一种用于高效报文捕获引擎的异步算法

随着网络速度的增加,作为网络监测底层设施的报文捕获引擎暴露出性能上的不足.首先建立了报文接收的模型,分析了报文捕获的主要性能瓶颈--数据拷贝和上下文切换.为了避免上下文切换,提出了一种异步算法,称为"非对称剥夺条件下的追赶算法",它解决了临界段互斥访问的问题,并可以充分发挥异步工作的效率优势.模型分析和测试表明,基于这种算法设计和实现的报文捕获引擎可以大大减少上下文切换次数,具有很高的性能.     

传统报文捕获平台性能影响因素分析

目前网络带宽日益增大,普通网络报文捕获平台已经成为大规模宽带网络的入侵检测系统,宽带网络防火墙,高性能路由器等工程的瓶颈。对于日益发展的高速网络,迫切需要分析出普通报文捕获平台的性能瓶颈,研究出高速通信接口,以便有效地提高主机服务器的响应速度。     

高效报文捕获引擎FPC的研究与实现

网络监测在现代基于IP的网络中具有越来越重要的作用.随着网络速度的增加,作为网络监测关键部分的报文捕获引擎暴露出了在性能上的不足.FPC是一个Linux下基于内核的高效报文捕获引擎,使用它可以有效提高网络监测等应用的性能.本文首先在硬件层次和软件层次上分析了报文捕获过程中可能的性能瓶颈,然后介绍了FPC的整体结构和实现的关键技术.测试和应用表明,FPC具有良好的性能.     

RTAI下的网络报文捕获平台

针对传统报文捕获机制中内存拷贝冗余、中断处理及上下文切换频繁等弊端,提出在用户空间控制报文传输的思想,采用实时Linux内核及零拷贝思想对网卡驱动进行改造。捕包平台在捕获64 Byte及1 500 Byte的报文时,吞吐量分别达到了473 Mb/s和943 Mb/s,实验结果证明,与传统报文捕获平台相比,新平台的性能有显著提高。     

Snort报文捕获机制的研究与改进

在对Snort系统的报文捕获机制进行研究的同时,针对Snort在高速网络上使用libpcap进行报文捕获的缺点提出了一种基于Sampleandhold采样算法的改进机制,提高了Snort系统在高速网络链路上检测异常/入侵活动的效率。     

高速IDS系统中读写缓冲区的互斥机制

在网络入侵检测系统中,通常需要在内存中开辟缓冲区对网络报文进行采集和分析,但是传统的读写缓冲区的互斥机制在高速网络环境中的效率都不甚理想,无法满足对高速IDS系统的性能需求。该文提出的一种基于并发锁机制的双缓冲区互斥机制可以改善传统锁机制的资源利用率,很好地解决了报文到达流和报文处理能力之间的性能瓶颈问题,显著地提高了IDS系统的性能。     

零拷贝技术在网络分析工具中的应用

针对目前网络分析工具的报文捕获机制及优缺点,实现了一种新的专用于报文捕获的网络协议簇—PF_ZEROCOPY。该协议簇基于零拷贝思想,借助内存共享技术,将网络报文直接DMA传输到用户空间的缓存区,绕开Linux网络协议栈、减少了内存拷贝次数;使用DMA缓存描述符环,实现了网卡和用户程序无冲突访问共享缓冲区;通过封装成内核网络协议簇,PF_ZEROCOPY具有易于应用和移植的特点。实验结果分析表明,该方法对随机长度的报文捕获速率可达900Mb/s以上,与libpcap相比较为明显地改善了报文捕获的能力。     

快速路由查找算法研究

随着互联网络光链路速率不断提高，路由查找已成为路由器报文转发的瓶颈。主要介绍近年来提出的各种路由查找方法，并对各种方法的性能及对IPv6适应性进行了分析比较。     

一种改进的路由器包转发模型的性能测试及分析

该文首先介绍了一个用于解决活锁现象的改进的路由器包转发模型,然后研究了报文的转发过程,对其进行了详细的测试,并对测试结果进行了分析,得到了影响性能瓶颈的因素,提出了改进的方案。     

IP路由查找和报文分类模型研究

IP路由查找和报文分类作为路由器转发能力和提供高性能区分服务能力的关键因素,是当前路由器转发性能乃至整个网络性能的主要瓶颈。文章以IP路由查找和报文分类问题为研究对象,从空间几何的角度探究其本质,建立了相应数学模型MDCM,并以此为基础,讨论了各类搜索算法在IP路由查找和报文分类问题求解的优缺点,为研究和设计高性能的IP路由查找和报文分类算法提供重要指导。     

