技術領域

本發明一種高帶寬VoIP檢測系統，屬于網絡安全產品中的檢測技術領域。?

背景技術

目前入侵檢測系統的一個發展趨勢是分布式和并行處理架構，其基本思路是通過網絡負載均衡技術，將大流量、高速率的網絡數據流分解為多個小流量、低速率的網絡數據流，以滿足現有檢測系統的網絡數據包接收和處理能力。?

如表1總結了已有VoIP檢測系統的現狀，如何為現有的VoIP網絡防護關鍵技術提供一個可以應用的可擴展系統將成為研究的重點。?

表1?

從表1中可以看到，已有的網絡防護系統主要分為兩大類，一類是以Snort、Bro為代表的通用網絡入侵檢測系統，該類系統并沒有針對VoIP網絡防護的需求進行針對性設計，默認規則集覆蓋的VoIP攻擊種類有限，檢測效率和準確度都存在不足。另一類是以SCIDIVE、vFDS為代表的VoIP網絡防護系統，但這些已有的專用防護系統的可擴展性、處理能力普遍存在局限性和不足。?

網絡處理器NP是專門為處理數據包而設計的可編程處理器，能夠直接完成網絡數據處理的一般性任務，其硬件大多采用多內核并行處理器體系結構，并具有專用硬件協作處理器、?專用指令集、高速的I/O接口技術和總線規范，因而與通用處理器相比，網絡處理器在網絡大數據流處理上具有明顯的優勢，而和ASCI相比，具有編程方面的優勢。目前對NP的利用多集中于數據分流和負載均衡，沒有在NP上根據原始的數據包的協議特點做進一步的處理。?

發明內容

基于上述分析，本發明提出了一種高帶寬VoIP檢測系統，實現對已知內容和未知內容的騷擾電話自動化的實時檢測和低延遲過濾，針對語音終端用戶的DoS攻擊的實時自動檢測，針對語音協議層的DoS攻擊和畸形包攻擊的自動識別和檢測。?

該高帶寬VoIP檢測系統，包括網絡處理器集群、在線檢測分析集群、數據分析集群、事件處理代理單元、管理平臺、策略中心和離線檢測單元，在線檢測分析集群包括DoS攻擊模塊、畸形包攻擊模塊和垃圾電話檢測模塊；其中策略中心的輸出分別與網絡處理器集群、數據分析集群、事件處理代理單元、管理平臺、在線檢測分析集群連接，數據分析集群分別與事件處理代理單元和在線檢測分析集群連接，網絡處理器集群和在線檢測分析集群連接，事件處理代理單元的輸出與離線檢測單元連接，離線檢測單元的輸出與在線檢測分析集群連接；?

網絡處理器集群接收來自網絡的原始數據包，丟棄非VoIP協議的數據包，將數據流分為信令流和媒體流兩部分，其中的信令流根據負載均衡的情況送往在線檢測分析集群中的DoS攻擊模塊和畸形包攻擊檢測模塊中，媒體流根據負載均衡的情況送往垃圾電話檢測模塊中；在線檢測分析集群接收網絡處理器集群預處理后的信令流和媒體流的數據包，根據已知的規則集實時的處理數據包，并將處理后的報警信息發給數據分析集群；數據分析集群將在線檢測分析集群的報警信息進行處理，將同一次攻擊的報警信息合并在一起，發往事件處理代理單元；事件處理代理單元接收來自數據分析集群的綜合結果，根據來自策略中心的策略，對攻擊事件進行相應的阻斷，同時將無法關聯的異常模式送往離線檢測單元進行進一步的處理；管理平臺接收來自策略中心的策略配置和管理信息，顯示為可視化的管理界面，供管理員使用；策略中心將策略配置和管理信息發往到網絡處理器集群、在線檢測分析集群、數據分析集群、事件處理代理和管理平臺；離線檢測單元處理來自事件處理代理無法關聯的異常模式，利用數據挖掘的算法得到新的檢測規則，并將這些規則更新到在線檢測分析集群的規則集中。?

所述的在線檢測分析集群通過增加其中用于檢測的檢測單元數量來提高在線檢測效率。?

所述的垃圾電話的攻擊檢測中包括在線處理和離線處理兩個部分。?

本發明的有益效果：?

本發明采用了流量分配和攻擊檢測模塊分離的結構，率先提出了在網絡處理器NP中完成流量識別和負載均衡的方法，使得只通過簡單的增加檢測模塊，就能提高檢測效率。?

附圖說明

圖1為本發明高帶寬VoIP檢測系統結構框圖；?

圖2為媒體流數據包預處理流程圖。?

具體實施方式