文/賴清楠 郭強(qiáng) 錢杰

VPN在高校中的廣泛使用，極大方便了高校師生校內(nèi)資源、電子期刊、學(xué)術(shù)資源的獲取。用戶使用學(xué)校統(tǒng)一身份認(rèn)證登錄VPN后，會(huì)隨機(jī)獲得校內(nèi)VPN IP地址池的某一個(gè)IP，再去訪問資源的時(shí)候就和校內(nèi)用戶沒有任何的差別。然而，VPN系統(tǒng)僅僅是記錄的用戶的登錄日志，并沒有用戶的訪問日志，VPN系統(tǒng)分配給下一個(gè)VPN用戶的IP地址可能是上一個(gè)VPN用戶使用過的IP地址，從而就很難知道下一個(gè)用戶登錄VPN之后，訪問了哪些資源。

如果用戶身份認(rèn)證賬號泄露，被用來惡意訪問學(xué)術(shù)資源，將可能會(huì)導(dǎo)致VPN地址池中的IP被封禁，同時(shí)會(huì)給學(xué)校帶來負(fù)面的影響，下一個(gè)VPN用戶如果獲取到這個(gè)IP地址的話，將無法正常獲取所需的學(xué)術(shù)資源。因此分析VPN用戶的訪問行為，有助于VPN用戶的管理以及問題的發(fā)現(xiàn)與解決。

研究現(xiàn)狀

日志分析方面，本文主要收集的是VPN的登錄日志，從日志中提取出與用戶登錄相關(guān)的信息。武凌[1]設(shè)計(jì)了一個(gè)基于Hadoop的VPN訪問日志分析平臺，獲取VPN的日志，并且將VPN日志與流量進(jìn)行關(guān)聯(lián)，根據(jù)不同情境的管理需求產(chǎn)生所需的軌跡追蹤報(bào)表，找出資源濫用者和潛在的安全威脅。系統(tǒng)雖然將VPN日志與流量進(jìn)行關(guān)聯(lián)，但是應(yīng)用場景在于公司等小型管理部門，數(shù)據(jù)流量并不大，并且用戶登錄VPN之后流量單一，分析較為簡單。韓瑞丁[2]將VPN日志從VPN系統(tǒng)中導(dǎo)出并且存入數(shù)據(jù)庫，進(jìn)行查詢搜索，得到VPN每小時(shí)登錄次數(shù)排行、用戶登錄VPN排行等分析結(jié)果。僅僅分析了VPN的登錄日志，而沒有將登錄日志和流量數(shù)據(jù)進(jìn)行關(guān)聯(lián)，進(jìn)一步分析用戶的行為。Visbal A[3]使用VPN登錄日志從安全角度來分析，比如某個(gè)VPN賬號登錄失敗次數(shù)過多的話，說明這個(gè)VPN賬戶有可能受到攻擊。

用戶行為分析方面，本文將VPN登錄日志和流量數(shù)據(jù)，按照IP地址和時(shí)間進(jìn)行匹配，分析VPN用戶在登錄之后的行為。李威[4]通過檢測、分析移動(dòng)互聯(lián)網(wǎng)絡(luò)底層數(shù)據(jù)包，通過深度包分析獲取用戶訪問頁面并采用分類算法得到用戶行為特征，實(shí)現(xiàn)了移動(dòng)互聯(lián)網(wǎng)用戶行為數(shù)據(jù)的采集、處理及用戶行為分析的仿真實(shí)驗(yàn)，本文所關(guān)注的主要是VPN用戶的訪問行為，比如訪問數(shù)據(jù)庫資源，與一般用戶的行為有所區(qū)別。Zhao D[5]提出了一種基于分類的流量分析方法，用于檢測僵尸網(wǎng)絡(luò)的活動(dòng)，在VPN用戶中，VPN賬號如果被盜用的話，VPN用戶的行為必然也會(huì)有所異常，因此也能夠間接找出VPN用戶中的安全隱患。Li Y[6]和Yang J[7]主要探索研究了移動(dòng)用戶的用戶行為，前者比較了不同系統(tǒng)Android、iOS和Windows Phone在行為方面的不同和相似之處，后者從數(shù)據(jù)使用，移動(dòng)特征和App情況進(jìn)行分析, Liang S S[8]提出了一種基于不同地域的用戶行為分析方法。

