網絡審計中的身份識別和智能關聯

劉志宏 孫長國

（92117部隊 北京 100072）

1 引言

隨著信息技術及網絡安全的發展，網絡安全已經發展成為一個“立體防御”的體系，網絡安全需要防護的不再是僅僅來自外部的威脅，內部潛在的安全威脅更大，因此也越來越引起管理者的高度重視。網絡審計系統是預防內部潛在威脅的重要手段之一[1]。

網絡審計系統的核心作用是幫助用戶對網絡中的各種活動進行識別，發現違規事件和敏感信息，并進行事件的定位和追根溯源[2]，因此能否最終將事件落實到責任人是審計產品能否發揮作用的關鍵，而對事件的溯源和落實責任人是審計產品能否發揮作用的關鍵。

2 常規身份信息識別手段

網絡數據包中可獲取到的而用于溯源的信息只有IP地址和MAC地址，因此在早期的網絡審計系統中，通常是根據IP地址、MAC地址信息對事件進行溯源并定位用戶身份的，但這2種方式都有很大的局限性，不能適應所有的用戶場景，因此在之后的網絡審計系統中逐漸引入了通過對用戶進行認證或與身份認證服務器進行聯動等獲取用戶身份信息的方式。

2.1 通過IP地址識別

在網絡數據流中很容易獲取到源IP地址，并且IP地址在數據傳輸中始終保持不變，因此通過IP地址對網絡中的事件追根溯源是最快捷途徑，如圖1所示，電腦分配了固定IP地址，而電腦是與用戶相關聯的，因此可以通過IP找到對應的電腦，從而找到電腦的使用者[3]。但這需要一個終端IP地址固定的網絡環境。在這樣的網絡環境中每臺終端都有固定的IP地址，為了限制終端用戶更改IP地址，可以在接入交換機的接口上對IP地址進行限制或者進行IP/mac地址綁定，另外再結合相應的管理措施以達到限制目的。

通過IP地址對網絡事件進行定位和溯源雖然快捷，但有很大的局限性，其原因：一是需要大量的、持續不斷的IP地址使用情況統計工作，而且統計的準確度將直接影響對網絡事件的定位是否精準；二是通常終端用戶可以隨意更改其IP地址，所以在無法通過技術手段對終端IP地址進行限制的網絡環境中，無法將IP地址與終端用戶的身份進行關聯。

圖1 通過IP地址關聯用戶身份信息

2.2 通過mac地址識別

終端IP地址可以隨意更改給網絡事件的溯源帶來了困難，因此令人想到了mac地址固定不變的特點。每個網卡接口模塊在出廠時就被賦予了全球唯一的一個不變的mac地址，因此若能獲取到網絡數據流的源mac地址，就可以準確追溯到發出數據的來源終端，進而定位到實際責任人。

在二層交換環境中，不同的終端用戶使用的mac地址不同，因此可以將用戶身份信息和mac地址之間建立固定的關聯關系。通過mac地址進行事件定位的好處是準確性比較高，但其缺點也很明顯[4]：首先mac地址不能跨越三層交換設備傳輸，即便是跨三層獲取mac地址技術，也受交換設備種類、品牌等限制，并非在所有網絡環境中都有效；其次是要對事件進行定位需要記錄mac地址與終端用戶身份信息的對應關系，然而統計mac地址是一項十分繁重的工作，尤其在有大量終端用戶的網絡環境中。

2.3 主動身份認證

主動身份認證技術是通過強制用戶上網時通過賬號/密碼進行身份認證的方式，來實現終端IP地址和用戶身份信息的關聯。這種方式可以有效克服通過IP/MAC地址識別用戶身份時的諸多弊端，如事先統計IP或mac地址的問題、網絡環境適應性的問題等。

但主動身份認證的前提是身份認證不通過時要能夠阻斷終端用戶對網絡的訪問，阻斷方式通常有旁路阻斷或串聯阻斷兩種：旁路阻斷一般是通過發送Tcprest包來斷開源終端與目標之間的鏈接，故這種方式只是對tcp類的應用才有效果；串聯阻斷的方式通常用在上網行為管理類的產品中，由于是串聯在源用戶終端與其訪問的目標之間，因此當認證不通過時可直接截斷用戶的網絡訪問行為。

3 智能身份信息關聯技術

如上面所述，當前各種用戶身份信息識別的方式都有其各自的局限性，在一些用戶網絡環境中仍然存在無法有效獲取到IP地址對應的用戶身份信息的現象。而通過創新性的智能身份信息關聯技術可以有效解決這一難題。

3.1 原理

網絡審計系統在網絡數據流中能有效的獲取到的溯源信息只有IP地址，因此智能身份信息關聯的核心也是將用戶的各種身份信息與其使用的IP地址進行關聯，以幫助管理人員對該IP對應的責任人進行定位。如圖2所示：

圖2 智能身份信息關聯示意圖

其實現過程可分為如下幾個過程。

收集用戶身份信息：網絡審計系統從網絡數據流中收集用戶賬號等身份信息，然后將該身份信息對應的IP地址以及類型發給網絡審計系統的用戶識別代理程序。

身份信息智能關聯：用戶識別代理程序獲取到用戶身份信息后，連同當前事件一同發送到網絡審計系統的用戶身份信息庫中。

提取用戶身份信息：當網絡審計系統記錄某一事件的審計日志時，審計系統從用戶身份信息庫中查找該事件發生的時間內與該時間IP地址對應的用戶身份信息，然后提取該身份信息并記錄在審計日志中。

智能身份信息關聯技術實現了自動搜集并智能關聯用戶身份信息，可適用于任何網絡環境中，由于獲取身份信息的過程是網絡審計系統以旁路抓包的方式自動完成的，所以既不會影響終端用戶體驗，也不會增加管理員的管理成本，更不會帶來性能瓶頸和單點故障問題。

通過智能身份信息關聯技術，對于已經觸發的任何一個告警事件，管理員可以輕松獲取到觸發該事件的主體人的所有網絡賬號資源，因此管理員將有更多的途徑來更高效、準確的定位真實的事件責任人。

4 結束語

隨著互聯網的飛速發展，網絡實名制的呼聲越來越高。對于網絡審計系統來說，實名制的審計更是實現其使用價值的基礎，智能身份信息關聯技術的出現大大提高了身份識別與時間定位的精準度，同時克服了網絡環境適應性問題，日后必將成為備受關注的熱點技術。

[1]常德顯，楊英杰.分布式網絡審計系統的生存型設計〔J〕.微計算機信息.2007,24(8):78-80

[2]張信杰，王旭仁，吳剛.網絡審計系統的設計與實現〔J〕.微計算機信息，2009（25）：71-73.

[3]李志淮，樊亮.基于IP加密的網絡審計系統模型〔J〕.大連理工大學學報，2005（45）：59-61.

[4]程真強.基于千兆網絡的安全審計系統〔D〕.大連：大連理工大學，2007.