專利名稱:千兆網(wǎng)絡(luò)入侵取證分析系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域,具體為一種基于Network Processor的千兆網(wǎng)絡(luò)入侵取證分析系統(tǒng)。
背景技術(shù):
隨著高速網(wǎng)絡(luò)技術(shù)的迅速發(fā)展�����,如何實(shí)現(xiàn)高速網(wǎng)絡(luò)環(huán)境下的實(shí)時(shí)網(wǎng)絡(luò)入侵取證�����,已經(jīng)成為目前所面臨的問題����。目前網(wǎng)絡(luò)入侵取證系統(tǒng)其性能指標(biāo)與實(shí)際要求相差較遠(yuǎn),其數(shù)據(jù)處理速率和靈活性遠(yuǎn)遠(yuǎn)不能滿足網(wǎng)絡(luò)的高速發(fā)展����,當(dāng)網(wǎng)絡(luò)流量達(dá)到千兆或更高些時(shí),這些系統(tǒng)的性能大大下降���,丟包率很高���。為了提高網(wǎng)絡(luò)入侵取證系統(tǒng)的處理速率,適應(yīng)網(wǎng)絡(luò)的高速發(fā)展�����,達(dá)到在高速網(wǎng)絡(luò)環(huán)境下近似實(shí)時(shí)的入侵取證分析,就必須采用新的硬件體系結(jié)構(gòu)����。
發(fā)明內(nèi)容為了克服上述現(xiàn)有技術(shù)中的不足,本實(shí)用新型在深入研究較新版本網(wǎng)絡(luò)處理器IXP2400構(gòu)架的基礎(chǔ)上��,提出了一種在網(wǎng)絡(luò)底層實(shí)現(xiàn)網(wǎng)絡(luò)人侵取證的新體系結(jié)構(gòu)�,采用Intel IXP2400建立開發(fā)環(huán)境,進(jìn)行近似實(shí)時(shí)的數(shù)據(jù)采集���、過濾和處理��,通過對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行協(xié)議分析�����、解碼和重組,構(gòu)建了一個(gè)針對千兆及以上網(wǎng)絡(luò)環(huán)境的近似于實(shí)時(shí)檢測的網(wǎng)絡(luò)入侵取證分析系統(tǒng)����,從硬件和軟件兩個(gè)層次上保證實(shí)現(xiàn)千兆網(wǎng)絡(luò)環(huán)境下入侵取證系統(tǒng)的高速性能需求,真正達(dá)到千兆線速的根本目標(biāo)����。本實(shí)用新型的目的是這樣實(shí)現(xiàn)的千兆網(wǎng)絡(luò)入侵取證分析系統(tǒng)����,其特征在于包括被取證機(jī)I連接的第一交換機(jī)2�,第一交換機(jī)2連接網(wǎng)絡(luò)取證機(jī)5,網(wǎng)絡(luò)取證機(jī)5連接第二交換機(jī)4�����,第二交換機(jī)連接數(shù)據(jù)存儲(chǔ)機(jī)6��,數(shù)據(jù)存儲(chǔ)機(jī)6連接網(wǎng)絡(luò)取證分析機(jī)7 ��;所述的第一交換機(jī)2通過路由器3連接Internet ��;所述的被取證機(jī)I可以為多臺并聯(lián)���,采用的系統(tǒng)為windows98�����、windows2000����、windowsXP、linux���、solaris �����;所述的數(shù)據(jù)存儲(chǔ)機(jī)6為多臺并聯(lián)��。積極有益效果本實(shí)用新型在深入研究較新版本網(wǎng)絡(luò)處理器IXP2400構(gòu)架的基礎(chǔ)上�,提出了一種在網(wǎng)絡(luò)底層實(shí)現(xiàn)網(wǎng)絡(luò)人侵取證的新體系結(jié)構(gòu)����,采用Intel IXP2400建立開發(fā)環(huán)境,進(jìn)行近似實(shí)時(shí)的數(shù)據(jù)采集���、過濾和處理�����,通過對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行協(xié)議分析、解碼和重組����,構(gòu)建了一個(gè)針對千兆及以上網(wǎng)絡(luò)環(huán)境的近似于實(shí)時(shí)檢測的網(wǎng)絡(luò)入侵取證分析系統(tǒng)��,從硬件和軟件兩個(gè)層次上保證實(shí)現(xiàn)千兆網(wǎng)絡(luò)環(huán)境下入侵取證系統(tǒng)的高速性能需求�,真正達(dá)到千兆線速的根本目標(biāo)����。
