eBPFとXDPに基づくカーネル内ネットワーク機能
本研究では,eBPFやXDPなどを活用して,カーネル内で効率的に動作するネットワーク機能の実現を目指しています. 従来の高機能なネットワーク機能はユーザ空間で動作するため,ネットワーク機能の実行には,カーネル空間とユーザ空間のコンテキストスイッチに伴うオーバーヘッドが発生します. 一方,eBPFやXDPを用いることで,カーネル内で直接パケット処理を行うことが可能となり,オーバーヘッドを削減できます.ただし,カーネル内で動作するネットワーク機能は,ユーザ空間で動作するものに比べて,計算資源が限られているため,高度なネットワーク機能を実装することが困難です. このような背景の下で,軽量なニューラルネットワークに基づく侵入検知システム (Intrusion Detection System: IDS) をeBPF/XDP上で実装し,カーネル内IDSの実用性を評価しました12. さらに,カーネルバイパス手法の一つであるAF_XDPとの組み合わせにより,ユーザ空間とカーネル空間の両方でパケット処理を行う手法を提案し,その実用性を評価しました3. また,Service Function Chaining (SFC) において,経路逸脱によりサービス要件を満たさないパケットを検出するために,eBPFを用いたOrdered Proof of Transit (OPT) による経路検証手法についても検討しています4.
In-Kernel Network Functions with eBPF and XDP
This research aims to realize efficient in-kernel network functions using eBPF and XDP. Conventional high-performance network functions operate in user space, which incurs overhead due to context switches between kernel space and user space for executing network functions. On the other hand, eBPF and XDP allows direct packet processing in the kernel, reducing overhead. However, network functions operating in the kernel space have limited computational resources compared to those operating in the user space, making it difficult to implement advanced network functions. Against this background, we implemented a lightweight neural network-based Intrusion Detection System (IDS) on eBPF/XDP and evaluated the practicality of in-kernel IDS12. Furthermore, we proposed a method that performs packet processing in both user space and kernel space by combining with AF_XDP, one of the kernel bypass techniques, and evaluated its practicality3. We are also investigating a path verification method using Ordered Proof of Transit (OPT) with eBPF to detect packets that violate service requirements due to path deviation in Service Function Chaining (SFC)4.
-
T. Hara and M. Sasabe, “On Practicality of Kernel Packet Processing Empowered by Lightweight Neural Network and Decision Tree,” in Proc. of International Conference on Network of the Future (NoF), Oct. 2023, pp. 89–97. doi: 10.1109/NoF58724.2023.10302811. ↩︎ ↩︎
-
H. Taguchi, T. Hara, and S. Kasahara, “Unsupervised Real-Time In-Kernel Intrusion Detection System Using Autoencoders and eBPF,” IEICE Transactions on Communications, pp. 1–12, 2025, doi: 10.23919/transcom.2025EBP3028. ↩︎ ↩︎
-
T. Hara and M. Sasabe, “Practicality of In-Kernel/User-Space Packet Processing Empowered by Lightweight Neural Network and Decision Tree,” Computer Networks, vol. 240, p. 110188, Feb. 2024, doi: 10.1016/j.comnet.2024.110188. ↩︎ ↩︎
-
T. Hara and M. Sasabe, “eBPF-Based Ordered Proof of Transit for Trustworthy Service Function Chaining,” IEEE Transactions on Network and Service Management, pp. 1–1, 2025, doi: 10.1109/TNSM.2025.3550333. ↩︎ ↩︎