基于多核网络处理器的IPv6联动IPS研究与设计

摘要

新一代网络带宽越来越高，通信具有更小延迟和更大吞吐量，校园网和园区网的骨干网络网速已提高至Gbps甚至10Gbps级，分布于骨干网上的传统网络入侵检测系统(NIDS)与网络入侵防御系统(NIPS)的处理能力越来越难以跟上现代网络的速度，单CPU平台已成为IDS与IPS处理的瓶颈；另一方面，新一代网络将采用IPv6协议，除了传统IPv4应用中的安全隐患，IPv6网络中又引入了一些新的安全问题。为了满足新一代网络入侵与防御时高速、高性能、高效率处理的要求，需要研究使用网络多核处理平台来提高网络中NIDS与NIPS的处理能力。
　　 论文首先分析了国内外在IPv6网络及网络多核处理器领域研究和部署方面的发展状况，剖析研究了Octeon多核网络处理器的体系结构、硬件单元和编程，包括简单执行抽象层(HAL)以及软件和硬件架构模式，并分析了IPv6网络中引入的新安全问题，探讨了采用Octeon多核高速网络处理架构实现新一代IPv6网络IPS的优势和可行性。
　　 论文对基于Octeon多核高速网络处理架构的新一代IPv6网络联动入侵防御系统进行研究，设计了系统原型。系统基于Octeon多核的高速处理，并考虑了IPv6网络中入侵的新特点，在基于入侵检测规则库的规则匹配技术基础上，运用新型的协议分析技术和基于流的检测技术，在Octeon多核间分配控制层与数据层的不同执行，采用命名块机制进行多核间通信，通过数据层核向控制层核的反馈，实现了流处理及协议分析模块与控制模块的高速联动。
　　 论文详细阐述了系统分析和总体设计、流处理模块、协议分析模块和控制模块等的设计，介绍了系统中用到的关键技术，讨论了系统中使多核并行处理效率最大化采取的措施和方法，最后使用IXIA测试仪搭建实验平台，模拟真实的IPv6网络环境，从功能和性能两个方面进行了测试。