千兆網(wǎng)絡入侵防御系統(tǒng)(GNIPS)控制平面子系統(tǒng)的研究與實現(xiàn).pdf

1、隨著計算機網(wǎng)絡的飛速發(fā)展及社會信息化程度的提高，計算機網(wǎng)絡在方便人們生活的同時也帶來相當嚴重的安全問題。入侵防御系統(tǒng)是網(wǎng)絡安全領域為彌補防火墻和入侵檢測的不足而新興的信息安全技術，它綜合了防火墻和入侵檢測系統(tǒng)的優(yōu)點，能夠對保護網(wǎng)絡進行主動實時的防御。由于主干網(wǎng)絡帶寬普遍已經(jīng)進入了千兆時代，千兆網(wǎng)絡入侵防御系統(tǒng)的相關研究與應用成了信息安全領域的熱點之一。
　　本文首先分析了目前安全防御技術的一些優(yōu)缺點，包括防火墻、入侵檢測等；然后研

2、究了入侵防御系統(tǒng)的原理、分類、特點以及存在的性能瓶頸。在深入分析了IPS的相關理論的基礎上，本文給出了一種高效、高性能的千兆網(wǎng)絡入侵防御系統(tǒng)（GNIPS）的解決方案，并分析了其系統(tǒng)原理、工作流程和關鍵技術。該GNIPS基于專有硬件平臺，綜合了協(xié)議分析、模式匹配、多種檢測技術，能夠降低入侵防御系統(tǒng)的高誤報率和漏報率，深層次對網(wǎng)絡入侵進行防御。文中提出的動態(tài)防御機制提高了系統(tǒng)主動實時的入侵響應能力，從而提高了網(wǎng)絡整體的安全性。
　　G

3、NIPS在硬件方案上選取了OCTEON CN3860多核平臺作為GNIPS探針的實現(xiàn)平臺。本文考察了現(xiàn)有的多核平臺下的軟件結構模型，包括AMP、SMP、BMP等，分析了相關模型的優(yōu)缺點，最終選取了BMP模型作為系統(tǒng)的實現(xiàn)模型，并根據(jù)流水線和并行的處理模式設計了該系統(tǒng)的軟件體系結構。該軟件體系結構能夠對網(wǎng)絡數(shù)據(jù)流進行多層次的分流和并行處理，能夠較充分地發(fā)揮多核平臺的能力，全面提升系統(tǒng)的處理性能，滿足千兆網(wǎng)絡安全處理的需要。
　　網(wǎng)絡

4、管理是所有網(wǎng)絡應用設備必須提供的功能，本文的GNIPS的探針也是網(wǎng)絡設備的一種，其控制平面負責完成對外提供安全的管理接口、完成告警/日志數(shù)據(jù)的安全交互。本文討論了流行的SNMP、Web及NETCONF的管理模型，設計了自己的解決方案，并在嵌入式Linux環(huán)境下對控制平面進行了實現(xiàn)，包括探針軟件控制平面軟件系統(tǒng)的設計、構建以及控制平面各個子模塊的實現(xiàn)。最后在模擬千兆網(wǎng)絡環(huán)境下對控制平面子系統(tǒng)進行了功能測試，測試結果表明實現(xiàn)的控制平面滿足預