FastRMT:一种面向微体系结构创新的高速数据平面可编程系统 被引量：1

1

作者 杨翔瑞 曾令斌 +4 位作者 刘忠沛 陈颖文 吕高锋 杨程 苏金树 《计算机学报》 EI CSCD 北大核心 2024年第2期473-490,共18页

网络数据平面可编程(Data Plane Programmability)给网络转发设备的数据平面赋予强大的可编程性,在不更换设备的情况下,可以动态部署新型机制与服务,例如路由转发核心机制、网络安全控制功能、网内计算加速服务等.由此,数据平面可编程... 网络数据平面可编程(Data Plane Programmability)给网络转发设备的数据平面赋予强大的可编程性,在不更换设备的情况下,可以动态部署新型机制与服务,例如路由转发核心机制、网络安全控制功能、网内计算加速服务等.由此,数据平面可编程成为业界和学术界高度关注的新兴技术,并已在主流云服务提供商投入应用.可重构匹配表架构(Reconfigurable Match Table Architecture,RMT)由于出色的处理性能和采用P4语言灵活编程的特性,成为数据平面可编程的热点研究方向.然而,受困于RMT架构复杂的体系结构设计、芯片闭源的服务机制以及门槛较高的FPGA设计开发,使得RMT研究人员难以通过FPGA,对RMT创新设计以及100 Gbps以上真实性能场景进行敏捷验证.本文提出并实现了一种数据平面可编程系统FastRMT,首次开源了FPGA级的系统实现.FastRMT支持RMT架构可编程协议解析、自定义规则匹配、超长指令字的并发动作执行引擎等核心功能,支持P4语言对系统进行编程.FastRMT具备松耦合与模块化的特点,研究人员可以替换模块或者对系统进行动态重构,从而实现新型机制或体系结构的敏捷开发与验证.本工作包含交换机原型与网卡原型两种版本,支持主流FPGA芯片,系统可完成100 Gbps的报文线速处理能力,1500 B报文处理延迟仅为1.22μs,体现了FastRMT作为基础框架对微体系结构创新和生产线级别验证的优势和可行性. 展开更多

关键词 数据平面可编程 可重构匹配表 微体系结构 FPGA原型 可编程协议无关报文处理

在线阅读 下载PDF 职称材料

一种基于数据平面可编程的软件定义网络报文转发验证机制 被引量：7

2

作者 左志斌 常朝稳 祝现威 《电子与信息学报》 EI CSCD 北大核心 2020年第5期1110-1117,共8页

针对软件定义网络(SDN)中OpenFlow协议匹配字段固定且数量有限,数据流转发缺少有效的转发验证机制等问题,该文提出一种基于数据平面可编程的软件定义网络报文转发验证机制。通过为数据报文添加自定义密码标识,将P4转发设备加入基于OpenF... 针对软件定义网络(SDN)中OpenFlow协议匹配字段固定且数量有限,数据流转发缺少有效的转发验证机制等问题,该文提出一种基于数据平面可编程的软件定义网络报文转发验证机制。通过为数据报文添加自定义密码标识,将P4转发设备加入基于OpenFlow的软件定义网络,在不影响数据流正常转发的基础上,对网络业务流精确控制和采样。控制器验证采样业务报文完整性,并针对异常报文下发流规则至OpenFlow转发设备,对恶意篡改、伪造等异常数据流进行转发控制。最后,构建基于开源BMv2的P4转发设备和基于OpenFlow的Open vSwitch转发设备的转发验证原型,并构建仿真网络进行实验。实验结果表明,该机制能够有效检测业务报文篡改、伪造等转发异常行为,与同类验证机制相比,在安全验证处理开销保持不变的情况下,能够实现更细粒度的业务流精确控制采样和更低的转发时延。 展开更多

