蓝盾IDC安全管理系统白皮书2

1、蓝盾idc安全管理系统技术白皮书广东天海威数码技术有限公司二00五年五月八日目 录1系统概述42系统架构5网络架构53系统功能73.1idc监控管理73.1.1idc运营商管理73.1.2托管主机及其服务的登记73.1.3虚拟主机及其服务的登记73.1.4违规服务的发现73.1.5ftp服务的监控管理83.1.6https服务的监控管理83.1.7电子邮件服务的监控管理83.1.8电子论坛bbs的监控管理83.1.9bt下载服务器的监控管理83.2应用协议的实时监控和报警93.2.1http协议的监控93.2.2ftp协议的监控123.2.3smtp协议的监控133.2.4pop3协议的监控1

2、63.2.5telnet协议的监控163.2.6qq协议的监控173.2.7msn协议的监控193.2.8icq的监控203.2.9yahoo messenger的监控213.2.10游戏的监控213.3记录和取证213.4统计分析213.5系统配置管理224系统特点234.1支持1000m以上网络的管理234.2先进的分布式架构234.3先进的集中管理模式234.4通用的数据格式234.5可同时管理多个idc234.6支持多种流行网络协议的分析解码234.7支持多种主流的即时通信软件的分析解码234.8支持多种主流的p2p协议的分析解码234.9支持h323协议族的分析解码244.10支持多

3、种主流网络游戏的信息分析解码244.11良好的开放性244.12高可靠性244.13高安全性244.14可扩展性254.15易用性251 系统概述为认真贯彻落实中共中央办公厅国务院办公厅关于进一步加强互联网新闻宣传和信息内容安全管理工作的意见的精神，切实加强公共信息网络安全监察工作，公安部近期制定了各地建立互联网报警处置中心的建设规范。互联网数据中心idc（internet data center）作为互联网出口和互联网服务主机托管的主要场所，是互联网各类信息和服务的集散地，加强对各idc的安全审计管理，对加强互联网的管理有着事半功倍的效果。目前，一些违法犯罪分子利用主机托管或者虚拟主机服务，

4、发布色情、反动的信息，从事各种赌博的活动或者提供与登记的服务不符的网络服务内容，而idc运营商本身缺乏有效的措施和技术手段及时地发现和阻止这些非法服务和活动，使得网上的黄色和赌博活动日益猖獗。公安网络安全监察部门和idc运营商，都需要在日常能够全面地了解管辖的idc的网络信息和网站服务的变化情况，从而有效地打击各类网上违法和犯罪活动。为配合公安部报警处置中心项目的开展，广东天海威数码技术有限公司自主研发了“蓝盾idc安全管理系统”，实现对idc进行全面有效的安全管理。本系统综合采用数据挖掘技术、数据报文捕获技术、协议解码还原技术、内容匹配技术、插件技术等各种先进的开发和管理技术，支持绝大多数主

5、流的网络协议，包括：ipv4、icmp、dns、arp、tcp、udp、http、smtp、pop3、telnet、ftp等，以及各种即时通讯软件，如qq、msn、icq、yahoo messenger，最近比较流行的p2p软件、h323协议等的分析和解码。具有监控、记录和管理功能，可以高效地发现和拦截各种有害/不良信息的传播。蓝盾idc安全管理系统适用于公安机关对互联网数据中心（idc）的安全管理。通过本系统的监控，公安机关可以随时掌握托管主机和虚拟主机的服务情况，使idc内所有服务提供商的服务情况处于小时监控之中。本系统的使用为公安机关提供了监管各地idc的一种技术手段。不但可以及时发现和

