商业源码 多媒体技术的系统案例
在网络技术和标准不断更新换代的今天,如何以有限的资源,以更快的速度推出新产品,是摆在众多网络通信厂商面前的一大挑战。
单打独斗的时代早已一去不复返了,开放是这个时代的主流,联盟与联合代表着一种明智的选择。对于全球的开发商、集成商和设备商来说,需要建立一个和谐的环境,让他们共同合作,为用户提供基于IP的多媒体应用和服务。
在NMS公司看来,这正是该公司的使命。作为拥有20余年业内先进通信技术解决方案和声誉的合作伙伴,NMS在提供高生产率和建立双赢的合作关系的定位是独一无二的。NMS集结了来自VoIP、视频、移动内容服务和IMS领域有所建树的精英们,来为用户整合出最优的解决方案。
第一代媒体服务器的不足
用毫无疑问是大家一致看好的核心增值业务。作为媒体服务器来说,其可以提供可总控的解决方案,能够显著缩短应用系统研发周期。但是,当前的第一代应用解决方案还无法满足市场的一些关键性要求。早期的媒体服务器解决方案一般由拥有自主知识产权的设备级组件构成,它提供预定义的媒体和协议支持、网络接口选项,其接口只能提供VoIP网络处理功能。
第一代媒体应用服务器的局限性体现为:支持有限类型的硬件平台和操作系统,无法满足电信运营商对通用支持技术的基本要求;缺乏TDM和SS7之间的转换接口,这样应用方案无法同时支持当前的网络架构、新涌现的VoIP网络和面向未来的IMS(IP多媒体子系统)架构;此外是可修改性差,无法实现快速修改以支持一些重要的老协议标准和语音编码器。
随着各种新型基于IMS的应用系统的研制和实施,其对现有网络设施和老的协议标准支持的重要性也越来越突出。媒体服务器需要与现有的智能网络实现互操作,在智能网络到IMS架构的转换期,媒体服务器提供的IMS服务还将与现有其他应用服务并行共存相当一段时间。
由此,市场呼唤新一代媒体服务器产品的到来。
不一样的“Vision”
NMS公司最近推出了新型Vision系列媒体服务器和网关产品,它代表了媒体服务器应用领域的全新突破。NMS公司平台解决方案业务部产品与技术策略组高级副总裁George Kontopidis博士表示,Vision作为面向应用的全系列产品,可以帮助OEM供应商和应用供应商快速开发和配置汇聚型多媒体应用系统。Vision产品帮助客户通过网络向应用系统传送媒体信息,并有效解决了第一代媒体应用解决方案存在的一些不足。
Vision系列媒体服务器和网关
NMS公司的Vision系列媒体服务器和网关可以有效克服当前应用解决方案所存在的各种不足,它采用层次型结构设计,基于NMS构件,拥有可配置、适应性强的特点,并支持开放式标准。
Vision媒体服务器
Vision媒体服务器作为Vision系列的基本成员,可以支持宽范围的应用,包括网络发布、消息应用、预付费卡处理、会议应用、自助服务、语音门户、呼叫中心、IP和移动交换中心等。
Vision媒体服务器可以采用应用系统的远程控制方式对电信用户接口进行管理,并提供IVR、会议应用、编码转换、视频和传真等功能强大的媒体处理功能。
Vision VoiceXML服务器
Vision VoiceXML服务器作为已推出的解决方案,可以用于研制在ISDN和SS7网络环境下的语音应用系统。它支持VoiceXML 20行业标准以及基于XML的扩展标准,并可以在不修改VoiceXML标准的前提下提供外向拨号、呼叫方授权、详细通话记录收集等功能。
Vision视频编码转化器
Vision视频编码器支持3G-324M和IP宽带环境,并为包括H263 和MPEG-4在内的各种标准之间提供实时视频格式转换和速率转换,它还可以通过扩展支持多种视频处理功能,以增强用户的体验水平。
Vision视频网关
目前众多新型和现有的应用系统需要寻求与视频手机进行通信的方法。Vision视频网关可以封装这种通信的复杂处理,并提供了系统灵活性,可以支持宽范围的应用和服务。
Vision信令服务器
Vision信令服务器可以把NMS可靠的SS7信令技术用到一系列新型应用和网络中,拥有高性能和电信运营级可靠性。
Kontopidis先生表示,NMS将继续充实具有NMS特点的软件、API和媒体平台的综合产品线,以切实满足开发商对硬件和软件的需求。另一方面,NMS将进一步提高服务支持的水平。
资讯 咨询机构IDC近日发布的《2017年中国AI基础设施市场跟踪报告》显示,2017年,中国GPU服务器市场迎来爆发式增长,市场规模为5.65亿美元(约合35亿元人民币),同比增长230.7%,约占中国X86服务器市场的6%。
该机构预测,未来五年GPU服务器市场仍将保持高速增长,2017~2022年复合增长率将超过43%。到2022年,GPU服务器的市场规模有望达到中国X86服务器市场整体规模的16%,将直接改变整个服务器市场的格局。
