用户上网行为监控技术白皮书

1、用户上网行为监控技术白皮书关键词：上网行为、网络监控、协议识别、监控策略摘要：有效的监控用户的上网行为，已经成为网络安全的一个重要领域，也越来越受到人们的重视。本文主要介绍了H3C用户上网行为监控技术的基本原理和典型应用。缩略语：缩略语英文全名中文解释HTTPHypertext Transfer Protocol超文本传输协议FTPFile Transfer Protocol文件传输协议IMInstant Message即时消息P2PPoint to Point点对点目 录 HYPERLINK l _bookmark0 概述 HYPERLINK l _bookmark0 3 HYPERLINK

2、 l _bookmark0 产生背景 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 H3C用户上网行为监控的功能 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 H3C用户上网行为监控的特点 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark2 技术实现 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark2 监控处理器 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3

3、Web控制台 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark3 日志服务器 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark3 H3C实现的技术特色 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark3 基于流状态的协议识别技术 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark4 可扩展、可升级的应用识别和行为识别能力 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 可灵活

4、配置的监控规则 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 丰富时间表特性 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 灵活的黑白名单特性 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 众多的日志查看终端 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 完善的日志报表 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark5 典型组网应用 HYPERLINK

5、 l _bookmark5 8 HYPERLINK l _bookmark5 网关模式部署 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark6 旁路模式部署 HYPERLINK l _bookmark6 9概述产生背景随着教育、政府、企事业单位等各类组织的信息化程度不断提高，对信息系统的依赖随之增加。因此，网络信息系统的安全问题就变得越来越重要。根据权威机构的调查显示，超过70的严重攻击来自于组织中的内部人员，具体表现在以下几个方面：内部员工访问非法网站，通过文件共享、邮件等发送重要机密文件，导致信息外泄，造成恶劣影响。终端用户为牟利，对各类应用系统

6、越权访问、违规操作数据库等造成的信息安全风险。各种 P2P 下载、在线视频观看等非关键业务流量过大，导致网络出口拥挤不堪，各种关键业务无法正常开展。内网用户 IP 地址随时变化，对信息事件源难以定位。因此，如何规范和监控内部人员的上网行为已成为各组织机构迫切需要解决的问题。相关法规，如美国的2002年萨班斯-奥克斯利法案和中国的计算机信息系统安全保护等级划分准则、公安部等级保护等，也对网络的日志审计和行为审计提出了明确的要求，要能确保关键信息系统在可审计、可控制的状态下运行。H3C用户上网行为监控的功能如 HYPERLINK l _bookmark1 图1所示，H3C用户上网行为监控系统能够在

7、企业用户进行Web访问、FTP访问、IM应用和数据库访问时，对用户的访问行为进行有效监控。图1 H3C用户上网行为监控系统Web 应用监控功能可以对自定义关键字、自定义文件类型和网页脚本进行过滤。FTP 应用监控功能可以对 FTP 用户的登录、退出、上传/下载文件和目录遍历操作进行监控。IM 应用监控功能可以对用户使用 QQ 和 MSN 工具的情况进行监控。数据库应用监控功能可以对 Oracle 等数据库用户的登录、下线及各种操作情况进行监控。H3C用户上网行为监控的特点H3C用户上网行为监控的主要特点如下：全面的上网行为记录与分析对网站访问、邮件收发、数据库访问与操作、文件传输、聊天应用、在

8、线视频、网络游戏、炒股应用等，提供全面的行为监控。实时的网络流量分析与审计对各种常见的关键业务、非关键业务，如P2P下载、IM、网络游戏、炒股应用等， 提供实时的流量分析与审计，并具备对单用户/多用户、IP群组等的定制分析与审计，利于快速排查问题。基于用户名的上网行为监控基于用户名（而非IP地址）进行行为监控，可直接、快速跟踪并定位到事件源。解决了因为用户IP地址动态变化，而难以定位信息事件源的问题。技术实现Web控制台（监控策略配置/监控日志配置）日志服务器（Syslog主机/SecCenter服务器）数据库监控日志收集/发送器HTTP协议监控器FTP协议监控器QQ协议监MSN协议控器监控器

