专利名称:一种高带宽VoIP检测系统的制作方法
技术领域:
本发明一种高带宽VoIP检测系统,属于网络安全产品中的检测技术领域。
背景技术:
目前入侵检测系统的一个发展趋势是分布式和并行处理架构,其基本思路是通过网络负载均衡技术,将大流量、高速率的网络数据流分解为多个小流量、低速率的网络数据流,以满足现有检测系统的网络数据包接收和处理能力。如表I总结了已有VoIP检测系统的现状,如何为 现有的VoIP网络防护关键技术提供一个可以应用的可扩展系统将成为研究的重点。表I
首次公开时 公开后最类型解决主要安全特点
__ra__近更新___λ__
SCIDIVE 2004否论文原型系统 SIPDoS单机VbIP MDS —
SPACEDIVE 2006否论文原型系统 SIPD0S分布式VoIP NlDS—
vFDS2006否论文原型系统 "^DoS可以检测SYN、SlP
"VSD2007W论文原型系统SPITAnti-SPIT
vIDS2006S论文原型系统SIPDoS在特定实验条件下,
已知攻击100%检测
______精度,O误报率
VoIP SEAL 2OT6W论文原型系统SIPDoS基于隐式图灵机测
SPIT试的SPIT检测
~sms2008W论文原型系统SPlf基 信令行为模式
的SPIT检测
DAPES2004^论文股型系统SPff基丁·芦誉机制,
______Anti-SPIT_
Prelude-IDS 19982009开源/商业产品通Π]网络入侵分亦式NIDS
Saort 9982M2开源/商业产品通用网络入侵IflMDS
Bro19992012丌源产品通用网络入侵卞.机MDS 一
Bro-cluster 20072009丨开源产品丨通用网路入侵丨集群MDS从表I中可以看到,已有的网络防护系统主要分为两大类,一类是以Snort、Bro为代表的通用网络入侵检测系统,该类系统并没有针对VoIP网络防护的需求进行针对性设计,默认规则集覆盖的VoIP攻击种类有限,检测效率和准确度都存在不足。另一类是以SCIDIVE,vFDS为代表的VoIP网络防护系统,但这些已有的专用防护系统的可扩展性、处理能力普遍存在局限性和不足。网络处理器NP是专门为处理数据包而设计的可编程处理器,能够直接完成网络数据处理的一般性任务,其硬件大多采用多内核并行处理器体系结构,并具有专用硬件协作处理器、专用指令集、高速的I/o接口技术和总线规范,因而与通用处理器相比,网络处理器在网络大数据流处理上具有明显的优势,而和ASCI相比,具有编程方面的优势。目前对NP的利用多集中于数据分流和负载均衡,没有在NP上根据原始的数据包的协议特点做进一步的处理。
发明内容
基于上述分析,本发明提出了一种高带宽VoIP检测系统,实现对已知内容和未知内容的骚扰电话自动化的实时检测和低延迟过滤,针对语音终端用户的DoS攻击的实时自动检测,针对语音协议层的DoS攻击和畸形包攻击的自动识别和检测。该高带宽VoIP检测系统,包括网络处理器集群、在线检测分析集群、数据分析集群、事件处理代理单元、管理平台、策略中心和离线检测单元,在线检测分析集群包括DoS攻击模块、畸形包攻击模块和垃圾电话检测模块;其中策略中心的输出分别与网络处理器集群、数据分析集群、事件处理代理单元、管理平台、在线检测分析集群连接,数据分析集群分别与事件处理代理单元和在线检测分析集群连接,网络处理器集群和在线检测分析集群连接,事件处理代理单元的输出与离线检测单元连接,离线检测单元的输出与在线检测分析集群连接;网络处理器集群接收来自网络的原始数据包,丢弃非VoIP协议的数据包,将数据流分为信令流和媒体流两部分,其中的信令流根据负载