專利名稱:一種高帶寬VoIP檢測系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一種高帶寬VoIP檢測系統(tǒng)����,屬于網(wǎng)絡(luò)安全產(chǎn)品中的檢測技術(shù)領(lǐng)域。
背景技術(shù):
目前入侵檢測系統(tǒng)的一個發(fā)展趨勢是分布式和并行處理架構(gòu)����,其基本思路是通過網(wǎng)絡(luò)負(fù)載均衡技術(shù),將大流量���、高速率的網(wǎng)絡(luò)數(shù)據(jù)流分解為多個小流量�����、低速率的網(wǎng)絡(luò)數(shù)據(jù)流���,以滿足現(xiàn)有檢測系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)包接收和處理能力。如表I總結(jié)了已有VoIP檢測系統(tǒng)的現(xiàn)狀�����,如何為 現(xiàn)有的VoIP網(wǎng)絡(luò)防護(hù)關(guān)鍵技術(shù)提供一個可以應(yīng)用的可擴(kuò)展系統(tǒng)將成為研究的重點�����。表I
首次公開時 公開后最類型解決主要安全特點
__ra__近更新___λ__
SCIDIVE 2004否論文原型系統(tǒng) SIPDoS單機(jī)VbIP MDS —
SPACEDIVE 2006否論文原型系統(tǒng) SIPD0S分布式VoIP NlDS—
vFDS2006否論文原型系統(tǒng) "^DoS可以檢測SYN�����、SlP
"VSD2007W論文原型系統(tǒng)SPITAnti-SPIT
vIDS2006S論文原型系統(tǒng)SIPDoS在特定實驗條件下����,
已知攻擊100%檢測
______精度,O誤報率
VoIP SEAL 2OT6W論文原型系統(tǒng)SIPDoS基于隱式圖靈機(jī)測
SPIT試的SPIT檢測
~sms2008W論文原型系統(tǒng)SPlf基 信令行為模式
的SPIT檢測
DAPES2004^論文股型系統(tǒng)SPff基丁·蘆譽(yù)機(jī)制�����,
______Anti-SPIT_
Prelude-IDS 19982009開源/商業(yè)產(chǎn)品通Π]網(wǎng)絡(luò)入侵分亦式NIDS
Saort 9982M2開源/商業(yè)產(chǎn)品通用網(wǎng)絡(luò)入侵IflMDS
Bro19992012丌源產(chǎn)品通用網(wǎng)絡(luò)入侵卞.機(jī)MDS 一
Bro-cluster 20072009丨開源產(chǎn)品丨通用網(wǎng)路入侵丨集群MDS從表I中可以看到�����,已有的網(wǎng)絡(luò)防護(hù)系統(tǒng)主要分為兩大類,一類是以Snort�、Bro為代表的通用網(wǎng)絡(luò)入侵檢測系統(tǒng),該類系統(tǒng)并沒有針對VoIP網(wǎng)絡(luò)防護(hù)的需求進(jìn)行針對性設(shè)計����,默認(rèn)規(guī)則集覆蓋的VoIP攻擊種類有限,檢測效率和準(zhǔn)確度都存在不足�。另一類是以SCIDIVE,vFDS為代表的VoIP網(wǎng)絡(luò)防護(hù)系統(tǒng),但這些已有的專用防護(hù)系統(tǒng)的可擴(kuò)展性����、處理能力普遍存在局限性和不足。網(wǎng)絡(luò)處理器NP是專門為處理數(shù)據(jù)包而設(shè)計的可編程處理器����,能夠直接完成網(wǎng)絡(luò)數(shù)據(jù)處理的一般性任務(wù),其硬件大多采用多內(nèi)核并行處理器體系結(jié)構(gòu)��,并具有專用硬件協(xié)作處理器���、專用指令集�����、高速的I/o接口技術(shù)和總線規(guī)范�,因而與通用處理器相比,網(wǎng)絡(luò)處理器在網(wǎng)絡(luò)大數(shù)據(jù)流處理上具有明顯的優(yōu)勢��,而和ASCI相比���,具有編程方面的優(yōu)勢。目前對NP的利用多集中于數(shù)據(jù)分流和負(fù)載均衡����,沒有在NP上根據(jù)原始的數(shù)據(jù)包的協(xié)議特點做進(jìn)一步的處理。
