linux 網絡監控系統的開發及其應用
基于嵌入式Linux視頻的網絡監控系統設計, 隨著計算機技術及網絡技術的迅猛發展,公安、安防行業的發展趨勢必然是全面數字化、網絡化。linux 網絡監控系統的開發及其應用尤為重要,現在就讓我們一起關注linux 網絡監控系統的開發和成長。
項目背景
易思博公司作為國內著名的專業軟件開發商,憑借多年網絡計費系統的開發經驗,在原有的代理服務器、專線和網關計費系統的基礎上,針對XX市公安局計算機安全監察處對公共網絡流量進行監控的要求,提出網絡安全監控審計系統。
通過本系統,一方面,提供網絡接入的部門可以方便地管理上網用戶,保證網絡資源有效的使用;另一方面,政府部門可以實時監控本區域內Internet的使用情況,為信息安全的執法提供依據。
方案構成
下圖是linux 網絡監控系統的邏輯模型,linux 網絡監控系統由一臺或多臺數據采集服務器負責從代理服務器或者路由器采集網絡的流量信息,并保存到數據庫服務器中。計費服務器通過訪問數據庫服務器,與用戶管理協調來統計和控制內部用戶的上網行為。安全審計服務對采集來的流量數據進行實時監視,一旦發現非法的數據,立即通過通訊服務將數據通知給控制中心。
 |
1.數據采集
數據采集服務負責為整個linux 網絡監控系統提供用戶上網的數據,是綜合網絡管理平臺的重要部分,也是整個linux 網絡監控系統的基礎。
數據采集服務能夠采集代理服務器、路由器、以及E*Linux網關上的流量數據,并且通過擴充新的模塊,可以在短時間內迅速支持新的上網方式。網絡管理員或者控制中心可以通過靈活定制采集規則,來控制流量數據采集的方式,以更有效地收集數據。同時,為了滿足大型網絡數據流量大、以及拓撲結構復雜的要求,數據采集服務既可以分布在一個局域網內部的多臺服務器之上,也可以分布在不同地點的多臺服務器之上,監控中心可以通過采集規則和數據同步來有效地控制所有的采集服務器。
針對通過路由器接入到互聯網的情況,數據采集服務可以采用SNMP、RMON或者IP Accouting的方式來取得路由器上記錄的流量信息,支持市面上主流的路由器。
另外,BroadenGate還有自己的網關產品E*Linux,E*Linux已經可以與數據采集服務最緊密地結合,收集到流入和流出網絡的各個協議數據包的詳情。
數據庫服務器可以采用市面上主流的大型數據庫管理系統,如Oracle,SQL Server,DB2等等,綜合網絡管理平臺可以通過BroadenGate數據訪問接口來無縫地連接這些數據庫系統。同時,通過數據庫復制來實現數據庫的分布和同步,以使安全監控系統具備可擴展的數據處理能力,保證在網絡流量日益增大的情況下系統可以可靠地運行。
2.計費系統實現
計費系統的功能是對內部用戶上網的情況進行統計分析,并對用戶的上網行為進行控制。計費系統的數據來源于數據采集服務。無論用戶網絡采用代理服務器上網、還是采用專線上網、或者是用E*Linux網關上網,計費系統都會以統一的接口和靈活的方式來反映出每個內部用戶的上網行為。
另外,通過E*Linux網關,計費系統還可以實時控制內部用戶的上網。
3.監控系統實現
監控系統是安全審計系統的核心,它負責實時監視進出網絡的流量,發現非法數據后,能夠迅速定位數據包的來源,并能夠還原出會話過程,并能夠及時將這些信息通知給監控中心。下面分布就各部分的功能進行描述。 #p#
實時審計
實時審計的實現基于預先定義的審計規則以及數據庫系統的觸發器機制。審計規則可以靈活定義,結合用戶名稱、IP地址、網卡MAC地址,訪問目標的域名、IP地址、端口,以及敏感字句等等要素。
實時審計分為兩個級別,稱為低敏感級和高敏感級。
處于低敏感級別時,系統只關心流過網關的域名或IP地址是否符合規則的要求,當一個新的IP包被捕獲以后,數據采集服務會將這個IP包的詳細信息,包括源地址、源端口、目的地址、目的端口,記錄到數據庫中,通過觸發器的設定,數據庫系統會自動啟動一個規則比對的過程,發現問題后及時處理。
