用户上网行为监控技术白皮书

关键词：上网行为、网络监控、协议识别、监控策略

摘要：有效的监控用户的上网行为，已经成为网络安全的一个重要领域，也越来越受到人们

的重视。本文主要介绍了H3C 用户上网行为监控技术的基本原理和典型应用。

缩略语：缩略语

HTTP

FTP

P2P 英文全名 Hypertext Transfer Protocol File Transfer Protocol Instant Message Point to Point 超文本传输协议文件传输协议即时消息点对点中文解释

1 概述.......................................................................................................................................3

1.1 产生背景......................................................................................................................3

1.2 H3C用户上网行为监控的功能......................................................................................3

1.3 H3C用户上网行为监控的特点......................................................................................4

2 技术实现................................................................................................................................5

2.1 监控处理器...................................................................................................................5

2.2 Web控制台..................................................................................................................6

2.3 日志服务器...................................................................................................................6

3 H3C实现的技术特色..............................................................................................................6

3.1 基于流状态的协议识别技术..........................................................................................6

3.2 可扩展、可升级的应用识别和行为识别能力.................................................................7

3.3 可灵活配置的监控规则.................................................................................................7

3.4 丰富时间表特性...........................................................................................................7

3.5 灵活的黑白名单特性....................................................................................................7

3.6 众多的日志查看终端....................................................................................................7

3.7 完善的日志报表...........................................................................................................7

4 典型组网应用.........................................................................................................................8

4.1 网关模式部署...............................................................................................................8

4.2 旁路模式部署...............................................................................................................9

1 概述

1.1 产生背景

随着教育、政府、企事业单位等各类组织的信息化程度不断提高，对信息系统的依赖随之增加。因此，网络信息系统的安全问题就变得越来越重要。根据权威机构的调查显示，超过70％的严重攻击来自于组织中的内部人员，具体表现在以下几个方面： z 内部员工访问非法网站，通过文件共享、邮件等发送重要机密文件，导致信

息外泄，造成恶劣影响。

z 终端用户为牟利，对各类应用系统越权访问、违规操作数据库等造成的信息

安全风险。

z 各种P2P 下载、在线视频观看等非关键业务流量过大，导致网络出口拥挤不

堪，各种关键业务无法正常开展。

z 内网用户IP 地址随时变化，对信息事件源难以定位。

因此，如何规范和监控内部人员的上网行为已成为各组织机构迫切需要解决的问题。相关法规，如美国的《2002年萨班斯-奥克斯利法案》和中国的《计算机信息系统安全保护等级划分准则》、公安部等级保护等，也对网络的日志审计和行为审计提出了明确的要求，要能确保关键信息系统在可审计、可控制的状态下运行。

1.2 H3C用户上网行为监控的功能

如图1所示，H3C 用户上网行为监控系统能够在企业用户进行Web 访问、FTP 访问、IM 应用和数据库访问时，对用户的访问行为进行有效监控。

图1 H3C 用户上网行为监控系统 z Web 应用监控功能可以对自定义关键字、自定义文件类型和网页脚本进行过

滤。

z FTP 应用监控功能可以对FTP 用户的登录、退出、上传/下载文件和目录遍历操作进行监控。

z IM 应用监控功能可以对用户使用QQ 和MSN 工具的情况进行监控。数据库应用监控功能可以对Oracle 等数据库用户的登录、下线及各种操作情

况进行监控。

1.3 H3C用户上网行为监控的特点

H3C 用户上网行为监控的主要特点如下：

z 全面的上网行为记录与分析

对网站访问、邮件收发、数据库访问与操作、文件传输、聊天应用、在线视频、网络游戏、炒股应用等，提供全面的行为监控。

z 实时的网络流量分析与审计

对各种常见的关键业务、非关键业务，如P2P 下载、IM 、网络游戏、炒股应用等，提供实时的流量分析与审计，并具备对单用户/多用户、IP 群组等的定制分析与审计，利于快速排查问题。

z 基于用户名的上网行为监控

基于用户名（而非IP 地址）进行行为监控，可直接、快速跟踪并定位到事件源。解决了因为用户IP 地址动态变化，而难以定位信息事件源的问题。

2 技术实现

H3C 用户上网行为监控系统主要由监控处理器、Web 控制台和日志服务器三部分组成，其架构如图2所示。

图2 H3C 用户上网行为监控系统架构

2.1 监控处理器

1. 报文接收器

完成网络监控报文的收集；支持IP 分片重组，可以提高网络报文检测的准确率。

2. 应用识别引擎

对监控的网络流量进行协议识别，并维护识别协议的状态变迁信息，然后根据协议类型将网络流量分送到相应的协议监控器。H3C 采用了自主研发的应用识别引擎，利用基于流状态的协议识别专利技术，有效地提高了协议识别的准确性。对于H3C

