企业的网络有很多通道。对于企业来讲，不断在设备之间移动的数据就好似身体的血液一般，一旦这些信息遭到破坏，后果可能是灾难性的。

而企业要想确保自己网络系统的安全，很关键的一点是知道在它们之间究竟是些什么样的行为。网络行为分析（简称NBA）就是设计来给予组织这种等级的观察，帮助企业分辨这些安全威胁并采取措施。

NBA通过对类似IP交通流量系统或者分包分析这样的网络设备所搜集到的数据进行分析，从而对整个网络的交通进行分析。通过混合利用签名和异常检测，如果网络内有任何可疑的行为，它们会向网络安全人员发出警报。它还帮助网络管理员具备了对整个网络行为的观察能力，以便管理员在出现其他状况前能够对潜在的威胁及时做出反应。

NBA市场已经吸引了主流的网络安全设备商以及小型企业，专注于NBA的安全厂商包括：Arbor Networks、Lancope、Mazu Networks以及Q1 Labs。而像思科、CouterStorm、Internet Security Systems以及Sourcefire这样的公司也同样提供了一些NBA功能类型的产品。

IT顾问Gartner认为，某些具有危害的行为可能会被常用的基于安全策略和签名的安全技术所漏过，比如IDS、IPS、防火墙、安全信息以及事件管理系统。这些传统的安全技术只能检测到所对应的特定行为，而NBA则能检测到被这些技术所疏漏的行为。

NBA产品实际上属于帮助决策的系统，因为能够帮助经验丰富的管理员了解大量可疑的网络行为，并对其做出反应。一些有经验的管理员可以使用这项技术来定位诸如蠕虫、未授权协议以及可疑连接等安全威胁。由于NBA给予了管理员附加的保护层，因此，Gatner建议企业应该应用该技术，并将其作为复杂安全策略中的一部分以保护企业网络的安全。

由于安全问题所付出的代价越来越大，因此对网络行为检测技术进行改进的需求愈发强烈。根据第12届一年一度的计算机安全学院有关计算机犯罪和安全的调查——这项调查由美国494位安全专家投票参与——每一年与计算机安全相关的平均损失由一年前的168000美元增加到2007年的350000美元。

在该项调查的反馈中，在过去有过安全事故的公司中有接近五分之一的公司遭受过定向攻击。我们把这种情况定义为专门针对某个组织或者大型集团公司的恶意软件攻击。金融诈骗则是造成金融损失的主要原因，而计算机病毒则已经连续7年成为造成损失的第二大原因。排在计算机病毒之前的最主要的安全问题则来自于组织内部访问网络的不良习惯，比如电子邮件而引起的。

网络行为分析可以帮助企业很好地定位这些行为。根据Gartner在2006年末发布的报告，在经历了2001年开始的缓慢升温后，对于这项技术的需求已经迅速增加。这项报告还提到，早期的NBA技术是由分布式的拒绝服务保护技术发展未来，而这些技术在定位诸如蠕虫这样的安全威胁时则与基于签名的技术形成竞争。

同样根据Gartner的这篇报告，当时，由于市场信息在传递的精确性、覆盖能力以及自动回复方面仍不完善，设备商在推广时漏掉了NBA技术的价值和要点——在协助决策时提供对整个网络的观察。因此，造成了对于NBA的市场混淆，这样的认识有些仍持续至今。

在与基于签名技术的比拼中，NBA的一项很明显的优势便是定位“零日”损失。Gartner的报告指出NBA可以帮助企业更早找到网络安全的隐患，从而使它们的影响局限在很小的范围内。

现在很多组织都已经部署了防火墙、IDS\IPS、安全信息以及事件管理系统，只有一些在考虑布署网络行为分析技术。得益于该技术所提供的安全功能以及操作可视性，Gartner预计NBA市场收入在2007年可以提高30%。