用户上网行为监控白皮书.pdf

用户上网行为监控技术白皮书 关键词：上网行为、网络监控、协议识别、监控策略 摘 要：有效的监控用户的上网行为，已经成为网络安全的一个重要领域，也越来越受到人们 的重视。本文主要介绍了H3C用户上网行为监控技术的基本原理和典型应用。 缩略语： 缩略语 英文全名 中文解释 HTTP Hypertext Transfer Protocol 超文本传输协议 FTP File Transfer Protocol 文件传输协议 IM Instant Message 即时消息 P2P Point to Point 点对点 目 录 1 概述3 1.1 产生背景 3 1.2 H3C用户上网行为监控的功能 3 1.3 H3C用户上网行为监控的特点 4 2 技术实现 5 2.1 监控处理器 5 2.2 Web控制台 6 2.3 日志服务器 6 3 H3C实现的技术特色 6 3.1 基于流状态的协议识别技术 6 3.2 可扩展、可升级的应用识别和行为识别能力 7 3.3 可灵活配置的监控规则 7 3.4 丰富时间表特性 7 3.5 灵活的黑白名单特性 7 3.6 众多的日志查看终端 7 3.7 完善的日志报表 7 4 典型组网应用 8 4.1 网关模式部署 8 4.2 旁路模式部署 9 1 概述 1.1 产生背景 随着教育、政府、企事业单位等各类组织的信息化程度不断提高，对信息系统的依 赖随之增加。因此，网络信息系统的安全问题就变得越来越重要。根据权威机构的 调查显示，超过70 ％的严重攻击来自于组织中的内部人员，具体表现在以下几个方 面：  内部员工访问非法网站，通过文件共享、邮件等发送重要机密文件，导致信 息外泄，造成恶劣影响。  终端用户为牟利，对各类应用系统越权访问、违规操作数据库等造成的信息 安全风险。  各种 P2P 下载、在线视频观看等非关键业务流量过大，导致网络出口拥挤不 堪，各种关键业务无法正常开展。  内网用户IP 地址随时变化，对信息事件源难以定位。 因此，如何规范和监控内部人员的上网行为已成为各组织机构迫切需要解决的问题。 相关法规，如美国的《2002年萨班斯-奥克斯利法案》和中国的《计算机信息系统 安全保护等级划分准则》、公安部等级保护等，也对网络的日志审计和行为审计提 出了明确的要求，要能确保关键信息系统在可审计、可控制的状态下运行。 1.2 H3C用户上网行为监控的功能 如图1所示，H3C用户上网行为监控系统能够在企业用户进行Web访问、FTP访 问、IM应用和数据库访问时，对用户的访问行为进行有效监控。 图1 H3C用户上网行为监控系统  Web 应用监控功能可以对自定义关键字、自定义文件类型和网页脚本进行过 滤。  FTP 应用监控功能可以对 FTP 用户的登录、退出、上传/下载文件和目录遍 历操作进行监控。  IM 应用监控功能可以对用户使用 QQ 和MSN 工具的情况进行监控。  数据库应用监控功能可以对 Oracle 等数据库用户的登录、下线及各种操作情 况进行监控。 1.3 H3C用户上网行为监控的特点 H3C用户上网行为监控的主要特点如下：  全面的