1.1 背景

            行为审计主要为了解决以下问题:

第一,  互联网上无数的娱乐性内容正在吞噬我们的宝贵时间,据一项调查表明,大部分企业员工全部上网活动中,50%以上都是与工作无关的,这些与工作无关的活动包括在线游戏、网上购物、股票交易、网上电台、流媒体和MP3下载等。这意味着这些员工每个月拿到的薪水当中有相当一部分与他们的工作无关。

第二,  企业内部机密信息的泄露。近年来,企业机密信息外泄的事件时有发生,内部员工如果通过网页上传、邮件、IM文件传输、论坛等方式将企业的机密信息泄露出去,就会给企业带来不可估量的损失。

第三,  带宽资源的不合理使用。P2P软件的泛滥,还有上班时间访问与工作无关的网页等等,如果不做任何节制,就会使得有限的企业带宽得不到合理高效的使用。

            互联网带来的这些负面问题对网关设备提出了更多、更高的要求:网关设备需要能够根据用户的需要对互联网的不良信息进行过滤,阻止不良信息对人们的侵害,适应社会对意识形态方面的要求,同时,通过规范、记录用户的上网行为,提高工作效率,避免企业敏感信息外泄,同时更加合理的利用网络资源,减少病毒等对网络的侵害。

1.2 特性说明

    目前最新版本的网关产品可支持的审计包括:

?  应用控制审计:主要针对各种应用的网络行为进行监控,根据需要来放行或阻断相应的应用数据流,并对控制行为进行审计。

?  URL过滤审计:主要针对URL访问进行监控,对内网的URL访问进行分类和审计,并根据需要对相应的URL访问行为进行过滤。除了普通HTTP流,还支持对HTTPS加密流的域名进行审计和过滤。

?  IM过滤审计:主要针对主流的IM聊天系统(如QQ,MSN),对账号和未加密聊天记录进行审计,并对账号进行过滤。加密的QQ聊天内容属于QQ聊天内容审计

?  MAIL过滤审计:主要针对主流的邮件系统(如Outlook,Foxmail)对邮件进行收发审计、信息过滤,有内置存储的设备还可以保存邮件的附件内容。其内部主要针对非加密的SMTP/POP3邮件协议进行分析和审计。

?  QQ聊天内容审计(插件):主要用于审计QQ聊天内容,要求内网PC安装插件,无法对内容进行过滤。

?  WEB邮件过滤审计:主要针对主流的WEB邮件系统(如新浪邮箱,网易邮箱,QQ邮箱)对邮件进行发送审计,信息过滤。

?  WEB论坛过滤审计:主要针对主流WEB BBS站点(如天涯社区,猫扑社区)和微博(如新浪微博、腾讯微博),对用户的发帖内容进行审计,并对用户的发帖内容进行过滤。

?  搜索引擎过滤审计:主要针对主流WEB搜索引擎站点(如百度,谷歌),对用户的搜索行为进行审计,并对搜索引擎关键字进行过滤。

?  虚拟身份审计:主要针对主流的社交应用(如微信,微博),对账号ID和上下线行为进行审计。

?  外发文件过滤审计:主要针对外发文件的行为进行管理和审计,防止内网文件泄密。

?  外发信息过滤审计:主要针对HTTP POST方式外发信息进行管理和审计,监管地方论坛等外发信息行为。

?  FTP过滤审计:主要针对FTP文件上传和下载进行过滤和审计

?  TELNET过滤审计:主要针对TELNET的连接和断开行为进行过滤和审计。

        审计日志报表:

            行为审计的审计日志,保存在设备的硬盘数据库中,设备根据数据库日志生成审计报表。带硬盘的EG设备能够保存180天的审计日志。根据带机数、硬盘容量,各型号可记录的审计日志数量不同,如EG3000XE的URL每天可审计120万条。

        

审计报表

    统计分析报表

        行为审计提供各个审计的分析报表,并呈现分布图以PDF文件格式保存。用户还可指定邮箱用于接收报表生成的通知。

网站分类统计分析报表

 

1.3 协议分析实现

            URL审计、客户端邮件审计等,使用标准协议如HTTP协议、SMTP、POP3、FTP、TELNET等。这部分业务是审计组件按照标准的协议格式进行分析审计。

            搜索引擎、web端邮件、大部分vid,是基于标准协议在载荷部分又有不同的特点。如,各大搜索引擎在HTTP协议基础上,在URL中指定搜索类型、关键字等。

1.4 基本原理

行为审计基本原理

 

        行为审计是在用户识别和应用识别基础上,深入分析应用层协议载荷及其数据格式,每一种协议格式都不一样。下面以URL审计为例说明审计的基本原理。

    网站访问审计

image.png


URL审计流程

        审计组件中HTTP引擎负责解析HTTP请求并保存信息,其中最重要的就是URL信息。

URL格式:Request-Line := Method SP Request-URI SP HTTP-Version CRLF

        HTTP请求报文:

HTTP请求报文格式

URL是由HTTP请求报文的HOST字段与Request-URI组合而来,如图报文示例中,其URL信息为:

http://www.google.cn/images/yellow_warning.gif

 

1.5 内容审计特征库

    目前内容审计特征库支持8个大类,200多个子应用。

    支持特征库自动在线升级;

    内容审计的特征库规则语法,主要用于描述应用层数据格式特征,包括固定特征、复杂运算,如编解码,嵌套格式等。内容审计特征库语法灵活,具有量好的扩展性,可以适应网站升级引起的格式变化。