張志鋼

(天津城市建設(shè)學(xué)院 信息化建設(shè)管理中心，天津 300384)

隨著校園網(wǎng)絡(luò)用戶的急劇增長(zhǎng)及網(wǎng)絡(luò)與安全的日益融合，高校對(duì)網(wǎng)絡(luò)安全的重視程度和投入都在不斷增加，專業(yè)的安全設(shè)備、具有安全特性的網(wǎng)絡(luò)設(shè)備應(yīng)用的越來(lái)越多，但由于設(shè)備之間相對(duì)獨(dú)立，缺乏有效的數(shù)據(jù)共享，使得高校在網(wǎng)絡(luò)安全設(shè)備投入后，仍面臨以下問(wèn)題：①用戶審計(jì)困難．由于安全設(shè)備采用基于 IP地址的日志審計(jì)方式，能夠?qū)⑦M(jìn)行非法網(wǎng)絡(luò)行為的用戶精確定義到該用戶上一次使用的 IP地址，但當(dāng)網(wǎng)絡(luò)中采用了動(dòng)態(tài)IP地址分配(DHCP)技術(shù)時(shí)，網(wǎng)管人員則不能依據(jù)IP地址鑒定用戶的身份，因此無(wú)法準(zhǔn)確地找出進(jìn)行非法網(wǎng)絡(luò)行為的用戶；②防御體系無(wú)法建立．過(guò)于強(qiáng)調(diào)對(duì)安全設(shè)備的信息收集，輕視對(duì)網(wǎng)絡(luò)設(shè)備的信息收集，缺少網(wǎng)絡(luò)設(shè)備提供的關(guān)鍵信息，防外容易防內(nèi)難．

綜上所述，實(shí)現(xiàn)基于用戶的事前認(rèn)證、事中監(jiān)控、事后審計(jì)及業(yè)務(wù)管理，提供行之有效的網(wǎng)絡(luò)管理及用戶行為審計(jì)，從而對(duì)網(wǎng)絡(luò)用戶的上網(wǎng)行為進(jìn)行必要的規(guī)范，快速定位網(wǎng)絡(luò)入侵行為，保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施為用戶提供正常、穩(wěn)定的服務(wù)，已經(jīng)成為當(dāng)前校園網(wǎng)絡(luò)管理者越來(lái)越關(guān)心的問(wèn)題．基于此，筆者設(shè)計(jì)了基于用戶的校園網(wǎng)審計(jì)系統(tǒng)，通過(guò)建立詳細(xì)的用戶檔案信息，來(lái)幫助網(wǎng)管人員分析用戶的上網(wǎng)行為．

1 數(shù)據(jù)采集

1.1 數(shù)據(jù)來(lái)源

為了能夠有效地監(jiān)控和審計(jì)用戶行為，必須綜合利用網(wǎng)絡(luò)中的各種數(shù)據(jù)來(lái)源．路由器中的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)信息包含了校園網(wǎng)中內(nèi)外網(wǎng)絡(luò)的地址轉(zhuǎn)換信息，是用戶訪問(wèn)外部網(wǎng)絡(luò)的憑據(jù)；流量控制設(shè)備提供了對(duì)用戶 P2P、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)多媒體、非法網(wǎng)站訪問(wèn)等上網(wǎng)行為的監(jiān)控和記錄，是對(duì)用戶細(xì)粒度的網(wǎng)絡(luò)行為審計(jì)；用戶接入網(wǎng)絡(luò)時(shí)的認(rèn)證、計(jì)費(fèi)信息則記錄了用戶的上網(wǎng)時(shí)間、流量和認(rèn)證記錄．只有對(duì)這些信息進(jìn)行全面的記錄，才能為分析審計(jì)用戶的上網(wǎng)行為、加強(qiáng)對(duì)用戶的監(jiān)控與管理提供第一手資料．

