10.3969/j.issn.1671-1122.2018.05.005
基于DPDK的虚拟化网络入侵防御系统设计与实现
面对日益严峻的网络安全威胁,NIDS/NIPS成为实现网络安全防护的重要手段.针对现有NIDS/NIPS软件Snort和Iptables数据处理性能的不足,文章提出一种基于DPDK的虚拟化网络入侵防护系统vD-IPS.vD-IPS系统的整体架构,重点设计和实现了基于DPDK零拷贝的入侵检测模块、流量清洗模块.针对多元的攻击环境,设计并实现了模式匹配算法的选择机制.经过实验验证,vD-IPS满足入侵检测、流量清洗的功能需求,vD-IPS接收与检测报文单核比Snort提升约1.64倍,双核提升约2.62倍;vD-IPS转发报文单核比Iptables提升约1.56倍,双核提升约1.89倍,三核提升约2.21倍.与Snort和Iptables相比,vD-IPS在具有相同的入侵检测与防护能力的情况下还具有更优的性能,并且随着核数的增加,vD-IPS性能有进一步的提升.另外,vD-IPS具备模式匹配算法选择功能,对于不同的模式串规模和字符串长度,vD-IPS可以灵活选择对应最优的算法.
NIPS、DPDK、入侵检测、流量清洗、模式匹配
TP309(计算技术、计算机技术)
国家自然科学基金61701494
2018-10-30(万方平台首次上网日期,不代表论文的发表时间)
共11页
41-51
