網(wǎng)絡(luò)行為管理系統(tǒng)的研究和設(shè)計(jì)

【摘 要】本文對(duì)網(wǎng)絡(luò)行為管理系統(tǒng)進(jìn)行了簡要概述，并分析了它的技術(shù)特點(diǎn)和組建要點(diǎn)。同時(shí)結(jié)合現(xiàn)有的技術(shù)，針對(duì)當(dāng)前網(wǎng)絡(luò)管理中存在的問題，用技術(shù)手段實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)訪問過程中非正常行為的管理，消除由于內(nèi)網(wǎng)的一些不良行為引起的網(wǎng)絡(luò)安全問題，防范潛在的法律風(fēng)險(xiǎn)。同時(shí)也為浙江廣播電視集團(tuán)構(gòu)建完整、系統(tǒng)的集中式網(wǎng)絡(luò)行為管理系統(tǒng)，為集團(tuán)未來的全集團(tuán)整體信息化打好堅(jiān)實(shí)的技術(shù)基礎(chǔ)提供了很多很好的建議。

【關(guān)鍵詞】流量識(shí)別；行為管理；單點(diǎn)登陸；IP/MAC綁定

一、前言

按照摩爾定律，IT產(chǎn)業(yè)已遠(yuǎn)超我們想象的速度在發(fā)展著。計(jì)算機(jī)從單機(jī)走向聯(lián)網(wǎng)，人們對(duì)網(wǎng)絡(luò)的需求也從原來的工作為主，逐步轉(zhuǎn)向了電子商務(wù)、流媒體、大型游戲的等為代表的多媒體娛樂活動(dòng)。相應(yīng)的網(wǎng)絡(luò)基礎(chǔ)環(huán)境也發(fā)生了極大的變化：網(wǎng)絡(luò)拓?fù)淙找鎻?fù)雜，網(wǎng)絡(luò)安全日益嚴(yán)峻，用戶需求不斷提高，應(yīng)用熱點(diǎn)越來越多變。而反觀以TCP/IP協(xié)議為主的計(jì)算機(jī)網(wǎng)絡(luò)，設(shè)計(jì)就是一個(gè)盡力而為的網(wǎng)絡(luò)，決定了它本身就是一個(gè)不安全、低可靠性（靠TCP協(xié)議保證），并且可管理性較差的網(wǎng)絡(luò)。黑客攻擊、網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)偵聽、木馬后門、拒絕服務(wù)（DDoS）等信息安全問題；網(wǎng)絡(luò)服務(wù)阻塞、鏈路擁塞失效、其他硬件故障等可靠性問題；網(wǎng)絡(luò)權(quán)限（AAA）控制、網(wǎng)絡(luò)監(jiān)控、數(shù)據(jù)統(tǒng)計(jì)等管理問題都日益嚴(yán)重。

本文對(duì)網(wǎng)絡(luò)行為管理系統(tǒng)的現(xiàn)狀進(jìn)行了調(diào)研，根據(jù)企業(yè)戰(zhàn)略和業(yè)務(wù)支撐系統(tǒng)的發(fā)展遠(yuǎn)景，提出了網(wǎng)絡(luò)行為管理系統(tǒng)的技術(shù)框架和功能設(shè)計(jì)，并對(duì)所涉及的具體需進(jìn)行研究、分析，旨在深入根據(jù)實(shí)際的應(yīng)用需求提出一個(gè)合理的系統(tǒng)方案，使得系統(tǒng)能夠適用于實(shí)際需求，成為高效可靠的系統(tǒng)，進(jìn)一步提升信息化管理水平。

