內(nèi)網(wǎng)行為審計(jì)系統(tǒng)實(shí)現(xiàn)技術(shù)探討

吳威 趙廣磊 陳潁杰 郭婧宇

（國(guó)網(wǎng)阜陽(yáng)供電公司，安徽阜陽(yáng) 236000）

內(nèi)網(wǎng)行為審計(jì)系統(tǒng)實(shí)現(xiàn)技術(shù)探討

吳威 趙廣磊 陳潁杰 郭婧宇

（國(guó)網(wǎng)阜陽(yáng)供電公司，安徽阜陽(yáng) 236000）

在面對(duì)地市電力公司，具有較大規(guī)模的信息內(nèi)網(wǎng)時(shí)，內(nèi)網(wǎng)行為審計(jì)系統(tǒng)建設(shè)的建設(shè)范圍、關(guān)鍵技術(shù)成為系統(tǒng)成功應(yīng)用的基礎(chǔ)，本文就地市電力公司內(nèi)網(wǎng)行為審計(jì)系統(tǒng)的建設(shè)功能及核心技術(shù)進(jìn)行探討，給出了一種高效的多線(xiàn)程數(shù)據(jù)包處理方式，較好的支撐了地市電力公司日常網(wǎng)絡(luò)行為審計(jì)需求，提高了信息內(nèi)網(wǎng)安全管控水平。

行為審計(jì) 數(shù)據(jù)包抓取 多線(xiàn)程

信息內(nèi)網(wǎng)終端用戶(hù)行為是信息網(wǎng)安全的重要組成部分，目前電力公司尤其是地市公司對(duì)內(nèi)網(wǎng)終端網(wǎng)絡(luò)行為監(jiān)管能力不足，尤其是郵件發(fā)送、網(wǎng)頁(yè)訪(fǎng)問(wèn)等異常行為缺乏可靠實(shí)時(shí)的檢測(cè)工具，為此多數(shù)信息網(wǎng)運(yùn)維單位開(kāi)展了內(nèi)網(wǎng)行為審計(jì)系統(tǒng)的建設(shè)［1］。通常內(nèi)網(wǎng)行為審計(jì)系統(tǒng)主要運(yùn)用“包捕獲”采集技術(shù)［2］，在核心交換機(jī)上采用端口鏡像技術(shù)，將上聯(lián)口的流量鏡像到某個(gè)端口并進(jìn)行數(shù)據(jù)包的抓取、分析，并基于數(shù)據(jù)包分析結(jié)果實(shí)現(xiàn)內(nèi)網(wǎng)用戶(hù)網(wǎng)絡(luò)行為的審計(jì)，典型審計(jì)場(chǎng)景包括用戶(hù)數(shù)據(jù)量排名、用戶(hù)興趣點(diǎn)分布、網(wǎng)絡(luò)實(shí)時(shí)流量、不同類(lèi)型數(shù)據(jù)包流量統(tǒng)計(jì)等。另外系統(tǒng)建立異常信息告警機(jī)制，根據(jù)設(shè)定的監(jiān)控關(guān)鍵字，對(duì)捕捉到的內(nèi)網(wǎng)網(wǎng)頁(yè)查看行為和郵件行為進(jìn)行篩查，對(duì)包含關(guān)鍵字信息的數(shù)據(jù)進(jìn)行報(bào)警［3］。

在面對(duì)地市電力公司，具有較大規(guī)模的信息內(nèi)網(wǎng)時(shí)，內(nèi)網(wǎng)行為審計(jì)系統(tǒng)建設(shè)的建設(shè)范圍、關(guān)鍵技術(shù)成為系統(tǒng)成功應(yīng)用的基礎(chǔ)，本文就地市電力公司內(nèi)網(wǎng)行為審計(jì)系統(tǒng)的建設(shè)功能及核心技術(shù)進(jìn)行探討。

1 內(nèi)網(wǎng)行為審計(jì)系統(tǒng)實(shí)現(xiàn)

1.1 功能設(shè)計(jì)

如圖1所示，內(nèi)網(wǎng)行為審計(jì)系統(tǒng)主要包括數(shù)據(jù)處理、行為審計(jì)統(tǒng)計(jì)查詢(xún)及系統(tǒng)管理三部分，分別實(shí)現(xiàn)網(wǎng)絡(luò)包抓取、分析，行為審計(jì)分析及系統(tǒng)基礎(chǔ)管理工作。

數(shù)據(jù)處理包括網(wǎng)絡(luò)流量采集及基于包的網(wǎng)絡(luò)流量分析功能，網(wǎng)絡(luò)流量主要利用交換機(jī)的端口鏡像功能實(shí)現(xiàn)，在核心交換機(jī)上通過(guò)將上聯(lián)口的流量鏡像到某個(gè)端口，再通過(guò)與該端口連接的主機(jī)設(shè)備接收鏡像流量。主機(jī)設(shè)備上通過(guò)將網(wǎng)卡設(shè)置成混雜模式接收所有的傳輸層數(shù)據(jù)包，并對(duì)接收到的數(shù)據(jù)包根據(jù)傳輸層的源地址、目的地址及端口信息進(jìn)行過(guò)濾，保留源地址或目的地址為目標(biāo)系統(tǒng)或網(wǎng)址IP的數(shù)據(jù)包；再利用應(yīng)用層的HTTP協(xié)議特征對(duì)數(shù)據(jù)包進(jìn)行二次過(guò)濾，保留通過(guò)HTTP協(xié)議進(jìn)行網(wǎng)絡(luò)訪(fǎng)問(wèn)行為；最終針對(duì)特定WEB應(yīng)用利用關(guān)鍵字對(duì)訪(fǎng)問(wèn)行為中的發(fā)件人地址、收件人地址、郵件標(biāo)題等字段進(jìn)行抓取并存儲(chǔ)。

