張莉 鄭羽

摘要：隨著網(wǎng)絡(luò)的應(yīng)用范圍越來越廣泛，其深度和廣度與日俱增，由此而帶來的安全問題已經(jīng)引起網(wǎng)絡(luò)管理者的高度重視。網(wǎng)絡(luò)審計系統(tǒng)可以對網(wǎng)絡(luò)行為進行審計和分析，并通過報表的形式回饋給管理者，使他們能夠掌握網(wǎng)絡(luò)行為趨勢，做到有的放矢。然而，傳統(tǒng)的網(wǎng)絡(luò)審計系統(tǒng)存在著種種缺陷，利用UAAE應(yīng)用識別技術(shù)可以對其進行改造，更好的對網(wǎng)絡(luò)行為進行管理和分析，該文正是對基于UAAE的網(wǎng)絡(luò)審計系統(tǒng)進行一些基本的分析和研究。

關(guān)鍵詞：網(wǎng)絡(luò)行為，審計，UAAE，應(yīng)用識別

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）24-5638-04

Research on Network Behavior Auditing System Based on UAAE Recognition Technology

ZHANG Li1， ZHENG Yu2

（1 Human Resources and Social Security Bureau of Anqing Daguan District ，Anqing 46003，China ；2 Anqing Teachers College ，Anqing 246011，China）

Abstract： Nowadays， the Internet has been applied in more fields and developed in greater depth， which also brings about security problems arousing high attention from authorities of the network administration. While the Network Behavior Auditing System is capable of monitoring and analyzing network behaviors as well as reporting to the administration， ensuring the trend of those behaviors to be under control， it has many defects. However， the application of UAAE Recognition Technology in modifying the traditional auditing system can improve the work of monitoring and analyzing. This study focuses on the network behavior auditing system on campus.

Key words： Network behavior； auditing； UAAE； Recognition Technology

1 概述

互聯(lián)網(wǎng)猶如一般雙刃劍，在給人們帶來方便的同時，也帶來了網(wǎng)絡(luò)安全的巨大隱患，每年由于網(wǎng)絡(luò)安全事件所帶來的經(jīng)濟損失和國家安全威脅一直居高不下。在個人用戶層面，由于病毒、木馬、惡意掃描和其它的黑客攻擊手段造成的個人信息泄露、財產(chǎn)損失和其它的問題已經(jīng)使得用戶不勝其擾。各部門對于網(wǎng)絡(luò)信息安全的工作愈來愈重視，各類加強網(wǎng)絡(luò)安全的軟硬件被相繼部署到內(nèi)網(wǎng)與DMZ區(qū)之間或者是放置在出口位置[1]。很多單位也考慮利用網(wǎng)絡(luò)行為分析和審計系統(tǒng)來監(jiān)控分析用戶的上網(wǎng)行為。但是傳統(tǒng)的行為審計與分析系統(tǒng)只能做到對網(wǎng)絡(luò)行為的記錄和收集，對于深入分析這一塊做的不是很好。

對于一些非法的、未受控的應(yīng)用必須識別并加以控制，否則他們將利用網(wǎng)絡(luò)這一“封閉管道”，擠占合法應(yīng)用帶寬，如在內(nèi)部網(wǎng)絡(luò)中中，P2P下載、娛樂類等應(yīng)用占用了大量的帶寬，會對正常的業(yè)務(wù)造成極大的影響。

現(xiàn)階段，基于端口進行應(yīng)用協(xié)議的識別是最為通常的手段。但隨著各種網(wǎng)絡(luò)應(yīng)用的逐步豐富，這種基于端口來識別報文所屬協(xié)議類型的方法暴露出其存在的不足，這就迫切要求一種基于更新的識別技術(shù)的審計系統(tǒng)來解決問題。隨著網(wǎng)絡(luò)安全防護過程中對應(yīng)用層的關(guān)注，基于深度包檢測技術(shù)（DPI）和深度流檢測技術(shù)（DFI）成為安全領(lǐng)域的熱門技術(shù)之一[2]。

2 UAAE（Universal Application Apperceiving Engine）技術(shù)

2.1常見的應(yīng)用識別技術(shù)分析

為了應(yīng)對端口固定進行協(xié)議識別的缺陷[3]，在實際使用過程中，主要有DPI和DFI兩種技術(shù)：

DPI（Deep Packet Inspecttion），即深度包檢測。在進行分析報文頭的基礎(chǔ)上，結(jié)合不同的應(yīng)用協(xié)議的“指紋”綜合判斷所屬的應(yīng)用。

