行為分析工具是如今網絡安全界最時髦的詞之一，據安全分析專家稱，至少有35家供應商在此領域爭奪客戶。

行為分析在網絡安全領域是指通過軟件工具探測網絡中的數據傳輸模式是否偏離了基準。工作原理是分析工具探測到異常情況并對IT管理員告警，從而停止異常行為或者網絡攻擊。

企業通過行為分析發現那些逃過技術防范例如防火墻、反侵入系統與殺毒軟件的入侵行為。這些傳統工具利用指紋或簽名分辨攻擊的優先級，然而行為分析工具根據是否偏離正常行為的基準來實現對異常情況的告警。國家安全機關就是利用行為分析去發現其私有云系統威脅的使用者之一。

行為分析工具市場在2015年達到高點，但 451 Research 的分析師 Eric Ogren 在報告中認為，它仍然十分“不成熟”。往往很難去證明行為分析概念對鞏固安全的有效性，他同時提到，應該更多關注能夠證明分析工具價值的案例。

當一些人對于行為分析的價值持懷疑態度時，一家面向大中小學及其他企業提供數字認證管理服務的公司Parchment從中窺見此種工具的價值。Parchment公司在8月通過供應商Darktrace部署了非常規行為分析工具“企業免疫系統”。“這個工具基于機器學習檢測其網絡內部出現的威脅，”Parchment的工程副總Bob Langan表示。

“我們希望能提高保護范圍并補充防火墻的功能，”Langan解釋為什么選擇Darktrace的行為分析工具，在一個訪談中，他提到其他安全保護措施的問題是很難對最新的病毒與攻擊保持與時俱進。

Darktrace工具中有一個可視化控制臺，它可以由網絡工程師獲取個人電腦和移動設備的底層數據，實時查看數據包的流入流出。Langan說，“沒有其他工具可以做到這些，尤其是在探測新情況和適應性方面。”

Langan還提到，“我能夠重現一個安全事件，將它具體化，看到沖突事件的關鍵點并且從根源一步步修正，所以這真的很有幫助且節省時間。”

看上去似乎Darktrace工具會增加IT人員的工作量，實際上他們需要維護的安全日志數量反而減少了。

“IT同事幾乎不用再去查看那些事件，只需要通過底層數據看看到底發生了什么，而不用再忍受那些繁雜的日志，”Langan說。“傳統方法和工具，我認為無法與Darktrace目前提供的服務相提并論。它能每天實時更新，我再也不用擔心在睡覺的時候被不明來源的攻擊打擾了。它不僅僅掌握和了解我們公司的威脅，而且還能從世界范圍學習。”

Parchment是一家私人企業，Langan未提供他們支付給Darktrace軟硬件費用的具體數字。

Darktrace告知他們的大部分客戶是按月支付工具與內含軟件、硬件和威脅分析專家提供的威脅智能報告這些的費用。Darktrace方面未提供具體報價，但表示價格是由聯網設備數量、流量與網絡結構決定的。

451 Research的分析師Ogren表示，Darktrace的企業免疫系統是由不同的用戶、設備和網絡活動所組成的300個測量版本來探測攻擊。它用了精確的數學模型對網絡進行分組視圖分析，幫助企業從可疑行為中辨別出那些可接受的新業務實踐。Darktrace同時還提供了工業版產品。

Ogren告訴我們在行為分析領域的35+公司中，最大的有RSA、LogRhythm、Rapid7和Splunk。Niara和Vectra Networks則專注于網絡流量數據與新行為模型的開發。

另外，Gartner最近評選出IBM、Hewlett Packard和Intel Security為信息安全及事件管理領域的領頭羊，緊隨其后的是Splunk和LogRhythm.