随着通信网络技术的发展，网络能够提供的业务和应用也越来越复杂，特别是面向服务架构(SOA)的兴起、虚拟化基础结构的迅速采用，以及分布式和移动应用的增加等，使得网络管理需要面对一系列以前从未涉及的问题。例如，现有网络管理工具的管理对象主要是网络的基础架构设施，缺乏对网络中应用和用户行为的了解。由于网络用户行为的动态性、应用的分布式特性和基础架构的虚拟化等等，使得通过对基础架构进行监视来了解网络为最终用户所提供服务的质量几乎是不可能的。因此，网络管理系统也必须引入新的技术手段来适应技术和应用的持续变化。

　　行为分析工具可以对用户的交互行为进行建模分析，能够深入了解网络用户、网络设备和网络应用的历史和实时行为。通过使用行为分析工具，网络管理者可以预测应用的性能，了解网络用户的真实体验，并能够基于用户的行为对网络进行优化。因此，很多网络行为分析厂商已经将他们的解决方案应用到安全领域之外，用于监视和了解网络性能和用户的使用情况，以使管理员能够确认性能问题并快速优化网络。

　　美国杨基集团(Yankee Group)的一系列研究报告对结合网络行为分析的网络管理和监视的应用发展情况进行了研究。报告认为，行为分析为网络管理员提供了一种新的技术手段，增强了网络管理的能力，其价值已经逐渐为人们所发现，网络管理已经成为行为分析产品的一个新市场。

　　网络行为分析技术

　　网络行为分析(Network Behavior Analysis—NBA)也就是对网络行为异常的探测，主要是利用对网络的被动观察和描述找出通讯和应用中违反安全策略的行为。传统的入侵防御系统解决方案通过串联通讯检测、特征检测和实时封锁等手段保护网络环境。然而，网络行为分析解决方案可以观察网络内部发生了什么事情，把来自许多点的流动数据结合在一起，支持在线行为分析、关系描述、异常身份识别和辅助的“软接触”补救措施。

　　网络行为分析的优势在于它能够摘取关键性的网络行为信息，这些信息是被其他网络安全设备忽略而从不进行分析的。通过被动地监听路由器和传感器，网络行为分析避免了服务延迟或性能瓶颈。通过监视网络的通信流，网络行为分析能够检测到雇员是否使用被禁止的协议和被病毒感染的笔记本电脑和移动存储设备，并检测到这些违禁设施在防火墙后面的连接。通过把当前的行为与以前的行为相比较，网络行为分析能够发现没有使用补丁和病毒特征更新的零日攻击和蠕虫爆发。从长期使用效果来看，网络行为分析不仅支持网络纵深防御而且还能够启动容量规划和网络用户法规遵守情况的报告。

　　网络行为分析系统也能够提供网络使用的较具体的细节，包括：网络应用和系统是怎样被使用的;谁在使用这些应用和系统;哪些系统进行了相互连接;这些系统的连接使用了什么端口和协议等14l。目前的网络行为分析工具提供商包括：Arbor Networks、GraniteEdge Networks，Lancope、Mazu Networks和Ql Labs等。

　　网络行为分析的运行过程概括起来就是：利用路由器和交换机监听网络流量根据所有的端点和应用的模型，分析异常的行为，描述风险和威胁;识别威胁信息，用现有网络的机制减轻可能的损失。具体过程如下：

　　——为典型的网络活动建立一个基线，然后，网络行为分析工具根据基线来检测网络的异常行为。因为攻击可能会持续数小时或数天，这些异常可能是其他安全分析手段不会注意到的。网络行为分析工具还可以帮助确认那些防火墙和IDS/IDP不能单独发现的攻击对系统所造成的影响。

　　——接下来，网络行为分析工具对异常事件进行关联分析，去除无价值的干扰信息，减少安全分析员所必须要研究的信息的数量。

　　——当网络行为分析工具收集到信息并对其进行筛选后，这些输出信息基本上可以为观察用户的网络行为提供一个可视化窗口，接下来管理员就可以应用自己的知识对输出的数据进行解释和判断。

