基于嵌入式Linux視頻的網(wǎng)絡(luò)監(jiān)控系統(tǒng)設(shè)計(jì)���, 隨著計(jì)算機(jī)技術(shù)及網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展�����,公安���、安防行業(yè)的發(fā)展趨勢必然是全面數(shù)字化���、網(wǎng)絡(luò)化�����。linux 網(wǎng)絡(luò)監(jiān)控系統(tǒng)的開發(fā)及其應(yīng)用尤為重要�����,現(xiàn)在就讓我們一起關(guān)注linux 網(wǎng)絡(luò)監(jiān)控系統(tǒng)的開發(fā)和成長...
基于嵌入式Linux視頻的網(wǎng)絡(luò)監(jiān)控系統(tǒng)設(shè)計(jì)�, 隨著計(jì)算機(jī)技術(shù)及網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展���,公安�、安防行業(yè)的發(fā)展趨勢必然是全面數(shù)字化��、網(wǎng)絡(luò)化���。linux
網(wǎng)絡(luò)監(jiān)控系統(tǒng)的開發(fā)及其應(yīng)用尤為重要�����,現(xiàn)在就讓我們一起關(guān)注linux 網(wǎng)絡(luò)監(jiān)控系統(tǒng)的開發(fā)和成長���。
項(xiàng)目背景
易思博公司作為國內(nèi)著名的專業(yè)軟件開發(fā)商,憑借多年網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)的開發(fā)經(jīng)驗(yàn)���,在原有的代理服務(wù)器����、專線和網(wǎng)關(guān)計(jì)費(fèi)系統(tǒng)的基礎(chǔ)上�,針對(duì)XX市公安局計(jì)算機(jī)安全監(jiān)察處對(duì)公共網(wǎng)絡(luò)流量進(jìn)行監(jiān)控的要求,提出網(wǎng)絡(luò)安全監(jiān)控審計(jì)系統(tǒng)���。
通過本系統(tǒng)�����,一方面�,提供網(wǎng)絡(luò)接入的部門可以方便地管理上網(wǎng)用戶��,保證網(wǎng)絡(luò)資源有效的使用;另一方面���,政府部門可以實(shí)時(shí)監(jiān)控本區(qū)域內(nèi)Internet的使用情況���,為信息安全的執(zhí)法提供依據(jù)�����。
方案構(gòu)成
下圖是linux 網(wǎng)絡(luò)監(jiān)控系統(tǒng)的邏輯模型��,linux
網(wǎng)絡(luò)監(jiān)控系統(tǒng)由一臺(tái)或多臺(tái)數(shù)據(jù)采集服務(wù)器負(fù)責(zé)從代理服務(wù)器或者路由器采集網(wǎng)絡(luò)的流量信息�����,并保存到數(shù)據(jù)庫服務(wù)器中�。計(jì)費(fèi)服務(wù)器通過訪問數(shù)據(jù)庫服務(wù)器��,與用戶管理協(xié)調(diào)來統(tǒng)計(jì)和控制內(nèi)部用戶的上網(wǎng)行為����。安全審計(jì)服務(wù)對(duì)采集來的流量數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)視,一旦發(fā)現(xiàn)非法的數(shù)據(jù)�,立即通過通訊服務(wù)將數(shù)據(jù)通知給控制中心。
1.數(shù)據(jù)采集
數(shù)據(jù)采集服務(wù)負(fù)責(zé)為整個(gè)linux 網(wǎng)絡(luò)監(jiān)控系統(tǒng)提供用戶上網(wǎng)的數(shù)據(jù)�����,是綜合網(wǎng)絡(luò)管理平臺(tái)的重要部分�����,也是整個(gè)linux 網(wǎng)絡(luò)監(jiān)控系統(tǒng)的基礎(chǔ)。
