UAAE应用识别技术在网络审计系统上的设计策略.docVIP

　　UAAE应用识别技术在网络审计系统上的设计策略4500字 1 概述 　　互联犹如一般双刃剑，在给人们带来方便的同时，也带来了络安全的巨大隐患，每年由于络安全事件所带来的经济损失和国家安全威胁一直居高不下。在个人用户层面，由于病毒、木马、恶意扫描和其它的黑客攻击手段造成的个人信息泄露、财产损失和其它的问题已经使得用户不胜其扰。各部门对于络信息安全的工作愈来愈重视，各类加强络安全的软硬件被相继部署到内与DMZ区之间或者是放置在出口位置[1]。很多单位也考虑利用络行为分析和审计系统来监控分析用户的上行为。但是传统的行为审计与分析系统只能做到对络行为的记录和收集，对于深入分析这一块做的不是很好。 　　对于一些非法的、未受控的应用必须识别并加以控制，否则他们将利用络这一封闭管道，挤占合法应用带宽，如在内部络中中，P2P下载、娱乐类等应用占用了大量的带宽，会对正常的业务造成极大的影响。 　　现阶段，基于端口进行应用协议的识别是最为通常的手段。但随着各种络应用的逐步丰富，这种基于端口来识别报文所属协议类型的方法暴露出其存在的不足，这就迫切要求一种基于更新的识别技术的审计系统来解决问题。随着络安全防护过程中对应用层的关注，基于深度包检测技术（DPI）和深度流检测技术（DFI）成为安全领域的热门技术之一[2]。 　　2 UAAE（Universal Application Apperceiving Engine）技术 　　2.1常见的应用识别技术分析 　　为了应对端口固定进行协议识别的缺陷[3]，在实际使用过程中，主要有DPI和DFI两种技术： 　　DPI（Deep Packet Inspecttion），即深度包检测。在进行分析报文头的基础上，结合不同的应用协议的指纹综合判断所属的应用。 　　DFI（Deep Flodash;mdash;UAEE（Universal Application Apperceiving Engine）。在该应用识别模型中，对于应用的识别可以分成如下几类： 　　1） 固定端口协议类：一些协议如BGP、RIP等，其端口是相对稳定的，可以根据端口号快速识别。 　　2） 特征状态发现协议类：绝大部分P2P协议的端口是不固定的，有些甚至故意使用一些标准协议的知名端口，如BT、Emule、迅雷、Skype等，都会使用80端口进行协议交互，因此需要依靠深入的数据分析来识别这些应用协议。 　　3） 隧道协议类：防火墙和NAT设备的部署使得络中出现了很多应用层隧道。如HTTP Tunnel，表面来看是一个80端口的连接，但实际上里面有可能承载了任何种类的应用数据。 　　4） 流量模型发现协议类：越来越多的P2P流量采用加密方式传输，如迅雷、Skype等，通过上述应用指纹方式是无法识别的。 　　在UAEE模型中，对于上述类别1-3采用DPI技术进行具体应用的识别；对于DPI技术无法识别的应用和数据流，则通过DFI进行流量的识别[4]，及上述类别4。 　　2.2.2 UAEE模型 　　在IP协议簇中，协议是有层次关系的，如同一棵树，如图1所示。 　　对于每个协议，可以通过应用指纹来识别。应用指纹即协议的特征，它可以对一个或多个进行定义，这样也组成了协议特征树。对于每个特征可以指定其对应的父辈协议特征，UAEE通过一套完整的语法来描述协议的识别方法。 　　如图2所示，数据包经过重组后送到协议识别核心模块，该模块将数据包交给检测引擎进行检测；检测引擎根据接收到的动态下发的协议特征树对数据包进行检测，然后向协议识别核心模块返回命中的检测结果；协议识别核心模块根据该检测结果和其内部的协议特征树进行协议层次推导并识别出相应的协议。同时如果协议识别核心模块发现一个会话经过多个报文仍然没有获知最上层应用，则会采用DFI技术对流量进行深度分析识别[5]，从而判断出对应未知流量所属应用。 　　UAEE引擎在结合应用模型分类识别的基础上，还能够进行有效灵活的智能决策。它可以对各种智能手段和验证方法进行优先级排序，高优先级的识别结果动态智能的替换低优先级的识别结果，使应用识别的结果精确度大大提高。例如，对于使用TCP 80端口登录的Skype协议，在TCP握手时，UAEE根据端口识别出该会话是一个HTTP会话。进一步检测会话的内容，一旦识别了Skype的登录特征，UAEE可以依据优先级立即智能地做出判决，将会话识别为Skype登录协议。 　　3 基于UAAE的络审计系统设计 　　3.1 系统架构 　　系统在传统的络审计系统基础上，分为用户界面、流量分析及处理和日志记录等几个模块，其中流量分析及处理部分又分为流量识别、数据包处理和协议及端口分析三个部分[6]，主要负责对流量数据包进行捕获、分析和处理，并根据端口和协议