劉志宏 孫長國

（92117部隊(duì) 北京 100072）

1 引言

隨著信息技術(shù)及網(wǎng)絡(luò)安全的發(fā)展，網(wǎng)絡(luò)安全已經(jīng)發(fā)展成為一個(gè)“立體防御”的體系，網(wǎng)絡(luò)安全需要防護(hù)的不再是僅僅來自外部的威脅，內(nèi)部潛在的安全威脅更大，因此也越來越引起管理者的高度重視。網(wǎng)絡(luò)審計(jì)系統(tǒng)是預(yù)防內(nèi)部潛在威脅的重要手段之一[1]。

網(wǎng)絡(luò)審計(jì)系統(tǒng)的核心作用是幫助用戶對(duì)網(wǎng)絡(luò)中的各種活動(dòng)進(jìn)行識(shí)別，發(fā)現(xiàn)違規(guī)事件和敏感信息，并進(jìn)行事件的定位和追根溯源[2]，因此能否最終將事件落實(shí)到責(zé)任人是審計(jì)產(chǎn)品能否發(fā)揮作用的關(guān)鍵，而對(duì)事件的溯源和落實(shí)責(zé)任人是審計(jì)產(chǎn)品能否發(fā)揮作用的關(guān)鍵。

2 常規(guī)身份信息識(shí)別手段

網(wǎng)絡(luò)數(shù)據(jù)包中可獲取到的而用于溯源的信息只有IP地址和MAC地址，因此在早期的網(wǎng)絡(luò)審計(jì)系統(tǒng)中，通常是根據(jù)IP地址、MAC地址信息對(duì)事件進(jìn)行溯源并定位用戶身份的，但這2種方式都有很大的局限性，不能適應(yīng)所有的用戶場景，因此在之后的網(wǎng)絡(luò)審計(jì)系統(tǒng)中逐漸引入了通過對(duì)用戶進(jìn)行認(rèn)證或與身份認(rèn)證服務(wù)器進(jìn)行聯(lián)動(dòng)等獲取用戶身份信息的方式。

2.1 通過IP地址識(shí)別

在網(wǎng)絡(luò)數(shù)據(jù)流中很容易獲取到源IP地址，并且IP地址在數(shù)據(jù)傳輸中始終保持不變，因此通過IP地址對(duì)網(wǎng)絡(luò)中的事件追根溯源是最快捷途徑，如圖1所示，電腦分配了固定IP地址，而電腦是與用戶相關(guān)聯(lián)的，因此可以通過IP找到對(duì)應(yīng)的電腦，從而找到電腦的使用者[3]。但這需要一個(gè)終端IP地址固定的網(wǎng)絡(luò)環(huán)境。在這樣的網(wǎng)絡(luò)環(huán)境中每臺(tái)終端都有固定的IP地址，為了限制終端用戶更改IP地址，可以在接入交換機(jī)的接口上對(duì)IP地址進(jìn)行限制或者進(jìn)行IP/mac地址綁定，另外再結(jié)合相應(yīng)的管理措施以達(dá)到限制目的。

通過IP地址對(duì)網(wǎng)絡(luò)事件進(jìn)行定位和溯源雖然快捷，但有很大的局限性，其原因：一是需要大量的、持續(xù)不斷的IP地址使用情況統(tǒng)計(jì)工作，而且統(tǒng)計(jì)的準(zhǔn)確度將直接影響對(duì)網(wǎng)絡(luò)事件的定位是否精準(zhǔn)；二是通常終端用戶可以隨意更改其IP地址，所以在無法通過技術(shù)手段對(duì)終端IP地址進(jìn)行限制的網(wǎng)絡(luò)環(huán)境中，無法將IP地址與終端用戶的身份進(jìn)行關(guān)聯(lián)。

圖1 通過IP地址關(guān)聯(lián)用戶身份信息

2.2 通過mac地址識(shí)別

終端IP地址可以隨意更改給網(wǎng)絡(luò)事件的溯源帶來了困難，因此令人想到了mac地址固定不變的特點(diǎn)。每個(gè)網(wǎng)卡接口模塊在出廠時(shí)就被賦予了全球唯一的一個(gè)不變的mac地址，因此若能獲取到網(wǎng)絡(luò)數(shù)據(jù)流的源mac地址，就可以準(zhǔn)確追溯到發(fā)出數(shù)據(jù)的來源終端，進(jìn)而定位到實(shí)際責(zé)任人。

在二層交換環(huán)境中，不同的終端用戶使用的mac地址不同，因此可以將用戶身份信息和mac地址之間建立固定的關(guān)聯(lián)關(guān)系。通過mac地址進(jìn)行事件定位的好處是準(zhǔn)確性比較高，但其缺點(diǎn)也很明顯[4]：首先mac地址不能跨越三層交換設(shè)備傳輸，即便是跨三層獲取mac地址技術(shù)，也受交換設(shè)備種類、品牌等限制，并非在所有網(wǎng)絡(luò)環(huán)境中都有效；其次是要對(duì)事件進(jìn)行定位需要記錄mac地址與終端用戶身份信息的對(duì)應(yīng)關(guān)系，然而統(tǒng)計(jì)mac地址是一項(xiàng)十分繁重的工作，尤其在有大量終端用戶的網(wǎng)絡(luò)環(huán)境中。

2.3 主動(dòng)身份認(rèn)證

主動(dòng)身份認(rèn)證技術(shù)是通過強(qiáng)制用戶上網(wǎng)時(shí)通過賬號(hào)/密碼進(jìn)行身份認(rèn)證的方式，來實(shí)現(xiàn)終端IP地址和用戶身份信息的關(guān)聯(lián)。這種方式可以有效克服通過IP/MAC地址識(shí)別用戶身份時(shí)的諸多弊端，如事先統(tǒng)計(jì)IP或mac地址的問題、網(wǎng)絡(luò)環(huán)境適應(yīng)性的問題等。

