一种用户内网行为挖掘与数据分析系统实现

易磊磊　鲁美艳

摘要：随着亳州供电公司网络规模的扩大，信息内网接入终端不断增加，终端安全成为信息内网安全管理工作中的重点，加强对终端网络行为（邮件发送、网页访问等）的监控，以及时发现并消除潜在的终端安全隐患，有利于提升信息内网的网络安全水平。本文给出用户内网行为挖掘与数据分析系统实现，通过巡检智能管理系统，通过建立完善的WEB邮件分析功能，网页查看审计功能。信息内网网络安全管理人员可以快速准确的发现异常的网络访问行为并采取合适措施，较大的提升了信息内网行为的感知、检测能力。

关键词：信息内网 行为检测 安全审计

中图分类号：TP391 文献标识码：A 文章编号：1007-9416（2016）09-0202-01

随着亳州供电公司网络规模的扩大，信息内网接入终端不断增加，终端安全成为信息内网安全管理工作中的重点，尤其是私网终端，多数终端没有安装VRV监控终端， 同时管理基线也较低，使得私网终端设备成为整个信息内网中的薄弱环节[1]。为此考虑建设信息内网终端行为审计系统，加强对终端网络行为（邮件发送、网页访问等）的监控，以及时发现并消除潜在的终端安全隐患，提升整个信息内网的网络安全水平[2]。

用户内网行为挖掘与数据分析系统通过建立完善的WEB邮件分析功能，网页查看审计功能，实现了提升整个信息内网网络安全水平的目标，能够及时发现并且消除潜在的终端安全隐患。做到一机运行，全网管理，不需要在被监控和被管理的电脑上安装任何软件；包含内容过滤功能，根据不同时期，灵活设定不同敏感字，系统自动根据敏感字，筛选出相应记录，通过告警信息及时反馈。

1 系统建设

1.1 总体架构

如图1所示，根据信息内网终端行为审计系统的设计目标，将整个系统技术架构分为：应用展示层、数据采集处理层、监控对象层；其中数据采集处理层利用现有的交换机端口镜像功能，通过Sniffer、WinPcap等技术实现对流量数据的采集[3]，并对内网终端行为数据进行过滤、分析、整理等工作；应用展示层提供行为审计信息的显示页面。具体提供邮件行为信息查询、网页访问行为信息查询、内网行为审计告警信息管理、系统配置管理、人员信息管理、组织管理、权限管理等功能。

1.2 关键技术

对内网行为进行监测，首先需要获取通向内网网络的接口流量；得到流量后，对数据包进行过滤，丢弃不在监测范围内的数据，避免数据过多，造成服务器负荷过大；再对WEB邮件和网页查看相关数据包进行解析，解析后内容最后存入数据库中；最后根据不同形式展示监测内容。关键步骤及技术包括网络搭建及高效的数据包处理。其中网络环境搭建见图2。

如图2所示，交换机现有端口1、端口2、端口3。端口1通向内网，作为源端口（被监测端口）。把端口2设置成端口1的镜像端口。这样经过端口1即来往于内网的所有数据都会被拷贝到端口2中。端口2、端口3分别连接的是行为监测服务器上的网卡1、网卡2。通常模式下网卡的工作是完成对于总线当前状态的探测，确定是否进行数据的传送，判断每个物理数据帧目的地是否为本站地址，如果不匹配，则说明不是发送到本站而将它丢弃。现在我们需要监测通向内网中任何一个地址的数据，这就需要把网卡配置成混杂模式（即监听模式），混杂模式的网卡，不管数据的目的地址是否是本站地址，只要经过都将被接收下来。因此需要把网卡1配置成混杂模式。交换机中的镜像端口只能接收数据，无法发送数据。便于网络上其他设备查看审计数据，我们需要给行为监测服务器另外配置网卡2，连接到交换机的端口3上，便于内网其他设备访问内网行为审计系统。

整个网络环境搭建，对内网内部网络和设备都没有任何要求，风险较低，实施简便。

1.3 系统实际应用

通过实施内网行为审计系统，可以有效的监测近一个月内内网网页查看和WEB邮件发送信息。通过预先设置敏感字，发出针对性的报警信息，及时给相关人员提供有利的线索。大大提高了内网的安全水平，见图3。

2 总结与展望

通过本系统的实施，信息内网网络安全管理人员可以快速准确的发现异常的网络访问行为并采取合适措施，同时可以根据信息内网访问行为合规性趋势指导信息内网安全宣传及防护工作，较大的提升了信息内网行为的感知、检测能力，进一步提升了信息内网的安全性。

参考文献

[1]乔佩利，李明明.一种改进的内网用户行为审计模型研究[J]，哈尔滨理工大学学报，2011， 16（5）：57-60.

[2]胡寅.基于安全审计记录的用户行为模式挖掘研究.贵州大学，2009.

[3]蔡家楣，陈洋.面向Web应用的用户行为审计系统[J].《计算机系统应用》，2009， 18（8）：10-14.