6、清除黄、赌、毒、反动等不良网站，营造绿色网络环境，维护良好的上网秩序，还可以为公安机关提供一种快速、准确、可靠的技术侦查手段，从而达到打击计算机信息犯罪，确保国家信息安全的目的。2 系统架构网络架构从上图可以清楚地看到，蓝盾idc安全管理系统主要分为三大部分，分别是探针、后台服务器和控制终端。探针部分接在目标网络的核心交换机镜像口上，采用旁路监听的方式捕获网络数据，对采集的网络数据进行分析解码，并根据预订的规则策略对所有可疑/有害信息进行记录，然后定时将数据转移到中心管理服务器进行存储和进一步的分析处理；控制终端则采用b/s架构，通过互联网和中心管理服务器进行各项管理工作。这种接入方式对目标网

7、络进行旁路监听，对网络的性能不会造成任何影响。l 控制终端控制终端是蓝盾idc安全管理系统的管理控制部分，用于对部署在互联网上的多个网络探针进行集中管理，包括控制网络探针的运行、参数配置、规则库/关键字库的更新、获取审计数据、获取探针运行日志和统计数据等。l 网络探针网络探针部分采用标准专用的工控硬件设备，是蓝盾idc安全管理系统的核心部件，它监听该网络探针所在物理网络上的所有通信信息，分析这些网络通信信息，采用底层抓包技术，捕获所有网络数据包，根据协议的rfc文档标准进行协议分析，然后根据规则库对有害信息或者非法网站进行审计记录，实时地记录各种有害信息或者非法网站的全部会话过程和数据，并根据

8、控制中心的指令进行各种操作。l 中心管理服务器系统核心部分，负责存储各种系统数据，控制管理各探针，生成统计分析报表，生成管理界面等。3 系统功能蓝盾idc安全管理系统主要有以下功能和特点：3.1 idc监控管理3.1.1 idc运营商管理在该模块中，用户可以集中管理所管辖地区内的idc服务商。对于每个idc运营商，系统将记录idc运营商的详细资料，包括运营商编号、运营商名称、联系方法、地址等，以及idc内部署的探点，并设定各个探点监测的ip地址范围。3.1.2 托管主机及其服务的登记对idc机房内所有托管主机及其提供的合法网络服务进行登记和分类，这样监管各托管主机提供的服务，在发生违规服务时及

9、时进行报警，以及在产生其他报警信息时准确地定位服务提供商。3.1.3 虚拟主机及其服务的登记对idc机房内所有虚拟主机域名及其提供的合法网络服务进行登记和分类，这样监管各虚拟主机提供的服务，在发生违规服务时及时进行报警，以及在产生其他报警信息时准确地定位服务提供商。3.1.4 违规服务的发现目前，很多托管主机和虚拟主机提供了申报服务以外的违规服务，例如色情、赌博、反动信息等网站日益猖獗，给网上的违法犯罪分子提供了温床，该功能为公安机关打击这些非法服务提供了强有力的技术手段。本系统通过网络协议的分析和托管主机和虚拟主机的服务登记，系统可以自动发现被监测点提供的未经登记的违规网络服务并及时记录。3

10、.1.5 ftp服务的监控管理目前很多网站提供了下载软件、音乐、游戏等的功能，有相当一部分涉及到侵犯知识产权或者是传播非法、色情、反动信息。下载服务主要通过ftp协议完成。本系统通过对ftp协议的分析，可以准确发现提供下载的ftp服务器及其相关资料。3.1.6 https服务的监控管理由于https采用机密传输，并需要用户认证，被一些网站利用来传播非法信息。本系统通过对https协议的分析，可以准确发现https服务器及其相关资料，利于网监人员发现可疑的https服务。3.1.7 电子邮件服务的监控管理很多非法网站通过电子邮件服务发布大量垃圾邮件或者是反动色情信息，严重干扰互联网的健康。本系统

11、通过对电子邮件协议的分析，准确发现电子邮件服务器及其相关资料。3.1.8 电子论坛bbs的监控管理电子论坛bbs是互联网上发布信息的重要渠道之一，几乎任何人在论坛免费注册一个账号后都可以自由地发布信息和言论，由于信息量巨大，且多数网站管理人员疏于管理，被很多违法犯罪分子利用来发布各种色情、反动的信息，所以对于bbs的监管是非常必要的。本系统通过对登记的bbs访问情况进行统计，对发布内容的监控，可及时发现和记录各种有害或敏感的信息。3.1.9 bt下载服务器的监控管理bt协议已经迅速成为互联网上最受欢迎的p2p协议之一，由于它占用了大量的网络带宽，传输的信息良莠混杂，成为各idc最为头痛的问题之

