xplico审计系统学习

1.网络行为审计的目的都是通过分析网络中的数据包、流量，借助协议分析技术，或者异常流量分析技术，来发现网络中的异常和违规行为。

2.除了传统代理审计之外，上网行为管理目前最常用的技术是数据包深度挖掘，即在海量的日志数据中，提炼出有用信息，以实现审计需求。网络行
为审计是安全审计中较为重要的一种技术实现，其他安全审计技术还包括日志审计技术、本机代理审计技术、远程代理审计技术。

3.网络行为审计的实现有多种方式，其中有两个最重要的分支，基于Flow流量分析技术的审计和基于抓包协议分析技术的审计。其中基于Flow流量分析技术的审计指的是通过收集网络设备的各种格式的Flow日志来进行分析和审计，发现违规和异常行为，传统的网管厂商很多开始以此为进入安全的切入口；基于抓包协议分析技术的审计指的是通过侦听网络中的数据包来进行分析和审计，发现违规和异常行为，传统的安全厂商很多以此作为进入审计领域的切入点。

3.抓包型网络行为审计系统根据用途的不同、部署位置的不同，一般又分为两种子类型，上网审计型和业务审计型。

4.上网审计型。指的是审计网络内部用户访问互联网的行为和内容、防止内部
信息泄漏、用户违规行为，提升内部网络用户互联网上网行为的效率。
这种类型一般采用旁路／串路方式部署在用户互联网出口处。基于应用层协议还原的行为和内容审计。可以制定各种控制策略，进行统计分析。
上网审计型系统分析的协议都是互联网上常用的应用层协议，为了进行更为精确的审计，还需要再深入一步，分析协议的内容.

5.一个好的上网审计型系统必须要有一个巨大的、不断及时更新的协议分析库。因为这些互联网应用协议具有种类多、变化频繁的特点，这是一个苦力活，也是产品的核心技术点。

6.对于上网审计型系统，还有一个重要的技术点就是网页分类地址库，就是一个巨大的地址库，里面对互联网的网址进行分门别类。用途就在于控制某些用户可以访问哪些类别的网站，不能访问哪些类别的网站。

7.业务审计型。指的是对网络中重要的业务系统(主机、服务器、应用软件、数据库等)进行保护，审计所有针对业务系统的网络操作。这种类型一般采用旁路侦听的方式对数据流进行采集、分析和识别，实现对用户操作数据库、远程访问主机和网络流量的审计。

8.管理信息库（MIB，Management Information Base）是TCP/IP网络管理协议标准框架的内容之一，MIB定义了受管设备必须保存的数据项、允许对每个数据项进行的操作及其含义，即管理系统可访问的受管设备的控制和状态信息等数据变量都保存在MIB中。

9.RMON（Remote Network Monitoring）远端网络监控, 最初的设计是用来解决从一个中心点管理各局域分网和远程站点的问题。RMON 规范是由 SNMP MIB 扩展而来。 RMON 中，网络监视数据包含了一组统计数据和性能指标，它们在不同的监视器（或称探测器）和控制台系统之间相互交换。结果数据可用来监控网络利用率，以用于网络规划，性能优化和协助网络错误诊断。

10.sniffer/winpcap软件的基本原理是利用以太网广播传输的特性，通过把主机的网卡设置为混杂模式接收所有流过网卡所连接的线路上
的数据包。这种技术不增加网络的负载，不占用网络资源，且实施起来简单易行。

11.洪泛----不要求维护网络的拓扑结构和相关的路由计算，仅要求接收到信息的节点以广播方式转发数据包。例如，源节点希望发送一段数据给目标节点。源节点首先通过网络将数据副本传送给它的每个邻居节点，每个邻居节点再将数据传送给各自的除发送数据来的节点之外的其他。如此继续下去，直到数据传送至目标节点或者数据设定的生存期限(TTL,Time To Live)为0为止。

12.柏克莱封包过滤器（Berkeley Packet Filter，缩写 BPF），是类Unix系统上数据链路层的一种原始接口，提供原始链路层封包的收发，除此之外，如果网卡驱动支持洪泛模式，那么它可以让网卡处于此种模式，这样可以收到网络上的所有包，不管他们的目的地是不是所在主机。

13.网景是网景通信公司（Netscape Communications Corporation）的常用简称。网景通信公司曾经是一家美国的计算机服务公司，以其生产的同名网页浏览器Netscape Navigator而闻名。1998年11月，网景被美国在线（AOL）收购。

14.

HTTPS（ Hypertext Transfer Protocol Secure）安全超文本传输协议

它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。）SSL使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。

https是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，https的安全基础是SSL，

SSL协议提供的安全通道有以下三个特性：

机密性：SSL协议使用密钥加密通信数据。

可靠性：服务器和客户都会被认证，客户的认证是可选的。

完整性：SSL协议会对传送的数据进行完整性检查。

15.在SSL中会用到分组DES、三重DES算法等加密算法对数据进行加密。当然可以选用其他非DES加密算法，
密钥交换算法----- RSA加密算法是一种非 对称加密算法
RSA加密算法是基于这样的数学事实：两个大素数相乘容易，而对得到的乘积求因子则很难。加密过程如下：

(1)选择两个大素数P、Q
(2)计算N=P*Q
(3)选择一个公钥（加密密钥）E，使其不是(P-1)与(Q-1)的因子
(4)选择私钥（解密密钥）D，满足如下条件：
          (D*E) mod (P-1)(Q-1)=1
(5)加密时，明文PT计算密文CT如下：
          CT=PTE mod N
(6)解密时，从密文CT计算明文PT如下：
          PT=CTDmodN 这也是SSL中会用一种密钥交换算法。 
在SSL中会使用密钥交换算法交换密钥；使用密钥对数据进行加密；使用散列算法对数据的完整性进行验证，使用数字证书证明自己的身份。

SSL介于应用层和TCP层之间。应用层数据不再直接传递给传输层，而是传递给SSL层，SSL层对从应用层收到的数据进行加密，并增加自己的SSL头。

----------------------------------------我是分割线---------------------------------------------

1.首先Xplieo捕获到网络数据包（libpcap），然后根据包中的不同字段区分出不同的协议，分成TCP、UDP、ICMP等协议进行分析，其中对TCP协议和UDP协议再根据不同的端口号和应用层协议的特征进一步细分，使用不同的解析器对报文进行分析和处理，最后得出结论并保存结果。

2.抓包---DPI分析协议-----插件分类处理                       

Xplico---有点在于对应用协议的分类处理做的很好。

目前的系统瓶颈在于----libpcap在超过百兆网络上丢包严重，ip分片和tcp重组在旁路部署的时候需要自己做。