ICMS系统产品说明书Word文件下载.docx
- 文档编号:18576665
- 上传时间:2022-12-28
- 格式:DOCX
- 页数:11
- 大小:64.54KB
ICMS系统产品说明书Word文件下载.docx
《ICMS系统产品说明书Word文件下载.docx》由会员分享,可在线阅读,更多相关《ICMS系统产品说明书Word文件下载.docx(11页珍藏版)》请在冰豆网上搜索。
其内容可以是电子邮件内容、Web页面、或者文件。
相关会话信息包括email地址、IP地址、精确的发送时间等。
2.3会话监视处理引擎(ICME)
ICMS提供了一个强有力的功能——会话监视处理引擎(ICME)。
ICME可创建一个由网络中的会话的SRI构成的数据库,包括各种类型的会话。
并同时包含了一个高级的标准浏览审计工具便于使用者对数据库中的会话记录信息进行分析,并获得智能化的推断。
如:
●发现新的值得注意的会话内容或过程
●获取会话操作者的行为(包括历史信息)
●接受特定事件的告警
ICME是ICMS监视中心的核心部分,放置在网管或安全监测管理机构(SMMA)所在地。
3
截取并过滤数据
3.1网络接入
ICMS接收以太网、快速以太网、令牌网、ATM局域网上的IP包。
该系统以GDProbe(国都网络探测器)方式嵌入在路由器与交换机、交换机与交换机、交换机与集线器之间的网线中,接收所有流经它们之间的以太网帧。
对上述所有的接入将确保:
●对IP网络的正常运行、系统容量等不会产生任何影响;
●该设备对安装在IP网络上的硬件设备不会造成任何的影响;
如果被监视的网络属于广域网的第二层,如帧中继、ATMWAN、E1/T1或SONET/SDH上的包。
国都兴业将提供相应的广域网GDProbe设备直接接收或将所有的网络通信集中于一个网络段(LANsegment),用于ICMS监视。
3.2安全
无论采用何种接入方法,ICMS组件都将作出如下保证:
●常规的测试设备不能发现该网络正处于监视中;
●任何无授权的网络管理员都不能访问过滤标准列表。
只有经过授权的人员(SMMA)才能知道被ICMS监视的是哪些会话。
3.3过滤
3.3.1过滤管理
为实现有效的监控管理,预定义的过滤标准按一种分级结构进行组织。
例如,不同的监视要求采用不同的监视规则。
ICMS的有关逻辑概念:
事件Case.一个事件就是一个被一组监视操作的调查。
它通常包括好几个处于活动或非活动状态的目标;
目标Target.一个目标就是一个与某一特定的事件相关的身份或行为。
在通常情况下目标表示身份——某一IP或某一用户。
也可以是行为,如包含特定关键字或发往指定用户的email会话。
每个目标都具有一优先级特性,用来确保一个高效率的监视顺序。
一个目标可包含一个或多个条件组合的目标关键字。
目标关键字.一个目标关键字就是一个决定是否与某一特定目标相关的会话的过滤状态。
目标关键字可以是基于任何包含在会话中的与SRI有关的参数。
也可以等于某一特定的值,或一连续值,或者离散值。
目标关键字也可以限制在对具有特定的或具有逻辑组合的SRI值的会话进行过滤。
例如,“如果(email来自阿富汗)并且(内容包含“恐怖”),该会话将被截取”。
目标分类器.