关键词 软件定义网络 转发验证 数据平面可编程 P4转发设备

在线阅读 下载PDF 职称材料

可编程数据平面DDoS检测与防御机制

3

作者 武文浩 张磊磊 +3 位作者 潘恒 李恩晗 周建二 李振宇 《软件学报》 北大核心 2025年第8期3831-3857,共27页

传统的分布式拒绝服务攻击(DDoS)检测与防御机制需要对网络流量进行镜像、采集以及远程集中式的攻击特征分析,这直接造成额外的性能开销,无法满足高性能网络的实时安全防护需求.随着可编程交换机等新型网络设备的发展,可编程数据平面能... 传统的分布式拒绝服务攻击(DDoS)检测与防御机制需要对网络流量进行镜像、采集以及远程集中式的攻击特征分析,这直接造成额外的性能开销,无法满足高性能网络的实时安全防护需求.随着可编程交换机等新型网络设备的发展,可编程数据平面能力得到增强,为直接在数据面进行高性能的DDoS攻击检测提供了实现基础.然而,当前已有的基于可编程数据面的DDoS攻击检测方法准确率低,同时受限于编程约束,难以在可编程交换机(如Intel Tofino)中进行直接部署.针对上述问题,提出了一种基于可编程交换机的DDoS攻击检测与防御机制.首先,使用基于源目地址熵值差的攻击检测机制判断DDoS攻击是否发生.在DDoS攻击发生时,设计了一种基于源目地址计数值差的攻击流量过滤机制,实现对DDoS攻击的实时防御.实验结果表明,该机制能够有效地检测并防御多种DDoS攻击.相较于现有工作,该机制在观察窗口级攻击检测中的准确率平均提升了17.75%,在数据包级攻击流量过滤中的准确率平均提升了3.7%. 展开更多

关键词 分布式拒绝服务攻击 可编程数据平面 异常检测 P4 网络安全

在线阅读 下载PDF 职称材料

可编程数据平面下基于决策树的DDoS攻击检测

4

作者 刘清河 顾瑞春 白坚镜 《计算机应用与软件》 北大核心 2025年第7期358-365,382,共9页

在SDN环境下针对DDoS攻击的检测需要数据平面和控制平面之间频繁的交互,使其很难在准确性、资源利用率和响应延迟之间达到令人满意的平衡。为此,提出一种通过P4实现的DDoS攻击检测方案,该方案在可编程数据平面上利用决策树分类算法通过... 在SDN环境下针对DDoS攻击的检测需要数据平面和控制平面之间频繁的交互,使其很难在准确性、资源利用率和响应延迟之间达到令人满意的平衡。为此,提出一种通过P4实现的DDoS攻击检测方案,该方案在可编程数据平面上利用决策树分类算法通过源IP地址熵等特征对网络流进行攻击检测。使用InSDN数据集对提出的检测方案进行了实验评估,结果表明,该方案相较于软件定义网络中其他DDoS攻击检测方法的资源利用率明显下降,精确率、准确率和召回率均有大幅提升。 展开更多

关键词 软件定义网络 可编程数据平面 P4 决策树 分布式拒绝服务攻击

在线阅读 下载PDF 职称材料

RBFRadar:基于可编程数据平面检测价值突发流

5

作者 吴艳妮 周政演 +1 位作者 陈翰泽 张栋 《计算机科学》 CSCD 北大核心 2024年第4期48-55,共8页

在各种网络流量中,突发是一种常见且重要的流量模式。突发会增大网络时延并影响应用性能,因此对突发流的检测、分析和缓解对于提升网络性能和鲁棒性是有意义的。然而,当前基于逐次突发的检测方案存在显著的带宽开销和高用户负担问题。... 在各种网络流量中,突发是一种常见且重要的流量模式。突发会增大网络时延并影响应用性能,因此对突发流的检测、分析和缓解对于提升网络性能和鲁棒性是有意义的。然而,当前基于逐次突发的检测方案存在显著的带宽开销和高用户负担问题。文中通过观察并分析多个场景下的突发流量特征,提出了价值突发流(Remarkable Burst Flow,RBF)检测,在降低带宽开销的同时,减少了传统突发检测中的密集手工劳动和专家经验要求,减轻了网络管理者的负担。RBFRadar是基于Sketch数据结构的框架,支持可编程数据平面上的RBF检测,在一段时间内观察流级别的突发性。该框架仅产生有限的内存占用和低时间复杂性,其原型可在PISA架构上实现。实验结果表明,在检测RBF的准确性方面,RBFRadar的F1分数是现有方案的5.6~23.4倍;在带宽开销方面,与基于逐次突发的检测方案相比,RBFRadar可降低84.62%~98.84%的带宽开销。 展开更多

