【文章內(nèi)容簡介】 有網(wǎng)絡(luò)上引起注意的信息進(jìn)行收集處理并可由安全管理人員決定對哪些會話內(nèi)容或過程進(jìn)行監(jiān)視的信息監(jiān)測引擎 ICME； ● 一個(gè)用于存儲所有或被監(jiān)視的會話 SRI 內(nèi)容或過程的數(shù)據(jù)庫 ICMDB，以便進(jìn)一步的人為分析； ● 一個(gè)用于分析人員查看和調(diào)閱的標(biāo)準(zhǔn)審計(jì)瀏 覽平臺 ICMBW； ● 一個(gè)用于對監(jiān)測過程的配置、報(bào)警、日志的管理控制臺 ICMCON。 2 2 概述 一個(gè) ICMS 監(jiān)測中心可同時(shí)對多個(gè)流經(jīng)局域網(wǎng)的 IP 流進(jìn)行監(jiān)視。事實(shí)上多個(gè)有關(guān)的網(wǎng)絡(luò)對監(jiān)視者而言是透明的，如下圖所示。 圖 21：全面截取 ICMS 可對廣泛的 IP 會話內(nèi)容進(jìn)行監(jiān)視，包括電子郵件、 Web 通信、文件傳遞、各種信息，新聞、遠(yuǎn)程登錄等等。 為監(jiān)視有關(guān)會話，該系統(tǒng)使用了一個(gè)預(yù)定義的 SRI 參數(shù)配置表，如會話的源 IP 和目的 IP 地址、 地址、 Web URL、會話內(nèi)容（如 的附件）中的搜尋關(guān)鍵字和一個(gè)可學(xué)習(xí)型的文本分類器增加特征識別。 該系統(tǒng)可為操作人員實(shí)時(shí)提供每個(gè)會話的監(jiān)視內(nèi)容及相關(guān)信息。其內(nèi)容可以是電子郵件內(nèi)容、 Web 頁面、或者文件。相關(guān)會話信息包括 地址、 IP 地址、精確的發(fā)送 3 時(shí)間等。 （ ICME） ICMS 提供了一個(gè)強(qiáng)有力的功能 —— 會話監(jiān)視處理引擎（ ICME）。 ICME 可創(chuàng)建一個(gè)由網(wǎng)絡(luò)中的會話的 SRI 構(gòu)成的數(shù)據(jù)庫，包括各種類型的會話。并同時(shí)包含了一個(gè)高級的標(biāo)準(zhǔn)瀏覽審計(jì)工具便于使用者對數(shù)據(jù)庫中的會話記 錄信息進(jìn)行分析，并獲得智能化的推斷。如： ● 發(fā)現(xiàn)新的值得注意的會話內(nèi)容或過程 ● 獲取會話操作者的行為（包括歷史信息） ● 接受特定事件的告警 ICME 是 ICMS 監(jiān)視中心的核心部分，放置在網(wǎng)管或安全監(jiān)測管理機(jī)構(gòu)（ SMMA）所在地。 4 3 截取并過濾數(shù)據(jù) ICMS 接收以太網(wǎng)、快速以太網(wǎng)、令牌網(wǎng)、 ATM 局域網(wǎng)上的 IP 包。該系統(tǒng)以 GD Probe（國都網(wǎng)絡(luò)探測器）方式嵌入在路由器與交換機(jī)、交換機(jī)與交換機(jī)、交換機(jī)與集線器之間的網(wǎng)線中，接收所有流經(jīng)它們之間的以太網(wǎng)幀。 對上述所 有的接入將確保： ● 對 IP 網(wǎng)絡(luò)的正常運(yùn)行、系統(tǒng)容量等不會產(chǎn)生任何影響； ● 該設(shè)備對安裝在 IP 網(wǎng)絡(luò)上的硬件設(shè)備不會造成任何的影響； 如果被監(jiān)視的網(wǎng)絡(luò)屬于廣域網(wǎng)的第二層，如幀中繼、 ATM WAN、 E1/T1 或SONET/SDH 上的包。國都興業(yè)將提供相應(yīng)的廣域網(wǎng) GD Probe 設(shè)備直接接收或?qū)⑺械木W(wǎng)絡(luò)通信集中于一個(gè)網(wǎng)絡(luò)段（ LAN segment），用于 ICMS 監(jiān)視。 無論采用何種接入方法， ICMS 組件都將作出如下保證： ● 常規(guī)的測試設(shè)備不能發(fā)現(xiàn)該網(wǎng)絡(luò)正處于監(jiān)視中； ● 任何無授權(quán)的網(wǎng)絡(luò)管理員都不能訪問 過濾標(biāo)準(zhǔn)列表。