12、一。本系统通过对bt协议的分析，可以准确发现提供下载的bt服务器及其相关资料。3.2 应用协议的实时监控和报警蓝盾idc安全管理系统控制中心可以对各个监控点的审计策略进行统一管理，控制中心对审计策略做的任何更新维护操作都将直接下发到各个监控点。通过控制中心也可对监控端进行单独管理，定制、添加和管理规则策略。3.2.1 http协议的监控系统能对http访问进行全面的协议解码、分析，对压缩了的网页内容进行自动解压，并根据设置的规则实现对域名、ip地址、url关键字、网页内容和通过网页发布、粘贴的内容（如bbs论坛、web mail等）进行监控。黑名单包括ip黑名单和站点黑名单，可将一些反动、黄色

13、等站点列入黑名单，限制对其访问，必要时还可对其访问内容进行监控、记录。图（2）：http协议中ip黑名单（ip black）布控功能白名单不进行监控的网站名或ip地址，可将一些大型、知名网站列入白名单，系统将不对其进行监控，节省系统处理时间，提高系统效率。图（1）：http协议中ip白名单（ip white）布控功能url关键字url串中包含有很多重要内容，如帐号、邮箱地址、论坛上传的内容等，所以对url基于关键字的监控可以获取不少有用的信息。网页内容关键字主要是对网页内容中包含的关键字的监控。网站提供的服务，往往在网页的内容文字上有所表现，所以此功能不但能发现一些反动、黄色的信息，而且能发现

14、一些提供非法服务（如赌博）的网站。图（1）： http协议网页关键字拦截功能外发信息内容关键字webmail 发送的电子邮件内容、bbs上传的帖子，都通过表单的方式从网页提交，通过对外发信息内容中的关键字的监控，可以截获很多含有反动言论的帖子。3.2.2 ftp协议的监控系统能对ftp站点、ip地址、ftp帐号、ftp传送的文件名和文件内容进行监控。ftp站点黑名单系统能对一些非法ftp站点进行监控。包括域名和ip地址。ftp文件名对特定的ftp文件名进行监控。ftp文件内容关键字系统能对文件内容中的关键字进行监控。3.2.3 smtp协议的监控系统能对发送的邮件进行监控。监控的内容包括邮件信

15、头中的发件人、收件人、抄送人、主题，信体的邮件正文内容、附件名、文本附件内容等。发件人地址对邮件发件人地址的监控。收件人地址对邮件收件人地址的监控。邮件主题中的关键字对邮件主题中的关键字的监控。图（3）：smtp协议电子邮件主题关键字布控功能邮件内容关键字系统能对邮件内容中的关键字进行监控。图（4）：smtp协议电子邮件正文关键字布控功能邮件附件文件名系统能对邮件附件特定的文件名进行监控。邮件附件文件内容中的关键字系统能对邮件附件文件内容中的关键字进行监控。图（6）：smtp协议电子邮件附件内容关键字拦截功能3.2.4 pop3协议的监控系统能对接收的邮件进行监控。监控的内容包括邮件信头中的发

16、件人、收件人、抄送人、主题，信体的邮件正文内容、附件名、文本附件内容等。3.2.5 telnet协议的监控系统能对提供telnet服务的站点、ip地址和telnet中交互的内容进行监控。同时还能对telnet用户上、下线进行监控、报警。telnet站点黑名单系统能对一些非法telnet站点进行监控。包括域名和ip地址。图（1）： telnet协议中黑名单ip地址布控功能telnet内容关键字系统能对telnet通信中交互的内容，进行监控。3.2.6 qq协议的监控qq用户上下线监控系统能对qq号码在线与下线进行监控。中心pc机上的审计数据结果截图如下：qq聊天室信息监控系统能够对qq聊天室的信