二、系統(tǒng)設(shè)計(jì)基本概況

本論文的研究目標(biāo)是規(guī)劃設(shè)計(jì)一套網(wǎng)絡(luò)行為管理系統(tǒng)，期望能在將來的企業(yè)選型開發(fā)和設(shè)計(jì)中起到一定的啟示作用。從其功能特性出發(fā)，我們需要了解系統(tǒng)實(shí)現(xiàn)的原理以及其涉及到的核心技術(shù)，并且指出了此類產(chǎn)品中存在的問題及其今后的發(fā)展方向，重點(diǎn)在于內(nèi)容識(shí)別、流量識(shí)別、流量控制的實(shí)現(xiàn)，因此，如何提高識(shí)別的準(zhǔn)確率，是研究最為廣泛并且最有難度的一個(gè)課題，以此作為我們選擇和定制此類產(chǎn)品的標(biāo)準(zhǔn)，同時(shí)配合此類產(chǎn)品獨(dú)立開發(fā)一個(gè)支撐平臺(tái)與之配套。

整個(gè)網(wǎng)絡(luò)行為管理系統(tǒng)功能上分成四部分，具體拓?fù)浣Y(jié)構(gòu)如圖1所示：

1.硬件平臺(tái)：采用國內(nèi)主流廠商的硬件平臺(tái)，透明方式串聯(lián)接入網(wǎng)絡(luò)，具體位置位于核心交換機(jī)與出口防火墻之間。硬件平臺(tái)主要進(jìn)行內(nèi)容識(shí)別、流量識(shí)別、流量控制的實(shí)現(xiàn)、用戶IP/MAC的識(shí)別、用戶認(rèn)證以及策略的制定與實(shí)現(xiàn)。

2.數(shù)據(jù)中心：包括網(wǎng)管服務(wù)器、數(shù)據(jù)庫、存儲(chǔ)，記錄各種應(yīng)用行為，存儲(chǔ)硬件平臺(tái)提供監(jiān)控、審計(jì)數(shù)據(jù)，并保存所有的系統(tǒng)日志。

3.支撐平臺(tái)：提供人機(jī)接口界面，并通過此界面管理硬件平臺(tái)、數(shù)據(jù)中心服務(wù)器、認(rèn)證服務(wù)器、DHCP服務(wù)器；進(jìn)行用戶/用戶組的管理，權(quán)限分配，并負(fù)責(zé)對(duì)數(shù)據(jù)中心、認(rèn)證服務(wù)器、DHCP服務(wù)器、硬件平臺(tái)的用戶數(shù)據(jù)實(shí)時(shí)同步；權(quán)限定制與分發(fā)，根據(jù)不同用戶、不同部門、不同使用范圍差異化的進(jìn)行網(wǎng)絡(luò)使用權(quán)限劃分。數(shù)據(jù)分析功能，對(duì)數(shù)據(jù)中心存儲(chǔ)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、排序、審計(jì)等，獲得網(wǎng)絡(luò)活動(dòng)狀況的當(dāng)前、歷史情況。

4.DHCP服務(wù)器（認(rèn)證）：與數(shù)據(jù)中心數(shù)據(jù)庫保持?jǐn)?shù)據(jù)同步，同時(shí)控制DHCP服務(wù)進(jìn)行IP地址自動(dòng)分配，滿足基于IP地址的用戶終端設(shè)備管理，同時(shí)可以管理用戶，實(shí)施ip/mac的綁定。

三、系統(tǒng)實(shí)現(xiàn)功能

網(wǎng)絡(luò)行為管理系統(tǒng)建設(shè)規(guī)劃需要考慮的兩個(gè)首要問題。

首先，對(duì)于未來網(wǎng)絡(luò)行為管理系統(tǒng)的建設(shè)，所面臨的首要問題是如何滿足日益增長、日益變化的網(wǎng)絡(luò)應(yīng)用狀況，以及滿足對(duì)產(chǎn)品性能及分析能力的需求，特別是對(duì)于企業(yè)的內(nèi)部網(wǎng)絡(luò)來說，更注重網(wǎng)絡(luò)記賬和網(wǎng)絡(luò)控制功能。隨著網(wǎng)絡(luò)應(yīng)用的逐漸增多，以及加密技術(shù)的不斷進(jìn)步，如何從海量數(shù)據(jù)中迅速而準(zhǔn)確的識(shí)別各種應(yīng)用數(shù)據(jù)，是一個(gè)很大的挑戰(zhàn)。因此基于網(wǎng)絡(luò)行為的、針對(duì)復(fù)雜應(yīng)用的語義分析等技術(shù)也會(huì)逐漸被引入到網(wǎng)絡(luò)行為管理產(chǎn)品中。

