[发明专利]一种高带宽VoIP检测系统

说明书

技术领域

本发明一种高带宽VoIP检测系统，属于网络安全产品中的检测技术领域。 

背景技术

目前入侵检测系统的一个发展趋势是分布式和并行处理架构，其基本思路是通过网络负载均衡技术，将大流量、高速率的网络数据流分解为多个小流量、低速率的网络数据流，以满足现有检测系统的网络数据包接收和处理能力。 

如表1总结了已有VoIP检测系统的现状，如何为现有的VoIP网络防护关键技术提供一个可以应用的可扩展系统将成为研究的重点。 

表1 

从表1中可以看到，已有的网络防护系统主要分为两大类，一类是以Snort、Bro为代表的通用网络入侵检测系统，该类系统并没有针对VoIP网络防护的需求进行针对性设计，默认规则集覆盖的VoIP攻击种类有限，检测效率和准确度都存在不足。另一类是以SCIDIVE、vFDS为代表的VoIP网络防护系统，但这些已有的专用防护系统的可扩展性、处理能力普遍存在局限性和不足。 

网络处理器NP是专门为处理数据包而设计的可编程处理器，能够直接完成网络数据处理的一般性任务，其硬件大多采用多内核并行处理器体系结构，并具有专用硬件协作处理器、 专用指令集、高速的I/O接口技术和总线规范，因而与通用处理器相比，网络处理器在网络大数据流处理上具有明显的优势，而和ASCI相比，具有编程方面的优势。目前对NP的利用多集中于数据分流和负载均衡，没有在NP上根据原始的数据包的协议特点做进一步的处理。 

发明内容

基于上述分析，本发明提出了一种高带宽VoIP检测系统，实现对已知内容和未知内容的骚扰电话自动化的实时检测和低延迟过滤，针对语音终端用户的DoS攻击的实时自动检测，针对语音协议层的DoS攻击和畸形包攻击的自动识别和检测。 

该高带宽VoIP检测系统，包括网络处理器集群、在线检测分析集群、数据分析集群、事件处理代理单元、管理平台、策略中心和离线检测单元，在线检测分析集群包括DoS攻击模块、畸形包攻击模块和垃圾电话检测模块；其中策略中心的输出分别与网络处理器集群、数据分析集群、事件处理代理单元、管理平台、在线检测分析集群连接，数据分析集群分别与事件处理代理单元和在线检测分析集群连接，网络处理器集群和在线检测分析集群连接，事件处理代理单元的输出与离线检测单元连接，离线检测单元的输出与在线检测分析集群连接； 

网络处理器集群接收来自网络的原始数据包，丢弃非VoIP协议的数据包，将数据流分为信令流和媒体流两部分，其中的信令流根据负载均衡的情况送往在线检测分析集群中的DoS攻击模块和畸形包攻击检测模块中，媒体流根据负载均衡的情况送往垃圾电话检测模块中；在线检测分析集群接收网络处理器集群预处理后的信令流和媒体流的数据包，根据已知的规则集实时的处理数据包，并将处理后的报警信息发给数据分析集群；数据分析集群将在线检测分析集群的报警信息进行处理，将同一次攻击的报警信息合并在一起，发往事件处理代理单元；事件处理代理单元接收来自数据分析集群的综合结果，根据来自策略中心的策略，对攻击事件进行相应的阻断，同时将无法关联的异常模式送往离线检测单元进行进一步的处理；管理平台接收来自策略中心的策略配置和管理信息，显示为可视化的管理界面，供管理员使用；策略中心将策略配置和管理信息发往到网络处理器集群、在线检测分析集群、数据分析集群、事件处理代理和管理平台；离线检测单元处理来自事件处理代理无法关联的异常模式，利用数据挖掘的算法得到新的检测规则，并将这些规则更新到在线检测分析集群的规则集中。 

所述的在线检测分析集群通过增加其中用于检测的检测单元数量来提高在线检测效率。 

所述的垃圾电话的攻击检测中包括在线处理和离线处理两个部分。 

本发明的有益效果： 

本发明采用了流量分配和攻击检测模块分离的结构，率先提出了在网络处理器NP中完成流量识别和负载均衡的方法，使得只通过简单的增加检测模块，就能提高检测效率。 

附图说明

图1为本发明高带宽VoIP检测系统结构框图； 

图2为媒体流数据包预处理流程图。 

具体实施方式