部署網路行為分析系統　傳感器元件扮演關鍵角色

網路行為分析系統（Network Behavior Analysis，NBA）會檢查網路流量或網路流量的統計數據，以識別出不尋常的流量，例如DDoS攻擊、特定型態的惡意軟體（蠕蟲、後門）、政策違規（例如用戶端提供網路服務給其他系統）。本文將細部討論網路行為分析，涵蓋網路行為分析主要元件，並且解釋用來部署元件的架構，也會討論安全性能，包含識別可疑活動採用的技術。剩餘的部分，則討論管理能力，包含實作和操作上的建議。

認識相關元件及架構

接下來的篇幅將說明典型的網路行為分析系統解決方案的主要元件，闡述這些元件大部分常見的網路架構，並且提供一些如何放置這些元件的建議。

常見元件

網路行為分析解決方案通常有傳感器（Sensor）和控制台介面，而某些產品也提供管理伺服器，有時候也稱為分析器（Analyzer），而網路行為分析傳感器通常只會以設備的型態出現。某些傳感器類似於網路型入侵偵測暨防禦系統的傳感器，因為它們監聽封包來監控一個或多個網段的網路活動。其他網路行為分析傳感器並不直接監控網路，但反而依賴路由器和其他網路設備提供的網路流量（Flow）資訊。這裡所謂的流量指的是介於兩台主機之間的溝通會談。現在已經有多種流量標準格式，包含NetFlow、sFlow、IPFIX等等。關於入侵偵測和入侵防禦的流量資料，典型流量資料包含：來源IP和目的IP、來源和目的TCP、UDP Port或ICMP種類和代號、會談傳輸的封包數量及Byte數、會談的起始時戳和結束時戳。

網路架構

就如同網路型入侵偵測暨防禦系統一樣，網路行為分析元件間的通訊可以採用獨立的管理網路或是組織本身的標準網路。如果採用傳感器是從其他設備收集網路流量資料，那整個網路行為分析解決方案在邏輯上就是與標準網路獨立。圖1是其中一種網路行為分析網路架構範例。

決定傳感器位置

除了替元件們選擇適當網路外，管理者也必須決定傳感器擺放的位置。大部分網路行為分析傳感器應該只被用於被動模式部署，使用和網路型入侵偵測暨防禦系統相同的連線方法，例如網路橋接、交換器生成埠。執行直接網路監控的被動傳感器，應該要被放置在一個它們可以監控關鍵網路的位置，例如網路之間，以及關鍵網段，例如DMZ子網路。在線式傳感器通常被安排在網路邊界，這樣才能靠近邊界防火牆，通常在防火牆和網際網路邊界路由器，以限制從外面進來淹沒防火牆的攻擊。

網路行為分析產品會提供各種不同的安全性能，所以接著就來討論常見的安全性能，包括資訊收集、Logging、偵測、防禦。此外，某些網路行為分析產品也提供SIEM功能。

提供資訊收集

網路行為分析技術提供廣泛的資訊收集能力，因為組織內主機之特徵的相關知識，對於大部分網路行為分析產品的偵測手法來說都是需要的。

網路行為分析傳感器可以自動地創建並維持一份受到組織監控的網路主機清單。它們可以監控埠的使用、執行被動式的指紋探勘（Fingerprinting），以及使用其他技術來收集主機的細部資訊。如同先前所述，大部分產品也允許管理者指定類似於防火牆細部規則的政策給主機的通訊，包含被允許或被禁止的埠號。

通常收集的主機資訊包含了IP位址、作業系統、所提供之服務（包括提供該服務所使用的IP通訊協定以及TCP和UDP埠），以及其他有與其通訊的主機所提供的服務、採用的IP、TCP或UDP埠號。

網路行為分析傳感器會不斷地監控網路活動上的變動，並且持續地收集每一台主機額外的資訊。

執行Logging

網路行為分析技術通常都會對被偵測到之事件的相關資料，執行廣泛的Logging。這個資料可被用來確認警告的真實性、調查事故，以及把網路行為分析解決方案與其他Logging來源關聯化。網路行為分析軟體Log的資料欄位通常包含以下這些：