从厂商市场占有率来看,浪潮处于领先位置,曙光和新华三紧随其后。从行业分布来看,互联网是GPU服务器的主要用户群体,提供AIaaS的公有云服务提供商和AI解决方案提供商有望成为未来驱动市场增长的新动力。从市场趋势来看,2017年GPU服务器市场不再是一个小众的市场,几乎所有互联网用户和大量的AI初创公司都开始采购GPU服务器搭建自己的AI平台,主流的公有云厂商也都先后推出自己的AIaaS服务。
从AI生态系统建设来看,Nvidia具有明显优势,其Tesla系列产品在AI基础设施市场占据主导地位,尤其在线下训练场景中几乎垄断了市场。从其产品分布来看,P40和P100占据超过70%的市场份额,分别面向推理和训练工作负载,P4在2017年也取得了快速增长,主要面向1U紧凑型推理计算平台。
该机构中国服务器市场高级研究经理刘旭涛认为:“2017年是中国AI元年,也是AI生态和市场迅速发展的一年。在国家政策和资本的共同推动下,大量AI初创企业涌现、行业应用迅速落地。AI市场的火热推动了以GPU服务器为主的AI基础设施市场取得了爆发式增长,未来伴随AI市场的发展和繁荣,AI基础设施市场仍将保持快速增长。”他认为,目前,AI的应用以线下训练为主,使用者主要是拥有海量数据的用户群体,基础设施以GPU为主。未来,在线推理的应用将更加广泛,除了GPU,FPGA、ASIC等加速计算技术,甚至基于ARM架构的一些新的专用AI芯片都会迎来发展机遇。
1、项目概况
当前我国采用进口处理器芯片的高端计算机占据国内市场 90%以上的份额。受信息产业安全、供应链安全等多方面因素的影响,发展基于国产处理器的高端计算机的重要性日益凸显。
目前,国产处理器芯片已经较为成熟,主要架构包括 X86、MIPS、ARM 等,不同架构的处理器芯片具有各自的适用场景和应用优势,适合多头并进,协调发展。
本项目研发基于 X86、MIPS、ARM 等不同架构国产处理器芯片的高端计算机系列产品,满足高端计算机国产化过程中不同场景的需求,打破国外厂商对中国计算机产业的技术垄断,促进中国信息产业的持续 健康 发展。项目达产后,不但能够为中国行业用户提供更多高性价比的选择,还可以保障关键信息系统的安全可控,具有广阔的市场发展空间和前景。
2、项目实施的必要性
(1)保障信息安全和产业安全
掌握基于国产处理器芯片的高端计算机设计与制造技术,是保障国家网络与信息安全的前提条件。根据工信部数据,中国集成电路进口额居各类进口产品之首;国务院发展研究中心发布的《二十国集团国家创新竞争力黄皮书》也指出,中国关键核心技术对外依赖度高,80%芯片都靠进口。在高端计算机领域,包括处理器芯片在内的核心部件几乎完全依赖国外进口,使我国高端计算机在产业链供应方面存在较大的安全隐患。
过去几年里,国产处理器芯片技术取得长足进步,先后出现了 X86、MIPS、ARM 等不同架构的多款国产处理器芯片,接下来推动基于国产处理器芯片的产业生态环境建设任务极为紧迫。研发基于国产处理器芯片的高端计算机系列产品,能够保障关键信息系统的安全可控,打破国外厂商在集成电路产业的技术垄断和安全威胁,扭转我国信息技术被动局面,促进中国信息产业的持续 健康 发展。
(2)促进信息技术应用创新和产业生态环境建设
目前全球高端集成电路产业处于垄断竞争格局,西方国家的处理器芯片巨头厂商如 Intel、AMD 等,通过数十年的持续技术创新和巨额投资,建立了强大的专利壁垒、技术标准体系和产业生态体系,牢牢控制了全球绝大部分市场。虽然我国在这个领域取得了一定的创新和突破,但我国在这个领域的产业基础非常薄弱,技术人才和资金等资源都不足。
推动国产处理器芯片的产业化,需要构建“芯片设计与制造、整机系统、软件生态、应用服务”完整创新链和产业链,方能保障相关产业的持续 健康 发展。研制基于国产处理器的整机系统,一是推动国产高端计算机产业发展,高端计算机面向国民经济主战场,属于信息行业发展的基础保障设施,只有研制基于国产处理器芯片的高端计算机,才能继续推动信息技术应用创新的产业生态环境建设,推动国产处理器在各行业领域的应用和产业发展;二是为其他相关产业发展消除潜在的隐患,我国众多产业的技术研发和运营在一定程度上依赖于高端计算机,若因各种原因导致核心芯片供应链受到影响,则可能对我国若干依赖于云计算、大数据、人工智能、高端计算机平台的行业和产业造成巨大不利影响。
(3)提升企业竞争力和可持续发展能力
长期以来,高端计算机处理器芯片的价格主导权被少数国外企业控制,国内高端计算机企业的盈利空间和盈利能力受到很大约束和限制。通过研制不同体系架构的基于国产芯片的高端计算机,将促使公司更专注于自主核心产品研发,进一步加强在该领域的技术优势,不断推出多种类型、易于为不同市场接受的系列高端计算机产品,不仅可以提高我国整机企业的盈利能力,也将极大降低我国信息化和智能化的成本,促进我国数字经济和智慧 社会 安全、高质量发展。因此,项目的实施将确保公司产品在技术规格上保持领先优势,持续满足广泛的行业用户和应用需求,进一步提高公司产品的市场竞争力,获得更好的经济和 社会 效益。
