（仪器科学与技术专业论文）基于边缘测量的高速网络链路流量测量系统研究.pdf

中文摘要 i 摘 要 随着网络新业务的层出不穷和网络用户的飞速增长， 网络业务量有了巨 大的提升，骨干网络的链路速度已经达到 1gbps/s10gbps/s。目前，大多 数网络测量系统的监测能力已经远远不能适应高速网络。在 1000mbps/s 的 链路速度下，大多数测量系统其报文丢失率较高，或者根本无法正常运行。 虽然少数流量测量系统可以通过抽样网络中的数据报文在千兆环境下运行， 但是抽样获得的网络测量数据会对网络状态刻画带来极大的不确定因素。 面对网络规模日益庞大，拓扑结构越来越复杂，网络链路带宽和业务量 不断的增长，由此网络测量环境的提速给网络测量带来了更大的困难，加上 网络分析技术对测量的要求越来越高， 大多数网络测量系统已经表现出了它 的局限性。构建一个能够在高速网络中以线速捕获报文的测量系统，设计和 发展一个高性能的测量平台使它具有高效率的可测量范围性和灵活性， 用来 满足当前和未来在高速网络环境中进行流量测量的需要具有重大的意义。 本论文对高速网络链路流量测量系统进行了较为深入的研究，主要进行了以 下四方面的研究工作： （1）研究了基于边缘测量的高速网络链路流量测量模型，该模型中的关键技 术包括以下三点：一是瓶颈链路背景流量的测量，目的是保证注入的探测包能够 较为准确地反映网络的路由信息；二是数据包快速分类算法，目的是保证在边缘 测量模块中能快速准确地将采集到的数据包归类为所属的流；三是边缘测量单元 中 sd 节点对流量测量系统的实现，目的是确保我们的思路能够在实际中实现。边 缘测量模型采用分级结构包括：边缘测量单元（emu，edge measure unit）和网络 汇聚单元（ncu，network convergence unit） 。emu 包括两个部分：sd 节点对流量 测量部分和路由探测部分。 emu 通过对接入流量进行测量获得相关的 sd 节点对流 量结果，并根据对该点处接入流量的抽样结果，发送探测包获取网络路由情况， 记录一个测量周期内所有的路由测量信息，然后对测量结果进行相应的统计处理， 并将结果传给 ncu。 ncu 周期性的收集、 保存各个 emu 的测量结果和计算结果， 然后进行全网链路流量计算，并根据不同的系统需要可以将结果回送到各个 emu 处。 对于一个网络运营商的骨干网络来说， 通常其节点数并不会很多， 这样在 emu 和 ncu 之间需要传送的信息量并不是很大，当测量周期选择合适，结果信息交互 不太频繁时，如 5min，则既不影响测量的准确性又减少了所需的通信负荷。在该 模型中，据此选择了 snmp 框架75用于测量控制信息的管理。ncu 作为管理者周 期性的轮询各个 emu 代理， 并将计算所得的全网业务流量矩阵以通知的方式发送 重庆大学博士学位论文 ii 给每一个 emu 代理。emu 代理响应管理者的轮询，将预处理后的测量结果传送 给管理者。此外管理者还可以对 emu 代理进行配置管理，如启动测量，下载测量 参数等工作。emu 代理也可以利用陷阱方式报告一些故障或错误的发生。 （2）研究了基于回归方程方法的瓶颈链路流量监测技术，目的是监测网络中 链路带宽使用情况，避免链路阻塞等情况发生，导致主动测量的路由概率误差较 大。因为在边缘测量模型中，我们使用主动方法获取路由信息时，需要向网络中 注入探测包，当瓶颈链路带宽饱和时，我们注入的探测包无法达到目的或者改路， 直接导致路由概率误差急剧增大，直至边缘测量模型失效。 （3）研究了数据包快速分类算法，在边缘聚合流测量中，为了准确测量各链 路业务流量，我们采用了快速包分类算法，随着业务的细化，有必要研究多域数 据包分类算法。在分类算法中针对无冲突哈希算法的不足提出了一种改进算法 称为基于无冲突哈希和跳转表（non-collision hash and jumping table trie-tree， nhjttt）的数据包分类算法。由于 nhjttt 算法内存消耗仍然较大且不能支持较 大的匹配规则集， 论文又进一步研究了 hash 算法， 提出了一种基于双哈希 （double hash，dh）的数据包分类算法。该算法能克服常规 hash 算法的用于包分类冲突 率高的缺点。 两种算法具有不同的应用场合， nhjttt 包分类算法适用于软件实现， 用于分类规则数少的环境。而 dh 算法适合于软件实现，用于分类规则较多的场 合。 （4）研究了边缘测量单元中 sd 节点对流量测量系统，该系统采用软件 方法实现，并且将测量流量模块作为系统模块，有效地提高了数据包采集速度， 避免了丢包的发生。经测试，tcpdump 单位时间内处理数据包的数量大致在每秒 二十四万，我们开发的流量测量系统单位时间内处理数据包的数量大致在每秒四 十三万。而目前 internet 中的高速网络（1000mbit/s）单位时间内的数据包数目大 约在 78000355000 packets/s 之间，这里构建的流量测量系统完全可以胜任在高速 网络中进行流量测量的工作。 关键词：边缘测量；ip 分类；采样；无冲突哈希；链路流量矩阵；ipmp 英文摘要 iii abstract nowaday, traffic measurement system mainly relies on tcpdump/libpcap-style processing. design decisions, such as forcing all collection, analysis, and display to be performed on a single machine, as well as implementation decisions, such as single-packet copies from kernel level to user level, mean that tcpdump and libpcap cannot scale to