张志钢
(天津城市建设学院 信息化建设管理中心,天津 300384)
随着校园网络用户的急剧增长及网络与安全的日益融合,高校对网络安全的重视程度和投入都在不断增加,专业的安全设备、具有安全特性的网络设备应用的越来越多,但由于设备之间相对独立,缺乏有效的数据共享,使得高校在网络安全设备投入后,仍面临以下问题:①用户审计困难.由于安全设备采用基于 IP地址的日志审计方式,能够将进行非法网络行为的用户精确定义到该用户上一次使用的 IP地址,但当网络中采用了动态IP地址分配(DHCP)技术时,网管人员则不能依据IP地址鉴定用户的身份,因此无法准确地找出进行非法网络行为的用户;②防御体系无法建立.过于强调对安全设备的信息收集,轻视对网络设备的信息收集,缺少网络设备提供的关键信息,防外容易防内难.
综上所述,实现基于用户的事前认证、事中监控、事后审计及业务管理,提供行之有效的网络管理及用户行为审计,从而对网络用户的上网行为进行必要的规范,快速定位网络入侵行为,保证网络基础设施为用户提供正常、稳定的服务,已经成为当前校园网络管理者越来越关心的问题.基于此,笔者设计了基于用户的校园网审计系统,通过建立详细的用户档案信息,来帮助网管人员分析用户的上网行为.
为了能够有效地监控和审计用户行为,必须综合利用网络中的各种数据来源.路由器中的网络地址转换(NAT)信息包含了校园网中内外网络的地址转换信息,是用户访问外部网络的凭据;流量控制设备提供了对用户 P2P、网络游戏、网络多媒体、非法网站访问等上网行为的监控和记录,是对用户细粒度的网络行为审计;用户接入网络时的认证、计费信息则记录了用户的上网时间、流量和认证记录.只有对这些信息进行全面的记录,才能为分析审计用户的上网行为、加强对用户的监控与管理提供第一手资料.
1.2.1 路由器数据采集
路由器布署在校园网的出口,其产生的 NAT转换日志包含了源IP地址、源端口、目的IP地址、目的端口、协议号、NAT会话创建时间、结束时间等信息,直接收集比较困难,但可通过厂商提供的接口转换成系统日志并使用日志服务器进行收集,由于NAT日志在系统日志中是以普通信息[1](级别 6 infomational)显示的,因此,可以通过裁剪掉其他级别日志的方法来减少冗余数据.例如,H3C公司的路由器可以通过userlog flow syslog命令进行系统日志格式转换[2],如图1所示,提取其中的信息,形成的NAT数据记录表nat_log就可定位用户访问外网的源 IP地址、访问外网时转换的IP地址等信息.
1.2.2 流量控制设备数据采集
图1 路由器NAT日志收集
流量控制设备布署在路由器和计费认证系统之间,其行为审计功能提供了基于IP地址的Web网页访问、FTP文件传输、邮件交互、即时通信等访问行为的记录,通过收集这些记录形成的数据表acg_log,可以精确定位到校园网中每个 IP地址的网络行为,但不同厂商的设备用户行为记录的格式会有所差别,为此笔者设计了 excel接口、syslog接口和 netflow接口,以保证系统的兼容性.
1.2.3 计费认证系统日志的采集
计费认证系统布署在流量控制设备以里,其日志详细记录了用户名、登录时间、使用的 IP地址、MAC地址、访问的目的网站及端口等信息.计费认证系统在固定时间内周期性地提供数据记录日志文件,通过提取该文件中的信息,形成计费系统数据记录表boss_log,该表是本系统的核心数据.
NAT日志由于数据量大,变化也比较频繁,因此以小时为单位进行采集;计费认证系统、流量控制设备日志由于设备自身对日志处理的比较充分,以天为单位对数据进行采集即可[3].
(1)通过数据库技术对以上数据表以IP地址和时间为关键词进行关联分析、统计和挖掘并辅以报表引擎[4],就可以掌握用户的上网时间、IP地址、MAC 地址,有效地追查用户帐号盗用;直观地监控用户在上网过程中所访问地 URL、发送 Email的记录;追查访问不法站点和发表不当言论的用户;追踪发起网络攻击的攻击源;了解用户的访问热点及校园网络流量分布情况,为校园网资源的优化提供坚实的数据基础.
(2)由于各数据源的采样时间并不是统一的[5],每个表中的时间可能不会完全吻合,但存在包含关系.因此,在数据表连接时,要设置合理的差值,以保证数据关联的准确性.
(3)数据关联和分析时间在理论上是没有限制的,但实际和系统采样周期有关,建议按天进行关联分析,也可设计成灵活的方式,随时进行分析,但处理庞大的数据会对系统性能带来考验.
系统采用基于J2EE技术和B/S三层应用模型设计[6],由日志采集和整理模块、数据关联和分析模块、系统管理模块、Web查询模块组成,如图2所示.系统管理模块主要负责参数的设定;数据采集和整理模块负责周期性地采集相关日志信息,存储在Mysql数据库中,为了保证数据检索的高效、快捷,数据库中的日志信息表以天为单位进行存储;Web查询模块将收到的查询请求发送给数据关联和分析模块,由其处理后,将结果以 Web页面的形式进行展示,如图3所示,图中所列的用户名为学生的学号.
图3 Web页面返回的查询结果
笔者分析了校园网用户行为审计的关键数据,提出了路由器、流量控制、计费认证设备数据对象收集处理的方法,并在此基础上构建了实际运行的审计系统.
本系统的应用为校园网建立了详细的用户网络行为档案,同时系统提供的分析数据,可以帮助网管人员分析用户的上网行为,并对上网的策略进行相关的调整,从而为实现网络用户认证、权限的轻松管理,用户上网行为的有效规范打下了坚实的基础.
[1] 李 甜. 基于 Syslog的日志审计系统的研究和实现[J]. 中国新通信,2008(12):47-49.
[2] 杭州华三通信技术有限公司. FLOW日志管理[EB/OL].(2009-09-15)[2009-10-30]http://www. h3c. com.cn/Service/ Document_Center/IP_Network_Product/Routers/SR6600/SR6600/Configure/Operation_Manual/SR6600_OM- Rlease2211(V1.05)/08/200811/619477_30005_0.htm.
[3] 周昌令,崔 建,尚 群,等. 校园网用户定位系统设计与实现[J]. 中国教育网络,2007(2):30-32.
[4] 廖春盛,赵 琼. 校园网用户分类策略的实现[J]. 华南师范大学学报:自然科学版,2008(2):56-61.
[5] 秦 华,刘 亢,王晨曦,等. 校园网用户上网自动记录和追踪技术[J]. 北京工业大学学报,2005(4):434-438.
[6] 李桂宝. 基于分布式校园网用户数据流安全设计研究[J]. 中国教育信息化,2008(11):72-74.