張志鋼

(天津城市建設學院 信息化建設管理中心，天津 300384)

隨著校園網絡用戶的急劇增長及網絡與安全的日益融合，高校對網絡安全的重視程度和投入都在不斷增加，專業(yè)的安全設備、具有安全特性的網絡設備應用的越來越多，但由于設備之間相對獨立，缺乏有效的數(shù)據共享，使得高校在網絡安全設備投入后，仍面臨以下問題：①用戶審計困難．由于安全設備采用基于 IP地址的日志審計方式，能夠將進行非法網絡行為的用戶精確定義到該用戶上一次使用的 IP地址，但當網絡中采用了動態(tài)IP地址分配(DHCP)技術時，網管人員則不能依據IP地址鑒定用戶的身份，因此無法準確地找出進行非法網絡行為的用戶；②防御體系無法建立．過于強調對安全設備的信息收集，輕視對網絡設備的信息收集，缺少網絡設備提供的關鍵信息，防外容易防內難．

綜上所述，實現(xiàn)基于用戶的事前認證、事中監(jiān)控、事后審計及業(yè)務管理，提供行之有效的網絡管理及用戶行為審計，從而對網絡用戶的上網行為進行必要的規(guī)范，快速定位網絡入侵行為，保證網絡基礎設施為用戶提供正常、穩(wěn)定的服務，已經成為當前校園網絡管理者越來越關心的問題．基于此，筆者設計了基于用戶的校園網審計系統(tǒng)，通過建立詳細的用戶檔案信息，來幫助網管人員分析用戶的上網行為．

1 數(shù)據采集

1.1 數(shù)據來源

為了能夠有效地監(jiān)控和審計用戶行為，必須綜合利用網絡中的各種數(shù)據來源．路由器中的網絡地址轉換(NAT)信息包含了校園網中內外網絡的地址轉換信息，是用戶訪問外部網絡的憑據；流量控制設備提供了對用戶 P2P、網絡游戲、網絡多媒體、非法網站訪問等上網行為的監(jiān)控和記錄，是對用戶細粒度的網絡行為審計；用戶接入網絡時的認證、計費信息則記錄了用戶的上網時間、流量和認證記錄．只有對這些信息進行全面的記錄，才能為分析審計用戶的上網行為、加強對用戶的監(jiān)控與管理提供第一手資料．

1.2 數(shù)據采集方法

1.2.1 路由器數(shù)據采集

路由器布署在校園網的出口，其產生的 NAT轉換日志包含了源IP地址、源端口、目的IP地址、目的端口、協(xié)議號、NAT會話創(chuàng)建時間、結束時間等信息，直接收集比較困難，但可通過廠商提供的接口轉換成系統(tǒng)日志并使用日志服務器進行收集，由于NAT日志在系統(tǒng)日志中是以普通信息[1](級別 6 infomational)顯示的，因此，可以通過裁剪掉其他級別日志的方法來減少冗余數(shù)據．例如，H3C公司的路由器可以通過userlog flow syslog命令進行系統(tǒng)日志格式轉換[2]，如圖1所示，提取其中的信息，形成的NAT數(shù)據記錄表nat_log就可定位用戶訪問外網的源 IP地址、訪問外網時轉換的IP地址等信息．

1.2.2 流量控制設備數(shù)據采集

圖1 路由器NAT日志收集

流量控制設備布署在路由器和計費認證系統(tǒng)之間，其行為審計功能提供了基于IP地址的Web網頁訪問、FTP文件傳輸、郵件交互、即時通信等訪問行為的記錄，通過收集這些記錄形成的數(shù)據表acg_log，可以精確定位到校園網中每個 IP地址的網絡行為，但不同廠商的設備用戶行為記錄的格式會有所差別，為此筆者設計了 excel接口、syslog接口和 netflow接口，以保證系統(tǒng)的兼容性．

1.2.3 計費認證系統(tǒng)日志的采集

計費認證系統(tǒng)布署在流量控制設備以里，其日志詳細記錄了用戶名、登錄時間、使用的 IP地址、MAC地址、訪問的目的網站及端口等信息．計費認證系統(tǒng)在固定時間內周期性地提供數(shù)據記錄日志文件，通過提取該文件中的信息，形成計費系統(tǒng)數(shù)據記錄表boss_log，該表是本系統(tǒng)的核心數(shù)據．

