一種用于大規(guī)模移動互聯(lián)核心網(wǎng)絡(luò)的取證系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及大規(guī)模移動互聯(lián)核心網(wǎng)絡(luò)技術(shù)領(lǐng)域����,尤其涉及一種用于大規(guī)模移動互聯(lián)核心網(wǎng)絡(luò)的取證系統(tǒng)。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)絡(luò)在世界范圍內(nèi)的蓬勃發(fā)展����,如何保證網(wǎng)絡(luò)的安全可靠已是當(dāng)前國內(nèi)外相關(guān)機(jī)構(gòu)研宄的重點。而隨著移動互聯(lián)網(wǎng)的快速發(fā)展�,使得我們需要面對的不僅是傳統(tǒng)固網(wǎng)的安全威脅,來自移動互聯(lián)網(wǎng)的安全隱患也正不斷地向我們發(fā)出挑戰(zhàn)��。在移動互聯(lián)網(wǎng)領(lǐng)域�����,隨著移動終端的不斷普及�����,以往許多只在固網(wǎng)互聯(lián)網(wǎng)絡(luò)中發(fā)生的安全事件正不斷地向移動互聯(lián)網(wǎng)絡(luò)中蔓延,針對移動互聯(lián)網(wǎng)用戶的攻擊手段正呈現(xiàn)出層出不窮的趨勢���。因此國內(nèi)外的互聯(lián)網(wǎng)安全機(jī)構(gòu)紛紛在移動核心網(wǎng)鏈路上架設(shè)專用的入侵檢測系統(tǒng)(Intrus1nDetect1n System, IDS)進(jìn)行用戶網(wǎng)絡(luò)行為的檢測�,以期快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為�����。
[0003]互聯(lián)網(wǎng)取證是對互聯(lián)網(wǎng)信息進(jìn)行取證和過濾�����,對危害國家安全��、發(fā)布影響社會穩(wěn)定的信息進(jìn)行阻斷和記錄�����,對訪問境外危險站點進(jìn)行阻斷的網(wǎng)絡(luò)控制過程�。但隨著網(wǎng)絡(luò)傳輸和光通信技術(shù)的發(fā)展���,移動終端用戶的增長給網(wǎng)絡(luò)取證帶來了不少難題�。首先是鏈路帶寬的迅猛增加給網(wǎng)絡(luò)取證帶來了巨大的挑戰(zhàn),根據(jù)市場研宄公司Chetan SharmaConsulting在2012年初發(fā)布統(tǒng)計數(shù)據(jù)顯示��,中國手機(jī)用戶將于3月3日突破10億大關(guān)��;其次是高峰期時網(wǎng)絡(luò)取證設(shè)備所承受的流量沖擊越來越大����,根據(jù)數(shù)據(jù)顯示將可能承受1Gbps以上的流量沖擊。而隨著國內(nèi)移動互聯(lián)網(wǎng)絡(luò)的不斷發(fā)展以及運營商對于核心網(wǎng)鏈路的升級����,上述鏈路帶寬以及流量沖擊數(shù)據(jù)勢必還會進(jìn)一步增加。同時由于移動核心網(wǎng)分組域鏈路的報文結(jié)構(gòu)較一般骨干網(wǎng)鏈路更為復(fù)雜����,這也進(jìn)一步的增加了網(wǎng)絡(luò)取證的難度。
[0004]移動互聯(lián)網(wǎng)鏈路具有特有的PPP (Point-to-PointProtocol���,點對點協(xié)議)報文轉(zhuǎn)義格式����,PPP接入用戶和寬帶接入服務(wù)器都需要對PPP報文進(jìn)行解封裝����,對于PPP接入用戶來說�,由于帶寬一般較小����,所以PPP解封裝對終端性能影響不大,但是由于寬帶接入服務(wù)器匯聚了用戶的所有數(shù)據(jù)流��,它必須將每一個PPP報文都拆開檢查處理�,即PPP轉(zhuǎn)義和反轉(zhuǎn)義均需要掃描整個報文,因此時間開銷巨大�����,一旦用戶很多�����、數(shù)據(jù)包數(shù)量很大時���,則解封裝速度就需要很快。
