[发明专利]一种基于DPDK的网络流量隔离系统

说明书

一种基于DPDK的网络流量隔离系统，包括被测网络、孪生网络、网关、DPDK模块、检测过滤模块、过滤规则提交模块和过滤规则分发模块；DPDK模块用来在网关处根据过滤规则对网卡接收和发送的报文进行查询和修改，DPDK模块设置在网关上；检测模块用来对流量包进行解析检测和过滤，检测模块设置在被测网络中；过滤规则提交模块用来接收过滤分发模块发送过来的过滤规则，同时将过滤规则发送给驱动模块；过滤规则分发模块用来分发从其他地方导入的过滤规则，并发送给驱动模块。本发明中，能够有效的对流量进行灵活、快速的隔离策略配置，并实时对恶意流量进行检测，动态修改隔离策略，网关处的流量会被快速分流，恶意流量也会被快速隔离。

技术领域

本发明涉及流量隔离技术领域，尤其涉及一种基于DPDK的网络流量隔离系统。

背景技术

随着互联网技术的不断发展，数据中心网络以及国家骨干网络的流量规模也在不断增长，传统的网络流量隔离方法已经不能适应目前高速的网络环境。虽然在流量隔离方面，硬件的性能也在不断地提高，但大规模的流量以及无用的恶意流量对多核处理器的流量隔离有着很大的影响，并且在Linux系统中对大规模数据报文的处理也存在着大量的开销问题，包括从应用层到系统层的数据拷贝、系统的中断处理以及上下文切换等等。所以对于多核处理器来说，流量隔离是一个亟待解决的问题。现有技术的GAP是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下实现安全数据传输和资源共享的技术，它采用独特的硬件设计，保证在任意时刻网络间的链路层断开，阻断TCP/IP协议及其他网络协议，能够显著地提高内部用户网络的安全强度，但GAP技术虽然从源头进行了流量隔离，但其针对大流量时，其流量隔离速率必然会造成大幅下降，无法满足其正常业务需要，同时GAP技术无法灵活的配置隔离策略，当隔离策略需要调整时，其无法马上调整到位，灵活性不够。

发明内容

(一)发明目的

为解决背景技术中存在的技术问题，本发明提出一种基于DPDK的网络流量隔离系统，在DPDK的基础上开发，增加了流量解析和识别功能，对于常见的协议都可以进行识别和定位，可以快速的转发流量包，且增加了流量检测的功能，对于常见的恶意流量，分别进行不同的特征检测，目前可以实现对口令爆破、DDOS、SQL注入等的恶意流量检测。能够有效的对流量进行灵活、快速的隔离策略配置，并实时对恶意流量进行检测，动态修改隔离策略，网关处的流量会被快速分流，恶意流量也会被快速隔离。

(二)技术方案

本发明提出了一种基于DPDK的网络流量隔离系统，包括被测网络、孪生网络、网关、DPDK模块、检测过滤模块、过滤规则提交模块和过滤规则分发模块；

过滤规则提交模块与过滤规则分发模块通信连接，过滤规则提交模块与驱动模块采用命名管道的方式进行通信连接；过滤规则分发模块与驱动模块进行网络连接；

DPDK模块用来在网关处根据过滤规则对网卡接收和发送的报文进行查询和修改，DPDK模块设置在网关上；

检测模块用来对流量包进行解析检测和过滤，检测模块设置在被测网络中；

过滤规则提交模块用来接收过滤分发模块发送过来的过滤规则，同时将过滤规则发送给驱动模块；

过滤规则分发模块用来分发从其他地方导入的过滤规则，并发送给驱动模块。

优选的，驱动模块采用DPDK中的kni模块。

优选的，检测过滤模块对流量包的解析采用了DPDK自带的流量包解析库，解析到网络层协议，流量包的过滤采用先缓存过滤规则，再利用过滤规则过滤恶意流量，修改恶意流量包的包头，包括IP目的地址和校验码，使之导入预先设置的孪生网络，从孪生网络中发回的包也进行了包头的修改，包括IP源地址和校验码。

优选的，过滤规则分发模块的过滤规则的导入方式包括本地导入和流量分析后导入两种方式。