注意——在某些应用中,如系统仅监视一个网络,而且每个目标只有一个目标关键字,此时用户可以使用一个仅有事件和目标的二级层次结构。
ICMS支持这种选项。
3.3.2过滤标准
一个目标关键字可由以下会话参数构成(有些仅在SS7信令网中有效):
●
IP地址
●应用类型(决定于TCP/UDP端口)
●用户身份(RADIUS用户名,DHCPMAC地址或Cablemodem号码等)
●会话传输时间
●Email参数:
◆一个email会话的发件、收件人地址或任何地址的前/后缀
◆POP3,IMAP,Notes,或Exchange用户名或口令
◆主题中的关键字
◆发件人的姓名
◆发送机构
◆所用语言(需要MicrosoftWindowsOS支持)
◆加密信息(支持流行的密码标准,如S-MIME,PGP等)
◆附件属性(数目、文件名、大小、类型)
◆邮件本身的关键字
◆MicrosoftOffice类型附件的关键字(将会支持)
3.3.3过滤优先权
在不同调查中不同的会话监测目标具有不同的重要性。
因此,每一个目标都应分配优先权,其范围从1到10,用以标明截取的重要性。
使用优先权参数解决了两个重要的瓶颈:
●限制向监控中心发送会话的通讯速度。
如果同时向监控中心发送的会话过滤数目超过允许值,系统将产生拥塞。
ICMS优先机制保证了具有最高优先权的会话首先被传送以避免拥塞。
●在监控中心,每个监控者每天都要接收大最的会话,但每个人每天所能处理的会话数量却是有限的。
会话优先权可保证每个监控者随时都可以对重要的会话进行处理。
3.4过滤速度
向监控中心发送会话内容的通信链接速度是一个重要的问题,因为它决定了允许同时发往监控中心的会话数目。
ICMS能发送给监控中心的会话内容占整个网络会话的0.3%~1%,但ICMS可任意地配置为发送更高地百分比。
按现今ISP用户的平均使用量,ICMS可同时监控数千个用户,以及所有的电子邮件。
3.5通信线路和本地缓存
来自于被监控的IP网络的被过滤的通信均被发至监控中心。
通信线路可以是任何类型的支持IP包发送的WAN。
通信线路可被标准的VPN机制所保护。
如果被监控的IP网络和监控中心间的线路出现故障,ICMS将对所有需发往监控中心的数据进行缓存。
缓存大小可以增加以支持多达数小时的缓存。
缓存的信息可用商用文件加密软件进行保护。
4
ICMS监视中心
4.1语言
ICMS监视中心的监视管理控制台(ICMCON)图形用户界面(GUI)可以是MicrosoftWindows操作系统所支持的任何语言。
4.2截取会话
ICMS系统的主要任务是监视会话内容——电子邮件、Web页面、文件等。
获得授权的用户可在监控中心的或远程工作站的NIMS控制台上实施监控。
以下的部分描述了ICMS高效率监控方法。
4.2.1实时监视
所有的会话均可得到实时监视,一旦它们被截取,只需平均2-3秒就可将被预定义目标关键字的过滤会话显示出来。
4.2.2监视状态
一旦某一会话被ICMS所处理,其状态将发生改变。
首先,在ICMS的监控管理控制台上会出现报警信息,包括时间、源IP、目的IP、会话类型以及会话的摘要。
该会话监视信息和内容被存放到经过索引处理后的数据库里。
未被监控者所观察时,它的状态为“未处理”。
一旦监控者打开这一会话监视信息,它的状态将为“已处理”。
如果监控者认为该会话不重要,可从数据库中将其删除。
4.2.3监视存储
ICMS包含一个会话索引数据库,可对4~7天内的所有监测信息(会话)内容进行存储,以便监视人员调出专注于的某些会话。
另外,所有会话的SRI和所有会话内容可在数据库是保存几个月。
系统管理员根据需要可将存储资源按事件类型或组进行划分(如下所示),ICMS不断地检查事件或组在存储空间的占用量,如果达到某一预定义的百分比,将发出警告信息。
