易磊磊　魯美艷

摘要：隨著亳州供電公司網(wǎng)絡(luò)規(guī)模的擴大，信息內(nèi)網(wǎng)接入終端不斷增加，終端安全成為信息內(nèi)網(wǎng)安全管理工作中的重點，加強對終端網(wǎng)絡(luò)行為（郵件發(fā)送、網(wǎng)頁訪問等）的監(jiān)控，以及時發(fā)現(xiàn)并消除潛在的終端安全隱患，有利于提升信息內(nèi)網(wǎng)的網(wǎng)絡(luò)安全水平。本文給出用戶內(nèi)網(wǎng)行為挖掘與數(shù)據(jù)分析系統(tǒng)實現(xiàn)，通過巡檢智能管理系統(tǒng)，通過建立完善的WEB郵件分析功能，網(wǎng)頁查看審計功能。信息內(nèi)網(wǎng)網(wǎng)絡(luò)安全管理人員可以快速準確的發(fā)現(xiàn)異常的網(wǎng)絡(luò)訪問行為并采取合適措施，較大的提升了信息內(nèi)網(wǎng)行為的感知、檢測能力。

關(guān)鍵詞：信息內(nèi)網(wǎng) 行為檢測 安全審計

中圖分類號：TP391 文獻標識碼：A 文章編號：1007-9416（2016）09-0202-01

隨著亳州供電公司網(wǎng)絡(luò)規(guī)模的擴大，信息內(nèi)網(wǎng)接入終端不斷增加，終端安全成為信息內(nèi)網(wǎng)安全管理工作中的重點，尤其是私網(wǎng)終端，多數(shù)終端沒有安裝VRV監(jiān)控終端， 同時管理基線也較低，使得私網(wǎng)終端設(shè)備成為整個信息內(nèi)網(wǎng)中的薄弱環(huán)節(jié)[1]。為此考慮建設(shè)信息內(nèi)網(wǎng)終端行為審計系統(tǒng)，加強對終端網(wǎng)絡(luò)行為（郵件發(fā)送、網(wǎng)頁訪問等）的監(jiān)控，以及時發(fā)現(xiàn)并消除潛在的終端安全隱患，提升整個信息內(nèi)網(wǎng)的網(wǎng)絡(luò)安全水平[2]。

用戶內(nèi)網(wǎng)行為挖掘與數(shù)據(jù)分析系統(tǒng)通過建立完善的WEB郵件分析功能，網(wǎng)頁查看審計功能，實現(xiàn)了提升整個信息內(nèi)網(wǎng)網(wǎng)絡(luò)安全水平的目標，能夠及時發(fā)現(xiàn)并且消除潛在的終端安全隱患。做到一機運行，全網(wǎng)管理，不需要在被監(jiān)控和被管理的電腦上安裝任何軟件；包含內(nèi)容過濾功能，根據(jù)不同時期，靈活設(shè)定不同敏感字，系統(tǒng)自動根據(jù)敏感字，篩選出相應(yīng)記錄，通過告警信息及時反饋。

1 系統(tǒng)建設(shè)

1.1 總體架構(gòu)

如圖1所示，根據(jù)信息內(nèi)網(wǎng)終端行為審計系統(tǒng)的設(shè)計目標，將整個系統(tǒng)技術(shù)架構(gòu)分為：應(yīng)用展示層、數(shù)據(jù)采集處理層、監(jiān)控對象層；其中數(shù)據(jù)采集處理層利用現(xiàn)有的交換機端口鏡像功能，通過Sniffer、WinPcap等技術(shù)實現(xiàn)對流量數(shù)據(jù)的采集[3]，并對內(nèi)網(wǎng)終端行為數(shù)據(jù)進行過濾、分析、整理等工作；應(yīng)用展示層提供行為審計信息的顯示頁面。具體提供郵件行為信息查詢、網(wǎng)頁訪問行為信息查詢、內(nèi)網(wǎng)行為審計告警信息管理、系統(tǒng)配置管理、人員信息管理、組織管理、權(quán)限管理等功能。

1.2 關(guān)鍵技術(shù)