[0005]對于網(wǎng)絡(luò)取證系統(tǒng)����,國內(nèi)外已經(jīng)進(jìn)行了大量的研宄和實現(xiàn)。但其中絕大部分設(shè)備所部署的節(jié)點只能面向較小的互聯(lián)網(wǎng)范圍��,且系統(tǒng)本身的處理性能受限于較為單一的純CPU處理結(jié)構(gòu),性能不足以應(yīng)對較大規(guī)模的互聯(lián)網(wǎng)環(huán)境����。在傳統(tǒng)的TCP/IP固網(wǎng)領(lǐng)域,根據(jù)吉爾德(Gilder)定律的描述可知���,網(wǎng)絡(luò)帶寬將以每6個月提高一倍的速度持續(xù)增長�,根據(jù)摩爾定律所預(yù)測的CPU主頻的增長速率則每18個月翻番�����,因而傳統(tǒng)的網(wǎng)絡(luò)取證系統(tǒng)主要存在以下問題:
[0006]I)由于數(shù)據(jù)捕獲和分析能力的不足�����,會造成大量信息丟失���,取證效果不如人意�����;
[0007]2)由于是基于CPU的純軟件處理結(jié)構(gòu)����,因而在大規(guī)模高速流量環(huán)境下將遇到性能瓶頸,一方面無法承擔(dān)高速骨干網(wǎng)鏈路下日益增長的網(wǎng)絡(luò)帶寬�、CPU主頻的數(shù)據(jù)處理任務(wù),無法快速完成移動互聯(lián)核心網(wǎng)絡(luò)中的PPP報文解封裝��,也無法應(yīng)對骨干網(wǎng)絡(luò)的龐大流量沖擊���;另一方面��,只能應(yīng)用部署于小范圍的內(nèi)網(wǎng)系統(tǒng)中�����,面向?qū)ο髥我?��、靈活性不足;
【發(fā)明內(nèi)容】
[0008]本發(fā)明要解決的技術(shù)問題就在于:針對現(xiàn)有技術(shù)存在的技術(shù)問題����,本發(fā)明提供一種結(jié)構(gòu)簡單緊湊、能夠?qū)崿F(xiàn)大規(guī)模移動互聯(lián)核心網(wǎng)絡(luò)中的取證�����、且取證效率高及應(yīng)用靈活的用于大規(guī)模移動互聯(lián)核心網(wǎng)絡(luò)的取證系統(tǒng)��。
[0009]為解決上述技術(shù)問題���,本發(fā)明提出的技術(shù)方案為:
[0010]一種用于大規(guī)模移動互聯(lián)核心網(wǎng)絡(luò)的取證系統(tǒng)�,包括用于采集大規(guī)模移動互聯(lián)核心網(wǎng)絡(luò)中的證據(jù)報文并進(jìn)行預(yù)處理得到原始證據(jù)報文的第一級處理單元��、用于對所述原始證據(jù)報文進(jìn)行還原處理的第二級處理單元以及控制交換單元���,所述第一級處理單元通過控制交換單元連接所述第二級處理單元�;所述第一級處理單元得到的原始證據(jù)報文通過所述控制交換單元發(fā)送至所述第二級處理單元�����,所述第二級處理單元還原處理得到的證據(jù)報文再通過所述控制交換單元���、所述第一級處理單元轉(zhuǎn)發(fā)至對應(yīng)終端����。
[0011]作為本發(fā)明的進(jìn)一步改進(jìn):所述第一級處理單元包括依次連接的采集模塊��、高速預(yù)處理模塊以及規(guī)則匹配轉(zhuǎn)發(fā)模塊��,所述采集模塊用于采集大規(guī)模互聯(lián)網(wǎng)絡(luò)中的證據(jù)報文�,輸出至所述高速預(yù)處理模塊;所述高速預(yù)處理模塊采用FPGA將采集得到的所述證據(jù)報文進(jìn)行預(yù)處理�����,得到原始證據(jù)報文��;所述規(guī)則匹配轉(zhuǎn)發(fā)模塊用于將所述原始證據(jù)報文按照預(yù)設(shè)規(guī)則轉(zhuǎn)發(fā)至控制交換單元或?qū)?yīng)終端�。