如果占用率达到一个非常高的百分比,系统将自动删除相关的事件或组,其中,无价值的信息内容(会话)将首先被删除,必要的话,新的信息内容(会话)也可按照优先权的递增被删除。
当一定量的空间必须被释放时,处理中的信息内容(会话)也可以按照优先权的递增被删除。
ICMS的存储单元可以是具有一个内建的RAID备份机制以防存储硬盘的损坏。
4.2.4监视操作
监视人员可对会话进行如下操作:
●改变监视状态。
包括将会话发送至存储单元进行长期保存或删除之
●更改监视规则的摘要和注释字段,允许监视人员埴写会话摘要和个人注释。
●通过ICMS浏览平台可详细查看和分析被监视到的会话(信息内容)。
●根据用户权限产生和打印报告。
报告一般基于如下统计信息:
◆针对某一特定的事件、目标或目标关键字所产生的有价值的通信量百分比
◆针对某一事件或目标所产生的声音、传真、数据或其他信息的统计分布
◆输出监视人员的允许数目
●将会话发给其他监视者
4.2.5会话监视
在选定某一会话后,监视员可以很容易地在会话内容、SRI、摘要和注释字段间进行切换。
屏幕上至少要显示如下信息:
●从网络上接收到的完整的SRI
●实时指示器用于表明该会话是否处于实时监视中
●会话类型(email,Web页或文件)
●会话状态(新、已处理、存档)
Email会话.ICMS监控中心可完整显示email包的各个部分。
一旦email内容被网络用户发起,该接口即可正确地进行显示。
另外,接口也可显示该email完整的SRI,并可选择是否观看附件内容。
目前,ICMS监控中心可支持对SMTP,POP3,IMAP4信息的过滤并能解译压缩编码的附件:
zip,arj、lzh和lha。
不久,系统也将提供对LotusNotes和MicrosoftExchange邮件格式的支持。
附件提供如对MS-Office文件格式的支持。
•
Web会话.ICMS监视中心的控制台可显示监测的文本形式的Web页面,ICMS的审计浏览器可以地显示包括完整的HTML页、图片、动态组件,甚至于用户的输入信息。
FTP会话.IPMRS监视中心可完整显示传送的文件内容。
一旦FTP会话内容被网络用户发起,该接口即可正确地显示。
接口除显示文件信息,也可观看或运行该文件。
其它会话.ICMS将会支持对业务会话、聊天、新闻、远程登录(Telnet)和VOIP的支持。
4.2.6目标管理
监控中心有一个对过滤分层目录(事件、目标和目标关键字)进行管理的接口。
对过滤分层目录的每次改动将导致对安装在所监视IP网络上的过滤和传输组件的修改。
4.2.7安全
每个事件都与负责监视该事件的某组监视人员有关。
每个监视人员仅被允许对与本组相关的事件进行监视。
甚至于对所监视的事件的了解程度也受到了相应的限制。
4.3监视管理控制台
如前所述,ICMCON用于接收被监视IP网络的所有会话过程或email会话的状态信息,并提供了下列分析工具。
4.3.1告警
根据上述的监视参数可产生告警。
4.3.2报告
ICMS集成了一个审计浏览器,监视人员可以使用它来产生任何关于SRI参数的报告。
审计浏览器允许用户得到与目标相关的有价值的历史信息。
如当用户发现一个新的目标时可以很容易地获取与该目标有关最近1~2个月所有email会话的详细资料。
4.3.3可视化工具
系统在监测管理控制台中包含了一个集成的可视化网络监测拓扑图,提供了一个包括被监视网络(包括网络设备和服务器)的图形化监视界面。
5
高水平的设计
本章对ICMS的高水平的系统设计及其硬件模块进行了说明。
ICMS包括了如下组件。
●GDProbes
●监视中心,包括:
◆信息监视处理引擎.