其次，網(wǎng)絡(luò)行為管理系統(tǒng)具有較高的網(wǎng)絡(luò)適應(yīng)能力，適應(yīng)各種網(wǎng)絡(luò)拓?fù)洵h(huán)境新系統(tǒng)的部署不能更改原有網(wǎng)絡(luò)的架構(gòu)，不能破壞用戶的網(wǎng)絡(luò)基礎(chǔ)設(shè)施規(guī)劃，也不能影響到其他設(shè)備的性能，要做到無縫接入。因此，做到靈活接入是網(wǎng)絡(luò)行為管理設(shè)備必須要做到的。

網(wǎng)絡(luò)行為管理系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)功能主要包括訪問控制、身份認(rèn)證、監(jiān)控審計(jì)、帶寬流量管理、權(quán)限管理、IP和MAC管理、終端管理、查詢統(tǒng)計(jì)。

1.訪問控制

主要實(shí)現(xiàn)網(wǎng)頁行為過濾、搜索關(guān)鍵字過濾、發(fā)帖關(guān)鍵字過濾、文件類型過濾、應(yīng)用控制、反釣魚網(wǎng)站功能、反釣魚網(wǎng)站功能、加密管理、郵件管理。

2.身份認(rèn)證

現(xiàn)今大多數(shù)企業(yè)的身份認(rèn)證仍舊采用靜態(tài)的用戶名、明文密碼認(rèn)證方式，在身份認(rèn)證過程中與認(rèn)證設(shè)備交換的數(shù)據(jù)消息為明文方式，未進(jìn)行DES等加密算法或者RSA散列算法的處理，導(dǎo)致的直接后果是用戶名、口令等敏感數(shù)據(jù)很容易被截獲和泄露。因此一套安全、穩(wěn)定的身份認(rèn)證對(duì)于一個(gè)成熟的企業(yè)網(wǎng)絡(luò)是必不可少的，同時(shí)兼顧效率。

整個(gè)認(rèn)證的流程如圖2所示。

3.監(jiān)控審計(jì)

訪問控制功能主要決定了用戶能做什么，而用戶進(jìn)行相關(guān)操作后，系統(tǒng)需要提供全面的、靈活的監(jiān)控審計(jì)功能。

4.帶寬流量管理

具體有以下幾種的分配方式：主流業(yè)務(wù)優(yōu)先分配，設(shè)置服務(wù)下限；非業(yè)務(wù)流量設(shè)置上限；基于用User/Group的流量分配；基于協(xié)議分類的流量分配；根據(jù)時(shí)間段進(jìn)行分配：在不同的時(shí)間段對(duì)不同的業(yè)務(wù)類型進(jìn)行調(diào)整，從而實(shí)現(xiàn)帶寬資源利用率的最大化。

在實(shí)際使用中以上諸多流量分配方式混合應(yīng)用。

5.權(quán)限管理

上網(wǎng)行為管理需要提供3A功能，可以通過用戶帳號(hào)、IP、MAC的綁定功能，通過身份認(rèn)證來實(shí)現(xiàn)對(duì)用戶的互聯(lián)網(wǎng)準(zhǔn)入控制，防止未授權(quán)的人員使用單位網(wǎng)絡(luò)。對(duì)于外來人員的互聯(lián)網(wǎng)使用需求，可以通過額外的流程準(zhǔn)入，提高網(wǎng)絡(luò)使用的便捷性。