17、息内容进行监控3.2.7 msn协议的监控系统能对msn的帐号和内容进行监控。msn用户上下线监控系统通过对msn帐号的监控，能实现对特定用户上下线的报警。msn内容关键字系统能捕获msn的通信内容，对内容中特定关键字进行监控。3.2.8 icq的监控系统能对icq的帐号和内容进行监控。icq用户上下线监控系统通过对icq帐号的监控，能实现对特定用户上下线的报警。icq内容关键字系统能捕获icq的通信内容，对内容中特定关键字进行监控。3.2.9 yahoo messenger的监控yahoo messenger用户上下线监控系统通过对yahoo messenger帐号的监控，能实现对特定用户上

18、下线的报警。yahoo messenger内容关键字系统能实时捕获所有的聊天信息，包括普通聊天信息、会议信息和聊天室信息等，并对内容中特定的关键字进行监控。3.2.10 游戏的监控蓝盾idc安全管理系统支持各种国内流行的大型网络游戏的监控，包括指定的玩家id的上下线监控和游戏过程中的聊天信息的内容监控。主要支持的游戏包括：盛大的传奇世界、网易公司的大话西游、九城的魔兽世界、新浪乐谷的天堂等。3.3 记录和取证经过协议分析，系统将自动记录所有符合预定义的监控条件的网络包，将其解码后的信息存放在中心数据库中 。网络监查人员可以通过中心控制终端根据各种查询条件，查询到相应的报警记录，找到犯罪违法人员

19、的上网ip地址、网卡地址（mac）、时间、上网过程、内容等信息，从而帮助公安机关准确地定性其违法犯罪事实和定位违法犯罪分子。网络监查人员还可以通过系统准确地掌握各托管主机和虚拟主机违规服务的情况，及时地查处违法犯罪网站，保证互联网的健康发展。3.4 统计分析系统在获得探针采集的数据后，生成各类统计分析报表，帮助网络监查人员更清晰直观地掌握idc的服务情况和互联网上各种违法犯罪活动的迹象。 托管/虚拟主机违规服务统计报表帮助网监人员掌握各种违规服务的情况。 系统运行情况报表帮助网监人员掌握各探针的分布和运行情况。 可根据网络协议类型、报警类型、报警级别、ip地址、时间等报警记录属性生成各类触警情

20、况报表，提供破案线索和违法犯罪证据3.5 系统配置管理 探针配置管理 报警规则管理 用户分级分权管理 其他管理4 系统特点4.1 支持1000m以上网络的管理4.2 先进的分布式架构采用分布式体系结构设计，大大降低监测点成本。4.3 先进的集中管理模式采用b/s架构，降低管理的部署成本，提高管理的灵活性。管理者只要拥有一个浏览器并接通互联网，就可以在任何地方、任何时间对系统进行管理。4.4 通用的数据格式系统全部通讯数据采用xml格式，保证了与其他系统交换数据的灵活性4.5 可同时管理多个idc4.6 支持多种流行网络协议的分析解码包括ipv4、icmp、dns、arp、tcp、udp、htt

21、p、smtp、pop3、telnet、ftp等常用网络协议，以及即将支持ipng协议族，包括ipv6、icmp6等4.7 支持多种主流的即时通信软件的分析解码包括qq、msn、icq、yahoo messenger、uc、网易泡泡等4.8 支持多种主流的p2p协议的分析解码p2p技术，即端到端对等网络技术，是指网络主机在充当客户端获取资源的同时充当服务器向其它对等体（peer）提供服务。随着计算机网络的广泛应用和多媒体资源的丰富，p2p技术被主要应用于文件（主要是大型的多媒体文件）共享方面。当前用于文件共享的p2p协议种类很多，在美国大量使用的是kazaa，在欧洲存在大量用户的是edonkey和winmx，在我国使用最频繁的是bittorrent；其它常