Snort入侵检测系统中数据包捕获模块的分析与设计

随着网络的高速发展,网络带宽得到了极大的提升。高速网络环境下对入侵检测系统提出了更高的要求,其中入侵检测系统的数据包捕获能力成为其发展的瓶颈。目前大多数系统使用传统的Libpcap库来实现数据包捕获功能,文章对一个基于Snort入侵检测系统中数据包捕获模块进行了分析设计,给出了设计架构,详细说明了工作流程,并对系统的性能进行了对比分析。     

高速网络环境下的数据采集技术

近年来,网络带宽的飞速发展使得入侵检测系统、防火墙等网络安全产品在适应高速环境下的数据采集受到挑战。本文在对传统的数据采集进行深入研究的基础上,对NAPI与PF_RING技术进行了优化。实验结果表明,优化后NAPI与PF_RING技术能够对骨干网流量进行实时入侵检测系统的数据采集。     

基于多核架构和多收发队列的高速捕包模型研究

本文在基于PCI-E总线的Intel X86多核平台下,提出了一种基于多核CPU和多收发队列网卡的包捕获模型（简称Multi-PF—RING）。通过充分利用RPS和RFS的包分发技术、PF—RING的零拷贝技术和多核cpu的计算资源,解决了Gbit及其以上链路带宽下的包捕获问题。     

面向应急响应的高速网络流量采集设计与实现

网络安全应急响应在网络分析和追踪时需要应急采集,即捕获特定IP、端口、协议的原始分组。基于高速网络分组捕获工具PF_RING DNA,利用多核多线程并发采集与规则匹配的网络分组,并分配共享缓冲区提高分组的磁盘存储性能,同时通过对采集规则设置不同的状态,实现动态添加采集规则和人为干预采集过程。实验结果表明,在双万兆网卡的环境下,应急采集系统可以捕获并处理19.98 bit/s(3.5 Mpacket/s)的网络流量,最大应急采集速率为1 297 Mbit/s（204.9 kpacket/s）。     

基于Linux的高速网络数据捕获技术

当前,在Linux下普遍使用的传统捕获技术都是基于BPF机制,随着网络速度的不断提高,捕获效率却不断下降。本文介绍一种在高速网络下基于零拷贝思想的PF_RING捕获技术,通过减少内核空间到用户空间数据拷贝的方式,大大提高了系统性能,并详细阐述了PF_RING在Linux核心下的实现,通过实验验证了它的可行性。     

PF_RING与NAPI结合的捕包性能优化和仿真

频繁中断响应、冗余的数据拷贝和上下文切换等是影响网络数据包捕获性能的主要因素。为了减少这些因素的影响,提出将PF_RING与NAPI结合应用到捕包过程,以对性能进行整体优化。比较了PF_RING与传统数据包捕获机制的差异,分析了两者结合的优势,搭建实验平台,采用内核发包形式,进行实验仿真。在仿真实验中,从捕包率和处理效率与传统方式进行比较,分析实验数据得出该方法可以有效地提高捕包性能。