一種用戶內網行為挖掘與數據分析系統實現

易磊磊　魯美艷

摘要：隨著亳州供電公司網絡規模的擴大，信息內網接入終端不斷增加，終端安全成為信息內網安全管理工作中的重點，加強對終端網絡行為（郵件發送、網頁訪問等）的監控，以及時發現并消除潛在的終端安全隱患，有利于提升信息內網的網絡安全水平。本文給出用戶內網行為挖掘與數據分析系統實現，通過巡檢智能管理系統，通過建立完善的WEB郵件分析功能，網頁查看審計功能。信息內網網絡安全管理人員可以快速準確的發現異常的網絡訪問行為并采取合適措施，較大的提升了信息內網行為的感知、檢測能力。

關鍵詞：信息內網 行為檢測 安全審計

中圖分類號：TP391 文獻標識碼：A 文章編號：1007-9416（2016）09-0202-01

隨著亳州供電公司網絡規模的擴大，信息內網接入終端不斷增加，終端安全成為信息內網安全管理工作中的重點，尤其是私網終端，多數終端沒有安裝VRV監控終端， 同時管理基線也較低，使得私網終端設備成為整個信息內網中的薄弱環節[1]。為此考慮建設信息內網終端行為審計系統，加強對終端網絡行為（郵件發送、網頁訪問等）的監控，以及時發現并消除潛在的終端安全隱患，提升整個信息內網的網絡安全水平[2]。

用戶內網行為挖掘與數據分析系統通過建立完善的WEB郵件分析功能，網頁查看審計功能，實現了提升整個信息內網網絡安全水平的目標，能夠及時發現并且消除潛在的終端安全隱患。做到一機運行，全網管理，不需要在被監控和被管理的電腦上安裝任何軟件；包含內容過濾功能，根據不同時期，靈活設定不同敏感字，系統自動根據敏感字，篩選出相應記錄，通過告警信息及時反饋。

1 系統建設

1.1 總體架構

如圖1所示，根據信息內網終端行為審計系統的設計目標，將整個系統技術架構分為：應用展示層、數據采集處理層、監控對象層；其中數據采集處理層利用現有的交換機端口鏡像功能，通過Sniffer、WinPcap等技術實現對流量數據的采集[3]，并對內網終端行為數據進行過濾、分析、整理等工作；應用展示層提供行為審計信息的顯示頁面。具體提供郵件行為信息查詢、網頁訪問行為信息查詢、內網行為審計告警信息管理、系統配置管理、人員信息管理、組織管理、權限管理等功能。

1.2 關鍵技術

對內網行為進行監測，首先需要獲取通向內網網絡的接口流量；得到流量后，對數據包進行過濾，丟棄不在監測范圍內的數據，避免數據過多，造成服務器負荷過大；再對WEB郵件和網頁查看相關數據包進行解析，解析后內容最后存入數據庫中；最后根據不同形式展示監測內容。關鍵步驟及技術包括網絡搭建及高效的數據包處理。其中網絡環境搭建見圖2。

如圖2所示，交換機現有端口1、端口2、端口3。端口1通向內網，作為源端口（被監測端口）。把端口2設置成端口1的鏡像端口。這樣經過端口1即來往于內網的所有數據都會被拷貝到端口2中。端口2、端口3分別連接的是行為監測服務器上的網卡1、網卡2。通常模式下網卡的工作是完成對于總線當前狀態的探測，確定是否進行數據的傳送，判斷每個物理數據幀目的地是否為本站地址，如果不匹配，則說明不是發送到本站而將它丟棄?，F在我們需要監測通向內網中任何一個地址的數據，這就需要把網卡配置成混雜模式（即監聽模式），混雜模式的網卡，不管數據的目的地址是否是本站地址，只要經過都將被接收下來。因此需要把網卡1配置成混雜模式。交換機中的鏡像端口只能接收數據，無法發送數據。便于網絡上其他設備查看審計數據，我們需要給行為監測服務器另外配置網卡2，連接到交換機的端口3上，便于內網其他設備訪問內網行為審計系統。

整個網絡環境搭建，對內網內部網絡和設備都沒有任何要求，風險較低，實施簡便。

1.3 系統實際應用

通過實施內網行為審計系統，可以有效的監測近一個月內內網網頁查看和WEB郵件發送信息。通過預先設置敏感字，發出針對性的報警信息，及時給相關人員提供有利的線索。大大提高了內網的安全水平，見圖3。

2 總結與展望

通過本系統的實施，信息內網網絡安全管理人員可以快速準確的發現異常的網絡訪問行為并采取合適措施，同時可以根據信息內網訪問行為合規性趨勢指導信息內網安全宣傳及防護工作，較大的提升了信息內網行為的感知、檢測能力，進一步提升了信息內網的安全性。

參考文獻

[1]喬佩利，李明明.一種改進的內網用戶行為審計模型研究[J]，哈爾濱理工大學學報，2011， 16（5）：57-60.

[2]胡寅.基于安全審計記錄的用戶行為模式挖掘研究.貴州大學，2009.

[3]蔡家楣，陳洋.面向Web應用的用戶行為審計系統[J].《計算機系統應用》，2009， 18（8）：10-14.