IPv6大赛获奖项目：基于SRv6+INT的多模态网络处理器态势感知方法

 图2 研究需求与框架

  那么，在多模态网络的场景下，产生了两大需求：第一，目前大多数的网络处理器偏向于特定业务，可编程性差，难以承载多种分组处理业务，无法满足多模态网络的多样化业务接入需求，因此需要一种全新的多模态网络处理器架构；第二，未来网络的多变性也会带来隐藏风险，所以需要对网络性能、网络流量等进行更加实时且细粒度的反馈，而现有的测量方法比如带内遥测（INT），以及威胁态势感知的方法，往往都是结构单一且开销巨大的，需要一种更加灵活，更加轻量级的信息获取与态势感知方法。

 图3 SRv6技术的特征与应用

 而SRv6技术可以在一定程度上满足上述需求。SRv6作为IPv6未来网络的重要技术之一，它通过给予报文SRH，沿途交换节点根据SRH中的信息进行报文处理。因此，SRH不仅可以存储测量信息，还可以存储模态标志指定处理模态，满足未来网络的多模态特征。

图4 总体技术路线框架

  针对上述研究背景，我们提出了基于SRv6和INT的多模态网络处理器态势感知方法，设计了一套全新的多模态网络处理器架构，支撑了基于SRv6的威胁态势信息遥测方法，并展开设计了一套基于集成学习的威胁态势理解与投射方法。通过软硬件的协同设计与层层推进，完成基于IPv6的下一代互联网架构下的测量、管理与调度。

图5 多模态网络处理器体系结构

 我们设计了如图5所示的多模态可重构网络处理器。在硬件资源方面，我们集成了基于CPU、FPGA和ASIC的三种异构资源，使其协同处理，充分提升网络处理器整体性能；在软硬件协同方面，我们设计了多级缓存调度算法和分组处理调度算法，使得软件算法能够尽可能充分调用硬件资源。

图7 分组感知调度流程

软硬件协同的分组调度技术深度协同CPU和FPGA硬件资源，通过DMA数据通道对数据进行高速传输，将硬件处理模块与软件转发任务协同，通过CPU的多核调度实现对不同任务应用的综合处理，借助FPGA的并行性能加速处理速度，具体过程如图7所示。

图8 SRv6和NT-RP

  在多模态网络处理器的平台基础上，我们基于SRv6的可编程性设计并实现了具有运行时任务可重构能力的多维带内网络遥测系统NT-RP，实现了威胁态势察觉。如图8所示，NT-RP将带内遥测(INT)与SRv6相结合，利用SRH中已使用的Segment list区域携带遥测信息，有效减少了遥测对正常业务流量的开销影响。

图9 分布式NTM循环存储策略

图11 在线态势理解流程

基于NT-RP威胁态势信息遥测方法获得的态势要素，我们设计并验证了一种基于集成学习的威胁态势理解与投射方法。如图11所示，在线态势理解采用AdaBoost集成学习方法，集成多个模型对态势信息进行层次化分类，并生成威胁信息。

图12 态势投射流程

 如图12所示，态势投射与威胁处理方法依据威胁信息回溯态势以确定威胁流量，如异常大流量、DDoS威胁和蠕虫威胁等，并针对不同的威胁流量生成清洗指令，完成态势投射与处理。

图13 高性能安全网关场景

其次，本作品可加载在各类安全设备中，成为一个自主可控安全防护模块。采用全国产化的异构资源使本作品研发成本低，完全自主可控。同时威胁态势感知系统可满足安全防护模块的轻量化需求，采用低开销方法实现威胁态势觉察与处理。

图15 端边云网络场景

最后，本作品设计的多模态网络处理器采用CPU+FPGA+ASIC的深度可编程chiplet架构，实现了资源解耦，支持芯片级/封装级/板级多样化集成形式。同时采用全国产化的异构资源，相关调试工具、软硬件代码、接口规范等深度自主，为IPv6新型互联网业务部署提供了开源开放、深度可定制的网络处理平台。