張莉 鄭羽

摘要：隨著網絡的應用范圍越來越廣泛，其深度和廣度與日俱增，由此而帶來的安全問題已經引起網絡管理者的高度重視。網絡審計系統(tǒng)可以對網絡行為進行審計和分析，并通過報表的形式回饋給管理者，使他們能夠掌握網絡行為趨勢，做到有的放矢。然而，傳統(tǒng)的網絡審計系統(tǒng)存在著種種缺陷，利用UAAE應用識別技術可以對其進行改造，更好的對網絡行為進行管理和分析，該文正是對基于UAAE的網絡審計系統(tǒng)進行一些基本的分析和研究。

關鍵詞：網絡行為，審計，UAAE，應用識別

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2014）24-5638-04

Research on Network Behavior Auditing System Based on UAAE Recognition Technology

ZHANG Li1， ZHENG Yu2

（1 Human Resources and Social Security Bureau of Anqing Daguan District ，Anqing 46003，China ；2 Anqing Teachers College ，Anqing 246011，China）

Abstract： Nowadays， the Internet has been applied in more fields and developed in greater depth， which also brings about security problems arousing high attention from authorities of the network administration. While the Network Behavior Auditing System is capable of monitoring and analyzing network behaviors as well as reporting to the administration， ensuring the trend of those behaviors to be under control， it has many defects. However， the application of UAAE Recognition Technology in modifying the traditional auditing system can improve the work of monitoring and analyzing. This study focuses on the network behavior auditing system on campus.

Key words： Network behavior； auditing； UAAE； Recognition Technology

1 概述

互聯(lián)網猶如一般雙刃劍，在給人們帶來方便的同時，也帶來了網絡安全的巨大隱患，每年由于網絡安全事件所帶來的經濟損失和國家安全威脅一直居高不下。在個人用戶層面，由于病毒、木馬、惡意掃描和其它的黑客攻擊手段造成的個人信息泄露、財產損失和其它的問題已經使得用戶不勝其擾。各部門對于網絡信息安全的工作愈來愈重視，各類加強網絡安全的軟硬件被相繼部署到內網與DMZ區(qū)之間或者是放置在出口位置[1]。很多單位也考慮利用網絡行為分析和審計系統(tǒng)來監(jiān)控分析用戶的上網行為。但是傳統(tǒng)的行為審計與分析系統(tǒng)只能做到對網絡行為的記錄和收集，對于深入分析這一塊做的不是很好。

對于一些非法的、未受控的應用必須識別并加以控制，否則他們將利用網絡這一“封閉管道”，擠占合法應用帶寬，如在內部網絡中中，P2P下載、娛樂類等應用占用了大量的帶寬，會對正常的業(yè)務造成極大的影響。

現(xiàn)階段，基于端口進行應用協(xié)議的識別是最為通常的手段。但隨著各種網絡應用的逐步豐富，這種基于端口來識別報文所屬協(xié)議類型的方法暴露出其存在的不足，這就迫切要求一種基于更新的識別技術的審計系統(tǒng)來解決問題。隨著網絡安全防護過程中對應用層的關注，基于深度包檢測技術（DPI）和深度流檢測技術（DFI）成為安全領域的熱門技術之一[2]。

2 UAAE（Universal Application Apperceiving Engine）技術

2.1常見的應用識別技術分析

為了應對端口固定進行協(xié)議識別的缺陷[3]，在實際使用過程中，主要有DPI和DFI兩種技術：

DPI（Deep Packet Inspecttion），即深度包檢測。在進行分析報文頭的基礎上，結合不同的應用協(xié)議的“指紋”綜合判斷所屬的應用。

DFI（Deep Flow Inspection），即深度流檢測。它是基于一種流量行為的應用識別技術。不同的應用類型體現(xiàn)在會話連接或者數(shù)據(jù)流上的狀態(tài)各有不同，表1展現(xiàn)了不同的應用的流量特征。

這兩種技術，由于實現(xiàn)機制的不同，在檢測效果上也各有優(yōu)缺點。

DPI技術由于可以比較準確的識別出具體的應用，因此廣泛的應用于各種需要準確識別應用的系統(tǒng)中，如運營商的用戶行為分析系統(tǒng)；而DFI技術由于采用流量模型方式可以識別出DPI技術無法識別的流量，如P2P加密流等，因此目前越來越多的在帶寬控制系統(tǒng)中得到應用。

2.2 UAAE應用識別模型

2.2.1 應用識別分類

基于對現(xiàn)有協(xié)議的識別方法進行深入研究，以及對網絡協(xié)議的深刻理解基礎上，結合上述兩種應用識別技術，H3C提出了一種通用的協(xié)議識別模型——UAEE（Universal Application Apperceiving Engine）。在該應用識別模型中，對于應用的識別可以分成如下幾類：