數(shù)據(jù)獲取及預(yù)處理

用戶在登錄VPN的過程中，會(huì)有一臺負(fù)載均衡設(shè)備將用戶的請求分配到不同的服務(wù)器上，再通過VPN服務(wù)器接入交換機(jī)，進(jìn)行校內(nèi)或者校外資源的訪問，流程如圖1所示。

圖1 VPN用戶資源訪問

本文的數(shù)據(jù)主要包括兩部分，一部分是從VPN系統(tǒng)里面的VPN登錄日志，按照如下格式提取出需要的信息，用戶賬號，用戶IP地址，登錄后IP地址，登錄時(shí)間，退出時(shí)間。如下所示，登錄日志大約50M每天，本文收集一周的VPN登錄日志，每天存一個(gè)VPN登錄日志文件。

***12136**，***.**.111.182，***.**.112.71，2018-07-24 00:00:04，2018-07-24 00:00:28

另一部分是用tcpdump從校園網(wǎng)出口上抓取的流量數(shù)據(jù)包，提取出源IP，目的IP，目的端口，域名，路徑，包大小，并且加上數(shù)據(jù)包捕獲的時(shí)間，如下所示。流量日志大約1G每分鐘，每分鐘存一個(gè)流量文件。

2018-07-24 00:00:05，***.**.112.71，***.***.131.195，80，***.pku.edu.cn, /about/index.htm，120

VPN用戶登錄分析

VPN用戶登錄分析，從每日不同用戶數(shù)、最高同時(shí)在線用戶數(shù)、VPN使用時(shí)長、登錄失敗四個(gè)方面進(jìn)行分析，前三個(gè)方面對于VPN服務(wù)器負(fù)載的調(diào)整、license的購買提供參考，登錄失敗行為分析，可以找出一些潛在的VPN賬號密碼泄露風(fēng)險(xiǎn)。

每日不同用戶數(shù)

從每天的VPN日志中，提取去一天當(dāng)中的VPN用戶列表，對列表進(jìn)行去重，得到每日使用VPN的不同用戶數(shù)，圖2為從2018.7.9～2018.7.15每日用戶數(shù)情況，每日用戶數(shù)最高達(dá)到了將近2600，這對于服務(wù)器負(fù)載均衡的調(diào)整，有一定的參考價(jià)值。

圖2 每日VPN用戶數(shù)量

每日同時(shí)在線用戶數(shù)

對于同時(shí)最高用戶數(shù)的計(jì)算，采用的是以秒為單位的時(shí)間窗口滑動(dòng)的計(jì)算方法。算法過程如下：

1 basetime = 1531584000;

2 maxcount=0;

3 for s=0;s＜86400;s++;

4遍歷所有VPN用戶

5 if 登錄時(shí)間>=basetime+s and 登出時(shí)間＜basetime+s

6 當(dāng)前在線用戶數(shù)++

7 if 當(dāng)前在線用戶>maxcount

8maxcount = 當(dāng)前在線用戶數(shù)

9 end

圖3為2018年7月9日～2018年7月15日之間最高同時(shí)在線用戶數(shù)，可以看出，每日最高同時(shí)在線用戶數(shù)在350左右，最高能達(dá)到近400，最低在250左右，圖4為2018年7月15日最高在線用戶數(shù)隨時(shí)間的變化趨勢，基本上從早上10點(diǎn)到晚上10點(diǎn)是使用VPN的高峰時(shí)間，與教師學(xué)生工作時(shí)間基本上保持一致，而且在這段時(shí)間內(nèi)VPN用戶數(shù)量基本穩(wěn)定在一個(gè)較高的水平。了解最高同時(shí)在線用戶數(shù)，可以為VPN服務(wù)器license的購買提供參考。

圖3 每日同時(shí)在線最高用戶數(shù)

