关于mac、tcp、udp、url等信息的统计记录框架(草稿)

Lucifer

实现构想 方法 简单描述


panabit所处位置在在内外网连接的位置可以汇聚所有内外网连接的信息。

可以把mac tcp udp 以及url等信息提供一个输出接口供插件调用这个插件负责处理本地信息的保存以及输出。

这里牵扯到的有

1、本地硬盘log保存

2、远程查看包括web页的输出，以及专用客户端的调用。

3、标准SQL数据库的连接以及输出。提供工具可以查看和输出自定义格式的专用工具，或者panabit上提供基于脚本语言的网页客户端直接对数据库进行查询以及文本格式的输出。

4、邮件的支持支持特殊情况报警以及log的文本格式发送。



等待大家补充以上功能

对功能4的简单说明，因为panabit的管理口接内网所以可以作为探测的作用。比如内网syn数据包突然扩大一般是由于病毒和恶意人员引起（我经常拿这个来分析内网病毒呵呵）这时候可以报警。
报警方式msn、qq如果有短信网关可以发短信、电话邮件等多种方式的异常流量报警。



这次写的是草稿还需要大家的意见不断完善。
顺便说下大家积极提意见啊插件可是要做的功能。

Lucifer

顺便说下难道对我那个配置向导草稿没有意见了吗？？？？？？？？？？？？？？？？？

没有意见我可要开始沟通和处理了啊

Lucifer

顺便说下记录功能是为了满足一些大型isp类用户对于公安部82号令的特殊需要。

　　第七条　互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施：
　　（一）防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施；
　　（二）重要数据库和系统主要设备的冗灾备份措施；
　　（三）记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施；
　　（四）法律、法规和规章规定应当落实的其他安全保护技术措施。

　　第八条　提供互联网接入服务的单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施：
　　（一）记录并留存用户注册信息；
　　（二）使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系；
　　（三）记录、跟踪网络运行状态，监测、记录网络安全事件等安全审计功能。

　　第九条　提供互联网信息服务的单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施：
　　（一）在公共信息服务中发现、停止传输违法信息，并保留相关记录；
　　（二）提供新闻、出版以及电子公告等服务的，能够记录并留存发布的信息内容及发布时间；
　　（三）开办门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能够自动恢复；
　　（四）开办电子公告服务的，具有用户注册信息和发布信息审计功能；
　　（五）开办电子邮件和网上短信息服务的，能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息。

　　第十条　提供互联网数据中心服务的单位和联网使用单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施：
　　（一）记录并留存用户注册信息；
　　（二）在公共信息服务中发现、停止传输违法信息，并保留相关记录；
　　（三）联网使用单位使用内部网络地址与互联网网络地址转换方式向用户提供接入服务的，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系。

　　第十三条　互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施，应当具有至少保存60天记录备份的功能。



全文http://www.gov.cn/gongbao/content/2006/content_421771.htm



大家感兴趣的还是报警功能吧


累跑了

[ 本帖最后由 Lucifer 于 2008-1-8 19:26 编辑 ]

panabit

原帖由 Lucifer 于 2008-1-8 19:19 发表
顺便说下难道对我那个配置向导草稿没有意见了吗？？？？？？？？？？？？？？？？？

没有意见我可要开始沟通和处理了啊

这个大家可以先讨论一下，然后我们再看怎么做。

thisworld

[用户原始需求]
1,公安部82号令要求各种类型的互联网服务提供者和联网使用单位记录和保存日志
2,网络管理人员需要知道出口数据流(Traffic Flow)的使用情况，然后进行出口优化
3,网络管理人员需要知道所服务用户的对网络的使用情况（Traffic Profile)

[产品需求]
1、性能要求
1.1 要考虑100Mbps, 1000Mbps的产出日志的数量
1.2 要考虑到系统处理所带来的延时
1.3 要考虑饱和攻击情况下系统的稳定
1.4 要考虑日志功能不能影响关键功能
1.5
       
注：控制和提取功能可以做到一个模块中，统计和分析可以做到另外一个模块中，甚至能满足大容量情况下分布式计算。

2、功能要求
2.1 UDP、TCP、ICMP等等流信息（参考NetFlow）。
2.2 应用层信息（P2P，URL，VoIP,SMTP等等)
2.3 操作系统类型信息,以及补丁信息。
2.4 网络蠕虫、木马、Rootkit、僵尸网络等等不良网络应用的识别，丢弃和告警。
2.5 传输性能的数据
2.6 数据压缩
2.7 利用NTP实现时间同步
2.8 数据进入数据库的方式以及需要时的搜索
2.9 与其他身份系统的兼容和共用
2.10
3 其他要求
        把握核心竞争力，让更多的网络管理维护人员有机会通过接口来实现符合自己应用的功能。
=====================================
先写到这里吧，找个时间继续补充补充。

[ 本帖最后由 thisworld 于 2008-5-13 02:00 编辑 ]

panabit

"让更多的网络管理维护人员有机会通过接口来实现符合自己应用的功能"

----什么样的接口比较好？或者说网管希望是什么样的接口？

thisworld

我想，ODBC/OLE DB可能是最好的选择。

panabit

原帖由 thisworld 于 2008-5-13 22:23 发表
我想，ODBC/OLE DB可能是最好的选择。

你是指日志接口？

thisworld

OLE DB应该不是实时的接口，只能是用来统计分析的接口。
在我看来，实时数据可以由PanaOS直接维护，能同时兼顾到效率和性能；历史数据需要存在Panaos的外部，被PanaOS 输出，比如输出到Syslog Server,或者以Netflow形式输出，这些数据最终都会放置到DB中。