[发明专利]一种万兆网络隐蔽通信检测系统

说明书

本发明公开一种隐蔽通信检测系统，包括网卡驱动模块、包捕获及链路管理模块、检测模块、告警及链路跟踪模块、数据库存储模块及WEB管理模块。其中，网卡驱动模块使用的是Intel DPDK驱动，包捕获及链路管理基于五元组进行同源同宿哈希分流，检测模块使用20余种常见隐蔽通信的检测模型对链路进行检测，告警及链路跟踪模块对检测到的隐蔽通信事件进行告警及跟踪，数据库存储模块使用mysql存储，WEB管理模块基于ElasticSearch进行界面展示和事件搜索。本系统能够在万兆网络流量中对网络隐蔽通信隐蔽通信进行有效的检测。

技术领域

本发明属于通信与信息安全技术领域，设计一种面向计算机网络的隐蔽通信检测系统。

背景技术

网络隐蔽通信技术是指以正常的网络通信数据为载体，嵌入秘密消息进行通信，从而躲避网络审查的网络通信技术。目前的网络隐蔽通信可分为存储式隐蔽信道和时间式隐蔽信道。存储式网络隐蔽通信主要利用通信协议中的部分字段进行消息嵌入，包括IP协议头中的冗余位如IPID，TCP协议中的冗余位TCP紧急指针位等等。目前已知的各种类型的存储式隐蔽通信已经涉及了大部分常见的网络通信协议，包括IP、TCP、ICMP、DNS、FTP等等。时间式隐蔽通信是指不改变网络数据通信内容，而是从网络数据包的传输时间间隔入手，通过调节数据包的传输时间来传递隐蔽消息。目前常见的时间式隐蔽通信类型有ONOFF和delay两种，ONOFF类型是指在指定的时间窗口内是否发送数据包来代表0或1，delay是通过调节两个数据包时间间隔的长短来代表0或1。

近年来，网络隐蔽通信技术已在越来越多的网络攻击行为中得到应用，许多APT攻击中都使用了DNS隐蔽通信和ICMP隐蔽通信。检测网络通信中的隐蔽通信行为对于发现网络攻击有着重要的意义。目前大多数的网络隐蔽通信检测还处于实验室以及论文研究阶段，往往都是针对某一种网络隐蔽通信设计检测算法，大多数算法没有考虑实际网络环境中的数据收集和快速分流的要求，更加没有考虑到在万兆网络中的数据处理和快速检测问题，也没有系统能够开发和集成多种常见类型的网络隐蔽通信检测算法。开发一套成熟可用的网络隐蔽通信检测系统需要解决以下问题：

1)高速网络数据抓取和分流解析能力，能够实时处理万兆网络数据；

2)类型丰富、高速准确的网络隐蔽通信检测算法，对已有的大多数网络隐蔽通信均能实现有效检测，同时响应速度够快；

3)高速数据存储能力，对于实时的检测结果和数据进行高速的存储，用于回溯分析。

发明内容

本发明所要解决的技术问题：针对目前尚没有的万兆网络环境下的针对多种类型网络隐蔽通信的检测系统，发明一种能够适用于万兆网络的网络隐蔽通信检测系统，系统能够对十余种常见的网络隐蔽通信进行有效检测，数据处理能力可达万兆每秒。

本发明解决上述问题的技术方案：一种万兆网络隐蔽通信检测系统，系统架构如图1所示，包括隐蔽通信检测软件、基于cobar的分布式数据库软件、基于PHP的web前端管理软件。

其中，隐蔽通信检测软件包含网络数据捕获、数据哈希链表缓存、网络隐蔽通信检测、事件追踪告警模块、数据存储等软件模块。其逻辑关系为：网络数据采集模块对网络数据进行采集，然后通过数据哈希链表缓存模块根据五元组(源IP、目的IP、源端口、目的端口、协议类型)将每一条数据流进行单独缓存，当缓存的数据包数量达到预设的窗口值时，将窗口取出并进入网络隐蔽通信检测模块，当检测结果为隐蔽通信时，将数据窗口存入缓存队列，由数据存储模块存入数据库。主要包含以下步骤：

步骤1：网络数据捕获

网络数据捕获模块使用智能网卡或DPDK驱动进行开发，同时使用多核多队列，使数据处理能力达到万兆。具体方法为：

步骤1-1：安装或加载网卡驱动；

步骤1-2：利用捕包接口获取数据包，根据网卡队列数n启动n个线程，将捕包线程绑定到cpu核上。