关键词 突发流检测 SKETCH 网络测量 可编程数据平面 数据中心网络

在线阅读 下载PDF 职称材料

基于P4的可编程数据平面研究及其应用 被引量：34

6

作者 林耘森箫 毕军 +4 位作者 周禹 张程 吴建平 刘争争 张乙然 《计算机学报》 EI CSCD 北大核心 2019年第11期2539-2560,共22页

可编程协议无关报文处理(Programming Protocol-Independent Packet Processors,P4)使网络管理员能够定制交换机的数据包转发行为,提升了数据平面的可编程能力与报文处理的灵活性,从而很容易实现新功能、支持新协议,减少了开发周期与开... 可编程协议无关报文处理(Programming Protocol-Independent Packet Processors,P4)使网络管理员能够定制交换机的数据包转发行为,提升了数据平面的可编程能力与报文处理的灵活性,从而很容易实现新功能、支持新协议,减少了开发周期与开发成本,为解决当前网络体系结构中长期存在的挑战以及设计新型数据平面功能提供了一种新的解决方案.并且,将一些原本由中间件实现的网络功能、端服务器实现的应用卸载到可编程数据平面上,还能获得可观的性能收益,提升网络与应用的整体表现.本文首先概述了可编程数据平面的发展历史与P4的研究背景.接着,本文介绍了P4语言及其架构,包括P4语言的设计目标、P4抽象转发模型、工作流程、P4语法要素.然后,本文总结了目前P4语言在语法、功能、标准规范等方面存在的问题,并将P4语言与其他数据平面编程语言进行了简要对比.之后,本文介绍了基于P4的可编程数据平面的最新研究进展,包括对异构平台的兼容、编译器的设计和优化、开发工具的设计和实现等方面.此外,本文从负载均衡、网络测量、网络安全等方面展现了学术界与工业界基于P4与可编程数据平面作出的应用成果.紧接着,本文探讨了满足什么条件的网络功能与终端应用才应该被卸载到数据平面上执行,为读者今后的研究提供参考.最后,本文探讨了未来P4研究工作的趋势与亟待解决的若干问题. 展开更多

关键词 软件定义网络(SDN) 可编程协议无关报文处理(P4) 可编程数据平面 领域特定语言(DSL) 编译器

在线阅读 下载PDF 职称材料

可编程数据平面下基于DDPG的路由优化方法 被引量：6

7

作者 徐博 周建国 +1 位作者 吴静 罗威 《计算机工程与应用》 CSCD 北大核心 2022年第3期143-150,共8页

针对于数据中心网络不均衡的流量分布,和在使用固定功能交换机的软件定义网络中部署强化学习模型时,不能精确感知网络状态导致的路由决策偏差问题,设计了一种在具有可编程数据平面的软件定义网络中,基于深度确定性策略梯度(DDPG)强化学... 针对于数据中心网络不均衡的流量分布,和在使用固定功能交换机的软件定义网络中部署强化学习模型时,不能精确感知网络状态导致的路由决策偏差问题,设计了一种在具有可编程数据平面的软件定义网络中,基于深度确定性策略梯度(DDPG)强化学习模型的路由优化方法。通过在可编程数据平面自定义数据包处理逻辑,获取细粒度、高精度的网络状态参数,然后在控制平面使用DDPG模型根据网络状态参数确定多条可选路径的链路权值,并为数据流选择具有最大综合剩余负载能力的路由路径,最后以源路由的方式下发流表。实验结果表明,该方法可以在较高的带宽需求下提高网络吞吐量和链路利用率,降低端到端传输时延和南向通信开销。 展开更多

