網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控及管理

劉成業(yè)，熊慶國(guó)，熊 偉
(武漢科技大學(xué)信息科學(xué)與工程學(xué)院 湖北武漢)

1概 述

隨著信息技術(shù)和網(wǎng)絡(luò)應(yīng)用以幾何性和爆炸性的速度急劇發(fā)展，如何在新經(jīng)濟(jì)格局中尋找和建立新的市場(chǎng)定位，改造和完善價(jià)值鏈，提升競(jìng)爭(zhēng)實(shí)力，確保并不斷提高市場(chǎng)份額，成為眾多行業(yè)和企業(yè)所面臨的嚴(yán)峻課題．
為了保護(hù)電信級(jí)運(yùn)營(yíng)商的利益化，本文提出了一套符合電信級(jí)網(wǎng)絡(luò)應(yīng)用的網(wǎng)關(guān)設(shè)備的設(shè)計(jì)方案，該QoS設(shè)備可以對(duì)網(wǎng)關(guān)上行發(fā)送流量中的視頻及語(yǔ)音信息進(jìn)行流量的整形，而下行方向的流量直接透?jìng)?，從而達(dá)到了將網(wǎng)絡(luò)數(shù)據(jù)報(bào)文進(jìn)行緩沖和對(duì)敏感數(shù)據(jù)進(jìn)行控制的功能。
本系統(tǒng)是作為網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)及流量的監(jiān)控管理的網(wǎng)關(guān)設(shè)備，具有一個(gè)千兆/百兆接口，接收網(wǎng)絡(luò)環(huán)境的上行數(shù)據(jù)，系統(tǒng)對(duì)這些上行的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析，流量統(tǒng)計(jì)等工作。一個(gè)百兆管理控制接口，用戶使用該接口進(jìn)行遠(yuǎn)程的管理和控制，定制系統(tǒng)的監(jiān)控行為及各種運(yùn)行參數(shù)，系統(tǒng)同時(shí)通過該接口輸出匯總數(shù)據(jù)。原理如圖1所示。
該設(shè)備的千兆接口監(jiān)聽網(wǎng)絡(luò)拓樸中網(wǎng)關(guān)出口處的數(shù)據(jù)，例如可以將交換機(jī)的報(bào)文鏡像到一千兆接口，再接入到Monitor設(shè)備的千兆接口。
2 總體設(shè)計(jì)
2.1系統(tǒng)描述
該系統(tǒng)是一套網(wǎng)絡(luò)運(yùn)行信息的監(jiān)控、分析、管理的網(wǎng)絡(luò)管理服務(wù)系統(tǒng)。統(tǒng)計(jì)網(wǎng)絡(luò)環(huán)境中各種應(yīng)用及協(xié)議的運(yùn)行數(shù)據(jù)的統(tǒng)計(jì)信息；詳細(xì)跟蹤分析特定的協(xié)議或應(yīng)用報(bào)文，智能的追蹤特定的網(wǎng)絡(luò)服務(wù)的運(yùn)行情況，例如Voip服務(wù)的使用頻率，服務(wù)使用者的地址范圍，使用時(shí)間等屬性。
用戶通過Web頁(yè)面進(jìn)行遠(yuǎn)端控制，可以設(shè)置各項(xiàng)功能參數(shù)，查詢系統(tǒng)的運(yùn)行狀況，查看詳細(xì)的數(shù)據(jù)統(tǒng)計(jì)報(bào)表。

具有部分IDS安全監(jiān)控防范功能，分析并記錄有關(guān)的涉及到安全的網(wǎng)絡(luò)敏感操作，如網(wǎng)絡(luò)非法訪問、碎片攻擊、DDOS攻擊等。提供安全服務(wù)的接口，無(wú)縫的接入到網(wǎng)絡(luò)
安全系統(tǒng)中，如可與防火墻及IDS進(jìn)行聯(lián)動(dòng)，作為網(wǎng)絡(luò)安全的一個(gè)輔助設(shè)備。
2．2 總體設(shè)計(jì)說明
系統(tǒng)實(shí)現(xiàn)的基礎(chǔ)是需要高性能的網(wǎng)絡(luò)包過濾及分析，目前實(shí)現(xiàn)該功能有兩種方案：
(1)改造基于BPF的包過濾驅(qū)動(dòng)，但由于他的原理是通過兩次的分組拷貝，應(yīng)用分析的數(shù)據(jù)是在應(yīng)用層的分組，所以造成了處理速度緩慢，采用該架構(gòu)要改善原有實(shí)
現(xiàn)中的性能瓶頸。
(2)更改現(xiàn)有的網(wǎng)卡驅(qū)動(dòng)，增加分組報(bào)文的過濾和協(xié)議分析模塊，提供保存分組緩存的方法，為應(yīng)用操作緩存提供安全的調(diào)用接口，使應(yīng)用能夠直接訪問內(nèi)核緩存區(qū)中的報(bào)文，以此提高系統(tǒng)的處理能力和系統(tǒng)的處理帶寬。
2．3 系統(tǒng)結(jié)構(gòu)和處理流程
2．3．1 系統(tǒng)結(jié)構(gòu)
系統(tǒng)主要包括的模塊：
網(wǎng)絡(luò)偵聽；流量統(tǒng)計(jì)；報(bào)文過濾；數(shù)據(jù)監(jiān)控；管理控制；匯總數(shù)據(jù)；安全接口；分組接收發(fā)送。
系統(tǒng)結(jié)構(gòu)圖如圖2所示。

