用户行为审计解决方案(UBA)

1、f 3么用户行为审计解决方案（UBA）应用场景随着网络基础设施建设的迅速发展，网络使用人数快速增长，网络在企业生产经营和人们的生 活中的作用也日益重要。然而随着网络技术的普及和网络用户使用水平的不断提高，在网络建设和 应用过程中也出现了很多难以监控与管理的用户行为:网络帐号盗用严重。政府、企业、高校等用户出于网络运营和信息安全等需要，通常对网络用户采用AAA服务器进行认证笛理，但盗用他人帐号密码和IP地址的行为仍然时有发生。访问不健康、非法站点，散布非法言论当前，网络也成为某些人攻击政府、危害社会的工具。由于目前尚没有简单有效的技术手段追査非法网站的访问者和不当言论的传播人，此类行为往往难以治

2、理。非法的网络行为同网络用户人数一样呈高速增长趋势0为了解决上述问题，公安部门在2005年 颁布了互联网安全保护技术措施规定，要求网络管理者或君运营者必须记录并留存用户登录和 退出时间、主叫号码、帐号、互联网地址或域名等信息，能够记录并留存用户使用的互联网网络地 址和内部网络地址对应关系，并保留S个月以上的上网日志信息备査，以便公安机关公共信息网络 安全监察部门在需要时可以进行追査。解决方案介绍针对公安机关保留上网记录的要求，帮助政府、企业、髙校等单位管理和审讣用户的上网行 为，H5C推出了用户行为审计解决方案（UBA）O UBA通过与多种网络设备共同组网，实现了对终端用户的上网行为进行事后审

3、讣，追查用户的非法网络行为的功能。UBA支持多种日志格式（包括NAT、Flow. NetStreams DIG）,可实现2到7层的用户行为审讣。针对不同的日志类型,管理员可以获得如源IP地址、源端口、目的IP地址、目的端口、开始/结束时间、协议类型、协议摘要（目前支持HTTP、SMTP. FTF协议）等信息.PacketNetStream/NAT/FLovI主要功能 农取设备叢像数据，形 成西冃志DIG日志采集器配合H3C多款路由器、交换机及所 有支持端口鏡像网络设备II掴、支持NA1. Flows DIG Netstrea m多种日志恪式UBAS用户行为审计嚴劳器网络设备分析网绍报文提取符合

4、条件曰 志统计信息-输出日志统计倍息解桁网珞设备扭文收集统计数过滤聚合后存储数楣庫统计分析数据，根据审计索件产生报表强大的日志査询分析，包括Wmb 访问、文件传输、邮件、P2P.即 时通信等多肓面内容精确的济壘审计，可查询特定用户 .网络谊间流熱 端等信想基于用户的行为分析，配合iMC UAM组件定位异常用户I根据事计条件，系统自前任务式跟 踪分析刖户行为分布瓷B志审计支持，适应欖 园区圍用户行为审计需求淞日志过矯聚合,灵活的B志转储图1用户行为审汁解决方案UBA）逻辑组成UBA具备全而的日志采集和强大的日志审讣功能能高效地收集用户上网数据，分析用户上网行为，掌握网络运行的状态，为网络管理员追

5、查柑关行为的责任人提供依据。UBA采用基于IP 地址的日志审计方式，能够将进行非法网络行为的用户精确定义到该用户上一次上网使用的IP地 址0但当网络中采用了动态IP地址分配（DHCF）技术，同一用户多次上网分配的IP地址不同时, 网络管理员不能依据IF地址鉴崔用户的身份，这也是传统的用户行为审讣解决方案需要解决的共同 问题。针对这点，UBA解决方案提供了创新性的基于用户身份的行为审i|方案，通过与iMCUAM用 户接入管理组件的联动，直接将上网IP的非法行为记录映射到上网者的用户帐号，皆理考可以很容 易査询到是访问非法网站的用户帐号，大大方便了管理部门对上网行为的管理。同时UBA支持以协议摘要

6、作为海量日志的审讣条件，根据用户访问的网站URL.发送邮件的主题、FTP I：传/下载文件需等行为关键字.直接定位非法使用网络的用户。解决方案优势全面的日志釆集。UBA用户行为审计解决方案可支持多种网络日志的采集(包括NAT、Flow、NetStream. DIG),同时用户行为审计解决方案采用分布式的体系结构，支持多点采集.可以同时采集多个设备的日志信息，为网络管理员监控网络提供了灵活有效的支持。强大的日志审计。用户行为审il解决方案可根据用户需要，通过各种条件的组合对网络日志进行快速分析-皆理员可以从海量的网络日志中精确审汁终瑞用户的上网行为，如何时访问了某网站、使用何种协议、向外发送了哪

7、些文件等。精准的七层应用审计对于端口不固泄的应用，如BT、eDonkey等F2P协议可以通过报文应用层数据的特征进行识别。基于七层应用的识别和分类，UBA可全而审讣网络中的七层应用使用情况。基于用户的行为审计结合iMC UAH用户接入管理组件强大的用户身份笛理和用户行为审计解决方案详尽的用户网络行为日志，可高效地皆理网络用户，同时建立详细的用户访问互联网的日志，帮助皆理分析用户的上网行为，为管理员提供行之有效的网络管理和用户行为跟踪策査询条件®觸足以下所有条件O澹足以下任1畫件13用尸名ij-wangqi ngdong|和gip1口 B 的 IP1绸口.J a问莘卓 10 URL|/

8、p ub/$ecuMy.oaa/index htm|口 iSS-F 1A I2D07-D7-O5 15 49 0至画瓦画元亘庐I 查询I图2基于用户的行为审讣精确的用户行为跟踪提供V小访问审计、文件传输和邮件审计功能，跟踪用户Web网页访问、FTP文件传输、邮件交互等网络访问行为.可按照用户访问网页的URL、FTP操作文件及发送邮件的主题等条件灵活查询，精确跟踪定位用户的网络行为。WEB访问审计绪果共有1000竦记录当TfSf rcb第SOOH不分俎2007-07-0716:35 59300“07074 6:35:592007-07-0716:40:593007-07-0716:35.5920

9、07-07-0716:40:592007-07-07 16:35592007-0Z-O716:0:592007-07-0716:35.592007-07-0716:40:592007-07-07 16:36 692G07-07-0716：40：592007-07-07 16:35 592007-07-07 1640： 59FlffMPHsu站AMttURI1设fiWZ106574610 153 21.580ww,h3cxomf&u 0/se curitv_oa ain tfex him101530110 163 3 10710 153 1 30 8960ww,h3c-comjpu EUse curiTi?_oa af in cjgx hw10 153 0 1101S3 3 10710 153 1 30 G80ww,h3c-com0u 眈 e wmy.odMn 昭 him10 153 0 07480Wrtv,>t3ut>f5ecurily_Das»fintiex.hlm07480index,him0710.153.1