愛奇藝重磅開源高性能網絡安全監控引擎!
QNSM(IQIYI Network Security Monitor) 是一個旁路部署的全流量,實時,高性能網絡安全監控引擎,基於 DPDK 開發,集成了 DDOS 檢測和 IDPS 模塊。
DDOS 檢測
DDOS 檢測功能包括:
-
全流量檢測,可以部署在 IDC 環境,支持 SYN,ACK,RST,FIN,SYNACK,ICMP,UDP FLOOD 以及反射攻擊 (DNS/NTP/SSDP 反射…).
-
實時多維度聚合數據
-
流採樣數據,提供攻擊事件未檢出後的 fall back 機制.
-
隨時停啓的聚合數據輸出
-
數據以 json 格式輸出,便於數據分析.
-
針對 UDP 反射攻擊,提供 DFI/DPI 機制 (MEMCACHE,TFTP,CHARGEN,CLDAP,QOTD…).
-
事件過程中 dump 攻擊數據包.
-
支持 IPv4 和 IPv6
IDPS
IDPS 模塊基於 Suricata,並新增瞭如下特性,
-
支持 lib 化編譯安裝,基於 Suricata 4.1.0 版本
-
支持事件以 Kafka 方式輸出,提升事件吞吐量,便於進一步數據分析
部署描述
架構描述
整體功能模塊圖如下:
-
基礎模塊
包含 PORT,CPU 消息、配置文件、表項管理接口、調度框架等基礎功能模塊。
-
流水線模塊
SESSM:DDOS 檢測,負責 IPv4 和 IPv6 數據包解析,採樣 FLOW 數據聚合,應用層 DFI 解析,ACL 策略下發。
SIP_AGG:DDOS 檢測攻擊源聚合和輸出。
VIP_AGG:DDOS 檢測 VIP 自學習,數據聚合和輸出。
DUMP:DDOS 攻擊數據包 DUMP 並保存爲 pcap 文件。
EDGE:類似於 broker,輸出多維數據至 KAFKA。
DETECT:IDPS 檢測。
-
控制面和工具
主要包括 Master 組件以及相關配置文件。
Master 負責接收分析中心的攻擊事件策略並下發至相應的轉發面組件,包含 dump 數據包,攻擊源,攻擊源端口,反射攻擊 proto DFI。
-
IDPS 管理服務
FM/FR:IDPS 資源管理和回收
CS:IDPS 統計數據
項目地址
開源地址:https://github.com/iqiyi/qnsm
本文由 Readfog 進行 AMP 轉碼,版權歸原作者所有。
來源:https://mp.weixin.qq.com/s/9pR731GF-jt38-uXRmUMTQ