本文详细介绍了运维安全审计系统(堡垒机)的功能,包括实时监控、行为审计、内容查看和关键词审计等。系统支持多种报警响应方式,如邮件报警,并具备灵活的审计策略和资源监控。涉及关键技术点包括引擎、数据中心和管理中心的设计与挑战。此外,还探讨了自学黑客和网络安全的学习路线,包括渗透测试、操作系统基础和编程技能的培养。
1)实时监控——对网络中各种应用进行实时监控分析。
2)行为监控——可以完全记录、回放用户网络行为。
3)内容查看审计——支持网络数据内容的完全还原,后期可以进行内容审计、取证。
4)关键词审计——根据设定的关键词,自动快速的进行全文检索,匹配成功的内容将以醒目字体颜色显 示。
5)流量监控——通过流量监控,有效发现网上出现的异常流量。
6)报表统计——通过统计分析,发现网络中潜在的危险。
4、报表与统计:
1)、支持多种条件的统计分析。
2)、完善的报表功能:提供多种专业化报表和分析图表
5、支持多种报警响应方式 邮件报警:
1)阻断
2)TOPSEC联动
6.灵活全面的审计策略、采集策略:
1)关键词策略。
2)流量监控策略
3)报警响应策略。
4)统计分析策略
7.高速、完整、海量信息处理能力
1)零拷贝高速抓包
2)分布式数据采集、数据处理
3)强大的包重组和流重组能力,可以监控各种基于协议碎片的逃避检测行为。
8.支持多种编码、压缩格式
1)支持多种编码方式:Base64、Quoted-Printable、UTF-7、UTF-8
2)支持多种压缩格式:Zip、Rar、Arj、Gz等。
9.资源监控、日志功能
1)系统资源实时监控
2)提供完整的操作日志、系统日志记录,可以进行方便的查看、导入导出。
3)多级用户管理,按照功能——角色——用户三级进行权限控制
4)用户友好的管理,查看界面
5)便捷的的部署方式,支持分布式部署。
涉及的关键技术点
1、引擎
在引擎上使用裁减过的Linux操作系统,在截包时候使用“零拷贝技术”,对数据进行IP包重组,流重组后,按照会话(session)归类,形成一个基本分析,传递给数据中心。
易出现的问题:
1)当处理速度不够的时候,丢包,造成IP包不完整或者会话不完整,数据丢失。
2)“零拷贝”在协议栈的哪层实现效果更好。
3)硬件选择问题。
2、数据中心
数据中心把从引擎得到的数据在内存中组为大块数据,写要硬盘,对每个会话所在文件的索引以及会话动作与内容的特性写到数据库中。
易出现的问题:
1)服务器的选型决定硬盘读写速度,硬盘读写速度将是整个系统的瓶镜。写速度慢,则会造成来不及处理引擎传递的数据,造成引擎内存满,丢包或者死机。
2)海量数据的存储问题,如果策略制定不得当,200G硬盘将很快添满,需要合理的方式预防这一问题。分布式无疑是一种合理的选择,但是还涉及技术性的难题。
3)数据还原时机。在引擎传递数据的瞬间做数据还原,会降低接受数据的性能,而且会造成存储文件的增大。因此可以考虑在用户请求查看的时候还原数据。
4)用户查询关键字的效率问题。由前一条问题确定的,在用户访问数据时候做数据还原并缓存,这对查询是一个很大的问题,用户将有可能等待很长的一段时间才能得到返回结果。解决方法:使用Ajax技术,在服务器操作的过程中,对进度向用户提示,防止用户以为系统故障。
5)操作系统和数据库选型。数据中心可用平台有很多,但是数据库的性能也将和磁盘性能一样,会成为另
最低0.47元/天 解锁文章
907
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