关键词 可编程数据平面 深度强化学习 网络测量 路由优化

在线阅读 下载PDF 职称材料

基于FPGA的高性能可编程数据平面研究综述 被引量：5

8

作者 赵鹏 程光 赵德宇 《软件学报》 EI CSCD 北大核心 2023年第11期5330-5354,共25页

可编程数据平面(PDP)一方面支持网络应用的卸载与加速,给网络应用带来了革命性的发展机遇;另一方面支持新协议、新服务的快速实现和部署,促进了网络创新和演进,是近年来网络领域的研究热点.FPGA因其通用的计算架构、丰富的片内资源和扩... 可编程数据平面(PDP)一方面支持网络应用的卸载与加速,给网络应用带来了革命性的发展机遇;另一方面支持新协议、新服务的快速实现和部署,促进了网络创新和演进,是近年来网络领域的研究热点.FPGA因其通用的计算架构、丰富的片内资源和扩展接口提供了多种可编程数据平面的具体实现,支持更广范围的应用场景.同时,FPGA还为探索更通用的可编程数据平面抽象提供了可能.因此,基于FPGA的可编程数据平面受到了学术界与产业界的广泛关注.首先分类别阐述基于FPGA的可编程数据平面(F-PDP)抽象.接着,介绍基于F-PDP快速构建网络应用的关键技术的研究进展.之后,介绍基于F-PDP的新型可编程网络设备.此外,从提升网络性能、构建网络测量框架以及部署网络安全应用这3个方面,详细梳理近年来基于F-PDP的应用研究成果.最后,探讨F-PDP未来可能的研究趋势. 展开更多

关键词 可编程数据平面 现场可编程门阵列(FPGA) 编程抽象 高层次综合(HLS)

在线阅读 下载PDF 职称材料

可编程数据平面技术综述 被引量：6

9

作者 唐鑫新 曾学文 +1 位作者 凌致远 宋磊 《电信科学》 2023年第4期1-16,共16页

在软件定义网络中,可编程数据平面提供的编程能力是网络功能虚拟化的基石。可编程数据平面技术的核心是可编程能力与数据包处理性能。首先从数据平面的可编程性出发,探讨现有数据平面的数据包处理抽象。然后,分别对数据平面实施的目标... 在软件定义网络中,可编程数据平面提供的编程能力是网络功能虚拟化的基石。可编程数据平面技术的核心是可编程能力与数据包处理性能。首先从数据平面的可编程性出发,探讨现有数据平面的数据包处理抽象。然后,分别对数据平面实施的目标平台与对应平台上的主要流表算法进行介绍,详细论述现有数据平面技术。最后,探讨了高性能数据平面技术存在的关键挑战。 展开更多

关键词 可编程数据平面 软件定义网络 网络功能虚拟化 高性能数据包处理

在线阅读 下载PDF 职称材料

支持多个网络功能共存的可编程数据平面虚拟化 被引量：2

10

作者 李子勇 胡宇翔 +1 位作者 田乐 裴金川 《电子与信息学报》 EI CSCD 北大核心 2023年第10期3667-3675,共9页

网络虚拟化允许多个虚拟网络在同一物理基础设施上共存,有利于未来网络技术的增量部署。然而,当前可编程数据平面提供独占的数据平面抽象难以同时支持多个网络功能,该文提出一种支持并行流水线的虚拟化可编程数据平面结构(Virtualized P... 网络虚拟化允许多个虚拟网络在同一物理基础设施上共存,有利于未来网络技术的增量部署。然而,当前可编程数据平面提供独占的数据平面抽象难以同时支持多个网络功能,该文提出一种支持并行流水线的虚拟化可编程数据平面结构(Virtualized P4-based Programmable Data Plane architecture with Parallel Pipeline,VirtP6),允许在单个物理设备上运行多个相互隔离的网络功能。VirtP6改变了可编程数据平面的单一流水线结构,引入并行的多个数据包处理流水线,实现了可编程数据平面的虚拟化,并保证了不同虚拟网络功能之间的资源隔离、流量隔离和访问隔离。最后,针对VirtP6的虚拟化开销、隔离性、可扩展性、网络适用性能进行实验评估。实验结果显示,与HyperP4相比,VirtP6大大降低了虚拟化开销,将延迟减少了68%,吞吐量提高了75%,具有良好的隔离性和扩展性。 展开更多