1.3 數(shù)據采集頻率

NAT日志由于數(shù)據量大，變化也比較頻繁，因此以小時為單位進行采集；計費認證系統(tǒng)、流量控制設備日志由于設備自身對日志處理的比較充分，以天為單位對數(shù)據進行采集即可[3]．

2 數(shù)據分析

(1)通過數(shù)據庫技術對以上數(shù)據表以IP地址和時間為關鍵詞進行關聯(lián)分析、統(tǒng)計和挖掘并輔以報表引擎[4]，就可以掌握用戶的上網時間、IP地址、MAC 地址，有效地追查用戶帳號盜用；直觀地監(jiān)控用戶在上網過程中所訪問地 URL、發(fā)送 Email的記錄；追查訪問不法站點和發(fā)表不當言論的用戶；追蹤發(fā)起網絡攻擊的攻擊源；了解用戶的訪問熱點及校園網絡流量分布情況，為校園網資源的優(yōu)化提供堅實的數(shù)據基礎．

(2)由于各數(shù)據源的采樣時間并不是統(tǒng)一的[5]，每個表中的時間可能不會完全吻合，但存在包含關系．因此，在數(shù)據表連接時，要設置合理的差值，以保證數(shù)據關聯(lián)的準確性．

(3)數(shù)據關聯(lián)和分析時間在理論上是沒有限制的，但實際和系統(tǒng)采樣周期有關，建議按天進行關聯(lián)分析，也可設計成靈活的方式，隨時進行分析，但處理龐大的數(shù)據會對系統(tǒng)性能帶來考驗．

3 原型系統(tǒng)的實現(xiàn)

系統(tǒng)采用基于J2EE技術和B/S三層應用模型設計[6]，由日志采集和整理模塊、數(shù)據關聯(lián)和分析模塊、系統(tǒng)管理模塊、Web查詢模塊組成，如圖2所示．系統(tǒng)管理模塊主要負責參數(shù)的設定；數(shù)據采集和整理模塊負責周期性地采集相關日志信息，存儲在Mysql數(shù)據庫中，為了保證數(shù)據檢索的高效、快捷，數(shù)據庫中的日志信息表以天為單位進行存儲；Web查詢模塊將收到的查詢請求發(fā)送給數(shù)據關聯(lián)和分析模塊，由其處理后，將結果以 Web頁面的形式進行展示，如圖3所示，圖中所列的用戶名為學生的學號．

圖3 Web頁面返回的查詢結果

4 結 語

筆者分析了校園網用戶行為審計的關鍵數(shù)據，提出了路由器、流量控制、計費認證設備數(shù)據對象收集處理的方法，并在此基礎上構建了實際運行的審計系統(tǒng)．

本系統(tǒng)的應用為校園網建立了詳細的用戶網絡行為檔案，同時系統(tǒng)提供的分析數(shù)據，可以幫助網管人員分析用戶的上網行為，并對上網的策略進行相關的調整，從而為實現(xiàn)網絡用戶認證、權限的輕松管理，用戶上網行為的有效規(guī)范打下了堅實的基礎．

［1］ 李 甜. 基于 Syslog的日志審計系統(tǒng)的研究和實現(xiàn)[J]. 中國新通信，2008(12)：47-49.

［2］ 杭州華三通信技術有限公司. FLOW日志管理[EB/OL].(2009-09-15)[2009-10-30]http：//www. h3c. com.cn/Service/ Document_Center/IP_Network_Product/Routers/SR6600/SR6600/Configure/Operation_Manual/SR6600_OM- Rlease2211(V1.05)/08/200811/619477_30005_0.htm.

［3］ 周昌令，崔 建，尚 群，等. 校園網用戶定位系統(tǒng)設計與實現(xiàn)[J]. 中國教育網絡，2007(2)：30-32.

［4］ 廖春盛，趙 瓊. 校園網用戶分類策略的實現(xiàn)[J]. 華南師范大學學報：自然科學版，2008(2)：56-61．

［5］ 秦 華，劉 亢，王晨曦，等. 校園網用戶上網自動記錄和追蹤技術[J]. 北京工業(yè)大學學報，2005(4)：434-438.

［6］ 李桂寶. 基于分布式校園網用戶數(shù)據流安全設計研究[J]. 中國教育信息化，2008(11)：72-74．