圖4 最高同時(shí)在線用戶數(shù)變化趨勢

使用時(shí)長

定義VPN使用時(shí)長為用戶登出VPN的時(shí)間減去登錄VPN的時(shí)間。如圖5所示為2018年7月10日中，用戶VPN使用時(shí)長情況分布，這里統(tǒng)計(jì)的是一次的使用時(shí)間，比如某個(gè)用戶退出VPN之后，再次連接VPN使用，則統(tǒng)計(jì)了2次。80%的用戶使用VPN的時(shí)間都在1個(gè)小時(shí)以內(nèi)，極其少數(shù)的用戶使用VPN時(shí)間特別長，甚至超過10個(gè)小時(shí)，通過日志找到這部分用戶的ID，如表1所示。

失敗登錄

圖5 用戶VPN使用時(shí)長分布

表1 使用時(shí)長前10用戶列表

除了用戶登錄成功的日志，還有一部分需要重點(diǎn)關(guān)注的是VPN的登錄失敗的日志，特別是認(rèn)證失敗的情況，有可能是在嘗試破解用戶賬號的密碼。表2所示的是7月15日一天內(nèi)登錄失敗次數(shù)前10的VPN賬號，大部分的失敗驗(yàn)證都發(fā)生在晚上22:00～23:00之間，從登錄失敗的IP地址來看，屬于運(yùn)營商動(dòng)態(tài)分配的IP地址。表中最后一列表示，在嘗試登錄失敗之后，是否有登錄成功的日志，如果有的話則說明賬號極大可能密碼已經(jīng)泄露，因此需要及時(shí)提醒用戶修改密碼，可以為VPN安全防護(hù)提供參考。

VPN流量分析

通過抓取校園網(wǎng)出口上的流量來分析用戶的行為，用戶在連接VPN之后，訪問的主要是學(xué)術(shù)資源。北京大學(xué)圖書館購買的數(shù)據(jù)庫列表（http://dbnav.lib.pku.edu.cn/），共 845個(gè)數(shù)據(jù)庫，從VPN流量中過濾出訪問這些數(shù)據(jù)庫的流量，2018年7月15日一共訪問了845個(gè)中的103個(gè)，訪問次數(shù)超過10次的有21個(gè)。中國知網(wǎng)訪問次數(shù)更是達(dá)到了150次，如表3所示，這對于圖書館數(shù)據(jù)庫的維護(hù)購買可以提供一定的參考。

表2 失敗登錄次數(shù)前10的賬號和IP

表3 數(shù)據(jù)庫訪問次數(shù)排名

表4 數(shù)據(jù)庫下行流量排名

用戶在訪問數(shù)據(jù)庫主要進(jìn)行學(xué)術(shù)資源的檢索以及下載，進(jìn)一步分析各個(gè)數(shù)據(jù)庫的流量大小。如表4所示為數(shù)據(jù)庫下行流量大小，可以看出，訪問次數(shù)多，但是相應(yīng)的流量不一定大，下行流量可以一定程度反應(yīng)用戶對各個(gè)數(shù)據(jù)庫的使用情況。

VPN用戶行為分析

VPN方便了校外用戶對校內(nèi)資源的訪問，但同時(shí)也造成了管理上的一些麻煩，用戶登錄VPN系統(tǒng)后，將從VPN地址池中隨機(jī)分配一個(gè)IP給用戶，當(dāng)用戶退出VPN后，IP地址將釋放，VPN服務(wù)器只是記錄了用戶的登錄日志，登錄日志里面提供的信息有限，很難知道用戶登錄VPN之后，訪問了哪些網(wǎng)站，下載了哪些學(xué)術(shù)資源等等。因此將VPN登錄日志與流量行為，按照時(shí)間進(jìn)行匹配，明確哪個(gè)用戶訪問了哪些資源，能夠給管理帶來很大方便。

登錄日志提供了用戶賬號，用戶IP地址，分配后的IP地址，登錄時(shí)間，退出時(shí)間?？梢詮牧髁恐刑崛〉降氖牵碔P地址，目的IP地址，目的端口，域名，路徑，包的大小等信息。本文以時(shí)間和IP地址作為key來將兩者進(jìn)行匹配，登錄日志中有兩個(gè)時(shí)間，登錄時(shí)間，退出時(shí)間，那么在登錄時(shí)間和退出時(shí)間范圍內(nèi)，流量中源IP地址與登錄日志中分配后的IP地址相匹配的訪問，就是登錄日志中該用戶賬號產(chǎn)生的行為，具體算法如下：