3、项目实施的可行性
(1)项目研发符合国家政策方向
“新基建”政策的本质是推动支撑传统产业向网络化、数字化、智能化方向发展的信息基础设施的建设,加速全产业的数字化转型,以促进现代信息技术与产业经济的融合,使得经济能够在数字化的辅助之下产生新的质变。
近年来,国家层面不断推动信息技术应用创新发展战略,引导我国企业研制具有自主知识产权和国际竞争力的产品,提高我国信息技术水平和信息产业的可靠性和安全性。另一方面,本项目基于国产处理芯片研发的高端计算机,对支撑我国现代服务业发展,提升传统产业竞争力,推动国内信息产品智能制造能力达到国际先进水平等方面也具有重要的战略意义。本项目属我国重点发展的战略新兴产业,符合《“十三五”国家信息化规划》等产业政策导向。
(2)公司具备本项目实施所需的技术和研发基础
公司是国内最早从事高端计算机业务的厂商之一,主要涉及高性能计算机、通用服务器产品的研发、设计、生产和销售。公司在高性能计算机体系结构、高效能计算系统、高速互连技术、液体冷却技术、高端计算机管理和运维软件、先进计算服务平台软件等方面具有深厚的技术积累。近年来,针对市场形势的变化,公司加大了基于国产处理器的高端计算机产品的预研力度,攻克了基于国产处理器的高端计算机产品研发的各项技术难题,预研样品在产品规格、产品品质、产品易用性等各个方面达到国内领先水平。
作为国内高端计算机领域的核心厂商,公司拥有完备的研发人员储备及技术服务体系。公司研发中心是国家发改委等六部委批准的国家认定企业技术中心,并获批建设国家先进计算产业创新中心。研发人员队伍知识结构和年龄结构合理,具有雄厚的系统级研发实力,在系统架构设计、硬件研制、操作系统研制,以及行业应用软件定制和优化方面已有大量积累。公司成熟的生产制造体系和技术服务体系也是项目成果产业化的重要保障和成功基础。
(3)公司具备项目相关解决方案支持和销售渠道基础
公司多年来一直在自主创新领域全面布局,构建了从芯片硬件、系统解决方案到先进计算、云计算服务的全链条布局,公司产品的客户群体遍及政府机关、企业、电力、教育、医疗、科研机构等诸多行业。公司目前已开始建设基于国产处理器芯片的解决方案中心和产业生态平台,并吸纳大量周边解决方案提供商加入到基于国产芯片的产品生态系统,以平台生态合作带动国产芯片通用行业解决方案的规模化,预计未来五年能够在多个技术和行业领域实现全国产化的产业生态系统。公司在高端计算机产品开发和产业化过程中,积累了大量的技术支持经验和解决方案资源,有助于确保本项目拟研制产品的成功推广和规模化销售。
4、项目建设规划
(1)项目实施主体
本项目的实施主体为中科曙光。
(2)项目投资额
本项目总投资金额为 200,00000 万元,拟使用募集资金投入 200,00000 万元,用于研发设备购置、知识产权购置、生产设备购置、研发人员支出、研发材料及组件支出等。
(3)项目建设内容
本项目分别基于 X86、MIPS、ARM 架构的国产处理器芯片,开展高端计算机整机系统研发,设计具有国际先进水平的高性能工作站、边缘服务器、人工智能服务器、存储服务器、多节点服务器等不同规格的高端计算机产品,实现不同架构、不同规格、不同形态、广泛覆盖的国产高端计算机综合解决方案。
1)X86 架构高端计算机产品:本项目基于 X86 架构国产处理器研制 5 款高端计算机产品,包括:
① 高性能工作站 :研制基于国产 X86 处理器的高性能工作站产品。为特种应用、电力、金融等行业提供满足业务需求的高性能工作站;为制造业设计仿真、**特效制作、科研开发提供支持高端显卡、大容量内存的高性能工作站;
② 边缘服务器 :研制基于国产 X86 处理器的边缘服务器产品。在边缘计算场景下,对大量靠近终端的现场数据进行实时处理,减少对数据中心的冲击和直接依赖;大幅缩短数据的传输距离,减少网络传输和延迟问题,提升应用和服务的效率和可靠性,降低成本;
③ 人工智能服务器 :研制基于双路高性能国产 X86 处理器的人工智能服务器。提供多种 GPU 连接拓扑,可为不同的深度学习应用提供不同的优化方案,为人工智能的训练、推理学习提供强大的运算能力;
④ 存储服务器 :研制基于国产 X86 处理器的高性能存储服务器。具备高密度存储空间,提供强大的计算性能和丰富的 IO 扩展,适用于对存储容量、服务器性能、可扩展性及可靠性要求严格的金融、交通、电信、能源、互联网等行业;
⑤ 多节点服务器 :研制基于国产 X86 处理器的多节点服务器。采用模块化设计,具备卓越的计算性能和强大的 IO 扩展能力,为企业级用户、云计算中心、大数据、高性能计算等多种业务提供集群服务器系统。
2)MIPS 架构高端计算机产品:本项目基于国产 MIPS 架构处理器研制 3 款高端计算机产品,包括:
① 办公工作站 :研制基于国产 MIPS 处理器的办公工作站。为政府机关、特种应用等场景提供业务办公终端,具有独特的安全设计,消除电子政务等众多战略领域的安全隐患;
② 文档服务器 :研制基于国产 MIPS 处理器的文档服务器。面向电子政务信息服务的需求,提供政府部门重要文档的存储备份、检索功能;兼容主流国产操作系统、数据库软件等;消除电子政务等众多战略领域的安全隐患;
③ 存储服务器 :研制基于国产 MIPS 处理器的存储服务器。针对不同的云数据平台使用场景,提供基于 MIPS 架构处理器的基础型存储服务器产品,适用于大规模云计算环境的低成本近线存储系统。
3)ARM 架构高端计算机产品:本项目基于国产 ARM 架构处理器将研制 3 款高端计算机产品,包括:
① 办公工作站 :研制基于国产 ARM 处理器的办公工作站。为政府机关、特种应用等场景提供业务办公终端,具有独特的安全设计,消除电子政务等众多战略领域的安全隐患;
② 文档服务器 :研制基于国产 ARM 处理器的文档服务器。面向电子政务信息服务的需求,提供政府部门重要文档的存储备份、检索功能;兼容主流国产操作系统、数据库软件等;消除电子政务等众多战略领域的安全隐患;
③ 存储服务器 :研制基于国产 ARM 处理器的存储服务器。针对不同的云数据平台使用场景,提供基于 ARM 架构处理器的基础型存储服务器产品,适用于大规模云计算环境的低成本近线存储系统。
(4)项目建设周期
本项目建设期 3 年。
5、项目预期效益
经测算,本项目税后财务内部收益率为 1254%,税后投资回收期(含建设期)为 622 年,经济效益指标良好。
6、项目的批复文件
本项目不涉及厂房建设及新增用地。截至本报告公告之日,本项目尚在办理备案及环评手续。
7、编制单位介绍
深圳市思瀚管理咨询有限公司是专业产业规划研究服务机构,主要提供可行性研究报告、商业计划书、行业研究报告、概念性规划、初步规划、建筑规划、产业规划、园区规划、企业IPO上市咨询等相关业务。
思瀚将人才培养作为企业发展的根本,制定人才培养“三鹰”计划,通过“雏鹰计划”加速新员工成长,通过“飞鹰计划”助推骨干提升,通过“精鹰计划”培养具有国际化视野的复合型人才,实现个人发展与组织发展的双赢。拥有资本市场及产业研究投资经验的专业管理团队审核体系人员组成,目前思瀚研究产业研究院拥有分析师、咨询顾问、产业项目行业专家为客户提供一站式、个性化、综合性的企业咨询解决方案,80%以上具备相关专业硕士学位,他们均是各自所在领域的权威人士,通过优质整合成为服务客户的强大智囊顾问团,更好的为客户提供高质量个性化定制服务。
物联网应用案例
用途范围
物联网用途广泛,遍及教育、工程机械监控、建筑行业、环境保护、政府工作、公共安全、平安家居、智能消防、环境监测、路灯照明管控、景观照明管控、楼宇照明管控、广场照明管控、老人护理、个人健康、花卉栽培、水系监测、食品溯源、敌情侦查和情报搜集等多个领域。
展望未来,物联网会利用新一代IT技术充分运用在各行各业之中,具体地说,就是把传感器、控制器等相关设备嵌入或装备到电网、工程机械、铁路、桥梁、隧道、公路、建筑、供水系统、大坝、油气管道等各种物体中,然后将“物联网”与现有的互联网整合起来,实现人类社会与物理系统的整合,在这个整合的网络当中,拥有覆盖全球的卫星,存在能力超级强大的中心计算机群,能够对整合网络内的人员、机器、设备和基础设施实施实时的管理和控制,在此基础上,人类可以以更加精细和动态的方式管理生产和生活,达到智慧化管理的状态,提高资源利用率和生产力水平,改善人与城市、山川、河流等生存环境的关系。
具体应用案例
下面列举了集中具体的应用案例,以供参考
1. 教育物联网
应用于教育行业的物联网首先要实现的就是,在适用传统教育意义的基础之上,对已经存在的教育网络中进行整合。对教育的具体的设施,包括书籍、实验设备、学校网络、相关人员等全部整合在一起,达到一个统一的、互联的教育网络。
物联网产业需要复合型人才,至少具备四方面的特征,包括掌握跨学科的综合性的知识与技能、掌握物联网相关知识与技术、掌握特定行业领域的专门知识以及具备创新实践能力。目前国内已有30余所大学开设了物联网专业。有超过400所高校建立物联网实验室。
2工程机械物联网
“工程机械物联网”是借助全球定位系统(GPS)、手机通讯网、互联网,实现了工程机械智能化识别、定位、跟踪、监控和管理,使工程机械、操作手、技术服务工程师、代理店、制造厂之间异地、远程、动态、全天候“物物相连、人人相连、物人相联”。
工程机械物联网目前应用广泛。以NRS物联网智能管理系统平台为例,提升原本工程机械物联网服务由“信息采集服务”向“数据咨询服务转变”。由原来的现场管理升级为远程监控,由传统的制造转变为制造服务,由原来的被动服务提升为主动服务。功能涉及信息管理,行为管理,价值管理三大方面。