DFI（Deep Flow Inspection），即深度流檢測。它是基于一種流量行為的應(yīng)用識別技術(shù)。不同的應(yīng)用類型體現(xiàn)在會話連接或者數(shù)據(jù)流上的狀態(tài)各有不同，表1展現(xiàn)了不同的應(yīng)用的流量特征。

這兩種技術(shù)，由于實現(xiàn)機制的不同，在檢測效果上也各有優(yōu)缺點。

DPI技術(shù)由于可以比較準(zhǔn)確的識別出具體的應(yīng)用，因此廣泛的應(yīng)用于各種需要準(zhǔn)確識別應(yīng)用的系統(tǒng)中，如運營商的用戶行為分析系統(tǒng)；而DFI技術(shù)由于采用流量模型方式可以識別出DPI技術(shù)無法識別的流量，如P2P加密流等，因此目前越來越多的在帶寬控制系統(tǒng)中得到應(yīng)用。

2.2 UAAE應(yīng)用識別模型

2.2.1 應(yīng)用識別分類

基于對現(xiàn)有協(xié)議的識別方法進行深入研究，以及對網(wǎng)絡(luò)協(xié)議的深刻理解基礎(chǔ)上，結(jié)合上述兩種應(yīng)用識別技術(shù)，H3C提出了一種通用的協(xié)議識別模型——UAEE（Universal Application Apperceiving Engine）。在該應(yīng)用識別模型中，對于應(yīng)用的識別可以分成如下幾類：

1） 固定端口協(xié)議類：一些協(xié)議如BGP、RIP等，其端口是相對穩(wěn)定的，可以根據(jù)端口號快速識別。

2） 特征狀態(tài)發(fā)現(xiàn)協(xié)議類：絕大部分P2P協(xié)議的端口是不固定的，有些甚至故意使用一些標(biāo)準(zhǔn)協(xié)議的知名端口，如BT、Emule、迅雷、Skype等，都會使用80端口進行協(xié)議交互，因此需要依靠深入的數(shù)據(jù)分析來識別這些應(yīng)用協(xié)議。

3） 隧道協(xié)議類：防火墻和NAT設(shè)備的部署使得網(wǎng)絡(luò)中出現(xiàn)了很多應(yīng)用層隧道。如HTTP Tunnel，表面來看是一個80端口的連接，但實際上里面有可能承載了任何種類的應(yīng)用數(shù)據(jù)。

4） 流量模型發(fā)現(xiàn)協(xié)議類：越來越多的P2P流量采用加密方式傳輸，如迅雷、Skype等，通過上述應(yīng)用“指紋”方式是無法識別的。

在UAEE模型中，對于上述類別1-3采用DPI技術(shù)進行具體應(yīng)用的識別；對于DPI技術(shù)無法識別的應(yīng)用和數(shù)據(jù)流，則通過DFI進行流量的識別[4]，及上述類別4。

2.2.2 UAEE模型

在IP協(xié)議簇中，協(xié)議是有層次關(guān)系的，如同一棵樹，如圖1所示。

對于每個協(xié)議，可以通過應(yīng)用“指紋”來識別。應(yīng)用“指紋”即協(xié)議的特征，它可以對一個或多個進行定義，這樣也組成了協(xié)議特征樹。對于每個特征可以指定其對應(yīng)的父輩協(xié)議特征，UAEE通過一套完整的語法來描述協(xié)議的識別方法。

如圖2所示，數(shù)據(jù)包經(jīng)過重組后送到協(xié)議識別核心模塊，該模塊將數(shù)據(jù)包交給檢測引擎進行檢測；檢測引擎根據(jù)接收到的動態(tài)下發(fā)的協(xié)議特征樹對數(shù)據(jù)包進行檢測，然后向協(xié)議識別核心模塊返回命中的檢測結(jié)果；協(xié)議識別核心模塊根據(jù)該檢測結(jié)果和其內(nèi)部的協(xié)議特征樹進行協(xié)議層次推導(dǎo)并識別出相應(yīng)的協(xié)議。同時如果協(xié)議識別核心模塊發(fā)現(xiàn)一個會話經(jīng)過多個報文仍然沒有獲知最上層應(yīng)用，則會采用DFI技術(shù)對流量進行深度分析識別[5]，從而判斷出對應(yīng)未知流量所屬應(yīng)用。

