內網行為審計系統實現技術探討

吳威 趙廣磊 陳潁杰 郭婧宇

（國網阜陽供電公司，安徽阜陽 236000）

內網行為審計系統實現技術探討

吳威 趙廣磊 陳潁杰 郭婧宇

（國網阜陽供電公司，安徽阜陽 236000）

在面對地市電力公司，具有較大規模的信息內網時，內網行為審計系統建設的建設范圍、關鍵技術成為系統成功應用的基礎，本文就地市電力公司內網行為審計系統的建設功能及核心技術進行探討，給出了一種高效的多線程數據包處理方式，較好的支撐了地市電力公司日常網絡行為審計需求，提高了信息內網安全管控水平。

行為審計 數據包抓取 多線程

信息內網終端用戶行為是信息網安全的重要組成部分，目前電力公司尤其是地市公司對內網終端網絡行為監管能力不足，尤其是郵件發送、網頁訪問等異常行為缺乏可靠實時的檢測工具，為此多數信息網運維單位開展了內網行為審計系統的建設［1］。通常內網行為審計系統主要運用“包捕獲”采集技術［2］，在核心交換機上采用端口鏡像技術，將上聯口的流量鏡像到某個端口并進行數據包的抓取、分析，并基于數據包分析結果實現內網用戶網絡行為的審計，典型審計場景包括用戶數據量排名、用戶興趣點分布、網絡實時流量、不同類型數據包流量統計等。另外系統建立異常信息告警機制，根據設定的監控關鍵字，對捕捉到的內網網頁查看行為和郵件行為進行篩查，對包含關鍵字信息的數據進行報警［3］。

在面對地市電力公司，具有較大規模的信息內網時，內網行為審計系統建設的建設范圍、關鍵技術成為系統成功應用的基礎，本文就地市電力公司內網行為審計系統的建設功能及核心技術進行探討。

1 內網行為審計系統實現

1.1 功能設計

如圖1所示，內網行為審計系統主要包括數據處理、行為審計統計查詢及系統管理三部分，分別實現網絡包抓取、分析，行為審計分析及系統基礎管理工作。

數據處理包括網絡流量采集及基于包的網絡流量分析功能，網絡流量主要利用交換機的端口鏡像功能實現，在核心交換機上通過將上聯口的流量鏡像到某個端口，再通過與該端口連接的主機設備接收鏡像流量。主機設備上通過將網卡設置成混雜模式接收所有的傳輸層數據包，并對接收到的數據包根據傳輸層的源地址、目的地址及端口信息進行過濾，保留源地址或目的地址為目標系統或網址IP的數據包；再利用應用層的HTTP協議特征對數據包進行二次過濾，保留通過HTTP協議進行網絡訪問行為；最終針對特定WEB應用利用關鍵字對訪問行為中的發件人地址、收件人地址、郵件標題等字段進行抓取并存儲。

根據阜陽公司信息網安全管理要求，開展了內網郵件行為審計和內網WEB系統訪問行為審計兩種場景的應用，其中郵件審計針對郵件頭的關鍵字段，包括發件人、收件人等進行審計，對于不合規的郵件題目或附件標題進行告警；內網WEB系統訪問行為主要用于判斷用戶的WEB系統訪問習慣，根據WEB系統訪問的頁面、訪問頻率及訪問部門進行統計分析，判斷WEB系統的應用情況。

1.2 多線程數據包處理方式

高效的數據包處理技術是解決地市公司高流量的關鍵技術，如何實現數據包的完整抓取、解析可有效避免行為檢測的漏檢、錯檢。本文采用高效的多線程數據包處理方式實現數據包處理，處理流程見圖2。

數據包處理過程為了提高運行速度，防止丟包現象，提高數據分析效率，主要創建三個線程分別執行任務：

（1）數據包抓取線程：基于winpcap提供的網絡層中間驅動和開發接口，主線程調用winpcap開發接口從網絡適配器中獲取所有的IP包并進行存儲到包隊列中。

（2）數據包過濾線程：依據待審計的WEB服務器的地址及WEB應用的地址對數據包中的源和目的地址進行過濾，減少后續待分析的包數量。

（3）數據包解析、存儲：對過濾后的數據包中依據HTTP協議進行再次過濾，因為審計目標是網頁瀏覽和WEB郵件信息，所以再次根據是否是HTTP報文進行過濾，過濾方式根據數據包中是否含有如“GET”、“HTTP/1.1”等關鍵字。過濾后針對HTTP消息體部分的數據利用WEB系統和郵件系統的關鍵字對WEB訪問中的目標字段進行過濾和抓取。

2 結語

通過設計合理的內網行為審計系統系統功能，采用高效的多線程數據包處理方式，較好的支撐了地市電力公司1000臺終端的日常網絡行為審計需求，通過該方法實施內網行為審計系統，可有效監測近一個月內內網網頁查看和WEB郵件發送信息，提高了內網安全水平。

［1］陳光明.內網主機行為監管和審計系統設計與實現.西安電子科技大學，2012.

［2］趙暉.基于內網的安全綜合審計監管系統設計［J］.科技信息，2010（28）.

［3］鄧方志.內網用戶非法外網訪問行為監控系統的設計與實現.東北大學，2013.

吳威（1978—），男，上海人，工程師，大專，研究方向：信息網絡技術；趙廣磊（1986—），男，安徽阜陽人，工程師，碩士研究生，研究方向：電力信息通信技術；陳潁杰（1964—），男，安徽穎上人，工程師，本科，研究方向：信息網絡技術；郭婧宇（1992—），女，安徽太和人，工程師，碩士研究生，研究方向：信息網絡安全技術。