[0012]作為本發(fā)明的進(jìn)一步改進(jìn):所述第二級處理單元包括檢測判別模塊以及深度處理模塊,所述檢測判別模塊用于接收所述控制交換單元發(fā)送的原始證據(jù)報文����,并判斷所述原始證據(jù)報文是否需要直接輸出,若為是��,直接將所述原始證據(jù)報文輸出回所述控制交換單元��,若為否���,將所述原始證據(jù)報文發(fā)送至深度處理模塊進(jìn)行還原處理�����,得到還原后的證據(jù)報文并發(fā)送回所述控制交換單元����。
[0013]作為本發(fā)明的進(jìn)一步改進(jìn):所述深度處理模塊采用多核處理器芯片。
[0014]作為本發(fā)明的進(jìn)一步改進(jìn):所述深度處理模塊包括用于對原始證據(jù)報文進(jìn)行還原處理的還原報文模塊以及異常檢測模塊��;所述異常檢測模塊用于對所述原始證據(jù)報文進(jìn)行異常流量檢測�����,輸出異常檢測結(jié)果��。
[0015]作為本發(fā)明的進(jìn)一步改進(jìn):還包括續(xù)傳處理單元��,所述續(xù)傳處理單元與第一級處理單元并聯(lián)連接�;當(dāng)需要對網(wǎng)絡(luò)中異常流量進(jìn)行控制時啟動所述續(xù)傳處理單元并斷開所述第一級處理單元�����,通過所述續(xù)傳處理單元接入大規(guī)模移動互聯(lián)網(wǎng)絡(luò)中證據(jù)報文�����,并根據(jù)指定的續(xù)傳規(guī)則對接入的所述證據(jù)報文進(jìn)行匹配�,再根據(jù)匹配結(jié)果控制接入的證據(jù)報文執(zhí)行續(xù)傳或阻斷、劣化�。
[0016]作為本發(fā)明的進(jìn)一步改進(jìn):所述控制交換單元包括主控模塊以及交換模塊����,所述主控模塊用于接收控制指令并根據(jù)所述控制指令控制所述第一級處理單元���、第二級處理單元���;所述交換模塊用于進(jìn)行所述第一級處理單元、第二級處理單元之間的數(shù)據(jù)轉(zhuǎn)發(fā)�。
[0017]與現(xiàn)有技術(shù)相比,本發(fā)明的優(yōu)點在于:
[0018]I)本發(fā)明針對大規(guī)模移動互聯(lián)核心網(wǎng)絡(luò)的特點�����,通過第一級處理單元進(jìn)行數(shù)據(jù)證據(jù)報文的線速采集以及預(yù)處理�、第二級處理單元進(jìn)行報文還原,并由控制交換單元進(jìn)行轉(zhuǎn)發(fā)控制��,從而將處理起來簡單但重復(fù)率高的采集及預(yù)處理操作分配到第一級處理單元上���,同時將處理起來復(fù)雜但重復(fù)率低的還原操作分配到第二級處理單元上�,使得系統(tǒng)的整體取證性能大大提高���,能夠滿足模移動互聯(lián)核心網(wǎng)絡(luò)下的取證需求���,同時實現(xiàn)高效的取證�����。
[0019]2)本發(fā)明針對移動互聯(lián)核心網(wǎng)報文特有的PPP報文轉(zhuǎn)義格式���,將第一級處理單元中進(jìn)一步采用FPGA實現(xiàn)�,充分利用了 FPGA高效處理流水化的特點進(jìn)行高速預(yù)處理,相比傳統(tǒng)的基于CPU處理方法能夠極大地提高處理效率�����。
[0020]3)本發(fā)明進(jìn)一步包括續(xù)傳處理單元���,配合第二級處理單元的異常流量檢測功能實現(xiàn)在設(shè)備的串接模式下對異常網(wǎng)絡(luò)流量的阻斷和清洗�,從而保護(hù)網(wǎng)絡(luò)環(huán)境的正常運行����。
【附圖說明】
[0021]圖1是本實施例一種用于大規(guī)模網(wǎng)絡(luò)的取證系統(tǒng)的實現(xiàn)流程示意圖。
[0022]圖2是本實施例中第一級處理單元的實現(xiàn)原理示意圖�。
[0023]圖3是本實施例中第二級處理單元的結(jié)構(gòu)原理示意圖。
[0024]圖4是本實施例中續(xù)傳處理單元的實現(xiàn)原理示意圖�����。
[0025]圖5是本實施例中控制交換單元的結(jié)構(gòu)原理示意圖。
[0026]圖6是本實施例中取證系統(tǒng)采用串接方式的接入原理示意