12、基于DPDK的TLS预过滤器加速入侵检测系统分析

基于DPDK的TLS预过滤器加速IDS分析
最新推荐文章于 2025-10-16 15:20:21 发布
最新推荐文章于 2025-10-16 15:20:21 发布
阅读量39 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 探秘PAM 2023:网络测量与安全前沿 文章标签: DPDK TLS预过滤器 入侵检测系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/raspberrypi5/article/details/149737606

基于DPDK的TLS预过滤器加速入侵检测系统分析

1. TLS流量分析

在网络流量中,TLS(传输层安全协议)流量的存在对入侵检测系统(IDS)的处理性能有着重要影响。通过对TLS流量的经验累积分布函数(ECDF)分析可知:
- ECDF图分别以字节(图3b)和数据包(图3a)为单位绘制。X轴以对数尺度显示平均TLS流长度,Y轴显示TLS流的比例。Y轴数据点以1%递增,最后包含99%、99.9%、99.99%和100%的比例值。
- 从ECDF函数可以看出,例如长度为100个数据包及以上的TLS流平均比所有数据集中90%的TLS流更长。
- 进一步的流量分析表明,99%的TLS流相当短,每个流约有1000个数据包,而顶部1%的流可能非常长。

基于以上分析,旁路TLS流量对加速IDS处理非常有益。由于TLS流较短,必须尽快检测包含加密数据的数据包,以避免到达IDS系统的接收缓冲区。同时,TLS旁路表必须能够快速修改流条目。

2. DPDK TLS预过滤器概述

由于实际网络流量中加密连接的广泛使用,使用TLS预过滤器旁路TLS流量是一个有价值的用例。这里选择Suricata作为IDS进行实验,原因如下:
- 高性能多线程模型。
- 易于扩展。
- 可以扩展Suricata数据包捕获模块现有的DPDK实现。