6.IP和MAC管理

IP地址是計(jì)算機(jī)的身份標(biāo)識(shí)，是進(jìn)行網(wǎng)絡(luò)路由的門牌號(hào)碼。在IP地址管理的基礎(chǔ)上，需要增加MAC地址的管理。MAC地址是指的計(jì)算機(jī)網(wǎng)卡上內(nèi)置的硬件信息，相對(duì)IP地址不容易更改，更重要的是可以建立IP地址與MAC地址的對(duì)應(yīng)關(guān)系表，形成IP+MAC的記錄項(xiàng)，這樣當(dāng)其中的任何一樣放生改變時(shí)，即可認(rèn)為有非法用戶進(jìn)入系統(tǒng)。

7.終端管理

分成兩部分，包括用戶管理和PC管理。

用戶管理：現(xiàn)有的OA系統(tǒng)已經(jīng)有了自己的用戶信息庫，而上網(wǎng)行為管理系統(tǒng)也有自己的用戶信息庫，兩者并不相同。因此我們的支撐平臺(tái)要建立一套用戶信息庫，主要內(nèi)容來自于OA系統(tǒng)，并同步給上網(wǎng)行為管理系統(tǒng)設(shè)備，保證兩邊的數(shù)據(jù)一致性。

終端管理：因?yàn)槲覀兊木W(wǎng)絡(luò)管理系統(tǒng)主要管理的是我們設(shè)備，當(dāng)然最直接的就是pc終端。如何很好的對(duì)pc終端進(jìn)行管理是衡量這個(gè)系統(tǒng)是否有效、是否有價(jià)值的一個(gè)標(biāo)準(zhǔn)。

8.查詢統(tǒng)計(jì)

管理員可以通過數(shù)據(jù)中心的內(nèi)容檢索工具，從海量日志中進(jìn)行實(shí)時(shí)查詢、審計(jì)所需的日志記錄，并生成，詳細(xì)的報(bào)表和圖形化統(tǒng)計(jì)結(jié)果，并且支持導(dǎo)出功能，以及電子郵件轉(zhuǎn)發(fā)方便日常管理。

四、系統(tǒng)實(shí)現(xiàn)方式

網(wǎng)絡(luò)行為管理系統(tǒng)由支撐平臺(tái)（網(wǎng)絡(luò)管理系統(tǒng)）、硬件平臺(tái)）、DHCP服務(wù)平臺(tái)、數(shù)據(jù)中心四大部分組成。其中，支撐平臺(tái)包含了我的工作、信息查詢、報(bào)表統(tǒng)計(jì)、系統(tǒng)維護(hù)；上網(wǎng)行為管理系統(tǒng)主要是根據(jù)需求和要求進(jìn)行設(shè)備的采購；DHCP服務(wù)平臺(tái)采用windows2003自帶的DHCP服務(wù)，可以采用集群的方式。

支撐平臺(tái)網(wǎng)絡(luò)管理系統(tǒng)分別通過UDP客戶端和Webservice客戶端向兩者發(fā)送用戶和IP/MAC信息，以完成信息的三者同步。

1.硬件平臺(tái)的實(shí)現(xiàn)

上網(wǎng)行為管理系統(tǒng)目前在市場上有很多成熟的產(chǎn)品，目前不僅國外的有，國內(nèi)做的好的也不少，比如深信服的AC產(chǎn)品、天易成上網(wǎng)行為管理系統(tǒng)、瑞星的RAC上網(wǎng)行為管理系統(tǒng)等。同時(shí)這些產(chǎn)品都支持二次開發(fā)，而且性能上都很不錯(cuò)。

經(jīng)過對(duì)各廠家多款設(shè)備全方面的比較，在實(shí)際系統(tǒng)實(shí)現(xiàn)中采用了深信服AC系列產(chǎn)品，利用其自帶的流量識(shí)別算法，已經(jīng)實(shí)現(xiàn)了訪問控制、監(jiān)察審計(jì)、帶寬管理功能。