UAEE引擎在結(jié)合應(yīng)用模型分類識別的基礎(chǔ)上，還能夠進行有效靈活的智能決策。它可以對各種智能手段和驗證方法進行優(yōu)先級排序，高優(yōu)先級的識別結(jié)果動態(tài)智能的替換低優(yōu)先級的識別結(jié)果，使應(yīng)用識別的結(jié)果精確度大大提高。例如，對于使用TCP 80端口登錄的Skype協(xié)議，在TCP握手時，UAEE根據(jù)端口識別出該會話是一個HTTP會話。進一步檢測會話的內(nèi)容，一旦識別了Skype的登錄特征，UAEE可以依據(jù)優(yōu)先級立即智能地做出判決，將會話識別為Skype登錄協(xié)議。

3 基于UAAE的網(wǎng)絡(luò)審計系統(tǒng)設(shè)計

3.1 系統(tǒng)架構(gòu)

系統(tǒng)在傳統(tǒng)的網(wǎng)絡(luò)審計系統(tǒng)基礎(chǔ)上，分為用戶界面、流量分析及處理和日志記錄等幾個模塊，其中流量分析及處理部分又分為流量識別、數(shù)據(jù)包處理和協(xié)議及端口分析三個部分[6]，主要負(fù)責(zé)對流量數(shù)據(jù)包進行捕獲、分析和處理，并根據(jù)端口和協(xié)議類型識別出其性質(zhì)，并對識別的具體情況作出記錄，系統(tǒng)內(nèi)置的特征庫將幫助其判定識別結(jié)果；日志系統(tǒng)負(fù)責(zé)記錄日志并將結(jié)果以適當(dāng)?shù)姆绞教峁┙o用戶界面做查詢及導(dǎo)出處理；用戶界面負(fù)責(zé)處理用戶策略的下發(fā)及日志信息的顯示等，同時要提供若干查詢接口供用戶使用。具體架構(gòu)如圖3。

3.2 用戶界面

用戶界面提供了系統(tǒng)與用戶的交互功能，主要實現(xiàn)兩個功能，用戶策略的下發(fā)，查看流量數(shù)據(jù)包的識別結(jié)果及分析情況。

用戶策略的下發(fā)，用戶可以選擇監(jiān)控主機的IP地址，協(xié)議類型，及控制類型，若是干擾則填入干擾速率，系統(tǒng)會將策略信息存入特征庫中。

查看流量數(shù)據(jù)包的識別結(jié)果，通過用戶界面可以看到實時情況或是以往某個時間段的流量識別情況，并且包含協(xié)議對應(yīng)的包大小，占總的百分比，所屬類型等。

3.3 流量識別模塊

本文介紹了多種識別技術(shù)，流量識別模塊需要根據(jù)流量的特點選擇識別技術(shù)，有些協(xié)議通過與特征庫中的規(guī)則進行相關(guān)匹配就可以進行識別，有些則需要考慮包長，發(fā)包速率，或負(fù)載內(nèi)容等情況，要為這些協(xié)議提供針對性的代碼識別策略。根據(jù)P2P，BT，網(wǎng)頁，游戲、基金股票等多種業(yè)務(wù)大類上百種應(yīng)用協(xié)議的分析，總結(jié)出協(xié)議識別流程。

3.4 數(shù)據(jù)庫處理模塊

圖3中顯示數(shù)據(jù)庫與系統(tǒng)中的多個模塊都有數(shù)據(jù)交互，該模塊對用戶界面與識別模塊、干擾模塊進行數(shù)據(jù)共享，也是日志模塊的數(shù)據(jù)源頭。這樣即省去了各個模塊之間的數(shù)據(jù)通信，又不用分配大量的內(nèi)存空間進行數(shù)據(jù)存儲。

數(shù)據(jù)庫中存放了數(shù)據(jù)包的各種信息（包括包大小，到達(dá)時間，離開時間，包頭信息，負(fù)載內(nèi)容，識別結(jié)果以及處理結(jié)果等）；用戶策略（包括用戶下發(fā)策略的IP、限制流量大小、下策略的協(xié)議）。識別模塊將識別結(jié)果存入數(shù)據(jù)庫中，供用戶界面查看及日志中心記錄保存。 用戶界面將用戶策略存數(shù)據(jù)庫供干擾模塊查看，而用戶界面可以通過數(shù)據(jù)庫查看識別和干擾結(jié)果，避免了用戶界面與干擾模塊的直接通信。數(shù)據(jù)庫不僅成為模塊之間數(shù)據(jù)傳輸?shù)耐ǖ溃梢蚤L期的保存數(shù)據(jù)信息。

