1、隨著計算機(jī)網(wǎng)絡(luò)的飛速發(fā)展及社會信息化程度的提高，計算機(jī)網(wǎng)絡(luò)在方便人們生活的同時也帶來相當(dāng)嚴(yán)重的安全問題。入侵防御系統(tǒng)是網(wǎng)絡(luò)安全領(lǐng)域為彌補(bǔ)防火墻和入侵檢測的不足而新興的信息安全技術(shù)，它綜合了防火墻和入侵檢測系統(tǒng)的優(yōu)點，能夠?qū)ΡＷo(hù)網(wǎng)絡(luò)進(jìn)行主動實時的防御。由于主干網(wǎng)絡(luò)帶寬普遍已經(jīng)進(jìn)入了千兆時代，千兆網(wǎng)絡(luò)入侵防御系統(tǒng)的相關(guān)研究與應(yīng)用成了信息安全領(lǐng)域的熱點之一。
　　本文首先分析了目前安全防御技術(shù)的一些優(yōu)缺點，包括防火墻、入侵檢測等；然后研

2、究了入侵防御系統(tǒng)的原理、分類、特點以及存在的性能瓶頸。在深入分析了IPS的相關(guān)理論的基礎(chǔ)上，本文給出了一種高效、高性能的千兆網(wǎng)絡(luò)入侵防御系統(tǒng)（GNIPS）的解決方案，并分析了其系統(tǒng)原理、工作流程和關(guān)鍵技術(shù)。該GNIPS基于專有硬件平臺，綜合了協(xié)議分析、模式匹配、多種檢測技術(shù)，能夠降低入侵防御系統(tǒng)的高誤報率和漏報率，深層次對網(wǎng)絡(luò)入侵進(jìn)行防御。文中提出的動態(tài)防御機(jī)制提高了系統(tǒng)主動實時的入侵響應(yīng)能力，從而提高了網(wǎng)絡(luò)整體的安全性。
　　G

3、NIPS在硬件方案上選取了OCTEON CN3860多核平臺作為GNIPS探針的實現(xiàn)平臺。本文考察了現(xiàn)有的多核平臺下的軟件結(jié)構(gòu)模型，包括AMP、SMP、BMP等，分析了相關(guān)模型的優(yōu)缺點，最終選取了BMP模型作為系統(tǒng)的實現(xiàn)模型，并根據(jù)流水線和并行的處理模式設(shè)計了該系統(tǒng)的軟件體系結(jié)構(gòu)。該軟件體系結(jié)構(gòu)能夠?qū)W(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行多層次的分流和并行處理，能夠較充分地發(fā)揮多核平臺的能力，全面提升系統(tǒng)的處理性能，滿足千兆網(wǎng)絡(luò)安全處理的需要。
　　網(wǎng)絡(luò)

4、管理是所有網(wǎng)絡(luò)應(yīng)用設(shè)備必須提供的功能，本文的GNIPS的探針也是網(wǎng)絡(luò)設(shè)備的一種，其控制平面負(fù)責(zé)完成對外提供安全的管理接口、完成告警/日志數(shù)據(jù)的安全交互。本文討論了流行的SNMP、Web及NETCONF的管理模型，設(shè)計了自己的解決方案，并在嵌入式Linux環(huán)境下對控制平面進(jìn)行了實現(xiàn)，包括探針軟件控制平面軟件系統(tǒng)的設(shè)計、構(gòu)建以及控制平面各個子模塊的實現(xiàn)。最后在模擬千兆網(wǎng)絡(luò)環(huán)境下對控制平面子系統(tǒng)進(jìn)行了功能測試，測試結(jié)果表明實現(xiàn)的控制平面滿足預(yù)