但主動(dòng)身份認(rèn)證的前提是身份認(rèn)證不通過時(shí)要能夠阻斷終端用戶對(duì)網(wǎng)絡(luò)的訪問，阻斷方式通常有旁路阻斷或串聯(lián)阻斷兩種：旁路阻斷一般是通過發(fā)送Tcprest包來斷開源終端與目標(biāo)之間的鏈接，故這種方式只是對(duì)tcp類的應(yīng)用才有效果；串聯(lián)阻斷的方式通常用在上網(wǎng)行為管理類的產(chǎn)品中，由于是串聯(lián)在源用戶終端與其訪問的目標(biāo)之間，因此當(dāng)認(rèn)證不通過時(shí)可直接截?cái)嘤脩舻木W(wǎng)絡(luò)訪問行為。

3 智能身份信息關(guān)聯(lián)技術(shù)

如上面所述，當(dāng)前各種用戶身份信息識(shí)別的方式都有其各自的局限性，在一些用戶網(wǎng)絡(luò)環(huán)境中仍然存在無法有效獲取到IP地址對(duì)應(yīng)的用戶身份信息的現(xiàn)象。而通過創(chuàng)新性的智能身份信息關(guān)聯(lián)技術(shù)可以有效解決這一難題。

3.1 原理

網(wǎng)絡(luò)審計(jì)系統(tǒng)在網(wǎng)絡(luò)數(shù)據(jù)流中能有效的獲取到的溯源信息只有IP地址，因此智能身份信息關(guān)聯(lián)的核心也是將用戶的各種身份信息與其使用的IP地址進(jìn)行關(guān)聯(lián)，以幫助管理人員對(duì)該IP對(duì)應(yīng)的責(zé)任人進(jìn)行定位。如圖2所示：

圖2 智能身份信息關(guān)聯(lián)示意圖

其實(shí)現(xiàn)過程可分為如下幾個(gè)過程。

收集用戶身份信息：網(wǎng)絡(luò)審計(jì)系統(tǒng)從網(wǎng)絡(luò)數(shù)據(jù)流中收集用戶賬號(hào)等身份信息，然后將該身份信息對(duì)應(yīng)的IP地址以及類型發(fā)給網(wǎng)絡(luò)審計(jì)系統(tǒng)的用戶識(shí)別代理程序。

身份信息智能關(guān)聯(lián)：用戶識(shí)別代理程序獲取到用戶身份信息后，連同當(dāng)前事件一同發(fā)送到網(wǎng)絡(luò)審計(jì)系統(tǒng)的用戶身份信息庫中。

提取用戶身份信息：當(dāng)網(wǎng)絡(luò)審計(jì)系統(tǒng)記錄某一事件的審計(jì)日志時(shí)，審計(jì)系統(tǒng)從用戶身份信息庫中查找該事件發(fā)生的時(shí)間內(nèi)與該時(shí)間IP地址對(duì)應(yīng)的用戶身份信息，然后提取該身份信息并記錄在審計(jì)日志中。

智能身份信息關(guān)聯(lián)技術(shù)實(shí)現(xiàn)了自動(dòng)搜集并智能關(guān)聯(lián)用戶身份信息，可適用于任何網(wǎng)絡(luò)環(huán)境中，由于獲取身份信息的過程是網(wǎng)絡(luò)審計(jì)系統(tǒng)以旁路抓包的方式自動(dòng)完成的，所以既不會(huì)影響終端用戶體驗(yàn)，也不會(huì)增加管理員的管理成本，更不會(huì)帶來性能瓶頸和單點(diǎn)故障問題。

通過智能身份信息關(guān)聯(lián)技術(shù)，對(duì)于已經(jīng)觸發(fā)的任何一個(gè)告警事件，管理員可以輕松獲取到觸發(fā)該事件的主體人的所有網(wǎng)絡(luò)賬號(hào)資源，因此管理員將有更多的途徑來更高效、準(zhǔn)確的定位真實(shí)的事件責(zé)任人。

4 結(jié)束語

隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)實(shí)名制的呼聲越來越高。對(duì)于網(wǎng)絡(luò)審計(jì)系統(tǒng)來說，實(shí)名制的審計(jì)更是實(shí)現(xiàn)其使用價(jià)值的基礎(chǔ)，智能身份信息關(guān)聯(lián)技術(shù)的出現(xiàn)大大提高了身份識(shí)別與時(shí)間定位的精準(zhǔn)度，同時(shí)克服了網(wǎng)絡(luò)環(huán)境適應(yīng)性問題，日后必將成為備受關(guān)注的熱點(diǎn)技術(shù)。

[1]常德顯，楊英杰.分布式網(wǎng)絡(luò)審計(jì)系統(tǒng)的生存型設(shè)計(jì)〔J〕.微計(jì)算機(jī)信息.2007,24(8):78-80

[2]張信杰，王旭仁，吳剛.網(wǎng)絡(luò)審計(jì)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)〔J〕.微計(jì)算機(jī)信息，2009（25）：71-73.

[3]李志淮，樊亮.基于IP加密的網(wǎng)絡(luò)審計(jì)系統(tǒng)模型〔J〕.大連理工大學(xué)學(xué)報(bào)，2005（45）：59-61.

[4]程真強(qiáng).基于千兆網(wǎng)絡(luò)的安全審計(jì)系統(tǒng)〔D〕.大連：大連理工大學(xué)，2007.