应用识别引擎的介绍具体请参见《应用识别技术白皮书》。

3. 协议监控器

根据协议的状态信息，完成对协议的语法分析，实现对协议的全面解析，并根据配置的监控策略实施相应的监控动作（如：阻断、上报日志等）。作为一个通用的协议监控模块，协议监控器可以根据用户的需要快速的扩充对其他协议的支持，从而积极响应用户的需求。

4. 监控日志收集/发送器

收集各协议监控器发送的监控日志信息，并根据用户的配置，将监控日志发送到指定的日志终端。

2.2 Web控制台

主要完成用户上网行为监控策略和监控日志输出参数的配置。 z 用户上网行为监控策略由一系列的监控规则组成，每一个监控规则规定了用

户所关心的监控选项。管理员通过定义一个或多个用户上网行为监控策略，并对不同的保护对象应用不同的监控策略，实现了高度的可定制性。

z 管理员可以根据需要配置日志输出到不同的终端。

2.3 日志服务器

H3C 用户上网行为监控日志可以输出到设备的信息中心、远程Syslog 主机或者H3C SecCenter 服务器。此外，在H3C SecCenter服务器上还支持设备的多层次级联部署，可以实现多级管理，从而满足不同管理模式的需要。

3 H3C实现的技术特色

3.1 基于流状态的协议识别技术

H3C 用户上网行为监控系统采用自主研发的应用识别引擎，利用基于流状态的协议识别专利技术，根据会话的状态进行会话协议识别检测，有效地提高了协议识别的准确性。

3.2 可扩展、可升级的应用识别和行为识别能力

H3C 用户上网行为监控系统是一个可扩展的框架，可以及时扩展以支持新的应用协议，满足应用网络的变化需求。同时，H3C 有专门的应用协议分析团队，能够及时分析网络中的应用变化，通过最新应用特征库，可以即时提升用户设备的应用识别及行为识别能力。

3.3 可灵活配置的监控规则

管理员可以配置自定义的关键字、文件类型，以及可以配置每条监控规则的各个监控字段。比如：对于FTP 监控规则，可以配置只监控用户登录操作，也可以只配置只监控用户通过FTP 协议下载文件的操作，或者监控用户的整个FTP 操作。

3.4 丰富时间表特性

管理员可以指定多个用户上网行为监控策略，并可以为不同的监控策略设置不同的生效时间段，从而可以轻松的实现在特定的时间内对特定的用户进行监控。

3.5 灵活的黑白名单特性

针对每个配置的监控策略，管理员可以定义自己的黑白名单列表，从而实现对不同的保护对象应用不同的监控策略。同时，在该策略下，管理员还可以指定免监控的用户列表和免监控的服务器列表，实现了高度的可定制性。

3.6 众多的日志查看终端

H3C 的用户上网行为监控日志可以输出到众多的终端，包括：设备本地数据库、远程Syslog 主机或者远端的H3C SecCenter服务器。对于各个输出终端，用户都可以进行方便的查询和统计。在H3C SecCenter服务器上还支持多层次的级联部署，可以实现多级管理。

3.7 完善的日志报表

在H3C SecCenter服务器上，可以根据指定的条件，方便的生成各种协议的监控日志报表。通过直观的报表显示，管理员可以方便的调整用户上网行为监控策略，以达到更好的网络监控效果。

4 典型组网应用

H3C SecPath ACG应用控制网关（以下简称ACG 设备）一般部署在网络出口，对用户上网行为进行监管。典型的部署模式有网关模式部署和旁路模式部署两种，可以根据具体的网络环境以及应用需求选择合适的部署模式。

用户上网行为监控日志通过ACG 设备的集中管理平台ACG Manager进行展示。ACG Manager对监控结果进行分析和整理，通过图形和表格等多种方式展示给管理员，使管理员对所有用户上网行为一目了然。同时，ACG Manager还能够对所有行为监管数据进行综合分析，得出网站Top 排名、访问趋势、用户访问Top 排名、访问趋势等信息，指导管理员对网站的维护和对用户的管理。

4.1 网关模式部署

图3 网关模式部署

z 用户上网行为监控技术白皮书对网络应用流量的流向、趋势，及用户上网行为进行审计分析。对网络应用流量及使用进行细粒度的控制。 ACG 设备以在线透明方式部署在网络中，不影响网络的已有拓扑。同时，支

持二层回退、掉电保护功能，确保了网络的高可靠性。

4.2 旁路模式部署

图4 旁路模式部署

z 对网络应用流量的流向、趋势，及用户上网行为进行审计分析。只需将流量镜像到ACG 上，而不需要改动网络拓扑，对网络影响最小，不会

增加新的故障点。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。本文档中的信息可能变动, 恕不另行通知。