关键词 可编程数据平面 网络虚拟化 并行流水线 网络功能

在线阅读 下载PDF 职称材料

面向安全协议的虚拟化可编程数据平面 被引量：3

11

作者 祝现威 常朝稳 +1 位作者 秦晰 左志斌 《电子与信息学报》 EI CSCD 北大核心 2021年第1期226-233,共8页

随着网络安全技术的发展,越来越多网络安全协议出现,因此需要网络转发设备对网络安全协议提供支持。可编程数据平面由于其协议的无关性,能够实现安全协议的快速部署。但当前可编程数据平面存在包头多次解析、独占数据平面和密码算法实... 随着网络安全技术的发展,越来越多网络安全协议出现,因此需要网络转发设备对网络安全协议提供支持。可编程数据平面由于其协议的无关性,能够实现安全协议的快速部署。但当前可编程数据平面存在包头多次解析、独占数据平面和密码算法实现难的问题。针对上述问题,该文提出一种面向安全协议的虚拟化可编程数据平面(VCP4),其通过引入描述头降低包头解析次数,提高包头解析效率。使用控制流队列生成器和动态映射表实现可编程数据平面的虚拟化,实现多租户下数据平面的隔离,解决独占数据平面问题。在VCP4的语言编译器中添加密码算法原语,实现密码算法可重用。最后针对VCP4资源利用率,虚拟化性能和安全协议性能进行实验评估,结果显示在实现功能的基础上带来较小的性能损失,且能降低50%的代码量。 展开更多

关键词 密码算法原语 可编程数据平面 描述头 虚拟化 控制流队列生成器 动态映射表

在线阅读 下载PDF 职称材料

可编程网络数据平面技术进展 被引量：4

12

作者 张昕怡 潘恒 谢高岗 《电信科学》 2022年第6期42-50,共9页

网络数据平面执行数据包处理转发,是网络性能的决定性因素之一。大带宽、低时延、可持续演进的网络基础设施需要构建高效可编程的网络数据平面。首先,介绍数据包处理转发模型,并以此为基础概述网络数据平面在性能与可编程性面临的关键... 网络数据平面执行数据包处理转发,是网络性能的决定性因素之一。大带宽、低时延、可持续演进的网络基础设施需要构建高效可编程的网络数据平面。首先,介绍数据包处理转发模型,并以此为基础概述网络数据平面在性能与可编程性面临的关键挑战。然后,从数据包查找算法理论与软/硬件协同实现机制出发,详细论述其基本思路及关键核心技术进展以应对上述关键挑战。最后,探讨高效可编程数据平面的未来发展趋势与技术演进路线。 展开更多

关键词 网络可编程数据平面 软/硬件协同设计 数据包处理 网络内计算

在线阅读 下载PDF 职称材料

可编程数据平面的业务相关路由方法

13

作者 吴博 吴静 +1 位作者 罗威 朱劼 《计算机工程与应用》 CSCD 北大核心 2020年第3期106-112,共7页

传统软件定义网络(SDN)通过在控制器上进行算法改进保证业务的服务质量,而数据面只做普通转发,并没有参与对具体业务的划分,导致分类速度慢。同时,路由决策存在链路状态信息时效性不足导致选路不好。针对这些问题,提出了一种基于业务相... 传统软件定义网络(SDN)通过在控制器上进行算法改进保证业务的服务质量,而数据面只做普通转发,并没有参与对具体业务的划分,导致分类速度慢。同时,路由决策存在链路状态信息时效性不足导致选路不好。针对这些问题,提出了一种基于业务相关的选路方法,通过在可编程数据平面上灵活设计数据包的处理流程,实现流量的业务区分;并根据可编程数据面得到的网络状态参数,为特定的业务规划出合适的路径。实验表明,该方法可以对业务快速自动分类并为不同业务提供合适有效的传输路径,保证了不同业务的服务质量。 展开更多