◆监视管理控制台
◆监视记录索引数据库
◆监视审计浏览器
5.1系统工作流
下面是ICMS的工作流程:
●被监视的网络上所有的TCP/IP包进入GDProbe
●GDProbe全面截取流经被监视的网络,按照监视者所定义的参数对相关的TCP/IP包进行过滤。
Probe可依照IP地址(源和目的地址)、TCP/IP端口号(源和目的端口号),或端口号和地址的结合使用来IP包进行过滤,然后进行组报形成一个完整的会话。
Probe可从信息监测处理服务器实时接收和更新这些参数。
●所有被截取的会话通过GDProbe的一个可靠的网络端口通过TCP/IP局域网(或广域网)发往信息监测处理服务器。
如果出现通信错误,被过滤的包可在GDProbe中保留几个小时。
信息监测处理引擎是整个系统的“大脑”。
它接收被过滤的包并完成下述工作:
●接收GDProbe发送的重新组合后的TCP/IP会话。
●分析会话的类型,按相应地应用协议解析会话,形成分类过滤的平面文本格式。
●将预处理后的会话进行处理:
SRL过滤
关键词匹配
分类器特征识别
●对流行的IP应用的处理。
目前支持Email、Web和LotusNote三大主类,以及IMAP4,MIME,和FTP。
不久将支持MicrosoftExchange邮件格式,以及IRC,ICQ,AOL,NNTP,Telnet,和H.323VoIP等流行应用。
●存储锁定目标的会话,以便监控管理控制台实时显示
5.1.1Email监视
信息监测处理服务器允许IPProbe对特定类型的、按照TCP/UDP目的端口号所实施的通信进行发送的机制。
目前,该功能可用来将所监视网络中的email包发往信息监测处理服务器。
对于每个email,信息监测处理服务器将提取下列参数:
●收/发件人的地址或地址的前/后缀名
●POP3/IMAP/Notes/Exchange用户名和口令
●主题中的关键字
●发件人姓名
●发送机构
●所用语言
●加密信息
●附件属性(数目、文件名、大小和类型)
●邮件中的关键字
●MS-office类型附件中的关键字(已支持)
●附件编解码标准(Uuencode,Base64,Binhex)
在对email进行过滤时,被处理的email将与所有的目标关键字进行比较。
每个对目标关键字有反应的email将被存储并发往监视中心。
作为一可选项,email的SRI和内容可被存储在会话索引数据库中,以便进行历史性分析和监视。
监视中心允许监视人员将email的原文和平面文本二种格式进行归档管理。
使用监测审计浏览器可对email进行历史性分析和监视。
6
技术方面
6.2GDProbe
GDProbe是一个专用的、基于实时嵌入式系统DeltaOS平台的高性能网络数据采集解码设备。
6.1.1支持的标准
GDProbe已在以太网、快速以太网的局域网和E1的广域网上广泛地使用。
目前,Probe正在高速网络上进行测试,如Gigabit以太网。
每个GDProbe可以以Taps、Switch/Hub镜像端口方式连接至所监视的局域网的网端上。
6.1.2机密性
GDProbe与某一被监视的网段所建立的连接可以是相互独立隔离的,自成一个监测网络并通过专有通信协议与监控管理中心建立连接,GDProbe可以对特殊的被交换的通信实施截取。
网络上的用户或许知道有一台网络设备(GDProbe)连接到了集线器或交换机上,但不能获知该设备的任何功能。
6.1.3与监控网连接的通信线
GDProbe截取并进行预处理的会话借助一条Ethernet、E1、帧中继或其他方式通过TCP/IP广域网发送至监控网中的信息监测处理服务器。
该通信可以使用安装于GDProbe和广域网路由器以及信息监测处理服务器和广域网路由器间的商用VPN进行保护。
6.1.4本地缓存
在网络通信失败的情况下,GDProbe可对进行缓存。
缓存在GDProbe本地硬盘中的会话将在网络再次接通时发往信息监测处理服务器。
缓存的时间长短直接决定于GDProbe的磁盘容量。
出于实用性和成本考虑,其缓存时间可以达到24小时。
大多数的网络故障在很短的时间内即可得到修复。
被缓存的信息可以使用多种市场上流行的文件加密软件进行加密。
6.2信息监测处理服务器
信息监测处理服务器是一种商用的、基于Windows2000平台的服务器。
根据所处理的通信量大小,信息监测处理服务器通常是一个具有多处理器、带有数百GB容量RAID冗余磁盘阵列的服务器。
6.3归档
ICMS可支持使用商用的DVD-RAM或硬盘进行归档操作
6.4监视管理控制台
监视管理控制台采用装有Windows2000操作系统的商用工作站设备。
在控制台上通过监视拓扑图看到被监视的网络的状态(GDProbe的工作状态)、监视人员的操作、会话的报警信息以及是由哪个GDProbe监测到的(如果使用了多个GDprobe)。
6.5监视审计浏览器
监测审计浏览器是一个标准的Windows的应用软件,Web和FTP会话可以使用Microsoft®
InternetExplorer打开,email会话可使用Microsoft®
Outlook进行阅读。
这保证了对未来任何Web,FTP,email标准的支持。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ICMS 系统 产品说明书