[发明专利]基于演进分组系统网路的安全审计系统及其方法

说明书

技术领域

本发明属于移动互联网领域，具体涉及一种基于LTE的安全审计系统及其方法。 

背景技术

全球的移动用户突破60亿，虽然3G（第三代移动通信技术）市场呈现快速增长的趋势，但是国内外对其后续演进技术的研发早已展开了。有以下三大演进路线：一是WCDMA和TD-SCDMA，演进到LTE（演进分组系统）；二是802.16m的WIMAX路线；三是CDMA2000演进到UMB。其中第三条路线也向LTE发展了，可见LTE路线是最热门的发展方向。LTE在3G网络中进行了比较大的改进，实现了网元的精简和智能化，网络架构也逐渐趋于扁平化，目前，全球已经开始大规模的部署LTE，网络安全导致的很多问题也随之而来。 

基于移动互联网的安全审计系统，目前比较普遍都是针对2G（第三代移动通信技术）和3G网络，涉及LTE的安全审计系统很少，由于全球已经展开LTE的部署，研究基于LTE的安全审计系统势在必行。随着IT技术的不断发展，如何解决超大流量中数据的快速采集，报文和会话的不完整、数据信令关联错误情况，这些问题越发突出。 

发明内容

本发明的目的就在于克服现有技术存在的缺点和不足，提供一种基于LTE的安全审计系统及其方法，为部署LTE提供了安全保证。 

实现本发明目的的技术方案是： 

本发明是基于LTE的，实现用户行为的统计，是基于LTE的安全审计系统的实现。全国在大规模的部署LTE，针对日益严重的安全问题，能够提取LTE中的用户行为成为一项重要的课题。本发明结合数据截获技术，协议分析技术，AC多模式匹配算法实现用户行为的截获和统计，包括用户操作什么协议，使用协议的时间，次数，流量以及用户所在的基站位置。首先针对目前大流量问题，本发明采用IP分发策略可以实现单服务器7G流量的处理，结合端口识别和静态特征识别技术能够更加准确和高效的识别用户的行为。

一 基于LTE的安全审计系统(简称系统) 

本系统包括演进分组系统，演进分组系统包括演进分组核心网和演进通用陆地无线接入网；演进分组核心网包括移动管理实体和移动网关；演进通用陆地无线接入网包括第1演进型基站、第2演进型基站……第N演进型基站；

设置有数据采集模块、数据分析模块和数据库模块；

演进分组系统、数据采集模块、数据分析模块和数据库模块依次连接。

二、基于LTE的安全审计方法(简称方法) 

本方法是从演进分组核心网中获取网络包，识别和统计出用户的行为。

包括下列步骤： 

①数据采集模块通过libpcap函数库实现网络包的截获，通过设定过滤规则，包括选定截获网络包的类型和网络包的长度，完成网络包的过滤，对于符合过滤规则的网络包，判断协议类型，如果协议类型为S1AP，则可以判断是信令包，如果不是则是数据包；信令包处理是根据演进分组系统信令流程，截获必要的信令，把关键字发送给数据分析模块，数据包处理则是通过解封装，把应用层的数据发送到数据分析模块；

②数据分析模块接收数据采集模块发送过来的数据包和信令关键字，把用户的一次IMSI上下线行为，产生的信令关键字和数据包关联起来，创建用户的上下文，通过把上下文中的关键字段和静态特征库中的字段进行比较，采用AC多模式匹配算法实现协议的识别，匹配成功则把数据发送给数据库模块，匹配失败的则直接丢弃；

③数据库模块接收数据分析模块发送过来的数据，把源和目的IP、源和目的端口、协议名称、使用协议次数、使用协议时间和用户的基站信息，填写到数据库中，实现用户行为的识别和统计功能。

本发明具有下列优点和积极效果： 

 ①超前性：目前处于3G和LTE的过渡期，基于3G移动通信的审计系统有很多，但是涉及LTE的安全审计系统几乎没有，本发明属于比较新的研究；

②准确性：普通服务器的网口物理IO能力是1G，北京的C网数据就达到了20G，全国的核心网数据高达几百G，单个业务分析机是不可能处理的，只有确保每台业务分析机处理800M-1G的数据，才能保证安全审计系统的正常运行，所以在系统的前端增加了负载均衡设备，实现网络包的分流处理，随着流量的不断增长，可以采用负载均衡设备集群的方式完成，为大规模构建LTE提供了有力的理论基础；

③综合性：本发明在传统端口识别的基础上，添加了静态特征识别，把端口信息和其他的静态特征均写到静态特征库，采用AC多模式匹配算法实现协议识别，从一定程度上提高了系统的效率和准确性。