圖I為本實(shí)用新型的系統(tǒng)框圖;[0011]圖2為高速數(shù)據(jù)包采集微模塊流程圖���;圖中為被取證機(jī)I��、第一交換機(jī)2����、路由器3�����、第二交換機(jī)4��、網(wǎng)絡(luò)取證機(jī)5����、數(shù)據(jù)存儲(chǔ)機(jī)6、網(wǎng)絡(luò)取證分析機(jī)7���。
具體實(shí)施方式
如圖I所示����,千兆網(wǎng)絡(luò)入侵取證分析系統(tǒng),其特征在于包括被取證機(jī)I連接的第一交換機(jī)2���,第一交換機(jī)2連接網(wǎng)絡(luò)取證機(jī)5���,網(wǎng)絡(luò)取證機(jī)5連接第二交換機(jī)4,第二交換機(jī)連接數(shù)據(jù)存儲(chǔ)機(jī)6��,數(shù)據(jù)存儲(chǔ)機(jī)6連接網(wǎng)絡(luò)取證分析機(jī)7 ���;所述的第一交換機(jī)2通過路由器3連接Internet ��; 所述的被取證機(jī)I可以為多臺并聯(lián)�����,采用的系統(tǒng)為windows98����、windows2000�、windowsXP、linux��、solaris ���;所述的數(shù)據(jù)存儲(chǔ)機(jī)6為多臺并聯(lián)����。被取證機(jī)I是要進(jìn)行取證的計(jì)算機(jī)�,在其上裝有收集系統(tǒng)信息的軟件模塊,通過網(wǎng)絡(luò)以實(shí)時(shí)的方式將日志信息發(fā)往網(wǎng)絡(luò)取證機(jī)�����;網(wǎng)絡(luò)取證機(jī)5主要進(jìn)行取證數(shù)據(jù)的過濾轉(zhuǎn)發(fā)�,取證的數(shù)據(jù)包括網(wǎng)絡(luò)數(shù)據(jù)流和被取證機(jī)發(fā)送來的日志信息,取證機(jī)所用的開發(fā)板為Radisys ENP2611, ENP2611是基于IXP2400芯片的網(wǎng)絡(luò)處理器板卡���,提供了使用IXP2400開發(fā)網(wǎng)絡(luò)設(shè)備的板卡支持環(huán)境���、開發(fā)的軟件環(huán)境和其他相關(guān)功能;數(shù)據(jù)存儲(chǔ)機(jī)6通過千兆交換機(jī)與前端網(wǎng)絡(luò)取證機(jī)相連�,獲取網(wǎng)絡(luò)取證機(jī)5分發(fā)下來網(wǎng)絡(luò)數(shù)據(jù),利用數(shù)據(jù)鏈路層分組捕獲機(jī)制快速的獲取網(wǎng)絡(luò)數(shù)據(jù)包���,把數(shù)據(jù)包存儲(chǔ)到本地磁盤文件中����;網(wǎng)絡(luò)取證分析機(jī)7對網(wǎng)絡(luò)取證機(jī)獲取的數(shù)據(jù)進(jìn)行取證分析,分析的結(jié)果形成網(wǎng)絡(luò)取證分析記錄���。如圖2所示����,高速數(shù)據(jù)包采集微模塊將接收數(shù)據(jù)包放入大小為8K的RBUF��,在網(wǎng)絡(luò)接口上接收微包Mpacket���,并將多個(gè)Mpacket重組到完整的Packet����。本技術(shù)引入“線程間信號機(jī)制”和“接收狀態(tài)數(shù)組”����,IXP2400內(nèi)部提供的“線程間信號機(jī)制”有利于控制8個(gè)線程之間的協(xié)同工作。首先�,為每個(gè)線程分配一個(gè)時(shí)隙號,時(shí)隙按照固定的順序來安排,每個(gè)線程都由上一線程通過信號機(jī)制喚醒才開始工作��。這就使8個(gè)線程的“起始時(shí)間”保持嚴(yán)格的時(shí)序關(guān)系����。另外�,建立一個(gè)“接收狀態(tài)數(shù)組”,數(shù)組有8個(gè)元素����,每個(gè)元素對應(yīng)一個(gè)線程接收Mpacket的狀況。數(shù)組元素的值由相應(yīng)的線程負(fù)責(zé)更新�����。接收狀態(tài)數(shù)組作為線程間的通信機(jī)制��。