1） 固定端口協(xié)議類：一些協(xié)議如BGP、RIP等，其端口是相對穩(wěn)定的，可以根據(jù)端口號快速識別。

2） 特征狀態(tài)發(fā)現(xiàn)協(xié)議類：絕大部分P2P協(xié)議的端口是不固定的，有些甚至故意使用一些標準協(xié)議的知名端口，如BT、Emule、迅雷、Skype等，都會使用80端口進行協(xié)議交互，因此需要依靠深入的數(shù)據(jù)分析來識別這些應用協(xié)議。

3） 隧道協(xié)議類：防火墻和NAT設備的部署使得網絡中出現(xiàn)了很多應用層隧道。如HTTP Tunnel，表面來看是一個80端口的連接，但實際上里面有可能承載了任何種類的應用數(shù)據(jù)。

4） 流量模型發(fā)現(xiàn)協(xié)議類：越來越多的P2P流量采用加密方式傳輸，如迅雷、Skype等，通過上述應用“指紋”方式是無法識別的。

在UAEE模型中，對于上述類別1-3采用DPI技術進行具體應用的識別；對于DPI技術無法識別的應用和數(shù)據(jù)流，則通過DFI進行流量的識別[4]，及上述類別4。

2.2.2 UAEE模型

在IP協(xié)議簇中，協(xié)議是有層次關系的，如同一棵樹，如圖1所示。

對于每個協(xié)議，可以通過應用“指紋”來識別。應用“指紋”即協(xié)議的特征，它可以對一個或多個進行定義，這樣也組成了協(xié)議特征樹。對于每個特征可以指定其對應的父輩協(xié)議特征，UAEE通過一套完整的語法來描述協(xié)議的識別方法。

如圖2所示，數(shù)據(jù)包經過重組后送到協(xié)議識別核心模塊，該模塊將數(shù)據(jù)包交給檢測引擎進行檢測；檢測引擎根據(jù)接收到的動態(tài)下發(fā)的協(xié)議特征樹對數(shù)據(jù)包進行檢測，然后向協(xié)議識別核心模塊返回命中的檢測結果；協(xié)議識別核心模塊根據(jù)該檢測結果和其內部的協(xié)議特征樹進行協(xié)議層次推導并識別出相應的協(xié)議。同時如果協(xié)議識別核心模塊發(fā)現(xiàn)一個會話經過多個報文仍然沒有獲知最上層應用，則會采用DFI技術對流量進行深度分析識別[5]，從而判斷出對應未知流量所屬應用。

UAEE引擎在結合應用模型分類識別的基礎上，還能夠進行有效靈活的智能決策。它可以對各種智能手段和驗證方法進行優(yōu)先級排序，高優(yōu)先級的識別結果動態(tài)智能的替換低優(yōu)先級的識別結果，使應用識別的結果精確度大大提高。例如，對于使用TCP 80端口登錄的Skype協(xié)議，在TCP握手時，UAEE根據(jù)端口識別出該會話是一個HTTP會話。進一步檢測會話的內容，一旦識別了Skype的登錄特征，UAEE可以依據(jù)優(yōu)先級立即智能地做出判決，將會話識別為Skype登錄協(xié)議。

3 基于UAAE的網絡審計系統(tǒng)設計

3.1 系統(tǒng)架構

系統(tǒng)在傳統(tǒng)的網絡審計系統(tǒng)基礎上，分為用戶界面、流量分析及處理和日志記錄等幾個模塊，其中流量分析及處理部分又分為流量識別、數(shù)據(jù)包處理和協(xié)議及端口分析三個部分[6]，主要負責對流量數(shù)據(jù)包進行捕獲、分析和處理，并根據(jù)端口和協(xié)議類型識別出其性質，并對識別的具體情況作出記錄，系統(tǒng)內置的特征庫將幫助其判定識別結果；日志系統(tǒng)負責記錄日志并將結果以適當?shù)姆绞教峁┙o用戶界面做查詢及導出處理；用戶界面負責處理用戶策略的下發(fā)及日志信息的顯示等，同時要提供若干查詢接口供用戶使用。具體架構如圖3。

3.2 用戶界面

用戶界面提供了系統(tǒng)與用戶的交互功能，主要實現(xiàn)兩個功能，用戶策略的下發(fā)，查看流量數(shù)據(jù)包的識別結果及分析情況。

用戶策略的下發(fā)，用戶可以選擇監(jiān)控主機的IP地址，協(xié)議類型，及控制類型，若是干擾則填入干擾速率，系統(tǒng)會將策略信息存入特征庫中。

查看流量數(shù)據(jù)包的識別結果，通過用戶界面可以看到實時情況或是以往某個時間段的流量識別情況，并且包含協(xié)議對應的包大小，占總的百分比，所屬類型等。

3.3 流量識別模塊

本文介紹了多種識別技術，流量識別模塊需要根據(jù)流量的特點選擇識別技術，有些協(xié)議通過與特征庫中的規(guī)則進行相關匹配就可以進行識別，有些則需要考慮包長，發(fā)包速率，或負載內容等情況，要為這些協(xié)議提供針對性的代碼識別策略。根據(jù)P2P，BT，網頁，游戲、基金股票等多種業(yè)務大類上百種應用協(xié)議的分析，總結出協(xié)議識別流程。

