园区网审计前端解决方案

1、园区网审计系统

园区网审计系统是防止在网上发布非法信息、泄密的事后取证系统。通常在园区网出入口处建立内容审计系统,对通过的流量进行应用恢复与还原,对非法流量进行自动备份,并由此确定发送者。系统自动运行,不需要人工干预。内容审计系统具有证据保留的作用,可作为司法追究的依据。

园区网审计系统主要有以下作用:

(1)监控网络用户在网络上发表的言论、发送的信息,保障其行为符合国家法律的要求,不损害国家和他人利益,保证互联网安全、和谐有序运行。

(2)在已知可疑人员部分网络信息,如邮件地址、QQ帐号的情况下,能够快速锁定目标当前的网络地址,并根据认证系统中的相应信息进行人员定位。

(3)在园区网络环境中,确保用户发送的信息满足单位安全保密要求,对可能涉密信息外传进行报警和存档。

(4)监控经常使用特殊网络工具对外联系或者发送数据的人员。

一般性的园区网审计系统处理流程如图1所示。


图1 园区网审计系统

各模块的作用如下:

  • 高速流量捕获:获取网络关键点上的双向流量,通常可以采用两种方式捕获到流量:通过分光器从链路上分光获取,或者在交换机上设置镜像端口。高速流量捕获主要解决高速链路流量的无丢失的完全捕获问题。
  • 协议还原:完成报文捕获后,协议恢复结点组装报文,最终完成一个个的应用文档或者记录。协议恢复结点首先要解决报文乱序、重传与分片问题。在IP网络中,先发出的报文可能后到达,后发出的报文可能先到达,网络技术中称之为“报文乱序”,在路由器和交换机中,有大量的研究试图解决报文乱序问题,目前骨干链路上的报文乱序很少,但是仍然存在。TCP/UDP分片是协议恢复需要解决的另一个问题,协议恢复结点应能对分片报文进行正确组装。协议恢复结点在完成报文组装后,送到不同的处理线程(或进程)进行应用恢复。应用通信过程中,有些信息是应用的内容,而有些信息是应用之间的控制消息,应用恢复软件能够剔除控制消息,留下真实的应用内容。协议恢复结点通常根据TCP/UDP端口号确定应用的类型,如TCP 80为Web流量、TCP 25和110为邮件流量、TCP 23为telnet流量等。
  • 数据索引:海量的文本存储到海量数据库前,由于数据库容量过大,而数据库本身并不提供对文本字段的索引能力,使用关键词进行检索需要很长的时间。此外,某些试图逃避监管的恶意信息发送者通常在发送信息中加入不可读的干扰字符(如空格、“※”“¥”“#”等),试图躲避自动分析程序的规则匹配。数据索引模块首先具有剔除干扰字符的能力,其次可以对同音字和形近字进行处理。然后进行分词,得到本文中出现的关键字。最后以类似于Google或Baidu的技术组织海量文本,使得自动规则匹配或人工查询可以高效、准确地完成。
  • 海量数据库:数据库服务器在海量内容恢复系统的中的作用较为简单,主要记录从协议恢复结点送过来的应用层数据,通常,一封Email包含发送人地址、收件人地址、主题、发送时间、截获时间以及邮件体,而一个聊天记录则包含发送人标识符、接收人标识符、聊天内容和聊天时间。
  • 规则数据库:存储用户配置的规则、用户的账号权限等数据信息。
  • 业务逻辑:完成用户进行的规则设置、查询等工作。
2、戎腾网络前端设备

戎腾网络是园区网审计系统的硬件提供商,所研制的多种设备和部件可以应用于不同的场合:

(1)TransCon2402(简称TC2402)汇聚分流设备:用于园区网有多个链路接入ISP时,数据的聚合、分流、过滤。TC2402系统应用于10G/1G LAN光线路中,支持将线路上接入的数据分流/汇聚,转发到1G/10G输出接口上,同时对数据做分析处理。TC2402主要实现10G LAN链路流量接收、过滤以及分流;千兆LAN链路流量接收、过滤以及汇聚,能高效地解决在网络接入层和汇聚层链路上进行内容审计、入侵检测、行为分析和流量统计所面临的数据获取问题。

(2)PCAP2智能网卡:采用多域过滤技术、零拷贝技术和多通道虚拟队列技术,用于衰减无关流量,实现报文到达服务器的高性能捕获。PCAP2支持最大64K条多元组规则,实现报文头的精确匹配、掩码匹配和范围匹配;

(3) SMA系列智能网卡:采用高性能连接跟踪技术,用于降低服务器在进行协议还原时会话管理的计算负载。SMA能够对TCP流执行顺序整理、重传报文清理等工作,并以一个完整会话形式提交分析服务器,从而显著提高分析服务器的性能。SMA还具备多元组过滤功能。SMA系列智能网卡包括SMA11(一个千兆电口和一个万兆光口)和SMA20(双万兆以太网)

相关产品,参见戎腾产品的“汇聚器 & 分流器”和“智能网卡”。