基于嵌入式Linux視頻的網(wǎng)絡(luò)監(jiān)控系統(tǒng)設(shè)計(jì), 隨著計(jì)算機(jī)技術(shù)及網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，公安、安防行業(yè)的發(fā)展趨勢必然是全面數(shù)字化、網(wǎng)絡(luò)化。linux 網(wǎng)絡(luò)監(jiān)控系統(tǒng)的開發(fā)及其應(yīng)用尤為重要，現(xiàn)在就讓我們一起關(guān)注linux 網(wǎng)絡(luò)監(jiān)控系統(tǒng)的開發(fā)和成長。

項(xiàng)目背景

易思博公司作為國內(nèi)著名的專業(yè)軟件開發(fā)商，憑借多年網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)的開發(fā)經(jīng)驗(yàn)，在原有的代理服務(wù)器、專線和網(wǎng)關(guān)計(jì)費(fèi)系統(tǒng)的基礎(chǔ)上，針對XX市公安局計(jì)算機(jī)安全監(jiān)察處對公共網(wǎng)絡(luò)流量進(jìn)行監(jiān)控的要求，提出網(wǎng)絡(luò)安全監(jiān)控審計(jì)系統(tǒng)。
通過本系統(tǒng)，一方面，提供網(wǎng)絡(luò)接入的部門可以方便地管理上網(wǎng)用戶，保證網(wǎng)絡(luò)資源有效的使用；另一方面，政府部門可以實(shí)時(shí)監(jiān)控本區(qū)域內(nèi)Internet的使用情況，為信息安全的執(zhí)法提供依據(jù)。

方案構(gòu)成

下圖是linux 網(wǎng)絡(luò)監(jiān)控系統(tǒng)的邏輯模型，linux 網(wǎng)絡(luò)監(jiān)控系統(tǒng)由一臺或多臺數(shù)據(jù)采集服務(wù)器負(fù)責(zé)從代理服務(wù)器或者路由器采集網(wǎng)絡(luò)的流量信息，并保存到數(shù)據(jù)庫服務(wù)器中。計(jì)費(fèi)服務(wù)器通過訪問數(shù)據(jù)庫服務(wù)器，與用戶管理協(xié)調(diào)來統(tǒng)計(jì)和控制內(nèi)部用戶的上網(wǎng)行為。安全審計(jì)服務(wù)對采集來的流量數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)視，一旦發(fā)現(xiàn)非法的數(shù)據(jù)，立即通過通訊服務(wù)將數(shù)據(jù)通知給控制中心。

1.數(shù)據(jù)采集

數(shù)據(jù)采集服務(wù)負(fù)責(zé)為整個(gè)linux 網(wǎng)絡(luò)監(jiān)控系統(tǒng)提供用戶上網(wǎng)的數(shù)據(jù)，是綜合網(wǎng)絡(luò)管理平臺的重要部分，也是整個(gè)linux 網(wǎng)絡(luò)監(jiān)控系統(tǒng)的基礎(chǔ)。

數(shù)據(jù)采集服務(wù)能夠采集代理服務(wù)器、路由器、以及E*Linux網(wǎng)關(guān)上的流量數(shù)據(jù)，并且通過擴(kuò)充新的模塊，可以在短時(shí)間內(nèi)迅速支持新的上網(wǎng)方式。網(wǎng)絡(luò)管理員或者控制中心可以通過靈活定制采集規(guī)則，來控制流量數(shù)據(jù)采集的方式，以更有效地收集數(shù)據(jù)。同時(shí)，為了滿足大型網(wǎng)絡(luò)數(shù)據(jù)流量大、以及拓?fù)浣Y(jié)構(gòu)復(fù)雜的要求，數(shù)據(jù)采集服務(wù)既可以分布在一個(gè)局域網(wǎng)內(nèi)部的多臺服務(wù)器之上，也可以分布在不同地點(diǎn)的多臺服務(wù)器之上，監(jiān)控中心可以通過采集規(guī)則和數(shù)據(jù)同步來有效地控制所有的采集服務(wù)器。

