一种用于大规模移动互联核心网络的取证系统的制作方法
【技术领域】
[0001]本发明涉及大规模移动互联核心网络技术领域,尤其涉及一种用于大规模移动互联核心网络的取证系统。
【背景技术】
[0002]随着互联网络在世界范围内的蓬勃发展,如何保证网络的安全可靠已是当前国内外相关机构研宄的重点。而随着移动互联网的快速发展,使得我们需要面对的不仅是传统固网的安全威胁,来自移动互联网的安全隐患也正不断地向我们发出挑战。在移动互联网领域,随着移动终端的不断普及,以往许多只在固网互联网络中发生的安全事件正不断地向移动互联网络中蔓延,针对移动互联网用户的攻击手段正呈现出层出不穷的趋势。因此国内外的互联网安全机构纷纷在移动核心网链路上架设专用的入侵检测系统(Intrus1nDetect1n System, IDS)进行用户网络行为的检测,以期快速发现网络攻击行为。
[0003]互联网取证是对互联网信息进行取证和过滤,对危害国家安全、发布影响社会稳定的信息进行阻断和记录,对访问境外危险站点进行阻断的网络控制过程。但随着网络传输和光通信技术的发展,移动终端用户的增长给网络取证带来了不少难题。首先是链路带宽的迅猛增加给网络取证带来了巨大的挑战,根据市场研宄公司Chetan SharmaConsulting在2012年初发布统计数据显示,中国手机用户将于3月3日突破10亿大关;其次是高峰期时网络取证设备所承受的流量冲击越来越大,根据数据显示将可能承受1Gbps以上的流量冲击。而随着国内移动互联网络的不断发展以及运营商对于核心网链路的升级,上述链路带宽以及流量冲击数据势必还会进一步增加。同时由于移动核心网分组域链路的报文结构较一般骨干网链路更为复杂,这也进一步的增加了网络取证的难度。
[0004]移动互联网链路具有特有的PPP (Point-to-PointProtocol,点对点协议)报文转义格式,PPP接入用户和宽带接入服务器都需要对PPP报文进行解封装,对于PPP接入用户来说,由于带宽一般较小,所以PPP解封装对终端性能影响不大,但是由于宽带接入服务器汇聚了用户的所有数据流,它必须将每一个PPP报文都拆开检查处理,即PPP转义和反转义均需要扫描整个报文,因此时间开销巨大,一旦用户很多、数据包数量很大时,则解封装速度就需要很快。
[0005]对于网络取证系统,国内外已经进行了大量的研宄和实现。但其中绝大部分设备所部署的节点只能面向较小的互联网范围,且系统本身的处理性能受限于较为单一的纯CPU处理结构,性能不足以应对较大规模的互联网环境。在传统的TCP/IP固网领域,根据吉尔德(Gilder)定律的描述可知,网络带宽将以每6个月提高一倍的速度持续增长,根据摩尔定律所预测的CPU主频的增长速率则每18个月翻番,因而传统的网络取证系统主要存在以下问题:
[0006]I)由于数据捕获和分析能力的不足,会造成大量信息丢失,取证效果不如人意;
[0007]2)由于是基于CPU的纯软件处理结构,因而在大规模高速流量环境下将遇到性能瓶颈,一方面无法承担高速骨干网链路下日益增长的网络带宽、CPU主频的数据处理任务,无法快速完成移动互联核心网络中的PPP报文解封装,也无法应对骨干网络的庞大流量冲击;另一方面,只能应用部署于小范围的内网系统中,面向对象单一、灵活性不足;
【发明内容】
[0008]本发明要解决的技术问题就在于:针对现有技术存在的技术问题,本发明提供一种结构简单紧凑、能够实现大规模移动互联核心网络中的取证、且取证效率高及应用灵活的用于大规模移动互联核心网络的取证系统。
[0009]为解决上述技术问题,本发明提出的技术方案为:
