CN113098895A - 一种基于dpdk的网络流量隔离*** - Google Patents
一种基于dpdk的网络流量隔离*** Download PDFInfo
- Publication number
- CN113098895A CN113098895A CN202110452447.2A CN202110452447A CN113098895A CN 113098895 A CN113098895 A CN 113098895A CN 202110452447 A CN202110452447 A CN 202110452447A CN 113098895 A CN113098895 A CN 113098895A
- Authority
- CN
- China
- Prior art keywords
- module
- filtering
- dpdk
- network
- filtering rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于DPDK的网络流量隔离***,包括被测网络、孪生网络、网关、DPDK模块、检测过滤模块、过滤规则提交模块和过滤规则分发模块;DPDK模块用来在网关处根据过滤规则对网卡接收和发送的报文进行查询和修改,DPDK模块设置在网关上;检测模块用来对流量包进行解析检测和过滤,检测模块设置在被测网络中;过滤规则提交模块用来接收过滤分发模块发送过来的过滤规则,同时将过滤规则发送给驱动模块;过滤规则分发模块用来分发从其他地方导入的过滤规则,并发送给驱动模块。本发明中,能够有效的对流量进行灵活、快速的隔离策略配置,并实时对恶意流量进行检测,动态修改隔离策略,网关处的流量会被快速分流,恶意流量也会被快速隔离。
Description
技术领域
本发明涉及流量隔离技术领域,尤其涉及一种基于DPDK的网络流量隔离***。
背景技术
随着互联网技术的不断发展,数据中心网络以及国家骨干网络的流量规模也在不断增长,传统的网络流量隔离方法已经不能适应目前高速的网络环境。虽然在流量隔离方面,硬件的性能也在不断地提高,但大规模的流量以及无用的恶意流量对多核处理器的流量隔离有着很大的影响,并且在Linux***中对大规模数据报文的处理也存在着大量的开销问题,包括从应用层到***层的数据拷贝、***的中断处理以及上下文切换等等。所以对于多核处理器来说,流量隔离是一个亟待解决的问题。现有技术的GAP是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下实现安全数据传输和资源共享的技术,它采用独特的硬件设计,保证在任意时刻网络间的链路层断开,阻断TCP/IP协议及其他网络协议,能够显著地提高内部用户网络的安全强度,但GAP技术虽然从源头进行了流量隔离,但其针对大流量时,其流量隔离速率必然会造成大幅下降,无法满足其正常业务需要,同时GAP技术无法灵活的配置隔离策略,当隔离策略需要调整时,其无法马上调整到位,灵活性不够。
发明内容
(一)发明目的
为解决背景技术中存在的技术问题,本发明提出一种基于DPDK的网络流量隔离***,在DPDK的基础上开发,增加了流量解析和识别功能,对于常见的协议都可以进行识别和定位,可以快速的转发流量包,且增加了流量检测的功能,对于常见的恶意流量,分别进行不同的特征检测,目前可以实现对口令***、DDOS、SQL注入等的恶意流量检测。能够有效的对流量进行灵活、快速的隔离策略配置,并实时对恶意流量进行检测,动态修改隔离策略,网关处的流量会被快速分流,恶意流量也会被快速隔离。
(二)技术方案
本发明提出了一种基于DPDK的网络流量隔离***,包括被测网络、孪生网络、网关、DPDK模块、检测过滤模块、过滤规则提交模块和过滤规则分发模块;
过滤规则提交模块与过滤规则分发模块通信连接,过滤规则提交模块与驱动模块采用命名管道的方式进行通信连接;过滤规则分发模块与驱动模块进行网络连接;
DPDK模块用来在网关处根据过滤规则对网卡接收和发送的报文进行查询和修改,DPDK模块设置在网关上;
检测模块用来对流量包进行解析检测和过滤,检测模块设置在被测网络中;
过滤规则提交模块用来接收过滤分发模块发送过来的过滤规则,同时将过滤规则发送给驱动模块;
过滤规则分发模块用来分发从其他地方导入的过滤规则,并发送给驱动模块。
优选的,驱动模块采用DPDK中的kni模块。
优选的,检测过滤模块对流量包的解析采用了DPDK自带的流量包解析库,解析到网络层协议,流量包的过滤采用先缓存过滤规则,再利用过滤规则过滤恶意流量,修改恶意流量包的包头,包括IP目的地址和校验码,使之导入预先设置的孪生网络,从孪生网络中发回的包也进行了包头的修改,包括IP源地址和校验码。