信息管理:
区域作业密集度管理
故障预警及远程诊断
车辆运维主动式服务
金融按揭安全性服务
行为管理:
作业人员统计管理
作业工时效率性分析
行为与工效油耗分析
操作规范与工效分析
价值管理:
产品全寿命周期成本管理
行为与员工绩效管理
量本利敏感要素判断
多维大数据决策支持
以福田的农机信息管理平台为例,可以对农业所需相关机械车辆进行全球GPS定位、锁车、解锁车、设备工时查询、故障报警等操作,这对促进农业生产,提高工作效率有着至关重要的作用。
3建筑行业物联网应用——塔机监控
塔机智能化的监控管理系统,主要针对检测状态、危险距离预警、故障诊断、信息回传、工程调度等方面工作。例如塔机下面危险区域禁止站人实时提示、与其他高空建筑物距离过近、超出安全距离范围、内部故障预警、诊断、实时显示额定载重量、当前风速、回转角度、当前载重等。
4建筑行业应用——商用混凝土搅拌站
对生产设备的远程诊断和远程维护已经成为当前自动化技术中的一部分。尤其对于那些错误容易诊断和容易排除的情况,派一个服务工程师到现场解决,既增加工程师的工作负荷,又花费时间。而且费用也相应增加。为了缩短故障的诊断与恢复时间,提高有经验的高级工程师的工作效率,那么远程诊断和编程就是必备的部分。例如:“商用混凝土搅拌站产品远程售后服务系统”,可以在远程实现对PLC站进行编程和调试。可是实现混凝土搅拌站的远程控制和数据监控。
值得一提的是三维虚拟仿真技术在物联网的应用,给商用混凝土搅拌站的物联网应用开创了新的时代。系统实现搅拌站与车辆实时运行状态模拟功能。以动画形式呈现搅拌站实时动态信息,其中可包括:工程名称、施工配比、搅拌站配料情况及其他原材料配料情况,搅拌站场景如下图所示。
5石油
石油行业物联网系统主要是使用监控设备和信息系统采集运输油轮数据、码头设备和环境数据、油库数据、原油管道数据等,对这些数据进行整理和分析,将原油运输各个环节的数据进行关联和分析,合理安排船期、实现计算机排罐,提高整个原油运输的效率,同时通过对相关设备和环境的监测,及时掌握设备运行情况,保证整个运输过程的安全可靠。
石油行业物联网系统的总体解决方案包括:油库监测系统、原油管道监测系统、原油管道无人机巡线系统等。
6水利
物联网在水利方面的应用主要是对闸门的液压启闭机的状态检测、远程控制、故障预警等,利用水下机器人对大坝、水库等水下状态进行状态监控、信息回传等工作。
例如:“远程信息服务系统”能够通过智能信息采集终端,将液压启闭机PLC控制器的控制信息通过物理端口(串口)采集到终端,然后通过GPRS通讯模块,利用2G/3G网络或者互联网络将信息传递到远程WEB服务器,使得远端管理人员能够实现远程感知闸门启闭的运行信息。
7城市物联网
城市物联网利用互联网的信息管理平台、二维码扫描、GPS定位等技术,是更贴近人们生活的一种应用,现在变得更加的直观。比如儿童和老人的行踪掌控、公路巡检、贵重货物跟踪,追踪与勤务派遣、个人财务跟踪、宠物跟踪、货运业、各类车辆的防盗等GPS定位、解锁车、报警提示应用。
针对环卫车辆可以对车辆进行实时进行的GPS定位、状态监控、车辆信息查询、运行状态等工作,例如:需要知道目前城市的某区有多少环卫车辆,处于什么哪个街道,操作员,工作情况,计划任务等,同时又可以根据实际情况进行工作调度,对故障做提前的预警,对突发情况应急处理,对重要的问题着重处理等。
8.农业物联网
农业物联网的应用比较广泛的是对农作物的使用环境进行检测和调整。例如:大棚(温室)自动控制系统实现了对影响农作物生长的环境传感数据实时监测,同时根据环境参数门限值设置实现自动化控制现场电气设备,如:风扇、加湿器、除湿器、空调、照明设备、灌溉设备等,亦支持远程控制。常用环境监测传感器包括:空气温度,空气湿度,环境光照,土壤湿度,土壤温度,土壤水分含量等传感器。亦可支持无缝扩展无线传感器节点,如:大气压力、加速度、水位监测、CO、CO2、可燃气体、烟雾、红外人体感应等传感器。
9智能家居
这方面的应用就更加的贴近人们的生活,这是关系到人们生活起居、与生命安全息息相关的应用,我们可以通过智能家居的物联网络,进行室内到室外的电控、声控、感应控制、健康预警、危险预警等,比如声控电灯、窗帘按时间自动挂起、感应器感应到煤气泄漏、空气污染指数过高、室内的光线被家具遮挡严重、室内家居摆放设计、马桶漏水、电量煤气不足报警、车库检测、室外摄像检测、未来天气预测、提醒带雨伞、生活备忘录电子智能提醒等多方面的功能应用。
IT行业发展到现在,安全问题已经变得至关重要,从最近的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞。
一次Linux被入侵后的分析
下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootkit攻击是Linux系统下最常见的攻击手段和攻击方式。