均衡的情况送往在线检测分析集群·中的DoS攻击模块和畸形包攻击检测模块中,媒体流根据负载均衡的情况送往垃圾电话检测模块中;在线检测分析集群接收网络处理器集群预处理后的信令流和媒体流的数据包,根据已知的规则集实时的处理数据包,并将处理后的报警信息发给数据分析集群;数据分析集群将在线检测分析集群的报警信息进行处理,将同一次攻击的报警信息合并在一起,发往事件处理代理单元;事件处理代理单元接收来自数据分析集群的综合结果,根据来自策略中心的策略,对攻击事件进行相应的阻断,同时将无法关联的异常模式送往离线检测单元进行进一步的处理;管理平台接收来自策略中心的策略配置和管理信息,显示为可视化的管理界面,供管理员使用;策略中心将策略配置和管理信息发往到网络处理器集群、在线检测分析集群、数据分析集群、事件处理代理和管理平台;离线检测单元处理来自事件处理代理无法关联的异常模式,利用数据挖掘的算法得到新的检测规则,并将这些规则更新到在线检测分析集群的规则集中。所述的在线检测分析集群通过增加其中用于检测的检测单元数量来提高在线检测效率。所述的垃圾电话的攻击检测中包括在线处理和离线处理两个部分。本发明的有益效果本发明采用了流量分配和攻击检测模块分离的结构,率先提出了在网络处理器NP中完成流量识别和负载均衡的方法,使得只通过简单的增加检测模块,就能提高检测效率。
图I为本发明高带宽VoIP检测系统结构框图;图2为媒体流数据包预处理流程图。
具体实施例方式如图I所示,本发明的高带宽VoIP检测系统,包括网络处理器集群、数据分析集群、事件处理代理单元、管理平台、策略中心、在线检测分析集群和离线检测单元,其中策略中心的输出分别与网络处理器集群、数据分析集群、事件处理代理单元、管理平台、在线检测分析集群连接,数据分析集群分别与事件处理代理单元和在线检测分析集群连接,网络处理器集群和在线检测分析集群连接,事件处理代理单元的输出与离线检测单元连接,离线检测单元的输出与在线检测分析集群连接。如图2所示,对于在线检测分析集群,无论是基于误用的检测,还是基于异常的检测,都需要用到模式匹配算法,区别仅仅在 于用到的模式可能是正常行为模式或是异常行为模式。这两种类型的模式特征构建都是针对的已知数据集合,当攻击者采用新的攻击手段或网络中出现了新的正常行为模式时,为了避免模式匹配算法的失败,入侵检测算法都必须要能够及时的升级模式特征库,以适应攻击和环境的变化。基于此原因,添加了面向离线处理,采用数据挖掘和机器学习技术的离线入侵检测。在线检测和离线检测对于构建一个完整的入侵和攻击检测算法来说,具有同等重要的地位。没有在线检测功能,入侵检测就变成了入侵取证。没有离线检测的支持,在线检测会随着应用时间的推移,产生大量误报和漏报。因此,在垃圾电话的攻击检测中包括了在线处理和离线处理两个部分。垃圾电话的攻击检测与DoS和畸形包攻击检测过程的不同在于(I)从网络中获取原始的数据包,由网络处理器集群完成预处理,提取出rtp语音数据包,用垃圾电话语音内容特征库匹配rtp数据包内容段(2)如果完整的数据流中的特征明显的字段与垃圾电话语音内容特征库匹配的比例达到额定值,则识别出垃圾电话攻击(3)如果特征不匹配,则将数据流的内容段写入待处理位置,之后离线模块将整条数据包还原成语音,则人工检查该语音流是否是垃圾电话( 4 )如果是垃圾电话,则将该数据流的特征存入骚扰电话语音内容特征库,完成离线学习和匹配过程。该系统包括I台Intel IXP 2400网络处理器、I台Cisco 3750交换机、10台IntelPentium4PC主机和I台IBM x365服务器。传输层流量分配设备采用网络处理器Intel IXP2400作为硬件部分的主要数据处理设备。