[0010]一种用于大规模移动互联核心网络的取证系统,包括用于采集大规模移动互联核心网络中的证据报文并进行预处理得到原始证据报文的第一级处理单元、用于对所述原始证据报文进行还原处理的第二级处理单元以及控制交换单元,所述第一级处理单元通过控制交换单元连接所述第二级处理单元;所述第一级处理单元得到的原始证据报文通过所述控制交换单元发送至所述第二级处理单元,所述第二级处理单元还原处理得到的证据报文再通过所述控制交换单元、所述第一级处理单元转发至对应终端。
[0011]作为本发明的进一步改进:所述第一级处理单元包括依次连接的采集模块、高速预处理模块以及规则匹配转发模块,所述采集模块用于采集大规模互联网络中的证据报文,输出至所述高速预处理模块;所述高速预处理模块采用FPGA将采集得到的所述证据报文进行预处理,得到原始证据报文;所述规则匹配转发模块用于将所述原始证据报文按照预设规则转发至控制交换单元或对应终端。
[0012]作为本发明的进一步改进:所述第二级处理单元包括检测判别模块以及深度处理模块,所述检测判别模块用于接收所述控制交换单元发送的原始证据报文,并判断所述原始证据报文是否需要直接输出,若为是,直接将所述原始证据报文输出回所述控制交换单元,若为否,将所述原始证据报文发送至深度处理模块进行还原处理,得到还原后的证据报文并发送回所述控制交换单元。
[0013]作为本发明的进一步改进:所述深度处理模块采用多核处理器芯片。
[0014]作为本发明的进一步改进:所述深度处理模块包括用于对原始证据报文进行还原处理的还原报文模块以及异常检测模块;所述异常检测模块用于对所述原始证据报文进行异常流量检测,输出异常检测结果。
[0015]作为本发明的进一步改进:还包括续传处理单元,所述续传处理单元与第一级处理单元并联连接;当需要对网络中异常流量进行控制时启动所述续传处理单元并断开所述第一级处理单元,通过所述续传处理单元接入大规模移动互联网络中证据报文,并根据指定的续传规则对接入的所述证据报文进行匹配,再根据匹配结果控制接入的证据报文执行续传或阻断、劣化。
[0016]作为本发明的进一步改进:所述控制交换单元包括主控模块以及交换模块,所述主控模块用于接收控制指令并根据所述控制指令控制所述第一级处理单元、第二级处理单元;所述交换模块用于进行所述第一级处理单元、第二级处理单元之间的数据转发。
[0017]与现有技术相比,本发明的优点在于:
[0018]I)本发明针对大规模移动互联核心网络的特点,通过第一级处理单元进行数据证据报文的线速采集以及预处理、第二级处理单元进行报文还原,并由控制交换单元进行转发控制,从而将处理起来简单但重复率高的采集及预处理操作分配到第一级处理单元上,同时将处理起来复杂但重复率低的还原操作分配到第二级处理单元上,使得系统的整体取证性能大大提高,能够满足模移动互联核心网络下的取证需求,同时实现高效的取证。
[0019]2)本发明针对移动互联核心网报文特有的PPP报文转义格式,将第一级处理单元中进一步采用FPGA实现,充分利用了 FPGA高效处理流水化的特点进行高速预处理,相比传统的基于CPU处理方法能够极大地提高处理效率。
[0020]3)本发明进一步包括续传处理单元,配合第二级处理单元的异常流量检测功能实现在设备的串接模式下对异常网络流量的阻断和清洗,从而保护网络环境的正常运行。
【附图说明】
[0021]图1是本实施例一种用于大规模网络的取证系统的实现流程示意图。
[0022]图2是本实施例中第一级处理单元的实现原理示意图。
[0023]图3是本实施例中第二级处理单元的结构原理示意图。
[0024]图4是本实施例中续传处理单元的实现原理示意图。
[0025]图5是本实施例中控制交换单元的结构原理示意图。
[0026]图6是本实施例中取证系统采用串接方式的接入原理示意