内网行为审计系统实现技术探讨
信息内网终端用户行为是信息网安全的重要组成部分,目前电力公司尤其是地市公司对内网终端网络行为监管能力不足,尤其是邮件发送、网页访问等异常行为缺乏可靠实时的检测工具,为此多数信息网运维单位开展了内网行为审计系统的建设[1]。通常内网行为审计系统主要运用包捕获采集技术[2],在核心交换机上采用端口镜像技术,将上联口的流量镜像到某个端口并进行数据包的抓取、分析,并基于数据包分析结果实现内网用户网络行为的审计,典型审计场景包括用户数据量排名、用户兴趣点分布、网络实时流量、不同类型数据包流量统计等。另外系统建立异常信息告警机制,根据设定的监控关键字,对捕捉到的内网网页查看行为和邮件行为进行筛查,对包含关键字信息的数据进行报警[3]。 在面对地市电力公司,具有较大规模的信息内网时,内网行为审计系统建设的建设范围、关键技术成为系统成功应用的基础,本文就地市电力公司内网行为审计系统的建设功能及核心技术进行探讨。 1 内网行为审计系统实现 1.1 功能设计 如图1所示,内网行为审计系统主要包括数据处理、行为审计统计查询及系统管理三部分,分别实现网络包抓取、分析,行为审计分析及系统基础管理工作。 数据处理包括网络流量采集及基于包的网络流量分析功能,网络流量主要利用交换机的端口镜像功能实现,在核心交换机上通过将上联口的流量镜像到某个端口,再通过与该端口连接的主机设备接收镜像流量。主机设备上通过将网卡设置成混杂模式接收所有的传输层数据包,并对接收到的数据包根据传输层的源地址、目的地址及端口信息进行过滤,保留源地址或目的地址为目标系统或网址IP的数据包;再利用应用层的HTTP协议特征对数据包进行二次过滤,保留通过HTTP协议进行网络访问行为;最终针对特定WEB应用利用关键字对访问行为中的发件人地址、收件人地址、邮件标题等字段进行抓取并存储。 根据阜阳公司信息网安全管理要求,开展了内网邮件行为审计和内网WEB系统访问行为审计两种场景的应用,其中邮件审计针对邮件头的关键字段,包括发件人、收件人等进行审计,对于不合规的邮件题目或附件标题进行告警;内网WEB系统访问行为主要用于判断用户的WEB系统访问习惯,根据WEB系统访问的页面、访问频率及访问部门进行统计分析,判断WEB系统的应用情况。 1.2 多线程数据包处理方式 高效的数据包处理技术是解决地市公司高流量的关键技术,如何实现数据包的完整抓取、解析可有效避免行为检测的漏检、错检。本文采用高效的多线程数据包处理方式实现数据包处理,处理流程见图2。 数据包处理过程为了提高运行速度,防止丢包现象,提高数据分析效率,主要创建三个线程分别执行任务: (1)数据包抓取线程:基于winpcap提供的网络层中间驱动和开发接口,主线程调用winpcap开发接口从网络适配器中获取所有的IP包并进行存储到包队列中。 (2)数据本文由论文联盟收集整理包过滤线程:依据待审计的WEB服务器的地址及WEB应用的地址对数据包中的源和目的地址进行过滤,减少后续待分析。