只有經(jīng)過授權(quán)的人員（ SMMA）才能知道被 ICMS 監(jiān)視的是哪些會話。 過濾管理 為實(shí)現(xiàn)有效的監(jiān)控管理，預(yù)定義的過濾標(biāo)準(zhǔn)按一種分級結(jié)構(gòu)進(jìn)行組織。例如，不同的監(jiān)視要求采用不同的監(jiān)視規(guī)則。 5 ICMS 的有關(guān)邏輯概念： 事件 。它通常包括好幾個(gè)處于活動或非活動狀態(tài)的目標(biāo)； 目標(biāo) 。在通常情況下目標(biāo)表示身份 —— 某一 IP 或某一用戶。也可以是行為，如包含特定關(guān)鍵字或發(fā)往指定用戶的 會話。每個(gè)目標(biāo)都具有一優(yōu)先級特性，用來確保一個(gè)高效率的監(jiān)視順序。一個(gè)目標(biāo)可包含一個(gè)或多個(gè)條件組合的目標(biāo)關(guān)鍵字。 目標(biāo)關(guān)鍵字 .一個(gè)目標(biāo)關(guān)鍵字就是一個(gè)決定是否與某一特定目標(biāo)相關(guān)的會話的過濾狀態(tài)。目標(biāo)關(guān)鍵字可以是基于任何包含在會話中的與 SRI 有關(guān)的參數(shù)。也可以等于某一特定的值，或一連續(xù)值，或者離散值。目標(biāo)關(guān)鍵字也可以限制在對具有特定的或具有邏輯組合的 SRI 值的會話進(jìn)行過濾。例如，“如果（ 來自阿富汗）并且（內(nèi)容包含“恐怖”），該會話將被截取”。 目標(biāo)分類器 . 注意 —— 在某些應(yīng)用中，如系統(tǒng) 僅監(jiān)視一個(gè)網(wǎng)絡(luò)，而且每個(gè)目標(biāo)只有一個(gè)目標(biāo)關(guān)鍵字，此時(shí)用戶可以使用一個(gè)僅有事件和目標(biāo)的二級層次結(jié)構(gòu)。 ICMS 支持這種選項(xiàng)。 過濾標(biāo)準(zhǔn) 一個(gè)目標(biāo)關(guān)鍵字可由以下會話參數(shù)構(gòu)成（有些僅在 SS7 信令網(wǎng)中有效）： ● IP 地址 ● 應(yīng)用類型（決定于 TCP/UDP 端口） ● 用戶身份（ RADIUS 用戶名， DHCP MAC 地址或 Cable modem號碼等） ● 會話傳輸時(shí)間 ● Email 參數(shù)： ◆ 一個(gè) 會話的發(fā)件、收件人地址或任何地址的前 /后綴 ◆ POP3， IMAP， Notes，或 Exchange 用戶名或口令 ◆ 主題中的關(guān)鍵字 ◆ 發(fā)件人的姓名 ◆ 發(fā)送機(jī)構(gòu) ◆ 所用語言（需要 Microsoft Windows OS 支持） ◆ 加密信息（支持流行的密碼標(biāo)準(zhǔn)，如 SMIME， PGP 等） ◆ 附件屬性（數(shù)目、文件名、大小、類型） 6 ◆ 郵件本身的關(guān)鍵字 ◆ Microsoft Office 類型附件的關(guān)鍵字（將會支持） 過濾優(yōu)先權(quán) 在不同調(diào)查中不同的會話監(jiān)測目標(biāo)具有不同的重要性。因此，每一個(gè)目標(biāo)都應(yīng)分配優(yōu)先權(quán)，其范圍從 1 到 10，用以標(biāo)明截取的重要性。 使用優(yōu)先權(quán)參數(shù)解決了兩個(gè)重要的瓶頸： ● 限制向監(jiān)控中心發(fā)送會話的通訊速度。如果同時(shí)向監(jiān)控中心發(fā)送的會話過濾數(shù)目超過允許值，系統(tǒng)將產(chǎn)生擁塞。 ICMS 優(yōu)先機(jī)制保證了具有最高優(yōu)先權(quán)的會話首先被傳送以避免擁塞。 ● 在監(jiān)控中心，每個(gè)監(jiān)控者每天都要接收大最的會話，但每個(gè)人每天所能處理的會話數(shù)量卻是有限的。會話優(yōu)先權(quán)可保證每個(gè)監(jiān)控者隨時(shí)都可以對重要的會話進(jìn)行處理。 向監(jiān)控中心發(fā)送會話內(nèi)容的通信鏈接速度是一個(gè)重要的問題，因?yàn)樗鼪Q定了允許同時(shí)發(fā)往監(jiān)控中心的會話數(shù)目。