2．3．2 處理流程
分組過濾引擎：
(1)基于千兆網(wǎng)卡Driver驅(qū)動(dòng)程序的引擎，根據(jù)用戶定制的分析規(guī)則，對(duì)分組進(jìn)行協(xié)議分析，以統(tǒng)計(jì)網(wǎng)絡(luò)的流量，分析處理過程不進(jìn)行深層次的報(bào)文內(nèi)容分析和匹配操
作，分析后的數(shù)據(jù)記錄到流量統(tǒng)計(jì)數(shù)據(jù)變量中。
(2)根據(jù)控制代理的設(shè)置，對(duì)分組進(jìn)行篩選過濾，符合條件的分組被送入內(nèi)核中的環(huán)形緩存隊(duì)列中，系統(tǒng)可支持多個(gè)隊(duì)列，緩沖區(qū)的值限制為64M，如超過該限制，后續(xù)需插入隊(duì)列的分組被丟棄。
(3)在用戶層，以多進(jìn)程(線程)方式運(yùn)行分組監(jiān)控和分析的任務(wù)，通過一虛擬的驅(qū)動(dòng)系統(tǒng)調(diào)用，與網(wǎng)絡(luò)驅(qū)動(dòng)共享內(nèi)核中緩沖區(qū)中的分組過濾報(bào)文。
(4)監(jiān)控及分析的結(jié)果提交給數(shù)據(jù)匯總的任務(wù)，由他將結(jié)果記錄到數(shù)據(jù)庫(kù)中。
(5)遠(yuǎn)程管理通過調(diào)度任務(wù)控制底層的分組過濾及分析動(dòng)作；當(dāng)統(tǒng)計(jì)數(shù)據(jù)庫(kù)中發(fā)現(xiàn)有一定量異常的非法分組記錄時(shí)，啟動(dòng)安全接口進(jìn)行提醒網(wǎng)管員或與防火墻等安全設(shè)
備進(jìn)行互動(dòng)。
(6)用戶通過遠(yuǎn)程Web頁(yè)面查看統(tǒng)計(jì)數(shù)據(jù)庫(kù)中的匯總報(bào)表。
(7)任務(wù)調(diào)度記錄每次操作的日志。
(8)業(yè)務(wù)分析及追蹤模塊基于統(tǒng)計(jì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)記
錄，分析各種服務(wù)的使用情況，使用者的網(wǎng)絡(luò)范圍，時(shí)間等。
3接口設(shè)計(jì)
(1)用戶接口
提供友好的Web頁(yè)面遠(yuǎn)程控制、管理及詳細(xì)可定制的匯總報(bào)表，用戶還可通過串口進(jìn)行管理。
(2)硬件接口 包括一個(gè)百兆自適應(yīng)電口，一個(gè)千兆自適應(yīng)電口或光口，一個(gè)串口。
4屬性設(shè)計(jì)
(1)可靠性
能夠達(dá)到百兆以上的線速處理能力，低誤報(bào)及錯(cuò)報(bào)處理延時(shí)等性能參數(shù)待定。
(2)安全性
包括冗余電源，系統(tǒng)的自身安全的加固。
5開發(fā)環(huán)境
(1)硬件環(huán)境
采用XEON處理器，服務(wù)器主板。
(2)軟件環(huán)境
基于FreeBSD的操作系統(tǒng)，采用Intel千兆網(wǎng)卡驅(qū)動(dòng)
程序。
6結(jié) 語(yǔ)
根據(jù)市場(chǎng)需求，本文探討了網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控及管理涉及的一些技術(shù)，提出了一套符合電信級(jí)網(wǎng)絡(luò)應(yīng)用的網(wǎng)關(guān)設(shè)備的設(shè)計(jì)方案，從而實(shí)現(xiàn)了將網(wǎng)絡(luò)數(shù)據(jù)報(bào)文進(jìn)行緩沖和對(duì)敏感數(shù)據(jù)進(jìn)行控制的功能。