根據(jù)阜陽(yáng)公司信息網(wǎng)安全管理要求，開(kāi)展了內(nèi)網(wǎng)郵件行為審計(jì)和內(nèi)網(wǎng)WEB系統(tǒng)訪(fǎng)問(wèn)行為審計(jì)兩種場(chǎng)景的應(yīng)用，其中郵件審計(jì)針對(duì)郵件頭的關(guān)鍵字段，包括發(fā)件人、收件人等進(jìn)行審計(jì)，對(duì)于不合規(guī)的郵件題目或附件標(biāo)題進(jìn)行告警；內(nèi)網(wǎng)WEB系統(tǒng)訪(fǎng)問(wèn)行為主要用于判斷用戶(hù)的WEB系統(tǒng)訪(fǎng)問(wèn)習(xí)慣，根據(jù)WEB系統(tǒng)訪(fǎng)問(wèn)的頁(yè)面、訪(fǎng)問(wèn)頻率及訪(fǎng)問(wèn)部門(mén)進(jìn)行統(tǒng)計(jì)分析，判斷WEB系統(tǒng)的應(yīng)用情況。

1.2 多線(xiàn)程數(shù)據(jù)包處理方式

高效的數(shù)據(jù)包處理技術(shù)是解決地市公司高流量的關(guān)鍵技術(shù)，如何實(shí)現(xiàn)數(shù)據(jù)包的完整抓取、解析可有效避免行為檢測(cè)的漏檢、錯(cuò)檢。本文采用高效的多線(xiàn)程數(shù)據(jù)包處理方式實(shí)現(xiàn)數(shù)據(jù)包處理，處理流程見(jiàn)圖2。

數(shù)據(jù)包處理過(guò)程為了提高運(yùn)行速度，防止丟包現(xiàn)象，提高數(shù)據(jù)分析效率，主要?jiǎng)?chuàng)建三個(gè)線(xiàn)程分別執(zhí)行任務(wù)：

（1）數(shù)據(jù)包抓取線(xiàn)程：基于winpcap提供的網(wǎng)絡(luò)層中間驅(qū)動(dòng)和開(kāi)發(fā)接口，主線(xiàn)程調(diào)用winpcap開(kāi)發(fā)接口從網(wǎng)絡(luò)適配器中獲取所有的IP包并進(jìn)行存儲(chǔ)到包隊(duì)列中。

（2）數(shù)據(jù)包過(guò)濾線(xiàn)程：依據(jù)待審計(jì)的WEB服務(wù)器的地址及WEB應(yīng)用的地址對(duì)數(shù)據(jù)包中的源和目的地址進(jìn)行過(guò)濾，減少后續(xù)待分析的包數(shù)量。

（3）數(shù)據(jù)包解析、存儲(chǔ)：對(duì)過(guò)濾后的數(shù)據(jù)包中依據(jù)HTTP協(xié)議進(jìn)行再次過(guò)濾，因?yàn)閷徲?jì)目標(biāo)是網(wǎng)頁(yè)瀏覽和WEB郵件信息，所以再次根據(jù)是否是HTTP報(bào)文進(jìn)行過(guò)濾，過(guò)濾方式根據(jù)數(shù)據(jù)包中是否含有如“GET”、“HTTP/1.1”等關(guān)鍵字。過(guò)濾后針對(duì)HTTP消息體部分的數(shù)據(jù)利用WEB系統(tǒng)和郵件系統(tǒng)的關(guān)鍵字對(duì)WEB訪(fǎng)問(wèn)中的目標(biāo)字段進(jìn)行過(guò)濾和抓取。

2 結(jié)語(yǔ)

通過(guò)設(shè)計(jì)合理的內(nèi)網(wǎng)行為審計(jì)系統(tǒng)系統(tǒng)功能，采用高效的多線(xiàn)程數(shù)據(jù)包處理方式，較好的支撐了地市電力公司1000臺(tái)終端的日常網(wǎng)絡(luò)行為審計(jì)需求，通過(guò)該方法實(shí)施內(nèi)網(wǎng)行為審計(jì)系統(tǒng)，可有效監(jiān)測(cè)近一個(gè)月內(nèi)內(nèi)網(wǎng)網(wǎng)頁(yè)查看和WEB郵件發(fā)送信息，提高了內(nèi)網(wǎng)安全水平。

［1］陳光明.內(nèi)網(wǎng)主機(jī)行為監(jiān)管和審計(jì)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn).西安電子科技大學(xué)，2012.

［2］趙暉.基于內(nèi)網(wǎng)的安全綜合審計(jì)監(jiān)管系統(tǒng)設(shè)計(jì)［J］.科技信息，2010（28）.

［3］鄧方志.內(nèi)網(wǎng)用戶(hù)非法外網(wǎng)訪(fǎng)問(wèn)行為監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).東北大學(xué)，2013.

吳威（1978—），男，上海人，工程師，大專(zhuān)，研究方向：信息網(wǎng)絡(luò)技術(shù)；趙廣磊（1986—），男，安徽阜陽(yáng)人，工程師，碩士研究生，研究方向：電力信息通信技術(shù)；陳潁杰（1964—），男，安徽穎上人，工程師，本科，研究方向：信息網(wǎng)絡(luò)技術(shù)；郭婧宇（1992—），女，安徽太和人，工程師，碩士研究生，研究方向：信息網(wǎng)絡(luò)安全技術(shù)。