發(fā)明內(nèi)容
基于上述分析�����,本發(fā)明提出了一種高帶寬VoIP檢測系統(tǒng)��,實現(xiàn)對已知內(nèi)容和未知內(nèi)容的騷擾電話自動化的實時檢測和低延遲過濾�����,針對語音終端用戶的DoS攻擊的實時自動檢測���,針對語音協(xié)議層的DoS攻擊和畸形包攻擊的自動識別和檢測���。該高帶寬VoIP檢測系統(tǒng)���,包括網(wǎng)絡(luò)處理器集群、在線檢測分析集群����、數(shù)據(jù)分析集群、事件處理代理單元�����、管理平臺����、策略中心和離線檢測單元,在線檢測分析集群包括DoS攻擊模塊���、畸形包攻擊模塊和垃圾電話檢測模塊��;其中策略中心的輸出分別與網(wǎng)絡(luò)處理器集群�����、數(shù)據(jù)分析集群�����、事件處理代理單元�����、管理平臺����、在線檢測分析集群連接,數(shù)據(jù)分析集群分別與事件處理代理單元和在線檢測分析集群連接�����,網(wǎng)絡(luò)處理器集群和在線檢測分析集群連接�����,事件處理代理單元的輸出與離線檢測單元連接�����,離線檢測單元的輸出與在線檢測分析集群連接���;網(wǎng)絡(luò)處理器集群接收來自網(wǎng)絡(luò)的原始數(shù)據(jù)包,丟棄非VoIP協(xié)議的數(shù)據(jù)包����,將數(shù)據(jù)流分為信令流和媒體流兩部分����,其中的信令流根據(jù)負(fù)載均衡的情況送往在線檢測分析集群·中的DoS攻擊模塊和畸形包攻擊檢測模塊中�����,媒體流根據(jù)負(fù)載均衡的情況送往垃圾電話檢測模塊中���;在線檢測分析集群接收網(wǎng)絡(luò)處理器集群預(yù)處理后的信令流和媒體流的數(shù)據(jù)包���,根據(jù)已知的規(guī)則集實時的處理數(shù)據(jù)包,并將處理后的報警信息發(fā)給數(shù)據(jù)分析集群��;數(shù)據(jù)分析集群將在線檢測分析集群的報警信息進(jìn)行處理�,將同一次攻擊的報警信息合并在一起,發(fā)往事件處理代理單元�;事件處理代理單元接收來自數(shù)據(jù)分析集群的綜合結(jié)果,根據(jù)來自策略中心的策略�,對攻擊事件進(jìn)行相應(yīng)的阻斷,同時將無法關(guān)聯(lián)的異常模式送往離線檢測單元進(jìn)行進(jìn)一步的處理����;管理平臺接收來自策略中心的策略配置和管理信息��,顯示為可視化的管理界面��,供管理員使用���;策略中心將策略配置和管理信息發(fā)往到網(wǎng)絡(luò)處理器集群、在線檢測分析集群����、數(shù)據(jù)分析集群、事件處理代理和管理平臺�����;離線檢測單元處理來自事件處理代理無法關(guān)聯(lián)的異常模式�,利用數(shù)據(jù)挖掘的算法得到新的檢測規(guī)則���,并將這些規(guī)則更新到在線檢測分析集群的規(guī)則集中�。所述的在線檢測分析集群通過增加其中用于檢測的檢測單元數(shù)量來提高在線檢測效率�。所述的垃圾電話的攻擊檢測中包括在線處理和離線處理兩個部分。本發(fā)明的有益效果本發(fā)明采用了流量分配和攻擊檢測模塊分離的結(jié)構(gòu)�����,率先提出了在網(wǎng)絡(luò)處理器NP中完成流量識別和負(fù)載均衡的方法,使得只通過簡單的增加檢測模塊���,就能提高檢測效率���。
圖I為本發(fā)明高帶寬VoIP檢測系統(tǒng)結(jié)構(gòu)框圖;圖2為媒體流數(shù)據(jù)包預(yù)處理流程圖�����。