對內(nèi)網(wǎng)行為進行監(jiān)測，首先需要獲取通向內(nèi)網(wǎng)網(wǎng)絡(luò)的接口流量；得到流量后，對數(shù)據(jù)包進行過濾，丟棄不在監(jiān)測范圍內(nèi)的數(shù)據(jù)，避免數(shù)據(jù)過多，造成服務(wù)器負荷過大；再對WEB郵件和網(wǎng)頁查看相關(guān)數(shù)據(jù)包進行解析，解析后內(nèi)容最后存入數(shù)據(jù)庫中；最后根據(jù)不同形式展示監(jiān)測內(nèi)容。關(guān)鍵步驟及技術(shù)包括網(wǎng)絡(luò)搭建及高效的數(shù)據(jù)包處理。其中網(wǎng)絡(luò)環(huán)境搭建見圖2。

如圖2所示，交換機現(xiàn)有端口1、端口2、端口3。端口1通向內(nèi)網(wǎng)，作為源端口（被監(jiān)測端口）。把端口2設(shè)置成端口1的鏡像端口。這樣經(jīng)過端口1即來往于內(nèi)網(wǎng)的所有數(shù)據(jù)都會被拷貝到端口2中。端口2、端口3分別連接的是行為監(jiān)測服務(wù)器上的網(wǎng)卡1、網(wǎng)卡2。通常模式下網(wǎng)卡的工作是完成對于總線當前狀態(tài)的探測，確定是否進行數(shù)據(jù)的傳送，判斷每個物理數(shù)據(jù)幀目的地是否為本站地址，如果不匹配，則說明不是發(fā)送到本站而將它丟棄?，F(xiàn)在我們需要監(jiān)測通向內(nèi)網(wǎng)中任何一個地址的數(shù)據(jù)，這就需要把網(wǎng)卡配置成混雜模式（即監(jiān)聽模式），混雜模式的網(wǎng)卡，不管數(shù)據(jù)的目的地址是否是本站地址，只要經(jīng)過都將被接收下來。因此需要把網(wǎng)卡1配置成混雜模式。交換機中的鏡像端口只能接收數(shù)據(jù)，無法發(fā)送數(shù)據(jù)。便于網(wǎng)絡(luò)上其他設(shè)備查看審計數(shù)據(jù)，我們需要給行為監(jiān)測服務(wù)器另外配置網(wǎng)卡2，連接到交換機的端口3上，便于內(nèi)網(wǎng)其他設(shè)備訪問內(nèi)網(wǎng)行為審計系統(tǒng)。

整個網(wǎng)絡(luò)環(huán)境搭建，對內(nèi)網(wǎng)內(nèi)部網(wǎng)絡(luò)和設(shè)備都沒有任何要求，風險較低，實施簡便。

1.3 系統(tǒng)實際應(yīng)用

通過實施內(nèi)網(wǎng)行為審計系統(tǒng)，可以有效的監(jiān)測近一個月內(nèi)內(nèi)網(wǎng)網(wǎng)頁查看和WEB郵件發(fā)送信息。通過預(yù)先設(shè)置敏感字，發(fā)出針對性的報警信息，及時給相關(guān)人員提供有利的線索。大大提高了內(nèi)網(wǎng)的安全水平，見圖3。

2 總結(jié)與展望

通過本系統(tǒng)的實施，信息內(nèi)網(wǎng)網(wǎng)絡(luò)安全管理人員可以快速準確的發(fā)現(xiàn)異常的網(wǎng)絡(luò)訪問行為并采取合適措施，同時可以根據(jù)信息內(nèi)網(wǎng)訪問行為合規(guī)性趨勢指導信息內(nèi)網(wǎng)安全宣傳及防護工作，較大的提升了信息內(nèi)網(wǎng)行為的感知、檢測能力，進一步提升了信息內(nèi)網(wǎng)的安全性。

參考文獻

[1]喬佩利，李明明.一種改進的內(nèi)網(wǎng)用戶行為審計模型研究[J]，哈爾濱理工大學學報，2011， 16（5）：57-60.

[2]胡寅.基于安全審計記錄的用戶行為模式挖掘研究.貴州大學，2009.

[3]蔡家楣，陳洋.面向Web應(yīng)用的用戶行為審計系統(tǒng)[J].《計算機系統(tǒng)應(yīng)用》，2009， 18（8）：10-14.