‧時戳，通常是日期和時間

‧事件種類或警告種類

‧等級，例如優先順序、嚴重性、衝擊、信心。

‧網路層、傳輸層、應用層通訊協定。

‧來源和目的IP位址

‧來源和目的TCP或UDP埠，或者ICMP種類和代號。

‧額外的封包標頭，例如IP的TTL。

‧來源和目的主機連線的封包數量和Byte數量

‧執行的預防行動（如果有的話）

某些直接監控網路流量的網路行為分析傳感器，能夠從封包記錄有線的Payload資訊（例如經過身分驗證的User Identifier）。如此一來，就可以追蹤特定使用者帳號的行動。

偵測惡意活動

網路行為分析技術通常都能偵測許多種惡意活動，而大部分產品主要使用異常行為偵測法，搭配一些協定狀態偵測法技術來分析網路流量。大部分網路行為分析技術不提供特徵偵測法，除了允許管理員手動設置自定義的過濾器外，這些過濾器本質上是用來檢測或阻止特定威脅的特徵。

接下來，討論網路行為分析軟體偵測性能的面向，包括「偵測到之事件種類」、「偵測精準度」、「調校及客製化」，以及「技術上的限制」。

偵測到之事件種類

網路行為分析傳感器最常偵測到的事件種類，包含以下幾項：

‧DoS攻擊：這種攻擊通常涉及使用大量的頻寬，或者大量封包數量或連線數量。透過監控這些特徵，異常行為偵測法可以判斷對於被觀察到的活動與所預期的活動是否相去甚遠。某些網路行為分析傳感器知道常見之DoS工具和方法的特徵，這可以協助更快識別出威脅，並且將它們更精準地優先化。

‧掃描：掃描的流量型態會在應用層就偵測出來（例如Banner Grabbing），或者在傳輸層被偵測到（例如TCP Port Scanning和UDP Port Scanning），又或者在網路層被偵測出來（例如ICMP Scanning）。

‧蠕蟲：蠕蟲在主機之間散播，現今的技術已經有很多種方式可以偵測到蠕蟲。某些蠕蟲散播相當快速，而且使用大量頻寬。蠕蟲也可能會因為它們而導致那些原本彼此不互相通訊的主機彼此通訊，或者導致主機們使用正常情況下不會用的Port，而被偵測到。許多蠕蟲本身也會掃描，這樣的話就如同前面所提。

‧非預期的應用服務：例如Tunneled Protocols、後門程式、使用被禁止的通訊協定。這些通常都是藉由協定狀態分析法偵測到，可以決定是否該連線活動與所預期的通訊協定活動相同。

‧政策違反：大部分的網路行為分析傳感器允許管理者指明細部的政策，例如哪一個主機或群組只有在特定時間才能有特定種類的活動。大部分傳感器也會自動偵測到許多可能的政策違反，例如偵測到未被授權新主機或主機上未被授權的新服務。大部分網路行為分析傳感器可以重新建構一系列被觀察到的事件，來判斷威脅的起源。舉例來說，如果蠕蟲感染了某個網路，網路行為分析傳感器可以分析蠕蟲的流量並且找到組織網路上的主機，第一個把蠕蟲傳給其他主機的到底是誰。

偵測精準度

網路行為分析傳感器的運作主要是偵測正常行為的重大偏離，它們偵測攻擊最準確的時候是在短時間內產生大量網路活動（如DDoS攻擊）以及不尋常的流量型態的攻擊（例如蠕蟲在主機之間散播）。網路行為分析傳感器在偵測小規模攻擊時較不準確，尤其是那種涓涓細流型的攻擊，而且如果小量的攻擊又不違反管理者設定的政策的話（例如該攻擊使用常見的Port和通訊協定），那就幾乎偵測不到。