3.4 數(shù)據(jù)庫處理模塊

圖3中顯示數(shù)據(jù)庫與系統(tǒng)中的多個模塊都有數(shù)據(jù)交互，該模塊對用戶界面與識別模塊、干擾模塊進行數(shù)據(jù)共享，也是日志模塊的數(shù)據(jù)源頭。這樣即省去了各個模塊之間的數(shù)據(jù)通信，又不用分配大量的內存空間進行數(shù)據(jù)存儲。

數(shù)據(jù)庫中存放了數(shù)據(jù)包的各種信息（包括包大小，到達時間，離開時間，包頭信息，負載內容，識別結果以及處理結果等）；用戶策略（包括用戶下發(fā)策略的IP、限制流量大小、下策略的協(xié)議）。識別模塊將識別結果存入數(shù)據(jù)庫中，供用戶界面查看及日志中心記錄保存。 用戶界面將用戶策略存數(shù)據(jù)庫供干擾模塊查看，而用戶界面可以通過數(shù)據(jù)庫查看識別和干擾結果，避免了用戶界面與干擾模塊的直接通信。數(shù)據(jù)庫不僅成為模塊之間數(shù)據(jù)傳輸?shù)耐ǖ溃梢蚤L期的保存數(shù)據(jù)信息。

3.5 協(xié)議及端口分析模塊

協(xié)議及端口分析是UAAE應用識別技術最大的特點，其根據(jù)流量數(shù)據(jù)包的來源端口和目的端口分析其動向[7]，并根據(jù)數(shù)據(jù)包綁定的協(xié)議判定其行為屬性，利用專有模塊將分析結果上報日志中心，提高了審計的準確率以及穩(wěn)定性。

3.6 日志中心模塊

日志模塊的功能是記錄系統(tǒng)的所進行的操作，以及錯誤信息，監(jiān)控系統(tǒng)的運行狀況，以及定期從數(shù)據(jù)庫中導出數(shù)據(jù)包的識別結果，以日志的形式長期保存。

日志模塊對整個系統(tǒng)的正常運行作用非常大，在發(fā)生系統(tǒng)故障時，可以根據(jù)系統(tǒng)日志查找故障原因，能迅速判斷故障產生的原因；通過查看系統(tǒng)一段時期內執(zhí)行的操作，可以防止非法使用，清除系統(tǒng)內存在的隱患。在配置大容量存儲空間的情況下，還可以大規(guī)模長期保存系統(tǒng)產生的日志數(shù)據(jù)。

4 結束語

基于UAAE應用識別技術的審計系統(tǒng)通過圖表的方式和排行的方式可以使得管理者對于網絡的應用狀況和熱點有一個比較清晰的了解，涉及到具體的應用以及每一次訪問行為，都會有一個詳細的內容列表，包括：源地址、目的地址、協(xié)議、行為（讀取、改寫、復制、執(zhí)行）、行為頻度、可能的客戶端軟件等，這樣，相比起傳統(tǒng)的審計系統(tǒng)而言，管理員所能獲取的有用信息就明顯增多了。其特點概括如下：

1） 可以根據(jù)協(xié)議的前期報文識別具體的協(xié)議類型，從而可以很好的滿足實時性的要求。

2） 支持應用的快速定義，這樣通過升級應用特征庫可以達到快速支持識別新的應用。

3） 引擎融合了DPI和DFI檢測技術，很好的彌補了單個技術應用識別的不足，從個可以全面而完整的識別目前絕大部分的應用。

4） 在協(xié)議的推導過程中，很好的結合了協(xié)議解析、檢測認證以及攻擊行為的推導，從而極大的提高了攻擊檢測的精度。

5） 對于一個數(shù)據(jù)流，一旦應用識別成功，可以智能識別記憶結果并判斷是否存在可能的安全風險，這樣對于該數(shù)據(jù)流后續(xù)報文可以進行快速導航，從而提高設備的整體性能并提高對危險行為的檢測效率。

參考文獻：

[1] 周麗， 王小玲.基于網絡審計日志關聯(lián)規(guī)則挖掘的改進[J] .計算機技術與發(fā)展，2011，21（6）：150-153.

[2] 杜娟，蘇擁軍，侯曉燕.基于DPI和DFI技術的網絡流量檢測方案研究[J].科技信息，2013（3）：109.

[3] 陳朝暉.一種基于DPI 和DFI 技術的應用識別系統(tǒng)[J].電子信息，2011（6）：77-80.

[4] 葉文晨，汪敏，等. 一種聯(lián)合DPI 和DFI 的網絡流量檢測方法[J].計算機工程，2011，37（10）：102-107.

[5] 候艷.基于深度包和流的流量識別系統(tǒng)設計[J].電子設計工程，2013，21（22）：30-32.

[6] 吳軍.一種以DPI為核心的網絡流量識別方案[J].軟件導刊，2014，13（1）：23-26.

[7] 張艷榮，張治中.基于DPI的移動分組網絡流量分析技術的研究與實現(xiàn)[J].電信科學，2014（4）：88-94.