todays gbps network speeds. today the most traffic monitors are faced with the following challenge in high-speed network. the paper studies on high-speed network measurement system and it has four parts work as follows: (1) in order to manage the whole network, a novel traffic model is proposed based on the mixed measurement. the core of model has two parts. firstly, we measure traffic at the edge of network, which the key problem is packet classification algorithm and storing technology. secondly, we measure route information by injecting probe packet into the network based on the internet protocol measurement protocol (ipmp). in order to probe route information and reduce disturb, we use sampling technology based on packet content. we prove the validity of mixed measurement model and simulate the model. (2) in order to monitor the utilization factor of link bandwidth, a novel traffic monitor technology is proposed based the regression model. the core of model has three parts: first, we inject probe packet pairs into the network based on the internet protocol measurement protocol (ipmp) by poisson law. second, we can get the interval of packet pairs by measuring owd (one way delay time). last, we acquire the regression formula to acquire traffic based on m/m/1 queue model. in order to compute traffic, we get traffic formula by the least square method. we prove the validity of regress analysis method and acquire regress formula. our computing results show the competing traffic error within about 36% by regress formula. (3) we study packet classification algorithm and propose two kind of classification. one is non-collision hash and jumping table trie-tree(nhjttt) algorithm, which is based on non-collision hash trie-tree algorithm and grid of tries algorithm. the core of algorithm has three parts: 1) constructing hash function mainly based on destination port and protocol type field so that the hash function can avoid space 重庆大学博士学位论文 iv explosion problem; 2) incorporating two kinds of algorithm, which are the lakshman and stiliadis propose a 2-dimensional classification algorithm and the algorithm of grid of tries as well as transforming grid of tries for the trie-tree pruned and jumping table in order to reduce space complexity; 3) adding a floor based on non-collision hash algorithm as source port number (or scope).after expanding normally, this dont increase the time complex degree of algorithm because we introduce the jumping table. space complexity consumed and space requirement are less