針對通過路由器接入到互聯(lián)網(wǎng)的情況，數(shù)據(jù)采集服務(wù)可以采用SNMP、RMON或者IP Accouting的方式來取得路由器上記錄的流量信息，支持市面上主流的路由器。

另外，BroadenGate還有自己的網(wǎng)關(guān)產(chǎn)品E*Linux，E*Linux已經(jīng)可以與數(shù)據(jù)采集服務(wù)最緊密地結(jié)合，收集到流入和流出網(wǎng)絡(luò)的各個(gè)協(xié)議數(shù)據(jù)包的詳情。

數(shù)據(jù)庫服務(wù)器可以采用市面上主流的大型數(shù)據(jù)庫管理系統(tǒng)，如Oracle，SQL Server，DB2等等，綜合網(wǎng)絡(luò)管理平臺可以通過BroadenGate數(shù)據(jù)訪問接口來無縫地連接這些數(shù)據(jù)庫系統(tǒng)。同時(shí)，通過數(shù)據(jù)庫復(fù)制來實(shí)現(xiàn)數(shù)據(jù)庫的分布和同步，以使安全監(jiān)控系統(tǒng)具備可擴(kuò)展的數(shù)據(jù)處理能力，保證在網(wǎng)絡(luò)流量日益增大的情況下系統(tǒng)可以可靠地運(yùn)行。

2.計(jì)費(fèi)系統(tǒng)實(shí)現(xiàn)

計(jì)費(fèi)系統(tǒng)的功能是對內(nèi)部用戶上網(wǎng)的情況進(jìn)行統(tǒng)計(jì)分析，并對用戶的上網(wǎng)行為進(jìn)行控制。計(jì)費(fèi)系統(tǒng)的數(shù)據(jù)來源于數(shù)據(jù)采集服務(wù)。無論用戶網(wǎng)絡(luò)采用代理服務(wù)器上網(wǎng)、還是采用專線上網(wǎng)、或者是用E*Linux網(wǎng)關(guān)上網(wǎng)，計(jì)費(fèi)系統(tǒng)都會(huì)以統(tǒng)一的接口和靈活的方式來反映出每個(gè)內(nèi)部用戶的上網(wǎng)行為。

另外，通過E*Linux網(wǎng)關(guān)，計(jì)費(fèi)系統(tǒng)還可以實(shí)時(shí)控制內(nèi)部用戶的上網(wǎng)。

3.監(jiān)控系統(tǒng)實(shí)現(xiàn)

監(jiān)控系統(tǒng)是安全審計(jì)系統(tǒng)的核心，它負(fù)責(zé)實(shí)時(shí)監(jiān)視進(jìn)出網(wǎng)絡(luò)的流量，發(fā)現(xiàn)非法數(shù)據(jù)后，能夠迅速定位數(shù)據(jù)包的來源，并能夠還原出會(huì)話過程，并能夠及時(shí)將這些信息通知給監(jiān)控中心。下面分布就各部分的功能進(jìn)行描述。 #p#

實(shí)時(shí)審計(jì)

實(shí)時(shí)審計(jì)的實(shí)現(xiàn)基于預(yù)先定義的審計(jì)規(guī)則以及數(shù)據(jù)庫系統(tǒng)的觸發(fā)器機(jī)制。審計(jì)規(guī)則可以靈活定義，結(jié)合用戶名稱、IP地址、網(wǎng)卡MAC地址，訪問目標(biāo)的域名、IP地址、端口，以及敏感字句等等要素。
實(shí)時(shí)審計(jì)分為兩個(gè)級別，稱為低敏感級和高敏感級。