优选的,过滤规则分发模块的过滤规则的导入方式包括本地导入和流量分析后导入两种方式。
本发明的上述技术方案具有如下有益的技术效果:在DPDK的基础上开发,增加了流量解析和识别功能,对于常见的协议都可以进行识别和定位,可以快速的转发流量包,且增加了流量检测的功能,对于常见的恶意流量,分别进行不同的特征检测,目前可以实现对口令***、DDOS、SQL注入等的恶意流量检测。能够有效的对流量进行灵活、快速的隔离策略配置,并实时对恶意流量进行检测,动态修改隔离策略,网关处的流量会被快速分流,恶意流量也会被快速隔离。
附图说明
图1为本发明提出的基于DPDK的网络流量隔离***的结构示意图。
图2为本发明提出的基于DPDK的网络流量隔离***中kni模块的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
如图1-2所示,本发明提出的一种基于DPDK的网络流量隔离***,包括被测网络、孪生网络、网关、DPDK模块、检测过滤模块、过滤规则提交模块和过滤规则分发模块;
过滤规则提交模块与过滤规则分发模块通信连接,过滤规则提交模块与驱动模块采用命名管道的方式进行通信连接;过滤规则分发模块与驱动模块进行网络连接;
DPDK模块用来在网关处根据过滤规则对网卡接收和发送的报文进行查询和修改,DPDK模块设置在网关上;
检测模块用来对流量包进行解析检测和过滤,检测模块设置在被测网络中;
过滤规则提交模块用来接收过滤分发模块发送过来的过滤规则,同时将过滤规则发送给驱动模块;对于过滤规则的提交方式,在本机单独启动一个过滤规则获取进程,其与DPDK模块采用命名管道的方式进行通信,将过滤规则发送给DPDK模块,DPDK模块单独开启一个线程轮询式与过滤规则获取进程进行通信,实时获取过滤规则,并将其实时缓存到自己的内存中,供恶意流量检测使用,过滤规则提交模块在与DPDK模块通信的同时,也在与外部的过滤规则分发模块进行通信,接收其发送来的过滤规则,整个过滤规则采用base64编码,标准化输出;
过滤规则分发模块用来分发从其他地方导入的过滤规则,并发送给驱动模块。
本发明中,在DPDK的基础上开发,增加了流量解析和识别功能,对于常见的协议都可以进行识别和定位,可以快速的转发流量包,且增加了流量检测的功能,对于常见的恶意流量,分别进行不同的特征检测,目前可以实现对口令***、DDOS、SQL注入等的恶意流量检测。能够有效的对流量进行灵活、快速的隔离策略配置,并实时对恶意流量进行检测,动态修改隔离策略,网关处的流量会被快速分流,恶意流量也会被快速隔离。
在一个可选的实施例中,驱动模块采用DPDK中的kni模块;kni模块是DPDK提供的允许用户面的应用报文访问内核协议栈接口库,kni模块中,mbuf到skb转化,只需要一次内存拷贝,中间mbuf从用户态传到内核态,走的是内存零拷贝,中间没有***调用和copy_to_user()/copy_from_user()操作;允许用户通过标准的linux net tools查看dpdk的报文;报文进正常的内核协议栈;利用kni模块,可以在网关处对网卡接收和发送的报文进行查询和修改,达到对恶意流量进行检测和分流的目的。
在一个可选的实施例中,检测过滤模块对流量包的解析采用了DPDK自带的流量包解析库,解析到网络层协议,流量包的过滤采用先缓存过滤规则,再利用过滤规则过滤恶意流量,修改恶意流量包的包头,包括IP目的地址和校验码,使之导入预先设置的孪生网络,从孪生网络中发回的包也进行了包头的修改,包括IP源地址和校验码;让攻击者误以为是真实网络发回的数据包,达到欺骗攻击者的目的。
在一个可选的实施例中,过滤规则分发模块的过滤规则的导入方式包括本地导入和流量分析后导入两种方式;便于动态修改过滤规则。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (4)
1.一种基于DPDK的网络流量隔离***,其特征在于,包括被测网络、孪生网络、网关、DPDK模块、检测过滤模块、过滤规则提交模块和过滤规则分发模块;
过滤规则提交模块与过滤规则分发模块通信连接,过滤规则提交模块与驱动模块采用命名管道的方式进行通信连接;过滤规则分发模块与驱动模块进行网络连接;
DPDK模块用来在网关处根据过滤规则对网卡接收和发送的报文进行查询和修改,DPDK模块设置在网关上;
检测模块用来对流量包进行解析检测和过滤,检测模块设置在被测网络中;
过滤规则提交模块用来接收过滤分发模块发送过来的过滤规则,同时将过滤规则发送给驱动模块;
过滤规则分发模块用来分发从其他地方导入的过滤规则,并发送给驱动模块。
2.根据权利要求1所述的基于DPDK的网络流量隔离***,其特征在于,驱动模块采用DPDK中的kni模块。