than those of non-collision hash algorithm. test results show that the classification rate of nhjttt algorithm is up to 1 million packets per second and the maximum memory consumed is 8.2mb for 10,000 rules. two is double-hash(dh) algorithm based on non-collision hash trie-tree algorithm and xor hash algorithm. hash algorithm allows us to map an element x in a large set into an element h in a small set through the hash function h=f(x) so that we can quickly find the information once we have determined the small set to search for. the xor hash algorithm introduces xor operation to obtain a hash key value. the computation of an xor hash key value consists of three steps: (1) structuring the non-collision hash function, which is constructed mainly based on destination port and protocol type field so that the hash function usually can avoid space explosion problem; (2) introducing multibit trie-tree based the key value of xor hash in order to reduce time complexity; (3) lookup every rule index in order to ensure the validity that we get the final rule index. the test results show that the classification rate of double-hash algorithm is up to 5 million packets per second and the maximum memory consumed is 6mb for 10,000 rules. (4) we develop the software about link traffic measurement system that it may be used kilomega ethernet network. to collect traffic, we require a network interface upon which a copy of all relevant network traffic is available. this can be done using network stack operations, port mirroring, or a tap mechanism. network stack operations performed by the operating system provide a copy of data to the libpcap program running on a given host. libpcap may perform additional processing before passing it on to tcpdump for display. port or interface mirroring is a technique by which the traffic from one or more interfaces on a network switch (the mirrored interfaces) is copied to another port (the mirroring interface). in theory, this provides a mechanism to transparently observe traffic passing over the mirrored interfaces by observing traffic over the mirroring interface. a tap 英文摘要 v mechanism is a piece of hardware that takes a single network input and duplicates it to transparently produce two identical outputs. this can be thought of as a splitter or a switch performing half-duplex port mirroring. this hardware works at the physical level by splitting a physical signal and possibly enhancing it. flow information can be submitted to different network analysis applications, which