内网行为审计系统实现技术探讨
2016-11-19吴威赵广磊陈颍杰郭婧宇
吴威 赵广磊 陈颍杰 郭婧宇
(国网阜阳供电公司,安徽阜阳 236000)
内网行为审计系统实现技术探讨
吴威 赵广磊 陈颍杰 郭婧宇
(国网阜阳供电公司,安徽阜阳 236000)
在面对地市电力公司,具有较大规模的信息内网时,内网行为审计系统建设的建设范围、关键技术成为系统成功应用的基础,本文就地市电力公司内网行为审计系统的建设功能及核心技术进行探讨,给出了一种高效的多线程数据包处理方式,较好的支撑了地市电力公司日常网络行为审计需求,提高了信息内网安全管控水平。
行为审计 数据包抓取 多线程
信息内网终端用户行为是信息网安全的重要组成部分,目前电力公司尤其是地市公司对内网终端网络行为监管能力不足,尤其是邮件发送、网页访问等异常行为缺乏可靠实时的检测工具,为此多数信息网运维单位开展了内网行为审计系统的建设[1]。通常内网行为审计系统主要运用“包捕获”采集技术[2],在核心交换机上采用端口镜像技术,将上联口的流量镜像到某个端口并进行数据包的抓取、分析,并基于数据包分析结果实现内网用户网络行为的审计,典型审计场景包括用户数据量排名、用户兴趣点分布、网络实时流量、不同类型数据包流量统计等。另外系统建立异常信息告警机制,根据设定的监控关键字,对捕捉到的内网网页查看行为和邮件行为进行筛查,对包含关键字信息的数据进行报警[3]。
在面对地市电力公司,具有较大规模的信息内网时,内网行为审计系统建设的建设范围、关键技术成为系统成功应用的基础,本文就地市电力公司内网行为审计系统的建设功能及核心技术进行探讨。
1 内网行为审计系统实现
1.1 功能设计
如图1所示,内网行为审计系统主要包括数据处理、行为审计统计查询及系统管理三部分,分别实现网络包抓取、分析,行为审计分析及系统基础管理工作。
数据处理包括网络流量采集及基于包的网络流量分析功能,网络流量主要利用交换机的端口镜像功能实现,在核心交换机上通过将上联口的流量镜像到某个端口,再通过与该端口连接的主机设备接收镜像流量。主机设备上通过将网卡设置成混杂模式接收所有的传输层数据包,并对接收到的数据包根据传输层的源地址、目的地址及端口信息进行过滤,保留源地址或目的地址为目标系统或网址IP的数据包;再利用应用层的HTTP协议特征对数据包进行二次过滤,保留通过HTTP协议进行网络访问行为;最终针对特定WEB应用利用关键字对访问行为中的发件人地址、收件人地址、邮件标题等字段进行抓取并存储。
根据阜阳公司信息网安全管理要求,开展了内网邮件行为审计和内网WEB系统访问行为审计两种场景的应用,其中邮件审计针对邮件头的关键字段,包括发件人、收件人等进行审计,对于不合规的邮件题目或附件标题进行告警;内网WEB系统访问行为主要用于判断用户的WEB系统访问习惯,根据WEB系统访问的页面、访问频率及访问部门进行统计分析,判断WEB系统的应用情况。
1.2 多线程数据包处理方式
高效的数据包处理技术是解决地市公司高流量的关键技术,如何实现数据包的完整抓取、解析可有效避免行为检测的漏检、错检。本文采用高效的多线程数据包处理方式实现数据包处理,处理流程见图2。
数据包处理过程为了提高运行速度,防止丢包现象,提高数据分析效率,主要创建三个线程分别执行任务:
(1)数据包抓取线程:基于winpcap提供的网络层中间驱动和开发接口,主线程调用winpcap开发接口从网络适配器中获取所有的IP包并进行存储到包队列中。
(2)数据包过滤线程:依据待审计的WEB服务器的地址及WEB应用的地址对数据包中的源和目的地址进行过滤,减少后续待分析的包数量。
(3)数据包解析、存储:对过滤后的数据包中依据HTTP协议进行再次过滤,因为审计目标是网页浏览和WEB邮件信息,所以再次根据是否是HTTP报文进行过滤,过滤方式根据数据包中是否含有如“GET”、“HTTP/1.1”等关键字。过滤后针对HTTP消息体部分的数据利用WEB系统和邮件系统的关键字对WEB访问中的目标字段进行过滤和抓取。
2 结语
通过设计合理的内网行为审计系统系统功能,采用高效的多线程数据包处理方式,较好的支撑了地市电力公司1000台终端的日常网络行为审计需求,通过该方法实施内网行为审计系统,可有效监测近一个月内内网网页查看和WEB邮件发送信息,提高了内网安全水平。
[1]陈光明.内网主机行为监管和审计系统设计与实现.西安电子科技大学,2012.
[2]赵晖.基于内网的安全综合审计监管系统设计[J].科技信息,2010(28).
[3]邓方志.内网用户非法外网访问行为监控系统的设计与实现.东北大学,2013.
吴威(1978—),男,上海人,工程师,大专,研究方向:信息网络技术;赵广磊(1986—),男,安徽阜阳人,工程师,硕士研究生,研究方向:电力信息通信技术;陈颍杰(1964—),男,安徽颖上人,工程师,本科,研究方向:信息网络技术;郭婧宇(1992—),女,安徽太和人,工程师,硕士研究生,研究方向:信息网络安全技术。