　　网络管理对网络行为分析的需求

　　传统意义上的网络管理主要是针对网络基础设施的，其管理的对象一般仅限于网络设备、主机，以及其上承载的网络业务等。随着应用和技术的发展，网络管理系统不但需要具有对网元和网络的管理功能，还需要具备对网络业务的端到端的管理功能。具体来说就是，网络管理需要了解用户、应用和设备的行为，包括用户之间的交互行为，用户与设备或系统的交互行为，通过了解和掌握用户的真实体验来优化网络性能。按照网络服务要以客户为中心的思想，为用户提供最佳的业务使用体验变得比关注基础架构的可用性更为关键。

　　目前，大多数网络并没有按用户和用户的使用要求来进行优化，这就导致了性能的下降，降低了用户的生产力，造成不可接受的安全风险和较长的故障排除时间。其根本原因是缺乏对用户的活动行为，以及用户与系统、应用和服务的交互行为的了解。网络复杂性的增加也对网络管理提出了更高的要求。对网络基础设施和网络进行优化需要了解网络用户当前和历史的行为，以及应用和设备的配置。另外，预测新应用可能带来的冲突，以及这些冲突对基础设施和服务水平有什么影响也同样很重要。当前的网络管理工具提供的主要功能是对网络基础设施的管理和报告其故障及性能。然而，由于网络的动态特性不断增强，如虚拟主机、分布式应用和移动办公等，都需要大量、深入地对网络行为进行了解，这样管理员才能按业务的实际工作方式来优化网络。没有这些网络行为方面的信息，管理员将面临以下一些问题.

[1] [2] 下一页

责任编辑：小草

• 全国各省软考办的地址及联系方式
  
• 江西2007年11月软件水平考试成绩公布查询开始
  
• 山东2007年11月软件水平考试成绩公布查询开始
  
• 新疆2007年11月软件水平考试成绩公布查询开始
  
• 湖北省2008年软件水平考试报名预计2月下旬开始
  
• 软考、职称、职称资格的解读与三者之间的联系
  
• 2009年下半年软件水平考试各科目考试时间表
  
• 2009年上半年软件水平考试各科目考试时间表
  
• 上海市2010年计算机软件水平考试报名通知
  
• 浙江省2009年下半年计算机软件水平考试成绩查询
  

• 广域网加速,如何选择网络产品
  
• 应对年底网络运维危机
  
• ip地址和MAC地址在三层交换机上的绑定
  
• VLAN间的单向通信established命令
  
• 发现和调用Dll里的函数
  
• 递推关系算法
  
• 稳步实施IPv6七大原则
  
• 中小企业应该如何选型IP电话交换系统
  
• 教你揪出伪装木马并清除
  
• AES算法的数学基础
  

• [网络工程]AAA的概念和思科IOS对其配置的简要分析
• [电子商务]选购防火墙当心5大误区
• [软件设计]通用权限实现的核心设计思想
• [网络工程]VPN内无法访问某些WEB站点故障
• [网络工程]路由技术IP路由选择协议
• [电子商务]PS高手秘技:如何在设计中出类拔萃
• [电子商务]CIO选信息化合作伙伴的三个关键条件
• [电子商务]经济危机中最受CIO青睐的五种技术
• [软件设计]SharePoint工作流开发的一些概念
• [软件设计]SharePoint工作流开发:HelloWorldSeque

• 2009年5月份软考网络管理员每日一练试题 (12月31日
• 2009年5月份软考网络管理员每日一练试题 (12月30日
• 2009年上半年软考网络管理员每日一练试题 (12月29
• 2009年上半年软考网络管理员每日一练试题 (12月28
• 2009年上半年软考网络管理员每日一练试题 (12月27
• 2009年上半年软考网络管理员每日一练试题 (12月26
• 2009年上半年软考网络管理员每日一练试题 (12月25
• 2009年上半年软考网络管理员每日一练试题 (12月23
• 2009年上半年软考网络管理员每日一练试题 (12月22
• 2008年12月软考软件设计师每日一练（12月20日）答

• 2008年下半年软考信息处理技术员考试上午试题答案
• 2008年下半年软考网络管理员考试上午试题评析(专家
• 2008年下半年软考网络工程师考试上午试题评析(专家
• 2007年上半年软考网络工程师考试下午试题
• 2007年上半年软考网络工程师考试上午试题
• 2008年下半年软考软件设计师上午试题参考答案(完整
• 2008年下半年软考软件设计师下午试题参考答案(完整
• 2008年下半年软考信息处理技术员真题上午试题专家
• 2008年下半年软考网络工程师上午试题专家解读
• 2008年下半年软考网络管理员真题下午试题专家版答