一種用于大規(guī)模移動(dòng)互聯(lián)核心網(wǎng)絡(luò)的取證系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及大規(guī)模移動(dòng)互聯(lián)核心網(wǎng)絡(luò)技術(shù)領(lǐng)域，尤其涉及一種用于大規(guī)模移動(dòng)互聯(lián)核心網(wǎng)絡(luò)的取證系統(tǒng)。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)絡(luò)在世界范圍內(nèi)的蓬勃發(fā)展，如何保證網(wǎng)絡(luò)的安全可靠已是當(dāng)前國(guó)內(nèi)外相關(guān)機(jī)構(gòu)研宄的重點(diǎn)。而隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，使得我們需要面對(duì)的不僅是傳統(tǒng)固網(wǎng)的安全威脅，來(lái)自移動(dòng)互聯(lián)網(wǎng)的安全隱患也正不斷地向我們發(fā)出挑戰(zhàn)。在移動(dòng)互聯(lián)網(wǎng)領(lǐng)域，隨著移動(dòng)終端的不斷普及，以往許多只在固網(wǎng)互聯(lián)網(wǎng)絡(luò)中發(fā)生的安全事件正不斷地向移動(dòng)互聯(lián)網(wǎng)絡(luò)中蔓延，針對(duì)移動(dòng)互聯(lián)網(wǎng)用戶的攻擊手段正呈現(xiàn)出層出不窮的趨勢(shì)。因此國(guó)內(nèi)外的互聯(lián)網(wǎng)安全機(jī)構(gòu)紛紛在移動(dòng)核心網(wǎng)鏈路上架設(shè)專(zhuān)用的入侵檢測(cè)系統(tǒng)(Intrus1nDetect1n System, IDS)進(jìn)行用戶網(wǎng)絡(luò)行為的檢測(cè)，以期快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為。
[0003]互聯(lián)網(wǎng)取證是對(duì)互聯(lián)網(wǎng)信息進(jìn)行取證和過(guò)濾，對(duì)危害國(guó)家安全、發(fā)布影響社會(huì)穩(wěn)定的信息進(jìn)行阻斷和記錄，對(duì)訪問(wèn)境外危險(xiǎn)站點(diǎn)進(jìn)行阻斷的網(wǎng)絡(luò)控制過(guò)程。但隨著網(wǎng)絡(luò)傳輸和光通信技術(shù)的發(fā)展，移動(dòng)終端用戶的增長(zhǎng)給網(wǎng)絡(luò)取證帶來(lái)了不少難題。首先是鏈路帶寬的迅猛增加給網(wǎng)絡(luò)取證帶來(lái)了巨大的挑戰(zhàn)，根據(jù)市場(chǎng)研宄公司Chetan SharmaConsulting在2012年初發(fā)布統(tǒng)計(jì)數(shù)據(jù)顯示，中國(guó)手機(jī)用戶將于3月3日突破10億大關(guān)；其次是高峰期時(shí)網(wǎng)絡(luò)取證設(shè)備所承受的流量沖擊越來(lái)越大，根據(jù)數(shù)據(jù)顯示將可能承受1Gbps以上的流量沖擊。而隨著國(guó)內(nèi)移動(dòng)互聯(lián)網(wǎng)絡(luò)的不斷發(fā)展以及運(yùn)營(yíng)商對(duì)于核心網(wǎng)鏈路的升級(jí)，上述鏈路帶寬以及流量沖擊數(shù)據(jù)勢(shì)必還會(huì)進(jìn)一步增加。同時(shí)由于移動(dòng)核心網(wǎng)分組域鏈路的報(bào)文結(jié)構(gòu)較一般骨干網(wǎng)鏈路更為復(fù)雜，這也進(jìn)一步的增加了網(wǎng)絡(luò)取證的難度。
[0004]移動(dòng)互聯(lián)網(wǎng)鏈路具有特有的PPP (Point-to-PointProtocol，點(diǎn)對(duì)點(diǎn)協(xié)議)報(bào)文轉(zhuǎn)義格式，PPP接入用戶和寬帶接入服務(wù)器都需要對(duì)PPP報(bào)文進(jìn)行解封裝，對(duì)于PPP接入用戶來(lái)說(shuō)，由于帶寬一般較小，所以PPP解封裝對(duì)終端性能影響不大，但是由于寬帶接入服務(wù)器匯聚了用戶的所有數(shù)據(jù)流，它必須將每一個(gè)PPP報(bào)文都拆開(kāi)檢查處理，即PPP轉(zhuǎn)義和反轉(zhuǎn)義均需要掃描整個(gè)報(bào)文，因此時(shí)間開(kāi)銷(xiāo)巨大，一旦用戶很多、數(shù)據(jù)包數(shù)量很大時(shí)，則解封裝速度就需要很快。
