[发明专利]基于演进分组系统网路的安全审计系统及其方法

权利要求书

1.一种基于演进分组系统网络的安全审计系统， 

本系统包括演进分组系统（100），演进分组系统（100）包括演进分组核心网（110）和演进通用陆地无线接入网（120）；演进分组核心网（110）包括移动管理实体（111）和移动网关（112）；演进通用陆地无线接入网（120）包括第1演进型基站（121）、第2演进型基站（122）……第N演进型基站（12N），N为自然数，N小于5； 

其特征在于：设置有数据采集模块（200）、数据分析模块（300）和数据库模块（400）； 

演进分组系统（100）、数据采集模块（200）、数据分析模块（300）和数据库模块（400）依次连接； 

所述的数据采集模块（200）是一种负载均衡设备； 

所述的数据分析模块（300）是一种业务分析设备； 

所述的数据库模块（400）选用Oracle数据库服务器。 

2.基于权利要求1所述系统的安全审计方法，其特征在于包括以下步骤： 

①数据采集模块（200）通过libpcap函数库实现网络包的截获，通过设定过滤规则，包括选定截获网络包的类型和网络包的长度，完成网络包的过滤，对于符合过滤规则的网络包，判断协议类型，如果协议类型为S1AP，则可以判断是信令包，如果不是则是数据包；信令包处理是根据演进分组系统信令流程，截获必要的信令，把关键字发送给数据分析模块，数据包处理则是通过解封装，获取运输层的源和目的端口，网络层的源和目的IP，以及把应用层的数据发送到数据分析模块（300）； 

②数据分析模块（300）接收数据采集模块（200）发送过来的数据包和信令关键字，把用户的一次行为产生的信令关键字和数据包关联起来，创建用户的上下文，通过把用户上下文和静态特征库中的关键字进行比较，其中静态特征库是存放协议的关键字，比如目的IP、目的端口、应用层固定字节，总之存放可以识别协议的关键字；匹配算法采用AC多模式匹配算法，可以准确快速地识别协 议，匹配成功则把数据发送给数据库模块（400），匹配失败的则直接丢弃； 

③数据库模块（400）接收数据分析模块（300）发送过来的数据，也就是用户上下文，把源和目的IP、源和目的端口、协议名称、使用协议次数、使用协议时间和用户的基站信息，填写到数据库中，实现用户行为的识别和统计功能。