eBPF/XDPを利用した侵入検知システムの高速化

原 崇徳
research

eBerkeley Packet Filter (eBPF)やeXpress Data Path (XDP)などのカーネルパケット処理は,ユーザー空間で動作する従来のパケット処理ソフトウェアにパケットを渡すことなく,高速かつ効率的に処理できる有望なフレームワークです. いくつかの研究では,単純な機械学習技術(例えば、決定木(Decision Tree: DT))によって、カーネル空間におけるインテリジェントなパケット処理(例えば、侵入検知)を実現するeBPFの可能性を指摘していますが,パケット処理性能と検知性能の定量的評価は十分に行われていない. カーネルの安定性・安全性を確保するため,ニューラルネットワーク (Neural Netowrk: NN) で一般的に用いられる浮動小数点数の禁止など,厳しい制約条件下でパケットを処理する必要があります. この研究では,NNを利用したeBPF/XDPベースのパケット処理の可能性を検討しています12. 具体的には,まず浮動小数点型NNを訓練し,それをユーザ空間の8ビット整数を用いて固定小数点型NNとして量子化し,この軽量NNをeBPF/XDPプログラムに実装し,カーネル空間で整数演算のみの推論による高速な侵入検知システムの実現を目指します.

  1. T. Hara and M. Sasabe, ‘‘On Practicality of Kernel Packet Processing Empowered by Lightweight Neural Network and Decision Tree,’’ to be presented at the International Conference on Network of the Future (NoF 2023), pp.1-9, Oct. 2023. (full paper). ↩︎

  2. H. Taguchi, T. Hara, and S. Kasahara, “Unsupervised Real-Time In-Kernel Intrusion Detection System Using Autoencoders and eBPF,” IEICE Transactions on Communications, pp. 1-11, vol. E109-B, no. 2, Feb. 2026. doi: 10.23919/transcom.2025EBP3028 ↩︎

research ネットワーク 機械学習 eBPF XDP
原 崇徳
原 崇徳
准教授