要求每個(gè)線程在工作結(jié)束之前查詢前一線程的數(shù)組元素是否更新�����,線程必須等到該元素更新后�����,才允許更新自己的數(shù)組元素并結(jié)束工作。這樣又保證了各線程“結(jié)束時(shí)間”的順序性�。可見�,“線程間信號機(jī)制”和“接收狀態(tài)數(shù)組”共同保證了同一幀內(nèi)Mpacket的次序不會(huì)混亂。數(shù)據(jù)包采集模塊流程如圖2所示���。速數(shù)據(jù)包采集微模塊首先更改數(shù)據(jù)包描述符中包的偏移量和包大小字段來先移除數(shù)據(jù)包的以太網(wǎng)鏈路層報(bào)頭����,提供IP數(shù)據(jù)幀�����?�?梢詫?shí)現(xiàn)對以太網(wǎng)報(bào)頭中MAC地址的過濾��,除去以太網(wǎng)報(bào)頭后�,該模塊將包進(jìn)行分類,正常的IPV4數(shù)據(jù)包將被IP統(tǒng)計(jì)模塊進(jìn)行下一步的處理����,丟棄IPV6和MPLS的數(shù)據(jù)包。IP統(tǒng)計(jì)功能主要負(fù)責(zé)記錄各IP的統(tǒng)計(jì)信息(包括其發(fā)送和接收的各協(xié)議的包數(shù)�、字節(jié)數(shù))。該模塊和以太網(wǎng)解包、分類����、過濾微模塊一起運(yùn)行在4個(gè)微引擎上。該模塊的控制部分運(yùn)行在XScale上�����,將統(tǒng)計(jì)數(shù)據(jù)通過網(wǎng)絡(luò)發(fā)送給遠(yuǎn)方PC機(jī)����;PC機(jī)上的管理層面負(fù)責(zé)將統(tǒng)計(jì)數(shù)據(jù)導(dǎo)入數(shù)據(jù)庫����。IP統(tǒng)計(jì)微模塊中主要的數(shù)據(jù)結(jié)構(gòu)是IP統(tǒng)計(jì)項(xiàng),它主要包括HASH鏈的指針���、IP地址及其相應(yīng)的統(tǒng)計(jì)信息(如包數(shù)�����、字節(jié)數(shù)等)��。當(dāng)一個(gè)新包到達(dá)時(shí)��,首先查找新包對應(yīng)IP統(tǒng)計(jì)項(xiàng)����。為了加快查找速度,引入HASH表結(jié)構(gòu)�����,HASH值計(jì)算方法如下假設(shè)待統(tǒng)計(jì)的32位IP地址SI. S2. S3. S4���,其中S1����、S2����、S3、S4各占一個(gè)字節(jié)�����;16位HASH鍵值為H1.H2��,H1����、H2各占一個(gè)字節(jié)��。則H1=S1~S3��,H2=S2~S4��,其中“八”為異或操作����。使用HASH表時(shí)���,HASH沖突數(shù)(即具有相同HASH值的不同IP地址數(shù))是影響查找速度的關(guān)鍵,因?yàn)橛卸鄠€(gè)線程同時(shí)對HASH表進(jìn)行查找����、更新,必須使用同步機(jī)制進(jìn)行有效的保護(hù)���。同時(shí)引入讀寫鎖�����,使得同一 HASH鏈上的連接可以被多個(gè)線程讀��,但只能被一個(gè)線程寫����。每個(gè)HASH鏈都有一個(gè)讀寫鎖進(jìn)行保護(hù),查找代碼計(jì)算出HASH鍵值后���,查找對應(yīng)的HASH鏈�����,如果HASH鏈中有與新到包IP地址相同的連接項(xiàng)�����,則更新其相應(yīng)的統(tǒng)計(jì)量����;否則�����,·分配新的IP統(tǒng)計(jì)進(jìn)行統(tǒng)計(jì)�����。地址更新設(shè)計(jì)本技術(shù)采用一種數(shù)據(jù)分流的方式,利用負(fù)載均衡來實(shí)現(xiàn)對網(wǎng)絡(luò)流量進(jìn)行分流��,將網(wǎng)絡(luò)流量按照一定的規(guī)則進(jìn)行分割���,劃分成若干小的數(shù)據(jù)流分發(fā)至的取證分析機(jī)��。MAC地址更新微模塊接收負(fù)載均衡模塊傳來的以太網(wǎng)包和檢測機(jī)器號�����,將以太包封裝上新的MAC地址(經(jīng)分流規(guī)則所選的取證機(jī)的MAC地址)�����,它運(yùn)行在一個(gè)獨(dú)立的微引擎上���,其控制部分運(yùn)行在XScale上���,可以對取證機(jī)的MAC地址進(jìn)行配置���。