3.根据权利要求1所述的基于DPDK的网络流量隔离***,其特征在于,检测过滤模块对流量包的解析采用了DPDK自带的流量包解析库,解析到网络层协议,流量包的过滤采用先缓存过滤规则,再利用过滤规则过滤恶意流量,修改恶意流量包的包头,包括IP目的地址和校验码,使之导入预先设置的孪生网络,从孪生网络中发回的包也进行了包头的修改,包括IP源地址和校验码。
4.根据权利要求1所述的基于DPDK的网络流量隔离***,其特征在于,过滤规则分发模块的过滤规则的导入方式包括本地导入和流量分析后导入两种方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110452447.2A CN113098895A (zh) | 2021-04-26 | 2021-04-26 | 一种基于dpdk的网络流量隔离*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110452447.2A CN113098895A (zh) | 2021-04-26 | 2021-04-26 | 一种基于dpdk的网络流量隔离*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113098895A true CN113098895A (zh) | 2021-07-09 |
Family
ID=76679887
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110452447.2A Pending CN113098895A (zh) | 2021-04-26 | 2021-04-26 | 一种基于dpdk的网络流量隔离*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113098895A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114124503A (zh) * | 2021-11-15 | 2022-03-01 | 北京邮电大学 | 一种逐级并发缓存优化效能的智能网络感知方法 |
| CN115102777A (zh) * | 2022-07-11 | 2022-09-23 | 上海磐御网络科技有限公司 | 一种网络流量的隔离引导方法及*** |
| CN115412289A (zh) * | 2022-07-19 | 2022-11-29 | 中国人民解放军军事科学院***工程研究院 | 基于边缘云智能孪生体的网络隔离安全***、方法及介质 |
| WO2024058735A1 (en) * | 2022-09-15 | 2024-03-21 | Bts Kurumsal Bi̇li̇şi̇m Teknoloji̇leri̇ Anoni̇m Şi̇rketi̇ | Digital twin-enabled ddos attack detection system and method for autonomous core networks |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150188772A1 (en) * | 2013-12-27 | 2015-07-02 | Iosif Gasparakis | Hybrid sdn controller |
| CN106790309A (zh) * | 2017-03-31 | 2017-05-31 | 山东超越数控电子有限公司 | 一种应用于多协议安全网关***的过滤模块及其应用 |
| CN110290098A (zh) * | 2018-03-19 | 2019-09-27 | 华为技术有限公司 | 一种防御网络攻击的方法及装置 |
| CN110417675A (zh) * | 2019-07-29 | 2019-11-05 | 广州竞远安全技术股份有限公司 | 一种soc下高性能探针的网络分流方法、装置及*** |
| US20200028791A1 (en) * | 2019-09-27 | 2020-01-23 | Intel Corporation | Changing a time sensitive networking schedule implemented by a softswitch |
| CN110753064A (zh) * | 2019-10-28 | 2020-02-04 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测*** |
| CN110808971A (zh) * | 2019-10-30 | 2020-02-18 | 中国科学院信息工程研究所 | 一种基于深度嵌入的未知恶意流量主动检测***及方法 |