具體實施例方式如圖I所示�����,本發(fā)明的高帶寬VoIP檢測系統(tǒng)�����,包括網(wǎng)絡(luò)處理器集群�、數(shù)據(jù)分析集群、事件處理代理單元����、管理平臺、策略中心、在線檢測分析集群和離線檢測單元����,其中策略中心的輸出分別與網(wǎng)絡(luò)處理器集群、數(shù)據(jù)分析集群����、事件處理代理單元、管理平臺�����、在線檢測分析集群連接����,數(shù)據(jù)分析集群分別與事件處理代理單元和在線檢測分析集群連接,網(wǎng)絡(luò)處理器集群和在線檢測分析集群連接����,事件處理代理單元的輸出與離線檢測單元連接�����,離線檢測單元的輸出與在線檢測分析集群連接��。如圖2所示,對于在線檢測分析集群����,無論是基于誤用的檢測,還是基于異常的檢測���,都需要用到模式匹配算法�����,區(qū)別僅僅在 于用到的模式可能是正常行為模式或是異常行為模式�。這兩種類型的模式特征構(gòu)建都是針對的已知數(shù)據(jù)集合��,當(dāng)攻擊者采用新的攻擊手段或網(wǎng)絡(luò)中出現(xiàn)了新的正常行為模式時����,為了避免模式匹配算法的失敗,入侵檢測算法都必須要能夠及時的升級模式特征庫���,以適應(yīng)攻擊和環(huán)境的變化�?�;诖嗽?�,添加了面向離線處理,采用數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)技術(shù)的離線入侵檢測���。在線檢測和離線檢測對于構(gòu)建一個完整的入侵和攻擊檢測算法來說��,具有同等重要的地位����。沒有在線檢測功能��,入侵檢測就變成了入侵取證�����。沒有離線檢測的支持�����,在線檢測會隨著應(yīng)用時間的推移��,產(chǎn)生大量誤報和漏報�。因此,在垃圾電話的攻擊檢測中包括了在線處理和離線處理兩個部分����。垃圾電話的攻擊檢測與DoS和畸形包攻擊檢測過程的不同在于(I)從網(wǎng)絡(luò)中獲取原始的數(shù)據(jù)包,由網(wǎng)絡(luò)處理器集群完成預(yù)處理�,提取出rtp語音數(shù)據(jù)包,用垃圾電話語音內(nèi)容特征庫匹配rtp數(shù)據(jù)包內(nèi)容段(2)如果完整的數(shù)據(jù)流中的特征明顯的字段與垃圾電話語音內(nèi)容特征庫匹配的比例達(dá)到額定值��,則識別出垃圾電話攻擊(3)如果特征不匹配��,則將數(shù)據(jù)流的內(nèi)容段寫入待處理位置����,之后離線模塊將整條數(shù)據(jù)包還原成語音,則人工檢查該語音流是否是垃圾電話( 4 )如果是垃圾電話�,則將該數(shù)據(jù)流的特征存入騷擾電話語音內(nèi)容特征庫,完成離線學(xué)習(xí)和匹配過程���。該系統(tǒng)包括I臺Intel IXP 2400網(wǎng)絡(luò)處理器�����、I臺Cisco 3750交換機(jī)���、10臺IntelPentium4PC主機(jī)和I臺IBM x365服務(wù)器。傳輸層流量分配設(shè)備采用網(wǎng)絡(luò)處理器Intel IXP2400作為硬件部分的主要數(shù)據(jù)處理設(shè)備����。檢測設(shè)備集群由10臺配有千兆以太網(wǎng)卡的PC機(jī)所組成�,根據(jù)實際網(wǎng)絡(luò)流量大小可以自由配置服務(wù)器的數(shù)據(jù)和PC機(jī)的比例�。管理平臺采用的是B/S結(jié)構(gòu)的管理控制接口,管理員通過管理平臺對系統(tǒng)中的所有功能單元進(jìn)行配置和處理����。事件處理代理收集數(shù)據(jù)分析集群的事件通告,并查詢策略中心相應(yīng)的事件響應(yīng)方法����,實施事件響應(yīng)處理。目前系統(tǒng)主要的響應(yīng)方法包括網(wǎng)絡(luò)層源地址過濾�����、傳輸層源端口過濾和應(yīng)用層偽裝發(fā)送VoIP會話終結(jié)信令�����。其中網(wǎng)絡(luò)層源地址過濾和傳輸層源端口過濾通過遠(yuǎn)程添加防火墻過濾規(guī)則的方法來實現(xiàn)�。
權(quán)利要求