关键词 软件定义网络 可编程数据平面 业务相关 路径选路

在线阅读 下载PDF 职称材料

可编程数据平面系统异常检测系统的设计与实现

14

作者 陈立军 张屹 陈孝如 《信息安全研究》 2022年第2期135-144,共10页

可编程数据平面为实现快速、准确和数据驱动的控制回路决策提供了令人兴奋的机会,很多研究者已经提出了许多数据平面系统来实时地处理网络动态(例如拥塞、故障),这些系统的核心是具有数据包处理的数据平面算法,可连续监控流量并自动响应... 可编程数据平面为实现快速、准确和数据驱动的控制回路决策提供了令人兴奋的机会,很多研究者已经提出了许多数据平面系统来实时地处理网络动态(例如拥塞、故障),这些系统的核心是具有数据包处理的数据平面算法,可连续监控流量并自动响应.尽管有诸多好处,但对网络事件的自动响应会导致潜在输入源的增加,从而增加了攻击面.设计了一个异常检测系统,用于在运行时检测此类攻击,系统对合理的预期行为进行建模,并使用该模型作为参考来检查系统是否受到攻击,实验证明:所设计的异常检测系统在对抗性攻防方面是可行性的,也是有效的. 展开更多

关键词 可编程数据平面 网络攻击 网络监控 安全与隐私 入侵检测系统 拒绝服务攻击

在线阅读 下载PDF 职称材料

基于可编程协议无关报文处理的分布式拒绝服务攻击检测 被引量：8

15

作者 刘向举 尚林松 +1 位作者 方贤进 路小宝 《计算机应用研究》 CSCD 北大核心 2022年第7期2149-2155,共7页

传统软件定义网络(SDN)中的分布式拒绝服务(DDoS)攻击检测方法需要控制平面与数据平面进行频繁通信,这会导致显著的开销和延迟,而目前可编程数据平面由于语法无法实现复杂检测算法,难以保证较高检测效率。针对上述问题,提出了一种基于... 传统软件定义网络(SDN)中的分布式拒绝服务(DDoS)攻击检测方法需要控制平面与数据平面进行频繁通信,这会导致显著的开销和延迟,而目前可编程数据平面由于语法无法实现复杂检测算法,难以保证较高检测效率。针对上述问题,提出了一种基于可编程协议无关报文处理(P4)可编程数据平面的DDoS攻击检测方法。首先,利用基于P4改进的信息熵进行初检,判断是否有可疑流量发生;然后再利用P4提取特征只需微秒级时长的优势,提取可疑流量的六元组特征导入数据标准化—深度神经网络(data standardization-deep neural network,DS-DNN)复检模块,判断其是否为DDoS攻击流量;最后,模拟真实环境对该方法的各项评估指标进行测试。实验结果表明,该方法能够较好地检测SDN环境下的DDoS攻击,在保证较高检测率与准确率的同时,有效降低了误报率,并将检测时长缩短至毫秒级别。 展开更多

