企业的IT架构犹如一个工作有序的机体，在设备之间川流不停的数据就好似身体的血液，一旦这些信息遭到破坏，后果将是灾难性的。企业要想确保自己网络系统的安全，很关键的一点就是要知道IT设备之间的信息流是如何流动的。网络行为分析（简称NBA）就是来设计完成这项任务的，从而帮助企业分辨这些安全威胁并采取应对措施。
　　
　　网络行为分析通过对信息流的每一个片段进行检测，来发现安全隐患。如果网络内有任何可疑的行为，它们会向网络安全人员发出警报。网络行为分析还可帮助网络管理员具备对整个网络行为的观察能力，以便管理员在出现其他状况前能够对潜在的威胁及时做出反应。
　　
　　Gartner认为，某些具有危害的网络行为可能会被传统的基于安全策略和签名的安全技术所漏过，比如IDS、IPS、防火墙、安全信息以及事件管理系统。这些传统的安全技术只能检测到所对应的特定行为，而NBA则能检测到被这些技术所疏漏的行为。
　　
　　NBA产品实际上属于管理工具，它帮助网络管理人员制定网络管控决策。因为，它能够帮助经验丰富的管理员了解大量可疑的网络行为，并对其做出反应。所以，一些有经验的网络管理员可以使用这项技术来定位诸如蠕虫、未授权协议以及可疑连接等安全威胁。由于NBA给予了管理员附加的保护层，因此，Gatner建议企业应尽早应用此项技术，并将其作为复杂安全策略中的一部分，以保护企业网络的安全。
　　
　　由于安全问题所付出的代价越来越大，因此对网络行为检测技术进行改进的需求愈发强烈。根据一年一度的计算机安全学院有关计算机犯罪和安全的调查——这项调查由美国494位安全专家投票参与——每一年与计算机安全相关的平均损失由一年前的16.8万美元增加到2007年的35万美元。在该项调查的反馈中，过去有过安全事故的公司中有接近1/5的公司遭受过定向攻击。人们把这种情况定义为专门针对某个组织或者大型集团公司的恶意软件攻击。金融诈骗则是造成金融损失的主要原因，而计算机病毒则已经连续7年成为造成损失的第二大原因。排在计算机病毒之前的最主要的安全问题则来自于组织内部访问网络的不良习惯，比如由电子邮件而引起的等。同样根据Gartner的这篇报告说明，当时，由于市场信息在传递的精确性、覆盖能力以及自动回复方面仍不完善，设备商在推广时漏掉了NBA技术的价值和要点——在协助决策时提供对整个网络的观察。因此，造成了当时界定NBA产品的市场混淆，这样的认识有些仍持续至今。
　　
　　在与基于签名技术的比拼中，NBA的一项很明显的优势便是定位“零日”损失。Gartner的报告指出，NBA可以帮助企业更早地找到网络安全的隐患，从而使它们的影响局限在很小的范围内。
　　
　　现在很多组织都已经部署了防火墙、IDS\IPS、安全信息以及事件管理系统，只有一些在考虑部署网络行为分析技术。得益于该技术所提供的安全功能以及操作可视性，Gartner预计NBA市场收入在2007年可以提高30%。“出于定位安全问题以及操作的需要，对网络行为监视的需要越来越多。”这篇报告的作者、Gartner的研究副总裁保罗?普罗科特这样写道：“这些需求更多来自于人们认识到他们不可能完全定义你想知道的每一个事件，同样，给一个盒子编程让它在有事，发生时来通知你也是一件很困难的事情。企业/组织需要能够看到他们的网络发生了什么事，以便他们能够做出正确的选择。”
　　
　　普罗科特还认为，有些行为只有在专家处于恰当的条件和网络监控时才有可能被识别。他谈到，“在传统的机制下，蠕虫在公司内的蔓延并不容易被检测到。”
　　
　策略 STRATEGY　
　　
　　在成功部署了防火墙和IDS\IPS系统后，企业应该考虑使用NBA来辨识其他技术检测不了的网络事件和行为。
　　
　　“IDS和IPS系统只能辨识出符合已知的行为。”普罗科特表示，与此相反，NBA“使用一种混合的检测机制，包括所观察行为偏差的基准，来检测出很难被签名方式辨识出来的有趣的事件。”
　　
　　IDS和IPS系统必须被恰当地调整，“但很多企业实际上在安装好后就忘掉了它的存在。”普罗科特说道，“NBA系统必须被具有相关资质的专家来配置和分析，因为只有他才能理解并说明系统提供的信息。”
　　
　　“主要的挑战在于如何合适地调节并设定相应的反应（如果遇到威胁）。主要的好处则是获得不能从其他工具中得到的系统的信息以及监控。”
　　
　　如果未能对NBA设备进行合理的调节，它们可能使管理员深陷泥潭——因为他们看到的警报对安全来说，事实上没有任何风险。不过，当被正确地应用时，它们能极大地帮助企业看清网络中所发生的一切。已经应用NBA的组织表示，它们可以获得对自己网络更好的监控能力。位于全美市区的最大大学——纽约城市大学，已经在去年11月开始使用Mazu提供的NBA设备。学校中包含的20个IT管理终端均安装了管理软件、网络中设置了一个以上的传感器来监控网络流量，为网络分析设备提供统计数据。
　　
　　这套NBA系统对网络流量和网络行为进行实时分析，使得学校的安全管理人员能够第一时间了解网络上所发生的事情。“由于我们在一个相对开放的环境下进行操作，并且，出于学术开放和隐私的考虑，我们无法控制用户对网络的使用。”学校的首席信息安全官卡尔?卡马拉塔表示，“我们认为NBA可以提供某种程度的控制，以帮助我们在不影响开放研究以及学术自由的前提下，了解网络终端在网络上究竟发生了什么。”通过对网络行为更多的学习，学校官员能够更好地明白，为了提高信息安全，哪些是学校必须要做的。“一旦我们更多地了解网络，我们可以帮助学校诊断并辨识安全威胁是否出现，并何时开始增长。”卡马拉塔谈道。