利用NVIDIA DPU重塑网络安全格局

在第三届 NVIDIA DPU 黑客松竞赛中，我们见证了开发者与 NVIDIA 网络技术的深度碰撞。在 23 支参赛队伍中，有 5 支队伍脱颖而出，展现了在 AI 网络、存储和安全等领域的创新突破。

由崔湛林、罗哲宽、严阳组成的 Horizon 团队在本届黑客松中拔得头筹。同为计算机科学专业的他们虽然来自不同学校，却因黑客松而结缘，凭借其创新项目“构建 AI 驱动的 DPU 实时网络安全防御系统”获得本次黑客松竞赛第一名。该项目通过NVIDIA DOCA 软件框架实现了 AI 与 DPU 的深度协同，不仅突破了传统网络安全防御的实时性瓶颈，更开创了智能边缘安全防护的新范式。

用 DPU 重塑网络安全格局

在现代网络环境中，传统的安全检测方式往往存在滞后性，难以应对日益复杂的攻击手段。Horizon 团队敏锐地捕捉到这一痛点，提出了一种运行在 DPU 上的实时网络安全系统。该系统结合 NVIDIA DOCA 软件框架和 NVIDIA BlueField-3 DPU 强大的硬件特性，通过团队首创的“混合检测架构”，利用规则检测与 LSTM 深度学习 AI 检测的动态权重融合，让网络安全实现了从被动防御到主动预警的转变。

谈及项目创作的灵感来源，队长崔湛林分享道：“基于对市场需求的理解和前沿技术的探索，我们意识到在 AI 时代加强网络安全的迫切性，由此萌生了开发一个运行在 DPU 上的实时网络安全系统的想法。在技术选型上，我们发现传统检测方式存在滞后性，因此创新性地引入了 AI 模型进行混合检测与防御。”从需求分析到技术实现，Horizon 团队展现了非凡的协作与执行能力。

从 350 微秒到 100 微秒延迟的突破性优化

在开发过程中，团队遇到的核心技术挑战是：如何将 AI 模型推理结果通过 DOCA Flow 写入硬件表并将端到端延迟压缩到 100µs（微秒）以内？

初始方案中，由于团队默认使用了 PCIe 内存拷贝并受到中断切换抖动的影响，实测延迟高达 350µs（微秒）以上，远未达到目标。实现这种量级的性能优化极具挑战性，几乎没有现成案例可循。

“这要求我们重新规划底层硬件栈的数据流。”崔湛林解释道。在 NVIDIA 技术专家的指导下，团队启用了 DOCA Zero Copy 技术，彻底消除了主机与 DPU 之间的数据拷贝。此外，他们还进行了深度系统优化：将 AI 推理容器绑定到特定 NUMA 节点，关闭处理器的 C States 节能状态，并将关键中断请求（IRQ）映射到专用的 CPU 核心上，从而最大程度减少了上下文切换带来的延迟抖动。经过三轮迭代，团队虽未完全达成 100µs 微秒的目标，但实现了显著的性能突破，为后续优化奠定了基础。

混合检测架构为未来网络安全保驾护航

该项目的创新之处在于其混合检测架构和智能防御理念。Horizon 团队首创的“规则检测+LSTM 动态权重融合”方法，让网络安全实现了从被动到主动、从静态到动态、从集中到边缘的转变。未来，他们计划结合 Transformer、GNN 等先进架构，进一步优化模型，并探索多 DPU 协同的边缘计算场景，将这一技术推向企业级安全产品的合规与运维监测、教育领域的网络安全教学，以及 AI 安全算法研究等领域。

DOCA 开发者快问快答

Q

您是从哪里了解到 NVIDIA DPU 黑客松竞赛的？参赛的目标是什么？

A

我们是通过 NVIDIA 官方公众号及 DOCA 开发者社区关注到了本次竞赛。参赛的核心目标在于系统性学习 NVIDIA BlueField DPU 等前沿技术，并积累实战开发经验。

Q

赛前举办的 DPU 线上技术训练营对您的备赛起到哪些帮助？

A

训练营为我们提供了深入了解 NVIDIA 最新网络技术的宝贵机会，这极大地增强了我们进行技术选型和开发的信心。例如，我们最终选用的 Telemetry 与 Prometheus，正是基于我在训练营中对相关技术演示的理解和应用。

Q

参与 NVIDIA DPU 黑客松竞赛有哪些收获？

A

这是我们第一次参加 NVIDIA DPU 黑客松竞赛，备赛参赛体验都很好。导师团队的专业支持及时解决了我们遇到的技术难题，与其他参赛队伍的互动也让我们学习了许多创新理念与解决方案。

Q

本次竞赛中最难忘的经历是什么？

A

印象最深刻的是当遇到开发挑战时，通过队员的共同努力和导师团队的专业指导破解了技术瓶颈，这种团队协作攻破难题的感觉令人难忘。另外，我们也受邀去 NVIDIA 在北京的办公室参加颁奖典礼，现场体验了 NVIDIA 在 AI 上的强大生态，以及在硬件、软件上的突破和创新，加强了我们在应用层做开发的信心。

Q

您是从什么渠道了解到 NVIDIA DOCA 的？什么契机使您成为 DOCA 开发者？

A

在 2024  年的一次线上技术分享会上，演讲者演示了如何通过 DOCA Flow 在网卡侧完成线速 ACL，实现下行 CPU 负载骤降 70% ，这精准击中了我们在网络安全方案开发中的痛点。所以，当我们在 NVIDIA 官方微信公众号看到第三届 NVIDIA  DPU 黑客松的报名信息时，就决定通过实战项目深入探索 DOCA，正式踏上 DOCA 开发之旅。

Q

最初从事 DOCA 开发时，有具体明确的目标吗？

A

最开始是想要了解 NVIDIA BlueField DPU 和 NVIDIA DOCA 在网络安全和边缘计算中的潜力，于是开始尝试官方提供的示例程序和 SDK。后面发现 DPU 在零信任安全框架、高性能网络等领域都有很好表现，于是继续探索 AI+网络安全的方向。

Q

NVIDIA DOCA 中国开发者社区对你们有何帮助？

A

社区环境非常友好，DOCA 框架的文档完整度极高，从驱动安装到示例编译都提供了详尽的“一步一截图”式指导，对初学者非常友好。社区的氛围活跃且包容，官方定期组织技术分享活动，开发者之间也互相帮助答疑解惑，非常适合各阶段的开发者成长。

开发者寄语

“DPU 在未来的 AI 工厂、零信任安全、边缘计算等场景的潜力巨大，我们的项目只是开始。对于开发者而言，掌握 DOCA 开发技术意味着同时提升软件与硬件协同优化的复合能力，这将在未来的数据中心和云计算领域构筑显著竞争优势。”——Horizon 团队队长 崔湛林