科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道安全管理上网行为管理核心技术

上网行为管理核心技术

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

深信服科技调查了北京、上海、广州、深圳、杭州、南京等地的数百家网络规模在500~12000人之间,带宽从100M到1G之间的各类组织的网络管理状况,涵盖政府、教育科研、金融、运营商、能源、医疗、大中型企业等行业,从中抽取了100份有效调查结果,其中仅有26家单位部署了上网行为管理硬件产品。

来源:比特网 2010年12月4日

关键字: 上网行为管理 安全策略

  • 评论
  • 分享微博
  • 分享邮件

  2009年1月,深信服科技调查了北京、上海、广州、深圳、杭州、南京等地的数百家网络规模在500~12000人之间,带宽从100M到1G之间的各类组织的网络管理状况,涵盖政府、教育科研、金融、运营商、能源、医疗、大中型企业等行业,从中抽取了100份有效调查结果,其中仅有26家单位部署了上网行为管理硬件产品。2010年1月,深信服科技对这些组织进行了回访,其中已有78家单位部署上网行为管理硬件产品。我们将在下文整理对比、并以图表展现以上变化,同时分析解读深层原因。以下为报告节选:

  详情请见《中国上网行为管理蓝皮书》

  识别技术

  识别是管理的基础,识别能力是评判一款上网行为管理产品专业度的重要标准。业内优秀的上网行为管理产品识别率普遍可以达到85%~90%甚至更高。

  Ø 用户识别

  用户身份识别是实施管理的依据,主流上网行为管理产品所支持的用户识别技术包括本地认证、第三方认证、多因素认证、软件免认证、硬件免认证、单点登录技术、强制认证、临时用户、用户自注册等。

  Ø 终端安全识别

  终端识别技术包括终端硬件识别和终端安全状况识别等。终端硬件识别主要是资产管理系统的工作,我们不做过多关注。终端安全识别包括进程、注册表、操作系统与补丁、杀毒软件与病毒库升级、多网卡状态、应用程序检测等。

  Ø 应用识别

  上网行为管理产品的应用识别能力是重中之重,是产品发挥管理控制功能的根基。主流的识别技术有两种:DPI,也称“深度数据包检测”,即基于数据包组成内容特征的应用识别;DFI,也称“深度流特征检测”,建立在应用特征的统计学规律基础上的行为识别,是具有智能特性的识别技术。

  Ø 智能识别

  ü HTTPS非法网站识别

  HTTPS被广泛应用于通讯安全,如目前几乎100%的金融类网站,部分门户网站均使用了HTTPS加密方式。大量钓鱼、挂马网站也使用HTTPS加密,而传统安全产品无法对HTTPS加密过的钓鱼、挂马网站进行识别,导致安全管理上存在严重漏洞。为解决此问题,部分上网行为管理产品提供了相应的SSL加密网站的甄别技术,将HTTPS类型非法网站排除在访问对象之外,保障网络安全。

  ü 网页智能识别

  大中型上网行为管理厂商多数都有研发团队负责网页分类与URL库更新,以此作为网页过滤控制的依据。但是,2009年“互联网网页数量达到336亿个,年增长率超过100%”(CNNIC),靠人工手动分类的方式已远远跟不上网页的增长速度,加上大量的私博和社交网页并未被传统的URL库收归,导致即使这些网页存在问题也很难被发现。为此,技术领先的上网行为管理厂商提供基于关键字、基于网页分类特征的识别技术(如赌博类网站往往都有相似的关键字和结构),将人工分类的技巧“传授”给产品,让产品“学习”之后,将新访问的不在库中的网页自动分类入库。

  ü 行为智能识别

  网络应用层出不穷,每天都有新软件、已有软件的新版本面世,尤其是P2P软件,仅靠已有的应用识别库来识别具有一定的滞后性。为此,上网行为管理产品应具备基于应用行为规律的智能识别技术,即便出现新的未知软件、未知版本,也能将其识别、管控。

  Ø 威胁识别

  来自网络的安全威胁如:带毒挂马的网页/邮件、黑客入侵、可信好友发来的潜在威胁的链接,来自组织内部的威胁:终端中毒发起攻击、异常外发流量、异常端口扫描行为等等,带来管理和安全问题。为此,威胁识别技术能及时发现、封锁、统计异常流量和异常终端,帮助组织提前规避风险。

  流控技术

  “基于TCP窗口整形的流控技术”和“基于队列的流控技术”是目前专业流控产品采用的较多两种技术。

  Ø 基于TCP窗口整形的流控技术

  基于TCP窗口整形的流控技术,通过调整TCP滑动窗口的大小来控制流量,该技术的优势在于控制尺度比较精确,但是采用此技术的产品往往性能有限(一般不能支撑超过1G的流量),一旦逼近极限就会出现较大误差。

  Ø 基于队列的流控技术

  顾名思义,“基于队列的流控技术”就是建立管道,将不同的控制对象分配到不同的管道里。该技术的好处是控制灵活,大通道中可以多层嵌套小管道,分别对应不同的用户、时间、应用协议、网站、文件类型等对象建立不同的通道,对于结构复杂又希望实现差异化控制的组织来说可以做到更为精确的控制。队列技术采用数据包调度,能实现了对大流量的很好的控制。

  以一个实例来说明效果,假设我们要对一个出口带宽为1G(由数条线路组成)的高校做带宽管理,产品以网桥模式部署:

  Ø 物理线路->虚拟线路:桥模式下建立虚拟线路,可分别映射外网物理线路;

  Ø 父通道->二级子通道->三级子通道

  将出口1000M按规模划分给下属3个校区:300M、300M、400M;

  其中,A校区拥有300M出口,并为A校区设置分级IT管理员,允许根据校区内研究室、学院规模分配带宽;

  Ø 子通道->虚拟子通道:每条通道可根据应用/文件/网站类型等进一步划分成虚拟通道;

  A校区IT管理员为某研究生实验室(30人规模)分配带宽,将4M线路“动态”分配给上网用户(人数在0~30之间随意波动),并限定单用户下行不超过200Kb,其中每个人的P2P下载不超过50%,总线路的P2P应用不超过30%。

  云技术

  在上网行为管理领域,“云技术”已得到应用,如通过互联网上已部署的产品发现、统计网络管理中出现的外来威胁、内在危险、未识别的流量/应用、行业应用特征、用户行为习惯等,基于“云”网络共享信息,为产品的优化改进提供依据,以便更好地提升用户体验。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章