針對(duì)IP跳變技術(shù)導(dǎo)致數(shù)據(jù)分組處理時(shí)延高、開銷大的問題,基于數(shù)據(jù)平面開發(fā)套件設(shè)計(jì)并實(shí)現(xiàn)了一種多層次網(wǎng)絡(luò)部署結(jié)構(gòu)的主動(dòng)防御網(wǎng)關(guān)系統(tǒng)。首先,基于DPDK快速轉(zhuǎn)發(fā)框架優(yōu)化了系統(tǒng)的轉(zhuǎn)發(fā)和處理性能;其次,針對(duì)具有3種不同類型IP地址的動(dòng)態(tài)化隨機(jī)映射網(wǎng)關(guān),設(shè)計(jì)了高效的IP地址分配算法以及具有不可預(yù)測(cè)性的IP地址變換算法。實(shí)驗(yàn)結(jié)果表明,所設(shè)計(jì)的系統(tǒng)在有效減少嗅探攻擊信息獲取速率的同時(shí),大幅提升了動(dòng)態(tài)跳變導(dǎo)致的處理時(shí)延大的問題。 

【文章來源】：通信學(xué)報(bào). 2020,41(06)北大核心

【文章頁(yè)數(shù)】：13 頁(yè)

【部分圖文】：

DPDK動(dòng)態(tài)防御系統(tǒng)部署結(jié)構(gòu)

圖1 DPDK動(dòng)態(tài)防御系統(tǒng)部署結(jié)構(gòu)2)分組分類單元。主要負(fù)責(zé)對(duì)DPDK綁定的網(wǎng)卡收到的所有流量進(jìn)行分組的過濾和相關(guān)分組轉(zhuǎn)發(fā)，即DHCP、ARP、DNS、傳輸控制協(xié)議/用戶數(shù)據(jù)報(bào)協(xié)議（TCP/UDP,transmission control protocol/user datagram protocol）的轉(zhuǎn)發(fā)。將控制分組（即DHCP、ARP、DNS）送到控制線程處理，數(shù)據(jù)分組送到分組轉(zhuǎn)發(fā)單元。

安全網(wǎng)關(guān)托管下的終端采用網(wǎng)段隔離的方式避免因廣播分組帶來的安全問題，因此對(duì)于rIP資源的分配，需要考慮網(wǎng)段隔離且rIP分配的高效性，避免在分配的未使用的地址空間中出現(xiàn)IP資源的浪費(fèi)，本文設(shè)計(jì)了基于哈希和多鏈的多元地址分配方法。rIP地址分配如圖4所示，需要維護(hù)真實(shí)IP池中IP的使用，即已使用的IP和從真實(shí)IP池取出但未使用的IP。圖4 rIP地址分配示意

【參考文獻(xiàn)】：
期刊論文
[1]軟件定義的L2/L3地址協(xié)同擬態(tài)偽裝策略研究[J]. 王鵬超,陳福才,程國(guó)振,陳揚(yáng),谷允捷.  電子學(xué)報(bào). 2019(10)
[2]軟件定義的內(nèi)網(wǎng)動(dòng)態(tài)防御系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J]. 陳揚(yáng),扈紅超,程國(guó)振.  電子學(xué)報(bào). 2018(11)
[3]基于OpenFlow的網(wǎng)絡(luò)層移動(dòng)目標(biāo)防御方案[J]. 胡毅勛,鄭康鋒,楊義先,鈕心忻.  通信學(xué)報(bào). 2017(10)



本文編號(hào)：3021605