園區(qū)網審計前端解決方案
園區(qū)網審計系統是防止在網上發(fā)布非法信息、泄密的事后取證系統。通常在園區(qū)網出入口處建立內容審計系統,對通過的流量進行應用恢復與還原,對非法流量進行自動備份,并由此確定發(fā)送者。系統自動運行,不需要人工干預。內容審計系統具有證據保留的作用,可作為司法追究的依據。
園區(qū)網審計系統主要有以下作用:
(1)檢查網絡用戶在網絡上發(fā)表的言論、發(fā)送的信息,保障其行為符合國家法律的要求,不損害國家和他人利益,保證互聯網安全、和諧有序運行。
(2)在已知可疑人員部分網絡信息,如郵件地址、QQ帳號的情況下,能夠快速鎖定目標當前的網絡地址,并根據認證系統中的相應信息進行人員定位。
(3)在園區(qū)網絡環(huán)境中,確保用戶發(fā)送的信息滿足單位信息安全要求,對特定信息外傳進行報警和存檔。
(4)檢查經常使用特殊網絡工具對外聯系或者發(fā)送數據的人員。
一般性的園區(qū)網審計系統處理流程如圖1所示。
圖1 園區(qū)網審計系統
各模塊的作用如下:
- 高速流量捕獲:獲取網絡關鍵點上的雙向流量,通常可以采用兩種方式捕獲到流量:通過分光器從鏈路上分光獲取,或者在交換機上設置鏡像端口。高速流量捕獲主要解決高速鏈路流量的無丟失的完全捕獲問題。
- 協議還原:完成報文捕獲后,協議恢復結點組裝報文,最終完成一個個的應用文檔或者記錄。協議恢復結點首先要解決報文亂序、重傳與分片問題。在IP網絡中,先發(fā)出的報文可能后到達,后發(fā)出的報文可能先到達,網絡技術中稱之為“報文亂序”,在路由器和交換機中,有大量的研究試圖解決報文亂序問題,目前骨干鏈路上的報文亂序很少,但是仍然存在。TCP/UDP分片是協議恢復需要解決的另一個問題,協議恢復結點應能對分片報文進行正確組裝。協議恢復結點在完成報文組裝后,送到不同的處理線程(或進程)進行應用恢復。應用通信過程中,有些信息是應用的內容,而有些信息是應用之間的控制消息,應用恢復軟件能夠剔除控制消息,留下真實的應用內容。協議恢復結點通常根據TCP/UDP端口號確定應用的類型,如TCP 80為Web流量、TCP 25和110為郵件流量、TCP 23為telnet流量等。
- 數據索引:海量的文本存儲到海量數據庫前,由于數據庫容量過大,而數據庫本身并不提供對文本字段的索引能力,使用關鍵詞進行檢索需要很長的時間。此外,某些試圖逃避檢測的惡意信息發(fā)送者通常在發(fā)送信息中加入不可讀的干擾字符(如空格、“※”“¥”“#”等),試圖躲避自動分析程序的規(guī)則匹配。數據索引模塊首先具有剔除干擾字符的能力,其次可以對同音字和形近字進行處理。然后進行分詞,得到本文中出現的關鍵字。最后以類似于Google或Baidu的技術組織海量文本,使得自動規(guī)則匹配或人工查詢可以高效、準確地完成。
- 海量數據庫:數據庫服務器在海量內容恢復系統的中的作用較為簡單,主要記錄從協議恢復結點送過來的應用層數據,通常,一封Email包含發(fā)送人地址、收件人地址、主題、發(fā)送時間、截獲時間以及郵件體,而一個聊天記錄則包含發(fā)送人標識符、接收人標識符、聊天內容和聊天時間。
- 規(guī)則數據庫:存儲用戶配置的規(guī)則、用戶的賬號權限等數據信息。
- 業(yè)務邏輯:完成用戶進行的規(guī)則設置、查詢等工作。
戎騰網絡是園區(qū)網審計系統的硬件提供商,所研制的多種設備和部件可以應用于不同的場合:
(1)TransCon2402(簡稱TC2402)匯聚分流設備:用于園區(qū)網有多個鏈路接入ISP時,數據的聚合、分流、過濾。TC2402系統應用于10G/1G LAN光線路中,支持將線路上接入的數據分流/匯聚,轉發(fā)到1G/10G輸出接口上,同時對數據做分析處理。TC2402主要實現10G LAN鏈路流量接收、過濾以及分流;千兆LAN鏈路流量接收、過濾以及匯聚,能高效地解決在網絡接入層和匯聚層鏈路上進行內容審計、入侵檢測、行為分析和流量統計所面臨的數據獲取問題。
(2)PCAP2智能網卡:采用多域過濾技術、零拷貝技術和多通道虛擬隊列技術,用于衰減無關流量,實現報文到達服務器的高性能捕獲。PCAP2支持最大64K條多元組規(guī)則,實現報文頭的精確匹配、掩碼匹配和范圍匹配;
(3) SMA系列智能網卡:采用高性能連接跟蹤技術,用于降低服務器在進行協議還原時會話管理的計算負載。SMA能夠對TCP流執(zhí)行順序整理、重傳報文清理等工作,并以一個完整會話形式提交分析服務器,從而顯著提高分析服務器的性能。SMA還具備多元組過濾功能。SMA系列智能網卡包括SMA11(一個千兆電口和一個萬兆光口)和SMA20(雙萬兆以太網)
相關產品,參見戎騰產品的“匯聚器 & 分流器”和“智能網卡”。
返回首頁
回到頂部