[0005]對(duì)于網(wǎng)絡(luò)取證系統(tǒng)，國(guó)內(nèi)外已經(jīng)進(jìn)行了大量的研宄和實(shí)現(xiàn)。但其中絕大部分設(shè)備所部署的節(jié)點(diǎn)只能面向較小的互聯(lián)網(wǎng)范圍，且系統(tǒng)本身的處理性能受限于較為單一的純CPU處理結(jié)構(gòu)，性能不足以應(yīng)對(duì)較大規(guī)模的互聯(lián)網(wǎng)環(huán)境。在傳統(tǒng)的TCP/IP固網(wǎng)領(lǐng)域，根據(jù)吉爾德(Gilder)定律的描述可知，網(wǎng)絡(luò)帶寬將以每6個(gè)月提高一倍的速度持續(xù)增長(zhǎng)，根據(jù)摩爾定律所預(yù)測(cè)的CPU主頻的增長(zhǎng)速率則每18個(gè)月翻番，因而傳統(tǒng)的網(wǎng)絡(luò)取證系統(tǒng)主要存在以下問(wèn)題:
[0006]I)由于數(shù)據(jù)捕獲和分析能力的不足，會(huì)造成大量信息丟失，取證效果不如人意；
[0007]2)由于是基于CPU的純軟件處理結(jié)構(gòu)，因而在大規(guī)模高速流量環(huán)境下將遇到性能瓶頸，一方面無(wú)法承擔(dān)高速骨干網(wǎng)鏈路下日益增長(zhǎng)的網(wǎng)絡(luò)帶寬、CPU主頻的數(shù)據(jù)處理任務(wù)，無(wú)法快速完成移動(dòng)互聯(lián)核心網(wǎng)絡(luò)中的PPP報(bào)文解封裝，也無(wú)法應(yīng)對(duì)骨干網(wǎng)絡(luò)的龐大流量沖擊；另一方面，只能應(yīng)用部署于小范圍的內(nèi)網(wǎng)系統(tǒng)中，面向?qū)ο髥我?、靈活性不足；

【發(fā)明內(nèi)容】

[0008]本發(fā)明要解決的技術(shù)問(wèn)題就在于:針對(duì)現(xiàn)有技術(shù)存在的技術(shù)問(wèn)題，本發(fā)明提供一種結(jié)構(gòu)簡(jiǎn)單緊湊、能夠?qū)崿F(xiàn)大規(guī)模移動(dòng)互聯(lián)核心網(wǎng)絡(luò)中的取證、且取證效率高及應(yīng)用靈活的用于大規(guī)模移動(dòng)互聯(lián)核心網(wǎng)絡(luò)的取證系統(tǒng)。
[0009]為解決上述技術(shù)問(wèn)題，本發(fā)明提出的技術(shù)方案為:
[0010]一種用于大規(guī)模移動(dòng)互聯(lián)核心網(wǎng)絡(luò)的取證系統(tǒng)，包括用于采集大規(guī)模移動(dòng)互聯(lián)核心網(wǎng)絡(luò)中的證據(jù)報(bào)文并進(jìn)行預(yù)處理得到原始證據(jù)報(bào)文的第一級(jí)處理單元、用于對(duì)所述原始證據(jù)報(bào)文進(jìn)行還原處理的第二級(jí)處理單元以及控制交換單元，所述第一級(jí)處理單元通過(guò)控制交換單元連接所述第二級(jí)處理單元；所述第一級(jí)處理單元得到的原始證據(jù)報(bào)文通過(guò)所述控制交換單元發(fā)送至所述第二級(jí)處理單元，所述第二級(jí)處理單元還原處理得到的證據(jù)報(bào)文再通過(guò)所述控制交換單元、所述第一級(jí)處理單元轉(zhuǎn)發(fā)至對(duì)應(yīng)終端。
[0011]作為本發(fā)明的進(jìn)一步改進(jìn):所述第一級(jí)處理單元包括依次連接的采集模塊、高速預(yù)處理模塊以及規(guī)則匹配轉(zhuǎn)發(fā)模塊，所述采集模塊用于采集大規(guī)?；ヂ?lián)網(wǎng)絡(luò)中的證據(jù)報(bào)文，輸出至所述高速預(yù)處理模塊；所述高速預(yù)處理模塊采用FPGA將采集得到的所述證據(jù)報(bào)文進(jìn)行預(yù)處理，得到原始證據(jù)報(bào)文；所述規(guī)則匹配轉(zhuǎn)發(fā)模塊用于將所述原始證據(jù)報(bào)文按照預(yù)設(shè)規(guī)則轉(zhuǎn)發(fā)至控制交換單元或?qū)?yīng)終端。
