登录 | 注册 | 退出 | 公司首页 | 繁体中文 | 满意度调查
综合馆
基于DPDK的虚拟化网络入侵防御系统设计与实现
  • 摘要

    面对日益严峻的网络安全威胁,NIDS/NIPS成为实现网络安全防护的重要手段.针对现有NIDS/NIPS软件Snort和Iptables数据处理性能的不足,文章提出一种基于DPDK的虚拟化网络入侵防护系统vD-IPS.vD-IPS系统的整体架构,重点设计和实现了基于DPDK零拷贝的入侵检测模块、流量清洗模块.针对多元的攻击环境,设计并实现了模式匹配算法的选择机制.经过实验验证,vD-IPS满足入侵检测、流量清洗的功能需求,vD-IPS接收与检测报文单核比Snort提升约1.64倍,双核提升约2.62倍;vD-IPS转发报文单核比Iptables提升约1.56倍,双核提升约1.89倍,三核提升约2.21倍.与Snort和Iptables相比,vD-IPS在具有相同的入侵检测与防护能力的情况下还具有更优的性能,并且随着核数的增加,vD-IPS性能有进一步的提升.另外,vD-IPS具备模式匹配算法选择功能,对于不同的模式串规模和字符串长度,vD-IPS可以灵活选择对应最优的算法.

  • 作者

    刘超玲  张棪  杨慧然  吴宏晶  LIU Chaoling  ZHANG Yan  YANG Huiran  WU Hongjing 

  • 作者单位

    中国科学院信息工程研究所,北京100195;中国科学院大学网络空间安全学院,北京100195

  • 刊期

    2018年5期 ISTIC

  • 关键词

    NIPS  DPDK  入侵检测  流量清洗  模式匹配 

相似文献 查看更多>>
3.233.219.101