| CN111294319A (zh) * | 2018-12-07 | 2020-06-16 | 网宿科技股份有限公司 | 一种在DPDK框架下实现OpenVPN网络隔离的方法和装置 |
| CN111756712A (zh) * | 2020-06-12 | 2020-10-09 | 广州锦行网络科技有限公司 | 一种基于虚拟网络设备伪造ip地址防攻击的方法 |
| CN112381121A (zh) * | 2020-10-28 | 2021-02-19 | 中国科学院信息工程研究所 | 一种基于孪生网络的未知类别网络流量的检测与识别方法 |
| CN112422481A (zh) * | 2019-08-22 | 2021-02-26 | 华为技术有限公司 | 网络威胁的诱捕方法、***和转发设备 |
| CN112491901A (zh) * | 2020-11-30 | 2021-03-12 | 北京锐驰信安技术有限公司 | 一种网络流量精细化筛选装置及方法 |
-
2021
- 2021-04-26 CN CN202110452447.2A patent/CN113098895A/zh active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150188772A1 (en) * | 2013-12-27 | 2015-07-02 | Iosif Gasparakis | Hybrid sdn controller |
| CN106790309A (zh) * | 2017-03-31 | 2017-05-31 | 山东超越数控电子有限公司 | 一种应用于多协议安全网关***的过滤模块及其应用 |
| CN110290098A (zh) * | 2018-03-19 | 2019-09-27 | 华为技术有限公司 | 一种防御网络攻击的方法及装置 |
| CN111294319A (zh) * | 2018-12-07 | 2020-06-16 | 网宿科技股份有限公司 | 一种在DPDK框架下实现OpenVPN网络隔离的方法和装置 |
| CN110417675A (zh) * | 2019-07-29 | 2019-11-05 | 广州竞远安全技术股份有限公司 | 一种soc下高性能探针的网络分流方法、装置及*** |
| CN112422481A (zh) * | 2019-08-22 | 2021-02-26 | 华为技术有限公司 | 网络威胁的诱捕方法、***和转发设备 |
| US20200028791A1 (en) * | 2019-09-27 | 2020-01-23 | Intel Corporation | Changing a time sensitive networking schedule implemented by a softswitch |
| CN110753064A (zh) * | 2019-10-28 | 2020-02-04 | 中国科学技术大学 | 机器学习和规则匹配融合的安全检测*** |
| CN110808971A (zh) * | 2019-10-30 | 2020-02-18 | 中国科学院信息工程研究所 | 一种基于深度嵌入的未知恶意流量主动检测***及方法 |
| CN111756712A (zh) * | 2020-06-12 | 2020-10-09 | 广州锦行网络科技有限公司 | 一种基于虚拟网络设备伪造ip地址防攻击的方法 |
| CN112381121A (zh) * | 2020-10-28 | 2021-02-19 | 中国科学院信息工程研究所 | 一种基于孪生网络的未知类别网络流量的检测与识别方法 |
| CN112491901A (zh) * | 2020-11-30 | 2021-03-12 | 北京锐驰信安技术有限公司 | 一种网络流量精细化筛选装置及方法 |
Non-Patent Citations (2)
| Title |
|---|
| CSDN博客,庞叶蒙: "DPDK-KERNEL NIC INTERFACE(内核NIC接口)", 《HTTPS://BLOG.CSDN.NET/PANGYEMENG/ARTICLE/DETAILS/77718217》 * |
| 肖中奇: "基于DPDK的流量识别***的设计与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114124503A (zh) * | 2021-11-15 | 2022-03-01 | 北京邮电大学 | 一种逐级并发缓存优化效能的智能网络感知方法 |