處于低敏感級別時(shí)，系統(tǒng)只關(guān)心流過網(wǎng)關(guān)的域名或IP地址是否符合規(guī)則的要求，當(dāng)一個(gè)新的IP包被捕獲以后，數(shù)據(jù)采集服務(wù)會(huì)將這個(gè)IP包的詳細(xì)信息，包括源地址、源端口、目的地址、目的端口，記錄到數(shù)據(jù)庫中，通過觸發(fā)器的設(shè)定，數(shù)據(jù)庫系統(tǒng)會(huì)自動(dòng)啟動(dòng)一個(gè)規(guī)則比對的過程，發(fā)現(xiàn)問題后及時(shí)處理。
 
系統(tǒng)處于高敏感級別時(shí)，除了關(guān)心IP地址的合法性之外，還關(guān)心流過的數(shù)據(jù)包中的內(nèi)容是否合法，是否含有敏感字句。由于數(shù)據(jù)采集服務(wù)采集到的是單個(gè)的IP包的序列，要得到數(shù)據(jù)包中內(nèi)容，必須對TCP的會(huì)話過程進(jìn)行再現(xiàn)，也就是說，必須將會(huì)話中涉及到的全部IP包進(jìn)行重新組裝，并得到一個(gè)可以理解的TCP過程。TCP會(huì)話的還原過程由實(shí)時(shí)審計(jì)系統(tǒng)內(nèi)部的模擬TCP/IP棧來實(shí)現(xiàn)。

通過TCP/IP棧的模擬，并結(jié)合應(yīng)用協(xié)議的分析，所有的TCP應(yīng)用協(xié)議，如TELNET、HTTP、FTP、SMTP、POP3、IMAP，以及基于UDP的ICQ、OICQ等等都可以在實(shí)時(shí)審計(jì)系統(tǒng)面前一覽無遺。

最后，規(guī)則控制模塊對協(xié)議的會(huì)話內(nèi)容進(jìn)行檢查，完成實(shí)時(shí)審計(jì)過程。如果發(fā)現(xiàn)非法情況，通知數(shù)據(jù)庫服務(wù)記錄下給定時(shí)間段某個(gè)用戶的數(shù)據(jù)流，為日后的動(dòng)作回放做準(zhǔn)備。同時(shí)，以告警燈、告警聲音、告警級別（從顏色上反映）、以及告警分析等方式通知監(jiān)控中心。

動(dòng)作回放

動(dòng)作回放是實(shí)時(shí)審計(jì)的查看工具，也就是說，實(shí)時(shí)審計(jì)發(fā)現(xiàn)了問題，監(jiān)控中心得到了報(bào)警信息，通過動(dòng)作回放，就可以更加直觀地顯示出被報(bào)警用戶的使用網(wǎng)絡(luò)的全過程，為執(zhí)法人員提供可信的證據(jù)。

動(dòng)作回放功能是在網(wǎng)絡(luò)控制中心由監(jiān)控人員來使用。為了執(zhí)行一個(gè)回放，首先，監(jiān)控中心需要與遠(yuǎn)程的通訊服務(wù)聯(lián)系，通過數(shù)據(jù)庫服務(wù)，取得一個(gè)報(bào)警所涉及的全部IP包。監(jiān)控中心得到了全部IP包之后，與實(shí)時(shí)審計(jì)一樣，需要啟動(dòng)一個(gè)模擬的TCP棧，還原出TCP的會(huì)話過程，最后按照協(xié)議的不同，在不同的環(huán)境下重現(xiàn)用戶使用網(wǎng)絡(luò)的過程。例如，某個(gè)遠(yuǎn)程的用戶通過WEB瀏覽器訪問了非法站點(diǎn)，并發(fā)布了非法信息，監(jiān)控中心得到了告警之后，得到了該用戶的HTTP的會(huì)話過程，其中包含了URL的請求，服務(wù)器的返回等等，在監(jiān)控中心的模擬環(huán)境中，就可以重現(xiàn)URL請求和服務(wù)器返回的詳細(xì)情況。

