基于Linux内核高速IP网络测量器的研究.PDFVIP

基于Linux 内核高速IP 网络测量器的研究1 徐加羚 程光 丁伟 东南大学计算机系 南京 210096 E-mail: glacier_xu@ 摘要 随着网络技术和应用快速发展 高速IP 网络报文的采样测量技术成为大规模网络的 行为分析的基础组成部分 文章分析Linux 系统内核的网络体系结构 研究基于Linux 内核 应用于高速网络被动抽样测量环境下的IP 报文采样测量器所必须的性能要求和体系结构特 点 关键词 Linux 内核 采样技术 被动测量 抽样测量 1. 引言 当今的信息化社会中 网络的应用几乎覆盖所有的经济和科研领域 近年来网络技术发 展的突飞猛进 网络硬件技术的飞跃和大众对网络需求的不断提高 造成网络发展趋势为规 模越来越大, 拓扑结构越来越复杂 同时带来网络技术发展两级化 在对网络性能指标多维 分析上 [1] 出现网络行为学 另一方面 为行为分析提供抽样数据的网络测量技术也开始独 立飞速发展 由于网络测量环境的不断提速给网络测量带来更大困难 加上网络分析技术对 测量的要求越来越高 测量技术成为当前网络技术的热点之一 网络测量技术从测量手段上可分为主动测量和被动测量 由于适合高速大规模网络环境 测量 [2] 被动抽样测量技术开始崭露头角 并逐渐开始引起业界的广泛关注 当前被动抽样 测量技术需要解决的问题是 高速 高效――高处理性能 简单算法设计 快速完成过滤和 匹配 采用抽样方式――采集部分网络数据流 基于统计的分析 因此 针对以上要求 高 速网络流采样测量系统的体系结构必须有自己的特点 文章对基于Linux 内核的高速分类进行探讨 对多个方案进行可行分析和性能差异的比 较 在此之上 针对建立在Linux 内核中的测量器 文章分析Linux 内核的网络体系结构设 计 并修改Linux 内核代码 开发出实用的高速抽样测量器 2. 高速网络被动抽样测量技术 网络测量技术从测量方式 被分为主动和被动测量两种 而按照测量数据的不同 又分 为抽样测量和非抽样测量[3] 其中被动式抽样测量的研究是网络行为研究的最基本问题[4] 被动抽样测量是指利用网络本身的业务流量作为测量的对象 采用抽样的测量方式 利用统 计概率来实现对流量总体特性的估计 大规模网络的被动测量需要满足 高速 高效――高 处理性能 简单算法 快速处理过滤和匹配 用抽样的方式――只采集网络部分数据流 通 过基于概率统计原理来分析网络状况[2] 这些特点决定高速网络被动测量技术的独特之处 在用途方面 用于测量目的的高速采样系统 面向的是与网络传输相关信息的过滤处 理任务 而用于入侵监测等目的的测量系统 多侧重于对安全事件的侦测――这类的采样系 统基于对报文中含有的具有攻击特征的网络信息进行识别 对于前者 报文中用于网络传输 信息的维度和组合是在可处理的范围内 如 源IP 地址 宿IP 地址 端口等内容的组合 因而可以使用类似直接匹配的规则表数据结构 而后者对于报文中关于安全事件的信息的识 别 需要有复杂的识别行为 采样往往使用基于动作的规则表[6] 被动测量主要用于网络行为分析和流量行为分析[1, 2] 网络行为研究需要保证不同测 1基金项目 本文受国家863 课题 2001AA112060 资助 1 点的测量样本具有一致性要求 流量行为研究要求保证测量样本的随机性 当进行流量行为 测量时 测量数据样本将用于分析有关网络业务流的指标 例如 流量大小统计 各流量业 务类型的百分比 测量采样使用单点测量方式 仅需网络关键节点的单点数据既可 网络 行为分析提供测量时 测量目的是为了最终生成关于整个网络状况的综合报告 包括网络延 时 丢包 抖动等等指标 以及路由跟踪等 因此 需要在网络边界进行多点协同测量[2] 各测量点的数据只有汇总做比较分析才能得出相关的结果 同时 被动测量的采样