3.5 協(xié)議及端口分析模塊

協(xié)議及端口分析是UAAE應(yīng)用識別技術(shù)最大的特點，其根據(jù)流量數(shù)據(jù)包的來源端口和目的端口分析其動向[7]，并根據(jù)數(shù)據(jù)包綁定的協(xié)議判定其行為屬性，利用專有模塊將分析結(jié)果上報日志中心，提高了審計的準(zhǔn)確率以及穩(wěn)定性。

3.6 日志中心模塊

日志模塊的功能是記錄系統(tǒng)的所進行的操作，以及錯誤信息，監(jiān)控系統(tǒng)的運行狀況，以及定期從數(shù)據(jù)庫中導(dǎo)出數(shù)據(jù)包的識別結(jié)果，以日志的形式長期保存。

日志模塊對整個系統(tǒng)的正常運行作用非常大，在發(fā)生系統(tǒng)故障時，可以根據(jù)系統(tǒng)日志查找故障原因，能迅速判斷故障產(chǎn)生的原因；通過查看系統(tǒng)一段時期內(nèi)執(zhí)行的操作，可以防止非法使用，清除系統(tǒng)內(nèi)存在的隱患。在配置大容量存儲空間的情況下，還可以大規(guī)模長期保存系統(tǒng)產(chǎn)生的日志數(shù)據(jù)。

4 結(jié)束語

基于UAAE應(yīng)用識別技術(shù)的審計系統(tǒng)通過圖表的方式和排行的方式可以使得管理者對于網(wǎng)絡(luò)的應(yīng)用狀況和熱點有一個比較清晰的了解，涉及到具體的應(yīng)用以及每一次訪問行為，都會有一個詳細(xì)的內(nèi)容列表，包括：源地址、目的地址、協(xié)議、行為（讀取、改寫、復(fù)制、執(zhí)行）、行為頻度、可能的客戶端軟件等，這樣，相比起傳統(tǒng)的審計系統(tǒng)而言，管理員所能獲取的有用信息就明顯增多了。其特點概括如下：

1） 可以根據(jù)協(xié)議的前期報文識別具體的協(xié)議類型，從而可以很好的滿足實時性的要求。

2） 支持應(yīng)用的快速定義，這樣通過升級應(yīng)用特征庫可以達(dá)到快速支持識別新的應(yīng)用。

3） 引擎融合了DPI和DFI檢測技術(shù)，很好的彌補了單個技術(shù)應(yīng)用識別的不足，從個可以全面而完整的識別目前絕大部分的應(yīng)用。

4） 在協(xié)議的推導(dǎo)過程中，很好的結(jié)合了協(xié)議解析、檢測認(rèn)證以及攻擊行為的推導(dǎo)，從而極大的提高了攻擊檢測的精度。

5） 對于一個數(shù)據(jù)流，一旦應(yīng)用識別成功，可以智能識別記憶結(jié)果并判斷是否存在可能的安全風(fēng)險，這樣對于該數(shù)據(jù)流后續(xù)報文可以進行快速導(dǎo)航，從而提高設(shè)備的整體性能并提高對危險行為的檢測效率。

參考文獻(xiàn)：

[1] 周麗， 王小玲.基于網(wǎng)絡(luò)審計日志關(guān)聯(lián)規(guī)則挖掘的改進[J] .計算機技術(shù)與發(fā)展，2011，21（6）：150-153.

[2] 杜娟，蘇擁軍，侯曉燕.基于DPI和DFI技術(shù)的網(wǎng)絡(luò)流量檢測方案研究[J].科技信息，2013（3）：109.

[3] 陳朝暉.一種基于DPI 和DFI 技術(shù)的應(yīng)用識別系統(tǒng)[J].電子信息，2011（6）：77-80.

[4] 葉文晨，汪敏，等. 一種聯(lián)合DPI 和DFI 的網(wǎng)絡(luò)流量檢測方法[J].計算機工程，2011，37（10）：102-107.

[5] 候艷.基于深度包和流的流量識別系統(tǒng)設(shè)計[J].電子設(shè)計工程，2013，21（22）：30-32.

[6] 吳軍.一種以DPI為核心的網(wǎng)絡(luò)流量識別方案[J].軟件導(dǎo)刊，2014，13（1）：23-26.

[7] 張艷榮，張治中.基于DPI的移動分組網(wǎng)絡(luò)流量分析技術(shù)的研究與實現(xiàn)[J].電信科學(xué)，2014（4）：88-94.