| CN114124503B (zh) * | 2021-11-15 | 2022-09-27 | 北京邮电大学 | 一种逐级并发缓存优化效能的智能网络感知方法 |
| CN115102777A (zh) * | 2022-07-11 | 2022-09-23 | 上海磐御网络科技有限公司 | 一种网络流量的隔离引导方法及*** |
| CN115412289A (zh) * | 2022-07-19 | 2022-11-29 | 中国人民解放军军事科学院***工程研究院 | 基于边缘云智能孪生体的网络隔离安全***、方法及介质 |
| CN115412289B (zh) * | 2022-07-19 | 2023-04-07 | 中国人民解放军军事科学院***工程研究院 | 基于边缘云智能孪生体的网络隔离安全***、方法及介质 |
| WO2024058735A1 (en) * | 2022-09-15 | 2024-03-21 | Bts Kurumsal Bi̇li̇şi̇m Teknoloji̇leri̇ Anoni̇m Şi̇rketi̇ | Digital twin-enabled ddos attack detection system and method for autonomous core networks |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113098895A (zh) | 一种基于dpdk的网络流量隔离*** | |
| CN108701187B (zh) | 用于混合硬件软件分布式威胁分析的设备和方法 | |
| US8650295B2 (en) | Managing network security | |
| CN102739473B (zh) | 一种应用智能网卡的网络检测方法 | |
| US9356844B2 (en) | Efficient application recognition in network traffic | |
| CN104767752A (zh) | 一种分布式网络隔离***及方法 | |
| KR20050032765A (ko) | 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법 | |
| CN101068229A (zh) | 一种基于网络过滤器的内容过滤网关实现方法 | |
| CN100454895C (zh) | 一种通过报文处理提高网络安全性的方法 | |
| WO2011026336A1 (zh) | 一种实现长短信过滤的***和方法 | |
| US20060224886A1 (en) | System for finding potential origins of spoofed internet protocol attack traffic | |
| CN102497297A (zh) | 基于多核多线程的深度报文检测技术的实现***和方法 | |
| CN115174676A (zh) | 汇聚分流方法及其相关设备 | |
| CN110572380A (zh) | 一种tcp回注封堵的方法及装置 | |
| CN101741745A (zh) | 识别对等网络应用流量的方法及其*** | |
| CN103001966B (zh) | 一种私网ip的处理、识别方法及装置 | |
| KR101275709B1 (ko) | 응용프로토콜별 분산처리기능을 제공하는 네트워크 기반의 ndlp용 패킷 처리 시스템 및 방법 | |
| GB2613101A (en) | Endpoint network sensor and related cybersecurity infrastructure | |
| CN101753456B (zh) | 一种对等网络流量检测方法及其*** | |
| CN1567900A (zh) | 一种在路由设备中实现报文转发控制的方法 | |
| CN113377051B (zh) | 一种基于fpga的网络安全防护设备 | |
| EP4199427A1 (en) | Ai-supported network telemetry using data processing unit | |
| CN106656656A (zh) | 一种网络设备抓包方法及装置 | |
| KR100825257B1 (ko) | 비정상트래픽의 로그데이타 상세 처리 방법 | |
| CN113472736B (zh) | 一种内外网数据传输的方法、装置、设备及可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210709 |