2.數(shù)據(jù)中心平臺(tái)的實(shí)現(xiàn)

數(shù)據(jù)中心服務(wù)器采用Windows平臺(tái)，運(yùn)行IBM DB2數(shù)據(jù)庫。此部分?jǐn)?shù)據(jù)庫包含兩部分內(nèi)容：硬件平臺(tái)的日志記錄，以及支撐平臺(tái)的所有數(shù)據(jù)記錄。

3.DHCP服務(wù)平臺(tái)的實(shí)現(xiàn)

DHCP服務(wù)實(shí)現(xiàn)主要包括兩方面，包括DHCP服務(wù)的配置和WEBSERVICE服務(wù)程序的編寫。DHCP服務(wù)配置我們采用成熟的WINDOWS2003自帶的DHCP服務(wù)，通過安裝微軟DHCP服務(wù)組件來實(shí)現(xiàn)。DHCP服務(wù)由服務(wù)器來負(fù)責(zé)，服務(wù)器會(huì)為用戶接入提供DHCP的IP和MAC綁定設(shè)置。DHCP服務(wù)器提供的數(shù)據(jù)同步采用webservice服務(wù)方式。另外用JAVA開發(fā)一個(gè)WEBSERVICE接受數(shù)據(jù)并同時(shí)以命令方式操控DHCP服務(wù)。

4.支撐平臺(tái)的實(shí)現(xiàn)

為了實(shí)現(xiàn)網(wǎng)絡(luò)行為管理系統(tǒng)在前面所寫的諸多功能，在系統(tǒng)外端需要有一個(gè)支撐平臺(tái)來支撐整個(gè)網(wǎng)絡(luò)行為管理系統(tǒng)的運(yùn)行。這一段主要來講如何開發(fā)一個(gè)支撐平臺(tái)，通過此平臺(tái)可以協(xié)助網(wǎng)絡(luò)行為管理系統(tǒng)的正常運(yùn)行。我們把此支撐平臺(tái)稱為網(wǎng)絡(luò)管理平臺(tái)。

網(wǎng)絡(luò)管理平臺(tái)主要功能包括用戶信息維護(hù)、權(quán)限分配、設(shè)備信息維護(hù)，IP/MAC信息管理，后臺(tái)接口、查詢統(tǒng)計(jì)等功能。其中，支撐平臺(tái)（網(wǎng)絡(luò)管理系統(tǒng)）和上網(wǎng)行為管理中的人員數(shù)據(jù)同步的主要流程如圖3所示。

五、總結(jié)語

以上綜述主要簡單介紹了網(wǎng)絡(luò)行為管理系統(tǒng)的設(shè)計(jì)和技術(shù)實(shí)現(xiàn)。根據(jù)本單位的實(shí)際需求，系統(tǒng)可以對(duì)內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)行為進(jìn)行規(guī)范，并實(shí)現(xiàn)現(xiàn)有OA與網(wǎng)絡(luò)行為管理設(shè)備的聯(lián)動(dòng)，解決網(wǎng)絡(luò)準(zhǔn)入難題。本論文從需求分析著手，對(duì)系統(tǒng)的功能、系統(tǒng)的各模塊、系統(tǒng)與用戶的交互方式等方面進(jìn)行了分析，提出具有本行業(yè)特點(diǎn)的網(wǎng)絡(luò)行為管理系統(tǒng)的系統(tǒng)框架、功能模塊和解決方案，并采用JAVA和.NET程序設(shè)計(jì)語言開發(fā)軟件。系統(tǒng)主要分為硬件平臺(tái)、數(shù)據(jù)中心、DHCP服務(wù)器、支撐平臺(tái)四部分組成，具有用戶管理、終端管理、訪問控制、IP/MAC管理、查詢統(tǒng)計(jì)等多個(gè)模塊，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)行為的管理以及注冊用戶的綁定認(rèn)證，可以滿足特定行業(yè)高安全性的要求。