1.高帶寬VoIP檢測系統(tǒng),包括網(wǎng)絡(luò)處理器集群��、在線檢測分析集群����、數(shù)據(jù)分析集群�、事件處理代理單元�����、管理平臺��、策略中心和離線檢測單元�,其特征在于在線檢測分析集群包括DoS攻擊模塊����、畸形包攻擊模塊和垃圾電話檢測模塊;其中策略中心的輸出分別與網(wǎng)絡(luò)處理器集群���、數(shù)據(jù)分析集群����、事件處理代理單元�、管理平臺、在線檢測分析集群連接�����,數(shù)據(jù)分析集群分別與事件處理代理單元和在線檢測分析集群連接����,網(wǎng)絡(luò)處理器集群和在線檢測分析集群連接���,事件處理代理單元的輸出與離線檢測單元連接,離線檢測單元的輸出與在線檢測分析集群連接��; 網(wǎng)絡(luò)處理器集群接收來自網(wǎng)絡(luò)的原始數(shù)據(jù)包���,丟棄非VoIP協(xié)議的數(shù)據(jù)包�����,將數(shù)據(jù)流分為信令流和媒體流兩部分���,其中的信令流根據(jù)負(fù)載均衡的情況送往在線檢測分析集群中的DoS攻擊模塊和畸形包攻擊檢測模塊中,媒體流根據(jù)負(fù)載均衡的情況送往垃圾電話檢測模塊中�����;在線檢測分析集群接收網(wǎng)絡(luò)處理器集群預(yù)處理后的信令流和媒體流的數(shù)據(jù)包����,根據(jù)已知的規(guī)則集實時的處理數(shù)據(jù)包,并將處理后的報警信息發(fā)給數(shù)據(jù)分析集群;數(shù)據(jù)分析集群將在線檢測分析集群的報警信息進(jìn)行處理���,將同一次攻擊的報警信息合并在一起����,發(fā)往事件處理代理單元�����;事件處理代理單元接收來自數(shù)據(jù)分析集群的綜合結(jié)果��,根據(jù)來自策略 中心的策略��,對攻擊事件進(jìn)行相應(yīng)的阻斷��,同時將無法關(guān)聯(lián)的異常模式送往離線檢測單元進(jìn)行進(jìn)一步的處理�;管理平臺接收來自策略中心的策略配置和管理信息��,顯示為可視化的管理界面���,供管理員使用�����;策略中心將策略配置和管理信息發(fā)往到網(wǎng)絡(luò)處理器集群����、在線檢測分析集群、數(shù)據(jù)分析集群����、事件處理代理和管理平臺;離線檢測單元處理來自事件處理代理無法關(guān)聯(lián)的異常模式�,利用數(shù)據(jù)挖掘的算法得到新的檢測規(guī)則,并將這些規(guī)則更新到在線檢測分析集群的規(guī)則集中����。
2.如權(quán)利要求I所述的高帶寬VoIP檢測系統(tǒng),其特征在于所述的在線檢測分析集群通過增加其中用于檢測的檢測單元數(shù)量來提高在線檢測效率�����。
3.如權(quán)利要求I或2所述的高帶寬VoIP檢測系統(tǒng)�����,其特征在于所述的垃圾電話的攻擊檢測中包括在線處理和離線處理兩個部分���。
全文摘要
本發(fā)明提出了一種高帶寬VoIP檢測系統(tǒng)�,針對語音終端用戶的DoS攻擊的實時自動檢測,針對語音協(xié)議層的DoS攻擊和畸形包攻擊的自動識別和檢測����。該系統(tǒng)包括網(wǎng)絡(luò)處理器集群、在線檢測分析集群���、數(shù)據(jù)分析集群�、事件處理代理單元�、管理平臺、策略中心和離線檢測單元�����,在線檢測分析集群包括DoS攻擊模塊����、畸形包攻擊模塊和垃圾電話檢測模塊��;其中策略中心的輸出分別與網(wǎng)絡(luò)處理器集群�、數(shù)據(jù)分析集群、事件處理代理單元��、管理平臺�����、在線檢測分析集群連接,數(shù)據(jù)分析集群分別與事件處理代理單元和在線檢測分析集群連接����,網(wǎng)絡(luò)處理器集群和在線檢測分析集群連接,事件處理代理單元的輸出與離線檢測單元連接����,離線檢測單元的輸出與在線檢測分析集群連接。
文檔編號H04L12/24GK102904770SQ201210274099
公開日2013年1月30日 申請日期2012年8月2日 優(yōu)先權(quán)日2012年8月2日
發(fā)明者鄭康鋒, 張冬梅, 武斌, 王秀娟 申請人:北京郵電大學(xué)