[0012]作為本發(fā)明的進(jìn)一步改進(jìn):所述第二級(jí)處理單元包括檢測(cè)判別模塊以及深度處理模塊，所述檢測(cè)判別模塊用于接收所述控制交換單元發(fā)送的原始證據(jù)報(bào)文，并判斷所述原始證據(jù)報(bào)文是否需要直接輸出，若為是，直接將所述原始證據(jù)報(bào)文輸出回所述控制交換單元，若為否，將所述原始證據(jù)報(bào)文發(fā)送至深度處理模塊進(jìn)行還原處理，得到還原后的證據(jù)報(bào)文并發(fā)送回所述控制交換單元。
[0013]作為本發(fā)明的進(jìn)一步改進(jìn):所述深度處理模塊采用多核處理器芯片。
[0014]作為本發(fā)明的進(jìn)一步改進(jìn):所述深度處理模塊包括用于對(duì)原始證據(jù)報(bào)文進(jìn)行還原處理的還原報(bào)文模塊以及異常檢測(cè)模塊；所述異常檢測(cè)模塊用于對(duì)所述原始證據(jù)報(bào)文進(jìn)行異常流量檢測(cè)，輸出異常檢測(cè)結(jié)果。
[0015]作為本發(fā)明的進(jìn)一步改進(jìn):還包括續(xù)傳處理單元，所述續(xù)傳處理單元與第一級(jí)處理單元并聯(lián)連接；當(dāng)需要對(duì)網(wǎng)絡(luò)中異常流量進(jìn)行控制時(shí)啟動(dòng)所述續(xù)傳處理單元并斷開(kāi)所述第一級(jí)處理單元，通過(guò)所述續(xù)傳處理單元接入大規(guī)模移動(dòng)互聯(lián)網(wǎng)絡(luò)中證據(jù)報(bào)文，并根據(jù)指定的續(xù)傳規(guī)則對(duì)接入的所述證據(jù)報(bào)文進(jìn)行匹配，再根據(jù)匹配結(jié)果控制接入的證據(jù)報(bào)文執(zhí)行續(xù)傳或阻斷、劣化。
[0016]作為本發(fā)明的進(jìn)一步改進(jìn):所述控制交換單元包括主控模塊以及交換模塊，所述主控模塊用于接收控制指令并根據(jù)所述控制指令控制所述第一級(jí)處理單元、第二級(jí)處理單元；所述交換模塊用于進(jìn)行所述第一級(jí)處理單元、第二級(jí)處理單元之間的數(shù)據(jù)轉(zhuǎn)發(fā)。
[0017]與現(xiàn)有技術(shù)相比，本發(fā)明的優(yōu)點(diǎn)在于:
[0018]I)本發(fā)明針對(duì)大規(guī)模移動(dòng)互聯(lián)核心網(wǎng)絡(luò)的特點(diǎn)，通過(guò)第一級(jí)處理單元進(jìn)行數(shù)據(jù)證據(jù)報(bào)文的線速采集以及預(yù)處理、第二級(jí)處理單元進(jìn)行報(bào)文還原，并由控制交換單元進(jìn)行轉(zhuǎn)發(fā)控制，從而將處理起來(lái)簡(jiǎn)單但重復(fù)率高的采集及預(yù)處理操作分配到第一級(jí)處理單元上，同時(shí)將處理起來(lái)復(fù)雜但重復(fù)率低的還原操作分配到第二級(jí)處理單元上，使得系統(tǒng)的整體取證性能大大提高，能夠滿足模移動(dòng)互聯(lián)核心網(wǎng)絡(luò)下的取證需求，同時(shí)實(shí)現(xiàn)高效的取證。
[0019]2)本發(fā)明針對(duì)移動(dòng)互聯(lián)核心網(wǎng)報(bào)文特有的PPP報(bào)文轉(zhuǎn)義格式，將第一級(jí)處理單元中進(jìn)一步采用FPGA實(shí)現(xiàn)，充分利用了 FPGA高效處理流水化的特點(diǎn)進(jìn)行高速預(yù)處理，相比傳統(tǒng)的基于CPU處理方法能夠極大地提高處理效率。
[0020]3)本發(fā)明進(jìn)一步包括續(xù)傳處理單元，配合第二級(jí)處理單元的異常流量檢測(cè)功能實(shí)現(xiàn)在設(shè)備的串接模式下對(duì)異常網(wǎng)絡(luò)流量的阻斷和清洗，從而保護(hù)網(wǎng)絡(luò)環(huán)境的正常運(yùn)行。
【附圖說(shuō)明】
[0021]圖1是本實(shí)施例一種用于大規(guī)模網(wǎng)絡(luò)的取證系統(tǒng)的實(shí)現(xiàn)流程示意圖。
[0022]圖2是本實(shí)施例中第一級(jí)處理單元的實(shí)現(xiàn)原理示意圖。
[0023]圖3是本實(shí)施例中第二級(jí)處理單元的結(jié)構(gòu)原理示意圖。
[0024]圖4是本實(shí)施例中續(xù)傳處理單元的實(shí)現(xiàn)原理示意圖。
[0025]圖5是本實(shí)施例中控制交換單元的結(jié)構(gòu)原理示意圖。
[0026]圖6是本實(shí)施例中取證系統(tǒng)采用串接方式的接入原理示意