基线，以帮助网络管理员快速有效地检测安全漏洞。

ASAM使用连续流挖掘引擎来主动监控和分析带宽使用趋势和网络流量行为模式，检测网络异常，并确保网络不容易受到未知恶意软件、零日入侵、DDoS攻击、端口扫描和其他内部或外部安全威胁的影响。

取证报告被动地监视历史数据和会话，以识别异常行为、反复出现的峰值和带宽占用。它提供了对任何选定时间段的网络详细信息的可见性，例如流量、应用程序、源和目标IP、DSCP、TCP标志和顶级会话。有助于网络管理员进行网络异常检测，识别网络问题和异常的根本原因，以便更快地排除故障。

NetFlow Analyzer 带宽监控和网络流量分析工具，兼作安全分析和网络行为异常检测工具，并帮助管理员深入了解网络设备、接口、应用程序、会话，带宽使用和网络流量，使管理员可以更轻松地诊断和排查网络安全威胁。