2.计费系统实现

　　计费系统的功能是对内部用户上网的情况进行统计分析，并对用户的上网行为进行控制。计费系统的数据来源于数据采集服务。无论用户网络采用代理服务器上网、还是采用专线上网、或者是用E*Linux网关上网，计费系统都会以统一的接口和灵活的方式来反映出每个内部用户的上网行为。

　　另外，通过E*Linux网关，计费系统还可以实时控制内部用户的上网。

　　3.监控系统实现

　　监控系统是安全审计系统的核心，它负责实时监视进出网络的流量，发现非法数据后，能够迅速定位数据包的来源，并能够还原出会话过程，并能够及时将这些信息通知给监控中心。下面分布就各部分的功能进行描述。

　　实时审计

　　实时审计的实现基于预先定义的审计规则以及数据库系统的触发器机制。审计规则可以灵活定义，结合用户名称、IP地址、网卡MAC地址，访问目标的域名、IP地址、端口，以及敏感字句等等要素。

　　实时审计分为两个级别，称为低敏感级和高敏感级。

　　处于低敏感级别时，系统只关心流过网关的域名或IP地址是否符合规则的要求，当一个新的IP包被捕获以后，数据采集服务会将这个IP包的详细信息，包括源地址、源端口、目的地址、目的端口，记录到数据库中，通过触发器的设定，数据库系统会自动启动一个规则比对的过程，发现问题后及时处理。

　　系统处于高敏感级别时，除了关心IP地址的合法性之外，还关心流过的数据包中的内容是否合法，是否含有敏感字句。由于数据采集服务采集到的是单个的IP包的序列，要得到数据包中内容，必须对TCP的会话过程进行再现，也就是说，必须将会话中涉及到的全部IP包进行重新组装，并得到一个可以理解的TCP过程。TCP会话的还原过程由实时审计系统内部的模拟TCP/IP栈来实现。

　　通过TCP/IP栈的模拟，并结合应用协议的分析，所有的TCP应用协议，如TELNET、HTTP、FTP、SMTP、POP3、IMAP，以及基于UDP的ICQ、OICQ等等都可以在实时审计系统面前一览无遗。

　　最后，规则控制模块对协议的会话内容进行检查，完成实时审计过程。如果发现非法情况，通知数据库服务记录下给定时间段某个用户的数据流，为日后的动作回放做准备。同时，以告警灯、告警声音、告警级别(从颜色上反映)、以及告警分析等方式通知监控中心。

　　动作回放

　　动作回放是实时审计的查看工具，也就是说，实时审计发现了问题，监控中心得到了报警信息，通过动作回放，就可以更加直观地显示出被报警用户的使用网络的全过程，为执法人员提供可信的证据。

　　动作回放功能是在网络控制中心由监控人员来使用。为了执行一个回放，首先，监控中心需要与远程的通讯服务联系，通过数据库服务，取得一个报警所涉及的全部IP包。监控中心得到了全部IP包之后，与实时审计一样，需要启动一个模拟的TCP栈，还原出TCP的会话过程，最后按照协议的不同，在不同的环境下重现用户使用网络的过程。例如，某个远程的用户通过WEB浏览器访问了非法站点，并发布了非法信息，监控中心得到了告警之后，得到了该用户的HTTP的会话过程，其中包含了URL的请求，服务器的返回等等，在监控中心的模拟环境中，就可以重现URL请求和服务器返回的详细情况。