1.2 數(shù)據(jù)采集方法

1.2.1 路由器數(shù)據(jù)采集

路由器布署在校園網(wǎng)的出口，其產(chǎn)生的 NAT轉(zhuǎn)換日志包含了源IP地址、源端口、目的IP地址、目的端口、協(xié)議號(hào)、NAT會(huì)話創(chuàng)建時(shí)間、結(jié)束時(shí)間等信息，直接收集比較困難，但可通過(guò)廠商提供的接口轉(zhuǎn)換成系統(tǒng)日志并使用日志服務(wù)器進(jìn)行收集，由于NAT日志在系統(tǒng)日志中是以普通信息[1](級(jí)別 6 infomational)顯示的，因此，可以通過(guò)裁剪掉其他級(jí)別日志的方法來(lái)減少冗余數(shù)據(jù)．例如，H3C公司的路由器可以通過(guò)userlog flow syslog命令進(jìn)行系統(tǒng)日志格式轉(zhuǎn)換[2]，如圖1所示，提取其中的信息，形成的NAT數(shù)據(jù)記錄表nat_log就可定位用戶訪問(wèn)外網(wǎng)的源 IP地址、訪問(wèn)外網(wǎng)時(shí)轉(zhuǎn)換的IP地址等信息．

1.2.2 流量控制設(shè)備數(shù)據(jù)采集

圖1 路由器NAT日志收集

流量控制設(shè)備布署在路由器和計(jì)費(fèi)認(rèn)證系統(tǒng)之間，其行為審計(jì)功能提供了基于IP地址的Web網(wǎng)頁(yè)訪問(wèn)、FTP文件傳輸、郵件交互、即時(shí)通信等訪問(wèn)行為的記錄，通過(guò)收集這些記錄形成的數(shù)據(jù)表acg_log，可以精確定位到校園網(wǎng)中每個(gè) IP地址的網(wǎng)絡(luò)行為，但不同廠商的設(shè)備用戶行為記錄的格式會(huì)有所差別，為此筆者設(shè)計(jì)了 excel接口、syslog接口和 netflow接口，以保證系統(tǒng)的兼容性．

1.2.3 計(jì)費(fèi)認(rèn)證系統(tǒng)日志的采集

計(jì)費(fèi)認(rèn)證系統(tǒng)布署在流量控制設(shè)備以里，其日志詳細(xì)記錄了用戶名、登錄時(shí)間、使用的 IP地址、MAC地址、訪問(wèn)的目的網(wǎng)站及端口等信息．計(jì)費(fèi)認(rèn)證系統(tǒng)在固定時(shí)間內(nèi)周期性地提供數(shù)據(jù)記錄日志文件，通過(guò)提取該文件中的信息，形成計(jì)費(fèi)系統(tǒng)數(shù)據(jù)記錄表boss_log，該表是本系統(tǒng)的核心數(shù)據(jù)．

1.3 數(shù)據(jù)采集頻率

NAT日志由于數(shù)據(jù)量大，變化也比較頻繁，因此以小時(shí)為單位進(jìn)行采集；計(jì)費(fèi)認(rèn)證系統(tǒng)、流量控制設(shè)備日志由于設(shè)備自身對(duì)日志處理的比較充分，以天為單位對(duì)數(shù)據(jù)進(jìn)行采集即可[3]．

2 數(shù)據(jù)分析

(1)通過(guò)數(shù)據(jù)庫(kù)技術(shù)對(duì)以上數(shù)據(jù)表以IP地址和時(shí)間為關(guān)鍵詞進(jìn)行關(guān)聯(lián)分析、統(tǒng)計(jì)和挖掘并輔以報(bào)表引擎[4]，就可以掌握用戶的上網(wǎng)時(shí)間、IP地址、MAC 地址，有效地追查用戶帳號(hào)盜用；直觀地監(jiān)控用戶在上網(wǎng)過(guò)程中所訪問(wèn)地 URL、發(fā)送 Email的記錄；追查訪問(wèn)不法站點(diǎn)和發(fā)表不當(dāng)言論的用戶；追蹤發(fā)起網(wǎng)絡(luò)攻擊的攻擊源；了解用戶的訪問(wèn)熱點(diǎn)及校園網(wǎng)絡(luò)流量分布情況，為校園網(wǎng)資源的優(yōu)化提供堅(jiān)實(shí)的數(shù)據(jù)基礎(chǔ)．

(2)由于各數(shù)據(jù)源的采樣時(shí)間并不是統(tǒng)一的[5]，每個(gè)表中的時(shí)間可能不會(huì)完全吻合，但存在包含關(guān)系．因此，在數(shù)據(jù)表連接時(shí)，要設(shè)置合理的差值，以保證數(shù)據(jù)關(guān)聯(lián)的準(zhǔn)確性．