can get data from flow storage server for long term analysis, or can get flow data use ipfix protocol for real-time monitoring, such as performance evaluation, workload characterization, protocol debugging, network troubleshooting and usage-based billing etc. a careful study of the use of software measurement techniques shows that it is possible to significantly improve them. however, the process is far from trivial. most of our work has taken place in the context of the linux operating system where the source of the code is available. without this it would be impossible to understand the operating system effects introduced into the measurement process let alone do anything about them. this linux kernel is still a fully functional operating system at this point, stripped only of unused code for a given machine. the next step is to further remove services and functionality unused by the monitor that would reduce performance. for the uniprocessor hardware on which we run the monitor, the only required changes were replacing the init() function with a call to the monitor code removing calls to the proc filesystem, and removing hardcoded hardware probes for non-existent devices. other implementations may wish to turn off virtual memory handling, remove printk statements, and so forth. now we are left with an absolutely minimal kernel to manage low-level hardware tasks and provide a useful application programming interface (api), which we use to actually program the monitor. the test results show that the collecting packet rate of our designing traffic measurement system is up to 0.43 million packets per second, but the collecting packet rate of tcpdump measurement system is only up to 0.2 million packets per second. key words: edge measurement; ip classification; sample; non-collision hash; link traffic matrix; internet protocol measurement protocol 1 绪 论 1 1 绪 论 1.1 选题背景 下一代的通信网络是基于 ip 技术的综合语音、数据、图像、视频的多媒体业 务网络，能够为不同的业务类型提供优良的、不同级别的服务质量，并且能够提 供宽带接入能力。无论是电信骨干网，还是宽带城域网未来都将是以 ip over dwdw（密集波分复用）技术为基础，实现光交换和光传输的网络，同时各类信 息网也将实现高速宽带化。业务量测量是实时地测量网络中传送的各种业务量， 获取具有不同的优先级的各种业务在网络中的分布情况，以及网络中发生的阻塞 情况等。业务量测量是实施有效的网络管理和控制的前提，业务量测量结果是对 网络运行状况优劣进行评判的依据。对一个网络来说，用户的行为模式是动态变 化的，新业务的开展，故障和突发事件都会使网络的业务流量发生波动，而这些 都可以通过业务量测量手段获知。准确获取网络的状态信息，包括空间维度和时 间维度的网络流量分布特性，对于合理利用网络资源和平衡网络流量有非常重要 的作用。而对网络实施一种控制措施时，其结果的优劣程度也可以通过业务量测 量显示出来，从而能够形成一种反馈机制，有利于控制方法的优化。同时，业务 量测量对于网络容量的规划、按用户对网络资源占用情况实施计费的新措施的实 现等都具有非常重要的作用。随着网络新技术的不断进步与发展，传统的、适于 低速网络的业务量测量方法及技术面临严峻的挑战，因此研究与开发高速网络业 务量测量方法和技术，对于新的网络需求及未来网络发展具有非常重要的实际意 义。 