返回
千兆位入侵检测系统中的零拷贝码流采集技术-论文.pdf

千兆位入侵检测系统中的零拷贝码流采集技术-论文.pdf

ID:53032332

大小:98.26 KB

页数:3页

时间:2020-04-14

千兆位入侵检测系统中的零拷贝码流采集技术-论文.pdf_第1页
千兆位入侵检测系统中的零拷贝码流采集技术-论文.pdf_第2页
千兆位入侵检测系统中的零拷贝码流采集技术-论文.pdf_第3页
资源描述:

《千兆位入侵检测系统中的零拷贝码流采集技术-论文.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、云南大学学报(自然科学版),2007,29(S2):206~208CN53-1045/NISSN0258-7971JournalofYunnanUniversityX千兆位入侵检测系统中的零拷贝码流采集技术邓辉,王锋,梁波(昆明理工大学云南省计算机技术应用重点实验室,信息工程与自动化学院,云南昆明650051)摘要:千兆位入侵检测是当前网络安全领域的一个研究热点,而其中网络信息流的采集又是整个IDS系统的重要组成部分,针对一个千兆位入侵检测系统的实例,讨论了基于BPF机制的数据包截获机制,并进一步

2、提高利用零拷贝技术实现的性能优化.关键词:IDS采集;零拷贝;BPF中图分类号:TP393.08文献标识码:A文章编号:0258-7971(2007)S2-0206-03随着网络技术的飞速发展,网络安全问题也越件.低效率的过滤程序会导致数据包丢失、分析部来越突出.网络入侵检测系统作为主动的网络安全分来不及处理等.防御体系,在P2DR模型中成为重要的组成部分.BPF提出的背景是当时在UNIX网络功能使用入侵检测系统已经不再是一个新鲜的课题.入侵检中出现了对网络监控工具的强烈需求,以便用来分测系统面临

3、的最主要挑战之一,是检测速度太慢.析和排除网络故障.而网络监控程序都运行在用户目前大多数入侵检测系统在不牺牲检测质量的前态空间,数据包必须从内核中拷贝到用户空间后再提下,无法处理百兆位网络满负荷时的数据量,而进行处理,而这种重复的拷贝工作对实质的功能实千兆位更是难以企及的目标.入侵检测系统从诞生现是毫无意义.因此有人提出来应该在内核中建立之日起,便不断为提高自身的性能以适应迅速增长一个代理进程即数据包过滤器,用来尽早地丢弃那的网络流量而努力.与百兆相比,千兆位入侵检测些不需要的数据包.相对于早期的

4、若干UNIX数据系统的实现技术较为困难,其中核心的问题在于如包过滤器,BPF具有其独到的设计优点,从而大大何解决高速网络信息流的采集以及高速的匹配操提高了运行性能.BPF在设计体制上的两大改进如作.如何提高采集流的速率成为一个迫切需要研究下.的问题.BPF使用了一种重新设计的基于寄存器的/过滤器虚拟机0,能够在基于寄存器的RISC处理器上1网络数据采集设计高效率地实现.而早期的数据包过滤器,如CSPF1.1基于BPF的数据包截获机制要实现网络(CMU/StanfordPachketFilter)使

5、用的是基于内存堆数据包的采集并不困难,从原理上网络数据包捕获栈的过滤器,因此其性能在受内存速度瓶颈影响的模块将网络接口设置为混杂模式,将网络上传输的现代处理器体系下会大大降低.数据包截取下来,供协议解析模块使用.BPF使用了一种简单的非共享的缓存模型,这由于效率的需要,有时要根据设置过滤网络上种模型在现代机器的巨大地址空间条件下变为可的一些数据包,如特定IP、特定MAC地址、特定协行.采用了该种模型后,能够大大提高数据包截获议的数据包.网络数据采集模块的过滤功能的效率的性能.是该网络数据采集的关键

6、,因为对于网络上的每一BPF主要由两大部分组成:网络分接头(Net-数据包都会使用该模块过滤,判断是否符合过滤条workTap)和数据包过滤器(PacketFilter).网络分X收稿日期:2007-09-21基金项目:云南省信息专项资助(2005IT05).作者简介:邓辉(1972-),女,湖北人,副教授,主要从事计算机网络、信息安全方面的研究.第S2期邓辉等:千兆位入侵检测系统中的零拷贝码流采集技术207接头从网络设备驱动程序处收集数据包拷贝,并传时,为了减少数据在内存之间的传输流量(这也是递

7、给正在监听的应用程序.过滤器决定某一数据包大多数现代工作站的主要性能瓶颈),数据包应该是被接收或者拒绝以及如果被接收,数据包中的哪在/现场0(InPlace)进行过滤(所谓/现场0,比如说些部分被拷贝给应有程序.图给出BPF与操作系就是网络接口的DMA控制器存放数据的内存地统其他部分的接口关系.址),而不是将其拷贝到内核中的其他缓存后再进当一个数据包到达网络接口设备时,链路层设行过滤.这样做的一个好处就是如果该数据包被拒备驱动器通常把它传递给系统协议堆栈进行处理.绝.但是,当BPF也在该网络接口上

8、监听时,驱动器将2零拷贝技术的实现会首先调用BPF.BPF将会将数据包传递给每个监控进程的过滤器.这些用户自定义的过滤器将决定为了进一步提高BPF的速率,零拷贝成为一一个数据包是否被接收以及数据包中的哪些内容种必然,零拷贝(zero-copy)基本思想是:数据报从应该被保存下来.对于每一个决定接收数据包的过网络设备到用户程序空间传递的过程中,减少数据滤器,BPF将所需的时间拷贝到与之相连的缓存拷贝次数,减少系统调用,实现CPU的零参与,彻中.然后,设备驱动程序重新获得控制权.此时,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。