愛奇藝重磅開源高性能網絡安全監控引擎！

QNSM(IQIYI Network Security Monitor) 是一個旁路部署的全流量，實時，高性能網絡安全監控引擎，基於 DPDK 開發，集成了 DDOS 檢測和 IDPS 模塊。

DDOS 檢測

DDOS 檢測功能包括:

• 全流量檢測，可以部署在 IDC 環境，支持 SYN，ACK，RST，FIN，SYNACK，ICMP，UDP FLOOD 以及反射攻擊 (DNS/NTP/SSDP 反射…).

• 實時多維度聚合數據

• 流採樣數據，提供攻擊事件未檢出後的 fall back 機制.

• 隨時停啓的聚合數據輸出

• 數據以 json 格式輸出，便於數據分析.

• 針對 UDP 反射攻擊，提供 DFI/DPI 機制 (MEMCACHE，TFTP，CHARGEN，CLDAP，QOTD…).

• 事件過程中 dump 攻擊數據包.

• 支持 IPv4 和 IPv6

IDPS

IDPS 模塊基於 Suricata，並新增瞭如下特性，

• 支持 lib 化編譯安裝，基於 Suricata 4.1.0 版本

• 支持事件以 Kafka 方式輸出，提升事件吞吐量，便於進一步數據分析

部署描述

架構描述

整體功能模塊圖如下：

• 基礎模塊

  包含 PORT，CPU 消息、配置文件、表項管理接口、調度框架等基礎功能模塊。

• 流水線模塊

  SESSM：DDOS 檢測，負責 IPv4 和 IPv6 數據包解析，採樣 FLOW 數據聚合，應用層 DFI 解析，ACL 策略下發。

  SIP_AGG：DDOS 檢測攻擊源聚合和輸出。

  VIP_AGG：DDOS 檢測 VIP 自學習，數據聚合和輸出。

  DUMP：DDOS 攻擊數據包 DUMP 並保存爲 pcap 文件。

  EDGE：類似於 broker，輸出多維數據至 KAFKA。

  DETECT：IDPS 檢測。

• 控制面和工具

  主要包括 Master 組件以及相關配置文件。

  Master 負責接收分析中心的攻擊事件策略並下發至相應的轉發面組件，包含 dump 數據包，攻擊源，攻擊源端口，反射攻擊 proto DFI。

• IDPS 管理服務

  FM/FR：IDPS 資源管理和回收

  CS：IDPS 統計數據

項目地址

開源地址：https://github.com/iqiyi/qnsm

本文由 Readfog 進行 AMP 轉碼，版權歸原作者所有。
來源：https://mp.weixin.qq.com/s/9pR731GF-jt38-uXRmUMTQ