(3)數(shù)據(jù)關(guān)聯(lián)和分析時(shí)間在理論上是沒(méi)有限制的，但實(shí)際和系統(tǒng)采樣周期有關(guān)，建議按天進(jìn)行關(guān)聯(lián)分析，也可設(shè)計(jì)成靈活的方式，隨時(shí)進(jìn)行分析，但處理龐大的數(shù)據(jù)會(huì)對(duì)系統(tǒng)性能帶來(lái)考驗(yàn)．

3 原型系統(tǒng)的實(shí)現(xiàn)

系統(tǒng)采用基于J2EE技術(shù)和B/S三層應(yīng)用模型設(shè)計(jì)[6]，由日志采集和整理模塊、數(shù)據(jù)關(guān)聯(lián)和分析模塊、系統(tǒng)管理模塊、Web查詢模塊組成，如圖2所示．系統(tǒng)管理模塊主要負(fù)責(zé)參數(shù)的設(shè)定；數(shù)據(jù)采集和整理模塊負(fù)責(zé)周期性地采集相關(guān)日志信息，存儲(chǔ)在Mysql數(shù)據(jù)庫(kù)中，為了保證數(shù)據(jù)檢索的高效、快捷，數(shù)據(jù)庫(kù)中的日志信息表以天為單位進(jìn)行存儲(chǔ)；Web查詢模塊將收到的查詢請(qǐng)求發(fā)送給數(shù)據(jù)關(guān)聯(lián)和分析模塊，由其處理后，將結(jié)果以 Web頁(yè)面的形式進(jìn)行展示，如圖3所示，圖中所列的用戶名為學(xué)生的學(xué)號(hào)．

圖3 Web頁(yè)面返回的查詢結(jié)果

4 結(jié) 語(yǔ)

筆者分析了校園網(wǎng)用戶行為審計(jì)的關(guān)鍵數(shù)據(jù)，提出了路由器、流量控制、計(jì)費(fèi)認(rèn)證設(shè)備數(shù)據(jù)對(duì)象收集處理的方法，并在此基礎(chǔ)上構(gòu)建了實(shí)際運(yùn)行的審計(jì)系統(tǒng)．

本系統(tǒng)的應(yīng)用為校園網(wǎng)建立了詳細(xì)的用戶網(wǎng)絡(luò)行為檔案，同時(shí)系統(tǒng)提供的分析數(shù)據(jù)，可以幫助網(wǎng)管人員分析用戶的上網(wǎng)行為，并對(duì)上網(wǎng)的策略進(jìn)行相關(guān)的調(diào)整，從而為實(shí)現(xiàn)網(wǎng)絡(luò)用戶認(rèn)證、權(quán)限的輕松管理，用戶上網(wǎng)行為的有效規(guī)范打下了堅(jiān)實(shí)的基礎(chǔ)．

［1］ 李 甜. 基于 Syslog的日志審計(jì)系統(tǒng)的研究和實(shí)現(xiàn)[J]. 中國(guó)新通信，2008(12)：47-49.

［2］ 杭州華三通信技術(shù)有限公司. FLOW日志管理[EB/OL].(2009-09-15)[2009-10-30]http：//www. h3c. com.cn/Service/ Document_Center/IP_Network_Product/Routers/SR6600/SR6600/Configure/Operation_Manual/SR6600_OM- Rlease2211(V1.05)/08/200811/619477_30005_0.htm.

［3］ 周昌令，崔 建，尚 群，等. 校園網(wǎng)用戶定位系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J]. 中國(guó)教育網(wǎng)絡(luò)，2007(2)：30-32.

［4］ 廖春盛，趙 瓊. 校園網(wǎng)用戶分類策略的實(shí)現(xiàn)[J]. 華南師范大學(xué)學(xué)報(bào)：自然科學(xué)版，2008(2)：56-61．

［5］ 秦 華，劉 亢，王晨曦，等. 校園網(wǎng)用戶上網(wǎng)自動(dòng)記錄和追蹤技術(shù)[J]. 北京工業(yè)大學(xué)學(xué)報(bào)，2005(4)：434-438.

［6］ 李桂寶. 基于分布式校園網(wǎng)用戶數(shù)據(jù)流安全設(shè)計(jì)研究[J]. 中國(guó)教育信息化，2008(11)：72-74．