关键词 软件定义网络 可编程数据平面 可编程协议无关报文处理 分布式拒绝服务攻击 攻击检测 深度神经网络

在线阅读 下载PDF 职称材料

流数据驱动的多模态网络转发

16

作者 吴剑松 谭小彬 +2 位作者 袁莘智 琚可欣 骆汉光 《电信科学》 北大核心 2025年第4期95-106,共12页

近年来通信技术发展迅速,传统传输控制协议/因特网互联协议(transmission control protocol/Internet protocol,TCP/IP)网络瘦腰结构的弊端凸显,新网络架构协议相继被提出,多种模态网络将长期共存。传统的网络转发方案难以适应多模态网... 近年来通信技术发展迅速,传统传输控制协议/因特网互联协议(transmission control protocol/Internet protocol,TCP/IP)网络瘦腰结构的弊端凸显,新网络架构协议相继被提出,多种模态网络将长期共存。传统的网络转发方案难以适应多模态网络的动态变化特性,且存在时延高、成本高等问题。基于此,提出了一种流数据驱动的多模态网络转发方案和基于强化学习的多模态网络转发算法。针对多模态网络动态变化的特点,设计了基于可编程数据平面的多模态网络转发方案。该方案包含负责网络信息采集的带内网络遥测(in-band network telemetry,INT)采集模块、解析和过滤网络流的网络流处理模块、识别和分流多模态网络流的模态处理模块、提供网络功能的服务功能模块、负责转发的数据转发模块、用于数据缓存的缓存模块,以及生成和下发转发策略的节点控制模块。利用编写协议无关的包处理器(programming protocol-independent packet processor,P4)编程语言协议无关的特性,该方案可以支持多个网络模态的共生共存,且通过可编程交换机硬件可以有效提高转发效率。同时,针对可编程交换机通过表的方式进行数据更新的特点,提出了基于强化学习的多模态网络转发算法,并针对可编程硬件限制进行适配,根据多模态网络流的状态,为流选择合适的转发端口,以实现多模态网络的高效转发。在未来网络试验设施(China Environment for Network Innovation,CENI)中完成了转发算法的实现和测试,验证了所提算法的有效性。 展开更多

关键词 多模态网络 网络转发 可编程数据平面

在线阅读 下载PDF 职称材料

EvoTrace:基于非线性数据包遥测和批处理的轻量级带内网络遥测方法

17

作者 王攀祥 崔允贺 +3 位作者 申国伟 郭春 陈意 钱清 《计算机科学》 北大核心 2025年第5期291-298,共8页

带内网络遥测(In-band Network Telemetry,INT)使数据包能够携带网络状态信息,具有较高的测量准确性和精度。然而,这种提升是以增加数据平面开销为代价的。遥测信息的嵌入会导致数据平面的网络开销过大。同时,现有的遥测方法通常对大流... 带内网络遥测(In-band Network Telemetry,INT)使数据包能够携带网络状态信息,具有较高的测量准确性和精度。然而,这种提升是以增加数据平面开销为代价的。遥测信息的嵌入会导致数据平面的网络开销过大。同时,现有的遥测方法通常对大流的数据包进行大量的测量,忽略了对中小流数据包的测量。为了克服上述问题,提出了一个轻量级的INT方法——EvoTrace。EvoTrace设计了一种非线性数据包遥测方法,根据网络流的属性监测不同流的数据包。此外,EvoTrace还采用元数据批处理的方式对遥测元数据进行聚合,以减少网络带宽占用和遥测数据包的数量。在OpenvSwitch(OVS)上实现了EvoTrace并进行了测试,实验结果表明,与现有方法相比,EvoTrace在提高网络流监测覆盖率的同时,节省了40%以上的INT带宽占用。 展开更多

关键词 网络遥测 可编程数据平面 带内网络遥测 网络测量 软件定义网络

在线阅读 下载PDF 职称材料

基于仿生免疫的可编程数据平面入侵检测方法

18

作者 孙南 秦中元 +1 位作者 胡爱群 李涛 《信息网络安全》 2025年第8期1263-1275,共13页

针对传统入侵检测系统易导致系统性能瓶颈的突出问题,受高等生物免疫系统的启发,文章突破传统入侵检测系统外壳式防御的架构基础,设计了一种适用于可编程数据平面的仿生免疫入侵检测方法。该方法利用仿生固有免疫系统进行流量过滤,初步... 针对传统入侵检测系统易导致系统性能瓶颈的突出问题,受高等生物免疫系统的启发,文章突破传统入侵检测系统外壳式防御的架构基础,设计了一种适用于可编程数据平面的仿生免疫入侵检测方法。该方法利用仿生固有免疫系统进行流量过滤,初步拦截部分入侵流量,对于仍然存疑的流量则启动仿生适应性免疫系统进行深度特征采集、识别与处理,实现了对入侵流量的高效检测。实验结果表明,该方法能够实现较高的检测准确率和较低的控制器负载。 展开更多

