用戶上網行為監控技術白皮書_第1頁
用戶上網行為監控技術白皮書_第2頁
用戶上網行為監控技術白皮書_第3頁
用戶上網行為監控技術白皮書_第4頁
用戶上網行為監控技術白皮書_第5頁
已閱讀5頁,還剩5頁未讀, 繼續免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、用戶上網行為監控技術白皮書關鍵詞:上網行為、網絡監控、協議識別、監控策略摘要:有效的監控用戶的上網行為,已經成為網絡安全的一個重要領域,也越來越受到人們的重視。本文主要介紹了H3C用戶上網行為監控技術的基本原理和典型應用。縮略語:縮略語英文全名中文解釋HTTPHypertext Transfer Protocol超文本傳輸協議FTPFile Transfer Protocol文件傳輸協議IMInstant Message即時消息P2PPoint to Point點對點目 錄 HYPERLINK l _bookmark0 概述 HYPERLINK l _bookmark0 3 HYPERLINK

2、 l _bookmark0 產生背景 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 H3C用戶上網行為監控的功能 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 H3C用戶上網行為監控的特點 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark2 技術實現 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark2 監控處理器 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3

3、Web控制臺 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark3 日志服務器 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark3 H3C實現的技術特色 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark3 基于流狀態的協議識別技術 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark4 可擴展、可升級的應用識別和行為識別能力 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 可靈活

4、配置的監控規則 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 豐富時間表特性 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 靈活的黑白名單特性 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 眾多的日志查看終端 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 完善的日志報表 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark5 典型組網應用 HYPERLINK

5、 l _bookmark5 8 HYPERLINK l _bookmark5 網關模式部署 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark6 旁路模式部署 HYPERLINK l _bookmark6 9概述產生背景隨著教育、政府、企事業單位等各類組織的信息化程度不斷提高,對信息系統的依賴隨之增加。因此,網絡信息系統的安全問題就變得越來越重要。根據權威機構的調查顯示,超過70的嚴重攻擊來自于組織中的內部人員,具體表現在以下幾個方面:內部員工訪問非法網站,通過文件共享、郵件等發送重要機密文件,導致信息外泄,造成惡劣影響。終端用戶為牟利,對各類應用系統

6、越權訪問、違規操作數據庫等造成的信息安全風險。各種 P2P 下載、在線視頻觀看等非關鍵業務流量過大,導致網絡出口擁擠不堪,各種關鍵業務無法正常開展。內網用戶 IP 地址隨時變化,對信息事件源難以定位。因此,如何規范和監控內部人員的上網行為已成為各組織機構迫切需要解決的問題。相關法規,如美國的2002年薩班斯-奧克斯利法案和中國的計算機信息系統安全保護等級劃分準則、公安部等級保護等,也對網絡的日志審計和行為審計提出了明確的要求,要能確保關鍵信息系統在可審計、可控制的狀態下運行。H3C用戶上網行為監控的功能如 HYPERLINK l _bookmark1 圖1所示,H3C用戶上網行為監控系統能夠在

7、企業用戶進行Web訪問、FTP訪問、IM應用和數據庫訪問時,對用戶的訪問行為進行有效監控。圖1 H3C用戶上網行為監控系統Web 應用監控功能可以對自定義關鍵字、自定義文件類型和網頁腳本進行過濾。FTP 應用監控功能可以對 FTP 用戶的登錄、退出、上傳/下載文件和目錄遍歷操作進行監控。IM 應用監控功能可以對用戶使用 QQ 和 MSN 工具的情況進行監控。數據庫應用監控功能可以對 Oracle 等數據庫用戶的登錄、下線及各種操作情況進行監控。H3C用戶上網行為監控的特點H3C用戶上網行為監控的主要特點如下:全面的上網行為記錄與分析對網站訪問、郵件收發、數據庫訪問與操作、文件傳輸、聊天應用、在

8、線視頻、網絡游戲、炒股應用等,提供全面的行為監控。實時的網絡流量分析與審計對各種常見的關鍵業務、非關鍵業務,如P2P下載、IM、網絡游戲、炒股應用等, 提供實時的流量分析與審計,并具備對單用戶/多用戶、IP群組等的定制分析與審計,利于快速排查問題。基于用戶名的上網行為監控基于用戶名(而非IP地址)進行行為監控,可直接、快速跟蹤并定位到事件源。解決了因為用戶IP地址動態變化,而難以定位信息事件源的問題。技術實現Web控制臺(監控策略配置/監控日志配置)日志服務器(Syslog主機/SecCenter服務器)數據庫監控日志收集/發送器HTTP協議監控器FTP協議監控器QQ協議監MSN協議控器監控器