數(shù)據(jù)采集服務(wù)能夠采集代理服務(wù)器�、路由器、以及E*Linux網(wǎng)關(guān)上的流量數(shù)據(jù)����,并且通過擴(kuò)充新的模塊�,可以在短時(shí)間內(nèi)迅速支持新的上網(wǎng)方式。網(wǎng)絡(luò)管理員或者控制中心可以通過靈活定制采集規(guī)則�,來控制流量數(shù)據(jù)采集的方式,以更有效地收集數(shù)據(jù)�����。同時(shí)��,為了滿足大型網(wǎng)絡(luò)數(shù)據(jù)流量大����、以及拓?fù)浣Y(jié)構(gòu)復(fù)雜的要求,數(shù)據(jù)采集服務(wù)既可以分布在一個(gè)局域網(wǎng)內(nèi)部的多臺(tái)服務(wù)器之上�,也可以分布在不同地點(diǎn)的多臺(tái)服務(wù)器之上,監(jiān)控中心可以通過采集規(guī)則和數(shù)據(jù)同步來有效地控制所有的采集服務(wù)器����。
針對(duì)通過路由器接入到互聯(lián)網(wǎng)的情況�,數(shù)據(jù)采集服務(wù)可以采用SNMP��、RMON或者IP
Accouting的方式來取得路由器上記錄的流量信息����,支持市面上主流的路由器。
另外���,BroadenGate還有自己的網(wǎng)關(guān)產(chǎn)品E*Linux�����,E*Linux已經(jīng)可以與數(shù)據(jù)采集服務(wù)最緊密地結(jié)合���,收集到流入和流出網(wǎng)絡(luò)的各個(gè)協(xié)議數(shù)據(jù)包的詳情。
數(shù)據(jù)庫服務(wù)器可以采用市面上主流的大型數(shù)據(jù)庫管理系統(tǒng)�����,如Oracle����,SQL
Server,DB2等等,綜合網(wǎng)絡(luò)管理平臺(tái)可以通過BroadenGate數(shù)據(jù)訪問接口來無縫地連接這些數(shù)據(jù)庫系統(tǒng)����。同時(shí),通過數(shù)據(jù)庫復(fù)制來實(shí)現(xiàn)數(shù)據(jù)庫的分布和同步����,以使安全監(jiān)控系統(tǒng)具備可擴(kuò)展的數(shù)據(jù)處理能力,保證在網(wǎng)絡(luò)流量日益增大的情況下系統(tǒng)可以可靠地運(yùn)行��。[nextpage]
2.計(jì)費(fèi)系統(tǒng)實(shí)現(xiàn)
計(jì)費(fèi)系統(tǒng)的功能是對(duì)內(nèi)部用戶上網(wǎng)的情況進(jìn)行統(tǒng)計(jì)分析�����,并對(duì)用戶的上網(wǎng)行為進(jìn)行控制����。計(jì)費(fèi)系統(tǒng)的數(shù)據(jù)來源于數(shù)據(jù)采集服務(wù)���。無論用戶網(wǎng)絡(luò)采用代理服務(wù)器上網(wǎng)�����、還是采用專線上網(wǎng)����、或者是用E*Linux網(wǎng)關(guān)上網(wǎng),計(jì)費(fèi)系統(tǒng)都會(huì)以統(tǒng)一的接口和靈活的方式來反映出每個(gè)內(nèi)部用戶的上網(wǎng)行為�。
另外,通過E*Linux網(wǎng)關(guān)����,計(jì)費(fèi)系統(tǒng)還可以實(shí)時(shí)控制內(nèi)部用戶的上網(wǎng)。
3.監(jiān)控系統(tǒng)實(shí)現(xiàn)
監(jiān)控系統(tǒng)是安全審計(jì)系統(tǒng)的核心����,它負(fù)責(zé)實(shí)時(shí)監(jiān)視進(jìn)出網(wǎng)絡(luò)的流量,發(fā)現(xiàn)非法數(shù)據(jù)后��,能夠迅速定位數(shù)據(jù)包的來源���,并能夠還原出會(huì)話過程�����,并能夠及時(shí)將這些信息通知給監(jiān)控中心�����。下面分布就各部分的功能進(jìn)行描述�。
實(shí)時(shí)審計(jì)
實(shí)時(shí)審計(jì)的實(shí)現(xiàn)基于預(yù)先定義的審計(jì)規(guī)則以及數(shù)據(jù)庫系統(tǒng)的觸發(fā)器機(jī)制。審計(jì)規(guī)則可以靈活定義�����,結(jié)合用戶名稱�、IP地址、網(wǎng)卡MAC地址�,訪問目標(biāo)的域名、IP地址��、端口��,以及敏感字句等等要素�����。