1. for line in vpn_log:

2. for line in vpn_flow and flow_time>= vpn_login_time and flow_time＜=vpn_logout_time:

3. if vpn_flow_sourceip = vpn_log_login_ip:

4. vpn_flow = vpn_flow + vpnaccount

5. end

單個(gè)VPN用戶行為

表5 某賬號對外訪問情況

為每條流量加上用戶賬號標(biāo)簽之后，就能夠輕松分析出VPN用戶的行為。以使用時(shí)長排名第2的賬號為例，通過分析流量，得到如表5所示，訪問域名數(shù)量157，但是卻并沒有訪問數(shù)據(jù)庫資源。

表6為該用戶訪問域名上行流量的排行，表7為訪問域名下行流量排行，這些域名當(dāng)中有阿里巴巴、淘寶、百度、搜狐等，并沒有一些異常的域名。該賬號雖然連接VPN的時(shí)間比較長，但是并沒有下載任何的數(shù)據(jù)庫當(dāng)中的論文，所訪問的域名也屬于正常域名，因此可以認(rèn)為該VPN用戶行為并沒有異常。

整體VPN用戶行為

對2018年7月15日用戶訪問數(shù)據(jù)庫行為進(jìn)行整體分析，90%的用戶訪問數(shù)據(jù)庫數(shù)量在4個(gè)以下，訪問次數(shù)在6次以下。表8為用戶訪問數(shù)據(jù)庫數(shù)量排名，表9為用戶訪問數(shù)據(jù)庫次數(shù)排名，從數(shù)量和次數(shù)上看，最高的用戶訪問了20個(gè)不同數(shù)據(jù)庫，總共訪問了35次，這個(gè)數(shù)量還在正常范圍之內(nèi)。用這種方式可以監(jiān)測用戶訪問數(shù)據(jù)庫的行為，如果出現(xiàn)訪問次數(shù)過高、訪問數(shù)據(jù)庫數(shù)量過多，則該賬號可能出現(xiàn)異常。

表6 上行流量排行

表7 為訪問域名下行流量排行

表8 訪問數(shù)據(jù)庫數(shù)量排名

表9用戶訪問數(shù)據(jù)庫次數(shù)排名

本文對VPN用戶的訪問行為進(jìn)行分析，獲取了VPN用戶的登錄日志，以及在出口網(wǎng)關(guān)處抓取了相應(yīng)的流量。取得的主要成果如下：

1.獲取VPN用戶的登錄日志，從每日不同用戶數(shù)、最高同時(shí)在線用戶數(shù)、VPN使用時(shí)長、登錄失敗等方面進(jìn)行分析，結(jié)果可以為VPN服務(wù)器負(fù)載調(diào)整，VPN license購買提供參考，還可以找出一些可能被盜取的VPN賬號。

2.從校園網(wǎng)出口的流量中，統(tǒng)計(jì)了VPN用戶對學(xué)術(shù)資源的訪問情況，為圖書館學(xué)術(shù)資源的維護(hù)購買提供一定的參考。

3.將VPN登錄日志和流量按照時(shí)間和IP地址進(jìn)行匹配，掌握每個(gè)用戶登錄VPN之后的訪問行為，分析了某一天VPN使用時(shí)長最長的用戶，以及整體VPN用戶對學(xué)術(shù)資源的訪問情況，可以發(fā)現(xiàn)一些潛在的異常VPN賬號。

由于從校園網(wǎng)出口抓取的流量，僅僅是有VPN用戶訪問校外資源的情況，并沒有對校內(nèi)資源的訪問進(jìn)行分析。下一步，我們將對VPN賬號的訪問分析，做成常規(guī)化的系統(tǒng)，對VPN用戶的行為進(jìn)行監(jiān)測，如果有異常則及時(shí)提醒管理員進(jìn)行處理。