网络行为分析传统的安全产品历来侧重于保护网络边界，因此很多公司在网络边界上使用了防火墙，但遗憾的是，现实普遍的情况是，网络的核心更不安全。因此，包括赛门铁克在内的很多安全产品提供商提出了端点防护的建议，端点安全似乎是堵住这种缺口的一种方法，但这种方法在大型网络上很不方便，因为用户往往有许多不同的应用，所以那些“一应俱全式”的单一桌面配置方法很难实现。更司空见惯的情况是，我们需要配置多个桌面及配置多个用户文件，所以公司需要很多端点安全策略。

       很多防火墙厂商在防火墙中添加了反病毒和基于特征的内容过滤，但其效果也仅限于网络边界。大部分公司并没有采用内部防火墙来保护自己内部网或广域网（WAN）等其他专用的基础架构。即便使用了内部防火墙，这些技术仍受到特征库更新频率和准确性的局限。

 什么是网络行为分析?

　　网络行为分析是识别日常网络通讯流量中异常通讯方式的能力。简单地说，这是网络行业超越简单地阻止过量的网络通讯设置试图识别网络中的异常行为。观察到的最多的网络安全突破之一是称作拒绝服务攻击的异常通讯方式。拒绝服务攻击是对互联网服务提供商和大型网络基础设施的重大安全威胁。
网络行为分析可以。攻击者发现了利用P2P服务器中的许多安全漏洞实施DDoS(分布式拒绝服务攻击)的一种方法。P2P分布式拒绝服务攻击中最积极的方法是利用DC++中的安全漏洞。P2P攻击与基于僵尸网络的攻击是不同的。P2P攻击中没有僵尸电脑，攻击者不必与其攻破的客户机进行沟通。相反，攻击者能够像“木偶操纵者”一样向大型P2P文件共享网络的客户机下达指令，并且连接到受害者的网站。因此，数百台计算机可能会积极地连接一个目标网站。虽然一个典型的网络服务器每秒钟能够处理几百个连接，超过一定的数量才会引起性能下降，但是，大多数网络服务器在每秒中处理5千或者6千个连接的时候就会出故障。

你的网络增加网络行为分析

　　新兴的网络行为分析解决方案在术语和接口方面也许不同，但是，所有的解决方案都把传感器设备(也就是监视器或者收集器)分布到你的整个内部网络的通信量非常高的交汇处。网络行为分析传感器通常连接到局域网分接头或者交换机镜像端口。有些收集原始数据包，有些收集来自网络交换机和路由器的流动记录。例如，大多数网络行为分析产品能够使用NetFlow或者sFlow记录。这些记录存储了通过路由器或者交换机的每一个通讯流的IP地址、端口、协议和接口。

　　传感器把观察到的情况传送给一个中央分析器设备(也就是管理器或者控制器)。中央分析器创建一个你的网络的基线，观察客户机/服务器变化，它们使用的协议、数据速率、日期时间以及其它指标。这个基线一旦建立起来之后，这个分析器就会观察各种变化，如反应蠕虫爆发的通讯速率高峰或者绕过防火墙规则在80端口传送的不同寻常的P2P协议。大多数分析器都可以采用能够发现违规行为的基于区域的政策进行设置。否则，允许的通讯在许多系统的不同的工作组之间进行交换，就违反数据隔离规则。

　　网络行为分析当检测到异常行为时，这些分析器发布警告。基于任务的控制台让操作员查看报警，提供实时服务和用户行动的可视化资料并且生成一个事件调查的详细报告或者遵守法规的报告。由于它们不是在线运行的，网络行为分析产品并不自动封锁入侵。但是，一些网络行为分析产品能够采取止损行动，如向你的路由器、交换机或者防火墙增加一个临时的访问控制列表，隔离具有很大影响的蠕虫的明显来源。