實(shí)時(shí)審計(jì)分為兩個(gè)級(jí)別���,稱為低敏感級(jí)和高敏感級(jí)。
處于低敏感級(jí)別時(shí)��,系統(tǒng)只關(guān)心流過網(wǎng)關(guān)的域名或IP地址是否符合規(guī)則的要求��,當(dāng)一個(gè)新的IP包被捕獲以后���,數(shù)據(jù)采集服務(wù)會(huì)將這個(gè)IP包的詳細(xì)信息�,包括源地址、源端口�、目的地址、目的端口��,記錄到數(shù)據(jù)庫中���,通過觸發(fā)器的設(shè)定��,數(shù)據(jù)庫系統(tǒng)會(huì)自動(dòng)啟動(dòng)一個(gè)規(guī)則比對(duì)的過程�,發(fā)現(xiàn)問題后及時(shí)處理�。
系統(tǒng)處于高敏感級(jí)別時(shí),除了關(guān)心IP地址的合法性之外��,還關(guān)心流過的數(shù)據(jù)包中的內(nèi)容是否合法��,是否含有敏感字句�����。由于數(shù)據(jù)采集服務(wù)采集到的是單個(gè)的IP包的序列���,要得到數(shù)據(jù)包中內(nèi)容���,必須對(duì)TCP的會(huì)話過程進(jìn)行再現(xiàn)��,也就是說����,必須將會(huì)話中涉及到的全部IP包進(jìn)行重新組裝�,并得到一個(gè)可以理解的TCP過程。TCP會(huì)話的還原過程由實(shí)時(shí)審計(jì)系統(tǒng)內(nèi)部的模擬TCP/IP棧來實(shí)現(xiàn)����。
通過TCP/IP棧的模擬,并結(jié)合應(yīng)用協(xié)議的分析��,所有的TCP應(yīng)用協(xié)議���,如TELNET���、HTTP���、FTP���、SMTP����、POP3����、IMAP,以及基于UDP的ICQ�、OICQ等等都可以在實(shí)時(shí)審計(jì)系統(tǒng)面前一覽無遺。
最后�����,規(guī)則控制模塊對(duì)協(xié)議的會(huì)話內(nèi)容進(jìn)行檢查��,完成實(shí)時(shí)審計(jì)過程��。如果發(fā)現(xiàn)非法情況����,通知數(shù)據(jù)庫服務(wù)記錄下給定時(shí)間段某個(gè)用戶的數(shù)據(jù)流,為日后的動(dòng)作回放做準(zhǔn)備���。同時(shí)�,以告警燈�、告警聲音��、告警級(jí)別(從顏色上反映)���、以及告警分析等方式通知監(jiān)控中心。
動(dòng)作回放
動(dòng)作回放是實(shí)時(shí)審計(jì)的查看工具���,也就是說����,實(shí)時(shí)審計(jì)發(fā)現(xiàn)了問題�����,監(jiān)控中心得到了報(bào)警信息�,通過動(dòng)作回放,就可以更加直觀地顯示出被報(bào)警用戶的使用網(wǎng)絡(luò)的全過程����,為執(zhí)法人員提供可信的證據(jù)。
動(dòng)作回放功能是在網(wǎng)絡(luò)控制中心由監(jiān)控人員來使用��。為了執(zhí)行一個(gè)回放�����,首先��,監(jiān)控中心需要與遠(yuǎn)程的通訊服務(wù)聯(lián)系����,通過數(shù)據(jù)庫服務(wù),取得一個(gè)報(bào)警所涉及的全部IP包����。監(jiān)控中心得到了全部IP包之后,與實(shí)時(shí)審計(jì)一樣�,需要啟動(dòng)一個(gè)模擬的TCP棧,還原出TCP的會(huì)話過程���,最后按照協(xié)議的不同����,在不同的環(huán)境下重現(xiàn)用戶使用網(wǎng)絡(luò)的過程���。例如�����,某個(gè)遠(yuǎn)程的用戶通過WEB瀏覽器訪問了非法站點(diǎn)����,并發(fā)布了非法信息,監(jiān)控中心得到了告警之后�����,得到了該用戶的HTTP的會(huì)話過程����,其中包含了URL的請(qǐng)求,服務(wù)器的返回等等���,在監(jiān)控中心的模擬環(huán)境中�,就可以重現(xiàn)URL請(qǐng)求和服務(wù)器返回的詳細(xì)情況���。[nextpage]