PF_RING与NAPI结合的捕包性能优化和仿真

频繁中断响应、冗余的数据拷贝和上下文切换等是影响网络数据包捕获性能的主要因素。为了减少这些因素的影响,提出将PF_RING与NAPI结合应用到捕包过程,以对性能进行整体优化。比较了PF_RING与传统数据包捕获机制的差异,分析了两者结合的优势,搭建实验平台,采用内核发包形式,进行实验仿真。在仿真实验中,从捕包率和处理效率与传统方式进行比较,分析实验数据得出该方法可以有效地提高捕包性能。     

Snort数据包捕获性能的分析与改进

基于Snort的入侵检测系统运行在Linux操作系统平台,捕获数据包的工作是借助Libpcap由Linux操作系统内核完成的。要提高入侵检测系统的效率,首先要保证捕获数据包的效率。本文对Linux的数据包捕获机制进行分析,然后利用NAPI技术和内存映射技术对Snort进行改进。试验结果表明,使用NAPI和内存映射技术后,Snort系统的性能得到明显的改善。     

高速网络IPv6数据包采集的研究

被动数据捕捉技术在网络安全领域有着极其丰富的应用,但传统的采集方式在网络流量较大时,系统将出现大量丢包现象,己经不能适应千兆网络的要求？PF_RING机制是一种不必修改网卡驱动,面向PC、普通网卡的接口丰富的性能表现优异的软件解决方案。本文首先分析了传统的数据包采集技术,然后对PFRING机制进行详细的分析,在此基础上,基于Linux操作系统实现了基于PF_RING的IPv6数据包采集,最后在实验平台上进行测试并对测试结果进行分析：     

基于DPDK的高速数据包捕获方法

不断增大的网络带宽给人们提供了丰富的网络应用和服务的同时,也给传统的数据俘获系统带来了挑战.本系统基于Intel数据平面开发套件（Data Plane Development Kit,DPDK）设计了高速网络数据包捕获软件.能够更好适应目前校园网高速网络数据包捕获的要求,为网络数据包分析提供技术支持.最后,本文对基于DPDK的数据包捕获系统和传统Libpcap进行了实验结果对比,表明基于DPDK的数据包捕获系统能够明显提升高速网络出口数据俘获的性能.     

基于dpdk的高效数据包捕获技术分析与应用

对Intel dpdk数据包捕获技术进行了深入研究,对其优缺点进行了详细的分析。在此基础上,利用dpdk设计并实现了一套基于Linux的数据包捕获系统,成功地将其应用于千兆网络安全防护系统中。使用BPS软件对基于dpdk的网络安全防护系统与基于pf_ring的网络安全防护系统进行仿真分析,结果表明dpdk对整体系统性能的提高成效显著,取得了良好的效果,验证了该方法的可行性。     

基于Linux系统的高速网络捕包技术研究*

在对Linux系统捕包机制分析的基础上,通过试验详细讨论了高速网络环境下网络捕包的性能瓶颈。针对性能瓶颈给出了NAPI与内存映射机制相结合的改进方案。     

Linux下内核空间以太网包的捕获设计

在Linux下通常的网络数据包捕获通过Libpcab函数框架实现,该体系下实现的包捕获存在着一些缺陷。探讨了netfilter框架在Linux内核中的实现,并利用netfilter框架进行以太网数据包的捕捉接收,经处理后实现数据包的重组发送。在内核空间处理网络数据包不仅提高了效率,减少了数据从内核空间传递到用户空间消耗的资源,而且可以截获网络上所有的以太网报文,对网络数据进行过滤和处理     

基于零拷贝数据包捕获机制的研究与改进

传统数据包捕获机制BPF存在的问题有两个,一是数据报文在提交给检测程序处理时,需要两次拷贝,二是数据报文处理过程中出现频繁的中断。采用了双零拷贝技术和半轮询驱动技术克服上述缺点,提出了半轮询双零拷贝数据包捕获机制。通过实验证明,新引入的机制能够较好地提高数据包捕获机制的性能。     

Snort入侵检测系统中数据包捕获模块的分析与设计

随着网络的高速发展,网络带宽得到了极大的提升。高速网络环境下对入侵检测系统提出了更高的要求,其中入侵检测系统的数据包捕获能力成为其发展的瓶颈。目前大多数系统使用传统的Libpcap库来实现数据包捕获功能,文章对一个基于Snort入侵检测系统中数据包捕获模块进行了分析设计,给出了设计架构,详细说明了工作流程,并对系统的性能进行了对比分析。