一種用于大規(guī)模移動互聯(lián)核心網絡的取證系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明涉及大規(guī)模移動互聯(lián)核心網絡技術領域，尤其涉及一種用于大規(guī)模移動互聯(lián)核心網絡的取證系統(tǒng)。
【背景技術】
[0002]隨著互聯(lián)網絡在世界范圍內的蓬勃發(fā)展，如何保證網絡的安全可靠已是當前國內外相關機構研宄的重點。而隨著移動互聯(lián)網的快速發(fā)展，使得我們需要面對的不僅是傳統(tǒng)固網的安全威脅，來自移動互聯(lián)網的安全隱患也正不斷地向我們發(fā)出挑戰(zhàn)。在移動互聯(lián)網領域，隨著移動終端的不斷普及，以往許多只在固網互聯(lián)網絡中發(fā)生的安全事件正不斷地向移動互聯(lián)網絡中蔓延，針對移動互聯(lián)網用戶的攻擊手段正呈現(xiàn)出層出不窮的趨勢。因此國內外的互聯(lián)網安全機構紛紛在移動核心網鏈路上架設專用的入侵檢測系統(tǒng)(Intrus1nDetect1n System, IDS)進行用戶網絡行為的檢測，以期快速發(fā)現(xiàn)網絡攻擊行為。
[0003]互聯(lián)網取證是對互聯(lián)網信息進行取證和過濾，對危害國家安全、發(fā)布影響社會穩(wěn)定的信息進行阻斷和記錄，對訪問境外危險站點進行阻斷的網絡控制過程。但隨著網絡傳輸和光通信技術的發(fā)展，移動終端用戶的增長給網絡取證帶來了不少難題。首先是鏈路帶寬的迅猛增加給網絡取證帶來了巨大的挑戰(zhàn)，根據(jù)市場研宄公司Chetan SharmaConsulting在2012年初發(fā)布統(tǒng)計數(shù)據(jù)顯示，中國手機用戶將于3月3日突破10億大關；其次是高峰期時網絡取證設備所承受的流量沖擊越來越大，根據(jù)數(shù)據(jù)顯示將可能承受1Gbps以上的流量沖擊。而隨著國內移動互聯(lián)網絡的不斷發(fā)展以及運營商對于核心網鏈路的升級，上述鏈路帶寬以及流量沖擊數(shù)據(jù)勢必還會進一步增加。同時由于移動核心網分組域鏈路的報文結構較一般骨干網鏈路更為復雜，這也進一步的增加了網絡取證的難度。
[0004]移動互聯(lián)網鏈路具有特有的PPP (Point-to-PointProtocol，點對點協(xié)議)報文轉義格式，PPP接入用戶和寬帶接入服務器都需要對PPP報文進行解封裝，對于PPP接入用戶來說，由于帶寬一般較小，所以PPP解封裝對終端性能影響不大，但是由于寬帶接入服務器匯聚了用戶的所有數(shù)據(jù)流，它必須將每一個PPP報文都拆開檢查處理，即PPP轉義和反轉義均需要掃描整個報文，因此時間開銷巨大，一旦用戶很多、數(shù)據(jù)包數(shù)量很大時，則解封裝速度就需要很快。
[0005]對于網絡取證系統(tǒng)，國內外已經進行了大量的研宄和實現(xiàn)。但其中絕大部分設備所部署的節(jié)點只能面向較小的互聯(lián)網范圍，且系統(tǒng)本身的處理性能受限于較為單一的純CPU處理結構，性能不足以應對較大規(guī)模的互聯(lián)網環(huán)境。在傳統(tǒng)的TCP/IP固網領域，根據(jù)吉爾德(Gilder)定律的描述可知，網絡帶寬將以每6個月提高一倍的速度持續(xù)增長，根據(jù)摩爾定律所預測的CPU主頻的增長速率則每18個月翻番，因而傳統(tǒng)的網絡取證系統(tǒng)主要存在以下問題:
[0006]I)由于數(shù)據(jù)捕獲和分析能力的不足，會造成大量信息丟失，取證效果不如人意；
[0007]2)由于是基于CPU的純軟件處理結構，因而在大規(guī)模高速流量環(huán)境下將遇到性能瓶頸，一方面無法承擔高速骨干網鏈路下日益增長的網絡帶寬、CPU主頻的數(shù)據(jù)處理任務，無法快速完成移動互聯(lián)核心網絡中的PPP報文解封裝，也無法應對骨干網絡的龐大流量沖擊；另一方面，只能應用部署于小范圍的內網系統(tǒng)中，面向對象單一、靈活性不足；

【發(fā)明內容】

[0008]本發(fā)明要解決的技術問題就在于:針對現(xiàn)有技術存在的技術問題，本發(fā)明提供一種結構簡單緊湊、能夠實現(xiàn)大規(guī)模移動互聯(lián)核心網絡中的取證、且取證效率高及應用靈活的用于大規(guī)模移動互聯(lián)核心網絡的取證系統(tǒng)。
[0009]為解決上述技術問題，本發(fā)明提出的技術方案為:
