[实用新型]千兆网络入侵取证分析系统

说明书

技术领域

本实用新型涉及网络技术领域，具体为一种基于Network Processor的千兆网络入侵取证分析系统。

背景技术

随着高速网络技术的迅速发展，如何实现高速网络环境下的实时网络入侵取证，已经成为目前所面临的问题。目前网络入侵取证系统其性能指标与实际要求相差较远，其数据处理速率和灵活性远远不能满足网络的高速发展，当网络流量达到千兆或更高些时，这些系统的性能大大下降，丢包率很高。为了提高网络入侵取证系统的处理速率，适应网络的高速发展，达到在高速网络环境下近似实时的入侵取证分析，就必须采用新的硬件体系结构。

发明内容

为了克服上述现有技术中的不足，本实用新型在深入研究较新版本网络处理器IXP2400构架的基础上，提出了一种在网络底层实现网络人侵取证的新体系结构，采用Intel IXP2400建立开发环境，进行近似实时的数据采集、过滤和处理，通过对网络数据包进行协议分析、解码和重组，构建了一个针对千兆及以上网络环境的近似于实时检测的网络入侵取证分析系统，从硬件和软件两个层次上保证实现千兆网络环境下入侵取证系统的高速性能需求，真正达到千兆线速的根本目标。

本实用新型的目的是这样实现的：

千兆网络入侵取证分析系统，其特征在于：包括被取证机1连接的第一交换机2，第一交换机2连接网络取证机5，网络取证机5连接第二交换机4，第二交换机连接数据存储机6，数据存储机6连接网络取证分析机7；

所述的第一交换机2通过路由器3连接Internet；

所述的被取证机1可以为多台并联，采用的系统为：windows98、windows2000、windowsXP、linux、solaris；

所述的数据存储机6为多台并联。

积极有益效果：本实用新型在深入研究较新版本网络处理器IXP2400构架的基础上，提出了一种在网络底层实现网络人侵取证的新体系结构，采用Intel IXP2400建立开发环境，进行近似实时的数据采集、过滤和处理，通过对网络数据包进行协议分析、解码和重组，构建了一个针对千兆及以上网络环境的近似于实时检测的网络入侵取证分析系统，从硬件和软件两个层次上保证实现千兆网络环境下入侵取证系统的高速性能需求，真正达到千兆线速的根本目标。

附图说明

图1为本实用新型的系统框图；

图2为高速数据包采集微模块流程图；

图中为：被取证机1、第一交换机2、路由器3、第二交换机4、网络取证机5、数据存储机6、网络取证分析机7。

具体实施方式

如图1所示，千兆网络入侵取证分析系统，其特征在于：包括被取证机1连接的第一交换机2，第一交换机2连接网络取证机5，网络取证机5连接第二交换机4，第二交换机连接数据存储机6，数据存储机6连接网络取证分析机7；

所述的第一交换机2通过路由器3连接Internet；

所述的被取证机1可以为多台并联，采用的系统为：windows98、windows2000、windowsXP、linux、solaris；

所述的数据存储机6为多台并联。

被取证机1是要进行取证的计算机，在其上装有收集系统信息的软件模块，通过网络以实时的方式将日志信息发往网络取证机；

网络取证机5主要进行取证数据的过滤转发，取证的数据包括网络数据流和被取证机发送来的日志信息，取证机所用的开发板为Radisys ENP2611，ENP2611是基于IXP2400芯片的网络处理器板卡，提供了使用IXP2400开发网络设备的板卡支持环境、开发的软件环境和其他相关功能；

数据存储机6通过千兆交换机与前端网络取证机相连，获取网络取证机5分发下来网络数据，利用数据链路层分组捕获机制快速的获取网络数据包，把数据包存储到本地磁盘文件中；

网络取证分析机7对网络取证机获取的数据进行取证分析，分析的结果形成网络取证分析记录。

    如图2所示，高速数据包采集微模块将接收数据包放入大小为8K的RBUF，在网络接口上接收微包Mpacket，并将多个Mpacket重组到完整的Packet。