為了達(dá)到更好的性能,DRAM中舊的以太網(wǎng)MAC地址和SRAM中新的以太網(wǎng)MAC地址將同時(shí)讀取��,即使用訪存重疊技術(shù)。由一個(gè)線程首先發(fā)出DRAM讀請求�����,而后不等DRAM讀請求完成����,繼續(xù)發(fā)出SRAM讀請求。接著等待兩個(gè)請求完成�,如圖3所示,這樣處理充分利用IXP2400分割事務(wù)總線����,不僅利用存儲(chǔ)系統(tǒng)的并行性提高存儲(chǔ)系統(tǒng)利用率,同時(shí)也減少了微引擎的等待時(shí)間�,從而提高了整個(gè)系統(tǒng)的性能。Packet發(fā)送模塊在網(wǎng)絡(luò)接口上傳輸數(shù)據(jù)包����,將每個(gè)數(shù)據(jù)包分為Mpacket,并將它們移動(dòng)到TBuf��,然后由MSF進(jìn)行傳輸��。當(dāng)TBuf中的數(shù)據(jù)包數(shù)量超過端口的TBuf門限時(shí)�����,停止向該端口發(fā)送數(shù)據(jù)包。
權(quán)利要求1.千兆網(wǎng)絡(luò)入侵取證分析系統(tǒng)�����,其特征在干包括被取證機(jī)(I)連接的第一交換機(jī)(2)����,第一交換機(jī)(2)連接網(wǎng)絡(luò)取證機(jī)(5),網(wǎng)絡(luò)取證機(jī)(5)連接第二交換機(jī)(4)��,第二交換機(jī)連接數(shù)據(jù)存儲(chǔ)機(jī)(6 )����,數(shù)據(jù)存儲(chǔ)機(jī)(6 )連接網(wǎng)絡(luò)取證分析機(jī)(7 )。
2.根據(jù)權(quán)利要求I所示的千兆網(wǎng)絡(luò)入侵取證分析系統(tǒng)��,其特征在于所述的第一交換機(jī)(2)通過路由器(3)連接Internet�。
3.根據(jù)權(quán)利要求I所示的千兆網(wǎng)絡(luò)入侵取證分析系統(tǒng),其特征在于所述的被取證機(jī)(I)可以為多臺并聯(lián)�,米用的系統(tǒng)為windows98����、windows2000���、windowsXP、Iinux��、so laris���。
4.根據(jù)權(quán)利要求I所示的千兆網(wǎng)絡(luò)入侵取證分析系統(tǒng)��,其特征在于所述的數(shù)據(jù)存儲(chǔ)機(jī)(6)為多臺并聯(lián)�����。
專利摘要本實(shí)用新型公開了一種千兆網(wǎng)絡(luò)入侵取證分析系統(tǒng)�,包括被取證機(jī)(1)連接的第一交換機(jī)(2)�,第一交換機(jī)(2)連接網(wǎng)絡(luò)取證機(jī)(5),網(wǎng)絡(luò)取證機(jī)(5)連接第二交換機(jī)(4)���,第二交換機(jī)連接數(shù)據(jù)存儲(chǔ)機(jī)(6)����,數(shù)據(jù)存儲(chǔ)機(jī)(6)連接網(wǎng)絡(luò)取證分析機(jī)(7)�����;所述的第一交換機(jī)(2)通過路由器(3)連接Internet。實(shí)用新型涉及基于NetworkProcessor的千兆網(wǎng)絡(luò)取證系統(tǒng)數(shù)據(jù)包轉(zhuǎn)發(fā)技術(shù)的改進(jìn)�,該技術(shù)先進(jìn)性在于針對在高速網(wǎng)絡(luò)環(huán)境下,為了使網(wǎng)絡(luò)入侵取證系統(tǒng)(NIFS)對數(shù)據(jù)包過濾分析處理達(dá)到線速�,通過對現(xiàn)有網(wǎng)絡(luò)入侵取證系統(tǒng)的體系結(jié)構(gòu)進(jìn)行重新設(shè)計(jì),提出了采用網(wǎng)絡(luò)處理器在網(wǎng)絡(luò)底層實(shí)現(xiàn)數(shù)據(jù)的采集�����、過濾��、轉(zhuǎn)發(fā)�,提高了NIFS的運(yùn)行速度和效率,較好地適應(yīng)高速網(wǎng)絡(luò)環(huán)境下的入侵取證分析���。
文檔編號H04L29/06GK202535393SQ20122020924
公開日2012年11月14日 申請日期2012年5月11日 優(yōu)先權(quán)日2012年5月11日
發(fā)明者王獻(xiàn)榮, 蘇小玲, 陳亮 申請人:河南工業(yè)大學(xué)