Применение DS ntegrity с системами анализа поведения сети (NBA)

Системы анализа поведения сети (Network Behavior Analysis, NBA) – способ повышения безопасности сети через анализ внутрисетевого трафика. Системы NBA выявляют вредоносное поведение сетевых узлов, подозрительную активность, уязвимые точки в сети, повышенную нагрузку и другие аномалии.

NBA системы состоят из двух основных частей:

  • Модулей сбора и хранения трафика
  • Модулей анализа трафика

Модули сбора и хранения трафика подключаются к узлам сети и осуществляют сбор трафика, его хранение и генерацию статистики.

Модули анализа трафика:

  • Принимают данные с модулей сбора и хранения в формате сетевой статистики (NetFlow, Cisco HSL, IPFIX, Syslog и др.)
  • Анализируют поведение сети
  • Генерируют правила для межсетевых экранов
  • Подготавливают и отображают отчеты для администратора

Применение брокеров сетевых пакетов DS Integrity способствует снижению нагрузки на модули сбора и хранения за счет осуществления агрегации, фильтрации и подготовки трафика.

Возможны следующие схемы подключения систем NBA:

  1. Сбор трафика с узлов сети осуществляют непосредственно модули сбора и хранения. На модули сбора и хранения поступает весь трафик, циркулирующий в сети. Один модуль принимает и обрабатывает трафик со скоростью 10 - 40 Гбит/с, но часть трафика не поддается анализу либо не представляет интереса для дальнейшего анализа. Таким образом снижается эффективность использования модулей сбора и хранения, возникает необходимость увеличения их количества, что приводит к возрастанию стоимости системы NBA.

    Системы анализа поведения сети (NBA)
  2. Сбор трафика с узлов сети осуществляет пакетный брокер DS Integrity. Пакетный брокер подготавливает трафик для модулей сбора и хранения, выполняя обрезку зашифрованных сессий и модификацию пакетов. Данное решение позволяет максимально задействовать производительность каждого модуля сбора и хранения трафика, сократить их количество и конечную стоимость системы NBA.

    Системы анализа поведения сети (NBA)
  3. При отсутствии необходимости хранения трафика, пакетный брокер DS Integrity с функцией NetFlow формирует статистику и передает ее в модуль анализа. Пакетный брокер также может осуществить выделение и подготовку трафика (фильтрацию, обрезку полезной нагрузки зашифрованных сессий и т.д.) непосредственно для модулей анализа. Данное решение позволяет полностью отказаться от использования модулей сбора и хранения трафика и максимально сократить конечную стоимость системы NBA.

    Системы анализа поведения сети (NBA)