1、受攻击现象
这是一台客户的门户网站服务器,托管在电信机房,客户接到电信的通知:由于此服务器持续对外发送数据包,导致100M带宽耗尽,于是电信就切断了此服务器的网络。此服务器是Centos55版本,对外开放了80、22端口。
从客户那里了解到,网站的访问量并不大,所以带宽占用也不会太高,而耗尽100M的带宽是绝对不可能的,那么极有可能是服务器遭受了流量攻击,于是登录服务器做详细的检测。
2、初步分析
在电信人员的配合下通过交换机对该服务器的网络流量进行了检测,发现该主机确实存在对外80端口的扫描流量,于是登录系统通过“netstat –an”命令对系统开启的端口进行检查,可奇怪的是,没有发现任何与80端口相关的网络连接。接着使用“ps –ef”、“top”等命令也没有发现任何可疑的进程。于是怀疑系统是否被植入了rootkit。
为了证明系统是否被植入了rootkit,我们将网站服务器下的ps、top等命令与之前备份的同版本可信操作系统命令做了md5sum校验,结果发现网站服务器下的这两个命令确实被修改过,由此断定,此服务器已经被入侵并且安装了rootkit级别的后门程序。
3、断网分析系统
由于服务器不停向外发包,因此,首先要做的就是将此服务器断开网络,然后分析系统日志,寻找攻击源。但是系统命令已经被替换掉了,如果继续在该系统上执行操作将变得不可信,这里可以通过两种方法来避免这种情况,第一种方法是将此服务器的硬盘取下来挂载到另外一台安全的主机上进行分析,另一种方式就是从一个同版本可信操作系统下拷贝所有命令到这个入侵服务器下某个路径,然后在执行命令的时候指定此命令的完整路径即可,这里采用第二种方法。
我们首先查看了系统的登录日志,查看是否有可疑登录信息,执行如下命令:
more /var/log/secure |grep Accepted
通过对命令输出的查看,有一条日志引起了我们的怀疑:
Oct 3 03:10:25 webserver sshd[20701]: Accepted password for mail from 6217163186 port 53349 ssh2
这条日志显示在10月3号的凌晨3点10分,有个mail帐号从6217163186这个IP成功登录了系统,mail是系统的内置帐号,默认情况下是无法执行登录操作的,而6217163186这个IP,经过查证,是来自爱尔兰的一个地址。从mail帐号登录的时间来看,早于此网站服务器遭受攻击的时间。
接着查看一下系统密码文件/etc/shadow,又发现可疑信息:
mail:$1$kCEd3yD6$W1evaY5BMPQIqfTwTVJiX1:15400:0:99999:7:::
很明显,mail帐号已经被设置了密码,并且被修改为可远程登录,之所以使用mail帐号,猜想可能是因为入侵者想留下一个隐蔽的帐号,以方便日后再次登录系统。
然后继续查看其他系统日志,如/var/log/messages、/var/log/wtmp均为空文件,可见,入侵者已经清理了系统日志文件,至于为何没有清空/var/log/secure文件,就不得而知了。
4、寻找攻击源
到目前为止,我们所知道的情况是,有个mail帐号曾经登录过系统,但是为何会导致此网站服务器持续对外发送数据包呢?必须要找到对应的攻击源,通过替换到此服务器上的ps命令查看系统目前运行的进程,又发现了新的可疑:
nobody 22765 1 6 Sep29 4-00:11:58 t
这个t程序是什么呢,继续执行top命令,结果如下:
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
22765 nobody 15 0 1740m 1362m 1228 S 983 915 2892:19 t
从输出可知,这个t程序已经运行了4天左右,运行这个程序的是nobody用户,并且这个t程序消耗了大量的内存和cpu,这也是之前客户反映的网站服务器异常缓慢的原因,从这个输出,我们得到了t程序的进程PID为22765,接下来根据PID查找下执行程序的路径在哪里:
进入内存目录,查看对应PID目录下exe文件的信息:
[root@webserver ~]# /mnt/bin/ls -al /proc/22765/exe
lrwxrwxrwx 1 root root 0 Sep 29 22:09 /proc/22765/exe - /var/tmp/…/apa/t
这样就找到了进程对应的完整程序执行路径,这个路径很隐蔽,由于/var/tmp目录默认情况下任何用户可读性,而入侵者就是利用这个漏洞在/var/tmp目录下创建了一个“…”的目录,而在这个目录下隐藏着攻击的程序源,进入/var/tmp/…/目录,发现了一些列入侵者放置的rootkit文件,列表如下:
