用户上网行为检测管理系统

王皓+段娜+林雯婧+张泉

【摘 要】随着计算机网络的飞速发展，全球进入了高速的信息化时代，网络不规范行为日益增多。在影响工作效率的同时带来了安全隐患。因此，对用户上网行为规范和监测已经至关重要。用户上网行为检测管理系统旨在应用流量识别和数据采集等技术对用户上网行为进行调查、管理、分析实现对用户上网行为的管理和控制。

【Abstract】With the rapid development of computer network， the world has entered the high-speed information age， the network irregular behavior is increasingly. It has effected the work efficiency and brought security risks. Therefore， the standardization and monitoring of user going-online behavior is essential. The purpose of this project is to use the technology of traffic identification and data collection to audit， query and analyze the behavior of the user going-online ， then to realize the management and control of user going-online behavior.

【关键词】拦截；过滤；查询；管理

【Keywords】interception， filtering， query， management

【中图分类号】TP393 【文献标志码】A 【文章编号】1673-1069（2017）05-0143-02

1 引言

随着互联网的飞速发展与普及，互联网的应用已成为人类生活与生产中至关重要的组成因素，成为了21世纪发展最为迅猛的行业。然而，问题也应运而生，如何保全信息的机密性、健康性和所牵扯的政治因素等问题随之而来。

当前从互联网发展的整体方向来看，上网行为并没有明确的定义，这个问题完全来源于用户在工作、生活中的上网习惯。企业存在着网络滥用的严重问题，很多员工会在办公时间内浏览与工作無关的网站，如娱乐、新闻、IM、游戏、P2P等，占用了大量本该应用于正常工作的网络带宽，严重影响到办公业务的正常运作。因此，每一位网络管理员都期望能够掌握各自网络的使用状况，对流量进行分析审计，从而对网络用户进行相应规范化的上网行为管理。

2 模型

2.1 代理服务器

网络代理程序的种类非常多，分成HTTP代理服务程序，FTP代理服务程序等。在论文中介绍的代理服务程序代理的是HTTP协议。HTTP协议处在TCP/IP协议栈的应用层，是一个无连接的、简单的C/S结构协议[1]，HTTP请求周期分为四个阶段：连接、请求、响应和断开。一个完整的HTTP代理请求过程为：客户端首先与代理服务器创建连接，接着根据代理服务器所使用的HTTP代理协议，请求对目标服务器创建连接、获得目标服务器的指定资源。该系统通过代理获得用户上传和下载的数据包并对其进行处理，进而实现系统的功能。

2.2 基于代理服务器上的功能实现

该系统的功能分为“指定网站过滤及警告”、“指定关键词过滤替换”、“数据包流量分析”、“用户行为分析模块”，均基于代理服务器实现。

代理服务器做以下工作[2]：

①在指定端口侦听并接收客户机对目标服务器的访问请求，客户机向服务器发送的请求信息如图1所示。

②将进行过URL或IP地址过滤的访问请求转发给目标服务器，被过滤的请求不予转发。

③接收目标服务器反馈的应答信息，送过滤模块进行文本过滤，服务器向客户机发送的应答信息如图2所示。

④将过滤后的应答信息转发给客户机。

2.2.1 实现对任意指定网页的过滤及警告

事先对访问量较大、名气较大的网站进行分类，以公安部网络公布的网络黑名单为基础，建立域名过滤列表，并可以从反馈结果总自动更新。过滤模块中基于域名列表的客户端请求过滤算法可描述如下：

①获取客户机发送的请求信息。

②从请求信息中的请求行中取出域名。

③检查域名是否在过滤列表当中，若在，HTTP代理服务器则转发一个拒绝访问的应答信息给客户机，并中止此次会话；否则，转发该请求到目标服务器

2.2.2 实现对网页指定关键词的替换

关键词过滤模块主要是对安全性不确定的WEB页进行内容监测，是否需要进行内容过滤主要是由传输的信息格式决定。该系统采用办法是先用ASCII解码函数对原始报文进行初始化，获取“Content-Type”、“Content-Encoding”、“charset”等字段，为接下来的关键词替换提供判断的依据。

Content-Type字段用于定义网络文件的类型和网页的编码，决定浏览器将以什么形式、什么编码读取这个文件[3]。常见的Content-Type有image/jpeg、audio/mpeg、text/html、text/plain等，代表大多数HTTP协议应答报文携带的数据类型。

Content-Encoding字段是Content-Type字段的修饰符，它的值指出应用到响应正文上的编码方式， Content-Encoding 主要用来允许文档能够被压缩而不丢失其底层媒体类型特征和信息的转换。

在得到网页的文本数据之后，用事先设定好的需要过滤或替换的关键词对文本数据进行扫描，做出相应的替换、统计。替换效果如图3所示。

2.2.3 实现对用户流量的基本分类

该系统利用Jpcap类库中在JAVA程序中实现了数据流量包的截获。

Jpcap 类库的基本结构如图4所示[4]。

在完成了对网卡数据的截获之后，通过数据包中protocol字段的值，对各个协议进行分类展示与统计。初步完成对流量数据包进行分类计数，利用Jpcap类库，使用JAVA语言中的多线程、AWT和SWING技术，分析流量分布。让用户了解该时间区间内的流量比例，以更好地管理流量。

2.2.4 用户行为分析

该系统提供直观的用户上网数据统计，可以详细地分析出用户上网流量的使用情况，为网络管理员和领导者分配和管理员工网络资源提供有效的数据支撑。可按饼图、柱状图、曲线图等方式进行查询，可查看网络流量、网页浏览记录等详细信息，可以直接打印和导出报表，通过查看客户机一段时间内各类流量使用情况、网页浏览记录，以及被屏蔽网站的尝试访问记录，可以分析出用户一段时间内的行为特点

3 结语

论文主要对用户行为监测管理中的一些关键技术例如代理服务器、指定URL过滤、网页文本过滤以及JPCAP类库进行了详细的分析。

目前整个系统正在做最终的性能测试，以后会将以软件产品的形式提供给用户。系统可自动配置，无须用户干预，能够适应于多种网络环境，不会影响到用户现有网络的结构和性能。

【参考文献】

【1】史乙力.基于关键词匹配的网页文本过滤算法的研究和实现[D].贵阳：贵州大学，2011.

【2】周文刚.基于代理的Web页访问语义过滤与内容重现 [J].计算机技术与发展，2007（17）：120-121.

【3】席荣荣.基于内容过滤的防火墙的关键技术的研究[D]太原：山西大学，2004.