随着网络新业务的层出不穷和网络用户的飞速增长，网络链路流量有了巨大 的提升，骨干网络的链路速度已经达到 1gbps/s10gbps/s。目前，大多数网络测 量系统的监测能力已经远远不能适应高速网络。在 1000mbps/s 的链路速度下，大 多数测量系统其数据包丢失率较高，或者根本无法正常运行。虽然少数流量测量 系统可以通过抽样网络中的数据包在千兆环境下运行，但是抽样获得的网络测量 数据会对网络状态刻画带来极大的不确定因素60。 面对网络规模日益庞大，拓扑结构越来越复杂，网络链路带宽和业务量不断的 增长，给网络链路流量测量带来了很大的困难，再加上网络分析技术对测量的要求 越来越高，比如要求链路流量测量系统具有实时、动态和成图成像等多种功能，所 以大多数网络流量测量系统已经表现出了它的局限性，比如丢包率较高、时间戳误 差大等。因此构建一个能够在高速网络中以线速捕获数据包的测量系统，设计和发 展一个高性能的测量平台使它具有高效率的可测量范围性和灵活性，用来满足当前 重庆大学博士学位论文 2 和未来在高速网络环境中进行链路流量测量的需要具有非常重大的意义。 网络流量测量系统的主要用途可以归纳为以下几点： 1、基于流量的计费57,62,73 目前，各大运营商为 ip 网用户提供的服务主要有专线和宽带拨号接入，由于 网络提供者不能够统计全部用户的准确流量情况，因此绝大多数还是采用固定租 费的形式，这对一般用户和 isp 来说，都不是一个好的选择。而利用网络监测和 测量的一些工具和手段，就可以实现对用户流量的监测。 2、监测网络运行状况 主要有网络故障监测、网络异常行为监测、qos（quality of service）监测、 sla（service level agreement）服务等级监测、网络用户行为监测、网络攻击和 网络病毒监测等51。 3、网络流量特征化 主要包括网络流量的组成成分，数据包大小的分布、到达过程、突发性等。 通过网络应用监测，可以了解网络上各种协议以及网络的使用情况，实时根据用 户的使用特性调整网络参数。当网络的应用由以 www、ftp、pop3 为主转向各 种实时应用时，用户数据包的统计平均包长会有所变化，而现有网络设备（如路 由器、交换机）的处理性能与这些数据紧密相关。网络提供者可以通过测量并监 控该类数据对网络进行更好的规划和设计，研究者也可以据此研究新的协议与应 用。网络测量可使用统计技术来分析经验数据，从而提取出网络应用或网络协议 特征，流量特征化使设计网络协议和网络设备具有更好的特性。 4、新业务对网络影响的评估 通过对业务流路径上各网络设备的主要网络参数的实时测量可以获得相当准 确的数据，从而可以用来评估新业务在现有网络上开放的可行性。如若不可行， 也可通过对相关网络参数的调整来解决问题。网络的研制者经常要对网络应用和 网络协议“新的、改进的”版本进行测试。而网络测量能够为新协议和应用程序 的正确运行提供手段，来考察某个协议或某个应用在 internet 中的性能水平。网络 测量的详细分析能够帮助确定性能“瓶颈”。一旦解决了被确定的性能问题，就 能够研制性能更好的新协议。 5、网络性能评估 对网络运行情况、网络资源和网络性能（如业务吞吐量、时延、丢包率、rtt、 带宽利用率、网络伸缩性（scalability）等）等做出相应的评估；网络新协议、网 络新应用的性能评估。 6、流量工程 为 internet 流量工程(traffic engineering)52,53和网络行为学(network behavior) 1 绪 论 3 的研究提供基础辅助依据及验证平台。运行中的网络的状态只有通过网络测量才 能获得；测量能提供反馈数据给流量工程控制子系统来优化网络性能；测量同时 可以用来决定网络服务的质量以及衡量流量工程策略的有效性54。 7、网络规划 网络管理者通过测量其网络的流量情况和尽量多的指标数据信息，可以更好 地管理网络和改善网络的运行状况。通过对网络流量和参数进行长期的监测，可 以分析网络的整体发展趋势，更好地预测和规划网络。为进行网络性能优化提供 依据；为设计新型网络、应用、互联设备、拥塞控制算法等等提供基础的数据和 条件；可以发现网络性能瓶颈问题；分析长期测量的数据提取显著的和有代表性 的属性来构建一个综合性的能够反映出实际网络流量特征的流量模型；为仿真模 拟 internet 环境、协议设计与评价以及动态网络存活性分析提供研究基础。 1.2 国内外研究现状 近几年来，关于高速网络的业务量测量的研究正如火如荼的开展。ietf ippm （ip performance metrics） 工作组发展了一系列应用于 ip 性能测量的建议， 包括测 量的参数，测量方法，测量对象等内容115,116,117,118,119。而 ietf rtfm（real time flow measurement） 工作组注重于对业务量进行业务 “流级” 的研究， 如 rfc2722、 rfc2723 等。ietf tewg（traffic engineering workgroup）侧重于 internet 的业务 量工程方面的业务量测量研究，并已提出相关的业务量测量框架草案120。美国国 家科学基金会nsf （the science foundation） 研究surveyor项目， 目的是建立internet 测量体系结构， 目前的业务量测量范围包括全球 50 多个高校和研究机构126。 cisco 公司研究开发了 netflow 业务量测量系统1， 该系统由高性能 ip 交换机部件组成， 嵌入在他们的路由器和交换设备中，采用基于“流”的测量方式。在高速 ip 网络 业务流量测量系统模型的研究中，基于“流”的测量模型得到较大的发展121,122。 在 ietf rfc2722 中确定了基于“流”的系统测量模型，这种测量系统模型能够很 好的在一个或若干网络边缘处工作，因为那里的业务接入“流”比较少（一般数 千个） ，而当面对核心骨干网络时，一个路由器可能同时存在几十万个“流” ，这 种测量模型将不再适用。