下圖是回放一個(gè)HTTP請求和回應(yīng)的簡單示意。

屏幕監(jiān)控

監(jiān)控中心通過屏幕監(jiān)控系統(tǒng)可以實(shí)時(shí)監(jiān)控每個(gè)上網(wǎng)用戶的屏幕變化。在用戶通過用戶管理登記到BroadenGate系統(tǒng)上來的時(shí)候，系統(tǒng)在客戶端安裝一個(gè)小型的不可見的插件，這個(gè)插件作為屏幕監(jiān)控的客戶端，實(shí)時(shí)截取用戶屏幕數(shù)據(jù)，轉(zhuǎn)換成特定的格式，并通過高性能的數(shù)據(jù)壓縮和數(shù)據(jù)加密，傳輸給監(jiān)控中心。

監(jiān)控中心的屏幕監(jiān)控服務(wù)器可以同時(shí)監(jiān)控多個(gè)工作站，記錄工作站顯示屏的畫面，回放已記錄的畫面。另外，屏幕監(jiān)控服務(wù)器還可以報(bào)告工作站和系統(tǒng)的其它使用情況、鎖定工作站、并傳送實(shí)時(shí)信息給工作站。

監(jiān)控中心

監(jiān)控中心系統(tǒng)負(fù)責(zé)控制本區(qū)域范圍內(nèi)的BroadenGate安全審計(jì)系統(tǒng)，定制監(jiān)控策略，并發(fā)送到每個(gè)遠(yuǎn)程的被控對象，控制它們的數(shù)據(jù)采集和審計(jì)行為，并可以實(shí)時(shí)顯示各被控對象的狀態(tài)。遠(yuǎn)程的被控對象在發(fā)現(xiàn)非法情況時(shí)，在監(jiān)控終端上可以實(shí)時(shí)反映告警的各種信息，并可以通過調(diào)用動(dòng)作回放和屏幕監(jiān)控系統(tǒng)得到進(jìn)一步的告警信息。

4.用戶管理系統(tǒng)的實(shí)現(xiàn)

用戶管理系統(tǒng)由用戶及用戶組管理、動(dòng)態(tài)地址分配組成。

用戶和用戶組管理記錄用戶的基本信息，并按照用戶組對用戶進(jìn)行組合，以一種樹狀的方式來靈活地管理本區(qū)域范圍內(nèi)的全部用戶。

動(dòng)態(tài)地址分配是BroadenGate在DHCP基礎(chǔ)之上實(shí)現(xiàn)的IP地址分配系統(tǒng)，結(jié)合用戶所在機(jī)器的網(wǎng)卡MAC地址、用戶名、用戶密碼等信息給內(nèi)部用戶分配一個(gè)唯一的內(nèi)部IP地址，并設(shè)定IP地址的租用期限。通過動(dòng)態(tài)地址分配，可以有效地避免用戶名和用戶地址變動(dòng)的情況下用戶管理的難度，能夠在局域網(wǎng)內(nèi)部通過IP地址唯一地定位每個(gè)用戶，并且可以有效地防止IP地址盜用的問題。

技術(shù)成果

目前系統(tǒng)正處于試運(yùn)行期間，基本功能都已基本具備。面向的用戶包括XX市公安局計(jì)算機(jī)安全監(jiān)察處及XX市的小區(qū)、學(xué)校、網(wǎng)吧、酒店及部分企事業(yè)單位。

網(wǎng)絡(luò)安全監(jiān)控審計(jì)系統(tǒng)將作為BroadenGate網(wǎng)絡(luò)監(jiān)控系統(tǒng)的系列產(chǎn)品發(fā)布。

【編輯推薦】

1. Linux中Swap空間的管理知識講解
2. linux關(guān)于swap分區(qū)的劃分規(guī)則
3. 關(guān)于2G虛擬內(nèi)存Linux swap限制的說明
4. 深度探討被Linux SNMP管理的設(shè)備
5. Linux SNMP收集數(shù)據(jù)有兩種方法