基于DPI的电信业务监控系统的分析与设计

作     者：徐京 

作者单位：北京邮电大学 

学位级别：硕士

导师姓名：辛阳

授予年度：2013年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：电信网络 业务安全 DPI GPRS 恶意订购 

摘      要：随着移动互联网的迅速发展及智能终端的推广,手机上网逐渐普及。然而网络的开放互联与信息共享性也给电信网络安全带来了一定威胁,内容安全、垃圾信息、业务诈骗及手机病毒等问题日益严重。针对网络与业务安全的需求,3GPP和OMA都提供了安全机制与框架。但协议的缺陷、业务的漏洞及安全保障体系的不完善使得电信业务安全问题仍层出不穷,迫切需要一种基于内容的自动分析监控系统,对电信业务进行分析、过滤与防护,增强电信业务的安全性与服务质量。 针对电信网络的安全现状与需求,本文设计了一种应用DPI技术,利用轻量级的开源入侵检测系统Snort作为底层框架,能够在不影响移动通信网络性能的前提下分析与记录用户上网行为、遏制不良信息的传播、对不安全业务行为进行告警与阻断的电信安全系统。该系统实现了对GPRS上网浏览和WAP订购业务的监控,能够检测出浏览不良信息、恶意订购等违规业务行为,有效的保障了电信业务安全,提高了用户体验。 本文主要进行了以下几个方面的工作： 1.对手机上网的基本原理和流程、GPRS系统与WAP技术的相关理论进行研究,分析入侵检测系统snort的原理与架构,将入侵检测系统合理部署在电信网络中用于业务内容分析。 2.研究DPI技术,结合数据包的深度特征值检测和协议分析,从混杂的电信网络流量中快速识别出我们需要分析的业务流量。 3.分析了浏览不良信息与恶意订购两种行为的检测方法,并提出了阻断策略及实现过程。对于浏览业务,系统通过分析GTP协议获取用户信息及浏览内容,并利用URL或关键字黑名单对不良信息进行过滤。对于WAP订购,系统解析RADIUS协议并与经过WAP网关前后的订购报文信息进行比对,若不一致则判定其为恶意订购。另外,系统通过构造模拟包进行旁路阻断的方式来中断非法业务行为。 4.为了应对电信网络高速网络环境下的监控需求,提出了采用零拷贝技术、结合缓冲队列与多线程技术、优化改进匹配模式并应用AC-WM多模式匹配算法等措施,提高系统效率,改善系统性能。 5.在完成详细设计的基础上,对系统进行了初步的编码实现与测试。