[发明专利]一种万兆网络隐蔽通信检测系统

摘要

本发明公开一种隐蔽通信检测系统，包括网卡驱动模块、包捕获及链路管理模块、检测模块、告警及链路跟踪模块、数据库存储模块及WEB管理模块。其中，网卡驱动模块使用的是Intel DPDK驱动，包捕获及链路管理基于五元组进行同源同宿哈希分流，检测模块使用20余种常见隐蔽通信的检测模型对链路进行检测，告警及链路跟踪模块对检测到的隐蔽通信事件进行告警及跟踪，数据库存储模块使用mysql存储，WEB管理模块基于ElasticSearch进行界面展示和事件搜索。本系统能够在万兆网络流量中对网络隐蔽通信隐蔽通信进行有效的检测。

主权项

1.一种万兆网络隐蔽通信检测系统，其特征在于：包括以下模块和流程：包括隐蔽通信检测软件、基于cobar的分布式数据库软件、基于PHP的web前端管理软件；其中，隐蔽通信检测软件包含网络数据捕获、数据哈希链表缓存、网络隐蔽通信检测、事件追踪告警模块、数据存储等软件模块，其逻辑关系为：网络数据采集模块对网络数据进行采集，然后通过数据哈希链表缓存模块根据五元组(源IP、目的IP、源端口、目的端口、协议类型)将每一条数据流进行单独缓存，当缓存的数据包数量达到预设的窗口值时，将窗口取出并进入网络隐蔽通信检测模块，当检测结果为隐蔽通信时，将数据窗口存入缓存队列，由数据存储模块存入数据库；主要包含以下步骤：步骤1：网络数据捕获：网络数据捕获模块使用智能网卡或DPDK驱动进行开发，同时使用多核多队列，使数据处理能力达到万兆。具体方法为：步骤1‑1：安装或加载网卡驱动；步骤1‑2：利用捕包接口获取数据包，根据网卡队列数n启动n个线程，将捕包线程绑定到cpu核上；步骤2：将捕获的数据包缓存到哈希表中，将满足检测条件的数据取出存入缓存队列；步骤3：对数据进行隐蔽通信检测，主要步骤为：步骤3‑1：检测线程轮询缓存队列，当队列不为空时，取出其中的元素CDetectElement；步骤3‑2：根据五元组，使用循环位移异或算法计算哈希值；步骤3‑3：将CDetectelent加入哈希链表中，并对满足检测窗口的数据进行检测；步骤3‑4：如果检测结果为false，重复步骤3‑1，如果检测结果为true，将检测结果存入数据库中；步骤4：对告警事件进行持续跟踪，以固定的时间间隔对告警链表进行轮询，对超时的告警信息，更新事件表中的事件结束时间，同时删除该条告警信息；步骤5：轮询步骤3‑2中的隐蔽通信数据缓存队列，将数据存入数据库中的异常数据表packetContent中；基于cobar的分布式数据库软件需要在web服务器上部署cobar，主要步骤为：步骤1：部署cobar，通过节点配置使得检测器的数据库成为cobar分布式数据库的一个数据节点；步骤2：通过cobar对数据库进行查询；Web管理软件是基于PHP和elasticsearch开发，主要实现了隐蔽通信事件和数据查询、隐蔽通信事件统计信息展示、检测器流量和资源查看、检测器配置文件修改等功能。隐蔽通信事件和数据查询可根据时间、源IP、目的IP、源端口、目的端口、协议类型、隐蔽通信类型进行检索，支持对事件的打分和评论；隐蔽通信事件统计信息展示包括当日告警数量、当日告警事件(滚动条)、昨日告警事件统计图(扇形图)、一周告警事件统计图(柱形图)、一月告警事件统计图(折线图)；检测器流量和资源查看包含检测器24小时流量趋势图、检测器实时CPU和内存占用图；检测器配置文件修改包括对隐蔽通信检测软件的配置文件的修改和下发；步骤1：安装xampp，安装配置elasticsearch；步骤2：通过elasticsearch对数据进行检索和展示。