9、數據庫協議監控器應用識別引擎報文接收器監控流量H3C用戶上網行為監控系統主要由監控處理器、Web控制臺和日志服務器三部分組 HYPERLINK l _bookmark2 成,其架構如圖2所示。圖2 H3C用戶上網行為監控系統架構監控處理器報文接收器完成網絡監控報文的收集;支持IP分片重組,可以提高網絡報文檢測的準確率。應用識別引擎對監控的網絡流量進行協議識別,并維護識別協議的狀態變遷信息,然后根據協議類型將網絡流量分送到相應的協議監控器。H3C采用了自主研發的應用識別引擎, 利用基于流狀態的協議識別專利技術,有效地提高了協議識別的準確性。對于H3C應用識別引擎的介紹具體請參見應用識別技術白皮書

10、。協議監控器根據協議的狀態信息,完成對協議的語法分析,實現對協議的全面解析,并根據配置的監控策略實施相應的監控動作(如:阻斷、上報日志等)。作為一個通用的協議監控模塊,協議監控器可以根據用戶的需要快速的擴充對其他協議的支持,從而積極響應用戶的需求。監控日志收集/發送器收集各協議監控器發送的監控日志信息,并根據用戶的配置,將監控日志發送到指定的日志終端。Web控制臺主要完成用戶上網行為監控策略和監控日志輸出參數的配置。用戶上網行為監控策略由一系列的監控規則組成,每一個監控規則規定了用戶所關心的監控選項。管理員通過定義一個或多個用戶上網行為監控策略, 并對不同的保護對象應用不同的監控策略,實現了高

11、度的可定制性。管理員可以根據需要配置日志輸出到不同的終端。日志服務器H3C用戶上網行為監控日志可以輸出到設備的信息中心、遠程Syslog主機或者H3C SecCenter服務器。此外,在H3C SecCenter服務器上還支持設備的多層次級聯部署,可以實現多級管理,從而滿足不同管理模式的需要。H3C實現的技術特色基于流狀態的協議識別技術H3C用戶上網行為監控系統采用自主研發的應用識別引擎,利用基于流狀態的協議識別專利技術,根據會話的狀態進行會話協議識別檢測,有效地提高了協議識別的準確性??蓴U展、可升級的應用識別和行為識別能力H3C用戶上網行為監控系統是一個可擴展的框架,可以及時擴展以支持新的應

12、用協議,滿足應用網絡的變化需求。同時,H3C有專門的應用協議分析團隊,能夠及時分析網絡中的應用變化,通過最新應用特征庫,可以即時提升用戶設備的應用識別及行為識別能力??伸`活配置的監控規則管理員可以配置自定義的關鍵字、文件類型,以及可以配置每條監控規則的各個監控字段。比如:對于FTP監控規則,可以配置只監控用戶登錄操作,也可以只配置只監控用戶通過FTP協議下載文件的操作,或者監控用戶的整個FTP操作。豐富時間表特性管理員可以指定多個用戶上網行為監控策略,并可以為不同的監控策略設置不同的生效時間段,從而可以輕松的實現在特定的時間內對特定的用戶進行監控。靈活的黑白名單特性針對每個配置的監控策略,管理

13、員可以定義自己的黑白名單列表,從而實現對不同的保護對象應用不同的監控策略。同時,在該策略下,管理員還可以指定免監控的用戶列表和免監控的服務器列表,實現了高度的可定制性。眾多的日志查看終端H3C的用戶上網行為監控日志可以輸出到眾多的終端,包括:設備本地數據庫、遠程Syslog主機或者遠端的H3C SecCenter服務器。對于各個輸出終端,用戶都可以進行方便的查詢和統計。在H3C SecCenter服務器上還支持多層次的級聯部署,可以實現多級管理。完善的日志報表在H3C SecCenter服務器上,可以根據指定的條件,方便的生成各種協議的監控日志報表。通過直觀的報表顯示,管理員可以方便的調整用戶

14、上網行為監控策略,以達到更好的網絡監控效果。典型組網應用H3C SecPath ACG應用控制網關(以下簡稱ACG設備)一般部署在網絡出口,對用戶上網行為進行監管。典型的部署模式有網關模式部署和旁路模式部署兩種,可以根據具體的網絡環境以及應用需求選擇合適的部署模式。用戶上網行為監控日志通過ACG設備的集中管理平臺ACG Manager進行展示。ACG Manager對監控結果進行分析和整理,通過圖形和表格等多種方式展示給管理員,使管理員對所有用戶上網行為一目了然。同時,ACG Manager還能夠對所有行為監管數據進行綜合分析,得出網站Top排名、訪問趨勢、用戶訪問Top排名、訪問趨勢等信息,指導管理員對網站的維護和對用戶的管理。網關模式部署圖3 網關模式部署對網絡應用流量的流向、趨勢,及用戶上網行為進行審計分析。對網絡應用流量及使用進行細粒度的控制。ACG 設備以

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論