[发明专利]一种高带宽VoIP检测系统

摘要

本发明提出了一种高带宽VoIP检测系统，针对语音终端用户的DoS攻击的实时自动检测，针对语音协议层的DoS攻击和畸形包攻击的自动识别和检测。该系统包括网络处理器集群、在线检测分析集群、数据分析集群、事件处理代理单元、管理平台、策略中心和离线检测单元，在线检测分析集群包括DoS攻击模块、畸形包攻击模块和垃圾电话检测模块；其中策略中心的输出分别与网络处理器集群、数据分析集群、事件处理代理单元、管理平台、在线检测分析集群连接，数据分析集群分别与事件处理代理单元和在线检测分析集群连接，网络处理器集群和在线检测分析集群连接，事件处理代理单元的输出与离线检测单元连接，离线检测单元的输出与在线检测分析集群连接。

主权项

高带宽VoIP检测系统，包括网络处理器集群、在线检测分析集群、数据分析集群、事件处理代理单元、管理平台、策略中心和离线检测单元，其特征在于：在线检测分析集群包括DoS攻击模块、畸形包攻击模块和垃圾电话检测模块；其中策略中心的输出分别与网络处理器集群、数据分析集群、事件处理代理单元、管理平台、在线检测分析集群连接，数据分析集群分别与事件处理代理单元和在线检测分析集群连接，网络处理器集群和在线检测分析集群连接，事件处理代理单元的输出与离线检测单元连接，离线检测单元的输出与在线检测分析集群连接；网络处理器集群接收来自网络的原始数据包，丢弃非VoIP协议的数据包，将数据流分为信令流和媒体流两部分，其中的信令流根据负载均衡的情况送往在线检测分析集群中的DoS攻击模块和畸形包攻击检测模块中，媒体流根据负载均衡的情况送往垃圾电话检测模块中；在线检测分析集群接收网络处理器集群预处理后的信令流和媒体流的数据包，根据已知的规则集实时的处理数据包，并将处理后的报警信息发给数据分析集群；数据分析集群将在线检测分析集群的报警信息进行处理，将同一次攻击的报警信息合并在一起，发往事件处理代理单元；事件处理代理单元接收来自数据分析集群的综合结果，根据来自策略中心的策略，对攻击事件进行相应的阻断，同时将无法关联的异常模式送往离线检测单元进行进一步的处理；管理平台接收来自策略中心的策略配置和管理信息，显示为可视化的管理界面，供管理员使用；策略中心将策略配置和管理信息发往到网络处理器集群、在线检测分析集群、数据分析集群、事件处理代理和管理平台；离线检测单元处理来自事件处理代理无法关联的异常模式，利用数据挖掘的算法得到新的检测规则，并将这些规则更新到在线检测分析集群的规则集中。