网络审计中的身份识别和智能关联

刘志宏 孙长国

（92117部队 北京 100072）

1 引言

随着信息技术及网络安全的发展，网络安全已经发展成为一个“立体防御”的体系，网络安全需要防护的不再是仅仅来自外部的威胁，内部潜在的安全威胁更大，因此也越来越引起管理者的高度重视。网络审计系统是预防内部潜在威胁的重要手段之一[1]。

网络审计系统的核心作用是帮助用户对网络中的各种活动进行识别，发现违规事件和敏感信息，并进行事件的定位和追根溯源[2]，因此能否最终将事件落实到责任人是审计产品能否发挥作用的关键，而对事件的溯源和落实责任人是审计产品能否发挥作用的关键。

2 常规身份信息识别手段

网络数据包中可获取到的而用于溯源的信息只有IP地址和MAC地址，因此在早期的网络审计系统中，通常是根据IP地址、MAC地址信息对事件进行溯源并定位用户身份的，但这2种方式都有很大的局限性，不能适应所有的用户场景，因此在之后的网络审计系统中逐渐引入了通过对用户进行认证或与身份认证服务器进行联动等获取用户身份信息的方式。

2.1 通过IP地址识别

在网络数据流中很容易获取到源IP地址，并且IP地址在数据传输中始终保持不变，因此通过IP地址对网络中的事件追根溯源是最快捷途径，如图1所示，电脑分配了固定IP地址，而电脑是与用户相关联的，因此可以通过IP找到对应的电脑，从而找到电脑的使用者[3]。但这需要一个终端IP地址固定的网络环境。在这样的网络环境中每台终端都有固定的IP地址，为了限制终端用户更改IP地址，可以在接入交换机的接口上对IP地址进行限制或者进行IP/mac地址绑定，另外再结合相应的管理措施以达到限制目的。

通过IP地址对网络事件进行定位和溯源虽然快捷，但有很大的局限性，其原因：一是需要大量的、持续不断的IP地址使用情况统计工作，而且统计的准确度将直接影响对网络事件的定位是否精准；二是通常终端用户可以随意更改其IP地址，所以在无法通过技术手段对终端IP地址进行限制的网络环境中，无法将IP地址与终端用户的身份进行关联。

图1 通过IP地址关联用户身份信息

2.2 通过mac地址识别

终端IP地址可以随意更改给网络事件的溯源带来了困难，因此令人想到了mac地址固定不变的特点。每个网卡接口模块在出厂时就被赋予了全球唯一的一个不变的mac地址，因此若能获取到网络数据流的源mac地址，就可以准确追溯到发出数据的来源终端，进而定位到实际责任人。

在二层交换环境中，不同的终端用户使用的mac地址不同，因此可以将用户身份信息和mac地址之间建立固定的关联关系。通过mac地址进行事件定位的好处是准确性比较高，但其缺点也很明显[4]：首先mac地址不能跨越三层交换设备传输，即便是跨三层获取mac地址技术，也受交换设备种类、品牌等限制，并非在所有网络环境中都有效；其次是要对事件进行定位需要记录mac地址与终端用户身份信息的对应关系，然而统计mac地址是一项十分繁重的工作，尤其在有大量终端用户的网络环境中。

2.3 主动身份认证

主动身份认证技术是通过强制用户上网时通过账号/密码进行身份认证的方式，来实现终端IP地址和用户身份信息的关联。这种方式可以有效克服通过IP/MAC地址识别用户身份时的诸多弊端，如事先统计IP或mac地址的问题、网络环境适应性的问题等。

但主动身份认证的前提是身份认证不通过时要能够阻断终端用户对网络的访问，阻断方式通常有旁路阻断或串联阻断两种：旁路阻断一般是通过发送Tcprest包来断开源终端与目标之间的链接，故这种方式只是对tcp类的应用才有效果；串联阻断的方式通常用在上网行为管理类的产品中，由于是串联在源用户终端与其访问的目标之间，因此当认证不通过时可直接截断用户的网络访问行为。

3 智能身份信息关联技术

如上面所述，当前各种用户身份信息识别的方式都有其各自的局限性，在一些用户网络环境中仍然存在无法有效获取到IP地址对应的用户身份信息的现象。而通过创新性的智能身份信息关联技术可以有效解决这一难题。

3.1 原理

网络审计系统在网络数据流中能有效的获取到的溯源信息只有IP地址，因此智能身份信息关联的核心也是将用户的各种身份信息与其使用的IP地址进行关联，以帮助管理人员对该IP对应的责任人进行定位。如图2所示：

图2 智能身份信息关联示意图

其实现过程可分为如下几个过程。

收集用户身份信息：网络审计系统从网络数据流中收集用户账号等身份信息，然后将该身份信息对应的IP地址以及类型发给网络审计系统的用户识别代理程序。

身份信息智能关联：用户识别代理程序获取到用户身份信息后，连同当前事件一同发送到网络审计系统的用户身份信息库中。

提取用户身份信息：当网络审计系统记录某一事件的审计日志时，审计系统从用户身份信息库中查找该事件发生的时间内与该时间IP地址对应的用户身份信息，然后提取该身份信息并记录在审计日志中。

智能身份信息关联技术实现了自动搜集并智能关联用户身份信息，可适用于任何网络环境中，由于获取身份信息的过程是网络审计系统以旁路抓包的方式自动完成的，所以既不会影响终端用户体验，也不会增加管理员的管理成本，更不会带来性能瓶颈和单点故障问题。

通过智能身份信息关联技术，对于已经触发的任何一个告警事件，管理员可以轻松获取到触发该事件的主体人的所有网络账号资源，因此管理员将有更多的途径来更高效、准确的定位真实的事件责任人。

4 结束语

随着互联网的飞速发展，网络实名制的呼声越来越高。对于网络审计系统来说，实名制的审计更是实现其使用价值的基础，智能身份信息关联技术的出现大大提高了身份识别与时间定位的精准度，同时克服了网络环境适应性问题，日后必将成为备受关注的热点技术。

[1]常德显，杨英杰.分布式网络审计系统的生存型设计〔J〕.微计算机信息.2007,24(8):78-80

[2]张信杰，王旭仁，吴刚.网络审计系统的设计与实现〔J〕.微计算机信息，2009（25）：71-73.

[3]李志淮，樊亮.基于IP加密的网络审计系统模型〔J〕.大连理工大学学报，2005（45）：59-61.

[4]程真强.基于千兆网络的安全审计系统〔D〕.大连：大连理工大学，2007.