下圖是回放一個(gè)HTTP請(qǐng)求和回應(yīng)的簡單示意�����。
屏幕監(jiān)控
監(jiān)控中心通過屏幕監(jiān)控系統(tǒng)可以實(shí)時(shí)監(jiān)控每個(gè)上網(wǎng)用戶的屏幕變化����。在用戶通過用戶管理登記到BroadenGate系統(tǒng)上來的時(shí)候,系統(tǒng)在客戶端安裝一個(gè)小型的不可見的插件���,這個(gè)插件作為屏幕監(jiān)控的客戶端,實(shí)時(shí)截取用戶屏幕數(shù)據(jù)����,轉(zhuǎn)換成特定的格式,并通過高性能的數(shù)據(jù)壓縮和數(shù)據(jù)加密���,傳輸給監(jiān)控中心�����。
監(jiān)控中心的屏幕監(jiān)控服務(wù)器可以同時(shí)監(jiān)控多個(gè)工作站���,記錄工作站顯示屏的畫面,回放已記錄的畫面�。另外,屏幕監(jiān)控服務(wù)器還可以報(bào)告工作站和系統(tǒng)的其它使用情況�����、鎖定工作站����、并傳送實(shí)時(shí)信息給工作站����。
監(jiān)控中心
監(jiān)控中心系統(tǒng)負(fù)責(zé)控制本區(qū)域范圍內(nèi)的BroadenGate安全審計(jì)系統(tǒng)�,定制監(jiān)控策略,并發(fā)送到每個(gè)遠(yuǎn)程的被控對(duì)象��,控制它們的數(shù)據(jù)采集和審計(jì)行為����,并可以實(shí)時(shí)顯示各被控對(duì)象的狀態(tài)。遠(yuǎn)程的被控對(duì)象在發(fā)現(xiàn)非法情況時(shí)�,在監(jiān)控終端上可以實(shí)時(shí)反映告警的各種信息,并可以通過調(diào)用動(dòng)作回放和屏幕監(jiān)控系統(tǒng)得到進(jìn)一步的告警信息����。
4.用戶管理系統(tǒng)的實(shí)現(xiàn)
用戶管理系統(tǒng)由用戶及用戶組管理、動(dòng)態(tài)地址分配組成�����。
用戶和用戶組管理記錄用戶的基本信息���,并按照用戶組對(duì)用戶進(jìn)行組合����,以一種樹狀的方式來靈活地管理本區(qū)域范圍內(nèi)的全部用戶。
動(dòng)態(tài)地址分配是BroadenGate在DHCP基礎(chǔ)之上實(shí)現(xiàn)的IP地址分配系統(tǒng)�����,結(jié)合用戶所在機(jī)器的網(wǎng)卡MAC地址���、用戶名、用戶密碼等信息給內(nèi)部用戶分配一個(gè)唯一的內(nèi)部IP地址���,并設(shè)定IP地址的租用期限����。通過動(dòng)態(tài)地址分配���,可以有效地避免用戶名和用戶地址變動(dòng)的情況下用戶管理的難度�,能夠在局域網(wǎng)內(nèi)部通過IP地址唯一地定位每個(gè)用戶����,并且可以有效地防止IP地址盜用的問題。
技術(shù)成果
目前系統(tǒng)正處于試運(yùn)行期間���,基本功能都已基本具備���。面向的用戶包括XX市公安局計(jì)算機(jī)安全監(jiān)察處及XX市的小區(qū)����、學(xué)校�����、網(wǎng)吧��、酒店及部分企事業(yè)單位��。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺(tái)���。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的��,皆為無意�����。如您是字體廠商��、圖片文字廠商等版權(quán)方����,且不允許本站使用您的字體和圖片文字等素材,請(qǐng)聯(lián)系我們�����,本站核實(shí)后將立即刪除�����!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用���,并索要賠償或上訴法院的,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索���,將不予任何的法律和經(jīng)濟(jì)賠償���!敬請(qǐng)諒解!
粵公網(wǎng)安備 44030402000264號(hào)