[root@webserver ]#/mnt/bin/ls -al
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 apa
-rw-r--r-- 1 nobody nobody 0 Sep 29 22:09 apatgz
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 caca
drwxr-xr-x 2 nobody nobody 4096 Sep 29 22:09 haha
-rw-r--r-- 1 nobody nobody 0Sep 29 22:10 kktargz-
rwxr-xr-x 1 nobody nobody 0 Sep 29 22:10 login
-rw-r--r-- 1 nobody nobody 0 Sep 29 22:10 logintgz
-rwxr-xr-x 1 nobody nobody 0 Sep 29 22:10 z
通过对这些文件的分析,基本判断这就是我们要找的程序攻击源,其中:
1)、z程序是用来清除系统日志等相关信息的,例如执行:
/z 6217163186
这条命令执行后,系统中所有与6217163186有关的日志将全部被清除掉。
2)、在apa目录下有个后门程序t,这个就是之前在系统中看到的,运行此程序后,此程序会自动去读apa目录下的ip这个文件,而ip这个文件记录了各种ip地址信息,猜想这个t程序应该是去扫描ip文件中记录的所有ip信息,进而获取远程主机的权限,可见这个网站服务器已经是入侵者的一个肉鸡了。
3)、haha目录里面放置的就是用来替换系统相关命令的程序,也就是这个目录下的程序使我们无法看到操作系统的异常情况。
4)、login程序就是用来替换系统登录程序的木马程序,此程序还可以记录登录帐号和密码。
5、查找攻击原因
到这里为止,服务器上遭受的攻击已经基本清晰了,但是入侵者是如何侵入这台服务器的呢?这个问题很重要,一定要找到入侵的根源,才能从根本上封堵漏洞。
为了弄清楚入侵者是如何进入服务器的,需要了解下此服务器的软件环境,这台服务器是一个基于java的web服务器,安装的软件有apache2063、tomcat55,apache和tomcat之间通过mod_jk模块进行集成,apache对外开放80端口,由于tomcat没有对外开放端口,所以将问题集中到apache上面。
通过查看apache的配置发现,apache仅仅处理些静态资源请求,而网页也以静态页面居多,所以通过网页方式入侵系统可能性不大,既然漏洞可能来自于apache,那么尝试查看apache日志,也许能发现一些可疑的访问痕迹,通过查看accesslog文件,发现了如下信息:
6217163186 - - [29/Sep/2013:22:17:06 +0800] "GET http://wwwxxxcom/cgi-bin/awstatsplconfigdir=|echo;echo;ps+-aux%00 HTTP/10" 200 12333 "-" "Mozilla/50 (Windows; U; Windows NT 51; pt-BR; rv:181) Gecko/20121010 Firefox/20"
6217163186 - - [29/Sep/213:22:17:35 +0800] "GET http://wwwxxxcom/cgi-bin/awstatsplconfigdir=|echo;echo;cd+/var/tmp//haha;ls+-a%00 HTTP/10" 200 1626 "-" "Mozilla/50 (Windows; U; Windows NT 51; pt-BR; rv:181) Gecko/20121010 Firefox/20"
至此,发现了漏洞的根源,原来是awstatspl脚本中configdir的一个漏洞,通过了解此服务器的应用,客户确实是通过一个Awstats的开源插件来做网页访问统计,通过这个漏洞,攻击者可以直接在浏览器上操作服务器,例如查看进程、创建目录等。通过上面第二条日志可以看出,攻击者正常浏览器执行切换到/var/tmp//haha目录的操作。
这个脚本漏洞挺可怕的,不过在Awstats官网也早已给出了修补的方法,对于这个漏洞,修复方法很简单,打开awstatspl文件,找到如下信息:
if ($QueryString =~ /configdir=([^]+)/i)
{
$DirConfig=DecodeEncodedString("$1");
}
修改为如下即可:
if ($QueryString =~ /configdir=([^]+)/i)
{
$DirConfig=DecodeEncodedString("$1");