偵測精準度也隨著時間會有所異動，因為網路行為分析技術主要使用異常行為偵測法，所以它們無法偵測許多攻擊，一直到它們的行為已經顯著地與正常行為有所不同。

但如果一個DoS攻擊開始慢慢地並且隨著時間逐漸增加，這就有可能被網路行為分析傳感器偵測到，要注意的是，被偵測到的關鍵點在不同的網路行為分析產品也會有所不同。

倘若將傳感器設定成對於異常活動比較敏感的話，如此一來，每當攻擊發生的時候會更快地觸發警告，但也有可能觸發更多的型一錯誤。反過來說，如果傳感器被設定成對於異常活動較不敏感，那麼型一錯誤就會比較少，但是警告就會比較慢，也就是說，遭受攻擊的時間會更久。

型一錯誤也可能被環境中良善的變動所導致，舉例來說，如果某項新服務被加到某台主機上，而且其他少數幾台主機開始使用該項新服務，那麼網路行為分析傳感器可能會把這個偵測當做異常。然而，一般來說，這可能是低優先序的警告，而且未被通報成攻擊，所以不管它是否真的被看成型一錯誤，都是可以偵測到。如果主要服務被搬移到另一台主機上，然後某天有一千台主機開始使用它，那麼可能會不經意地就觸發警告。

調校及客製化

網路行為分析技術主要依賴觀察網路流量，以及發展原先所期望的流量基準線，以及主機的特徵清單。網路行為分析產品會自動更新它們的基準線。所以，除了更新大多數產品提供之類似防火牆規則的策略外，通常並沒有太多調校或客製化需要做。

而且，管理者可能會定期調整門檻來考慮環境的變更，例如當多少額外頻寬使用時應該觸發警告，門檻可能時常依據每台主機為基準或管理者自定義的群組來設定門檻。大部分網路行為分析產品也提供白名單和黑名單能力給主機和服務，而且某些可以自動提供更新過後的名聲服務資訊，例如可能是惡意的主機清單。網路行為分析產品另一個常見的特色是客製化各個警告，例如指定應該要觸發哪一個預防選項。與網路型入侵偵測暨防禦系統不同的是，網路行為分析產品通常不會有程式碼編修的功能。

少數的網路行為分析產品提供一些特徵偵測法，而有被支援的特徵其實都是很基本的、簡單的，而且主要會去尋找IP、TCP、UDP或ICMP標頭欄位的特定數值。這種能力用於在線式網路行為分析傳感器的時候最有幫助，因為它們可以使用特徵找到攻擊並且封鎖，這是那些防火牆或路由器可能無法封鎖的攻擊。

假設現在有一個採用經過特殊打造的HTTP Flooding Attack對某網頁伺服器發出DDoS攻擊，在沒有封鎖所有連到網頁伺服器之HTTP活動的情況下，防火牆或路由器可能無法封鎖該波攻擊，但是當有唯一的特徵組合的話，在線式網路行為分析傳感器可以被設定成客製化的特徵來封鎖攻擊活動。更有甚者，在線式網路行為分析傳感器可能會因為該攻擊的流量型態，而無論如何都會封鎖該波攻擊。

除了定期檢視調校和客製化以確保它們仍然精確外，管理者應該也要確保主機的重大變更（例如新主機和新服務）已被反應到網路行為分析設定當中。雖然將網路行為分析系統自動化連接到變更管理系統可能不可行，但管理者依然可以定期檢視變更管理紀錄，並且調整網路行為分析裡面的主機清單資訊以預防型一錯誤。

技術上的限制

網路行為分析技術對於特定威脅種類有比較強的偵測性能，但它們也有其重大限制。這些限制當中有一些已經在前面篇幅討論過，其中一個重要的限制就是在偵測攻擊上的延遲。在異常行為偵測法裡面，偏離基準線的基礎，這樣延遲是與生俱來的，例如增加的頻寬使用，或者額外的連線嘗試。