[0010]一種用于大規(guī)模移動互聯(lián)核心網絡的取證系統(tǒng)，包括用于采集大規(guī)模移動互聯(lián)核心網絡中的證據(jù)報文并進行預處理得到原始證據(jù)報文的第一級處理單元、用于對所述原始證據(jù)報文進行還原處理的第二級處理單元以及控制交換單元，所述第一級處理單元通過控制交換單元連接所述第二級處理單元；所述第一級處理單元得到的原始證據(jù)報文通過所述控制交換單元發(fā)送至所述第二級處理單元，所述第二級處理單元還原處理得到的證據(jù)報文再通過所述控制交換單元、所述第一級處理單元轉發(fā)至對應終端。
[0011]作為本發(fā)明的進一步改進:所述第一級處理單元包括依次連接的采集模塊、高速預處理模塊以及規(guī)則匹配轉發(fā)模塊，所述采集模塊用于采集大規(guī)?；ヂ?lián)網絡中的證據(jù)報文，輸出至所述高速預處理模塊；所述高速預處理模塊采用FPGA將采集得到的所述證據(jù)報文進行預處理，得到原始證據(jù)報文；所述規(guī)則匹配轉發(fā)模塊用于將所述原始證據(jù)報文按照預設規(guī)則轉發(fā)至控制交換單元或對應終端。
[0012]作為本發(fā)明的進一步改進:所述第二級處理單元包括檢測判別模塊以及深度處理模塊，所述檢測判別模塊用于接收所述控制交換單元發(fā)送的原始證據(jù)報文，并判斷所述原始證據(jù)報文是否需要直接輸出，若為是，直接將所述原始證據(jù)報文輸出回所述控制交換單元，若為否，將所述原始證據(jù)報文發(fā)送至深度處理模塊進行還原處理，得到還原后的證據(jù)報文并發(fā)送回所述控制交換單元。
[0013]作為本發(fā)明的進一步改進:所述深度處理模塊采用多核處理器芯片。
[0014]作為本發(fā)明的進一步改進:所述深度處理模塊包括用于對原始證據(jù)報文進行還原處理的還原報文模塊以及異常檢測模塊；所述異常檢測模塊用于對所述原始證據(jù)報文進行異常流量檢測，輸出異常檢測結果。
[0015]作為本發(fā)明的進一步改進:還包括續(xù)傳處理單元，所述續(xù)傳處理單元與第一級處理單元并聯(lián)連接；當需要對網絡中異常流量進行控制時啟動所述續(xù)傳處理單元并斷開所述第一級處理單元，通過所述續(xù)傳處理單元接入大規(guī)模移動互聯(lián)網絡中證據(jù)報文，并根據(jù)指定的續(xù)傳規(guī)則對接入的所述證據(jù)報文進行匹配，再根據(jù)匹配結果控制接入的證據(jù)報文執(zhí)行續(xù)傳或阻斷、劣化。
[0016]作為本發(fā)明的進一步改進:所述控制交換單元包括主控模塊以及交換模塊，所述主控模塊用于接收控制指令并根據(jù)所述控制指令控制所述第一級處理單元、第二級處理單元；所述交換模塊用于進行所述第一級處理單元、第二級處理單元之間的數(shù)據(jù)轉發(fā)。
[0017]與現(xiàn)有技術相比，本發(fā)明的優(yōu)點在于:
[0018]I)本發(fā)明針對大規(guī)模移動互聯(lián)核心網絡的特點，通過第一級處理單元進行數(shù)據(jù)證據(jù)報文的線速采集以及預處理、第二級處理單元進行報文還原，并由控制交換單元進行轉發(fā)控制，從而將處理起來簡單但重復率高的采集及預處理操作分配到第一級處理單元上，同時將處理起來復雜但重復率低的還原操作分配到第二級處理單元上，使得系統(tǒng)的整體取證性能大大提高，能夠滿足模移動互聯(lián)核心網絡下的取證需求，同時實現(xiàn)高效的取證。
[0019]2)本發(fā)明針對移動互聯(lián)核心網報文特有的PPP報文轉義格式，將第一級處理單元中進一步采用FPGA實現(xiàn)，充分利用了 FPGA高效處理流水化的特點進行高速預處理，相比傳統(tǒng)的基于CPU處理方法能夠極大地提高處理效率。
[0020]3)本發(fā)明進一步包括續(xù)傳處理單元，配合第二級處理單元的異常流量檢測功能實現(xiàn)在設備的串接模式下對異常網絡流量的阻斷和清洗，從而保護網絡環(huán)境的正常運行。
【附圖說明】
[0021]圖1是本實施例一種用于大規(guī)模網絡的取證系統(tǒng)的實現(xiàn)流程示意圖。
[0022]圖2是本實施例中第一級處理單元的實現(xiàn)原理示意圖。
[0023]圖3是本實施例中第二級處理單元的結構原理示意圖。
[0024]圖4是本實施例中續(xù)傳處理單元的實現(xiàn)原理示意圖。
[0025]圖5是本實施例中控制交換單元的結構原理示意圖。
[0026]圖6是本實施例中取證系統(tǒng)采用串接方式的接入原理示意