$DirConfig=~tr/a-z0-9_/-////a-z0-9_/-////cd;
}
6、揭开谜团
通过上面逐步分析和介绍,此服务遭受入侵的原因和过程已经非常清楚了,大致过程如下:
(1)攻击者通过Awstats脚本awstatspl文件的漏洞进入了系统,在/var/tmp目录下创建了隐藏目录,然后将rootkit后门文件传到这个路径下。
(2)攻击者通过植入后门程序,获取了系统超级用户权限,进而控制了这台服务器,通过这台服务器向外发包。
(3)攻击者的IP地址6217163186可能是通过代理过来的,也可能是攻击者控制的其他肉鸡服务器。
(4)攻击者为了永久控制这台机器,修改了系统默认帐号mail的信息,将mail帐号变为可登录,并且设置了mail帐号的密码。
(5)攻击者在完成攻击后,通过后门程序自动清理了系统访问日志,毁灭了证据。
通过对这个入侵过程的分析,发现入侵者的手段还是非常简单和普遍的,虽然入侵者删除了系统的一些日志,但是还是留下了很多可查的踪迹,其实还可以查看用户下的bash_history文件,这个文件是用户操作命令的历史记录。
7、如何恢复网站
由于系统已经文件被更改和替换,此系统已经变得完全不可信,因此建议备份网站数据,重新安装系统,基本步骤如下:
(1)安装稳定版本的操作系统,删除系统默认的并且不需要的用户。
(2)系统登录方式改为公钥认证方式,避开密码认证的缺陷。
(3)安装更高版本的apache和最新稳定版本的Awstats程序。
(4)使用Linux下的Tcp_Wrappers防火墙,限制ssh登录的源地址。
双ip双线路。服务器配置2块网卡,分别配置电信、网通不同的ip地址。在服务器上配置路由表,实现服务器访问电信和网通各自不同的ip的时候,分别走不同的通道。另一方,用户通过唯一的域名来访问服务器,而域名解析的时候,通过实施对不同的ip地址请求返回不同的服务器ip的方法来实现,网通用户请求域名时返回网通的ip,电信用户请求域名时返回电信的ip,这也就是所谓的智能dns解析。
下面来说说具体如何操作。以我的电脑做个演示。
我使用了2条宽带,一条电信线路,一条网通线路,带宽分别是1M。
我自己呢也有两个网卡,一个有线网卡连接网通,一个无线网卡连接电信线路。
连接网通的网卡,ip设置为:1921681111,网关设置为19216811
连接电信的网卡,ip设置为:1921680111,网关设置为19216801
用route print命令查看一下当前默认的路由表:
注意看最下面一行:Default Gateway:19216811
这句的意思就是默认网关,一台电脑只有一个默认网关,所有的数据包都是先发往这个网关地址。根据显示,19216811代表我的网通的那条线路,也就是所有的数据包都会自动优先从网通线路走。可能有线网卡比无线网卡的优先级高的原因吧,系统默认将有线的网通通道的地址设置为默认网关了。
要通过双网卡双ip方式实现双线路,我们需要修改电脑中的路由表,可以用以下两种规。
1、默认网关设置为网通线路的ip,然后将电信网络的网段路由手工添加到路由表记录中,
让访问电信ip时,根据路由表规则,让这些访问都通过电信线路出去,达到目的。
2、默认网关设置为电信线路的ip,然后将网通的网段路由手工添加到路由表记录中,当访问网通ip时,则根据路由表规则,让这些访问都通过网通线路出去,达到目的。
由于电信的网段数量比网通的多的多,所以我们用第二种规则,也就是:默认网关设为电信,其它访问网通ip的时候,通过路由表控制,迫使数据从网通通道出去。
整理完思路之后,我们就面临第一个问题,就是如何将默认网关设置成电信网络的19216801这个地址,而不是网通的19216811这个地址。
这样操作:
网卡,我找到无线网卡(电信线路的那个),右键属性——TCP/IP属性——高级
找到默认网关,将默认网关的跃点数设为1。
这时候我们再route print看看
注意看最下面一行:Default Gateway:19216801
看看默认网关,已经变成19216801,也就是电信线路了。下面我们开始继续工作。
接下来要把网通的网段添加到路由表里面咯。
用这样的命令
route add 6115600 mask 25525500 19216811
比如这条命令,就指定了将6115600 这个网段的通讯全部设置为从19216811 网通线路走。
网通的段虽然比电信的少,但写出来也是呼啦一堆。所以这里准备了一个批处理文件,2000/xp/2003直接运行就ok。
对了,route add命令是添加临时的路由记录,重启后,就清空了,如果想永久生效,用下面的命令:
route -p add 6115600 mask 25525500 19216811
当然,你下载之后呢可以自己修改批处理文件。
删除路由记录也非常方便。用下面的命令:
route delete 6115600
0条评论