9、数据库协议监控器应用识别引擎报文接收器监控流量H3C用户上网行为监控系统主要由监控处理器、Web控制台和日志服务器三部分组 HYPERLINK l _bookmark2 成，其架构如图2所示。图2 H3C用户上网行为监控系统架构监控处理器报文接收器完成网络监控报文的收集；支持IP分片重组，可以提高网络报文检测的准确率。应用识别引擎对监控的网络流量进行协议识别，并维护识别协议的状态变迁信息，然后根据协议类型将网络流量分送到相应的协议监控器。H3C采用了自主研发的应用识别引擎， 利用基于流状态的协议识别专利技术，有效地提高了协议识别的准确性。对于H3C应用识别引擎的介绍具体请参见应用识别技术白皮书

10、。协议监控器根据协议的状态信息，完成对协议的语法分析，实现对协议的全面解析，并根据配置的监控策略实施相应的监控动作（如：阻断、上报日志等）。作为一个通用的协议监控模块，协议监控器可以根据用户的需要快速的扩充对其他协议的支持，从而积极响应用户的需求。监控日志收集/发送器收集各协议监控器发送的监控日志信息，并根据用户的配置，将监控日志发送到指定的日志终端。Web控制台主要完成用户上网行为监控策略和监控日志输出参数的配置。用户上网行为监控策略由一系列的监控规则组成，每一个监控规则规定了用户所关心的监控选项。管理员通过定义一个或多个用户上网行为监控策略， 并对不同的保护对象应用不同的监控策略，实现了高

11、度的可定制性。管理员可以根据需要配置日志输出到不同的终端。日志服务器H3C用户上网行为监控日志可以输出到设备的信息中心、远程Syslog主机或者H3C SecCenter服务器。此外，在H3C SecCenter服务器上还支持设备的多层次级联部署，可以实现多级管理，从而满足不同管理模式的需要。H3C实现的技术特色基于流状态的协议识别技术H3C用户上网行为监控系统采用自主研发的应用识别引擎，利用基于流状态的协议识别专利技术，根据会话的状态进行会话协议识别检测，有效地提高了协议识别的准确性。可扩展、可升级的应用识别和行为识别能力H3C用户上网行为监控系统是一个可扩展的框架，可以及时扩展以支持新的应

12、用协议，满足应用网络的变化需求。同时，H3C有专门的应用协议分析团队，能够及时分析网络中的应用变化，通过最新应用特征库，可以即时提升用户设备的应用识别及行为识别能力。可灵活配置的监控规则管理员可以配置自定义的关键字、文件类型，以及可以配置每条监控规则的各个监控字段。比如：对于FTP监控规则，可以配置只监控用户登录操作，也可以只配置只监控用户通过FTP协议下载文件的操作，或者监控用户的整个FTP操作。丰富时间表特性管理员可以指定多个用户上网行为监控策略，并可以为不同的监控策略设置不同的生效时间段，从而可以轻松的实现在特定的时间内对特定的用户进行监控。灵活的黑白名单特性针对每个配置的监控策略，管理

13、员可以定义自己的黑白名单列表，从而实现对不同的保护对象应用不同的监控策略。同时，在该策略下，管理员还可以指定免监控的用户列表和免监控的服务器列表，实现了高度的可定制性。众多的日志查看终端H3C的用户上网行为监控日志可以输出到众多的终端，包括：设备本地数据库、远程Syslog主机或者远端的H3C SecCenter服务器。对于各个输出终端，用户都可以进行方便的查询和统计。在H3C SecCenter服务器上还支持多层次的级联部署，可以实现多级管理。完善的日志报表在H3C SecCenter服务器上，可以根据指定的条件，方便的生成各种协议的监控日志报表。通过直观的报表显示，管理员可以方便的调整用户

14、上网行为监控策略，以达到更好的网络监控效果。典型组网应用H3C SecPath ACG应用控制网关（以下简称ACG设备）一般部署在网络出口，对用户上网行为进行监管。典型的部署模式有网关模式部署和旁路模式部署两种，可以根据具体的网络环境以及应用需求选择合适的部署模式。用户上网行为监控日志通过ACG设备的集中管理平台ACG Manager进行展示。ACG Manager对监控结果进行分析和整理，通过图形和表格等多种方式展示给管理员，使管理员对所有用户上网行为一目了然。同时，ACG Manager还能够对所有行为监管数据进行综合分析，得出网站Top排名、访问趋势、用户访问Top排名、访问趋势等信息，指导管理员对网站的维护和对用户的管理。网关模式部署图3 网关模式部署对网络应用流量的流向、趋势，及用户上网行为进行审计分析。对网络应用流量及使用进行细粒度的控制。ACG 设备以