然而，網路行為分析技術通常會有因為其資料來源所導致的額外延遲，特別是當它們依賴從路由器和其他網路設備而來的流量資料。這個資料通常透過批次的方式傳送到網路行為分析系統。根據產品的能力、網路容量以及管理者的偏好，這可能會發生得比較頻繁（例如每分鐘、每兩分鐘）或比較不頻繁（例如每半小時或每一小時）。因為這樣的延遲，所以可能就不會偵測到那些發生速度很快的攻擊，例如惡意軟體感染和DoS攻擊，一直到它們已經中斷或破壞系統的時候。

其實這樣的延遲可以被避免，透過使用傳感器進行它們自己的封包擷取和分析，而非依賴其他設備來的流量資料。然而，比起單純分析流量資料而言，執行封包擷取和分析當然會更消耗資源。單一個傳感器可以分析來自多個網路的流量資料，或者頂多對一兩個網路執行直接監控（封包擷取）而已。所以，要做到直接監控而非使用他人的流量資料，組織可能就需要購買更強大的傳感器或是更多的傳感器。

多種防禦性能

網路行為分析傳感器提供不同的入侵防禦能力，包含被動式、在線式、同時具備被動式和在線式、執行第三方程式或腳本等四種。

‧被動式：終止既有的TCP會談。被動式的網路行為分析傳感器可以終止既有的TCP會談，透過發出RESET給雙邊端點。

‧在線式：執行在線式的防火牆功能。絕大部分在線式的網路行為分析傳感器有防火牆功能，所以能夠被用來丟棄或拒絕可疑的網路活動。

‧同時具備被動式和在線式：重新組態設定其他網路安全設備。許多網路行為分析傳感器可以指導網路安全設備（例如防火牆和路由器）重新組態設定它們自己來封鎖特定種類的活動，或者將其路由到其他地方，例如路由到一個被隔離開來的VLAN。

‧執行第三方程式或腳本：當偵測到特定惡意活動時，某些網路行為分析傳感器可以執行管理者專用的腳本或程式碼。

大部分網路行為分析傳感器允許管理者指定防禦能力組態設定給各種警告，這通常包含開啟或關閉防禦能力，以及指定哪一種防禦能力應該要被採用。大部分網路行為分析系統實作採用防禦能力，會以有所限制的方式來採用，或者因為型一錯誤而乾脆不用；封鎖單一型一錯誤可能導致網路通訊的主要干擾。每當封鎖已知的特定威脅時，例如有新的蠕蟲，防禦能力就會被用在網路行為分析傳感器上。

操作及維護

一旦挑選了網路行為分析產品，接著就要設計一個架構、測試元件、保全網路行為分析元件，並且部署。當部署網路行為分析元件到正式網路實作，組織應該要在相對短的時間內安裝傳感器，這樣它們才都能夠打造其所謂的初始化基準線。在實作初期的偵測精確度絕對是比較低，直到這些傳感器對於整體環境有足夠完整資訊和了解的幾個星期之後，才會有較高的偵測精確度。除了上述這些，部署網路行為分析傳感器，基本上與部署網路型入侵偵測暨防禦系統傳感器相同。

網路行為分析產品的控制台介面所提供的操作和維護功能，與網路型的入侵偵測暨防禦系統相當，其中的主要差別在於，網路行為分析控制台介面會提供視覺化工具，可以呈現攻擊的流量。這種工具可以顯示被攻擊的主機、攻擊進來所經過的主機，以及該攻擊涉及的第一台主機。另一方面，某些網路行為分析產品也提供文字化介面。至於持續維護網路行為分析產品方面，與網路型入侵偵測暨防禦系統相當。

結語

本文從各層面介紹網路行為分析系統，包含常見元件、網路架構、傳感器位置如何安排、安全、防禦性能等等，下一回將探討主機型入侵偵測暨防禦系統。

＜本文作者：黃信智，目前為久揚科技服務有限公司營運總監，提供資安管理、隱私保護、營運持續管理等顧問諮詢服務、以及滲透測試、源碼檢測等資安服務。擁有CEH、ECIH、CISSP、ISO 27001 LA等資安證照。＞