另外，如果需要在核心骨干网中进行测量行为，一方面 由于网络带宽很大，实现难度非常大；另一方面这种测量模式将影响核心网络的 运行效率，这有悖于核心网络的设计思想。因此，对于高速网络的业务流量测量 来说，在网络边缘实施测量行为，而不用在核心网络中进行测量，将是研究的发 展方向。 国内的国防科学技术大学、西南交通大学等单位在基于icmp协议的ip拓扑探 测方面的技术比较成熟，但未见有其他面向internet的大规模网络测量与分析、可 重庆大学博士学位论文 4 视化技术的相关报道。目前，哈尔滨工业大学计算机科学与工程系实现了一个大 规模网络拓扑测量的原型系统， 能够针对大规模网络进行路由ip拓扑结构的自动发 现，并进行可视化显示。该课题组对全国范围内的近17万个ip进行了探测,获得了 1612个路由ip结点间的2940个连接关系，并结合各ip的地理信息，生成了分层次的 地理拓扑图。与实际结构相比，准确度达到90%以上2。但该研究主要是面向网络 拓扑模型的测量，并不是针对网络链路流量进行测量。 西安交通大学设计开发了一个基于rmon的流量测量系统3。 该系统旨在通过 采样rmon代理收集到的网络流量信息，对其进行收集整理并存人数据库中，在 管理者请求分析时，将相关数据提出进行分析，以便掌握网络流量，分析网络运 行状况。系统通过利用远程网络监视（rmon），实现对一个网段乃至整个网络 的数据流量的监视功能；通过采用用户自行配置监控参数的方法，建立能够独立 获取网络行为参数的、灵活的数据采集子系统，最终使整个采集系统能够符合大 规模高速（主干）网络性能监测分析对测试平台的需求。该系统利用现有工具完 成了对网段乃至全网的流量测量，但rmon一般位于介于路由器内，对网络运行 会产生直接的影响。对于高速网络还可以引入采样方法，来获取网络流量信息， 但选取适合于全网的采样函数是比较困难的。 复旦大学、东南大学在流量模型和网络行为特征研究方面做了大量工作，但 在网络流量测量方面未作深入研究。 国外对网络流量测量正在进行着大量的研究。美国应用网络研究国家实验室 nlanr(national laborary of applied network research)的测量和运营分析小组 moat(measurement and 0peration analysis team)开发了网络分析基础结构 nai(network analysis infrastructure)123，目的是建立一个测量体系结构，通过原始 数据的收集和发布，分析测量结果，并进行可视化，为hpc（high performance connection，如vbns和abilene网络）团体的工程和研究服务。它收集网络数据的 方法包括：被动收集数据包头；主动测量；收集路由和网管数据。目前的研究包 括：amp（active measurement project）；pma（passive measurement anaysis， 开发出了ocx的监视器，ocxmon）。另外对测量结果还进行了可视化（软件 cichlid）。 美国国家科学基金nsf和darpa资助了国家internet测量基础结构（national intenet measurement infrastructure，简称nimi）项目124，其目标是要建立一个全球 化的、分布式的、大规模的internet测量结构，已经设计出了轻负载、可升级、可 动态配置、具有安全验证的测量探针（network probe daemon，简称npd），测量 各种性能参数。nimi项目分3个阶段：mark ，mark ，mark ，逐渐迈向智 能化。 1 绪 论 5 由斯坦福线性加速器中心（standford linear accelerator center，简称smc）发 起的为henp（high energy nuclear and particle physics）团体开发的端到端性能监 控pinger （ping end-to-end reporting） 125， 在全世界布有监视点， 采用ping （icmp echo/request）来测量rtt，packet loss等，进而推算系统的性能。改进的版本包括 采用poission分布的采样， 以及加入tracerouter， 考虑了采样速率、 开销大小的影响。 slac/doe/esnet运用pinger工具建立了一个测量结构：iepm（intemet end-to-end and process monitoring）126，该系统主要针对网络性能参数的测量。 由 berkerley university 和 ibm 开 发 的 spand （ shared passive network discovery）项目127，它是一个被动共享的测量，通过发送udp，tcp数据包让客 户机向性能服务器汇报网络性能，同时在网关处还加了一个性能捕获主机辅助测 量，该系统可以用来获取网络流量。 ripe(reseaux ip europeens)128是对在欧洲运营ip网络的组织(主要是isp)和个 人开放的一个合作性机构， 它的目标是确保泛欧ip网络运行所必须的管理和技术相 互协调。ripe通过发送3种不同大小的udp数据包来测量不同链路之间的性能，它 用gps来实现同步。 在ietf的ippm wg的标准化工作中，采用surveyor来测量参加者之间的 internet路径的性能，包括单向延时、损耗、路由测量，需gps提供时钟同步126。 internet数据分析合作组织caida（cooperative association for internet data analysis）129提出并实现了skitter和coral，skitter通过几个源向许多其他的地址空 间发送探测包来探测路径和性能，进而将网络拓扑结构和性能属性可视化。coral 用来测量高速链路的工作流（workflow）特征。 