◆李 鹿 贾 东

（赤峰市气象局 内蒙古 024000）

SecPath ACG网络行为监控的建设与应用

◆李 鹿 贾 东

（赤峰市气象局 内蒙古 024000）

为实现气象互联网信息安全化管理，赤峰市气象局技术装备保障与信息中心适时引入SecPath ACG网络行为监控平台（以下简称“平台”），本平台搭载于识别全面、控制手段丰富的高性能应用控制网关，可以对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精细化识别和控制，有效地保障了赤峰市气象局信息网络中的关键应用和服务的带宽，对实时网络流量、用户上网行为进行深入分析与全面的审计，进而帮助管理员全面地了解网络应用模型和历史流量趋势，使优化其带宽资源工作更快捷，为开展各项互联网业务提供有力的支撑。

行为监控；网络管理；信息安全

0 引言

伴随着气象信息化的发展，信息业务的体量不断加大，互联网业务逐步整合，对互联网的安全性需求也不断增加，传统的安全网关虽然有其无以替代的可靠表现，但其全面性差，在互联网办公方面存在隐患。目前市局对于互联网办公的需求正日益增加，布置一套覆盖全局、方便监控、安全可靠的网络行为监控平台愈加重要。网络监控平台设备的合理布局，大大提高我局业务楼与行政楼的网络监控工作效率，保证天气预报节目传输、互联网资料查询、121平台的业务能安全运转，通过相应设计完成对单个重点的网络权限设定，包括设置白名单、黑名单等，实现对全局互联网络工作状况的监控与故障判别，实现对用户使用情况的简单监控等。

1 网络监控平台建设思路

1.1 平台基础规划设计

SecPath ACG网络行为监控平台主要为工作人员以及管理人员服务，为了防止可能的非法用户的攻击及风险操作，要求全局互联网络必须提供切实可行的安全保证。网络行为监控解决方案可提供端到端的网络安全部署，能满足互联网网络的安全要求。分别对终端用户上网认证的用户名密码的安全、用户上网后计算机内部数据的安全、用户上网后数据在网络上传输的安全进行了保护。当管理员发现网络异常时，能迅速找到问题终端，大大提升了工作人员的工作效率。

1.2 架构

SecPath ACG网络行为监控平台基于新一代多核CPU+FPGA硬件架构，业务与转发相分离，实现了千兆级线速业务处理能力，仅有微秒级时延。通过掉电保护（PFC，无源Bypass）、内置旁路、软件二层回退、双电源冗余等高可靠性设计，保证ACG在断电、软硬件故障或链路故障、流量过载的情况下，网络链路仍然畅通。

1.3 建设部署

赤峰市气象局SecPath ACG网络行为监控平台采取在线部署方式，此部署方式通常适用于大中型企事业用户，以常态化方式在线部署于互联网网络出口，具有无需改变网络拓扑的优点。全局互联网设备通过SecPath ACG网络行为监控平台对网络社区、P2P/IM、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等各种应用进行监控和管理，保障了关键应用和服务的带宽。支持VPN、MPLS、VLAN、PPPoE等复杂网络环境；支持管理设备本地日志记录和集中式分析处理，支持多台分布式部署统一管理。

2 SecPath ACG网络行为监控平台技术特点

2.1 应用识别

通过状态机检测、流量交互检测技术，能精确检测Thunder、Web Thunder（Web 迅雷）、BitTorrent、eMule（电骡）、eDonkey（电驴）、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用。准确定位对应应用使用的用户，第一时间找到可能使网络出现延时、中断的故障源，经过排查后，工作人员可通过对其限制带宽、禁止互联网行为等手段进行网络管理。

图1 安装平台后的全局互联网网络拓扑简易图

通过自定义IP地址、终端名、正则表达式等方式设置URL特征库，可根据不同的 URL策略设置不同的响应方式，根据时间表对不同的 URL策略设置不同的响应动作，避免保密信息的外泄，免受非法信息的干扰，确保网络的健康使用。

2.2 流量管理

平台采用基于队列（Each Flow Queuing）的流量处理机制，通过通道、子通道、子通道下的子通道等区分服务模式，并结合时间段、用户类型、上传下载方式、区域类型等，易于对每个业务“流”队列，设置不同等级的优先级策略，实现不同带宽、不同会话数、每会话带宽、新建连接数等控制，实现了带宽的借用、Qos优先级的标记等，真正实现了终端到终端的精细化流量管理。对应用协议特征库及时更新；支持协议特征库的在线自动（手动）升级、本地升级，且升级过程无需重启系统，不影响系统业务运行。

3 SecPath ACG网络行为监控平台智能化报表

3.1 灵活、多样的报表形式

SecPath ACG网络行为监控平台囊括实时的业务流量趋势图、流量分布图、Top N用户列表、Top N应用协议列表等报表，并可以按照用户名/用户组、使用频度、使用时段、应用分类、应用协议、流量大小等进行多维度组合定制报表，使管理员能全面掌握网络中的流量、应用和业务分布，为合理规划网络、制定流量控制策略提供依据。

图2 例：某天赤峰市气象局全局健康会话数统计图

3.2 完善的审计功能

SecPath ACG网络行为监控平台可对各种P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输、数据库应用等各种上网行为提供全方面的行为监控和记录，同时，通过综合分析、检测用户网络流量与流向趋势，对历史数据进行分析，为用户提供细粒度的网络应用审计管理系统。

4 结论

SecPath ACG网络监控平台的建设实现了全局网络监控和管理的优化，及时地发现网络故障，进行维护维修工作的安排。平台有效地支持赤峰气象网络的建设，对进一步提高气象服务能力和数据及时性都具有重要意义。有效辅助了安全网关对网络的管理工作，优化了市局互联网办公的体验，目前由于很多业务软件已经逐步由网络端或者PC端向移动端或者手机端转化，因此互联网平台的数量大大增多，网络监控平台的建设势在必行。伴随着气象信息化的发展，这种互联网办公趋势已经愈发明朗，稳定、安全、体验良好的网络环境必将对互联网业务的开展提供有力的支持，其间接产生的社会和经济效益将逐步凸显。

[1]王蛟.基于行为的 P2P流量及异常流量检测技术研究[D].北京邮电大学，2008,

[2]田李.面向网络安全监控的数据流关键技术研究[D].国防科学技术大学，2008./

[3]王风宇，云晓春，曹震中.多时间尺度同步的网络异常检测方法[J].通信学报，2007.

[4]诸葛建伟，王大为，陈昱，叶志远，邹维.基于D-S证据理论的网络异常检测方法[J].软件学报，2006.

[5]温研，王怀民，胡华平.分布式网络行为监控系统的研究与实现[J].计算机工程与科学，2005.

[6]周海刚，吴昊，肖军模.基于软件 Agent的分布式网络监控系统的研究与实现[J].电信科学，2002.