系統處于高敏感級別時,除了關心IP地址的合法性之外,還關心流過的數據包中的內容是否合法,是否含有敏感字句。由于數據采集服務采集到的是單個的IP包的序列,要得到數據包中內容,必須對TCP的會話過程進行再現,也就是說,必須將會話中涉及到的全部IP包進行重新組裝,并得到一個可以理解的TCP過程。TCP會話的還原過程由實時審計系統內部的模擬TCP/IP棧來實現。
通過TCP/IP棧的模擬,并結合應用協議的分析,所有的TCP應用協議,如TELNET、HTTP、FTP、SMTP、POP3、IMAP,以及基于UDP的ICQ、OICQ等等都可以在實時審計系統面前一覽無遺。
最后,規則控制模塊對協議的會話內容進行檢查,完成實時審計過程。如果發現非法情況,通知數據庫服務記錄下給定時間段某個用戶的數據流,為日后的動作回放做準備。同時,以告警燈、告警聲音、告警級別(從顏色上反映)、以及告警分析等方式通知監控中心。
動作回放
動作回放是實時審計的查看工具,也就是說,實時審計發現了問題,監控中心得到了報警信息,通過動作回放,就可以更加直觀地顯示出被報警用戶的使用網絡的全過程,為執法人員提供可信的證據。
動作回放功能是在網絡控制中心由監控人員來使用。為了執行一個回放,首先,監控中心需要與遠程的通訊服務聯系,通過數據庫服務,取得一個報警所涉及的全部IP包。監控中心得到了全部IP包之后,與實時審計一樣,需要啟動一個模擬的TCP棧,還原出TCP的會話過程,最后按照協議的不同,在不同的環境下重現用戶使用網絡的過程。例如,某個遠程的用戶通過WEB瀏覽器訪問了非法站點,并發布了非法信息,監控中心得到了告警之后,得到了該用戶的HTTP的會話過程,其中包含了URL的請求,服務器的返回等等,在監控中心的模擬環境中,就可以重現URL請求和服務器返回的詳細情況。
下圖是回放一個HTTP請求和回應的簡單示意。
 |
屏幕監控
監控中心通過屏幕監控系統可以實時監控每個上網用戶的屏幕變化。在用戶通過用戶管理登記到BroadenGate系統上來的時候,系統在客戶端安裝一個小型的不可見的插件,這個插件作為屏幕監控的客戶端,實時截取用戶屏幕數據,轉換成特定的格式,并通過高性能的數據壓縮和數據加密,傳輸給監控中心。
監控中心的屏幕監控服務器可以同時監控多個工作站,記錄工作站顯示屏的畫面,回放已記錄的畫面。另外,屏幕監控服務器還可以報告工作站和系統的其它使用情況、鎖定工作站、并傳送實時信息給工作站。
監控中心
監控中心系統負責控制本區域范圍內的BroadenGate安全審計系統,定制監控策略,并發送到每個遠程的被控對象,控制它們的數據采集和審計行為,并可以實時顯示各被控對象的狀態。遠程的被控對象在發現非法情況時,在監控終端上可以實時反映告警的各種信息,并可以通過調用動作回放和屏幕監控系統得到進一步的告警信息。
4.用戶管理系統的實現
用戶管理系統由用戶及用戶組管理、動態地址分配組成。
用戶和用戶組管理記錄用戶的基本信息,并按照用戶組對用戶進行組合,以一種樹狀的方式來靈活地管理本區域范圍內的全部用戶。
動態地址分配是BroadenGate在DHCP基礎之上實現的IP地址分配系統,結合用戶所在機器的網卡MAC地址、用戶名、用戶密碼等信息給內部用戶分配一個唯一的內部IP地址,并設定IP地址的租用期限。通過動態地址分配,可以有效地避免用戶名和用戶地址變動的情況下用戶管理的難度,能夠在局域網內部通過IP地址唯一地定位每個用戶,并且可以有效地防止IP地址盜用的問題。
技術成果
目前系統正處于試運行期間,基本功能都已基本具備。面向的用戶包括XX市公安局計算機安全監察處及XX市的小區、學校、網吧、酒店及部分企事業單位。
網絡安全監控審計系統將作為BroadenGate網絡監控系統的系列產品發布。
【編輯推薦】