检测设备集群由10台配有千兆以太网卡的PC机所组成,根据实际网络流量大小可以自由配置服务器的数据和PC机的比例。管理平台采用的是B/S结构的管理控制接口,管理员通过管理平台对系统中的所有功能单元进行配置和处理。事件处理代理收集数据分析集群的事件通告,并查询策略中心相应的事件响应方法,实施事件响应处理。目前系统主要的响应方法包括网络层源地址过滤、传输层源端口过滤和应用层伪装发送VoIP会话终结信令。其中网络层源地址过滤和传输层源端口过滤通过远程添加防火墙过滤规则的方法来实现。
权利要求
1.高带宽VoIP检测系统,包括网络处理器集群、在线检测分析集群、数据分析集群、事件处理代理单元、管理平台、策略中心和离线检测单元,其特征在于在线检测分析集群包括DoS攻击模块、畸形包攻击模块和垃圾电话检测模块;其中策略中心的输出分别与网络处理器集群、数据分析集群、事件处理代理单元、管理平台、在线检测分析集群连接,数据分析集群分别与事件处理代理单元和在线检测分析集群连接,网络处理器集群和在线检测分析集群连接,事件处理代理单元的输出与离线检测单元连接,离线检测单元的输出与在线检测分析集群连接; 网络处理器集群接收来自网络的原始数据包,丢弃非VoIP协议的数据包,将数据流分为信令流和媒体流两部分,其中的信令流根据负载均衡的情况送往在线检测分析集群中的DoS攻击模块和畸形包攻击检测模块中,媒体流根据负载均衡的情况送往垃圾电话检测模块中;在线检测分析集群接收网络处理器集群预处理后的信令流和媒体流的数据包,根据已知的规则集实时的处理数据包,并将处理后的报警信息发给数据分析集群;数据分析集群将在线检测分析集群的报警信息进行处理,将同一次攻击的报警信息合并在一起,发往事件处理代理单元;事件处理代理单元接收来自数据分析集群的综合结果,根据来自策略 中心的策略,对攻击事件进行相应的阻断,同时将无法关联的异常模式送往离线检测单元进行进一步的处理;管理平台接收来自策略中心的策略配置和管理信息,显示为可视化的管理界面,供管理员使用;策略中心将策略配置和管理信息发往到网络处理器集群、在线检测分析集群、数据分析集群、事件处理代理和管理平台;离线检测单元处理来自事件处理代理无法关联的异常模式,利用数据挖掘的算法得到新的检测规则,并将这些规则更新到在线检测分析集群的规则集中。
2.如权利要求I所述的高带宽VoIP检测系统,其特征在于所述的在线检测分析集群通过增加其中用于检测的检测单元数量来提高在线检测效率。
3.如权利要求I或2所述的高带宽VoIP检测系统,其特征在于所述的垃圾电话的攻击检测中包括在线处理和离线处理两个部分。
全文摘要
本发明提出了一种高带宽VoIP检测系统,针对语音终端用户的DoS攻击的实时自动检测,针对语音协议层的DoS攻击和畸形包攻击的自动识别和检测。该系统包括网络处理器集群、在线检测分析集群、数据分析集群、事件处理代理单元、管理平台、策略中心和离线检测单元,在线检测分析集群包括DoS攻击模块、畸形包攻击模块和垃圾电话检测模块;其中策略中心的输出分别与网络处理器集群、数据分析集群、事件处理代理单元、管理平台、在线检测分析集群连接,数据分析集群分别与事件处理代理单元和在线检测分析集群连接,网络处理器集群和在线检测分析集群连接,事件处理代理单元的输出与离线检测单元连接,离线检测单元的输出与在线检测分析集群连接。
文档编号H04L12/24GK102904770SQ201210274099
公开日2013年1月30日 申请日期2012年8月2日 优先权日2012年8月2日
发明者郑康锋, 张冬梅, 武斌, 王秀娟 申请人:北京邮电大学