DPDK驱动程序不断轮询网卡(NIC)以获取新数据包,而不是使用中断将数据包传递到应用程序。这对于繁忙网络来说是一种高性能策略,但会增加CPU负载。

2.1 系统架构

系统的高层架构如图4所示,其工作流程如下:
1. 被监控网

订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
DPDK移植到snort上的DAQ
一元硬币
08-06 6371
DAQ 与Snort在snort-daq中,daq的控制流程是这样的。 如上所述,Snort在初始化的时候载入了daq。这个时候snort的所调用的api是daq_load_modules。也就是说,这个时候在主线程没有启动网卡,初始化实例的操作。 在初始化整个snort之后(载入配置,载入daq及其他各个模块等等)。snort就进入了分析的阶段了。这个阶段的主角是 pig,或者说更本质的
DDoS检测防御实现方案
focus on security
10-12 1049
对pps或bps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,bps,目标IP,目标端口。对pps或bps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,bps,目标IP,目标端口。对pps或bps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps,bps,目标IP,目标端口。对pps或bps汇聚统计,当超过阈值时触发告警,告警内容包括:攻击类型、起始时间、流量大小pps、bps,目标IP,目标端口。
IDS/IPS性能评测报告
12-03
IDS/IPS性能评测报告,包括国内国外几大IPS的性能评估报告
DPDK抓包,libnids包还原(分片,重组)
05-02
DPDK抓包,libnids包还原(分片,重组,协议分析)
linux报文高速捕获技术对比--napi/libpcap/afpacket/pfring/dpdk/xdp
热门推荐
网络安全研究
11-19 1万+
研究者们发现,Linux内核协议栈在数据包的收发过程中,内存拷贝操作的时间开销占了整个处理过程时间开销的65%,此外层间传递的系统调用时间也占据了8%~10%。我们可以看到,相对与libpcap_mmap来说,pfring允许用户空间内存直接和rx_buffer做mmap。DPDK在极端场景(如100GbE+低延迟交易)有轻微优势,但AF_XDP在主流场景已足够接近,且无需独占网卡。pf-ring zc和dpdk均可以实现数据包的零拷贝,两者均旁路了内核,但是实现原理略有不同。的技术,两者都能实现。
13、基于TLS预过滤的入侵检测系统加速分析
uber9的博客
06-01 71
本文探讨了基于TLS预过滤技术的入侵检测系统加速方法,并对Suricata的多种流量分析方案进行了全面评估。通过对比AF PACKET、DPDK以及TLS预过滤器等不同旁路策略的性能和检测质量,实验表明,使用有状态TLS预过滤器可以显著提高Suricata的吞吐量,同时保证检测的正确性和系统稳定性。文章还分析了TLS预过滤器在架构设计、性能提升和检测质量方面的优势,为高速网络环境下的入侵检测提供了一种高效的解决方案。
11、探索TLS证书演变与IDS加速中的TLS预过滤技术
uber9的博客
05-30 35
本文探讨了TLS证书的演变及其对网络安全的影响,并重点分析了入侵检测系统(IDS)在处理加密流量时面临的性能瓶颈。通过真实网络流量分析,提出了一种高效的TLS预过滤技术,能够在不影响检测质量的前提下显著提升IDS的性能。文章还比较了多种IDS加速方案,验证了TLS预过滤在实际网络环境中的有效性,并展望了未来优化方向。
利用日志管理,溯源追踪解决安全问题
信息安全-企业安全-数据安全
10-15 1万+
服务器是IT基础设施的关键,但是网络攻击每天都在发生。IT Governance报告显示,仅在2020年11月就有586,771,602条泄露记录。在今年1月至6月期间,CrowdStrike检测到了大约41,000次潜在攻击。可见,服务器一直面临着巨大的风险。 通常,攻击者会寻找并利用一个弱点或漏洞展开攻击,以进行“点”的突破;防守者则必须防御所有可能的入口点,才能形成“面”得防御。这种攻防的不对称性,对企事业单位带来了更多的威胁性。而当攻击者绕过安全防线发起攻击时,往往都有行为、进程的足迹可以溯源,有.
Suricata 深度解析-从原理到实践-1
hao_wujing的专栏
09-22 891
Suricata是一款高性能开源网络安全监测引擎,支持入侵检测(IDS)、入侵防御(IPS)和网络安全监控(NSM)。它采用多线程架构,兼容Snort规则,具备深度协议解析能力,可处理HTTP、TLS等应用层协议。系统包含数据获取、协议解码、流管理、检测引擎等模块,支持多种部署模式(IDS/IPS)和硬件加速技术(如DPDK)。Suricata提供丰富的日志输出和规则定制功能,适合企业网络边界防护、云安全监控等场景,是网络安全防御体系中的重要组件。
基于实战的网络入侵检测系统源码解析与实现
weixin_42515340的博客
10-16 742
htmltable {th, td {th {pre {简介:网络入侵检测系统(NIDS)是保障网络安全的核心技术之一,通过实时监控网络流量、捕获数据包、解析协议并识别异常行为,实现对潜在攻击的预警与响应。本“网络入侵检测源代码”项目完整实现了从数据包捕获到协议解析、签名匹配、异常检测及报警机制的全流程,采用libpcap等底层库和Python/C++等语言开发,并可集成Snort、Suricata等开源框架。
基于DPDKTLS预过滤器加速入侵检测系统分析
### 基于DPDKTLS预过滤器加速入侵检测系统分析 #### 1. TLS流量分析 TLS(传输层安全协议)流量在网络中占据重要地位,对其进行分析有助于优化入侵检测系统(IDS)的处理性能。 - **ECDF图分析**: - ECDF(经验...
DPDK-实战之skeleton(basicfwd)
3-Number
10-13 5076
0x01 缘由      继续学习DPDK示例,主要熟悉每个环节和设计理念,今天要学习的是一个相对简答的服务,仅仅从一个网口抓取数据包转发到另外一个网口,这样做双向转发,相当于桥的功能。其他基础业务都不做。 0x02 直接上源码分析 #include #include #include #include #include #include #include #define R
王树森深度强化学习课程学习笔记与代码实现项目-深度强化学习理论解析算法推导PyTorch实战案例Q-learning策略梯度Actor-Critic蒙特卡洛方法时.zip
11-27
王树森深度强化学习课程学习笔记与代码实现项目_深度强化学习理论解析算法推导PyTorch实战案例Q-learning策略梯度Actor-Critic蒙特卡洛方法时.zipVS Code EIDE开发环境配置
沂沭河区.zip
11-27
三级水系流域矢量数据,数据格式shp格式,坐标系wgs84,真实可靠可打开,放心使用
李仙江.zip
11-27
三级水系流域矢量数据,数据格式shp格式,坐标系wgs84,真实可靠可打开,放心使用
五次多项式换道转向避撞轨迹规划可视化Matlab代码(分析不同车速与路面附着系数对换道时间、距离及横向加速度的影响)分析车速与路面
最新发布
11-27
五次多项式换道转向避撞轨迹规划可视化Matlab代码(分析不同车速与路面附着系数对换道时间、距离及横向加速度的影响)内容概要:本文档主要介绍了一个基于五次多项式进行换道转向避撞轨迹规划的Matlab仿真代码,重点分析了不同车速与路面附着系数对车辆换道时间、换道距离以及横向加速度的影响。通过可视化手段展示轨迹规划结果,帮助研究人员深入理解自动驾驶中路径规划的安全性与舒适性指标。该资源属于一系列科研仿真工具的一部分,涵盖路径规划、智能优化、电力系统、信号处理等多个领域,突出Matlab/Simulink在工程仿真中的应用价值。; 适合人群:具备一定Matlab编程基础,从事自动驾驶、智能交通系统、车辆工程或路径规划相关研究的研究生、科研人员及工程技术人员。; 使用场景及目标:①研究自动驾驶中安全换道轨迹的生成方法;②分析车辆动力学参数与道路条件对换道性能的影响;③为高级驾驶辅助系统(ADAS)和无人驾驶决策控制系统提供算法支持与仿真验证。; 阅读建议:建议结合Matlab代码与文档内容同步运行仿真,调整车速与路面附着系数等参数,观察换道轨迹与加速度变化趋势,深入理解五次多项式在连续平滑轨迹生成中的优势,并可进一步拓展至动态障碍物避撞或多车协同换道场景。
智能天线原理与MATLAB实践
11-27
本书系统讲解智能天线的基本原理与前沿技术,涵盖电磁场基础、天线阵列、随机过程、信道模型、到达角估计、自适应波束成形等内容。结合MATLAB仿真,帮助读者深入理解智能天线在无线通信、雷达等领域的应用。适合电子信息类研究生及工程师阅读,配套代码便于动手实践,助力掌握现代阵列信号处理核心技术。
高天区.zip
11-27
三级水系流域矢量数据,数据格式shp格式,坐标系wgs84,真实可靠可打开,放心使用
DPDK加速的Suricata-4.1.4网络入侵检测系统配置
- **Suricata**:标签再次指明了文档或项目与Suricata入侵检测系统的相关性。 - **DPDK**:标签中包含DPDK,表明文档或项目中涉及到了DPDK的使用,特别是和网络数据包处理和加速相关的内容。 - **网络安全**:网络...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值