系统的解决方案 Lazy evaluation 〉将判断一个包是否属于可疑流这件事情,拖到不得不 做时再去做: 当队列未满时,不需要判断 当可疑节点表为空时,不需要判断 方法: 当队列满、且可疑节点表非空时,每当从队尾移出一个 包,判断包的源地址是否在可疑节点表中,是则拷贝到 物证日志,否则丢弃 优, 不需要维护哈希表和指针列表,节省了大量的存储空间, 也减小了计算复杂度
将判断一个包是否属于可疑流这件事情,拖到不得不 做时再去做: ◦ 当队列未满时,不需要判断 ◦ 当可疑节点表为空时,不需要判断 方法: ◦ 当队列满、且可疑节点表非空时,每当从队尾移出一个 包,判断包的源地址是否在可疑节点表中,是则拷贝到 物证日志,否则丢弃 优点: ◦ 不需要维护哈希表和指针列表,节省了大量的存储空间, 也减小了计算复杂度
Packet P arrives for flow F Fast probabilistic Foward P suspicion test Add copy of p to head If alert. add f to table Queue of If F In Table, update state last N Suspicion packets table Report to manager periodically_ Forensic or upon bad flow detection log If packet Qs flow F Is deemed bad In suspicion table, add o to log
3.3十五条实现原则 系统原则(1-5): 将系统看成由子系统构成,而不是一个黑盒子 兼顾模块化和效率(6-10): 允许保留复杂系统的模块化,与此同时给出提 高性能的方法 加速(11-15): 。仅加速某个关键例程的方法
系统原则(1-5): ◦ 将系统看成由子系统构成,而不是一个黑盒子 兼顾模块化和效率(6-10): ◦ 允许保留复杂系统的模块化,与此同时给出提 高性能的方法 加速(11-15): ◦ 仅加速某个关键例程的方法
十五条实现原则 系统原则(1-5): 将系统看成由子系统构成,而不是一个黑盒子 兼顾模块化和效率(6-10) 允许保留复杂系统的模块化,与此同时给出提 高性能的方法 加速(11-15): 仅加速某个关键例程的方法
系统原则(1-5): ◦ 将系统看成由子系统构成,而不是一个黑盒子 兼顾模块化和效率(6-10): ◦ 允许保留复杂系统的模块化,与此同时给出提 高性能的方法 加速(11-15): ◦ 仅加速某个关键例程的方法
P1:避免常见情形中的明显浪费 原则: 若某个特殊的操作序列存在资源浪费,且该模 式经常出现,就有必要消除这种浪费 编译器的例子:消除重复的子表达式 l:=5.1*n+2 优化为:t:=5.1*n+2 小:=(5.1*n+2)*4 l'=t J=t*4 网络的例子: 。操作系统和用户空间之间多次数据包拷贝
原则: ◦ 若某个特殊的操作序列存在资源浪费,且该模 式经常出现,就有必要消除这种浪费 编译器的例子:消除重复的子表达式 I:=5.1*n+2 优化为: t:=5.1*n+2 J:=(5.1*n+2)*4 i:=t j:=t*4 网络的例子: ◦ 操作系统和用户空间之间多次数据包拷贝