关键词 仿生免疫 可编程数据平面 入侵检测 P4语言

在线阅读 下载PDF 职称材料

EAGLE:一种内核态及用户态中基于遥测数据图的网络遥测方案 被引量：2

19

作者 肖肇斌 崔允贺 +3 位作者 陈意 申国伟 郭春 钱清 《计算机科学》 CSCD 北大核心 2024年第2期311-321,共11页

网络遥测是一种新型的网络测量技术,具有实时性强、准确性高、开销低的特点。现有网络遥测技术存在无法收集多粒度网络数据、无法有效存储大量原始网络数据、无法快速提取及生成网络遥测信息、无法利用内核态及用户态特性设计网络遥测... 网络遥测是一种新型的网络测量技术,具有实时性强、准确性高、开销低的特点。现有网络遥测技术存在无法收集多粒度网络数据、无法有效存储大量原始网络数据、无法快速提取及生成网络遥测信息、无法利用内核态及用户态特性设计网络遥测方案等问题。为此,提出了一种融合内核态及用户态的、基于遥测数据图和同步控制块的多粒度、可扩展、覆盖全网的网络遥测机制(a nEtwork telemetry mechAnism based on telemetry data Graph in kerneL and usEr mode,EAGLE)。EAGLE设计了一种能够收集多粒度数据且数据平面上灵活可控的网络遥测数据包结构,用于获取上层应用所需的数据。此外,为快速存储、查询、统计、聚合网络状态数据,实现网络遥测数据包所需遥测数据的快速提取与生成,EAGLE提出了一种基于遥测数据图及同步控制块的网络遥测信息生成方法。在此基础上,为了最大化网络遥测机制中网络遥测数据包的处理效率,EAGLE提出了融合内核态及用户态特性的网络遥测信息嵌入架构。在Open vSwitch上实现了EAGLE方案并进行了测试,测试结果表明,EAGLE能够收集多粒度数据并快速提取与生成遥测数据,且仅增加极少量的处理时延及资源占用率。 展开更多

关键词 网络遥测 遥测效率 可编程数据平面 遥测数据图 内核空间

在线阅读 下载PDF 职称材料

支持增量式编程的多模态网络环境 被引量：1

20

作者 崔子熙 田乐 +3 位作者 崔鹏帅 胡宇翔 伊鹏 邬江兴 《电子学报》 EI CAS CSCD 北大核心 2024年第4期1230-1238,共9页

当前,多模态网络编程模型与底层硬件紧耦合、强相关,导致网络程序呈现扁平化和单片化特征.因此,持续开发模态程序效率低下且极易出错,制约了网元设备的可用性和可靠性.为此,本文提出面向多模态网络的编程环境(PINet’s Programming Envi... 当前,多模态网络编程模型与底层硬件紧耦合、强相关,导致网络程序呈现扁平化和单片化特征.因此,持续开发模态程序效率低下且极易出错,制约了网元设备的可用性和可靠性.为此,本文提出面向多模态网络的编程环境(PINet’s Programming Environment,PPE),支持增量式开发网络协议与功能.基于“巨型交换机”思想,PPE提出了一种平台无关的编程模型及语言,支持模块化编程和跨平台移植,通过模块单元的灵活组合提高网络程序的开发效率.同时,针对上述模型设计了前后端分离的编译系统框架.该系统自动化解析并组合分布式的模态程序,通过优化报文处理逻辑自动适配硬件资源约束.实验结果表明,在不影响硬件性能的基础上,PPE能够降低20%的程序开发量,同时引入编译时延和资源开销在合理范围内. 展开更多

关键词 编程模型 多模态网络 可编程数据平面 模块化 增量式编程 网络模态

在线阅读 下载PDF 职称材料