此外还有mawi（measurement and analysis of wide-area intemet，由wide， widely integrated distributed environment发起， 日本的学术及研究机构进行合作） ， ppncg（prtical physics network coordinating group，欧洲），triump（加拿大）， wand（waikato applied network dynamics，新西兰）等4。 由此可见，国内在网络流量测量方面进行了初步的研究，但不够系统，主要 是对单节点链路流量的测量，在对全网或一个自治系统的链路流量测量缺乏系统 深入的研究。在国外，针对网络流量的测量系统虽取得了很大发展，但仍有不足 之处，主要是测量系统结构复杂，代价较高。另外对链路流量测量系统方面的研 究较少，测量网络内部链路流量时主要采用直接在该链路处进行测量，这有悖于 核心网络的设计思想，势必影响网络的运行，因此有必要研究开发低成本、方便 实用的链路流量测量系统。 重庆大学博士学位论文 6 1.3 已有高速网络链路流量测量系统 高速网络链路流量测量系统主要分为三类： （1）被动测量系统，文献5主要 采用基于数据包的被动测量方法。该测量系统包括测量实体，用来收集骨干网络 上的数据包；数据存储用来储存数据包和相应的网络信息；分析模块用来对存储 的数据进行离线分析，以获得网络运行参数； （2）主动测量系统，主动测量主要 用于性能参数测量，如用 ping 测量网络的连通性等，但很少用于流量测量中； （3） 混合测量系统，如本文主要用于该方法在获得流量时，也获得了网络的其它性能 参数。大多数链路流量测量系统面对高速网络已经表现出局限性，目前已经出现 了一些基本能适应高速网络环境的测量系统，主要有基于修改操作系统内核来提 高测量性能的软件测量系统和用专门硬件实现加快处理速度的测量系统，但这些 系统均有不足之处，未能很好地适应高速网络的测量和分析，下面简单分析一下 目前主要的链路流量测量系统。 1.3.1 基于软件实现的流量测量系统 （1）linuxflow linuxflow 是清华大学开发的6，能够在千兆链路环境下测量网络流量的测量 系统。linuxflow 是基于 gun 开放源代码的 linux 操作系统。linux 操作系统内核 源代码全部开放，特别是提供了易于扩展的内核 module 机制，可以方便的分析、 修改、扩展内核中的功能，达到定制系统的目的和较高性能。通过修改内核、定 制 module，实现了内核空间独立流量采集协议栈，并具有用户空间调用接口和基 于 flow 的多线程归并处理线程。 在 socket 应用接口中，通过向内核注册 af_cappkt 协议族，实现 af_cappkt socket 接口，提供与用户空间程序的交互，并向下层注册 packet 处 理例程。程序参考了 linux 中的 af_cappkt 和 bsd 中 bpf 的实现，采用了类似 bpf 的双缓冲结构来提高效率。实现了流量采集的上层协议栈，完成了对网卡采 集的 packet 进行特征抽取和数据处理，生成一定结构的记录，并通过用户空间程 序的 socket 调用将数据拷贝到用户空间缓冲区，并且提供了 cap_tpye 接口的可扩 展挂钩，此部分实现具体的流量特征提取、过滤和数据处理任务，根据不同流量 采集任务的不同需要可以编写相应的 cap_tpye 接口实现。 （2）ticketing ticketing 是由美国洛斯阿拉莫斯国家实验室和俄亥俄州大学联合开发的千 兆环境下的流量测量系统7。该测量系统也是基于 linux 内核，但与 linuxflow 不 同的是，它首先裁减 linux 内核，把与测量系统无关的部分全部裁减掉，使之成为 能够完成网络测量功能的最小微内核。通过进一步的修改内核强化网络测量功能 来提高 ticketing 测量系统的性能。该测量系统以数据包作为测量颗粒度。 1 绪 论 7 （3）tcpdump tcpdump是目前最流行的网络测量系统工具之一， 在绝大多数的linux和unix 操作系统中都可以见到它的身影。tcpdump 是一个可以用于网络监视与数据包获 取目的的网络监视系统，它能够解码并显示被捕获数据包的协议头消息，并且可 以用来提取网络会话的实际内容，因此 tcpdump 能够对网络活动进行非常深入的 分析。它是由 lawrence berkeley national laboratory 中的 network research group 开发的产品。它的实现是基于该工作组开发的用来进行数据包捕获的独立于系统 的包捕获 api 接口 libpcap。 （4）netramet netramet 是由新西兰奥克兰大学开发的网络流量系统8，它的体系结构是 ietf 中的实时流量测量（realtime traffic flow measurement）工作组关于 rtfm 体系结构的草案的典型表现，即一个测量系统划分为四部分：监测、读取监测数 据、管理、分析应用等。监测部分主要对网络流量进行监测；读取监测数据部分 主要是从测量部分那里获取报文数据；管理部分主要配置监测部分和控制读取监 测数据部分；分析应用主要按照应用需求进行分析处理读取监测数据部分得到的 数据包数据。它的另外一个特点是运用虚拟机来执行测量系统中的规则集。需要 建立规则集时，用专门的 srl 语言来描述一个规则集，然后用该语言的编译器对 所写的规则集进行编译，编译完成后则在虚拟机上执行。 1.3.2 基于硬件实现流量测量系统 （1）oc3mon 美国 nlanr（the national laboratory for applied network research）的被动 测量项目 pma（passive measurement and analysis），旨在为高级网络（如 vbns， abliene）提供协作性的服务支持。它采用 oc3mon 数据收集系统9，包括专